其他
5th域安全微讯早报【20240622】150期
2024-06-22 星期六 Vol-2024-150
今日热点导读
3. 日本太空局自去年以来遭受一系列网络攻击4. 塞拉菲尔德核电站承认网络安全漏洞但否认黑客攻击
5. 美国因产品禁令对12名卡巴斯基高管实施制裁6. CDK Global遭连续网络攻击,经销商业务严重受阻7. 波兰调查Pegasus间谍软件滥用事件8. 英国安全培训平台Get Licensed数据泄露事件9. NVIDIA Triton服务器漏洞使攻击者能够执行远程代码10. PrestaShop网站因Facebook模块遭受SQL注入攻击11. 研究人员揭示Apple Vision Pro严重安全漏洞12. GoRed使用DNS和ICMP隧道进行C2服务器通信13. 黑客攻击金库、存储桶和密钥以窃取数据14. 军事主题电邮诈骗散播后门恶意软件15. Zergeca 僵尸网络的高级功能及其网络安全威胁16. Oyster后门通过木马病毒传播
资讯详情
政策法规
1. 美国国土安全部强调监控人工智能与关键基础设施安全美国国土安全部在其2024-2025年关键基础设施安全和弹性战略指导中,强调了人工智能对关键基础设施的潜在威胁和机遇。该指导意见指出,人工智能和其他新兴技术可能成为全球数字网络威胁的载体,因此需要持续监控它们与网络安全的相互作用。同时,人工智能系统也有助于保护关键基础设施,建议运营商和风险管理机构在内部部署人工智能技术,以支持网络安全和威胁检测。此外,指导意见还提到量子信息系统对关键基础设施安全构成的潜在风险,尤其是量子计算可能对当前加密方法构成威胁。国土安全部将与国家标准与技术研究所合作,提供应对加密相关量子计算机风险的指导。网络安全和基础设施安全局将领导协调工作,应对这些风险,并在未来的国家基础设施风险管理计划中解决这些优先领域。来源:https://www.nextgov.com/cybersecurity/2024/06/dhs-highlights-ai-threat-and-asset-critical-infrastructure-new-priority-guidance/397524/2. 美国财政部推进限制对中国技术企业投资的计划美国财政部提出新规,旨在限制美国对中国特定技术领域的企业投资,以应对国家安全威胁。新规禁止美国公民投资那些在"令人担忧的国家",包括中华人民共和国、香港和澳门,开发敏感技术的公司。这些技术包括人工智能系统、量子计算机等,被认为对军事、情报、监视或网络能力至关重要。此举源于2023年8月拜登签署的行政命令,目的是防止中国获取先进技术以促进军事现代化并威胁美国安全。新规还包括对公开交易证券等的例外处理,以及基于美国国家利益的豁免条款。同时,新规要求美国人向财政部报告涉及可能威胁国家安全的技术和产品的交易。财政部现正征求公众对这些拟议限制措施的反馈,意见提交截止日期为8月4日。来源:https://www.govinfosecurity.com/us-treasury-moves-to-limit-investments-in-chinese-tech-firms-a-25589
安全事件
3. 日本太空局自去年以来遭受一系列网络攻击日本宇宙航空研究开发机构(JAXA)自去年以来遭受了一系列来自境外的网络攻击。内阁官房长官林芳正确认,尽管黑客多次尝试入侵,但与火箭和卫星相关的敏感信息并未泄露。目前,安全官员正在进行深入调查,并采取措施预防未来攻击,受影响的网络部分已被关闭。JAXA自2016年以来已多次遭受网络事件,包括被某国军方黑客攻击。最近的攻击中,黑客可能获取了JAXA的一般业务运营信息,以及与丰田等外部组织的通信。此外,JAXA工作人员的个人信息也可能在攻击中泄露。日本网络官员指出,关键基础设施面临的网络威胁日益严重。来源:https://therecord.media/japan-cyberattacks-space-agency-series4. 塞拉菲尔德核电站承认网络安全漏洞但否认黑客攻击英国塞拉菲尔德核电站的管理公司在法庭上承认了三项网络安全漏洞的刑事指控,但否认了该设施遭到黑客攻击的说法。英国核安全监管机构(ONR)指控该公司在2019年至2023年初存在信息技术安全违规行为。这是ONR首次根据《2003年核工业安全条例》提起的案件,塞拉菲尔德因网络安全问题成为监管重点。尽管《卫报》报道该基地可能遭到中俄黑客攻击,但塞拉菲尔德和英国政府均否认此类事件。塞拉菲尔德的法律代表强调,公司虽建立了网络安全系统但未充分遵守,但从未遭受过成功的网络攻击。量刑听证会定于8月8日举行,案件细节预计将在听证会时公布。塞拉菲尔德表示已对所有指控认罪,并全力配合ONR,强调这些指控与历史罪行有关,没有迹象表明公共安全受到威胁。来源:https://therecord.media/sellafield-guilty-plea-uk-nuclear-facility-cybersecurity
5. 美国因产品禁令对12名卡巴斯基高管实施制裁美国财政部对俄罗斯网络安全公司卡巴斯基的十几名高层领导和高管实施了制裁,冻结了他们在美国的所有资产,并禁止美国人士与他们进行商业交易。这一行动是在全面禁止向美国客户销售卡巴斯基产品后的第二天宣布的,但制裁并未涉及公司创始人尤金·卡巴斯基。美国政府担忧卡巴斯基与克里姆林宫的关系可能威胁国家安全,尽管卡巴斯基否认这种联系。美国官员认为俄罗斯政府可能利用卡巴斯基进行恶意网络活动,而该公司则认为美国的决定是基于地缘政治和理论上的担忧。此前,卡巴斯基的产品已被美国政府系统禁止,原因是其软件曾被用于通过后门拦截窃取美国国家安全局雇员的机密数据。来源:https://www.nextgov.com/cybersecurity/2024/06/us-sanctions-12-kaspersky-leaders-following-product-ban/397536/
6. CDK Global遭连续网络攻击,经销商业务严重受阻汽车经销商软件提供商CDK Global近期遭受连续的网络攻击,导致其服务中断,影响了美国众多汽车经销商的日常运营。CDK Global为北美近15,000家经销商提供包括经销商管理、零售、客户关系管理等关键软件解决方案。6月19日,公司在检测到网络攻击后关闭了大部分系统,并开始逐步恢复服务。然而,同日晚上,公司再次遭受网络攻击,被迫重新关闭系统。目前,公司正与第三方专家合作评估影响,并努力恢复服务,客户被告知可能需要几天时间系统才能重新上线。尽管攻击细节尚未披露,但此次事件极具破坏性,暗示可能涉及勒索软件,目前尚无勒索软件组织宣称负责。来源:https://www.securityweek.com/disruptions-at-many-car-dealerships-continue-as-cdk-hack-worsens/
7. 波兰调查Pegasus间谍软件滥用事件波兰国家检察官办公室发言人宣布,检察官已缴获并正在研究Pegasus间谍软件系统,以确定其功能及使用的合法性。此次行动是针对前政府被指控滥用该系统监视反对派政客的全国性丑闻的一部分。调查人员获取了有关购买、功能及使用情况的文件,并转移至内部安全局进行深入分析。2024年3月,波兰已开始调查2017年11月至2022年12月期间Pegasus的使用情况。Pegasus由以色列NSO集团生产,近期在全球多国被揭露用于监视民间社会人士。波兰司法部长2024年4月宣布,前执政党曾利用Pegasus监视近600人,主要是反对派政客。2023年9月,波兰参议院特别委员会公布调查结果,认为2019年使用Pegasus攻击反对派政客事件严重违反宪法标准,受影响的参议员在当年选举中遭受不公平对待。此次调查可能导致涉嫌使用间谍软件的波兰部长面临刑事指控。来源:https://therecord.media/poland-seizure-pegasus-spyware-systems
8. 英国安全培训平台Get Licensed数据泄露事件英国安全培训和人员配备平台Get Licensed遭受数据泄露,一名威胁行为者声称掌握了该平台的数据库。该数据库包含超过13万用户的敏感信息,包括客户ID、姓名、电子邮件、地址、电话号码和预订数量,且数据泄露发生在2024年。威胁者在论坛上发布样本数据,并寻求通过托管账户进行一次性销售,指定使用XMR(门罗币)作为支付方式。潜在买家需通过暗网论坛私下联系威胁者,且没有明确标价,由买家提出价格。此事件突显了个人信息在网络上的脆弱性,以及对企业和用户数据保护措施的迫切需求。来源:https://dailydarkweb.net/alleged-data-leak-from-a-security-training-platform-from-the-uk/
漏洞预警
9. NVIDIA Triton服务器漏洞使攻击者能够执行远程代码NVIDIA Triton 推理服务器发现了两个严重漏洞,CVE-2024-0087和CVE-2024-0088,分别允许远程代码执行和任意地址写入。CVE-2024-0087漏洞通过日志配置界面的任意文件写入功能,使攻击者能够向关键系统文件注入恶意脚本,实现远程代码执行。CVE-2024-0088漏洞由于参数验证不足,允许攻击者通过共享内存处理引发段错误,可能导致内存数据泄漏。概念验证(POC)已证明这些漏洞的可利用性。这些漏洞的存在对AI模型和敏感数据的安全构成重大威胁,依赖Triton Server的公司需要紧急应用补丁并加强安全措施。这一事件强调了随着AI技术的发展,确保其基础设施安全的重要性和紧迫性。来源:https://cybersecuritynews.com/nvidia-triton-server-flaw/10. PrestaShop网站因Facebook模块遭受SQL注入攻击最近在Promokit.eu为PrestaShop开发的“Facebook”模块(pkfacebook)中发现了一个严重漏洞(CVE-2024-36680),该漏洞允许访客对受影响的模块版本执行SQL注入攻击。漏洞源于Ajax脚本中的一个敏感SQL调用,攻击者可以轻易通过HTTP请求执行它,从而伪造SQL注入攻击,非法访问关联的PrestaShop数据库。模块作者Promokit.eu表示,受此漏洞影响的确切版本未知,因为它是很久以前引入的。作者拒绝提供最新版本,以便安全研究人员验证问题是否已完全解决。目前,恶意行为者正在积极利用此漏洞部署网页扒手(webskimmers),这是一种设计用来从不知情的客户那里窃取信用卡信息的工具。为了保护PrestaShop安装不受此漏洞影响,强烈建议升级到pkfacebook模块的最新版本。此外,PrestaShop用户还应考虑落实升级、不使用默认配置、启用防火墙等安全措施。来源:https://gbhackers.com/prestashop-injection-attack/
11. 研究人员揭示Apple Vision Pro严重安全漏洞苹果公司最近修补了其Vision Pro虚拟现实耳机的一个安全漏洞,该漏洞允许攻击者通过特制的Web内容在用户的物理空间中生成3D对象。虽然苹果将此问题归类为拒绝服务(DoS)问题,但发现该漏洞的研究人员Ryan Pickren认为其影响更为严重。Pickren发现,尽管Vision Pro限制了原生应用的行为并要求用户授权,但ARKit Quick Look功能却没有同等级别的保护,攻击者可以利用这一点在用户访问恶意网站时生成动画和声音对象,如蜘蛛和蝙蝠。更令人惊讶的是,即使关闭Safari,这些动画也不会消失,除非用户手动删除。Pickren对苹果将此问题归类为DoS漏洞表示惊讶,并已获得苹果的漏洞赏金,尽管具体金额未披露。此发现凸显了空间计算设备在安全性方面可能存在的严重问题。来源:https://www.securityweek.com/spatial-computing-hack-exploits-apple-vision-pro-flaw-to-fill-room-with-spiders-bats/
TTPs动向
12. GoRed使用DNS和ICMP隧道进行C2服务器通信名为GoRed的新后门工具利用DNS和ICMP隧道进行C2服务器通信,以绕过网络安全措施。GoRed具备执行命令、数据采集、网络侦察等核心功能,并能通过RPC协议进行C2通信。该工具使用DNS/ICMP隧道、WSS和QUIC等多种通信方式,以保持在受感染网络中的持久性并避免被发现。Positive Technologies的研究人员在事件响应中发现了GoRed,该后门工具压缩在名为scrond的UPX文件中,可能与2019年的“红队”网站有关。GoRed的C2服务器包括多个域名,使用CLI控制流,通过RPC协议注册信标功能,并通过自定义CBOR序列化和AES-256-GCM加密进行C2通信。据信该工具为ExCobalt组织所使用,该组织疑与Cobalt帮有关,且一直在增强GoRed的功能,包括数据收集、保密和利用漏洞等。来源:https://cybersecuritynews.com/gored-dns-icmp-tunneling-c2-communication/13. 黑客攻击金库、存储桶和密钥以窃取数据黑客正在攻击金库、存储桶和密钥,以获取API密钥、登录信息等机密数据。DATADOG安全实验室的分析师发现,从2024年5月23日至27日,黑客在客户的AWS账户中进行了异常行为,包括尝试ListSecrets和ListVaults API调用,利用住宅代理IP来掩盖其行动。尽管没有检测到GetSecretValue等调用,但攻击者首先针对S3 Glacier金库备份数据,计划通过InitiateJob和GetJobOutput下载数据。攻击者常使用VPN如Cloudflare WARP来隐藏位置,其行为特征与常规的AWS CLI或Boto3 SDK使用不同。研究人员建议检测团队关注此类活动,利用IoC检测特定攻击,监控多个地区的API调用以及AccessDenied峰值,以防止生产数据和资源的外泄。来源:https://gbhackers.com/hackers-attacking-vaults-buckets-secrets/
14. 军事主题电邮诈骗散播后门恶意软件网络安全研究人员揭露了一项针对巴基斯坦用户的网络钓鱼活动,该活动被命名为PHANTOM#SPIKE。背后的威胁行为者利用与军事相关的网络钓鱼文件传播定制后门恶意软件。这些电子邮件包含一个ZIP存档,伪装成与俄罗斯国防部组织的“陆军2024”国际军事技术论坛相关的会议记录。ZIP文件中包含一个Microsoft编译的HTML帮助(CHM)文件和一个隐藏的可执行文件。当用户打开CHM文件并点击文档上的任何位置时,捆绑的可执行文件将秘密运行,充当后门,允许攻击者通过TCP连接远程服务器并执行命令,实现对目标机器的远程访问和控制。该后门能够收集系统信息,执行命令,并将结果传回服务器,为攻击者提供了对受感染系统的持久、隐蔽和安全的访问,使其能够控制受感染的系统、窃取敏感信息或执行其他恶意软件负载。来源:https://thehackernews.com/2024/06/military-themed-emails-used-to-spread.html
恶意软件
16. Oyster后门通过木马病毒传播恶意广告活动正利用Google Chrome和Microsoft Teams等流行软件的木马安装程序传播Oyster后门。Rapid7发现,用户在搜索引擎查询后可能被重定向至恶意网站,这些网站诱导用户下载含有Oyster后门的安装程序。该后门能收集信息、通信C2服务器,并支持远程代码执行。Oyster与俄罗斯组织ITG23有关,执行后还会安装合法的Microsoft Teams软件以隐藏其活动。同时,Rogue Raticate集团使用PDF诱饵进行钓鱼攻击,传播NetSupport RAT。此外,新的PhaaS平台ONNX Store允许客户通过嵌入二维码的PDF附件组织网络钓鱼活动,提供防弹托管和RDP服务,并具备2FA绕过机制。来源:https://thehackernews.com/2024/06/oyster-backdoor-spreading-via.html
往期推荐
2024-06-17
2024-06-18
2024-06-19
2024-06-20
2024-06-21