2024-06-25 星期二Vol-2024-152

今日热点导读

1. 网络安全违规导致咨询公司支付千万美元罚款

2. 美国众议院法案或将限制大疆无人机销售

3. 新的安卓Rafel RAT威胁：全球已发生120起攻击事件

4. 欧盟对俄罗斯黑客实施制裁以应对网络攻击

5. 印度尼西亚国家数据中心遭受LockBit勒索软件攻击

6. CopyCop组织利用AI进行美国大选影响力活动

7. 美国指控越南FIN9黑客组织成员

8. LockBit勒索软件声称攻击美国联邦储备委员会

9. Zyxel NAS设备遭受CVE-2024-29973漏洞攻击

10. ESET修复Windows安全产品中的权限提升漏洞

11. EFF警告自动车牌阅读器存在严重安全漏洞

12. Microsoft Power BI漏洞或致敏感数据泄露

13. SnailLoad攻击：通过网络延迟推断用户活动

14. 新攻击利用MSC文件和Windows XSS漏洞入侵网络

15. 生物机电学方法评估医疗物联网可穿戴设备安全性

16. 通过可信物联网协调资产提升电网的韧性

资讯详情

政策法规

1. 网络安全违规导致咨询公司支付千万美元罚款

两家咨询公司Guidehouse Inc.和Nan McKay and Associates因未能满足网络安全要求，同意支付总计1130万美元的罚款。Guidehouse Inc.支付760万美元，而Nan McKay and Associates支付370万美元。这些指控源于违反《虚假索赔法》，涉及在疫情期间为低收入纽约人提供在线租房援助的合同。两家公司承认未能进行必要的网络安全测试，导致数据泄露，损害了申请人的个人信息。此外，Guidehouse还承认未经许可使用第三方云软件存储敏感信息。政府强调网络安全的重要性，并追究了相关责任。举报人Elevation 33 LLC根据《虚假索赔法》提起诉讼，最终获得了近195万美元的和解金份额。此案凸显了政府追究网络安全违规行为的决心。

来源：https://gbhackers.com/failing-cybersecurity-requirements/

2. 美国众议院法案或将限制大疆无人机销售

美国众议院通过的法案可能会限制大疆无人机在美国的销售，尽管缺乏中国利用大疆无人机进行间谍活动的具体证据。大疆无人机的功能，包括隐私和安全功能，是在美国监管机构的要求下推出的。美国现有的无人机制造商主要服务于执法和政府机构，而普通消费者在市场上缺乏大疆的替代品。支持法案的议员将大疆的威胁与TikTok相比较，但未提供确凿证据。大疆已经根据FAA的规定实施了禁飞区和其他限制，实际上赋予了美国政府控制其无人机使用地点的权力。美国对中国科技巨头的普遍警惕态度，以及对大疆与中国政府关系的疑虑，加剧了对大疆的指控。

来源：https://www.securitylab.ru/news/549471.php

安全事件

3. 新的安卓Rafel RAT威胁：全球已发生120起攻击事件

Check Point Research发现了一种名为Rafel RAT的开源Android远程访问工具，已经在全球范围内导致约120起恶意活动。Rafel RAT通过模仿正常应用程序的方式请求权限，并与C&C服务器进行HTTP(S)通信，使黑客能够远程监控和控制受感染的设备。主要攻击对象是运行旧版本Android的设备，包括三星、谷歌和小米。此恶意软件不仅能窃取敏感信息和执行远程命令，还能执行勒索软件操作、2FA绕过和政府网站黑客攻击。尽管已被用于伊朗针对巴基斯坦的攻击活动，但Rafel RAT的开源特性使其适应性强，对全球Android生态系统的安全性提出了严峻挑战。确保Android设备安全的关键措施包括威胁情报共享、端点保护和用户教育，以应对不断演变的网络威胁。

来源：https://cybersecuritynews.com/android-rafel-rat/

4. 欧盟对俄罗斯黑客实施制裁以应对网络攻击

欧盟对六名涉嫌参与俄罗斯政府支持或经济动机驱动的针对欧盟和乌克兰的网络攻击的黑客实施了制裁。这一措施是欧盟"网络外交工具箱"的一部分，目的是阻止对成员国的网络攻击。制裁内容包括冻结被制裁个人在欧盟境内的资金和资源，并禁止向他们提供资金或资源，尽管成员国可以有例外。被制裁者中有四人是俄罗斯国民，已受到美国和英国的制裁，他们在美国面临网络犯罪的指控。另外两人是乌克兰安全局指控的俄罗斯联邦安全局官员，与名为Armageddon或Gamaredon的黑客组织有联系。欧洲理事会的制裁指出他们通过网络钓鱼和恶意软件对欧盟成员国和乌克兰政府造成了重大影响。制裁不仅是作战策略，还能破坏攻击者的行动安全，增加内部不和。

来源：https://therecord.media/six-russian-hackers-sanctioned-european-council-eu-ukraine

5. 印度尼西亚国家数据中心遭受LockBit勒索软件攻击

印度尼西亚通信部宣布，国家数据中心系统被勒索软件Brain Cipher（LockBit 3.0的新变种）加密，影响了机场移民检查和其他公共服务。黑客索要800万美元赎金，但印尼政府拒绝支付。受影响的是泗水的数据中心分支机构，而非雅加达。此次攻击可能导致国家机构和地方政府数据泄露，签证和居留许可处理、护照服务及移民文件管理系统等服务中断，造成机场移民柜台前排起长队。大部分受影响服务已恢复，重要数据迁移至云端。此外，攻击还影响了学校和大学的在线报名平台，迫使地方政府延长报名期限。据信，黑客可能停用了Windows Defender安全功能，悄无声息地进入系统，感染目标系统，删除重要文件。这不是印尼数据中心首次遭受攻击，2023年也曾发生过数据泄露事件。

来源：https://therecord.media/indonesia-national-data-centre-hacked

6. CopyCop组织利用AI进行美国大选影响力活动

研究人员发现，与俄罗斯有关的威胁行为者CopyCop正利用虚假新闻网站和生成式人工智能(AI)干预美国总统大选。该组织可能与俄罗斯政府有联系，专注于传播被操纵的政治内容。CopyCop转向使用美国主机注册新网站，以减少与俄罗斯基础设施的关联。该组织在文章中批评了拜登总统的失误和政府未能抑制通胀，同时对特朗普的批评较少，淡化了其在封口费审判中的定罪影响。CopyCop通过抓取美国保守派新闻机构或俄罗斯国家附属媒体的文章，使用AI进行内容剽窃和主题创作，生成虚假记者角色，迅速传播针对大选的新兴叙述，掩盖其来源。CopyCop是众多与俄罗斯有关的影响力网络之一，试图在社交媒体上推广误导性言论。

来源：https://therecord.media/russia-linked-threat-actors-disinfo-trump

7. 美国指控越南FIN9黑客组织成员

美国司法部近日对四名越南公民提出指控，他们涉嫌作为网络犯罪集团FIN9的成员，通过入侵企业网络，在美国造成了超过7100万美元的损失。这些被告在2018年5月至2021年10月期间，通过网络钓鱼、供应链攻击等手段，初步进入受害者网络，进而窃取私人信息、员工福利和资金。他们还涉嫌盗取个人身份信息和信用卡信息，并利用这些信息在加密货币交易所注册账户。此外，被告被控将被盗礼品卡信息出售给第三方，通过社交媒体和加密货币市场进行交易。他们面临的指控包括合谋实施欺诈、敲诈勒索、计算机相关活动、电信欺诈以及故意损坏受保护的计算机等罪名。美国检察官Philip R. Sellinger评论称，FIN9被告是多产的国际黑客，长期利用网络攻击手段从受害者那里窃取巨额资金。

来源：https://www.securityweek.com/vietnamese-members-of-fin9-hacking-group-charged-in-us/

8. LockBit勒索软件声称攻击美国联邦储备委员会

LockBit勒索软件组织6月24日宣称对美国联邦储备委员会（US Federal Reserve）进行了黑客攻击，并声称此次攻击导致33TB的敏感数据泄露。该组织在暗网发布声明，声称窃取了大量机密银行信息，若情况属实，这可能成为史上最严重的金融数据泄露之一。LockBit 3.0要求美联储在48小时内更换谈判代表，并嘲讽现任代表低估了美国银行保密法的价值。目前，美联储尚未公开确认此次事件，也未透露应对措施。预计CISA、FBI等联邦机构将介入处理，公共保证措施可能成为维持金融体系信心的关键。此事件凸显了加强网络安全和国际合作的紧迫性，以及保护关键基础设施免受未来攻击的必要性。

来源：https://gbhackers.com/lockbit-ransomware-group-claims/

漏洞预警

9. Zyxel NAS设备遭受CVE-2024-29973漏洞攻击

Zyxel NAS设备近期发现了一个新漏洞CVE-2024-29973，使其容易受到类似Mirai僵尸网络的攻击。该漏洞源于设备Web服务器中simZysh端点的Python代码注入缺陷，主要通过绕过认证模块和Python过滤器来执行任意命令。攻击者可利用此漏洞在设备上执行恶意命令，如通过POST请求注入恶意有效载荷来执行后门操作。Zyxel已发布补丁，建议用户限制远程访问、实施网络分段并监控异常网络活动以防范此类攻击，突显了物联网设备面临的安全挑战及应对措施的重要性。

来源：https://cybersecuritynews.com/zyxel-nas-devices-under-attack/

10. ESET修复Windows安全产品中的权限提升漏洞

网络安全公司ESET解决了其Windows安全产品中的一个本地权限提升漏洞，该漏洞由零日计划(ZDI)报告。漏洞CVE-2024-2003允许已登录用户通过特定文件夹植入恶意文件来执行权限提升攻击，CVSS v3.1评分为7.3，表明严重程度较高。ESET迅速响应，通过发布防病毒和反间谍软件扫描模块1610的更新来修复问题，该更新自2024年4月10日起自动分发给客户，并于4月22日全面发布。ESET表示目前未发现利用此漏洞的攻击行为，建议客户使用最新安装程序以确保安全。受影响的产品包括ESET NOD32 Antivirus、ESET Internet Security等多款Windows安全产品。ESET的快速响应体现了其对产品安全的承诺和保护客户免受威胁的决心。

来源：https://cybersecuritynews.com/eset-security-products-windows/

11. EFF警告自动车牌阅读器存在严重安全漏洞

电子前线基金会（EFF）针对自动车牌阅读器（ALPR）的安全漏洞发出警告，指出这些设备可能成为大规模监控工具，超出了公共安全的需要。ALPR系统在无需直接访问网络流量的情况下，能捕捉车牌号码、车辆图像甚至驾驶员和乘客照片。CISA的报告揭示了摩托罗拉Vigilant车牌阅读器的高危漏洞，可能允许攻击者绕过身份验证并获取敏感信息。EFF的分析表明，大量收集的数据与公共安全无关，存在被滥用的风险。EFF呼吁修补漏洞并警告政策制定者，公共安全机构应限制数据收集范围，确保数据安全。

来源：https://www.securityweek.com/eff-issues-new-warning-after-discovery-of-automated-license-plate-reader-vulnerabilities/

12. Microsoft Power BI漏洞或致敏感数据泄露

Microsoft Power BI中存在一个漏洞，该漏洞可能允许未经授权的用户访问报告背后的敏感数据。这一问题影响了许多组织，因为它授权用户访问员工、客户信息及潜在的机密数据，即使这些信息在报告中并未显示。Nokod Security发现，通过特定的API调用，攻击者可以提取报告中未显示的额外数据属性、记录以及背后的详细信息，无论报告的共享权限或过滤设置如何。漏洞利用涉及向Power BI服务器的特定端点发送POST请求，以检索数据。攻击者可以通过分析报告的语义模型来了解数据架构，进而构造请求以访问隐藏的数据列和表。即便Power BI的“conceptualschema”API可能不会返回隐藏的SQL表，攻击者仍可通过“查询”API访问这些数据。

来源：https://gbhackers.com/microsoft-power-bi-vulnerability-sensitive-data-access/

TTPs动向

13. SnailLoad攻击：通过网络延迟推断用户活动

奥地利格拉茨技术大学的研究人员发现了一种新型旁道攻击方法——SnailLoad，它允许远程攻击者在不直接访问网络流量的情况下，推断用户正在浏览的网站和观看的视频。这种攻击通过测量受害者加载恶意服务器上内容时的延迟变化来实现，利用这些数据与预先创建的视频或网站延迟指纹进行比较，从而确定用户正在查看的具体内容。SnailLoad攻击的关键在于恶意服务器需要以缓慢的速度加载内容，以便攻击者能够在较长时间内监控连接延迟。这种攻击不需要中间人攻击位置、JavaScript或在受害者系统上执行任何其他代码。尽管SnailLoad攻击利用了互联网的工作原理，使其难以防御。研究人员计划在Black Hat USA 2024网络安全大会上展示这些发现，并已发表相关论文和建立专门网站，提供SnailLoad攻击的详细描述和演示。

来源：https://www.securityweek.com/new-snailload-attack-relies-on-network-latency-variations-to-infer-user-activity/

14. 新攻击利用MSC文件和Windows XSS漏洞入侵网络

2024年6月24日，Bill Toulas报道了一个名为“GrimResource”的新型命令执行技术。该技术通过特别设计MSC（Microsoft Saved Console）文件和未修补的Windows XSS漏洞，在Microsoft Management Console（MMC）中执行代码。自2022年7月微软在Office中默认禁用宏以来，他们开始尝试新的文件类型进行网络钓鱼攻击，近期又转向使用MSC文件。韩国网络安全公司Genian首先报告了MSC文件被滥用的情况，而Elastic团队发现了通过MSC文件和未修补的XSS漏洞实施的攻击活动。GrimResource技术通过恶意MSC文件利用apds.dll库中的旧DOM型XSS漏洞，执行任意的JavaScript代码。尽管该漏洞早在2018年10月已被报告，但截至2019年3月仍未修补，微软尚未对此发表评论。Elastic安全团队建议系统管理员关注mmc.exe相关的可疑文件操作和进程活动，并部署了完整的GrimResource指标和YARA规则。

来源：https://www.bleepingcomputer.com/news/security/new-grimresource-attack-uses-msc-files-and-windows-xss-flaw-to-breach-networks/

新兴技术

15. 生物机电学方法评估医疗物联网可穿戴设备安全性

ARXIV网站近日刊载文章，探讨了医疗物联网（IoMT）在改善医疗服务中的潜力。例如，智能可穿戴输液泵可以精确输注药物，并与电子健康记录集成。这些设备能在操作失败时向医护人员或远程服务器发出警报，防止不良事件的发生。然而，随着连接医疗设备数量的增加，网络安全威胁也相应增加。由于设备连接到互联网，可能会受到潜在危害，影响设备性能并威胁患者安全。因此，确立安全的数据认证机制对保障患者的安全和健康至关重要。文章提出了一种针对可穿戴输液泵的安全方案，以减少网络安全威胁。作者通过多次评估和测试，探讨了实施这种安全设备的实际挑战，并提出了初步的解决方案。

来源：https://arxiv.org/abs/2406.14996

16. 通过可信物联网协调资产提升电网的韧性

ARXIV网站近日刊载文章，研究了电力网从物理系统向网络物理系统的转变，其中数字设备执行测量、控制、通信、计算和执行功能。随着分布式能源资源（DERs）如可再生发电、灵活负载和储能技术的普及，电网的效率和可持续性得到显著提升，但也引入了网络安全漏洞和挑战。作者提出了一种框架，通过协调物联网（IoT）设备等可信资产来提升电网的韧性。文章引入了地方电力市场的概念，用于识别和管理可信资产，并实现对本地DERs的态势感知和动态控制，以应对各种网络攻击。通过实验验证，作者展示了如何有效利用这些本地资源来保护电网免受攻击，并证明了所提方法在提升电网韧性方面的潜力和有效性。

来源：https://arxiv.org/abs/2406.14861

往期推荐