全球动态

1. TikTok 被曝 App 内浏览器“监控输入和点击的任何内容”，公司发言人否认 Javascript 代码用于恶意行为

据安全研究员 Felix Krause 称，TikTok 在 iOS 上的自定义 App 内浏览器将 JavaScript 代码注入外部网站，允许 TikTok 在用户与给定网站交互时监控“所有键盘输入和点击”，但据报道 TikTok 公司否认了该代码被用于恶意行为。[阅读原文]

2. BlackByte 勒索软件团伙回归 Twitter

Twitter上出现了与 Conti 有关的 BlackByte 勒索软件组织新账号，并采用新的宣传策略来进行数据拍卖。[外刊-阅读原文]

3. CISA 在其已知被利用漏洞目录中添加了 7 个新漏洞

美国网络安全和基础设施安全局 (CISA) 本周在其已知被利用漏洞目录中增加了 7 个新漏洞，其中包括一个被跟踪为CVE-2022-22536的关键 SAP 安全漏洞。[外刊-阅读原文]

4. 研究发现 RTLS 系统容易受到中间人攻击和位置篡改

研究人员披露了多个影响超宽带 (UWB) 实时定位系统 ( RTLS) 的漏洞，使攻击者能够发起中间对手 (AitM) 攻击并篡改位置数据。[外刊-阅读原文]

5. 美国Tiktok“起亚挑战赛”爆火 一根USB线就能偷走韩系车

近段时间，美国的TikTok和YouTube上兴起了一种所谓的“起亚挑战”，一些现代或起亚的车型只需要一根USB线就可以成功启动。[阅读原文]

6. 以色列间谍软件公司NSO正在重组，CEO即将卸任

以色列间谍软件公司NSO集团在一份声明中称，随着公司重组以专注于北约成员国，该公司的CEO即将卸任。即将离任的CEO兼联合创始人Shalev Hulio在一份新闻稿中表示，该公司正在为其下一阶段的增长做准备。[阅读原文]

安全事件

1. 谷歌曝光有史以来最大 DDoS 攻击，数据比之前的记录高出 76%

谷歌报告说，他们发现了一次大规模的 DDOS 攻击，对方尝试关闭其 Cloud Armor 客户服务，峰值可达每秒 4600 万个请求，规模相当于此前记录的 176.92%。这使其成为有史以来报告的最大的一次七层分布式拒绝服务攻击。[阅读原文]

2. 英国诈骗者随机快递分发内置假冒微软 Office 的 U 盘，散布恶意攻击软件来骗钱

受害者将 USB 驱动器插入 PC 后，显示的并不是 Office 启动安装向导，而是诱导用户拨打虚假支持热线。[阅读原文]

3. 受感染的 WordPress 网站上的虚假 DDoS 保护页面会导致恶意软件感染

来自 Sucuri 的安全专家发现了针对 WordPress 网站的 JavaScript 注入，以显示虚假的 DDoS 保护页面，从而导致受害者下载远程访问木马恶意软件。[外刊-阅读原文]

4. TA558 网络犯罪集团针对酒店和旅游组织

Proofpoint 的研究人员正在监控一个由网络犯罪组织发起的恶意软件活动，该组织被跟踪为 TA558，该活动针对拉丁美洲的酒店、酒店和旅游组织。[外刊-阅读原文]

5. Amazon Ring 中的一个漏洞可能会暴露用户的相机记录

亚马逊解决了其适用于 Android 的 Ring 应用程序中的一个严重缺陷，该缺陷可能会暴露敏感信息和摄像头记录。[外刊-阅读原文]

6. LockBit声称对安全巨头Entrust进行的勒索软件攻击负责

LockBit 勒索软件团伙声称对 6 月份针对数字安全巨头 Entrust 的网络攻击负责。[外刊-阅读原文]

优质文章

1. 以数据为中心的数据安全基础能力建设探索

本文数据为中心的理念，围绕数据识别、分类分级、基础防护几个方面，结合开源软件做一次梳理和功能演示，能帮助有需要的人员对数据安全有个直观的了解。 [阅读原文]

2. 美国国防工业网络保护框架和启示

兰德公司的洞察结论和保护框架，对我国国防军工企业的网络安全保护具有重要借鉴意义。[阅读原文]

3. 揭秘APT36组织的CapraRat恶意软件

该CapraRat恶意软件安装后，会根据识别手机厂商，并自动获取权限，然后诱导用户同意后台运行，并且启动监听用户的隐私信息，包括用户的通讯录、短信内容、通讯记录和用户定位，远程操控用户手机，执行发送短信、拨打电话、修改设置、录音和上传文件等恶意操作。 [阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。