5th域安全微讯早报【20241219】304期

2024-12-19 星期四 Vol-2024-304

今日热点导读

1. 荷兰监管机构对Netflix处以500万美元数据隐私罚款

2. CISA敦促高级官员保护移动设备应对盐台风违规行为

3. 国际刑警组织推广使用“爱情诱饵”替代“杀猪”术语

4. 俄罗斯黑客利用红队工具进行大规模间谍活动

5. 俄罗斯将Recorded Future列为“不受欢迎”组织

6. HubSpot网络钓鱼活动针对2万Microsoft Azure账户

7. AlphaSense面临潜在数据泄露威胁

8. GStreamer漏洞影响基于GNOME的Linux发行版

9. OPPO Store应用漏洞致账户令牌被劫持

10. 轻量级应用隐藏严重安全风险

11. 美国考虑禁止TP-LINK路由器因网络安全风险

12. 国会批准2025年国防授权法案，聚焦网络防御与盟友支持

13. CISA敦促使用SIGNAL等加密通信应用以应对电信黑客攻击

14. CISA和ONCD联合发布网络安全手册以加强联邦拨款计划的网络安全

15. 俄罗斯数字发展部对国有企业软件出台严格规定

16. 美国联邦机构需遵守新的云服务安全指令

17. 美国国防部更新IPV6实施指南

18. 新型I2PRAT恶意软件利用加密P2P通信逃避检测

19. RISELOADER利用VMPROTECT攻击WINDOWS并投放多种恶意软件

20. BIZFUM STEALER：GITHUB上的“教育性”恶意软件威胁

备注: 第11-20条，为订阅用户专享。更多资讯信息，欢迎订阅！

资讯详情

政策法规

1. 荷兰监管机构对Netflix处以500万美元数据隐私罚款

【TheRecord网站12月18日消息】荷兰数据保护局（DPA）因Netflix未能充分告知消费者其数据使用方式，对其处以475万欧元（约500万美元）罚款。DPA指出，Netflix在2018至2020年间未向客户提供足够信息，说明如何处理个人数据，且信息不明确，违反了《通用数据保护条例》。此次罚款是回应奥地利隐私非营利组织“None of Your Business”（Noyb）于2019年提出的投诉。Netflix已修改隐私政策并增强信息提供。Netflix收集包括电话号码、电子邮件地址、支付数据及观看内容等个人数据，但在隐私政策中未能提供足够清晰的信息，也未能向消费者充分说明收集数据的详细信息。Netflix不同意罚款决定，而Noyb官员对DPA开出罚单表示高兴，同时质疑为何耗时五年才对这一“简单案件”开出罚单。

2. CISA敦促高级官员保护移动设备应对盐台风违规行为

【The Record网站12月19日消息】美国网络安全和基础设施安全局（CISA）发布公告，警告中国政府通过攻击美国电信网络窃取高级官员数据，包括约150名高级官员的通话内容和私人信息公告建议高度敏感人员使用终极加密工具，并强调移动设备通信面临拦截和钓鱼的风险。CISA提到，最近的盐台风事件导致少数高级官员的泄露通信泄露。旅行目标包括特朗普竞选团队成员、副总统卡马拉·哈里斯的工作人员，以及参议院多数党领袖舒默的团队美国副国家安全顾问安妮·纽伯格表示，中国攻击者一旦受到入侵系统内活动，将进一步威胁国家安全。CISA指出，已采取行动提高设备可见性，目前政府系统内监控的设备数量已达500万台。此外，美国国会对这一事件表示强烈不满，并考虑对中国实施制裁，如禁止路由器制造与此同时，中国指控美国政府大型科技公司进行网络攻击，窃取商业机密并利用漏洞漏洞恶意软件。

3. 国际刑警组织推广使用“爱情诱饵”替代“杀猪”术语

【Cybersecuritynews网站12月18日消息】国际刑警组织呼吁改变用语，以打击网络恋情和投资诈骗。该组织建议用“爱情诱饵”取代“杀猪”一词，因为后者贬低并羞辱了受害者，可能会阻止他们寻求帮助或向当局举报罪行。国际刑警组织代理警务执行主任Cyril Gout强调言辞的重要性，伦敦金斯顿大学副教授伊丽莎白·卡特博士也支持这一倡议，指出学术研究显示诈骗者的手段与家庭暴力和强制控制的实施者之间存在联系。此次变革是国际刑警组织“三思而后行”运动的一部分，旨在提高人们对网络安全和警惕的认识，并创造一个对受害者更具支持性的环境。

安全事件

4. 俄罗斯黑客利用红队工具进行大规模间谍活动

【TheRecord网站12月19日消息】研究人员发现俄罗斯国家控制的黑客组织APT29（也称Cozy Bear等）利用红队工具进行大规模间谍活动，窃取数据。该组织通过远程桌面协议（RDP）控制受害者系统，使用网络钓鱼邮件诱骗受害者打开恶意文件，重新配置计算机通过RDP连接到远程服务器。受害者包括乌克兰和欧洲的政府、军队、智库和学者。APT29被怀疑由俄罗斯对外情报局（SVR）赞助，曾参与多起重大黑客攻击。2024年8月至10月，黑客注册了200多个与知名目标相关的域名。攻击方法可能源自信息安全公司Black Hills的一篇博客文章，该文章详细解释了如何利用RDP进行未授权访问。攻击者使用PyRDP工具连接受害者至恶意服务器，授予文件系统访问权限，攻击隐蔽性高，无需安装恶意软件。攻击最后阶段通常涉及数据泄露，提取敏感信息。微软和乌克兰CERT-UA也发现了APT29的类似活动。

5. 俄罗斯将Recorded Future列为“不受欢迎”组织

【TheRecord网站12月18日消息】俄罗斯当局将美国网络安全公司Recorded Future列为“不受欢迎”组织，指控其参与针对莫斯科的宣传活动和网络攻击。Recorded Future的员工被指控“积极配合”美国和外国情报部门，收集分析俄罗斯军事活动信息，并为乌克兰提供“不受限制的访问权限”。在俄罗斯，被列为“不受欢迎”的组织或个人将被禁止在境内活动，资产可能被扣押，活动受限，俄罗斯公民和法人不得与其合作，违者可能面临刑事指控。Recorded Future首席执行官Christopher Ahlberg回应称，公司从未在俄罗斯设立办事处或雇佣员工，与任何情报机构无具体联系，但许多政府机构是其客户。Recorded Future支持乌克兰，提供情报数据保护关键基础设施，检测网络攻击，并帮助调查战争罪行。公司在乌克兰设有办事处，拥有近100名员工。

6. HubSpot网络钓鱼活动针对2万Microsoft Azure账户

【BleepingComputer网站12月18日消息】一场针对德国和英国汽车、化学及工业制造公司的网络钓鱼活动正在滥用HubSpot平台窃取Microsoft Azure账户凭据。攻击者利用HubSpot Free Form Builder链接和模仿DocuSign的PDF文件将受害者重定向至凭证收集页面。Palo Alto Networks的Unit 42研究团队指出，该活动自2024年6月开始，至少持续至9月，已危及约2万个账户。HubSpot是一个合法的CRM平台，攻击者利用其表单生成器功能创建了至少17个欺骗性表格以诱骗受害者提供敏感凭证。这些表格被用作中间步骤，将受害者引导至攻击者控制的“.buzz”域名网站，模仿Microsoft Outlook Web App和Azure登录页面。电子邮件中的HubSpot链接通常不会被电子邮件安全工具标记，因此更容易到达目标收件箱。然而，相关网络钓鱼邮件未能通过SPF、DKIM以及DMARC检查。攻击者在入侵后使用VPN使登录看似来自受害组织国家/地区，并在IT部门重新获得账户控制权后立即启动密码重置，企图重新控制账户。这一活动展示了合法服务被滥用的趋势，攻击者不断寻找绕过安全工具的新途径。

7. AlphaSense面临潜在数据泄露威胁

【Cyberpress网站12月18日消息】市场情报平台AlphaSense遭遇潜在数据泄露事件，该事件被指由黑客KryptonZambie策划，引发了对平台网络安全措施的担忧。KryptonZambie声称已完全访问AlphaSense系统，并要求支付10比特币（约合35万美元）的赎金以防止数据公开。AlphaSense强调其采用AES 256位加密技术和AWS云安全，符合SOC 2标准，并进行定期渗透测试和漏洞评估。此次事件突显了针对拥有宝贵知识产权和敏感数据组织的勒索软件攻击威胁，以及加密货币在网络犯罪中的流行。AlphaSense尚未对此事进行确认或否认，但预计将进行彻底调查。

漏洞预警

8. GStreamer漏洞影响基于GNOME的Linux发行版

【Cybersecuritynews网站12月18日消息】安全调查发现GStreamer中存在多个漏洞，这一开源多媒体框架对基于GNOME的Linux发行版至关重要。这些漏洞包括越界写入、堆栈缓冲区溢出和空指针取消引用等，对Ubuntu、Fedora和openSUSE等广泛使用的Linux发行版构成重大风险。GStreamer支持多种媒体格式，并集成了重要组件，使其成为攻击者的高价值目标。研究发现了29个以前未知的漏洞，其中许多漏洞影响MP4和MKV解析器。这些漏洞可通过恶意媒体文件或流加以利用，攻击者可以针对自动处理媒体文件的应用程序进行攻击。GStreamer开发团队已发布安全补丁，建议用户及时更新系统以降低潜在风险。

9. OPPO Store应用漏洞致账户令牌被劫持

【Cyberpress网站12月18日消息】OPPO Store应用程序中发现安全漏洞CVE-2024-1610，该漏洞因输入验证不当可能导致攻击者劫持账户令牌和泄露敏感信息。该漏洞属于CWE-287（不当身份验证），影响OPPO Store应用4.32.1版本，允许攻击者远程提升权限，无需用户交互。漏洞的CVSS评分为8.7（高严重性），对机密性和完整性构成重大风险。OPPO已承认问题并预计将发布补丁。为降低风险，用户应立即更新应用、监控账户活动、限制应用权限，并避免使用公共网络。此事件强调了移动应用中安全编码实践的重要性，并提醒开发者和组织在软件开发的所有阶段都要优先考虑安全性。

风险预警

10. 轻量级应用隐藏严重安全风险

【Therecord网站12月19日消息】一款名为“BMI CalculationVsn”的应用程序伪装成计算人体质量指数（BMI）的工具，实则是一种恶意软件。McAfee的研究人员在亚马逊应用商店发现了这款应用，它能够记录屏幕活动、窃取短信并查看设备上其他应用的列表。McAfee向亚马逊报告后，该应用已被迅速下架。BMI CalculationVsn于2024年10月首次出现，最初是一款屏幕录制应用，后转变为BMI计算器，窃取消息功能是最近添加的。开发者信息不详，恶意软件作者冒用印度尼西亚一家企业IT管理服务提供商的名称分发该软件。恶意黑客一直在尝试将受感染的应用程序潜入传统平台，包括Telegram克隆版、伪造Android工具、伪装成二维码扫描仪的加密货币窃取程序等。

往期推荐