5th域安全微讯早报【20250212】037期

2025-02-12  星期三 Vol-2025-037

1. 纽约州政府禁止DeepSeek，担忧数据安全与审查风险

2. 法国拟投资1090亿欧元争夺人工智能霸主地位

3. 俄央行推出二维码支付安全标准：银行间争议与变化

4. 俄罗斯军事黑客组织Sandworm利用恶意Windows激活器攻击乌克兰用户

5. 美澳英三国制裁俄罗斯防弹托管服务商Zservers，打击LockBit勒索软件团伙

6. 亚利桑那州女子承认为朝鲜IT工人经营笔记本电脑农场，面临9年监禁

7. 诉讼指控特朗普政府违反联邦信息安全法

8. SonicWall 防火墙漏洞可劫持 VPN 会话，需立即修复

9. 超过12,000个KerioControl防火墙暴露于严重RCE漏洞

10. OpenSSL披露高严重性漏洞，影响3.2、3.3和3.4版本

11. GCSB报告揭露复杂网络攻击，呼吁提升网络弹性应对间谍活动和勒索软件威胁

12. 微软、FortiOS、7-Zip：八个严重漏洞威胁系统安全

13. Gcore Radar：DDoS 攻击新纪录与网络战的意外受害者

14. 情人节主题域名激增，网络钓鱼和恶意软件威胁加剧

15. 新的OG欺骗工具包操纵社交媒体链接进行网络犯罪

1. 纽约州政府禁止DeepSeek，担忧数据安全与审查风险

【GBHackers网站2月11日报道】纽约州州长凯西·霍楚尔（Kathy Hochul）宣布，禁止在政府设备和网络上使用中国人工智能初创公司DeepSeek，理由是其可能构成数据安全和审查风险。霍楚尔州长在声明中强调，该禁令旨在保护纽约人免受网络威胁，并防止国家支持的审查制度。DeepSeek以低预算开发先进AI模型，并未使用受美国出口管制的Nvidia芯片，但安全专家警告，该应用收集IP地址、击键模式等敏感数据，且数据存储在中国服务器上，可能被用于监视或技术盗窃。此次禁令仅适用于政府设备，不影响个人使用。此前，美国政府已对其他中国科技公司采取类似措施。DeepSeek尚未回应，但其招聘行为亦受审查，一些雇员曾在被美国立法者批评的微软中国AI实验室工作。业界人士，包括埃隆·马斯克和Alexandr Wang，认为DeepSeek可能掌握更先进技术，绕过美国出口限制。纽约的决定或影响其他州，引发关于AI发展与国家安全的广泛讨论。

2. 法国拟投资1090亿欧元争夺人工智能霸主地位

【SecurityLab网站2月11日消息】法国总统埃马纽埃尔·马克龙宣布计划投资1090亿欧元发展人工智能，以与美国和中国争夺该领域的领导地位。该计划包括建设数据中心、提高计算能力和支持研究项目。阿联酋投资基金MGX将提供500亿欧元资金，加拿大公司Brookfield也将投资200亿欧元。法国已获得欧洲60多家领先公司和20家国际投资者的支持，承诺未来五年向欧洲人工智能项目投资1500亿欧元。法国拥有强大的核能和数学流派，Mistral公司已在该国开展大型语言模型开发。法国议员警告，若欧洲继续落后，可能成为“数字殖民地”。

3. 俄央行推出二维码支付安全标准：银行间争议与变化

【SecurityLab网站2月11日消息】俄罗斯央行制定并批准了二维码支付的安全标准，该标准为建议性文件，将于 2 月 17 日生效。该标准规定了二维码支付和转账的安全使用规则，描述了四种类型的二维码：付款人信息码、收款人生成的支付详情码、付款人和收款人的支付链接码。二维码可以是动态的（每次交易生成）或静态的（可重复使用）。央行还系统化了使用二维码时的威胁，包括代码替换、支付数据修改、网络钓鱼攻击等，并提出了保护措施，如数据完整性控制、重复请求检查等。此外，针对 ATM 二维码存取现金也制定了单独的安全措施。2024年12月，关于引入通用支付二维码和数字卢布的法案提交至国家杜马，预计在春季审议。如果通过，部分法规将于 2025年7月1日生效。该法案赋予国家支付卡系统股份公司（NSPK）确定通用支付二维码使用规则的专有权利，NSPK 将为银行和支付平台提供服务，确保数据传输的准确性。银行将被要求通过通用二维码向客户传输支付详细信息，支付运营商需将其集成到技术解决方案中。通用支付二维码的实施截止日期为 2026年1月1日。从该日期起，银行需向客户提供转账详细信息，电子支付运营商需确保其软件和硬件支持通用二维码支付。该标准还允许通过通用二维码进行数字卢布转账，不仅适用于法人和个体经营者，还适用于公证人、律师等其他类别。

4. 俄罗斯军事黑客组织Sandworm利用恶意Windows激活器攻击乌克兰用户

【BleepingComputer网站2月11日消息】俄罗斯军事网络间谍组织Sandworm被指控使用木马化的Microsoft密钥管理服务（KMS）激活程序和虚假的Windows更新对乌克兰的Windows用户进行攻击。这些攻击可能始于2023年底，EclecticIQ威胁分析师通过重叠的基础设施、一致的战术、技术和程序（TTP）以及使用ProtonMail账户注册攻击域名的行为，将其与Sandworm黑客联系起来。攻击者利用BACKORDER加载器部署DarkCrystal RAT（DcRAT）恶意软件，并通过引用俄语构建环境的符号进行调试，进一步证实了俄罗斯军方黑客的参与。EclecticIQ发现了七个与同一恶意活动集群相关的恶意软件传播活动，每个活动都使用了类似的诱饵和TTP。攻击的最终目标是从受感染的计算机收集敏感信息，包括键盘输入、浏览器数据、系统信息和屏幕截图。Sandworm利用乌克兰广泛使用盗版软件的情况，扩大了攻击面，对乌克兰的国家安全、关键基础设施和私营部门的复原力构成了直接威胁。

5. 美澳英三国制裁俄罗斯防弹托管服务商Zservers，打击LockBit勒索软件团伙

【BleepingComputer网站2月11日消息】美国、澳大利亚和英国对俄罗斯防弹托管（BPH）服务提供商Zservers实施制裁，因其为LockBit勒索软件团伙提供攻击基础设施。Zservers的两名主要管理员亚历山大·伊戈列维奇·米申和亚历山大·谢尔盖耶维奇·博尔沙科夫也被列为制裁对象，他们被指控支持LockBit的虚拟货币交易和攻击活动。美国外国资产控制办公室（OFAC）指出，Zservers曾向LockBit提供IP地址和基础设施，用于协调勒索软件活动。英国也对Zservers的英国幌子公司XHOST Internet Solutions LP及其四名员工实施制裁。制裁措施包括禁止与上述个人和公司进行交易，并冻结其资产。此次制裁是在美国国务院悬赏高达2500万美元以获取LockBit相关信息的背景下实施的。LockBit自2019年出现以来，已发动超过7000次攻击，勒索金额高达10亿美元。2024年2月，“克罗诺斯行动”成功关闭了LockBit的基础设施，并查获了大量解密密钥。

6. 亚利桑那州女子承认为朝鲜IT工人经营笔记本电脑农场，面临9年监禁

【Recorded Future News网站2月12日消息】亚利桑那州利奇菲尔德公园48岁的居民克里斯蒂娜·玛丽·查普曼承认参与了一项允许多名朝鲜国民从300多家美国公司领取薪水的计划。查普曼承认串谋实施电信欺诈、严重身份盗窃和串谋洗钱的指控，帮助朝鲜工人赚取超过1,710万美元，其中大部分汇回朝鲜政府。查普曼通过经营笔记本电脑农场，使朝鲜工人看似在美国工作，实际在中国、俄罗斯、老挝等国工作。她协助的三名朝鲜人与朝鲜军需品工业部有联系，曾试图在两家美国政府机构就职未果。查普曼将于6月16日宣判，检察官建议判处7至9年联邦监禁。美国联邦调查局正通过“朝鲜民主主义人民共和国改革计划：国内推动者”计划打击此类欺诈行为。

7. 诉讼指控特朗普政府违反联邦信息安全法

【Recorded Future News网站2月12日消息】电子隐私信息中心和一名匿名联邦工作人员对特朗普政府官员和政府效率部（DOGE）成员提起诉讼，指控其违反《联邦信息安全现代化法案》（FISMA）和美国国家标准与技术研究所（NIST）的协议。诉讼称，DOGE工作人员未经授权访问联邦数据系统，增加了敏感信息被非法泄露的风险，特别是美国人事管理办公室（OPM）和财政部的数据成为网络攻击的主要目标。诉讼要求阻止DOGE访问信息系统并删除已获得的数据，称其为“美国历史上最严重的数据泄露事件”。

11. GCSB报告揭露复杂网络攻击，呼吁提升网络弹性应对间谍活动和勒索软件威胁

【Industrial Cyber网站2月11日消息】新西兰国家网络安全中心（NCSC）隶属于政府通信安全局（GCSB），其最新报告显示，新西兰面临来自犯罪实体和外国行为者的日益复杂的网络安全威胁。截至2024年6月30日，该国共发生7,122起网络安全事件，其中343起可能对全国产生重大影响。国家支持的恶意网络活动持续存在，占重大事件的32%，主要针对新西兰组织进行间谍活动。勒索软件和网络诈骗活动也在增加，医疗保健、信息媒体和电信行业成为主要目标。GCSB报告指出，全球紧张局势加剧了网络威胁，俄罗斯与乌克兰冲突导致亲俄黑客活动增加。报告还强调，网络犯罪分子越来越多地使用“离地攻击”（LOTL）技术避免检测，并呼吁组织提升网络弹性，应对日益复杂的网络威胁。

12. 微软、FortiOS、7-Zip：八个严重漏洞威胁系统安全

【SecurityLab网站2月11日消息】Positive Technologies专家将八个漏洞列为2月的趋势漏洞，涉及微软产品、FortiOS操作系统、FortiProxy代理服务以及7-Zip文件归档程序。其中，Windows轻量级目录访问协议（LDAP）中的远程代码执行漏洞（CVE-2024-49112，CVSS 9.8）可能导致系统崩溃和数据泄露。Hyper-V NT内核集成组件中的权限提升漏洞（CVE-2025-CVE-2025-21334、CVE-2025-21335，CVSS 7.8）允许攻击者获得SYSTEM级权限。OLE远程代码执行漏洞（CVE-2025-21298，CVSS 9.8）和Microsoft Configuration Manager中的恶意代码执行漏洞（CVE-2024-43468，CVSS 9.8）也可能导致系统被完全控制。专家建议用户及时安装微软提供的安全更新，并采取临时安全措施，如通过SSL和网络分段保护RPC和LDAP。

13. Gcore Radar：DDoS 攻击新纪录与网络战的意外受害者

【SecurityLab网站2月11日消息】GcoreRadar发布的2024年下半年报告显示，DDoS攻击数量持续快速增长，与去年同期相比增长了56%，最大攻击流量达到了创纪录的2Tbps。金融行业成为重灾区，攻击次数增长了117%，而游戏行业尽管占比从49%下降到34%，但仍是攻击数量最多的领域。攻击方式也发生了变化，攻击者更多采用短时间、高强度的攻击方式，伪装成合法流量，几分钟内即可导致服务瘫痪。传统的防护方法已不再有效，企业需要采用更具适应性的解决方案。报告指出，DDoS工具的易获取性、物联网设备导致的僵尸网络增长以及地缘政治和经济动机是攻击增加的关键因素。UDP洪水攻击占比达60%，ACK洪水攻击占比7%。美国、荷兰和中国依旧是攻击的主要来源地，而巴西和印度尼西亚正在成为新的攻击中心。Gcore强调企业需要采取适应性安全措施，利用分布在六大洲的先进过滤系统来应对日益复杂和危险的攻击。

14. 情人节主题域名激增，网络钓鱼和恶意软件威胁加剧

【CybersecurityNews网站2月11日消息】研究人员发现新注册的情人节主题域名数量激增，威胁行为者利用“爱”、“礼物”和“情人节”等词汇策划网络钓鱼、恶意软件和浪漫骗局。WhoisXML API的域名研究套件（DRS）识别出包含“情人节”、“爱”、“花”等关键词的域名注册数量显著增加。Check Point Research数据显示，1月份此类域名数量环比增长39%，超过18,000个，其中八分之一被认定为恶意或可疑。网络钓鱼是最常见的攻击媒介，攻击者通过诱人主题的电子邮件或消息引诱受害者访问欺诈网站，甚至使用ChatGPT和开源情报（OSINT）等人工智能工具制作高度个性化的网络钓鱼电子邮件和虚假聊天机器人。为防范此类威胁，建议验证域名、检查电子邮件、使用安全工具、监控新域名并教育员工识别网络钓鱼企图。

15. 新的OG欺骗工具包操纵社交媒体链接进行网络犯罪

【The Cyber Express网站2月10日消息】Cyble研究与情报实验室（CRIL）警告称，Open Graph（OG）欺骗工具包的滥用日益严重，该工具包通过操纵Open Graph协议元数据，诱骗用户点击有害链接。2024年10月，一名俄罗斯威胁行为者在地下市场以2,500美元的价格发布了“OG Spoof”工具包，旨在协助网络钓鱼活动。该工具包允许攻击者生成欺骗性链接，绕过安全措施，并通过社交媒体预览诱骗用户点击恶意网站。其主要功能包括域管理、高级链接欺骗、广告系统集成和团队管理。OG Spoof Toolkit能够绕过社交媒体平台的审核检查，使攻击者能够实时修改链接目标，从而进行复杂的网络钓鱼活动。Cyble建议使用其人工智能网络安全解决方案提供实时威胁情报和高级检测功能，以应对此类威胁。