火绒安全新增ARP攻击防护小工具

安全内参9月2日消息，澳大利亚最大的健康保险公司Medibank表示，为应对2022年发生的勒索软件事件所带来的影响，预计在未来三年内将总共投入1.26亿澳元（约合人民币6.07亿元）用于升级其IT安全系统。

Medibank在其财年终结声明中表示，截至今年6月的近12个月内，已投入近4000万澳元用于升级其IT系统。首席财务官Mark Rogers在8月22日的财报电话会议上告诉投资者，预计今年的投入金额将与去年持平。

据央视新闻报道，8月30日，国务院总理李强主持召开国务院常务会议，审议通过《网络数据安全管理条例(草案)》。

会议指出，要对网络数据实行分类分级保护，明确各类主体责任，落实网络数据安全保障措施。要厘清安全边界，保障数据依法有序自由流动，为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。

据了解，该条例由国家网信办组织起草。2021年11月，国家网信办曾就《网络数据安全管理条例(草案)》公开征求意见，从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等多方面，作了详细规定。

在2022年度和2023年度国务院立法计划里，明确将《网络数据安全管理条例》纳入拟制定的行政法规中。今年5月，国务院办公厅发布的《国务院2024年度立法工作计划》再次提到，围绕健全国家安全法治体系，制定《网络数据安全管理条例》等。

近日，网络安全研究人员揭露了一系列针对移动设备用户的高级网络攻击活动。这些攻击巧妙利用了Apple Safari和Google Chrome浏览器的多个已修复漏洞，意图植入信息窃取恶意软件。

 据谷歌威胁分析组（TAG）研究人员报告，这些攻击活动发生在2023年11月至2024年7月期间。攻击者主要针对蒙古政府网站cabinet.gov.mn和mfa.gov.mn实施水坑攻击。他们利用了三个已被修复的关键漏洞：CVE-2023-41993（WebKit漏洞）、CVE-2024-4671（Chrome Visuals组件漏洞）和CVE-2024-5274（V8 JavaScript和WebAssembly引擎漏洞）。 

攻击者针对不同设备采取了不同的攻击策略。对于iPhone或iPad用户，黑客首先入侵目标网站，植入恶意iframe组件，将用户引导至他们控制的域。当用户访问这些被篡改的网站时，攻击者会部署有效载荷进行验证检查，随后利用WebKit漏洞从设备中窃取浏览器cookie。 

而对于Android Chrome用户，攻击者则注入恶意JavaScript代码，将用户重定向到危险链接。通过突破Chrome的网站隔离保护，黑客能够窃取包括cookie、密码、信用卡数据、浏览历史和信任令牌在内的各种敏感信息。

近期，网络安全研究人员发现了一种新的LummaC2恶意软件变种，其采用了更为复杂的混淆技术，在网络攻击中的使用频率显著增加。这种被称为Lumma信息窃取者的恶意软件，展现出了令人担忧的技术进步。 

据安全公司Ontinue的最新报告，这个LummaC2新变种的攻击链程序极为精密。首先，它通过经过高度混淆的PowerShell命令进行初始下载。随后，它执行一个AES加密的第二阶段有效载荷，这使得恶意代码能够成功注入Windows进程。这一过程不仅建立了与攻击者的命令与控制（C2）通信，还确保了持久性连接，为后续的数据盗窃操作铺平了道路。 

研究人员在深入分析中还发现，该恶意软件包含了自定义的User-Agent字符串，这是一种旨在规避检测的高级技术。这一发现与另一个LummaC2变种的出现时间相近，后者据报道在数据盗窃活动中使用三角函数技术来检测人类用户，显示出攻击者不断提升技术水平的趋势。

火绒安全软件本周推出个人版 v6.0.2.0 版，此次更新火绒安全带来局域网 ARP 攻击防护工具和 DHCP 检测小工具，其中 ARP 攻击防护工具可以用来应对来自局域网的 ARP 攻击以及从本机对外发起 ARP 攻击。

ARP 攻击属于比较常见的网络攻击类型，在蓝点网印象中似乎火绒很早的版本是有类似工具的，不过后来可能被删除所以现在又重新增加了。火绒安全的 ARP 攻击防护小工具还支持 IP 冲突拦截，这在企业中可能比较实用，毕竟部分小规模非互联网企业在网络管理方面比较薄弱。

有兴趣的用户可以升级到火绒安全最新版后开启 ARP 防护工具，该工具需要始终在后台运行，但因为是单独的小工具，所以在托盘区会额外显示图标。

近日，研究人员发现一种基于Mirai的新型DDoS攻击僵尸网络正在利用已停产的AVTECH监控摄像头的零日漏洞进行传播。 

据报道，这个已停产的AVTECH AVM1203监控摄像头的零日漏洞（CVE-2024-7029）可被利用来进行代码注入。Akamai的研究人员进一步分析发现，攻击者正在利用这个漏洞执行JavaScript文件，部署恶意软件变种Corona Mirai。一旦成功感染设备，该恶意软件会通过Telnet连接大量主机，使用的端口包括23、2323和37215。此外，它还会在被感染主机的控制台上打印"Corona"字样。 

考虑到AVTECH已不再为受影响的摄像头型号提供安全更新，安全专家强烈建议使用这些设备的组织立即升级到新版本的摄像头，以防止成为这个新兴僵尸网络的一部分。

据路透社报道，戴尔科技正在考虑将其持有大部分股份的上市安全公司Secureworks出售给私募股权投资者或其他买家，并已聘请摩根士丹利和派珀·桑德勒两家投资银行探讨此事。

 戴尔于2011年收购Secureworks，并于2016年将其上市。此后，戴尔曾多次考虑出售Secureworks。近年来，Secureworks从传统的管理安全服务提供商(MSSP)转型为专注于提供扩展检测与响应(XDR)能力的公司。

 值得注意的是，过去几年，包括KnowBe4、Proofpoint、SailPoint和Ping Identity在内的多家上市网络安全供应商通过与私募股权投资者的交易实现私有化。最新报告显示，Darktrace、Tenable和Trend Micro等六家安全供应商也可能成为下一批私有化的对象。分析认为，这些潜在交易反映了网络安全行业的持续整合趋势，以及私募股权对该领域的浓厚兴趣。

 如果交易成功，这将为Secureworks带来新的发展机遇，同时也可能影响网络安全市场格局。消息公布后，Secureworks股价在上周四下午上涨近20%，达到每股8.66美元。