5th域安全微讯早报【20241101】263期

2024-11-01 星期五Vol-2024-263

今日热点导读

1. 美国FCC最高隐私官员谈数据保护使命

2. 加拿大发布国家网络威胁评估报告应对网络威胁

3. 俄罗斯通过南非法院对谷歌提起诉讼，意在反击YouTube封锁

4. 伊朗网络组织针对巴黎奥运会及以色列展开攻击

5. 网络购物骗局蔓延千余网站，骗取数千万美元

6. 俄罗斯因电力短缺将禁止部分地区加密货币挖矿

7. 乌克兰网络联盟攻击致俄特维尔停车系统瘫痪

8. 雅虎披露NetIQ iManager漏洞允许远程代码执行

9. CyberPanel漏洞被利用进行勒索软件攻击

10. LottieFiles警告lottie-player npm包被供应链攻击，发布安全更新

11. 俄罗斯与朝鲜签署信息技术合作协议

12. 白宫即将完成涵盖广泛的第二项网络安全行政命令

13. 联合健康集团任命新CISO以加强网络安全

14. 秘鲁Interbank银行因数据泄露道歉

15. 美国检方寻求对泄露五角大楼机密文件的杰克·特谢拉判处17年监禁

16. EmeraldWhale暴露1.5TB窃取凭证：Sysdig蜜罐揭示Git配置文件攻击

17. 马萨诸塞州非营利组织Mystic Valley Elder Services数据泄露影响8.7万人

18. 政府部门恶意软件攻击激增，美大选安全面临多重威胁

19. 忽视API安全问题的风险

20. Mac系统恶意软件威胁：黑客针对加密货币持有者

备注: 第11-20条资讯为订阅用户专享！（更多信息，欢迎订阅！）

资讯详情

政策法规

1. 美国FCC最高隐私官员谈数据保护使命

【The Record网站10月31日消息】美国联邦通信委员会（FCC）在主席杰西卡·罗森沃塞尔的领导下，通过设立隐私和数据保护工作组，进一步加强了隐私执法。该机构在保护电信用户隐私方面采取了多项重要措施，包括对未经同意共享消费者数据的电信运营商实施重罚，约为1.96亿美元。洛亚安·埃加尔，FCC隐私和数据保护工作组负责人，表示工作组不仅专注于执法，还在规则制定和供应链完整性等方面提供支持。近期，FCC与主要电信运营商达成了一系列和解协议，如与T-Mobile和TracFone达成的协议，重点解决数据泄露和API漏洞导致的SIM卡交换问题，以保护消费者免受不法分子攻击。此外，FCC还在自动拨号电话执法上取得进展，成功遏制了拜登语音克隆等误导性自动拨号现象。针对越来越复杂的网络安全威胁，FCC注重隐私与国家安全的交叉影响，确保敏感信息的安全性，防止外国对手入侵关键基础设施。埃加尔还指出，FCC通过国际合作打击全球隐私威胁，与英国、加拿大等国家的数据保护机构合作，共享有关诈骗行为和隐私保护的情报。在未来，FCC将继续关注供应链完整性和联网汽车数据隐私等前沿问题，以更全面地保障用户数据安全。

2. 加拿大发布国家网络威胁评估报告应对网络威胁

【IndustrialCyber网站10月31日消息】加拿大通信安全局下属的加拿大网络安全中心发布了《2025-2026年国家网络威胁评估报告》（NCTA 2025-2026），以应对日益扩大且复杂的网络威胁。报告指出，网络犯罪对加拿大个人、组织和政府构成持续威胁，勒索软件是关键基础设施面临的最大网络犯罪威胁。报告分为三部分，涵盖国家对手的网络威胁、网络犯罪威胁以及塑造加拿大网络威胁格局的趋势。报告强调，国家支持的网络威胁行为者可能试图通过破坏性网络攻击和信息战来影响公众舆论。加拿大政府已将网络安全作为优先事项，提出预算以增强情报和网络运营计划。报告还指出，中国、俄罗斯、伊朗等国家对加拿大构成复杂的网络威胁。

3. 俄罗斯通过南非法院对谷歌提起诉讼，意在反击YouTube封锁

【SecurityLab网站10月31日消息】俄罗斯国家媒体公司因谷歌封锁其YouTube频道，向南非法院提起诉讼，要求执行莫斯科法院对谷歌的罚款裁决。最初的罚款为1000美元，但由于谷歌拒绝支付，该罚款每周增加一倍，现已超过Alphabet的市值。此次诉讼凸显了跨国公司如何受到俄罗斯法律的影响，专家警告称，类似争端可能破坏全球贸易的法律基础。瑞典谢尔曼律师事务所的国际律师亚历山德拉·伊奥达诺娃指出，当前的法律民族主义和执法规模前所未有，反映了国际法律秩序的根本性变化。谷歌在美国法院中提交的文件中声称，俄罗斯法院已被用作支持其破坏美国制裁的工具，而俄罗斯媒体则指责谷歌限制其言论自由。17家俄罗斯电视台对谷歌的索赔总额达110亿卢布。该诉讼的核心是谷歌拒绝恢复俄罗斯媒体在YouTube上的访问权限，受影响的媒体包括第一频道、NTV等多家知名机构。

安全事件

4. 伊朗网络组织针对巴黎奥运会及以色列展开攻击

【The Record网站11月1日消息】美国联邦调查局（FBI）及其他机构指控伊朗网络组织Emennet Pasargad对2024年夏季奥运会发起攻击，包括企图控制谴责以色列的展示板。该组织利用ASA公司作为掩护，进行网络信息行动，攻击法国商业动态显示器提供商，并试图通过IP摄像机和在线AI工具收集内容。FBI指出，该组织还涉及虚假信息攻击，包括发布假新闻文章和传播威胁信息。此外，该组织被指控针对选举网站和媒体进行影响行动，使用生成式人工智能创建假新闻主播，并利用AI技术进行照片和语音转换。美国国务院已对Emennet Pasargad组织的成员实施制裁，并悬赏获取有关该组织成员的信息。

5. 网络购物骗局蔓延千余网站，骗取数千万美元

【The Record网站10月31日消息】网络安全公司HUMAN的部门Satori Threat Intelligence报告称，数千个合法购物网站被犯罪分子入侵，通过恶意代码将消费者重定向到121个假冒网店，诱骗消费者购买虚构的稀缺商品，涉案金额达数千万美元。该行动代号为“Phish 'n' Ships”，至少从2019年起活跃，主要通过伪造产品列表、优化搜索引擎排名来吸引用户点击。一旦用户访问虚假网店并尝试购买商品，四家第三方支付处理商之一便会收集其信用卡信息，但用户始终无法收到商品。此类骗局尤其针对小众商品，如80年代任天堂Power Glove游戏手套造型的烤箱手套，吸引消费者上当。尽管研究人员已将情况通知支付处理商及执法机构，影响部分行动，但该网络诈骗仍具威胁，诈骗者在寻找新手法继续行骗。Satori的分析指出，Phish 'n' Ships与德国Security Research Labs报告的BogusBazaar骗局在运作模式上类似。

6. 俄罗斯因电力短缺将禁止部分地区加密货币挖矿

【The Record网站10月31日消息】俄罗斯因与乌克兰战争导致的电力短缺，计划于11月开始在部分地区禁止加密货币挖矿。此前，俄罗斯已将虚拟货币挖矿合法化，供法人和企业家使用。能源部副部长叶夫根尼·格拉布恰克指出，部分地区矿工已耗尽所有可用电力容量，新消费者需等到2030年才能接入电网。普京曾将电力短缺归咎于加密货币矿工，并考虑提高矿工电费。俄罗斯能源行业依赖苏联遗产，开发新产能需数年。加密货币矿工消耗量在过去两年增加了14%。俄罗斯曾将加密货币视为规避制裁的工具，但新的采矿限制可能会阻碍金融数字化进程。

7. 乌克兰网络联盟攻击致俄特维尔停车系统瘫痪

【The Record网站10月31日消息】俄罗斯特维尔市的数字停车支付系统近日出现“技术故障”，市民享有了两天的免费停车。然而，亲乌克兰的“乌克兰网络联盟”黑客组织声称对此负责，表示已摧毁特维尔市行政网络，包括虚拟机、备份存储、网站、电子邮件及数百个工作站。黑客还分享了疑似入侵系统的截图，称此次攻击使特维尔市的互联网、电话服务及停车系统全面瘫痪。尽管特维尔市政府未正式回应黑客指控，但声明中提到网站和停车支付系统正“技术维修”。当地居民反馈尝试付款时收到“请求超时”等错误。几日后，停车服务恢复，但官方并未确认此次中断系黑客攻击所致。“乌克兰网络联盟”成立于2016年，一直参与反俄行动。该组织去年曾声称入侵俄罗斯国家支付系统并窃取数据，还声称关闭了与俄罗斯有关的Trigona勒索软件泄密站点。

漏洞预警

8. 雅虎披露NetIQ iManager漏洞允许远程代码执行

【Securityweek网站10月31日报道】雅虎的“Paranoid”漏洞研究团队在OpenText的NetIQ iManager产品中发现了近十二个安全漏洞，其中一些漏洞可以被串联起来实现未经认证的远程代码执行（RCE）。NetIQ iManager是一款企业目录管理工具，允许安全远程访问网络管理工具和内容。这些漏洞可以被单独利用，用于跨站请求伪造（CSRF）、服务器端请求伪造（SSRF）、远程代码执行（RCE）、任意文件上传、认证绕过、文件泄露和权限提升等攻击。相关漏洞的补丁已于4月随更新发布，雅虎现在披露了部分安全漏洞的详细信息，并解释了它们如何被串联利用。通过串联这些漏洞，攻击者可以通过让用户访问恶意网站来远程破坏iManager。研究人员还展示了攻击者如何获得管理员凭证并滥用它们来代表他们执行操作。雅虎“Paranoid”团队成员Blaine Herro解释，iManager等企业管理控制台因其管理下游目录服务的高度特权位置而成为攻击者的理想目标。

9. CyberPanel漏洞被利用进行勒索软件攻击

【SecurityWeek网站10月31日消息】研究人员发现CyberPanel中的漏洞后，威胁行为者在数小时内开始利用这些漏洞进行攻击，导致数千个实例遭遇勒索软件和加密货币矿工的侵袭。CyberPanel是一个流行的免费网络托管控制面板，研究人员DreyAnd发现其存在可以被利用的未经身份验证的远程代码执行漏洞。DreyAnd在10月23日向CyberPanel开发者报告了这一发现，并在10月27日公开了技术细节和概念验证代码。LeakIX公司开始监测CyberPanel实例，并在10月29日确认发生大规模利用。到10月28日，在线的CyberPanel实例约为22,000个，其中一半位于美国，但到次日可用实例数量减少到几百个，原因是这些实例已被攻击并不再可达。受影响的CyberPanel实例被Psaux勒索软件攻击，攻击者对受损服务器上的文件进行加密，并要求支付赎金以获取解密工具。CyberPanel开发者已为此次漏洞分配了CVE标识，并为客户提供了补丁和应对建议。

风险预警

10. LottieFiles警告lottie-player npm包被供应链攻击，发布安全更新

【The Hacker News网站10月31日消息】动画平台LottieFiles透露，其广受欢迎的npm包“lottie-player”在供应链攻击中遭遇恶意代码注入。事件发生在10月30日，当天18:20（UTC）LottieFiles接到通知，发现未经授权的新版本恶意修改了“lottie-player”库。LottieFiles声明，此次事件不影响其dotlottie播放器或SaaS服务，但大量通过第三方CDN且未使用固定版本的用户可能已自动下载受损版本。恶意代码诱导用户连接加密货币钱包，意图窃取资金。受影响的版本包括2.0.5、2.0.6和2.0.7，官方建议用户立即更新至2.0.8。LottieFiles解释，此次攻击利用了开发人员泄露的访问令牌，使得未经授权的版本在一小时内推送至npm仓库。公司已从仓库中删除这三版恶意包，并发布了补丁，现启动了事件响应计划，并聘请外部团队协助调查以提升安全。

往期推荐