查看原文
其他

5th域安全微讯早报【20240704】160期

网空闲话 网空闲话plus
2024-08-30

2024-07-04 星期四        Vol-2024-160







今日热点导读


1. 美国大选面临内部威胁,FBI与CISA发布新指南2. 巴西禁止Meta使用本国数据进行AI训练
3. 俄罗斯数字发展部将推出IT专业人员新评估工具4. 草蜢行动:以色列政府和企业遭受恶意软件攻击
5. 澳大利亚哈利珀金斯研究所遭MEDUSA勒索软件攻击索要50万美元赎金6. 亲孟加拉黑客组织加入俄罗斯黑客联盟Matryoshka 4247. 美国SEC重罚Silvergate银行5000万美元8. HealthEquity因第三方供应商账户被盗遭受数据泄露9. 阿联酋网络安全委员会警告三星用户及时更新以防数据泄露10. RegreSSHion漏洞:疑是出现利用尝试但大规模攻击可能性低11. 微软发现Rockwell PanelView Plus设备严重漏洞:立即修补12. 90,000+ WordPress网站面临严重漏洞风险:立即修补13. 利用Microsoft MSHTML漏洞传播MerkSpy间谍软件14. Fiverr平台被曝出售TLOxp工具用于非法人肉搜索15. 微软推出VBS Enclave,提升Windows 11数据保护







资讯详情


政策法规

1. 美国大选面临内部威胁,FBI与CISA发布新指南2024年美国大选在即,联邦调查局(FBI)和网络安全和基础设施安全局(CISA)联合发布了新的指导方针,以应对选举基础设施可能遭遇的内部威胁。内部威胁可能来自现任或前任雇员、临时工、志愿者、承包商等有权访问选举系统的个人。新指南详细介绍了内部威胁的风险、潜在情景及减轻威胁的步骤,强调了标准操作程序、物理和数字访问控制、持续监控和网络安全最佳实践的重要性。指南中提到,虽然没有证据显示恶意行为者曾影响过选举结果,但选举利益相关者必须意识到内部威胁的风险,并采取措施识别和减轻这些威胁。指南也指出,外国对手可能通过意识形态、金融或胁迫手段操纵拥有特权的个人,以干涉大选。为了防范这些风险,选举官员应建立内部威胁缓解计划,包括严格的操作程序、访问控制、保管链程序、零信任安全、持续监控、例行审计和网络安全措施。

来源:https://thecyberexpress.com/2024-us-election-new-guidance-for-officials/


2. 巴西禁止Meta使用本国数据进行AI训练

巴西国家数据保护机构决定,Meta不能使用来自巴西的数据来训练其人工智能系统。Meta的新隐私政策允许将用户公开帖子输入AI系统,但这一做法在巴西被禁止,因其可能对数据主体造成严重且难以修复的损害。Meta对此表示失望,认为此决定阻碍了创新和AI发展。尽管Meta允许用户选择退出数据使用,但巴西监管机构认为这一过程存在不合理障碍,并且用户未能充分了解其个人数据被用于AI开发的后果。这一决定旨在保护用户隐私,特别是防止儿童数据被不当使用。Meta需在五个工作日内证明其合规,否则将面临每日罚款。

来源:https://www.securityweek.com/brazil-data-regulator-bans-meta-from-mining-data-to-train-ai-models/


3. 俄罗斯数字发展部将推出IT专业人员新评估工具

俄罗斯数字发展部正在开发一项新工具,以评估IT专业人员的资格。这一项目旨在取代即将于2024年结束的“数字经济”计划。由招聘平台HeadHunter(HH)提出的构想,该系统将测试IT专家与俄罗斯操作系统和数据库的协作能力,并创建一个统一的技术能力数据库。尽管初期企业未支持该计划,但数字发展部仍在推进这一项目,并征集行业建议。新的评估机制将是自愿的,有助于人力资源部门挑选候选人。此前,俄罗斯曾尝试简化IT专家认证,但未取得预期效果。新项目将整合编程语言、角色认证和供应商认证,帮助IT专业人员证明其技能,提升企业招聘和员工发展标准。APKIT建议将证书数据库的管理委托给政府机构,以确保测试的专业性和有效性。

来源:https://www.securitylab.ru/news/549775.php

安全事件

4. 草蜢行动:以色列政府和企业遭受恶意软件攻击

一项近期的网络安全调查揭示了一场名为“草蜢行动”的复杂攻击行动,针对以色列政府机构和私人公司。该行动利用了开源恶意软件和定制工具,展现了其策略性使用基础设施和工具集。攻击者通过特制的WordPress网站分发恶意负载,这些网站托管看似无害的虚拟硬盘(VHD)文件,触发第一阶段的Nim下载器,随后从远程服务器检索并执行进一步的恶意软件组件。最终有效负载结合了Donut和Sliver两个开源项目,赋予攻击者完全控制被攻击系统的能力。这些攻击使用伪装成知名品牌的域名,作为恶意软件的控制服务器。尽管行动复杂,但其真实意图尚不明确。

来源:https://thecyberexpress.com/supposed-grasshopper-campaign/


5. 澳大利亚哈利珀金斯研究所遭MEDUSA勒索软件攻击索要50万美元赎金

澳大利亚顶尖医学研究机构哈利珀金斯医学研究所近日遭受MEDUSA勒索软件攻击,攻击者声称窃取了4.6TB监控数据,并要求支付50万美元赎金。若9天内未支付,赎金将逐日增加。研究所尚未对此事发表官方声明,因此攻击真实性尚待确认。MEDUSA勒索软件以RaaS模式运作,通过Telegram公开被盗数据以施压受害组织。若攻击属实,将对研究所的网络安全和个人隐私保护造成严重影响。《网络快报》将继续跟进报道。

来源:https://thecyberexpress.com/medusa-harry-perkins-institute/


6. 亲孟加拉黑客组织加入俄罗斯黑客联盟Matryoshka 424

俄罗斯黑客联盟“Matryoshka 424”宣布加入了亲孟加拉黑客组织Team ARXU,这一联盟已包括20个俄罗斯黑客组织,如Digital Revolt、DOZOR 207和Server Killers,旨在扩展其网络影响力和能力。Team ARXU此前因针对支持以色列的罗马尼亚的行动而引起关注,并参与过针对以色列及其盟友的网络攻击。Matryoshka 424在2024年7月1日的声明中表示,此次扩展将加强其在东欧、亚太地区和欧洲的存在。该联盟不仅招募黑客组织,还招募博客、艺术家、视频制作人和内容创作者,提供职业发展和合作支持。随着网络战争的发展,像Matryoshka 424这样的联盟在全球安全和地缘政治中扮演着越来越重要的角色。

来源:https://thecyberexpress.com/team-arxu-joins-matryoshka-424/


7. 美国SEC重罚Silvergate银行5000万美元

美国证券交易委员会(SEC)对Silvergate Capital Corporation及其三名前高管提出欺诈指控,因其在FTX崩溃后误导投资者,夸大其合规程序和财务状况。SEC指出,Silvergate未能监管1万亿美元交易,错失90亿美元可疑转账。该银行及其高管同意支付5000万美元罚款及其他和解条件,但需法院批准。案件凸显金融机构可能为短期利益牺牲合规性,SEC的行动强调监管机构将严格监督市场诚信。同时,联邦储备系统(FRB)和加州金融保护与创新部(DFPI)也对Silvergate提出和解指控,强调监管机构在保护投资者和维护金融市场完整性中的关键作用。

来源:https://thecyberexpress.com/sec-cracks-down-on-crypto-bank-silvergate/


8. HealthEquity因第三方供应商账户被盗遭受数据泄露

美国最大的健康储蓄账户管理公司HealthEquity Inc.近期向美国证券交易委员会(SEC)提交的文件中披露,由于一家未具名商业伙伴的账户被盗,导致个人身份信息(PII)和受保护的健康信息泄露。该公司表示,尽管发生了数据泄露,但并未影响公司的运营或财务状况。HealthEquity通过例行监控发现异常行为,并迅速采取措施隔离和调查问题。调查显示,未经授权的第三方利用合作伙伴账户访问了包括会员PII在内的信息,部分信息被转移出系统。HealthEquity正在通知合作伙伴和客户,并为受影响的个人会员提供免费的信用监控和身份恢复服务。公司认为此次事件不会对其业务、运营或财务业绩产生重大不利影响,并已投保足够的网络安全保险,同时将向合作伙伴寻求补救措施。

来源:https://thecyberexpress.com/healthequity-data-breach-sec-filing/


9. 阿联酋网络安全委员会警告三星用户及时更新以防数据泄露

2024年7月3日,阿联酋网络安全委员会发布警告,敦促三星用户尽快更新其设备,以防止由于近期在三星旗舰机型中发现的安全漏洞可能导致的未经授权访问和数据泄露。这些漏洞对用户数据安全构成重大威胁。作为回应,三星发布了包括谷歌2024年7月Android安全公告补丁和其他修复程序的全面更新,旨在加强设备的安全性。阿联酋网络安全委员会在声明中强调,这些更新对于减轻发现的漏洞相关风险至关重要,强烈建议用户确保其设备已更新至最新版本。三星承认更新过程的复杂性,指出定期操作系统升级可能会造成延迟,但保证所有操作系统升级都将包含最新的安全补丁。

来源:https://thecyberexpress.com/samsung-vulnerabilities/

漏洞预警

10. RegreSSHion漏洞:疑是出现利用尝试但大规模攻击可能性低

近日,被追踪为CVE-2024-6387的OpenSSH严重漏洞regreSSHion受到安全研究人员关注。该漏洞允许未认证攻击者执行远程代码,与Log4Shell漏洞相似,可能导致系统完全被接管。Qualys公司发现,互联网上有超过1400万个OpenSSH实例可能存在此漏洞。尽管漏洞严重,Palo Alto Networks等安全机构测试了部分概念验证(PoC)代码,未能成功执行远程代码,认为不太可能发生大规模利用。安全研究员Raghav Rastogi报告了一个IP地址似乎在尝试利用该漏洞,但野外利用尝试尚未得到确认。Qualys表示,实验中需要大约10,000次尝试才能赢得竞争条件,获得远程root shell需要数小时至一周。Dazz公司CTO Tomer Schwartz指出,漏洞利用主要在实验室环境中可行。

来源:https://www.securityweek.com/regresshion-openssh-flaw-potential-exploitation-attempts-seen-but-mass-attacks-unlikely/4


11. 微软发现Rockwell PanelView Plus设备严重漏洞:立即修补

微软发现并披露了Rockwell Automation的PanelView Plus设备中的两大严重漏洞,这些漏洞允许未经验证的攻击者远程执行代码和发起拒绝服务(DoS)攻击。RCE漏洞(CVE-2023-2071,CVSS 9.8)利用设备中的两个自定义类,通过上传和执行恶意DLL来实现远程控制。DoS漏洞(CVE-2023-29464,CVSS 8.2)则通过发送特制缓冲区导致系统崩溃。微软的安全漏洞研究团队通过协调漏洞披露程序将这些发现报告给Rockwell Automation,后者在2023年9月和10月发布了安全补丁。PanelView Plus设备在工业自动化中起着关键作用,这些漏洞的利用可能导致重大运营中断和财务损失。微软建议立即应用安全补丁,实施网络分段和访问控制措施。

来源:https://thecyberexpress.com/microsoft-rce-dos-exploits-found-in-rockwell/


12. 90,000+ WordPress网站面临严重漏洞风险:立即修补

2024年7月1日,安全研究人员shaman0x01公开披露了一个影响广泛的WordPress插件“Email Subscribers by Icegram Express”的严重漏洞(CVE-2024-6172)。该漏洞的CVSS评分为9.8,涉及插件版本5.7.25及之前的所有版本。漏洞源于用户提供的db参数未充分转义以及现有SQL查询准备不足,使得未经验证的攻击者可以执行基于时间的SQL注入攻击,从而提取数据库中的敏感信息。受影响插件在90,000多个网站上被广泛使用,潜在风险巨大,可能导致数据泄露和用户信息曝光。建议网站管理员立即更新插件,若无更新可用,暂时禁用插件,并监控异常活动和定期备份数据。

来源:https://gbhackers.com/critical-wordpress-plugin/

TTPs动向

13. 利用Microsoft MSHTML漏洞传播MerkSpy间谍软件

未知威胁行为者被发现利用Microsoft MSHTML中的CVE-2021-40444漏洞来分发MerkSpy间谍软件工具,该活动主要针对加拿大、印度、波兰和美国的居民。攻击始于一个伪装成软件工程师职位描述的Microsoft Word文档,该文档触发漏洞利用,无需用户交互即可执行远程代码。漏洞利用允许攻击者下载并执行嵌入式shellcode,该shellcode充当文件下载器,加载MerkSpy到内存中。MerkSpy旨在秘密监视用户活动,获取敏感信息并在受感染系统上建立持久性。该间谍软件能够捕获屏幕截图、按键记录、窃取Google Chrome中的登录凭据以及MetaMask浏览器扩展程序的数据,并将这些信息泄露到攻击者控制的服务器。Fortinet FortiGuard Labs的研究人员Cara Lin在报告中详细描述了攻击过程,并提醒用户保持警惕,避免点击可疑链接和下载不明来源的文件。

来源:https://thehackernews.com/2024/07/microsoft-mshtml-flaw-exploited-to.html


14. Fiverr平台被曝出售TLOxp工具用于非法人肉搜索

自由职业平台Fiverr上的数十名卖家以30美元的价格出售TLOxp工具的使用权,该工具由信用局 TransUnion 提供,通常用于私人调查和执法。TLOxp 可以访问美国居民的社会安全号码、未列出的电话号码、公用事业数据等敏感信息。许多卖家宣称提供这些数据服务,但可能存在欺诈行为。这种非法人肉搜索服务引发了 Fiverr 内容审核的质疑,尽管该平台已删除相关广告并更新监控设置。TLOxp数据被黑客和诈骗者广泛用于获取信用报告数据和个人信息,造成严重隐私风险。TransUnion已与执法部门合作处理此问题。此事突显出线上平台在防范非法数据交易方面的挑战和漏洞。

来源:https://www.securitylab.ru/news/549773.php

新兴技术

15. 微软推出VBS Enclave,提升Windows 11数据保护

2024年7月1日,微软在Windows 11中引入了一项名为VBS Enclave的新安全功能,旨在通过虚拟化技术来保护敏感数据。VBS(基于虚拟化的安全性)功能已在Windows中存在,并在Windows 11安装时默认激活。它将操作系统转换为在Hyper-V虚拟机管理程序上运行的虚拟机,显著提高数据保护和完整性。VBS Enclave是“主机应用程序内基于软件的可信执行环境”,允许开发人员使用DLL文件来保护应用程序的特定部分。VBS通过创建虚拟信任级别1(VTL1)的隔离虚拟环境,确保在较低权限级别(VTL0)运行的内容无法访问VTL1中的安全Enclave,从而更安全地保护密码和加密数据。尽管VBS Enclave对Windows API的访问受到限制,但其提供了显著的安全性提升,有助于防御现代网络威胁。

来源:https://www.securitylab.ru/news/549764.php




往期推荐


5th域安全微讯早报【20240628】155期

2024-06-28

5th域安全微讯早报【20240629】156期

2024-06-29

5th域安全微讯早报【20240701】157期

2024-07-01

5th域安全微讯早报【20240702】158期

2024-07-02

5th域安全微讯早报【20240703】159期

2024-07-03


素材来源官方媒体/网络新闻
继续滑动看下一个
网空闲话plus
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存