以色列支付系统遭受大规模网络攻击，全国加油站和商超大范围瘫痪

谷歌云（Google Cloud）发布了《2025 年网络安全预测》，详细分析了新出现的威胁形势和关键安全趋势，全球企业应做好准备。该报告深入分析了网络对手的战术，并为来年提高安全态势提供了建议。

报告强调了网络安全格局的转变：人工智能（AI）的崛起是一把双刃剑。人工智能在为防御者提供新工具的同时，也赋予了恶意行为者先进的能力。

2025 年将是人工智能从试点项目和原型走向大规模应用的一年，从而进入一个半自主安全操作的新时代。人工智能的整合将有助于自动执行任务、分析庞大的数据集和简化工作流程，最终使安全团队能够更高效地工作。

不过，报告也警告说，人工智能驱动的网络攻击将激增。预计攻击者将利用人工智能，包括大型语言模型（LLM）和深度伪造，来加强社交工程攻击，进行漏洞研究，并开发更复杂的恶意软件。

谷歌云安全副总裁/总经理苏尼尔-波蒂（Sunil Potti）说：“2025年是我们真正看到人工智能第二阶段在安全领域发挥作用的第一年。”

谷歌云TI安全副总裁兼首席信息安全官菲尔-维纳布尔斯（Phil Venables）补充说：“2025年将是人工智能从试点和原型进入大规模应用的一年。”

2024年11月13日，早前执法机构加拿大和土耳其逮捕了两名黑客，这两名黑客在今年4月通过入侵美国云数据存储公司Snowflake窃取了美国网络运营商AT&T的海量数据。AT&T最初承认数据被窃取但数量大约为1.1亿条，该公司还向两名黑客支付至少37万美元的赎金，希望黑客将被盗的数据直接删除。

被逮捕的黑客分别是Moucka(加拿大)和Binns(土耳其)，自2023年11月到2024年10月，两人合伙发起攻击从受害者那里获得36枚比特币(按支付时价格计算合计约为250万美元)。

Snowflake则帮助大量美国公司存储数据，数据被窃取的也不仅仅是AT&T，大约还有160多家企业的数据也同样被窃取，只不过规模没那么大。

那实际上AT&T被窃取的数据有多少呢?达到极其惊人的500亿条，这些数据全部是通话和短信记录，但请注意：只是谁给谁发短信的号码，具体通话和短信内容是没有被窃取的。

原本我们以为1.1亿条数据已经非常惊人，按理说AT&T已经透露1.1亿条数据被窃取所以可能不是说谎，但没想到实际情况能达到500亿条。

通过这些数据并结合其他数据很容易分析用户之间的家庭和社交关系，除非完全不使用电话和短信联系，否则相当多的美国人社交信息都能被分析出来。

有鉴于此事的潜在影响力，美国司法部火速对两名已经被逮捕的黑客提起诉讼，当前案件还在审理阶段，不过最终这两名黑客估计要牢底坐穿并将勒索得来的赎金全部上交。

2024年11月13日，前空军国民警卫队成员杰克-特谢拉因在Discord 上发布"数百页"机密军事文件，于今年3月承认六项蓄意保留和传输国防信息的罪名，今天被判处15年监禁。泄露的部分信息包括有关乌克兰部队调动的敏感细节，以及以前不为人知的有关美国收集中国、俄罗斯和韩国等其他国家情报的信息。

在马萨诸塞州鳕鱼角空军基地工作期间，特谢拉获得了"绝密/敏感信息"安全许可，这是情报部门"维护和排除故障"机密工作站所必需的。据司法部称，他"使用奥蒂斯USANG基地的一个安全工作站对包含NDI的机密文件进行了数百次与其职责无关的搜索"。

据Bellingcat报道，22岁的特谢拉去年在当局发现他在一个名为"Thug Shaker Central"的私人Discord 服务器上发布机密信息后被捕，该服务器有大约20名活跃用户。

起初，他分享的是机密文件的打字版本，但后来由于其他社区成员对他的帖子不够关注，他又贴出了这些材料的真实照片--包括一些标有"绝密"字样的材料。《纽约时报》报道称，数字证据的线索，包括他童年家中花岗岩台面上的一个独特图案，将特谢拉与泄露的材料联系在了一起。

马萨诸塞州代理联邦检察官约书亚-利维(Joshua S. Levy)在一份声明中说："特谢拉先生应对美国历史上最重大的机密文件和信息泄露事件之一负责，该事件对美国国家安全造成了异常严重和持久的损害。"

日前，一场针对支付系统的网络攻击导致以色列境内数千台信用卡读卡器无法正常工作，造成全国加油站和连锁超市的支付系统大面积瘫痪。

据《耶路撒冷邮报》报道，周日清晨，负责运营支付设备的Hyp CreditGuard公司遭遇疑似分布式拒绝服务（DDoS）攻击，导致其支付网关系统通信中断。这次攻击影响范围广泛，涉及Maccabi卫生基金、Gett出租车服务、Wolt食品订购应用程序，以及Rav Kav Online和Hop-On等公共交通支付系统。

Hyp CreditGuard公司在声明中表示：公司部分服务和相关通信供应商遭受DDoS攻击。目前攻击已被成功阻止，服务已恢复正常运营；我们正在与所有安全机构协调，以确保持续正常运营。该公司同时表示，此次事件未造成个人或财务数据泄露。

数据显示，自去年以来，针对以色列企业的网络攻击增长了100%，这与以色列在加沙和黎巴嫩发起的军事行动有关。

安全研究机构watchTowr日前披露，Citrix Session Recording Manager存在一个零日漏洞，该漏洞可导致未经身份验证的远程代码执行（RCE），攻击者可能借此窃取数据、横向移动或完全控制桌面系统。

Citrix Session Recording Manager是一款用于记录用户活动的工具，可记录键盘和鼠标输入、访问的网站和桌面活动的视频流等信息。这些功能主要用于监控、合规审查和故障排除，同时还可以根据敏感数据识别等特定操作触发记录，以满足监管需求和标记可疑活动。

研究人员介绍，此次发现的漏洞源于两个关键问题：一是系统使用Microsoft消息队列（MSMQ）进行会话记录时采用了不安全的BinaryFormatter进行序列化和反序列化；二是Recording Session Manager暴露了可通过HTTP从任何主机访问的MSMQ服务，再加上权限配置不当，最终导致未经授权的远程代码执行风险。

Citrix已紧急发布补丁，并将该漏洞编号为CVE-2024-8068和CVE-2024-8069。目前尚未发现该漏洞被黑客利用的证据，但考虑到Citrix作为网络犯罪分子的重要攻击目标，情况可能很快发生变化。

安全研究机构Perception Point近期发现，利用Microsoft Visio文件的双重钓鱼攻击呈现激增趋势，标志着钓鱼攻击手法的一次重要升级。攻击者利用Visio的.vsdx格式文件隐藏恶意URL，利用用户对熟悉工具的信任，巧妙规避传统安全扫描。

Microsoft Visio作为一款常用于流程图和网络图设计的工具，现已被攻击者改造成钓鱼活动的掩护工具。这种攻击手法利用了用户对Microsoft工具的信任，创造了一种绕过安全系统的隐蔽方式。与常见的PDF或Word文档附件相比，Visio文件较少被标记为威胁，这使其成为传递钓鱼链接的理想载体。

根据Perception Point的研究，攻击流程十分精密。攻击者通过控制被入侵的电子邮件账户发送钓鱼邮件，这些邮件能够通过身份验证检查。邮件通常包含.vsdx文件或.eml文件（Outlook邮件）附件，伪装成正常的商业文档如提案或采购订单。当用户点击邮件链接时，会被引导至托管Visio文件的Microsoft SharePoint页面，该文件可能带有被入侵组织的品牌标识。

攻击者在Visio文件中嵌入可点击链接，通常伪装成"查看文档"按钮。用户被要求按住Ctrl键并点击，这个看似微小的提示实际上能够绕过自动化安全工具。一旦用户按要求操作，就会被重定向到虚假的Microsoft登录页面，从而导致凭据被窃取。

安全公司Jamf最新的分析报告显示，已发现黑客组织开始利用Flutter应用程序框架向macOS设备投递恶意软件。这是该公司首次观察到威胁行为者利用Flutter框架针对macOS发起攻击。

Flutter是谷歌开发的一个简化跨平台应用程序设计的框架。Flutter应用具有独特的布局设计，能够为代码提供大量的混淆空间，这种与生俱来的代码混淆特性可能帮助攻击者规避网络安全防御。

研究人员发现了三种形式的恶意软件，除了基于Flutter构建的应用程序外，还包括Go语言变体和使用Py2App构建的Python变体。其中，Flutter应用因其反向工程的复杂性最为引人注目。研究人员确认了四个受感染的应用程序，其中两个使用了开发者签名。这些签名随后被苹果公司撤销。

研究人员认为，攻击者可能在测试一种新的武器化恶意软件方法，包括尝试观察带有隐藏在dylib中恶意代码的已签名应用是否能通过苹果的公证服务器审核，同时躲避防病毒软件的检测。这种新型攻击手法的出现提醒我们需要警惕看似正常的跨平台应用可能隐藏的安全风险。

近日，Sophos网络安全研究人员发现，Gootloader恶意软件正在通过污染谷歌搜索结果，瞄准特定人群进行恶意软件投放。作为一个高级恶意软件平台，Gootloader与REVil勒索软件和Gootkit银行木马有关，现已发展成为一个提供初始访问服务的多阶段攻击平台。

这种攻击主要通过SEO投毒实现，攻击者通过操纵搜索引擎结果来推广恶意网站。当用户点击这些看似合法的链接时，会触发三阶段的恶意软件攻击序列：首先下载包含混淆JavaScript的.zip文件；其次部署第二阶段负载，通过Windows任务计划程序和WScript.exe执行建立持久性；最后投放被称为"GootKit"的高级信息窃取工具和远程访问木马（RAT）。RAT通过PowerShell命令在受害者网络中保持持久性，并能够部署Cobalt Strike或勒索软件。

该恶意软件采用了多项高级规避技术，包括使用随机数字序列的文件名混淆方法、伪装成合法许可证注释的高度混淆JavaScript代码，以及通过AppDataRoaming规避系统路径检测。最新的3.0版本会创建名为"Huthwaite SPIN selling.dat"和"Small Units Tactics.js"的文件，并设置名为"Business Aviation"和"Destination Branding"的计划任务来增强其持久性。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

本文版权归原作者所有，如有侵权请联系我们及时删除