其他
5th域安全微讯早报【20240706】162期
2024-07-06 星期六 Vol-2024-162
今日热点导读
7. Ticketmaster否认暗网黑客出售泰勒·斯威夫特演唱会有效条形码的声称8. 以太坊邮件列表遭黑客入侵 钓鱼攻击试图窃取用户加密货币资金9. Ubuntu发布关键安全更新修复Ghostscript漏洞10. Logsign Unified SecOps存在严重RCE漏洞11. 黑客利用ScreenConnect远程访问传播AsyncRAT木马12. ProxyLogon和ProxyShell:微软Exchange服务器遭黑客攻击13. 欧洲刑警组织面临移动漫游网络合法拦截的严重挑战欧洲刑警组织面临移动漫游网络合法拦截的严重挑战14. 亚马逊Prime Day临近,网络犯罪分子准备虚假域名15. 印度政府警告假冒性犯罪指控的网络钓鱼诈骗16. 2024年欧洲杯成网络攻击新目标,赛事网络安全风险上升
资讯详情
政策法规
1. 加州拟推AI监管新法 引发科技巨头反对
加州正在考虑一项旨在规范人工智能开发和使用的立法提案,该提案受到了科技巨头们的强烈反对。该法案要求人工智能公司对大型系统进行安全测试,并实施措施防止其被恶意使用。支持者认为该法案必要,以防范人工智能被用于破坏性目的,例如攻击国家电网或制造化学武器。然而,Meta和谷歌等科技公司则表示,该法案过于严苛,可能会阻碍人工智能技术的发展。他们认为,监管应该针对那些利用人工智能进行伤害的人,而不是开发者本身。加州州长加文·纽瑟姆支持该法案,并表示加州将利用人工智能来解决交通问题等难题。但他也警告称,过度监管可能会阻碍创新。该法案仍在讨论中,最终能否通过尚不确定。来源:https://www.securitylab.ru/news/549866.php2. 西班牙推出Cartera Digital Beta应用以限制未成年人接触色情内容西班牙政府推出了一款名为Cartera Digital Beta的新应用程序,旨在帮助打击未成年人在线访问色情内容。该应用程序将在夏末推出,允许平台和网站通过电子DNI(国民身份证件)或政府独立验证的数据来验证用户年龄。为保护隐私和匿名性,系统将向用户颁发有限的数字“成人ID”,每个身份在每个平台上最多使用3次,且每30天可以更新。数字化转型部长何塞·路易斯·埃斯克里瓦强调,该倡议旨在解决保护儿童免受互联网色情制品侵害的严重问题,并指出过去五年来针对未成年人的性犯罪数量增加了一倍多。尽管互联网平台尚未有实施新系统的法律义务,政府希望依靠平台的“善意”来实施这一措施。此外,政府计划创建一个包含不当内容的网站黑名单,由国家网络安全研究所(Incibe)负责,以便浏览器可以控制基于URL的访问。来源:https://www.securitylab.ru/news/549853.php
安全事件
3. 新西兰健身零售商遭受DragonForce勒索软件攻击新西兰领先的健身设备零售商Elite Fitness遭受了DragonForce勒索软件团伙的攻击。该团伙声称窃取了5.31GB的客户和员工数据。Elite Fitness确认了此次勒索软件攻击和随后的数据泄露事件。DragonForce勒索软件团伙首次观察于2023年11月,据信使用了基于泄露的LockBit 3.0勒索软件构建器的恶意软件。该团伙在攻击后使用随机字符串重命名存储的文件,并将加密文件扩展为.AoVOpni2N,同时在每个访问的目录中投放勒索信。DragonForce与一个马来西亚黑客活动组织同名,后者自称DragonForce Malaysia,经常针对以色列组织以表达对以色列对哈马斯战争的反对,并在2022年针对几个印度组织。尽管两个组织名称相似,但网络安全研究人员表示,没有充分证据将勒索软件攻击归因于马来西亚组织。4. 欧洲诈骗团伙增加身体恐吓手段欧洲刑警组织(Europol)逮捕了54名涉嫌语音钓鱼(vishing)诈骗的犯罪嫌疑人,这些罪犯通过社交工程和物理威胁相结合,专门针对西班牙的老年公民。罪犯冒充银行员工,通过电话获取受害者的个人信息,然后亲自上门,要求支付现金、信用卡及其他贵重物品。最终,他们使用偷来的信用卡进行ATM取款或高额消费,并利用银行信息进行账户接管,造成约270万美元的损失。这种新型vishing攻击结合了数字和物理手段,增加了复杂性和危险性,展示了网络罪犯利用受害者的极端手段。专家建议,企业应加强安全意识培训,部署先进的语音威胁检测和自动呼叫筛选技术,以保护用户免受此类攻击。此外,随着电子邮件安全的提升,攻击者转向语音渠道,利用远程工作的机会进行vishing诈骗,给企业带来了财务损失和声誉风险。来源:https://www.darkreading.com/remote-workforce/euro-vishing-fraudsters-add-physical-intimidation-to-arsenal
5. Space Bears勒索软件攻击加拿大实体:患者数据和财务信息或遭泄露加拿大三家知名实体Haylem、Un Museau Vaut Mille Mots和Lexibar遭到Space Bears勒索软件团伙的攻击,该团伙在暗网论坛上公布了这些机构的数据泄露细节,引发对数据隐私和安全的担忧。Haylem是一家专注于为学习障碍个体开发教育工具的领先软件开发公司,而Un Museau Vaut Mille Mots是Haylem开发的著名语言矫正诊所。Lexibar则是在法国学校和特殊诊所广泛使用的治疗语言障碍的产品。勒索软件团伙威胁称,将在未来5-6天内公布包括财务报告、数据库和员工及客户个人信息在内的敏感数据。尽管这些公司的官方网站目前运行正常,没有明显异常迹象,但官方尚未对攻击声明作出回应,使得勒索软件团伙的声称未经验证,增加了不确定性和焦虑。来源:https://thecyberexpress.com/three-firms-hit-by-space-bears-ransomware/
6. Cloudflare因BGP劫持事件导致近期服务中断2024年7月5日,互联网巨头Cloudflare报告称,其DNS解析服务1.1.1.1最近因BGP劫持和路由泄漏事件而导致部分用户无法访问或服务降级。该事件发生在6月27日,影响了70个国家的300个网络,但总体影响较小,一些国家的用户几乎没有察觉。事件详细信息显示,Eletronet S.A. (AS267613)错误地向其对等网络和上游提供商宣布了1.1.1.1/32 IP地址,导致流量被错误路由。随后,Nova Rede de Telecomunicações Ltda (AS262504)错误地将1.1.1.0/24上游泄漏至AS1031,进一步影响全球路由。Cloudflare在事件发生后迅速采取措施,与涉事网络合作,并禁用问题网络的对等会话,以减轻影响。由于采用了资源公钥基础设施(RPKI),Cloudflare的内部网络路由未受影响。来源:https://www.bleepingcomputer.com/news/security/hackers-leak-alleged-taylor-swift-tickets-amp-up-ticketmaster-extortion/
7. Ticketmaster否认暗网黑客出售泰勒·斯威夫特演唱会有效条形码的声称Ticketmaster近日驳斥了暗网上的声称,该声称表示黑客拥有多个即将到来的泰勒·斯威夫特演唱会及其他活动的可用门票条形码。一名黑客在上周五提出出售新奥尔良、迈阿密和印第安纳波利斯的Taylor Swift Eras巡回演唱会的事件条形码,总计约170,000个条形码,每场演出约20,000个。黑客还威胁说,如果不支付200万美元的赎金,将有更多条形码泄露,声称拥有3000万个NFL比赛、Sting音乐会等活动的条形码。Ticketmaster的发言人向Recorded Future News表示,公司的SafeTix技术通过每几秒自动刷新生成新的独一无二的条形码来保护门票,使其无法被复制或盗用。这是公司实施的众多防欺诈措施之一,以确保门票的安全性。发言人还否认了媒体关于与黑客进行赎金谈判的报道,明确表示公司从未与黑客接触,也未曾提供任何金钱。上个月,Ticketmaster的母公司Live Nation确认其在数据存储平台Snowflake的账户遭到入侵。来源:https://therecord.media/ticketmaster-discredits-dark-web-claims-taylor-swift
8. 以太坊邮件列表遭黑客入侵 钓鱼攻击试图窃取用户加密货币资金黑客入侵了以太坊的邮件列表,并通过精心设计的网络钓鱼活动试图窃取用户加密货币资金。攻击者向35794个电子邮件地址发送了包含恶意链接的网络钓鱼电子邮件,一旦用户点击链接并连接他们的钱包,黑客就可以窃取钱包中的资金。以太坊内部安全团队迅速发现了这一漏洞并采取了措施减轻损害,包括阻止攻击者发送更多电子邮件、通知用户不要点击恶意链接、关闭攻击者访问路径以及将恶意链接加入黑名单。幸运的是,没有用户在此次事件中蒙受损失。此次事件凸显了加密货币领域持续存在的挑战和漏洞,也提醒人们在不断发展的加密货币世界中保持警惕并采取积极的安全措施。来源:https://gbhackers.com/hackers-compromised-ethereums/
漏洞预警
9. Ubuntu发布关键安全更新修复Ghostscript漏洞Canonical公司最近发布了一系列重要的Ubuntu安全更新,修复了多项Ghostscript漏洞。Ghostscript是用于解释PostScript和PDF文件的广泛使用工具,这些漏洞可能导致系统安全限制被绕过以及恶意代码执行,给系统完整性带来严重风险。这些漏洞包括CVE-2023-52722、CVE-2024-29510、CVE-2024-33869、CVE-2024-33870和CVE-2024-33871,分别影响Ubuntu 20.04 LTS、22.04 LTS和23.10版本。攻击者可能通过这些漏洞绕过安全措施或执行任意代码,从而未授权访问敏感文件或系统资源。Canonical迅速发布的安全更新强调了及时更新软件的重要性,以减轻这些漏洞带来的风险。建议使用Ghostscript进行文档渲染和打印的Ubuntu用户立即应用这些更新,通过执行$sudo apt update和$sudo apt install --only-upgrade ghostscript命令来保护系统免受潜在攻击。来源:https://thecyberexpress.com/ghostscript-vulnerabilities/10. Logsign Unified SecOps存在严重RCE漏洞Logsign Unified SecOps,一款基于Python构建的统一安全操作(Web服务器),修补了两个严重漏洞CVE-2024-5716和CVE-2024-5717,这些漏洞可能使攻击者完全控制系统。CVE-2024-5716是身份验证绕过缺陷,由于密码重置尝试缺乏限制,允许攻击者暴力破解管理员密码。CVE-2024-5717是认证后命令注入漏洞,允许经过身份验证的用户执行任意代码。攻击者可以组合这两个漏洞,通过重置管理员密码并利用新凭据登录,以root用户身份执行任意命令,实现对系统的完全控制。趋势科技零日计划(ZDI)指出,这些漏洞的组合可以远程、未经身份验证地执行代码。Logsign已在6.4.8版本中修复了这些漏洞,并强烈推荐用户更新到此版本,以防止潜在攻击。来源:https://cybersecuritynews.com/logsign-unified-secops-rce-vulnerabilities/
TTPs动向
12. ProxyLogon和ProxyShell:微软Exchange服务器遭黑客攻击黑客利用ProxyLogon和ProxyShell漏洞攻击微软Exchange服务器,这些服务器因包含敏感通信数据而成为网络犯罪分子的目标。最近,Hunt Research Team发现一个服务器可能利用这些漏洞访问并窃取多个地区的政府通信,包括阿富汗总统府。2021年披露的这些漏洞允许未经身份验证的攻击者通过伪造服务器请求执行命令并访问邮箱。一个DigitalOcean服务器上发现的敏感政府通信,包括阿富汗和老挝的文件,显示出复杂攻击者可能针对各地区政府部门。这些攻击利用类似Squirrelwaffle载荷的漏洞代码,并使用独特的证书和Acunetix网络漏洞扫描器。Hunt的开放目录功能对于增加此类实时威胁的可见性至关重要,强调了恶意行为者仍在利用旧有漏洞。来源:https://cybersecuritynews.com/hackers-proxylogon-proxyshell-microsoft-exchange-attacks/
其他动态
14. 亚马逊Prime Day临近,网络犯罪分子准备虚假域名随着2024年7月16-17日亚马逊Prime Day临近,网络犯罪分子积极准备虚假域名,试图利用消费者对这一天的大幅折扣和独家优惠的期待来进行诈骗。研究人员发现,仅在2024年6月,就注册了超过1230个与亚马逊相关的虚假域名,其中85%被标记为恶意或可疑。这些域名旨在窃取受害者的登录凭证、支付信息和个人数据。常见的攻击方式包括假冒亚马逊域名进行钓鱼活动、发送欺诈性电子邮件和恶意文件附件。例如,假域名如amazon-onboarding[.]com和amazonmxc[.]shop被用来引导用户提供敏感信息。网络犯罪分子还通过伪造的支付失败通知诱导用户访问钓鱼登录页面。为了在Prime Day期间保持安全,消费者应仔细检查URL,使用强密码,验证网站安全性,对请求过多个人信息的邮件保持警惕,并通过信用卡进行网上购物以获得更好的欺诈保护。亚马逊也在积极打击网络诈骗,并与多个组织合作以保护消费者。来源:https://thecyberexpress.com/cybercriminals-fake-domains-amazon-prime-day/
15. 印度政府警告假冒性犯罪指控的网络钓鱼诈骗印度政府发布严重警告,提醒公众注意近期传播的假冒电子邮件诈骗。诈骗者通过发送附有指控儿童色情、网络色情等性犯罪的信件,假冒德里警察局、中央经济情报局(CEIB)等高层官员的签名和印章,企图欺诈公众。这些信件引用了《POCSO法案》和《IT法案》的条款,要求收件人在24小时内回复以避免制裁。印度财政部敦促公众不要回应此类邮件,应向最近的警察局或网络警察局报告。据Zscaler的网络安全报告,印度在2023年是全球第三大网络钓鱼诈骗目标国,记录了约7910万次网络钓鱼尝试。联合国网络犯罪特别委员会呼吁全球重视网络钓鱼问题,并建议建立“24×7全球通讯渠道”以应对此类网络犯罪。印度政府提醒公众提高警惕,通过教育、自查和多因素认证等措施保护自己免受网络钓鱼攻击。来源:https://thecyberexpress.com/phishing-scam-india-recipients-sexual-offenses/
16. 2024年欧洲杯成网络攻击新目标,赛事网络安全风险上升随着2024年欧洲杯足球赛进入四分之一决赛阶段,围绕该赛事的网络犯罪活动增多,给球迷及其雇主带来风险。Cyberint的报告显示,已有超过1.5万个属于欧洲足球协会联盟(UEFA)客户的凭证在地下论坛曝光,另有2000个凭证在暗网出售。这些凭证的泄露不仅威胁个人隐私,也可能成为网络攻击者针对企业网络的跳板。网络犯罪分子已经超越了窃取凭证的范畴,开始对2024年欧洲杯进行更直接的网络攻击。疑似与俄罗斯有关的黑客对波兰对阵爱沙尼亚的小组赛进行了分布式拒绝服务(DDoS)攻击,导致网络直播服务中断。DDoS攻击对于直播体育赛事尤其有害,能够造成大规模的服务中断。随着2024年夏季奥运会的临近,预计攻击者的关注点将再次转移。Cyberint的Darja Feldman预计,奥运会可能会面临与欧洲杯类似的攻击类型,包括凭证收集、票务诈骗、各种骗局以及恶意软件的传播。来源:https://www.darkreading.com/cloud-security/euro-2024-becomes-latest-sporting-event-to-attract-cyberattacks
往期推荐
2024-07-01
2024-07-02
2024-07-03
2024-07-04
2024-07-05