六方云 安全态势周刊丨第268期

1、煤炭信息技术产业发展报告 (2023)发布

9月26-27日，2023煤炭行业两化深度融合推进现场会暨“数字煤炭”建设发展论坛在淮南召开。会上，发布了《煤炭信息技术产业发展报告（2023）》。《报告》数据显示，2022年，煤炭信息技术产业呈持续高速发展态势，企业营业收入、利润总额和研发投入平均增幅继续保持了30%左右的增长，但指标增速较2021年小幅放缓。

https://www.secrss.com/articles/59445

2、单个漏洞利用链最高近1.5亿元

10月8日消息，一家收购并出售零日漏洞的公司出价2000万美元（约合人民币1.46亿元），向安全研究人员购买黑客工具，帮助该公司的客户入侵iPhone和安卓设备。这家名为Operation Zero的公司总部位于俄罗斯，于2021年成立。9月底，Operation Zero在Telegram和X（即推特）官方帐户上宣布，他们将发现主流移动平台零日漏洞的报酬从20万美元提高到2000万美元。

https://techcrunch.com/2023/09/27/russian-zero-day-seller-offers-20m-for-hacking-android-and-iphones/

3、红十字国际委员会发布首个战争期间平民黑客交战规则

红十字国际委员会法律顾问蒂尔曼·罗登豪瑟及红十字国际委员会新型数字战争技术顾问毛罗·维格纳蒂近日联合撰文《战争期间“平民黑客”的8条规则以及各国约束其的4 项义务》，提出了在武装冲突背景下开展网络行动的平民黑客必须遵守的8条基于国际人道法的规则，并回顾了各国规管和限制平民黑客的4项责任。

https://www.secrss.com/articles/59438

4、40岁以下的年轻员工的安全意识更差

根据Ivanti的最新调查，与40岁以上的员工相比，千禧一代和Z世代（40岁以下）的办公室员工更可能有不安全的网络安全习惯。

https://www.secrss.com/articles/59450

1、美国政府拟确定联邦采购网络安全基线要求

美国不同联邦机构采购的网络安全要求高低不一，国防部、总务管理局、国家航空航天局联合发布拟议规定，将修订《联邦采购规则》，提出一套适用于联邦信息系统的网络安全基线要求。

https://fedscoop.com/proposed-cybersecurity-rule-would-amend-federal-acquisition-regulation/

2、以色列亚夫内市发生连续停电事件，伊朗黑客组织声称对此负责

伊朗黑客组织“ Cyber Av3ngers ”已联系该组织Cyberwarzone.com，声称是困扰以色列城市的一系列电力故障的幕后黑手。局势已升级到包括市长在内的地方当局要求采取紧急行动的程度。“Cyber Av3ngers”组织发布了一段视频，展示了他们如何入侵电网管理系统的过程。以色列当局尚未证实停电是由黑客攻击造成的。

https://cyberwarzone.com/hacking-group-cyber-av3ngers-claims-responsibility-for-yavne-power-outages-what-you-need-to-know/

1、微软详述攻击者通过SQL Server横向移动到云的方式

微软在10月3日称其最近发现了一次攻击活动，其中攻击者试图通过SQL Server实例横向移动到云环境。这种攻击方式在其它云服务（例如VM和Kubernetes）中有发现过，但在SQL Server中却没有。攻击者最初利用目标系统的应用程序中的SQL注入漏洞，来访问部署在Azure 虚拟机（VM）中的Microsoft SQL Server实例并提升其权限。然后，攻击者利用获得的高级权限，试图通过滥用服务器的云身份横向移动到其它云资源。

https://www.microsoft.com/en-us/security/blog/2023/10/03/defending-new-vectors-threat-actors-attempt-sql-server-to-cloud-lateral-movement/

2、EclecticIQ披露以台积电为诱饵针对半导体行业的攻击

EclecticIQ在10月5日披露了针对东亚半导体行业的间谍活动。攻击者利用以台积电为主题的诱饵，分发了HyperBro加载程序，以在被感染的设备上安装Cobalt Strike beacon，从而进行远程访问。研究人员还发现了一个恶意软件下载程序，它利用PowerShell中的BitsTransfer模块，从可能是被入侵的Cobra DocGuard服务器上获取恶意二进制文件。被入侵的Cobra DocGuard服务器上托管了一个基于GO的后门"ChargeWeapon"，可能由同一攻击者于8月21日上传。

https://blog.eclecticiq.com/chinese-state-sponsored-cyber-espionage-activity-targeting-semiconductor-industry-in-east-asia

3、基因检测公司23andMe遭到撞库攻击数百万用户信息泄露

据10月6日报道，黑客声称从23andMe窃取了至少700万用户的数据，并在Breached黑客论坛上出售。最初攻击者发布了100万行德裔犹太人的数据，在10月4日又提出以每个23andMe账户1-10美元的价格批量出售数据资料，具体价格取决于购买数量。23andMe将此次泄露归因于撞库攻击，并表示他们的系统没有遭到攻击。研究人员建议，用户应避免重复使用同一个密码。

https://www.hackread.com/hacker-claims-dna-service-23andme-users-data/

4、通信公司高管充当“内鬼”为境外赌博网站引流

9月28日,《新华每日电讯》发表题为《通信公司高管充当“内鬼”，为境外赌博网站引流——湖北公安侦破一起利用手机虚拟卡吸引网民参与跨境赌博案，铲除相关犯罪链条》的报道。通信公司高管和员工利用职务便利大量售卖手机虚拟卡，为境外赌博网站引流，吸引网民参与跨境赌博、浏览色情网站。历经8个多月的全力侦查，湖北警方最终铲除相关犯罪链条，并揪出通信公司“内鬼”

https://baijiahao.baidu.com/s?id=1778264017151249549