2024-05-25 星期六         Vol-2024-126

1. 俄罗斯批准长期技术发展战略以确保国家的技术主权和竞争力

2.俄罗斯数字发展部建议主要市场参与者之间划分责任

3.澳大利亚电信监管机构就2022年数据泄露事件起诉Optus

4.法庭软件遭供应链攻击传播RustDoor恶意软件

5.美国CBP和ICE因泄露非公民生物识别信息被起诉

6.谷歌专家批评网络钓鱼测试毫无用处，呼吁进行消防演习式改革

7.英国国家安全委员会警告该国“必须做好准备”应对选举干预

8.欧盟希望大学与情报机构合作保护其研究成果

9.美国太空部队称需要更多演习应对轨道紧急情况

10.谷歌今年修复了第八个被积极利用的Chrome零日漏洞

11.删除的照片会返回到苹果设备的图库中

12.Shedding Zmiy：专业黑客组织威胁俄罗斯公司安全

13.FBI官员发现一个青少年网络犯罪团伙Scattered Spider

14.DNSBomb：一种利用DNS查询的新型DoS攻击

15.太空中的人工智能预言家：JAXA和JR-West将预测轨道上的卫星故障

政策法规

俄罗斯政府批准了经济发展部提出的俄罗斯技术政策法案，该法案由总统与工业和贸易部、教育和科学部共同制定，旨在实现总统在联邦议会致辞中设定的目标。法案关注10-15年的技术发展长期规划，统一了从研究到产品交付的术语和方法，并定义了技术政策、技术主权、高科技产品、关键和端到端技术、合格客户等重要概念。经济发展部部长马克西姆·列舍特尼科夫宣布，将建立专有技术开发全周期管理体系，包括统一的概念框架、技术分类器、数字孪生等，以协调各行业的技术发展计划。政府的主要目标是创造有竞争力的国内高科技产品，并改善与生产过程的互动。俄罗斯政府通过这项新法案，强调了技术政策在国家发展中的重要性，并采取了一系列措施来推动技术创新和产业升级，以提高国内高科技产品的竞争力。

来源：https://www.securitylab.ru/news/548570.php

2. 俄罗斯数字发展部建议主要市场参与者之间划分责任

俄罗斯数字发展部与IT公司、电信运营商和银行代表举行了会议，探讨创建一个统一平台以应对网络攻击。电信运营商Tele2、VimpelCom和MegaFon确认参加会议，并准备参与开发新平台。副部长亚历山大·肖伊托夫提出，该平台将整合反欺诈、反网络钓鱼和专业银行系统，旨在建立一个“单一数字平台”。尽管市场参与者普遍支持这一想法，但有人担忧其发展不够成熟，目标不够明确。正在考虑的方案之一是在大型市场参与者之间划分对网络事件的响应，执法机构将发挥更大的控制作用。俄罗斯已有多个应对网络威胁的系统，新平台可能成为现有反欺诈系统的发展。金融部门公司认为新平台应作为反欺诈系统的延伸，Tinkoff银行提出项目名为“TelecomCert”，旨在收集欺诈信息并分析攻击者呼叫。专家认为技术上创建此类平台是可行的，但需考虑架构、数据保护和兼容性。主要挑战在于保护平台本身免受攻击。市场参与者还担心信息安全过度集中，以及银行业务控制权向单一中心转移的问题。

来源：https://www.securitylab.ru/news/548566.php

安全事件

3. 澳大利亚电信监管机构就2022年数据泄露事件起诉Optus

澳大利亚通信和媒体管理局（ACMA）已向联邦法院对电信公司Optus提起诉讼，原因是Optus在2022年9月发生的数据泄露事件中未能保护近1000万客户的敏感信息。该泄露事件暴露了客户的姓名、出生日期、电话号码、电子邮件地址以及部分客户的地址和身份证件号码，如驾照或护照号码。ACMA认为Optus违反了《1979年电信（拦截和访问）法案》中保护客户个人信息的规定。Optus已向客户道歉，并采取了保护客户的“重大措施”，包括与警方和其他机构合作，并补偿客户更换身份证件的费用。Optus表示将为自己辩护，但未对诉讼发表进一步评论。这是ACMA近期对Optus提起的第二起诉讼。今年3月，因Optus未能上传近20万客户的信息至综合公共号码数据库，违反了《电信法》，Optus支付了150万澳元的罚款。澳大利亚信息专员办公室（OAIC）也在调查Optus的数据处理实践，以确定其是否采取了合理的保护措施。

来源：https://www.govinfosecurity.com/australian-telecom-watchdog-sues-optus-over-2022-data-breach-a-25321

4. 法庭软件遭供应链攻击传播RustDoor恶意软件

恶意行为者在Justice AV Solutions (JAVS) 开发的法庭视频录制软件JAVS Viewer v8.3.7的安装程序中植入后门，传播与RustDoor后门相关的恶意软件。该供应链攻击编号为CVE-2024-4978，由Rapid7发现并追溯到3月5日从JAVS官网下载的安装程序。恶意文件fffmpeg.exe与正常安装程序一起被签名，但使用了错误的Authenticode证书。执行后，fffmpeg.exe建立与C&C服务器的联系，运行混淆的PowerShell脚本，绕过AMSI，禁用ETW，并下载额外负载chrome_installer.exe。该负载释放Python脚本和main.exe，后者用于收集浏览器凭据。Rapid7分析发现main.exe存在软件错误。RustDoor是一种基于Rust的后门恶意软件，首次由Bitdefender记录，通过模仿Microsoft Visual Studio更新针对Apple macOS设备。韩国公司S2W发现Windows版本的RustDoor，即GateDoor，用Golang编写，与RustDoor共享C&C通信端点和功能。有迹象表明RustDoor和GateDoor与名为ShadowSyndicate的RaaS组织有关。

来源：https://thehackernews.com/2024/05/courtroom-software-backdoored-to.html

5. 美国CBP和ICE因泄露非公民生物识别信息被起诉

数字权利倡导组织Access Now和哈佛网络法律诊所起诉美国海关及边境保护局(CBP)和移民及海关执法局(ICE)未能提供有关其与拉丁美洲政府共享生物识别数据的文件。这些文件涉及ICE的执法和遣返行动(ERO)计划和CBP的CBP One应用程序。Access Now提出的信息自由法(FOIA)请求在17个月后仍未得到回应。诉讼强调了ICE与墨西哥、危地马拉、洪都拉斯和萨尔瓦多的合作协议及数据共享风险。CBP One应用程序因其收集的个人和地理位置信息也受到质疑，尤其是其在自动决策和登记流动人口中的使用。Access Now指出，萨尔瓦多因数据不准确导致其公民在美国被错误拘留和定罪，呼吁对与有侵犯人权历史的国家的数据共享协议进行调查。Access Now致力于为无证移民提供技术援助，并揭露不准确数据带来的问题。CBP和ICE尚未对此事发表评论。

来源：https://therecord.media/ice-cbp-foia-lawsuit-access-now-harvard-biometrics

6. 谷歌专家批评网络钓鱼测试毫无用处，呼吁进行消防演习式改革

谷歌安全响应和事件管理部门负责人马特·林顿认为，当前的网络钓鱼测试方法无效且令人讨厌，建议用网络安全消防演习替代。林顿指出，早期的消防演习与现代网络钓鱼测试相似，都是突然袭击并归咎于个人，但现代消防演习已变得更有计划、更明确。网络钓鱼测试没有证据显示能减少网络钓鱼成功率，反而增加了员工对IT团队的不满。林顿提议，应通过默认安全系统和工程防御，如不可钓鱼的凭证和多方批准，来减少网络钓鱼风险。他还建议，网络钓鱼测试应明确告知员工，以建立积极的网络安全文化，而非通过欺骗。英国国家网络安全中心也支持这一观点，认为应通过多层次方法减轻网络钓鱼攻击，包括教育员工识别和举报网络钓鱼，保护组织免受其影响，并快速响应事件。

来源：https://www.theregister.com/2024/05/23/google_phishing_tests/

安全警报

7. 英国国家安全委员会警告该国“必须做好准备”应对选举干预

英国国家安全委员会警告即将举行的大选面临选举干预威胁。委员会主席玛格丽特贝克特女爵士致信首相里希·苏纳克，呼吁在议会最后两天内确保保护措施到位。贝克特指出，公众可能不了解这些威胁对英国民主和个人的影响。委员会担忧敌对势力通过网络攻击、勒索软件、针对政治候选人的胁迫及虚假信息传播破坏选举信任。国家网络安全中心（NCSC）推出新服务保护候选人手机免受攻击，强调政治候选人和选举官员账户是网络攻击目标。委员会呼吁首相召集相关机构在议会最后几天内共同商讨应对措施，保护选举的完整性和国家安全。

来源：https://therecord.media/uk-election-interference-parliamentary-warning

8. 欧盟希望大学与情报机构合作保护其研究成果

欧盟成员国建议欧洲研究型大学与情报机构合作，以保护其研究成果免受敌对国家窃取。此举是对中国政府一系列间谍活动以及不良知识转移和外国干涉风险的回应。欧盟强调前沿技术，如先进半导体、人工智能、量子和生物技术，对经济安全的重要性。建议包括促进研究组织和情报部门的信息交流，通过机密和非机密简报或专门联络官来了解研究风险。另一个建议是加强政府部门间的合作，特别是高等教育、研究、创新、贸易、外交、情报和安全领域。英国也在考虑类似措施，可能让军情五处对关键研究人员进行安全审查，以防止关键技术被滥用或盗窃。美国已有类似项目，其国家反情报和安全中心的“保障科学”计划帮助研究界设计防范措施。专家提醒西方国家不要忘记俄罗斯情报机构的活跃历史，强调地缘政治环境的变化需要联合行动，避免研究成果被用来危害安全或价值观。比利时政治家威利·博尔苏斯指出，尽管对国际合作持开放态度，但必须避免天真，采取措施保护研究成果的安全。

来源：https://therecord.media/eu-research-universities-intelligence-agencies-foreign-espionage

9. 美国太空部队称需要更多演习应对轨道紧急情况

美国太空部队计划提高战术反应发射演习的频率至每年一次，以增强其快速行动能力。太空系统司令菲利普·加兰特中将强调，此举旨在展示太空部队的敏捷性和速度，并通过快速反应任务体现其“快速行动的文化”。这些任务模拟真实战场环境，要求人员随时准备应对突如其来的指令，快速发射重要设备或处理轨道紧急情况。太空部队的Victus Nox任务是其第二次战术反应任务，展示了从热待命状态到一周内发射卫星的能力。这种快速反应演习对于应对俄罗斯和中国等对手构成的轨道威胁至关重要，两国都曾进行过破坏性卫星试验，产生大量太空碎片，威胁到国际空间站的安全。还有迹象表明俄罗斯可能考虑部署核反卫星武器。加兰特中将表示，太空部队通过Victus系列演习，如即将到来的Victus Haze，将展示其应对轨道上不负责任行为的能力，涉及多架航天器、发射装置和有效载荷提供商的协调能力测试，以快速缓解轨道威胁。

来源：https://www.theregister.com/2024/05/23/us_space_force_says_it/

漏洞预警

10. 谷歌今年修复了第八个被积极利用的Chrome零日漏洞

Google发布了紧急安全更新，解决了Chrome浏览器中的第八个零日漏洞（CVE-2024-5274），该漏洞已在野外被积极利用。这是Chrome的JavaScript引擎V8中的一个高严重性“类型混淆”问题，可能导致数据损坏和任意代码执行。Google采取了积极措施以修复此漏洞，已发布针对Windows和Mac的Chrome稳定频道的更新版本，并计划在未来几周内向Linux用户推出更新。此次漏洞是Google今年以来修复的第八个被利用的漏洞，也是本月的第三个漏洞，强调了保持软件安全更新的重要性。Chrome用户应确保安装了最新版本，并在重新启动浏览器后生效。

来源：https://www.bleepingcomputer.com/news/security/google-fixes-eighth-actively-exploited-chrome-zero-day-this-year/

11. 删除的照片会返回到苹果设备的图库中

Synactiv安全研究人员发现，iOS 17.5版本中的一个故障导致用户设备上突然出现已删除数月甚至数年前的照片。该问题是由系统本身的错误引起，并非之前所认为的iCloud问题。自iOS 17.5公开测试版发布后，一些iPhone用户报告称已删除的照片重新出现在设备上，该问题最终进入系统最终版本，并在Reddit等论坛上引起大量投诉。研究人员分析了iOS 17.5.1更新，发现苹果在更新中删除了负责从文件系统扫描和重新导入照片的功能中的程序，这导致旧文件被重新索引并返回图库。这意味着已删除的照片实际上一直存在于文件系统中，只是被新迁移程序检测到。这一发现解决了用户对苹果故意存储已删除数据的疑虑，但同时指出了另一个问题：删除的文件可能仍保留在本地内存中，直到被新数据覆盖。

来源：https://www.securitylab.ru/news/548564.php

组织跟踪

12. Shedding Zmiy：专业黑客组织威胁俄罗斯公司安全

Solar 4RAYS 网络威胁研究中心揭示了高度专业的黑客组12织 Shedding Zmiy 的活动。该组织专注于窃取机密信息，通过利用俄罗斯公司受损的数据并将其发布到公共领域来实现目标。Shedding Zmiy 使用多种恶意软件和自身独特的工具，包括利用社会工程学手段。他们在俄罗斯拥有广泛的指挥和控制服务器网络，以规避地域攻击块。该组织已成功攻击数十家俄罗斯公司，专家估计其攻击成本远高于开发成本。攻击者的高度组织化和技术水平展现了他们对攻击活动的认真程度。

来源：https://www.securitylab.ru/news/548585.php

13. FBI官员发现一个青少年网络犯罪团伙Scattered Spider

2024年5月24日，FBI高级官员布莱恩·沃恩德兰在Sleuthcon会议上透露，一个名为“Scattered Spider”的网络犯罪团伙由约1000名青少年组成，该团伙是当前最具影响力的网络犯罪组织之一。Scattered Spider源自在线社区“the Com”，其成员主要来自美国和英国。该团伙擅长社交工程，通过攻击服务台等关键接入点进入特权网络，并展示出高超的在网络中移动和窃取数据的技能。Scattered Spider涉及多起备受瞩目的网络攻击，包括对米高梅度假村和身份管理公司Okta的入侵。成员们表现出与现有勒索软件组织合作的迹象，并通过暴力和人身威胁迫使受害者支付赎金。尽管FBI在逮捕该团伙成员方面进展缓慢，但官员们表示，已采取非公开行动并承诺采取更多措施。今年1月，佛罗里达州当局逮捕了该团伙的关键成员Noah Urban。网络安全专家呼吁对网络犯罪给予更多关注和资源，认为一般组织面临的网络犯罪威胁比国家级网络攻击更大。

来源：https://cyberscoop.com/potent-youth-cybercrime-ring-made-up-of-1000-people-fbi-official-says/

新兴技术

14. DNSBomb：一种利用DNS查询的新型DoS攻击

DNSBomb是一种新型的拒绝服务(DoS)攻击，它通过滥用DNS协议的不同安全机制来对目标系统进行攻击。这种攻击利用了可靠性增强、安全保护、超时、查询聚合和响应快速返回等机制，并将低速率的DNS查询放大为大尺寸响应，以及将所有DNS响应分解为短暂、大容量的周期性突发，导致目标系统过载。研究人员评估了10种主流DNS软件、46种公共DNS服务和超过180万个开放DNS解析器，发现它们都可能被利用来进行DNSBomb攻击。此外，攻击已分配超过11个CVE，涉及Knot、Simple DNS Plus、Technitium、MaraDNS、Dnsmasq、CoreDNS、SDNS等多个DNS服务。DNSBomb攻击使用全球开放的DNS解析器对目标服务器生成短暂且周期性的脉冲流量，需要攻击者具备IP欺骗能力。攻击者可以在任何域名注册平台购买域名并建立受控的名称服务器，向可利用的解析器发起DNS查询，影响目标受害者的任何服务器或IP地址。DNSBomb攻击的工作流程包括累积DNS查询、放大DNS查询和集中DNS响应。攻击者通过受控域放大较小的DNS查询包为较大的响应包，然后在接近每个查询的超时时，利用可靠性增强的DNS机制将所有响应集中在目标服务器上，产生强大的脉冲DoS流量。

来源：https://gbhackers.com/dnsbomb-dos-exploit/

15. 太空中的人工智能预言家：JAXA和JR-West将预测轨道上的卫星故障

日本宇宙航空研究开发机构(JAXA)与西日本旅客铁道公司(JR-West)合作，利用人工智能技术预测航天器设备的故障。这一合作结合了JAXA在遥测数据和卫星控制方面的专业知识，以及JR-West在数据分析和人工智能开发技术以及铁路设备维护方面的专长。JR-West此前已将AI技术用于火车的故障诊断，现在该项目旨在将类似技术应用于卫星故障的预测。SKY Perfect JSAT作为项目的一部分，将利用人工智能改进遥测分析模型，以便在卫星出现严重故障前检测到轨道异常。JAXA表示，传统方法难以可视化环境对卫星的影响，而大量遥测数据的收集有助于开发有用的AI模型。AI在轨道应用方面已有先例，如LeoLabs和Neuraspace使用AI算法来监测可能的卫星碰撞。此外，AI也被用于极端天气条件的检测和自主导航系统等任务。

来源：https://www.securitylab.ru/news/548576.php

往期推荐