目 錄　　第一章 國內關鍵信息基礎設施安全動態簡訊　　(一)十部門聯合印發《加強工業互聯網安全工作的指導意見》　　(二)《關鍵信息基礎設施保護條例》已上報國務院有望年內出臺　　(三)江蘇丹陽半馬報名首日遭黑客入侵　　(四)某安全威脅感知系統截獲網銀大盜木馬　　(五)涉嫌網購、販賣28萬余條公民個人信息，5人被起訴　　第二章 海外關鍵信息基礎設施安全動態簡訊　　(一)威脅組織Lyceum目標瞄準中東地區能源領域公司　　(二)朝鮮黑客瞄準退休外交官和軍官　　(三)德國萬事達信用卡信息泄露 近9萬名用戶受影響　　(四)法國警方從850,000臺受感染的PC中遠程刪除了RETADUP惡意軟件　　(五)Magecart黑客破壞了80多個電子商務網站以竊取信用卡　　(六)托管服務商Hostinger數據泄露影響近1400萬客戶　　(七)卡巴斯基在下載量過億的應用CamScanner中發現了惡意軟件　　(八)網絡安全公司Imperva泄露了其WAF客戶的數據，包括SSL證書、API密鑰

　　第一章 國內關鍵信息基礎設施安全動態簡訊　　(一)十部門聯合印發《加強工業互聯網安全工作的指導意見》　　工業和信息化部、教育部、人力資源和社會保障部等十部門近日聯合印發《關于印發加強工業互聯網安全工作的指導意見的通知》，通知明確到2020年底，工業互聯網安全保障體系初步建立。制度機制方面，建立監督檢查、信息共享和通報、應急處置等工業互聯網安全管理制度，構建企業安全主體責任制，制定設備、平臺、數據等至少20項亟需的工業互聯網安全標準，探索構建工業互聯網安全評估體系。技術手段方面，初步建成國家工業互聯網安全技術保障平臺、基礎資源庫和安全測試驗證環境。產業發展方面，在汽車、電子信息、航空航天、能源等重點領域，形成至少20個創新實用的安全產品、解決方案的試點示范，培育若干具有核心競爭力的工業互聯網安全企業。到2025年，制度機制健全完善，技術手段能力顯著提升，安全產業形成規模，基本建立起較為完備可靠的工業互聯網安全保障體系?！　⒖紒碓矗汗I和信息化部

　　(二)《關鍵信息基礎設施保護條例》已上報國務院有望年內出臺　　2019北京網絡安全大會8月21日在北京國家會議中心開幕，在大會上了解到由中央網信辦和公安部共同制定的《關鍵信息基礎設施保護條例》已上報國務院，有望年內正式出臺?！　∈裁词顷P鍵信息基礎設施?　　關鍵信息基礎設施包含：關系到國家重大利益、人民群眾生命財產安全和社會生產生活秩序，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的基礎網絡、重要信息系統和數據資源。具體的系統涉及到：電公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等行業和領域中重要的信息系統或基礎網絡?！　∪绾巫龊藐P鍵信息基礎設施的網絡安全保護工作?　　一、“關基”需要及時開展網絡安全等級保護工作且系統等級不低于三級，這是基礎。因為網絡安全法第31條明確要求：關基在網絡安全等級保護制度的基礎上，實行重點保護。條例第6條也明確指出該要求?！　《?、建立健全“關基”安全檢測評估制度，關基上線運行前或者發生重大變化時需要進行安全檢測評估。同時每年對關基至少進行一次檢測評估，對發現的問題及時進行整改。網絡安全法第38條，條例28條明確有相關要求?！　∪?、完善內部安全管理制度和操作規程，設置專門網絡安全管理機構和網絡安全管理負責人，并對該負責人和關鍵崗位人員進行安全背景審查;定期對從業人員進行網絡安全教育、技術培訓和技能考核。網絡安全法第34條，條例24、25、27條有相關要求?！　∷?、采取技術措施，防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為;通俗點說：網絡版殺毒軟件、防毒墻、IPS、WAF、防火墻、堡壘機、數據庫防火墻等防護類設備要有，要有一定的技術措施保障關基的安全。網絡安全法21條，條例23條有相關要求?！　∥?、采取技術措施，監測、記錄網絡運行狀態、網絡安全事件，并按照規定留存相關的網絡日志不少于六個月;這里建議大家沒有日志審計設備的用戶抓緊配好，不然怎么保證能留存不少于6個月的日志量呢;資金相對充足的用戶也可以通過集中管理中心或者SOC平臺等相關產品實現這個要求。網絡安全法21條，條例23條有相關要求?！　×?、采取數據分類、重要數據備份和加密認證等措施，對重要系統和數據庫進行容災備份;重要的數據進行備份，重要的系統及數據庫進行容災備份，有條件的可以做異地應用容災備份，確保自己單位核心數據及應用的安全。網絡安全法34條，條例23、24條有相關要求?！　∑?、制定網絡安全事件應急預案并定期進行演練;這點不少用戶還不夠重視，可能有預案但都在管理制度里呢，沒有定期演練;或者應急預案簡單，考慮不周全，需要再加強并定期演練。網絡安全法34條，條例24、25條有相關要求?！　“?、及時對系統漏洞等安全風險采取補救措施;要求我們在發現或被告知相關漏洞等風險后及時進行安全整改，不能不管。那么如何發現這些風險呢?漏洞可以通過漏洞掃描器進行定期掃描檢測，其他的安全風險可以通過專項的安全檢測服務進行發現。不得不等建議這一條可以請專業第三方安全服務機構配合大家開展這塊工作。條例24條明確要求?！　⒖紒碓矗旱燃壉Ｗo測評

　　(三)江蘇丹陽半馬報名首日遭黑客入侵　　8月23日，江蘇鎮江丹陽市半程馬拉松比賽報名通道正式開通。隨后，有網友在丹陽當地論壇爆料稱，自己在聯系組委會公開郵箱進行咨詢時，卻被提醒“所屬域名不存在，郵件無法送達”。對此，23日當天，丹陽文體廣電和旅游局通過該論壇進行回復稱：“經查，有人入侵網站篡改規程信息，現已報警處理?！薄　?7日，北京青年報記者從賽事組委會了解到，網站被黑一事屬實，具體報警及后續處理均由報名網站具體運營方負責。賽事運營單位相關負責人介紹，網站被黑出現在23日報名通道開放前時，“大概是報名前一兩個小時，比賽規程信息被人篡改，但8、9點正式開放報名通道時，已經恢復正?！?。他表示，公司目前已經加大了對報名網站的管理、保護，后續報名工作一切順利，已成功報名4000余人。據該負責人介紹，目前警方對于網站被黑的調查尚無結果，組委會主要精力也都放在做好防范方面。

　　參考來源：北京青年報

　　(四)某安全威脅感知系統截獲網銀大盜木馬　　某安全威脅感知系統聚類出T-F-278915惡意家族，經分析該家族樣本會竊取多種虛擬貨幣、竊取多國(包含中文、日文、希臘語)銀行賬戶登錄憑證，刪除用戶的瀏覽器信息，并利用用戶電腦進行IQ虛擬貨幣挖礦等行為?！　≡撃抉R感染后監測到用戶進行網銀、支付相關的操作時，會復制剪貼板信息、截屏、進行鍵盤記錄，將中毒電腦隱私信息上傳，通過創建任務計劃、添加啟動項實現開機自動加載，病毒在做這些操作時，順便利用中毒機器的算力挖礦?！　∧壳霸摼W銀大盜木馬在國內已散在出現，其傳播渠道主要依靠釣魚欺詐類郵件。安全專家提醒用戶小心點擊來歷不明的郵件附件及郵件提供的網址?！　⒖紒碓矗核缓?/p>

　　(五)涉嫌網購、販賣28萬余條公民個人信息，5人被起訴　　8月26日，新京報記者從河北邯鄲市公安局叢臺區分局獲悉，在“凈網2019”專項行動中，邯鄲市公安局叢臺分局偵破一起特大侵犯公民個人信息案件，涉及北京、河北、浙江等全國20余省市。目前，5名主要犯罪嫌疑人涉嫌侵犯公民個人信息已被起訴。今日(8月27日)，叢臺區人民法院刑事庭一工作人員稱，此案正在審理中?！　【W購個人信息，推銷保健品非法獲利百萬　　據介紹，2018年6月，邯鄲市叢臺區某小區居民到叢臺區公安分局網安大隊反映，在小區一處房間內有一伙年輕人白天頻繁出入，行事神秘，疑似在搞傳銷。警方偵查發現，內有8人正在接打電話，辦公桌上零散放置有公民個人信息的紙張，印有包含姓名、電話、購買過的保健品、收貨住址等。房間墻角處還堆放著近一米高、已用過的A4紙，總計近萬張?！　?018年6月29日，警方將犯罪嫌疑人王某新等9人控制，查扣手機10部、電腦9臺、硬盤3塊?！　跄承鹿┦?，2017年6月至今，他以每條5毛到1元不等的價格從網上購買曾購買過保健品的公民個人信息，共計28萬余條。隨后，其雇用張某等13人為話務員，提供話術劇本，安排他們冒充正規保健機構，撥打電話推銷保健品，非法獲利140余萬元?！　」裥畔㈡湕l涉及全國20余省市　　警方表示，民警從涉案手機、電腦、硬盤內的數十萬條聊天記錄中，梳理出涉案人員關系脈絡，最終確定王某新先后從浙江嘉興姚某，河北張家口范某、祁某，湖南長沙王某強，北京郭某丹等處非法獲取大量公民個人信息?！　?018年7月至10月，上述 犯罪嫌疑人相繼被控制，相關電子設備被查獲。警方稱，經梳理，案件涉及一個全國的買賣公民信息鏈條。其中包含涉嫌買賣公民個人信息的人員134人，涉嫌買賣公民個人信息的線索1929條，涉及全國20余省市。目前該案還在進一步偵辦中?！　⒖紒碓矗盒戮﹫?/p>

　　第二章 海外關鍵信息基礎設施安全動態簡訊　　(一)威脅組織Lyceum目標瞄準中東地區能源領域公司　　在本月早些時候，安全公司Drago發布了一份報告表示他們發現了一個針對中東地區關鍵基礎設施的威脅組織，稱之為Hexane。近日，由網絡安全公司Secure Works也發布了關于這個威脅組織的報告，稱之為Lyceum?！　”M管大部分Lyceum攻擊都是針對能源領域的公司，但該組織還針對大中東，中亞和非洲的電信提供商?！　杉野踩径纪?，Lyceum / Hexane的目標是收集信息，而不是破壞運營;雖然它的活動與其他組的活動類似，但惡意軟件和基礎設施表明它們之間沒有關系?！　ecureWorks研究人員表示，Lyceum依靠密碼噴涂和暴力攻擊來破壞為目標組織工作的個人的電子郵件帳戶。在初始階段之后，黑客向公司中較高職位的人發送魚叉式網絡釣魚電子郵件。這些消息帶有安裝DanBot的惡意Excel電子表格 - 一種具有基本功能的遠程訪問木馬(RAT)。另一個工具是'Decrypt-RDCMan.ps1'，這是一個包含在PoshC2 框架中用于滲透測試的密碼解密工具。這用于存儲在遠程桌面連接管理器RDCMan的配置文件中的密碼。Lyceum使用第二個PowerShell腳本 - “Get-LAPSP.ps1” - 通過LDAP從Active Directory收集數據。在初始訪問目標環境后立即啟動。除了使用自己的工具集，Lyceum不會使用任何花哨的策略來達到他們的目標。它們依賴于宏，社交工程和安全測試框架，這些都是常見的。盡管如此，它在運營中是有效的，因為它自2018年4月以來一直在運行?！　芯咳藛T稱，Lyceum的目標包括高管，人力資源和IT人員。這些職位的個人是從受損內部帳戶發送的魚叉式網絡釣魚郵件的接收者。似乎工業控制系統(ICS)和操作技術(OT)工作人員不屬于該組的預定目標，盡管研究人員不能排除“威脅行為者在建立強大的訪問權限之后可以尋求訪問OT環境的可能性?！　⒖紒碓矗築leepingComputer

　　(二)朝鮮黑客瞄準退休外交官和軍官　　近日發現一個朝鮮的國家支持的黑客組織一直針對韓國的退休外交官、政府、和軍方官員發起攻擊，目標包括前大使，軍事將領以及韓國外交部和統一部的退休成員。

　　這些攻擊發生在7月中旬到8月中旬之間，針對官方的Gmail和Naver電子郵件帳戶，IssueMakersLab的創始人Simon Choi 接受ZDNet的采訪采訪時透露。

　　在技術層面，攻擊是基本的魚叉式網絡釣魚嘗試。朝鮮黑客發送電子郵件，將受害者重定向到偽造的登錄頁面，攻擊者將登錄受害者的帳戶憑據?！　⊥诵莨賳T是一個比較容易攻擊的目標，退休人員從事政府咨詢活動，他們與現任政府官員保持聯系。Choi表示，針對退休官員是一個明智的決定，因為他們往往比那些仍在職的官員更容易受到攻擊，因為在職的官員使用的網絡安全保護會對持續攻擊發出安全警報?！　∵@位韓國網絡安全專家懷疑黑客正在利用這些賬戶訪問這些賬戶，以便從退役官員那里收集信息，或者對現任者發起攻擊。Choi無法判斷黑客是否成功地破壞了任何電子郵件帳戶，但Choi能夠追蹤他們的來源?！　「鶕踩芯咳藛T的說法，這次攻擊是由著名的與朝鮮有關的政治網絡間諜組織Kimsuky進行的。該組織，也被稱為Kimsuki或Velvet Chollima，自2011年開始運作，并于2013年首次在卡巴斯基報告中詳細介紹。根據泰國CERT團隊編制的威脅組百科全書，該組織的歷史和主要目標包括各種韓國政府，核電站和軍事行動。在過去兩年中，該集團還將其部分業務擴展到包括外國目標，如學術機構(通過使用Chrome擴展)，外國事務部和美國智庫?！　⒖紒碓矗篫DNet

　　(三)德國萬事達信用卡信息泄露 近9萬名用戶受影響　　據歐聯網援引歐聯通訊社報道，近日，德國有近9萬個萬事達(Mastercard)信用卡用戶的信息，一度出現在網絡上。萬事達公司對此已經做出反應?！　蟮?，德國一個網絡論壇19日出現任何人都能打開的Excel表格，上面列出近9萬名德國萬事達信用卡用戶的信息?！　∵@些所泄露的資料全部都是來自參與了萬事達信用卡獎勵計劃“Princeless Specials”用戶的信息，其中包括姓名、郵箱地址、信用卡號碼的前兩位數及最后四位數，有的還包括用戶住址和手機號碼?！　〈撕缶W站迅速移除了表格，并提醒獲得表格的論壇用戶不要外傳?！　∪f事達公司隨后宣布，暫時關閉對德國開放不到兩年的“Princeless Specials”平臺，并表示，公司對待個人隱私非常嚴肅，會全面調查泄密原因。萬事達還強調，該事件與平臺的支付系統沒有關系?！　蟮婪Q，從表格抽樣核對的信息顯示，所涉及的泄密資料是真實的，不過表格中也出現了一些重名現象?！　∪f事達公司表示，如果客戶想知道自己的電子郵箱是否被盜，可以通過公司公布的網站查詢。若發現自己的郵箱地址被盜用，應該馬上更改密碼?！　⒖紒碓矗褐袊侣劸W

　　(四)法國警方從850,000臺受感染的PC中遠程刪除了RETADUP惡意軟件　　法國執法機構National Gendarmerie今天宣布成功拆除了最廣泛的RETADUP僵尸網絡惡意軟件之一，并在研究人員的幫助下對全球超過850,000臺計算機進行了遠程消毒?！　〗衲暝缧r候，正在積極監控RETADUP僵尸網絡活動的Avast反病毒公司的安全研究人員發現了惡意軟件的C&C協議中的一個設計缺陷，可能被利用來從受害者的計算機中刪除惡意軟件，而無需執行任何額外的代碼?！　∪欢?，為此，該計劃要求研究人員控制惡意軟件的C&C服務器，該服務器由位于法國中北部法蘭西島地區的托管服務提供商托管?！　∫虼?，研究人員于今年3月底聯系了法國國家憲兵隊的網絡犯罪戰斗中心(C3N)，分享了他們的調查結果，并提出了一項秘密計劃，以終止RETADUP病毒并保護受害者?！　「鶕嶙h的計劃，法國當局在7月份控制了RETADUP C&C服務器，并用準備好的消毒服務器取而代之，該服務器濫用其協議中的設計缺陷，并命令受感染計算機上的RETADUP惡意軟件的連接實例自毀?！　⊙芯咳藛T在一篇博文中解釋說：“在其活動的第一秒，有數千個機器人連接到它，以便從服務器獲取命令。消毒服務器對它們進行了響應并對它們進行了消毒，濫用了C&C協議設計缺陷?！薄　　霸诎l表這篇文章時，該合作已經消除了超過850,000個RETADUP的獨特感染?！薄　覒棻爣倚淌虑閳缶志珠LJean-Dominique Nollet稱，由于一些受感染的計算機尚未與警方控制的C&C服務器建立連接，當局將使消毒服務器保持在線狀態幾個月 -自7月以來一直處于脫機狀態，而其在找到美國RETADUP的C&C基礎設施的一些部分后，法國警方還聯系了FBI。聯邦調查局于7月8日將其刪除，使惡意軟件作者無法控制機器人?！　⊙芯咳藛T表示，“由于C&C服務器有責任向機器人提供礦業工作，因此沒有一個機器人接受任何新的采礦工作，以便在此次移除后執行?！?“這意味著他們不再能夠消耗受害者的計算能力，并且惡意軟件作者不再從采礦中獲得任何金錢利益?！薄　ETADUP創建于2015年，主要是整個拉丁美洲受感染的計算機，是一種多功能Windows惡意軟件，能夠利用受感染機器的計算能力，利用受害者帶寬的DDoSing目標基礎設施以及收集間諜信息來挖掘加密貨幣?！　ETADUP有幾種變體，其中一些是用Autoit編寫的，或者是使用AutoHotkey編寫的。該惡意軟件旨在實現Windows計算機上的持久性，在受感染的計算機上安裝其他惡意軟件負載，并定期執行其他嘗試進行自我傳播。

　　除了將加密貨幣惡意軟件作為有效載荷分發之外，在某些情況下，RETADUP也被發現傳播Stop勒索軟件和Arkei密碼竊取程序?！　　癈&C服務器還包含一個名為HoudRat的AutoIt RAT的.NET控制器?？纯碒oudRat的樣本，很明顯HoudRat只是一個功能更豐富，更不普遍的Retadup變種，”研究人員在分析了被查獲C&C服務器?！　　癏oudRat能夠執行任意命令，記錄擊鍵，截取屏幕截圖，竊取密碼，下載任意文件等等?！薄　≡诎l表這篇文章時，當局已經消除了超過850,000個Retadup的獨特感染，其中大多數受害者來自拉丁美洲的西班牙語國家?！　⒖紒碓矗篢heHackerNews

　　(五)Magecart黑客破壞了80多個電子商務網站以竊取信用卡　　網絡安全研究人員已經發現80多個Magecart受損的電子商務網站正在活躍地將在線購物者的信用卡信息發送給攻擊者控制的服務器?！　ite Group和Arxan Technologies的研究人員今天在與黑客共享的一份報告中透露，在美國，加拿大，歐洲，拉丁美洲和亞洲經營業務，其中許多受到侵害的網站都是賽車運動和高端時尚的知名品牌?！　≡谝粋€日益數字化的世界中，Magecart攻擊已成為電子商務網站的主要網絡安全威脅?！　agecart是一個專門用于秘密植入的不同網絡犯罪團體的總稱，在線信用卡瀏覽受到破壞的電子商務網站，意圖竊取其客戶的支付卡詳細信息?！　∵@些虛擬信用卡收款機，也稱為劫持攻擊，基本上是JavaScript代碼，黑客秘密插入受感染的網站，通常在購物車頁面上，旨在實時捕獲客戶的支付信息并將其發送給遠程攻擊者控制的服務器?！　agecart最近因為對英國航空公司，Ticketmaster，Newegg和其他公司等大公司進行了幾次高調的搶劫而成為新聞報道。

　　新披露的活動不屬于一群Magecart黑客; 相反，研究人員使用源代碼搜索引擎在互聯網上搜索混淆的JavaScript，其中包含以前在Magecart虛擬信用卡收視器中看到的惡意模式?！　「鶕芯咳藛T的說法，這項技術使他們能夠快速發現超過80個被Magecart小組攻陷的電子商務網站，其中大多數被發現運行過時的Magento CMS版本，這些版本容易受到未經身份驗證的上傳和遠程代碼執行漏洞的攻擊?！　　皼]有應用內保護，例如代碼混淆和篡改檢測，使得網絡應用容易受到一種稱為劫持的網絡攻擊，”研究人員說?！　　霸S多受感染的網站都在運行版本1.5,1.7或1.9。任意文件上傳，遠程代碼執行和跨站點請求偽造漏洞都會影響Magento 2.1.6及更低版本。雖然它無法以權威方式聲明這就是導致這些網站遭到破壞的原因，這些是Magento的易受攻擊的版本，允許攻擊者將表格劫持代碼注入網站?！啊　”M管研究人員尚未在其報告中對受損公司進行命名，但他們與聯邦執法部門合作，在發布報告之前通知所有受影響的組織以及場外服務器?！　　耙驗檫@是一個持續和積極的項目，我們決定不命名受害者網站，”研究人員告訴黑客新聞?！　〈送?，研究人員還分析了Magecart的貨幣化活動，發現除了在黑暗的網絡論壇上銷售被盜的支付卡數據外，攻擊者還在合法的在線購物網站上購買商品并將其運送到預先選定的商品騾子以試圖洗錢欺詐性交易?！　⊙芯咳藛T說：“為了招募商品騾子，攻擊者會發布工作，讓人們有能力在家工作并賺取大筆資金來接收和重新購買被盜信用卡號碼所購買的商品?！薄　∪缓篁呑优c當地托運人合作，他們獲得桌上付款，將商品送到東歐目的地，然后出售給當地買家，最終使攻擊者獲利，成為第二線收入?！　⊙芯咳藛T建議電子商務網站首先將平臺軟件更新或修補到最新版本，以保護他們免受已知漏洞攻擊?！　〕酥?，電子商務網站還應實施代碼混淆和白盒密碼術，以使對手無法讀取Web表單，以及檢測未經授權的網站文件修改的解決方案?！　∥覀冞€建議在線購物者定期查看其支付卡詳細信息和銀行對帳單，以了解任何不熟悉的活動。無論您注意到多少未經授權的交易，您都應該立即向您的金融機構報告?！　⒖紒碓矗篢heHackerNews

　　(六)托管服務商Hostinger數據泄露影響近1400萬客戶　　主機提供商Hostinger今天宣布，在最近發生的數據泄露事件允許未授權訪問客戶端數據庫后，該公司重置了1400萬客戶的登錄密碼?！　∈录l生在8月23日，第三方能夠訪問用戶名，用戶hash密碼，電子郵件，名字和IP地址?！　》掌鞔嬖谖词跈嘣L問　　Hostinger 今天在一篇博客文章中提供了有關該事件的更多細節，稱未經授權的一方訪問了他們的一個服務器，然后能夠獲得對客戶信息的進一步訪問?！　∵@是可以實現的，因為服務器具有授權令牌，允許訪問和權限提升到用于查詢客戶帳戶、電話號碼、家庭住址和公司地址等信息的RESTfulAPI?！　?這個API數據庫包括我們的客戶用戶名、電子郵件、hash密碼、名字和IP地址，已被未授權訪問。存儲客戶端數據的數據庫表中包含大約1400萬Hostinger用戶的信息。"　　該公司表示，財務數據和網站沒有受到任何影響。Hostinger服務的付款是通過第三方提供商完成的，內部調查表明，有關網站、域名和托管電子郵件的數據“沒有受到影響”?！　≡O置復雜的密碼　　hash密碼是防止入侵者以明文獲取敏感信息的一種好方法。但是，由于該公司使用sha1算法進行加擾，主機客戶端的密碼可能仍然存在風險?！　∈茉撌录绊懙囊晃籋ostinger的客戶聯系了該公司，詢問用于加密密碼的哈希算法。收到的答復是數據已使用SHA-1進行哈希處理，現在SHA-2用于重置密碼?！　⒖紒碓矗築leepingComputer

　　(七)卡巴斯基在下載量過億的應用CamScanner中發現了惡意軟件　　卡巴斯基的安全專家在流行的PDF創建者應用程序CamScanner應用程序的免費版本中發現了一個惡意軟件?！　amScanner是一款非常受歡迎的手機PDF創建者應用，在Google Play商店中下載量超過1億?？ò退够膶＜野l現了CamScanner應用程序的免費Android版本中的惡意軟件，攻擊者可以使用它遠程攻擊Android設備并竊取目標數據。

　　谷歌已經從官方Play商店中刪除了CamScanner應用程序，用戶必須立即從他們的Android設備上卸載該應用程序?！　阂廛浖芯咳藛T在應用程序中發現了一個Trojan Dropper模塊，遠程攻擊者可利用該模塊下載和安裝惡意負載而無需任何用戶交互?！　≡撃K隱藏在最近引入該應用程序作者的第三方廣告庫中?！　≡S多CamScanner用戶觀察到可疑行為并在過去幾個月內在Google Play商店發布了負面評論后發現了這個問題?！　　霸诜治鰬贸绦蚝?，我們看到其中包含一個包含惡意dropper組件的廣告庫。以前，經常會找到類似的模塊預裝中國制造的智能手機上的惡意軟件?？梢约僭O添加此惡意軟件的原因是應用開發者與不道德的廣告客戶的合作關系?！白x取卡巴斯基發布的分析?！　　翱ò退够鉀Q方案將此惡意組件檢測為Trojan-Dropper.AndroidOS.Necro.n。我們向Google公司報告了我們的調查結果，該應用程序已立即從Google Play中刪除?！　＜抑赋?，在中國智能手機上預裝的一些應用程序中也發現了同樣的模塊?！　覥amScanner應用程序后，dropper會解密并執行存儲在應用程序資源中的mutter.zip文件中包含的惡意代碼?！　≡撃K可用于執行不同目的的惡意代碼，從顯示受害者侵入式廣告到通過向付費訂閱收取移動帳戶中的資金?！　　翱ò退够a品將此模塊檢測為Trojan-Dropper.AndroidOS.Necro。n，我們在一些應用程序中觀察到過 預裝在中國智能手機上。顧名思義，該模塊是 Trojan Dropper。這意味著該模塊從應用程序資源中包含的加密文件中提取并運行另一個惡意模塊?！白x取卡巴斯基發布的分析?！胺催^來，這個”掉線“的惡意軟件是一個特洛伊木馬下載程序，可以下載更多惡意模塊，具體取決于其創建者目前的情況?！薄　」雀鑿腜lay商店中刪除了CamScanner應用程序后，該應用程序的開發人員使用最新更新從應用程序中刪除了惡意代碼。研究人員警告說，應用程序的版本因不同的設備而異，其中一些可能仍然包含惡意軟件?！　「顿M版本如果應用不包含第三方廣告庫，這意味著它不包含惡意軟件，因此Google尚未將其從Play商店中刪除?！　∽罱?，通過Google Play商店分發的其他受感染應用案例成為頭條新聞。上周，ESET專家發現，感染AhMyth開源RAT的Android應用程序在兩周內兩次繞過Google Play的安全性?！　?月份，Check Point的研究人員發現了一個復雜的惡意軟件活動，通過官方Google Play商店傳播SimBad代理。據專家介紹，在發現時已有超過1.5億用戶受到影響?！　?月，來自ESET的安全研究員Lukas Stefanko 發現了第一個在官方Google Play商店中冒充MetaMask的Android加密貨幣剪貼板劫持者?！　　拔覀兛梢詮倪@個故事中學到的是，任何應用程序 - 甚至是官方商店中的一個，甚至是一個聲譽良好的應用程序，甚至一個擁有數百萬正面評論和忠實用戶群的人 - 都可能在一夜之間變成惡意軟件”卡巴斯基研究人員總結道?！　⒖紒碓矗篠ecurityAffairs

　　(八)網絡安全公司Imperva泄露了其WAF客戶的數據，包括SSL證書、API密鑰　　網絡安全公司Imperva披露了一項數據泄露事件，該數據泄露事件暴露了其云網應用防火墻(WAF)產品(以前稱為Incapsula)的一些客戶的敏感信息。

　　Incapsula是一種云WAF服務，旨在保護客戶的網站免受所有威脅，并減輕DDoS攻擊必不可少的基礎設施。

　　Imperva首席執行官Chris Hylen透露，該公司于2019年8月20日獲悉該事件，當時該公司了解了影響云網絡應用防火墻(WAF)產品的數據風險?！拔覀兿Ｍ浅Ｇ宄?，這種數據暴露僅限于我們的Cloud WAF產品?！盚ylen宣布了這一消息?！耙韵率俏覀儗裉炀謩莸牧私猓?/p>

　　在2019年8月20日，我們從第三方那里了解到數據曝光會影響我們的云WAF產品的一部分客戶，這些客戶的賬戶截至2017年9月15日。截至2017年9月15日，Incapsula客戶數據庫的元素已曝光。其中包括：電子郵件地址和哈希和鹽漬密碼。泄露的數據包括2017年9月15日之前注冊的所有Cloud WAF客戶的電子郵件地址和散列和鹽漬密碼。Hylen補充說，截至2017年9月15日，對于Incapsula客戶的一部分，公開了API密鑰和客戶提供的SSL證書?！　≡摴就ㄖ虮O管機構，并在外部法醫專家的幫助下啟動了對安全漏洞的調查?！拔覀兗せ盍宋覀兊膬炔繑祿踩憫獔F隊和協議，并繼續調查我們資源的全部容量如何發生這種風險，”首席執行官繼續說道?！拔覀円淹ㄖm當的全球監管機構。我們聘請了外部法醫專家?！癐mperva沒有分享事件的細節，目前還不清楚它是否被黑客入侵，或者基礎設施中某些配置錯誤的組件導致數據泄漏?！拔覀儗Υ耸录陌l生深表遺憾，并將繼續分享未來的最新情況。此外，我們將分享可能來自我們調查的學習和新的最佳實踐，并與更廣泛的行業加強安全措施，“該公司總結道。該公司敦促云WAF用戶更改其密碼，實施單點登錄(SSO)，啟用雙因素身份驗證(2FA)，生成和上傳新的SSL證書，以及重置其API密鑰?！　⒖紒碓矗築leepingComputer