5th域安全微讯早报【20240624】151期

2024-06-24 星期一Vol-2024-151

今日热点导读

1. 美国政府DDoS防护指南的局限性

2. GhostSec黑客组织从网络犯罪回归行动主义

3. ExCobalt团伙利用GoRed后门攻击俄罗斯市场

4. Zerto遭受网络攻击：51TB数据被盗

5. 研究表明Chrome网上应用店恶意扩展问题严重

6. 国际合作应对小行星2038潜在威胁

7. 洛杉矶联合学区数据泄露影响数百万学生和教职工

8. 新威胁者出售VirtualBox VME零日漏洞

9. GRUB BootLoader的oday漏洞在泄露论坛上高价出售

10. systemd 256.1版本修复重大删除用户目录错误

11. Facebook PrestaShop模块漏洞被利用窃取信用卡信息

12. Rafel RAT对Android系统的安全性威胁

13. 新型广告软件AdsExhaust伪装成Oculus安装程序威胁用户隐私

14. 用于CAN伪装攻击的无监督在线入侵检测系统基准评测

15. SeCTIS：一种安全的网络威胁情报共享框架

16. 利用eBPF和人工智能检测勒索软件

资讯详情

政策法规

1. 美国政府DDoS防护指南的局限性

2024年3月，美国网络安全和基础设施安全局(CISA)、多州信息共享和分析中心(MS-ISAC)和FBI联合发布了更新版的DDoS响应指南，以应对日益严重的DDoS攻击问题。新指南深入分析了容量攻击、基于协议的攻击和基于应用程序的攻击三种主要DDoS技术，并提供了15个步骤的应对策略。然而，指南存在局限性，未能涵盖所有DDoS攻击载体，也未提供针对新攻击趋势的具体信息。它缺乏强制性，可能不会广泛被采纳。此外，指南未考虑资源限制和其他组织面临的挑战。理想的防御DDoS攻击的方法应包括多层次的投资和网络弹性策略，政府网站应特别重视可用性。政府应推动私营和公共部门之间的合作框架，及时报告和响应DDoS事件，分享威胁信息，提高检测和防御能力。虽然指南是积极的一步，但需要更强制性的措施和跨部门合作来有效应对DDoS威胁。

来源：https://hackread.com/examining-us-govt-ddos-protection-guidance-update/

安全事件

2. GhostSec黑客组织从网络犯罪回归行动主义

黑客组织GhostSec曾因攻击恐怖组织伊斯兰国（ISIS）而闻名，但在2023年秋天，该组织开始与网络犯罪组织合作，使用勒索软件发起攻击，以筹集资金支付视频服务和黑客工具费用。GhostSec领导人塞巴斯蒂安·但丁·亚历山大在接受The Record采访时解释了这一转变，并表示组织避免攻击医院和教育机构，以减少伤害。2024年5月，GhostSec宣布结束所有出于经济动机的网络犯罪活动，回归黑客行动主义。亚历山大表示，组织已筹集到足够的资金继续活动，无需依赖犯罪手段。尽管担心声誉问题，亚历山大相信同志们能理解他们的动机。GhostSec目前通过NewBlood计划培训新的黑客活动分子，强调行动主义在现代数字世界中的必要性。这一变化凸显了在数字世界中黑客行动主义与网络犯罪界限的模糊性。

来源：https://www.securitylab.ru/news/549415.php

3. ExCobalt团伙利用GoRed后门攻击俄罗斯市场

ExCobalt网络犯罪团伙被发现利用一种新型GoRed后门对俄罗斯组织进行攻击。该团伙专注于网络间谍活动，成员自2016年以来一直活跃，可能曾是臭名昭著的Cobalt Gang的一部分。GoRed是一种基于Golang的后门，允许攻击者执行命令、获取凭据并收集系统详细信息。ExCobalt利用先前受攻击的承包商和供应链攻击来实现初始访问，显示出高度复杂性。他们使用了多种工具如Metasploit、Mimikatz等，以及Linux权限提升漏洞。GoRed后门支持多种后台命令，用于监视文件和密码，并启用反向shell，将收集的数据导出到攻击者控制的基础设施。研究人员指出，ExCobalt在攻击俄罗斯公司方面表现出高度活跃和决心，不断更新其武器库并改进技术，展示了灵活性和多功能性，以适应安全控制的变化。

来源：https://thehackernews.com/2024/06/excobalt-cyber-gang-targets-russian.html

4. Zerto遭受网络攻击：51TB数据被盗

据每日暗网报道，惠普企业的子公司Zerto遭遇了一次严重的网络攻击。攻击者在暗网论坛上发布帖子，声称出于政治动机对Zerto进行攻击，并非为经济利益或间谍目的。攻击者声称成功窃取了51 TB的数据，随后将这些数据删除。该攻击者还在帖子中分享了其Telegram频道和相关攻击图片。Zerto公司主要提供灾难恢复、勒索软件恢复和工作负载移动性解决方案，专为虚拟化基础设施和云环境设计。此次事件引起了广泛关注。

来源：https://dailydarkweb.net/alleged-cyber-attack-on-zerto/

5. 研究表明Chrome网上应用店恶意扩展问题严重

最新研究表明，Chrome网上应用店的恶意扩展问题比谷歌承认的要严重得多。尽管谷歌声称，包含恶意软件的扩展不到1%，但斯坦福大学和德国CISPA亥姆霍兹信息安全中心的研究人员发现，过去三年有超过3.46亿用户安装了安全问题扩展(SNE)，包括恶意软件、违反政策或包含易受攻击代码的扩展。这些SNE在应用店中平均停留时间长达数年，有的长达8.5年。此外，研究人员指出，应用店的评级系统无法有效区分好坏扩展，因为恶意扩展的用户评分与良性扩展相差无几。他们建议谷歌监控扩展代码相似性，并指出近60%的扩展从未更新，错过了安全改进。谷歌回应称，他们采取措施取消对过时Manifest V2扩展的支持，并推出了新工具让用户了解潜在风险扩展。

来源：https://www.theregister.com/2024/06/23/google_chrome_web_store_vetting/

6. 国际合作应对小行星2038潜在威胁

各国正加强对可能的小行星碰撞威胁的准备。联合国已制定应对海啸等灾难的程序，但对于可能需要国际合作的小行星撞击，还需进一步组织和讨论协调大规模应对措施。2024年4月，第五次行星防御演习在约翰·霍普金斯大学应用物理实验室举行，约100名来自美国和国际机构的参与者评估应对潜在危险小行星威胁的能力。演习模拟了一颗可能于2038年7月与地球相撞的小行星，撞击概率达72%，影响区域广泛。面对未知大小的小行星，参与者讨论了等待新数据、研究威胁或制定接近小行星的任务等选项，后者可能耗资2亿至10亿美元。演习未制定严格规则，而是加强了科学界和国际社会对此类威胁的准备，强调了规划和协作的重要性。

来源：https://www.securitylab.ru/news/549433.php

7. 洛杉矶联合学区数据泄露影响数百万学生和教职工

洛杉矶联合学区(LAUSD)遭受严重数据泄露，一名自称为“撒旦”的黑客在Breach Forums上公开了数百万学生、教师和工作人员的个人信息。泄露的数据包括敏感的联系方式和位置信息，涉及超过2416万名学生和近55,000名教师及工作人员。经过分析，确认此次泄露数据合法且正在多个平台上流传。数据集规模达10GB，包含学生的性别、种族、联系方式、地址、移民身份等信息，以及教师的资历、家庭住址、学历等记录。此次泄露与Snowflake软件漏洞有关，该漏洞也曾导致Ticketmaster数据泄露。黑客声称利用Snowflake账户登录凭据获取了LAUSD数据，并警告将有更多攻击。LAUSD已承认由于第三方供应商使用Snowflake存储数据，导致了此次信息泄露。

来源：https://hackread.com/lausd-data-breach-hackers-leak-data-student-locations/

漏洞预警

8. 新威胁者出售VirtualBox VME零日漏洞

近期，一名新注册的网络威胁者在论坛上声称拥有VirtualBox VME的零日漏洞，并将其标价为50,000美元的门罗币出售。该漏洞据称影响所有Windows版本，包括最新的迭代版本，具有广泛的用途和潜在的危险性。由于交易的敏感性和行为者新手的身份，论坛管理员建议使用可信的中间人来保证交易安全，以减少欺诈和数据泄露的风险。此事件突显了零日漏洞对网络安全构成的持续威胁，也强调了加强虚拟化软件安全防护的重要性。

来源：https://dailydarkweb.net/threat-actor-claims-to-sell-virtualbox-vme-zero-day-for-50000/

9. GRUB BootLoader的oday漏洞在泄露论坛上高价出售

名为Cas的威胁行为者6月21日发帖称，他掌握Linux中GRUB BootLoader的一个本地权限提升 0Day，议该漏洞允许普通用户修改传递的初始化参数以生成root shell。泄露论坛用户Cas报价9万美元，只支持BTC。该威胁行为者称该漏洞已在在kali linux上进行了测试，用的是最新版本的GRUB。如果您有兴趣，请给他发私信，没有 PoF（资金证明）他不会回复。几乎在同时，Intelbroker跟帖称，他看过POC，确认此事为真。众所周知，GRUB 是一个用于加载和管理系统启动的完整程序。它是Linux发行版中最常见的引导程序bootloader。引导程序是计算机启动时运行的第一个软件。它加载操作系统的内核，然后再由内核初始化操作系统的其他部分（包括Shell、显示管理器、桌面环境等等）。这意味着这个漏洞被利用的系列活动很难被检测到。

来源：https://breachforums.st/Thread-VERIFIED-0Day-Linux-LPE-via-GRUB-BootLoader

10. systemd 256.1版本修复重大删除用户目录错误

systemd 256版本发布后，因存在严重错误而迅速推出了更新版本256.1。关键修复的问题之一是systemd-tmpfiles命令的不当行为，该命令在不指定配置文件的情况下使用--purge选项时，可能会递归删除用户的整个主目录。此问题由GitHub用户jedenastka发现，并在Mastodon平台上引发广泛讨论。systemd团队成员Luca Boccassi提醒用户在使用命令前应仔细阅读文档。新版本systemd 256.1中，systemd-tmpfiles命令已更新，增加了更多警告和说明，要求在使用--purge子命令时必须指定配置文件，同时更新了工具描述，去除“临时”一词，以避免误解。此事件强调了在使用系统命令前检查文档的重要性，并提示小型开发团队应建立更完善的警告和验证机制，防止数据意外丢失。systemd 256.1还包括其他小改进和修复，推荐用户进行更新。

来源：https://www.securitylab.ru/news/549438.php

11. Facebook PrestaShop模块漏洞被利用窃取信用卡信息

黑客利用名为pkfacebook的Facebook模块中的SQL注入漏洞（CVE-2024-36680），在易受攻击的PrestaShop电商网站上部署卡片窃取器，窃取支付信用卡信息。该模块允许用户通过Facebook账户登录和互动。TouchWeb分析师在2024年3月发现该漏洞，但Promokit未提供修复证明。Friends-of-Presta警告该漏洞被广泛利用，建议更新模块、使用pSQL、修改默认前缀，并激活OWASP 942规则。所有1.0.1及更早版本均受影响。

来源：https://www.bleepingcomputer.com/news/security/facebook-prestashop-module-exploited-to-steal-credit-cards/

恶意软件

12. Rafel RAT对Android系统的安全性威胁

Rafel RAT是一种开源的远程管理工具，可远程访问和控制受感染的Android设备，具备监视、数据泄露、持久性机制和设备功能操纵等多种功能。最近，Check Point研究发现APT-C-35（又名DoNot Team）利用Rafel RAT进行间谍活动，主要针对包括军事部门在内的知名组织。迄今为止，全球已有120起与Rafel RAT相关的恶意活动成功攻击了主要针对美国、中国和印度尼西亚的组织，其设备的品牌包括三星、小米、Vivo和华为。Rafel RAT采用复杂技术逃避检测，通过与命令和控制（C&C）服务器通信，实现远程数据泄露和设备操纵。利用基于PHP的C&C面板和JSON文件进行深入调查，全面监控受感染设备，并定制恶意活动。

来源：https://thecyberexpress.com/decoding-rafel-rat/

13. 新型广告软件AdsExhaust伪装成Oculus安装程序威胁用户隐私

网络安全研究人员发现了一种名为AdsExhaust的新型恶意广告软件，它通过伪装成合法的Oculus安装程序诱骗用户下载。当用户在Google索Oculus应用程序时，可能会点击恶意网站并下载一个包含“oculus-app.EXE”文件的ZIP压缩包。该文件执行后，AdsExhaust 会窃取用户信息，生成虚假点击，降低其网站访问量，从而生成未经授权的广告收入。它甚至会创建覆盖层以避免被检测，并在检测到的用户活动时关闭浏览器活动。AdsExhaust会导致设备性能下降并侵害用户隐私。为了保护自己，用户应从官方渠道下载软件，避免模仿者，并利用可靠的防病毒和反恶意软件解决方案。

来源：https://hackread.com/adsexhaust-adware-fake-oculus-installer-google-search/

新兴技术

14. 用于CAN伪装攻击的无监督在线入侵检测系统基准评测

车辆控制器局域网络（CAN）易受到恶意攻击者的伪装攻击。伪装攻击可能严重破坏车辆功能，并且是CAN中最隐蔽的攻击之一。近年来，越来越多的研究关注检测CAN伪装攻击的框架。然而，大多数现有工作基于离线评估，使用不符合实时约束的模拟CAN日志。本文通过引入四种不同的非深度学习（DL）无监督在线入侵检测系统（IDS）的基准研究，作者的方法不同于现有基准，分析了滑动窗口设置中控制流数据条件的效果。作者使用了ROAD数据集中重放的真实伪装攻击。结果表明，虽然基准IDS无法有效检测每种攻击类型，但依赖于检测时间序列簇的层次结构变化的方法在代价更高的计算开销下产生了最佳结果。

来源：https://arxiv.org/html/2406.13778v1

15. SeCTIS：一种安全的网络威胁情报共享框架

现随着越来越多的组织在系统中包含智能互联设备以自动化其流程，攻击面变得更大，攻击的复杂性和频率也构成了重大威胁。为应对此问题，大量研究工作致力于创建有效的网络威胁情报（CTI）共享解决方案。目前的信息共享方法缺乏隐私保护，使组织容易泄露专有和机密数据。为了解决这一问题，作者设计了一种新颖的框架，称为SeCTIS（安全网络威胁情报共享），整合了群体学习和区块链技术，使企业能够在保护其CTI数据隐私的情况下进行协作。该方法提供了一种评估数据和模型质量以及参与者可信度的方法，通过零知识证明利用一些验证器进行验证。广泛的实验活动展示了该框架的正确性和性能，详细的攻击模型讨论了其在数据和模型质量方面对攻击的鲁棒性。

来源：https://arxiv.org/html/2406.14102v1

16. 利用eBPF和人工智能检测勒索软件

在本三化中，作者提出了一种用于实时检测和阻止勒索软件的双阶段方法，即利用eBPF（扩展伯克利数据包过滤器）和人工智能的能力开发了主动和被动的方法。在第一阶段，使用基于特征的检测方法，采用自定义eBPF程序跟踪新进程的执行，并对已知勒索软件数据集进行基于哈希的分析。在第二阶段，使用基于行为的技术，重点监控进程活动以及赎金通知的创建——这是勒索软件活动的显著指示器，通过自然语言处理（NLP）进行分析。通过利用eBPF的低级追踪能力并整合基于NLP的机器学习算法，作者的解决方案在识别零日攻击初期的勒索软件事件时，实现了高达99.76%的准确率。

来源：https://arxiv.org/html/2406.14020v1

往期推荐