5th域安全微讯早报【20250213】038期

2025-02-13  星期四 Vol-2025-038

1. 特朗普拟提名共和党内部人士肖恩·凯恩克罗斯担任国家网络主任

2. 众议院共和党成立工作组推动数据隐私立法

3. CISA事件仍在继续：关键机构员工突然被要求休假

4. 美国财政部全面管控DOGE访问支付系统风险

5. 美俄达成囚犯交换协议，俄罗斯网络犯罪人物亚历山大·温尼克获释

6. 研究人员发现软件供应链漏洞，获5万美元赏金

7. YouTube漏洞曝光用户电子邮件地址，谷歌已修复

8. 未修补的SonicWall防火墙漏洞被利用劫持SSL VPN会话

9. “可蠕虫化”Windows LDAP漏洞允许远程代码执行

10. 俄罗斯黑客组织Sandworm子组瞄准欧美关键机构，微软发出警告

11. 黑客利用Ivanti Connect Secure RCE漏洞部署SPAWNCHIMERA恶意软件

12. 虚假引述和扭曲事实：人工智能如何摧毁人们对新闻的信任

13. 黑客诱骗用户以管理员身份运行PowerShell并粘贴其代码以破解Windows

14. 黑客利用即时注入篡改Gemini AI长期记忆

15. Cl0p勒索软件窃取数据后隐藏在受感染网络中

1. 特朗普拟提名共和党内部人士肖恩·凯恩克罗斯担任国家网络主任

【Therecord网站2月12日报道】美国总统特朗普计划提名共和党内部人士肖恩·凯恩克罗斯（Sean Cairncross）担任国家网络主任，领导白宫国家网络主任办公室（ONCD）。凯恩克罗斯曾在前特朗普政府中担任千年挑战公司首席执行官，并在特朗普第一任期期间担任总统副助理。他目前是华盛顿特区咨询公司凯恩克罗斯集团的总裁兼创始人，并在共和党全国委员会中担任多个重要职务。如果提名获得参议院批准，凯恩克罗斯将成为ONCD的第三位经参议院确认的领导人。观察人士担心，尽管网络威胁日益严峻，特朗普政府可能会削减ONCD的规模。近期，美国面临与中国相关的“伏特台风”和“盐台风”黑客攻击活动，这些活动侵入了美国关键基础设施和电信网络。凯恩克罗斯将接替最近被任命为马里兰州商务部长的前国家安全局官员哈里·科克（Harry Coker）。科克在离任前呼吁美国政府优先考虑数字安全，并在各级政府提供适当资源。

2. 众议院共和党成立工作组推动数据隐私立法

【Therecord网站2月13日报道】众议院能源与商业委员会的共和党领导人宣布成立工作组，旨在起草全面的数据隐私法案。宾夕法尼亚州副主席约翰·乔伊斯将领导该工作组，目前成员包括九名共和党人，尚无民主党人参与。工作组计划与利益相关方合作，推动立法通过。国会过去多次尝试制定数据隐私法案，但因保护措施和消费者权利的分歧未能成功。目前，已有13个州自行制定了相关法律。共和党在声明中强调，国家数据隐私标准对保护美国人权利和维护美国在数字技术领域的领导地位至关重要。今年1月，数十个行业团体呼吁国会通过优先于州法律的数据隐私法案，但其提议的条款被认为保护力度较弱。去年6月，相关法案因文本争议被搁置。目前尚不清楚工作组是否会审查政府效率部对敏感个人数据的访问问题。

3. CISA事件仍在继续：关键机构员工突然被要求休假

【SecurityLab网站2月12日报道】美国网络安全和基础设施安全局（CISA）的17名负责选举安全的员工被意外停职，其中包括10名地区选举安全专家。这些员工在2024年总统大选前被招募，负责威胁评估、培训和确保投票站的物理安全。CISA最初被排除在延期解雇计划之外，随后提议员工自愿离职并保留工资和福利至9月。这一决定引发了争议，尤其是在即将举行多个州和地方选举的背景下。CISA的工作对于确保选举系统免受网络攻击和虚假信息侵害至关重要。两党政府官员对CISA的工作表示赞赏，但新任国土安全部部长克里斯蒂·诺姆批评CISA“偏离了其使命”，并承诺审查其活动。

4. 美国财政部全面管控DOGE访问支付系统风险

【Therecord网站2月13日消息】美国财政部在一份法庭文件中披露，政府效率部（DOGE）员工Marko Elez曾意外获得对财政部敏感支付数据库的读写权限，但该权限在次日被撤销且未发生数据篡改。财政部官员Joseph Gioeli III表示，财政部对DOGE访问系统可能带来的风险有充分认识，并采取了严格的控制措施，包括限制Elez仅能在低利用率时段进行只读访问，以及使用增强监控技术追踪其活动。此外，Elez使用的BFS笔记本电脑被加密，并配备了数据外泄检测功能，以防止敏感数据泄露。DOGE官员Tom Krause承诺仅允许Elez访问，并接受“肩并肩”监督。尽管联邦法官曾限制DOGE对系统的访问，但后续命令放宽了相关限制。目前，对Elez笔记本电脑的取证分析未发现未经授权的使用或数据外泄证据。

5. 美俄达成囚犯交换协议，俄罗斯网络犯罪人物亚历山大·温尼克获释

【Therecord网站2月13日消息】据匿名美国官员透露，俄罗斯已关闭的加密货币交易所BTC-e的运营者亚历山大·温尼克（Alexander Vinnik）已通过美俄囚犯交换协议获释，以换取美国教师马克·福格尔（Marc Fogel）。温尼克的法国律师弗雷德里克·贝洛特向俄罗斯国家通讯社塔斯社证实了这一消息，但其美国律师表示温尼克目前仍在美国，且无法透露更多细节。克里姆林发言人德米特里·佩斯科夫早些时候表示，莫斯科已确保一名在美被拘的俄罗斯公民获释，但未提及温尼克的名字。温尼克去年在美国法院承认了共谋洗钱的指控。美国司法部称，BTC-e是一个重要的网络犯罪和在线洗钱平台，涉及至少40亿美元的非法交易，并促成了包括勒索软件攻击、身份盗窃和毒品分销在内的多项犯罪活动。温尼克于2017年在希腊被捕，随后被引渡至法国和美国。作为交换协议的一部分，温尼克需向美国政府上缴1亿美元的犯罪所得。如果温尼克获释，他将成为第三名因网络犯罪在美国面临指控并通过囚犯交换获释的俄罗斯人。

6. 研究人员发现软件供应链漏洞，获5万美元赏金

【cybersecuritynews网站2月12日报道】两名道德黑客Snorlhax及其合作者通过分析一家大公司新收购子公司的资产，发现了一个严重的软件供应链漏洞，并因此获得了50,500美元的漏洞赏金。研究人员推测，被收购子公司在整合过程中可能未完全遵守母公司的安全标准。通过分析JavaScript依赖项和Docker镜像，他们发现了一个公开的.git文件夹，其中包含GitHub Actions令牌（GHS）和npm令牌。这些令牌本应用于CI/CD工作流，但被意外留在镜像中，可能被攻击者用于操纵源代码或管道。利用Docker镜像层工具，研究人员还提取了包含npm令牌的.npmrc文件，该令牌授予对私有包的读写权限。这意味着攻击者可通过注入恶意代码影响开发环境、CI/CD管道甚至生产服务器，造成严重后果。

10. 俄罗斯黑客组织Sandworm子组瞄准欧美关键机构，微软发出警告

【therecord网站2月13日报道】微软威胁情报团队发布报告称，俄罗斯国家支持的黑客组织Sandworm（又称Seashell Blizzard）的一个子组正在对美国和欧洲的战略重要机构进行多年渗透活动，目标涵盖能源、电信、航运、武器制造和政府等关键领域。该子组通过利用多个漏洞（如CVE-2024-1709和CVE-2023-48788）获取初始访问权限，并使用远程管理工具维持对受攻击系统的控制。微软警告称，该子组的活动为俄罗斯军方和政府提供了“广泛的战略机会”，使其能够快速适应不断变化的地缘政治环境。Sandworm自2013年以来一直活跃，被认为是俄罗斯军事情报部门74455单位的一部分，曾参与多起高调破坏性攻击，包括NotPetya和Prestige。2022年，美国国务院悬赏1000万美元征集与该组织六名成员相关的信息。报告指出，该子组的攻击范围已从东欧扩展至美国、英国、加拿大和澳大利亚等地区，目标包括对乌克兰战争提供物质支持的行业以及地缘政治意义重大的领域。

11. 黑客利用Ivanti Connect Secure RCE漏洞部署SPAWNCHIMERA恶意软件

【CybersecurityNews网站2月12日报道】Ivanti Connect Secure中的一个严重漏洞（CVE-2025-0282）正被多个威胁行为者利用，以部署高级恶意软件SPAWNCHIMERA。该漏洞为基于堆栈的缓冲区溢出，CVSS评分为9.0，允许攻击者在易受攻击设备上远程执行任意代码。日本计算机应急反应小组协调中心（JPCERT/CC）指出，攻击者早在2024年12月就开始利用该漏洞。SPAWNCHIMERA是SPAWN恶意软件家族的变种，具备动态修补漏洞、增强解码机制和删除调试消息等新功能，使其更隐蔽且难以检测。Ivanti已发布补丁修复该漏洞，建议用户立即更新并加强监控，以应对这一高级威胁。

12. 虚假引述和扭曲事实：人工智能如何摧毁人们对新闻的信任

【SecurityLab网站2月12日报道】BBC新闻的一项研究发现，生成式人工智能在回答问题时存在严重的准确性问题，导致虚假信息和扭曲事实的传播。测试中，ChatGPT、Perplexity、Microsoft Copilot和Google Gemini在回答100个问题时，超过一半的回答包含错误，20%的情况下添加了事实错误，超过10%的“引述”被修改或根本不存在。主要问题包括缺乏对事实和观点的区分、混淆档案数据和当前数据，以及倾向于主观解释。例如，Perplexity在中东冲突问题上添加了主观评价，ChatGPT和Copilot错误地声称Rishi Sunak和Nicola Sturgeon仍在任，而Gemini误解了NHS关于吸电子烟的建议。BBC呼吁大型科技公司、媒体行业和政府监管机构合作，防止信息信任的进一步侵蚀。

13. 黑客诱骗用户以管理员身份运行PowerShell 并粘贴其代码以破解Windows

【Cybersecuritynews网站2月12日报道】微软威胁情报中心发现，朝鲜国家支持的黑客组织 Emerald Sleet（也称为 Kimsuky或VELVET CHOLLIMA）正在采用一种新策略，通过社会工程技术诱骗受害者以管理员身份运行 PowerShell 命令，从而入侵设备并窃取敏感数据。该组织通过冒充韩国政府官员与目标建立信任，随后发送带有 PDF 附件的鱼叉式网络钓鱼邮件，引导受害者点击伪装成注册设备的 URL。受害者被诱导以管理员身份打开PowerShell并粘贴攻击者提供的代码，该代码会安装基于浏览器的远程桌面工具，并从远程服务器下载带有硬编码PIN的证书文件。这一过程使得攻击者能够未经授权访问受感染的系统，进行间谍活动并窃取敏感信息。微软报告称，自2025年1月以来，这种策略已在有限的攻击中被发现，表明Emerald Sleet的攻击方法发生了转变。该组织主要针对从事国际事务的个人以及北美、南美、欧洲和东亚的非政府组织、政府机构和媒体。为了应对这种威胁，微软建议采取以下措施：投资先进的反网络钓鱼解决方案以检测和阻止恶意电子邮件；培训用户识别网络钓鱼尝试并避免可疑 URL；应用攻击面减少规则以阻止恶意脚本等常见攻击技术。这一事件凸显了对不断演变的网络威胁保持警惕的重要性，特别是那些针对涉及敏感国际问题的高价值个人和组织的威胁。

14. 黑客利用即时注入篡改Gemini AI长期记忆

【CybersecurityNews网站2月12日报道】Google Gemini Advanced聊天机器人遭受复杂攻击，黑客利用间接提示注入和延迟工具调用技术，破坏AI的长期记忆并植入虚假信息。该漏洞允许攻击者通过上传恶意文档并隐藏指令，使AI在用户触发特定响应后保存虚假数据，例如捏造的个人信息。这种攻击利用AI的情境感知能力，绕过了现有保护措施，可能导致错误信息传播、用户操纵甚至数据泄露。尽管谷歌已采取措施限制部分功能并通知用户新记忆的存储，但专家认为这并未解决根本问题。该事件凸显了保护大型语言模型（LLM）免受提示注入攻击的持续挑战，因其难以区分合法输入与对抗性提示。

15. Cl0p勒索软件窃取数据后隐藏在受感染网络中

【GBHackers网站2月12日报道】Cl0p勒索软件组织通过采用先进技术加强了其行动，以在受感染的网络中隐藏自身。该组织自2019年以来活跃，与TA505威胁组织有关联，采用双重勒索策略，不仅加密文件还威胁公开窃取的敏感数据。Cl0p利用广泛使用的软件平台（如Cleo Harmony和MOVEit Transfer）中的漏洞（如CVE-2024-50623）进行初始访问，并通过Cobalt Strike等工具提取数据。为逃避检测，Cl0p使用进程注入、删除日志、DLL侧加载和删除卷影副本等技术，确保其在网络中持久存在。该组织主要针对制造业、零售业和运输业，美国组织占近期受害者的72%。专家建议采取主动补丁管理、增强网络监控、员工培训和数据备份策略以应对威胁。