【一周安全资讯1025】《个人信息出境认证办法》将于2026年1月1日起施行；国家安全机关破获美国国家安全局重大网络攻击案

 WEEKLY NEWS

国家安全机关近日成功破获一起由美国国家安全局（NSA）策划的针对中国国家授时中心的网络攻击案，掌握美方蓄谋已久的铁证。国家授时中心位于陕西西安，作为“北京时间”的核心生成与发播机构，承担着为通信、金融、电力、交通、测绘及国防等行业提供高精度授时服务的关键使命，并支撑国际标准时间测算。美方攻击自2022年3月25日启动，初期利用境外品牌手机短信服务漏洞秘密控制中心工作人员手机终端窃取敏感资料；2023年4月18日起，通过窃取的登录凭证多次入侵计算机刺探网络系统；2023年8月至2024年6月，部署42款特种网攻武器实施高烈度攻击，企图横向渗透至高精度地基授时系统，预置瘫痪破坏能力，一旦得逞将引发通信故障、金融紊乱、电力中断乃至国际时间体系混乱等灾难性后果。

攻击活动多在深夜至凌晨发起，通过美、欧、亚多地虚拟服务器作为“跳板”隐匿源头，伪造数字证书绕过杀毒软件，并使用高强度加密算法深度擦除痕迹，手段极其隐蔽。国家安全机关在缜密调查中及时固定美方攻击证据链，指导国家授时中心开展全系统清查处置，彻底斩断攻击链路并升级安全防护体系，有效消除潜在危害。此次行动不仅粉碎了美方窃密渗透的图谋，确保“北京时间”安全稳定运行，避免了重大社会经济损失，更彰显了中国在网络空间主权领域的主动防御能力和对全球数字基础设施安全的负责任担当。

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者大规模操纵SEO(搜索引擎优化)排名传播恶意软件，造成用户信息泄露与系统受控。

攻击链始于搜索欺诈诱导，攻击者伪造高仿钓鱼页面，诱骗用户点击触发重定向后，由恶意JavaScript脚本nice.js窃取设备参数发送至攻击服务器。动态载荷投递阶段随即启动，服务器通过两层JSON响应下发捆绑正版软件（DeepL安装器）与恶意组件（Winos变种EnumW.dll）的MSI安装包，该安装包提权后释放55个碎片文件至C:\ProgramData\Data_Xowlls目录并激活恶意代码。随之进入反分析规避阶段，恶意软件（Winos变种）加载后，会验证进程身份（非msiexec.exe则立即退出），检测系统时钟（连续两次请求百度的时间间隔，若小于4秒则终止），检查ACPI表及桌面文件数量（识别虚拟机）。检测通过后，该恶意软件将55个碎片重组为恶意数据文件emoji.dat，并释放干扰文件vstdlib.dll（内部填充冗余数据）。持久化植入阶段是根据防护状态来选择潜伏机制，若存在安全软件，该恶意软件则劫持文件管理器进程；否则，篡改启动项伪装为“Google更新”。最终在执行加密攻击时，该恶意软件会创建加密凭证文件venwin.lock（使用60秒刷新的动态AES密钥），加密连接C2服务器，启动全方位监控（键盘记录、屏幕捕获、窃取加密私钥等）。

建议相关单位及用户立即组织排查，定期离线备份核心数据；严格核验软件域名真实性，杜绝来源不明程序运行；及时修复系统漏洞并阻断恶意提权；加强员工反钓鱼培训，识别SEO欺诈及伪装启动项；同步部署终端行为监控，全面封堵网络攻击风险。

消息来源：网络安全威胁和漏洞信息共享平台

关于防范SEO投毒攻击的风险提示