开源前哨 · 热点情报速览（2024.09.02-2024.09.09）

针对马来西亚高官的Babylon RAT恶意软件攻击活动

摘要：Cyble Research and Intelligence Lab (CRIL) 发现，自7月以来，针对马来西亚政治人物和政府官员的针对性网络攻击活动。攻击者利用含有Babylon RAT的恶意ISO文件，通过精心设计的诱饵文档，如涉及政治议题和政府机构MARA的内容，诱导受害者打开文件。一旦执行，ISO文件中的PowerShell脚本会在后台运行，部署RAT并确保其在系统启动时自动运行，从而允许攻击者远程控制受害者的计算机，进行键盘记录、密码窃取等操作。为防范此类攻击，建议实施高级电子邮件过滤、更新端点安全解决方案、持续网络监控、安全意识培训，并保持系统和软件的最新安全补丁更新。

链接：https://thecyberexpress.com/malaysia-politicians-targeted-with-babylon-rat/

Google TAG揭露针对蒙古政府网站的水坑攻击活动

摘要：Google的威胁分析小组（TAG）观察到在2023年11月至2024年7月间，针对蒙古政府网站的多次水坑攻击活动。这些活动首先利用影响iOS 16.6.1及更早版本的WebKit漏洞，随后针对运行m121至m123版本的Android用户部署Chrome漏洞链。这些攻击使用了已有补丁的n-day漏洞，但对未打补丁的设备仍然有效。TAG评估这些活动与俄罗斯政府支持的APT29行动者有关联。攻击者在每次水坑攻击中使用的漏洞与商业监控供应商Intellexa和NSO Group先前使用的漏洞相同或极其相似。尽管基础漏洞已被修复，TAG在发现时仍通知了苹果、Android合作伙伴和Google Chrome，并通知了蒙古CERT以修复受感染的网站。

链接：https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits/?&web_view=true

荷兰隐私监管机构对Clearview AI处以3400万美元罚款

摘要：荷兰数据保护局（Dutch DPA）对面部识别技术公司Clearview AI处以3400万美元罚款，因其创建了一个非法的面部图像数据库。该局还警告称，使用Clearview AI的服务是违法的。Clearview AI未能对Dutch DPA的调查结果提出异议，因此无法上诉。荷兰DPA指出，Clearview AI从互联网上抓取照片，未经同意即创建了与“独特生物识别代码”和其他信息相关联的数据库，违反了欧盟的《通用数据保护条例》（GDPR）。Dutch DPA主席Aleid Wolfsen强调，面部识别技术极具侵入性，不能随意应用于任何人，Clearview AI的数据库收集和使用这些数据是被禁止的。此外，Dutch DPA还批评了Clearview AI在透明度方面的不足。

链接：https://therecord.media/clearview-ai-fined-34-million-dutch-data-privacy-watchdog?&web_view=true

CrowdStrike调查揭露USDoD黑客组织领导者身份

摘要：根据CrowdStrike的调查，臭名昭著的黑客USDoD（也称为EquationCorp）的领导者是一名来自巴西的33岁男子Luan BG。USDoD因泄露包括空客、FBI的InfraGard门户、国家公共数据和TransUnion等主要组织的信息而闻名。CrowdStrike通过追踪Luan在社交媒体和论坛上使用的相同电子邮件和短语，将其与个人账户、GitHub编辑、域名注册和社交媒体档案联系起来，从而确定了他的身份。尽管Luan试图通过声称拥有美国国籍来隐藏自己的身份，但CrowdStrike通过财务记录和其他数字足迹将他与巴西联系起来。CrowdStrike已将调查结果提交给当局，但预计该男子将继续他的网络犯罪生涯，可能会否认或淡化这些发现。

链接：https://securityaffairs.com/167646/cyber-crime/researchers-unmasked-usdod.html?web_view=true

新型恶意软件伪装成Palo Alto Networks GlobalProtect VPN工具

摘要：网络安全研究人员揭露了一种新的恶意软件活动，该活动通过伪装成Palo Alto Networks GlobalProtect VPN工具来潜在地针对中东用户。这种复杂的恶意软件样本采用两阶段过程，通过设置连接到命令与控制（C2）基础设施，伪装成公司VPN门户，使攻击者能够自由操作而不触发任何警报。恶意软件能够执行远程PowerShell命令、下载和外传文件、加密通信，并绕过沙箱解决方案，对目标组织构成重大威胁。初始入侵向量尚不清楚，但怀疑涉及使用钓鱼技术欺骗用户安装GlobalProtect代理。该活动尚未归因于特定的威胁行为者或团体。恶意软件通过设置名为GlobalProtect.exe的主后门组件来启动信标过程，并通过Interactsh开源项目与C2服务器通信。

链接：https://thehackernews.com/2024/08/new-malware-masquerades-as-palo-alto.html

LiteSpeed Cache插件中的严重安全漏洞（CVE-2024-44000）允许未认证访问

摘要：LiteSpeed Cache插件，WordPress中广泛使用的优化工具，被发现存在一个严重的安全漏洞（CVE-2024-44000），该漏洞使未认证用户能够接管登录账户，包括管理员权限账户。该问题源于插件调试日志功能意外泄露HTTP响应头，包括敏感的“Set-Cookie”头。LiteSpeed团队已发布6.5.0.1版本补丁修复此问题，并建议用户实施额外的安全措施。

链接：https://securityonline.info/cve-2024-44000-cvss-9-8-litespeed-cache-flaw-exposes-millions-of-wordpress-sites-to-takeover-attacks/?&web_view=true

欧盟NIS2指令：全面提升网络安全法规的新举措

摘要：欧盟的NIS2指令是其最新的努力，旨在加强整个欧盟的网络安全，并应对日益数字化的社会和日益增长的网络威胁所带来的挑战。该指令要求成员国在2024年10月17日前将其转化为国家法律，它不仅更新了现有的法律框架，而且引入了新的网络安全要求，包括风险分析、事件处理、业务连续性、供应链安全等。NIS2指令还扩大了适用范围，直接定义了“基本实体”和“重要实体”两类，而不仅仅是依赖成员国指定。此外，它还规定了严格的事件报告义务，要求在最短24小时内进行初步“预警”通知。NIS2指令的地域适用范围较为复杂，对在欧盟内提供服务或开展活动的实体具有强烈的域外效力，但对于某些科技实体，即使它们未在欧盟内设立，也适用该指令。

链接：https://www.helpnetsecurity.com/2024/08/29/nis2-directive-cybersecurity/?web_view=true

白宫发布加强互联网路由安全计划，重点关注BGP漏洞

摘要：白宫近日提出了一项针对互联网路由安全问题的计划，特别关注与边界网关协议（BGP）相关的漏洞。BGP是用于在互联网上的自治系统之间交换路由信息的协议，但其在设计时未考虑安全性，导致存在多个潜在的重要漏洞。这些漏洞可能被威胁行为者利用来劫持互联网流量，从而破坏关键基础设施、获取敏感信息或进行间谍活动。为了提高BGP的安全性，白宫国家网络总监办公室（ONCD）发布了一份路线图，重点是通过采用资源公钥基础设施（RPKI）来增强BGP的安全性。RPKI包括路由源授权（ROA）和路由源验证（ROV），旨在帮助自治系统避免选择无效的BGP公告。ONCD的数据表明，全球大部分BGP路由起源都是ROV有效的，全球范围内超过70%的流量被ROA覆盖。然而，美国在ROA和ROV的实施方面落后，尤其是一些大型网络，包括商业提供商和政府的网络。ONCD提出的路线图为所有网络运营商描述了基线行动，并为网络服务提供商、政府与IT行业的合作以及联邦政府可采取的政策行动提出了额外的措施。

链接：https://www.securityweek.com/white-house-outlines-plan-for-addressing-bgp-vulnerabilities/

 法国SAXO金融投资客户数据遭遇泄露

账号:  D*****8

内容:  法国SAXO盛宝投资平台客户数据数据遭遇泄露，本次泄露数据达到52万，涉及到的数据有涵盖股票、基金、ETF、债券等投资项目等。

菲律宾BPI银行客户信息数据遭遇泄露

账号: D*****9

内容: 菲律宾BPI银行客户数据遭遇泄露，本次泄露数据达到56万，涉及到的数据有姓名、电话、出生日期、银行卡类型、省份、最近登录记录等。

美国摩根士丹利金融投资客户数据遭遇泄露

账号：A*****8

内容：美国摩根士丹利金融投资客户数据遭遇泄露，本次泄露数据达到54万，涉及到的数据有验证日、 出生日期、姓名、电话、性别等。

注：本文仅挑选展示当周重点值得关注的情报，获取更多信息欢迎咨询当地绿盟科技销售代表

绿盟威胁情报中心（NSFOCUS Threat Intelligence center, NTI）是绿盟科技为落实智慧安全3.0战略，促进网络空间安全生态建设和威胁情报应用，增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。

绿盟威胁情报中心官网：https://nti.nsfocus.com/

绿盟威胁情报云：https://ti.nsfocus.com/