5th域安全微讯早报【20240923】229期

2024-09-23 星期一Vol-2024-229

今日热点导读

1. CISA推出FOCAL计划以协调联邦机构的网络安全

2. 欧盟对科技巨头的十次最大反垄断行动

3. Snowflake客户数据泄露事件背后的黑客仍在活跃

4. 威胁行为者声称泄露SpaceX敏感数据

5. CISA局长指责不安全软件制造商为网络犯罪真正元凶

6. 高通收购英特尔的可能性分析

7. 全球信息窃取恶意软件行动针对加密货币用户和游戏玩家

8. Black Basta勒索软件团伙的数字勒索策略

9. USBIPS框架：构筑主机对恶意USB设备的防御体系

10. 医疗保健领域的人工智能网络威胁评估平台探索

11. Emmenhtal：网络犯罪的新宠儿

12.Uber Eats 遭遇数据泄露逾28万条记录疑遭外泄

13.SynapsInt：引领网络威胁情报与侦察新纪元

14.印度Vajra-Shot成为全球反无人机技术领域新竞争者

15.印度举办未来战争课程聚焦人工智能与颠覆性技术

16.探索拜占庭攻击下的多智能体策略评估难题

17.推荐系统的公平性、偏见与隐私挑战

18.无口令和无钥匙的未来：特权访问管理面临新挑战

19.macOS 15 Sequoia更新引发多款安全工具崩溃和兼容性问题

20.ENISA报告指出可用性、勒索软件和数据攻击为2024年主要网络安全威胁

备注：第11-20条，为订阅用户专享！（更多信息，欢迎订阅！）

资讯详情

政策法规

1. CISA推出FOCAL计划以协调联邦机构的网络安全

【Dark Reading网站9月21日报道】美国网络安全和基础设施安全局(CISA)推出FOCAL计划，旨在通过“集体作战防御”协调各联邦机构的网络安全工作，减少网络风险。该计划着重于加强政府部门的防御能力、通信以及灵活性与弹性。目前，联邦机构的网络防御能力参差不齐，存在安全态势不一致的现象，尽管各机构已投入大量资源，仍难以应对动态威胁。FOCAL计划为100多个联邦民事行政部门(FCEB)机构提供了一套广泛的网络安全指导，包括资产管理、漏洞管理、网络架构等领域，旨在提升各机构的一致性和安全卫生。Phosphorus Security的John Vecchi表示，该计划的实施可能面临文化差异和技术人员不足等挑战，但其基本组成部分“非常牢固”。

来源：https://www.darkreading.com/cybersecurity-operations/cisa-releases-plan-to-align-cybersecurity-across-federal-agencies

2. 欧盟对科技巨头的十次最大反垄断行动

【TechCrunch网站9月21日报道】欧盟在过去几十年中对美国科技巨头发起了多次反垄断行动。这些行动不仅凸显了欧盟单一市场的独特规则，也反映了其对竞争法规的严格执行。其中，苹果因爱尔兰税收优惠问题被判支付高达131亿欧元的罚款，而谷歌则因安卓系统限制和购物服务自我优先问题分别被处以41.25亿欧元和24.2亿欧元的罚款。此外，苹果在iOS音乐流媒体市场的反引导行为被罚款18.4亿欧元，谷歌的AdSense限制则被处以14.9亿欧元的罚款。在其他案件中，包括电子产品制造商的价格操纵、英特尔的排他性行为、高通与苹果的芯片交易，以及微软的反竞争许可行为等，均受到了欧盟的巨额罚款。这些案例不仅展示了欧盟对维护市场竞争的决心，也预示了未来对大型科技公司更严格监管的趋势。

来源：https://techcrunch.com/2024/09/21/the-eus-10-biggest-antitrust-actions-on-tech/

安全事件

3. Snowflake客户数据泄露事件背后的黑客仍在活跃

【CyberScoop网站9月21日消息】今年早些时候窃取Snowflake大量客户数据的黑客仍在活跃。据Mandiant高级威胁分析师Austin Larsen称，这名主要以“Judische”闻名的黑客至今仍持续对SaaS供应商及其他目标进行攻击。Larsen在SentinelOne的LABScon安全会议上透露，Judische曾使用恶意软件窃取凭证，影响了Snowflake 165名客户中的部分公司，包括AT&T和Santander等知名企业。虽然实际受害企业数量为几十家，但勒索金额已达270万美元。该黑客与另一名网络犯罪分子John Binns合作，后者因2022年攻击AT&T客户数据而被捕。此外，Binns还利用AT&T数据查找调查人员和竞争对手的信息。目前，Binns在土耳其被拘留，FBI和加拿大皇家骑警尚未对此事发表评论。

来源：https://cyberscoop.com/snowflake-hacker-judische-labscon-2024/

4. 威胁行为者声称泄露SpaceX敏感数据

【Daily Dark Web网站9月21日报道】一名自称为l33tfg的威胁行为者声称对泄露属于SpaceX的数据负责。据称泄露的信息包括电子邮件、密码哈希、电话号码、主机详细信息和IP地址。这些数据可能被用于多种恶意目的，包括发起有针对性的网络钓鱼攻击、尝试破解密码、进行社会工程攻击或SIM卡交换，以及利用主机和IP信息识别SpaceX基础设施的潜在漏洞以进行进一步攻击。此事件凸显了对企业敏感数据保护的重要性，以及对可能的网络威胁进行持续监控和防范的必要性。

来源：https://dailydarkweb.net/threat-actor-claims-to-leak-spacex-data-containing-emails-hashes-and-ips/

5. CISA局长指责不安全软件制造商为网络犯罪真正元凶

【The Register网站9月20日报道】美国网络安全和基础设施安全局（CISA）局长Jen Easterly在Mandiant的mWise大会上发表主题演讲，指出发布有缺陷和不安全代码的软件供应商是网络犯罪的真正元凶。Easterly认为，这些供应商制造了问题，为攻击者打开了攻击受害者的大门。她还呼吁停止用诗意的名字“美化”犯罪团伙，建议使用如“瘦小的麻烦”或“邪恶的雪貂”等名称。Easterly提出，应将安全漏洞称为“产品缺陷”，而不是“软件漏洞”，并强调需要对技术供应商提出更高要求。她指出，尽管网络安全产业价值数十亿美元，但全球仍面临价值数万亿美元的软件质量问题和网络犯罪问题。Easterly强调，我们面临的不是网络安全问题，而是软件质量问题，需要更安全的产品，而不仅仅是更多的安全产品。

来源：https://www.theregister.com/2024/09/20/cisa_sloppy_vendors_cybercrime_villains/

6. 高通收购英特尔的可能性分析

【The Register网站9月21日报道】近期有传言称高通可能对英特尔发起收购，但分析认为这一可能性不大。报道指出，尽管高通与英特尔就潜在收购进行了接触，但考虑到高通的财务状况和市场估值，以及英特尔的规模和业务复杂性，这样的收购在实际操作中将面临重大挑战。英特尔的市值约为930亿美元，而高通市值为1880亿美元，且高通的现金及现金等价物为78亿美元，总资产略高于230亿美元。此外，任何收购都可能需要监管部门的批准，这在当前的全球半导体市场竞争格局下尤为困难。报道还提到，英特尔与AMD之间的x86/x86-64交叉许可专利协议可能成为收购的另一个障碍，因为该协议在控制权变更时会终止。目前，英特尔和高通均未对收购传言作出回应。

来源：https://www.theregister.com/2024/09/21/qualcomm_intel_takeover/

风险预警

7. 全球信息窃取恶意软件行动针对加密货币用户和游戏玩家

【BleepingComputer网站9月21日报道】一个名为“马可波罗”的网络犯罪集团发起了一场大规模的信息窃取恶意软件行动，涉及30个活动，针对不同人群和系统平台。该行动通过多种分销渠道传播50种恶意软件负载，包括AMOS、Stealc和Rhadamanthys。Recorded Future的Insikt Group追踪了这一行动，估计影响了数千人，潜在财务损失达数百万美元。Insikt Group警告，可能有数十万设备全球受害，暴露了敏感的个人和企业数据。马可波罗主要通过社交媒体平台的直接消息进行鱼叉式钓鱼，针对加密货币影响者、游戏玩家、软件开发者等高价值目标。受害者被诱导下载恶意软件，误以为是合法的工作机会或项目合作。该行动还模仿了Fortnite、Zoom和PeerMe等品牌，以及创建了不存在的品牌。马可波罗的工具多样，能够进行跨平台和多向量攻击。对于Windows系统，使用HijackLoader传播Stealc或Rhadamanthys，而对于macOS系统，则部署AMOS，后者能够窃取浏览器中存储的各种数据。为降低下载和运行信息窃取恶意软件的风险，建议不要点击陌生人分享的链接，仅从官方项目网站下载软件，并在执行前扫描下载的文件。

来源：https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/

8. Black Basta勒索软件团伙的数字勒索策略

【Security Lab网站9月21日报道】Black Basta勒索软件团伙自2022年4月首次被发现以来，已对全球超过500个组织造成影响。该团伙采用勒索软件即服务（RaaS）模式，以其双重勒索策略闻名，不仅要求受害者支付数据恢复费用，还要求确保数据不被公开。Black Basta的攻击活动涉及多个行业，包括北美、欧洲和澳大利亚的关键基础设施。攻击者通过钓鱼邮件、Qakbot、Cobalt Strike和利用已知漏洞等手段获得初始访问权限，然后在网络中移动，寻找关键系统和数据。Black Basta使用的工具包括Mimikatz、Cobalt Strike、PowerShell等，以及利用ZeroLogon、PrintNightmare和NoPac等漏洞获取管理员权限。攻击者通过钓鱼邮件传播恶意文件或链接，使用Qakbot建立与C2服务器的连接，下载额外的恶意软件和合法远程控制工具。Black Basta勒索软件使用ChaCha20算法加密数据，并通过修改桌面背景和添加勒索指令文件来通知受害者。该团伙还积极使用双重勒索策略，威胁受害者如果不支付赎金就公开其机密信息。

来源：https://www.securitylab.ru/news/552280.php

新兴技术

9. USBIPS框架：构筑主机对恶意USB设备的防御体系

【ARXIV网站9月19日文章】随着基于USB的攻击手段日益复杂化，传统的安全措施已难以应对。Chun-Yi Wang和Fu-Hau Hsu提出了USBIPS框架，旨在操作系统层面提供对恶意USB外围设备的防御。该框架通过行为检测机制识别并阻止集成在USB设备中的攻击行为，同时引入基于允许列表的访问控制方法，增强了对USB设备的管理。此外，USBIPS还开发了端点检测和响应系统，构建了一个通用的安全框架，以持久防护和检测未知恶意行为。这一框架的提出，不仅解决了关键的安全和性能挑战，也为现代操作系统提供了更有效的防御措施，以抵御来自不受信任的USB外围设备的攻击。

来源：https://arxiv.org/abs/2409.12850

10. 医疗保健领域的人工智能网络威胁评估平台探索

【ARXIV网站9月19日文章】文章探讨了一个名为AI4HCTI的人工智能平台，用于增强医疗机构的网络安全。医疗行业面临日益复杂的网络攻击，随着数字化程度提升，保护系统安全变得愈发困难。AI4HCTI平台通过外部数据收集、企业架构映射和网络安全评分，帮助医疗组织优化安全措施。该平台利用人工智能分析威胁情报，生成风险评分，并提供具体的安全建议，以主动防御潜在网络攻击。此外，平台引入了隐私增强技术（PET），确保在处理敏感数据时加强隐私保护。平台旨在提升医疗组织对网络威胁的响应能力，并帮助决策者优化安全投资。

来源：https://arxiv.org/html/2409.12765v1

备注：第11-20条，为订阅用户专享！

往期推荐