世界网络安全发展总体态势（国内外最新网络安全发展动态）

公安机关加强国际执法合作，深入推进打击治理电信网络诈骗犯罪，我来为大家科普一下关于世界网络安全发展总体态势?下面希望有你要的答案，我们一起来看看吧!

世界网络安全发展总体态势

Part 1. 国内

公安机关加强国际执法合作，深入推进打击治理电信网络诈骗犯罪

我国党和政府高度重视反电信网络诈骗犯罪工作，坚持以人民为中心，坚持打击和治理并重，建立了一整套多部门参与的高效工作体系，并专门制定颁布《反电信网络诈骗法》，为打击遏制电信网络诈骗活动提供有力的法治保障。公安机关针对此类犯罪的特点，进行专题研究，组建专门队伍，开展专案攻坚，运用专业技术，加强内外合力，部署开展了一系列专项行动，有效遏制了此类犯罪的多发势头，挽回了大量经济损失，得到了广大群众的充分肯定和国际社会的普遍赞誉。在国际合作交流中，多国警方提出，希望我公安机关分享打击治理工作的经验做法。

2021年中国云抗DDoS市场规模达16.6亿元

近日，赛迪顾问聚焦中国云抗DDoS市场开展了相关调研与分析，并形成研究成果《中国云抗DDoS市场研究报告（2022）》（以下简称《报告》）。《报告》中提到，中国市场上的DDoS防护方案，大致可分为资源扩容、硬件抗DDoS设备、云抗DDoS服务三类，而以云清洗为代表的云抗DDoS商用防护是市场较为主流且重要的防护方式之一。相较于硬件部署与直接资源扩容，云抗DDoS服务在防护价效比、运维团队防护与响应专业性、综合定制化安全防护策略及安全架构等维度优势显著。

近几年来，中国云计算市场快速发展，抗DDoS服务已经成为云服务提供商必备的网络安全服务能力，并成为云上租户抵御DDoS攻击的首选。2021年，中国云抗DDoS市场规模达到16.6亿元，同比增长28.7%。

由于DDoS攻击是利用大规模的请求短时间消耗系统或者网络资源，使正常业务服务暂时中断或停止，导致其他正常用户无法访问。因此，DDoS攻击的主要目标应当是核心业务对系统资源和网络状况高度依赖的行业及应用场景。2021年，互联网服务行业对云抗DDoS的需求最高，占到了34.5%，游戏、计算机软件服务等行业的市场销售额也较高，占比分别为22.6%、10.9%。随着越来越多的在线业务的开展，电商平台、政府门户、在线教育等领域也成为了云抗DDoS的主要需求方。

关于未来，《报告》认为，随着《数据安全法》《关键信息基础设施安全保护条例》等网络安全政策的相继颁布，安全即服务模式的不断成熟，云抗DDoS服务凭借弹性按需收费、高防御性价比的特性，客户接受度将不断提升，云抗DDoS服务将逐步占据抗DDoS市场的主要地位，市场规模稳步提升。

西工大遭网袭细节：美将网络武器“饮茶”植入服务器进行窃密

近日，国家计算机病毒应急处理中心在对西北工业大学遭境外网络攻击事件进行调查过程中，在西北工业大学的网络服务器设备上发现了美国国家安全局（NSA）专用的网络武器“饮茶”（NSA命名为“suctionchar”）（参见《西北工业大学遭美国NSA网络攻击事件调查报告（之一）》）。国家计算机病毒应急处理中心联合奇安信公司对该网络武器进行了技术分析，分析结果表明，该网络武器为“嗅探窃密类武器”，主要针对Unix/Linux平台，其主要功能是对目标主机上的远程访问账号密码进行窃取。

2022上半年中国IT安全硬件市场规模同比下降2%

IDC《2022年第二季度中国IT安全硬件市场跟踪报告》显示，2022年第二季度中国IT安全硬件市场厂商整体收入约为6.9亿美元（约合45.6亿元人民币），规模同比下降12%。综合上半年数据，2022上半年中国IT安全硬件市场规模达到12.3亿美元，同比下降2%。

IDC中国网络安全市场分析师王一汀表示，2022上半年，疫情影响了众多网络安全投资规模较大的省份地区，沟通难、交付难、回款难且众多项目仍处于停滞和延后状态等现象使得中国整体网络安全硬件市场规模呈现下滑趋势，这无疑给2022整年中国安全硬件市场的发展带来了极大的挑战。当然，安全硬件市场具有明显的季度变化特征。下半年，众多项目将加快收尾和启动动作，这也将为市场发展带来机遇。

国家网信办：拟修改《中华人民共和国网络安全法》

9月14日消息，为了做好《中华人民共和国网络安全法》与相关法律的衔接协调，完善法律责任制度，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，国家互联网信息办公室会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》，现向社会公开征求意见。

夯实未成年人网络保护 平台团体标准正式发布

9月16日消息，近日，2022年国家网络安全宣传周青少年网络保护论坛成功举办。本届论坛围绕“依法用网管网治网 E路护苗健康成长”为主题，共同探讨青少年网络保护的新思路、新观点和新路径，携手推动构建青少年健康成长的良好网络生态。论坛上，由中国网络社会组织联合会携手中国标准化研究院、微播视界、腾讯、快手、猿力教育5家单位，共同起草编制的团体标准《网络信息内容服务平台未成年人网络保护管理规范》正式发布。依据我国现有相关法律法规与国内外优秀经验相结合，旨在为未成年人保护利益最大化为目标，适用于我国未成年人保护为标准。

《中国互联网发展报告（2022）》正式发布

9月14日，中国互联网协会副理事长兼副秘书长何桂立在北京正式发布《中国互联网发展报告(2022)》。报告》自2003年开始每年出版一卷，目前已连续20年。《报告》认为，2021年我国互联网行业增长势头强劲，新型基础设施建设成效显著，关键核心技术不断创新，信息技术融合应用加速落地，网络安全保障能力持续提升，国际交流合作不断拓展，网络治理体系建设获得丰硕成果。以维护国家网络空间安全为抓手，网络安全迎来新机遇。2021年，我国网络安全产业总体稳中向好，网络安全服务市场快速拓展，产业规模约为2002.5亿元，增速约为15.8%。

---

Part 2. 国外1、网络空间安全政策与管理动态

美政府即将发布的新版《国家网络安全战略》将对数字生态系统进行彻底变革

9月9日报道，美国政府即将发布新版《国家网络安全战略》，这份由国家网络主任办公室（ONCD）负责的报告，将基于全球网络安全格局在过去几年的迅速变化，以14208号行政命令中明确的“改善国家网络安全”采用全面零信任架构，将优先考虑与业界的合作以保护政府最敏感的资产和信息，最终实现构建繁荣、安全的数字生态系统的愿景。

具体而言该报告将关注五个主要的方面：

一是数字生态系统的目标，主要实现1）确保联邦一致性、2）增进公私合作、3）结合资源实现愿景、4）提高当前和未来的弹性等；

二是以目标为基础，公共和私营部门在安全性为首要原则的前提下都必须明确和认识自身作用；

三是共担责任、相互理解，以使各方随时了解优先领域、恶意活动和行业当前趋势，并在合规性方面采取必要措施满足相关要求；

四是敏捷性和弹性，以构建敏捷灵活的数字基础设施为目标，应对不断变化的威胁，寻求可以不断修改的解决方案；

五是亟需的更新，需要明确未来可以寻求促进未来生态系统的方法，并保持政府与其他政府实体及其私营部门合作伙伴的共生关系。

CISA 就即将出台的重大网络事件报告法规征求公众意见

9月12日报道，周一，网络安全和基础设施安全局 (CISA)就拟议的法规发出了征求公众意见的请求，这些法规预计将改变私营部门和公共机构应对重大网络攻击的方式。

CISA 要求提供意见之前，拜登总统在 3 月签署了关键立法，要求关键基础设施所有者和运营商在 72 小时内向 CISA 报告重大网络攻击，并在 24 小时内向 CISA 报告勒索软件攻击。

CIRCIA 法规的制定将允许 CISA 与其他联邦合作伙伴一起更快地部署资源并为遭受攻击的受害者提供帮助，分析跨部门的传入报告以发现趋势，并了解恶意网络行为者如何进行攻击。

在征求公众意见的请求中，CISA 表示，它对有关拟议法规中将使用的术语定义、根据 CIRCIA 提交报告的方式以及其他事件报告要求（包括要求）特别感兴趣报告所利用漏洞的描述。

美国网络安全与基础设施安全局发布其战略计划

9月14日报道，美国网络安全与基础设施安全局（CISA）于9月13日发布了推出了《2023至2025年战略计划》（CISA Strategic Plan 2023 - 2025），该战略计划传达了CISA的使命和愿景，并有助于促进CISA与其它机构的合作。

该战略计划的重点是尽量减少渗透、利用、破坏或破坏关键基础设施系统和网络的行为所带来的影响。为此CISA将积极寻找网络威胁并与网络安全社区合作，以推动关键漏洞的披露和缓解。除了安全技术之外，该战略计划还要求解决美国网络生态系统中的劳动力短缺问题，以确保网络安全劳动力能够反映美国的多样性，并准备好迎接广泛的挑战。

该战略计划指出，关键基础设施分属16个行业，每个行业都有一个指定的行业风险管理机构（SRMA），而CISA要担任其中8个行业的SRMA，并通过协助识别和管理风险以及开放CISA的能力和资源的方式来支持其它SRMA的安全工作和网络弹性工作。

该战略计划希望扩大基础设施、系统和网络风险的可见性，同时提高CISA的风险分析能力和方法及其在安全与风险缓解方面的指导和影响力。该战略计划表示CISA将扩大与联邦机构及其它机构的合作，提供产品和服务，使对基础设施安全和弹性的持续投资成为明智和轻松的选择，并加强地方、区域和国家层面的信息共享和协作。为此CISA将优化利益相关者参与和伙伴关系活动的协作规划和实施，将地区办事处整合到CISA的运营协调中，并简化CISA相关计划、产品和服务的访问和使用流程。

最后该战略计划表示，CISA必须作为一个机构统一起来，以简化现有运营并采用敏捷的新技术，以及及时为客户提供现代和安全的服务。为此CISA将加强和整合其治理、管理和排序能力，优化自身的业务运营以在所有部门之间相互支持，培养和发展该机构的高绩效员工队伍，并推进其卓越文化。

美国国会拟立法加强海岸警卫队的网络安全与数据管理能力

9月14日报道，美国参议院商务委员会主席Maria Cantwell和委员会高级成员Rocker Wicker拟在《2022年海岸警卫队授权法案》（Coast Guard Authorization Act of 2022）中加强海岸警卫队的网络安全和数据管理能力。

该法案旨在解决涉及海上安全的联邦法律漏洞，其将要求海岸警卫队制定相关政策和流程，以确保有效使用数据，同时海岸警卫队还必须与网络安全与基础设施安全局（CISA）以及海事管理局合作开展网络安全工作，比如做好应对网络事件的准备等。

供应商为其软件安全担保的新收购规则即将到来

9月15日报道，联邦采购监管委员会将很快提出一项规则，要求联邦机构在向软件供应商寻求保证其产品是使用美国国家标准与技术研究院的指导开发时，使用统一的标准自我证明表格。“鼓励各机构使用标准的自我证明表格，该表格将根据新规则提供，”根据管理和预算办公室周三发布的一份备忘录。

该备忘录是根据行政命令14028发布的，乔·拜登总统于2021年5月签署了该命令，以回应被称为SolarWinds的黑客攻击，此前在入侵活动中被利用的联邦IT管理承包商损害了至少九个联邦机构。

“不久前，一个软件质量的唯一真正标准是它是否像广告上所说的那样工作，”联邦首席信息安全官克里斯·德鲁沙（Chris DeRusha）在宣布备忘录时写道。“随着联邦机构面临的网络威胁，我们的技术必须以一种使其具有弹性和安全的方式进行开发，确保向美国人民提供关键服务，同时保护美国公众的数据并防范外国对手。

但是，除了批准使用自我证明之外，备忘录还允许机构接受供应商的基本承诺，即他们将努力在特定时间表上遵守NIST指南。

“如果软件生产者无法证明标准自我证明表格中确定的NIST指南中的一个或多个做法，则请求机构应要求软件生产商确定他们无法证明的实践，记录他们为减轻这些风险而实施的做法，并要求制定行动计划和里程碑（POA&M），“备忘录上写着。

如果软件生产者提供了该文档，并且该机构认为它令人满意，那么尽管生产者无法提供完整的自我证明，该机构仍然可以使用该软件。

联邦采购监管委员会备忘录为各机构收集供应商证明以及网络安全和基础设施安全局最终与白宫一起为证明信建立一个安全的跨机构存储库规定了具体的时间表。

2、信息通信与网络安全技术发展

洛克希德和 AT&T 使用 5G 网络加速黑鹰数据传输

9月13日报道，华盛顿——洛克希德马丁公司和美国电话电报公司表示，他们安全地下载和共享了黑鹰直升机的飞行数据，所需时间只是正常时间的一小部分。

在测试期间，两家公司使用专用 AT&T 蜂窝网络将数据从 UH-60M 黑鹰的综合车辆健康管理系统传输到洛克希德的 5G.MIL 网络。然后，他们将信息传递给洛克希德公司在康涅狄格州的西科斯基总部，然后再次传递到科罗拉多州的5G 测试场。

据洛克希德公司称，取出数据磁带、将其带到正确的位置并提取关键信息的过程通常需要 30 分钟。这家国防公司表示，同样的过程于 8 月 4 日在不到 5 分钟的时间内执行完毕。

健康管理系统使用数百个传感器来监控和记录直升机的状况和性能，包括关键部件的温度和振动。机组人员审查数据以跟踪安全性、可靠性和飞行准备情况。

洛克希德公司 5G.MIL 项目副总裁丹·赖斯（Dan Rice）在一份声明中表示：“这些大规模部署的 5G 功能有望在几乎任何航线上实现高速、安全的数据传输。” “通过与商业 5G 领导者合作，可互操作的 5G.MIL 多站点、多供应商网络离现实又近了一步。”

洛克希德和 AT&T 都在努力将 5G 越来越多地融入军事行动和通信中。五角大楼于 2020 年底宣布投资 6 亿美元，在美国五个军事设施中进行 5G 实验。2021 年进行了进一步投资。

美国陆军引入网络安全优化平台AttackIQ

9月14日报道，美国陆军已授予Iron Bow Technologies公司为期三年的“仅限评估”类操作权限，以便该公司将安全优化平台AttackIQ引入军事部门。

Iron Bow是“防御性网络作战威胁仿真”（Defensive Cyber Operations Threat Emulation）项目的主要承包商，负责提供入侵与攻击模拟能力，而该能力已通过了2021年开始的一系列评测和安全评估。美国陆军表示，依靠AttackIQ平台的持续安全控制措施验证能力，陆军安全团队能在数据驱动下实时了解其控制措施是否在按预期工作，从而能够以自动化的方式大规模、不间断地验证程序运行状况。

2022年初，网络安全和基础设施安全局警告公共和私营部门防范针对美国的关键基础设施，同时俄罗斯带来的网络威胁促使各政府机构在2023年的国防授权法案中为网络防护寻求更多资金。

记事本 插件允许攻击者渗透系统，实现持久化

9月15日报道，威胁参与者可能会滥用记事本 插件来规避安全机制，并在受害者机器上实现持久性，安全公司Cybereason的一项新研究表明。“使用一个开源项目Notepad Plugin Pack，一位名为RastaMouse的安全研究人员能够演示如何构建一个可以用作持久性机制的恶意插件，”该公司周三在一份通报中写道。

插件包本身只是一个用于 Visual Studio 的 .NET 包，它提供了用于生成插件的基本模板。但是，高级持续性威胁（APT）组织过去曾将记事本 插件用于恶意目的。

3、安全业界动态

乌克兰急于“数字化转型”，准备应对更多俄罗斯网络攻击

9月12日报道，华盛顿——俄罗斯入侵乌克兰七个月后，乌克兰官员预计该国将经历一场从绝望的自卫发展而来的快速“数字化转型”，尽管有人说他担心俄罗斯在网络空间的威胁远未结束。

乌克兰数字化转型副部长乔治·杜宾斯基周五对记者说：“他们（俄罗斯）正试图找到一种方法来破坏、击败我们的能源系统，以及如何让乌克兰人的处境更加严峻。” “我们正在准备。”

据美国之音报道，杜宾斯基在比灵顿网络安全峰会期间发表讲话，并补充说，他担心俄罗斯将使用“精确”网络或混合攻击，因为他们的现实世界入侵已经停滞。

勒索软件集团泄露从思科窃取的文件

9月12日报道，一个网络犯罪组织泄露了今年早些时候从思科窃取的文件，但这家网络巨头坚持对事件的初步评估，并表示对其业务没有影响。

思科于 8 月 10 日承认，它在 5 月 24 日发现了安全漏洞。这一承认是由一个名为 Yanluowang 的勒索软件组织提出的，该组织声称已经获得了千兆字节的信息，并发布了一份据称从思科窃取的文件列表。

该公司表示，攻击者的目标是其一名员工。它声称只有存储在 Box 帐户中的非敏感文件和来自 Active Directory 的员工身份验证数据被盗。

黑客最初获取了该员工的思科凭证，然后使用社交工程和其他方法绕过多因素身份验证 (MFA) 并获取更多信息。

一旦获得初始访问权限，他们就开始放弃后利用和远程访问工具、提升权限、创建后门并在网络内横向移动。

攻击中没有部署文件加密勒索软件，虽然攻击者在发现违规行为后确实向思科高管发送了电子邮件，但它没有提出具体的威胁或勒索要求。

燕螺网文件加密勒索软件于 2021年出现，它已被用于攻击全球各地的组织，包括美国的金融公司。

DIA总监概述网络情报改进计划

9月12日，国防情报局局长斯科特·贝里耶（Scott Berrier）中将在比林顿网络安全峰会上表示，该组织正试图确定如何与美国网络司令部，国家安全局和情报界其他成员一起增强其网络情报输出。

前波托马克军官俱乐部发言人Berrier解释说，网络情报收集是一项比传统情报更复杂的任务，理由是需要筛选大量信息，并且难以确定网络设施正在使用哪些工具和策略。DIA官员补充说，即将推出的机器辅助分析快速存储库系统，计划取代已有二十年历史的军事情报综合数据库，将有一个专用的网络模块。MARS旨在作为一个人工智能和机器学习驱动的系统，可以自主处理和分析大数据。该平台将位于云基础架构中。

Zoic实验室于1月份与DIA签订合同，为MARS提供大数据管理、分析和可视化功能。该机构于 2020年9月选择诺斯罗普·格鲁曼公司作为该系统的企业模块化集成商，负责开发其中央大数据处理系统。

CISA主持第四届网络安全咨询委员会

9月13日报道，网络安全和基础设施安全局（CISA）举行了第四次网络安全咨询委员会会议，委员会成员向CISA主任Jen Easterly介绍了其小组委员会工作的最新情况。

其中两个小组委员会就保护关键基础设施免受错误和恶意（MDM）信息的影响以及建立弹性并降低关键基础设施的系统性风险向主任提供了新的建议。委员会成员就其小组委员会的工作提供了切实的最新情况：

（1）网络劳动力小组委员会转型：该小组委员会专注于制定一项全面的战略，以识别和开发最佳人才渠道，扩大各种形式的多样性，并努力留住我们最优秀的人才。CISA预计将在未来几个月内聘请一名首席人事官，以改善该机构的人才招聘流程。

（2）网络卫生小组委员会：该小组委员会正在帮助思考并执行一种整体的、规模化的方法，以确保所有组织都拥有实施基本安全实践所需的信息和资源。小组委员会还建议CISA通过确定其他宣传工具（包括与非营利组织，教育机构，政府合作伙伴和扩展的网络安全社区）建立联系，以建立其当前的多因素身份验证（MFA）活动“不仅仅是密码”。最后，他们建议CISA采取一切可用步骤，确保公司到2025年完全采用MFA。

（3）技术咨询委员会：促进CISA与技术社区的关系，并协助CSAC向该机构提供建议，以在更具战术性的层面上改善与研究界的合作，这包括识别特定漏洞和改进更广泛漏洞披露的协调的方法。

（4）保护关键基础设施免受错误和恶意（MDM）信息小组委员会：小组委员会正在评估CISA在应对对关键基础设施，特别是选举基础设施有害的MDM方面的作用并提出建议。小组委员会建议CISA与情报界（IC）和联邦调查局合作，以确保优先考虑选举官员对外国虚假信息威胁的信息需求。小组委员会还强调，CISA应与法院分享有关外国黑客和虚假信息攻击的相关信息，并且IC在与选举相关的收集和分析优先事项中包括针对法院的对手活动。

（5）建立关键基础设施的弹性并降低系统性风险小组委员会：小组委员会正在帮助CISA确定如何最好地推动国家风险管理，并确定可扩展的分析模型的标准，以指导风险优先级划分。小组委员会主席概述了他们关于改善国家风险管理的建议，强调了关键基础设施部门的不同成熟度，国家弹性成果的范围不足，以及解决风险管理的现有政策和监管方法未得到充分利用。

（6）战略传播小组委员会：该小组委员会的重点是扩大CISA与关键合作伙伴的影响力，以帮助建立国家网络弹性文化。讨论了小组委员会如何评估该机构的网站重新设计，以确保其满足该机构的需求以及CISA利益相关者的需求。小组委员会还在评估该机构的重新设计，以确保网站反映该机构的使命和愿景。

NIST与谷歌宣布芯片研发合作伙伴关系

9月13日报道，美国国家标准与技术研究院与搜索引擎巨头谷歌达成了一项新协议，以帮助制造更多的芯片技术，研究人员可以将其用作未来纳米技术和半导体的输入成分。NIST与谷歌的合作伙伴关系将专门专注于制造一个底层芯片，其结构旨在测量和测试芯片未来顶层的性能，如存储设备、纳米传感器、生物电子学和量子计算设备。

在与总部位于明尼苏达州的SkyWater Tech的合作中，谷歌将为芯片制造的初始生产成本提供资金，NIST将与大学附属机构一起设计芯片电路。SkyWater将生产200毫米的图案化硅片，作为研究实体在其他设施中使用的芯片。该标准格式旨在与半导体工厂的大多数制造机器人兼容。

网络犯罪分子越来越依赖勒索软件即服务

9月13日报道，网络安全公司CrowdStrike发布了2022年网络威胁狩猎洞察报告，指出网络犯罪分子越来越依赖勒索软件即服务（RaaS）和无恶意软件的入侵方法，同时逃避公共和私营部门采用的流行检测和缓解技术。

该报告详细介绍了主要针对技术，电信，制造和医疗保健行业以及联邦政府的交互式入侵活动增加了50%。

该报告还观察到“有效和受损凭据的重大滥用”，以及在微软宣布禁用流行的恶意软件交付方法，虚拟基本应用程序宏之后，网络钓鱼策略的突然转变。

根据该报告，威胁组织正面临着“前所未有的”风险，因为威胁参与者的技能越来越快，而不是缓解技术的开发和部署，该报告建议团队采取积极主动的方法来寻找威胁和识别漏洞。虽然威胁参与者继续使用相同的勒索软件，但他们现在正在其交易中采用RaaS模型和新工具来利用漏洞并以前所未有的速度闯入受害者环境中的新主机。

美国陆军定制通信设备以应对地区挑战

9月14日报道，负责改造网络和信息共享工具的美国陆军官员正在解决五角大楼为可能与俄罗斯的冲突做准备的一个内在问题：如何确保在截然不同的环境中通信可靠和安全。为了同时在整个印太地区提供关键联系，同时在整个欧洲控制好战的莫斯科，陆军正在强调灵活性——一套核心装备，可以根据指挥官的需要量身定制，无论他或她身在何处。

负责指挥、控制和通信战术（PEO C3T）的副项目执行官尼古拉·萨克斯（Nicholaus Saacks）强调，陆军未来司令部的网络跨职能团队和其他团体在执行工作时必须准备好在很多不同的地方战斗，改善数据共享，加强通信线路，使部队更具移动性和更少被发现性。

阿根廷立法机构遭到勒索软件攻击

9月14日报道，阿根廷首都布宜诺斯艾利斯的立法机关于本周遭到勒索软件攻击，据称其内部操作系统遭到破坏，WiFi连接中断。

在几条推文中，布宜诺斯艾利斯立法机构的账户表示，袭击于周日开始，并摧毁了大楼的WiFi网络及其它系统。该机构迅速采取了必要措施以确保工作的连续性，并计划从9月13日起开始恢复WiFi网络，并逐渐让其它系统重新上线。

美国政府发起对伊朗黑客的制裁

9月15日报道，作为司法部、国务院、联邦调查局、美国网络司令部、国家安全局和网络安全和基础设施安全局联合行动的一部分，财政部外国资产控制办公室于9月14日制裁了与伊朗伊斯兰革命卫队有关联的恶意网络行为者。

“联邦调查局仍然坚定不移地致力于与我们的美国政府合作伙伴合作，以向我们的对手施加成本，”联邦调查局网络部门助理主任布莱恩沃恩德兰说。“这项起诉书，加上其他破坏性的运营活动，表明当我们与国内和国际合作伙伴合作并采取全政府方法时，这是可能的。我们与我们的伙伴一道，继续致力于保护美利坚合众国和受这些严重罪行影响的受害者。

官员们指出，被指控的黑客，特别是Khatibi，要求以加密货币支付高达5万美元的赎金。对三名被告人提出的一些正式指控包括共谋实施计算机欺诈和与计算机有关的活动，故意损坏受保护的计算机以及传输与损坏受保护计算机有关的要求。尽管这三名被起诉的个人在国外逍遥法外，但财政部对总共十名IRCG黑客（包括司法部指名道姓的黑客）和两个组织实施了制裁，理由是他们在恶意网络攻击中的作用，理由是这些实体在国内和国际上都采取了行动。

4、网络攻防动态

勒索软件实施者采用间歇性加密

9月12日报道，据SentinelOne称，威胁参与者越来越多地在他们的勒索软件攻击中转向一种新的加密方法，旨在提高成功率。

SentinelLabs 研究人员 Aleksandar Milenkoski 和 Jim Walter 在一篇新的博客文章中写道，“间歇性加密”正在向买家和附属公司大量宣传。

与更传统的勒索软件加密方法相比，它的主要优势在于速度和逃避威胁检测工具的能力。

两人写道，通过仅对受害者的文件进行部分加密，威胁参与者可以“在很短的时间内造成无法挽回的损害”。

此外，间歇性加密有助于混淆安全工具用于检测勒索软件活动的统计分析。

Milenkoski 和 Walter 写道： “这样的分析可以评估文件 IO 操作的强度或未受勒索软件影响的文件的已知版本与文件的可疑修改、加密版本之间的相似性。”

“与完全加密相比，间歇加密有助于规避此类分析，因为它表现出文件 IO 操作的强度显着降低，给定文件的非加密版本和加密版本之间的相似性要高得多。”

朝鲜拉撒路集团入侵全球能源供应商

9月12日报道，朝鲜威胁行动者Lazarus Group在 2022 年 2 月至 2022 年 7 月期间针对世界各地的能源供应商发起了一场恶意活动。

此前，赛门铁克和 AhnLab 分别在 4 月和 5 月部分披露了该活动，但 Cisco Talos 现在提供了有关它的更多详细信息。

安全研究人员在周四的一份报告中写道，Lazarus 活动涉及利用 VMWare Horizon 中的漏洞来获得对目标组织的初始访问权限。

黑客入侵 PVC 制造商 Eurocell 的员工数据

9月12日报道，一家领先的英国 PVC 制造商一直在联系现任和前任员工，告知他们“重大”数据泄露事件。

据数据保护法专家海耶斯·康纳（Hayes Connor）称，总部位于德比郡的Eurocell也是 UPVC 门窗和屋顶产品的分销商，该公司在致受影响者的一封信中透露了这一消息。

在其中，该公司显然解释说未经授权的第三方访问了其系统。被泄露的数据包括：雇佣条款和条件；出生日期；近亲；银行账户、NI 和税务参考号；工作权文件；健康和福利文件、学习和发展记录；以及纪律和申诉文件。

对于可能的欺诈者在随后的网络钓鱼甚至勒索活动中利用，这是一个相当大的宝库。

乌方网络攻击已瘫痪俄罗斯2400个网站

9月12日报道，根据乌克兰数字转型部的报告，在8月29日至9月11日的两周内，乌克兰IT军队瘫痪了俄罗斯联邦2400个网站资源工作，其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。

此外，据乌克兰媒体Ukrinform报道，9月11日俄罗斯对乌克兰展开大规模袭击，哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据，共有40个的变电站停电，4名电力工程师遇难。

伊朗黑客再次攻击阿尔巴尼亚

9月13日报道，伊朗黑客被指责对阿尔巴尼亚当局发动进一步的网络攻击，这次是使边境控制系统离线。阿尔巴尼亚总理埃迪·拉玛（Edi Rama）在推特上表示，这些袭击了全面信息管理系统（TIMS），该系统有助于跟踪进出该国的个人公民。

此前，地拉那上周决定在7月15日的勒索软件攻击导致多个政府服务离线后，切断与伊朗的所有外交关系。阿尔巴尼亚与微软和联邦调查局在归属方面密切合作，以确保该行为是国家侵略行为之一。

网络间谍在亚洲的政府网络上投放新的信息窃取恶意软件

9月13日报道，安全研究人员已经确定了新的网络间谍活动，这些活动集中在亚洲的政府实体，以及国有的航空航天和国防公司，电信公司和IT组织。此活动背后的威胁组是以前与“ShadowPad”RAT（远程访问特洛伊木马）关联的不同群集。

在最近的活动中，威胁参与者部署了一个更加多样化的工具集。根据赛门铁克威胁猎人团队深入研究该活动的报告，情报收集攻击至少自2021年初以来一直在进行，并且仍在进行中。

目前的活动似乎几乎完全集中在亚洲的政府或公共实体，包括：政府首脑/总理办公室、与金融相关的政府机构、政府拥有的航空航天和国防公司、国有电信公司、国有 IT 组织、国有传媒公司。

在最近的活动中，攻击所使用的工具之一是以前未知的信息窃取者（Infostealer.Logdatter），它基本上取代了ShadowPad。此新工具的功能包括：键盘记录、截取屏幕截图、连接到和查询 SQL 数据库、代码注入：读取文件并将包含的代码注入到进程中、下载文件、窃取剪贴板数据。

伊朗黑客勒索美国关键基础设施机构

9月14日报道，美国联邦调查局（FBI）、网络安全与基础设施安全局（CISA）、国家安全局（NSA）、美国网络司令部、财政部及国际合作伙伴于9月14日联合发布了一份网络安全建议书，其中揭示了伊朗黑客如何利用无保护网络上的已知漏洞来勒索美国关键基础设施机构及其他受害者。

该建议书反映出美国政府正努力消除这种恶意网络活动，并追究与IRGC有关的责任人。这些黑客的攻击目标广泛，包括美国多个关键基础设施机构以及澳大利亚、加拿大和英国的组织。

NSA及其合作伙伴建议各机构——尤其是与关键基础设施网络有关的机构——遵照该建议书来降低数据泄露风险，而最有效应对措施就是修补和更新操作系统、软件和固件。NSA等部门还建议使用Microsoft Exchange服务器、Fortinet 设备和／或VMware Horizon的组织按照建议书中的检测指南来调查其网络中的可疑活动。

俄乌冲突期间针对英国金融行业的DDoS攻击激增

9月14日报道，根据行业监管机构提供的信息自由（FoI）数据，在俄乌冲突的头几个月内，针对英国金融机构的分布式拒绝服务（DDoS）攻击数量激增。

英国金融行为监管局（FCA）透露，2022年内迄今已经发生了14次针对英国金融行业的DDoS攻击，而2021年全年只有5次。更能说明问题的是，2022年内，英国的金融公司在今年3月前都未遭受DDoS攻击，但在6月时遭受了五次DDoS攻击。鉴于金融部门作为关键的国家基础设施的重要作用，网络安全人员认为这些攻击是由国家资助的黑客活动。

Picus Security联合创始人Suleyman Ozarslan表示，英国金融机构已陷入俄罗斯和乌克兰之间的战火，并已成为亲俄黑客组织的攻击目标。

俄罗斯Gamaredon黑客使用信息窃取恶意软件瞄准乌克兰政府

9月15日报道，与俄罗斯有联系的Gamaredon组织正在开展一项持续的间谍活动，该活动针对乌克兰政府，国防和执法机构的员工，并提供一条窃取恶意软件的定制信息。

“对手正在使用包含与俄罗斯入侵乌克兰有关的诱饵的网络钓鱼文件，”思科Talos研究人员阿什尔·马尔霍特拉和吉列尔梅·维纳雷在与黑客新闻共享的一篇技术文章中说。

自2013年以来，Gamaredon（也称为锕系，世界末日，原始熊，舒克虫和三叉戟Ursa）活跃起来，与2022年2月下旬俄罗斯军事入侵乌克兰后针对乌克兰实体的众多袭击有关。最近在2022年8月观察到的有针对性的网络钓鱼操作也是在赛门铁克上个月发现的涉及使用Giddome和Pterodo等恶意软件的类似入侵之后进行的。这些攻击的主要目标是建立间谍和数据盗窃的长期访问权限。

它需要利用诱饵微软Word文档，其中包含与俄罗斯入侵乌克兰有关的诱饵，通过电子邮件发送以感染目标。打开时，将执行隐藏在远程模板中的宏以检索包含 LNK 文件的 RAR。

LNK文件似乎参考了与俄罗斯入侵乌克兰有关的情报简报，以诱骗毫无戒心的受害者打开快捷方式，从而导致PowerShell信标脚本的执行，最终为下一阶段的有效载荷铺平了道路。

,