每周安全动态精选（11.6-11.10）

本周精选

1、美国立法者提出两党《外国情报监视法》第702条改革

2、Confluence严重漏洞，攻击者可远程执行任意系统命令

3、利用 GitHub 作为 C2 的新趋势

4、斯坦福大学遭勒索软件攻击，攻击者声称窃取了 430GB 数据

5、SafeBreach 实验室开发基于微软 Azure 的加密货币挖矿程序

政策法规动态

1、美国立法者提出两党《外国情报监视法》第702条改革

Tag：情报监视

随着重新授权《外国情报监视法》第 702 条的最后期限临近，美国参议院和众议院议员组成的两党小组提出了改革现行法律的立法。《政府监视改革法案》将对执法和情报机构提出搜查令要求，以审查美国公民的电子通信数据，以及其他几项数据隐私和监督条款。

https://iapp.org/news/a/us-lawmakers-introduce-bi-partisan-fisa-section-702-reforms

2、欧盟机构致力于最终达成人工智能法案妥协

Tag：人工智能

Euractiv 报道称，欧盟机构正在准备提案，试图在 12 月 6 日可能的最终三场谈判期间敲定拟议的《人工智能法案》。欧洲议会成员分发了一份折中文本，以禁止的做法和缩小范围的方式取代之前提出的全面禁止生物识别技术的提案。与此同时，欧盟理事会西班牙主席国提出了与基础模型使用和开发相关的义务草案。

https://iapp.org/news/a/eu-institutions-work-toward-final-ai-act-compromises

3、泰国 PDPC 起草数据传输法规

Tag：数据传输

泰国个人数据保护委员会根据《个人数据保护法》第28条和第29条发布了跨境数据传输法规草案。该草案规定将数据传输到具有适当数据保护标准的国家，PDPC 可以根据具体情况做出决定。该法规草案将于 11 月 10 日之前公开征求意见。

https://iapp.org/news/a/thailand-pdpc-drafts-regulations-on-international-data-transfers

4、白宫 OMB 向联邦机构发布人工智能备忘录草案

Tag：人工智能

白宫预算管理办公室向行政机构负责人发布了一份备忘录草案，要求在其部门内使用人工智能。根据美国总统乔·拜登 10 月 30 日的行政命令，每个机构必须在 60 天内指定一名首席人工智能官。指定的首席信息官将负责“推进负责任的人工智能创新”和“管理人工智能使用带来的风险”。该备忘录草案目前正在通过 OMB 网站征求公众意见。

https://iapp.org/news/a/white-house-omb-issues-ai-memorandum-to-federal-agency-heads

技术标准规范

1、放弃美军标准！美国土安全部制定新的供应商网络安全规则

Tag：网络安全

美国国土安全部发布通知，公开新的“网络安全准备度评估因素”的详细信息。美国国土安全部计划采用自己的方法来评估承包商的网络安全，不再采用美国国防部的网络安全成熟度模型认证（CMMC）计划。

https://hackernews.cc/archives/46833

2、密码学家开发私人搜索数据库的方法

Tag：密码学

据《Quanta》杂志报道，密码学家发现了一种从公共数据库私下提取信息的策略。研究人员扩展了私人信息检索的理念，以在不被发现的情况下搜索和提取信息。该策略的实施规模较小，但随着进一步发展，该组织希望它能够带来完全私密的互联网搜索。

https://iapp.org/news/a/cryptographers-develop-new-method-for-privately-searching-databases

3、人工智能安全协议获得全球支持

Tag：人工智能

作为英国人工智能安全峰会的一部分，欧盟以及包括中国、英国和美国在内的 28 个国家同意《人工智能安全布莱切利宣言》。该协议强调“迫切需要通过新的全球联合努力来了解和集体管理潜在风险，以确保以安全、负责任的方式开发和部署人工智能，造福全球社会。”

https://iapp.org/news/a/global-powers-join-global-ai-safety-agreement-at-uk-summit

4、列支敦士登 DPA 提供人工智能聊天机器人指南

Tag：人工智能

列支敦士登的数据保护机构 Datenschutzstelle 发布了有关人工智能驱动的聊天机器人的数据保护实践指南。该指南概述了聊天机器人及其使用，同时讨论了欧盟通用数据保护条例下的数据处理的法律依据、透明度义务以及聊天机器人现有的法律不确定性。

https://iapp.org/news/a/liechtenstein-dpa-offers-ai-chatbot-guidance/

重点漏洞情报

1、Confluence严重漏洞，攻击者可远程执行任意系统命令

Tag：Atlassian Confluence Server、CVE-2023-22518

Atlassian Confluence Server 存在一个严重的漏洞 (CVE-2023-22518)，攻击者可以利用该漏洞远程执行任意系统命令。该漏洞可能允许具有网络访问权限的未经身份验证的攻击者恢复 Confluence 实例的数据库，并最终执行任意系统命令。

https://blog.projectdiscovery.io/atlassian-confluence-auth-bypass/

2、SysAid On-Prem 软件 CVE-2023-47246 漏洞

Tag：SysAid、漏洞、安全通告、威胁情报

SysAid 的 CTO 与 Profero Incident Response 团队合作进行调查，发现了 SysAid On-Prem 软件的一个零日漏洞。攻击者利用该漏洞上传了一个恶意的 WAR 文件，并成功控制了受影响系统。随后，攻击者使用 PowerShell 脚本执行恶意软件，并清除了攻击行为的证据。调查显示，攻击者部署了 GraceWire 恶意软件。

https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification

3、Apache UIMA 存在潜在的不受信任代码执行漏洞

Tag：Apache UIMA、代码执行漏洞、数据反序列化

Apache UIMA Java SDK 存在一处数据反序列化漏洞，可能导致潜在的不受信任代码执行。该漏洞影响了 Apache UIMA Java SDK 3.5.0 之前的版本。攻击者可以通过特制的序列化 Java 对象来利用该漏洞，尤其是在解析 CAS 数据时。受影响的功能包括 CAS Editor Eclipse 插件、Vinci Analysis Engine 服务的 CAS 反序列化以及 CPE 模块的检查点功能等。

https://lists.apache.org/thread/lw30f4qlq3mhkhpljj16qw4fot3rg7v4

4、Netgear RAX30 路由器的漏洞

Tag：漏洞攻击、Pwn2Own、Netgear、路由器安全

本文是 Pwn2Own Toronto 2022 竞赛中的一部分，揭示了参赛团队在 Netgear RAX30 路由器上发现的漏洞。竞赛期间，团队发现了两个可在局域网内利用的漏洞，并对路由器的固件格式进行了逆向工程。通过报告这些漏洞并遵循漏洞披露流程，团队与 Netgear 合作，最终于 173 天后公开了这些漏洞的细节。

https://blog.quarkslab.com/our-pwn2own-journey-against-time-and-randomness-part-2.html

恶意代码情报

1、利用 GitHub 作为 C2 的新趋势

Tag：GitHub、APT 组织、C2 通道、恶意软件

在网络安全领域，高级持续性威胁（APT）组织不断发展和适应，通常采用创新技术进行恶意活动。其中一种趋势是使用公开可访问的服务（如 GitHub）作为指挥和控制（C2）通道。

https://itnext.io/windows-malware-in-c-using-github-as-c2-7ae95dfe37bd

2、SideCopy 的多平台攻击：利用 WinRAR 零日漏洞和 Ares RAT

Tag：SideCopy、APT 攻击、WinRAR 漏洞、Ares RAT

SEQRITE 实验室的 APT 团队最近发现了 APT 组织 SideCopy 的多次攻击活动，主要针对印度政府和国防实体。该组织利用最近的 WinRAR 漏洞 CVE-2023-38831 来部署 AllaKore RAT、DRat 和其他恶意软件。SideCopy 重复使用被入侵的域名，这些域名指向同一 IP 地址，显示了其在攻击中的灵活性。

https://www.seqrite.com/blog/sidecopys-multi-platform-onslaught-leveraging-winrar-zero-day-and-linux-variant-of-ares-rat/

3、开发者遭遇恶意软件伪装的 Python 混淆包

Tag：Python 安全、恶意软件、开发者保护、软件包安全、代码混淆

2023 年以来，攻击者以伪装成合法混淆工具的形式分发恶意 Python 软件包。这些软件包在安装时会触发恶意载荷。其中一个被标记为 “BlazeStealer” 的恶意软件包会从外部来源检索并执行附加的恶意脚本，使得攻击者能够通过 Discord 机器人完全控制受害者的计算机。

https://checkmarx.com/blog/python-obfuscation-traps/

4、蓝色朝鲜再次发起新的 macOS 恶意软件攻击

Tag：APT 组织、蓝色朝鲜、恶意软件、macOS

据 Jamf Threat Labs 的研究人员发现，蓝色朝鲜 APT 组织近期发起了一次新的恶意软件攻击，该恶意软件专门针对 macOS 系统。这次攻击与他们之前的 RustBucket 攻击有相似之处。蓝色朝鲜 APT 组织通常以盈利为目的，经常攻击加密货币交易所、风险投资公司和银行等目标。

https://www.jamf.com/blog/bluenoroff-strikes-again-with-new-macos-malware/

数据安全情报

1、斯坦福大学遭勒索软件攻击，攻击者声称窃取了 430GB 数据

Tag：勒索软件、数据泄露

前不久，Akira勒索软件团伙声称他们攻击了斯坦福大学并窃取了430GB的数据。Akira调侃，斯坦福大学之前“以其企业家精神而闻名”，但眼下很快就要因其430 GB内部数据泄露而闻名了。Akira声称拥有斯坦福大学的私人信息和机密文件，并威胁称如果斯坦福大学不支付一笔未指明的赎金，将会在网上泄露这些信息。

https://hackernews.cc/archives/46780

2、新加坡滨海湾金沙集团 66.5 万客户数据遭窃取

Tag：数据窃取

新加坡滨海湾金沙集团表示，66.5万名客户的数据在网络攻击中被盗。该公司正在与一家网络安全公司合作解决这个问题，并表示被盗的数据包括姓名、电子邮件地址、电话号码、居住国、会员号码等。

https://hackernews.cc/archives/46789

3、现役美军信息 1 元/条可买！美国数据交易产业失控引发国家安全漏洞

Tag：军人信息、数据泄露

有消息称杜克大学周一发布的一项研究显示，现役美军的个人信息十分廉价、极易购买，并且还被售卖美国人数据的数据经纪人们疯狂地打广告宣传。研究人员表示，他们购买了各种数据，包括姓名、电话号码、地址，有时甚至能买到军人子女的姓名、婚姻状况、净资产和信用评级等信息。购买单价一般仅有12美分/人。研究人员一共花了1万美元出头，就买到将近5万名军人的记录。

https://hackernews.cc/archives/46776

4、医疗保健巨头 Henry Schein 成为受害者，泄露35TB 数据

Tag：信息泄露、勒索软件

Bleeping Computer 网站消息，BlackCat （黑猫）勒索软件团伙声称其成功侵入医疗保健巨头 Henry Schein 内部网络，并窃取了包括员工工资信息和股东信息在内的数35TB 数据。

https://hackernews.cc/archives/46690

热点安全事件

1、俄罗斯国有储蓄银行遭受 100 万次 RPS DDoS 攻击

Tag：DDOS攻击、俄罗斯

俄罗斯金融组织 Sberbank 在一份新闻稿中表示，两周前，该银行面临近代历史上最强大的分布式拒绝服务 (DDoS) 攻击。俄罗斯媒体Interfax 报道称，这次攻击达到了每秒 100 万个请求 (RPS)，该组织表示，这一数字大约是俄罗斯联邦储蓄银行迄今为止遭遇的最强大 DDoS 攻击规模的四倍。

https://hackernews.cc/archives/46843

2、制造业巨头日本航空电子公司服务器遭入侵

Tag：黑客入侵

制造业巨头日本航空电子公司(Japan Aviation Electronics)证实，其系统正面临网络攻击，迫使该公司关闭其网站。本周一晚，这家电子产品和航空航天产品制造商用一条静态消息取代了其网站，称其部分服务器上周四被黑客入侵。

https://hackernews.cc/archives/46824

3、亲巴勒斯坦黑客攻击了以色列最大面粉生产厂

Tag：黑客、网络攻击

亲巴勒斯坦黑客组织“所罗门士兵”宣布，它入侵了面粉厂有限公司生产工厂的基础设施，该公司是一家从事面粉及相关食品加工和销售的跨国公司。威胁者声称破坏了生产周期。

https://hackernews.cc/archives/46798

4、美韩日成立小组应对朝鲜黑客攻击

Tag：黑客攻击

韩国总统办公室周一宣布，美国、韩国和日本决定建立一个网络问题高级协商机构，主要是为了应对朝鲜的网络活动。根据青瓦台的声明，该小组的主要目的是加强“对全球网络威胁的实际联合应对能力”，该小组将每季度举行一次会议。

https://hackernews.cc/archives/46760

热点安全技术

1、SafeBreach 实验室开发基于微软 Azure 的加密货币挖矿程序

Tag：加密货币、挖矿、安全漏洞、微软 Azure

SafeBreach 实验室成功开发了第一个基于微软 Azure 的加密货币挖矿程序，该程序能够在未被检测到的情况下在云端进行挖矿。该研究团队发现了三种独特的方法来执行这个挖矿程序，其中两种方法可以在自己的环境中免费利用微软服务器的计算资源进行挖矿，而三种方法则可以受害者的环境中执行挖矿程序而完全不被察觉。这项研究不仅对加密货币挖矿具有重要影响，还对其他领域有严重的影响，因为这些技术可以用于执行在 Azure 上需要代码执行的任何任务。

https://www.safebreach.com/blog/cryptocurrency-miner-microsoft-azure

2、滥用Akamai漏洞，突破F5保护，盗取内部数据

Tag：Akamai、F5、数据窃取、漏洞攻击、安全研究

在网络安全审计领域，安全研究人员通常会尝试绕过 Web 应用防火墙（WAF），如 Akamai，以发现并利用跨站脚本攻击（XSS）或 SQL 注入等漏洞。然而，这篇文章采用了一种不同的方法。作者直接攻击了 Akamai 的服务，从而发现了一些新的未修复的零日漏洞，并将其整合到难以检测到的攻击序列中。

https://blog.malicious.group/from-akamai-to-f5-to-ntlm/

3、滥用 Microsoft Access功能进行 NTLM 强制认证攻击

Tag：NTLM、安全漏洞、网络攻击、Microsoft Access、认证协议

Check Point 研究团队最近发现了一种利用 Microsoft Access 的 “链接表” 功能进行 NTLM 强制认证攻击的新技术。NTLM 是 Microsoft 在 1993 年引入的一种非常过时的认证协议，存在多种已知的攻击方式。该攻击技术允许攻击者将受害者的 NTLM 令牌自动泄露给任何由攻击者控制的服务器，通过任何 TCP 端口，例如端口 80。

https://research.checkpoint.com/2023/abusing-microsoft-access-linked-table-feature-to-perform-ntlm-forced-authentication-attacks/

4、发现开源漏洞披露中的缺陷

Tag：开源项目、漏洞披露、安全风险、GitHub、NVD

Aqua Nautilus 的研究人员对成千上万个开源项目的漏洞披露过程进行了评估，发现了其中的缺陷。这些缺陷导致在漏洞被修复和公布之前，攻击者就可以挖掘这些漏洞。这可能使得攻击者在项目的用户得到警报之前就能够利用安全漏洞。

https://blog.aquasec.com/50-shades-of-vulnerabilities-uncovering-flaws-in-open-source-vulnerability-disclosures

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。