商用密码应用安全性评估试点工作结束，112家密评机构名单正式发布；马自达车载系统曝多个安全缺陷，可通过USB接口劫持车辆 |牛览

点击蓝字·关注我们 / aqniu

新闻速览

•商用密码应用安全性评估试点工作结束，112家密评机构名单正式发布

•利用ZIP文件拼接技术规避安全检测的新型攻击手法

•AndroxGh0st恶意软件升级版出现，可整合Mozi僵尸网络扩大攻击范围

•生成式AI时代的安全新威胁：冒充OpenAI发起的大规模钓鱼攻击

•新型SteelFox恶意软件来袭，引发挖矿与数据窃取双重威胁

•马自达车载系统惊现多个安全缺陷，可通过USB接口劫持车辆

•可被零认证命令注入，Aruba无线接入设备曝严重远程代码执行漏洞

•CISA就Palo Alto迁移工具关键漏洞攻击利用发布安全提示

•Google Chrome引入AI增强的新功能，防护能力显著提升

•2024年密码“丰”会成功举办

特别关注

商用密码应用安全性评估试点工作结束，112家密评机构名单正式发布

2024年11月11日，国家密码管理局依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》，发布《商用密码检测机构（商用密码应用安全性评估业务）目录》，共包含工业和信息化部密码应用研究中心、北京国家金融科技认证中心有限公司等112家密评机构。即日起，商用密码应用安全性评估试点工作正式结束，未取得商用密码检测机构（商用密码应用安全性评估业务）资质的机构不得面向社会开展商用密码应用安全性评估业务。

查阅商用密码检测机构（商用密码应用安全性评估业务）完整目录，可访问以下链接：

https://mp.weixin.qq.com/s/L7yITVa8Ia6h3RpAwiecCg

网络攻击

利用ZIP文件拼接技术规避安全检测的新型攻击手法

安全研究机构Perception Point日前披露，黑客正在利用ZIP文件拼接技术向Windows系统投放恶意载荷，这种新型攻击手法能够有效规避安全解决方案的检测。研究人员在分析一起以虚假物流通知为诱饵的钓鱼攻击时，发现攻击者使用了一个隐藏木马程序的拼接式ZIP压缩包。

从技术层面看，这种攻击手法主要利用了不同ZIP解析器和归档管理器处理拼接ZIP文件的差异性。攻击者首先创建两个或更多独立的ZIP档案，将恶意载荷隐藏在其中之一，而其他档案则包含无害内容。随后，通过将一个文件的二进制数据附加到另一个文件后面，将这些独立文件拼接成一个组合ZIP档案。虽然最终文件表面上是一个整体，但实际包含多个ZIP结构，每个结构都有自己的中央目录和结束标记。

研究团队测试发现，主流解压缩软件对拼接ZIP文件的处理方式各不相同：7zip仅读取第一个ZIP档案，虽然可能会产生关于额外数据的警告，但用户容易忽视；WinRAR能够读取并显示所有ZIP结构，包括隐藏的恶意载荷；Windows文件资源管理器可能无法打开拼接文件，或者在将其重命名为.RAR扩展名后只显示第二个ZIP档案。

为防范这类攻击，安全专家建议用户和组织使用支持递归解包的安全解决方案。在关键环境中，应该对包含ZIP等压缩文件的邮件保持警惕，并实施相应的文件扩展名过滤机制。

原文链接：

https://cybersecuritynews.com/hackers-hijack-mfa-enabled/

AndroxGh0st恶意软件升级版出现，可整合Mozi僵尸网络扩大攻击范围

安全研究机构CloudSEK最新报告显示，AndroxGh0st恶意软件作者正在扩大攻击范围，除了利用更多互联网应用安全漏洞外，还部署了Mozi僵尸网络恶意软件，以实现对物联网设备和云服务的持续性渗透。

AndroxGh0st是一款基于Python的云攻击工具，自2022年活跃以来主要针对Laravel应用程序，以窃取AWS、SendGrid和Twilio等服务的敏感数据。今年1月，美国网络安全和情报机构披露攻击者正利用该恶意软件构建僵尸网络，用于"识别和利用目标网络中的受害者"。

最新分析显示，该恶意软件已显著扩展其攻击目标。攻击者利用多个高危漏洞实施初始入侵，包括Cisco ASA WebVPN、Dasan GPON、Atlassian Jira、Metabase、Sophos防火墙等产品中的认证绕过、命令注入和任意文件上传等漏洞。其中多个漏洞的CVSS评分达到9.8，具有极高的危险性。在具体攻击中，僵尸网络会循环使用常见的管理员用户名和固定密码模式，尝试访问WordPress站点的后台管理面板。一旦认证成功，攻击者就能获得网站的关键控制权限。

AndroxGh0st与Mozi的整合不仅体现在简单的合作层面，更深入到了将Mozi的物联网感染和传播机制嵌入其标准操作中。这种高度的操作整合可能暗示着两个僵尸网络处于同一个网络犯罪组织的控制之下，共享基础设施将帮助他们实现对更广泛设备的有效控制。

原文链接：

https://thehackernews.com/2024/11/androxgh0st-malware-integrates-mozi.html

生成式AI时代的安全新威胁：冒充OpenAI发起的大规模钓鱼攻击

Barracuda安全研究团队近期披露了一起针对全球企业的大规模钓鱼攻击活动。攻击者通过冒充OpenAI，向受害者发送紧急更新付款信息的虚假订阅续费通知。

从技术角度分析，这次攻击虽然规模较大，但手法并不复杂。攻击者使用单一域名向超过1000个目标发送邮件，通过在邮件正文中使用不同的超链接来规避检测。虽然邮件通过了DKIM和SPF认证，表明邮件确实由该域名授权服务器发送，但域名本身具有明显可疑特征。

值得注意的是，攻击者在邮件中巧妙地添加了OpenAI官方支持邮箱以增加可信度，并采用催促性语言制造紧迫感。这种手法是典型的钓鱼攻击特征，而正规公司通常不会用这种方式施压。

分析显示，自ChatGPT发布以来，垃圾邮件和钓鱼攻击数量明显增加。生成式AI显著提升了钓鱼攻击规模和效率，但目前网络犯罪分子还是主要将其用于优化传统攻击手法，如冒充知名品牌。生成式AI尚未从根本上改变钓鱼攻击的性质。

原文链接：

https://www.expresscomputer.in/artificial-intelligence-ai/cybercriminals-impersonate-openai-in-large-scale-phishing-attack-barracuda/118601/

新型SteelFox恶意软件来袭，引发挖矿与数据窃取双重威胁

据Securelist安全研究团队最新披露，一种名为"SteelFox"的新型恶意软件正通过在线论坛、种子网站和博客等渠道传播，其伪装成Foxit PDF Editor、AutoCAD和JetBrains等知名软件的激活工具，主要针对下载盗版软件的Windows用户。

分析显示，SteelFox是一个功能完整的"犯罪软件套装"，不仅具备加密货币挖矿能力，还可从受感染设备中窃取信用卡信息、浏览历史和登录凭证等敏感数据，同时收集已安装软件、运行服务和网络配置等系统信息。

从攻击链来看，SteelFox采用多阶段攻击策略，首先通过需要管理员权限的投放器（dropper）进行初始感染。执行后，它会将自身安装为Windows服务，并使用AES-128加密隐藏组件。值得注意的是，该恶意软件通过利用易受攻击的驱动程序获取系统级访问权限，并实现了带有SSL pinning的TLS 1.3安全通信机制，用于与其命令服务器进行加密通信。

KnowBe4安全意识倡导者James McQuiggan指出，SteelFox利用过时驱动程序进行权限提升的做法，凸显了组织及时修补漏洞的重要性。他建议组织验证软件来源，保持最小用户权限访问控制，并利用终端保护检测可疑的安装行为。

原文链接：

https://hackread.com/steelfox-malware-software-to-steal-browser-data/

漏洞预警

马自达汽车车载系统惊现多个安全缺陷，可通过USB接口劫持车辆

据Zero Day Initiative（ZDI）安全研究团队最新披露，在马自达汽车的车载信息娱乐系统中发现了多个高危安全缺陷。这些缺陷主要存在于2021年前后生产的Mazda 3等多个车型搭载的连接主控单元中，攻击者可通过USB设备实现任意代码执行。

从技术角度分析，这些缺陷涉及多个关键安全问题：首先是SQL注入缺陷，攻击者可通过伪造Apple设备的iAP序列号注入恶意SQL代码，实现数据库操作和文件创建；其次是两个操作系统命令注入缺陷，由于共享对象中的REFLASH_DDU相关函数未对用户输入进行充分过滤，导致可执行任意系统命令；此外还发现硬件信任根缺失和代码签名缺失等问题。这些安全缺陷的利用方式相对简单：攻击者只需准备一个FAT32格式的USB存储设备，创建包含操作系统命令的特定文件名（以.up结尾），即可触发软件更新处理代码。

ZDI研究人员表示，在实验环境中，完整的攻击链条仅需数分钟即可完成。一旦攻击成功，不仅可以实现持久化控制，还可以安装特制的VIP微控制器软件，获取对车辆网络的无限制访问权限。研究人员表示，市场上运营多年且有长期安全修复历史的成熟汽车产品，也可能存在高影响力的漏洞安全漏洞。

原文链接：

https://hackread.com/hackers-mazda-vehicle-controls-system-vulnerabilities/

可被零认证命令注入，Aruba无线接入设备曝严重远程代码执行漏洞

惠普企业（HPE）近日发布官方安全公告，披露其Aruba网络接入点设备存在两个严重漏洞，并发布了Instant AOS-8和AOS-10软件的更新修复程序。

这两个漏洞被追踪为CVE-2024-42509和CVE-2024-47460，CVSS评分分别为9.8和9.0。攻击者可以通过向Aruba接入点管理协议（PAPI）发送特制数据包，在UDP端口8211上实现未经身份验证的命令注入。这两个高危漏洞都存在于通过PAPI协议访问的命令行界面（CLI）服务中。

除此之外，此次更新还修复了四个安全漏洞：经过身份验证的远程命令执行漏洞CVE-2024-47461（CVSS评分7.2），可能导致远程命令执行的任意文件创建漏洞CVE-2024-47462和CVE-2024-47463（CVSS评分7.2），以及通过路径遍历访问未授权文件的漏洞CVE-2024-47464（CVSS评分6.8）。

虽然目前尚未观察到针对这些漏洞的活跃利用，但HPE强烈建议用户及时应用安全更新或采取缓解措施。针对无法立即安装更新的用户，HPE建议采取以下临时解决方案：1、对于两个严重漏洞，建议限制/阻止来自所有不受信任网络对UDP端口8211的访问；2、对于其他漏洞，建议将CLI和基于Web的管理接口置于专用的第2层网段或VLAN中，并在第3层及以上使用防火墙策略控制访问，以限制潜在暴露。

原文链接：

https://www.bleepingcomputer.com/news/security/hpe-warns-of-critical-rce-flaws-in-aruba-networking-access-points/

CISA就Palo Alto迁移工具关键漏洞攻击利用发布安全提示

美国网络安全和基础设施安全局（CISA）于近日发布紧急安全提示，警告攻击者正在积极利用Palo Alto Networks Expedition迁移工具中的一个关键身份认证缺失漏洞（CVE-2024-5910）。Expedition是一款可将Checkpoint、Cisco等厂商的防火墙配置转换为PAN-OS的迁移工具。

据介绍，该安全漏洞已于今年7月被原厂修复，但攻击者仍在大量远程利用该漏洞重置暴露在互联网上的Expedition服务器的管理员凭证。CISA指出，具有网络访问权限的攻击者可以通过该漏洞接管Expedition管理员账户，潜在获取配置密钥、凭证和其他敏感数据。

Horizon3.ai漏洞研究员Zach Hanley在10月发布的概念验证攻击显示，攻击者可以将此管理员重置漏洞与上月修复的命令注入漏洞（CVE-2024-9464）结合，在易受攻击的Expedition服务器上实现"无需认证"的任意命令执行。值得注意的是，CVE-2024-9464还可与其他安全漏洞组合，用于接管防火墙管理员账户并劫持PAN-OS防火墙。

CISA在公告中要求，美国联邦机构必须在11月28日前，即三周内确保其网络中的易受攻击的Palo Alto Networks Expedition服务器得到安全防护。CISA强调，此类漏洞是恶意网络行为者的常见攻击载体，对联邦企业构成重大风险。

原文链接：

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-palo-alto-networks-bug-exploited-in-attacks/

产业动态

Google Chrome引入AI增强的新功能，安全防护能力显著提升

Google近日悄然更新了Chrome浏览器的安全功能说明，确认"增强保护"（Enhanced protection）功能将在未来版本中引入AI技术支持。Chrome的安全浏览功能中的增强保护模式将整合AI驱动的保护机制。

这项功能现已开始使用AI技术为用户提供实时保护，以防范危险网站、下载内容和扩展程序的威胁。值得注意的是，该功能此前被称为"主动保护"，现已更名为"AI驱动保护"。从理论上讲，这一升级将使Google能够利用AI技术检测并警告用户潜在的有害网站，即使这些网站尚未被Google收录识别。

当用户开启增强保护功能后，Chrome将对下载内容进行更深入的扫描。同时，对于已登录Google账户的用户，这一功能还将提升其在所有Google服务中的安全防护水平。

除了安全功能外，Chrome的其他功能也正在进行AI改造。在Chrome Canary版本中，标签搜索功能也进行了更新。原本标签分组功能中的"检查建议"选项已更新为"使用AI分组标签"，这项功能将借助AI技术帮助用户更好地组织和管理浏览器标签。

原文链接：

https://www.bleepingcomputer.com/news/google/google-says-enhanced-protection-feature-in-chrome-now-uses-ai/

2024年密码“丰”会成功举办

11月8日，2024年密码“丰”会在北京举办。本次大会由北京市丰台区人民政府、北京市密码管理局指导，北京市丰台区科学技术和信息化局、中关村丰台科技园管委会、北京商用密码行业协会主办，数盾科技、工信通等多家企业联合承办，重点聚焦商用密码前沿技术和应用创新，前瞻行业动态，旨在为行业发展注入新动能，促进我国密码技术的前沿突破，为密码技术、应用的发展注入新的活力。

中国工程院院士沈昌祥围绕《密码智能化跨越发展，夯实网络强国数字中国安全基石》进行了主题报告。沈院士指出，随着网络安全威胁日益隐蔽化和多样化，应当逐步推动密码智能化，通过以密码为基因的主动免疫可信计算，改变传统计算机“封堵查杀”式的被动防御，实现积极防御和安全可控，有效降低安全风险。

安全牛高级分析师张琰珺在本次会议中分享了《商用密码技术创新应用指南（2024版）》研究报告的相关成果，包括用户侧建设现状、商用密码技术的关键能力和创新方向、厂商侧发展现状，以及商密应用建设中的问题和建议。她强调了商用密码技术与业务深度融合的重要性，指出市场上对“商密+安全”解决方案的需求增长，以及面临的挑战和行业发展趋势。

原文链接：

https://mp.weixin.qq.com/s/-EseeG_8NN8U50Nxr4xI7Q

合作电话：18311333376

合作微信：aqniu001

投稿邮箱：[email protected]