其他
5th域安全微讯早报【20240703】159期
2024-07-03 星期三 Vol-2024-159
今日热点导读
14. Xctdoor恶意软件针对IIS服务器的新攻击活动15. 保护Java应用免受供应链攻击的主动系统
资讯详情
政策法规
1. 五角大楼推动开放技术整合以增强军事网络
美国国防部正积极探索整合专业和开放技术,特别是开放无线电接入网络(ORAN)架构,以支持5G和FutureG计划的实施。在TechNet网络会议上,官员们讨论了公共、私有和混合网络的潜力,强调国家安全领域对独特且安全网络的需求。五角大楼认为,在缺乏无线网络基础设施的远程战区,使用ORAN能提供更大的信息交换控制和网络灵活性。鉴于当前中美在台湾海峡的地缘政治紧张局势,这一决策显得尤为重要。ORAN允许多个供应商协同工作,提供网络扩展的灵活性。五角大楼正在推动ORAN研究,并寻求国会通过未来的国防拨款法案提供额外支持。2024年的预算要求拨款1430亿美元用于研发先进技术,包括5G和人工智能。来源:https://www.securitylab.ru/news/549704.php2. FBI警告:可再生能源行业面临网络攻击威胁美国联邦调查局(FBI)发布通知,提醒可再生能源行业可能成为恶意网络行为者的目标,这些行为者可能出于地缘政治动机或经济利益,试图破坏发电业务、窃取知识产权或勒索关键信息。随着可再生能源的推广和成本降低,网络威胁行为者看到了新的破坏和利用机会。FBI特别指出,运营技术(OT)软件和硬件系统可能成为攻击的重点,例如通过控制逆变器来干预太阳能电池板系统。FBI呼吁行业内公司加强网络安全,监控异常网络活动,更新系统修补安全漏洞,并使用防火墙和防病毒软件。此外,还应向执法部门报告任何网络入侵行为,并审查供应商风险,以避免供应链攻击。FBI还建议采取一系列身份和访问管理措施以及漏洞和配置管理措施,以减轻新出现的网络威胁。来源:https://industrialcyber.co/threats-attacks/fbi-warns-of-increased-cyber-threats-to-expanding-us-renewable-energy-sector/
安全事件
3. 印度VIT博帕尔大学否认数据泄露,称黑客行为仅为求关注印度VIT博帕尔大学近期遭遇了一起声称泄露了8000名学生和教职工敏感信息的数据泄露事件。一名自称为“lucifer001”的威胁行为者在BreachForums网站上声称对大学网站进行了网络攻击。然而,大学方面进行了彻底的内部调查,并表示所谓的泄露信息实际上来自一个故意开放给第三方集成的虚拟API端点,仅包含用于测试和集成的虚拟数据,不涉及任何真实或敏感信息。大学还强调,他们非常重视数据安全,遵循行业标准的数据安全实践,包括定期安全审计、高级加密、严格的访问控制和事件响应计划。此外,尽管此次数据泄露事件被证实是一场虚惊,但全球网络安全威胁的严峻性和复杂性仍在不断增长,需要组织和个人采取更有效的措施来保护其数字资产。来源:https://thecyberexpress.com/vit-bhopal-hacker-lied-university/4. CISA更新“安全明日系列工具包”以强化关键基础设施美国网络安全和基础设施安全局(CISA)发布了“安全明日系列工具包”的更新版,旨在帮助关键基础设施的所有者和运营商应对日益增长和演变的风险。该工具包通过组织讨论,针对未来可能出现的风险,提供了战略预见活动的工具和材料。2024年的更新版引入了三个新主题:信息和通信技术供应链弹性、先进制造业、以及水资源可用性,这些主题与现有的脑机接口、合成生物学等主题一起,构成了工具库的核心内容。CISA利用这个工具库,构建了一套战略预见活动工具包,目的是让关键基础设施合作伙伴能够聚集具有特定领域、地区和行业专业知识的人员,共同制定相关且可操作的风险缓解策略。工具包中的活动设计得既有趣又具有挑战性,从简短的矩阵游戏到全天的情景研讨会,旨在根据不同的参与度和时间投入提供不同程度的风险缓解见解。来源:https://industrialcyber.co/cisa/cisa-updates-secure-tomorrow-series-toolkit-to-enhance-preparedness-across-critical-infrastructure/
5. Evolve Bank数据泄露影响金融科技公司Wise和AffirmEvolve Bank & Trust近期遭受LockBit勒索软件组织的攻击,导致金融科技公司Wise和Affirm的部分客户信息泄露。Wise透露,与Evolve的合作期间,部分客户的姓名、地址、出生日期、联系方式以及社会安全号码等信息被Evolve存储,尽管目前双方不再合作。Wise强调其系统未受影响,并将联系可能受影响的客户。Affirm也在SEC文件中披露,其部分客户的个人信息在Evolve的网络安全事件中遭到泄露,但Affirm的系统和持卡人使用未受影响。Evolve确认,由于员工点击恶意链接,攻击者获得了系统访问权限,部署了勒索软件,尽管如此,Evolve表示已经备份数据,影响有限。Evolve拒绝支付赎金,LockBit随后泄露了数据,错误地声称数据来自美联储。据Evolve透露,攻击者在2月至5月期间访问并下载了客户信息,包括个人银行客户的姓名、社会安全号码、银行账号和联系信息,员工信息也可能泄露。来源:https://www.securityweek.com/evolve-bank-shares-data-breach-details-as-fintech-firms-report-being-hit/
6. 威胁行为者出售非洲国家法院案件系统完全访问权一名威胁行为者声称以85 XMR(门罗币)的价格出售对非洲某国法院案件系统的全面访问和控制权。该出售包括对该国所有法院案件数据库的无限制访问,涉及最高法院和高等法院。声称的访问权限允许进行案件的创建、编辑和删除,覆盖刑事与商业案件。同时,还包括对近2000名员工用户账户的管理能力,以及这些政府用户的电子邮件、用户名和弱哈希密码信息。此外,还有数十万件法院案件的访问权。威胁行为者未公开具体受影响的国家名称,但提出私下分享信息给信誉良好的买家,且愿意通过论坛版主验证访问权限的真实性。如果此出售属实,将暴露出严重的安全漏洞,可能严重影响该非洲国家的司法系统和国家治理。来源:https://dailydarkweb.net/threat-actor-claims-to-sell-full-access-and-control-over-african-countrys-court-case-system/
7. MFA不足导致勒索软件损失激增500%根据Sophos的“2024年勒索软件状况”报告,去年勒索软件平均赎金支付额增长了500%,达到200万美元,而RISK & INSURANCE报告指出,2023年赎金需求中位数和支付额分别从2022年的140万美元和33.5万美元飙升至2000万美元和650万美元。这一激增凸显了网络攻击的日益复杂化和传统多因素身份验证(MFA)的不足。网络犯罪分子利用生成式人工智能技术,创建难以区分的网络钓鱼攻击,而传统MFA系统易受网络钓鱼、SIM卡交换、中间人攻击等手段攻破。为有效对抗勒索软件攻击,组织需采用具有网络钓鱼防御能力的下一代MFA技术,如生物识别技术,这些技术具有独特性、难以复制、降低凭证被盗风险等优势,并提供快速、无缝的身份验证流程,提升用户体验。来源:https://thehackernews.com/2024/07/how-mfa-failures-are-fueling-500-surge.html
8. Patelco信用合作社遭受勒索软件攻击导致服务中断美国大型信用合作社Patelco于2024年6月29日遭受勒索软件攻击,导致其网上银行平台、移动应用程序和呼叫中心服务瘫痪,影响了近50万会员的金融服务。Patelco的总裁兼首席执行官Erin Mendez通过社交媒体和电子邮件向会员披露了事件细节。为控制攻击,该机构关闭了关键系统,导致会员无法进行转账、直接存款、余额查询和在线账单支付等电子交易。尽管借记卡和信用卡交易受限,但ATM机仍可正常使用。Patelco正与网络安全专家合作,全天候评估情况并努力恢复服务,同时设立了专门的网页用于持续更新事件进展和系统状态。信用合作社强调,目前没有证据显示会员的账户信息或网上银行凭证因此次攻击受到影响。来源:https://thecyberexpress.com/patelco-credit-union-hit-by-ransomware-attack/
9. LockBit 3.0勒索软件攻击克罗地亚医院和印度尼西亚锡生产商LockBit 3.0勒索软件组织宣布对克罗地亚最大的医院之一KBC Zagreb和印度尼西亚锡生产商PT Latinusa Tbk发动攻击,并声称已获取医院的敏感数据访问权限。KBC Zagreb在7月1日被添加到LockBit的暗网泄密网站上,该组织声称拥有医院的医疗记录、患者检查、医生研究论文等敏感信息,并设定了7月18日的赎金截止日期。此前,KBC Zagreb刚遭受了另一次网络攻击,导致医院的数字系统严重破坏。与此同时,LockBit声称已窃取PT Latinusa的内部审计文件和财务信息,赎金截止日期为7月3日。尽管LockBit声称成功渗透,但两家公司尚未做出官方回应或公开声明,因此攻击的真实性尚未得到证实。来源:https://thecyberexpress.com/lockbit-3-0-cyberattack-kbc-zagreb-pt-latinusa/
漏洞预警
10. PTC修复Creo Elements/Direct许可证服务器中的严重漏洞产品生命周期管理解决方案提供商PTC近期修复了其Creo Elements/Direct产品许可证服务器中的一个严重漏洞,该漏洞可能允许未经身份验证的远程攻击者执行任意操作系统命令。该漏洞编号为CVE-2024-6071,CVSS评分达到最高等级10分。PTC与美国网络安全和基础设施安全局(CISA)于6月底联合发布了修复公告,提供了针对Creo Elements/Direct Drafting、Model/Drawing Mgr、Modeling及WorkManager等产品的补丁。尽管该漏洞在全球范围内的关键制造业中使用的受影响产品存在,但PTC表示目前没有迹象表明该漏洞已被利用。但攻击者一旦进入目标网络,便有可能利用该漏洞进行横向移动并访问关键信息。来源:https://www.securityweek.com/critical-flaw-in-ptc-license-server-can-allow-lateral-movement-in-industrial-organizations/11. Splunk 修补高严重性漏洞,增强企业产品安全性2024年7月2日,Splunk 宣布修补 Splunk Enterprise 和 Cloud Platform 中的16个漏洞,其中包括6个高严重性漏洞。三个高严重性远程代码执行漏洞需要身份验证才能被利用,分别是 CVE-2024-36985、CVE-2024-36984 和仪表板 PDF 生成组件漏洞。另一个高严重性漏洞涉及命令注入,允许经过身份验证的用户在 Splunk 平台中注入和执行命令。此外,Windows 上的路径遍历和拒绝服务漏洞也被修复。Splunk 尚未提及这些漏洞是否已被利用。更多信息请参阅 Splunk 的安全公告页面。来源:https://www.securityweek.com/splunk-patches-high-severity-vulnerabilities-in-enterprise-product/
12. 谷歌发布Android安全更新,修复25个漏洞谷歌发布了针对Android操作系统的7月安全更新,共修复了25个安全漏洞。其中,最严重的一个漏洞是框架组件中的权限提升漏洞(CVE-2024-31320),影响Android 12和12L版本,允许攻击者在无需额外执行权限的情况下提升本地权限。该漏洞以及其他七个高严重性问题已在2024-07-01安全补丁级别中得到解决。随后,谷歌在2024-07-05安全补丁级别中发布了第二部分更新,解决了Kernel、Arm、Imagination Technologies、MediaTek和Qualcomm组件中的17个漏洞。设备若运行2024-07-05安全级别,则已包含所有25个漏洞的补丁。谷歌建议用户在更新可用时立即更新设备。此外,Android Automotive安全更新虽未发布新补丁,但包含了2024-07-05安全补丁级别的所有Android修复。目前,谷歌尚未发布针对Pixel设备的详细安全公告。来源:https://www.securityweek.com/google-patches-25-android-flaws-including-critical-privilege-escalation-bug/
TTPs动向
14. Xctdoor恶意软件针对IIS服务器的新攻击活动AhnLab安全情报中心(ASEC)的研究人员发现,一种名为Xctdoor的恶意软件正在针对微软的IIS服务器发动攻击,以传播恶意软件。攻击者利用IIS服务器的广泛使用和关键应用服务的集中,将其作为入侵组织系统和信息数据库的切入点。Xctdoor与历史上与Lazarus子组织Andariel有关的Rifdoor后门有相似之处,可能通过ERP更新服务器传播,利用Regsvr32.exe执行恶意DLL,反映了攻击者策略的演变。该恶意软件能够将自身注入系统进程,利用启动快捷方式保持存活,并收集系统信息,执行远程命令。它还可能与XcLoader协同工作,针对配置错误的IIS服务器,进一步表明攻击者利用已知漏洞和配置缺陷进行攻击。该恶意软件使用梅森旋转算法和Base64对HTTP通信数据包进行加密,增加了分析难度。来源:https://cybersecuritynews.com/xctdoor-malware-attacking-iis-servers/
新兴技术
往期推荐
2024-06-27
2024-06-28
2024-06-29
2024-07-01
2024-07-02