要闻速览

1、工信部发布《工业控制系统网络安全防护指南》

2、全国信安标委发布7项网络安全推荐性国家标准计划

3、FBI披露最新骗局，已造成超5500万美元损失

4、DarkGate 恶意软件正在通过微软群聊进行大肆传播

5、施耐德电气遭勒索软件攻击重创，TB级数据泄漏

6、1.5亿条会员信息“裸奔”，知名火锅品牌被罚

一周政策要闻

工信部发布《工业控制系统网络安全防护指南》

近年来，随着信息技术的迅猛发展和工业化进程的加速推进，我国工业控制系统网络安全面临着前所未有的挑战。工业控制系统普遍存在安全防护措施不完善、漏洞众多的问题，容易受到黑客攻击、恶意软件入侵等威胁。不仅如此，工业控制系统往往与互联网相连，网络边界不清晰，容易受到外部攻击，对系统运行稳定性产生严重影响。

工业控制系统作为关键基础设施的重要组成部分，其稳定运行对于保障国家经济安全和社会稳定具有重要意义。为适应新型工业化发展形势，提高我国工业控制系统网络安全保障水平，指导工业企业开展工控安全防护工作，以高水平安全护航新型工业化高质量发展，工业和信息化部印发《工业控制系统网络安全防护指南》。

具体内容如下：

全国信安标委发布7项网络安全推荐性国家标准计划

近日，国家标准化管理委员会下达的推荐性国家标准计划中，包括7项由全国网络安全标准化技术委员会归口的标准项目，清单见附件。请项目所属工作组制定项目推进计划，并督促项目牵头承担单位按计划抓紧落实，在计划执行中要加强协调，广泛征求意见，确保标准质量和水平，按要求完成国家标准制修订任务。

业内新闻速览

FBI披露最新骗局，已造成超5500万美元损失

安全内参1月29日消息，美国联邦调查局（FBI）就快递服务被用于向技术支持和冒充政府诈骗的受害者收取金钱和贵重物品一事发出警告。

联邦调查局警告公众称：近期，有很多骗子诱导受害者，特别是老年人将资产变现为现金和/或购买黄金、白银或其他贵金属以保护他们的资金。然后犯罪分子会安排快递员与受害者本人见面，取走现金或贵金属。

这些骗子冒充自己是技术公司的技术支持人员、金融机构或美国政府的员工、美国政府官员等等，并声称受害者的金融账户已被泄露或受到迫在眉睫的威胁，让受害者尽快变现资产。受害者通常会被胁迫将资产兑换成现金或贵金属，或者被指示将资金汇给金属交易商，然后将其购买的金属直接运到受害者的住所。

骗子会安排快递员到受害者家中或各种公共场所取回钱款或贵金属。为了使诈骗进一步合法化，犯罪分子还可能向受害人提供密码，以验证与快递员的交易。

同时，骗子还会承诺将受害者的资产存入一个安全账户，然后就再也没有任何音讯，完成骗局的闭环。这种精心策划的骗局以弱势群体为目标，已经给无数受害者造成了重大经济损失。

联邦调查局警告称：自去年 5 月到 12 月，联邦调查局互联网犯罪投诉中心（IC3）发现此类活动的发生次数激增，已累计造成超过 5500 万美元损失。

如何防范诈骗企图：

为防范此类诈骗，联邦调查局建议，切勿向合法企业或美国政府机构寄送黄金或其他贵金属。并呼吁大家千万不要在接到这类电话后，就立刻把家庭住址信息告知陌生人，也不要和其见面寄送现金和其他贵重物品。

联邦调查局还分享了以下提示，以大大降低成为类似欺诈企图受害者的风险：

• 不要点击电脑上未经请求的弹出窗口、短信链接或电子邮件链接和附件。

• 不要联系弹出窗口、短信或电子邮件中提供的陌生电话号码。

• 不要应与您联系的不明人士的要求下载软件。

• 不要让不明身份的人访问您的计算机。

同时FBI敦促此类骗局的受害者立即向联邦调查局举报骗子，并提供尽可能多的犯罪分子信息，例如，他们的姓名、通信方式、使用的银行账户、用于购买通过快递服务发送给骗子的黄金的金属交易商名称等等。

去年 10 月，联邦调查局警告说，影响老年人的 "幽灵黑客 "诈骗案激增，仅去年1-6月的受害者损失就超过 5.42 亿美元。

联邦调查局早在去年就曾警告称有骗子冒充金融机构的退款支付门户网站，利用金融机构的信誉欺骗受害者，尤其是老年人。

消息来源：安全内参  https://www.secrss.com/articles/63371

DarkGate 恶意软件正在通过微软群聊进行大肆传播

据AT&T Cybersecurity 的研究显示，有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件，从而在受害者系统中安装 DarkGate 恶意软件。

据统计，攻击者现已发送了 1000 多个恶意 Teams 群聊邀请。一旦目标对象接受聊天请求，攻击者会诱骗他们下载一个使用双扩展名的文件，文件名为 "Navigating Future Changes October 2023.pdf.msi"，这是 DarkGate 常用的伎俩。

安装成功后恶意软件就会连接到其位于 hgfdytrywq[.]com 的命令控制服务器，Palo Alto Networks 已确认该服务器是 DarkGate 恶意软件基础架构的一部分。

由于在默认情况下，微软允许外部 Microsoft Teams 用户向其他用户发送消息，这才给了这种类型的网络钓鱼攻击可乘之机。

AT&T Cybersecurity 网络安全工程师Peter Boyle认为：除非日常的必要业务需使用，否则他建议大多数公司禁用 Microsoft Teams 中的外部访问，因为电子邮件相对来说是更安全、监控更严密的通信渠道。同时提醒用户警惕未经请求的信息来自何处。因为网络钓鱼的形式很多样，很可能不是那种典型的电子邮件钓鱼诈骗形式。

Microsoft Teams 拥有数量庞大的 2.8 亿用户，是威胁行为者眼中的一块“肥肉”。DarkGate 操作员正是利用这一点，通过 Microsoft Teams 推送恶意软件。

去年也出现过类似的活动，恶意行为者通过被入侵的外部 Office 365 账户和 Skype 账户发送包含 VBA 加载器脚本附件的消息来推送 DarkGate 恶意软件。

Storm-0324等初始访问代理借助名为TeamsPhisher的公开工具入侵企业网络，还利用Microsoft Teams进行网络钓鱼。尽管客户端保护措施本应阻止来自外部租户账户的文件传输，攻击者还是能够通过 TeamsPhisher 能够发送恶意有效载荷。

APT29 是俄罗斯对外情报局 (SVR) 的一个黑客部门，它利用这种方式攻击了全球数十个组织，包括政府机构。

DarkGate 恶意软件攻击激增：

自去年 8 月 Qakbot 僵尸网络被捣毁后，网络犯罪分子更多地转向 DarkGate 恶意软件加载器，将其作为初始访问企业网络的首选。

而就在 Qakbot 僵尸网络被攻陷之前，有一个自称是 DarkGate 开发者的人曾试图在一个黑客论坛上出售价值 10 万美元的年度订购服务。DarkGate 的开发者称，它包含隐蔽的 VNC、绕过 Windows Defender 的工具、浏览器历史记录窃取工具、集成的反向代理、文件管理器和 Discord 令牌窃取器等功能。

在开发者发布消息后，就出现了越来越多的 DarkGate 攻击事件，网络犯罪分子采用包括网络钓鱼和恶意广告等多种传播方式。

消息来源：FREEBUF  https://www.freebuf.com/news/391138.html

施耐德电气遭勒索软件攻击重创，TB级数据泄漏

近日，全球能源管理和自动化巨头施耐德电气近日遭遇重大勒索软件攻击，导致部分服务中断并泄露了大量机密数据。据悉，攻击发生于 1 月 17 日，针对公司旗下可持续发展业务部门，使用的勒索软件为 Cactus 变种。

Cactus 是一种新型勒索软件，于 2023 年 5 月首次被发现，其加密方式独特，可通过自我加密规避检测。更令人担忧的是，Cactus 拥有多种加密模式，包括快速模式。如果攻击者选择连续运行两种模式，文件将被双重加密，并带有两个文件扩展名。据悉，Cactus勒索软件组织在网络攻击期间窃取了数TB的公司数据，并威胁施耐德电气如不支付赎金，就会泄露被盗数据。攻击导致施耐德电气的部分资源顾问云平台瘫痪，至今仍处于中断状态。目前尚不清楚被盗的数据类型，但令人担忧的是，施耐德可持续发展业务部门掌握大量知名企业的合规敏感信息，因为该部门为企业客户提供咨询服务。施耐德电气可持续发展业务部门的客户包括Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛等知名企业。施耐德电气表示，公司正在进行修复工作，预计将在未来两个工作日恢复受影响系统的访问权限，并强调可持续发展业务部门的网络与集团其他部分隔离，此次事件不会影响其他部门。

消息来源：GoUpSec  https://baijiahao.baidu.com/s?id=1789595375440990883&wfr=spider&for=pc

1.5亿条会员信息“裸奔”，知名火锅品牌被罚

1月29日，上海市网信办通报称，已依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。记者通过采访了解到，作为火锅界“顶流”的某知名火锅连锁品牌赫然在列。

据上海市网信办通报，上述知名火锅连锁品牌违法违规行为集中体现在两个环节：在收集个人信息环节，其外送微信小程序仍在强制索取精准位置信息；在存储个人信息环节，其创设近30年来形成的1.5亿条会员个人信息以及18万条公司员工信息未加密存储，“多年来一直处于‘裸奔’状态”。

“这是对消费者最直接的风险，一旦信息发生了泄露，可能会造成无法挽回的损失。”上海市网信办相关负责人指出。

“裸奔”的会员信息：

据上海市网信办介绍，上述知名火锅连锁品牌违法违规行为的查实是在2023年10月底至11月。为切实巩固“亮剑浦江”个人信息权益保护专项执法行动成效，上海市网信办其间启动了“回头看”执法检查，该火锅品牌系执法检查对象之一。在对外发布的通报中，上海市网信办称，该火锅品牌1.5亿条会员个人信息及18万条员工信息未采取相应的加密措施。澎湃新闻进一步获悉，1.5亿条会员个人信息涉及的对象为该火锅品牌创设至今收集的中国大陆地区会员，主要为会员的手机号码、邮箱号码等。而18万条的员工个人信息甚至包括姓名、身份证号码、手机号码、家庭地址等在内的比较敏感的个人信息。公开资料显示，作为知名连锁品牌，该火锅品牌创设至今已近30年，在中国大陆地区的餐厅更是超过千家。对上述个人信息未加密、处于“裸奔”状态的隐患，据不愿透露姓名的业内专家分析，未加密的个人信息存在被“内鬼”等盗取的危险。而通过“内鬼”泄露而收集到的这些真实手机号码，能偷窥到会员的消费习惯。如果结合在“暗网”售卖的其他数据源，就能更精准地对用户进行画像。上海市网信办相关人员补充说，泄露的个人信息还有可能被用于电信诈骗，“通过对个人信息的分析研判，电诈涉案人员可以判断出你是否属于容易上当的特殊人群”。

失范的“超级管理员”：

如果说1.5亿条的会员个人信息和18万条的员工信息，因为未加密存在泄露的风险，那么该知名火锅连锁品牌超范围赋予的“超级管理员”则进一步加剧了信息泄露的风险。因为拥有最高权限和不受限制的完全访问权，所谓的“超级管理员”在设置时一般严控数量。澎湃新闻从上海市网信办了解到，在检查上述火锅品牌时，技术人员发现其会员运营管理平台的“超级管理员”账号竟然高达20余个。“企业运营系统设置的‘超级管理员’一般都在1-2名，且是专人专责管理。该火锅品牌明显存在操作权限分配不合理。”参与检查的技术人员告诉澎湃新闻，此举更是加剧了会员个人信息泄露风险，“会员个人信息泄露的概率一下子就会变成1:20以上”。对为何设置如此之多的“超级管理员”，该火锅品牌称是为了系统测试需要。至于18万条的员工个人信息，据介绍，该火锅品牌的人事系统部分账号同样可以查到包括身份证号码、家庭地址等在内的个人敏感信息。此外，澎湃新闻了解到，在收集个人信息环节，该火锅品牌外送微信小程序在填写收货地址信息时，还强制用户同意打开位置权限获取精准位置信息，否则无法添加收货地址，存在强制索取非必要权限问题。这一违法违规行为目前已完成整改。澎湃新闻日前点击其外送微信小程序中的“收货地址”一栏发现，当前相关小程序不再强制采集精准位置信息，用户已经可以手动选择地点或填写收货地址。

亟需提高的合规意识：

针对该火锅品牌查实的违法违规行为，上海市网信办相关负责人强调，企业提高个人信息安全保护的合规意识至关重要。“企业收集的信息量越大，收集信息内容越敏感，企业相应要承担的法律责任就应该越严格。而企业合规意识的缺失，就意味着消费者个人信息泄露的风险越大。”上海市网信办相关负责人同时表示，个人信息受法律保护、关乎切身利益，任何组织和个人不得侵害。此次上海市网信办通过发布典型案例，希望对行业对相关企业能起到“以案示警、以案为戒、以案促改”的警示教育意义，有助于各企业固强补弱，提高保护消费者个人信息的合规意识，切实履行个人信息保护的义务和法律责任。数据显示，2023年6月启动的“亮剑浦江”专项行动，上海市区两级网信、市场监管部门已累计检查企业6043家，依法对520余家企业进行约谈，查处各类个人信息保护案件50余件。上海市网信办表示，下一步将深入贯彻落实个人信息保护法等法律法规要求，持续加强个人信息保护工作，督促企业切实履行好主体责任，对问题严重、屡教不改的企业坚决予以依法查处。上海市网信办还提醒消费者，在日常点餐中可积极落实上海市网信办提出的“六不”建议，做到“隐私政策不告知不继续”“非必要个人信息不提供”“一键要号码不允许”“‘被’会员诱关注不冲动”“定向推营销广告不接受”。

消息来源：FREEBUF  https://www.freebuf.com/news/390992.html

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！