新闻速览

•SEC新设网络新兴科技执法部门，重点打击网络犯罪

•加密货币遭遇史上最大黑客攻击，Bybit被盗14亿美元以太币

•数据大使馆:国家保护关键信息的新方式

•苹果被迫在英国停用iCloud端到端加密，回应政府获取后门政令

•新型恶意软件ACRStealer利用Google文档作为C2服务器，窃取1.2万个凭证

•GitHub惊现Windows WiFi凭证窃取恶意工具

•高危命令注入漏洞威胁Palo Alto防火墙, PoC攻击代码已发布

•谷歌云推出量子安全数字签名,提前应对量子计算威胁

热点观察

SEC新设网络新兴科技执法部门，重点打击网络犯罪

美国证券交易委员会(SEC)于2月20日宣布成立网络和新兴技术部门 （CETU）,专注于打击与网络相关的犯罪活动,并保护散户投资者免受新兴技术领域犯罪分子的侵害。

CETU由SEC多个办公室的约30名欺诈专家和律师组成,取代了之前的加密和网络部门。此外,它还将与加密货币特别工作组互相配合。该工作组于今年1月成立，旨在为加密资产市场提供联邦证券法的适用明确性,并建议实用的政策措施来促进创新和保护投资者。

CETU将着重于七个打击不当行为的优先领域:利用人工智能和机器学习等新兴技术实施欺诈;利用社交媒体、暗网或虚假网站实施欺诈;黑客攻击获取内幕信息;接管散户经纪账户;涉及区块链技术和加密资产的欺诈;受监管实体遵守网络安全规则和法规的情况;上市公司有关网络安全的欺诈性披露。

原文链接：

https://cybernews.com/crypto/us-sec-unit-fight-cyber-crypto-crimes/

加密货币遭遇史上最大黑客攻击，Bybit被盗14亿美元以太币

全球第二大加密货币交易所Bybit在2月21日确认,该交易所遭遇重大安全漏洞,导致约14亿美元的以太币被盗。被盗资金来自Bybit的一个冷钱包。冷钱包被设计用于离线存储加密货币,通常被认为是高度安全的。

Bybit首席执行官Ben Zhou在一份声明中承认了此次事件,并确认公司目前正在彻底调查入侵原因及损失范围。独立区块链调查员ZachXBT追查到被盗资金直接流向臭名昭著的黑客组织Lazarus，并向区块链分析公司Arkham Intelligence提交了包括详细的测试交易、连接的钱包地址、取证图和时间分析等在内的信息。他的发现得到了Arkham Intelligence的证实,并与Bybit团队分享以进一步调查。在全球加密货币安全团队的协作下，一天内成功阻止了价值 4289 万美元的被盗资产流通。

尽管遭受重大损失,但 Bybit 宣布平台的存取款业务已恢复正常。不过,该交易所警告用户谨防冒充 Bybit 员工的诈骗分子。此次大规模窃案无疑引发了Bybit用户和加密货币市场的广泛焦虑。人们质疑如何能从一个通常与互联网隔离以防范在线攻击的冷钱包中盗取如此大量的加密货币。

原文链接：

https://hackread.com/bybit-hack-billion-stolen-largest-crypto-exchange/

https://hackread.com/investigators-link-bybit-hack-north-korea-lazarus-group/

数据大使馆:国家保护关键信息的新方式

随着网络威胁和自然灾害风险的增加,越来越多的国家开始将公民数据备份到境外”数据大使馆”中,以确保关键信息的安全。这种做法类似于在外国领土上设立使馆,数据大使馆内的数据受东道国法律管辖,但所有权和管理权仍归数据所有国掌控。

爱沙尼亚和摩纳哥分别与卢森堡签署协议,将公民数据存储在卢森堡的数据中心。新加坡也正在与印度就在印度经济特区建立数据大使馆进行谈判。这种做法旨在为关键数据提供冗余备份,以防网络攻击、自然灾害或其他灾难导致数据丢失。

不过,数据大使馆面临诸多挑战。首先,在境外托管公民信息需要大笔投资。其次,地缘政治形势和东道国政府政策的变化,可能影响双方协议的执行。再者,复杂的法律保护措施使得谈判过程艰难漫长。此外,单一数据大使馆或许无法提供足够的数据保护。

原文链接：

https://www.darkreading.com/cyber-risk/nations-data-embassies-protect-critical-info

苹果被迫在英国停用iCloud端到端加密，回应政府建立后门政令

由于英国政府要求获取加密用户数据的后门访问权限, 苹果公司决定立即在英国停止提供iCloud的”高级数据保护”(Advanced Data Protection,ADP)功能。

苹果对媒体表示:”鉴于数据泄露和其他威胁用户隐私的情况不断上升,我们深感失望,ADP提供的保护无法为英国客户提供。” ADP是iCloud的一项可选设置,可确保只有用户的受信任设备能够访问用于解锁存储在云端的数据的加密密钥。已启用ADP的客户需要手动禁用该功能一段时间,因为苹果”无法代表他们自动禁用”。

这一前所未有的决定仅在几周前英国政府下令苹果为任何苹果用户的iCloud内容建立后门接入权限的报道之后出台。在英国暂停ADP功能后,苹果现在只为iCloud提供标准数据保护,即将用户数据加密,但将加密密钥存储在自己的数据中心,从而可在获得令状后向执法部门提供访问权限。

原文链接：

https://thehackernews.com/2025/02/apple-drops-iclouds-advanced-data.html

网络攻击

新型恶意软件ACRStealer利用Google文档作为C2服务器，窃取1.2万个凭证

近日，研究人员发现新型恶意软件ACRStealer的变种利用Google文档作为命令和控制(C2)服务器,绕过传统安全防御并窃取敏感的登录凭证。网络安全公司ThreatSec披露了这一活动,指出已有逾1.2万个来自金融、医疗保健和电子商务行业的企业账号遭到了入侵。

该恶意软件通过在看似无害的Google文档中嵌入恶意脚本,一旦受害者打开文档,就会触发多阶段的恶意载荷获取过程。ACRStealer利用Google文档API与攻击者控制的文档进行通信,使网络流量看起来合法无虞。研究人员证实,被窃取的数据通过伪装成常规用户活动的Google表单提交进行渗透。

ACRStealer的核心功能依赖于滥用Google的OAuth 2.0框架来认证并与文档交互。该恶意软件首先会检查其配置中硬编码的特定文档ID,该文档包含加密的C2指令。它会从文档的原始文本内容中获取一个Base64编码的恶意载荷,并在受害者机器上解码和执行。被窃取的凭证被构造成JSON格式的提交内容,模仿合法的浏览器流量。

截至2月21日,Google已撤销与ACRStealer相关的43个被入侵文档的访问权限,但研究人员警告,模仿此类活动的行为可能即将出现。由于传统安全工具难以标记出滥用Google文档等平台的行为,主动的威胁搜寻和用户教育仍然是关键的防御措施。

原文链接：

https://cybersecuritynews.com/acrstealer-malware-exploiting-google-docs/

GitHub惊现Windows WiFi凭证窃取恶意工具

一个名为”Windows-WiFi-Password-Stealer”的GitHub仓库近日引起了网络安全专家的关注。该仓库由某用户托管,包含一个基于Python的脚本,能够从Windows系统中提取已保存的WiFi凭证并将其保存到文本文件中。恶意行为者可以轻松重新利用该代码进行凭证收集,从而实现未经授权的网络访问或在已入侵环境中横向移动。

虽然该仓库声称是出于教育目的,但其被滥用为恶意工具的潜在风险不容忽视。该工具执行合法的网络shell命令netsh wlan show profile,生成包含配置详细信息的XML文件,其中包括明文形式的预共享密钥(PSK)。这些XML文件会暂时存储在系统的工作目录中,由Python脚本解析以分离出密码,然后删除以逃避检测。该方法利用了Windows本机处理WiFi凭证的方式,凭证以加密形式存储在凭证管理器中。

该工具的简单性和开源性降低了被滥用的门槛，在GitHub等平台上的公开可用性带来了重大风险。安全专家建议组织实施WiFi访问的多因素身份验证,并定期轮换PSK，以减少凭证泄露的影响。

原文链接：

https://cybersecuritynews.com/windows-wi-fi-password-stealer-github/

安全漏洞

高危命令注入漏洞威胁Palo Alto防火墙, PoC攻击代码已发布

近日，谷歌的零日漏洞团队Project Zero和Mandiant网络安全团队共同公布了针对Palo Alto Networks的PAN-OS OpenConfig插件中一个高危命令注入漏洞(CVE-2025-0110)的概念验证(PoC)攻击代码。该漏洞允许经过身份验证的管理员通过操纵gNMI请求在防火墙上执行任意命令,从而提升权限获得root访问权限。

此次披露是在Palo Alto Networks于2025年2月发布补丁后进行的。CVE-2025-0110存在于PAN-OS OpenConfig插件中,该插件通过gNMI协议实现网络设备配置。攻击者可以通过在检索系统日志时将恶意命令注入XPATH查询的type参数中,从而绕过安全限制。一旦成功利用,攻击者可以重新配置防火墙、窃取敏感数据或部署持久后门。

该漏洞与本月早些时候修补的CVE-2025-0108身份验证绕过漏洞相结合时,危险性就更大了。Palo Alto Networks已确认此链式攻击向量正在被积极利用,GreyNoise观察到26个恶意IP针对暴露的管理接口发起攻击。Shadowserver Foundation的数据显示,截至2月21日,仍有超过3,500个PAN-OS管理接口暴露在互联网上未打补丁。

原文链接：

https://cybersecuritynews.com/google-released-poc-exploit-for-palo-alto-firewall/

行业动态

谷歌云推出量子安全数字签名,提前应对量子计算威胁

为了应对未来量子计算对传统加密方案的破解风险,谷歌云已在其密钥管理服务(Cloud KMS)中引入了量子安全数字签名功能,目前处于预览阶段。这一举措符合美国国家标准与技术研究院(NIST)的量子密码学(PQC)标准。

Cloud KMS是谷歌云用于安全生成、存储和管理加密密钥的工具,这些密钥用于加密和签名数据。目前使用的传统公钥加密算法如，RSA和ECC,存在未来被”先收集后解密”(HNDL)攻击破解的风险。为了保护数据的长期安全,谷歌正在Cloud KMS(软件)和Cloud HSM(硬件安全模块)中集成量子抗性密码学。所采用的两种算法是基于格的数字签名算法ML-DSA-65(FIPS 204)和无状态哈希签名算法SLH-DSA-SHA2-128S(FIPS 205)。Cloud KMS现在允许用户使用这些新的PQC算法签名和验证数字签名,就像使用传统密码学一样。加密实现将开源(通过BoringCrypto和Tink库),保持透明度并允许独立安全审计。

谷歌邀请各组织开始测试并将量子抗性算法集成到现有部署中,并反馈意见以帮助解决任何问题。

原文链接：

https://www.bleepingcomputer.com/news/security/google-cloud-introduces-quantum-safe-digital-signatures-in-kms/