安全威胁情报周报（2022/11/28-2022/12/02）

一项名为Ducktail的网络犯罪行动，一直利用WhatsApp劫持Facebook Business帐户，造成高达60万美元的广告信用损失。

据悉，Ducktail网络犯罪团伙在使用恶意软件窃取与Facebook相关的信息并劫持相关企业帐户时被发现。

Ducktail网络犯罪组织被追踪为越南背景，目标是对 Facebook 商业账户具有高级访问权限的个人，该账户使公司能够通过付费活动和广告接触到特定的受众。

负责印度证券交易账号开户的关键机构中央证券存管机构（CDSL）披露，系统遭到恶意软件入侵，部分设备受影响已被隔离。

该证券存管机构向印度国家证券交易所提交一份文件，称其检测到“一些内部设备”已遭恶意软件影响。文件指出，“出于谨慎考量，公司立即隔离了这些设备，并脱离资产交易市场以避免影响其他部分。”

CDSL公司在提交的文件中表示，“CDSL团队已经向有关当局上报了此次事件，目前正与政府网络安全顾问合作，共同分析事件影响。”

澳大利亚一家非营利性儿童慈善机构警告大约80,000名捐助者，他们的信用卡和个人信息因最近的黑客事件而遭到泄露。

澳大利亚慈善机构 The Smith Family 在一份媒体声明中表示，这次黑客攻击是一次“未成功”的窃取资金的尝试，但黑客确实设法获取了捐助者的信息。

据首席执行官道格泰勒周二称，泄露的信息包括捐赠者的姓名、地址、联系信息和捐赠金额。该慈善机构没有存储护照或其他身份信息等文件的副本。被泄露的卡信息仅限于某些卡的前四位和最后一位。声明说，慈善机构没有存储其他卡数据。

近日体育博彩公司DraftKings在推特上发表称， 部分用户遭到了黑客组织的撞库攻击，该攻击导致的损失高达30万美元。目前DraftKings正在调查客户的账户问题，对受影响的账户进行整改。

根据调查，所有被劫持账户的共同点可能是最初的5美元存款，然后攻击者改变密码，在不同的电话号码上利用双因素身份认证（2FA），从受害者的网上银行账户中提款。

同时DraftKings公司建议客户不要在多个线上服务中使用同一个密码，也不要让第三方平台获取他们的认证许可，除了DraftKings提供的投注跟踪器和投注应用程序。建议还没有受到此次攻击的DraftKings客户立即在他们的账户上打开2FA，并删除任何银行信息，解除银行账户链接，以阻止欺诈性提款请求。

近日，LockBit 3.0网络犯罪团伙声称对加拿大韦斯特蒙市政服务平台瘫痪和关闭员工电子邮件账户的勒索软件攻击事件负责，并要求该市在12月4日前支付赎金。

根据相关报道，该市的电子邮件服务因不明原因的计算机故障而无法使用，并且该故障也影响了其他市政服务。后经证实该次故障源于一次有针对性的网络攻击。

大部分FTX流出的资金，目前该市并未通报此次事件所影响的程度以及带来的损失，但表示目前已经聘请了一家网络安全公司进行调查，并尽快恢复其系统。LockBit 3.0勒索软件集团声称对这次攻击负责，并称他们已经成功下载了14兆字节的敏感数据，如果在未来两周内不支付赎金，将公布被盗数据。

思杰公司为美国军方、联邦调查局、许多美国公司和美国政府机构提供服务，上周末披露了“国际网络罪犯”对其内部网络的大规模数据泄露。

Citrix表示，美国联邦调查局（FBI）周三警告称，有外国黑客侵入其it系统并窃取“商业文件”，并补充称，该公司不清楚黑客获得了哪些文件，也不知道他们是如何进入的。

这家总部位于佛罗里达州的公司强调，没有迹象表明黑客入侵了Citrix的任何产品或服务，并启动了“法医调查”，聘请了一家顶级网络安全公司，并采取了“行动”保护其内部网络。

据悉，此次网络攻击背后黑手是名为 Daixin 的勒索软件团伙，该团伙在成功获取亚洲航空大量内部数据资料后，随即在其数据泄露网站上公开了部分数据样本。根据上传到泄密网站的样本显示，被盗数据包含了乘客身份证号码、姓名和订票编号以及员工信息。

虽然目前尚不清楚公开的数据库是否与德里国家首都地区政府（GNCTD）有关联，但发现该数据库包含引用和带有“transerve.com”域的电子邮件地址，供注册“高级主管”和“超级管理员”的用户使用。

值得一提的是，Daixin 勒索软件团伙不仅袭击了亚洲航空，还对包括菲茨吉本医院、Trib Total Media、ista International GmbH 和 OakBend Medical 等在内的组织机构展开了攻击活动。最近美国网络安全和情报机构已经盯上了Daixin 组织，并发布警告表示这伙人攻击对象主要集中在医疗保健部门。

近日，爱尔兰数据保护委员会 (DPC) 因2021年Facebook大规模数据泄露事件，向其母公司Meta开出 2.65 亿欧元（约20亿人民币）巨额罚单。

2021年4月，黑客将5.33亿Facebook用户隐私数据泄露至黑客论坛，其中包括了手机号码、Facebook ID、姓名、性别、位置、人物关系、职业、出生日期和电子邮件地址。DPC于2021年4月14日正式启动了对Meta可能违反《通用数据保护条例》（GDPR）的调查。

超过540万条用户数据已经在暗网公开，并且免费共享给所有人。此外，安全人员还披露了另外一个可能泄露的，规模更大的数据库，其中包含了上千万条Twitter数据。

这些数据包含了大多数的公共信息，包括包括帐户Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、帐户创建日期、好友数量、收藏夹数量、状态计数和个人资料图像 URL；以及较为私密的用户的电子邮件和电话号码等信息。一旦这些信息在暗网爆发开来，那么意味着数百万的Twitter用户将有可能面临潜在的网络钓鱼攻击。

WhatsApp用户电话号码数据库在某黑客社区论坛上挂牌出售，其中包括来自84个国家地区的约4.87亿WhatsApp用户的手机号码。

据悉，WhatsApp在海外拥有约20亿用户，是全球最大的消息传递平台之一。这也意味着此次泄露的数据库中包含全球近四分之一WhatsApp用户的电话号码。

德国个人数据遭泄露并被售卖。具体数据字段包含：姓名，邮箱。数据量：18,524条。价格未知。

一份国外公司网站endado.com数据遭泄露并被售卖。具体数据字段包含：公司名称，人员姓名，地址，邮箱。数据量：539,359条。价格:500美金。

近日，深圳市市场监督管理局发布首个地方公共数据安全领域标准《公共数据安全要求》，将于 2022年12月1日正式施行。

《安全要求》落实《中华人民共和国数据安全法 》、《中华人民共和个人信息保护法》 等上位法的要求，将数据安全与网络安全等级保护要求有效结合，为《深圳经济特区数据条例》的落地提供坚实指导。

针对公共安全数据管理工作，《安全要求》提出应明确数据安全管理的策略，包括管理目标、原则、要求等内容，制定或修订完善总体安全管理框架，公共数据安全管理应作为重点内容，纳入总体安全管理范畴，加强机构管理、人员管理，指定专业的部门或授权数据安全管理机构，制定数据安全管理制度，健全数据安全保护制度体系。

印度政府近日发布了《2022年个人数据保护法案》草案，自2018年7月首次提出以来，这是印度政府第四次修改该草案。

《2022年个人数据保护法案》草案旨在确保个人数据的安全，在用户同意的情况下，表明收集信息的目的并确切分类。该草案将在2022年12月17日之前公开征求公众意见。

最后，通过该法案将建立一个数据保护委员会，这是一个政府任命的机构，将监督合规工作的核心。也就是说，为了印度的主权和完整、国家安全、与外国的友好关系、维护公共秩序或防止煽动任何可识别的行为，中央（又名联邦政府）政府不受该法案的规定约束。

相关机构发布了 2022 年度软件威胁报告，在这份报告中对过去一年度发现的恶意软件进行了分析。

按照操作系统、恶意软件类型进行了筛选分类。虽然报告主要内容集中在 Windows 和 Linux 平台，但也介绍了目前 macOS 平台存在的安全威胁。按照操作系统划分，过去一年发现的恶意软件中，54.4%是针对 Windows 的，39.4% 是针对 Linux 的，而针对 macOS 的只有 6.2%。对于该公司识别恶意软件的方法，报告中表示：“安全解决方案的遥测数据是由不同的传感器和数据源产生的。由于这些传感器和数据源太多，报告中暂无法简明描述”。

几乎50%的恶意软件都来自于MacKeepe，在macOS文件签名方面，MacKeeper恶意软件的占比最高，达到了48%。而排在第二名的 XCSSet 不超过 17%。MacKeeper 是一个针对 macOS 终端的实用软件套件，旨在帮助优化资源和监控内部资源。虽然它的最初目的是帮助 MacOS 用户，但由于它已经拥有广泛的权限和对进程和文件的访问往往被黑客滥用。

近半数macOS恶意程序来自一个应用MacKeeper，讽刺的是该应用自称零努力就能保护Mac干净且安全。但因为该应用拥有广泛的权限，能访问进程和文件，攻击者能滥用它，保护系统安全的应用变成了一种安全风险。MacKeeper 还被指对新手而言难以卸载，很多用户还将其标记为恶意杀毒软件。