每周网络安全简讯 ( 2024年 第39周 )

2024年9月21日至2024年9月27日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、勒索攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计21条。

APT攻击

APT组织“海莲花”近期攻击行为被披露

近日，360安全团队捕获到APT组织“海莲花”针对高价值目标实施攻击的恶意样本。经分析发现，此次网络攻击中，该APT组织对以往常用的双重后门加载器进行了迭代更新，利用VMProtect工具对该加载器进行了加壳保护，增强了该加载器的抗分析能力。同时，该加载器包含2个主要模块和1个功能型载荷，其中，第一个主要模块是MSVC DLL文件，该APT组织会利用其对受控设备进行参数收集，创建%Temp%NVidiaSetupkd8812u文件目录，并以文件流的方式将收集的设备参数进行写入，随后以硬编码的解密密钥对待加载的恶意DLL文件进行解密；第二个主要模块由Go语言进行编写，内涵多个功能组件，可对受控设备实施信息收集、屏幕截图、载荷加载等操作；功能型载荷共有两部分，第一部分主要功能为循环解密和后续阶段载荷调用，第二部分可反射加载CobaltStrike Beacon模块，与C2服务器建立通联关系，并实施APT组织下达的各类攻击指令。此外，经分析发现，该APT组织还会在攻击活动中使用Rust、Nim、GoLang等多种编程语言开发的后门程序，并会在特定攻击阶段模仿APT29、Gamaredon等APT组织攻击行为模式，以试图诱导安全人员错误的归属攻击，淡化自身活跃度。

链接：

APT组织UNC1860对中东地区目标实施渗透并为其他黑客组织提供访问渠道

近日，Mandiant公司安全人员发文披露了和伊朗情报与国家安全部（MOIS）有关APT组织UNC1860的相关情况，并称该APT组织攻击手法与Scarred Manticore、Storm-0861、Shrouded Snooper等其他伊朗APT组织较为相似，主要针对中东地区的电信公司和政府机构实施入侵。该APT组织通常以大规模扫描在互联网上暴露的服务器为初始渗透手段，并在入侵成功后向受控设备植入StayShante、TofuDrv、TofuLoad、TempleDrop、TempleLock、RotPipe等恶意载荷，对设备实施持久性远控。其中，TofuDrv、TofuLoad采用新型输入、输出控制命令，在规避EDR安全设备检测的情况下与APT组织进行通联；TempleDrop会滥用伊朗防病毒软件Sheed AV的驱动程序组件，以防自身及部署的其他恶意载荷被清除；TempleLock可禁用受控设备Windows事件记录并抹除攻击痕迹。此外，在该APT组织成功掌握受控设备的网络访问渠道后，将会进一步向受控设备部署TemplePlay、ViroGreen等具有图形操作界面的远控工具，并将该访问渠道向其他黑客组织进行出售，以谋取利益。

链接：http://985.so/k3uea

勒索攻击

美国汇款巨头速汇金遭受勒索攻击

美国汇款巨头速汇金（MoneyGram）是一家美国点对点支付和汇款公司，它使人们能够通过遍布200多个国家的350,000个实体点，以数字方式进行资金的收发。近日，该公司遭受勒索攻击，导致其业务平台被迫离线，且有多个系统的正常连接受到影响。目前，尚有部分系统未恢复正常运营，且该公司表示，他们已与相关执法部门和安全专家进行沟通合作，以对此次勒索事件进行深入调查。

链接：http://985.so/k3ued

美国堪萨斯州阿肯色城水处理设施遭受勒索攻击

近日，美国堪萨斯州阿肯色城水处理设施遭受网络攻击，导致线上自动系统被迫离线，所有操作暂时转为手动。虽然此次攻击事件细节尚未完全披露，但有迹象表明此次攻击应属勒索软件攻击。攻击事件发生后，该州政府迅速响应，聘请网络安全专家介入，并增强安全协议以保障供水安全。

链接：http://985.so/k3uee

网络动态

中国国家安全部发文披露黑客组织“匿名者64”情况

今年以来，一个名为“匿名者64”的黑客组织，针对中国大陆和港澳地区，频繁开展网络攻击，试图获取有关门户网站、户外电子屏幕、网络电视等控制权限，进而非法上传、插播诋毁大陆政治制度和大政方针的内容，颠倒黑白，散布谣言。深入调查确认，“匿名者64”组织并非普通黑客，而是由“台独”势力豢养的一支网军。“匿名者64”组织的真实背景是台湾资通电军下属的网络战联队网络环境研析中心。该中心专职负责对大陆实施网络认知战、舆论战。2023年6月，该中心以“匿名者64”组织的名义，注册社交媒体账号，肆无忌惮地实施网络攻击和反宣破坏活动。台湾资通电军是台湾当局于2017年6月主导建立的“第四军种”，2022年改革为台湾“国防部”直属机构，主要承担电子作战、信息作战、网络作战及军线维护管理等职能，是台湾当局对大陆实施网络作战的主力。台湾资通电军一经成立，便对大陆大肆开展各类网络渗透破坏活动，是危害网络空间安全的毒瘤。一方面，以大陆国防军工、航空航天、能源基建等领域为重点，搜寻目标定向实施网络攻击，妄图窃取敏感数据资料，为台湾当局搜集情报。另一方面，频繁扭曲网络舆论，雇佣水军，借机生事，放大矛盾，挑唆对立，从中渔利。

链接：

美国防高级研究项目局信息创新办公室启动新一代网络匿踪技术研发项目“可靠隐蔽网络部署与探测”

为“支持全球互联网自由”并强化对美军部队的保护，隐藏美国网络间谍及网军的活动踪迹，美国军方科研机构国防高级研究项目局旗下的信息创新办公室（DARPA/I2O）启动了新一代网络匿踪技术研发项目“可靠隐蔽网络部署与探测”（Provably Weird Network Deployment and Detection，PWND），希望通过软件定义网络技术与较为成熟的隐私、性能保障机制相结合，从根本上改变在现实世界中部署和使用隐蔽通信网络的方式方法。据悉，该项目为期30个月，以“针对性韧性匿名通信”（RACE）项目为基础，参与项目的人员将会开发出一种用于描述隐蔽通信系统网络相关属性的领域特定语言（Domain-specific language）及与之配套的分析工具，该项目将为后续优化平衡网络匿踪技术提供必要支持。

链接：http://985.so/k3ueh

美国拟禁用中国、俄罗斯智能网联汽车软硬件

9月23日，美国BIS官方网站发布了一项拟议规则，提议禁止销售或进口配备采用中国或俄罗斯技术的硬件或软件的智能网联汽车。BIS声称，“他们发现集成到车辆连接系统（VCS）中的硬件和软件（例如蓝牙、卫星、蜂窝和Wi-Fi模块）以及集成到自动驾驶系统（ADS）中的软件存在重大安全风险，可能被滥用，以监控、破坏和中断关键基础设施。对这些系统的恶意访问可能允许敌对国家访问和收集最敏感的数据，并远程操纵美国道路上的汽车。” 美国商务部长吉娜·雷蒙多（Gina Raimondo）表示，美国车辆中嵌入的来自中国和俄罗斯的软件和硬件存在一系列国家安全风险，包括黑客远程破坏的可能性，以及收集驾驶员的个人数据。据称，拟议规则将有30天的公众意见征询期，商务部的目标是在拜登任期结束前发布最终法规。新规定将禁止2027年款的车辆进口VCS和ADS软件，以及2030年款的车辆进口硬件。

链接：http://985.so/k3uey

七国集团网络专家组建议金融部门为量子计算潜在威胁做好准备

近日，七国集团（G7）网络专家组（CEG）就金融体系的安全性、弹性及网络安全政策事项，向G7财长和央行行长提供建议。G7 CEG将量子计算确定为对金融体系具有潜在利益和风险的领域，量子计算虽然可以在合理时间内解决传统计算机无法解决的问题，同时金融机构也可以利用量子计算进行市场交易优化、投资流程预测等并从中受益，但量子计算仍处于开发阶段，其引入将为黑客的入侵提供机会，黑客不仅可以利用量子计算机攻破安全通信中的部分加密技术，也可以通过采取“先存储后解密”的方式，在未来对已有密钥进行破解，进而对金融机构的敏感数据构成潜在威胁。因此，CEG鼓励各司法管辖区评估和规划量子计算对当前加密方法带来的潜在风险，促进合作，以共同推进量子计算领域在金融等重要行业的发展。

链接：http://985.so/k3uen

OpenAI等116家企业签署欧盟《人工智能公约》

近日，欧盟委员会公布了《人工智能公约》（AI Pact）的首批100多家签署方名单，该协议旨在促使企业就如何处理和部署人工智能发布“自愿承诺”。《人工智能公约》注重促进信息共享，使签署方能够互相帮助，应对欧盟《人工智能法案》即将提出的要求，并积极开发最佳实践。《人工智能公约》围绕两个支柱构建：一是充当与相关人工智能组织互动的门户，鼓励交流最佳实践，并提供有关《人工智能法案》实施过程的实用信息；二是鼓励AI系统提供商和部署者尽早做好准备并采取行动，以遵守立法中规定的要求和义务。目前，已有超过100家公司成为AI契约的首批签署方，包括OpenAI及跨国公司和欧洲中小企业（SMEs），涵盖了IT、电信、医疗保健、银行、汽车和航空等多个领域。欧盟人工智能公约包括三个核心承诺：一是制定AI治理策略，促进组织对AI的使用，并努力实现未来对AI法案的遵守；二是高风险AI系统识别，在可行的范围内尽可能绘制在AI法案下可能被视为高风险领域的AI系统部署地图；三是提高员工的AI素养和意识，确保合乎道德和负责任的AI开发。

链接：http://985.so/k3ue3

美国白宫官方网站疑似存在数据泄露情况

近日，暗网论坛上一名称为“l33tfg”的黑客发布帖子称，美国白宫官方网站的敏感信息遭到泄露，涉及电子邮件、姓名、电话号码、哈希值、IP地址等。在该贴中，黑客提供了所窃数据的部分样本以证实泄露事件的真实性。目前，白宫及其他相关部门尚未就此事发表任何声明。

链接：http://985.so/k3ueq

戴尔公司遭受黑客网络攻击

近日，一名称为“grep”的黑客对戴尔公司网络实施入侵并窃取了公司敏感数据。同时，该黑客于9月19日开始将所窃数据分批次在互联网上进行公开，具体情况包括：9月19日，在互联网上公开了12,000名戴尔员工数据，引发戴尔公司内部调查；9月22日，多份敏感文件在互联网上进行公开，此次泄露疑似黑客利用Atlassian工具存在的安全缺陷进行数据窃取；9月25日，该黑客在互联网上公开了500MB数据，涉及戴尔公司内部文档、图片、测试视频、MFA数据、内部票务系统细节、中国基础设施项目文件等敏感信息。目前，戴尔公司尚未就此攻击事件和数据泄露情况进行回应。

链接：http://985.so/k3ues

美国背景调查和公共记录服务公司MC2 Data发生大规模数据泄露事件

近日，美国背景调查和公共记录服务公司MC2 Data的数据库由于没有设置密码保护且未设置其他安全配置，导致该数据库被暴露在互联网上。经统计，该数据库总数据量达2.2TB，涉及MC2 Data公司旗下PrivateRecords.net、PrivateReports、PeopleSearcher、ThePeopleSearchers、PeopleSearchUSA等平台汇集的各类用于背景调查服务的公开数据，涉及姓名、电子邮件、IP地址、用户代理、家庭住址、出生日期、房产记录、法律记录、家庭成员、就业经历等敏感信息，超过1亿美国公民和230万MC2 Data订阅用户受到影响。目前，该数据库已受到安全保护，但MC2 Data公司暂未对此事进行回应。

链接：http://985.so/k3ue5

英国德勤公司遭受IntelBroker黑客组织攻击

近日，黑客组织IntelBroker对英国德勤公司实施网络攻击并声称，他们窃取了该公司Apache Solr服务器上的内部通信数据，涉及电子邮件地址、员工通信记录及部分服务器内部配置。目前，该黑客组织已将所窃数据在黑客论坛上进行公开，以证实数据的真实性。德勤公司确认了此次网络攻击事件，但表示此次网络攻击暂未影响到公司的客户数据及其他敏感信息。

链接：http://985.so/k3uej

漏洞资讯

FreeBSD bhyve存在越界读取漏洞（CVE-2024-41721）

近日，安全研究人员发现类UNIX操作系统FreeBSD虚拟机管理器bhyve存在越界读取漏洞（CVE-2024-41721），是由该管理器USB代码部分存在边界验证不足缺陷所导致，允许攻击者对目标设备写入任意文件，进而远程执行任意代码。漏洞影响STABLE-14<= FreeBSD < 14.1-STABLE等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k3uet

Apache Tomcat存在拒绝服务漏洞（CVE-2024-38286）

近日，安全研究人员发现开源Web服务器Apache Tomcat存在拒绝服务漏洞（CVE-2024-38286），是由TLS握手过程存在安全缺陷所导致，允许攻击者通过滥用该缺陷的方式造成目标设备内存过度消耗，进而引发内存溢出和拒绝服务。漏洞影响Apache Tomcat 11.0.0-M1 - 11.0.0-M20等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k3ue0

Linux操作系统CUPS存在远程代码执行漏洞（CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177）

近日，计算机安全研究员Simone Margaritelli发现Ubuntu（Canonical）和Red Hat等热门Linux发行版的CUPS开源打印系统多个组件中存在一组安全漏洞，相关组件和对应CVE漏洞编号为：libcupsfilters组件（CVE-2024-47076）、libppd组件（CVE-2024-47175）、cups-browsed组件（CVE-2024-47176）、cups-filters组件（CVE-2024-47177）。攻击者可利用上述安全漏洞，无需任何身份验证即可在启用cups-browsed守护程序的目标设备上远程执行任意代码。同时，Ubuntu（Canonical）和Red Hat公司已确认该安全漏洞，且上述漏洞在CVSS量表上为9.9分，属较为严重的安全漏洞。目前，上述漏洞的安全补丁正在开发中，用户可通过停止cups-browsed 服务、禁止cups-browsed 进程端口接收UDP数据包等方式降低安全风险。

链接：http://985.so/k3ue1

Apache HertzBeat存在反序列化漏洞（CVE-2024-42323）

近日，安全研究人员发现开源实时监控系统Apache HertzBeat存在反序列化漏洞（CVE-2024-42323），是由该系统SnakeYaml解析库存在安全缺陷所导致，允许经过初步身份验证的攻击者通过发送恶意YAML配置文件的方式触发反序列化，进而远程执行任意代码。漏洞影响Apache HertzBeat < 1.6.0等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k3uev

pgAdmin存在信息泄露漏洞（CVE-2024-9014）

近日，安全研究人员发现图形界面管理工具pgAdmin存在信息泄露漏洞（CVE-2024-9014），是由该工具OAuth2身份验证模块存在安全缺陷所导致，可能导致OAuth2 的客户端ID和密钥在web浏览器中被暴露或泄露，攻击者可利用该漏洞获取敏感信息并未授权访问用户数据。漏洞影响pgAdmin 4 <= v8.11等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k3uec

ChatGPT“长期对话记忆功能”存在安全缺陷

近日，安全研究员Johann Rehberger发布报告称，ChatGPT的“长期对话记忆”功能存在安全缺陷，攻击者可利用该缺陷构建一个包含恶意图片或文件的网页链接并诱导目标用户通过模型进行访问。成功访问后，恶意文件中包含的虚假信息将会自动写入用户ChatGPT的长期记忆模块，后续用户在ChatGPT平台中的所有输入和输出结果都将通过数据提取工具自动传送至攻击者指定的服务器上。目前，OpenAI公司已对该问题进行初步整改，以防止记忆功能被数据提取工具滥用，但“长期对话记忆”功能的安全缺陷尚未修复，不受信任的虚假信息仍然可以通过注入的方式进行长期存储。

链接：http://985.so/k3u82

木马病毒

RECORDSTEALER恶意软件被披露

近日，安全研究人员捕获到RECORDSTEALER恶意软件样本，经分析发现，该恶意软件使用C语言进行编写，并通过恶意广告和伪装成破解软件、合法软件等方式进行传播。一旦用户点击安装该恶意软件，将会通过将收集的设备参数进行RC4算法加密打包的方式上传至C2服务器，进而有针对性地调用功能载荷，窃取受控设备上Google Chrome、FireFox等浏览器中保存的用户密码、信用卡数据、cookie、加密货币钱包信息、屏幕截图等敏感信息。目前，安全人员建议称，用户可通过部署安全设备、跟踪可疑文件行为、严格设定目录访问权限等方式降低安全风险。

链接：http://985.so/k3u89

Octo2恶意软件新版本被披露

近日，安全研究人员捕获到Octo2恶意软件新版本样本，经分析发现，该样本伪装成NordVPN、Google Chrome及欧洲企业应用等热门软件进行分发和投递。该恶意软件具有键盘记录、设备控制等多项功能，且与此前版本相比，新版本恶意软件引入了域生成算法（DGA）与C2服务器进行通联，优化了数据加密算法、动态加载等技术，新增“SHIT_QUALITY”配置确保低网络环境下通信质量，同时通过调用Zombider服务，绕过安卓设备安全机制，向受控设备嵌入恶意载荷。综上，此次捕获的Octo2恶意软件新版本样本，不仅具有常见的恶意功能，还通过迭代更新的各项配置，显著提升了运行稳定性、反分析能力和通信灵活性，具有较大的潜在安全威胁。目前，已有欧洲部分国家用户遭受该恶意软件攻击。

链接：http://985.so/k3u8k

编辑：林青

往期推荐

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持