銳成信息壹周快報(bào)，匯總了本周的熱點(diǎn)資訊、安全事件，保證大家不錯(cuò)過(guò)本周的每一個(gè)重點(diǎn)!本周重點(diǎn)關(guān)注：CAICT發(fā)布《數(shù)字信任發(fā)展報(bào)告 (2025年)》；新型攻擊“nRootTag”讓15億蘋(píng)果設(shè)備成為攻擊者的免費(fèi)跟蹤代理。

【熱點(diǎn)資訊】

1、CAICT發(fā)布《數(shù)字信任發(fā)展報(bào)告 (2025年)》

2025年2月25日，中國(guó)信息通信研究院CAICT在2024 Web3.0創(chuàng)新大賽頒獎(jiǎng)儀式上發(fā)布了《數(shù)字信任發(fā)展報(bào)告（2025年）》，報(bào)告從信任發(fā)展的歷程出發(fā)，提出數(shù)字化時(shí)代信任體系發(fā)展的新變化與新需求，致力于厘清數(shù)字信任的概念內(nèi)涵、體系架構(gòu)、關(guān)鍵要素，通過(guò)梳理數(shù)字信任技術(shù)發(fā)展熱點(diǎn)、應(yīng)用發(fā)展現(xiàn)狀，以及產(chǎn)業(yè)發(fā)展情況，研判分析數(shù)字信任技術(shù)動(dòng)向、應(yīng)用潛力與產(chǎn)業(yè)前景，展望未來(lái)發(fā)展新趨勢(shì)。

• 資料來(lái)源：中國(guó)信息通信研究院
• 資料鏈接：https://mp.weixin.qq.com/s/tkF9fO1Gom-g3YLt7IgDqA

2、愛(ài)沙尼亞等國(guó)開(kāi)設(shè) “數(shù)據(jù)大使館 ”以保護(hù)關(guān)鍵信息

因擔(dān)心本國(guó)境內(nèi)的數(shù)據(jù)安全問(wèn)題，越來(lái)越多的國(guó)家（通常是較小的國(guó)家）想到一個(gè)好主意：在另一個(gè)地區(qū)的 “數(shù)據(jù)大使館”中冗余托管本國(guó)公民的信息，但保持對(duì)這些信息的管轄權(quán)。

網(wǎng)絡(luò)安全公司 Versa Networks的首席執(zhí)行官Kelly Ahuja解釋說(shuō)：“數(shù)據(jù)大使館”的目標(biāo)是為關(guān)鍵數(shù)據(jù)提供冗余，否則這些數(shù)據(jù)可能會(huì)在網(wǎng)絡(luò)攻擊、自然災(zāi)害或其他災(zāi)難中丟失。數(shù)據(jù)使館是一種有趣的方法，旨在保護(hù)關(guān)鍵主權(quán)數(shù)據(jù)免受外部網(wǎng)絡(luò)和物理威脅，可以對(duì)這一網(wǎng)絡(luò)和傳輸?shù)臄?shù)據(jù)實(shí)施強(qiáng)大的安全控制、加密和數(shù)據(jù)保護(hù)政策，以防止網(wǎng)絡(luò)威脅、數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問(wèn)。

【安全事件】

1、黑客假冒稅務(wù)局進(jìn)行釣魚(yú)攻擊，以傳播Winos 4.0惡意軟件

據(jù)hackread消息，近日，F(xiàn)ortiGuard實(shí)驗(yàn)室發(fā)現(xiàn)了一起針對(duì)中國(guó)臺(tái)灣地區(qū)的網(wǎng)絡(luò)釣魚(yú)攻擊。黑客假冒中國(guó)臺(tái)灣稅務(wù)局，精心設(shè)計(jì)了一封偽裝成臺(tái)灣國(guó)家稅務(wù)局的釣魚(yú)郵件，誘使收件人將信息轉(zhuǎn)發(fā)給財(cái)務(wù)部門(mén)。該活動(dòng)使用了高度先進(jìn)的惡意軟件框架，被稱為Winos 4.0。攻擊具有較高的嚴(yán)重性，采用了多階段感染過(guò)程，最終目的是竊取敏感信息，以用于未來(lái)的惡意活動(dòng)。

2、思科和其他漏洞被PolarEdge 僵尸網(wǎng)絡(luò)利用，用于劫持華碩、QNAP和群暉設(shè)備

據(jù)thehackernews消息，至少?gòu)?023年底開(kāi)始，一個(gè)名為 PolarEdge 的僵尸網(wǎng)絡(luò)，利用思科的名為CVE-2023-20118（CVSS評(píng)分：6.5）的關(guān)鍵安全漏洞，用于劫持思科、華碩、QNAP 和 Synology 的邊緣設(shè)備。據(jù)估計(jì)，該僵尸網(wǎng)絡(luò)總共入侵了全球 2,017個(gè)獨(dú)立IP地址，其中大部分感染是在美國(guó)、臺(tái)灣、俄羅斯、印度、巴西、澳大利亞和阿根廷檢測(cè)到的。

3、新型攻擊“nRootTag”讓15億蘋(píng)果設(shè)備成為攻擊者的免費(fèi)跟蹤代理

據(jù)cybersecuritynews消息，一種名為nRootTag 的新型攻擊使超過(guò)15億臺(tái)蘋(píng)果設(shè)備（包括iPhone、iPad、Apple Watch和Mac）暴露在惡意行為者的隱蔽跟蹤之下。研究人員表示，該攻擊利用蘋(píng)果的“查找我的網(wǎng)絡(luò)”（Find My network）將非蘋(píng)果設(shè)備轉(zhuǎn)變無(wú)需root訪問(wèn)權(quán)限的隱秘追蹤信標(biāo)。據(jù)悉，該攻擊利用藍(lán)牙低功耗（BLE）協(xié)議，給全球隱私帶來(lái)了前所未有的風(fēng)險(xiǎn)。

4、黑客利用Krpano框架漏洞，在350多個(gè)網(wǎng)站上注入垃圾廣告

據(jù)cybersecuritynews消息，名為Krpano流行框架的跨站腳本（XSS）漏洞被黑客利用，在數(shù)百個(gè)網(wǎng)站上注入惡意腳本，以操縱搜索結(jié)果并大規(guī)模助長(zhǎng)垃圾廣告活動(dòng)。安全研究員Oleg Zaytsev在一份報(bào)告中稱，名為360XSS的網(wǎng)絡(luò)攻擊活動(dòng)影響了350多個(gè)網(wǎng)站，包括政府門(mén)戶網(wǎng)站、美國(guó)州政府網(wǎng)站、美國(guó)大學(xué)、大型連鎖酒店、新聞媒體、汽車經(jīng)銷商和多家財(cái)富500強(qiáng)企業(yè)。

部分圖文內(nèi)容來(lái)源網(wǎng)絡(luò)，僅供傳播交流