5th域安全微讯早报【20240924】230期

2024-09-24 星期二Vol-2024-230

今日热点导读

1. 俄亥俄州网络安全标准不一导致城市易受网络攻击

2. 哈萨克斯坦加强网络审查，限制公民获取国际新闻和人权信息

3. 卡巴斯基在美国业务关闭后自动替换为UltraAV防病毒软件

4. Sonos新应用程序更新引发严重危机损失达2亿美元

5. Telegram更新隐私政策：将根据法律要求共享用户IP和电话号码

6. 黑客冒充Google与Gemini客服盗取2.43亿美元加密货币，涉案人员已被捕

7. FreeBSD披露bhyve虚拟机管理程序严重RCE漏洞，影响所有支持版本

8. 2024年网络安全游戏：提升技能的互动学习工具

9. MeMoir：利用内存使用情况的新软件驱动隐蔽通道

10. Bitdefender推出GravityZone PHASR，利用用户行为分析提升企业安全

11. Sentry推出“公平来源”许可模式，平衡开源与商业保护

12. Angie 1.7.0发布：Nginx分支增强DoS防护功能

13. inTechnology加强传呼机安全的新文档协议

14. 基于分而治之策略的符号漏洞检测方法

15. 基于可解释AI和LLM的物联网安全框架研究

16. 网络防御中的情境化人工智能应用研究

17. 全球医疗保健行业遭受网络攻击激增32%，暗网销售患者数据

18. 2024年上半年俄罗斯网络攻击战略转向间谍活动

19. 信息窃取者找到绕过Chrome 127加密的方法

20. 新型Mallox勒索软件Linux变种基于泄露的Kryptina代码

备注：第11-20条，为订阅用户专享！（更多信息，欢迎订阅！）

资讯详情

政策法规

1. 俄亥俄州网络安全标准不一导致城市易受网络攻击

【The Cyber Express网站9月23日消息】由于俄亥俄州实行地方自治制度，缺乏统一的网络安全标准，导致城市容易受到网络犯罪分子的攻击。俄亥俄州网络安全战略顾问Kirk Herath指出，这种自治制度导致无法统一管理网络安全措施。例如，克利夫兰在遭受勒索软件攻击后立即向俄亥俄州网络储备局寻求帮助，而哥伦布市则在一个月后遭受类似攻击时延迟三周才响应州政府的帮助。此外，代顿郊区Huber Heights在去年11月遭受网络攻击，泄露了近6000名居民的个人信息，凸显了分散的网络安全措施可能带来的后果。尽管俄亥俄州正在采取培训和风险评估等主动措施加强网络安全，但改善网络安全的资金和资源仍然是一个重大挑战。

来源：https://thecyberexpress.com/ohio-cybersecurity/

2. 哈萨克斯坦加强网络审查，限制公民获取国际新闻和人权信息

【SecurityLab网站9月23日报道】哈萨克斯坦政府近年来通过技术和法律手段加大了互联网审查力度，阻止公民获取国际新闻和人权信息。根据OONI、IFKZ和欧亚数字基金会的研究，2023年6月至2024年6月，哈萨克斯坦屏蔽了包括Tsargrad TV、Meduza和Vice News等知名新闻网站，并阻断了访问国际特赦组织等人权网站的渠道。这些审查主要通过干扰TLS连接实现，表明政府利用深度数据包检测技术封锁特定资源。哈萨克斯坦国家认证中心（NCC RK）新证书的引入更进一步加强了中间人攻击，允许政府拦截用户与特定网站的通信。此外，研究还发现政府屏蔽了大量VPN和代理服务，至少73个绕过审查的网站遭到封锁，包括NordVPN和ExpressVPN等知名服务，但Tor和Psiphon VPN等工具仍能使用。这一系列行动引发了对言论自由和数字权利的严重担忧。

来源：https://www.securitylab.ru/news/552299.php

安全事件

3. 卡巴斯基在美国业务关闭后自动替换为UltraAV防病毒软件

【BleepingComputer网站9月23日报道】俄罗斯网络安全公司卡巴斯基开始从美国客户的计算机中自动删除其反恶意软件，并替换为UltraAV的防病毒解决方案。此前，卡巴斯基决定关闭其美国业务，以回应美国政府将其列入实体名单。美国政府宣布，由于潜在的国家安全风险，将从2024年9月29日起禁止在美国销售和更新卡巴斯基杀毒软件。卡巴斯基在9月初向客户发送电子邮件，保证在停止向美国客户销售软件和更新后，他们将继续从UltraAV获得网络安全保护，但未告知用户卡巴斯基产品会突然被删除并被UltraAV取代。许多用户对未经通知的替换表示担忧，担心设备可能感染恶意软件。尽管一些用户可以卸载UltraAV，但有报告称该软件会在重启后重新安装。UltraAV是Pango集团旗下的产品，该集团控制多个VPN品牌和VPN软件评论网站。

来源：https://www.bleepingcomputer.com/news/security/kaspersky-deletes-itself-installs-ultraav-antivirus-without-warning/

4. Sonos新应用程序更新引发严重危机损失达2亿美元

【SecurityLab网站9月23日消息】知名高端音频设备制造商Sonos因今年5月推出的新应用程序更新遭遇重大危机。该更新意在改进设备管理，却因缺失和错误功能引发用户不满和信任危机。Sonos首席执行官帕特里克·斯宾塞因此下令彻底调查。新应用程序的问题导致公司无法实现年度收入目标，预计损失达2亿美元，并推迟了两款新产品的发布。股价自年初以来下跌了25%。问题根源在于长期积累的“技术债务”，即过时的代码和基础设施，导致产品安全性、可用性和稳定性受损。此外，公司为支持全新移动产品Sonos Ace而被迫重构应用程序和云基础设施。斯宾塞承诺加快产品开发并控制成本，但裁员和重组导致工作流程混乱。尽管斯宾塞亲自与客户沟通并每两周更新应用程序，但公司声誉受损可能长期存在。

来源：https://www.securitylab.ru/news/552328.php

5. Telegram更新隐私政策：将根据法律要求共享用户IP和电话号码

【Bleeping Computer网站9月23日消息】Telegram首席执行官帕维尔·杜罗夫宣布平台隐私政策更新，表示在接到法院有效命令并确认用户涉嫌违反平台服务条款时，Telegram将与执法部门共享用户的IP地址和电话号码。此前，这一政策仅限于涉及恐怖活动的案件。杜罗夫强调，此类信息共享将出现在平台的季度透明度报告中，但相关机器人目前尚未投入使用。此外，Telegram还改进了搜索功能，以打击非法商品的推广，呼吁用户通过@SearchReport机器人报告不法内容。该公司承诺不会让不良行为破坏平台的完整性。近期，乌克兰国家网络安全协调中心因国家安全问题禁止在政府设备上使用Telegram。

来源：https://www.bleepingcomputer.com/news/security/telegram-now-shares-users-ip-and-phone-number-on-legal-requests/

6. 黑客冒充Google与Gemini客服盗取2.43亿美元加密货币，涉案人员已被捕

【Hackread网站9月23日消息】2024年8月，一群网络犯罪分子通过冒充Google和Gemini客服人员，成功窃取了一位华盛顿受害者价值2.43亿美元的加密货币。黑客通过社会工程手段骗取受害者重置二步验证，并使用远程访问软件AnyDesk获取其比特币核心中的私钥。加密货币调查员ZachXBT的深入调查帮助识别了三名主要嫌疑人——Greavys、Wiz和Box，并追踪了相关比特币的流向。尽管嫌犯试图通过洗钱掩盖踪迹，但他们的身份最终暴露。ZachXBT的调查促使美国执法机构逮捕了部分嫌疑人，并冻结了超过900万美元的资产，目前已有50万美元归还给受害者。相关法律诉讼仍在进行中，进一步的更新有待发布。

来源：https://hackread.com/hackers-posed-google-support-steal-243m-crypto/

漏洞预警

7. FreeBSD披露bhyve虚拟机管理程序严重RCE漏洞，影响所有支持版本

【GBHackers网站9月23日报道】FreeBSD项目披露了一个严重的远程代码执行（RCE）漏洞（CVE-2024-41721），影响其bhyve虚拟机管理程序。该漏洞源自bhyve的XHCI仿真功能中的边界验证问题，导致堆内存的越界读取，允许攻击者在主机系统上执行恶意代码。尽管bhyve运行在Capsicum沙箱中以限制权限，但这无法完全减轻风险，尤其是使用XHCI仿真的系统。该漏洞影响所有支持的FreeBSD版本。攻击者只需具备客户虚拟机的特权访问权限，即可利用此漏洞控制主机系统。FreeBSD官方于2024年9月19日发布了补丁，用户应立即更新系统以避免潜在风险。FreeBSD提供了二进制补丁和源代码补丁两种方式进行更新，建议用户使用FreeBSD-update工具或手动应用补丁后重启使用XHCI仿真功能的虚拟机。

来源：https://gbhackers.com/freebsd-rce-vulnerability/

风险预警

8. 2024年网络安全游戏：提升技能的互动学习工具

【The Cyber Express网站9月23日报道】随着网络安全市场的快速增长，预计到2029年市场规模将达到2719亿美元，网络安全教育的需求变得尤为迫切。传统的培训方法在吸引学习者方面存在不足，而网络安全游戏作为一种创新的解决方案，通过模拟真实场景和融入游戏元素，提供了一种全新的学习体验。这些游戏适合不同背景的玩家，包括学生和企业专业人士，帮助他们学习识别威胁、应对安全事件，并保护个人与组织的数据。文章列举了8款热门的网络安全游戏，如FTC网络钓鱼诈骗游戏、Backdoors & Breaches事件响应卡牌游戏、HACKTALE、网络安全Jeopardy问答游戏、Phishing Box网络钓鱼智商测试、Cisco Open DNS网络钓鱼测验、Nova Labs的网络安全实验室以及网络安全家族纷争游戏。这些游戏不仅提供了引人入胜的学习方式，还能在无风险的环境中锻炼玩家的网络安全技能。

来源：https://thecyberexpress.com/cybersecurity-games/

新兴技术

9. MeMoir：利用内存使用情况的新软件驱动隐蔽通道

【ARXIV网站9月20日文章】在现代计算系统中，隐蔽通道攻击被认为是一种严重的安全威胁。这些攻击通过建立非法通信渠道，利用软硬件漏洞在系统模块间秘密传输数据。本文提出了一种名为MeMoir的新型软件驱动隐蔽通道，该通道首次使用内存使用情况作为传输媒介。研究者在基于Intel x86-64的通用台式计算机和基于ARM64的嵌入式系统上实现了这一隐蔽通道，并证实了其有效性，实现了中等传输速率和非常低的错误率。此外，研究者还提供了一个真实用例，展示了如何将信息从Hyper-V虚拟化环境泄露到Windows 11主机系统。为了检测这种攻击，研究者开发了一种基于机器学习的检测器，通过监控系统内存使用情况，实现了超过95%的准确率。最后，研究者引入了一种基于噪声的对策，有效缓解了攻击，且与其他正常应用程序相比，系统的功耗开销较低。

来源：https://arxiv.org/html/2409.13310v1

安全产品动态

10. Bitdefender推出GravityZone PHASR，利用用户行为分析提升企业安全

【Help Net Security网站9月23日消息】Bitdefender发布了一项名为GravityZone PHASR的新技术，该技术通过分析用户行为来强化企业的纵深防御安全。PHASR能够根据应用使用、资源权限等行为将用户分组，并动态调整安全策略以适应不断变化的攻击面。随着攻击的日益频繁和复杂，传统的被动检测和响应方法已不足以应对挑战。GravityZone PHASR集成在Bitdefender GravityZone平台中，利用先进的机器学习模型和专有AI算法，为企业提供量身定制的动态安全控制。它能够预测风险并快速响应，同时优化现有安全投资，减少供应链攻击、内部威胁等风险。Bitdefender表示，GravityZone PHASR有助于企业从被动防御转向主动预防，实现安全自动化和实时风险控制。

来源：https://www.helpnetsecurity.com/2024/09/23/bitdefender-gravityzone-phasr/

备注：第11-20条，为订阅用户专享！

往期推荐