其他
5th域安全微讯早报【20240618】146期
2024-06-18 星期二 Vol-2024-146
今日热点导读
1. 法国时尚品牌Zadig & Voltaire品牌数据泄露事件:近59万电子邮件地址曝光
2. 苏格兰杜姆弗里斯和加洛韦地区将发布被盗医疗数据警告
3. 暗网帝国市场运营者涉嫌4.3亿美元非法交易面临终身监禁
4. 澳大利亚Medibank数据泄露案:VPN没有多因素认证
5. D-Link路由器发现严重后门漏洞
6. 美国HHS发布PHP代码执行漏洞警报及补救策略
7. 黑客采用新技术攻击Docker API
8. BadSpace后门通过合法网站传播的多阶段攻击链
9. NiceRAT恶意软件通过破解软件在韩国传播
10. 增强毫米波SWIPT网络的安全性
11. SoK:通过建立安全设计属性来分析软件供应链的安全性
12. 外媒关注华为HarmonyOS NEXT系统,称将全面脱离美国技术
13. 罗彻斯特理工学院推出首个网络威胁情报LLM基准测试
资讯详情
安全事件
2. 苏格兰杜姆弗里斯和加洛韦地区将发布被盗医疗数据警告苏格兰杜姆弗里斯和加洛韦地区将向所有家庭发送警告信,告知他们可能有被盗的医疗数据已被网络犯罪分子公布。这些数据来自今年2月的一次勒索软件攻击,INC Ransom团伙要求赎金未果后在3月威胁公开数据。NHS信托首席执行官朱莉·怀特建议居民假设其数据已被泄露,并警惕任何试图访问其计算机系统或声称持有其数据的行为。被盗数据包括从X光图像到测试结果,特别关注最脆弱患者的信息。NHS员工将直接联系这些患者讨论风险,并建议居民向警方报告任何可疑行为。此次数据泄露可能导致身份盗窃和其他威胁,居民需提高警惕。来源:https://therecord.media/all-scottish-households-nhs-hack-alert
3. 暗网帝国市场运营者涉嫌4.3亿美元非法交易面临终身监禁美国司法部指控两名暗网市场Empire Market的运营者,38岁的托马斯·佩维和28岁的拉海姆·汉密尔顿,在2018至2020年间非法交易总额超过4.3亿美元。两人被控促成近四百万笔交易,涉及毒品、假币、被盗信用卡信息等。此前,他们还在AlphaBay市场销售假冒货币。AlphaBay于2017年被全球执法部门关闭,其管理员亚历山大·卡泽斯在泰国被捕后自杀。佩维和汉密尔顿随后创建并运营Empire Market,该市场提供欺诈、药品、假冒商品等类别的商品。交易通过加密货币进行,买家可对卖家进行评分。两人目前被拘留,面临贩毒、计算机欺诈、伪造货币和洗钱等多项重罪指控,每项罪名均可导致终身监禁。司法部在调查过程中还查获了价值7500万美元的加密货币及其他资产。此案反映了网络犯罪市场在被执法部门打击后,其活跃用户如何迅速创建新平台继续非法活动的现象。来源:https://therecord.media/empire-market-suspects-charged-potential-life-sentences
4. 澳大利亚Medibank数据泄露案:VPN没有多因素认证澳大利亚私人健康保险公司Medibank因VPN系统缺乏多因素身份验证(MFA),导致近1000万个人数据泄露。2022年,黑客利用从IT服务台承包商窃取的管理员凭证,轻易登录Medibank的Global Protect VPN,访问了大量敏感信息。泄露的数据包括个人信息和健康索赔数据,总计520GB。澳大利亚信息专员指出,Medibank未能采取合理措施保护个人信息,违反了隐私原则11.1,可能面临数百万美元的处罚。Medibank在2022年收入71亿美元,拥有约3300名员工,但其网络安全预算仅100万美元。此外,涉嫌此次攻击的俄罗斯公民亚历山大·埃尔马科夫已被多国制裁。此案凸显了医疗行业在网络安全方面的薄弱环节,特别是在多因素身份验证的实施上。来源:https://www.govinfosecurity.com/australian-regulators-detail-medibank-hack-vpn-lacked-mfa-a-25539
漏洞预警
5. D-Link路由器发现严重后门漏洞D-Link的多款无线路由器型号被发现存在一个严重的安全漏洞,CVE-2024-6045,CVSS评分为8.8。该漏洞源于一个未公开的工厂测试后门,允许未认证的攻击者通过特定URL启用Telnet服务,进而获取管理员凭证,完全控制受影响的路由器。受影响的型号包括E15、E30、G403、G415、G416、M15、M18、M30、M32、M60、R03、R04、R12、R15、R18、R32等。D-Link已发布固件更新,建议用户根据型号更新至相应固件版本,以降低被利用的风险。安全研究员Raymond发现并报告了该漏洞,D-Link确认并解决了问题。用户应定期检查并应用固件更新,以确保网络设备安全。来源:https://gbhackers.com/hidden-backdoor-in-d-link-routers/6. 美国HHS发布PHP代码执行漏洞警报及补救策略美国卫生与公众服务部(HHS)下属的卫生部门网络安全协调中心(HC3)针对PHP中的严重代码执行漏洞发布了行业警报,建议管理员更新系统。该漏洞(CVE-2024-4577)影响PHP 5.x及其以上版本,尤其是Windows设备,可能影响全球大量服务器。漏洞允许远程注入任意参数,执行代码并完全控制受影响的系统。HC3指出,该漏洞在PHP以CGI模式运行时影响最大,但即使未设置为CGI模式,如果PHP可执行文件位于Web服务器可访问的区域,也可能被利用。HC3建议更新PHP至最新版本8.3.8,并为无法立即升级的系统应用mod_rewrite规则阻止攻击。此外,HC3还强调了网络安全防御体系的重要性,建议医疗行业参与建设,并进行全面的资产评估以测试使用场景。来源:https://industrialcyber.co/medical/us-hc3-issues-alert-on-critical-php-vulnerability-impacting-healthcare-sector/
TTPs动向
7. 黑客采用新技术攻击Docker APISpinning YARN黑客团伙发起了一场新的挖矿攻击活动,针对公开暴露的Docker Engine主机,利用新的二进制文件chkstart(远程访问与有效载荷执行)、exeremo(通过SSH横向移动)和vurld(Go下载器),以及修改systemd服务的ExecStartPost命令来实现持久性。攻击者通过扫描开放的端口2375部署Alpine Linux容器,并绑定根目录以获得系统完全访问权限。攻击者还通过添加定时任务下载并执行恶意脚本,进一步下载工具和有效载荷,禁用安全措施、窃取信息并可能安装加密挖矿软件。chkstart通过修改systemd单元文件建立持久性,注入恶意命令执行隐藏的XMRig加密货币挖矿程序“top”。exeremo通过SSH连接横向扩展,利用从受感染服务器提取的用户名、主机名和SSH密钥等信息连接其他SSH服务器并执行远程脚本。新发现的负载sd/httpd和fkoths扫描漏洞Docker主机并修改hosts文件以阻止与Docker注册表的通信。来源:https://gbhackers.com/new-hacking-techniques-docker-api/8. BadSpace后门通过合法网站传播的多阶段攻击链德国网络安全公司G DATA报告指出,一种名为BadSpace的Windows后门通过合法但受感染的网站传播。攻击者利用多阶段攻击链,包括受感染的网站、命令与控制(C2)服务器、虚假浏览器更新和JScript下载器,以在受害者系统中部署后门。攻击始于被入侵的网站,尤其是基于WordPress构建的,通过注入代码收集访问者信息并发送到硬编码域。服务器响应可能覆盖网页内容,显示虚假的Google Chrome更新弹出窗口,诱导用户下载并执行BadSpace。BadSpace具备反沙盒检查、持久性设置、系统信息收集和多种恶意功能,如截屏、执行指令、读写文件和删除计划任务。此前,已有警告称不同活动利用虚假浏览器更新诱饵传播恶意软件。来源:https://thehackernews.com/2024/06/hackers-exploit-legitimate-websites-to.html
9. NiceRAT恶意软件通过破解软件在韩国传播NiceRAT是一种新型恶意软件,通过伪装成破解软件或提供Microsoft Office许可证验证的工具,针对韩国用户进行攻击。安博士实验室安全情报中心(ASEC)指出,由于破解软件的共享性质,恶意软件的传播与原始分发者无关,且由于威胁行为者在分发阶段提供反恶意软件程序的删除方法,使得检测变得困难。NiceRAT是一种开源RAT和窃取恶意软件,用Python编写,通过Discord Webhook进行命令和控制,允许攻击者窃取敏感信息。该软件自2024年4月17日发布,目前版本为1.1.0,且存在高级版本,表明其在恶意软件即服务(MaaS)模式下宣传。与此同时,一个名为Bondnet的加密货币挖掘僵尸网络利用高性能挖矿机器人作为C2服务器,通过修改快速反向代理(FRP)工具配置反向代理,自2023年以来一直活跃。来源:https://thehackernews.com/2024/06/nicerat-malware-targets-south-korean.html
新兴技术
11. SoK:通过建立安全设计属性来分析软件供应链的安全性本文系统化了关于安全软件供应链模式的知识,确定了软件供应链攻击的四个阶段,并提出了确保供应链安全的三项关键安全属性:透明性、有效性和分离性。文章描述了当前的安全方法,并将其映射到所提出的安全属性上,包括研究思路和实际供应链的案例研究。讨论了当前方法相对于已知攻击的优缺点,并详细介绍了确保软件供应链安全的各种安全框架。最终,本文强调了以参与者和操作为中心的供应链安全技术中的潜在漏洞。文章通过对工业、政府和学术计算系统中开放和封闭源软件组件供应链的探讨,提供了设计安全软件供应链的全面研究,总结了当前的设计模式,并提出了改进供应链安全的设计建议。来源:https://arxiv.org/html/2406.10109v1
12. 外媒关注华为HarmonyOS NEXT系统,称将全面脱离美国技术华为即将发布新的操作系统HarmonyOS NEXT,旨在彻底摆脱对Android和美国技术的依赖。该系统将删除所有与Linux和Android相关的源代码,增强在麒麟芯片组上的性能,并提高内存使用效率。HarmonyOS NEXT计划在今年第三季度发布,并希望通过吸引约4000个应用程序,在未来增加到50000个,从而在市场上与Android和iOS竞争。该系统首先在中国推出,成功后将扩大国际影响力。此外,华为还在开发创新的可折叠智能手机,尽管在软件和硬件方面遇到挑战。HarmonyOS NEXT的发布显示了华为在面对外部限制和竞争压力下,继续推动技术创新和独立发展的决心。来源:https://www.securitylab.ru/news/549266.php
13. 罗彻斯特理工学院推出首个网络威胁情报LLM基准测试罗彻斯特理工学院(RIT)的研究人员开发了CTIBench,这是首个针对网络威胁情报(CTI)应用中大型语言模型(LLM)性能评估的基准测试。CTIBench包含四项基准任务:CTI领域的多项选择题(CTI-MCQ)、根源映射(CTI-RCM)、漏洞严重性预测(CTI-VSP)和威胁行为者归因(CTI-TAA)。该基准测试的开发旨在解决LLM在CTI应用中可能产生的幻觉和文本误解问题,确保其输出的可靠性和准确性。研究人员从权威CTI来源收集数据,使用GPT-4生成并验证多项选择题,最终数据集包含2500个问题。测试结果显示,ChatGPT 4在除CTI-VSP外的所有任务中表现最佳。CTIBench的推出为研究界提供了一个评估和提高LLM在网络安全领域应用性能的重要工具,有助于加速事件响应和缩短响应时间。来源:https://www.infosecurity-magazine.com/news/testing-benchmark-llm-cyber-threat/
往期推荐
2024-06-12
2024-06-13
2024-06-14
2024-06-15
2024-06-17