其他
5th域安全微讯早报【20240701】157期
2024-07-01 星期一 Vol-2024-157
今日热点导读
3. 美国军方启动商业航天合作计划以强化太空网络安全4. 微软披露客户邮件遭黑客窃取事件5. HubSpot 调查网络攻击事件 客户账户遭黑客入侵6. 西澳男子因建立虚假Wi-Fi网络窃取个人信息面临重罪指控7. 威胁行为者声称泄露印尼法律与人权部电子邮件登录凭证8. IntelBroker 声称泄露弗吉尼亚州选举数据库9. 黑客出售ClassLink Agent一键RCE的0day漏洞10. 攻击印尼数据中心并索要巨额赎金的新型勒索软件Brain Cipher11. 欧洲Zyxel NAS设备遭遇类似Mirai僵尸网络的DDoS攻击12. 黑客利用D-Link DIR-859路由器漏洞窃取用户口令
13. 微软警告更多客户警惕俄罗斯政府黑客攻击14. Kimsuky组织利用TRANSLATEXT Chrome扩展窃取韩国学术界敏感数据
15. 8220组织利用Oracle WebLogic服务器漏洞进行加密货币挖矿
资讯详情
政策法规
1. 底特律警察局采纳面部识别新政策
底特律警察局在法律和解后,同意制定新政策限制面部识别技术的使用。新规定禁止仅凭人脸识别结果逮捕嫌疑人,要求有其他证据支持。政策还包括对警察进行面部识别风险培训,并对2017年以来的案件进行审计。黑人男子罗杰·威廉姆斯因面部识别技术误认被捕后起诉警察局,最终获赔30万美元。美国公民自由联盟认为这是限制执法部门使用危险技术的重要一步,强调女性和有色人种更易被误认。警察局表示,新政策将成全国最佳实践。来源:https://techcrunch.com/2024/06/29/detroit-police-department-agrees-to-new-rules-around-facial-recognition-tech/2. 美国国税局确立加密货币税收新规定美国国税局和财政部确定了从2026年起对加密货币交易平台的新税收报告规定。根据这些规定,加密货币平台必须向国税局报告交易,提供类似于传统金融机构的1099表格。这旨在标准化加密货币收益的报告并打击逃税行为。然而,不持有客户资产的去中心化平台将获得豁免,这是在行业游说下的结果。美国国税局强调,这些措施将增强对数字资产领域不合规行为的检测能力,确保税法的公平执行。美国财政部和国税局计划在另一套法规中对分散经纪商进行规范。来源:https://techcrunch.com/2024/06/29/irs-finalizes-new-regulations-for-taxing-crypto/
3. 美国军方启动商业航天合作计划以强化太空网络安全美国军方最近推出了商业增强太空储备(CASR)计划,旨在加强与商业航天业的合作,整合商业设备到军事太空操作中,提升军用卫星的网络安全。随着太空基础设施对全球关键基础设施的重要性日益增加,来自敌对国家的网络攻击风险也相应上升。CASR计划将超越传统政府与私人承包商的合作模式,通过避免对单一商业实体的过度依赖来降低潜在风险。然而,扩大商业供应商范围也带来了新的挑战,如供应商可能无法满足军事合同要求或遭遇财务不稳定等问题。此外,商业硬件在网络攻击方面的脆弱性可能不如军用标准严格。美国国防部认为,通过这一战略转变,可以增强美国的国家安全和太空领域的竞争优势,同时促进全球公司参与其中,推动航天工业的网络安全发展。来源:https://www.wired.com/story/space-cyber-attacks-security/
安全事件
4. 微软披露客户邮件遭黑客窃取事件微软公司近日宣布,今年早些时候入侵其系统的俄罗斯黑客不仅监视了员工邮箱,还窃取了客户邮件。这一披露发生在微软首次公开入侵事件大约六个月后。此次事件凸显了微软在软件和系统安全方面面临的监管审查压力。尽管俄罗斯政府未对微软的指控作出回应,但微软表示,这些黑客曾针对研究俄罗斯黑客行动的网络安全研究人员。微软目前正在继续通知与被“午夜暴雪”威胁行为者外泄的微软企业邮箱账户通信的客户。微软表示,也在与客户共享被泄露的邮件,但未透露受影响客户数量及可能被盗邮件的具体数量。微软重申,随着调查的继续,公司致力于与客户共享信息。来源:https://www.itnews.com.au/news/microsoft-informs-customers-that-hackers-spied-on-emails-609258?utm_source=feed&utm_medium=rss&utm_campaign=iTnews+5. HubSpot 调查网络攻击事件 客户账户遭黑客入侵2024年6月29日,营销和销售软件巨头HubSpot宣布,正在调查一起网络安全事件,此前有报告称客户账户遭到黑客入侵。该公司专注于客户关系管理(CRM)和营销自动化软件,于6月22日发现了安全事件。据Techcrunch报道,HubSpot的信息安全首席官Alyssa Robinson表示,恶意行为者针对了有限数量的客户,以获得未经授权的账户访问权限。公司已启动事件响应程序,自6月22日起一直在联系受影响的客户,并采取必要措施撤销未授权访问,保护客户及其数据。虽然公司尚未披露受影响账户的确切数量,但确认黑客入侵的账户少于50个。这家市值近300亿美元的美国公司服务于超过216,000家企业客户,包括Discord、Eventbrite和Talkspace等知名企业。来源:https://gbhackers.com/hubspot-investigating-cyber-attack/
6. 西澳男子因建立虚假Wi-Fi网络窃取个人信息面临重罪指控2024年6月29日,一名42岁的西澳大利亚男子因建立虚假Wi-Fi网络,即所谓的“邪恶双胞胎”攻击,窃取个人信息而面临网络犯罪指控。该男子涉嫌在珀斯、墨尔本和阿德莱德机场以及国内航班上设置与合法Wi-Fi网络相似的欺诈性网络,诱骗用户连接,从而盗取了数十份个人凭证。澳大利亚联邦警察表示,这些网络主要在机场和航班上运营,且调查始于一家航空公司报告发现可疑Wi-Fi网络。该男子被指控利用这些设备创建虚假Wi-Fi网络,并将用户重定向至一个假冒登录页面,以收集他们的电子邮件和社交媒体登录信息。受影响的用户被建议更改密码并报告可疑活动。该男子面临的最严重指控是未经授权破坏电子通信,最高可判10年监禁。来源:https://www.itnews.com.au/news/wa-man-faces-charges-for-alleged-evil-twin-attack-609253
7. 威胁行为者声称泄露印尼法律与人权部电子邮件登录凭证2024年6月29日,一名威胁行为者声称对泄露印尼法律与人权部(Kemenkumham)的电子邮件登录凭证负责,这可能暴露了敏感的政府信息。据该威胁行为者称,泄露的数据包括员工使用的官方电子邮件账户的访问权限,这可能危及政府的敏感信息。泄露的信息具体包括实体涉及:法律与人权部(Kemenkumham);数据泄露:电子邮件登录凭证(用户名和密码);潜在风险:未授权访问敏感通信、数据操纵、身份盗窃等。如果该声称属实,此次泄露将带来严重的安全风险,包括可能未授权访问内部通信和机密数据。攻击者可能利用这些信息进行各种恶意活动,可能影响国家安全和公众信任。法律与人权部需要迅速解决这一紧急情况,因为泄露的凭证可能使恶意行为者能够未授权访问敏感的政府运作、通信和文件。来源:https://dailydarkweb.net/threat-actor-claims-to-have-leaked-email-login-credentials-of-indonesias-ministry-of-law-and-human-rights-kemenkumham/
8. IntelBroker 声称泄露弗吉尼亚州选举数据库6月30日,网络威胁行为者IntelBroker声称在暗网论坛上泄露了弗吉尼亚州选举局的数据库。据称,此举是为了阻止其他恶意行为者对数据库的进一步诈骗和控制。泄露的数据集包含65,000行信息,涵盖了候选人的详细信息、选举结果和相关统计数据,包括候选人ID、姓名、政党、选举类型和日期等。目前,弗吉尼亚州选举部门和当局尚未对此次数据泄露事件发表评论,而泄露的数据仍然可访问,对个人隐私和选举制度的完整性构成了潜在风险。来源:https://dailydarkweb.net/intelbroker-claimed-to-have-leaked-database-of-the-virginia-dept-of-elections/
漏洞预警
9. 黑客出售ClassLink Agent一键RCE的0day漏洞黑客Tikila在2024年6月29日宣布出售一个影响ClassLink Agent(Windows系统)的远程命令执行(RCE)0day漏洞。此漏洞可通过访问特定网页并点击“允许”按钮触发,支持进程继续,可靠性100%。相关厂商为为ClassLink,演示视频链接(https://drive.google.com/file/d/1rf45WbCX4N9LjXAcbk-4vEcUxeuenDBF/view?usp=sharing)提供在Google Drive。ClassLink Agent 是一个允许用户在本地应用程序中编辑文件的工具,它能够提供无缝的文档编辑体验,并将文档即时上传回用户的存储提供商。查看POC演示视频,似乎没有问题。交易需通过第三方托管进行,并需提供资金证明以确保交易严肃性。联系方式为TOX 。来源:https://breachforums.st/Thread-SELLING-0Day-ClassLink-Agent-Oneclick-RCE恶意软件
TTPs动向
12. 黑客利用D-Link DIR-859路由器漏洞窃取用户口令近日,安全研究人员发现黑客正在利用D-Link DIR-859 WiFi路由器中的严重漏洞CVE-2024-0769,该漏洞被评为9.8的严重程度,允许攻击者收集包括密码在内的账户信息。尽管D-Link DIR-859型号已到达使用寿命,不再接收更新,但供应商仍发布了安全公告,指出漏洞位于设备的"fatlady.php"文件中,影响所有固件版本。D-Link预计不会发布针对该漏洞的修复补丁,建议用户更换为受支持的设备。威胁监控平台GreyNoise观察到,黑客正积极利用CVE-2024-0769漏洞,目标是"DEVICE.ACCOUNT.xml"文件,以转储所有账户名、密码、用户组和用户描述。攻击通过恶意POST请求利用"fatlady.php"文件,访问包含用户凭据的敏感配置文件。GreyNoise尚未确定攻击者的动机,但指出攻击意图可能是设备接管,使攻击者完全控制设备。来源:https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-d-link-dir-859-router-flaw-to-steal-passwords/
13. 微软警告更多客户警惕俄罗斯政府黑客攻击继1月份微软高管电子邮件账户遭攻击后,微软6月27日向更多客户发出警告,提示他们的数据可能受到俄罗斯国家黑客组织的侵害。Office 365管理员在Reddit上透露,微软支持团队通过邮件通知他们,其电子邮件账户已被俄罗斯黑客组织Midnight Blizzard访问。微软提供了一个定制安全系统的链接,让客户检查可能被访问的数据。这次数据泄露事件被认为与俄罗斯外国情报局有关,该组织也被称为APT29或Cozy Bear。此前,拜登政府已认定该组织隶属于俄罗斯对外情报局,并指责其在SolarWinds软件中植入后门。微软的安全漏洞受到越来越多的批评,微软总裁布拉德·史密斯在美国国会听证会上承认了公司的安全漏洞。美国网络安全和基础设施安全局(CISA)也指示联邦机构重置凭证并审查账户日志,以检测微软环境中的潜在恶意活动。来源:https://www.bankinfosecurity.com/microsoft-warning-more-customers-about-russian-state-hack-a-25651
14. Kimsuky组织利用TRANSLATEXT Chrome扩展窃取韩国学术界敏感数据与朝鲜有关的网络间谍组织Kimsuky被指使用一款新的恶意Chrome扩展程序TRANSLATEXT,以窃取敏感信息。Zscaler ThreatLabz在2024年3月发现此活动,该扩展程序能收集电子邮件、用户名、密码、cookies和浏览器屏幕截图。攻击主要针对韩国学术界,特别是研究朝鲜政治的学者。Kimsuky是一个自2012年以来活跃的臭名昭著的黑客组织,与Lazarus集群有关,隶属于朝鲜侦察总局(RGB),有多个别名如APT43、ARCHIPELAGO等。最近,该组织还利用Microsoft Office的安全漏洞分发键盘记录器,针对航空航天和国防部门。攻击初始是通过一个包含韩国军事历史内容的ZIP文件,其中含有Hangul文档和可执行文件,启动后会从攻击者服务器下载PowerShell脚本。TRANSLATEXT伪装成Google翻译,绕过安全措施,窃取信息和捕获屏幕截图,还能接收命令执行特定操作。安全研究员Seongsu Park指出,Kimsuky意在监视学术和政府人员,收集情报。来源:https://thehackernews.com/2024/06/kimsuky-using-translatext-chrome.html
15. 8220组织利用Oracle WebLogic服务器漏洞进行加密货币挖矿安全研究人员发现,8220 团伙利用 Oracle WebLogic Server 中的已知漏洞进行加密货币挖掘。他们通过无文件执行技术,将恶意软件代码注入内存中,避免基于磁盘的检测机制。攻击者通过多阶段加载技术进行初始访问,部署伪装成合法应用程序的恶意程序,并使用 PowerShell 脚本释放加载器。这些恶意软件会禁用防火墙、终止竞争对手的僵尸网络,并使用 XMRig 进行挖矿操作。此外,该团伙还利用新的 k4spreader 工具传播 Tsunami DDoS 僵尸网络和 PwnRig 挖矿程序,通过利用 Apache Hadoop YARN、JBoss 和 Oracle WebLogic Server 的漏洞渗透目标。来源:https://thehackernews.com/2024/06/8220-gang-exploits-oracle-weblogic.html
往期推荐
2024-06-25
2024-06-26
2024-06-27
2024-06-28
2024-06-29