每周网络安全简讯 ( 2024年 第44周 )

01

 01 

近日，安全研究人员监测发现俄罗斯APT组织UNC5812对乌克兰目标实施网络攻击等情况。攻击活动中，该APT组织伪装成合法乌克兰友好组织，利用构造的虚假Telegram频道和钓鱼网站，并试图通过向乌克兰应征入伍者提供Sunspinner等合法软件工具的方式，部署Pronsis Loader恶意下载器。攻击成功后，该APT组织将利用下载器向受控设备上植入PureStealer和CraxsRAT恶意载荷，其中，PureStealer是一款信息窃取程序，可收集用户存储在网络浏览器中的帐户密码、cookie、加密货币钱包地址等敏感信息；CraxsRAT是一款商用后门程序，可实时跟踪受控设备地理位置，并收集键盘记录、录音、联系人列表、SMS消息等敏感信息。此外，在植入受控设备后，该恶意载荷会诱骗用户禁用安卓内置的反恶意软件工具 Google Play Protect，以达到规避用户设备安全检测的目的。

 02 

近日，安全研究人员监测发现俄罗斯APT组织Midnight Blizzard采用网络钓鱼攻击方式，对英国、欧洲、澳大利亚、日本等国和地区的政府、学术、国防、非政府组织等部门目标实施网络攻击。经分析发现，该APT组织发送的钓鱼邮件中包含远程桌面协议（RDP）的配置文件，当用户点击恶意邮件时，用户设备将连接至APT组织指定的远程服务器上，并将个人文件、剪贴板等各种敏感信息通过双向映射的方式上传至远程服务器上。此外，该APT组织还会在入侵受控设备后，部署其他恶意程序载荷，以达到对用户设备持久化远控的目的。

02

 01 

10月29日，美国CISA官方网站发布了《2025-2026财年国际战略规划》（FY2025-2026 CISA International Strategic Plan），旨在将加强国际伙伴关系作为全球竞争的“力量倍增器”，使美国能够在当前和未来竞争并战胜全球范围内的威胁和挑战，实现该机构为美国民众提供安全和有弹性的基础设施的愿景。该战略计划列出了CISA必须实现的三项目标，以应对美国及其国际伙伴面临的不断变化和动态的挑战。其中，前两项目标侧重于该机构将在国际环境中开展的具体工作，第三项目标侧重于促进机构内部协调以统一开展国际活动。具体包括：第一项目标是增强美国所依赖的外国基础设施的弹性；第二项目标是加强综合网络防御；第三项目标是统一国际活动的机构协调。

 02 

近日，Hypori公司首席执行官Jared Shepard声称，美国空军将于11月15日开始获得该公司Halo软件的访问权限，该过度步骤将在几周内分阶段启动。据称，Halo软件可确保美国政府无法访问客户存储在个人设备上的私人数据，且Halo软件的活动记录也不会存储在个人设备上，同时使用Halo软件的客户将可以通过他们的个人设备与五角大楼的非机密互联网协议路由器网络（NIPRNet）进行安全连接，从而实现在任何地点都可访问相关受控非机密信息（CUI）。此外，在客户迁移工作开始时，Hypori公司会逐渐将Halo采用的Microsoft Azure 云平台即服务模型转换为Amazon Web Service 云软件即服务模型，从而达到提升算力、减少后期访问滞后和触摸延迟的目的。

 03 

近日，美国政府发布新的跨部门威胁情报共享TLP指南，旨在规范使用交通灯协议（TLP），处理联邦部门、私营部门、个人研究员和各机构之间的威胁情报信息。指南表示，“在不与现有法律或政策相冲突的情况下，美国政府遵循个人、公司或其他任何组织自愿共享网络安全信息上的TLP标记”。美国政府补充称，使用这些标记的目的是促进网络安全社区的信任和协作，同时确保信息以受控方式进行共享。TLP是用于分类和共享敏感信息的标准化框架，由红色（TLP:RED）、黄色（TLP:AMBER）、绿色（TLP:GREEN）和白色（TLP:CLEAR）标记组成，以对应不同的信息共享级别。国家网络总监小哈里·科克 (Harry Coker, Jr.) 在一份声明中表示：“希望这份指南帮助美国的机构及合作伙伴之间更有效率的实现信息共享，同时能够共同推进相关工作，以实现一个积极的、以价值观为导向的安全网络空间愿景。”

 04 

近日，美国陆军网络司令部为增强国防部网络防御能力，开发出一款名为Panoptic Junction的人工智能工具。据称，该工具可实现对目标网络和平台的可扩展、持续性安全监控，评估系统合规性，并可对威胁情报和网络事件数据进行自动化分析，以人类分析师无法达到的速度对敌对势力的攻击活动、恶意软件和其他异常行为进行高级检测。同时，该工具评估已于2024年4月份正式开始，并取得了成功。美国网络司令部一位高级官员表示，该工具将在未来得到更多的扩展能力。

 05 

近日，空军司令托马斯·亨斯利 (Thomas Hensley)上将表示，空军计划部署防御性网络空间系统（Integrated Defensive Cyberspace System，IDCS），以取代网络空间漏洞评估套件（Cyberspace Vulnerability Assessment）、猎人系统（Hunter system）和作战平台飞行套件（Operations Platform Fly Away Kits）。该系统将通过云提供数据共享能力，以便飞行员和来自不同基地的人员共享有关网络威胁的各类信息。同时，该系统还可将系统内部收集的数据通过云平台传输到广泛数据平台上，以便进行相关数据的深入分析。目前，亨斯利表示，“用 IDCS 替换旧系统的时间表尚不清楚，因为这取决于空军何时获得‘持续资金’进行过渡。”

 06 

近日，安全研究人员监测发现黑客组织TeamTNT通过入侵合法的Docker Hub账户托管恶意软件，并上传了可实施加密货币挖掘或提供访问权限的30多个恶意镜像。同时，该黑客组织还使用Docker Gatling Gun工具大范围扫描互联网上公开的IP地址，查找特定端口上运行的Docker守护程序，进而利用安全漏洞实施入侵，部署恶意容器和脚本，对受控设备实施持久化远控并利用其计算资源实施加密货币挖掘。此外，为逃避目标设备安全检测，该黑客组织使用Sliver恶意软件，将恶意载荷混入合法进程，窃取用户登录凭证并扫描受控设备所在网络的其他攻击目标，以实施横向渗透，最终达到扩大攻击面的目的。安全人员声称，此次攻击活动体现了TeamTNT组织的快速发展和适应能力，相关组织应加强网络安全防护能力，以防范该黑客组织的攻击。

 07 

近日，法国第二大互联网服务提供商Free遭受黑客攻击。据称，此次攻击中，黑客对Free公司服务器实施入侵，获取了内部管理工具的访问权限，窃取了部分Free Mobile和Freebox客户的个人数据，涉及帐户资料、姓名、电话号码、邮政地址、出生日期、IBAN等详细信息。同时，该黑客将所窃数据在互联网上进行公开，以证实此次攻击的真实性。目前，Free公司表示已采取措施制止网络攻击，并就此攻击事件通知了相关监管机构。

 08 

近日，加拿大发生了一起严重的税务数据泄露事件。此次事件中，某黑客疑似窃取了H&R Block Canada公司机密数据，并利用这些信息未授权访问了数百名加拿大公民的个人税务局（CRA）账户，篡改存款信息并提交虚假申报表，同时从公款中骗取了超过600万美元的虚假退款。H&R Block公司表示，没有证据表明此次入侵事件源自该公司，其数据、系统、软件和安全均未受到损害。加拿大税务局未能确定黑客的身份，但排除了自身系统被入侵或内部人员参与的可能性。

 09 

Strava是一款全球较为常用的健身应用程序，拥有1.2亿用户，能够记录跑步、骑行等运动轨迹。但据称，该应用程序存在泄露敏感位置信息的风险，至少26名美国特工在Strava上拥有公共账户，且在特朗普遭遇暗杀未遂事件后仍活跃于该平台，法国和俄罗斯的总统安保人员也被发现使用该应用，涉及12名法国GSPR成员和6名俄罗斯FSO成员。其他用户可通过查看Strava热图、用户分享信息等方式，追踪目标人群的实时地理位置。尽管美国特勤局和法国总统官方机构对此进行了回应，称使用Strava不会对安保行动构成威胁，但此前Strava发布的全球健身热区图就曾暴露美军在中东地区的机密活动位置。综上，健身应用程序数据存在被攻击者追踪利用的风险，建议用户使用此类应用时应小心谨慎，避免泄露敏感信息。

03

 01 

 02 

 03 

 04 

 05 

 06 

 07 

点赞在看转发 是对我们最好的支持