5th域安全微讯早报【20240719】173期

2024-07-19 星期五Vol-2024-173

今日热点导读

1. 北约加强网络防御以应对日益增长的网络威胁

2. 俄罗斯拟议法案加强即时通讯工具监管

3. 冯德莱恩承诺应对欧盟医院的勒索软件攻击

4. 巴西数据保护局禁令迫使Meta暂停使用人工智能技术

5. 多国联合打击“批准网络钓鱼”诈骗网络

6. 美国法官驳回SEC对SolarWinds大部分指控认可公司辩护

7. 印度加密货币交易所WazirX遭黑客攻击损失2.3亿美元

8. SentinelOne与CISA合作加强政府网络防御

9. MediSecure数据泄露：1290万澳大利亚用户信息遭黑客攻击

10. Apache HTTP服务器重大漏洞：影响数百万网站安全

11. SAP AI Core漏洞曝光：攻击者可控制云环境并获取客户数据

12. SolarWinds修复Access Rights Manager中的8个关键漏洞

13. 新型恶意软件利用RDPWrapper和Tailscale瞄准加密货币用户

14. HotPage广告软件伪装成广告拦截器安装恶意内核驱动

15. 免费VPN服务：网络攻击的隐形帮凶

16. 旅游业面临自动化威胁激增风险

资讯详情

政策法规

1. 北约加强网络防御以应对日益增长的网络威胁

北约确认其面临复杂且不断演变的网络威胁，特别是来自俄罗斯和中国的挑战。为此，北约采取了多管齐下的网络防御策略，包括政策与战略、网络保护和态势感知、教育、培训和演习、国际合作以及加强国防。北约网络安全中心提供全天候保护，并通过北约网络靶场等举措培养专业技能。同时，北约强调成员国在建立强大网络防御体系中的主要责任，并促进信息共享和最佳实践交流。北约还计划通过增强网络弹性、开发新技术和促进国际规范来应对未来的网络威胁，确保成员国的安全和稳定。

来源：https://thecyberexpress.com/nato-cybersecurity-threats-alliance-countries/

2. 俄罗斯拟议法案加强即时通讯工具监管

2024年7月18日，俄罗斯杜马信息政策委员会主席亚历山大·辛施泰因宣布，正在准备修正《通信法》和《个人身份识别和认证法》。新法案旨在加强对通信用户身份识别的控制，解决“灰色”SIM卡泛滥问题，以遏制电话诈骗、恐怖主义和极端主义等网络犯罪。法案要求电信运营商将用户信息上传至国家服务门户网站，并追究不法运营商的责任。此外，法案还提议将即时通讯工具等同于电信运营商，施加相同的监管要求。根据新规，现金充值和购买SIM卡需出示护照，且需在内政部数据库中验证护照数据。政府预计在春季会议结束前通过此举，每张违规SIM卡将面临最高1万卢布的罚款。

来源：https://www.securitylab.ru/news/550250.php

3. 冯德莱恩承诺应对欧盟医院的勒索软件攻击

前欧盟委员会主席乌尔苏拉·冯德莱恩承诺，如果再次当选，将在第二任期的前100天内制定应对医疗保健提供者勒索软件攻击的计划。她在欧洲议会的关键投票前于斯特拉斯堡发表演讲，强调医疗系统正日益成为网络攻击目标。冯德莱恩计划提出一项欧洲行动计划，以提高威胁检测、准备和危机应对能力。最近几个月，欧盟多国医院遭受网络攻击，促使欧盟加强网络防御和跨国协作。她还强调了发展欧洲网络防御产业和建立新的制裁制度，以灵活应对新的威胁。这些措施将借鉴“五眼”情报联盟的经验，进一步加强欧盟的网络安全能力。

来源：https://therecord.media/von-der-leyen-european-commission-hospital-ransomware

4. 巴西数据保护局禁令迫使Meta暂停使用人工智能技术

2024年7月18日，巴西国家数据保护局（ANPD）发布初步禁令，要求Meta暂停在巴西使用其生成式人工智能（GenAI）技术。禁令针对Meta的新隐私政策，后者允许公司访问用户个人数据以训练GenAI系统。ANPD表示，此举是为防止对数据主体基本权利造成严重和不可挽回的损害。若不遵守禁令，Meta将面临每日5万雷亚尔的罚款。Meta对此表示失望，称该禁令阻碍了人工智能领域的创新和竞争，并延迟了巴西人民享受人工智能益处的时间。类似问题在其他地区也引发了隐私争议，迫使科技巨头暂停推出相关工具。

来源：https://thehackernews.com/2024/07/meta-halts-ai-use-in-brazil-following.html

安全事件

5. 多国联合打击“批准网络钓鱼”诈骗网络

六个国家的加密货币专家和执法机构联合开展“Spincaster行动”，成功关闭了一个通过“批准网络钓鱼”诈骗手段窃取超过10亿美元的网络犯罪网络。这种诈骗方式诱使受害者授权黑客在其加密钱包中使用代币，从而允许黑客随意提取受害者的加密货币。行动涉及17家加密货币交易所，包括币安和NDEX，以及12家公共部门机构。自今年3月在加拿大启动以来，已识别出770多名受害者，防止了进一步的加密货币盗窃。Chainalysis公司在报告中指出，自2021年以来，因批准网络钓鱼诈骗而造成的损失已超过27亿美元。通过此次行动，执法机构能够通知受影响的人员并防止进一步的损失，同时也揭露了网络犯罪分子在持续诈骗中使用的新手段。

来源：https://therecord.media/crypto-experts-law-enforcement-take-down-approval-phishing-scams

6. 美国法官驳回SEC对SolarWinds大部分指控认可公司辩护

2024年7月18日，一名联邦地区法院法官驳回了美国证券交易委员会（SEC）对 SolarWinds 提起的诉讼中的大部分指控。SEC起诉SolarWinds及其首席信息安全官，指控他们在2020年发现重大安全漏洞前隐瞒系统缺陷，导致近两年的黑客攻击。然而，法官保罗·恩格尔迈耶裁定，SEC只能针对Sunburst事件前的行为提起欺诈诉讼，而非事件发生后的披露。此案是首例因网络攻击受害者面临政府起诉的诉讼，遭到众多网络安全领导人的反对，认为此类诉讼会阻碍公司提升网络安全。SolarWinds对法官的裁决表示满意，并期待在下一阶段提供证据反驳剩余指控。

来源：https://www.nextgov.com/cybersecurity/2024/07/judge-dismisses-key-claims-sec-lawsuit-2020-solarwinds-hack/398153/?oref=ng-home-top-story

7. 印度加密货币交易所WazirX遭黑客攻击损失2.3亿美元

印度加密货币交易平台WazirX在其以太坊区块链上的Safe Multisig钱包中发现重大安全漏洞，导致超过2.3亿美元的资产被盗。攻击者利用去中心化协议Tornado Cash进行资金转移，增加了追踪难度。WazirX已暂停印度卢比和加密货币提现，以保护用户资金并展开调查。此次事件引发了对加密货币匿名性及其在洗钱等非法活动中潜在用途的担忧。同时，也突显了加密货币行业面临的网络威胁不断升级，需要采取更强有力的安全措施来保护用户资产。WazirX和其他交易所必须加强安全防护，提高透明度，并与行业利益相关者合作，以重建用户信任并防止类似事件再次发生。

来源：https://thecyberexpress.com/wazirx-hack-millions-lost-indian-crypto/

8. SentinelOne与CISA合作加强政府网络防御

2024年7月18日，SentinelOne与网络安全和基础设施安全局（CISA）达成合作，通过SentinelOne的先进Singularity平台和Singularity数据湖计划，提升政府整体网络防御能力。此次合作是CISA持续诊断和缓解计划（CDM）的一部分，旨在增强各政府机构及关键基础设施的网络安全。SentinelOne的Singularity平台提供统一的可见性和实时监控，使CISA能够快速检测、调查和响应网络威胁。该合作符合总统关于改善国家网络安全的行政命令（EO 14028）中的目标，致力于建立一个强大的网络安全基础设施。SentinelOne的首席产品与技术官Ric Smith强调了这次合作的重要性，联邦架构师Nick Parenti指出，人工智能驱动的技术在网络安全中的变革作用。此次合作不仅提升了网络防御能力，还促进了威胁情报共享和分析，加快了事件响应。

来源：https://thecyberexpress.com/sentinelone-and-cisa-collaboration/

9. MediSecure数据泄露：1290万澳大利亚用户信息遭黑客攻击

澳大利亚前数字处方提供商MediSecure遭受严重网络攻击，约1290万澳大利亚人的个人和医疗数据被盗，几乎占该国人口的一半。此次泄露的信息包括全名、电话号码、家庭住址、出生日期、医保号、处方药详细信息等敏感数据，总计6.5TB。事件发生于2024年4月，最初MediSecure未披露全部细节，但后续更新显示了数据盗窃的惊人规模。MediSecure已进入自愿托管阶段并停止运营，其电子处方服务由Fred IT的eScript Exchange接管。澳大利亚政府和相关机构正合作应对此次事件，并提醒公众警惕潜在的诈骗行为，不要在暗网上搜索泄露的数据。此次事件凸显了加强网络安全和对敏感数据处理公司实施更严格监管的必要性。

来源：https://cybersecuritynews.com/medisecure-data-breach/

漏洞预警

10. Apache HTTP服务器重大漏洞：影响数百万网站安全

Apache软件基金会近日披露了Apache HTTP服务器中的多个严重安全漏洞，这些漏洞可能使数百万网站面临网络攻击。受影响的服务器版本包括2.4.59及更早版本，漏洞包括源代码泄露、服务器端请求伪造（SSRF）、拒绝服务（DoS）等。具体漏洞包括通过AddType配置处理程序导致的源代码泄露（CVE-2024-40725和CVE-2024-39884）、Windows上mod_rewrite的SSRF（CVE-2024-40898）、HTTP/2上的WebSocket中的DoS（CVE-2024-36387）、UNC SSRF（CVE-2024-38472）、代理编码问题（CVE-2024-38473）、反向引用中的编码问号漏洞（CVE-2024-38474）、文件系统路径mod_rewrite中的缺陷（CVE-2024-38475）、可利用/恶意后端应用程序输出（CVE-2024-38476）、mod_proxy导致的DoS攻击（CVE-2024-38477）、mod_rewrite代理处理程序替换（CVE-2024-39573）、HTTP响应拆分（CVE-2023-38709和CVE-2024-24795）。

来源：https://cybersecuritynews.com/critical-apache-http-server-vulnerabilities/

11. SAP AI Core漏洞曝光：攻击者可控制云环境并获取客户数据

SAP AI Core被发现存在多种漏洞，允许攻击者访问客户数据并控制服务。研究人员能够通过执行任意代码横向移动并接管服务，获取客户云环境的凭证，包括AWS、Azure和SAP HANA Cloud等。主要问题在于攻击者可以执行恶意AI模型和训练程序，这些程序实际上是代码。研究发现，尽管SAP的接纳控制器消除了大多数安全风险，但仍有两个被忽视的配置，其中一个获取了访问Istio配置的令牌。攻击者还利用未认证的Helm服务器，访问内部Docker Registry和Artifactory，可能捕获客户数据和商业秘密，并进行供应链攻击。SAP已确认所有漏洞已被披露并修复，没有客户信息被泄露。加强内部服务和隔离不可信代码可以减少攻击的影响。

来源：https://cybersecuritynews.com/sapwned-vulnerability-cloud-access/

12. SolarWinds修复Access Rights Manager中的8个关键漏洞

SolarWinds公司修复了其Access Rights Manager（ARM）软件中的8个关键漏洞，其中6个漏洞允许攻击者在易受攻击的设备上获得远程代码执行（RCE）。这些RCE漏洞（CVE-2024-23469、CVE-2024-23466、CVE-2024-23467、CVE-2024-28074、CVE-2024-23471和CVE-2024-23470）的严重性评分为9.6/10，允许未经身份验证的攻击者在未修补的系统上执行代码或命令。此外，SolarWinds还修补了3个关键的目录遍历漏洞（CVE-2024-23475和CVE-2024-23472），允许未经身份验证的用户执行任意文件删除并获取敏感信息。还有一个高严重性的认证绕过漏洞（CVE-2024-23465），可以让未经身份验证的恶意行为者在Active Directory环境中获得域管理员访问权限。SolarWinds在ARM 2024.3版本中修复了这些漏洞，并于周三发布。目前尚未披露这些漏洞是否已有概念验证利用或是否已被攻击者利用。此次修复是SolarWinds在ARM解决方案中继2月份修补的5个RCE漏洞后的又一重要安全更新。

来源：https://www.bleepingcomputer.com/news/security/solarwinds-fixes-8-critical-bugs-in-access-rights-audit-software/

恶意软件

13. 新型恶意软件利用RDPWrapper和Tailscale瞄准加密货币用户

一项针对加密货币用户的新型复杂攻击活动被发现，该活动通过恶意Zip文件中的快捷方式（.lnk）触发PowerShell脚本下载，进而控制受害者系统。攻击者利用RDPWrapper绕过Windows的RDP限制，实现秘密持续访问，同时使用Tailscale建立安全的私有网络连接，便于远程命令执行和数据泄露。攻击主要针对印度的加密货币用户，特别是CoinDCX交易平台的用户。恶意软件还会执行反虚拟化和反调试检查，并下载其他有效负载以增强对受感染系统的控制。专家建议加强安全配置，实施强身份验证和网络分段，以降低此类攻击的风险。

来源：https://thecyberexpress.com/rdpwrapper-and-tailscale-in-crypto-attacks/

14. HotPage广告软件伪装成广告拦截器安装恶意内核驱动

网络安全研究人员发现了一个名为HotPage的广告软件模块，它伪装成广告拦截器，秘密卸载内核驱动程序组件，使攻击者能够在Windows主机上以提升的权限运行任意代码。该恶意软件部署了一个驱动程序，能够将代码注入远程进程，并拦截和篡改浏览器网络流量。HotPage还收集和泄露系统信息到与一家中国公司相关联的远程服务器。值得注意的是，该驱动程序由微软签名，表明该公司通过了微软的驱动程序代码签名要求。然而，自2024年5月1日起，它已从Windows Server目录中删除。这种看似普通的恶意软件展示了广告软件开发人员愿意付出更多努力实现他们的目标，同时也突显了对驱动程序签名机制潜在滥用的风险。

来源：https://thehackernews.com/2024/07/alert-hotpage-adware-disguised-as-ad.html

风险预警

15. 免费VPN服务：网络攻击的隐形帮凶

卡巴斯基实验室的报告揭示了免费VPN服务背后的陷阱。2024年5月，FBI揭露了覆盖190多个国家的911 S5僵尸网络，该网络利用了MaskVPN、DewVPN等免费VPN服务，将用户设备变为代理服务器，用于非法活动如网络攻击和洗钱。免费VPN用户无意中成为数字犯罪的同谋。类似的情况也发生在Google Play上的一些免费VPN应用，如Lite VPN和Byte Blade VPN，它们将用户设备变为代理服务器。尽管这些应用在Google Play上已被下架，但它们仍在其他平台如APKPure上分发。专家建议，如果需要VPN服务，应选择大型可靠公司提供的免费版本或购买付费VPN服务，以获得更高级别的安全和隐私保护。

来源：https://www.securitylab.ru/news/550249.php

16. 旅游业面临自动化威胁激增风险

根据泰雷兹公司Imperva的最新研究，随着旅游业在疫情后的复苏，它已成为自动化威胁的主要目标，去年该行业遭受了近21%的机器人攻击请求。Imperva的2024年坏机器人报告显示，坏机器人占2023年该行业网络流量的44.5%，较2022年的37.4%大幅增加。这些自动化威胁包括票价抓取、座位旋转、账户接管和欺诈等，不仅消耗带宽、降低服务器速度，还扰乱业务运营。旅游业特别受到高级坏机器人活动的困扰，去年该行业占坏机器人活动的61%。为了减轻这些威胁，Imperva建议IT安全团队采取高级流量分析、实时机器人检测、屏蔽过时浏览器版本、限制来自批量IP数据中心的访问，并实施自动化迹象检测策略。随着机器人技术的发展，分层防御措施，包括用户行为分析、分析和指纹识别，成为旅游业应对自动化威胁的必要手段。

来源：https://thehackernews.com/2024/07/automated-threats-pose-increasing-risk.html

往期推荐