每周网络安全简讯 ( 2024年 第45周 )

2024年11月2日至2024年11月8日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、勒索攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计19条。

APT攻击

APT组织Haywire Kitten对美国、以色列、法国等国目标实施网络攻击

近日，美国和以色列发布联合公告，披露了APT组织Haywire Kitten近期新攻击手段。公告称，该APT组织利用生成式人工智能工具等新网络攻击技术，针对美国、以色列、法国、瑞典等多个国家目标实施网络攻击。与以往相比，该APT组织在三个方面采取了新型手段，包括：一是使用“Server-Speed”和“VPS-Agent”等多家托管服务提供商作为掩护经销商，进行自身基础设施的管理和运营；二是通过Pastebin和LinkedIn等线上平台搜索开源信息，以识别和搜集以色列战斗机飞行员、无人机操作员等个人信息；三是利用生成式人工智能工具融入自身的钓鱼信息投递过程，例如，在2023年12月份，该APT组织曾对美国互联网协议电视(IPTV)流媒体公司实施入侵，并利用相关人工智能工具向外传播与以色列-哈马斯军事冲突有关的精心设计的钓鱼信息。目前，美国FBI、财政部和以色列国家网络局已针对该APT组织攻击情况发布安全措施，包括：部署DMZ区、使用CMS进行文件托管、检查虚拟专用网络服务等。

链接：http://985.so/k0i9s

巴基斯坦APT组织APT36对印度目标用户实施网络攻击

近日，安全研究人员监测发现巴基斯坦APT组织APT36对印度政府机构、军事实体、外交使团等目标用户实施网络攻击。攻击活动中，该APT组织利用网络钓鱼方式，诱使用户点击安装伪装成合法应用程序的恶意载荷，以对其实施渗透入侵。攻击成功后，该恶意载荷将首先利用Telegram、Slack、Google Drive等合法服务与C2服务器建立通联关系，然后向受控设备植入ElizaRAT、ApoloStealer和ConnectX功能性组件。其中，ElizaRAT首现于2023年9月份，可窃取用户设备上的敏感文件并执行APT组织下达的各类恶意操作；ApoloStealer在植入受控设备时将自动检测设备时区，判断为印度时会将所窃数据暂时存储在自身创建的数据库文件，进而将该数据库文件发送到APT组织指定的远程服务器中；ConnectX是一款新型USB窃取程序，植入受控设备后将检测插入型USB设备和连接到受控设备的其他外部驱动器并进行感染，待USB设备插入其他用户设备时再进行载荷植入，以达到扩大攻击面的目的。Check Point Research (CPR)研究人员声称：“ApolloStealer等新有效负载的引入，标志着APT36组织恶意软件库的显著扩展，也表明该APT组织在针对目标实施攻击时采用的方法将更为灵活和模块化，其目的也更趋向于情报收集和网络间谍活动。”

链接：http://985.so/k0i9j

网络动态

美国五角大楼为各部门和盟友制定“负责任人工智能”指南

近日，美国防部正在建立一个不断拓展延伸的交互式在线指南库，旨在帮助各部门官员开发安全且符合道德的人工智能工具，以在全球范围内推动“负责任人工智能”（Responsible Artificial Intelligence）。五角大楼 RAI 主任马修·K·约翰逊(Matthew K. Johnson)表示，该人工智能指南的一个版本已经向美国国防官员、情报界、民间机构和盟友发布，为相关机构识别、跟踪和改进人工智能项目提供定制和模块化的评估架构、开发工具和相关组件。同时，除上述发布的新版本外，相关技术人员还与北约共同开发了另一个版本的工具包，可更为适配北约的人工智能开发流程和各类数据。此外，约翰逊表示，他们从白宫科技政策办公室（OSTP）和美国国家标准与技术研究所（NIST）收到人工智能工具包的使用反馈，且会将其反馈纳入第二版，该版本将在几周后向相关机构进行发布。

链接：http://985.so/k0i9z

美国政府发布《联邦零信任数据安全指南》

近日，由美国联邦首席数据官（CDO）委员会和联邦首席信息安全官（CISO）委员会联合牵头发布《联邦零信任数据安全指南》，旨在强化数据安全实践。该指南汇集了来自30多个联邦机构和部门的数据和安全专家的意见，向系统所有者、管理员、网络安全工程师及数据管理人员提供较为详尽的零信任原则，以为相关决策提供支持。指南提供了一张包含五个步骤的零信任安全路线图，概述了实践者可以采取的具体行动，以确保数据安全。同时，指南还描述了可能危及美国家安全和经济利益的相关数据风险，包括：网络安全威胁、存储故障、数据擦除不完全等，以及与数据传输、数据存储和数据弹性相关的安全风险条目。此外，指南还提出了一系列最佳数据实践的建议，包括：跨职能和协作的沟通，数据团队与安全团队之间的紧密合作，持续学习与教育的必要性，适应性和定期评估等。

链接：http://985.so/k0i90

多国数据保护机构发布关于数据抓取的联合声明

近期，来自加拿大、西班牙、英国等16国的数据保护机构共同就数据抓取及隐私保障发布《关于数据抓取和隐私保护的总结声明》（Concluding joint statement on data scraping and the protection of privacy），旨在为社交媒体公司(Social media companies，下称“SMCs”) 确保其用户的个人信息免受非法抓取提供具体指导和帮助。声明中强调，SMCs及其他相关组织应当采取多层次的保护措施，以防止其平台上可公开获取的数据遭受非法抓取，具体包括：一是指定组织内的特定团队或角色制定和实施控制措施，以防止、监控和应对非法数据抓取活动；二是对每个帐户每小时或每天对其他帐户资料的访问次数设定“限制速率”，并在检测到异常活动时限制其访问；三是监控新账户寻找其他用户的频率和活跃程度；四是采取措施检测通过爬虫程序及自动化软件在网络上执行重复任务的爬虫活动；五是当怀疑或确认存在抓取行为时，采取适当的通知行动，例如发送“停止并终止”通知，要求对方删除抓取的信息并提供删除确认；六是密切监测具有威胁性的场景和新技术，以相应地制定和调整保障措施；七是采用平台设计元素，以增加使用自动化手段抓取数据的难度，如使用随机生成的账户URL、随机化界面设计元素，以及部署检测和阻止恶意互联网流量的工具等。

链接：http://985.so/k0i9f

OWASP发布深度伪造事件响应指南

近日，全球应用安全项目组织（OWASP）发布了一系列专门应对AI威胁的指南，为企业提供深度伪造事件的响应框架。此次新推出的指南更加侧重于AI技术的用户，包括：一是“Deepfake 检测和管理指南”，阐述了“超现实数字伪造”所带来的问题。作为人工智能网络威胁情报计划的产物，该资源可帮助组织在深度伪造技术不断改进的情况下保持安全；二是“卓越中心指南”，帮助企业建立最佳实践和框架，以创建AI安全实践，帮助组织建立风险管理系统和跨部门协调系统，如安全、法律、数据科学和运营团队等；三是“AI安全解决方案概览指南”，是一份关于如何保护开源和商业LLM及GenAI应用程序的广泛参考。它对现有和新兴的安全产品进行了分类，并就如何考虑十大列表中确定的风险提供了指导。

链接：http://985.so/k0i91

法国劳工部遭受网络攻击

近日，法国劳工部发表声明称，他们的一家服务提供商遭受网络攻击，部分业务网站受到影响。同时，此次网络攻击可能泄露了在该系统中登记用户的个人数据，包括：姓名、出生日期、国籍、电子邮件、地址及电话号码等敏感信息。目前，法国劳工部已将此次攻击事件向法国隐私监管机构CNIL和网络安全机构ANSSI进行报告，并采取了多项安全措施缓解攻击影响。

链接：http://985.so/k0i9v

美国海岸警卫队组建首批两个预备役网络部队

近期，美国海岸警卫队成立首批两个以网络为重点的预备役指挥部，包括：美国网络司令部海岸警卫队预备役部队和美国海岸警卫队第1941网络保护团队。此次网络部队的成立，旨在加强该军种网络和海上运输系统的网络安全，并与美国网络司令部协调纳入联合网络行动。美国海岸警卫队表示，预备役部队将增强该军种的能力，并保留原本会流失的网络人才。美国网络司令部海岸警卫队预备部队最初有15个职位，由隆泽尔·格林上尉领导，其在海岸警卫队服役期间积累了情报、海事安全和网络安全方面的专业知识。该部队成员包括来自美国国土安全部网络安全和基础设施安全局、美国海军和其他政府机构，以及金融、银行和其他网络相关领域企业机构的具有网络安全技能的成员。该部队将主要在美国网络司令部和国家安全局所在地马里兰州米德堡开展工作，同时它将协助其他美国网络司令部联合机构开展威胁评估和网络系统防护任务。第1941网络保护团队有39个职位，将由纳撒尼尔·托尔少校领导。网络保护团队总部位于华盛顿特区，是美国海岸警卫队可部署单位，负责为海上运输系统中的合作伙伴提供网络安全能力。在过去一年中，美国海岸警卫队已将第1790、2013和2003网络保护团队设立为指挥部。目前，第1941网络保护团队将首先进行扩编，新纳入的预备役成员由国土安全部网络安全和基础设施安全局的网络安全专业人员、联邦执法人员、国防部、情报界的文职人员和合同制人员，以及大型技术组织、金融机构和美国关键基础设施运营商的专业人员组成。扩编后的网络保护团队将协助海岸警卫队的3个现役网络保护团队进行威胁搜寻、事件响应和评估，以确保海上运输系统的安全。

链接：http://985.so/k0i96

诺基亚公司疑似遭受IntelBroker黑客组织攻击

近日，黑客组织IntelBroker声称，他们已成功入侵与诺基亚公司合作的第三方供应商服务器，并窃取了诺基亚公司大量敏感信息，包括：SSH密钥、源代码、RSA密钥、BitBucket登录信息、SMTP帐户、webhook和硬编码凭据等，同时该黑客组织还利用默认凭证访问了第三方供应商的SonarQube服务器，下载了诺基亚等公司Python项目代码。目前，诺基亚公司已就此攻击事件进行调查。

链接：http://985.so/k0i9i

施耐德电气遭受网络攻击，部分数据被窃取

近日，施耐德电气（Schneider Electric）已确认该公司其中一个开发平台被入侵，一个昵称为Grep的黑客声称利用暴露的凭证成功登录该公司的Jira服务器并从中窃取了40GB的数据，涉及施耐德电气员工和客户的7.5万个电子邮件地址、姓名等信息，以及施耐德电气公司项目、插件工具等关键数据。目前，该公司正在对此攻击事件进行深入调查。

链接：http://985.so/k0i9c

美国华盛顿州法院网络系统遭受网络攻击

近日，美国华盛顿州官员声称，他们的法院网络系统遭受了网络攻击，且此次攻击事件导致班布里奇岛法院、门罗法院、普亚勒普法院、米尔顿法院和瑟斯顿县法院等大部分州法院的相关线上服务被迫暂停，仅有法院基本职能和诉讼程序可正常运营。目前，美国法院管理办公室（AOC）发表声明称，他们在发现攻击事件后已迅速采取行动，确保关键的法院系统安全，且正在努力恢复受影响的服务。

链接：http://985.so/k0ikm

漏洞资讯

Ollama存在多个安全漏洞（CVE-2024-39720、CVE-2024-39722、CVE-2024-39719、CVE-2024-39721）

近日，安全研究人员发现机器学习开源框架Ollama存在多个安全漏洞，包括：（1）越界读取漏洞（CVE-2024-39720），允许攻击者通过两个HTTP POST请求上传一个特制的GGUF文件，使应用程序在处理该恶意请求时发生崩溃，引发分段错误，从而导致拒绝服务（DoS）；（2）信息泄露漏洞（CVE-2024-39722），攻击者可通过向该路由发送包含恶意构造的、不存在的路径参数的POST请求来利用该漏洞，从而可能导致服务器返回包含文件系统信息的错误消息，泄露其文件目录结构；（3）信息泄露漏洞（CVE-2024-39719），由于api/create路由中对路径参数处理不当，如果攻击者使用POST方法向该路由发送包含不存在的文件路径参数的恶意请求，应用程序会返回一个包含文件不存在的错误响应，从而可能泄露服务器上文件的存在性信息；（4）拒绝服务漏洞（CVE-2024-39721），允许攻击者指定如/dev/random这样的特殊文件，攻击者可通过向该路由发送包含此类特殊文件路径的POST请求来利用该漏洞，导致程序在读取文件时阻塞，从而进入无限循环，最终导致拒绝服务。漏洞影响Ollama<= 0.1.45等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k0ika

Google Chrome浏览器存在释放后重用漏洞（CVE-2024-10827、CVE-2024-10826）

近日，安全研究人员发现Google Chrome存在释放后重用漏洞（CVE-2024-10827、CVE-2024-10826），位于浏览器Serial组件中，攻击者可利用诱导用户点击恶意网页或脚本的方式，在用户访问串行端口的过程中触发该漏洞，成功利用可能导致浏览器崩溃、窃取数据甚至控制连接的设备、远程代码执行和沙箱逃逸等。漏洞影响Google Chrome（Windows/Mac） < 130.0.6723.116/.117等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k0ikd

Cisco Unified Industrial Wireless存在命令注入漏洞

近日，安全研究人员发现工业无线网络软件平台Cisco Unified Industrial Wireless存在命令注入漏洞（CVE-2024-20418），是由该平台缺乏用户输入数据安全验证机制所导致，允许攻击者向目标设备发送恶意请求，进而以root权限远程执行任意指令。漏洞影响Cisco Unified Industrial Wireless Software <= 17.14等产品版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k0ikr

Apache ZooKeeper存在身份验证绕过漏洞（CVE-2024-51504）

近日，安全研究人员发现分布式协调服务Apache ZooKeeper存在身份验证绕过漏洞（CVE-2024-51504），当ZooKeeper Admin Server使用基于IP的身份验证（IPAuthenticationProvider）时，由于默认配置下使用了可被轻易伪造的HTTP请求头（如X-Forwarded-For）来检测客户端IP地址，攻击者可通过伪造请求头中的IP地址来绕过身份验证，进而实现未授权访问管理服务器功能并任意执行管理服务器命令（例如快照和恢复），从而可能导致信息泄露或服务可用性问题。漏洞影响3.9.0 <= Apache ZooKeeper < 3.9.3等版本，目前用户可通过版本升级修复上述漏洞。

链接：http://985.so/k0ik4

Synology TC500、BC500摄像头系列存在安全漏洞

近日，安全研究人员发现群晖科技Synology TC500、BC500摄像头系列存在安全漏洞，是由相关摄像头系列的Web解析服务组件存在缺陷所导致，允许攻击者向目标设备发送恶意请求，进而绕过ASLR和PIE保护机制，修改用户设备内存数据，进而获取设备root权限，接管目标设备。目前，用户可通过固件更新等方式修复上述漏洞。

链接：http://985.so/k0iky

木马病毒

网络钓鱼工具包“Xiū gǒu”被安全人员披露

近日，安全研究人员捕获到一款名为“Xiū gǒu”的网络钓鱼工具包，经溯源监测发现，该工具包首现于2024年9月份，攻击目标涉及美国、英国、日本、澳大利亚等国的公共部门、邮政、数字和银行等领域。经对捕获的工具包样本分析，发现该工具包使用Golang、Vue.js语言进行开发，通过富通信服务(RCS)消息进行传播，以“停车罚款”或“快递包裹无法投送”等为话题诱使目标用户点击消息内的恶意URL短连接，进而对目标设备实施渗透，以植入Lumma、Rhadamanthys等信息窃取软件，进而通过Telegram平台上传所窃的用户登录凭证等敏感信息。目前，谷歌公司已发布新的安全措施，当印度、泰国、马来西亚和新加坡的移动端用户收到来自未知发件人带有潜在危险链接的短信时，就会自动发出警告。

链接：http://985.so/k0ik3

新型Android银行恶意软件ToxicPanda被安全人员披露

近日，安全人员捕获到一款名为ToxicPanda的新型安卓恶意软件样本。经分析发现，该样本与东南亚TgToxic木马家族较为相似，攻击目标涉及意大利、葡萄牙、西班牙和拉丁美洲等国家或地区的银行用户。同时，该样本在植入受控设备后，会利用设备欺诈技术绕过银行安全检测机制，进而窃取用户相册、短信、电话通信等敏感信息，并通过硬编码在样本内部的通信域名与C2服务器建立通联关系，传输所窃信息。目前，已有中国香港、意大利、葡萄牙、西班牙和秘鲁等地目标遭受该恶意软件攻击，意大利为主要目标，在所有受感染目标中的占比为56.8%。

链接：http://985.so/k0ikj

HookBot安卓木马被安全人员披露

近日，安全研究人员捕获到HookBot安卓木马样本。经分析发现，该样本伪装成合法应用程序，在非官方来源的钓鱼网站上向目标用户进行分发投递。与其他安卓信息窃取木马不同的是，该样本会使用各种攻击技术窃取用户数据，除按键记录、屏幕截图、拦截短信等常见攻击手段外，该样本还会采用覆盖攻击的方式，在Facebook、PayPal等合法应用程序屏幕上覆盖恶意页面，诱骗用户在看似可信的界面上输入登录凭证，进而达到敏感信息窃取的目的。此外，该样本还采用Obfuscapk 工具进行构建，任何购买该恶意程序的黑客均可利用该工具对其进行定制化配置，创建独特的应用程序外观，以绕过不同设备的安全检测。

链接：http://985.so/k0ikt

编辑：林青

往期推荐

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持