每周安全动态精选（9.11-9.15）

本周精选

1、特拉华州州长签署个人数据隐私法

2、Adobe Acrobat Reader 代码执行漏洞

3、间谍组织 Redfly 入侵了亚洲的一个国家电网组织, 并在六个月内悄悄地保持了对被破坏网络的访问

4、香港数码港遭勒索攻击：400GB数据泄露，科技中心受打击

5、美国官方警报！国家航空机构遭惊人攻击，背后疑是伊朗黑客组织

政策法规动态

1、特拉华州州长签署个人数据隐私法

Tag：数据隐私

据特拉华州公共媒体报道，特拉华州个人数据隐私法案由特拉华州民主党州长约翰·卡尼签署，将于 2025 年 1 月 1 日生效。告知消费者和企业的外展期将于 2024 年 7 月 1 日之前开始。司法部欺诈和消费者保护司司长欧文·莱夫康 (Owen Lefkon) 表示，该法案“为消费者提供了选择”，并“将控制权重新交到消费者手中 ”。

https://iapp.org/news/a/delaware-governor-signs-personal-data-privacy-act

2、英国将修改数据保护法的“基本权利和自由”条款

Tag：数据保护

英国政府科学、创新和技术部发布了一项法定文书，修改了英国数据保护法中“基本权利和自由”的措辞。该文书更新了欧盟通用数据保护条例中保留的参考资料，以反映英国法律中的认可。该变更将于 2024 年 1 月生效。

https://iapp.org/news/a/uk-government-looks-to-retain-gdprs-fundamental-rights-and-freedoms-provisions-in-existing-law

3、美国参议员预计将出台“全面”人工智能框架立法

Tag：人工智能

据《纽约时报》报道，美国参议员理查德·布卢门撒尔（康涅狄格州民主党人）和乔什·霍利（密苏里州共和党人）计划引入“全面的框架来监管人工智能”。立法者计划在即将于 9 月 12 日举行的听证会上公布一系列法案。参议员提案的条款预计将包括人工智能许可、审计以及建立独立联邦机构来监管该技术的要求。

https://iapp.org/news/a/us-senators-expected-to-introduce-legislation-for-sweeping-ai-framework

4、美国参议员提出《小企业网络弹性法案》

Tag：网络安全

美国爱达荷州共和党参议员吉姆·里什提出了一项法案，旨在改善小型企业对网络安全工具和资源的获取。《小企业网络弹性法案》将在小企业管理局设立中央小企业网络安全部门，增强小企业的网络安全资源和培训，并改善联邦机构之间的网络安全信息共享。

https://iapp.org/news/a/u-s-senator-introduces-small-business-cyber-resiliency-act/

技术标准规范

1、以色列 PPA 发布有关董事会隐私义务的指南

Tag：隐私保护

以色列隐私保护局就董事会在履行隐私保护义务方面的作用发布了公众意见草案指南。PPA 表示，该指南“适用于以个人信息处理为其活动核心的公司，以及其活动会增加隐私风险的公司”。公众意见征询截止日期为 10 月 22 日。

https://iapp.org/news/a/israels-ppa-publishes-draft-guidance-on-board-privacy-obligations

2、美国卫生机构更新安全风险评估标准

Tag：安全风险

美国国家卫生信息技术协调员办公室和卫生与公众服务部民权办公室更新了其健康保险流通和责任法案合规性安全风险评估工具。该工具专为中小型提供商设计，旨在“帮助医疗保健提供商按照 HIPAA 安全规则的要求进行安全风险评估”。

https://iapp.org/news/a/us-health-agencies-update-security-risk-assessment-tool/

重点漏洞情报

1、Adobe Acrobat Reader 代码执行漏洞

Tag：CVE-2023-26369

漏洞是由于Adobe Acrobat Reader存在越界写入漏洞，攻击者通过构造恶意文档并诱使受害者打开此恶意文档进行代码执行攻击，最终可在受害者系统执行任意代码。

https://helpx.adobe.com/security/products/acrobat/apsb23-34.html

2、Apache Tomcat Connectors mod_jk信息泄露漏洞

Tag：CVE-2023-41081

Apache Tomcat 连接器 mod_jk版本1.2.0 - 1.2.48中，在某些情况下，如当配置包括 JkOptions+ForwardDirectories，但该配置没有为所有可能的代理请求提供显式挂载时，mod_jk将使用隐式映射并将请求映射到第一个定义的Worker（工作进程/线程）。这种隐式映射可能会导致意外暴露状态Worker或绕过 httpd 中配置的安全约束。

https://lists.apache.org/thread/rd1r26w7271jyqgzr4492tooyt583d8b、https://tomcat.apache.org/security-jk.html

3、Google Chrome WebP堆缓冲区溢出漏洞

Tag：CVE-2023-4863

Chrome WebP中的一个堆缓冲区溢出漏洞（CVE-2023-4863），成功利用该漏洞可能导致崩溃或任意代码执行。目前该漏洞的细节暂未公开披露，但已发现被利用。

https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html

https://www.bleepingcomputer.com/news/google/google-fixes-another-chrome-zero-day-bug-exploited-in-attacks/

4、Cisco ASA & FTD VPN未授权访问漏洞

Tag：CVE-2023-20269

该漏洞是由于远程访问VPN功能与HTTPS管理和站点到站点VPN功能之间的身份验证、授权和计费（AAA）分离不当造成的，未经身份验证的远程威胁者可利用该漏洞进行暴力破解攻击，以识别有效的用户名和密码组合（有效凭据），经过身份验证的远程威胁者可与未经授权的用户建立无客户端 SSL VPN 会话。

https://www.bleepingcomputer.com/news/security/cisco-warns-of-vpn-zero-day-exploited-by-ransomware-gangs/

https://www.rapid7.com/blog/post/2023/08/29/under-siege-rapid7-observed-exploitation-of-cisco-asa-ssl-vpns/

恶意代码情报

1、间谍组织 Redfly 入侵了亚洲的一个国家电网组织, 并在六个月内悄悄地保持了对被破坏网络的访问

Tag：Redfly、亚洲国家、国家电网

间谍活动者继续对关键的国家基础设施 (CNI) 目标发起攻击，这一趋势已成为世界各国政府和 CNI 组织关注的焦点。赛门铁克的威胁追踪团队发现了证据，证明赛门铁克称之为 Redfly 的威胁组织在今年早些时候使用 ShadowPad 木马危害了一个亚洲国家的国家电网长达六个月。攻击者设法窃取凭据并危害组织网络上的多台计算机。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/critical-infrastructure-attacks

2、一个名为 "Sccatered Spider" 的威胁组织是 9 月 10 日米高梅度假村网络攻击的幕后黑手

Tag：分散蜘蛛、网络黑客、勒索软件攻击

网络黑客组织“分散蜘蛛”近日发起了一系列针对赌场的勒索软件的攻击，他们最近又攻击了凯撒娱乐公司并获得了数千万美元的赎金。

https://www.darkreading.com/attacks-breaches/-scattered-spider-mgm-cyberattack-casinos

3、LokiBot – 网络钓鱼恶意软件基线

Tag：LokiBot、恶意软件、信息窃取者、遥控访问木马、键盘记录器

LokiBot恶意软件的基本情况，包括其历史、功能和传播方式。LokiBot最初是一种信息窃取者，但随着时间的推移，它已经发展出远程访问木马（RAT）和键盘记录器等更多功能。该恶意软件可以从多个应用程序中窃取机密，如电子邮件客户端、FTP客户端、密码管理器等。LokiBot在网络钓鱼邮件中传播，并伴随着CVE- 2017-11882 等漏洞的利用。

https://cofense2022stg.wpengine.com/blog/lokibot-phishing-malware-baseline/

4、免费下载管理器网站多年来将 Linux 用户重定向到恶意软件

Tag：免费下载管理器、后门

卡巴斯基的研究人员分析了一个伪装成免费下载管理器软件的Linux后门，这个后门在至少三年的时间里一直存在。

https://securelist.com/backdoored-free-download-manager-linux-malware/110465/

数据安全情报

1、香港数码港遭勒索攻击：400GB数据泄露，科技中心受打击

Tag：勒索软件、数据泄露

9月8日消息，香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒索软件组织Trigona声称，已从数码港窃取超过400GB数据，要求支付30万美元（约合港币235万元）才能归还。

https://www.secrss.com/articles/58629

2、斯里兰卡国家政务云被黑，近 4 个月数据丢失

Tag：数据泄露

9月12日有消息称，斯里兰卡政府云系统“兰卡政府云”（LGC）遭受一次大规模勒索软件攻击。该国已经启动调查程序。系统和备份在遭受攻击后12小时内得以恢复。然而，由于系统在5月17日至8月26日之间的数据没有可用备份，所有受影响的账户在这段时间内的数据都已永久丢失。

https://hackernews.cc/archives/45651

3、加拿大政府泄露公民个人信息，法院批准启动集体诉讼

Tag：网络攻击、数据泄露

加拿大税务局在2020年遭受了一起网络攻击事件，导致数千个用户账户密码被盗，部分用户个人信息和财产受到侵害，现在用户提起了集体诉讼。

https://hackernews.cc/archives/45633

4、承包商数据泄露影响了 8,000 名大曼彻斯特警察信息

Tag：数控泄露、网络攻击

据英国媒体报道，大曼彻斯特警方遭受大规模网络攻击，导致数千名警员的授权卡详细信息被盗。据《曼彻斯特晚报》报道，泄露的数据包括警察的姓名和照片。值得注意的是，GMP 雇用了 8,000 多名警察。

https://www.hackread.com/contractor-data-breach-greater-manchester-police/

热点安全事件

1、美国官方警报！国家航空机构遭惊人攻击，背后疑是伊朗黑客组织

Tag：黑客组织、伊朗、网络攻击

美国CISA、FBI和网络司令部发布的一份联合报告显示，国家支持的黑客组织利用Fortinet FortiOS SSL-VPN和Zoho ManageEngine ServiceDesk Plus关键漏洞攻击了美国一家航空机构。此次网络攻击事件背后的黑客组织尚未被命名，虽然联合通报没有将攻击者与特定国家联系起来，但美国网络司令部的新闻稿暗示攻击与伊朗民族国家工作者有关。

https://hackernews.cc/archives/45618

2、美国金融机构遭遇史上最大规模 DDoS 攻击

Tag：网络攻击、美国

Akamai近日透露，已经挫败了针对一家美国银行的大规模DDoS（分布式拒绝服务）攻击，攻击峰值高达每秒5510万个数据包。这也是Akamai挫败的第三大规模的DDoS攻击。

https://hackernews.cc/archives/45681

3、米高梅遭遇网络安全问题，导致拉斯维加斯赌场老虎机和 ATM 关闭

Tag：网络攻击

根据米高梅度假村（MGM Resorts）在美国东部时间中午前在 X（原 Twitter）上发布的一份声明，由于”网络安全问题”，这家著名的酒店和赌场公司被迫关闭了许多系统。拉斯维加斯 ABC 13 News 证实，FBI 目前正在进行调查，并从周日起一直与米高梅保持联系。该媒体报道称，酒店客人无法使用自动取款机、购买食物或使用数字房卡。

https://hackernews.cc/archives/45659

4、黑客泄露数据后空客展开调查

Tag：黑客论坛、网络入侵

网络犯罪情报公司 Hudson Rock 周二报道称，一名在线绰号为“USDoD”的黑客本月早些时候在一个网络犯罪论坛上声称，他们入侵了空中客车公司，空客公司为此展开调查。

https://www.securityweek.com/airbus-launches-investigation-after-hacker-leaks-data/

热点安全技术

1、重新审视用户定义的反射加载器, 第 2 部分: 如何将自己的自定义混淆和屏蔽应用到具有 UDRL 的信标

Tag：UDRL-VS 加载器、自定义混淆、屏蔽技术、Cobalt Strike、反射加载器、静态检测

介绍了如何在原始 UDRL-VS 加载器的基础上应用自定义混淆和屏蔽技术。文章展示了 Cobalt Strike 在 UDRL 开发中的灵活性，并提供了代码示例。

https://www.cobaltstrike.com/blog/revisiting-the-udrl-part-2-obfuscation-masking

2、用调用栈揭开帷幕: 如何将规则和事件置于上下文中, 以及如何利用调用栈来更好地了解您在环境中遇到的任何警报

Tag：调用堆栈、事件解释、进程、文件、库

介绍了 Elastic Security Labs 如何使用调用堆栈（call stacks）来提供更多上下文信息，以帮助用户更好地理解环境中的警报。调用堆栈可以同时改善错误报告、泄漏报告和警报的解释能力。

https://www.elastic.co/security-labs/peeling-back-the-curtain-with-call-stacks

3、WiKI-Eve: 利用了最新 Wi-Fi 硬件提供的一项新功能 BFI (波束成形反馈信息), 无需黑客攻击即可窃听智能手机上的按键操作

Tag：Wi-Fi、按键窃听、密码窃取、BFI、对抗性学习

一种无需黑客攻击即可窃取密码的方法，称为 WiKI-Eve。WiKI-Eve 利用最新的 Wi-Fi 硬件功能 BFI（波束成形反馈信息）来窃听智能手机上的按键操作。通过对抗性学习方案，WiKI-Eve 可以推理出按键的内容，实现对密码的窃取。

https://arxiv.org/abs/2309.03492

4、为什么任意文件删除漏洞很重要

Tag：任意文件删除漏洞、本地权限提升攻击、TOCTOU竞争条件、符号链接

Windows任意文件删除漏洞的重要性，以及如何利用该漏洞进行本地权限提升攻击。文章详细介绍了基于文件的本地权限提升攻击的原理和过程，并提供了相应的防御建议。

https://www.mandiant.com/resources/blog/arbitrary-file-deletion-vulnerabilities

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。