2024-07-15 星期一Vol-2024-169

今日热点导读

1. 新加坡金融管理局要求银行逐步淘汰一次性密码

2. 全球网络安全政策对OT和ICS网络安全的影响

3. 韩国国家警察厅遭非法入侵，黑客从4000美元出售访问权限

4. 法国SFR电信公司数据库遭黑客出售，涉及逾百万用户信息

5. CDK Global支付2500万美元赎金后恢复服务

6. 日本对超200名防卫人员启动纪律处分，强化信息安全管理

7. 日本伊势腾公司遭受勒索软件攻击，90余万个人信息泄露

8. 美国第三大药房连锁Rite Aid确认数据泄露

9. SonicPanel的0day漏洞在泄露论坛上售卖

10. 最新报告揭示PoC利用加速与DDoS攻击激增

11. 以色列军队在冲突中面临前所未有的网络攻击

12. OT和ICS网络安全国际合作面临的挑战和解决方案

13. DeFi应用遭受DNS劫持攻击，用户安全受到威胁

14. 谷歌母公司Alphabet拟230亿美元收购云安全公司Wiz

资讯详情

政策法规

1. 新加坡金融管理局要求银行逐步淘汰一次性密码

新加坡金融管理局(MAS)宣布了一项新要求，影响国内所有主要零售银行，要求它们在未来三个月内逐步淘汰一次性密码(OTP)的使用。这一举措是政府与新加坡银行协会(ABS)之间的共识，旨在保护消费者免受网络钓鱼和其他诈骗。尽管OTP在2000年代作为多因素认证选项被引入以加强在线安全，但技术发展和更精细的社交工程手段使得骗子更容易通过设置假冒银行网站来网络钓鱼客户的OTP。此外，OTP多年来一直是Android恶意软件的目标，帮助其操作者绕过目标账户的双因素认证保护。新加坡银行客户现在将使用数字令牌代替OTP，必须在移动设备上激活。ABS表示，国内三家大型银行——星展银行(DBS)、华侨银行(OCBC)和大华银行(UOB)的60%至90%的客户已经激活了数字令牌。MAS解释说，数字令牌将在不需要OTP的情况下对客户登录进行认证，这样骗子就无法窃取或诱骗客户披露。未激活数字令牌的客户将继续像以前一样接收OTP，但预计这部分人将变得越来越少。

来源：https：//www.bleepingcomputer.com/news/security/banks-in-singapore-to-phase-out-one-time-passwords-in-3-months/

2. 全球网络安全政策对OT和ICS网络安全的影响

全球网络安全政策对OT和ICS响应的影响显著，促进了跨国界合作与协调。ENISA的Konstantinos Moulinos强调，国际合作加强了信息共享和最佳实践交流，推动了如IEC 62443等标准的开发，提高了威胁检测和缓解能力。国际条约如《布达佩斯网络犯罪公约》和区域立法如欧盟的NIS指令，为网络安全政策的协调提供了框架。此外，通过双边协议、共享威胁情报和联合演习，如欧盟CSIRT网络和NATO的Locked Shields，加强了事件响应和恢复工作。MITRE的Sarah Freeman指出，国际合作改善了信息共享，有助于快速响应网络攻击，而OT-ISAC的John Lee提到集体防御和知识共享在制定标准和解决问题中的好处。然而，Freeman也提醒，组织需要调整政策以符合如GDPR等法规，减少信息共享的延迟。FDD的Annie Fixler强调了网络威胁的前所未有水平，以及美国及其盟友在网络空间合作对抗对手的必要性。她提到，白宫和能源部的新举措旨在建立全球供应链网络安全原则，通过与全球公司的合作，提高产品的网络安全。

来源：https：//industrialcyber.co/features/international-collaboration-emerges-as-critical-for-boosting-ot-and-ics-cybersecurity-amid-rising-threat/

安全事件

3. 韩国国家警察厅遭非法入侵，黑客从4000美元出售访问权限

2024年7月11日，一名自称为IntelBroker的黑客在暗网上声称成功入侵了韩国国家警察厅（KNPA），并公开出售对该机构的非法访问权限，要价4000美元，交易使用Monero（XMR）加密货币进行。IntelBroker声称可以访问KNPA的行政门户、用户数据库和中央指挥面板等敏感区域。尽管KNPA在2019至2023年间遭受了超过20000次的黑客攻击尝试，但IntelBroker的声明尚未得到官方的确认或否认。韩国议员杨普南强调了加强KNPA网络安全措施的重要性，以应对持续的网络威胁。目前，KNPA正寻求增加网络安全方面的资金和资源，以确保敏感政府数据的完整性和保密性。这一事件仍在持续发展中，相关媒体将持续关注并更新信息。

来源：https：//thecyberexpress.com/korean-national-police-agency-cyberattack/

4. 法国SFR电信公司数据库遭黑客出售，涉及逾百万用户信息

近日，一名威胁行为者在Breachforums上宣称拥有法国第三大电信公司SFR的数据库，并公开出售。该数据库据称包含1445683名用户的详细信息，包括姓名、固定电话号码、地理位置（纬度和经度）、订阅状态和红名单状态。威胁行为者还提供了包括姓名、电话号码、地址等在内的选择器。数据库的销售价格可通过私信获取，接受Monero（XMR）和Litecoin（LTC）作为支付方式。此外，威胁者表示，如果买家支付独家价格，他们将删除销售帖子。目前，尚无官方确认此次数据泄露事件，但若情况属实，这将是一起严重的信息安全事件，对SFR及其客户造成重大影响。

来源：https：//dailydarkweb.net/threat-actor-claims-to-sell-database-of-sfr-frances-third-largest-telecom/

5. CDK Global支付2500万美元赎金后恢复服务

据报道，CDK Global在遭受严重的勒索软件攻击后支付了2500万美元的比特币赎金。此次网络攻击导致CDK的服务器瘫痪，影响了多达15,000家汽车经销商的运营，包括Asbury、AutoNation、Group 1、Lithia和Sonic连锁店。由于此次停运，经销商在前两周内的经济损失估计超过6亿美元。虽然CDK尚未公开其恢复服务的具体方法，但有消息称，他们支付赎金以防止数据泄露，并用几天时间重建和恢复服务。尽管支付了赎金，受影响的系统仍在调查和测试中，完全恢复时间尚不确定。此次事件反映出勒索软件攻击的严重性及其对行业的广泛影响，强调了网络安全防护的重要性。

来源：https：//www.theregister.com/2024/07/12/cdk_ransom_payout/

6. 日本对超200名防卫人员启动纪律处分，强化信息安全管理

摘要：日本对超过200名防卫相关人员，包括高级军事官员和高级官僚，因多次处理机密信息不当而启动纪律措施。此举突显了日本在国际紧张局势加剧和加强与西方民主国家联盟努力中，维护严格安全标准的承诺。纪律行动源于对日本有效管理敏感数据能力的关注，这对于情报共享和战略合作至关重要，特别是在俄罗斯在乌克兰的侵略行为和涉及中国的地区紧张局势升级的全球挑战背景下。受纪律措施影响的突出人物之一是日本海上自卫队负责人Ryo Sakai，他因未授权人员访问与外国军事舰船追踪相关的敏感数据而辞职。防卫大臣Kihara Minoru承认这些安全漏洞，并对自卫队人员的虚假补偿要求等其他违规行为表示遗憾。Kihara强调日本通过立法改革和与国际伙伴特别是美国更紧密的合作，积极加强信息安全。这些事件促使日本实施更严格的安全措施，包括旨在加强处理机密信息规则和增强安全审查程序的新安全法。

来源：https：//japantoday.com/category/national/japan-disciplines-military-top-brass-for-mishandling-classified-information

7. 日本伊势腾公司遭受勒索软件攻击，90余万个人信息泄露

总部位于日本京都的印刷和邮寄服务提供商伊势腾公司（Iseto Corp.）遭遇了一起严重的勒索软件攻击，导致超过90万个人的敏感信息被泄露。此次数据泄露由网络犯罪集团8Base发起，涉及的敏感信息包括姓名、地址、税务详情和车辆注册号码，这些信息来自日本各地的多个都道府县和市町村实体。受此事件影响的地区包括德岛县、爱知县丰田市以及京都、东京大田区、和歌山、高松和神奈川县藤泽市等地的市町村。伊势腾公司最初对数据泄露的回应受到广泛批评，因其延迟披露和在最初阶段缺乏透明度。尽管最初否认有任何数据泄露，伊势腾最终确认了安全事件，但尚未提供受影响个人和组织数量的全面报告，使得受影响地区及其他地区的利益相关者对泄露的规模和范围感到不确定。德岛县当局正在探讨对伊势腾公司可能的数据安全协议失误提起法律诉讼。

来源：https：//www.asahi.com/ajw/articles/15343458

8. 美国第三大药房连锁Rite Aid确认数据泄露

美国第三大药房连锁企业Rite Aid确认，在6月份遭受勒索软件攻击后发生了数据泄露。此次网络攻击由 RansomHub 勒索软件团队发起。Rite Aid在全美16个州拥有超过1700家零售药店，雇佣了超过6000名药剂师和总共超过45000名员工。该公司向BleepingComputer透露，目前正在调查6月份发现的网络攻击事件，并向受影响的客户发送数据泄露通知。Rite Aid表示，已经与外部网络安全专家合作，恢复了所有在事件中受到影响的系统，并已全面恢复运营。尽管Rite Aid没有透露具体泄露了哪些客户数据或有多少人受到影响，但公司确认此次泄露不影响健康或财务信息，包括社会安全号码、财务信息或患者信息。RansomHub声称在攻击中窃取了超过10GB的客户数据，涉及约4500万条个人信息记录，并在Rite Aid停止谈判赎金后，威胁将在两周内公开所有数据。

来源：https://www.bleepingcomputer.com/news/security/rite-aid-confirms-data-breach-after-june-ransomware-attack/

漏洞预警

9. SonicPanel的0day漏洞在泄露论坛上售卖

2024年7月12日，黑客tikila在一个名为“Breached”的论坛上发布了一个0day漏洞的售卖信息。该漏洞涉及SonicPanel，这是一个独立的广播托管控制面板，被广泛应用于托管公司、数据中心和FM电台提供广播托管服务。tikila声称，该漏洞为SonicPanel的预身份验证远程代码执行漏洞（PreAuth RCE），并能以root权限执行操作，售价为40,000美元。该漏洞的潜在买家被告知通过Shodan和Zoomeye进行搜索以找到易受攻击的SonicPanel实例。联系信息仅限于通过TOX进行加密通讯。此类高危漏洞的售卖引发了对SonicPanel用户安全的严重担忧，尤其是在黑客能够在未授权的情况下获得最高权限访问的情况下。

来源：https：//breachforums.st/Thread-SELLING-0day-SonicPanel-PreAuth-RCE-root

风险预警

10. 最新报告揭示PoC利用加速与DDoS攻击激增

根据Cloudflare发布的2024年应用安全报告，威胁行为者在公开PoC漏洞后，有时仅需22分钟就能将其武器化并发起攻击。报告覆盖了2023年5月至2024年3月的活动，强调了新兴的威胁趋势。Cloudflare每天处理平均5700万次HTTP请求，发现对已披露CVE的扫描活动激增，紧随其后的是命令注入和PoC武器化尝试。报告指出，最受攻击的漏洞包括Apache产品中的CVE-2023-50164和CVE-2022-33891，Coldfusion中的CVE-2023-29298、CVE-2023-38203和CVE-2023-26360，以及MobileIron中的CVE-2023-35082。特别是JetBrains TeamCity的认证绕过漏洞CVE-2024-27198在PoC发布后22分钟内即被利用。报告强调，人工智能辅助是对抗这种速度的关键。此外，报告还指出，DDoS流量占每日互联网流量的6.8%，比前一年增长显著。在全球大规模攻击事件期间，恶意流量可能占到全部HTTP流量的12%。Cloudflare提供的PDF报告中有更多建议和详细统计数据。

来源：https：//www.bleepingcomputer.com/news/security/hackers-use-poc-exploits-in-attacks-22-minutes-after-release/

11. 以色列军队在冲突中面临前所未有的网络攻击

在最近的冲突中，以色列军队的云计算系统成为大规模网络攻击的目标，攻击次数高达 30 亿次。这些攻击自 10 月 7 日开始，旨在破坏用于管理作战行动、部队调动和实时信息共享的关键系统。据以色列军队计算机和信息系统中心指挥官邓宾斯基上校称，虽然攻击规模和强度很大，但未成功破坏军队的作战能力。然而，以色列军方承认在应对如此大规模网络渗透方面存在不足。与此同时，加沙冲突加剧了人道主义危机，导致大量平民伤亡和流离失所。以色列继续加强其网络防御，并将网络弹性纳入国家安全战略，以应对现代战争中的新挑战。

来源：https：//thecyberexpress.com/israeli-army-cyberattacks/

12. OT和ICS网络安全国际合作面临的挑战和解决方案

OT和ICS网络安全国际合作面临的挑战主要包括缺乏信任、信息共享的犹豫、不同的法律和监管制度、以及数据处理和隐私保护的差异。这些因素导致国家和组织间在事件和威胁信息共享方面存在障碍。为应对这些挑战，专家提议组织应加入信息共享和分析中心（ISAC）、采用国际标准、参与国际演习，并推动政府建立更协调的监管框架。此外，沟通挑战需通过统一的分类法和模型来克服，如MITRE ATT&CK框架，尽管GDPR等隐私法对信息共享构成挑战。建立国际合作伙伴间的信任和清晰的沟通渠道至关重要。解决方案还包括参与共享平台进行信息交流和能力建设，以及将供应链网络安全计划等原则转化为可衡量的成果，确保全球制造商对遵守承诺负责，共同构建更可靠、更具弹性的基础设施。

来源：https：//industrialcyber.co/features/international-collaboration-emerges-as-critical-for-boosting-ot-and-ics-cybersecurity-amid-rising-threat/

13. DeFi应用遭受DNS劫持攻击，用户安全受到威胁

2024年7月11日，一次利用DNS劫持的攻击暴露了托管在Squarespace上的120多个DeFi应用的安全漏洞。攻击者通过劫持域名系统(DNS)记录，将用户重定向到恶意网站，从而窃取敏感信息和资金。受影响的协议包括Compound和CelerNetwork。此次攻击通过破坏DNS记录，拦截合法DeFi平台，将用户引导至钓鱼网站。调查显示，攻击者专门针对Squarespace域名，使所有使用该平台的DeFi应用面临风险。MetaMask实施了警告系统，以保护用户免于在不知情的情况下与恶意网站进行交互。这次事件凸显了DeFi开发人员需优先考虑安全措施，用户在使用DeFi应用时需保持警惕。

来源：https://hackread.com/defi-hack-alert-squarespace-domains-dns-hijacking/

其他动态

14. 谷歌母公司Alphabet拟230亿美元收购云安全公司Wiz

据《华尔街日报》报道，谷歌母公司Alphabet正深入谈判，计划以约230亿美元收购云安全公司Wiz，这将是Alphabet有史以来最大的一笔收购。Wiz提供一种集成的云安全管理方法，能够跨Amazon Web Services、Microsoft Azure、Google Cloud等云平台收集数据并扫描安全风险。此举被看作是Alphabet加强谷歌云业务的策略之一，该业务在2024年第一季度实现了28%的增长，达到95.7亿美元。Wiz由几位前微软员工创立，成立四年来已筹集了19亿美元资金，并在最近一轮融资中估值达到120亿美元，拥有3.5亿美元的年度经常性收入。Wiz的投资者包括多家知名风险投资公司和个人投资者。目前，Alphabet和Wiz均未对此事发表评论。

来源：https：//techcrunch.com/2024/07/14/google-reportedly-in-talks-to-acquire-cloud-security-company-wiz-for-23b/

往期推荐