加拿大政府以国家安全为由下令TikTok关闭在加业务；思科工业无线设备曝高危漏洞，未授权者也可获得root权限 | 牛览

•加拿大政府以国家安全为由下令TikTok关闭在加业务

•违规收集用户政治倾向等敏感数据，韩国对Meta开出1.11亿元巨额罚

•美军网络司令部试点AI工具成效显著，网络防御能力快速提升

•新型恶意软件Winos4.0曝光，伪装成游戏应用实施多阶段精密攻击

•低额赎金背后暗藏威胁伎俩，GoZone勒索软件结合虚假指控敲诈

•升级版Strela Stealer恶意软件卷土重来，伪装发票实施定向网络攻击

•思科工业无线设备曝高危漏洞，未授权者也可获得root权限

•微软Azure API管理服务漏洞修复进度拖沓引发质疑

•警惕！一种伪装成软件激活工具的SteelFox恶意软件来袭

•CrowdStrike拟战略收购Adaptive Shield，全面增强云安全业务能力

加拿大创新、科学和工业部长François-Philippe Champagne于11月7日宣布，基于国家安全风险考虑，加拿大政府已正式要求字节跳动旗下的TikTok终止其在加拿大的业务运营。这一决定是建立在加拿大安全情报部门和其他政府合作伙伴的建议基础之上，经过全面审查后做出的。

值得注意的是，这项命令并未禁止加拿大民众使用TikTok应用程序或创作内容。加拿大政府表示，使用社交媒体应用是个人选择。不过政府同时提醒公民在使用社交媒体平台时需要注意网络安全实践，特别是评估外国机构如何获取、管理、使用和共享个人信息可能带来的潜在风险。

这一决定是根据《投资加拿大法》做出的，该法案允许政府审查可能损害加拿大国家安全的外国投资。事实上，早在2023年2月，加拿大政府就已经在政府设备上禁止使用TikTok。

对此，TikTok方面向美联社表示，关闭加拿大办事处将导致数百个本地就业岗位流失，公司计划通过法律途径对这一命令提出质疑。

原文链接：

https://thehackernews.com/2024/11/canada-orders-tiktok-to-shut-down.html

韩国个人信息保护委员会（PIPC）近日对Meta处以216.2亿韩元（约合人民币1.11亿元）的罚款，原因是该公司在未经用户明确同意的情况下，非法收集Facebook用户的敏感个人信息，并与广告商分享这些数据。

PIPC的调查发现，Meta通过Facebook个人资料页面收集了约98万韩国用户的敏感信息，包括宗教信仰、政治观点和同性婚姻状况等，并将这些信息提供给约4000家广告商用于定制化服务。具体而言，Meta通过分析用户在Facebook上"点赞"的页面和点击的广告等行为信息，创建并运营与敏感信息相关的广告主题，涉及特定宗教、性少数群体、脱北者等内容。

此外，调查还发现Meta未能妥善保护闲置账户恢复页面的安全，导致黑客可以使用虚假身份重置密码，进而访问10名韩国用户的个人数据。针对上述违规行为，PIPC除了处以罚款外，还要求Meta建立敏感信息处理的法律依据，采取安全保障措施，并认真响应用户查看个人信息的请求。

原文链接：

https://securityaffairs.com/170618/digital-id/south-korea-fined-meta-15-67m.html

据DefenseScoop网站报道，美国陆军网络司令部（Army Cyber Command）的人工智能工具Panoptic Junction自今年4月开始试点以来，在增强其威胁情报分析和恶意网络活动检测方面展现出巨大的应用潜力。

网络司令部执行主任Morgan Adamski对此做出了积极评价。她表示，Panoptic Junction不仅能够同时进行网络风险评估和威胁情报传递，还支持针对特定架构的安全评估。"这一工具提高了运营和维护效率，改进了我们识别风险和检测敌对活动的能力，能够提供实时的加固建议，并提升了我们网络部队的技术水平。"她同时表示，该AI工具未来将在军方网络中获得更广泛的应用。

Adamski指出，这一进展是网络司令部加强其网络国家任务部队（Cyber National Mission Force）人工智能特别工作组的重要组成部分。他们正在尽快组建团队，同时与联邦资助的研发中心、研究实验室和私营部门展开合作，以期尽快增强技术人才储备。

原文链接：

https://www.scworld.com/brief/new-army-cyber-command-ai-tool-shows-promise-in-bolstering-pentagon-network-defenses

FortiGuard Labs安全研究人员日前正式披露，一个名为Winos4.0的高级恶意软件正通过伪装成无害的游戏相关应用程序，针对Windows系统用户发起多阶段精密攻击。这个新型恶意软件框架具有类似Cobalt Strike和Sliver的功能特性。

研究人员在11月6日发布调查报告中指出，他们发现多个携带该恶意软件的游戏相关应用程序样本，包括安装工具、加速器和优化工具等。通过解码DLL文件分析，研究人员发现这种多阶段攻击首先从远程服务器获取一个伪装的BMP文件，经XOR解码后提取出名为"you.dll"的DLL文件。

该DLL文件通过其导出函数"you"被加载，随后从远程路径下载三个文件并创建随机名称的文件夹。提取的文件随后加载"libcef.dll"以注入shellcode，并使用XOR密钥解码另一个文件。

在最后阶段，系统执行登录模块.dll，执行多项任务，包括启用崩溃重启、记录剪贴板内容、检查特定应用程序的窗口标题栏、收集系统信息、检测加密钱包扩展和防病毒软件，发送登录信息，并通过心跳包维持与命令控制服务器的连接。

鉴于Winos4.0的强大危害性，安全专家建议用户务必谨慎对待来源不明的应用程序，仅从可信来源下载软件。

原文链接：

https://hackread.com/winos4-0-malware-target-windows-fake-gaming-apps/

安全研究人员最近发现了一个新型勒索软件GoZone，其攻击者索要赎金金额相对较低，仅要求受害者支付1000美元的比特币以解密被加密的文件。

据SonicWall研究人员分析，这款使用Go语言编写的勒索软件采用Chacha20和RSA算法对受害者文件进行加密，被加密的文件会被添加".d3prU"扩展名。研究发现，除了常规的文件加密功能外，该勒索软件还具备绕过和禁用Windows系统用户账户控制（UAC）、覆写主引导记录（MBR）和削弱系统还原工具等破坏性功能。

攻击者采用了多重手段向受害者施压：在每个包含被加密文件的目录中创建勒索信txt文件，通过默认浏览器打开html格式的勒索信，并将勒索信设置为系统壁纸。值得注意的是，受害者将无法更改这个壁纸，因为勒索软件已经禁用了背景设置功能。

这款勒索软件的威胁手段极具胁迫性，攻击者在勒索信中声称在受害者计算机上发现了儿童性虐待材料，并威胁如果不支付赎金就将举报给相关部门。然而，安全专家提醒，支付赎金并不能保证文件能够被成功解密，因为攻击者可能不会提供解密密钥，或提供的密钥可能无法正常工作。

原文链接：

https://www.helpnetsecurity.com/2024/11/06/gozone-ransomware-d3pru/

据Cybernews网站报道，一款经过升级、更具隐蔽性和破坏力的Strela Stealer恶意软件正在中欧和西南欧地区，特别是德国和西班牙展开新一轮攻击行动。

根据Cyble研究和情报实验室的分析，攻击者通过发送包含ZIP压缩文件附件的伪装成发票的恶意邮件。该附件会通过WebDAV协议获取并执行DLL文件，进而加载升级版Strela Stealer变种。这个恶意程序会首先验证目标设备是否位于德国和西班牙境内，随后才会窃取并传输Outlook和Thunderbird的用户凭证以及系统信息。

Cyble的研究人员指出，最新一轮的Strela Stealer攻击活动显示出恶意软件投递技术的显著进步，体现出更高的复杂性和隐蔽性。通过利用携带ZIP文件附件的鱼叉式钓鱼邮件，该恶意软件成功绕过了传统的安全防御机制。针对这一威胁，研究人员建议加强员工钓鱼防范意识培训，强化WebDAV服务器访问控制，并升级终端安全解决方案。

原文链接：

https://www.scworld.com/brief/updated-strela-stealer-malware-hits-germany-spain

思科公司近日发布公告表示，修复了一个高危级别的安全漏洞，该漏洞可能允许攻击者在用于工业无线自动化连接的超可靠无线回程（URWB）接入点上以root权限执行命令。

这个被编号为CVE-2024-20418的安全漏洞存在于思科统一工业无线软件的基于Web的管理界面中。未经身份验证的威胁行为者无需用户交互即可通过低复杂度的命令注入攻击来利用该漏洞。思科发布的安全公告中表示："该漏洞源于对Web管理界面输入的验证不当。攻击者可以通过向受影响系统的Web管理界面发送精心构造的HTTP请求来利用此漏洞。成功利用该漏洞后，攻击者可以在受影响设备的底层操作系统上以root权限执行任意命令。"

受影响的设备包括Catalyst IW9165D重载型接入点、Catalyst IW9165E坚固型接入点和无线客户端，以及Catalyst IW9167E重载型接入点，但前提是这些设备运行着存在漏洞的软件且启用了URWB操作模式。管理员可以通过检查"show mpls-config"CLI命令是否可用来确定URWB操作模式是否启用。如果该命令不可用，则表明URWB已禁用，设备不会受到此漏洞影响。

思科产品安全事件响应团队（PSIRT）表示，目前尚未发现公开可用的漏洞利用代码，也未发现该关键安全漏洞在实际攻击中被利用的证据。

原文链接：

https://www.bleepingcomputer.com/news/security/cisco-bug-lets-hackers-run-commands-as-root-on-uwrb-access-points/

安全公司Binary Security的研究人员近期披露了微软Azure API管理（APIM）服务中的多个严重安全漏洞。这些漏洞可能允许仅具有基本Reader权限的攻击者获得该服务的完整管理控制权。

研究人员发现的最严重漏洞涉及对遗留API版本的利用。攻击者只需拥有Reader角色权限，就能获取用于APIM管理API的SSO令牌，从而绕过所有预设的访问控制，获得完整的管理权限。此外，研究人员还发现了其他几个可能暴露敏感信息的漏洞，包括订阅密钥、OAuth凭证和集成密钥等。

最令人担忧的是，攻击者可以通过一个已弃用的API端点生成管理员SSO令牌。利用这个令牌，攻击者可以通过管理API进行完整权限认证，从而部署新的API、修改现有API，并访问所有敏感信息。

这些漏洞最早于2023年2月就报告给微软。但目前仍有许多遗留API漏洞可被利用。微软曾表示会在今年6月前禁用遗留API，但新部署的APIM服务中仍默认启用这些存在漏洞的API。对于微软处理这些漏洞的方式，安全研究人员表示失望。他们指出，微软在未充分沟通的情况下进行了更改，且尽管这些发现的严重性较高，却未发放任何漏洞赏金。安全专家强烈建议使用Azure API管理服务的组织立即审查其安全配置，并实施推荐的缓解措施，以防止这些漏洞被恶意利用。

原文链接：

https://cybersecuritynews.com/azure-apim-vulnerabilities/

据卡巴斯基公司报告，一款名为"SteelFox"的新型恶意软件包正在通过"自带易受攻击驱动程序"技术获取Windows系统的SYSTEM权限，进而进行加密货币挖掘和信用卡数据窃取。

这个恶意软件通过论坛和种子追踪器以破解工具的形式传播，声称可以激活Foxit PDF Editor、JetBrains和AutoCAD等合法软件。虽然利用易受攻击的驱动程序提升权限的技术通常被国家级威胁行为者和勒索软件组织使用，但现在这种技术已经扩展到信息窃取型恶意软件攻击中。

卡巴斯基研究人员解释说，在文件解压之前，整个执行链看起来都是合法的。由于目标软件通常安装在Program Files目录下，添加破解需要管理员访问权限，而恶意软件随后会利用这一权限。SteelFox会创建一个运行WinRing0.sys的服务，这个驱动程序存在CVE-2020-14979和CVE-2021-41285漏洞，可被利用来获取NT/SYSTEM级别的权限提升，这是本地系统上最高级别的权限，比管理员权限更强大。

研究人员指出，虽然SteelFox相对较新，但它是一个功能完备的犯罪软件包，其开发者具有较强的C++编程能力，通过集成外部库创建了这个强大的恶意软件。

原文链接：

https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/

CrowdStrike日前宣布将收购以色列SaaS安全初创公司Adaptive Shield，以增强其Falcon平台的云化安全功能。这笔交易预计将在2024财年第四季度完成，具体收购金额未对外披露。

CrowdStrike总裁Michael Sentonas表示，收购Adaptive Shield是公司在SaaS和人工智能安全领域发展的关键一步。通过整合Adaptive Shield的技术，Falcon平台将能够主动检测和防范跨域攻击，覆盖终端、云和SaaS应用等多个领域。据介绍，采用Adaptive Shield解决方案的企业在3至4个月内，其SaaS安全态势可见性从20%提升至85%，增幅显著。

成立于2019年的Adaptive Shield主要提供全面的SaaS安全态势管理（SSPM）服务。其技术可对超过150个SaaS应用中的人类和非人类身份及其权限、授权、活动水平和公共数据进行全面监控和管理。此外，该公司还提供SaaS应用错误配置和其他风险的可见性，并具备生成式AI安全功能，可提醒用户注意GenAI SaaS应用的安全问题并提供详细的修复步骤。

完成此次收购后，CrowdStrike将成为一家能够通过单一平台提供从本地Active Directory到基于云的身份提供商和SaaS应用的端到端身份攻击防护的网络安全供应商。

原文链接：

https://www.crn.com/news/security/2024/crowdstrike-to-boost-falcon-platform-with-adaptive-shield-buy