航空防务公司Stark被曝遭遇勒索攻击，4TB机密数据疑被窃取；华硕意外泄露AMD处理器漏洞，补丁被提前公开

点击蓝字·关注我们 / aqniu

新闻速览

国家密码管理局废止、宣布失效部分行政规范性文件
PayPal因安全措施不力被罚200万美元
华硕意外泄露AMD处理器漏洞，补丁被提前公开
LinkedIn 被控滥用用户数据训练AI模型
Stark被曝遭遇勒索攻击，4TB机密数据疑被窃取
安卓推出"身份验证"新功能增强设备防盗保护
“黑吃黑”！黑客利用虚假构建器感染18459台"脚本小子"植入后门
勒索软件通过SSH隧道攻击VMware ESXi主机

特别关注

国家密码管理局废止、宣布失效部分行政规范性文件

1月24日，国家密码管理局发布《国家密码管理局关于废止、宣布失效部分行政规范性文件的决定（国家密码管理局公告第51号）》。

文件指出，为了深入贯彻落实《中华人民共和国密码法》和《商用密码管理条例》，增强密码法律制度的统一性和权威性，国家密码管理局对现行有效的行政规范性文件进行了集中清理，决定：

一、废止4件行政规范性文件

1．国家密码管理委员会办公室公告第一号

2．关于印发《含有密码技术的信息产品政府采购规定》的通知（国密局联〔2008〕1号）

3．国家密码管理局关于调整“国家密码管理局行政审批事项公开目录”的通知（国密局字〔2017〕344号）

4．商用密码产品生产管理规定（国家密码管理局公告第5号公布，国家密码管理局公告第32号修正）

二、宣布失效4件行政规范性文件

1．国家密码管理局公告第26号

2．国家密码管理局关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知（国密局字〔2017〕336号）

3．国家密码管理局关于进一步加强商用密码产品管理工作的通知（国密局字〔2018〕419号）

4．国家密码管理局市场监管总局关于调整商用密码产品管理方式的公告（国家密码管理局、国家市场监督管理总局公告第39号）。

该决定自公布之日起施行。

原文链接：
https://mp.weixin.qq.com/s/MUUHVOAL0rf0Jo5xj2WEjQ

热点观察

PayPal因安全措施不力被罚200万美元

近日，美国纽约州金融服务部门对PayPal处以200万美元的罚款,原因是该公司未能妥善保护客户数据。这笔罚款是针对2022年发生的数据泄露事件而达成的和解协议的一部分。

PayPal于2022年推出一个系统,旨在帮助账户持有人访问他们的1099收入税表。但由于该门户系统存在缺陷,用户能够查看其他账户持有人的表格,包括社会安全号码等敏感数据。社会安全号码可用于报税和获取政府正式文件,因此这一泄露事件给用户带来了潜在的身份盗窃风险。

纽约州金融服务部门的调查发现,PayPal在推出该系统时未能采取适当的安全措施,导致客户数据遭到不当访问。除了支付200万美元的罚款外,PayPal还必须加强其数据安全控制,以防止类似事件再次发生。

原文链接：

https://www.scmagazine.com/news/new-york-fines-paypal-2-million-for-shoddy-security-practices

华硕意外泄露AMD处理器漏洞，补丁提前被公开

近日，华硕无意中在其游戏主板更新页面上公布了一个"AMD微码签名验证漏洞"的补丁,从而泄露了这一AMD处理器的"重大"漏洞,早于芯片制造商原定的披露时间。

谷歌漏洞研究员Tavis Ormandy指出,华硕为其ROG Strix X870-I Gaming WiFi游戏主板发布的更新包含了一个修补先前未公开的"AMD微码签名验证漏洞"。他将这一漏洞称为"重大"CPU漏洞,尽管细节尚未披露。当前该补丁已从华硕更新页面上撤下,华硕未回复置评请求。

AMD发言人确认了该漏洞的存在，并表示利用该漏洞需要同时获得系统的本地管理员级别访问权限,并开发和执行恶意微码。AMD已提供缓解措施,并正在与合作伙伴和客户积极合作部署这些缓解措施。AMD建议客户继续遵循行业标准安全实践,在系统上安装新代码时只与可信供应商合作。

原文链接：

https://www.techtarget.com/searchsecurity/news/366618457/AMD-processor-vulnerability-inadvertently-leaked-early

LinkedIn 被控滥用用户数据训练AI模型

近日,职业社交网络平台LinkedIn遭遇集体诉讼,指控其未经用户同意,擅自将付费会员的私密信息共享给第三方,用于训练生成式人工智能模型。

LinkedIn付费用户Alessandro De La Torre发状告LinkedIn违反了服务合同,将付费会员的私密通信信息透露给第三方机构,用于训练AI模型。诉状称,作为职业社交平台,这些通信"包含了关于就业、知识产权、薪酬和其他个人隐私的高度敏感信息"。LinkedIn的母公司微软也被卷入其中，被指将用户数据分享给了旗下的"第三方附属机构"。

这一争议源于LinkedIn于2022年对隐私条款的修改。该公司默认将用户纳入允许第三方使用个人数据训练AI的范围内。这一变化初期进行得隐秘，直到9月份在用户和隐私维权人士的反对声浪下,才在隐私政策中体现。

诉讼要求LinkedIn为每位付费会员的违规行为赔偿1000美元，并追究其违反联邦《存储通信法》、违反合同和加州《不公平竞争法》的额外赔偿金。诉状还要求LinkedIn删除使用非法获取数据训练的所有AI模型。

原文链接：

ttps://www.itpro.com/security/privacy/linkedin-faces-lawsuit-amid-claims-it-shared-users-private-messages-to-train-ai-models

网络攻击

航空防务公司Stark被曝遭遇勒索攻击，4TB机密数据疑被窃取

总部位于密西西比州的全球导弹系统和航空武器制造商Stark航空防务公司遭到INC Ransom勒索软件即服务(RaaS)团伙攻击，声称窃取了4TB的数据。该团伙公布了近40个文件样本，并威胁如果Stark公司在未指明的最后期限前拒绝支付赎金,他们将出售被盗数据。

INC Ransom声称不仅能够窃取Stark公司的供应链细节、建筑平面图、教员护照和网络安全工具配置,还包括侦察卫星和生产计划信息,以及其母公司IAI北美公司的文件。INC Ransom表示:"我们掌握了你们开发的所有类型无人机的固件源代码、软件环境的设计文档,以及与国防部和其他军工承包商的合同信息。"

原文链接：

https://www.scmagazine.com/brief/inc-ransom-takes-responsibility-for-stark-aerospace-compromise

安卓推出"身份验证"新功能，增强设备防盗保护

近日，谷歌宣布在安卓系统中推出一项新的"身份验证"安全功能，当用户离开受信任的位置时，该功能将要求使用生物识别认证来访问敏感的设备设置。这一新功能是安卓防盗保护套件的一部分。

"身份验证"功能旨在通过要求用户在离开受信任位置时使用生物识别认证，来增强安卓系统对关键账户和设备设置的保护。需要生物识别认证的敏感操作包括:执行恢复出厂设置、更改屏幕锁定、注册新指纹、关闭"查找我的设备"功能、添加谷歌账户、访问开发者选项以及打开谷歌密码管理器等。该功能还为谷歌账户启用了"增强保护"，并在符合条件的设备上为三星账户提供了额外的安全保护。

"身份验证"功能最初将仅在运行安卓15系统的谷歌Pixel手机和运行One UI 7的三星Galaxy手机上推出。要启用该功能,可前往"设置>谷歌账户>所有服务>防盗保护"，并启用"身份验证"开关。

原文链接：

https://www.bleepingcomputer.com/news/security/new-android-identity-check-locks-settings-outside-trusted-locations/

“黑吃黑”！黑客利用虚假构建器感染18459台"脚本小子"植入后门

近日，一名威胁行为者利用一个伪造的恶意软件构建器对低技能黑客(俗称"脚本小子")进行了感染,秘密植入了后门程序以窃取数据和控制计算机。据CloudSEK安全研究人员报告,这种恶意软件全球范围内已经感染了18459台设备。

研究人员近期发现，一个特洛伊化的XWorm远控工具构建器正通过GitHub存储库、文件托管平台、Telegram频道、YouTube视频和网站等多个渠道传播。这些渠道宣称该构建器可让其他威胁行为者免费使用该恶意软件。然而,它并非真正的XWorm远控工具构建器，而是在目标设备上植入了恶意软件。一旦机器被感染，XWorm恶意软件会检查Windows注册表，查看是否运行在虚拟化环境中，如果是则停止执行。如果主机符合感染条件,恶意软件会执行必要的注册表修改以确保在系统重启后持续存在。每台感染的系统都会使用硬编码的Telegram机器人ID和令牌向Telegram命令与控制(C2)服务器注册。恶意软件还会自动窃取Discord令牌、系统信息和位置数据(来自IP地址)，并将其渗透到C2服务器。

研究人员发现，恶意软件操作员从约 11%的感染设备中渗透了数据，主要是截取了这些设备的屏幕截图，并窃取了浏览器存储的数据如密码、 Cookie 等。

原文链接：

https://www.bleepingcomputer.com/news/security/hacker-infects-18-000-script-kiddies-with-fake-malware-builder/

勒索软件通过SSH隧道攻击VMware ESXi主机

一种新型勒索软件正悄然渗透VMware ESXi主机，利用SSH隧道隐藏恶意流量，规避多数标准警报和检测系统。这是由于ESXi设备常常缺乏监控这一漏洞，网络犯罪分子在潜伏、窃取数据和锁定虚拟机时,遭受的干扰极小。而且虚拟化基础架构因虚拟机价值高昂、一旦被控制即可造成快速破坏，成为勒索软件行为者的诱人目标。一旦虚拟机无法访问，组织就不得不着手恢复关键功能或考虑支付赎金，业务连续性、声誉和收入都将遭受严重冲击。

攻击过程包括:初始访问、建立SSH隧道、持久化、侦查和横向移动，最终对虚拟机文件进行加密并发出勒索要求。ESXi服务器的分散式日志架构使取证调查更加复杂，SSH隧道也掩盖了恶意活动的踪迹。由于许多组织并未积极监控ESXi环境,这些攻击可能长期隐藏。除了加密之外，攻击者还利用ESXi服务器作为切入点，获得企业网络的更广泛访问权限，并通过SSH创建SOCKS隧道，使恶意流量与日常管理操作混淆。

研究人员建议限制管理权限，确保默认情况下禁用SSH，并及时修补漏洞，特别是那些可导致远程代码执行或凭据被盗的漏洞。强大的身份验证策略也可减少暴力破解凭据的可能性。

原文链接：

https://cybersecuritynews.com/ransomware-attacking-vmware-esxi-hosts/

合作电话：18311333376

合作微信：aqniu001

投稿邮箱：[email protected]