5th域安全微讯早报【20240716】170期

2024-07-16 星期二Vol-2024-170

今日热点导读

1. 美国国土安全部报告指出海岸警卫队网络安全不足

2. 美国国防部生成式人工智能工作组制定应用指导方针

3. 澳大利亚政府授权网络安全框架以强调全球OT/ICS合作

4. DDoSecrets重新发布维基解密数据库：保障阿桑奇的遗产

5. Autodesk切断俄罗斯对BIM360的访问，迫使开发商转向本土解决方案

6. CoinGecko数据泄露事件：190万电子邮件地址受影响

7. Pinterest数据泄露：黑客声称获取6000万行用户数据

8. Match Systems CEO剖析日本DMM比特币交易所被盗事件

9. WindowsMSHTML漏洞已被黑客利用长达18个月

10. ProfileGrid插件漏洞威胁：WordPress管理员需立即更新

11. 黑客出售OpenSSH 9.6 版命令注入漏洞可远程代码执行

12. CapraRATAndroid间谍软件新活动瞄准游戏玩家和TikTok用户

13. HardBit4.0恶意软件新版本：更复杂的绕过方法和口令保护

14. Whonix17.2：Linux发行版增强匿名性和数据保护

资讯详情

政策法规

1. 美国国土安全部报告指出海岸警卫队网络安全不足

美国国土安全部监察长办公室发布的报告指出，尽管海岸警卫队成立了海上网络安全团队并取得了一定进展，但在加强海上运输系统(MTS)的网络安全方面仍存在不足。报告提出四项建议，包括制定战略行动计划、发布网络安全专项法规、制定标准化网络安全培训以及评估和确认网络安全专家职位描述。目前，私营行业对利用海岸警卫队提供的网络安全服务持犹豫态度，导致服务采用率有限。此外，网络安全检查不总是包括在内，且海岸警卫队缺乏进行这些检查的网络专业知识。报告强调，若没有适当的网络安全措施，美国的供应链可能因网络系统遭利用、滥用或故障而面临风险。国土安全部已同意这些建议，并预计相关行动将在2025年4月30日前完成。海岸警卫队正采取措施解决这些问题，包括与教育机构合作开设专门的海事网络安全课程，以及通过免费服务和行业顾问增强网络防御能力。

来源：https://industrialcyber.co/transport/new-dhs-report-highlights-gaps-in-cybersecurity-efforts-of-coast-guard-for-marine-transportation-systems/

2. 美国国防部生成式人工智能工作组制定应用指导方针

美国国防部已启动名为“利马任务组”的特别工作组，旨在为生成式人工智能技术的应用制定指导方针和基础设施需求。该工作组由五角大楼首席数字和人工智能办公室（CDAO）负责人拉达·普拉姆领导，计划运行18个月，目标是帮助国防部以负责任和战略性的方式使用人工智能。普拉姆表示，工作组将提供关于如何开始AI采用实验之旅的用例建议，并帮助理解使用生成式AI时需要制定的指导方针和护栏。CDAO的作用是制定使用人工智能的限制，允许在国防部生态系统内部进行联合实验。此外，工作组还将帮助CDAO了解支持这些工具所需的系统，包括计算、能源和云与本地计算能力的平衡。普拉姆布正与国防部首席信息官合作，评估为AI技术准备的部门意义以及未来的预算影响。利马特遣部队还负责为官员提供采用生成式AI工具的最佳实践指导和建议。

来源：https://www.nextgov.com/artificial-intelligence/2024/07/dods-generative-ai-task-force-will-help-set-guardrails-broader-use/398060/

3. 澳大利亚政府授权网络安全框架以强调全球OT/ICS合作

澳大利亚政府在2023-2024财年结束之际，由网络和基础设施安全中心（CISC）宣布关键基础设施风险管理计划（CIRMP）年度报告将开放，要求责任实体在规定时间内使用风险管理计划年度报告表完成报告，并在2024年8月17日前开发、实施、管理和维护网络安全框架。此举体现了澳大利亚政府确保数字产品和服务安全、可靠、适用性强的承诺。面对快速增长的网络威胁，澳大利亚强调了在运营技术（OT）和工业控制系统（ICS）网络安全方面开展国际合作的重要性，以应对不断演变的威胁。澳大利亚拥有包括《保护性安全政策框架》（PSPF）和《2018年关键基础设施安全法》在内的多种机制，以确保数字产品在设计和默认情况下都是安全的。此外，澳大利亚政府将继续考虑采取有针对性的行动来确保OT和ICS环境中使用的设备网络安全，并与国际伙伴合作共享方法和经验教训，以应对无国界的网络攻击，加强事件响应和有效恢复。

来源：https://industrialcyber.co/regulation-standards-and-compliance/australian-government-mandates-cybersecurity-framework-stresses-global-ot-ics-collaboration/

安全事件

4. DDoSecrets重新发布维基解密数据库：保障阿桑奇的遗产

DDoSecrets恢复并发布了维基解密的数据副本，以保护和传播朱利安·阿桑奇的遗产。维基解密创始人阿桑奇签署认罪协议并承诺删除未发布的机密材料后，DDoSecrets决定存档并提供更可靠的访问渠道。发布的数据包括也门档案、Vault7和希拉里·克林顿的电子邮件等重要信息。维基解密过去发布的一些有争议的内容，如沙特电报出版物，也在新存档中。DDoSecrets强调其平台的弹性和安全性，并推出了新项目Library of Leaks和无国界披露，以确保数据的长期保存和来源保护。尽管维基解密尚未对此发表评论，但DDoSecrets的行动为记者、活动家和研究人员提供了重要资源。

来源：https://www.securitylab.ru/news/550128.php

5. Autodesk切断俄罗斯对BIM360的访问，迫使开发商转向本土解决方案

2024年7月15日，俄罗斯开发人员因Autodesk封锁其BIM360系统的云帐户而无法访问项目文档。BIM360是建筑、工程和工业设计的重要工具，依赖于存储在Autodesk服务器上的加密文件。尽管俄罗斯公司曾通过哈萨克斯坦、吉尔吉斯斯坦和阿联酋获得Autodesk许可，但这家美国公司发现其产品在俄罗斯使用后，禁止这些客户访问其平台。数据访问受阻可能会严重影响项目进度和合同履行速度，部分公司尝试通过VPN使用该平台但可能不成功。自2024年3月起，Autodesk以欧盟制裁为由禁止俄罗斯企业客户使用其软件，并于2023年10月完成在俄法人实体的清算。此举促使俄罗斯技术大学和开发商转向国产软件，如Compass-3D、DeltaDesign、Renga和Pilot-BIM。据Askon公司称，约30%的俄罗斯开发商已采用本土解决方案，其余则继续使用Autodesk产品及其他专业软件。

来源：https://www.securitylab.ru/news/550127.php

6. CoinGecko数据泄露事件：190万电子邮件地址受影响

CoinGecko，一个领先的加密货币数据聚合器，据称遭受了数据泄露，其中190万个电子邮件地址被泄露。这一事件由社交媒体平台X上的DarkWebInformer首次报道，并引发了对加密货币行业数据安全的广泛关注。泄露的电子邮件地址可能被用于网络钓鱼和其他恶意活动。尽管CoinGecko尚未发布官方声明，但建议用户更改口令并启用双因素认证以增强账户安全。网络安全专家强调了立即采取行动的重要性，并警告用户警惕网络钓鱼电子邮件。如果事件属实，可能会对加密货币行业产生负面影响，削弱用户对该行业的信任。此外，这一事件也凸显了即使是知名平台也存在安全脆弱性，呼吁采取更强有力的网络安全措施。

来源：https://gbhackers.com/claiming-breach-of-coingecko-database/

7. Pinterest数据泄露：黑客声称获取6000万行用户数据

2024年7月15日，知名图片分享平台Pinterest可能遭遇数据泄露，影响数百万用户。黑客“Tchao1337”在一个数据泄露论坛上宣称泄露了包含6000万行用户数据的数据库，其中包含600万条记录，压缩后的文件大小为1.59 GB。泄露的数据包括电子邮件地址、用户名、用户ID和IP地址。这次数据泄露对受影响用户构成重大风险，如钓鱼攻击、身份盗窃和未经授权的账户访问。网络安全专家建议Pinterest用户立即采取措施保护账户，包括更改口令、启用双因素认证，并警惕可疑活动。目前Pinterest尚未对此事件发表正式声明。用户应密切关注账户动态，避免钓鱼攻击，并遵循Pinterest可能发布的任何安全建议。

来源：https://cybersecuritynews.com/pinterest-data-leak/

8. Match Systems CEO剖析日本DMM比特币交易所被盗事件

2024年5月31日，日本比特币交易所Bitcoin.DMM.com遭受黑客攻击，损失了4502.9个BTC，价值约3.08亿美元。网络安全机构Match Systems目前正在处理此案。攻击原因尚不明确，可能涉及私钥泄露，这些私钥可能因内部或外部威胁而受到威胁。此外，也有可能是通过社会工程学技巧或恶意软件诱使交易所员工授权转账。调查发现，黑客利用加密货币混合器JoinMarket洗钱，将超过2000个BTC发送到与JoinMarket相关的地址，其余2500个BTC仍保留在黑客原始地址。Match Systems团队已识别出混合器中的第一个大额提款，涉及223.38个BTC，以及可能与此案相关的50多个超过10个BTC的提款。洗钱的完整周期可能需要数月到一年，Match Systems将继续监控被盗资金的动向，并调查攻击原因。Match Systems是一家专注于AML服务、区块链调查和为全球加密货币项目实施合规程序的领先公司，利用先进的技术和在金融犯罪检测方面的专业知识，帮助组织应对复杂的监管环境并最小化与数字货币相关的风险。

来源：https://cybersecuritynews.com/match-systems-ceo-andrei-kutin/

漏洞预警

9. WindowsMSHTML漏洞已被黑客利用长达18个月

最近，研究人员发现黑客利用WindowsMSHTML漏洞已超过一年。这个漏洞使得攻击者可以通过调用InternetExplorer而不是MicrosoftEdge，利用mhtml:URI处理程序来诱骗用户打开恶意文件。这些文件通常伪装成PDF，但实际上是隐藏了“.url”扩展名的恶意文件。用户一旦点击这些文件，InternetExplorer会自动打开并从攻击者控制的网页下载恶意软件，窃取用户数据。尽管微软已于2024年7月的补丁星期二修复了该漏洞，研究人员仍警告用户要谨慎处理不明来源的.url文件。该漏洞影响了Windows10和Windows11系统，使得最新的Windows系统也未能幸免。研究人员首次于2024年5月报告该漏洞，并被微软披露为零日漏洞。用户需及时更新并扫描系统以防止潜在的入侵。

来源：https://latesthackingnews.com/2024/07/15/hackers-exploited-windows-mshtml-vulnerability-for-over-a-year/

10. ProfileGrid插件漏洞威胁：WordPress管理员需立即更新

最近，Wordfence团队发现了ProfileGrid插件中的严重权限提升漏洞，威胁数千个WordPress网站。ProfileGrid是用于设置用户个人资料、社区和群组的插件，拥有超过7,000个活跃安装。该漏洞（CVE-2024-6411，CVSS评分8.8）由于缺乏验证，允许经过身份验证的攻击者从订阅者级别获得管理员权限。TechlabCorp的安全研究员TieuPhamTrongNhan首先发现并报告了此漏洞，获得了488美元的赏金。此漏洞影响所有版本的插件直到5.8.9。随后，开发人员在版本5.9.0中发布了修补程序。然而，目前仅有36.7%的用户运行最新版本，大多数用户仍在使用易受攻击的旧版本。WordPress管理员必须立即更新插件，并检查所有插件的安全性以防范潜在威胁。

来源：https://latesthackingnews.com/2024/07/15/profilegrid-wordpress-plugin-vulnerability-could-allow-admin-access/

11. 黑客出售OpenSSH 9.6 版命令注入漏洞可远程代码执行

一名论坛ID为ZTG的黑客7月14日在泄露论坛发帖声称，其有意出售针对 OpenSSH 9.6 版本的命令注入漏洞，该漏洞允许远程代码执行 (RCE)，对运行受影响版本的系统构成重大风险。卖家声称该漏洞经过测试并确认有效，交易价格可商议，接受比特币、门罗币和莱特币支付。卖家表示只考虑信誉良好的买家，确保只进行认真的询问。此漏洞的存在强调了保持最新安全措施和监控系统以防潜在漏洞的重要性。企业和系统管理员应迅速采取行动，更新 OpenSSH 版本，以防止潜在的攻击和数据泄露。

来源：https://dailydarkweb.net/a-threat-actor-selling-openssh-command-injection-exploit-for-version-9-6/

恶意软件

12. CapraRATAndroid间谍软件新活动瞄准游戏玩家和TikTok用户

研究人员发现CapraRAT Android间谍软件正在进行一项新活动，目标包括TikTok用户、游戏玩家和其他特定用户群体。根据SentinelLabs的报告，CapraRAT通过伪装成合法应用程序来欺骗用户，已发现的恶意APK包括Crazy Game、性感视频、TikToks和武器。这些应用程序在用户安装后，会请求多个侵入性权限，如访问短信、联系人、GPS位置、摄像头、录音、通话记录等，超出了游戏或视频应用的实际需求。恶意软件还利用WebView功能欺骗用户访问合法网站，使其难以被察觉。CapraRAT由疑似巴基斯坦的国家行为者组织Transparent Tribe运营，自2016年以来一直活跃，尤其针对印度受害者。用户应警惕应用权限请求，以避免成为此类攻击的受害者。

来源：https://latesthackingnews.com/2024/07/15/latest-caprarat-android-spyware-campaign-targets-gamers-tiktokers/

13. HardBit4.0恶意软件新版本：更复杂的绕过方法和口令保护

网络安全研究人员发现了HardBit恶意软件的最新版本HardBit4.0，它采用新的伪装技术和口令保护，使分析更加困难。与之前的版本不同，HardBit4.0需要在程序执行期间直接输入口令。该组织没有数据泄露网站，转而通过新的攻击直接威胁受害者勒索赎金，主要使用安全信使Tox进行沟通。初始渗透方法可能是暴力攻击RDP和SMB服务，一旦进入系统，攻击者使用Mimikatz和NLBrute窃取凭据并通过高级端口扫描器探测网络。恶意软件加密受害者数据前会降低主机安全性，并禁用MicrosoftDefender防病毒软件。HardBit4.0具有带图形界面和不带图形界面的两种变体，支持viper模式，可以永久删除文件和格式化磁盘。为了成功执行，攻击者需要提供授权ID并请求加密密钥。这种复杂性增加了对主动网络安全防御的需求。

来源：https://www.securitylab.ru/news/550132.php

其他动态

14. Whonix17.2：Linux发行版增强匿名性和数据保护

Whonix17.2，一款旨在提高匿名性和保护个人数据的Linux发行版，已经发布。基于DebianGNU/Linux，Whonix通过Tor网络提供匿名的互联网连接，并在GPLv3许可下分发。该发行版由两个主要组件构成：Whonix-Gateway作为网络网关，将流量通过Tor路由，而Whonix-Workstation提供用户工作环境。这种设计确保了用户的真实IP地址和DNS信息即使在系统被攻击的情况下也不会泄露。Whonix-Workstation预装了Xfce环境及VLC、TorBrowser等应用程序，而Whonix-Gateway则包含创建Tor隐藏服务的服务器应用。新版本17.2带来了基于Kicksecure的安全更新、默认Tor连接、防火墙从iptables迁移到nftables、IPv6支持改进、Tor和TorBrowser的更新，以及对Bisq2 P2P网络的支持等。尽管Whonix提供了强大的匿名性，但不建议在同一台计算机上运行其组件，以避免虚拟化漏洞。

来源：https://www.securitylab.ru/news/550123.php

往期推荐