5th域安全微讯早报【20250222】046期

2025-02-22  星期六 Vol-2025-046

1. 五角大楼加速“网络司令部2.0”审查，要求列出权限愿望清单

2. DISA：国防部将在财年末实现所有军种的联合ICAM连接

3. 美国成立特别工作组管控人工智能和加密货币

4. Bybit交易所遭黑客攻击，损失14亿美元加密货币

5. 波兰反腐高官因间谍软件调查辞职

6. 乌克兰黑客声称入侵与普京前妻有关的俄罗斯贷款公司

7. Sitevision自动生成密码漏洞导致签名密钥泄露

8. CISA发布7条ICS公告，详细说明漏洞和利用情况

9. 德国大选或成俄罗斯虚假信息攻击目标，安全部门发出警告

10. CL0P勒索软件大规模攻击电信和医疗保健行业

11. Eclipse DLL攻击导致JAVA程序员银行账户被盗

1. 五角大楼加速“网络司令部2.0”审查，要求列出权限愿望清单

【The Record网站2月21日报道】美国国防部长皮特·赫格塞斯（Pete Hegseth）支持拜登政府改组美国网络司令部的计划，并要求该司令部在45天内提交具体实施细节，这一时间表比原定的180天大幅缩短。此举旨在应对中国日益增长的网络威胁，并推动网络司令部向更具对抗性的方向转型。“网络司令部2.0”计划于去年年底获得批准，重点包括建立网络战创新中心、扩大网络训练规模、优化部队生成模型以及加强人才管理。然而，缩短的时间表可能使网络司令部难以与各军种就人力和资金分配达成一致。此外，网络司令部还被要求提交一份权限愿望清单，以提升其行动效率。分析人士指出，这一改革可能推动网络司令部从“持续交战”战略转向“战役”模式，通过一系列相互关联的行动实现战略目标。尽管面临时间压力，网络司令部仍希望借此机会完善其权力框架，以更灵活地应对快速变化的网络威胁。

2. DISA：国防部将在财年末实现所有军种的联合ICAM连接

【Breaking Defense网站2月21日报道】美国国防信息系统局（DISA）计划在本财年结束前，在所有军种的非机密网络上实现联合身份、凭证和访问管理（ICAM）连接。ICAM是国防部零信任战略的核心组成部分，旨在通过持续验证确保用户访问权限的安全性。DISA的PEO Cyber项目执行官Brian Hermann表示，联合ICAM允许不同组织共享身份验证流程，从而实现跨平台数据访问。DISA已与陆军合作，预计陆军的ICAM联合解决方案将在3月底完成，随后是海军和空军，分别在未来三个月内完成。Hermann强调，联合ICAM是实现与盟友和合作伙伴信息共享的关键。DISA计划在完成军种内部联合后，进一步与国防人力数据中心及其他部门合作，并加快与国际盟友的联合进程。此前，DISA已与加拿大成功试行联合ICAM连接。

3. 美国成立特别工作组管控人工智能和加密货币

【SecurityLab网站2月21日报道】美国证券交易委员会（SEC）宣布成立网络和新兴技术部门（CETU），以应对数字资产领域的欺诈行为并保护散户投资者。该部门由劳拉·达莱尔德（Laura D'Allaird）领导，将取代现有的加密资产和网络安全部门，专注于利用人工智能和机器学习进行欺诈、社交媒体操纵、黑客攻击及加密资产滥用等关键领域。CETU将与加密货币工作组合作，监控网络安全标准的遵守情况，并发现上市公司欺诈性披露。SEC表示，新部门的成立将更有效地分配资源，加强投资者保护，并防止金融科技市场中的滥用行为。

4. Bybit交易所遭黑客攻击，损失14亿美元加密货币

【The Record网站2月22日报道】加密货币交易所Bybit于周五遭遇黑客攻击，损失了价值超过14亿美元的以太币（ETH）。这是有史以来针对加密货币平台的最大规模盗窃案之一。Bybit首席执行官Ben Zhou在直播中证实，共有401,000枚ETH被盗，但其他钱包未受影响。黑客通过操纵签名界面，掩盖了正确的地址并更改了底层智能合约逻辑，从而成功窃取资金。Bybit推测，攻击可能与钱包提供商Safe的服务器被入侵有关，但Safe否认其前端被攻破。Bybit已获得过桥贷款以弥补80%的损失，并承诺维持正常运营。此次事件再次凸显了加密货币领域的安全风险，此前Ronin Network和Poly Network也曾因黑客攻击损失巨额资金。朝鲜的Lazarus Group被认为是此类攻击的主要幕后黑手之一。

5. 波兰反腐高官因间谍软件调查辞职

【The Record网站2月22日报道】波兰中央反腐败局（CBA）局长阿格涅什卡·克维亚特科夫斯卡-古尔达克（Agnieszka Kwiatkowska-Gurdak）因涉嫌隐瞒信息，于周四迫于压力辞职。此前，她在负责调查间谍软件滥用的委员会作证时表示，出于保密和保护刑事调查的需要，无法分享相关信息。调查委员会副主席马尔钦·博萨茨基（Marcin Bosacki）批评她“过分宽泛地解释了她不向委员会告知信息的权利”。波兰司法部此前披露，2017年至2022年间，近600人成为Pegasus间谍软件的攻击目标，其中许多人是前执政党的反对者。自2023年12月执政以来，现任总理唐纳德·图斯克（Donald Tusk）政府一直在积极调查间谍软件滥用事件。上个月，波兰前司法部长因涉嫌批准使用政府资金购买间谍软件被捕。此次事件凸显了波兰政府对前政府滥用间谍软件行为的追责决心。

6. 乌克兰黑客声称入侵与普京前妻有关的俄罗斯贷款公司

【The Record网站2月21日报道】亲乌克兰的黑客组织“网络联盟”声称对俄罗斯小额信贷公司CarMoney的网络攻击负责。CarMoney是俄罗斯最大的小额信贷公司之一，与总统弗拉基米尔·普京的前妻柳德米拉·奥切列特纳亚有联系。CarMoney本周早些时候证实遭遇网络攻击，攻击者向客户发送垃圾邮件，声称公司将关闭业务并注销所有债务，迫使公司关闭所有系统。黑客声称，此次攻击摧毁了CarMoney的基础设施并泄露了“数TB的数据”，其中包括俄罗斯军事人员和情报人员的借款人信息。尽管CarMoney否认个人数据泄露，但客户报告称支付服务和账户访问持续中断。乌克兰网络联盟自2016年成立以来，一直针对俄罗斯实体进行网络攻击。此前，该组织曾攻击俄罗斯互联网提供商Nodex和特维尔市停车执法系统，并声称入侵了俄罗斯国家信用卡支付系统。

9. 德国大选或成俄罗斯虚假信息攻击目标，安全部门发出警告

【The Record网站2月21日报道】德国安全部门警告称，俄罗斯可能通过虚假信息干预即将举行的德国联邦选举。内政部发言人表示，社交媒体上流传的关于选票操纵的虚假视频是俄罗斯信息行动的一部分，这些视频被认定为俄罗斯组织Storm-1516的活动。这些虚假视频旨在煽动极右翼政党德国选择党（AfD）支持者的不满，内容显示选票上缺少AfD选项或支持AfD的选票被销毁。萨克森州刑警队已对此展开调查。此前，德国联邦宪法保卫局曾警告，俄罗斯数月来一直试图影响德国大选，主要目的是推动对AfD的支持。美国副总统JD Vance在慕尼黑安全会议上批评了欧洲对俄罗斯干预的过度反应，称其为“情报机构的脆弱怀疑”。然而，德国政府报告显示，俄罗斯的干预不仅限于在线广告，还包括使用虚假账户扩大对AfD的支持。这一警告凸显了俄罗斯在信息战中的持续威胁，类似干预行为曾在2016年美国大选期间出现。

10. CL0P勒索软件大规模攻击电信和医疗保健行业

【Cybersecurity News网站2月21日报道】CL0P勒索软件组织近期加大了对电信和医疗保健行业的攻击力度，利用Cleo集成软件中的零日漏洞（CVE-2024-50623）入侵了80多个组织。该组织通过窃取敏感数据并部署加密负载，显著升级了其攻击策略。CL0P利用自动漏洞利用脚本与手动横向移动相结合，针对未修补的面向互联网系统，并通过终止备份进程和删除影子卷防止数据恢复。其最新攻击链包括通过Cleo漏洞建立初始立足点、凭证收集、数据泄露以及部署文件加密二进制文件。加密文件现带有.Cl0p_2025扩展名，并通过Tor托管的聊天门户进行赎金谈判。超过22TB的被盗数据已在点对点网络上泄露，包括患者治疗记录、5G网络拓扑图和医疗设备固件。CISA建议立即修补Cleo软件至5.8.0.21版本，并监控相关命令和控制域流量。