新闻速览

•公安部网安局提醒：警惕5种个税汇算骗局

•工信部CSTIS提醒：防范针对DeepSeek本地化部署实施网络攻击的风险

•NIST发布《评估差分隐私保证指南》

•5欧元二手硬盘藏15GB敏感医疗记录，数据安全警报再响

•安卓应用程序被曝偷偷追踪用户，谷歌涉嫌违反欧盟数据隐私法规

•恶意Chrome扩展伪装成密码管理器窃取敏感信息

•Akira团伙利用网络摄像头突破EDR防线

•Phantom Goblin新型恶意软件利用社会工程学盗取敏感数据

•新型勒索团伙SecP0出新招：威胁公开未披露软件漏洞

•CrowdStrike Falcon传感器可被绕过检测执行恶意应用

特别关注

公安部网安局提醒：警惕个税汇算5种骗局

公安部网安局发布公众号文章提醒，2025年3月1日起，2024年度个税汇算正式启动，一些不法分子可能会利用纳税人对退税流程的不熟悉，实施诈骗。以下是常见的5种退税骗局：

1. 不法分子会伪装成税务机关，通过短信或邮件发送“退税待领取”信息，诱导纳税人点击链接登录钓鱼网站，窃取个人信息。
2. 骗子声称可以帮忙多退税，但要求提供个税App账号密码、银行卡号等信息，并收取服务费。这种行为不仅可能导致资金被盗，还可能因虚假申报面临法律风险。
3. 骗子以“利用税收优惠政策”“减轻个人负担”为幌子，诱导纳税人填报虚假信息以增加退税金额。这种行为不仅可能被骗，还可能因虚假申报面临法律后果。
4. 骗子冒充税务稽查人员，通过电话或短信告知纳税人被列入稽查名单，要求转账到指定账户进行审查。税务稽查有严格程序，不会通过这种方式操作。
5. 骗子冒充税务机关工作人员，声称可以通过“人工退税绿色通道”加快退税到账速度，要求提供身份证、银行卡号等个人信息。这种行为是典型的诈骗手段。

针对以上骗局，公安部网安局提醒要坚持“不点陌生链接、不信特殊渠道“三不原则，并通过“个人所得税”官方App或税务部门官方网站进行申报。

原文链接：

https://mp.weixin.qq.com/s/SQ19Qr20gddKavTuMTgt1g

工信部CSTIS提醒：防范针对DeepSeek本地化部署实施网络攻击的风险

3月7日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发布《关于防范针对DeepSeek本地化部署实施网络攻击的风险提示》。根据风险提示，CSTIS监测发现，攻击者针对大语言模型DeepSeek本地化部署场景实施钓鱼攻击，传播恶意程序，危害严重。

攻击者通过“DeepSeek本地部署”、“深度求索”等高频关键词搜索引擎投毒，构建仿冒网站等方式，诱导用户下载伪造的DeepSeek本地部署工具包（如“ds大模型安装助手”、“deepseek_install”），传播HackBrian RAT、Gh0st和FatalRAT等木马程序。一旦被植入木马，攻击者可进一步控制用户服务器，导致窃取敏感信息、破坏系统数据，甚至入侵内部网络等严重危害。

CSTIS建议相关单位及用户优先通过官方渠道下载部署DeepSeek，加强来源不明软件的识别与防范，谨慎下载未知来源的应用程序，并通过更新防病毒软件、实施全盘查杀等方式全面排查消除相关安全风险。

原文链接：

https://mp.weixin.qq.com/s/pGJ3rHRbWB07BGCCp_AncA

热点观察

NIST发布《评估差分隐私保证指南》

美国国家标准与技术研究院(NIST)近日正式发布了《评估差分隐私保证指南》(NIST特别出版物800-226)。该指南旨在帮助组织更好地理解和评估”差分隐私”(Differential Privacy，DP)技术的功能，从而在数据分析中实现个人隐私保护与数据洞见获取的平衡。

差分隐私是一种通过添加随机”噪声”来掩盖个人身份的隐私增强技术，近年来已被大型科技公司和美国人口普查局等成功应用。尽管技术相对成熟，但缺乏标准可能会影响其有效使用和采用，而以错误的方式应用噪声可能会危及隐私或降低数据的有用性。为了帮助用户避免这些陷阱，新指南提供交互式工具、流程图，甚至代码示例，从而帮助决策，并展示不同的噪声级别如何影响隐私和数据可用性。

据悉，该指南在去年12月公开征求意见后，根据反馈进行了修订，语言更加精确，减少了歧义。

原文链接：

https://www.nist.gov/news-events/news/2025/03/nist-finalizes-guidelines-evaluating-differential-privacy-guarantees-de

5欧元二手硬盘藏15GB敏感医疗记录，数据安全警报再响

近日，荷兰技术爱好者Robert Polet在比利时一个跳蚤市场偶然发现了一批售价仅5欧元的二手硬盘，里面竟然存储着15GB的荷兰医疗记录数据，引发了对数据安全的担忧。

这些硬盘中存储了2011年至2019年期间的大量医疗数据，包括荷兰公民服务号码、出生日期、地址、处方，以及个人相关的医疗信息。据调查，这些数据来自一家已不复存在的IT公司Nortade ICT Solutions，该公司曾为医疗行业开发软件。但究竟是如何导致这些敏感数据最终流落到跳蚤市场，目前仍是个谜。Zivver公司的联合创始人兼CIO Rick Goud认为，这一事件反映了十年前一些处理医疗数据的组织并未高度重视数据保护；不过，近年来随着相关法规和标准的出台，企业对数据安全的风险意识有所提高。

专家呼吁，企业必须加强对数据处理流程的控制，并采取全面的技术措施，如加密、密钥管理、访问控制和数据脱敏等，以最大限度降低数据泄露风险。

原文链接：

https://www.itpro.com/security/data-breaches/its-your-worst-nightmare-a-batch-of-eur5-hard-drives-found-at-a-flea-market-held-15gb-of-dutch-medical-records-and-experts-warn-it-couldve-caused-a-disastrous-data-breach

安卓应用程序被曝偷偷追踪用户，谷歌涉嫌违反欧盟数据隐私法规

都柏林圣三一学院的一项研究揭示，谷歌在安卓设备上预装的应用程序在未经用户同意的情况下，偷偷追踪并收集大量用户数据，这一行为可能违反欧盟数据隐私法规。

研究人员使用谷歌Pixel 7手机运行Android 14系统，检测了谷歌Play服务、Play商店等预装应用在设备上存储的Cookie、标识符和其他数据。结果显示，在设备恢复出厂设置后，即使用户尚未与任何 Google 应用程序交互，Google 服务器就已经开始向手机发送和存储多个跟踪标识符。这些标识符包括广告分析Cookie、用于跟踪广告展示和点击的链接，以及可唯一识别设备和用户的持久设备标识符。最令人关注的是，谷歌在存储任何这些数据之前从未征求用户同意，目前也没有选择退出跟踪的选项。

研究发现，谷歌使用了多种跟踪技术，如持久的谷歌Android ID、DoubleClick的DSID广告分析Cookie、嵌入了广告跟踪链接的Play商店搜索结果，以及NID Cookie、A/B测试服务器令牌和各种授权令牌等。这些技术使 Google 能够有效地将用户静默登录到多个 Google 服务中。

研究员表示，用户目前几乎无法控制应用在安卓手机上存储的数据，主要的缓解措施是禁用谷歌Play服务或Play商店应用。

原文链接：

https://cybersecuritynews.com/google-silently-tracks-android-device/

网络攻击

恶意Chrome扩展伪装成密码管理器窃取敏感信息

研究人员发现，一种新发现的”多态”攻击手段允许恶意Chrome扩展伪装成其他浏览器扩展，包括密码管理器、加密钱包和银行应用程序，从而窃取敏感信息。发现这一攻击方式的SquareX Labs警告称，该攻击在最新版Chrome上具有实际可行性。

攻击始于在Chrome网上应用商店提交恶意的多态扩展程序。以AI营销工具为例，它提供承诺的功能，诱使受害者安装并固定该扩展。恶意扩展随后滥用”chrome.management” API获取其他已安装扩展的列表。如无该权限，还可通过资源注入网页的方式实现同样目的。获取目标扩展列表后，攻击者命令恶意扩展模仿目标扩展。SquareX演示了模仿1Password密码管理器扩展的过程：首先禁用正版扩展，同时切换恶意扩展的图标和名称，显示伪造的登录弹窗。当用户尝试登录网站时，会弹出”会话已过期”的虚假提示，诱使用户重新登录并输入凭据，凭据将被发送给攻击者。一旦获取敏感信息，恶意扩展将恢复原貌，正版扩展也会重新启用，使一切看起来正常。

SquareX建议谷歌采取措施防范此类攻击，如阻止已安装扩展的图标和HTML突然变更，或至少通知用户此类变化。但目前尚无防御手段。

原文链接：

https://www.bleepingcomputer.com/news/security/malicious-chrome-extensions-can-spoof-password-managers-in-new-attack/

勒索软件团伙利用网络摄像头突破EDR防线

近日，网络安全公司S-RM在一次事件响应中发现，Akira勒索软件团伙采用了一种不寻常的攻击方法，利用一台不安全的网络摄像头对受害者网络进行加密攻击，成功绕过了端点检测和响应（EDR）系统。

Akira最初通过远程访问解决方案获取了目标公司的网络访问权限，之后部署AnyDesk远程工具窃取数据，再利用远程桌面协议(RDP)横向移动，尽可能多地感染系统。虽然尝试部署的加密程序随后被EDR拦截隔离，但他们发现了一个未修补的网络摄像头漏洞可被利用。该网络摄像头运行Linux系统，且未部署EDR代理。Akira利用摄像头远程执行shell命令，挂载Windows SMB网络共享，并在摄像头上启动Linux加密程序，通过SMB协议加密网络共享中的文件，从而绕过了EDR的防护。由于摄像头未受监控，受害者无法发现来自摄像头的大量恶意SMB流量，Akira最终成功加密了受害者网络中的文件。

该案例表明，EDR并非万能的安全解决方案。此外，物联网设备存在重大风险，应与生产服务器和工作站等敏感网络隔离。同时，所有设备的固件都应定期更新，修补已知漏洞。

原文链接：

https://www.bleepingcomputer.com/news/security/akira-ransomware-encrypted-network-from-a-webcam-to-bypass-edr/

Phantom Goblin新型恶意软件利用社会工程学盗取敏感数据

网络安全公司Cyble近日发现并分析了新型恶意软件Phantom Goblin活动，该活动利用信息窃取技术和社会工程学手段欺骗受害者，窃取敏感数据。

该恶意软件诱骗用户执行伪装的LNK文件，从而触发一系列旨在提取和窃取敏感数据的有效载荷。最初感染往往始于一个包含恶意LNK文件的欺骗性RAR压缩包。该文件被巧妙命名为合法文档如PDF，诱使用户点击。执行后，LNK文件运行PowerShell脚本，从GitHub下载其他有效载荷，并通过注册表实现持久化。一旦安装，该恶意软件将注意力转向Web浏览器，试图提取Cookie和登录凭据。它使用了一种绕过Chrome应用绑定加密(ABE)的技术，能在不触发用户警报的情况下收集浏览器数据。

Phantom Goblin通过部署名为”vscode.exe”的恶意二进制文件，在受损机器上创建VSCode隧道，使攻击者能够远程控制系统并绕过传统安全机制。该恶意软件还利用Telegram机器人API将窃取的信息发送到远程Telegram频道，确保数据被安全、隐蔽地窃取。为确保持久存在和规避检测，攻击者将有载荷伪装成合法软件，如”updater.exe”或”browser.exe”。利用GitHub和PowerShell等可信服务下载有载荷，也使得传统杀毒软件难以识别恶意活动。

为应对”Phantom Goblin”等威胁，专家建议实施电子邮件过滤、禁用VSCode隧道、限制PowerShell使用、加强浏览器安全以及部署终端保护解决方案等最佳实践。

原文链接：

https://thecyberexpress.com/phantom-goblin-malware/

新型勒索团伙SecP0出新招：威胁公开未披露软件漏洞

近日，新型勒索软件组织SecP0引起了网络安全界的高度关注。与传统勒索软件组织不同，SecP0采用了一种全新的勒索策略:不是加密受害者的数据，而是威胁公开未披露的软件漏洞，除非支付赎金。

据PRODAFT的报告，SecP0声称已发现多个应用广泛的企业软件平台中的关键漏洞，其中包括密码管理工具Passwordstate。该组织在其暗网博客上宣称，他们发现Passwordstate的数据库结构，特别是”Passwords”表中存在加密薄弱问题。通过威胁公开这些技术细节，SecP0向组织施压，要求其满足勒索要求。这种新策略给组织带来了更大的风险。如果SecP0公开未修复的零日漏洞，其他恶意行为者可能会利用这些漏洞在全球范围内入侵系统。此外，广泛使用的企业工具中的漏洞可能会通过供应链影响多个组织。

网络安全专家建议组织采取以下措施来应对这一新兴威胁：实施主动的漏洞管理，包括持续的漏洞扫描和补丁管理；加强行业间的威胁情报共享；确保正确实施强大的加密算法(如AES-256)；制定健全的事件响应计划，为可能的勒索尝试做好准备。

原文链接：

https://cybersecuritynews.com/secp0-ransomware-threatens-organizations/

CrowdStrike Falcon传感器可被绕过检测执行恶意应用

安全公司SEC Consult的研究人员近日发现，CrowdStrike Falcon传感器存在一个重大漏洞。这个被称为”睡美人”的漏洞允许攻击者绕过检测机制并执行恶意应用程序。

攻击者在获得Windows机器上的NT AUTHORITY\SYSTEM权限后，可以使用Process Explorer暂停CrowdStrike Falcon传感器进程，虽然系统禁止终止这些进程。这导致了一个重大的安全漏洞。当Falcon传感器进程被暂停时，通常会被终止或删除的恶意应用程序仍可自由执行并保留在磁盘上。SEC Consult在概念验证中演示了诸如winPEAS、Rubeus和Certipy等通常被CrowdStrike阻止的工具，在传感器进程被暂停时仍然不受阻碍地运行。技术分析揭示，传感器暂停时已经被挂钩的进程仍受到CrowdStrike内核进程的监督。这意味着某些高风险操作，如LSASS内存转储，仍会触发保护机制并使得违规应用程序被移除。

尽管CrowdStrike最初回应称这种行为”不构成传感器内的安全漏洞”，并且”暂停用户模式服务不会停止内核组件或传感器通信”。然而，到2025年，CrowdStrike悄悄实施了防止进程暂停的修复。

原文链接：

https://cybersecuritynews.com/researchers-bypassed-crowdstrike-falcon-sensor/