要聞速覽

1、國務院、中央軍委公布實施《重要軍工設施保護條例》

2、《網(wǎng)絡安全標準實踐指南——個人信息保護合規(guī)審計要求》發(fā)布

3、國家互聯(lián)網(wǎng)應急中心提醒：防范 “游蛇”黑產(chǎn)攻擊活動的風險

4、工信部：關(guān)于防范PupkinStealer惡意軟件的風險提示

5、超1.84億條賬號密碼泄露，涉微軟、蘋果等巨頭

6、西班牙漢堡王備份系統(tǒng)遭遇RCE漏洞威脅，黑客4000美元叫賣訪問權(quán)限

一周政策要聞

國務院、中央軍委公布實施《重要軍工設施保護條例》

國務院、中央軍委日前公布《重要軍工設施保護條例》（以下簡稱《條例》），自2025年9月15日起施行。《條例》旨在保護重要軍工設施的安全，保障重要軍工設施的使用效能和軍工科研、生產(chǎn)等活動的正常進行，加強國防現(xiàn)代化建設?！稐l例》共7章51條，主要規(guī)定了以下內(nèi)容。

一是明確重要軍工設施范圍和各方責任。規(guī)定依法保護的重要軍工設施范圍，明確國務院有關(guān)部門、地方人民政府、有關(guān)軍事機關(guān)及重要軍工設施管理單位等的職責。

二是規(guī)范重要軍工設施保護區(qū)劃定。明確重要軍工設施通過劃定重要軍工設施保護區(qū)實施保護，規(guī)定重要軍工設施保護區(qū)范圍劃定、調(diào)整的程序及要求。

三是明確重要軍工設施的保護措施。規(guī)定重要軍工設施保護區(qū)應當采取管控進入等安全防護措施，明確重要軍工設施保護區(qū)外圍安全控制范圍的有關(guān)保護要求，并對利用重要軍工設施開展重大科研試驗活動等特殊情形的保護作出規(guī)定。

四是強化重要軍工設施管理單位責任義務。明確建立健全保護責任制、實施全過程安全管理、制定應急預案、開展安全保護風險評估等職責，并明確內(nèi)部治安保衛(wèi)等方面的要求。

五是加強各方面保障監(jiān)督。明確編制國民經(jīng)濟和社會發(fā)展規(guī)劃等應統(tǒng)籌重要軍工設施保護需要，強化行業(yè)主管部門和地方人民政府的監(jiān)督檢查、綜合治理責任。

《網(wǎng)絡安全標準實踐指南——個人信息保護合規(guī)審計要求》發(fā)布

根據(jù)《中華人民共和國個人信息保護法》《網(wǎng)絡數(shù)據(jù)安全管理條例》《個人信息保護合規(guī)審計管理辦法》等法律法規(guī)要求，為支撐個人信息保護合規(guī)審計工作，落實合規(guī)審計中專業(yè)機構(gòu)相關(guān)規(guī)定，全國網(wǎng)絡安全標準化技術(shù)委員會秘書處組織編制了《網(wǎng)絡安全標準實踐指南——個人信息保護合規(guī)審計 專業(yè)機構(gòu)服務能力要求》。

本《實踐指南》從基本條件、管理能力、專業(yè)能力、人員能力、場所與設備資源能力五個方面規(guī)范了專業(yè)機構(gòu)提供個人信息保護合規(guī)審計服務的能力要求，可用于規(guī)范專業(yè)機構(gòu)個人信息保護合規(guī)審計活動。

消息來源：全國網(wǎng)絡安全標準化技術(shù)委員會

關(guān)于發(fā)布《網(wǎng)絡安全標準實踐指南——個人信息保護合規(guī)審計 專業(yè)機構(gòu)服務能力要求》的通知

業(yè)內(nèi)新聞速覽

國家互聯(lián)網(wǎng)應急中心提醒：防范 “游蛇”黑產(chǎn)攻擊活動的風險

近期，CNCERT監(jiān)測到“游蛇”黑產(chǎn)團伙（又名“銀狐”、“谷墮大盜”、“UTG-Q-1000”等）組織活動頻繁，攻擊者采用搜索引擎SEO推廣手段，偽造Chrome瀏覽器下載站。偽造站與正版官網(wǎng)高度相似，極具迷惑性。用戶一旦誤信并下載惡意安裝包，游蛇遠控木馬便會植入系統(tǒng)。實現(xiàn)對目標設備的遠程操控，盜取敏感數(shù)據(jù)等操作。通過跟蹤監(jiān)測發(fā)現(xiàn)其每日上線境內(nèi)肉雞數(shù)（以IP數(shù)計算）最多已超過1.7萬。

“游蛇”自2022年下半年開始頻繁活躍至今，針對國內(nèi)用戶發(fā)起了大量攻擊活動，以圖竊密和詐騙。該黑產(chǎn)團伙主要通過即時通訊軟件（微信、企業(yè)微信等）、搜索引擎SEO推廣、釣魚郵件等途徑傳播惡意文件，其傳播的惡意文件變種多、免殺手段更換頻繁且攻擊目標所涉及的行業(yè)廣泛。

攻擊活動分析：

攻擊者搭建以“Chrome瀏覽器”為誘餌的釣魚網(wǎng)站，誘導受害者從網(wǎng)站下載惡意安裝包。

攻擊者搭建了多個釣魚網(wǎng)站，下載時又跳轉(zhuǎn)至多個下載鏈接，具體如下表所示。

下載的惡意安裝包是以“chromex64.zip”命名的壓縮包文件。

壓縮包存在兩個文件，其中chromex64.exe是一個文件解壓程序，另一個是正常的dll文件，但文件名以日月年格式命名，疑似惡意程序更新日期。

chromex64.exe運行后將默認在C:\Chr0me_12.1.2釋放文件。其中包含舊版本Chrome瀏覽器相關(guān)文件，由于該軟件不是正常安裝，導致瀏覽器無法正常更新。

同時會解壓程序在桌面創(chuàng)建快捷方式，但快捷方式中實際初始運行的是本次活動投放的惡意文件，攜帶參數(shù)運行，不僅啟動自身，還啟動Chrome瀏覽器進程，以掩蓋該惡意快捷方式功能。

對應路徑文件如下，采用dll側(cè)加載（白+黑）形式執(zhí)行。

在內(nèi)存中解密并執(zhí)行shellcode，該shellcode實質(zhì)為dll格式的Gh0st遠控木馬家族變種。

該dll加載后，連接C2地址duooi.com:2869，其中的域名是2025年2月19日注冊的，目前最新樣本主要請求該域名。

基于情報關(guān)聯(lián)域名解析的IP地址，發(fā)現(xiàn)攻擊者基于任務持續(xù)注冊域名，并硬編碼至加密的shellcode文件中，部分舊有域名也更換IP地址，樣本分析期間所有域名又更換了兩次解析IP地址。

樣本對應的ATT&CK映射圖譜：

ATT&CK技術(shù)行為描述表如下。

感染規(guī)模：

通過監(jiān)測分析發(fā)現(xiàn)，國內(nèi)于2025年4月23日至5月12日期間，“游蛇”黑產(chǎn)團伙使用的Gh0st遠控木馬日上線肉雞數(shù)最高達到1.7萬余臺，C2日訪問量最高達到4.4萬條，累計已有約12.7萬臺設備受其感染。每日境內(nèi)上線肉雞數(shù)情況如下。

防范建議：

請廣大網(wǎng)民強化風險意識，加強安全防范，避免不必要的經(jīng)濟損失，主要建議包括：

（1）建議通過官方網(wǎng)站統(tǒng)一采購、下載正版軟件。如無官方網(wǎng)站建議使用可信來源進行下載，下載后使用反病毒軟件進行掃描并校驗文件HASH。

（2）盡量不打開來歷不明的網(wǎng)頁鏈接，不要安裝來源不明軟件。

（3）加強口令強度，避免使用弱口令，密碼設置要符合安全要求，并定期更換。建議使用16位或更長的密碼，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個服務器使用相同口令。

（4）梳理已有資產(chǎn)列表，及時修復相關(guān)系統(tǒng)漏洞。

（5）安裝終端防護軟件，定期進行全盤殺毒。

（6）當發(fā)現(xiàn)主機感染僵尸木馬程序后，立即核實主機受控情況和入侵途徑，并對受害主機進行清理。

消息來源：國家互聯(lián)網(wǎng)應急中心 關(guān)于“游蛇”黑產(chǎn)攻擊活動的風險提示

工信部：關(guān)于防范PupkinStealer惡意軟件的風險提示

近日，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺（CSTIS）監(jiān)測發(fā)現(xiàn)信息竊取型惡意軟件PupkinStealer持續(xù)活躍，該惡意軟件可竊取瀏覽器憑據(jù)、即時通信會話及桌面文件等敏感信息，導致敏感信息泄露、賬號劫持及網(wǎng)絡橫向滲透等連鎖風險。

PupkinStealer惡意軟件首次發(fā)現(xiàn)于2025年4月，是一款基于.NET框架開發(fā)的信息竊取類惡意程序，具有特定的攻擊目標和危害特性。該惡意軟件利用即時通訊應用Bot API（即時通訊平臺的機器人接口）建立通信信道，規(guī)避流量檢測。植入系統(tǒng)后，PupkinStealer首先提取Chromium內(nèi)核瀏覽器的Local State文件獲取解密密鑰，通過Windows DPAPI（數(shù)據(jù)保護接口）破解存儲的賬戶密碼，隨后掃描桌面文件，竊取相關(guān)敏感數(shù)據(jù)，最終將數(shù)據(jù)壓縮為ZIP文件，嵌入受害IP、系統(tǒng)SID等元數(shù)據(jù)，經(jīng)由即時通訊應用外傳至攻擊者控制的機器人賬號。

建議相關(guān)單位及用戶立即組織排查，及時更新防病毒軟件，部署流量監(jiān)測系統(tǒng)識別異常API請求，強制實施文件完整性檢查，及時清理臨時目錄可疑文件，并通過部署多因素身份認證、定期開展攻擊演練等方式，提升釣魚郵件及篡改軟件安裝包的辨識能力，防范網(wǎng)絡攻擊風險。

消息來源：網(wǎng)絡安全威脅和漏洞信息共享平臺 關(guān)于防范PupkinStealer惡意軟件的風險提示

超1.84億條賬號密碼泄露，涉微軟、蘋果等巨頭

近期，安全研究員Jeremiah Fowler發(fā)現(xiàn)了一個公開暴露在互聯(lián)網(wǎng)上的Elastic數(shù)據(jù)庫，內(nèi)含1.84億條賬號登錄信息記錄，總數(shù)據(jù)量超過47GB。這些記錄包含了蘋果、臉書、谷歌等多個知名互聯(lián)網(wǎng)平臺的用戶賬戶信息以及來自美國、中國、澳大利亞等數(shù)十個國家政府相關(guān)賬號憑證。

安全研究員Jeremiah Fowler于2025年5月初首次發(fā)現(xiàn)該數(shù)據(jù)庫，但未能找到任何有關(guān)數(shù)據(jù)來源或所有者的信息。數(shù)據(jù)中的密碼字段使用葡萄牙語“Senha”標識，表明可能是攻擊者通過惡意軟件收集所得。
樣本分析顯示，數(shù)據(jù)中包含大量主流互聯(lián)網(wǎng)服務的登錄憑證，如臉書、谷歌、Instagram、Netflix、PayPal、亞馬遜、蘋果、Snapchat、Spotify、雅虎等平臺的賬號，另有部分.gov域名郵箱，關(guān)聯(lián)美國、澳大利亞、加拿大、中國、印度等多個國家政府機構(gòu)。

Jeremiah Fowler聯(lián)系了部分泄露郵箱地址，確認部分賬號真實存在。數(shù)據(jù)庫托管服務商World Host Group回應稱，該數(shù)據(jù)庫位于一臺由客戶自行管理的服務器上，目前已被關(guān)閉，并表示將配合執(zhí)法部門調(diào)查。
盡管數(shù)據(jù)庫已下線，尚無法確認在暴露期間是否已有他人訪問并濫用這些敏感信息。此次事件再次凸顯集中存儲敏感信息所帶來的單點泄露風險。

西班牙漢堡王備份系統(tǒng)遭遇RCE漏洞威脅，黑客4000美元叫賣訪問權(quán)限

威脅行為者#LongNight近日在黑客論壇上公開叫價4000美元，聲稱出售西班牙漢堡王備份基礎設施的遠程代碼執(zhí)行(RCE)訪問權(quán)限。該漏洞針對漢堡王使用的AhsayCBS備份系統(tǒng)。這是該公司數(shù)據(jù)管理基礎設施的關(guān)鍵組件，負責處理跨多個存儲平臺的敏感企業(yè)信息。
AhsayCBS平臺作為一個集中式備份服務器，具有網(wǎng)頁控制臺功能，管理著本地存儲系統(tǒng)、FTP/SFTP連接以及包括Amazon Web Services和Microsoft Azure在內(nèi)的主要云服務中的數(shù)據(jù)。這種綜合備份解決方案通常處理并存儲大量企業(yè)數(shù)據(jù)，使其成為尋求有價值信息或計劃勒索軟件攻擊的網(wǎng)絡犯罪分子的理想目標。據(jù)報道，約2.6太字節(jié)的敏感信息可能面臨風險。
此次漏洞銷售的時機和方式表明，威脅行為者對企業(yè)備份系統(tǒng)及其固有安全弱點有著詳細了解。該漏洞利用機制允許攻擊者在備份操作期間執(zhí)行任意代碼，特別是在備份過程的初始化和完成階段。備份操作通常以提升的系統(tǒng)權(quán)限運行，并且常常繞過標準安全監(jiān)控，為惡意代碼執(zhí)行創(chuàng)造了理想窗口。通過針對備份操作期間的執(zhí)行點，攻擊者可能訪問敏感數(shù)據(jù)流、修改備份完整性，或在不被傳統(tǒng)安全措施檢測到的情況下建立對企業(yè)網(wǎng)絡的持久訪問。

來源:本安全周報所推送內(nèi)容由網(wǎng)絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！