5th域安全微讯早报【20250102】002期

2025-01-02 星期四 Vol-2025-002

今日热点导读

1. Starlink直连蜂窝网络即将登陆乌克兰，提升通信韧性

2. 俄罗斯以违法为由封锁通信应用Viber，影响1700万用户

3. 美国法院裁定NSO集团对WhatsApp黑客攻击负责，Pegasus间谍软件再受打击

4. 美国陆军士兵涉嫌窃取特朗普AT&T通话记录被捕

5. 35个Google Chrome扩展程序遭黑客入侵，260万用户面临风险

6. 美国制裁伊朗和俄罗斯实体，指控其利用AI和网络战术干预选举

7. 80万辆大众汽车信息曝光事件引发德国安全危机

8. DrayTek设备曝严重漏洞，攻击者可远程执行任意命令

9. Kerio Control修复存在7年的RCE漏洞，用户需尽快更新

10. 无文件恶意软件：基于内存的攻击与防御挑战

备注: 更多资讯信息，欢迎订阅！

资讯详情

政策法规

1. Starlink直连蜂窝网络即将登陆乌克兰，提升通信韧性

【The Register网站1月1日报道】乌克兰移动运营商Kyivstar宣布将与Starlink合作，推出直达蜂窝的卫星连接服务，预计消息服务将于2025年底正式启动，后续将扩展至语音和数据功能。该服务利用配备虚拟基站功能的Starlink卫星，使用户能够通过标准移动设备直接连接，无需依赖传统手机信号塔。Starlink此前已在美国和新西兰等地推出类似服务，并在2022年与T-Mobile US合作，为美国偏远地区提供手机信号覆盖。在乌克兰与俄罗斯的冲突中，Starlink连接已被证明是重要的通信保障。Kyivstar母公司VEON表示，此举将使乌克兰成为首批拥有Starlink直连蜂窝服务的国家之一，显著增强其通信网络的韧性。尽管Starlink直连服务面临技术挑战，例如美国联邦通信委员会（FCC）对其信号强度的限制，但其在全球范围内的应用前景广阔。Kyivstar首席执行官Oleksandr Komarov强调，此次合作将加速实现“LTE无处不在”的目标，进一步巩固乌克兰在战争期间的通信能力。

2. 俄罗斯以违法为由封锁通信应用Viber，影响1700万用户

【Latest Hacking News网站1月1日报道】俄罗斯监管机构Roskomnadzor以违反国家法律为由，封锁了即时通讯应用Viber。Roskomnadzor表示，Viber未能遵守删除犯罪内容的法律要求，包括涉及毒品销售、恐怖主义和传播错误信息的内容。Viber是俄罗斯最常用的通讯应用之一，每天有超过1700万独立用户，此次封锁将对这些用户的日常通讯造成重大影响。此前，俄罗斯已对Viber处以多笔罚款，因其未支付罚款并发布违禁内容。俄罗斯国家杜马信息政策委员会委员Anton Nemkin指出，Viber的加密功能使其成为外国情报机构招募人员的工具，尤其是青少年容易成为受害者。此次封锁并非俄罗斯首次对热门服务采取严厉措施，此前已封锁加密消息应用Signal和多家VPN服务提供商。这些举措表明俄罗斯对公民数字自由的压制正在加深，同时也引发了对通信自由与国家安全之间平衡的讨论。

3. 美国法院裁定NSO集团对WhatsApp黑客攻击负责，Pegasus间谍软件再受打击

【Latest Hacking News网站1月1日报道】美国法院近期作出裁决，认定以色列NSO集团对Meta旗下WhatsApp的黑客攻击行为负有责任。美国地区法官Phyllis J. Hamilton指出，NSO集团多次入侵WhatsApp服务器，并在2019年5月期间通过位于加利福尼亚的服务器传输Pegasus间谍软件代码43次，构成对服务器的非法入侵。此前，法院曾要求NSO集团在2024年初向WhatsApp提供Pegasus的完整源代码，但NSO以安全为由未予配合。Meta于2019年对NSO集团提起诉讼，指控其利用WhatsApp漏洞（CVE-2019-3568）部署Pegasus间谍软件。尽管Meta已修复漏洞，但NSO集团仍被指控继续利用WhatsApp传播恶意软件。NSO集团因向专制政权提供监控工具而臭名昭著，研究机构CitizenLab多次报告Pegasus被用于针对记者、活动人士甚至政府官员的监控。Pegasus以其隐蔽性和持久性著称，即使是最强大的反恶意软件也难以清除。此次裁决对NSO集团构成重大打击，同时也为Meta挽回用户信任提供了支持。

安全事件

4. 美国陆军士兵涉嫌窃取特朗普AT&T通话记录被捕

【The Register网站1月1日报道】一名美国陆军士兵Cameron John Wagenius因涉嫌非法转移机密电话记录信息在德克萨斯州被捕。Wagenius被怀疑是代号为Kiberphant0m的网络犯罪分子，据称其入侵了包括AT&T和Verizon在内的至少15家电信公司网络。起诉书显示，Wagenius在未经授权的情况下出售和转让了机密电话记录信息，但未提及具体受害者或黑客活动细节。信息安全记者Brian Krebs指出，Wagenius与Connor Riley Moucka是同伙，后者因入侵Snowflake云存储服务并窃取客户数据已被捕。11月6日，Kiberphant0m在BreachForums上声称窃取了AT&T候任总统唐纳德·特朗普和副总统卡马拉·哈里斯的通话记录，并威胁泄露数据。Wagenius的母亲表示对其儿子的黑客行为毫不知情。12月20日，Wagenius在德克萨斯州出庭，联邦检察官要求将其引渡至华盛顿州。此次逮捕使得与Snowflake数据勒索事件相关的嫌疑人增至三人，包括此前被捕的Moucka和John Erin Binns。联邦检察官指控三人共谋实施计算机欺诈、电信欺诈和严重身份盗窃，涉及至少10个组织的数十亿条敏感客户记录。此前报告显示，Snowflake客户中至少有165家受到攻击，包括AT&T、桑坦德银行和Ticketmaster等。犯罪分子可能与Scattered Spider组织有关，该组织被认为是2023年拉斯维加斯赌场数字抢劫案的幕后黑手。

5. 35个Google Chrome扩展程序遭黑客入侵，260万用户面临风险

【Cybersecurity News网站1月1日报道】至少35个Google Chrome扩展程序遭到黑客入侵，涉及约260万用户。攻击者通过伪装成Google Chrome网上应用店开发者支持的官方通知，诱骗扩展程序发布者授予OAuth权限，从而绕过多因素身份验证并上传恶意版本。这些受感染的扩展程序包括流行的VPN工具、AI浏览器集成和生产力插件，恶意代码旨在窃取用户会话令牌、cookie和凭据，特别是针对Facebook广告仪表板等企业账户。加州数据保护公司Cyberhaven率先确认了此次攻击，并指出攻击者利用硬编码的命令与控制（C2）域远程窃取数据。初步调查显示，攻击活动可能始于2024年3月，主要攻击媒介为伪装成Google合规通知的网络钓鱼邮件。安全研究人员建议用户立即卸载或更新受感染扩展程序，重置密码并监控账户异常活动。尽管部分扩展程序已被删除或修复，但攻击范围可能进一步扩大，用户需保持警惕并定期验证扩展程序的合法性。

6. 美国制裁伊朗和俄罗斯实体，指控其利用AI和网络战术干预选举

【The Hacker News网站1月1日报道】美国财政部外国资产控制办公室（OFAC）对伊朗和俄罗斯的两个实体实施制裁，指控其利用人工智能（AI）和网络战术干预2024年11月的美国总统大选。受制裁的实体包括伊朗伊斯兰革命卫队的下属组织“认知设计生产中心”（CDPC）和俄罗斯情报总局（GRU）的分支机构“地缘政治专业知识中心”（CGE）。这些实体通过生成AI工具创建深度伪造内容和虚假信息，并利用伪装成合法新闻机构的网站进行传播，旨在煽动社会政治紧张局势并影响美国选民。美国财政部指出，CGE通过建立AI服务器和虚假网站网络，在GRU的资金支持下进行秘密影响行动。此外，伊朗实体还被指控策划网络行动以获取与选举相关的敏感信息。此次制裁是美国应对外国干预选举的持续努力的一部分，凸显了AI技术在虚假信息传播中的潜在威胁。

7. 80万辆大众汽车信息曝光事件引发德国安全危机

【Boan News网站1月1日报道】德国大众汽车公司发生了一起严重的信息泄露事件，导致超过80万辆电动汽车及其车主的敏感数据被曝光。此次事件由大众汽车软件开发子公司Cariad在设置亚马逊云存储系统时出现错误，导致数据在未加密的情况下连接到互联网数月。泄露的信息包括车主和驾驶员的姓名、联系方式以及精确的位置数据，部分车辆甚至记录了发动机开关的具体时间和地点。受影响车辆不仅限于大众品牌，还包括西雅特、奥迪和斯柯达等品牌。泄露的数据中涉及政界人士、企业高管、情报机构人员和警察等敏感群体的信息，例如绿党成员Nadja Weippert和联邦议会议员Markus Grübel的日常行踪。此次事件暴露了车辆数据管理的严重漏洞，攻击者可能利用这些数据实施跟踪、网络钓鱼甚至社会基础设施攻击。专家建议，汽车制造商应减少不必要的数据收集，消费者应提高对车辆数据收集的认知，并通过集体行动要求企业改进数据管理。

漏洞预警

8. DrayTek设备曝严重漏洞，攻击者可远程执行任意命令

【GBHackers网站1月1日报道】DrayTek Gateway设备（特别是Vigor2960和Vigor300B型号）存在一个严重的命令注入漏洞，影响超过66,000台互联网连接设备。该漏洞位于Web管理界面的/cgi-bin/mainfunction.cgi/apmcfgupload端点，攻击者可通过操纵HTTP请求中的会话参数注入任意命令，从而以提升的权限执行恶意代码。成功利用该漏洞可能导致攻击者未经授权访问设备、执行远程代码，甚至危及整个网络的安全。漏洞的根本原因在于对输入参数的验证不足，攻击者可通过精心设计的HTTP请求绕过典型处理流程，直接向设备发送恶意指令。例如，攻击者可注入pwd命令获取当前工作目录，或使用${IFS}绕过过滤器并读取敏感系统配置文件。为缓解风险，NetSecFish建议对所有CGI脚本参数实施严格的输入验证和清理，并限制Web管理界面的访问权限，仅允许受信任的IP地址访问。这一漏洞的发现凸显了网络设备安全防护的重要性，用户应及时更新设备固件并采取必要的安全措施。

9. Kerio Control修复存在7年的RCE漏洞，用户需尽快更新

【Latest Hacking News网站1月1日报道】安全研究员Egidio Romano发现Kerio Control安全软件存在一个严重漏洞，可能允许攻击者执行任意代码。该漏洞被标识为CVE-2024-52875，影响了9.2.5至9.4.5版本的Kerio Control软件，自2018年发布以来已存在约7年。漏洞源于HTTP响应中“Location”标头对用户输入的不当清理，导致开放重定向、HTTP响应拆分和反射型XSS攻击，甚至可能使攻击者获得目标系统的root权限。受影响的页面包括/nonauth/addCertException.cs、/nonauth/guestConfirm.cs和/nonauth/expiration.cs。Romano在发现漏洞后迅速联系供应商，GFI Software已发布KerioControl 9.4.5p1版本修复该问题。研究人员建议用户在更新前采取缓解措施，如限制软件访问权限、实施严格的输入验证并提高员工安全意识。此次修复对使用Kerio Control的企业至关重要，以防止潜在的网络攻击和数据泄露。

风险预警

10. 无文件恶意软件：基于内存的攻击与防御挑战

【Cybersecurity News网站1月1日报道】无文件恶意软件作为一种新型攻击手段，正在成为网络安全领域的重大威胁。与传统恶意软件不同，无文件恶意软件完全在计算机的内存（RAM）中运行，不在硬盘上留下痕迹，从而绕过传统的基于文件的检测机制。其利用系统内置工具（如PowerShell和Windows管理规范）执行恶意操作，并通过代码注入、离地生活（LotL）技术、注册表操纵和反射式DLL注入等方法实现隐蔽攻击。例如，2017年一起利用PowerShell脚本的无文件攻击导致一家金融机构的敏感数据泄露，2019年使用WMI的无文件攻击则影响了多个政府机构。检测无文件恶意软件面临巨大挑战，传统防病毒软件依赖基于签名的检测方法，难以应对此类攻击。尽管行为分析和内存扫描技术显示出潜力，但仍存在误报率高和资源消耗大的问题。为应对这一威胁，专家建议采取多层次的防御策略，包括部署端点检测和响应（EDR）系统、加强内存分析、开展用户教育以减少网络钓鱼风险，以及通过系统强化减少攻击面。无文件恶意软件的兴起凸显了网络安全领域亟需创新检测和防御技术的紧迫性。