5th域安全微讯早报【20240718】172期

2024-07-18 星期四Vol-2024-172

今日热点导读

1. 俄罗斯计划至2026年建立国家级AI治理平台

2. 英国拟推出勒索软件攻击强制报告法规

3. 雪佛龙原则废除：美国关键基础设施网络防御面临重大挑战

4. 美国财政部发布金融部门云采纳指导，重点帮助小型银行

5. 知名家具公司Bassett Furniture因勒索软件攻击关闭制造设施

6. 以色列国防军成功抵御30亿次网络攻击

7. Snowflake账户因暴露的合法凭证遭攻击，凸显凭证管理重要性

8. Hackney区议会因未能防止勒索软件攻击而受到谴责

9. AWS与NSO集团的合作曝光：从2018年起租赁基础设施

10. Ivanti Endpoint Manager发现严重SQL注入漏洞

11. CERT-In警报：Adobe、IBM WebSphere和Joomla存在关键安全漏洞

12. VirtualBox零日漏洞威胁：Linux主机系统风险及应对措施

13. Atlassian产品高危漏洞：立即更新以防任意代码执行

14. FIN7黑客组织开发新工具绕过EDR并进行自动化攻击

15. Killer Ultra恶意软件瞄准赛门铁克、微软和Sentinel One的EDR工具

16. 2024年第二季度勒索软件激增：新策略与地缘政治影响

资讯详情

政策法规

1. 俄罗斯计划至2026年建立国家级AI治理平台

俄罗斯正筹划在2026年之前开发一个用于公共管理的数字人工智能（AI）平台，作为“数据经济”国家项目的一部分。预计到2030年，将开发至少30个应用于公共管理和社会领域的AI解决方案，同时AI开发者将能够访问170个政府数据集。尽管联邦项目“人工智能”的具体参数仍在制定中，但数字发展部正在确保所有数字化转型的优先举措得到实施。尽管融资和运营细节尚未公开，但专家推测Sberbank可能负责开发该平台，因为其在AI领域拥有必要能力，并且与政府有较多合作。Sberbank已经为Gostekh提供软件技术支持，包括安全监控和网络攻击检测服务。此前，政府曾考虑将AI平台纳入“数字经济”项目，但未与实施者达成协议。目前，Rostelecom和State Technologies等相关部门拒绝对此发表评论。

来源：https://www.securitylab.ru/news/550205.php

2. 英国拟推出勒索软件攻击强制报告法规

英国新政府宣布计划推出《网络安全与弹性法案》，更新国家网络安全法规。新法案将包括勒索软件攻击的强制报告要求，但适用范围限于“受监管实体”，而非整个私营部门。尽管如此，受监管实体的范围可能会扩大，包括托管服务提供商（MSPs）。该法案旨在通过增加事件报告，为政府提供更好的网络攻击数据，包括公司被勒索的情况，从而提高对威胁的理解和预警潜在攻击的能力。法案还将授权关键基础设施公司的行业特定监管机构确保“基本的网络安全措施”得到实施，并赋予这些监管机构“潜在的成本回收机制”和“主动调查潜在漏洞的权力”。目前尚不清楚该立法何时提交议会。尽管勒索软件事件在英国持续创下新高，但现行法律对报告门槛设定较高，导致报告数量较低。新法案的出台可能会降低这些门槛，提高网络安全的整体标准。

来源：https://therecord.media/uk-cyber-security-resilience-bill-labour-government

3. 雪佛龙原则废除：美国关键基础设施网络防御面临重大挑战

拜登政府在保护美国关键基础设施免受网络攻击的计划上遭遇重大挫折。美国最高法院在Loper Bright Enterprises诉雷蒙多案中废除了雪佛龙原则，削弱了政府依靠现有法律来加强网络安全的策略。法院现在需要自行解释法律，而不是依赖各机构的意见。这一变化直接影响了医院、供水系统、发电厂等关键基础设施的网络安全计划。拜登政府的一项关键法规要求关键基础设施组织在遭遇网络攻击后72小时内报告，并在24小时内报告支付赎金的情况。然而，这些规定被企业界批评为过于严格，特别是在涵盖实体、涵盖事件和可报告信息列表的定义上，认为这些定义超出了法律预期。法院废除雪佛龙原则后，这些规则可能面临更多法律挑战。最高法院的决定可能导致各联邦机构重新考虑其网络安全策略。运输安全管理局 (TSA)和卫生与公众服务部(HHS)等机构的现有网络安全要求可能会被企业挑战，认为这些要求超出法律授权。

来源：https://www.securitylab.ru/news/550229.php

4. 美国财政部发布金融部门云采纳指导，重点帮助小型银行

2024年7月17日，美国财政部和金融服务部门协调委员会发布了针对金融机构的安全云采纳指导。这一系列资源旨在填补财政部2023年2月报告中指出的云服务使用中的缺陷。指导文件包括全面或混合云采纳的路线图、第三方风险管理最佳实践、云服务提供商的现有监管权评估，以及“安全设计”实践的透明度和监控加强。此次发布特别关注小型金融机构，这些机构常常依赖第三方供应商，并在尚未准备充分的情况下被迫全面采用云服务。财政部副助理秘书托德·康克林指出，许多小型银行在使用云技术时面临挑战，因此新发布的指导资源将有助于这些机构提高安全性和应对能力。

来源：https://fedscoop.com/treasury-working-group-banks-cloud-adoption-cfpb-occ/

安全事件

5. 知名家具公司Bassett Furniture因勒索软件攻击关闭制造设施

美国大型家具公司Bassett Furniture Industries因遭受勒索软件攻击，被迫关闭其制造设施。该公司在7月10日发现未授权访问后，黑客通过加密一些数据文件扰乱了公司的业务运营。Bassett Furniture在提交给美国证券交易委员会的8-K文件中表示，尽管零售店和电子商务平台仍在开放，但订单履行能力受到影响。公司正在努力恢复受影响的系统并实施替代方案，以减少中断。此次攻击对公司的业务运营产生了重大影响，但目前尚不确定是否会对公司的财务表现产生重大影响。截至目前，尚无勒索软件组织宣称对此次事件负责。

来源：https://therecord.media/furniture-giant-manufacturing-shut-down-cyberattack

6. 以色列国防军成功抵御30亿次网络攻击

以色列国防军（IDF）计算和信息系统中心指挥官Racheli Dembinsky上校宣布，自去年秋季以来，IDF已成功抵御了约30亿次网络攻击。这些攻击自10月7日的恐怖袭击事件后显著增加，包括针对军队核心操作系统的攻击，如地面部队依赖的实时信息共享系统。尽管没有详细说明攻击的性质，Dembinsky上校指出数十亿条数据已被封锁。Check Point Software的Gil Messing指出，自冲突开始，以色列遭受的网络攻击数量增加了一倍多，普通组织每周遭受的攻击超过2200次。攻击主要由政治动机的黑客组织发起，包括民族国家如伊朗或真主党，以及黑客活动组织。Check Point追踪到至少五个来自伊朗的国家级高级持续性威胁（APT）组织，还有为真主党工作的五六个组织。以色列国防军IT部门的座谈会上，以色列国家网络局（INCD）还透露，以色列259个地方当局中有139个面临“非常糟糕的网络状况”，尽管最近几个季度针对地方当局的网络攻击增加了三倍。

来源：https://www.darkreading.com/cloud-security/idf-has-rebuffed-3b-cloud-cyberattacks-since-oct-7-colonel-claims

7. Snowflake账户因暴露的合法凭证遭攻击，凸显凭证管理重要性

2024年5月，威胁行为者UNC5537利用从云存储系统中获取的暴露的合法凭证，对Snowflake客户发起了数据泄露和勒索攻击。这些凭证多年来在暗网上流通，且部分未被轮换或更新，暴露了未配置多因素身份验证(MFA)的账户。此次攻击未使用复杂的技术或手段，而是简单地使用有效的用户名和密码登录。Snowflake和Mandiant的分析显示，约165家公司的账户被盗用，暴露了客户的敏感数据。攻击还揭示了信息窃取者恶意软件的风险，该软件从受感染的设备中窃取敏感信息。在此次攻击中，受影响的Snowflake实例缺乏网络允许列表，增加了攻击成功的可能性。为了增强防御能力，建议组织启用MFA、定期轮换和更新凭证、监控暗网上暴露的凭证，并建立针对供应商的网络攻击预警机制。

来源：https://www.darkreading.com/threat-intelligence/snowflake-account-attacks-driven-by-exposed-legitimate-credentials

8. Hackney区议会因未能防止勒索软件攻击而受到谴责

英国数据保护监管机构信息专员办公室（ICO）对伦敦Hackney区议会未能防止2020年10月发生的勒索软件攻击进行了谴责。该事件在COVID-19大流行期间发生，严重影响了这个东伦敦区域近30万居民。ICO的调查发现，该议会在保护个人数据方面存在严重不足，包括未能部署安全补丁管理系统，以及未更改仍连接到服务器的休眠账户的不安全密码。此次攻击由Pysa/Mespinoza勒索软件集团实施，黑客加密了议会IT系统中的40多万个文件，使部分服务中断近两年，期间居民对公共服务的中断和数据泄露情况知之甚少。ICO指出，共有9,605条记录被窃取，其中230人的数据面临实质性风险。由于议会的失误，许多居民的个人信息被泄露到攻击者手中，系统停用数月之久。

来源：https://therecord.media/hackney-council-london-ico-reprimand-ransomware-attack

9. AWS与NSO集团的合作曝光：从2018年起租赁基础设施

从2018年12月到2020年10月，NSO集团在亚马逊网络服务(AWS)服务器上租赁空间，比之前报道的时间更早。WhatsApp在提交的法庭文件中披露了这一信息，指出NSO用于存放Pegasus间谍软件的代码。AWS与NSO的合作关系持续到2021年12月，但NSO声称2021年1月后未再使用这些服务器。AWS在2021年5月关闭了相关基础设施，回应国际特赦组织对Pegasus间谍软件滥用的警告。2019年，WhatsApp起诉NSO集团，指控其帮助监控约1,400名用户，包括记者和人权活动家。AWS发言人表示，AWS可能并未意识到其基础设施被用于存储Pegasus源代码。

来源：https://therecord.media/aws-leased-infrastructure-nso-pegasus-whatsapp-lawsuit

漏洞预警

10. Ivanti Endpoint Manager发现严重SQL注入漏洞

Ivanti Endpoint Manager（EPM）2024版被发现存在关键安全漏洞CVE-2024-37381，这是一个未指定的SQL注入漏洞，可能允许攻击者在受影响的系统上执行任意代码。该漏洞被赋予了8.4的CVSS评分，显示其严重性。Ivanti已发布安全补丁，专门针对EPM 2024版，包含必须安装在核心服务器上的更新DLL文件。管理员需要下载安全补丁文件并替换核心服务器上的原始DLL文件。安装后需要重启系统或重置IIS才能使更改生效。Ivanti表示，目前没有发现任何客户被该漏洞利用，但鉴于漏洞的潜在影响，强烈建议受影响的组织尽快应用补丁。管理员应通过验证更新DLL文件的哈希值来确认补丁成功应用。

来源：https://cybersecuritynews.com/ivanti-endpoint-manager-sqli-vulnerability/

11. CERT-In警报：Adobe、IBM WebSphere和Joomla存在关键安全漏洞

印度计算机应急响应团队（CERT-In）发布警报，指出Adobe、IBM WebSphere和Joomla存在关键性漏洞。这些漏洞可能被攻击者利用来窃取数据、篡改网站、非法访问系统，甚至执行恶意代码。具体来说，Adobe Premiere Pro、Adobe InDesign和Adobe Bridge的早期版本存在整数溢出、堆缓冲区溢出、越界读写和不受信任的搜索路径等多个安全漏洞。CERT-In建议用户立即更新受影响的Adobe软件版本，并采取其他安全措施如启用自动更新、定期备份重要数据等，以减少受攻击风险。此外，IBM WebSphere应用服务器也被曝存在远程代码执行漏洞，需尽快安装官方推荐的修复补丁。对于Joomla CMS用户，则需升级到最新版本以修复Cross-Site Scripting（XSS）漏洞，避免遭受网站被篡改或用户数据被窃取的风险。

来源：https://thecyberexpress.com/cert-in-vulnerability-adobe-ibm-joomla/

12. VirtualBox零日漏洞威胁：Linux主机系统风险及应对措施

VirtualBox虚拟机软件被发现存在零日漏洞，该漏洞允许攻击者实现虚拟机逃逸，从而可能危及主机操作系统。漏洞首次在BreachForums 上被名为Cas的威胁者披露，并附有视频演示。该漏洞最初标价高达数百万美元，显示出其严重性和市场需求。VirtualBox由 Oracle开发，广泛应用于多个行业，用于创建和管理虚拟机，支持软件测试、开发和安全性增强。漏洞利用了VirtualBox架构中的严重缺陷，绕过虚拟化边界，可能导致数据泄露和系统入侵。为降低风险，组织应立即更新和打补丁，实施分段和访问控制，部署监控和检测机制，并加强用户安全意识培训。

来源：https://thecyberexpress.com/virtualbox-vm-escape-vulnerability/

13. Atlassian产品高危漏洞：立即更新以防任意代码执行

Atlassian 发布了关键安全更新，修复了其数据中心和服务器产品中的多个高危漏洞，这些漏洞可能使攻击者在受影响系统上执行任意代码。最严重的漏洞CVE-2024-21687的CVSS评分为8.1。受影响的产品包括Confluence、Jira软件、Jira服务管理以及Bitbucket的数据中心和服务器版本。这些漏洞是通过Atlassian的Bug Bounty计划、渗透测试和第三方库扫描发现的，并且已在最新版本中得到修复。Atlassian强烈建议用户立即更新到最新版本，以降低未经授权访问、数据窃取或网络破坏的风险。用户应检查漏洞披露门户，确认产品版本是否受影响，并采取相应的修补措施。此外，Atlassian最近加强了处理第三方依赖安全问题的能力，以减少客户风险。IT管理员和安全团队应迅速行动，更新系统、审查配置、监控可疑活动，并在必要时实施变通方法，以确保使用Atlassian产品的组织系统安全。

来源：https://cybersecuritynews.com/atlassian-data-center-server-flaw/

恶意软件

14. FIN7黑客组织开发新工具绕过EDR并进行自动化攻击

臭名昭著的网络犯罪集团FIN7（也称Carbanak）再次成为焦点，他们开发了新工具以绕过终端检测和响应（EDR）解决方案，并进行自动化攻击。FIN7最初专注于销售点（POS）恶意软件进行金融欺诈，但后来转向勒索软件操作，并与REvil和Conti等知名勒索软件即服务（RaaS）集团合作，甚至推出了自己的RaaS项目如Darkside和BlackMatter。最近FIN7开发了一种名为AvNeutralizer（也称AuKill）的专门工具，用于干扰安全解决方案，并在犯罪地下市场销售，被多个勒索软件集团使用。该工具利用Windows内置驱动程序ProcLaunchMon.sys通过创建受保护进程的拒绝服务条件来禁用终端安全解决方案。此外，FIN7还采用了自动化攻击方法，特别是针对公共应用程序的自动化SQL注入攻击。他们开发了一个名为Checkmarks的平台，利用ProxyShell漏洞对Microsoft Exchange服务器进行广泛扫描和利用，并包括一个自动SQLi模块进行SQL注入攻击，提供对受害者系统的远程访问。

来源：https://cybersecuritynews.com/fin7-bypass-edr-solutions/

15. Killer Ultra恶意软件瞄准赛门铁克、微软和Sentinel One的EDR工具

Killer Ultra恶意软件在勒索软件攻击中针对赛门铁克、微软和Sentinel One的端点检测和响应(EDR)工具。该恶意软件通过利用Zemana AntiLogger驱动程序中的漏洞(CVE-2024-1853)来终止关键的安全进程。Killer Ultra不仅可以收集并清除所有Windows事件日志，还能获取内核级权限，以增强其攻击效果。该恶意软件的复杂操作包括进程终止、事件日志清除、驱动程序利用、持久性机制和妥协指标清除。威胁行为者“SpyBoy”将此漏洞集成到名为“Terminator”的工具中，并在俄罗斯黑客论坛上出售。Killer Ultra通过修改NTDLL中的EtwEventWrite权限，试图进一步欺骗端点安全工具。它还创建计划任务在系统启动时执行，以确保持久性。ARC实验室的研究人员警告称，该恶意软件的代码包含未来可能激活的后期利用功能，显示出其更深层次的威胁。

来源：https://cybersecuritynews.com/killer-ultra-malware-attacks-edr-tools/

风险预警

16. 2024年第二季度勒索软件激增：新策略与地缘政治影响

2024 年第二季度，勒索软件攻击显著增加，突显出网络安全的重要性。根据 ReliaQuest的报告，勒索软件数据泄露网站上的受影响组织数量较第一季度增加了20%。其中，LockBit 在5月份影响了179个组织。RansomHub和BlackSuit等新进入者填补了已解散组织的空白，采用创新支付结构和复杂的恶意软件方法。地理上，勒索软件攻击集中在金融能力强和监管严格的西方国家，特别是美国。专业、科学和技术服务（PSTS）行业成为主要目标。新兴趋势包括单次勒索活动和社会工程策略的增加，尤其是未打补丁的VPN和RDP工具漏洞。未来，分析师预测勒索软件攻击将继续增加，但执法工作和解密密钥的可用性可能会有所抑制。组织需要采取主动的网络安全措施，如强大的事件响应协议和全面的员工网络钓鱼培训。

来源：https://thecyberexpress.com/ransomware-landscape-in-q2-2024/

往期推荐