政策法规方面，本周观察到国外网络安全相关政策法规12项，值得关注的有香港《保护关键基础设施 (计算机系统) 条例草案》提交立法会审议。

漏洞态势方面，本周监测到漏洞动态15条，值得关注的有锐捷修复Reyee云管理平台多个漏洞。

安全事件方面，本周监测到重大网络安全事件20起，其中典型的事件有伊朗利用IOCONTROL恶意软件攻击美以关键基础设施、罗马尼亚电力供应商Electrica Group确认遭受勒索软件攻击。

风险预警方面，Group-IB揭露全球网络钓鱼活动可利用Adobe和Google服务绕过安全检安全邮件网关检测。

融资并购方面，Citrix宣布收购deviceTRUST GmbH和strong.network SA，以扩展其安全功能。

政策法规

1.香港《保护关键基础设施 (计算机系统) 条例草案》提交立法会审议
12月12日，据媒体报道，香港《保护关键基础设施（计算机系统）条例草案》旨在对关键基础设施的指定营运者施加法定要求，确保他们采取适当措施保护计算机系统，减少网络攻击导致服务中断或受损的风险，维持社会运作和市民生活，提升整体计算机系统安全。
资料来源：https://www.secrss.com/articles/73416

2.美国发布州际天然气管道商业惯例标准
12月10日，据媒体报道，美国联邦能源监管委员会（FERC）发布了最终规则，更新了包括北美能源标准委员会（NAESB）天然气批发象限（WGQ）4.0版在内的州际天然气管道商业实践标准。这些修订旨在提升天然气行业运营效率、可靠性及网络安全。新规则将于2025年2月7日生效，合规申报需在2025年2月3日前提交，且必须在2025年8月1日前遵守这些标准。
资料来源：http://nx5qn.dz114.sbs/fSzCXOX

3.欧盟新《产品责任指令》生效
12月8日，欧盟新的产品责任指令（PLD）正式生效，该指令扩展了“产品”的定义，包括数字制造文件和软件，并可能使在线平台对其销售的有缺陷产品承担责任。指令规定，软件开发商和生产商被视为制造商，且通过软件更新或人工智能学习修改的产品在修改时视为“可用”。此外，指令允许国家法院逐案评估产品缺陷及其与损害的因果关系，人工智能相关案件的原告无需证明确定产品缺陷的技术难度。新指令将适用于自2026年12月9日起投放市场的产品。
资料来源：http://3fcbn.dz115.sbs/cDK6AzZ

4.欧盟《网络弹性法案》正式生效
12月12日，据媒体报道，欧盟《网络弹性法案》正式生效，标志着欧盟在网络安全领域迈出重要一步，要求制造商对包含数字组件的产品实施强制性网络安全标准。法案增强了制造商责任，确保产品安全，并要求提供软件更新及持续安全支持，提高网络风险透明度，使消费者能做出更明智的购买决策。产品将带有CE标志以示符合法规要求，主要义务将于2027年12月11日生效。该法案与NIS2网络安全框架相辅相成，旨在加强欧盟数字产品的网络安全，保护消费者免受网络威胁。
资料来源：http://ibu6n.dz114.sbs/diH0GOf

安全漏洞

5.锐捷修复Reyee云管理平台多个漏洞
12月13日，据媒体报道，物联网供应商锐捷网络修复了其Reyee云管理平台的10个安全漏洞，这些漏洞可被攻击者利用来控制数千台设备。Claroty Team82发现并命名为“芝麻开门”的攻击展示了通过云门户控制Ruijie设备的能力。这些设备广泛用于全球公共场所提供免费Wi-Fi。在Black Hat Europe 2024上，研究人员展示了其中3个CVSS评分9分以上的严重漏洞，锐捷已修补。这些漏洞允许远程代码执行，攻击者可利用弱身份验证机制生成设备凭据，冒充云平台发送恶意负载。Claroty团队的攻击场景表明，攻击者仅需序列号即可在易受攻击的Ruijie设备上执行代码。
资料来源：http://fpmfm.dz115.sbs/viFzfNE

6.施耐德电警示Modicon控制器中存在高危漏洞
12月10日，据媒体报道，施耐德电气警告称，其Modicon M241、M251、M258和LMC058 PLC存在严重漏洞CVE-2024-11737，CVSS评分9.8，可能使攻击者造成拒绝服务并损害控制器完整性。建议客户仅在受保护环境中使用控制器、通过嵌入式防火墙过滤端口和IP、设置网络分段并阻止对端口502/TCP的未授权访问、禁用未使用的协议。
资料来源：http://zrg9m.dz114.sbs/b71O4kz

7.菲尼克斯电气设备存在多个高危漏洞
12月9日，Nozomi Networks Labs的研究人员在菲尼克斯电气的mGuard工业路由器中发现了12个漏洞，其中4个高风险漏洞允许经过身份验证的远程代码执行（RCE）。这些漏洞可能被远程用户利用，从而获得对设备的完全控制权。mGuard是一款提供工业安全保护的设备，Phoenix Contact在得知问题后迅速响应，在两个月内解决了这些漏洞。受影响的设备可以通过更新固件来修复这些问题。
资料来源：http://7x3mm.dz115.sbs/ix0fM3v

8.ABB发布ASPECT系统关键安全漏洞公告及修复措施
12月10日，据媒体报道，ABB发布关于其建筑能源管理平台ASPECT系统的关键网络安全公告，披露多个漏洞，包括远程代码执行、明文密码处理、默认凭证和绝对路径遍历，CVSS评分高达10.0。ABB建议客户断开暴露于互联网的设备、升级固件至3.08.03或更高版本、实施安全访问控制，并更改默认凭证以降低风险。
资料来源：http://irlhn.dz115.sbs/em8VjAS

安全事件

9.伊朗利用IOCONTROL恶意软件攻击美以关键基础设施
12月12日，据媒体报道，伊朗威胁行为者利用新恶意软件IOCONTROL攻击以色列和美国的关键基础设施，目标包括路由器、PLC、HMI等。该软件模块化，影响多个制造商设备。Claroty的Team82分析了IOCONTROL，发现它能控制泵、支付终端等，可能造成中断或数据泄露。攻击者声称入侵了200个加油站。IOCONTROL通过MQTT协议通信，使用AES-256-CBC加密配置，支持多种命令，包括系统信息报告、任意命令执行和自删除。
资料来源：http://vhk8m.dz114.sbs/dlFxmXq

10.日本水处理公司美国子公司Kurita America及绿茶生产商Ito En美国子公司遭受勒索软件攻击
12月10日，据媒体报道，日本水处理公司Kurita Water Industries的美国子公司Kurita America在11月29日遭受勒索软件攻击，部分服务器被加密，客户和员工数据可能泄露。公司表示主服务器已恢复，业务未受影响。此外，日本最大绿茶生产商Ito En的美国子公司也在12月2日遭受攻击，服务器被加密，但已隔离并使用备份数据恢复。2024年，多家日本公司频繁遭受勒索软件攻击。
资料来源：https://therecord.media/us-subsidiaries-japanese-water-treatment

11.罗马尼亚电力供应商确认遭勒索攻击
12月9日，据媒体报道，罗马尼亚电力供应商Electrica Group确认遭受勒索软件攻击，关键系统和SCADA系统未受影响，公司正与国家网络安全部门合作调查。Electrica为超过380万用户提供服务，首席执行官强调内部保护措施旨在确保系统安全和电力供应连续性。罗马尼亚能源部确认攻击，表示将追究攻击者责任，并推动建立能源网络安全事件响应中心以强化防御。
资料来源：http://ch81m.dz114.sbs/oAiT3Kn

12.勒索软件攻击知名心脏手术设备制造商Artivion
12月9日，据媒体报道，心脏外科设备制造商Artivion遭受勒索软件攻击，导致运营中断和部分系统下线。攻击者加密了系统并窃取数据，公司正努力恢复并评估通知义务。此次事件将产生保险不覆盖的额外费用。近期，美国医疗保健领域频遭勒索软件攻击，如BCHP和UMC Health System。
资料来源：http://4yeym.dz115.sbs/hgCMtLO

风险预警

13.安全邮件网关无法阻止所有钓鱼攻击
12月10日，Group-IB的报告揭露了一个复杂的全球网络钓鱼活动，该活动针对15个司法管辖区的30家公司员工。攻击者利用可信域和动态个性化技术，成功绕过安全电子邮件网关（SEG），欺骗金融、政府、航空航天和能源等行业的受害者。攻击者通过Adobe InDesign云服务和Google AMP等合法平台分发200多个网络钓鱼链接，模仿知名品牌，使用公司徽标和专业格式建立信任。他们还动态定制网络钓鱼页面，以匹配目标组织的徽标和页面标题，提高可信度。攻击者使用URL重定向和多层策略绕过SEG，并将被盗凭据实时传输到C2服务器或Telegram机器人。Group-IB警告，威胁行为者不断改进技术以绕过安全措施。
资料来源：https://www.infosecurity-magazine.com/news/enisa-launches-first-state-eu/

14.UAC-0185 APT利用社会工程瞄准乌克兰国防工业基地
12月10日，据媒体报道，乌克兰CERT-UA揭露APT组织UAC-0185（UNC4221）针对乌克兰国防工业的复杂网络钓鱼活动。攻击者冒充UUIE发送含恶意LNK文件的钓鱼邮件，触发多阶段感染，最终部署MESHAGENT RAT以控制受感染系统。UAC-0185自2022年以来活跃，专注于乌克兰国防和军事部门，使用定制恶意软件进行攻击。
资料来源：http://41v1n.dz115.sbs/Amn50iY

15.针对印度政府的网络攻击激增
12月10日，据媒体报道，印度政府机构遭受的网络攻击从2019年到2023年增加了138%，从85,797次上升至2,04,844次。为应对这一趋势，印度政府实施了多项措施，包括任命首席信息安全官、成立国家关键信息基础设施保护中心（NCIIPC）和国家网络协调中心（NCCC），并制定了网络危机管理计划。这些措施旨在提高网络安全态势，保护关键信息基础设施。尽管如此，攻击的复杂性和频率不断上升，印度需要继续加强网络安全措施。
资料来源：https://thecyberexpress.com/surge-in-cyberattacks-on-indian-government/

融资并购

16.Citrix收购deviceTRUST和Strong Network
12月12日，据媒体报道，Citrix宣布收购deviceTRUST GmbH和strong.network SA，以扩展其安全功能，应对混合工作模式下的安全挑战。这些收购旨在加强Citrix平台的安全性，隔离和保护对本地和云环境中关键应用程序的访问，并确保开发人员能够安全访问云开发环境。目的是简化零信任访问，降低数据丢失风险，并支持混合应用程序部署中的不同用户需求。
资料来源：http://jmhqm.dz114.sbs/NC9UHql