每周安全动态精选（11.27-12.1）

本周精选

1、欧盟理事会通过《数据法》

2、CNIL发布API数据共享指南

3、Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)

4、FjordPhantom Android 恶意软件利用虚拟化规避检测

5、未支付赎金，Shimano 公司 4.5TB 机密数据泄露

政策法规动态

1、欧盟理事会通过《数据法》

Tag：数据法案

欧盟理事会于 11 月 27 日通过了《数据法案》。该法案旨在促进数字经济参与者使用数据分配价值时的公平性，并缓解在数据处理提供商之间切换时的困难。此外，它还对非法数据处理采取了更强有力的保障措施，并寻求提高经济部门之间数据使用的互操作性标准。

https://iapp.org/news/a/european-council-adopts-data-act

2、欧洲议会委员会投票批准欧洲健康数据空间

Tag：健康数据

欧洲议会的两个委员会对欧洲健康数据空间采取了共同立场。该法律旨在为患者提供在所有成员国各自的医疗保健系统中访问其个人健康数据的权利，每个州都创建国家健康数据访问服务。预计议会将于 12 月进行全面投票。

https://iapp.org/news/a/european-parliamentary-committees-adopt-position-approving-european-health-data-space

3、OPC 发布青少年隐私公告

Tag：青少年隐私

加拿大隐私专员办公室发布了一份关于青少年隐私课程和联邦公共部门实体最佳实践的《隐私法公告》。该公告强调了OPC 和加拿大省级隐私监管机构关于青少年隐私的联合决议，同时讨论了隐私设计、透明度和一般数据实践。

https://iapp.org/news/a/opc-issues-youth-privacy-bulletin

4、英国 GDPR 改革修正案揭晓

Tag：数据安全

经过 120 多页的修正案后，拟议的英国数据保护和数字信息法案正在英国议会获得通过。IAPP 研究和见解总监 Joe Jones 提供了政府起草的修正案的概要，其中包括英国公司处理数据的新法律依据以及允许数据控制者在响应数据主体访问时仅进行“合理和相称”搜索的规定要求。

https://iapp.org/news/a/breaking-down-the-amendments-included-in-proposed-uk-gdpr-reforms

技术标准规范

1、CNIL发布API数据共享指南

Tag：数据安全

法国数据保护机构国家信息与自由委员会发布了关于应用程序编程接口数据共享的建议。该指南指出，数据持有者必须确保使用 API 共享的任何数据的安全性，同时消除与共享敏感数据相关的风险。

https://iapp.org/news/a/cnil-releases-data-sharing-guidance

2、AEPD 发布生物识别数据使用指南

Tag：生物数据、数据保护

西班牙数据保护机构 Agencia Española de Protección de Datos 发布了关于将生物识别数据用于工作和个人目的的指南，指出雇主必须遵守欧盟通用数据保护条例，无论员工是否同意。AEPD 表示，由于“接受治疗的人和实施治疗的人之间不平衡”，同意并不是法律依据。

https://iapp.org/news/a/aepd-releases-guidance-on-biometric-data-usage

3、丹麦 DPA 发布隐私保护目录

Tag：隐私安全

丹麦数据保护机构 Datatilsynet 发布了数据安全措施目录，为组织面临的常见安全风险提供解决方案。该目录包括来自 Datatilsynet 的“检查经验、报告的个人数据安全违规行为”以及之前的欧洲数据保护委员会指南的示例。措施的重点是“权利管理”，但监管机构表示，预计目录将随着时间的推移变得“更加全面”。

https://iapp.org/news/a/danish-dpa-releases-privacy-safeguard-catalog

4、加拿大立法者讨论社交媒体隐私标准

Tag：数据安全

据加拿大 IT Business 报道，加拿大下议院信息获取、隐私和道德常设委员会召开了关于社交媒体隐私实践的听证会。该委员会探讨了社交媒体公司潜在的数据收集问题，同时指出平台应对数据研究人员保持透明。

https://iapp.org/news/a/canadian-officials-discuss-social-media-privacy-standards

重点漏洞情报

1、Apache ActiveMQ Jolokia 代码执行漏洞

Tag：CVE-2022-41678、Apache ActiveMQ Jolokia

ActiveMQ中，经过身份验证的用户默认情况下可以通过 /api/jolokia/接口操作MBean执行任意代码，导致服务器失陷。

https://www.openwall.com/lists/oss-security/2023/11/28/1

2、泛微 e-Office10 远程代码执行漏洞

Tag：泛微 e-Office10、RCE

该漏洞是由于泛微e-Office前台存在SQL注入漏洞，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行SQL注入攻击，最终获取管理员权限并可进一步导致远程代码执行。

https://www.weaver.com.cn/cs/securityDownload.asp#

3、Google Chrome skia整数溢出漏洞通告

Tag：Google Chrome skia、CVE-2023-6345

Chrome skia模块中的整数溢出漏洞，此类漏洞通常会在成功读取或写入超出缓冲区边界的内存后导致浏览器崩溃或执行任意代码。

https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

4、Jenkins MATLAB 插件跨站请求伪造漏洞

Tag：Jenkins、CVE-2023-49655

Jenkins MATLAB插件2.11.0及更早版本中的跨站请求伪造(CSRF)漏洞允许攻击者让Jenkkins解析来自Jenkings控制器文件系统的XML文件。

https://www.jenkins.io/security/advisory/2023-11-29/#SECURITY-3193

恶意代码情报

1、FjordPhantom Android 恶意软件利用虚拟化规避检测

Tag：FjordPhantom, Android 恶意软件，虚拟化

FjordPhantom 的新 Android 恶意软件，它利用虚拟化在容器中运行恶意代码并逃避检测。该恶意软件通过电子邮件、短信和消息应用程序传播，主要目标是印度尼西亚、泰国FjordPhantom 的目标是窃取在线银行帐户并通过设备诈骗进行交易。

https://www.bleepingcomputer.com/news/security/fjordphantom-android-malware-uses-virtualization-to-evade-detection/

2、GoTitan 僵尸网络 - 针对 Apache ActiveMQ 的持续利用

Tag：GoTitan、CVE-2023-46604、Golang、僵尸网络、恶意软件、Apache ActiveMQ

针对CVE-2023-46604漏洞的持续利用行为，其中涉及一个新的Golang僵尸网络“GoTitan”。通过利用此漏洞，攻击者在易受攻击的系统上可以执行恶意代码，然后获取对系统的控制。

https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq

3、揭示持久威胁：伊朗移动银行恶意软件活动扩展其影响力

Tag：伊朗、移动银行恶意软件、数据泄露、Telegram 频道

2023年伊朗移动银行恶意软件活动的最新发现。研究团队发现了新的样本，这些样本具有此前配套检测到的能力，并且与针对同一银行的钓鱼攻击有关。这些新的样本变体包括扩展的目标、服务消除用户欺骗、数据泄露、使用GitHub和中间C＆C服务器获取钓鱼链接等新功能。

https://www.zimperium.com/blog/unveiling-the-persisting-threat-iranian-mobile-banking-malware-campaign-extends-its-reach/

4、朝鲜背景的黑客组织发起的两项主要活动: RustBucket 和 KandyKorn

Tag：加密货币盗窃

两个看似独立的朝鲜与 macOS 用户有关的加密货币盗窃活动，并发现它们之间存在联系。两个活动分别是 RustBucket 和 KandyKorn。文章指出朝鲜威胁行为者正在混合和匹配这两个活动的组件，并使用 RustBucket 投放程序传递 KandyKorn 有效负载。

https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads/

数据安全情报

1、未支付赎金，Shimano 公司 4.5TB 机密数据泄露

Tag：数据泄露

本月早些时候，LockBit 组织威胁要公布 Shimano 公司的 4.5TB 机密数据，除非他们支付一笔数额不详的赎金。泄露的数据包括机密员工详细信息、财务文件、客户数据库和其他机密公司文件。

https://hackernews.cc/archives/47379

2、数百所学校使用的应用程序泄漏未成年人数据

Tag：信息泄露

Security Affairs 网站消息，Cyber news 研究小组近期发现由于系统配置错误，IT 公司 Appscook 泄露了大量敏感数据，其中包括未成年人的照片、家庭住址和出生证明。（Appscook 公司开发的应用程序主要被印度和斯里兰卡的 600 多所学校用于教育管理）

https://hackernews.cc/archives/47275

3、通用电气疑遭黑客攻击，大量军事机密泄漏

Tag：黑客攻击、数据买卖

据Cyberexpress报道，GE（通用电气）近日疑遭黑客攻击，包含大量敏感军事机密信息数据被黑客在论坛中出售。数据包括大量与DARPA相关的军事信息、文件、SQL文件、文档等。

https://www.secrss.com/articles/61126

4、首次！国家电信监控系统泄露公民数据后，遭数据擦除勒索

Tag：数据勒索

孟加拉国国家电信监测中心数据库在公网暴露，类型极丰富的各类数据在线泄露，包括姓名、职业、血型、父母姓名、电话号码、通话时长、车辆登记信息、护照详情、指纹照片。

https://www.secrss.com/articles/61092

热点安全事件

1、乌克兰公开承认网络攻击，称俄罗斯飞机正在“自相残杀”

Tag：网络攻击、俄乌战争

近日，乌克兰国防情报局声称，他们成功进行了网络攻击，入侵了俄罗斯政府的民航局，并获得大量机密文件，其中包括民航局长达一年半的每日报告清单。

https://hackernews.cc/archives/47375

2、印度国家航空航天实验室遭受 LockBit 勒索攻击

Tag：勒索攻击

印度国家航空航天实验室(NAL)面临严重威胁，臭名昭著的LockBit勒索软件组织声称对网络攻击负责。继LockBit在暗网上发布网络攻击声明后，该黑客组织发布了一份令人心寒的最后通牒，截止日期为2023年12月18日18:58:48 UTC，警告如果他们的要求仍未得到满足，则数据将被泄露。

https://hackernews.cc/archives/47420

3、攻击运营商 DP World：黑客侵入澳大利亚物流核心

Tag：黑客入侵

11 月，国际物流公司 DP World 的澳大利亚业务遭遇大规模网络攻击，导致公司运营中断和数据泄露。这次黑客攻击影响了澳大利亚 40% 的集装箱运输，导致 30,137 个集装箱的处理延迟和仓库空间溢出。

https://hackernews.cc/archives/47403

4、美国大型医院集团遭勒索攻击，多州急诊室紧急转移救护车

Tag：勒索攻击

有消息称：由于遭受网络攻击，美国得克萨斯州东部地区多家医院在感恩节当天被迫转移救护车。这次网络攻击影响范围广泛，远超初期判断。医院代表表示，这次攻击还迫使新泽西州、新墨西哥州和俄克拉荷马州的医院转移救护车。

https://hackernews.cc/archives/47371

热点安全技术

1、网络犯罪分子对 GPT 模型持不同意见

Tag：网络犯罪分子，GPT 模型，地下论坛，WormGPT，FraudGPT

Sophos X-Ops 在调查网络犯罪论坛时发现，尽管有人担心 ChatGPT 等模型的非法应用，但许多威胁行为者仍持怀疑态度，并对这些工具的使用目的和风险产生分歧。他们对 ChatGPT 等工具存在怀疑，认为其被高估、过度炒作，不适合生成恶意软件。

https://news.sophos.com/en-us/2023/11/28/cybercriminals-cant-agree-on-gpts/

2、适用于 Windows 10 和 11 的 PG 兼容 SYSCALL 挂钩

Tag：反向工程，挂钩，HalPrivateDispatchTable，SYSCALL

本文介绍了一种利用 HalPrivateDispatchTable 进行挂钩的方法，以实现对 SYSCALL 的系统范围内挂钩，同时在 Windows 10 和 11 的 PatchGuard 保护下保持合规性。该方法通过对 Windows 内核的 ETW 函数进行持续研究，发现了一个有趣的替代方案。

https://revers.engineering/fun-with-pg-compliant-hook/

3、反向工程：解锁 Microsoft Excel 表保护

Tag：Microsoft Excel，表保护，逆向工程，密码哈希

介绍了如何逆向工程解锁Microsoft Excel的表保护功能。作者通过分析文件格式和密码哈希算法，成功破解了表保护密码。文章还提供了相关的Python脚本，帮助用户解锁旧版本该方法不适用于较新的 XLSX 文件。

https://gist.github.com/LiEnby/bf97afdf633d3b36a17c48d760668848

4、深入探讨如何毒害整个国家的 DNS 名称解析

Tag：TRAP、RESET、POISON、DNS 缓存中毒、国家接管

本文深入探讨了如何通过 DNS 缓存中毒攻击接管整个国家的 DNS 名称解析。作者介绍了攻击的复杂技术和如何捕获、重置和毒害 DNS 解析器。

https://sec-consult.com/blog/detail/taking-over-a-country-kaminsky-style/

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。