CISA：美国政府机构的网络安全实战能力严重不足；万能钥匙挑战生成式AI内容安全 | 牛览

• 北京海淀警方重拳出击严打涉网犯罪

• 北约将建立新的网络安全防护中心

• CISA：美国政府机构的网络安全实战能力严重不足

• 为保护被盗数据安全，AT&T公司或已向攻击者支付赎金

• “万能钥匙”轻松绕过防护措施 挑战生成式AI内容安全

• Akira勒索软件攻击者仅用2小时即可完成数据窃取

• NuGet供应链攻击使用了近60个新的恶意软件包

• mSpy数百万条数据泄露恐殃及特工等敏感人群

• 一个关键漏洞危及超150万个Exim邮件传输代理实例

• 迪士尼公司遭网络攻击，超1.1TB数据泄露

• 谷漏洞奖励奖金增加五倍，单个漏洞奖金最高可超百万

• Vista Equity拟再次出售网络安全公司Sonatype

为营造良好的网络环境，严厉打击涉网违法犯罪，根据全国公安机关“夏季治安打击整治行动”统一部署，北京海淀警方持续加大对涉网违法犯罪的打击力度，有力保障了网络环境安全稳定。

案例一：重拳出击 海淀警方打掉一利用网络直播传播有害信息团伙

近日，海淀警方经细致侦查，成功破获一起以成立MCN传媒公司的方式，非法利用信息网络传播违法信息的案件，刑事拘留16人，有力地打击了犯罪分子的嚣张气焰，彰显了海淀警方守护网络清朗的强大决心。

2024年3月中旬，海淀警方接群众举报，称在某直播平台发现一主播有传播淫秽视频的行为。接警后，海淀分局警务支援大队立即开展工作，通过调查，发现该公司多名主播均存在此类情况。民警立即成立攻坚小组开展多维度侦查，梳理团伙成员，固定相关证据。

2024年4月中旬，民警锁定李某、魏某等16名有重大作案嫌疑人，随即立即开展抓捕工作，最终将涉案人员全部抓获。起初，面对民警的讯问，李某等人还心存侥幸，但在大量的证据面前，李某等人不得不认罪伏法，坦白自己的犯罪行为。

目前，犯罪嫌疑人李某、魏某等16人已被海淀警方依法刑事拘留，案件正在进一步审查中。

案例二：揪出“内鬼” 海淀警企合作抓获隐私盗贼

日前，海淀警方经过缜密侦查，与辖区企业密切配合，成功破获一非法获取计算机信息系统数据案件，刑事拘留2人，涉案金额8万余元，有力守护了网络秩序，维护了群众的合法权益。

2024年3月，海淀警方接辖区企业报警称，公司在内部日常巡检时，发现员工吴某操作行为异常，存在违法嫌疑。接警后，警务支援大队立即开展侦办。

民警循线追踪侦查，于2024年4月，将犯罪嫌疑人吴某抓获，当场扣押作案工具，在其办公电脑中发现大量作案证据。经审讯，吴某承认为牟取非法利益，利用职务便利，进行网络犯罪的事实。随即，民警加大工作力度，深挖扩线，分析研判其同伙赵某藏身地并将其抓获。

目前，吴某、赵某因非法获取计算机信息系统数据罪，已被海淀警方依法刑事拘留，案件正在进一步审查中。

案例三：深挖幕后 海淀警方破获非法获取公民个人信息案

2023年12月，海淀警方在办理一起案件时，发现非法出售公民个人信息的线索。随即，警务支援大队联合上地派出所民警扩线侦查，深挖幕后犯罪嫌疑人，彻底铲除违法犯罪链条。

经工作，民警发现犯罪嫌疑人翁某和黄某有重大作案嫌疑。2024年4月，民警连日摸排蹲守，最终将两人抓捕归案，在证据面前，犯罪嫌疑人均对其侵犯公民个人信息的犯罪事实供认不讳。

目前，翁某、黄某因涉嫌侵犯公民个人信息罪，已被海淀警方依法刑事拘留，案件正在进一步侦办中。

原文链接：

https://mp.weixin.qq.com/s/O7ZZV059U9bLis0tsFRSGg

据美国防务邮报网站报道，北约组织已经决定在欧洲开设一个新的网络安全防御中心，以保护其成员国应对先进的数字威胁。

该项决定在华盛顿举行的北约安全峰会上宣布的，这个新建的网络防御中心将设在比利时蒙斯的欧洲盟军最高司令部，主要定位于加强该联盟的网络可靠性、威胁态势感知能力，并增强北约国家间网络空间漏洞情报的数据共享。

除了战术支持外，该中心还将实施对北约联盟关键网络基础设施的保护，以加强成员国的防御能力。

原文链接：

https://www.infosecurity-magazine.com/news/nato-build-new-cyber-defense-center/

美国国家网络安全和基础设施安全局（CISA）近日发布的一份报告指出，美国政府机构的网络安全实战能力存在严重不足。

该报告全面总结了近期开展的一项红队演练测试行动。该行动以尝试入侵一个未公开名称的行政机构网络为目的。测试中，CISA的技术人员采用类似于国家级威胁组织的攻击策略，试图完全控制该网络并获取敏感数据。测试结果令人震惊，测试人员轻而易举就获取了该机构网络的初始访问权限，并先利用Solaris中已知的漏洞获取了立足点，然后与窃取的Windows凭据结合使用，获得了对整个网络的完全访问权限，进而渗透到外部网络。

在整个测试过程中，测试人员所实施的各项操作始终未被网络防御人员发现。更为糟糕的是，红队（攻击方）还能窃听蓝队（防御方）的通信，因而红队在采取对抗措施之前总能领先一步。

报告认为，美国政府机构在事件响应和调查流程中存在严重的官僚作风，这为事件响应带来了拖延；同时，防护人员仍然过度依赖已知的威胁指标和C2框架进行被动性防护；此外，对网络日志的实时监控和分析能力也明显不足。

原文链接：

https://www.scmagazine.com/news/cisa-sees-red-over-government-cybersecurity-exercise

根据《连线》杂志报道称，美国最大的电信运营商AT&T（美国电话电报公司）已经向攻击者支付了270万元（约 37 万美元）的赎金，以删除此前在网络攻击中被非法窃取的客户数据。

AT&T 上周五表示，攻击者通过入侵第三方云平台，获取了该公司大量客户的隐私数据，其中包含电话号码、通话和短信等。

报道称，黑客最初要求 100 万美元赎金，经谈判 AT&T 最终支付了不到 40 万美元，攻击者随后提供了一段大约七分钟的视频，证明他们已经删除这些数据。

AT&T 公司目前尚未正式回应是否支付赎金。由于该公司拥有近 1.15 亿客户，该事件可能会危及国家安全或公共安全。美国联邦通信委员会（FCC）于当地时间7月12日表示，已经就AT&T公司客户数据遭大规模黑客攻击事件展开正式调查。

原文链接：

https://hackread.com/att-data-breach-hackers-steal-call-text-records/

微软近日警告称，攻击者可能利用被其称为“万能钥匙”（Skeleton Key）的一种简单技术，绕过主流大语言模型应用中内置的防护措施，生成有害、冒犯或非法的内容。

微软在6月26日发布的一份报告中揭示了万能钥匙的攻击流程。这种攻击方式要求模型增强其行为准则，而非改变它们：当模型收到非法请求时，它会对生成的有害内容添加警告，而不是拒绝请求。如果万能钥匙攻击成功，模型会被欺骗以为已经更新了自己的防护措施。这种攻击类型被称为强制指令遵循（Explicit: forced instruction-following）。受到万能钥匙攻击后，模型会绕过初始的负责任AI准则，生成任何内容。

万能钥匙对生成性AI模型构成了新的挑战。为了应对这种攻击，AI供应商需要采取相应的措施来检测和阻止万能钥匙技术的使用，以保护用户和应用程序免受威胁。微软补充说，他们已在其Azure AI托管的模型中使用了提示防护措施来解决这个问题，并与其他AI供应商分享了其发现。

原文链接：

https://www.itpro.com/security/microsoft-warns-skeleton-key-can-crack-popular-ai-models-for-dangerous-outputs

日前，黑莓公司的安全威胁研究和情报团队研究发现，通过使用Akira勒索软件及服务平台，攻击者能够在两个小时左右的时间里，快速完成对受害企业的数据窃取。这标志着勒索攻击罪犯的威胁形势已经发生了重大变化。

研究人员是在对一家拉丁美洲航空公司遭遇Akira勒索软件攻击的调查过程中发现上述情况的。根据分析，攻击者使用安全外壳（SSH）协议，通过未打补丁的Veeam备份服务器获得了初步访问权限，并在实际部署Akira勒索软件之前开始进行敏感数据的窃取。整个数据窃取行动只花了133分钟；之后攻击者立即结束了当天的攻击。直到第二天，攻击者再次深入网络并实际部署勒索软件。

研究人员表示，Veeam 备份服务器本身包含了大量数据，攻击者一旦访问了该服务器，就会立刻开始窃取数据并用于二次勒索，而不需要通过横向移动来找到他们想要的东西。

根据Veeam公司是调查数据，93%的网络攻击都以备份存储为目标，这凸显了当前备份存储的脆弱性。

原文链接：

https://www.darkreading.com/endpoint-security/akira-ransomware-lightning-fast-data-exfiltration-2-hours

ReversingLabs最新发布的一份报告显示，一场正在持续进行的NuGet供应链攻击涉及数十个新的恶意软件包。自去年8月以来，已有近60个新的恶意软件包被上传到NuGet软件包管理器，用于部署SeroXen RAT（远程访问工具）。

报告指出，这些恶意包利用了中间语言编织（Intermediary Language Weaving）技术，在.NET平台上的可移植、可执行的二进制文件中嵌入恶意代码。这些文件与NuGet包相关联，其中包括广泛使用的Guna.UI2.WinForms包。攻击者还利用同形字符来混淆代码，采用不断演变的技术手段来威胁敏感数据和IT资产。

尽管这些恶意软件包已被移除，但这次攻击活动揭示了攻击者利用新的方式欺骗开发人员和安全团队，使他们下载和使用来自热门开源软件包管理器（如NuGet）的恶意或篡改软件包。

原文链接：

https://www.scmagazine.com/brief/ongoing-nuget-supply-chain-attack-involves-dozens-new-malicious-packages

近日，黑客成功入侵mSpy软件公司所使用的Zendesk客户支持服务器，导致数百万条用户数据泄露。这一事件可能对联邦特工、法官、军事人员和秘密情报机构成员等人群造成影响，引发了对钓鱼攻击和社会工程威胁的担忧。

mSpy是一款由乌克兰公司Brainstack开发的热门手机追踪软件，被广泛应用于监控孩子、追踪伴侣和亲戚。此外，一些政府机构向员工和相关人员发放了安装了该软件的设备，用于秘密监控他们的活动。该软件能记录通话记录、照片、联系人、视频和其他数据，并将其传输到mSpy的服务器进行分析和存储。调查显示，此次入侵泄露了自2014年以来的mSpy应用程序生成的用户记录，包括个人详细信息、电子邮件地址、附件、客户支持票据和部分机密公司数据。

Have I Been Pwned服务的创建者Troy Hunt获得了完整的数据集，并分析了与mSpy客户相关的240多万个电子邮件地址，发现所有数据仍然准确、有效。

原文链接：

https://www.cybersecurity-insiders.com/mspy-faces-major-data-breach-following-cyber-attack/

Censys近日警告称，超过150万个Exim邮件传输代理（MTA）实例存在一个关键漏洞，该漏洞允许攻击者绕过安全过滤器。该安全漏洞标识号为CVE-2024-39929，由Exim开发人员在7月10日修补。该安全漏洞影响Exim的4.97.1版本及其之前的版本。

Exim是世界上最流行的邮件传输代理软件之一，也是默认的Debian Linux MTA。该漏洞是由于多行RFC2231标头文件名解析不正确造成的，这可能使远程攻击者通过绕过$mime_filename扩展名阻止保护机制，向最终用户的邮箱发送恶意可执行附件。黑客可以在漏洞发布后22分钟内使用PoC漏洞利用进行攻击。

Censys观察，到截至2024年7月10日，有超过150万个公开暴露的Exim服务器运行着可能存在漏洞的版本，主要集中在美国、俄罗斯和加拿大。尽管用户需要下载或运行恶意附件才会受到影响，但该漏洞允许攻击者绕过基于文件扩展名的安全检查，将本来可能被阻止的风险文件发送到目标邮箱中。管理员建议无法立即升级Exim的情况下，限制来自互联网的远程访问，以阻止入侵尝试。

7月12日，黑客组织NullBulge声称已侵入迪士尼公司，泄露了1.1 TiB的内部Slack数据。这起尚未得到验证的入侵据称包含了公司开发团队在Slack工作空间中使用的全部通讯内容，包括消息、文件和其他数据。

NullBulge组织的起源尚不清楚，其旨在“保护艺术家的权利，并确保他们的工作得到公平报酬”。有传言称NullBulge可能与LockBit勒索软件团伙有关，因为他们似乎在使用LockBit的泄露构建器。

这次迪士尼的数据泄露只是美国公司受到的一系列入侵事件中的又一起。在2024年7月12日，AT&T宣布黑客窃取了“几乎所有”客户的通话记录和短信日志，影响了超过1.1亿美国人。

原文链接：

https://hackread.com/disneys-internal-slack-breached-nullbulge-leak-data/

近日，谷歌发布最近的漏洞奖励计划，漏洞发现奖金将增加五倍，单个安全漏洞的最高奖金将达到15.15万美元（合人民币108万元）。从7月11日00:00开始提交的漏洞报告将根据新的奖励标准进行。除了提供更高的奖金外，谷歌还扩大了支付选项，包括通过Bugcrowd进行支付。

谷歌漏洞奖励计划规则的更新涵盖谷歌对奖励金额的更改和新的支付结构等信息。一年前，该公司将Chrome沙盒逃逸链漏洞的奖励金额提高了三倍。谷歌表示，新计划之所以提高奖金，是因为随着时间的推移，他们的系统变得更加安全，发现漏洞所需的时间也更长。

自2010年启动漏洞奖励计划（VRP）以来，谷歌已向安全研究人员支付了超过5000万美元奖金，他们共报告了1.5万多个漏洞。仅在去年，谷歌就支付了1000万美元，其中最高奖金金额为11.3万美元。

原文链接：

https://www.bleepingcomputer.com/news/security/google-increases-bug-bounty-rewards-five-times-up-to-151k/

据知情人士透露，当前私募股权公司Vista Equity正在考虑出售其持有的网络安全公司Sonatype，并已委托高盛来征询潜在买家的兴趣。这笔交易可能使Sonatype的估值超过15亿美元（包括债务）。除了出售股份，Vista还可能考虑出售Sonatype的少数股权。

Sonatype是一家提供技术工具和软件的公司，目前年营收约为1.5亿美元。其主要业务是帮助企业进行软件开发、开源代码库分析与维护，以及软件供应链保障。该公司为2000多家企业客户和约1500万软件开发人员提供服务，其中包括BNP Paribas、ABN Amro、BNY Mellon等银行和金融服务公司，以及美国专利商标局和美国能源部等政府部门。

目前，Vista、Sonatype和高盛均拒绝对此发表评论，具体交易细节和结果尚不确定。

原文链接：

https://www.reuters.com/markets/deals/vista-equity-explores-sale-cybersecurity-firm-sonatype-sources-say-2024-07-12/