要聞速覽

1、國務(wù)院、中央軍委公布實(shí)施《重要軍工設(shè)施保護(hù)條例》

2、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求》發(fā)布

3、國家互聯(lián)網(wǎng)應(yīng)急中心提醒：防范 “游蛇”黑產(chǎn)攻擊活動的風(fēng)險(xiǎn)

4、工信部：關(guān)于防范PupkinStealer惡意軟件的風(fēng)險(xiǎn)提示

5、超1.84億條賬號密碼泄露，涉微軟、蘋果等巨頭

6、西班牙漢堡王備份系統(tǒng)遭遇RCE漏洞威脅，黑客4000美元叫賣訪問權(quán)限

一周政策要聞

國務(wù)院、中央軍委公布實(shí)施《重要軍工設(shè)施保護(hù)條例》

國務(wù)院、中央軍委日前公布《重要軍工設(shè)施保護(hù)條例》（以下簡稱《條例》），自2025年9月15日起施行?！稐l例》旨在保護(hù)重要軍工設(shè)施的安全，保障重要軍工設(shè)施的使用效能和軍工科研、生產(chǎn)等活動的正常進(jìn)行，加強(qiáng)國防現(xiàn)代化建設(shè)?！稐l例》共7章51條，主要規(guī)定了以下內(nèi)容。

一是明確重要軍工設(shè)施范圍和各方責(zé)任。規(guī)定依法保護(hù)的重要軍工設(shè)施范圍，明確國務(wù)院有關(guān)部門、地方人民政府、有關(guān)軍事機(jī)關(guān)及重要軍工設(shè)施管理單位等的職責(zé)。

二是規(guī)范重要軍工設(shè)施保護(hù)區(qū)劃定。明確重要軍工設(shè)施通過劃定重要軍工設(shè)施保護(hù)區(qū)實(shí)施保護(hù)，規(guī)定重要軍工設(shè)施保護(hù)區(qū)范圍劃定、調(diào)整的程序及要求。

三是明確重要軍工設(shè)施的保護(hù)措施。規(guī)定重要軍工設(shè)施保護(hù)區(qū)應(yīng)當(dāng)采取管控進(jìn)入等安全防護(hù)措施，明確重要軍工設(shè)施保護(hù)區(qū)外圍安全控制范圍的有關(guān)保護(hù)要求，并對利用重要軍工設(shè)施開展重大科研試驗(yàn)活動等特殊情形的保護(hù)作出規(guī)定。

四是強(qiáng)化重要軍工設(shè)施管理單位責(zé)任義務(wù)。明確建立健全保護(hù)責(zé)任制、實(shí)施全過程安全管理、制定應(yīng)急預(yù)案、開展安全保護(hù)風(fēng)險(xiǎn)評估等職責(zé)，并明確內(nèi)部治安保衛(wèi)等方面的要求。

五是加強(qiáng)各方面保障監(jiān)督。明確編制國民經(jīng)濟(jì)和社會發(fā)展規(guī)劃等應(yīng)統(tǒng)籌重要軍工設(shè)施保護(hù)需要，強(qiáng)化行業(yè)主管部門和地方人民政府的監(jiān)督檢查、綜合治理責(zé)任。

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求》發(fā)布

根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》等法律法規(guī)要求，為支撐個(gè)人信息保護(hù)合規(guī)審計(jì)工作，落實(shí)合規(guī)審計(jì)中專業(yè)機(jī)構(gòu)相關(guān)規(guī)定，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處組織編制了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì) 專業(yè)機(jī)構(gòu)服務(wù)能力要求》。

本《實(shí)踐指南》從基本條件、管理能力、專業(yè)能力、人員能力、場所與設(shè)備資源能力五個(gè)方面規(guī)范了專業(yè)機(jī)構(gòu)提供個(gè)人信息保護(hù)合規(guī)審計(jì)服務(wù)的能力要求，可用于規(guī)范專業(yè)機(jī)構(gòu)個(gè)人信息保護(hù)合規(guī)審計(jì)活動。

消息來源：全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會

關(guān)于發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì) 專業(yè)機(jī)構(gòu)服務(wù)能力要求》的通知

業(yè)內(nèi)新聞速覽

國家互聯(lián)網(wǎng)應(yīng)急中心提醒：防范 “游蛇”黑產(chǎn)攻擊活動的風(fēng)險(xiǎn)

近期，CNCERT監(jiān)測到“游蛇”黑產(chǎn)團(tuán)伙（又名“銀狐”、“谷墮大盜”、“UTG-Q-1000”等）組織活動頻繁，攻擊者采用搜索引擎SEO推廣手段，偽造Chrome瀏覽器下載站。偽造站與正版官網(wǎng)高度相似，極具迷惑性。用戶一旦誤信并下載惡意安裝包，游蛇遠(yuǎn)控木馬便會植入系統(tǒng)。實(shí)現(xiàn)對目標(biāo)設(shè)備的遠(yuǎn)程操控，盜取敏感數(shù)據(jù)等操作。通過跟蹤監(jiān)測發(fā)現(xiàn)其每日上線境內(nèi)肉雞數(shù)（以IP數(shù)計(jì)算）最多已超過1.7萬。

“游蛇”自2022年下半年開始頻繁活躍至今，針對國內(nèi)用戶發(fā)起了大量攻擊活動，以圖竊密和詐騙。該黑產(chǎn)團(tuán)伙主要通過即時(shí)通訊軟件（微信、企業(yè)微信等）、搜索引擎SEO推廣、釣魚郵件等途徑傳播惡意文件，其傳播的惡意文件變種多、免殺手段更換頻繁且攻擊目標(biāo)所涉及的行業(yè)廣泛。

攻擊活動分析：

攻擊者搭建以“Chrome瀏覽器”為誘餌的釣魚網(wǎng)站，誘導(dǎo)受害者從網(wǎng)站下載惡意安裝包。

攻擊者搭建了多個(gè)釣魚網(wǎng)站，下載時(shí)又跳轉(zhuǎn)至多個(gè)下載鏈接，具體如下表所示。

下載的惡意安裝包是以“chromex64.zip”命名的壓縮包文件。

壓縮包存在兩個(gè)文件，其中chromex64.exe是一個(gè)文件解壓程序，另一個(gè)是正常的dll文件，但文件名以日月年格式命名，疑似惡意程序更新日期。

chromex64.exe運(yùn)行后將默認(rèn)在C:\Chr0me_12.1.2釋放文件。其中包含舊版本Chrome瀏覽器相關(guān)文件，由于該軟件不是正常安裝，導(dǎo)致瀏覽器無法正常更新。

同時(shí)會解壓程序在桌面創(chuàng)建快捷方式，但快捷方式中實(shí)際初始運(yùn)行的是本次活動投放的惡意文件，攜帶參數(shù)運(yùn)行，不僅啟動自身，還啟動Chrome瀏覽器進(jìn)程，以掩蓋該惡意快捷方式功能。

對應(yīng)路徑文件如下，采用dll側(cè)加載（白+黑）形式執(zhí)行。

在內(nèi)存中解密并執(zhí)行shellcode，該shellcode實(shí)質(zhì)為dll格式的Gh0st遠(yuǎn)控木馬家族變種。

該dll加載后，連接C2地址duooi.com:2869，其中的域名是2025年2月19日注冊的，目前最新樣本主要請求該域名。

基于情報(bào)關(guān)聯(lián)域名解析的IP地址，發(fā)現(xiàn)攻擊者基于任務(wù)持續(xù)注冊域名，并硬編碼至加密的shellcode文件中，部分舊有域名也更換IP地址，樣本分析期間所有域名又更換了兩次解析IP地址。

樣本對應(yīng)的ATT&CK映射圖譜：

ATT&CK技術(shù)行為描述表如下。

感染規(guī)模：

通過監(jiān)測分析發(fā)現(xiàn)，國內(nèi)于2025年4月23日至5月12日期間，“游蛇”黑產(chǎn)團(tuán)伙使用的Gh0st遠(yuǎn)控木馬日上線肉雞數(shù)最高達(dá)到1.7萬余臺，C2日訪問量最高達(dá)到4.4萬條，累計(jì)已有約12.7萬臺設(shè)備受其感染。每日境內(nèi)上線肉雞數(shù)情況如下。

防范建議：

請廣大網(wǎng)民強(qiáng)化風(fēng)險(xiǎn)意識，加強(qiáng)安全防范，避免不必要的經(jīng)濟(jì)損失，主要建議包括：

（1）建議通過官方網(wǎng)站統(tǒng)一采購、下載正版軟件。如無官方網(wǎng)站建議使用可信來源進(jìn)行下載，下載后使用反病毒軟件進(jìn)行掃描并校驗(yàn)文件HASH。

（2）盡量不打開來歷不明的網(wǎng)頁鏈接，不要安裝來源不明軟件。

（3）加強(qiáng)口令強(qiáng)度，避免使用弱口令，密碼設(shè)置要符合安全要求，并定期更換。建議使用16位或更長的密碼，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時(shí)避免多個(gè)服務(wù)器使用相同口令。

（4）梳理已有資產(chǎn)列表，及時(shí)修復(fù)相關(guān)系統(tǒng)漏洞。

（5）安裝終端防護(hù)軟件，定期進(jìn)行全盤殺毒。

（6）當(dāng)發(fā)現(xiàn)主機(jī)感染僵尸木馬程序后，立即核實(shí)主機(jī)受控情況和入侵途徑，并對受害主機(jī)進(jìn)行清理。

消息來源：國家互聯(lián)網(wǎng)應(yīng)急中心 關(guān)于“游蛇”黑產(chǎn)攻擊活動的風(fēng)險(xiǎn)提示

工信部：關(guān)于防范PupkinStealer惡意軟件的風(fēng)險(xiǎn)提示

近日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（CSTIS）監(jiān)測發(fā)現(xiàn)信息竊取型惡意軟件PupkinStealer持續(xù)活躍，該惡意軟件可竊取瀏覽器憑據(jù)、即時(shí)通信會話及桌面文件等敏感信息，導(dǎo)致敏感信息泄露、賬號劫持及網(wǎng)絡(luò)橫向滲透等連鎖風(fēng)險(xiǎn)。

PupkinStealer惡意軟件首次發(fā)現(xiàn)于2025年4月，是一款基于.NET框架開發(fā)的信息竊取類惡意程序，具有特定的攻擊目標(biāo)和危害特性。該惡意軟件利用即時(shí)通訊應(yīng)用Bot API（即時(shí)通訊平臺的機(jī)器人接口）建立通信信道，規(guī)避流量檢測。植入系統(tǒng)后，PupkinStealer首先提取Chromium內(nèi)核瀏覽器的Local State文件獲取解密密鑰，通過Windows DPAPI（數(shù)據(jù)保護(hù)接口）破解存儲的賬戶密碼，隨后掃描桌面文件，竊取相關(guān)敏感數(shù)據(jù)，最終將數(shù)據(jù)壓縮為ZIP文件，嵌入受害IP、系統(tǒng)SID等元數(shù)據(jù)，經(jīng)由即時(shí)通訊應(yīng)用外傳至攻擊者控制的機(jī)器人賬號。

建議相關(guān)單位及用戶立即組織排查，及時(shí)更新防病毒軟件，部署流量監(jiān)測系統(tǒng)識別異常API請求，強(qiáng)制實(shí)施文件完整性檢查，及時(shí)清理臨時(shí)目錄可疑文件，并通過部署多因素身份認(rèn)證、定期開展攻擊演練等方式，提升釣魚郵件及篡改軟件安裝包的辨識能力，防范網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

消息來源：網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺 關(guān)于防范PupkinStealer惡意軟件的風(fēng)險(xiǎn)提示

超1.84億條賬號密碼泄露，涉微軟、蘋果等巨頭

近期，安全研究員Jeremiah Fowler發(fā)現(xiàn)了一個(gè)公開暴露在互聯(lián)網(wǎng)上的Elastic數(shù)據(jù)庫，內(nèi)含1.84億條賬號登錄信息記錄，總數(shù)據(jù)量超過47GB。這些記錄包含了蘋果、臉書、谷歌等多個(gè)知名互聯(lián)網(wǎng)平臺的用戶賬戶信息以及來自美國、中國、澳大利亞等數(shù)十個(gè)國家政府相關(guān)賬號憑證。

安全研究員Jeremiah Fowler于2025年5月初首次發(fā)現(xiàn)該數(shù)據(jù)庫，但未能找到任何有關(guān)數(shù)據(jù)來源或所有者的信息。數(shù)據(jù)中的密碼字段使用葡萄牙語“Senha”標(biāo)識，表明可能是攻擊者通過惡意軟件收集所得。
樣本分析顯示，數(shù)據(jù)中包含大量主流互聯(lián)網(wǎng)服務(wù)的登錄憑證，如臉書、谷歌、Instagram、Netflix、PayPal、亞馬遜、蘋果、Snapchat、Spotify、雅虎等平臺的賬號，另有部分.gov域名郵箱，關(guān)聯(lián)美國、澳大利亞、加拿大、中國、印度等多個(gè)國家政府機(jī)構(gòu)。

Jeremiah Fowler聯(lián)系了部分泄露郵箱地址，確認(rèn)部分賬號真實(shí)存在。數(shù)據(jù)庫托管服務(wù)商World Host Group回應(yīng)稱，該數(shù)據(jù)庫位于一臺由客戶自行管理的服務(wù)器上，目前已被關(guān)閉，并表示將配合執(zhí)法部門調(diào)查。
盡管數(shù)據(jù)庫已下線，尚無法確認(rèn)在暴露期間是否已有他人訪問并濫用這些敏感信息。此次事件再次凸顯集中存儲敏感信息所帶來的單點(diǎn)泄露風(fēng)險(xiǎn)。

西班牙漢堡王備份系統(tǒng)遭遇RCE漏洞威脅，黑客4000美元叫賣訪問權(quán)限

威脅行為者#LongNight近日在黑客論壇上公開叫價(jià)4000美元，聲稱出售西班牙漢堡王備份基礎(chǔ)設(shè)施的遠(yuǎn)程代碼執(zhí)行(RCE)訪問權(quán)限。該漏洞針對漢堡王使用的AhsayCBS備份系統(tǒng)。這是該公司數(shù)據(jù)管理基礎(chǔ)設(shè)施的關(guān)鍵組件，負(fù)責(zé)處理跨多個(gè)存儲平臺的敏感企業(yè)信息。
AhsayCBS平臺作為一個(gè)集中式備份服務(wù)器，具有網(wǎng)頁控制臺功能，管理著本地存儲系統(tǒng)、FTP/SFTP連接以及包括Amazon Web Services和Microsoft Azure在內(nèi)的主要云服務(wù)中的數(shù)據(jù)。這種綜合備份解決方案通常處理并存儲大量企業(yè)數(shù)據(jù)，使其成為尋求有價(jià)值信息或計(jì)劃勒索軟件攻擊的網(wǎng)絡(luò)犯罪分子的理想目標(biāo)。據(jù)報(bào)道，約2.6太字節(jié)的敏感信息可能面臨風(fēng)險(xiǎn)。
此次漏洞銷售的時(shí)機(jī)和方式表明，威脅行為者對企業(yè)備份系統(tǒng)及其固有安全弱點(diǎn)有著詳細(xì)了解。該漏洞利用機(jī)制允許攻擊者在備份操作期間執(zhí)行任意代碼，特別是在備份過程的初始化和完成階段。備份操作通常以提升的系統(tǒng)權(quán)限運(yùn)行，并且常常繞過標(biāo)準(zhǔn)安全監(jiān)控，為惡意代碼執(zhí)行創(chuàng)造了理想窗口。通過針對備份操作期間的執(zhí)行點(diǎn)，攻擊者可能訪問敏感數(shù)據(jù)流、修改備份完整性，或在不被傳統(tǒng)安全措施檢測到的情況下建立對企業(yè)網(wǎng)絡(luò)的持久訪問。

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請?jiān)髡呗?lián)系我們，我們會盡快刪除處理，謝謝！