5th域安全微讯早报【20240916】223期

2024-09-16 星期一Vol-2024-223

今日热点导读

1. 澳大利亚立法严惩人肉搜索行为

2. 开源人工智能定义引发争议，社区担忧其影响

3. 德国警方突袭行动威胁Tor网络组织Artikel 5 eV

4. 科技巨头响应白宫号召，承诺清除AI训练数据中的裸照

5. 威胁行为者出售土耳其防务公司KALE SAVUNMA的敏感数据

6. 国际网络防御演习APEX 2024在韩国首尔成功举行

7. VICIdial软件严重安全漏洞允许攻击者远程执行代码

8. Hikki-Chan：网络世界中的虚假黑客还是真实的威胁？

9. 人工智能与国家安全的未来

10. 构建网络安全风险元模型以优化工具集成和风险管理

11. 美国陆军首次实施远程网络安全行动

12.俄罗斯指责美国利用选举观察员干涉格鲁吉亚选举

13.黑客组织ZeroSevenGroup声称攻击以色列目标并出售数据

14.Windows零日漏洞CVE-2024-43461被用于APT黑客攻击

15.新型恶意软件通过锁定浏览器窃取谷歌凭据

16.AdaPPA：新型自适应位置预填充攻击方法提升LLM越狱成功率

17.利用机器学习细粒度特征分析提升恶意网站识别

18.随时随地工作（WFA）模式下的网络安全挑战与对策

19.Tweezers框架：基于事件归因的推文嵌入提升安全事件检测

20.俄罗斯GRU 29155部队网络战与物理战术交织

资讯详情

政策法规

1. 澳大利亚立法严惩人肉搜索行为

澳大利亚计划通过新法律，禁止在互联网上公开披露个人数据，即人肉搜索行为，违者将面临最高七年的监禁。这一立法动议是在一次涉及数百名澳大利亚犹太人的私人WhatsApp群组信息被泄露到网上的事件后提出的。新法案将作为更广泛隐私法改革的一部分，旨在更新1988年的旧隐私法，以适应数字时代的需求。新法律将保护姓名、地址、电话号码等个人信息，恶意传播这些信息的行为将受到法律制裁。此外，新法案特别强调保护儿童隐私，要求社交平台和数字服务提供商为未成年人提供额外的在线保护。公民在隐私受到严重侵犯时，将有权提出损害赔偿要求。尽管改革是隐私法现代化的第一步，但一些小企业可能获得的豁免等细节问题仍在讨论中。

来源：https://www.securitylab.ru/news/552064.php

2. 开源人工智能定义引发争议，社区担忧其影响

开放源代码倡议（OSI）及其盟友正接近达成开源人工智能的定义，预计10月下旬宣布。然而，最新草案《开源 AI 定义 -草案 v. 0.0.9》的发布引起了一些开源支持者的不安。草案中对训练数据的作用进行了重新定义，认为训练数据对AI系统修改有益但非必需，并提出了开放数据、公开数据和不可共享的非公开数据的分类。同时，许可证评估清单与主要定义文档分离，以模型开放框架（MOF）为准。MOF将开放性分为三个层次，但一些开源领袖认为新定义过于模糊，为本质上是专有的AI系统提供了“后门”。他们担忧这会淡化开源的定义，削弱开源社区的权益。OSI执行董事Stefano Maffulli则认为，理想主义的方法不切实际，因此OSI支持MOF的开放程度方法。这场争论可能持续数年，社区对于是否接受OSI AI定义仍有待观察。

来源：https://www.theregister.com/2024/09/14/opinion_column_osi/

安全事件

3. 德国警方突袭行动威胁Tor网络组织Artikel 5 eV

德国执法机构对支持Tor网络的非营利组织Artikel 5 eV进行了搜查，这是继2017年之后的第二次类似行动。尽管Artikel 5 eV致力于保护用户匿名性，但一些政府官员担心这可能导致去匿名化。此次搜查未发现违法证据，但对组织的运营造成了压力。Artikel 5 eV计划质疑搜查令的合法性，并在2024年9月21日召开股东大会，讨论包括可能终止退出节点和清算组织在内的进一步行动。这一事件凸显了Tor网络在保护隐私方面的挑战，以及法律与技术自由之间的紧张关系。组织呼吁社区支持，并计划通过法律途径保护其权益和Tor网络的未来。

来源：https://www.securitylab.ru/news/552062.php

4. 科技巨头响应白宫号召，承诺清除AI训练数据中的裸照

为了响应拜登政府的行动号召，Adobe、Anthropic、Cohere、微软和OpenAI等科技公司承诺从其人工智能训练数据集中删除裸体图像，以实施负责任的采购实践并防止基于图像的性虐待。白宫指出，全球基于图像的性虐待案件数量惊人增长，特别是性勒索案件数量的增加。这些公司的承诺旨在防止非自愿的成人亲密图像和儿童性虐待材料的传播。尽管如此，有批评声音认为，自愿努力可能不足以应对AI生成性内容的挑战。同时，Bumble、Discord、Match Group、Meta和TikTok等其他科技巨头也宣布了旨在防止基于图像的性虐待的自愿原则。这一系列行动表明，科技公司正在采取行动，以减少AI技术在不当领域的应用。

来源：https://san.com/cc/tech-giants-commit-to-removing-nude-images-from-ai-training-data/

5. 威胁行为者出售土耳其防务公司KALE SAVUNMA的敏感数据

BreachForum社区的一名为ZeroSevenGroup的威胁行为者9月14日发帖宣称，其正在出售土耳其国防制造公司KALE SAVUNMA的大量敏感数据。该公司主要从事装甲军用车辆、通信设备及空军技术。泄露的数据包括备份、数据库、项目、制造设计、员工及客户信息、研究资料、协议合同、银行财务信息、软件应用程序、系统示意图等，涉及多家土耳其顶级国防公司如Aselsan、Baykar等。总数据量约为70 GB，售价可议，具体联系方式为私信。

来源：https://breachforums.st/Thread-SELLING-Defense-Company-In-Turkey

6. 国际网络防御演习APEX 2024在韩国首尔成功举行

2024年9月10日至12日，韩国首尔会展中心（COEX）成功举办了名为“2024年联盟力量演习”（APEX 2024）的国际网络防御演习。此次演习由韩国国家情报院主办，得到了韩国国家安全研究所、国防部、科学技术信息通信部等机构的合作支持。演习源于韩国总统尹锡悦在2023年北约峰会上的提议，旨在应对全球网络安全危机，特别是加强具有相似价值观国家间的互助机制。北约合作网络防御卓越中心（CCDCOE）参与了演习的设置和组织，提供了场景开发、开场演习和演习系统的支持。来自美国、意大利、日本、新加坡等24个国家的约70名网络安全专业人员参与了演习，通过模拟网络危机，加强了各国之间的合作与实际响应能力。演习分为实时现场技术训练和在线政策培训两部分，不仅模拟了网络攻防，还评估了各国在网络危机期间的法律和媒体响应程序。

来源：https://x.com/ccdcoe/status/1834555367784669421

漏洞预警

7. VICIdial软件严重安全漏洞允许攻击者远程执行代码

GitHub上发布的信息显示，VICIdial存在两个严重的安全漏洞，分别为CVE-2024-8503和CVE-2024-8504。CVE-2024-8503是一个未经身份验证的SQL注入（SQLi）漏洞，而CVE-2024-8504则是一个可以通过SQLi实现远程代码执行（RCE）的漏洞。这些漏洞允许攻击者通过SQLi检索管理员凭据，并最终在目标服务器上执行任意代码。漏洞利用工具提供了SQLi和RCE两种模式，分别用于检索管理员凭据和执行远程代码。使用该工具需要Python 3.10+环境以及能够开放两个端口的服务器。漏洞公告和使用说明均在GitHub页面上提供，但需要注意的是，这些信息仅供合法的安全研究和测试使用。

来源：https://darkwebinformer.com/exploit-for-cve-2024-8504-cve-2024-8503-sqli-and-rce/

风险预警

8. Hikki-Chan：网络世界中的虚假黑客还是真实的威胁？

近期，一个名为Hikki-Chan的黑客角色在网络论坛上声称对多起高调网络攻击负责，迅速吸引了公众的注意。然而，经过详细分析，这些声明的真实性受到质疑，Hikki-Chan很可能是一个试图利用当前地缘政治紧张局势来提升自己声誉的诈骗者。Hikki-Chan声称的数据泄露，包括俄罗斯社交网络VK的数据和以色列警方的数据库，均被证明是公开信息或与旧的泄露事件有关。这种行为可能是由国家支持的APT组织如伊朗团体所为，他们通过散布虚假或过时的数据库来制造混乱和不信任，破坏目标国家的网络安全声誉。因此，Hikki-Chan的行为应被视为更广泛的虚假信息活动的一部分，其目的在于制造网络攻击成功的假象。

来源：https://www.securitylab.ru/news/552066.php

9. 人工智能与国家安全的未来

美国国家安全局9月12日发布视频，人工智能(AI)已经出现，而且不会消失。它对美国国家安全构成了哪些威胁？当我们寻求保持对外国对手的优势时，它带来了哪些机会？美国国家安全局的两位顶尖人工智能专家加入No Such Podcast，深入分析美国国家安全局对人工智能安全、负责任的人工智能和人工智能治理的方法。美国国家安全局首席人工智能责任官Vinh Nguyen解释了美国国家安全局如何研究人工智能以及我们已经发现的人工智能用途。人工智能安全中心负责人 Tahira Mammen分享了美国国家安全局为确保人工智能部署所做的工作。了解这些专家如何应对人工智能的未知维度，以及他们如何确保美国国家安全局通过我们的外国信号情报和网络安全任务帮助美国保持领先地位。了解更多信息，请访问 NSA.gov/AISC。

来源：https://www.youtube.com/watch?v=nNOyXtwbI7E

新兴技术

10. 构建网络安全风险元模型以优化工具集成和风险管理

ARXIV网刊载文章指出，在面对日益增长的网络安全威胁时，企业需要采取有效的风险管理措施来保护其信息系统。克里斯托夫·蓬萨尔在研究中提出了一种模型驱动方法，通过构建一个通用的网络安全风险元模型来改进不同工具间的信息同步和可追溯性。该元模型旨在整合风险分析、系统建模、风险评估和安全测试等多个环节，以提高网络安全流程的效率和有效性。研究通过不同场景验证了方法的有效性，展示了如何通过元模型来映射和同步不同工具的输出，从而实现更精确的风险管理和测试。该研究为网络安全领域提供了一种新的思路，有助于提升企业在面对复杂网络安全挑战时的应对能力。

来源：https://arxiv.org/html/2409.07906v1

备注：第11-20条，为订阅用户专享！

往期推荐