每周网络安全简讯 ( 2024年 第42周 )

2024年10月12日至2024年10月18日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、勒索攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计21条。

APT攻击

伊朗APT组织APT34对中东地区用户实施网络攻击

近日，安全研究人员监测到伊朗APT组织APT34对中东地区用户实施网络攻击等情况。攻击活动中，该APT组织采用网络钓鱼等方式作为初始媒介。入侵成功后，该APT组织将首先在受控设备上写入恶意WebShell，利用CVE-2024-30088漏洞提升自身访问权限；然后，部署ngrok远控管理工具，实施命令执行、DLL拦截等操作；最后，向受控设备上部署StealHook新型后门程序，窃取用户凭据，并通过Microsoft Exchange服务器向APT组织指定的服务器上发送含有所窃凭证的电子邮件，以绕过用户设备的安全检测，达到用户敏感数据窃取的目的。此外，安全人员声称，该APT组织与另一个伊朗APT组织FOX Kitten存在关联，可能将FOX Kitten组织的勒索软件添加到自身网络攻击套件中，对能源等多个行业将构成较大安全威胁。

链接：http://985.so/k54ht

勒索攻击

Lynx勒索软件被披露

近日，安全研究人员捕获到一款名为Lynx的勒索软件样本，经分析发现，该样本与INC勒索软件代码重复率为48%，70.8%核心功能被复用，疑似为INC勒索软件的迭代版本。Lynx勒索软件攻击目标主要为美国、英国的零售、房地产、建筑和金融服务等行业，以“勒索软件即服务”（RaaS）的形式供网络犯罪分子使用。同时，该勒索软件与INC勒索软件相比具有以下特点：一是Lynx勒索软件使用AES-128和Curve25519 Donna等高级加密算法，进行文件加密后，解密难度较大，二是Lynx勒索软件具备Restart Manager API，可专门针对Windows操作系统实施加密勒索；三是Lynx设计更为灵活，允许攻击者通过命令行方式对参数进行自定义配置，以满足特定需求。目前，据Lynx勒索软件开发者声称，他们已成功入侵多家公司，且他们已在专门的泄露网站上对所窃数据进行公开，以证实勒索攻击的真实性。

链接：http://985.so/k54hf

日本电子巨头卡西欧遭遇勒索软件攻击

近日，日本电子巨头卡西欧（Casio）证实，他们遭受了勒索软件攻击，公司多个系统受到影响。此次攻击事件中，攻击者不仅获取了公司内部的一些敏感数据，例如发票、人力资源文件和技术信息，还窃取了部分客户信息，包括员工、合同工、业务合作伙伴以及曾参与公司面试人员在内的个人信息。同时，用户的信用卡信息也疑似有受窃可能。目前，Underground勒索团伙声称对此攻击事件负责，微软公司此前将该勒索团伙与Storm-0978黑客组织相关联，疑似与俄罗斯有关。

链接：http://985.so/k54h6

大众汽车集团疑似遭受8Base勒索软件组织攻击

近日，8Base勒索软件组织声称他们已成功对大众汽车集团实施入侵，并成功从其服务器上窃取了发票、收据、会计文件、个人数据、证书、雇佣合同、人事档案等大量敏感信息。目前，大众汽车集团发表声明称，他们的IT基础设施并未受到影响，且将会继续密切关注事态发展。

链接：http://985.so/k54hc

网络动态

国家计算机病毒应急处理中心发布第三份“伏特台风”调查报告

10月14日，国家计算机病毒应急处理中心官方网站发布第三份“伏特台风”调查报告，公布了美国情报机构研发的网络武器——隐身“工具包”，代号“大理石”（Marble）。该工具包是一个工具框架，可以与其他网络武器开发项目集成，辅助网络武器开发者对程序代码中各种可识别特征进行“混淆”，有效“擦除”网络武器开发者的“指纹”，使调查人员无法从技术角度追溯武器的真实来源。该框架还设置了“嫁祸”功能，可以随意插入中文、俄文、朝鲜文、波斯文、阿拉伯文等六种外语字符串，其目的旨在误导调查人员，以此栽赃陷害中国、俄罗斯、朝鲜、伊朗以及众多阿拉伯国家。研究人员依据“大理石”工具框架源代码及其注释分析发现，其被确定为一个机密级（且不可向国外透露）的武器研发计划，起始时间不晚于2015年。因此该计划是美国情报机构为自身量身打造的“秘密武器”，甚至严禁透露给所谓的“盟友”国家。“大理石”工具包的发现再次证明美国情报机构在全世界开展的无差别、无底线网络间谍活动，并实施“假旗”行动，以误导调查人员和研究人员，进行栽赃“对手国家”的阴谋。

链接：http://985.so/k54yx

美国防情报局人工智能情报库（MARS）即将全面投入运营

近日，国防情报局首席信息官道格·科萨表示，他们预计名为“机器辅助分析快速存储库系统”（Machine-assisted Analytic Rapid-repository System，MARS）的人工智能情报库将在未来几周内获得批准在“秘密互联网协议路由器网络”（SIPRNet）上运行。该系统运行后，将取代目前在五角大楼用于基础军事情报的主要存储库MIDB，以实现在收集其他国家军队和基础设施信息的同时，对其信息进行人工智能分析，以帮助情报界和国防部在军事情报方面逐步实现共同的作战图景。同时，MARS将提供“细粒度权力”（fine-grained entitlements），可定制和管理个人用户及设备的访问权限。此外，发言人声称，MARS将于2026年全面投入运营，此次迁移过程将使得MARS的使用范围更加广泛。

链接：http://985.so/k54yu

美国海军发布新版“海军网络防御指挥”系统

近日，美国海军发布了新版本的“海军网络防御指挥”（NCCD 1.3）系统，旨在为指挥官提供可操作的见解，帮助其了解影响所控制系统和指定关键任务的网络漏洞和风险。NCCD 1.3引入了“可操作网络风险指数”（CRI-A），该指数对网络风险进行了更细致的分析。同时，NCCD 1.3还具备以下特点：一是为海上部队指挥官提供可利用手段，以改善其指挥部的网络安全态势，并降低其指定任务的风险；二是帮助指挥官确定可控风险；三是帮助决策者管理各个平台上的网络安全态势，并为非行内人员提供指导；四是通过纳入新的网络风险指标提高操作效率，如与特定平台和任务关键型系统（eCASREP、MRDB、TORTIS）相关指标；五是有助于缓解特定任务平台的网络安全漏洞，并评估平台安全风险；六是添加“决策辅助工具”（DAT）组件，可提供明确的风险指标，为海军指挥官的决策过程提供支持。

链接：http://985.so/k54y4

微软发布新指南：强化防御Kerberoasting攻击

10月11日，微软官方网站发布新指南，旨在帮助组织有效防御日益严重的Kerberoasting攻击。该攻击方式利用 Kerberos 身份验证协议窃取AD凭据，使攻击者能够广泛访问敏感资源。指南提及，由于 GPU 加速密码破解技术的运用，Kerberoasting攻击的有效性正在提升，且攻击者可通过该攻击方式，对使用哈希加密的用户凭证进行破解，进而获取目标设备的访问权限。同时，为减轻Kerberoasting攻击风险，微软建议采取多项措施，包括：采用组托管服务帐户 (gMSA) 或委托托管服务帐户(dMSA)、强制使用强密码、配置服务帐户使用 AES 加密，以及审核并删除不必要的服务主体名称 (SPN)等。

链接：http://985.so/k54yn

伊朗政府3个部门及核设施遭受网络攻击

伊朗最高网络安全委员会前秘书菲鲁扎巴迪表示，伊朗司法、立法和行政部门，以及核设施、燃料配送网络、市政网络、交通网络、港口等遭受大规模网络攻击，虽然没有关于此次攻击事件的具体细节，但据称部分敏感信息已被窃取。

链接：http://985.so/k54y3

欧盟通过联网设备网络弹性法案

近日，欧盟理事会已正式通过《网络弹性法案》(CRA)，该法案将为带有数字元素的产品引入欧盟范围内的网络安全要求，涉及智能门铃、扬声器、婴儿监视器等直接或间接连接网络的所有产品。新法规旨在填补空白、明确联系并使现有网络安全立法框架更加连贯，确保具有数字组件的产品，例如物联网（IoT）产品，在整个供应链和整个生命周期中保持安全。法案通过后，将由理事会主席和欧洲议会主席签署，并在未来几周内在欧盟官方公报上公布。

链接：http://985.so/k54ys

澳大利亚政府向联邦议会提交《2024年网络安全法案》

近日，澳大利亚政府向联邦议会提交了《2024 年网络安全法案》，引入了一系列旨在加强澳大利亚网络安全的措施，包括：一是对在澳大利亚销售的直接或间接连接到网络的某些产品强制执行安全标准；二是要求支付勒索软件款项的实体（收入超过待确定的阈值）在付款后 72 小时内向澳大利亚信号局报告这些款项；三是允许受“重大网络安全事件”影响的实体自愿向国家网络安全协调员报告信息，并通过规定任何此类信息只能出于有限目的使用和披露，并且不得作为证据来鼓励信息共享；四是澳大利亚政府出于有限目的可向州和领地政府共享有关网络安全事件的信息；五是建立网络事件审查委员会，有权对重大网络安全事件进行审查，并向政府和行业提出可采取的行动建议，以预防、检测、响应或尽量减少类似事件的影响未来。

链接：http://985.so/k54y0

美国防部发布网络安全成熟度模型认证2.0

10月15日，美国联邦公报官方网站发布网络安全成熟度模型认证(CMMC)2.0版本。CMMC基于分层网络安全框架，要求使用受控非机密信息(CUI)或联邦合同信息(FCI)的国防承包商应基于信息敏感性，满足CMMC合规性的特定安全级别，以确保这些公司遵守相关国家标准，保护国防部承包商系统上的数据不被美国对手利用。CMMC 2.0将评估级别的数量从5个减少到3个，以简化中小型承包商的合规流程。一旦CMMC 2.0生效，美国防部将在招标和合同中纳入CMMC要求，处理、存储或传输FCI或CUI的承包商必须达到适当的CMMC水平，才有资格被授予相关项目合同。此外，CMMC 2.0将引入“行动计划和里程碑”(POA&Ms)，允许未满足所有网络安全标准的承包商在实现合规性的过程中获得180天的有条件认证。

链接：http://985.so/k54yc

美国陆军网络司令部新成立战区信息优势分队（TIAD）

美国陆军已批准成立三支战区信息优势分队（TIAD），包括太平洋陆军TIAD、欧非陆军TIAD及陆军网络司令部TIAD。TIAD是一个由65名成员组成的团队，专注于同步战区级别的信息能力，聚焦美军在信息空间面临的全球威胁，并将通过权力协调和跨机构合作为作战指挥官提供作战支持。前两支TIAD将专注于各自地区作战任务，而美国陆军网络司令部TIAD将跨地区开展工作。具体来说，陆军网络司令部TIAD任务更广，涵盖多个职能，包括：一是重点关注美国防战略中阐明的对手威胁，从跨区域的角度进行研究；二是将实地参与信息战竞争，为指挥官提供创造信息效应的机会；三是在事态升级的情况下，可以作为“跳板”帮助指挥官利用自身常驻能力或附加专业部队规划和实施行动；四是帮助指挥官了解信息领域现存问题；五是帮助指挥官识别针对美国陆军部队的安全威胁，进而采用进攻手段进行削弱，以达到干扰对手军事决策的目的。

链接：http://985.so/k54nm

思科公司数据疑似被黑客窃取

近日，昵称为“IntelBroker”黑客声称，他已成功入侵思科公司服务器，并成功窃取该公司大量敏感信息。同时，该黑客将部分所窃数据在BreachForums黑客论坛上进行公开，已证实此次攻击事件的真实性。据分析，此次数据泄露事件影响了多个思科客户的开发人员数据，包括：微软、Barclays、SAP、T-Mobile、AT&T、Verizon等知名企业，泄露数据涉及：GitHub、GitLab和SonarQube等项目源代码、源码硬编码凭证、SSL证书、Cisco分类为“机密”密级的文档、AWS私有存储库、Azure存储桶、API令牌等多类敏感信息。目前，思科公司发言人声称，他们已启动一项调查工作，对此次攻击事件进行评估。

链接：http://985.so/k54nk

漏洞资讯

Firefox浏览器存在远程代码执行漏洞（CVE-2024-9680）

近日，安全研究人员发现Firefox浏览器存在远程代码执行漏洞（CVE-2024-9680），位于浏览器动画时间轴组件中，允许攻击者利用Animation timelines中的释放后重用缺陷实现远程任意代码执行。漏洞影响Firefox < 131.0.2等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k54na

GitHub Enterprise Server存在身份验证绕过漏洞（CVE-2024-9487）

近日，安全研究人员发现用于企业内软件开发的自托管平台GitHub Enterprise Server存在身份验证绕过漏洞（CVE-2024-9487），位于SAML SSO中的加密断言功能组件中，当目标实例启用了SAML SSO和加密断言功能时，能够直接网络访问目标GHES实例的攻击者可通过篡改/伪造签名的SAML响应或元数据文件，利用该漏洞绕过身份验证，执行未经授权的用户配置或访问目标实例。漏洞影响GitHub Enterprise Server 3.11 < 3.11.16等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k54n8

Fortinet FortiOS存在格式字符串漏洞（CVE-2024-23113）

近日，安全研究人员发现Fortinet开发的专用于FortiGate上的安全操作系统FortiOS存在格式字符串漏洞（CVE-2024-23113），是由该操作系统的fgfmd守护进程缺乏格式字符串输入安全验证机制所导致，允许未经身份验证的攻击者向目标设备发送恶意请求，进而远程执行任意代码。漏洞影响FortiOS 7.4.0 - 7.4.2、FortiPAM FortiPAM 1.1、1.2等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k54nr

Apache Solr存在身份验证绕过漏洞（CVE-2024-45216）

近日，安全研究人员发现开源搜索服务器Apache Solr存在身份验证绕过漏洞（CVE-2024-45216），攻击者可利用该漏洞针对任何Solr API URL构造恶意路径来绕过Solr的认证机制，从而可能访问敏感数据或执行未授权操作。漏洞影响5.3.0 <= Apache Solr < 8.11.4等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k54nh

Oracle发布10月份安全漏洞更新公告（CVE-2024-21216、CVE-2024-21274、CVE-2024-21215、CVE-2024-21234、CVE-2024-21260）

近日，Oracle发布10月份安全漏洞更新公告，涉及Oracle WebLogic Server的334个安全漏洞，其中有5个漏洞较为严重，包括：（1）Oracle WebLogic Server远程代码执行漏洞（CVE-2024-21216），未经身份验证的攻击者可使用T3、IIOP协议向服务器发送特制请求，利用该漏洞远程执行任意代码，从而控制服务器；（2）Oracle WebLogic Server拒绝服务漏洞（CVE-2024-21274），未经身份验证的攻击者可通过HTTP进行网络访问来破坏 Oracle WebLogic Server，成功利用可能导致Oracle WebLogic Server挂起或频繁重复崩溃，从而造成拒绝服务；（3）Oracle WebLogic Server拒绝服务漏洞（CVE-2024-21215），未经身份验证的攻击者可通过HTTP进行网络访问来破坏Oracle WebLogic Server，成功利用可能导致Oracle WebLogic Server挂起或频繁重复崩溃，从而造成拒绝服务；（4）Oracle WebLogic Server未授权访问漏洞（CVE-2024-21234），未经身份验证的攻击者可通过 T3、IIOP 进行网络访问来破坏Oracle WebLogic Server，成功利用可能导致对关键数据的未授权的访问或对所有Oracle WebLogic Server可访问数据的完全访问；（5）Oracle WebLogic Server拒绝服务漏洞（CVE-2024-21260），未经身份验证的攻击者可通过T3、IIOP进行网络访问来破坏Oracle WebLogic Server，成功利用可能导致Oracle WebLogic Server挂起或频繁重复崩溃，从而造成拒绝服务。目前，用户可通过补丁更新、版本升级等方式修复上述漏洞。

链接：http://985.so/k543b

Kubernetes Image Builder存在默认凭证漏洞（CVE-2024-9486）

近日，安全研究人员发现镜像管理工具Kubernetes Image Builder存在默认凭证漏洞（CVE-2024-9486），由于这些默认凭证未在镜像构建完成后被修改或禁用，导致未经身份验证的攻击者可利用它们通过SSH连接到使用受影响镜像的虚拟机，从而获得对目标节点的访问权限。漏洞影响Kubernetes Image Builder <= v0.1.37等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k543k

木马病毒

DarkVision RAT恶意程序被披露

近日，安全研究人员捕获到一款名为DarkVision的恶意程序样本。经分析发现，该样本具备键盘记录、文件操作、进程注入、密码窃取、远程代码执行等多种常见恶意功能，且该样本具有以下特点：一是该样本采用自定义网络协议与C2服务器进行通联，接收命令并实现数据窃取；二是该样本利用DLL劫持、自动权限提升技术规避用户设备的安全检测；三是该样本在植入目标设备后，会调用用户设备上的Windows Defender组件，将恶意脚本写入Windows启动文件夹中，并修改自动运行功能注册表项值及任务计划程序，以实现自身持久化运行；四是该样本具备较高的定制化能力，可随意部署多种插件，实现更多的恶意功能，如：实时捕获按键、网络摄像头监控、录音、操纵系统进程等。

链接：http://985.so/k543q

编辑：林青

往期推荐

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持