其他
5th域安全微讯早报【20240527】127期
2024-05-27 星期一 Vol-2024-127
今日热点导读
资讯详情
政策法规
1. 欧盟委员会和微软对数据监管裁决提起上诉
欧盟委员会和微软正在对欧洲数据保护监督机构(EDPS)3月份的裁决提起上诉。该裁决认定,欧盟委员会在使用Microsoft Office应用程序时违反了2018/1725号条例(EU)。EDPS要求欧盟委员会在2023年12月前确保其使用Microsoft 365产品时产生的数据保留在欧盟或具有类似隐私制度的国家/地区。这项裁决源于2021年启动的调查,当时正值欧盟-美国数据隐私框架出台之前。该框架旨在确保跨大西洋数据传输的合法性。这项调查在欧洲法院2020年做出的Schrems II裁决后启动,裁决宣布“隐私盾”无效,并指出欧洲人的数据在美国受到监控,因此数据传输到美国是非法的。EDPS发现欧盟委员会未能充分说明其收集的个人数据类型和用途,这违反了其作为数据控制者的职责。欧盟委员会声称,EDPS的决定将损害其“移动和综合IT服务”,并表示将分析该决定及其原因后再采取措施。数据保护专家指出,若该决定生效,欧盟委员会可能需从云服务转向本地基础设施,这在其规模下几乎不可能,并会导致网络安全性降低和服务受限等问题。来源:https://www.govinfosecurity.com/eu-commission-microsoft-appeal-edps-office-365-decision-a-25327安全事件
2. 黑客攻破间谍软件网站,泄露数据库和源代码
2024年5月24日,黑客攻破了pcTattletale间谍软件应用程序的网站,并泄露了包含数据库和源代码数据的档案。pcTattletale是一种被其开发者描述为“员工和儿童监控软件”的消费级间谍软件,曾被发现存在泄露Android手机实时截图的漏洞。据报道,安全研究员Eric Daigle在美国多家温德姆酒店的预订系统中发现了该间谍软件的API安全漏洞。通过这个漏洞,攻击者可以访问安装了pcTattletale的设备所拍摄的最新屏幕截图。Daigle和另一名研究员试图联系pcTattletale的开发人员以修复这一漏洞,但未成功。此漏洞仍然存在,威胁着使用该间谍软件的用户的敏感信息。随后,一名黑客利用Python漏洞,通过其基于SOAP的API提取了pcTattletale的AWS凭证,从而获取了间谍软件的源代码和数据库。黑客在破坏的网站上表示,他并未利用Daigle发现的漏洞,而是通过自己的方法获取了相关信息。黑客将20个包含源代码和数据的档案泄露到网上,进一步加剧了这一安全事件的影响。尽管pcTattletale的开发人员Bryan Fleming在YouTube视频中将该软件称为“间谍软件”,微软也将其视为威胁,表示它“会监视用户的电脑活动”,并试图窃取敏感信息。目前,Fleming尚未对此次事件做出回应。来源:https://www.bleepingcomputer.com/news/security/hacker-defaces-spyware-apps-site-dumps-database-and-source-code/3. FHC遭遇网络攻击:会员信息或受影响
2024年4月3日,FIRST Heritage 合作信用社(FHC) 遭遇网络攻击,导致其系统中断,并可能泄露会员的联系信息和交易文件。尽管如此,FHC表示,其IT安全措施有效地降低了核心系统未经授权访问的风险,会员财务账户的完整性未受损害 (Tech Hyme)。在攻击发生后,FHC迅速采取行动,与技术合作伙伴合作,遏制威胁并激活数据备份和恢复协议。为了应对可能的欺诈行为,FHC还启动了iTransact银行平台用户的密码重置提示,并采用自动化工具检测和防止跨账户和IT基础设施的可疑活动。FHC建议会员对任何可疑的金融活动保持警惕,定期更新银行密码,并警惕可能出现的网络钓鱼邮件或未经请求的通信 (Tech Hyme)。FHC将在未来几周内向其客户通报任何异常金融活动,并继续与网络安全和执法部门合作,确保会员信息的安全。来源:https://thecyberexpress.com/fhc-cyberattack-alert/4. 印度警方和军方500GB生物特征数据遭泄露
网络安全研究员Jeremiah Fowler发现并报告了一个未加密码保护的数据库,该数据库包含超过160万份文档(总计约496.4GB),包括面部扫描图像、指纹、签名以及警察、军事人员、教师和铁路工人的身份标记。这起数据泄露事件涉及2021年至2024年的记录,包含警察和执法人员的体能测试(PET)数据、签名图像、PDF文档、移动应用程序安装数据等。敏感信息的泄露引发了对身份盗窃和选举安全的担忧。数据库中的信息包括出生证明、电子邮件地址、求职申请、文凭、证书和其他教育相关文件。这些数据由两家独立的印度公司ThoughtGreen Technologies和Timing Technologies管理,但目前尚不清楚哪家公司拥有该服务器。数据库暴露的持续时间和未经授权的访问情况尚不明确,但公众对该数据库的访问已被限制。Fowler在研究报告中指出,这些数据可能已在Telegram群组中出售,给数百万人带来了身份盗窃和冒充的风险。来源:https://www.hackread.com/data-leak-indian-police-military-biometric-data/5. 印度男子利用假冒Coinbase Pro网站窃取了价值3700万美元的加密货币
一名印度公民奇拉格·托马尔因涉嫌电信欺诈罪被捕,承认通过仿冒 Coinbase Pro 网站窃取了超过 3700 万美元。他与同伙创建了虚假网站,诱骗合法的 Coinbase 客户输入登录凭据和双因素身份验证码。通过网络钓鱼,托马尔控制他人加密货币钱包,并将资金转移到自己控制的钱包中。托马尔的奢侈生活方式引起关注,他购买了劳力士手表、兰博基尼等奢侈品,并在迪拜和泰国旅行。他面临最高 20 年监禁和25 万美元罚款的指控。来源:https://www.bleepingcomputer.com/news/security/indian-man-stole-37-million-in-crypto-using-fake-coinbase-pro-site/安全警报
6. Ransomhub的最新攻击为工业控制系统 (ICS) 安全敲响警钟
最新的Ransomhub攻击显示了工业控制系统(ICS)网络安全面临的严重挑战。该组织最近针对西班牙生物能源工厂的攻击暴露了ICS系统的脆弱性,特别是监控和数据采集(SCADA)系统。Ransomhub利用复杂的加密技术加密数据,并对SCADA系统进行破坏,声称访问并加密了超过400 GB的数据。此举凸显了ICS环境面临的威胁,以及加强网络安全措施的紧迫性。建议采取措施包括实施网络分段、定期更新软件、安全远程访问、监控网络日志以及制定事件响应计划。这次攻击强调了提高意识和采取积极的安全措施对于保护关键基础设施免受在线网络威胁的重要性。来源:https://thecyberexpress.com/ransomhub-group-strikes-ics/7. CERT-UA警告威胁行为者UAC-0006发起的恶意软件活动
乌克兰计算机应急响应小组(CERT-UA)警告称,经济动机的威胁行为者UAC-0006的网络攻击活动显著增加。自2013年以来,UAC-0006一直活跃,专注于入侵会计师的个人电脑,窃取凭证和进行未经授权的资金转移。自2023年5月20日以来,该组织发起了至少两次大规模攻击,利用电子邮件传播SmokeLoader恶意软件。SmokeLoader作为其他恶意软件的加载器,一旦执行,会将恶意代码注入Explorer进程,并下载其他有效负载。攻击者通过ZIP档案发送包含IMG文件的电子邮件,这些文件内嵌EXE恶意软件和ACCDB文档,启用恶意宏后执行PowerShell命令下载并运行EXE文件。初始感染后,TALESHOT和RMS等恶意软件也会被下载到目标PC上。UAC-0006使用由数百台受感染机器组成的僵尸网络,可能很快会利用远程银行系统启动欺诈计划。CERT-UA敦促乌克兰企业首席执行官加强会计自动化工作场所的网络安全措施,分享了此次活动的入侵指标,并建议实施适当的安全政策和保护机制。来源:https://securityaffairs.com/163711/cyber-warfare-2/cert-ua-warns-uac-0006-massive-campaigns.htmlTTPs动向
8. 俄罗斯黑客改变策略:采用付费恶意软件
Flashpoint研究人员揭示,俄罗斯黑客和APT组织正在利用现成的恶意软件升级网络攻击,并将目标扩大到政府之外。他们采用复杂化的策略、技术和程序,趋向于使用非法在线市场上的恶意软件,以更难被发现。这些组织不再局限于政府和政治实体,而是瞄准更广泛的受害者,动机包括间谍活动和经济利益。Flashpoint分析了多个俄罗斯APT组织的活动,包括APT28、APT29、Gamaredon、Gossamer Bear、UAC-0050和UAC-0149,揭示了它们的攻击方式和使用的恶意软件。他们主要依靠HTML植入程序来执行恶意代码,并经常使用NTLM哈希窃取等方法。组织可以通过多种方式来保护自己,包括检测异常子进程、实施DLL侧加载检测等。来源:https://www.hackread.com/russian-hackers-target-victims-with-paid-malware/9. 短信诈骗升级!黑客利用顶级云服务进行网站重定向
短信诈骗者利用Google、Amazon和IBM等顶级云服务,将用户重定向到恶意网站,窃取个人信息。通过利用云存储服务托管垃圾URL的静态网站,攻击者绕过了防火墙限制,使得诈骗链接更具欺骗性。这些诈骗通常通过看似无害的短信诱导用户点击链接,将其引导至伪装成合法网站的恶意网站,从而窃取个人和财务信息。为了缓解这一威胁,用户应当谨慎对待短信链接,检查网站合法性,并启用多因素身份验证以提高安全性。来源:https://www.hackread.com/cloud-services-malicious-sites-redirect-sms-scams/10. 黑客利用Microsoft Access文档执行恶意程序
最近,网络犯罪组织UAC-0006对乌克兰发起多次网络钓鱼攻击,利用ZIP和RAR附件传播SMOKELOADER恶意软件。该组织通过携带Microsoft Access文档和ZIP存档的电子邮件进行攻击,这些文件在打开后会在受感染系统上安装包括RMS和TALESHOT在内的恶意软件。CERT-UA观察到UAC-0006近期的显著活动,并报告了至少两次传播SMOKELOADER的事件。SMOKELOADER主要影响Windows设备,感染后可能安装勒索软件、加密货币挖矿程序或密码窃取程序,导致文件破坏和信息泄露。CERT-UA预计,通过远程银行系统进行的欺诈行为将增加。为防御此类攻击,建议公司加强自动化会计工作区的安全性,审查妥协迹象并采用适当的保护措施。SOC Prime平台提供检测算法,帮助防御者应对UAC-0006的攻击。来源:https://gbhackers.com/hackers-microsoft-access-malware/AI安全
11. Gipy:一种伪装成人工智能的新病毒正在欧洲和亚洲运作
卡巴斯基实验室发现了一种名为Gipy的新恶意软件,针对德国、西班牙和台湾用户。该软件伪装成人工智能变声应用,实际上在提供功能的同时下载恶意软件。Gipy允许攻击者窃取数据、挖掘加密货币并安装其他恶意软件。专家发现Gipy从GitHub下载受密码保护的存档,大多数包含Lumma Stealer,还发现了Apocalypse ClipBanker、多种RAT木马等恶意软件。用户应当谨慎下载新应用,特别是那些承诺不寻常功能的人工智能应用,因为攻击者正在利用人工智能工具实施攻击。来源:https://www.securitylab.ru/news/548609.php12. 专家警告科技巨头正在转移人们对人工智能(AI)带来的生存风险的注意力
物理科学家兼人工智能安全倡导者马克斯·泰格马克警告科技巨头正在转移人们对人工智能(AI)带来的生存风险的注意力。他在首尔人工智能峰会上发表讲话,将AI的潜在风险与二战时期的核物理事件相提并论。泰格马克指出,当今能够通过图灵测试并在通信方面与人类无法区分的AI模型可能对算法控制构成威胁。尽管一些行业领袖开始发出警告,但国际科学界的关注点却从解决潜在安全威胁转向了制定监管规范。他呼吁政府采取行动,制定强制性安全标准以确保AI的安全性。泰格马克指出,尽管一些技术领袖可能默许当前状况,但政府的干预是实现安全AI的唯一途径。尽管一些行业先驱呼吁暂停AI研究,但该建议未能得到广泛采纳。与此同时,许多人工智能峰会都将焦点转向制定指导方针,而不是解决当前的安全问题。泰格马克认为,这种偏移是科技行业游说努力的结果,呼吁人们转向实际行动。来源:https://www.securitylab.ru/news/548619.php13. 马斯克警告:人工智能和社交媒体威胁人类及下一代
埃隆·马斯克在Viva Technology大会上发表言论,引发了关于技术在现代生活中作用的讨论。他强调了限制儿童屏幕时间的重要性,并警告人工智能系统可能导致上瘾。马斯克批评社交媒体算法设计的目标是让用户上瘾,而不是提供有益信息。他设想了一个“最好的情况”,即人工智能接管工作,但也担心人工智能反映创造者的偏见。尽管曾呼吁冻结人工智能开发,但他现在积极参与人工智能竞赛,将其公司定位为拯救人类的力量。马斯克的立场转变反映了科技行业在炒作和恐惧之间的挣扎,强调了负责任地使用技术的重要性。来源:https://www.securitylab.ru/news/548612.php14. 人工智能与人类:谁将赢得财务预测准确性之战?
芝加哥大学的研究显示,大型语言模型(LLM)如OpenAI的GPT-4在分析财务报表方面表现优异,其准确性可与专业分析师相媲美,甚至有时超越专业分析师。研究测试了GPT-4在预测企业未来盈利增长中的表现,即使仅提供标准化和匿名的资产负债表和损益表,GPT-4的准确率仍达到60.4%,超过了人类分析师的53-57%。研究采用了“推理链”提示方法,引导GPT-4模拟金融分析师的分析过程,从识别趋势到计算比率并综合信息形成预测。这项研究预示着人工智能在财务分析领域的巨大潜力,可能会显著改变金融分析师的角色。虽然人类的专业知识和判断力不太可能被完全取代,但GPT-4等工具可以大幅增强和简化分析师的工作,推动财务分析领域的革新。来源:https://www.securitylab.ru/news/548618.php15. AI Overviews致许多网站濒临灭绝
过去两年,谷歌对其搜索算法进行了多次重大更新,引入了使用人工智能生成响应的功能,称为AI Overviews。该系统基于机器学习算法,可以合成来自多个网页的信息,直接为用户提供答案,而不仅仅是相关链接。此举严重影响了许多内容创作者和网站的流量,如空气净化器评论网站HouseFresh和流行出版物《纽约杂志》、《GQ》等,其流量大幅下降。同时,Reddit、Quora和Instagram等用户平台的流量激增,Reddit的季度收入创历史新高。内容创作者批评谷歌AI生成的答案常包含错误,且导致用户不再访问原始网站,流量锐减。许多人指责谷歌滥用其在搜索市场的垄断地位,并指出其行为导致了一些网站濒临灭绝。谷歌目前面临美国司法部的反垄断诉讼,若败诉,可能面临巨额罚款或业务重组。来源:https://www.securitylab.ru/news/548620.php其他动态
16. 前白宫网络安全官员杰夫·格林将出任CISA网络安全执行助理主任
前白宫网络安全官员杰夫·格林(Jeff Greene)将于6月初加入美国网络安全和基础设施安全局(CISA),接替即将离任的埃里克·戈德斯坦(Eric Goldstein)担任网络安全执行助理主任。格林目前是阿斯彭研究所网络安全项目的高级主管,并曾在国家安全委员会和美国国家标准与技术研究所担任重要职务。在加入阿斯彭研究所之前,他在赛门铁克公司担任高级主管和政策副总裁。CISA主任Jen Easterly赞扬了Goldstein在任期间对机构运营协作和网络风险检测能力的重大贡献。格林的加入被视为CISA加强其网络安全防御能力的重要一步。来源:https://www.govinfosecurity.com/aspen-institutes-jeff-greene-headed-to-cisa-a-2531517. 数据泄露背后的主要祸根
最近的报告和调查显示,网络安全威胁不断演变,外部行为者是主要威胁力量,占违规行为的83%,其中近半数事件使用被盗凭证。DNS攻击和Web应用程序攻击频繁,勒索软件主导网络犯罪,72%的攻击出于敲诈动机。数据泄露对企业、客户和合作伙伴构成重大风险,尽管风险高,但不到1%的企业采用成熟的零信任模型。数据泄露的主要原因包括弱或被盗的凭证,后门和应用程序漏洞,恶意软件,社会工程攻击,勒索软件,以及配置错误和API暴露。为了防止数据泄露,企业应部署欺诈保护工具、企业单点登录(SSO)、多因素身份验证(MFA),并保持强密码卫生。此外,定期更新和管理Web应用程序防火墙(WAF),以及采用先进的AI驱动安全解决方案,有助于缓解后门和应用程序漏洞。对于恶意软件,实施先进的防护解决方案可以增强安全态势。社会工程学攻击需要提高警惕性,确保敏感信息共享时的合法性验证。勒索软件防护则需采用微分段技术,实现零信任原则,防止横向移动。配置错误和API暴露的问题可通过高级API安全解决方案进行治理。为了应对DNS攻击,部署强大的基于云的权威DNS服务是关键。来源:https://thecyberexpress.com/protecting-against-data-breaches/往期推荐
2024-05-21
2024-05-22
2024-05-23
2024-05-24
2024-05-25