5th域安全微讯早报【20241115】275期

2024-11-15 星期五Vol-2024-275

今日热点导读

1. 欧盟新法案扩大数字产品责任规则

2. 俄罗斯计划测试与全球互联网断开的演习

3. Immunefi暂停Trust Security合作引发道德冲突讨论

4. 瑞士联邦网络安全局警告：假信件传播恶意软件

5. 匈牙利国防采购机构遭受网络攻击：黑客窃取和加密数据

6. WhatsApp诉讼文件揭露NSO集团Pegasus间谍软件感染1400部手机

7. 网络犯罪组织Hive0145利用Strela Stealer恶意软件窃取欧洲数据

8. ChatGPT沙箱系统存在访问漏洞，用户可查看“操作手册”数据

9. 新型硬件攻击揭示NAND芯片安全威胁

10. AI图像生成器Recraft潜在泄露敏感指令风险

11. 俄罗斯FSTEC启动“网络安全红绿灯”：90%的CII设施位于红区

12. 美国国土安全部发布关键基础设施人工智能使用指南

13. NIST清除漏洞积压但无法按期公布完整清单

14. 7万域名在“坐鸭”攻击中被劫持

15. 印度警方逮捕涉及WAZIRX加密货币盗窃案的主要嫌疑人

16. 日本汽车零部件制造商因勒索软件攻击推迟财务报告提交

17. 1.83亿条个人职业数据在暗网上被盗售

18. FBI搜查POLYMARKET创始人公寓涉及特朗普胜选预测

19. LEGION STEALER V1恶意软件威胁用户隐私

20. 新型“GLOVE STEALER”绕过应用加密窃取浏览器数据

备注: 第11-20条为订阅用户专享，更多资讯信息，欢迎订阅！

资讯详情

政策法规

1. 欧盟新法案扩大数字产品责任规则

【SecurityLab网站11月14日报道】欧盟通过了一项新立法，改变了所有软件开发者的规则，扩大了产品责任规则，将软件和在线平台等数字产品纳入其中。2024年10月10日，欧盟理事会批准了包含数字产品概念的缺陷产品责任指令，唯一例外的是开源程序。新规则规定，对于在欧盟以外供应的产品造成的损害，进口商或制造商代表将承担责任，网络平台在履行职能时也将承担与其他经济运营者相同的责任。该法律适用于可能在使用过程中造成损害的操作系统、固件、应用程序和人工智能系统，无论是本地软件还是通过云技术和SaaS模型提供的软件。受影响的用户现在可以更轻松地通过法庭寻求赔偿，要求制造商提供证据。如果产品被第三方修改，这些第三方将对缺陷承担责任。法律还规定了对物理损坏、财产损坏和数据丢失的赔偿，但不包括可免费恢复的数据丢失。该指令排除了数据泄露的责任，但制造商需对产品不符合安全要求的网络安全负责。

2. 俄罗斯计划测试与全球互联网断开的演习

【SecurityLab网站11月14日报道】俄罗斯联邦通信监管机构Roskomnadzor计划于2024年12月进行互联网隔离演习，以确保俄罗斯信息和电信网络的稳定性、安全性和完整性。演习旨在模拟禁止特定区域访问国际互联网的场景，以验证在外部有意切断俄罗斯网络部分时，关键替代基础设施的有效性。俄罗斯央行已通知各银行，并要求需保持与国外互联网访问的组织在2024年11月15日之前提交相关技术流程信息。Roskomnadzor新闻处称，此类稳定性检查每年进行，并与俄罗斯数字发展部及联邦安全局协商通过。演习不会影响普通用户的互联网访问，其主要目标是确认俄罗斯互联网在面临外部干扰时的应对能力，并保障外国和国内重要服务的可用性。此外，还将分析与外国通信网络、服务及资源进行通信时的信息系统性能。此举凸显了俄罗斯政府对网络安全和基础设施应急能力的高度重视。

3. Immunefi暂停Trust Security合作引发道德冲突讨论

【SecurityLab网站11月14日报道】网络安全领域发生了一起涉及漏洞赏金的道德冲突事件。Immunefi平台因奖励问题暂停了与Trust Security的合作90天。Trust Security在X*社交网络上宣布发现了未命名项目的严重漏洞，并提交了概念证明给Immunefi，该平台作为安全研究人员与项目间的中介。然而，项目方认为漏洞“超出了协议范围”，导致Trust Security未获全额奖励。Trust Security指责Immunefi不当支持项目方立场，仅提供象征性补偿。作为回应，Immunefi以“失实陈述”为由暂停Trust Security，警告多次违规可能导致永久封禁。Immunefi坚称决定正确，认为问题超出测试范围，而项目方一直慷慨提供奖励。Trust Security拒绝接受代币补偿，要求提高透明度，揭露欺诈行为。Immunefi则表示，Trust Security的发现并非成熟漏洞，因为利用它需要用户无意的行为。X*加密货币社区一些成员批评Immunefi的决定，认为应进行建设性对话而非阻止Trust Security。

安全事件

4. 瑞士联邦网络安全局警告：假信件传播恶意软件

【The Record网站11月15日报道】瑞士联邦网络安全局（OFCS）发出警告，揭露了一起通过邮件传播恶意软件的事件。这些邮件伪造瑞士气象机构的名义，声称提供一款名为MeteoSwiss的新天气应用程序，并包含一个二维码。然而，扫描该二维码会将用户重定向至一个恶意应用程序，该程序企图窃取包括电子银行应用在内的383多个移动应用的登录信息。OFCS指出，这种通过现实世界诱饵传播恶意软件的方式并不常见，且主要影响安卓手机用户。该机构建议受影响用户将设备恢复出厂设置，并提醒公众若收到类似信件，应通过电子方式报告并销毁信件，以帮助采取适当措施。

5. 匈牙利国防采购机构遭受网络攻击：黑客窃取和加密数据

【The Record网站11月15日报道】匈牙利国防采购机构（VBÜ）遭到名为INC勒索软件的网络犯罪组织攻击。该组织在暗网门户网站上发布了数据截图，据称已获取VBÜ数据。INC勒索软件自去年以来积极攻击政府，主要攻击医疗、教育和机构，但其运营者身份尚不明确。匈牙利未披露具体数据泄露情况，表示调查仍在进行，并强调该机构不保存敏感军事信息。总理维克托·欧尔班的幕僚长古利亚斯指责这次攻击是“敌对的外国非国家黑客组织”所指出的，可能泄露涉及军事采购的敏感数据。据当地媒体马扎尔杭报道，黑客已加密并下载了所有文件，其中包括标注“非公开”的武装空中和恐吓相关能力数据，赎金要求为500万美元。部长未确认与黑客对话是否正向，牙齿也未回应置评请求。

6. WhatsApp诉讼文件揭露NSO集团Pegasus间谍软件感染1400部手机

【The Record网站11月15日报道】根据法庭文件，NSO集团承认其Pegasus间谍软件在2019年感染了约1400部WhatsApp用户的手机，涉嫌违反联邦和州法律。这些文件是WhatsApp对NSO集团提起的诉讼的一部分，揭示了NSO集团如何代表政府客户运营Pegasus间谍软件。受害者包括记者、人权活动家、政治异见人士等。Pegasus是一款“零点击”间谍软件，无需用户交互即可感染设备。文件显示，NSO集团通过逆向工程WhatsApp代码开发漏洞，并使用自己的“WhatsApp安装服务器”发送错误消息以安装Pegasus。WhatsApp表示，新公开的证据清楚地表明了NSO的行动如何违反美国法律，并承诺继续追究NSO的责任以保护用户。

7. 网络犯罪组织Hive0145利用Strela Stealer恶意软件窃取欧洲数据

【The Record网站11月14日报道】网络犯罪组织Hive0145正在通过网络钓鱼邮件向德国、乌克兰等欧洲国家传播Strela Stealer恶意软件。该组织以经济利益为驱动，利用伪装成合法发票通知的电子邮件，窃取受害者在Microsoft和Mozilla邮件客户端中的用户凭据。IBM X-Force的研究表明，Hive0145剥夺受害者的虚假言论，但近期已开始利用从多个行业窃取的真实信息电子邮件进行攻击。Strela Stealer自2022年开始被使用，攻击范围覆盖欧洲及美国。两年来，该组织不断优化其感染链，并增加了攻击次数。Strela Stealer的最新版本除提取用户凭据外，还收集系统信息、安装应用程序列表，并确认用户的键盘语言，以瞄准特定语言用户，如西班牙语、德语和乌克兰语等。尽管技术有所发展，该恶意软件的核心功能基本未变。研究尚未将蜂巢0145与任何国家明确关联，但乌克兰报告显示，俄罗斯关联的网络钓鱼攻击呈上升趋势，目标类似。

漏洞预警

8. ChatGPT沙箱系统存在访问漏洞，用户可查看“操作手册”数据

【BleepingComputer网站11月14日报道】OpenAI的ChatGPT平台允许用户深入访问其沙箱环境，包括上传程序和文件、执行命令、浏览文件结构等。Mozilla的0DIN团队研究员Marco Figueroa发现了五个相关漏洞，并已向OpenAI负责披露。然而，OpenAI仅对其中一个漏洞表现出关注。通过实验，Figueroa确认用户可通过命令如“ls”列出沙箱目录，包括“/home/sandbox/.openai_internal/”文件夹，该目录包含配置和设置信息。他还证实用户可以上传和下载文件，以及在沙箱中执行Python脚本。然而，尽管用户可访问ChatGPT的“操作手册”，揭示模型行为和响应机制，这可能为用户反向工程、绕过安全限制提供信息，Figueroa未测试“恶意”代码上传以保持合法性。OpenAI的沙箱环境总体上仍具有隔离性，不允许用户突破至主系统。虽然这或是OpenAI的设计选择，但存在暴露模型防御机制和配置细节的风险，潜在地让恶意行为者利用该信息规避安全措施。OpenAI发言人表示正在调查相关问题。

风险预警

9. 新型硬件攻击揭示NAND芯片安全威胁

【CybersecurityNews网站11月14日消息】一种针对NAND芯片的新型硬件攻击技术，威胁到电子设备的安全性。该“芯片损坏”攻击外围170.83欧元实施，涉及从设备电路板上物理转移除修改NAND芯片，以读取和内容。研究人员Guillaume Quéré说明，利用基础工具和简单技巧，攻击者可在30分钟内访问芯片中的加固和数据。这种攻击会导致硬编码秘密、加密密钥暴露，并促进逻辑软件逆向工程，还可以插入恶意代码。其成功源于NAND芯片固有的过程研究人员建议，通过增强数据加密、加强物理安全措施、改进编程技术和错误校正来抵御该威胁。设备制造商必须优先考虑安全性，以应对硬件攻击复杂性和成本降低带来了挑战。

10. AI图像生成器Recraft潜在泄露敏感指令风险

【CybersecurityNews网站11月14日消息】研究人员发现先进的AI图像生成器，尤其是Recraft这一高级扩散模型，存在潜在的安全漏洞。这一发现引发了对系统指令无意中泄露的担忧，可能会对AI的安全性和隐私性产生深远影响。Recraft采用了与其他扩散模型不同的两阶段架构：首先，大型语言模型（LLM）处理并重写用户提示；然后，处理后的提示被传递给扩散模型。这种方法使Recraft能够处理复杂查询并生成更准确、更有上下文意识的图像，但同时也引入了潜在的漏洞。研究人员通过特定提示生成多个图像，成功拼凑出了用于指导LLM行为的系统提示片段。泄露的指令包括以“The Mage style”或“image style”开始描述、提供对象和角色的详细描述、将指令转化为描述性句子、包含特定的构图细节、避免使用“Sun”或“Sunlight”等词汇，以及在必要时将非英文文本翻译成英文。这种系统提示的无意泄露对AI模型的安全性和隐私性提出了重大担忧。如果恶意行为者能够提取敏感指令，他们可能能够操纵系统、绕过安全措施或深入了解专有的AI技术。

往期推荐