泰国警方遭Yokai后门袭击，部分执法数据安全性或面临威胁

日前，泰国警方系统遭“妖怪”（Yokai）后门软件攻击。Netskope的安全研究人员近期发现两个伪装成.pdf和.docx文件的快捷方式（LNK）文件，文件名直白地显示与美国政府和泰国的官方事务有关。与这些虚假文件相关的攻击链巧妙地利用合法的Windows二进制文件来传递此前未知的后门程序。此程序似乎是为运行命令行而仓促开发的，研究人员指出其存在导致系统意外崩溃的风险。

在此次钓鱼攻击中，诱饵文件从泰语翻译过来是“美国司法部.pdf”和“紧急，美国当局寻求刑事事务国际合作.docx”，具体提及了与1996年一名员工失踪及疑似谋杀案有关的美国人。研究人员认为，诱饵文件表明它们是发给泰国警方的，攻击者动机是获取泰国警方系统的访问权限。

与其他钓鱼攻击类似，打开这些文件中的任何一个都会导致受害者下载恶意软件，攻击者利用“esentutl”（一种用于管理可扩展存储引擎（ESE）数据库的合法Windows命令行工具），具体是滥用其访问和写入备用数据流（ADS）的能力。“Yokai”后门程序进入新系统后，会与命令与控制（C2）基地进行联系，建立加密通信通道，然后等待指令，它可以运行任何普通命令行以窃取数据、下载其他恶意软件等。

日前，卡巴斯基研究人员将检测到的新一轮网络攻击与名为“The Mask”的网络间谍组织联系起来。

“The Mask”组织（也称“Careto”）是一个备受瞩目的由国家支持的黑客组织，一直以政府机构、外交办公室、大使馆、外交使团和能源公司为目标。卡巴斯基在2014年首次识别出该APT组织，当时卡巴斯基称其为所见过的最复杂的APT行动。

在最近的攻击中，“The Mask”组织使用恶意扩展进行侦察、文件系统交互和有效载荷执行。2024年初，攻击者使用hmpalert.sys驱动程序和Google Updater部署了一种名为FakeHMP的新植入物，可实现文件检索、键盘记录、截屏和进一步的有效载荷操作，还部署了麦克风记录器和文件窃取器。

此外研究人员发现受害组织在2019年曾遭受使用“Careto2”和“Goreto”框架的攻击。攻击者使用加载器、安装程序和辅助注册表文件部署Careto2，然后通过COM劫持维持持久性。该框架从虚拟文件系统加载插件，插件名称被哈希为DJB2值。

趋势科技的研究人员日前发现，臭名昭著的APT29（又名“Midnight Blizzard（午夜暴雪）”）黑客组织正利用由193个远程桌面协议代理服务器组成的网络，借助PyRDP红队代理工具发起中间人（MiTM）攻击，针对是政府和军事组织、外交实体、IT和云服务提供商以及电信和网络安全公司。

趋势科技将威胁行为者追踪为“Earth Koshchei”。黑客使用名为PyRDP的Python中间人MiTM红队工具拦截受害者与远程会话之间的所有通信，让连接看似合法。该工具允许攻击者记录明文凭证或NTLM哈希值、窃取剪贴板数据、窃取传输的文件、在后台从共享驱动器窃取数据，并在新连接上运行控制台或PowerShell命令。

远程桌面协议（RDP）是微软开发的专有协议，常用于远程管理、技术支持以及企业环境中的系统连接。2024年10月，亚马逊和乌克兰计算机应急响应小组（CERT-UA）发布报告证实，APT29通过诱使受害者运行钓鱼邮件附件中的文件，使其连接到恶意RDP服务器。一旦连接建立，包括磁盘、网络、打印机、剪贴板、音频设备和COM端口等本地资源就会与攻击者控制的RDP服务器共享，使攻击者能够无条件访问敏感信息。

网络安全研究人员发现，一场利用Linux eBPF技术的恶意软件活动正在进行中，其目标是全球的企业和用户。黑客利用eBPF的底层功能来隐藏活动、收集数据并绕过安全措施，这使得检测极具挑战性。攻击者使用eBPF rootkit来隐藏自身踪迹，并投放能够进行流量隧道传输的远程访问木马，以便在私有网络内维持通信。

值得注意的是，恶意软件的配置并非存储在私人服务器上，而是放在GitHub和博客等公共平台，伪装恶意活动为合法行为。近年来，基于eBPF的恶意软件使用呈上升趋势，仅2024年就发现了超100个新漏洞，像Boopkit和BPFDoor等恶意软件家族不断出现。

eBPF原本旨在更好地控制Linux操作系统的网络功能，但在此次攻击中，其底层能力被黑客恶意利用。自2023年以来，恶意eBPF软件的使用不断增加，多个恶意软件家族涌现，eBPF技术众多漏洞的发现更是雪上加霜。这一持续的网络攻击再次表明，受政府支持的黑客和网络犯罪分子为达目的不择手段，他们利用eBPF等先进技术并使用公共平台存储配置的策略便是例证。

12月18日，欧盟委员会发布报告向苹果公司施压，要求其进一步开放iOS系统，提升数据互操作性。此举引发了苹果公司的强烈反对，并特别点名Meta公司提出的访问请求，可能会损害用户隐私。

据了解，Meta公司已在欧盟《数字市场法案》（DMA）框架下提出了15项互操作性请求，数量超过任何其他公司。对此，苹果在一份提供给路透社的公开声明中指出，Meta 提出的这些请求可能会损害用户安全和隐私。苹果公司表示，“在很多情况下，Meta 正在寻求以一种引发对用户隐私和安全担忧的方式改变功能，而这些变更似乎与 Meta 外部设备（例如 Meta 智能眼镜和 Meta Quest）的实际使用完全无关。”

苹果公司警告，如果必须批准所有这些请求，Facebook、Instagram 和 WhatsApp 等 Meta 旗下应用将能够读取用户设备上的所有消息和电子邮件，查看用户拨打或接收的每个电话，跟踪用户使用的每个应用程序，扫描用户的所有照片，查看用户的文件和日历事件，记录用户的所有密码等等。

思科系统公司日前宣布，计划收购威胁检测及工程平台提供商SnapAttack。交易完成后，SnapAttack的平台将并入思科的 Splunk 业务，助力加速其威胁检测战略，强化企业安全运营。

SnapAttack创立于2021年，其技术可为安全分析师提供关键信息，助其持续评估、整理及优化安全内容，精简在技术资产范围内的威胁检测研究、编写、验证及部署流程。该公司表示，其平台融入思科Splunk业务后，将进一步推动思科内生的威胁检测路线图，助力企业优化安全运营，构建更具威胁感知力的防御体系。

SnapAttack已在协助那些从竞品安全方案转投思科Splunk的企业，使其能便捷地适配、部署并验证现有安全内容至Splunk平台，助力这些企业实现安全信息与事件管理（SIEM）策略的现代化升级。

12月19日，在外交部发言人林剑主持的例行记者会上，路透社记者提问，据《华尔街日报》报道，美国政府正在考虑一项基于国家安全的禁令，目标是一家中国路由器制造商TP-Link，请问外交部对此举有何评论？林剑表示，我们一贯反对美方泛化国家安全概念，针对特定国家企业采取歧视性做法。中方将采取坚决措施，坚定维护中国企业的正当合法权益。

同样在19日下午商务部召开的例行新闻发布会上，彭博社记者提问，美国政府对中国创立的路由器制造商TP-Link发起了一项国家安全调查。中国商务部对此有何评论？商务部发言人何咏前表示，中方注意到有关报道。我想强调的是，中方一贯反对美方打着国家安全的幌子打压中国企业。美方的有关调查应客观理性，而不是无中生有，搞“有罪推定”。

近日，美国政府以所谓的 “构成国家安全风险” 为由对 TP-Link 展开调查并考虑实施禁令 。美方声称 TP-Link 路由器可能被用于对美国发动网络攻击，且微软10 月份的报告指出，被黑客入侵的 SOHO 路由器僵尸网络 “CovertNetwork-1658” 主要由 TP-Link 设备组成， 威胁行为者可利用路由器漏洞获取远程代码执行能力，进而执行计算机网络利用活动。

中国网络空间安全协会12月18日发布公告称，根据《中国网络空间安全协会团体标准管理办法（试行）》有关规定，经评审组专家审查通过，中国网络空间安全协会批准《隐私计算 总体框架》（T/CSAC 005-2024）、《隐私计算 脱敏控制技术要求》（T/CSAC 006-2024）、《隐私计算 脱密算法能力评估技术要求》（T/CSAC 007-2024）、《隐私计算 脱敏效果评估技术要求》（T/CSAC 008-2024）、《隐私计算 删除控制技术要求》（T/CSAC 009-2024）、《隐私计算 删除方法和删除效果评估技术要求》（T/CSAC 010-2024）六项团体标准，现予以发布，自2024年12月18日起实施。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

本文版权归原作者所有，如有侵权请联系我们及时删除