1. “清朗·2022年算法综合治理”专项行动的通知

为加强互联网信息服务算法综合治理，有效推动《互联网信息服务算法推荐管理规定》（以下简称《管理规定》）落地见效，弘扬社会主义核心价值观，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，促进互联网信息服务健康有序发展，中央网信办牵头开展“清朗·2022年算法综合治理”专项行动。

此次专项行动开展时间为即日起至2022年12月初，主要包括以下五个方面工作。一、组织自查自纠。指导互联网企业对照《管理规定》有关要求，全面梳理算法应用情况，深入开展算法安全能力评估，积极采取有效措施，整改算法应用问题，消除算法安全隐患，维护网民合法权益。二、开展现场检查。中央网信办牵头会同有关部门和各地网信部门组成联合检查组，对部分互联网企业开展现场检查，各地网信部门可结合当地实际自行对属地其他企业开展检查，重点检查企业算法合规情况和算法安全能力。三、督促算法备案。向企业宣传解读《管理规定》中互联网信息服务算法备案的总体原则、备案范围、填报要求和咨询途径等，督促企业尽快完成算法应用情况梳理，并及时开展算法备案信息填报工作。四、压实主体责任。督促企业配备与业务规模相适应的算法安全治理机构和专门人员，建立完善算法安全相关规章制度，积极利用算法服务正能量传播、处置违法和不良信息等工作，监测算法滥用乱象，防范算法安全风险。五、限期问题整改。对检查中发现的措施不健全、执行不到位、效果不理想等问题，向企业及时反馈并督促限期整改，对存在违法违规行为的企业，将依据《管理规定》严肃问责处罚、责令改正。

来源：网信中国

2. 关于Fodcha僵尸网络大规模传播的风险提示

近期，国家互联网应急中心（CNCERT）与三六零数字安全科技集团有限公司共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络，通过跟踪监测发现其每日上线境内肉鸡数（以IP数计算）已超过1万、且每日会针对超过100个攻击目标发起攻击，给网络空间带来较大威胁。由于该僵尸网络最初使用的C2域名folded.in，以及使用chacha算法来加密网络流量，我们将其命名为Fodcha。

Fodcha僵尸网络包括针对mips、mpsl、arm、x86等CPU架构的样本。在近3个月的时间中，我们捕获的Fodcha样本可以分成v1、v2 二个版本，它们的主要功能几乎一样。Fodcha的功能非常简单，当它在被侵入设备运行时，首先会检测运行时的参数，如果不带参数，则直接退出，这是一种对沙箱抽取IOC行为的简单对抗；如果带有参数，则首先解密出C2、进程操作动作等配置信息，在Console上输出here we are，然后使用随机字串伪装进程名，最后和C2建立通信，等待执行C2下发的指令。通过跟踪监测，我们发现Fodcha主要通过以下NDay漏洞和Telnet/SSH弱口令传播，另外根据我们的数据分析，Fodcha的运营者还会利用Telnet爆破工具进行Telent暴力破解。

通过监测分析发现，2022年3月29日至4月10日Fodcha僵尸网络日上线境内肉鸡数最高达到1.5万台，累计感染肉鸡数达到6.2万。Fodcha僵尸网络位于境内肉鸡按省份统计，排名前三位的分别为山东省（12.9%）、辽宁省（11.8%）和浙江省（9.9%）；按运营商统计，联通占59.9%，电信占39.4%，移动占0.5%。

来源：国家互联网应急中心CNCERT

3. 对加强企业网络安全意识教育的思考

网络攻击的产业化、市场化、云犯罪、犯罪即服务、共享犯罪、内部共谋等趋势，让更多善于利用“人的漏洞”的攻击者“如虎添翼”。在近几年开展的网络攻防演练中，越来越多成功入侵企业内网的攻击采取了网络钓鱼、供应链预置等社会工程攻击。一些企业往往忽视全员网络安全意识教育的提升与演练，在网络安全意识培训方面投入少，使得人员成为企业网络安全防护体系中的巨大短板。同时，社工欺骗的方式不断翻新，人员的网络安全意识能力提升却很难量化评价，仅仅通过简单的基本知识培训，很难形成敏锐持久有效的安全风险意识。如何有效提高人员网络安全意识、防御社工及网络诈骗风险、建立企业网络空间安全全员防火墙，一直是网络安全行业的难题。

从企业实践出发，建议做好以下工作。①加快网络安全意识标准的制定；②加强网络安全意识教育基地建设；③健全基于行业岗位的网络安全教育知识体系；④部署全员网络安全意识教育提升与社工演练上报系统；⑤完善企业网络安全事件上报机制；⑥加强国家网络安全宣传周等网络安全意识的宣传教育。

来源：中国信息安全

4. 关于征求3项国家标准意见的通知

全国信息安全标准化技术委员会归口的《信息安全技术 信息安全控制评估指南》等3项国家标准现已形成标准征求意见稿。

根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该3项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站，如有意见或建议请于2022年6月6日24:00前反馈秘书处。

来源：信安标委

5. 黑客利用WPS Office漏洞注入后门

WPS Office 是一个跨平台的office套件，安装量超过12亿。CVE-2022-24934是WPS Office更新工具中的一个安全漏洞。要利用该漏洞，需要修改HKEY_CURRENT_USER 下的一个注册表，攻击者完成这一操作后可以在系统上实现驻留，控制更新过程。建立与C2服务器通信连接，取回payload，并在被黑的机器上运行代码。

Avast研究人员发现有黑客利用WPS Office漏洞在目标系统中注入后门，已经向WPS通知了该任意代码执行漏洞，厂商也发布了补丁，但并不是所有用户都应用该补丁对系统进行了修复。

在攻击活动中，黑客还使用了大量的攻击工具。注入被入侵系统的第一阶段payload是一个DLL后门和一个释放器，DLL后门的作用是用于建立C2 通信，释放器的目的是实现系统中的权限提升，并取回8个第二阶段payload以实现不同的功能。Proto8是第二阶段的核心模块，加载到系统后会执行以下操作：执行初始化检查和建立绕过机制；模块自更新、加载配置文件和设置工作目录；收集用户名、DNS、NetBios计算机名、操作系统、架构等信息；验证硬编码的C2地址，并尝试连接到攻击者控制的服务器。以上步骤完成后，该核心模块就会等待远程服务器的命令。Proto8还有一个插件加载系统，用来提供与驻留、UAC绕过、提供后门能力、绕过能相关的功能。

来源：网络安全创新服务基地

6. 俄罗斯石油巨头Gazprom Neft网站遭黑客攻击

近期，俄罗斯国家天然气公司Gazprom的石油部门Gazprom Neft网站因遭黑客攻击而被迫关闭，这似乎是俄罗斯入侵乌克兰后对政府相关网站的最新黑客攻击。据说该网站上有一份来自俄罗斯天然气工业股份公司首席执行官阿列克谢米勒的声明，该声明似乎已经是网站被黑客入侵后的版本了，这份声明中对俄罗斯向乌克兰派遣数千名士兵的决定发表了批评言论，随后，该网站就被迫停止运营。

上个月，在面临外国制裁的情况下，米勒敦促俄罗斯天然气工业股份公司的50万名员工支持克里姆林宫，以保持俄罗斯作为一个重要大国的地位。不过，对于网站被黑事件，俄罗斯天然气工业股份公司表示：“4月6日上午在网站上发布的信息不属实，不能被视为公司代表或股东的正式声明”。Gazprom Neft是俄罗斯第三大石油生产商。它是俄罗斯天然气工业股份公司的子公司，持有其96%的股份。OAO Gazprom拥有Gazprom Neft 95%的股份，其余股份在证券交易所上市。

来源：FreeBuf

7. 惠普警告严重漏洞，影响多达1500万个端点

惠普警告Windows、Linux和macOS的Teradici PCoIP客户端和代理中存在新的严重安全漏洞，这些漏洞影响多达1500万个端点。

惠普在两个公告1和2中披露了10个漏洞，其中三个具有严重性（CVSS v3评分：9.8），八个属于高严重性，一个属于中等严重性。

这次修复的最重要的漏洞之一是CVE-2022-0778，这是OpenSSL中由解析恶意制作的证书触发的拒绝服务漏洞。该漏洞将导致软件无响应的循环，但考虑到产品的关键任务应用程序，这种攻击将非常具有破坏性，因为用户将不再能够远程访问设备。另一组关键的已修复漏洞是CVE-2022-22822、CVE-2022-22823和CVE-2022-22824，它们都是libexpat中的整数溢出和无效移位问题，可能导致无法控制的资源消耗、特权提升和远程代码执行。其余五个高严重性也是整数溢出漏洞，跟踪为CVE-2021-45960、CVE-2022-22825、CVE-2022-22826、CVE-2022-22827和CVE-2021-46143。

受上述漏洞影响的产品包括适用于Windows、Linux和macOS的PCoIP客户端、客户端SDK、图形代理和标准代理。为解决这些问题，惠普敦促用户更新到OpenSSL 1.1.1n和libexpat 2.4.7的版本22.01.3或更高版本。

来源：E安全