5th域安全微讯早报【20240902】211期

2024-09-02 星期一Vol-2024-211

今日热点导读

1. 巴基斯坦政府加强互联网监管引发对数字自由的担忧

2. Chainalysis揭露Huioneguarantee平台大规模加密货币交易与网络犯罪关联

3. Telegram推动DDoS攻击服务的普及，低至10美元即可发起攻击

4. Telegram创始人杜罗夫与法国情报部门合作引发争议

5. EV证书成黑客新武器，数字信任面临威胁

6. 哥伦布市诉讼网络安全研究员：指控其非法下载和分发泄露数据

7. 新型恶意软件即服务ManticoraLoader问世

8. Fortinet警告：新型网络钓鱼活动通过Excel文档传播Snake Keylogger

9. DetectBERT：基于应用级表示学习的Android恶意软件检测新方法

10. 基于RGB图像和多特征融合的Android恶意软件检测

11. 威胁者声称WordPress插件存在0-Day漏洞并低价出售利用工具

12. Cicada3301勒索软件攻击VMware ESXi系统，或为ALPHV复活

13. Telegram成支票欺诈关键平台，致美国210亿美元损失激增

14. 走出舒适区：大型语言模型在软件漏洞检测中的潜力

15. LLMSecCode：开源评估框架助力安全编码

16. 全球税务机关遭“伏地魔”恶意软件攻击

17. 安全漏洞使黑客可绕过机场TSA安检

资讯详情

政策法规

1. 巴基斯坦政府加强互联网监管引发对数字自由的担忧

印度防务新闻2024年8月31日报道，巴基斯坦政府因部署网络监控系统 (WMS) 以屏蔽不符合法律要求的内容而面临用户和企业的批评。近期，互联网速度大幅下降，引发了商界和用户对政府监控和防火墙实施的担忧，认为这些举措导致数字服务效率降低，经济损失加剧。虽然信息技术部长沙扎·法蒂玛·卡瓦贾否认政府有意限制互联网，强调升级网络管理系统是为应对网络安全威胁，但用户仍然质疑其动机。巴基斯坦电信管理局 (PTA) 承认已封锁数千个泄露个人信息的URL和应用程序，并面临执行《防止电子犯罪法》的挑战，尤其是控制VPN滥用。随着政府扩大数字监管，互联网速度和可访问性的问题愈发引起争议，反映了对数字自由和经济活动潜在影响的广泛担忧。

来源：https://www.indiandefensenews.in/2024/08/users-allege-pakistan-govt-policing.html

安全事件

2. Chainalysis揭露Huioneguarantee平台大规模加密货币交易与网络犯罪关联

Securitylab 8月31日消息，Chainalysis的最新研究揭示了Huioneguarantee平台与网络犯罪活动的大规模加密货币交易。报告显示，自2021年以来，该平台已处理超过490亿美元的加密货币交易，涉及与柬埔寨政府有关联的网络犯罪。Huioneguarantee通过Telegram连接买家和卖家，声称中立且不验证商品真实性，但其上的数千个Telegram群组与犯罪企业有关。Huione Pay在以太坊和TRON区块链上的活动显示，其总收入分别超过19亿美元和470亿美元。研究人员发现Huione Pay与可疑或非法账户之间的数百笔转账，涉及欺诈计划、被盗资金、CSAM材料以及赌场等非法服务。此外，Huioneguarantee提供面部识别系统和工具，支持杀猪盘或传销活动。Huione Pay的董事之一Hun To与柬埔寨首相有亲属关系，且与非法活动有关联。报告还指出，尽管2024年新钱包数量创历史新高，但约57%的欺诈收据来自2024年之前活跃的钱包，显示犯罪集团的持续活动。

来源：https://www.securitylab.ru/news/551618.php

3. Telegram推动DDoS攻击服务的普及，低至10美元即可发起攻击

Securitylab 9月1日消息，2024年上半年，欧洲与分布式拒绝服务（DDoS）相关的网络攻击显著增加，Telegram平台上DDoS即服务（DDoSaaS）的兴起是主要推动因素之一。根据FalconFeeds.io的研究，此期间记录了3,529起DDoS攻击，占所有网络攻击的60%。Telegram已成为DDoS服务的交易平台，超140个渠道和群组提供此类服务，最低10美元即可购买，接受加密货币付款。DDoSaaS的普及使得更多非技术人员也能发起攻击，增加了网络攻击的频率和威胁性。为了应对这些威胁，组织应实施多层安全措施，包括基于云的DDoS防护服务、流量监控以及定期的攻击响应演习。

来源：https://www.securitylab.ru/news/551637.php

4. Telegram创始人杜罗夫与法国情报部门合作引发争议

Securitylab 9月1日消息，Telegram的创始人帕维尔·杜罗夫（Pavel Durov）近期被曝光与法国情报部门合作，这一消息引发了对其平台独立性和保密性的广泛质疑。杜罗夫在巴黎接受审讯时承认，他与法国反情报部门（DGSI）建立了官方沟通渠道，以帮助阻止多起恐怖袭击。这种合作是通过专门的热线和电子邮件地址进行的，用于交换机密信息。此前，杜罗夫一直以数字自由和隐私的捍卫者自居，否认与任何政府机构合作。此次合作的曝光，让人们对他所宣称的Telegram的独立性产生了怀疑。同时，这也让人回想起他与俄罗斯当局的过往接触，增加了对其真实动机的猜疑。目前，尚不清楚这一事件将如何影响杜罗夫的声誉和Telegram的未来。

来源：https://www.securitylab.ru/news/551641.php

5. EV证书成黑客新武器，数字信任面临威胁

Securitylab 9月1日消息，Intrinsec发布的报告指出，扩展验证(EV)证书在网络犯罪中的使用日益增加，黑客利用这些证书绕过安全措施、获取管理权限，并误导用户。EV证书在黑市上的价格昂贵，表明其在犯罪活动中的高需求。攻击者通过注册新公司、模仿现有公司或窃取证书等手段获取EV证书。报告举例了QakBot和Grandoreiro恶意软件使用伪造证书，以及NVIDIA证书被盗用签署恶意代码的案例。Intrinsec建议组织加强证书认证措施，提高应用管理政策的严格性，并对员工进行识别潜在威胁的培训。此外，建议使用声誉系统来检测恶意证书，以应对网络犯罪技术的不断进步。

来源：https://www.securitylab.ru/news/551636.php

6. 哥伦布市诉讼网络安全研究员：指控其非法下载和分发泄露数据

Secueitylab 8月30日消息，俄亥俄州哥伦布市对网络安全研究员戴维·勒罗伊·罗斯（又名康纳·古德沃尔夫）提起诉讼，指控他非法下载并分发了Rhysida勒索组织从市IT网络窃取的数据。2024年7月18日，哥伦布市遭遇勒索软件攻击，导致城市服务中断，通信受阻。攻击者宣称窃取了6.5TB的数据，包括员工个人信息和城市监控摄像头的镜头。8月8日，攻击者公开了45%的数据，其中包括包含警察和检察官信息的数据库备份。尽管哥伦布市市长安德鲁·金瑟最初称泄露数据无价值，但古德沃尔夫指出，这些数据中包含未加密的个人信息，包括家庭暴力案件涉案人员的姓名和社会安全号码。诉讼指控古德沃尔夫的行为引发公众抗议，称其对数据的下载和传播干扰了犯罪调查。市政府要求禁止进一步传播数据，并寻求超过25,000美元的赔偿。

来源：https://www.securitylab.ru/news/551609.php

恶意软件

7. 新型恶意软件即服务ManticoraLoader问世

Cyble研究与情报实验室（CRIL）8月30日发布博文，称发现了一种名为ManticoraLoader的新型恶意软件即服务（MaaS），由AresLoader的开发人员推出。ManticoraLoader具有先进的混淆功能和广泛的系统兼容性，包括Windows 7及更高版本和Windows Server。该服务能够收集受感染设备上的大量信息，如IP地址、用户名、系统语言等，并将其传回中央控制面板。ManticoraLoader的设计允许其在受感染系统中持久存在，并通过模块化设计轻松扩展功能。该服务的月租金为500美元，且对客户数量有严格限制，以保持控制并减少曝光。ManticoraLoader在Kleenscan上的检测率为0/39，显示了其强大的隐身能力。尽管ManticoraLoader已经推出，AresLoader仍然被活跃使用，这表明开发人员可能在利用AresLoader的成功来推广新服务。

来源：https://cyble.com/blog/manticoraloader-new-loader-announced-from-the-developers-of-aresloader/

风险预警

8. Fortinet警告：新型网络钓鱼活动通过Excel文档传播Snake Keylogger

Securitylab 9月1日消息，Fortinet的研究部门FortiGuard Labs近期检测到一起新的网络钓鱼活动，该活动通过电子邮件传播带有恶意软件的Excel文档。文档中包含Snake Keylogger的新版本，这是一种在黑客论坛上出售的数据盗窃工具。Snake Keylogger能够收集包括浏览器和其他程序的凭据、剪贴板内容、系统信息以及击键记录和屏幕截图。攻击者通过发送带有名为“swift copy.xls”的Excel文件的电子邮件，诱使受害者打开文件，从而激活恶意代码。该代码利用CVE-2017-0199漏洞下载并启动Snake Keylogger。Fortinet建议用户定期更新安全软件并接受网络安全培训，以防范此类攻击。

来源：https://www.securitylab.ru/news/551638.php

新兴技术

9. DetectBERT：基于应用级表示学习的Android恶意软件检测新方法

ARXIV网刊载文章指出，随着机器学习（ML）和深度学习（DL）的进步，Android恶意软件检测得到了显著改善。然而，许多现有方法仍依赖于基本的静态分析、字节码或函数调用图，这些方法往往无法有效捕捉复杂的恶意行为。DexBERT是一个为Android表示学习量身定制的BERT-like模型，通过分析从APK中提取的Smali代码，增强了类级别的表示。然而，它在处理多个Smali类时存在局限性。为此，文章提出了DetectBERT，这是一种将关联多实例学习（c-MIL）与DexBERT相结合的方法，以处理Android恶意软件的高维和多样性，实现有效的应用级检测。DetectBERT将类级别的特征视为多实例学习（MIL）袋中的实例，从而将这些特征汇聚为全面的应用级表示。评估结果表明，DetectBERT不仅超过了现有的最先进检测方法，而且能够适应不断变化的恶意软件威胁。此外，DetectBERT框架的多样性为应用级分析和其他软件工程任务提供了广阔的前景，开辟了新的研究和开发方向。

来源：https://arxiv.org/html/2408.16353v1

10. 基于RGB图像和多特征融合的Android恶意软件检测

ARXIV网刊载文章指出，随着智能手机的广泛普及，Android恶意软件已成为移动设备安全领域的一大挑战。现有的Android恶意软件检测方法通常依赖于特征工程来构建动态或静态特征，然后将其用于学习。然而，基于静态特征的方法难以对抗代码混淆、打包和签名技术，而基于动态特征的方法则涉及耗时的特征提取。基于图像的Android恶意软件检测方法对恶意软件变种和多态恶意软件具有更好的弹性。文章提出了一种基于RGB图像和多特征融合的端到端Android恶意软件检测技术。该方法包括从APK文件中提取Dalvik可执行文件(DEX)、AndroidManifest.xml文件和API调用，将它们转换为灰度图像，并使用Canny边缘检测、直方图均衡和自适应阈值技术增强其纹理特征。然后将这些灰度图像组合成包含多特征融合信息的RGB图像，使用主流图像分类模型对其进行分析以进行Android恶意软件检测。大量实验表明，所提方法能有效捕捉Android恶意软件特征，准确率高达97.25%，优于现有仅依赖DEX文件作为分类特征的检测方法。此外，消融实验证实了所提方法中使用三个关键文件进行特征表示的有效性。

来源：https://arxiv.org/abs/2408.16555

备注：第11-第17为订阅用户专享！

往期推荐