其他
5th域安全微讯早报【20240619】147期
2024-06-19 星期三 Vol-2024-147
今日热点导读
1. 北约风险基金推动欧洲国防技术创新
2. 欧盟防止儿童性虐待的聊天控制提案遭批评
3. 德国BSI强制微软公开安全措施
4. 五眼联盟更新关键基础设施保护策略
5. TETRA公司遭遇勒索软件攻击,40GB敏感数据面临泄露风险
6. 新加坡警方引渡涉嫌Android恶意软件诈骗的马来西亚人
7. 欧盟刑警摧毁13个与恐怖主义行动相关的网站
8. AMD遭遇重大数据泄露,黑客在暗网公开敏感信息
9. VMware vCenter Server多个漏洞允许远程代码执行
10. Atlassian Jira 面临零日远程代码执行漏洞威胁
11. 黑客利用社会工程学新手段运行PowerShell安装恶意软件
12. 新型OPIX勒索软件使用随机字符串加密文件
13. 智能电网的威胁分析和对抗模型
14. 增强型无人机网络入侵检测系统
15. 初创公司DeepSeek推出性能卓越的DeepSeek Coder V2
资讯详情
政策法规
1. 北约风险基金推动欧洲国防技术创新北约创新基金在10亿欧元的预算下,积极投资于专门从事国防技术的公司,以促进该行业的整体发展。今年,基金启动了投资计划,支持包括英国Space Forge在内的四家初创企业,并投资了专注于机器人、人工智能、太空和能源等深层技术的四家风险基金。基金管理合伙人安德里亚·特拉弗松指出,投资旨在解决市场差距,即传统风险投资公司对长期技术投资的不足。与一般风险投资基金不同,北约基金的投资期限超过15年,支持资本密集型的深层技术研发。特拉弗松强调,欧洲正通过投资追赶西方同行,国防技术市场在过去几年显著增长。基金还支持了德国ARX Robotics、伦敦Fractile AI和iCOMAT等公司。特拉弗松认为,欧洲可能会出现类似美国Anduril的公司。北约创新基金由24个国家资助,不包括美国、加拿大和法国,旨在作为政府和初创公司之间的桥梁,并计划投资生物技术、通信、安全和量子计算等领域,以增强北约的技术优势和联盟公民的安全。来源:https://www.securitylab.ru/news/549292.php2. 欧盟防止儿童性虐待的聊天控制提案遭批评欧盟最新提出的聊天控制提案,旨在预防儿童性虐待,但被批评为大规模监控的幌子,可能削弱加密标准。Signal应用总裁Meredith Whittaker指出,该提案实质上是重新包装的旧策略,无法在保持端到端加密完整性的同时允许监控。任何形式的扫描机制都会破坏加密,导致核心基础设施出现危险漏洞。提案要求用户在上传视觉内容时明确同意检测机制,否则将无法发送图片或视频。尽管声称不破坏加密保护,但专家认为这一机制本质上仍是对加密的破坏。Chaos Computer Club和德国议员Patrick Dreyer也反对该提案,认为这是强制用户接受监控,剥夺其发送视觉内容的权利。Dreyer呼吁欧洲公民立即采取行动,反对这一提案,并指出目前是阻止其通过的关键时刻。来源:https://thecyberexpress.com/eu-chat-control-proposal-slammed/
3. 德国BSI强制微软公开安全措施在德国联邦网络安全局(BSI)的法律干预下,微软披露了其用于保护客户数据的加密措施。微软在周四发布了一份白皮书,详细说明了其在Microsoft 365和Azure平台上部署双密钥加密的方法。此前,BSI根据《联邦信息安全法》要求微软提供所有必要的安全信息,尤其是针对2023年黑客窃取Azure Active Directory令牌的事件。该攻击被归咎Storm-0558或Volt Typhoon。尽管微软与BSI合作澄清文档,但BSI仍认为微软提供的信息不足,可能存在严重的安全问题。BSI在审查微软的安全措施时,特别关注数据保护措施,以防止类似的攻击。微软发言人强调公司一直与当局合作,BSI确认未对微软提起诉讼。此外,BSI敦促德国的微软用户部署正确的加密服务。来源:https://www.govinfosecurity.com/german-bsi-forces-microsoft-to-disclose-security-measures-a-25553
4. 五眼联盟更新关键基础设施保护策略五眼联盟的网络安全机构更新了针对关键基础设施的保护策略,强调各国在增强安全性和韧性方面的共同方法,并指出国际合作的重要性。根据澳大利亚、加拿大、新西兰、英国和美国合作发布的《关键五国应对不断变化威胁》文件,联盟致力于确保关键基础设施的安全和韧性,以减少和预防事件中断。文件指出,地缘政治环境的变化加剧了国家安全担忧,关键基础设施常成为数字或物理攻击目标,导致重大财务损失和安全成本增加。数字技术的广泛应用使得关键基础设施更易受到网络犯罪和国家支持的黑客攻击。为应对这些威胁,关键五国通过现代化政策、重新定义关键基础设施和加强信息共享工具等方式来提升基础设施安全与韧性。各国具体措施包括澳大利亚的《2023关键基础设施韧性战略》、加拿大的《2018国家网络安全战略》及法律修订、新西兰的基础设施投资和适应气候框架、英国的国家网络战略和CNI知识库,以及美国的《2024国家安全备忘录》。关键五国还计划共同举办关注和行动月,以提升关键基础设施安全。文件强调,投资关键基础设施韧性至关重要,共享知识和经验有助于应对不断变化的风险。来源:https://industrialcyber.co/critical-infrastructure/five-eyes-critical-5-nations-focus-on-adapting-to-evolving-cyber-threats-to-boost-critical-infrastructure-security-resilience/
安全事件
5. TETRA公司遭遇勒索软件攻击,40GB敏感数据面临泄露风险TETRA技术公司遭遇了Akira勒索软件团体的网络攻击,这次事件使得包括护照、出生证明、驾驶证等个人文件以及机密协议在内的关键数据面临泄露风险。攻击者声称计划发布约40GB的敏感数据。尽管公司公共网站正常运行,但推测此次攻击可能针对内部系统或后端基础设施。Akira勒索软件以其数据勒索策略闻名,要求支付赎金以避免在其暗网上公开数据,并提供解密密钥。泰特拉技术已详细描述其网络安全风险管理和治理流程,包括持续的风险评估、事件响应规划及员工网络安全培训计划。公司强调了维护健全防御体系的重要性,并采取了适应新兴威胁并符合监管标准的安全协议的定期更新和加强措施。来源:https://thecyberexpress.com/tetra-technologies-cyberattack/6. 新加坡警方引渡涉嫌Android恶意软件诈骗的马来西亚人新加坡警方宣布引渡两名涉嫌自2023年6月以来参与针对新加坡公民的移动恶意软件活动的马来西亚男子。这两名男子通过网络钓鱼活动诱骗用户下载恶意Android应用程序,窃取个人数据和银行凭证,进而发起欺诈交易。经过与香港和马来西亚警方合作的7个月调查,发现他们与一个实施恶意软件诈骗的集团有关。这些应用程序伪装成特价商品,一旦安装,允许远程控制Android设备,捕获敏感数据和密码,监控短信中的一次性密码(OTP),并进行地理位置跟踪。嫌疑人面临重罚和监禁。此外,台湾警方逮捕了四名使用类似手段的嫌疑人,查获了价值约133万美元的资产。此次执法行动“DISTANTHILL行动”共逮捕了16名网络罪犯,估计超过4000名受害者。来源:https://thehackernews.com/2024/06/singapore-police-extradites-malaysians.html
7. 欧盟刑警摧毁13个与恐怖主义行动相关的网站欧盟刑警和十个国家的执法机构联合行动,成功摧毁了13个与恐怖主义行动相关的网站。这次代号为“HOPPER II行动”的联合行动,旨在打击宗教和政治动机的恐怖组织使用在线平台传播宣传和招募成员的活动。行动重点是通过针对“伊斯兰国”、基地组织和解放沙姆阵线等组织运营的网站来阻止恐怖宣传的在线传播。此次行动共查封了位于罗马尼亚、乌克兰和冰岛的四台服务器,并删除了相关网站。欧盟刑警的欧洲反恐中心内的欧盟互联网推荐部门(EU IRU)协调了此次行动,与阿尔巴尼亚、波斯尼亚和黑塞哥维那、丹麦、德国、冰岛、摩尔多瓦、罗马尼亚、斯洛伐克共和国、乌克兰和英国的执法机构密切合作。来源:https://gbhackers.com/europol-taken-down-13-websites/
8. AMD遭遇重大数据泄露,黑客在暗网公开敏感信息2024年6月18日,知名黑客Intelbroker声称对AMD进行了一次大规模数据泄露,泄露信息在暗网论坛BreachForums上公开。Intelbroker称,泄露数据包括AMD未来产品的详细信息、规格表、客户数据库、产权文件、ROM、源代码、固件、财务记录以及员工的详细个人信息,如用户ID、全名、职位、电话号码和电子邮件地址。此次泄露不仅揭示了AMD网络安全的潜在漏洞,还可能对公司的竞争优势和知识产权造成严重威胁。Intelbroker以其高调的网络入侵活动而闻名,此前曾攻击洛杉矶国际机场和美国联邦技术咨询公司Acuity等机构。此次事件让人们对AMD网络安全基础设施的可靠性提出质疑。目前,AMD尚未对此次数据泄露做出官方回应,其网站仍然正常运行,但并不排除后端数据库被攻击的可能性。来源:https://thecyberexpress.com/amd-data-breach-on-dark-web/
漏洞预警
9. VMware vCenter Server多个漏洞允许远程代码执行VMware发布了重要安全公告VMSA-2024-0012,解决了VMware vCenter Server中的多个漏洞。这些漏洞包括堆溢出和本地权限提升问题,最严重的漏洞被分配了CVE-2024-37079、CVE-2024-37080和CVE-2024-37081。如果被利用,这些漏洞可能允许攻击者在受影响的系统上执行远程代码。堆溢出漏洞存在于vCenter Server的DCERPC协议实现中,CVSSv3评分为9.8,攻击者可以通过发送特制的网络数据包来利用这些漏洞。另一个漏洞由于vCenter Server中sudo配置错误,允许经过身份验证的本地用户提升到root权限,CVSSv3评分为7.8。VMware已发布补丁解决这些问题,用户应立即应用更新。受影响的产品包括vCenter Server 8.0和7.0版本以及Cloud Foundation中的vCenter Server。组织可以通过vCenter Server Appliance shell和vCenter Server管理界面(VAMI)验证补丁是否成功应用。来源:https://cybersecuritynews.com/multiple-vmware-vcenter-server-flaws/10. Atlassian Jira 面临零日远程代码执行漏洞威胁2024年6月18日,网络安全领域出现了新的事件,一名网络威胁行为者宣布出售针对Atlassian Jira的零日远程代码执行(RCE)漏洞。该漏洞影响最新版本的Jira桌面应用程序,特别是与Confluence集成的版本,且无需任何登录凭据即可利用。更令人担忧的是,该漏洞与Okta单点登录(SSO)兼容,这可能扩大了其潜在影响范围。该漏洞的出售价格高达800,000 XMR(门罗币),考虑到Jira和Confluence在企业项目管理和协作中的广泛应用,这一漏洞对企业安全构成了重大威胁。由于零日漏洞在被发现和修复前无法通过常规更新来防范,企业和组织需要提高警惕,采取必要措施保护其系统安全。来源:https://dailydarkweb.net/zero-day-rce-exploit-for-atlassian-jira-for-sale/
TTPs动向
11. 黑客利用社会工程学新手段运行PowerShell安装恶意软件近期,网络安全研究人员发现黑客利用社会工程学手段,通过误导性信息和模仿等方法,诱使用户运行PowerShell脚本安装恶意软件。Proofpoint指出,初始访问代理TA571和ClearFake等威胁行为者通过恶意邮件或浏览器注入,诱导用户复制粘贴危险脚本,这些脚本最终会下载并安装如DarkGate、Matanbuchus、NetSupport等恶意软件。TA571自2024年3月起使用此技术,而ClearFake则从4月持续至6月。ClearFake活动通过虚假浏览器更新弹出窗口欺骗用户,利用混淆技术下载Lumma Stealer等恶意程序。攻击者还滥用了EtherHiding、ZIP捆绑和DOILoader等技术以降低被检测的可能性。组织需要加强用户教育,提高识别和报告社会工程行为的能力。来源:https://cybersecuritynews.com/hackers-leveraging-social-engineering-malware/12. 新型OPIX勒索软件使用随机字符串加密文件近日发现的OPIX勒索软件通过使用随机字符串加密用户文件,并添加“.OPIX”扩展名。受害者会在屏幕上看到通知,要求在48小时内通过指定的电子邮件或Telegram联系攻击者,否则被盗数据将被卖给竞争对手并在暗网上公开。OPIX勒索软件通常通过社会工程技术传播,包括驱动器下载和钓鱼电子邮件,伪装成合法内容,携带恶意文件可能是可执行文件、文档、压缩文件等。Symantec报告显示,该恶意软件将文件如“test.txt”加密为类似“B532D3Q9.OPIX”的文件,并生成赎金通知“#OPIX-Help.txt”。尽管支付赎金并不保证文件能被恢复,因为犯罪分子经常未能提供解密密钥或软件,建议用户通过定期备份文件保护数据安全。Symantec和VMware Carbon Black提供的威胁检测和防护措施包括自适应、行为、文件及机器学习等多种方法来识别和移除该威胁。来源:https://cybersecuritynews.com/new-opix-ransomware-encrypting-files/
新兴技术
14. 增强型无人机网络入侵检测系统随着6G系统和网络的兴起,无人机(UAV)在各类应用中的使用越来越广泛,但其安全漏洞也引发了关注。本文提出了一种新型的入侵检测系统(IDS)用于UAV网络。通过使用二元组表示法对类别标签进行编码,并采用深度学习方法进行分类,该系统能够捕捉复杂的类别关系和时间网络模式,从而提高入侵检测的效果。此外,研究进行了跨特征相关性分析,以剔除可能误导分类的相关特征。研究基于UAV-IDS-2020数据集进行,并通过不同评估指标对IDS的性能进行了评估,实验结果表明该多类分类器模型的准确率达到了95%。来源:https://arxiv.org/html/2406.10417v1
15. 初创公司DeepSeek推出性能卓越的DeepSeek Coder V2中国人工智能初创公司DeepSeek推出了DeepSeek Coder V2,这是一款性能超越GPT-4 Turbo、Claude 3 Opus等封闭产品的开放式编程模型。该模型基于DeepSeek-V2,支持300多种编程语言,并在编码和数学问题上展示了出色结果。DeepSeek Coder V2在多个基准测试中得分领先,包括MBPP+、HumanEval、Aider、MATH和GSM8K测试。其成功归功于Mixture of Experts架构和对6万亿代币的额外训练。DeepSeek Coder V2在一般推理和语言理解任务中也表现不俗,例如在MMLU基准测试中得分79.2。目前,该模型在MIT许可证下提供,允许自由用于研究和商业目的,用户可通过Hugging Face下载或通过公司平台以即用即付模式访问。来源:https://www.securitylab.ru/news/549302.php
往期推荐
2024-06-13
2024-06-14
2024-06-15
2024-06-17
2024-06-18