•国家网络安全通报中心：重点防范10个境外恶意网址和恶意IP

•EFF牵头起诉，阻止马斯克DOGE访问美国联邦员工数据

•CISA和FBI发布新警报 敦促消除软件缓冲区溢出漏洞

•Doxbin平台遭“黑吃黑”，用户数据和内部黑名单泄露

•黑客利用DeepSeek的热度创建钓鱼网站，传播恶意软件

•网络犯罪新手段:Clop勒索软件长期潜伏受害者系统

•高级钓鱼工具Astaroth现身，实时拦截数据绕过双因素认证

•英伟达容器工具存在严重漏洞，人工智能项目或受影响

•台湾电路板巨头敏实集团遭勒索软件攻击，377GB文件疑被窃

•网安巨头SailPoint成功IPO，募集13.8亿美元

中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、挖矿木马、远程控制、后门利用等，对中国国内联网单位和互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪。

相关恶意网址和恶意IP归属地主要涉及：美国、法国、荷兰、瑞士等。主要情况如下：

1.mo.t1linux.com

（关联IP地址：216.152.18.8）

2．pool.dudiito.dev

（关联IP地址：5.78.130.39

3. ddos.howardwang2312.com

（关联IP地址：91.216.169.28）

4. 9cpanel.hackcrack.io

（关联IP地址：147.124.205.158）

5. fidapeste2.duckdns.org

（关联IP地址：192.169.69.26）

6. banthis.su

（关联IP地址：185.142.53.6）

7. 62.210.28.199

8. seyfhg.work.gd

（关联IP地址：146.19.188.249）

9. 501799.prohoster.biz

（关联IP地址：185.212.130.11）

10. 176.96.131.55

国家网络安全通报中心建议：对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件；及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问；向有关部门及时报告，配合开展现场调查和技术溯源。

原文链接：
https://mp.weixin.qq.com/s/szInvRwcOcs62eBYqWRr2A

电子前沿基金会(EFF)正领导一个联盟，试图阻止埃隆·马斯克的政府效率部门(DOGE)访问数百万美国政府员工的数据。

2月11日，EFF与个别联邦员工和包括美国政府员工联合会、行政法法官协会在内的多个员工工会一同，对DOGE和美国人事管理办公室(OPM)提起诉讼。原告要求纽约南区法院阻止DOGE访问OPM存储的数百万美国人的私人信息，并删除目前为止从数据库收集或移除的任何数据。

DOGE是特朗普总统于1月成立的，旨在减少联邦开支和消除过多监管的临时合同实体。在诉状中，原告指控马斯克和其他DOGE员工在非政府雇员的情况下获得了OPM计算机网络的访问权限。EFF在公开声明中表示:"这种公然掠夺美国人敏感数据的行为是前所未有的。"EFF还断言，这种做法违反了《隐私法案》，该法案要求在披露有关个人的政府记录之前必须获得书面同意。

作为美国联邦人力资源机构，OPM管理着该国最大规模的联邦员工数据集之一。根据EFF的说法，该数据集中的信息一旦处理不当，可能导致无法详述的严重且各种滥用，令联邦员工处于严重风险之中。

原文链接：

https://www.infosecurity-magazine.com/news/eff-lawsuit-us-doge-musk-opm-data/

美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)于2月12日发布新警报，概述了消除软件缓冲区溢出漏洞的策略。作为"安全设计"警报系列的一部分，该报告强调使用内存安全编程语言和其他安全开发实践，以防止这些常被恶意行为者利用的缺陷。

缓冲区溢出漏洞发生于软件不当访问内存时，导致数据损坏、崩溃和未经授权的代码执行等风险。威胁行为者利用这些漏洞渗透网络，通常将其作为更广泛攻击的切入点。

CISA和FBI敦促软件制造商采取以下策略:

• 对于新代码，使用Rust等内存安全编程语言；

• 实施编译器保护，如运行时检查和渐进式推进；

• 进行对抗性测试，包括静态分析和模糊测试；

• 发布将遗留代码过渡到内存安全替代方案的路线图。

该报告还强调了三项软件安全开发核心原则:

• 安全成果的责任：制造商必须主动消除漏洞，减少对补丁和更新的依赖；

• 透明度：供应商应明确披露漏洞，并维护健全的事件响应协议；

• 战略领导力：高管必须要求内存安全转型，优先考虑长期安全投资。

CISA和FBI鼓励制造商和客户承诺“安全设计”，优先考虑从一开始就嵌入安全性的产品。

原文链接：

https://www.infosecurity-magazine.com/news/cisa-fbi-buffer-overflow/

臭名昭著的涉及个人信息泄露的Doxbin平台遭到黑客组织Tooda攻击，导致用户账户被删除、管理员失去控制权，以及大量用户数据库泄露。这似乎源于不同团伙之间长期的对抗。

根据Tooda在其官网和已删除的Telegram频道的说法，他们入侵了Doxbin的基础设施，删除了用户账户，锁定了管理员，并公开了运营该平台相关人员的个人详细信息。攻击者声称这是为了回应针对其成员的指控。作为攻击的一部分，Tooda还公布了一个包含136，814个ID、用户名和电子邮件地址的Doxbin用户数据库。Tooda声称完全控制了Doxbin的后端，并泄露了一个名为"Doxbin黑名单"的文件，其中收录了那些曾支付费用避免个人信息在Doxbin上被公开的人。另一个名为"DoxBin管理员River aka Paula的个人信息"的文件，包含了据称属于一位名为Paula的Doxbin管理员River的详细个人数据，并附有警告信息要求她远离Doxbin。

对于曾使用Doxbin的人来说，这次数据泄露可能带来风险。即使只是用户名和电子邮件地址遭到泄露，也可能与其他泄露信息交叉参考，使安全研究人员、竞争对手黑客甚至执法部门能够追踪身份并发现现实世界中的关联。

原文链接：

https://hackread.com/doxbin-data-breach-hackers-leak-user-records-blacklist-file/

随着DeepSeek及其开源推理模型DeepSeek-R1在全球人工智能市场备受关注，被誉为比OpenAI的GPT-o1更具成本效益的替代方案，其知名度也引来了不法分子的觊觎。他们利用DeepSeek的名气通过钓鱼网站散布恶意软件。

DeepSeek-R1模型于1月20日发布后，在Google趋势搜索量飙升，于1月28日达到100的峰值热度。网络安全公司CriminalIP的专家指出，这种迅速走红引发了与该品牌相关的钓鱼和欺诈活动的增加。黑客创建了模仿DeepSeek官网的钓鱼网站，利用网站代理技术嵌入恶意软件下载链接，误导用户。通过这些网站传播的恶意软件，针对金融应用程序如"Corper"。根据VirusTotal分析，截至2025年2月3日，有24款杀毒程序将从假DeepSeek网站下载的应用程序检测为恶意软件。

官方DeepSeek网站与钓鱼网站可通过以下几个方面区分:域名验证、表单事件检测和电子邮件域名不匹配。为安全使用DeepSeek等AI模型，安全专家建议用户利用IP分析服务验证服务器位置和网络安全，复核DeepSeek的隐私政策了解数据处理方式，并避免在未经验证的网站上输入个人或敏感信息。

原文链接：

https://cybersecuritynews.com/threat-actors-exploiting-deepseeks-popularity/

网络安全研究人员cyfirma近日发现， 臭名昭著的勒索软件团伙Clop出现了一种令人不安的新策略。与一次性攻击受害者后离开不同，该团伙开始采取在受害者网络中潜伏数月不被发现的策略。在此期间，他们保持不活动状态，而勒索软件在系统中的存在也未被威胁监控解决方案发现。几周甚至几个月后，他们再次发动攻击，多次要求支付赎金，将感染的网络变成一个长期赚钱工具，从同一受害者那里持续获利。

Clop团伙通常通过钓鱼活动或利用系统漏洞获取网络访问权限，感染的网络就成为进一步攻击的跳板。因为勒索软件代码躲过了检测工具，使攻击者能够继续利用受害者系统。容易遭受此类勒索软件攻击的行业包括制造业、零售业、运输业和医疗保健业，因为这些行业往往涉及高度敏感的数据，日常运营高度依赖网络。一旦遭受成功的勒索软件攻击，其影响可能是灾难性的，不仅会造成财务损失，还可能导致信任危机和法律后果。

安全专家建议用户从实施反恶意软件解决方案到培养网络安全意识文化， 采取主动措施，以降低遭受此类毁灭性攻击的风险。

原文链接：

https://www.cybersecurity-insiders.com/clop-ransomware-lurks-within-the-network-exploiting-it-for-extended-periods/

SlashNext威胁研究人员近日发现，新型高级钓鱼工具Astaroth在网络犯罪圈出现，并通过会话劫持和实时凭据拦截相结合的方式，绕过双因素认证(2FA)，窃取Gmail、Yahoo和微软的登录凭据。

Astaroth的工作原理是采用evilginx式反向代理。这种技术使攻击者能够将自己置于受害者与Gmail、Yahoo和微软等合法认证服务之间的"中间人"位置。不同于依赖静态假冒登录页面的传统钓鱼工具，Astaroth动态拦截所有认证数据。这意味着即使用户启用了2FA，Astaroth也能在输入时捕获第二因素(如来自认证器应用或短信的代码)。反向代理拦截并操纵流量，实时捕获登录凭据、认证令牌和会话Cookie。这种实时捕获所有认证数据的能力使Astaroth能有效绕过2FA。

该工具通过Telegram出售并在网络犯罪论坛和市场上推广。卖家声称Astaroth能绕过无头检测，捕获谷歌、微软(包括Office 365)、AOL和Yahoo邮件提供商的完整Cookie、用户名和密码。安全专家提醒用户应格外小心来自已知组织但要求立即行动的电子邮件，如收到此类邮件，应直接访问网站而非点击链接。

原文链接：

https://hackread.com/astaroth-phishing-kit-bypasses-2fa-hijack-gmail-microsoft/

研究人员近日披露，英伟达服务器工具中的一个被评为"严重"的漏洞（CVE-2024-0132），可能让攻击者逃脱容器的限制，执行高级命令或查看主机上其他容器中的数据，从而危及人工智能系统的安全。

Wiz公司的研究人员在去年发现的这一漏洞涉及英伟达容器工具包处理运行时命令的方式。如果被利用，将使攻击者在主机服务器上获得root权限。具体来说，当挂载新容器时，英伟达容器软件未能正确应用限制措施，从而可能导致短暂地访问主机文件系统。一旦攻击者设法注入特定的恶意库文件，他们就可能能够从容器内加载主机的文件系统，从而获得对主机服务器上所有内容的完全访问权限。这一漏洞存在于容器工具中，而这是人工智能研究人员在运行基于英伟达GPU的人工智能项目时所使用的关键系统组件。

Wiz公司的研究人员警告，无论是在云端还是本地，只要运行了存在漏洞的容器工具包，任何人工智能应用程序都会受到影响管理，因此建议管理员立即更新其英伟达容器软件。

原文链接：

https://www.scworld.com/news/critical-nvidia-flaw-could-menace-ai-systems

近日，新兴的勒索软件组织Sarcoma声称对台湾印刷电路板制造商敏实集团发动了网络攻击，窃取了377GB的SQL文件和文档，并公布了一些据称从该公司系统窃取的文件样本。Sarcoma威胁，如果不支付赎金，将在下周泄露所有数据。

敏实集团在台湾证券交易所门户网站上发布的公告中披露，该公司于2月1日遭遇了勒索软件攻击的干扰。根据声明，该事件发生在1月30日，影响到了其子公司敏实科技(深圳)有限公司。

该公司表示，攻击的影响有限，并已聘请外部网络取证团队进行事件分析，并帮助实施防御措施。不过，敏实集团并未确认数据泄露。与此同时，Sarcoma在其勒索网站上泄露的样本也被认为是真实的。

原文链接：

https://www.bleepingcomputer.com/news/security/sarcoma-ransomware-claims-breach-at-giant-pcb-maker-unimicron/

2月13日，网络身份安全公司SailPoint成功在纳斯达克上市，发行价为每股23美元，发行6000万股，募资总额为13.8亿美元。

SailPoint成立于2005年，专注于身份和访问管理软件，旨在帮助企业减少不必要的用户访问并降低敏感数据泄露的风险。其身份安全产品与IBM、Microsoft、Oracle、CyberArk、Okta 和 One Identity 的产品竞争，客户包括卡车制造商PACCAR、学生贷款服务商Nelnet 和英国连锁超市ASDA等。

私募股权公司Thoma Bravo于2014年首次收购了SailPoint，并在三年后将其公开上市。SailPoint于2017年至2022年在纽约证券交易所挂牌交易，后被Thome Bravo以69亿美元的价格重新私有化。时隔三年，随着市场环境的改善和公司业务的持续发展，SailPoint选择重返资本市场。

原文链接：

https://today.thefinancialexpress.com.bd/stock-corporate/cybersecurity-firm-sailpoints-ipo-raises-138b-in-us-stock-market-return-1739468483