5th域安全微讯早报【20240814】195期

2024-08-14 星期三Vol-2024-195

今日热点导读

1. 白宫网络总监推动全国网络安全人才培养

2. 阿联酋沙迦网络安全中心：培养人才与技术革新并重

3. MITRE征集ICS ATT&CK评估情报，强化对内部威胁的模拟能力

4. 乌克兰指责俄罗斯散布库尔斯克战役虚假信息

5. 研究指中国黑客可能是俄罗斯国家机构遭遇网络攻击的幕后黑手

6. 瑞士施拉特集团遭受勒索软件攻击：安全漏洞与经济动机

7. 波兰反兴奋剂机构遭黑客攻击，数万运动员数据泄露，疑与敌对国家有关

8. 马斯克与特朗普访谈因DDoS攻击中断，引发对X平台弹性的质疑

9. DDoSecrets创始人托马斯·怀特：从暗网毒枭到数据保护者

10. Orion SA因银行转账欺诈损失6000万美元，员工疏忽成关键因素

11. 0-Click Outlook漏洞：无需点击即可触发的远程代码执行

12. Zabbix高危漏洞CVE-2024-22116：受限管理员也能执行任意代码

13. SquareX揭示SWG系统根本性漏洞，现代浏览器成为新攻击点

14. 微软Azure健康机器人服务修复严重安全漏洞

15. ICSFuzz：自动驾驶模拟器中碰撞检测漏洞的自动化发现

资讯详情

政策法规

1. 白宫网络总监推动全国网络安全人才培养

2024年8月，美国国家网络主任哈里·科克尔（Harry Coker）访问了南内华达学院（CSN），此行旨在推动美国网络安全人才的培养，并推广一种新型教育模式。科克尔参观了该校的安全运营中心（SOC），该中心为学生提供实际操作机会，如使用Kali Purple等网络安全工具，以及处理恶意软件样本。这种实践性强的教育模式，使学生能够在真实环境中积累网络安全经验，直接响应拜登政府希望通过技能为基础的教育来填补全国约50万个网络安全职位空缺的战略目标。科克尔强调，学生无需传统四年制学位，通过两年制教育及相关技能训练，也能进入网络安全行业。这一“典范”模式不仅在CSN取得了成功，还为全国范围内的教育改革提供了蓝本，以应对不断加剧的全球网络威胁。尽管取得了一些进展，科克尔指出，未来需要在全国范围内扩展这种教育模式，以确保美国能够有效应对未来的网络安全挑战。

来源：https://www.nextgov.com/cybersecurity/2024/08/how-white-house-cyber-czar-working-breathe-new-life-americas-cybersecurity-workforce/398750/?oref=ng-home-top-story

2. 阿联酋沙迦网络安全中心：培养人才与技术革新并重

沙迦网络安全中心的成立标志着该地区在网络安全领域迈出了重要一步。该中心不仅承担着国防事务的重任，还兼具教育和培训中心的功能。谢赫·拉希德强调了中心在培养国家网络安全人才方面的关键作用，专注于提升个人和机构对网络安全重要性的认识，并提供保护数据免受网络威胁的专业指导。SFD信息安全办公室主任Saqar Al Ali指出，面对全球组织日益增多的网络攻击事件，更新网络安全策略迫在眉睫，这需要快速适应数字化转型和对数字系统的依赖性增加所引发的新威胁。沙迦网络安全中心通过提供网络监控、威胁检测、技术咨询和专业培训等服务，利用尖端威胁情报技术和先进的大数据分析及人工智能平台，致力于及早发现并有效减轻网络攻击的影响，从而在保护数字基础设施和提升网络弹性方面发挥关键作用。

来源：https://thecyberexpress.com/sharjah-finance-dept-new-cyber-defense-center/

3. MITRE征集ICS ATT&CK评估情报，强化对内部威胁的模拟能力

2024年8月，非营利组织MITRE发出公告，寻求对其工业控制系统（ICS）ATT&CK评估的情报贡献，以增强对内部威胁模拟的全面性和精确性。此次评估的重点在于检测和应对ICS/OT环境中的内部威胁行为，特别是恶意内部人员可能通过物理或远程访问实施的隐秘攻击。MITRE特别邀请研究人员和公司提供已知的策略、技术和程序（TTP），例如操纵流程、警报系统以及攻击临时资产和远程访问基础设施的手段。贡献者可选择署名或匿名，前提是提供的信息真实可信。MITRE保证不会接受未经原始来源许可发布的敏感信息。本次情报收集旨在丰富MITRE的ATT&CK框架，进一步增强防御措施，并计划在年内发布更多相关内容。MITRE的这一举措也是其2024年ATT&CK框架增强计划的一部分，旨在提升ICS领域的安全防御能力。

来源：https://industrialcyber.co/control-device-security/mitre-seeks-contributions-for-ics-attck-evaluations-to-enhance-emulation/

安全事件

4. 乌克兰指责俄罗斯散布库尔斯克战役虚假信息

乌克兰安全局（SBU）警告称，俄罗斯正在发起一项针对库尔斯克地区军事行动的虚假宣传活动，意图通过散布虚假信息指责乌克兰军队犯下战争罪。乌克兰方面驳斥了这些指控，称这些消息完全不符合事实，认为这是俄罗斯无法有效对抗乌克兰进攻的表现。此外，乌克兰国家反虚假信息中心（CCD）表示，俄罗斯还散布关于北约部队参与库尔斯克战斗的虚假信息，以在国内外制造恐慌。库尔斯克战役是乌克兰自全面战争爆发以来最大规模的攻势之一。库尔斯克地区近期遭受大规模DDoS攻击和电信中断，当地官员否认将这些事件归咎于乌克兰，并警告居民警惕虚假信息。然而，由于缺乏独立报道，库尔斯克的相关信息难以核实。

来源：https://therecord.media/kursk-operation-disinformation-russia-ukraine

5. 研究指中国黑客可能是俄罗斯国家机构遭遇网络攻击的幕后黑手

据卡巴斯基研究人员的报告，代号为EastWind的网络攻击活动使用了与中国威胁行为者有关的恶意工具，攻击了数十台属于俄罗斯国家机构和科技公司的计算机。攻击者利用包括GrewApacha RAT、PlugY后门和CloudSorcerer更新版等工具，这些工具与中国黑客组织APT31和APT27的活动存在关联。攻击者通过钓鱼邮件传播恶意档案，并利用动态链接库收集受感染设备信息。虽然卡巴斯基未直接指控APT31或APT27，但强调了工具的相似性。APT27自2010年以来一直活跃，目标包括多个关键领域，曾利用Log4j漏洞攻击美国州立法机构。CloudSorcerer被描述为一种复杂的网络间谍工具，使用云服务进行隐形监控，而其更新版利用俄罗斯博客平台LiveJournal和Quora作为命令和控制服务器。此活动的方法与攻击美国组织的手法相似，进一步加深了对攻击者身份的怀疑。

来源：https://therecord.media/china-linked-hackers-russia-state-agency-attacks

6. 瑞士施拉特集团遭受勒索软件攻击：安全漏洞与经济动机

瑞士工业制造商施拉特集团（Schlatter Group）近期遭受了一次网络攻击，导致其信息技术服务中断。该公司在声明中指出，此次攻击为“使用恶意软件的网络攻击”，并暗示了勒索软件的可能性，因为存在“未知犯罪者正试图勒索施拉特”的行为。目前，专家正在努力限制损失，并与当局合作调查是否有数据被盗。施拉特集团是电阻焊接系统和特殊应用编织机领域的全球领导者，拥有百年历史。此次攻击似乎出于经济动机，而非政治目的，攻击者可能希望通过勒索获得赎金，以解锁加密数据或防止数据泄露。安全专家Roger Grimes强调，了解入侵发生的方式至关重要，以防止未来以相同方式再次被入侵。这次事件凸显了制造业在数字化转型过程中可能面临的网络安全风险，以及加强网络安全措施的紧迫性。

来源：https://therecord.media/swiss-manufacturer-investigating-ransomware-incident

7. 波兰反兴奋剂机构遭黑客攻击，数万运动员数据泄露，疑与敌对国家有关

波兰反兴奋剂机构（POLADA）近期遭受黑客攻击，超过50,000份机密文件被泄露，黑客组织Beregini声称对此负责。Beregini自称是“乌克兰黑客组织”，并表示此次袭击是对奥运会成为“政治压迫工具”的回应。尽管该组织宣称与乌克兰有关，但实际上，它曾与亲俄黑客组织合作，传播虚假信息和骚扰乌克兰军人及其家属的个人信息。因此，波兰官方怀疑这次攻击可能与受到敌对国家支持的黑客有关。此次攻击导致POLADA网站瘫痪，泄露的文件包括运动员的医疗记录和检测历史等敏感信息。波兰反兴奋剂机构目前正在与警方、数据保护办公室等多方合作进行调查，并已通知受影响的运动员。此次事件背后黑客组织的真实身份尚不清楚，但有分析认为其可能与俄罗斯政府或军事情报机构有关联。事件发生的背景是俄罗斯和白俄罗斯运动员因国家兴奋剂计划和乌克兰战争无法参加2024年巴黎夏季奥运会。

来源：https://therecord.media/polish-anti-doping-agency-polada-hack-leak

8. 马斯克与特朗普访谈因DDoS攻击中断，引发对X平台弹性的质疑

2024年8月12日，埃隆·马斯克与美国总统候选人唐纳德·特朗普在X平台的访谈因DDoS攻击遭遇重大技术故障。马斯克称攻击导致平台瘫痪，并在减少听众人数后恢复访谈。尽管事前已测试了800万名同时在线听众，X平台仍然未能应对如此高的流量，引发用户对其处理能力的质疑。访谈中断后，阴谋论在社交媒体上迅速传播，一些用户怀疑攻击背后可能是特朗普的反对者或民主党人。然而，马斯克尚未提供经过核实的解释或事件报告。这次故障与此前X平台因技术问题中断的事件相似，引发了对该平台弹性和基础设施的进一步关注。最终，特朗普的访谈回放仍吸引了超过1500万观众。

来源：https://thecyberexpress.com/ddos-attack-musk-trump-interview-on-x/

9. DDoSecrets创始人托马斯·怀特：从暗网毒枭到数据保护者

分布式拒绝秘密（DDoSecrets）的创始人之一托马斯·怀特（Thomas White）有着复杂的过去。怀特曾因参与暗网毒品市场“丝绸之路2.0”的创建而被监禁五年，他在2014年被捕，并于2019年被判刑。在服刑期间，怀特并未直接参与DDoSecrets的运营。DDoSecrets作为一个透明度活动组织，致力于发布被泄露和被黑客攻击的数据，其目标是填补由维基解密留下的空白，成为信息自由流通的捍卫者。尽管怀特的过去被媒体广泛报道，DDoSecrets的团队成员都了解他的背景，并认为他的参与对项目至关重要。DDoSecrets因其发布的“BlueLeaks”数据集而备受关注，该数据集包含了大量美国执法部门的敏感信息。尽管面临法律风险和争议，DDoSecrets仍然坚持其使命，致力于提高信息透明度和数据保护。

来源：https://www.securitylab.ru/news/551090.php

10. Orion SA因银行转账欺诈损失6000万美元，员工疏忽成关键因素

2024年8月10日，卢森堡大型化学品公司Orion SA遭遇严重银行转账欺诈，导致损失6000万美元。事件涉及类似商业电子邮件泄露（BEC）攻击，公司员工因疏忽成为欺诈受害者，将巨额资金多次转移至未知第三方账户。Orion SA的系统未遭黑客入侵，数据未被泄露。公司已向执法机构报告，并计划利用一切可能手段追回损失，包括保险赔付。当前，相关调查正在进行中，公司也在评估该事件对其内部流程和安全措施的影响。BEC攻击通常通过伪装成可信赖的电子邮件地址，诱骗员工进行欺诈性转账，导致企业遭受巨大财务损失。

来源：https://www.securitylab.ru/news/551084.php

漏洞预警

11. 0-Click Outlook漏洞：无需点击即可触发的远程代码执行

近期，Morphisec研究人员发现了Microsoft Outlook中的一个高危漏洞CVE-2024-30103，该漏洞允许攻击者在用户打开电子邮件时无需任何交互即可执行远程代码。这一0-Click漏洞利用了Outlook表单的允许列表机制缺陷，通过操纵注册表路径和Windows API函数RegCreateKeyExA的特定行为，攻击者可以绕过安全检查，实现恶意代码的自动执行。该漏洞的存在不仅凸显了Outlook应用程序的安全风险，也提醒用户和组织必须及时更新和修补系统以防范潜在威胁。微软已在最近的安全更新中通过改进算法和黑名单来修复此漏洞，但用户仍需保持警惕，定期进行安全审核，并应用最新的安全补丁以保护系统安全。

来源：https://cybersecuritynews.com/0-click-outlook-vulnerability/

12. Zabbix高危漏洞CVE-2024-22116：受限管理员也能执行任意代码

监控解决方案Zabbix修复了一个严重的安全漏洞CVE-2024-22116，该漏洞CVSS评分高达9.9。安全研究员justonezero通过HackerOne平台报告了此漏洞，Zabbix官方已确认并感谢其贡献。该漏洞由于Ping脚本缺少参数默认转义，允许受限管理员执行任意代码，影响版本6.4.0至6.4.15和7.0.0alpha1至7.0.0rc2。Zabbix已在6.4.16rc1和7.0.0rc3版本中发布补丁，归类为CWE-94和CAPEC-253。强烈建议用户升级到最新版本以确保系统安全，目前没有其他解决方法。更多漏洞和补丁信息可以参考Zabbix的官方发布说明和安全公告。

来源：https://cybersecuritynews.com/zabbix-server-vulnerability/

13. SquareX揭示SWG系统根本性漏洞，现代浏览器成为新攻击点

SquareX及其创始人Vivek Ramachandran在最近的研究中发现，安全Web网关（SWG）系统存在根本性漏洞，无法有效保护企业网络免受攻击。这一漏洞被称为“最后一英里重组”，允许攻击者绕过SWG系统，将恶意软件加载到用户的浏览器中。SWG系统依赖于在流量到达浏览器前识别恶意流量，但现代浏览器的复杂性和不受控制的通道（如gRPC、WebRTC、WebSocket和WebTorrent）使这一防御措施无效。攻击者可以利用这种架构缺陷，通过分解恶意软件并在浏览器中重建，从而绕过SWG的检测。Ramachandran指出，修复这一漏洞可能会破坏现有安全方法，因为SWG系统只能阻止最基本的攻击。他建议公司提高端点安全，特别是关注浏览器中的恶意活动，并发布了一个工具以测试现有SWG设置的漏洞。由于SWG系统的局限性，企业应重新评估其网络安全策略。

来源：https://www.securitylab.ru/news/551078.php

14. 微软Azure健康机器人服务修复严重安全漏洞

网络安全研究人员在微软Azure Health Bot Service中发现了两个安全漏洞，这些漏洞可能使恶意行为者在客户环境中实现横向移动并访问敏感的患者数据。Tenable公司在2024年6月和7月向微软报告了这些严重问题，微软随后迅速修补了这些漏洞。Azure AI Health Bot Service是一个云平台，允许医疗保健组织的开发人员构建和部署AI驱动的虚拟健康助手。漏洞主要涉及数据连接功能，该功能允许集成来自外部来源的数据。研究人员发现，通过配置外部主机进行重定向响应，可以绕过内置保护措施，获取有效的元数据响应和访问令牌，进而访问和管理Azure资源。此外，支持快速医疗互操作性资源(FHIR)数据交换格式的集成系统也受到类似攻击。目前没有证据表明这些漏洞已被广泛利用。此事件强调了在人工智能聊天机器人时代，传统网络应用和云安全的重要性。

来源：https://thehackernews.com/2024/08/researchers-uncover-vulnerabilities-in_0471960302.html

其他动态

15. ICSFuzz：自动驾驶模拟器中碰撞检测漏洞的自动化发现

驾驶模拟器作为测试ADSs的重要平台，提供了现实、动态和可配置的环境。然而，现有的基于模拟的ADS测试大多忽略了模拟器本身的可靠性，可能导致实际部署中忽视了一些违规场景和安全风险。本研究中，作者发现模拟器中的碰撞检测器在某些特定碰撞场景中可能无法检测和报告碰撞，这些被称为被忽视的碰撞场景。为了提高自动驾驶模拟器的可靠性，本文提出了ICSFuzz，一种黑盒模糊测试方法，用于高效地发现被忽视的碰撞场景。ICSFuzz基于经验性研究中确定的碰撞因素，有选择地逐步变异任意碰撞场景，以发现被忽视的碰撞场景。通过与现有的基于模拟的自动驾驶系统测试方法DriveFuzz进行比较，ICSFuzz在发现被忽视的碰撞场景方面表现出色，发现的被忽视碰撞场景数量是DriveFuzz的10到20倍，速度提升了20到70倍。在发现的被忽视的碰撞场景中，有七种类型是DriveFuzz未能发现的。所有发现的被忽视碰撞都已由开发者确认，并分配了一个CVE ID。

来源：https://arxiv.org/html/2408.05694v1

往期推荐