欢迎阅读本周的《威胁源》时事通讯。
四月时,我曾撰文探讨了在使用搜索引擎时无意间泄露信息的风险。自那时起,我一直在思考:生活并非只发生在键盘前,它也有社交的一面(至少别人是这么告诉我的)。随着感恩节的临近,现在似乎是转变思路、关注一个不同但相关的概念的绝佳时机:“分享需谨慎”。
对于我那些可能只把这一天当作普通周四的非美国朋友,请听我说完。这个季节给各地都带来了更高的风险。许多团队都在以“骨干人员”的模式运行,无论是由于假日模式(家庭、火鸡、橄榄球、休假)还是年终合规冲刺(比如NIS2和DORA)。与此同时,攻击者也加大了力度;在全球范围内,黑色星期五及类似活动是钓鱼活动的高峰期,攻击者常常利用虚假的员工福利邮件和其他季节性诱饵来窃取凭证。
那么,为什么要强调“分享需谨慎”呢?
最近,我访问了一所应用科学大学,做了一次客座讲座,并了解了学生们正在进行的项目。这是一次很棒的经历,不过为一群学生听众(并非我通常面对的群体)做准备颇具挑战性。他们已经知道些什么?他们对什么话题感兴趣?我应该给他们讲些STIX/TAXII的历史吗?地缘政治紧张局势?说实话,我当学生时对这些都不感兴趣。我选择从简单的开始,讨论威胁和DKIW金字塔是什么,然后重点介绍CVE、CVSS和KEV——这是我最喜欢的话题组合之一。
令我惊讶的是,学生们不仅积极参与提问,甚至在周五下午的晚些时候还留下来,深入讨论软件供应链风险等话题。我都不记得我当学生时曾在周五下午6点以后还留在大学里!一周后,当他们展示自己的项目时——许多项目都围绕身份验证、TOTP和智能卡展开——我对他们的想法以及他们正在解决的实际问题感到由衷的钦佩。
“分享需谨慎”是一种心态,它也能帮助我们珍视面对面发生的知识交流。
无论是餐桌上分享故事、邮件中分享IoC,还是在教室里分享想法,让我们都花点时间考虑一下,不仅是我们分享了什么,更是我们如何以及为何分享。我承认,我自己有时也会犹豫是否要分享某些故事,担心它们可能显得太明显、太无聊,或者甚至很愚蠢。但更多时候,正是那些坦诚相待的时刻引发了最好的对话和新的视角。
在忙碌或人手不足的时期,这一点尤其正确。为了不“打扰”别人,我们倾向于把想法藏在心里。实际上,分享一个有用的提示、一个担忧,或者仅仅是一个快速更新,对于那些可能正在承担额外责任或缺乏背景信息的同事来说,可能意义重大。
所以,在这个假日季,请“分享需谨慎”。深思熟虑的沟通不仅关乎保护信息——也是为了相互支持,尤其是在资源有限的时候。你永远不知道谁可能会从你的分享中受益,甚至你自己也不例外。
本周要闻
上周,思科Talos宣布了一项计划,将淘汰过时的ClamAV签名,以减小数据库规模,并通过关注当前相关威胁来提高效率。从2025年12月16日开始,“main.cvd”和“daily.cvd”数据库的大小将减少大约一半,提供更小的下载量和更低的资源使用率。如果旧的威胁重现,已淘汰的签名可能会被重新引入。为了增强安全性和便于管理,只有受支持的ClamAV容器镜像将继续在Docker Hub上提供。
为什么这很重要? 更小的签名数据库意味着更快的更新速度、更低的带宽和存储需求,以及更好的性能,尤其是在资源受限的系统上。通过将检测重点放在活跃威胁上,ClamAV可以更有效地防御当前恶意软件,而不会被过时的签名拖累。
接下来怎么办? 我们将继续监控已淘汰签名的活动,并在需要时恢复任何必要的签名以保护社区。请保持关注,如果旧的威胁重现,可以请求恢复已淘汰的签名。同时,我们建议ClamAV容器镜像用户选择一个功能发布标签,而不是特定的次要版本标签,以便及时获得安全更新和错误修复。
本周安全头条
-
第二波Sha1-Hulud攻击通过npm预安装脚本窃取凭证,影响超过25,000个代码库 这项新的供应链攻击活动被称为Sha1-Hulud,已危害了数百个npm包,这些包是在2025年11月21日至23日期间上传到npm的。攻击影响了来自Zapier、ENS Domains、PostHog和Postman等公司的流行包。
-
FBI:网络犯罪分子通过冒充银行支持团队窃取了2.62亿美元 自2025年1月以来,FBI的互联网犯罪投诉中心已收到超过5,100起投诉,这些攻击影响了个人以及各行业部门的企业和组织。
-
Everest勒索软件声称入侵了西班牙国家航空公司伊比利亚航空,窃取596 GB数据 该组织表示,数据涵盖多个国家的数百万客户,并称他们拥有长期访问权限,能够读取和修改预订信息。
-
CISA警告针对高价值Signal和WhatsApp用户的活跃间谍软件活动 周一,CISA发布警报,警告恶意行为者正积极利用商业间谍软件和远程访问木马(RAT)针对移动消息应用用户。
-
LINE消息应用漏洞为亚洲用户打开网络间谍活动之门 研究人员发现了严重的漏洞,可能导致三类主要的泄露:消息重放攻击、明文和贴图泄露,以及最令人担忧的,冒充攻击。
更多Talos资讯
-
Talos Takes播客:当被告知“没有预算”时 从配置现有资产,到开源策略,再到网络安全裁员的影响,本期节目充满了在经济低迷时期保护组织的实用指导。
-
Talos人物志:关于史诗般的阅读、终身学习和同理心 在本期节目中,Bill Largent分享了他加入Talos的原因,他对阅读的热爱如何塑造了他的网络安全理念,以及他为下一代网络安全专业人士分享的关键见解。
-
TTP播客:Talos如何将AI模型融入互联网最常被滥用的层级之一 Hazel与Talos研究员David Rodriguez探讨了对手如何利用DNS隧道从网络中窃取数据,为什么实时检测它如此困难,以及Talos如何在不中断互联网的前提下构建了一个AI模型来检测它。
Talos即将出席的活动
- AVAR (12月3日 – 5日) 马来西亚,吉隆坡
- Black Hat Europe (12月8日 – 11日) 英国,伦敦
过去一周Talos遥测数据中最普遍的恶意软件文件
-
SHA256: d933ec4aaf7cfe2f459d64ea4af346e69177e150df1cd23aad1904f5fd41f44a MD5: 1f7e01a3355b52cbc92c908a61abf643 示例文件名: cleanup.bat 检测名称: W32.D933EC4AAF-90.SBX.TG
-
SHA256: 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507 MD5: 2915b3f8b703eb744fc54c81f4a9c67f 示例文件名: e74d9994a37b2b4c693a76a580c3e8fe_1_Exe.exe 检测名称: Win.Worm.Coinminer::1201
-
SHA256: 90b1456cdbe6bc2779ea0b4736ed9a998a71ae37390331b6ba87e389a49d3d59 MD5: c2efb2dcacba6d3ccc175b6ce1b7ed0a 示例文件名: ck8yh2og.dll 检测名称: Auto.90B145.282358.in02
-
SHA256: 96fa6a7714670823c83099ea01d24d6d3ae8fef027f01a4ddac14f123b1c9974 MD5: aac3165ece2959f39ff98334618d10d9 示例文件名: 96fa6a7714670823c83099ea01d24d6d3ae8fef027f01a4ddac14f123b1c9974.exe 检测名称: W32.Injector:Gen.21ie.1201
-
SHA256: 26fa67db9a00f07600abe950d2ea0aed0ea7a0b49a0b5a452e3175ffa33970ff MD5: 71da0bf3094e3ed17bc5a1c78de80933 示例文件名: cleanup.bat 检测名称: W32.26FA67DB9A-90.SBX.TG