5th域安全微讯早报【20250214】039期

2025-02-14  星期五 Vol-2025-039

1. 英国前网络间谍局长呼吁情报机构提高透明度

2. CISA、FBI敦促制造商采用安全设计实践消除缓冲区溢出漏洞

3. 俄人工智能开发人员最早将于2月获政府数据访问权限

4. 荷兰警方关闭127台受制裁托管服务服务器

5. 意大利记者揭露遭Paragon间谍软件攻击经历

6. 黑客泄露1200万Zacks Investment用户账户数据

7. RedNote应用漏洞暴露用户文件和隐私

8. Nginx/Apache路径混淆导致 PAN-OS 身份验证绕过漏洞

9. KASLR漏洞：macOS Apple Silicon内核强化技术被攻破

10. 威胁者利用DeepSeek的受欢迎程度传播恶意软件

11. 俄罗斯金融诈骗猖獗：2300万受害者、1723座金字塔

12. 俄罗斯47%的关键信息基础设施组织缺乏网络威胁保护

13. 黑客大规模利用ThinkPHP和ownCloud漏洞

14. 黑客利用Palo Alto防火墙漏洞部署勒索软件

15. 网络钓鱼攻击滥用Webflow CDN和CAPTCHA窃取信用卡信息

1. 英国前网络间谍局长呼吁情报机构提高透明度

【The Record网站2月14日报道】英国前政府通信总部（GCHQ）局长杰里米·弗莱明爵士在慕尼黑网络安全会议上呼吁情报机构提高透明度，强调公众理解和信任是机构运作的基础。此前，《华盛顿邮报》报道称，英国政府试图通过法律手段迫使苹果公司提供加密iCloud账户的访问权限，引发争议。英国政府辩称，其要求是合法的访问机制，而非传统意义上的“后门”。然而，隐私团体对此表示反对。弗莱明指出，情报机构有责任解释其行为，而非具体操作方式，并呼吁更频繁地讨论隐私与安全的平衡问题。他强调，随着技术发展，相关讨论的步伐需加快，以适应当前环境的变化。

2. CISA、FBI敦促制造商采用安全设计实践消除缓冲区溢出漏洞

【Industrial Cyber网站2月13日报道】美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）发布联合警报，敦促制造商采用安全设计实践消除缓冲区溢出漏洞。缓冲区溢出漏洞是一种常见的内存安全缺陷，可能导致数据损坏、敏感信息泄露、程序崩溃甚至未经授权的代码执行，常被威胁行为者用于初始网络入侵。CISA和FBI建议制造商通过使用内存安全语言（如Rust、Go等）开发新软件，并逐步将现有代码库迁移至内存安全语言，以减少缓冲区溢出漏洞。此外，制造商应启用编译器保护机制、使用检测工具链（如AddressSanitizer）进行单元测试，并实施对抗性测试（如模糊测试和人工代码审查）以确保代码安全。警报还建议制造商发布内存安全路线图，对过去漏洞进行根本原因分析，并签署“安全设计承诺”以展示其在消除系统性漏洞方面的进展。软件客户应要求制造商提供软件物料清单（SBOM）和安全开发证明，并在采购过程中纳入安全要求。

3. 俄人工智能开发人员最早将于2月获政府数据访问权限

【SecurityLab网站2月13日报道】俄罗斯副总理德米特里·格里戈连科办公室证实，从2025年2月起，政府机构、企业和人工智能开发人员将能够免费访问用于训练和测试AI算法的标记政府数据集。这些数据集不包含个人数据或受法律保护的机密信息，主要涵盖无人机和卫星获取的照片和视频数据，适用于城市管理、交通、生态和农业等领域。数据标记工作在国家数据管理系统统一信息平台（FGIS“UIP NSUD”）框架下进行，目前已创建50套数据集。数字发展部将负责数据传输，并与地方政府和机构签订协议，推动AI技术的实际应用。秋明州和利佩茨克州已提出数据访问请求，计划用于智能交通系统和图像识别算法的开发。此举旨在加速AI领域的进口替代进程，提高模型质量，并降低数据泄露风险，助力俄罗斯企业在与西方IT公司的竞争中占据优势。

4. 荷兰警方关闭127台受制裁托管服务服务器

【The Record网站2月14日报道】荷兰警方本周查获了127台由Zservers使用的服务器。Zservers是一家防弹托管服务公司，因涉嫌支持网络犯罪活动于周二受到国际制裁。荷兰警方表示，此次突袭行动是在对Zservers/XHost进行长期数字调查后实施的。美国、英国和澳大利亚的制裁将Zservers与LockBit勒索软件行动及Conti网络犯罪团伙联系起来。调查还发现，这些服务器涉及僵尸网络等恶意软件活动。Zservers因宣传允许客户实施犯罪行为并提供匿名服务而受到关注。目前尚未逮捕任何人，荷兰警方将与检察机关合作进一步分析服务器数据。美国制裁公告点名了两名俄罗斯国民为Zservers管理员，英国则对另外四名员工及一家幌子公司实施了制裁。

5. 意大利记者揭露遭Paragon间谍软件攻击经历

【The Record网站2月14日报道】意大利记者弗朗西斯科·坎塞拉托（Francesco Cancellato）近日公开了自己成为Paragon Solutions间谍软件攻击目标的经历。坎塞拉托是意大利报纸Fanpage的主编，因对政府持批评态度而成为受害者之一。上个月底，WhatsApp宣布有90人通过其平台成为Paragon间谍软件的目标，坎塞拉托是其中四位公开身份的受害者之一。他在接受《Recorded Future News》采访时表示，尽管不确定意大利总理乔治亚·梅洛尼的政府是否直接参与，但Paragon已终止与意大利的合同。坎塞拉托认为，间谍软件在打击恐怖主义和犯罪方面有效，但对民间社会成员的监视行为感到担忧，并警告这可能只是间谍软件滥用的开始。坎塞拉托通过Meta和WhatsApp的通知得知自己的手机被入侵，随后更换了设备。尽管坎塞拉托确信攻击来自意大利，但他无法确定是否与自己的调查直接相关。他表示，如果发现政府参与监视记者，这将是对民主制度的严重威胁。目前，意大利政府尚未与他联系，但一名执政党成员在媒体上表达了“声援”，同时暗示监视是对其调查的“报复”。

6. 黑客泄露1200万Zacks Investment用户账户数据

【Bleeping Computer网站2月13日报道】美国投资研究公司Zacks Investment Research（Zacks）遭遇数据泄露，约1200万用户的敏感信息被泄露。泄露的数据包括全名、用户名、电子邮件地址、实际地址、电话号码以及以无盐SHA-256哈希形式存储的口令。1月底，一名威胁行为者在黑客论坛BreachForums上发布了数据样本，并声称通过域管理员权限访问了Zacks的活动目录，窃取了主网站和其他16个网站的源代码。BleepingComputer多次联系Zacks，但未收到回应。泄露的数据库已被添加到Have I Been Pwned（HIBP）网站，用户可查询其信息是否被泄露。HIBP确认该数据库包含1200万条记录，但其中93%的电子邮件地址已在过去的数据泄露中出现过。如果此次泄露属实，这将是Zacks在过去四年内第三次重大数据泄露事件。此前，Zacks曾在2023年1月披露2021年11月至2022年8月期间的数据泄露，影响82万客户；2023年6月，HIBP验证了另一个包含880万用户数据的泄露数据库，可能源于2020年的事件。

10. 威胁者利用DeepSeek的受欢迎程度传播恶意软件

【Cybersecurity News网站2月13日报道】中国人工智能初创公司DeepSeek因其开源推理模型DeepSeek-R1的发布而受到全球关注，但也吸引了恶意行为者利用其知名度进行网络钓鱼和恶意软件传播活动。自2025年1月20日DeepSeek-R1发布后，其搜索量在Google趋势上激增，并于1月28日达到峰值。然而，网络攻击者迅速创建了模仿DeepSeek官方网站的钓鱼网站，通过站点代理技术嵌入恶意软件下载链接。这些恶意软件主要针对金融应用程序“Corper”，并被多个防病毒程序检测到。截至2025年2月3日，VirusTotal分析显示，24个防病毒程序将从钓鱼网站下载的应用程序标记为恶意软件。CriminalIP专家指出，钓鱼网站通常使用新注册的域名，并通过表单事件检测和电子邮件域名不匹配等方式伪装成合法网站。CriminalIP AI对钓鱼网站的严重风险评分为99.0%，并建议用户使用域名搜索工具验证网站安全性，避免在未经验证的平台上输入敏感信息。

11. 俄罗斯金融诈骗猖獗：2300万受害者、1723座金字塔

【SecurityLab网站2月13日报道】俄罗斯央行数据显示，2024年上半年共发现3495个涉嫌非法金融活动的实体，同比增长43%。其中，1723个实体被认定为金融金字塔，同比增长51%。这些金字塔项目多通过互联网运作，伪装成经济游戏或利用加密货币吸引投资者。此外，1021个非法放贷者中，58%完全依赖线上运营，利用社交媒体和广告平台推广业务。724个证券市场违规主体则因外国资产和货币交易制裁限制而激增。2024年上半年，俄罗斯当局立案290多起行政案件，封禁8000多个互联网资源，涉及2300多万受害者。

12. 俄罗斯47%的关键信息基础设施组织缺乏网络威胁保护

【SecurityLab网站2月13日报道】俄罗斯联邦技术出口管制局（FSTEC）副主任维塔利·柳季科夫在2025年结核病论坛上表示，47%的关键信息基础设施（CII）组织处于网络威胁保护的危急状态，40%的组织防护水平较低，仅13%达到基本防护标准。FSTEC在100个政府信息系统中发现1200个漏洞，其中大多数为高危险和严重危险级别。许多漏洞已存在多年，为攻击者提供了可乘之机。专家指出，尽管完全消除漏洞不现实，但应优先修补最易被利用的漏洞。此外，政府信息系统缺乏明确的漏洞管理流程，IT基础设施外围漏洞和双因素认证缺失是常见问题。尽管俄罗斯金融部门的外部漏洞有所改善，但DDoS攻击数量激增仍是主要挑战，导致用户访问困难。

13. 黑客大规模利用ThinkPHP和ownCloud漏洞

【Cybersecurity News网站2月13日报道】近期针对ThinkPHP中的CVE-2022-47945和ownCloud中的CVE-2023-49103漏洞的利用活动激增，凸显了未修补系统的持续威胁。CVE-2022-47945是ThinkPHP 6.0.14之前版本中的本地文件包含（LFI）漏洞，允许未经身份验证的攻击者执行任意操作系统命令。GreyNoise观察到572个唯一IP试图利用此漏洞，过去10天内活动显著增加。尽管该漏洞严重，但未被列入CISA的已知被利用漏洞目录，且EPSS评分仅为7%。CVE-2023-49103影响ownCloud/graphapi 0.2.x至0.2.1及0.3.1至0.3.x版本，导致敏感PHP环境信息泄露。自2023年11月披露以来，已有484个唯一IP针对此漏洞进行攻击。CISA、NSA和FBI将其列为2023年最易被利用的漏洞之一。为应对这些威胁，建议组织升级ThinkPHP至6.0.14或更高版本，更新ownCloud GraphAPI至0.3.1或更高版本，并利用GreyNoise等平台识别攻击者IP。此外，ownCloud用户应删除易受攻击的文件并更改敏感凭据。

14. 黑客利用Palo Alto防火墙漏洞部署勒索软件

【Cybersecurity News网站2月13日报道】黑客利用Palo Alto Networks的PAN-OS防火墙软件漏洞（CVE-2024-0012），成功部署了RA World勒索软件。此次攻击发生在2024年底，目标是一家南亚中型软件公司，展现了间谍工具与勒索软件结合的新趋势。漏洞CVE-2024-0012是一个身份验证绕过缺陷，攻击者可借此获得防火墙管理界面的管理员权限，并以root权限执行任意命令。攻击者利用该漏洞入侵目标网络，窃取了Amazon S3云凭据，并从Veeam服务器中获取数据，随后使用RA World勒索软件加密系统，索要200万美元赎金。此次攻击还涉及间谍工具，攻击者通过侧载技术部署了与PlugX相关的恶意DLL，该工具与中国间谍组织有关。这一事件凸显了国家支持的网络行为者将勒索软件用于经济利益或混合行动的趋势。为应对此类威胁，Palo Alto Networks已发布固件更新和威胁防护签名，建议相关组织立即应用更新，限制管理接口暴露，并使用威胁检测工具识别可疑行为。网络安全团队需保持警惕，防范日益复杂的混合威胁。

15. 网络钓鱼攻击滥用Webflow CDN和CAPTCHA窃取信用卡信息

【Cybersecurity News网站2月13日报道】Netskope威胁实验室发现了一种新的网络钓鱼攻击，攻击者利用Webflow的内容交付网络（CDN）和伪造的CAPTCHA来窃取用户的敏感财务信息。此次攻击自2024年下半年开始，主要针对在搜索引擎中查找文档的用户，通过操纵搜索引擎优化（SEO），将恶意PDF文件置于搜索结果中。这些PDF文件中嵌入了虚假的CAPTCHA图像和网络钓鱼链接，诱骗用户点击。为了增加可信度，钓鱼网站会将用户重定向到真实的Cloudflare Turnstile CAPTCHA，随后引导用户到欺诈性文档访问页面，要求用户提供电子邮件、全名和信用卡信息。此次攻击主要影响北美、亚洲和南欧的科技、制造业和银行业。Netskope已于2025年1月23日向Webflow报告了相关恶意URL。安全专家建议用户在通过搜索引擎访问文档时保持警惕，谨慎提供敏感信息。