家庭群聊：你的最后一道网络安全防线

作者：Amy Ciminnisi

2025年10月2日星期四 14:00

威胁源通讯

欢迎阅读本周的《威胁源》通讯，祝大家网络安全意识月快乐。

和所有35岁以下、至少有一个父亲的人一样，我爸爸每周至少会给我发一次关于网络安全的建议。他从事信息安全行业吗？不。他是一名刚退休的高中音频工程老师，现在整天跟着游艇摇滚翻唱乐队巡演，还自己制作吉他。但在他的一生中，他一直是真正的文艺复兴者。从在布鲁斯·斯普林斯汀的巡演中演奏长号，到建造我们后院的甲板，再到罗斯IRA建议，再到贝尔实验室的历史，他的知识广度让我惊叹。实际上，我上周还打电话给他，询问在把车送到修理厂修理氧传感器之前，我还能开多久。

有一个领域我认为我比他强：网络安全。虽然强得不多，但我认为在Talos工作给了我优势——或者至少，让我能够接触到那些能告诉我应该对Facebook正在大肆炒作的问题有多担心的人。

尽管如此，这并没有阻止他源源不断地给我发送头条新闻和警告。以下只是我爸爸发给我的一些内容：

2024年1月31日：一段NBC新闻片段，前联邦调查局局长克里斯托弗·雷披露了针对美国关键基础设施的惊人黑客威胁，并提到了对Volt Typhoon的打击。
2024年9月19日：一篇文章解释说，如果你在网上购物时信用卡被拒付，你可能正在遭遇诈骗。
2025年5月1日：一段视频警告称“神秘包裹中的二维码可能会窃取你的身份”。
2025年6月22日：这段视频关于AI生成内容中嵌入的隐形水印。虽然没有其他的那么可怕（除非你是想蒙混过关的大学生），但很有趣。这篇文章提供了更深入的理解。

即使没有深入调查，这些标题也揭示了很多关于网络安全焦虑如何在社交媒体上分享和放大的情况。这个循环可能对我们很多人都很熟悉：技术不断进步，但保护彼此的冲动从未真正改变。无论你是家人的IT服务台，还是那些深夜警告的接收者（或者两者都是），每一条信息都是分享知识、平息恐惧、帮助彼此在一个总是在我们脚下变化的世界中导航的机会。

所以，下次你爸爸（或妈妈、阿姨、奶奶）给你发一个听起来有点牵强的链接时，花点时间欣赏其背后的意图。他们可能并不总是能准确掌握细节，但他们的关心是真实的。以他们自己的方式，这又是另一层安全防护。

深吸一口气，呼出，让我们开始吧。

重要事件

思科Talos发现了一个中文网络犯罪组织UAT-8099，该组织正在入侵印度、泰国、越南、加拿大和巴西等国家信誉良好的互联网信息服务（IIS）服务器。他们的主要目标是通过操纵搜索结果获利并窃取敏感数据（如凭据和证书），通常使用高级工具和自定义恶意软件来避免检测。该组织长期维持对这些服务器的访问权限，并保护其控制权免受其他攻击者的侵害。

为什么我要关心？ 网络犯罪分子正在进化，以针对可信基础设施获取经济利益并更深地访问有价值的数据。在这次活动中使用自动化、自定义恶意软件和持久化技术表明，UAT-8099可以影响广泛的组织。

那么现在该怎么办？ 检查您的环境中是否存在BadIIS恶意软件的迹象、未经授权的Web Shell以及IIS服务器上可疑的RDP或VPN活动。此外，加强服务器防御，监控异常流量，并在安全社区内共享入侵指标（IOCs）以帮助防止进一步攻击。

本周安全头条

CISA 2015年网络威胁信息共享法因政府停摆而失效 防御者失去了该法案提供的信息共享责任保护，政府也失去了对私营部门新兴威胁的大量可见性。（CSO）
对JLR的网络攻击促使英国政府干预15亿英镑 周日的公告称，该支持计划旨在“在最近发生网络攻击后，给其供应链带来确定性”。一些专家认为，此次救助将鼓励网络犯罪分子继续针对网络安全薄弱的英国公司。（Security Week）
Neon付费让用户录制电话通话并将数据出售给AI公司 令人难以置信的是，这款应用曾在美国苹果App Store的社交网络部分排名第二。他们的营销声称只录制你这一侧的通话，除非对方也是Neon用户。（TechCrunch）
“Klopatra"木马在你睡觉时进行银行转账 一种复杂的新银行恶意软件难以检测，能够窃取大量资金，并以盗版流媒体应用为幌子感染意大利和西班牙的数千人。（Dark Reading）

您可以找到Talos的即将举行的活动

Wild West Hackin’ Fest（10月8日至10日）美国南达科他州戴德伍德
DEEP Conference（10月22日至23日）克罗地亚佩特查内

过去一周Talos遥测中最普遍的恶意软件文件

SHA256: d933ec4aaf7cfe2f459d64ea4af346e69177e150df1cd23aad1904f5fd41f44a MD5: 1f7e01a3355b52cbc92c908a61abf643 Talos Rep: https://talosintelligence.com/talos_file_reputation?s=d933ec4aaf7cfe2f459d64ea4af346e69177e150df1cd23aad1904f5fd41f44a 示例文件名: cleanup.bat 检测名称: W32.D933EC4AAF-90.SBX.TG
SHA256: 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507 MD5: 2915b3f8b703eb744fc54c81f4a9c67f Talos Rep: https://talosintelligence.com/talos_file_reputation?s=9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507 示例文件名: VID001.exe 检测名称: Win.Worm.Coinminer::1201
SHA256: 41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610 MD5: 85bbddc502f7b10871621fd460243fbc Talos Rep: https://talosintelligence.com/talos_file_reputation?s=41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610 示例文件名: 85bbddc502f7b10871621fd460243fbc.exe 检测名称: W32.41F14D86BC-100.SBX.TG
SHA256: 3d8eeb6df4a2d777f18d0f15b19cd9666a78927013b8359c883bff423d9faaec MD5: 5b7948e7ca9742a33be8403b3285a1aa Talos Rep: https://talosintelligence.com/talos_file_reputation?s=3d8eeb6df4a2d777f18d0f15b19cd9666a78927013b8359c883bff423d9faaec 示例文件名: onestart.exe 检测名称: W32.3D8EEB6DF4-95.SBX.TG
SHA256: c0ad494457dcd9e964378760fb6aca86a23622045bca851d8f3ab49ec33978fe MD5: bf9672ec85283fdf002d83662f0b08b7 Talos Rep: https://talosintelligence.com/talos_file_reputation?s=c0ad494457dcd9e964378760fb6aca86a23622045bca851d8f3ab49ec33978fe 示例文件名: f_04b985.html 检测名称: W32.C0AD494457-95.SBX.TG