国内外网络安全热点情报（2024年第42期）

一、安全事件摘录

联合国再次发生重大数据泄漏事件，“全球组织”曝光

10月23日外媒wired网站消息，安全研究员Jeremiah Fowler近日发现，联合国终止暴力侵害妇女信托基金的数据库在互联网上公开暴露，未设密码保护或访问控制，其中包含超过11.5万份敏感文件。该数据库涉及与联合国妇女署合作或接受其资助的全球组织的详细信息，这些组织遍布多个国家和地区，主要服务于弱势群体。‍

泄漏的文件包括人员信息、合同、信件，甚至详细的财务审计报告。安全专家警告，这类数据泄露不仅可能影响相关组织运作，还可能将处于高风险的妇女、儿童及LGBTQ群体暴露在更大的危险中。

这些事件表明，尽管联合国在全球事务中发挥着至关重要的作用，但其网络安全防护能力仍然需要进一步加强。随着网络攻击的复杂性日益增加，尤其是涉及国家安全和人道主义工作的机构，确保数据安全已成为联合国及其各机构面临的一个关键挑战。

卡西欧遭遇灾难式勒索攻击：系统瘫痪、交付延迟、财报推迟

10月23日消息，日本知名手表制造商卡西欧计算机株式会社宣布，由于一次勒索软件攻击影响了公司的会计流程，原定于11月6日发布的第二季度财报将推迟至11月中旬。

卡西欧于10月11日确认遭遇了勒索软件攻击，并表示此次事件已导致多个系统瘫痪。前一天，“Underground”勒索软件团伙声称对这次攻击负责。该黑客组织还宣称，他们窃取了公司204.9 GB的数据，并发布了部分被盗数据作为证据。

卡西欧在官网最新声明中表示，10月5日发生的勒索软件攻击导致“交货日期严重推迟，并积压了大量维修请求。”

这次攻击带来的生产问题突显出，勒索软件对像卡西欧这样的制造企业所能造成的实际破坏。包括高乐氏（Clorox）在内的多家美国企业，在遭受勒索软件攻击后经历了数月的生产延迟，导致了数千万美元的损失。

处理用户个人数据违规爱尔兰对LinkedIn领英开出3.1亿欧元罚单

10月24日，爱尔兰数据保护委员会宣布，在调查后最终决定对微软旗下领英在爱分支机构Linked InIreland Unlimited Company处以3.1亿欧元(当前约23.87亿元人民币)罚款。

爱尔兰数据保护委员会谴责领英在用户个人数据处理中的违规行为，责令领英改正合规。该委员会认定领英在行为分析和定向广告的过程中违反欧盟《通用数据保护条例》(《GDPR》)中的多项条款。

本次调查始于法国非营利组织La Quadrature Du Net在2018年8月20日向法国数据保护局提出的投诉，此后该调查被移交至领英欧洲总部所在国爱尔兰的数据保护委员会。

近年来，包括欧盟在内的世界各地监管机构，一直在努力规范科技巨头在数据保护、虚假信息、税务等方面的行为。在领英之前，欧盟数据保护委员会已对脸书母公司Meta等多家科技巨头处以巨额罚款。

2024零售行业最大泄露事件，3.5亿数据被挂暗网

10月28日消息，以色列网络安全公司Hudson Rock发现一个据称包含3.5亿条Hot Topic顾客个人和支付数据的庞大数据库，在暗网上被公开出售。

名为Satanic的威胁组织发布了该订单，并声称数据库包括用户详细的个人信息，包括姓名、电子邮件地址、邮寄地址、出生日期、交易信息、信用卡信息、发票信息等等。

根据Satanic威胁组织发布的内容，泄露的数据库包括大量的支付细节信息，例如客户信用卡的最后四位数字、卡类型、哈希过期日期、账户持有人姓名等，甚至还有数十亿的与Hot Topic和Box Lunch公司相关的用户积分，并与个人资料标识符关联。

Hudson Rock的研究人员对威胁组织提供的数据样本进行分析，发现主要来源于Hot Topic、Torrid和BoxLunch三家零售企业，他们都由快时尚集团Hot Topic创立并运营。

Hot Topic集团在2023年和2024年分别披露了多起网络攻击事件。安全分析人员表示，此次在暗网上售卖的数据可能来源于此。Hot Topic并未公开承认数据泄露，但随着安全研究人员发现的证据越来越，其确定性也越来越高。Hudson Rock的研究人员表示，如果被确认，那将是零售行业“历史上最大的泄露事件之一”。

二、行业动态回顾

国家网络安全通报中心风险提示：重点防范境外恶意网址和恶意IP

10月21日，中国国家网络与信息安全信息通报中心公布，近期发现一批境外恶意网址和恶意IP，有多个具有某大国政府背景的境外黑客组织，利用这些网址和IP持续对中国和其他国家发起网络攻击。

这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒等，以达到窃取商业秘密和知识产权、侵犯公民个人信息等目的，对中国国内联网单位和互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪。

相关恶意网址和恶意IP归属地主要涉及：美国、波兰、荷兰、保加利亚、土耳其、日本等。主要情况如下：

一、恶意地址信息

（一）恶意地址：j.foxnointel.ru

关联IP地址：172.235.51.77

归属地：美国/加利福尼亚州/洛杉矶

威胁类型：僵尸网络

病毒家族：fodcha

描述：这是一种DDoS僵尸网络木马，通过N-Day漏洞和Telnet、SSH弱口令进行传播。攻击者可控制被感染的“肉鸡”（联网终端）对互联网上的其它系统或设备发起DDoS攻击，导致关键信息基础设施或重要网络应用瘫痪，干扰破坏国计民生和社会公共秩序。

（二）恶意地址：a.foxnointel.ru

关联IP地址：92.223.30.136

归属地：美国/加利福尼亚州/洛杉矶

威胁类型：僵尸网络

病毒家族：fodcha

（三）恶意地址：93.157.106.238

归属地：保加利亚/索非亚州/索非亚

威胁类型：僵尸网络

病毒家族：mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDos）攻击。

（四）恶意地址：LOADINGBOATS.DYN

关联IP地址：89.36.160.67

归属地：波兰/马佐夫舍省/华沙

威胁类型：僵尸网络

病毒家族：catddos

描述：Catddos病毒家族主要通过IoT设备的N-Day漏洞进行传播，已公开样本包括CVE-2023-46604、CVE-2021-22205等，该恶意地址是相关病毒家族近期有效活跃的回连地址。

（五）恶意地址：95.214.27.194

归属地：荷兰/北荷兰省/阿姆斯特丹

威胁类型：僵尸网络

病毒家族：moobot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起分布式拒绝服务（DDos）攻击。

（六）恶意地址：dovahnoh1.duckdns.org

关联IP地址：88.227.180.194

归属地：土耳其/阿达纳省/塞伊汉

威胁类型：网络后门

病毒家族：Asyncrat

描述：该恶意地址关联多个Asyncrat病毒家族样本，部分样本的MD5值为0afe92d70093444605979eafa2afca4d和24d5b4b63fe3f30c9a399f0c76196104。该网络后门采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。该木马通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（七）恶意地址：134.122.138.230:7021

归属地：日本/东京都/东京

威胁类型：网络后门

病毒家族：SilverFox

描述：该恶意地址关联SilverFox病毒家族样本，其MD5值为bfc4b93fade57ead4fa15d37aef94760，相关样本通过钓鱼邮件进行传播，经变种伪装成企业内部应用软件诱骗用户下载点击。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网络和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向有关部门及时报告，配合开展现场调查和技术溯源。

两家公司违反《数据安全法》被郑州市网信办行政处罚

10月23日，郑州市网信办近期工作中发现，我市两家公司未履行网络安全保护义务，未采取必要的安全防护，导致大量敏感数据被窃取。郑州市网信办依据《数据安全法》分别对两家公司作出责令改正，给予警告，并处人民币5万元罚款的行政处罚。

案例一：经调查核实，我市某互联网信息服务有限公司在数据库中配置增加了远程登录空口令账户，导致黑客利用该空口令账户成功登录数据库，并窃取了数据库中的数据，被窃取的数据包含姓名、身份证号、手机号、邮箱地址等敏感信息。该公司在网络安全意识方面淡薄，未建立健全全流程数据安全管理制度，未采取相应的技术措施和其他必要措施保障数据安全，造成部分敏感数据泄露。针对以上违法情况，郑州市网信办依据《数据安全法》第二十七条、第四十五条，对该互联网信息服务公司作出责令改正，给予警告，并处人民币5万元罚款的行政处罚。

案例二：经调查核实，我市某科技有限公司缺乏网络安全意识，没有正确配置数据库，导致数据库存在未授权访问漏洞。攻击者通过漏洞登录数据库，查看、下载数据，导致敏感数据泄露。该公司系统访问日志功能未开启、重要的通联日志留存不足六个月，数据库系统配置不当，存在未授权访问漏洞，在网络安全管理方面存在缺失，未能按照《数据安全法》要求对企业重要数据进行分级分类管理，系统日志存储时未对用户个人敏感信息进行脱敏处理，存在安全风险。针对以上违法情况，郑州市网信办依据《数据安全法》第二十七条、第四十五条，对该科技公司作出责令改正，给予警告，并处人民币5万元罚款的行政处罚。郑州市网信办相关负责人强调，数据安全关乎人民群众切身利益，关乎国家安全和社会稳定。开展数据处理活动的企业和个人，应当依法完善相关制度，采取相应措施，保障数据安全。发现数据安全缺陷、漏洞等风险事件时，企业应当立即采取补救措施，并按照规定及时向网信部门报告。下一步，郑州市网信办将切实贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求，持续加强网络安全、数据安全和个人信息保护工作，督促企业切实履行好主体责任。郑州市网信办将针对数据安全保护义务履行不力，造成重要数据泄露风险的违法违规行为加强监督检查和执法，进一步营造安全稳定的网络环境。

广东公安公布打击整治网络黑灰产典型案例

10月23日消息，今年以来，广东省公安机关持续深入推进“净网2024”专项行动，坚持以打开路、以打促管、以打促治，重拳打击利用技术手段搭建发卡平台非法出售网民账号、非法获取网民账号、开发销售外挂软件等一系列突出犯罪，共侦破相关案件1328起，刑事拘留1489人，打击整治工作取得阶段性成效。广东省公安厅公布10起典型案例。

一、珠海公安机关侦破一起利用酒店设备搭建VOIP设备的帮助信息网络犯罪活动案

2024年1月，珠海覃某等人在一酒店内利用语音网关和路由器连接酒店房间固话线路组成简易VOIP设备为境外诈骗团伙搭建通话线路。属地公安机关刑事拘留5人，缴获用于搭建VOIP设备一套，初步核破涉诈案件5宗。

二、肇庆公安机关侦破一起“恶意索赔”的侵犯公民个人信息案

2024年3月，肇庆曾某某等人非法购买公民个人信息注册某电商平台账号，再利用“爬虫”信息采集软件筛选无人管理的店铺大量下单购物，以超时不发货为由恶意投诉商家进行索赔获利。属地公安机关刑事拘留4人，查获黑客爬虫软件4个、各类公民个人信息数据1.1万条，涉案金额150余万。

三、东莞公安机关破获一起架设“猫池”从事养号卖号的侵犯公民个人信息案

2024年3月，东莞陈某某等人非法生产销售“猫池”设备，通过卡商或中介获取大量实名注册手机卡，利用“猫池”设备和配套管理平台批量提供手机验证码和注册网络账号，为境外诈骗团伙等提供账号供应，严重破坏网络管理秩序，损害人民群众信息和财产安全。属地公安机关刑事拘留39人，缴获涉案手机号9000余个。

四、东莞公安机关破获一起开发销售网约车抢单外挂软件的提供侵入、非法控制计算机信息系统程序、工具案

2024年4月，东莞陈某等人通过开发网约车平台抢单外挂，实现网约车自动抢单功能，并以多级代理的形式在网络上销售抢单外挂非法牟利，涉案金额约300万元，严重破坏了网约车市场的管理秩序和公平竞争环境。属地公安机关刑事拘留6人。

五、惠州公安机关破获一起为开设赌场提供技术支持的帮助信息网络犯罪活动案

2024年4月，惠州田某等人创设黑灰产“XX工作室”，出售“算账机器人”“群托机器人”、QQ号等用于开设赌场的平台工具，并提供售后服务。属地公安机关成功打掉该工作室，刑事拘留2人，同时一举抓获下游赌博团伙20余个，刑事拘留101人。

六、江门公安机关侦破一起售卖虚拟定位软件的提供入侵、非法控制计算机信息系统程序、工具案

2024年4月，江门张某等人非法销售具有篡改目前主流网络通联软件平台位置数据功能的黑客类程序工具，为违法犯罪人员实施网络诈骗、网络招嫖等违法犯罪行为提供技术帮助。属地公安机关刑事拘留3人、取保候审2人，涉案金额约500万元。