网络安全日报 2023年12月15日

网络安全苏柒

已于 2024-01-09 10:56:48 修改

阅读量1.1k

点赞数 21

文章标签： web安全安全网络安全运维网络开发语言

于 2023-12-15 10:27:35 首次发布

本文链接：https://blog.csdn.net/Galaxy_0/article/details/135011033

版权

在这里插入图片描述

1、OAuth应用程序用于自动化BEC和加密货币挖矿攻击

https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks/

Microsoft警告称，出于经济动机的威胁行为者正在使用OAuth应用程序来自动执行BEC和网络钓鱼攻击、推送垃圾邮件以及部署虚拟机进行加密挖矿。OAuth（开放授权的缩写）是一种开放标准，用于通过基于令牌的身份验证和授权，根据用户定义的权限授予应用程序对服务器资源的安全委派访问权限，而无需提供凭据。微软威胁情报专家最近调查的事件显示，攻击者在网络钓鱼或密码喷射攻击中主要针对缺乏强大身份验证机制（例如多因素身份验证）的用户帐户，重点关注那些拥有创建或修改OAuth应用程序权限的用户帐户。

2、戴尔敦促客户修补 PowerProtect 产品中的漏洞

https://www.securityweek.com/dell-urges-customers-to-patch-vulnerabilities-in-powerprotect-products/

戴尔敦促其PowerProtect产品的客户查看新发布的安全公告并修补一系列潜在的严重漏洞。漏洞影响 PowerProtect Data Domain (DD) 系列设备，这些设备旨在帮助组织大规模保护、管理和恢复数据。 APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP 系列设备和 PowerProtect Data Manager 设备也受到影响。

3、微软破坏了创建了 7.5 亿个欺诈帐户的网络犯罪服务Storm-1152

https://www.securityweek.com/microsoft-disrupts-cybercrime-service-that-created-750-million-fraudulent-accounts/

微软周三宣布破坏 Storm-1152，这是一个网络犯罪即服务 (CaaS) 生态系统，该生态系统创建了 7.5 亿个欺诈性 Microsoft 帐户，以支持网络钓鱼、身份盗窃和其他计划。

4、GambleForce 使用 SQL 注入攻击窃取亚太地区公司的数据

https://www.securityweek.com/new-threat-actor-uses-sql-injection-attacks-to-steal-data-from-apac-companies/

威胁追踪和情报公司 Group-IB 报道，自 9 月以来，一个新的威胁行为者已针对 8 个国家（主要位于亚太地区）的 24 个组织发起攻击。名为 GambleForce，该黑客组织一直使用 SQL 注入并利用赌博组织的内容管理系统 (CMS) 中的漏洞、政府、零售和旅游部门，窃取敏感信息，包括用户凭证。该黑客组织完全依赖开源和其他公开可用的工具来进行初始访问、侦察和数据盗窃，并且据观察在攻击中使用了 Cobalt Strike 渗透测试框架。

5、Ubiquiti 用户声称可以访问其他人的设备

https://securityaffairs.com/155871/security/ubiquiti-wifi-products-issue.html

Ubiquiti WiFi 产品的用户开始报告称，他们在登录自己的帐户时正在访问其他人的设备。

6、与俄罗斯有关的 APT29 针对 JETBRAINS TEAMCITY 服务器

https://securityaffairs.com/155846/apt/apt29-targeting-jetbrains-teamcity-servers.html

专家警告称，已观察到与俄罗斯有关的 APT29 组织以 JetBrains TeamCity 服务器为目标，以获取对目标网络的初始访问权限。利用了该缺陷CVE-2023 -42793 在 TeamCity 中执行多种恶意活动。

7、PyPI 存储库中发现 116 个恶意包可感染 Windows 和 Linux 系统

https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html

网络安全研究人员在 Python 包索引 (PyPI) 存储库中发现了一组 116 个恶意包，这些包旨在通过自定义后门感染 Windows 和 Linux 系统。最终的有效负载是臭名昭著的W4SP Stealer的变体，或者是用于窃取加密货币的简单剪贴板监视器，或两者兼而有之。

8、索尼正在调查 Insomniac 子部门的勒索软件攻击事件

https://therecord.media/sony-investigating-ransomware-insomniac-games

索尼子公司 Insomniac Games 目前正在调查 Rhysida 团伙发起的勒索软件攻击事件，该团伙过去曾针对多个政府机构和医疗机构发起勒索软件攻击。

9、法国警方逮捕与 Hive 勒索软件有关的俄罗斯籍嫌疑人

https://www.bleepingcomputer.com/news/security/french-police-arrests-russian-suspect-linked-to-hive-ransomware/

法国警方在巴黎逮捕了一名涉嫌帮助 Hive 勒索软件团伙洗钱的俄罗斯公民。嫌疑人因与从可疑来源接收数百万美元的数字钱包相关联而被捕。

10、2023 年微软共修补了 909 个漏洞

http://www.anquan419.com/knews/24/6429.html

Tenable Research 团队统计了 2023 年微软星期二补丁数据指出，2023 年微软共修补了 909 个漏洞，比2022 年的 917 个漏洞略微下降 0.87%。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

在这里插入图片描述

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

在这里插入图片描述

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

在这里插入图片描述

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…