新闻速览

国家密码管理局公示新一批通过商用密码安全性评估业务资质审查机构名单

日前，按照《商用密码管理条例》、《商用密码检测机构管理办法》有关规定，国家密码管理局组织对新一批商用密码检测机构（商用密码应用安全性评估业务）资质申请材料进行了审查，并将通过材料审查的机构名单予以公示。公示时间为：自2024年5月28日起，至5月30日止，逾期不再受理。

公示期间，任何机构及个人均可通过申请机构所在地省、自治区、直辖市密码管理部门向   国家密码管理局实名提出书面意见（以邮寄方式提交意见的，提交时间以寄出时间为准）。所提意见需以纸质形式提供，加盖机构公章或个人签字，附机构身份证明文件或个人身份证复印件，以及相关佐证材料和联系方式。本次公示不接受匿名反映情况。

通过商用密码检测机构
（商用密码应用安全性评估业务）资质申请材料审查的机构名单
（排名不分先后）

北京市（联系电话：010—55566259）

北京全路通信信号研究设计院集团有限公司

公安部网络安全等级保护评估中心

国家电子政务外网管理中心

国网计量中心有限公司

应急管理部大数据中心

吉林省（联系电话：0431—88902719）

吉林省赛宝信息服务有限公司

黑龙江省（联系电话：0451—58009933）

哈尔滨安信咨询有限公司

信安（黑龙江）密码检测中心有限公司

上海市（联系电话：021—64337761）

国家网络与信息系统安全产品质量检验检测中心

江苏省（联系电话：025—83391675）

苏州市软件评测中心有限公司

福建省（联系电话：0591—87812717）

厦门云辰安技术有限公司

湖北省（联系电话：027—66995307）

湖北金同方节能智控有限公司

广东省（联系电话：020—87196254）

广州华南检验检测中心有限公司

海南省（联系电话：0898—65334941）

   海南神州希望网络有限公司

西藏自治区（联系电话：0891—6317222）

国信金宏信息咨询有限责任公司

上策信息技术有限公司

西藏云顶信息科技有限公司

青海省（联系电话：0971—8482403）

青海信安正创检测技术有限公司

新疆维吾尔自治区（联系电话：0991—2381128）

固平信息安全技术有限公司

原文链接：

https://www.sca.gov.cn/sca/xwdt/2024-05/28/content_1061191.shtml

网信部门公开曝光第四批涉公共政策、突发案事件、社会民生领域网络谣言典型案例

近期，一些网络账号臆测编造公共政策、虚构突发案事件、捏造社会民生领域谣言，严重误导公众认知，引发群众恐慌担忧，扰乱社会秩序。网信部门指导网站平台持续加大监测和处置力度，及时溯源并关闭谣言首发账号，今年以来，累计处置违法违规账号10859个。部分典型案例通报如下：

　1.“我国社保基金都交给外资机构管理”谣言。近日，网上有消息称我国社会保险基金“几乎全部交给外资机构管理”，且被用于“买卖A股”，质疑社保基金成为“外资套利的工具”。经中国互联网联合辟谣平台向有关主管部门核实查证，相关言论均为不实信息。微信平台“Lhq11”、小红书平台“没有对错，没有高低，只有层次”等账号已被依法依约关闭。

　　2.“贵州‘中国天眼’变成‘垃圾场’”谣言。有网民发布图片，声称“耗资2.6亿美元在贵州大山里建造的天眼，变成了垃圾场！”对此，“贵州辟谣”官方微信公众号发文称，相关说法为谣传，网传图片实为美国波多黎各的阿雷西博天文台（Arecibo Observatory）于2020年12月发生彻底坍塌的画面。百度平台“小气的淇淇妈”等账号已被依法依约关闭。

　　3.“‘藏水入疆’工程将于9月正式开工”谣言。近日，一则“定了！‘藏水入疆’红旗河工程于今年（2024年）9月15日正式开工！”的消息在网上流传。经新疆维吾尔自治区和田地区水利局核查，目前未接到上级有关部门关于“藏水入疆”工程规划的通知，提醒网民凡是打着“藏水入疆”工程的幌子发布各类投资项目的帖文，均为虚假信息。抖音平台“用户9396481275128”、快手平台“未来可期60195”等账号已被依法依约关闭。

　　4.“单次住院不能超过15天，否则医保无法报销”谣言。针对网上出现“单次住院超过15天医保不能报销”的传言，国家医保局相关负责人表示，国家医保部门从未出台“单次住院不超过15天”之类的限制性规定。抖音平台“qgdx2021”、微博平台“道听途说者”等账号已被依法依约关闭。

　　5.“青海地区因洪水致数十人死亡上千人失踪”谣言。近日，有网民散播“青海地区因洪水数十人死亡上千人失踪”的信息。经当地公安机关查证，该信息纯属编造，已对造谣者依法予以行政处罚。微博平台“南凌喃”、快手平台“梦想成真86464”等账号已被依法依约关闭。

　　6.“新疆克拉玛依有风力机着火损失千万”谣言。有网民发布视频，称新疆克拉玛依突发风力机着火，损失达千万。经新疆克拉玛依市消防救援支队核实，视频内容为虚假信息，且该市近期未发生风力机起火事件。抖音平台“风电小哥”、快手平台“性名140322”等账号已被依法依约关闭。

　　7.“西安网约车被路政追赶致2死1伤”谣言。近日，关于“西安市华清路有无证网约车被路政部门追赶导致车祸，造成两死一伤”的视频在网上流传。经当地公安机关查证，视频真实情况为当地综合行政执法支队工作人员对交通事故被困人员进行救援，已依法对造谣者予以行政拘留。抖音“限量版白开水”、快手“归･零”等账号已被依法依约关闭。

　　8.“南京大行宫地铁站有人持枪行凶”谣言。网上有消息称“大行宫地铁站有人持枪行凶”“警察已经上地铁抓捕中”，引起广大网民关注和担忧。经南京市互联网辟谣平台与南京公安和南京地铁核实，未接到相关警情，该信息为谣言。微博平台“tsuki_desu_”等账号已被依法依约关闭。

　　9.“‘体考神器’喝一口就能及格”谣言。网上出现“体测专用，跑步更快”“冲刺体测，快人一步”等氮泵类产品信息，号称可以帮助参考学生提高体育成绩。据新华社调查，在体考时服用此类产品对成绩提升的帮助并不大，更多是起到心理安慰作用，而且服用过量可能会出现不良反应，对体考成绩和身体健康造成不良影响。快手平台“A-晚安田径（高品质）”等账号已被依法依约关闭。

来源：“网信中国”微信公众号

原文链接：

https://mp.weixin.qq.com/s/9ZROXV2FidyietIYJ8SGhQ

CISA 将Apache Flink 安全缺陷添加到 KEV目录，已存在数年

近日，据The Hacker News报道，CISA将Apache Flink 的一个多年前的安全缺陷 CVE-2020-17519 列入了"已知被利用缺陷"(KEV)目录，并敦促联邦机构在 6 月 13 日之前修复该缺陷。

这个缺陷影响了 Apache Flink 1.11.0、1.11.1 和 1.11.2 版本，允许攻击者读取 JobManager 本地文件系统上的任何文件，并通过目录遍历请求进行未经授权的数据访问。尽管攻击细节没有公开披露，但Palo Alto Networks Unit 42 团队曾在 2020 年 11 月至 2021 年 1 月期间发现该缺陷被广泛利用。该团队还观察到包括 CVE-2020-28188 和 CVE-2020-29227 在内的其他新兴缺陷利用行为在同期持续出现。

原文链接：

https://www.scmagazine.com/brief/cisa-adds-years-old-apache-flink-bug-to-kev-catalog

GDPR累计罚款金额超350亿元

根据网络安全公司NordLayer的研究统计，自GDPR法案正式实施以来，欧盟各国数据保护机构共发布了2，072项违规处罚决定，相关受罚企业共支付了超过45亿欧元（约合350亿元人民币）的罚款。

其中，西班牙企业违规842次，支付了8千万欧元的罚款；意大利企业受到358次罚款，支付近2.29亿欧元；德国企业则共收到186次罚款，支付5500万欧元。罗马尼亚企业收到179次罚款，但仅支付了110万欧元。波兰企业也收到73次罚款，损失近400万欧元。在罚款金额方面，爱尔兰以28亿欧元的罚款金额最为突出，主要原因是许多大型科技公司（如Meta等）在那里设有分、子公司，并遭到了数亿欧元不等的重罚。

Meta公司是GDPR违规的最大违规者，遭受了欧盟十大最大罚款中的6项。其中最大一笔罚款高达12亿欧元，是因为2023年数据处理法律依据不足。另外还有两笔约4亿欧元的罚款，是由于未遵守一般数据处理原则。亚马逊在2021年支付了7.46亿欧元罚款，TikTok在去年支付了3.45亿欧元罚款。数据处理法律依据不足是最常见的违规原因，占635例，造成16亿欧元的罚款。未遵守一般数据处理原则的违规也有578例，罚款超过20亿欧元。

网络安全专家表示，实现并维持GDPR合规是一个持续的过程，企业需要保持积极主动的数据隐私和安全方法。

原文链接：

https://www.itpro.com/security/gdpr/firms-have-paid-out-more-than-dollar48-billion-in-gdpr-fines-since-2018

日本将启动主动网络安全防御战略计划

据报道，日本政府正在计划设立一个公私合作的咨询机构，以建立实施一个更加积极的主动网络安全防御计划。这个新机构将作为一个统一的指挥中心，全面负责收集情报、分析风险、协调防御行动。根据计划，该机构将邀请铁路、电力、电信等关键基础设施运营商参与，利用他们的专业知识。他们将被要求分享网络风险信息和可能的应对措施，包括分析国际网络攻击案例。为加强协作，政府还考虑要求这些运营商安装监测传感器，实现实时信息共享。

除此之外，政府还寻求扩大在网络攻击时访问和中和攻击者服务器的权力，同时计划建立一个公私合作的网络威胁信息共享机构，要求关键基础设施运营商参与并报告相关事件。这些举措旨在通过促进信息交流和协调响应，提高国家整体网络安全防御能力。

原文链接：

https://cybersecuritynews.com/japan-launches-active-cyber-defense-system/

攻击者利用古老的扫雷游戏代码攻击欧美金融目标

攻击链

此外，扫雷代码包含一个名为“create_license_ver”的函数，该函数被重新用于解码和执行隐藏的恶意代码，因此使用合法的软件组件来掩盖和促进网络攻击。对 base64 字符串进行解码以组装一个 ZIP 文件，该文件包含用于 SuperOps RMM 的 MSI 安装程序，最终使用静态密码提取并执行该安装程序。

SuperOps RMM 是一种合法的远程访问工具，但在这种情况下，它用于授予攻击者对受害者计算机的未经授权的访问权限。CERT-UA 指出，未使用 SuperOps RMM 产品的组织应将其存在或相关网络活动（例如对“superops.com”或“superops.ai”域的调用）视为黑客入侵的标志。

原文链接：

https://www.bleepingcomputer.com/news/security/hackers-phish-finance-orgs-using-trojanized-minesweeper-clone/

500GB印度警察和军方生物识别数据被泄露

近日，印度大选期间发生了一起重大数据泄露事件。一个未加密的数据库被发现包含了数百万印度公民的敏感生物识别信息，引发了严重的隐私和安全问题。据报道，这个数据库总共包含1，661，596个文件，高达496.4GB。

其中，不仅有警察、军人、教师和铁路工人的指纹、面部扫描、签名等生物特征信息，还有他们的出生证明、电子邮件地址、就业申请和学历证书等重要个人资料。更为关键的是，数据库中还有284，535个警察和执法人员的体能测试(PET)文件，包含签名图像、应用程序和安装数据等。

这些记录来自两家印度公司:ThoughtGreen Technologies和Timing Technologies，这两家公司均提供应用程序开发、RFID技术和生物识别验证服务。目前还不清楚这个数据库属于哪家公司，同日，公众对这个数据库的访问被限制。但数据库被暴露的时间长短以及生物识别记录是否被未经授权的人访问仍然不明，需要进行内部溯源审查，确定是否发生了任何可疑活动。

原文链接：

https://www.hackread.com/data-leak-indian-police-military-biometric-data/

针对VMware ESXi基础架构的勒索软件攻击采用新模式

日前，网络安全公司Sygnia的专家指出，瞄准虚拟化环境(特别是VMware ESXi)的勒索软件攻击者在策略上出现了明显变化。Sygnia的事故响应团队注意到，这类攻击呈现上升态势，攻击者正利用虚拟化平台的配置错误和缺陷来放大攻击影响。Sygnia的分析发现，LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt等知名勒索软件团伙经常利用这种攻击方式。

这些攻击者采用了一种新的攻击模式，在加密目标系统之前先进行数据窃取。他们的作案手法是：首先进入虚拟化环境，提升权限，进行广泛侦察以识别有价值的数据。然后，窃取这些数据，并加密现有文件，同时公开被盗信息以对目标组织造成声誉损害。这些攻击者在勒索软件执行阶段采取了独特的行动，调查发现，他们在启动加密过程之前会关闭所有虚拟机，并瞄准ESXi文件系统中的"/vmfs/volumes"文件夹，这种做法可确保造成最大破坏，使受害者的恢复工作更加困难。

原文链接：

https://cybersecuritynews.com/ransomware-attacks-targeting-vmware-esxi-infrastructure-adopt-new-pattern/

新型 ShrinkLocker 勒索软件利用 Microsoft BitLocker 进行文件加密

近日，根据The Register媒体报道，钢铁行业、疫苗制造行业以及墨西哥、约旦和印度尼西亚的政府实体，都遭受了由新型 ShrinkLocker 勒索软件进行攻击的事件。

Kaspersky全球应急响应团队报告指出，这种攻击首先通过获得代码执行权限，然后交付 ShrinkLocker 恶意软件，它利用VBScript 确定操作系统版本、执行磁盘调整活动，并确保恶意软件执行。在修改分区标签和交付解密密钥后，ShrinkLocker 会删除本地密钥，并在关闭受感染系统前删除系统日志。

研究人员建议，通过实施托管检测和响应解决方案、限制用户权限、使用强大的凭据并确保频繁备份数据以及监控关键系统活动等方式，来缓解此类威胁。

原文链接：

https://www.scmagazine.com/brief/novel-shrinklocker-ransomware-exploits-microsoft-bitlocker

犯罪分子利用云服务平台大规模实施短信诈骗攻击

总部位于瑞典斯德哥尔摩的软件安全公司 Enea 的威胁情报部门发现了一个令人担忧的趋势：网络犯罪分子正在利用云系统进行短信诈骗，包括短信钓鱼或短信网络钓鱼，根据该公司威胁情报团队的调查，Amazon S3、Google Cloud Storage、Backblaze B2 和 IBM Cloud Object Storage 等云存储服务正被利用将用户重定向到恶意网站，通过短信窃取他们的信息。

攻击通常始于一条看似无害的短信（SMS），诱导用户点击链接。这些链接会将用户重定向到伪装成合法网站的恶意网页，通常托管于 Google Cloud Storage 等云存储服务上。攻击者使用"HTML meta refresh"技术实现自动刷新和重定向。这些伪造网站旨在窃取用户的个人和财务信息，如提供赠品卡等手段来诱骗用户泄露隐私数据。安全公司还发现，攻击者还在 Amazon Web Services (AWS)、IBM Cloud 和 Blackblaze B2 Cloud 等云存储服务上托管相同性质的恶意网站。

由于这些恶意链接使用了知名云服务商的域名，很难被检测和阻止。因此用户需提高警惕，谨慎对待可疑短信链接，在输入任何个人信息前检查网站的合法性，并启用多重身份验证等安全措施。

原文链接：

https://www.hackread.com/cloud-services-malicious-sites-redirect-sms-scams/

虚假的 Pegasus 间谍软件源代码在暗网中泛滥

近日，网络犯罪分子正在滥用NSO集团Pegasus间谍软件的声誉，在暗网上大量销售虚假的Pegasus源代码。根据网络安全公司CloudSEK的调查，这些犯罪分子正在向受害者出售随机生成的源代码，谎称它们是真正的Pegasus源代码，并以超过100万美元的高价出售。

CloudSEK 的调查是在苹果公司最近警告 92 个国家用户可能遭受"雇佣间谍软件"攻击之后开始的。CloudSEK 的安全研究员阿努什·沙尔马表示，地下势力的蓄意曲解和滥用 Pegasus 的名称、标识和身份，导致人们对这一工具的真实能力和来源产生了大量错误认知，这使得对网络攻击事件的归因更加困难。CloudSEK 的调查显示，这些犯罪分子正在通过在即时通讯平台 Telegram 等渠道大量发帖，声称出售真正的 Pegasus 源代码来进行非法牟利。这种有系统的利用 Pegasus 名声的行为，进一步加剧了对该间谍软件来源和使用情况的不确定性。

原文链接：

https://www.csoonline.com/article/2121480/fake-pegasus-spyware-source-code-floods-dark-web-report.html