要闻速览

1、国家网信办公布《促进和规范数据跨境流动规定》

2、《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》发布

3、印度国防部被黑客打穿，泄露8.8GB数据

4、新型僵尸网络感染全球88个国家/地区，超6千台华硕路由器遭攻击

5、iPhone 用户注意了，新型 Darcula 网络钓鱼“盯上”你们了

6、越南头部券商遭黑后服务中断，当地股市交易量骤降10%

一周政策要闻

国家网信办公布《促进和规范数据跨境流动规定》

3月22日，国家互联网信息办公室公布《促进和规范数据跨境流动规定》（以下简称《规定》），自公布之日起施行。

国家互联网信息办公室有关负责人表示，数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。为了促进数据依法有序自由流动，激发数据要素价值，扩大高水平对外开放，《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。

《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》发布

为促进网络安全产品互联互通资产信息有效互通和整合，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》（以下简称《指南》），给出了网络安全产品互联互通时资产信息的描述格式，可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。

网络安全产品的互联互通不仅可以提高安全产品的协同能力，还可以加强对网络安全事件的监测和响应能力，进而提升整体网络安全防护水平。同时，资产信息的有效互通和整合也能够帮助企业更好地管理和保护其重要数据和资产，有效降低安全风险。

信息来源：全国网络安全标准化技术委员会https://www.tc260.org.cn/front/postDetail.html?id=20240325113218

业内新闻速览

印度国防部被黑客打穿，泄露8.8GB数据

3月27日，EclecticIQ 研究人员发布了一份报告称：黑客攻击了印度政府和能源公司，目的是传播一种名为 HackBrowserData 的开源信息窃取恶意软件。该软件能够在某些情况下利用 Slack 作为命令与控制（C2）泄露敏感信息。

据调查，这个信息窃取程序是通过伪装成印度空军邀请函的钓鱼邮件发送的。攻击者利用 Slack 作为外渗点，在恶意软件执行后上传机密内部文档、私人电子邮件信息和缓存的网络浏览器数据。

攻击链从包含 ISO 文件（"invite.iso"）的钓鱼邮件开始，该文件又包含一个 Windows 快捷方式（LNK），可触发执行安装在光盘镜像中的隐藏二进制文件（"scholar.exe"）。

今年 3 月 7 日，荷兰网络安全公司首次注意到这个攻击活动，该活动代号为 "FlightNight 行动"。其攻击的目标涉及印度多个政府机构，包括与电子通信、IT 管理和国防相关的多个组织。

据悉，黑客已经成功入侵了私营能源公司，并获取了财务文件、员工个人资料以及石油和天然气钻探活动的详细信息，攻击行动导致约 8.81 GB 的数据被泄露。

消息来源：FREEBUF  https://www.freebuf.com/news/396179.html

新型僵尸网络感染全球88个国家/地区，超6千台华硕路由器遭攻击

IT之家 3 月 27 日消息，网络安全公司 Black Lotus Labs 近日发布报告，近日追踪发现了名为“TheMoon”的恶意软件僵尸网络变种，已经感染了全球 88 个国家和地区的数千台 SOHO 路由器和物联网设备。

该公司研究人员表示，在 3 月初发现该恶意活动之后，追踪观测 72 小时内，发现有 6000 台华硕路由器成为攻击目标。

安全专家报告称在“TheMoon”活动中，黑客利用 IcedID 和 SolarMarker 等恶意软件，并通过代理僵尸网络来掩盖其在线活动。

研究人员没有说明攻破华硕路由器的具体方法，攻击者很可能利用了固件中的已知漏洞。攻击者还可能暴力破解管理员密码，或测试默认凭据和弱凭据。

设备一旦感染恶意软件之后，会检查是否存在特定的 shell 环境（"/bin/ bash"、"/bin/ ash" 或 "/bin/ sh"）。

如果检测到兼容 shell，加载器就会解密、丢弃并执行名为“.nttpd”的有效载荷，该有效载荷会创建一个带有版本号（目前为 26）的 PID 文件。

接下来，恶意软件会设置 iptables 规则，阻止 8080 和 80 端口上的 TCP 流量，同时允许来自特定 IP 范围的流量。这种策略可确保被入侵设备不受外部干扰。然后，恶意软件会尝试联系合法的 NTP 服务器列表，以检测沙盒环境并验证互联网连接。最后，恶意软件通过循环使用一组硬编码 IP 地址与命令和控制（C2）服务器连接，C2 则回复指令。在某些情况下，C2 可能会指示恶意软件检索其他组件，如扫描 80 和 8080 端口易受攻击网络服务器的蠕虫模块，或在受感染设备上代理流量的 ".sox" 文件。

消息来源：IT之家  https://m.ithome.com/html/758365.htm

iPhone 用户注意了，新型 Darcula 网络钓鱼“盯上”你们了

近日，研究人员发现一种名为 "Darcula "的新型网络钓鱼即服务（PhaaS）使用 20000 个虚假域名，盗取了大量 Android 和 iPhone 用户的凭证。

Darcula 目前已被用于针对全球 100 多个国家的各种服务和组织，涵盖了邮政、金融、政府、税务部门、电信公司、航空公司公用事业公司，为威胁攻击者提供了 200 多个“模板”供其选择。值得一提的是，Darcula 服务与其它类型的钓鱼服务有一些差别，它主要使用谷歌信息和 iMessage 的富通信服务（RCS）协议发送钓鱼信息（其它类型的钓鱼服务大都使用短信）。Darcula 服务放弃了传统的基于短信的策略，改为利用 RCS（Android）和 iMessage（iOS）向受害者发送带有钓鱼 URL 链接的信息，这样做收件人更容易上当。此外，由于 RCS 和 iMessage 支持端到端加密，因此无法根据其内容拦截和阻止网络钓鱼信息。

Netcraft 表示，全球范围内正在加紧通过遏制基于短信的网络犯罪活动的立法，以期推动 PhaaS 平台转向 RCS 和 iMessage 等替代协议，但这些协议都有自身的局限性。例如，苹果禁止账户向多个收件人发送大量信息，谷歌最近也实施了一项限制措施，禁止已 root 的安卓设备发送或接收 RCS 信息。然而，网络犯罪分子试图通过创建多个 Apple ID 和使用大量设备，从每个设备中发送少量信息来规避这些限制。此外，iMessage 中还有一项保护措施，即只有收件人回复了信息，才被允许点击 URL 链接。为了绕过这些防御措施，钓鱼信息指示收件人回复 "Y "或"1"，然后重新打开信息，点击链接。

研究人员强调，用户应该以怀疑的态度对待所有催促其点击 URL 链接的信息，尤其是在发件人不明确的情况下。

消息来源：安全圈  https://www.163.com/dy/article/IUD4UO1U0511A5GF.html

越南头部券商遭黑后服务中断，当地股市交易量骤降10%

安全内参3月28日消息，越南第三大证券经纪公司VNDirect（越南直接投资证券股份有限公司）在上周末遭遇网络攻击，目前正全力恢复运营。

尽管公司27日宣布部分服务已经恢复上线，但据当地媒体报道，投资者仍然无法登录平台。VNDirect计划分四个阶段逐步恢复各项在线服务，从客户账户开始，最后是金融产品。

由于部分系统刚刚恢复，访问量较大，VNDirect在Facebook上发布声明称，用户可能会遇到登录问题，建议“请耐心等待并再次刷新页面。”

截至当地时间27日晚些时候，VNDirect的官方网站仍然无法访问。

据路透社报道，本周以来，VNDirect的股价已经下跌了近4%。由于使用VNDirect的投资者无法交易，胡志明市证券交易所（简称HOSE或HSX）25日的交易量下降了10%。

消息来源：安全内参  https://www.secrss.com/articles/64786

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！