5th域安全微讯早报【20240909】217期

2024-09-09 星期一Vol-2024-217

今日热点导读

1. 司法部要求谷歌提供更多关于人工智能战略的信息以应对搜索领域垄断

2. 白宫推出计划应对网络安全人才短缺

3. 美国起诉管理暗网市场的俄哈两国国民

4. 美英情报主管强调持续支持乌克兰

5. 俄罗斯影响美国大选的所有方式

6. Lazarus组织利用Node.js和虚假视频会议软件攻击区块链专家

7. IBM修复MQ产品中的多个严重安全漏洞

8. 新型Akira勒索软件深度分析

9. 迈向自主网络安全：用于自主入侵检测的智能AutoML框架

10. 匿名互联网流量的科学观察模型

11. Telegram应对法国指控，杜罗夫宣布加强平台审核

12. 北卡罗来纳州音乐家利用AI和机器人欺诈性增加播放量被控

13. 谷歌与美国司法部的在线广告市场垄断纠纷

14. Kimsuky黑客组织：针对俄罗斯的复杂网络攻击

15. 朝鲜黑客利用LinkedIn求职诈骗传播COVERTCATCH恶意软件

16. 大型语言模型的安全性挑战与防御策略研究进展

17. LLM检测器在现实世界中的挑战

18. FIN7使用AvNeutralizer EDR Killer工具逃避检测，研究人员破解其复杂加密机制

19. ACK捎带技术与其在网络安全中的攻击类型及防护措施

20. Linux PAM模块被滥用创建后门的新威胁

资讯详情

政策法规

1. 司法部要求谷歌提供更多关于人工智能战略的信息以应对搜索领域垄断

2024年9月，华盛顿特区联邦法院上，司法部要求谷歌提供更多关于其人工智能战略的信息，以便在反垄断案件中制定补救措施。法官阿米特·梅塔已做出有利于司法部的裁决，确认谷歌在搜索市场上的垄断地位，并结束了审判的第一阶段，该阶段主要聚焦于谷歌是否违反了反垄断法。现进入补救阶段，政府将提出措施纠正非法行为并恢复市场竞争。司法部律师戴维·达尔奎斯特表示，政府需要进一步调查谷歌的最新业务动向，尤其是涉及生成式人工智能的产品。此次审判还涉及谷歌与苹果的长期搜索服务协议。自去年审判以来，谷歌已将其人工智能产品名称从 Bard 改为 Gemini，因此司法部要求谷歌披露更多相关信息。双方尚未就补救阶段的时间表达成一致，但梅塔希望能在明年上半年完成该阶段的辩论，预计时间将比去年审判的十周大大缩短。预计双方将在下周五前提交新的时间安排提案。

来源：https://www.theverge.com/2024/9/6/24237760/doj-google-search-antitrust-remedies-artificial-intelligence

2. 白宫推出计划应对网络安全人才短缺

美国目前面临超过50万个网络安全职位的空缺，联邦政府和私营企业都在寻求通过改变招聘策略和鼓励从事IT安全职业来解决这一问题。白宫国家网络主管办公室（ONCD）宣布了“为美国服务”计划，旨在招募和培养美国人从事网络安全、技术和人工智能领域的工作。该计划强调基于技能的招聘，取消学位要求，提倡工作为基础的学习，如注册学徒制。此外，政府还投资2.44亿美元用于网络安全等新兴行业的学徒培训，并支持社区主导的努力以满足当地劳动力需求。尽管教育和培训项目不断增加，但许多美国人并未意识到他们可以从事网络职业。企业也被鼓励考虑非传统背景的网络安全专业人士，这些人可能来自保险、艺术和戏剧等看似不相关的行业，他们的非传统思维和经验有助于完善网络安全防御措施。

来源：https://www.darkreading.com/cybersecurity-operations/cybersecurity-talent-shortage-prompts-white-house-action

安全事件

3. 美国起诉管理暗网市场的俄哈两国国民

美国联邦调查局（FBI）对两名涉嫌管理名为WWH Club的暗网市场的男子提起诉讼。35岁的哈萨克斯坦公民亚历克斯·霍迪列夫和37岁的俄罗斯公民帕维尔·库布利茨基因共谋实施接入设备欺诈和共谋实施电信欺诈被起诉。WWH Club是一个专门出售个人和财务敏感信息的暗网市场，两人在2014年至2024年间担任该网站及其姊妹网站的主要管理员。FBI的调查发现，WWH Club的用户买卖被盗的个人信息、信用卡和银行账户信息以及计算机密码等。此外，该平台还提供网络犯罪相关的在线课程。卧底FBI特工曾参与这些课程，内容涉及敏感信息的出售、DDoS攻击和黑客服务等。WWH Club在全球拥有超过35.3万名用户，两名被告通过会员费、学费和广告收入获利。美国司法部表示，如果所有罪名成立，他们可能面临最高20年的监禁，并且他们的豪华车辆也将被没收。尽管面临执法行动，WWH Club仍在运营。

来源：https://thehackernews.com/2024/09/fbi-cracks-down-on-dark-web-marketplace.html

4. 美英情报主管强调持续支持乌克兰

美国中央情报局局长威廉·伯恩斯和英国秘密情报局局长理查德·摩尔当地时间9月7日在《金融时报》的联合专栏文章中强调，支持乌克兰对抗俄罗斯的行动比以往任何时候都更为关键。他们表示，美英两国情报机构将加强合作，共同应对乌克兰问题及其他全球挑战。文章中提到，两国情报机构已建立75年的伙伴关系，并将团结一致抵抗俄罗斯对乌克兰的侵略。他们承诺将继续协助乌克兰情报部门，并阻止俄罗斯情报部门在欧洲的破坏活动及虚假信息传播。此外，两位情报主管还提到，他们的机构已重组以应对中国的崛起，并在中东地区推动和平与稳定，包括努力促成加沙停火，结束巴勒斯坦平民的悲剧，并促使哈马斯释放在10月7日袭击以色列时劫持的人质。

来源：https://www.voanews.com/a/britain-us-spy-chiefs-call-for-staying-the-course-on-ukraine/7775130.html

5. 俄罗斯影响美国大选的所有方式

英国开放大学政治与国际研究高级讲师Precious Chatterje-Doody发表在《亚洲时报》上的文章，探讨了俄罗斯通过多种方式影响美国总统大选的策略，并分析了其操作手法。文章背景强调，尽管俄罗斯干预美国大选的行为早在2016年被广泛关注，白宫在2024年再次指控俄罗斯试图干涉即将到来的总统选举。俄罗斯通过其国家资助的媒体，如RT（原今日俄罗斯）和Sputnik，散布大量虚假信息，攻击美国民主制度，并企图影响国际舆论以获得对其有利的局面。为此，美国采取了一系列措施，包括查封俄罗斯运营的互联网域名，并对RT主编玛格丽塔·西蒙尼扬等10名关键人物实施制裁，理由是他们通过虚假信息破坏公众对美国机构的信任。作者总结了俄罗斯信息操作的五个主要特征：1. 利用当地有影响力的人，通过资金支持并提供编辑自由；2. 创建伪装为本地的虚假新闻媒体；3. 通过操纵真实与虚假信息，煽动社会分歧；4. 通过复杂的阴谋论和幽默回应，否认干预行为；5. 运用幽默进行信息操纵，以削弱外界对其行为的批评。这些手段反映出俄罗斯对国际舆论长期进行的系统性干预，其影响范围和手法仍在不断演变。

来源：https://asiatimes.com/2024/09/all-the-ways-russia-is-influencing-the-us-election/

6. Lazarus组织利用Node.js和虚假视频会议软件攻击区块链专家

Lazarus黑客组织在2024年继续采用新的复杂方法进行网络攻击，特别是针对区块链技术和游戏领域的专业人士。他们通过伪装成工作面试的方式，诱导受害者下载含有BeaverTail恶意软件的Node.js项目，进而安装Python后门InvisibleFerret。BeaverTail最初于2023年11月被发现，而2024年出现了针对macOS的新版本。此外，Lazarus还利用假冒的Windows视频会议应用程序作为攻击的一部分。研究人员发现，Lazarus通过代码协作平台如GitHub隐藏恶意脚本，加载BeaverTail的核心组件和名为CivetQ的脚本集，以窃取浏览器数据、密码管理器和加密货币钱包信息，并通过AnyDesk保持对受感染设备的控制。为了提高攻击隐蔽性，Lazarus不断更新恶意软件，添加新功能，如从浏览器和应用程序中窃取双因素身份验证数据。为了防止此类攻击，建议在安装程序和应用程序前进行彻底检查，并使用现代网络安全工具。

来源：https://www.securitylab.ru/news/551849.php

漏洞预警

7. IBM修复MQ产品中的多个严重安全漏洞

IBM近期发布安全公告，修复了其MQ Operator和Queue Manager容器映像中的多个严重漏洞。这些漏洞包括CVE-2024-40681、CVE-2024-40680、CVE-2024-37371和CVE-2024-37370，涉及不当内存分配、访问控制缺陷等问题，可能导致攻击者绕过安全限制、执行未授权操作或发起拒绝服务攻击。受影响的产品版本广泛，从IBM MQ Operator 2.0.0至3.2.3，以及IBM MQ Advanced容器镜像9.2.0.1至9.4.0.0。IBM已发布补丁，包括IBM MQ Operator v3.2.4 SC2和v2.0.26 LTS，强烈建议用户更新至最新容器镜像以降低风险。目前没有已知的缓解措施，IBM鼓励用户订阅通知以获取产品支持警报更新，并强调了及时更新对于维护安全IT环境的重要性。

来源：https://gbhackers.com/ibm-container-vulnerabilities/

恶意软件

8. 新型Akira勒索软件深度分析

安全专家发现了Akira勒索软件的两种主要文件变体，分别大小为573 KiB和1.005 KiB，均使用MSVC编译且未采用混淆技术。该勒索软件在受害者设备上启动后，会加密重要文件并更改扩展名为.akira，同时在每个加密文件夹中创建包含勒索信息的akira_readme.txt文件。Akira使用4096位加密密钥，小文件中以base64格式表示，大文件中则为二进制片段。在加密前，Akira尝试删除影子副本以阻止系统恢复，并通过WMI运行PowerShell命令实现。此外，Akira利用重启管理器API关闭占用文件的进程，以便继续加密操作。值得注意的是，Akira在加密过程中会创建和删除临时的.arika文件，可能是开发者的失误。安全软件应能轻易检测到Akira，因为其在系统中留下了大量痕迹，包括静态字符串和对已知API的调用。

来源：https://www.securitylab.ru/news/551852.php

新兴技术

9. 迈向自主网络安全：用于自主入侵检测的智能AutoML框架

ARXIV网刊载文章指出，随着移动网络从5G向6G的演进，网络自动化和自主管理成为关键需求，但同时也带来了网络安全风险的增加。传统的基于机器学习的入侵检测系统（IDS）虽然有效，却需要大量人工参与和专业知识。为此，文章提出了一种基于自动机器学习（AutoML）的自主IDS框架，旨在实现下一代网络的自主网络安全。该框架自动化了数据分析管道的关键步骤，包括数据预处理、特征工程、模型选择、超参数调整和模型集成，利用了表格变分自动编码器（TVAE）、基于树的机器学习模型、贝叶斯优化（BO）和优化置信度堆叠集成（OCSE）等先进技术。在CICIDS2017和5G-NIDD两个公共网络安全数据集上的评估显示，该框架的性能优于现有的最先进方法。这项研究为实现完全自主的网络安全迈出了重要一步，预示着网络安全应用的潜在变革。

来源：https://arxiv.org/html/2409.03141v1

10. 匿名互联网流量的科学观察模型

ARXIV网刊载文章指出，在网络安全领域，理解正常网络行为是检测异常的关键。随着大数据和机器学习技术的发展，异常检测和签名检测方法得到了显著增强。文章介绍了一种利用高性能图库和超级计算机处理数万亿次网络观测数据的方法，以构建匿名互联网流量的低参数观察模型。研究强调了在数据收集过程中对隐私的高度重视，并提出了结合匿名化和可信数据共享的最佳实践。通过分析来自CAIDA、MAWI、GreyNoise等来源的大规模网络数据集，研究者们合成了一个高精度的流量模型，旨在解决“什么是正常的”这一基本科学问题。这项研究不仅为网络安全科学提供了新的视角，也为未来网络异常检测技术的发展奠定了基础。

来源：https://arxiv.org/html/2409.03111v1

备注：第11-20条，为订阅用户专享！

往期推荐