每周安全动态精选（6.5-6.9）

本周精选

1、EDPB发布GDPR争议解决指南

2、中国发布关于提交跨境个人信息转移标准合同的准则

3、Nacos Hessian反序列化漏洞导致远程代码执行

4、恶意软件针对安全专家和开发人员利用Discord进行指令控制

5、在过去的六个月里，超过60,000个Android应用程序被秘密安装了广告软件

政策法规动态

1、EDPB发布GDPR争议解决指南

Tag：欧洲、执法、隐私法

欧洲数据保护委员会根据《欧盟一般数据保护条例》第65（1）（a）条发布了关于董事会成员之间争议解决程序的指导方针。董事会解释了指导方针旨在“澄清GDPR和议事规则相关条款的适用”，同时明确EDPB在具有约束力的最终决定中的权限。该指南还概述了“适用的程序保障和补救措施”。

https://iapp.org/news/a/edpb-issues-gdpr-dispute-resolution-guidelines/

2、EFF和盟友致函参议院司法机构，反对要求消息平台向缉毒局报告用户的法案

Tag：EFF、法案

EFF、美国公民自由联盟、全国刑事辩护律师协会加入了一个联盟，该联盟向参议院司法委员会发送了两封信，反对S. 1080，即《库珀·戴维斯法案》。这些信指出了该法案的隐私、言论和刑事司法问题。

https://www.eff.org/deeplinks/2023/06/eff-and-allies-send-letters-senate-judiciary-opposing-bill-require-messaging

3、对健康数据隐私采取基于风险的方法

Tag：卫生保健、美国、隐私法

在2023年期间，美国对健康数据隐私事项的监管和执行有所增加。BBB国家项目隐私倡议主任Divya Sridhar没有对监管和执法做出反应，而是认为，可能受影响的公司暂停并考虑采取更基于风险的方法可能是明智的。

https://iapp.org/news/a/taking-a-risk-based-approach-to-health-data-privacy/

4、德桑蒂斯签署了佛罗里达州的数字权利法案

Tag：美国、隐私法

佛罗里达州共和党的罗恩·德桑蒂斯将佛罗里达州数字权利法案SB 262签署为法律。目标立法对受保大型科技公司提出了全面的隐私要求，同时也要求为更广泛的受保实体提供儿童隐私保护。该法律于2024年7月1日生效。编者按：Stearns Weaver Miller的Douglas Kilby，CIPP/US，打破了数字权利法案。

https://iapp.org/news/a/desantis-signs-floridas-digital-bill-of-rights/

技术标准规范

1、中国发布关于提交跨境个人信息转移标准合同的准则

Tag：中国、信息转移标准

2023年5月30日，中国网络空间管理局（“CAC”）发布了《个人信息跨境传输标准合同申请准则》（“SC”）。2023年6月1日，SC成为将个人数据转移到中国境外的有效机制。当使用SC作为转移机制时，必须向CAC提交，新的准则为此提供了指导。

https://www.huntonprivacyblog.com/2023/06/08/china-issues-guidelines-regarding-filing-standard-contract-for-cross-border-transfer-of-personal-information/

2、PCI DSS 4.0要求-在传输过程中保护存储的帐户数据并保护持卡人数据

Tag：数据安全标准、账户数据

在新的支付卡行业数据安全标准（PCI DSS）中，要求3和4增加了如何保护数据的问题的特殊性。就PCI DSS而言，重点是持卡人数据。

https://www.tripwire.com/state-of-security/pci-dss-4-protect-stored-account-data-and-protect-cardholder-data

重点漏洞情报

1、Nacos Hessian反序列化漏洞导致远程代码执行

Tag：Naco、反序列化漏洞、远程代码执行

Nacos 1.x和2.x版本中存在一个Hessian反序列化漏洞，该漏洞导致未经授权的远程代码执行。攻击者可以通过利用未设置反序列化白名单的Hessian协议传输数据的7848端口，构造恶意请求包gadget来触发漏洞。主要受影响的是7848端口的Jraft服务。该漏洞影响Nacos在集群模式下的所有版本，但单机模式下的Nacos 1.x版本通常不受此漏洞影响。Nacos团队已经发布了补丁来修复这个漏洞。请及时升级到最新版本以确保安全。注意，这个漏洞只能利用一次，第二次攻击将不再有效。具体版本号如下：1.4.0 <= Nacos < 1.4.6、2.0.0 <= Nacos < 2.2.3

https://y4er.com/posts/nacos-hessian-rce/#back-to-top

2、MOVEit Transfer遭0day漏洞攻击

Tag：MOVEit Transfer、0day、SQL注入、CVE-2023-34362、文件传输、漏洞利用

Progress Software旗下的MOVEit Transfer文件传输应用程序发现严重的零日漏洞，已在野外广泛被利用。漏洞为SQL注入漏洞（CVE-2023-34362），可导致权限提升和未授权访问。全球约有2,500个MOVEit Transfer实例暴露在公共互联网上，其中大部分位于美国。成功利用该漏洞的攻击将在“wwwroot”目录中部署一个名为“human2.aspx”的WebShell文件，以脚本方式创建一个随机命名的文件，用于窃取本地MOVEit服务存储的数据。

https://thehackernews.com/2023/06/moveit-transfer-under-attack-zero-day.html

3、MLflow再次出现漏洞，可能导致服务器被控制

Tag：人工智能安全、MLflow漏洞、系统接管、安全补丁

安全公司Protect AI最近发现了流行的机器学习工具MLflow中的一个文件包含（LFI/RFI）漏洞，可导致攻击者远程访问服务器上SSH密钥、云凭据以及存储在服务器或共享SSH身份验证密钥的相邻服务器上的所有ML模型和数据。之前，Protect AI的研究人员已经发现了MLflow中的一个系统接管漏洞，并在几天内得到修复。然而，最近的报告发现了新的漏洞，并提供了两个绕过安全补丁的方法。

https://protectai.com/blog/hacking-ai-system-takeover-in-mlflow-strikes-again-and-again

4、Rancher存在权限提升漏洞，攻击者可通过操作凭据实现权限提升

Tag：Rancher漏洞、权限提升、Kubernetes安全

安全研究人员最近发现了Rancher中的一个严重漏洞，该漏洞使得标准用户或以上权限的用户能够将其权限提升为管理员级别，并获取本地集群中的管理员权限。

该漏洞允许标准用户利用其现有权限操作本地集群中的Kubernetes凭据，导致凭据被删除，但对凭据的读取级别权限保持不变。当攻击者在操作后使用特殊构造的命令时，可能导致攻击者获得本地集群中服务账号的令牌。

https://github.com/rancher/rancher/security/advisories/GHSA-p976-h52c-26p6

恶意代码情报

1、恶意软件针对安全专家和开发人员利用Discord进行指令控制

Tag：恶意软件、Discord、指令控制

最近一种新型恶意软件利用Discord平台进行命令和控制（C2）。这种恶意软件以非标准的进程执行方式隐藏，主要针对恶意软件开发人员和安全相关人员。经过对恶意软件的深入分析，获得了对攻击者在Discord频道中的活动的访问权限。他们发现攻击者通过Discord频道发送命令和模块，对被感染系统进行远程控制，并窃取目标系统中的代码。进一步调查显示，该恶意软件不仅仅依赖于Discord-C2，还使用了Remcos远程访问工具，以增强其攻击能力。

https://www.r-tec.net/r-tec-blog-when-hackers-hack-the-hackers.html

2、针对美洲地区的僵尸网络“Horabot”

Tag：Horabot、银行木马、垃圾邮件

近期发现针对美洲地区用户的“Horabot”网络攻击行动。攻击者通过恶意邮件和银行木马，利用受害者的Outlook邮箱进行攻击。该木马能够窃取受害者在线账户的登录信息和操作记录，并从受害者的银行应用中窃取安全代码。同时，攻击者还利用垃圾邮件工具侵入Yahoo、Gmail和Outlook邮箱，窃取其中联系人的信息，并发送垃圾邮件。目前发现攻击主要集中在墨西哥，也有少量受感染者来自乌拉圭、巴西、委内瑞拉、阿根廷、危地马拉和巴拿马。

https://blog.talosintelligence.com/new-horabot-targets-americas/

3、揭示银行木马Qakbot的新型传播方式

Tag：Qakbot、银行木马

黑莲花实验室的最新报告揭示了Qakbot银行木马的最新动态。Qakbot通过电子邮件劫持和社会工程学等手段传播，并采取了隐藏基础架构的技术。报告指出，Qakbot采用了新的恶意软件传播机制和适应性的指挥与控制基础设施，以应对不断增强的安全实践。这表明Qakbot作为一种顽强威胁持续演进，采用了更隐蔽的方式。该报告提供了对Qakbot活动的关键洞察，为网络安全提供了重要参考。

https://blog.lumen.com/qakbot-retool-reinfect-recycle/

4、PowerDrop：针对美国航空国防行业的PowerShell脚本攻击

Tag：航空国防、PowerShell脚本、APT攻击、PowerDrop

网络安全公司Adlumin Threat Research团队发现了一种名为PowerDrop的新型恶意PowerShell脚本，针对美国航空国防行业。这种新型恶意软件介于“基本的现成威胁”和高级持续性威胁组织（APT）使用的策略之间，采用了欺骗、编码和加密等先进技术来逃避检测。Adlumin尚未确定恶意软件背后的威胁行为者，但由于乌克兰战争持续进行，导致导弹计划的研究与投资增加，因此怀疑是国家级侵略者所为。

https://adlumin.com/post/powerdrop-a-new-insidious-powershell-script-for-command-and-control-attacks-targets-u-s-aerospace-defense-industry/

数据安全情报

1、德国招聘人员Pflegia泄露了敏感的求职者信息

Tag：德国、招聘平台、敏感信息

Pflegia是一个德国招聘平台，为医院、养老院、门诊服务和重症监护聘请医疗保健专业人员。暴露的AWS存储桶包含数十万个包含敏感信息的文件。

https://securityaffairs.com/147227/security/pflegia-leaks-sensitive-job-seeker-info.html

2、英国航空公司、BBC和Boots受到Zellis数据泄露的影响

Tag：数据泄露、BBC

由于对薪资提供商Zellis的网络攻击，BBC和英国航空公司员工的个人数据被泄露和曝光。据《镜报》报道：“据了解，总部位于英国的薪资公司Zellis受到了针对文件传输公司MOVEit的网络安全攻击的影响，英国航空公司也是受影响的公司之一。”

https://securityaffairs.com/147119/data-breach/zellis-data-breach-bbc-ba.html

3、多达10万名新斯科舍省医护人员在MOVEit漏洞中被盗

Tag：MOVEit漏洞、数据被盗

英国的Boots连锁药店受到影响，但加拿大的医护人员也受到影响。itbusiness.ca报道：该省周二表示，由于Progress Software的MOVEit文件传输应用程序中的漏洞，新斯科舍省医疗保健部门至少10万名员工的数据被盗。

https://www.databreaches.net/data-on-as-many-as-100000-nova-scotia-healthcare-staff-stolen-in-moveit-breach/

4、本田电子商务平台中的漏洞暴露了客户、经销商数据

Tag：本田、数据泄露

一名研究人员披露了在用于设备销售的本田电子商务平台中发现的严重漏洞的详细信息。利用这些漏洞可能会让攻击者获得对客户和经销商信息的访问权限。

https://www.securityweek.com/vulnerabilities-in-honda-ecommerce-platform-exposed-customer-dealer-data/

热点安全事件

1、在过去的六个月里，超过60,000个Android应用程序被秘密安装了广告软件

Tag：Android应用程序、广告软件

在过去的六个月里，超过60,000个伪装成合法应用程序的Android应用程序一直在移动设备上悄悄地安装广告软件，同时没有被发现。

https://www.bleepingcomputer.com/news/security/over-60-000-android-apps-secretly-installed-adware-for-past-six-months/

2、Vivaldi正在欺骗Edge浏览器，以绕过Bing聊天限制

Tag：欺骗、Bing

Vivaldi浏览器现在从今天开始在Android设备上欺骗Microsoft Edge，以绕过微软在Bing Chat中的浏览器限制。

https://www.bleepingcomputer.com/news/microsoft/vivaldi-is-spoofing-edge-browser-to-bypass-bing-chat-restrictions/

3、在声称DDoS攻击后，微软OneDrive在全球范围内停机

Tag：微软OneDrive、DDOS

微软正在调查一项持续的中断事件，该中断阻止OneDrive客户在全球范围内访问云文件托管服务，就像一个被称为“匿名苏丹”的威胁行为者声称正在DDoS服务一样。

https://www.bleepingcomputer.com/news/microsoft/microsoft-onedrive-down-worldwide-following-claims-of-ddos-attacks/

4、人们通过抓取暴露的API密钥来盗用GPT-4

Tag：GPT-4、API密钥

根据聊天日志、屏幕截图和采访，r/ChatGPT subreddit的Discord上的人正在为从其他人的代码中窃取的OpenAI API令牌做广告。然后，使用被盗API密钥的人可以实现GPT-4，同时向被盗的OpenAI帐户收取使用费。

https://www.vice.com/en/article/93kkky/people-pirating-gpt4-scraping-openai-api-keys

热点安全技术

1、自动识别恶意软件执行中的函数调用

Tag：PANDA、动态分析、函数识别

在恶意软件分析中，研究员通常想知道样本在执行过程中调用了哪些函数。为了解决这个问题，可以使用调试器手动分析样本，也可以使用动态分析框架（如PANDA）自动化记录分析过程。PANDA是一个逆向工程动态分析框架，通过模拟整个系统的执行过程（使用QEMU），记录每一步执行的指令和内存变化。研究员可以重放这些记录，以与原始执行完全相同的方式重新运行和分析可执行文件。

https://blog.nietaanraken.nl/posts/pandare-flirt/

2、使用Ghidra解密恶意Shellcode

Tag：Ghidra、Shellcode、恶意软件分析

Shellcode是一种恶意软件常用的编码方式，通过在内存中解码和执行恶意载荷，以避免被检测并增加分析的难度。通过使用Ghidra模拟器，研究人员成功还原了一个使用XOR编码的Metasploit TCP反向Shell，并展示了使用Ghidra模拟器对其进行分析的方法。

https://medium.com/@cy1337/unpacking-shellcode-with-ghidra-emulator-ce9e6b03f083

3、自动构建AD攻击向量工具概述

Tag：Active Directory、攻击向量、自动化工具

本文概述了自动化构建Active Directory（AD）攻击向量的工具。通过使用工具如BloodHound、Jackdaw、Adalanche等，安全专家可以自动发现AD配置中的漏洞，并构建攻击向量。这些工具通过收集和分析AD信息，提供可视化和交互式结果，帮助评估AD环境的安全性。文章还介绍了改进BloodHound的方法，如自定义查询和添加新实体。这些工具的使用能够提升AD安全评估和防护工作的效率。

https://ardent101.github.io/posts/bh_improvement/

4、突破Windows Defender的10种方法

Tag：Windows Defender、绕过技术、恶意软件

文章作者在测试中使用了一套包括AWS EC2、Ubuntu Linux、Windows Server 2019、Visual Studio 2022 Community和Kali Linux等工具和平台，详细介绍了如何绕过Windows系统中的Windows Defender，以执行任意代码。

https://www.fo-sec.com/articles/10-defender-bypass-methods

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。