安全威胁情报周报（2023/01/02-2023/01/06）

据相关消息当地时间1月4日，爱尔兰数据保护委员会 (DPC) 以Meta强迫Facebook和Instagram用户接受定向投放的个性化广告，违反欧盟《通用数据保护条例》为由，向Meta开出3.9亿欧元巨额罚单。

爱尔兰数据保护委员会开出的3.9亿欧元罚单中，2.1亿欧元用于处罚Facebook，1.8亿用于处罚Instagram。爱尔兰数据保护委员会还勒令Meta在未来三个月内进行整改，使数据处理行为符合条例规定。

当日，Meta已对这一处罚结果发表声明，称并不认同这一裁决，将进行上诉。Meta表示在欧盟地区推出的个性化广告完全符合《通用数据保护条例》相关规定。截至目前，爱尔兰数据保护委员会已累计对Meta开出了13亿欧元罚单，同时还有针对该公司的其他11项调查正在进行中。

据相关网站披露，谷歌与美国印第安纳州和华盛顿特区监管机构达成了和解协议，同意支付总计2950万美元，以了结两起与追踪用户位置相关的诉讼。

从和解协议内容来看，谷歌分别向华盛顿特区、印第安纳州支付950万美元和2000万美元。上月，谷歌已经因类似指控同意向40个州支付总计3.915亿美元。值得一提的是，除上述诉讼案外，谷歌还面临德克萨斯州和华盛顿州另外两起追踪用户位置的诉讼案。

目前，Google已经推出了一些用户隐私保护措施，例如允许用户自动删除与其账户绑定的位置数据。Google进一步表示，将提供有关Web&App活动中的更多 “详细 ”信息，后续将推出了一个信息中心和新的切换按钮，以方便用户“处置”自己的位置信息。

LockBit勒索软件团伙就攻击儿童医院（SickKids）一事正式道歉，并为该医院发布了一个免费的解密软件。

据了解，LockBit有一个禁止攻击医疗机构的隶属角色。它的政策禁止对损害可能导致个人死亡的组织的系统进行加密。该团伙解释说，它的一个合作伙伴攻击了SickKids，违反了它的规则，为此它封锁了该分支机构。

这次攻击影响了医院的多个网络系统，但根据该医疗机构的说法，它并没有影响到病人的治疗。儿童医院（SickKids）目前正在应对一起影响多个网络系统的网络安全事件，据悉，医院花了几天时间来控制勒索软件的攻击。儿童医院（SickKids）已经成功恢复了12月18日受网络安全事件影响的许多系统。截至12月29日，几乎50%的优先系统现在已经恢复并重新上线。

据相关消息称，位于不列颠哥伦比亚省的加拿大铜山矿业公司（CMMC）公布，因遭受勒索软件攻击，业务运营受到影响。

此次勒索软件攻击发生在2022年12月27日晚，铜山矿业IT团队已通过预定义的风险管理系统及协议迅速做出响应。为了遏制此次事件，铜山矿业隔离了受感染系统并将其余部分关闭，旨在全面盘查并确定勒索软件攻击的影响。

铜山矿业在官网公告中指出，“公司内外部IT团队正在继续评估风险，并积极建立额外的保障措施，以减轻公司面临的任何进一步威胁。”铜山矿业的公告还做出澄清，称此次安全事件并未损害到安全措施或造成任何形式的环境破坏。

波兰安全机构警告称，自俄乌冲突以来，波兰一直是亲俄黑客进行网络攻击的目标。这些攻击几乎针对波兰的任何实体，包括政府部门、私人组织、媒体机构。

在波兰政府发布的警报中称，无论是公共管理领域还是私营企业，媒体和普通用户都成为黑客攻击的目标。来自能源或军备等战略部门的实体尤其面临风险。其中一些敌对活动可以直接与亲俄黑客组织的活动联系起来。

据波兰情报部门也表示，由于波兰所处于的战略地位，被认为是乌克兰的重要盟友，针对该国的袭击是克里姆林宫对波兰向乌克兰提供支持所作出的回应，企图破坏该国局势。

近日，一个包含超过2亿Twitter用户数据的文件在一个流行的黑客论坛上发布，价格约为2美元。目前，已经证实了泄露中列出的诸多用户数据的有效性。

自2022年7月22日以来，攻击者一直在各种在线黑客论坛和网络犯罪市场上出售和流转大量的Twitter用户资料，其中包括私人（电话号码和电子邮件地址）和公共数据。这些数据集是在2021年利用Twitter的API漏洞创建的，该漏洞允许用户输入电子邮件地址和电话号码，以确认它们是否与Twitter ID相关。

近日，一名攻击者在Breached黑客论坛上发布了一个由2亿条Twitter用户资料组成的数据集，仅需要该论坛的8个货币价值约2美元，即可下载。据称，这个数据集与11月流传的4亿个数据集相同，但经过清理，去掉重复的数据，总数减少到约2亿条。这些数据是以RAR档案的形式发布的，包括六个文本文件，总大小为59GB的数据。

某网络安全机构近日注意到，一名攻击者在一个流行的黑客论坛上出售据称从沃尔沃汽车公司窃取的数据。

某论坛上一位昵称为IntelBroker的成员宣布，VOLVO CARS成为勒索软件攻击的受害者。他声称该公司遭到Endurance勒索软件团伙的袭击，攻击者窃取了200GB的敏感数据，这些数据现在正在出售。

此次攻击者并未索要赎金反而公开出售这些数据的原因是因为他们并不认为受害人会支付赎金。在出售的数据包括：数据库访问、CICD访问、Atlassian访问、域访问、WiFi点和登录、身份验证承载、API、PAC安全访问、员工列表、软件许可证以及密钥和系统文件。

总部位于法国的音乐流媒体平台Deezer承认遭受了数据泄露的打击，该事件可能损害了超过2.2亿用户的信息。

据估计，在近三年前的事件中，有229,037,936人的数据遭到破坏。泄露的信息包括用户的出生日期、电子邮件地址、性别、地理位置、IP地址、姓名、口语和/或用户名。

“有问题的数据是由我们自2020年以来从未合作过的第三方合作伙伴处理的，正是这个合作伙伴经历了违规行为。Deezer的安全系统仍然有效，我们自己的数据库也是安全的，“Deezer在信息曝光后不久于2022年11月表示。Deezer证实，暴露的数据包括基本信息，如名字和姓氏，出生日期和电子邮件地址。该公司指出，尚未发现有关密码或付款详细信息的信息。

美国铁路和机车公司Wabtec Corporation披露了一起数据泄露事件，暴露了个人和敏感信息。

Wabtec是一家总部位于美国的上市公司，生产最先进的机车和铁路系统。该公司拥有约25,000名员工，业务遍及50个国家/地区，是货运机车的全球市场领导者和运输领域的主要参与者。

这些被盗数据暴露了各种各样的敏感信息，包括：全名，出生日期，非美国国民身份证号码，非美国社会保险号或财政代码，护照号码，IP地址雇主识别号码，美国公民及移民服务局或外国人登记号码，NHS（国家卫生服务）号码（英国），医疗记录/健康保险信息，照片，性别/性别认同，薪水，社会安全号码（美国），金融账户信息，支付卡信息，帐户用户名和密码，生物特征信息，种族/民族，刑事定罪或犯罪，性取向/生活，宗教信仰，工会隶属关系。

马来西亚通信和数字部长Fahmi Fadzil下令调查涉嫌影响约1300万公民的大规模数据泄露事件。据报道，泄密涉及马来亚银行，卫星广播公司Astro和选举委员会的数据。

在一位名叫Pendakwah Teknologi的Facebook用户标记了Fadzil并分享了有关数据泄漏的详细信息后，泄漏曝光了。用户分享了违规论坛中可用数据的屏幕截图，包括用户名、出生日期、地址和身份证号码等信息。

Fadzil命令国家网络安全专家机构马来西亚网络安全和马来西亚个人数据保护部调查是否存在涉及有关各方的数据泄露，并在发生违规行为时采取法律行动。

在日常巡查中发现，黑客在黑客论坛上公布了美国牙医和牙科诊所数据库，数据字段包含：企业名称、地址、城市、州、邮编、县、电话、名字、姓、电子邮件、联系人、性别、职称等。泄露的数据量：51000条。

指南尝试在我国现有立法框架下，对隐私计算技术应用的合规问题进行梳理和探讨，对隐私计算技术面临的合规挑战进行分析，并提出一些合规要点。

2022年12月28日，由中国信息通信研究院、中国通信标准化协会指导，隐私计算联盟、中国通信标准化协会大数据技术标准推进委员会联合主办的2022可信隐私计算峰会在京召开。会上，隐私计算联盟发布了《隐私计算技术应用合规指南（2022年）》。

“有史以来第一次，国会将内存安全纳入法律，要求国家网络总监研究政府层面的内存安全问题。总体法案预计将在本周通过。为在参议院期间参与制定这项法规感到自豪！”某知名安全研究员称。

2023年1月4日，第五届“数据资产管理大会”在线上举办。会上，中国信息通信研究院云计算与大数据研究所所长何宝宏发布了《大数据白皮书（2022年）》并进行了深度解读。

数据存储与计算、数据管理、数据流通、数据应用、数据安全五大核心领域均伴随相关政策、技术、产业、应用的不断演进，发展目标进一步明确和丰富，发展成效不断显现。

白皮书聚焦过去一年来大数据领域不断涌现的新技术、新模式、新业态，分析总结全球和我国大数据发展的总体态势，并重点针对数据存储与计算、数据管理、数据应用、数据流通、数据安全五大核心领域，逐一分析、探讨其发展现状、特征、问题和趋势，最后对我国大数据未来发展进行展望与研判。

针对2023年企业安全团队需要重点关注的四大新型网络钓鱼攻击进行整理分析。

任何企业，无论规模大小，是否部署先进的安全工具，都难以抵御网络钓鱼攻击。随着网络安全技术的不断进步，今天的防御者可以用更先进的工具和技术来检测和阻止网络钓鱼电子邮件、链接和消息，但网络钓鱼攻击技术和策略也在不断进步和演变。

虽然大多数社会工程攻击都是通过电子邮件进行的，但三分之一的IT专业人员报告说，2022年通过其他通信平台进行的社会工程攻击显著增加，具体如下：

视频会议平台（44%） 

企业办公、团队协作平台（40%） 

基于云的文件共享平台（40%） 

短信（36%）

此外，社交媒体上的网络钓鱼也越来越普遍，在2022年第一季度，全球52%的网络钓鱼攻击中，有52%针对职业社交网站LinkedIn的用户。根据Proofpoint的2022年网络钓鱼状态报告，74%的企业员工收到了欺诈性短信（短信诈骗），同样比例的员工在社交媒体上成为攻击目标。

难以检测的网络钓鱼新技术：SaaS到SaaS。SaaS到SaaS网络钓鱼可以在不接触受害者本地计算机/网络的情况下发动攻击，由于一切都发生在SaaS到SaaS之间，因此所有现有的安全措施（例如反垃圾邮件网关、沙盒和URL过滤）都不会检测到威胁，也不会生成警报。此外，随着云办公生产力和多用户协作技术的兴起，攻击者现在可以在知名云基础架构上托管和共享恶意文档、文件甚至恶意软件，很难被发现。

网络钓鱼攻击的第一阶段通常是托管在云服务上的虚假发票或PDF文档。这些文档可以下载，但是，为了方便用户，云服务一般会允许用户在浏览器中打开PDF进行查看，导致此类威胁很难被检测到，因为不一定会触发安全警告。正如8月份曝光的基于AWS云的网络钓鱼攻击，如果企业只是在电子邮件的入口和出口实施网络钓鱼检测，将永远不会检测到此类攻击，因为钓鱼邮件中的云服务URL貌似合法，而之后的所有操作都发生在云端（浏览器中）。

多阶段云网络钓鱼：微软曾警告说，攻击者正积极利用Azure AD发起全新的网络钓鱼攻击，主要针对那些不使用多因素身份验证的人。这种前所未见的网络钓鱼攻击现在正快速增长，攻击者利用了BYOD（自带设备）的功能，用被盗凭据进行设备注册，从而可以随时随地访问云身份验证。这是一种新颖的攻击技术，将传统的网络钓鱼与第二阶段甚至第三阶段的操作相结合。第一阶段像常规网络钓鱼攻击一样窃取员工的电子邮件账户。

然而，第二阶段的目标不是直接攻击受害者，而是以受害者的名义在流氓设备上创建一个新的Office 365帐户。然后用受害者的用户帐户（本案例中为其Azure Ad）发起内部网络钓鱼攻击，向公司内部员工或客户发送钓鱼电子邮件。

攻击者可以通过第一个受害者入侵其他受害者的账户，从而获得更多控制权或找到更好的“宿主”，这种多阶段内部网络钓鱼攻击看上去是合法的，甚至可以在公司的OneDrive或SharePoint系统上部署恶意软件。

人工智能（ChatGPT）钓鱼攻击：根据相关研究，网络钓鱼占恶意软件攻击的近90%。但最近大火的人工智能内容生成技术ChatGPT可能会使情况变得更糟。这种智能AI聊天机器人可以根据剧本自动套取用户的个人信息，受害者甚至不知道他们正在与人工智能互动。

人工智能还带来其他重大安全风险，像ChatGPT这样的人工智能技术使攻击者能够将大规模网络钓鱼的数量与有针对性的攻击（鱼叉式网络钓鱼）结合起来，发动大规模针对性攻击！例如，传统网络钓鱼攻击会发送海量的电子邮件、短信和社交媒体帖子，但这些内容很容易被发现，导致产量偏低。

通过人工智能聊天机器人，攻击者可以在数秒钟内生成数百万条鱼叉式网络钓鱼消息。因此，在2023年，我们可能会看到一些大规模的个性化网络钓鱼，在几分钟内发送数百万条针对不同用户的独特消息。这对安全团队来说将是一个巨大的挑战。

二维码钓鱼攻击（QRishing）：越来越多的网络钓鱼攻击开始通过嵌入在电子邮件中的二维码分发恶意软件链接，这种方法能绕过大多数电子邮件安全解决方案的检测。

一些攻击者甚至在餐馆或其他公共场所粘贴恶意二维码。由于新冠疫情的防疫政策要求减少身体接触，保持社交距离，二维码的越来越频繁和普遍，我们通过扫描二维码点菜、检查核酸、疫苗状态或获取其他公共信息。流行的社会工程策略是在网络钓鱼文本（短信+二维码）或社交媒体平台中插入虚假二维码。用户扫描恶意二维码后，会被重定向到网络钓鱼站点，提示受害者登录并窃取其账户密码。

网络钓鱼的终极防御方法：

根据行业统计数据，企业平均每天收到数十封网络钓鱼电子邮件，由于网络钓鱼导致的恶意软件和勒索软件攻击造成的损失逐年增长。以下是相关报告给出的缓解新型网络钓鱼攻击的建议：

1. 了解风险，更好地为技术决策提供信息

2. 利用自动化工具和可操作的情报来减少网络钓鱼事件

3. 实施零信任架构，限制攻击的破坏半径

4. 及时提供培训，以建立安全意识并促进用户报告事件

5. 模拟网络钓鱼攻击以识别流程中的安全差距

6. 采用多层网络钓鱼防御方法 

7. 采用JIT身份与访问管理方案（无长期特权）
   

现实情况是，只要人为因素存在，就没有企业能够完全防止网络钓鱼。因此，从长远来看，最佳防御策略就是采用零信任架构来实现电子邮件安全，这也是多层防御方法的精细化设计：

电子邮件的零信任方法通过专注于身份验证（验证用户/设备信任）来帮助企业防御电子邮件模拟攻击，确保进入公司环境或用户收件箱的电子邮件来自合法的个人、品牌和域名。