•工信部CSTIS提醒防范SafePay勒索病毒

•北京市通信管理局通报问题APP，有5款全网下架

•美国财政部遭黑客攻击

•美国医疗行业面临新网络安全法规，初始实施成本高达90亿美元

•黑客组织对意大利基础设施发起系列DDoS攻击

•80万辆大众电动汽车信息被曝泄露，配置错误引发安全隐患

•勒索组织号称攻破Altos数据库，官方声明

•Oracle  WebLogic Server上的一个漏洞PoC代码被公开，引发安全担忧

工信部CSTIS提醒防范SafePay勒索病毒

12月39日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发布《关于防范SafePay勒索病毒的风险提示》。根据风险提示，SafePay新型勒索病毒通过数据窃取和文件加密双重勒索机制开展攻击，可能导致数据泄露、业务中断等安全风险。

SafePay勒索病毒与LockBit勒索病毒密切相关，并深度借鉴INC和ALPHV/BlackCat等勒索病毒攻击策略。在数据窃取阶段，SafePay利用已知漏洞或弱口令实施攻击入侵，成功感染目标终端后，通过WinRAR、FileZilla等工具归档、盗取目标文件。在加密部署阶段，SafePay通过远程桌面协议（RDP）访问目标终端，利用PowerShell脚本实施文件加密、禁用恢复和删除卷影副本，对加密文件添加“.safepay”扩展名，并留下名为“readme_safepay.txt”的勒索文件。在攻击过程中，SafePay会通过COM对象技术绕过用户账户控制（UAC）和提升权限，采用禁用Windows Defender、字符串混淆、线程创建、重复安装卸载工具等机制规避检测。

CSTIS建议相关单位及用户立即组织排查，加强RDP等远程访问的安全管理，使用强密码和多因素身份验证，实施全盘病毒查杀，及时修复已知安全漏洞，谨慎警惕来源不明的文件，定期备份重要数据，防范网络攻击风险。

了解更多勒索攻击防护相关信息，请关注安全牛最新报告：

《勒索攻击防护技术应用指南（2024版）》报告发布

原文链接：

https://mp.weixin.qq.com/s/HOv0PDKbuce89xogLLpHEQ

北京市通信管理局通报问题APP，有5款全网下架

北京市通信管理局于2024年12月30日发布《北京市通信管理局关于问题APP的通报（2024年第十二期）》。

通告指出，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规，按照工业和信息化部工作部署要求，北京市通信管理局持续开展APP隐私合规和网络数据安全专项整治。现将存在侵害用户权益和安全隐患等问题的APP通报如下：

一、近期，北京市通信管理局通过抽测发现本市部分APP存在“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”等侵害用户权益和安全隐患类问题。截至目前，尚有1款APP未整改或整改不到位，现予以公开通报（详见附件1）。

二、2024年11月29日，北京市通信管理局通报本市部分存在侵害用户权益行为的APP并要求整改。截至目前，仍有5款APP未整改或整改不到位，现予以全网下架处置（详见附件2）。

原文链接：

https://mp.weixin.qq.com/s/ckD2Nqhdc5froKXy0KNsfQ

美国财政部遭黑客攻击

美国财政部近日遭遇了一起“重大”安全事件。报道称黑客通过其使用的第三方远程管理软件入侵了该部门的系统。

根据《纽约时报》的报道，美国财政部在一封致立法者的信中透露，负责其远程管理软件的公司BeyondTrust于12月8日通知该部门发生了数据泄露。黑客盗取了BeyondTrust用于保护其云服务的一个密钥，该服务用于远程提供财政部办公用户的技术支持。凭借该密钥，黑客绕过了安全措施，远程访问了这些用户的工作站以及他们所维护的一些未分类文件。

美国财政部表示，攻击发生后与美国网络安全和基础设施安全局（CISA）及联邦调查局（FBI）展开了合作。该部门发言人透露，受影响的BeyondTrust服务已被下线，目前没有证据表明黑客仍然能够访问财政部的系统或信息。

此次攻击可能与BeyondTrust本月早些时候披露的一个安全事件有关，该事件影响了使用其远程支持软件的客户。当时，BeyondTrust表示攻击源于其远程支持软件的API密钥被泄露，并立即撤销了该密钥，通知了已知受影响的客户，并在同一天暂停了相关实例。

了解更多供应链安全相关信息，请关注安全牛最新报告：

《软件供应链安全能力构建指南（2024版）》报告发布

相关链接：

https://www.theverge.com/2024/12/30/24332429/us-treasury-department-beyondtrust-hack-security-breach

美国医疗行业面临新网络安全法规，初始实施成本高达90亿美元

美国卫生与公众服务部（HHS）近日提议《健康保险可携性和责任法案》（HIPAA）新规，旨在应对该行业日益严重的勒索软件攻击和数据泄露问题。实施这些新规的成本不低，第一年可能会导致高达90亿美元的成本，接下来的两年则需60亿美元。

根据新规，美国各地的医疗服务提供者可能被迫加强其网络安全措施。这些提议包括实施多因素身份验证和对患者数据进行加密，以保护数据在发生泄露时的安全。此外，行业组织还需接受合规检查，以确保其网络符合网络安全规定。

这些提案是在该行业发生几起备受瞩目的数据泄露事件之后提出的，这些事件暴露了数亿美国人的数据并扰乱了治疗。其中，2024 年 2 月针对 UnitedHealth 子公司 Change Healthcare 的勒索软件攻击暴露了超过 1 亿人的个人数据，并导致药房服务和计费业务暂停。目前，这些提议正处于为期60天的公众评论期，医疗行业的相关企业可以对此提供反馈。

原文链接：

https://www.pcmag.com/news/us-healthcare-providers-may-be-hit-with-new-cybersecurity-rules

黑客租住对意大利基础设施发起系列DDoS攻击

黑客组织NoName057在圣诞节期间针对意大利基础设施发起了一系列DDoS攻击，目标包括马尔彭萨机场和利纳特机场等多个网站，造成访问问题。这些攻击并未对机场的运营造成影响。

NoName057自2022年3月以来活跃，针对全球的政府和关键基础设施组织展开攻击。该组织使用多种工具实施攻击，2022年9月，Avast研究人员观察到他们利用Bobik僵尸网络发起DDoS攻击。他们通常在地缘政治紧张时期加大攻击力度，例如其他国家对乌克兰的军事或外交支持增加。

此次攻击恰逢圣诞假期，具有战略意义。网络威胁者往往会选择在组织人员减少、响应时间较慢的假期或周末进行攻击，此时IT支持、网络安全和事件响应等关键团队的运作能力可能处于最低水平，使得及时发现、减轻和恢复攻击变得更加困难。

原文链接：

https://securityaffairs.com/172395/security/pro-russia-group-noname057-targets-italian-airports.html

80万辆大众电动汽车信息被曝泄露，配置错误引发安全隐患

大众汽车旗下的汽车软件公司Cariad近日曝出数据泄露事件，约有80万辆电动汽车的相关数据被公开，涉及车主的姓名及精确的车辆位置等信息。这些存储在亚马逊云中的数据在数月内未受到保护，使得任何具备基本技术知识的人都能追踪驾驶员的行踪或收集个人信息。

根据Cariad的一位代表所述，数据泄露是由于其在两个IT应用中的错误配置所致。据报道，道德黑客组织Chaos Computer Club（CCC）通过一名举报者获知这一漏洞，并在测试了不安全的访问后于11月26日向Cariad通报了这一问题。

泄露的数据库包含大众、Seat、Audi和Skoda等品牌车辆的相关信息，其中一些车辆的地理位置数据精确到几厘米。部分受影响的车辆属于汉堡警方的巡逻车队，其他则属于涉嫌情报机构的员工。Cariad在声明中强调，泄露的数据仅影响连接互联网并注册了在线服务的车辆，且黑客只有在绕过多个安全机制后才能访问这些数据。在收到负责任披露后，Cariad迅速采取了修复措施，并在CCC报告当天关闭了访问权限。

原文链接：

https://www.bleepingcomputer.com/news/security/customer-data-from-800-000-electric-cars-and-owners-exposed-online/

勒索组织号称攻破Altos数据库，官方声明

近日，Space Bears勒索软件组织声称已攻破法国科技公司Atos的数据库。当地时间2024年12月29日，Atos发表在其官网发表声明称，该公司经过初步分析证明，目前没有证据表明Atos/Eviden在任何国家的系统受到勒索软件攻击影响，也未收到任何赎金要求。

Space Bears采用双重勒索策略，即先封锁系统访问，然后要求赎金，并威胁公开被盗数据。Atos表示，其网络安全团队正在积极调查此事，并将及时更新信息。

了解更多勒索攻击防护相关信息，请关注安全牛最新报告：

《勒索攻击防护技术应用指南（2024版）》报告发布

原文链接：

https://www.techzine.eu/news/security/127441/hackers-claim-successful-attack-on-atos/

Oracle WebLogic Server上的一个漏洞PoC代码被公开，引发安全担忧

近日，Oracle WebLogic Server上的漏洞CVE-2024-21182概念验证（PoC）代码在GitHub上已公开发布。该漏洞允许未经身份验证的攻击者通过T3和IIOP协议远程入侵服务器。尽管Oracle已在2024年7月的关键补丁更新中修复了该漏洞，但PoC代码的公开引发了对其可能被恶意使用的担忧。

Oracle WebLogic Server广泛用于企业环境中部署基于Java的应用程序。该漏洞位于Oracle WebLogic Server的核心组件中，属于Oracle 融合中间件的一部分，影响版本包括12.2.1.4.0和14.1.1.0.0。由于其“易于利用”的特性，攻击者可以在几乎没有努力和无需提前身份验证的情况下进行攻击。一旦成功利用该漏洞，攻击者将能够未经授权访问敏感数据，甚至可能完全访问通过受损服务器可获取的所有数据。

被公开的PoC展示了攻击者如何利用该漏洞获取对Oracle WebLogic Server的未经授权访问。随着PoC的公开发布，网络安全专家建议组织必须优先进行修复，以降低与这一高危漏洞相关的潜在风险。

原文链接：

https://cybersecuritynews.com/oracle-weblogic-server-vulnerability-2/#google_vignette