5th域安全微讯早报【20250227】050期

2025-02-27  星期四 Vol-2025-050

1. 美国众议院国土安全委员会就网络安全劳动力法案产生党派分歧

2. 众议院民主党要求特朗普政府停止“疏忽网络安全行为”

3. MITRE推出OCCULT框架以评估AI网络安全风险

4. 克利夫兰市法院因网络事件连续关闭三天

5. Cellebrite因塞尔维亚滥用手机破解软件切断与该国联系

6. 罗马尼亚警方讯问亲俄总统候选人，调查俄罗斯干预选举

7. 澳大利亚IVF提供商Genea证实患者医疗数据遭黑客窃取并泄露

8. 威胁行为者在黑客论坛上出售VMware ESXi零日漏洞

9. GRUB2漏洞使数百万Linux系统面临网络攻击风险

10. Rsync漏洞让黑客完全控制服务器– PoC发布

11. 2850多台Ivanti Connect安全设备易受远程代码执行攻击

12. CISA警告Microsoft合作伙伴中心访问控制漏洞遭野外利用

13. 安装量达900万的VSCode扩展因安全风险被撤下

14. Truesight.sys：流行反Rootkit工具被网络犯罪分子滥用

15. 新型勒索软件Anubis可能对组织构成重大威胁

1. 美国众议院国土安全委员会就网络安全劳动力法案产生党派分歧

【Cyberscoop网站2月26日消息】美国众议院国土安全委员会就一项旨在加强网络安全劳动力的法案《PIVOTT法案》进行投票，引发党派分歧。该法案由共和党籍委员会主席马克·格林（Mark Green）提出，计划通过为技术学校和社区学院学生提供奖学金，换取其在联邦、州、地方或部落政府网络安全岗位服务两年。尽管该法案在2024年获得委员会一致支持，但此次投票中，民主党人几乎全体反对，仅一名民主党议员支持。民主党反对的主要原因是特朗普政府近期削减联邦网络安全岗位并冻结相关拨款项目。委员会首席民主党议员本尼·汤普森（Bennie Thompson）批评称，法案在政府裁员和冻结招聘的背景下形同“诱饵骗局”，可能误导学生以为毕业后会有联邦网络安全岗位等待他们。此外，特朗普政府已削减网络安全和基础设施安全局（CISA）130个职位，并可能进一步裁员，加剧了民主党的担忧。最终，法案以接近党派划线的投票结果通过，而汤普森提出的两项旨在获取特朗普政府行动信息的决议则被共和党否决。

2. 众议院民主党要求特朗普政府停止“疏忽网络安全行为”

【The Record网站2月26日消息】众议院民主党议员致信特朗普总统，要求其政府停止由埃隆·马斯克领导的政府效率部（DOGE）小组的“疏忽网络安全行为”。议员们警告称，DOGE的活动已导致严重的网络安全漏洞，使政府网络面临攻击风险，并可能泄露敏感信息。信中引用了DOGE访问人事管理办公室、财政部及能源部核计划敏感系统的报道，称其行为为敌对行为者获取敏感信息创造了机会。自特朗普上任以来，DOGE员工已访问了近20个联邦实体，包括网络安全和基础设施安全局（CISA），并关闭了部分程序甚至整个机构，引发了一系列诉讼和网络安全担忧。众议院监督委员会民主党高层Gerry Connolly批评称，DOGE的鲁莽行为破坏了政府网络安全进展，使多个机构易受外国代理和恶意行为者攻击。议员们要求DOGE领导层在3月11日前提供材料和简报，以评估网络安全和隐私侵犯的严重程度。

3. MITRE推出OCCULT框架以评估AI网络安全风险

【CybersecurityNews网站2月26日消息】MITRE公司推出名为OCCULT（人工智能网络安全风险操作评估框架）的新框架，旨在量化大型语言模型（LLM）在进攻性网络行动（OCO）中的风险。该框架通过标准化测试评估AI系统在网络攻击中的能力，解决LLM可能使复杂黑客技术民主化的担忧。OCCULT采用三维评估理念：OCO能力领域：测试与MITRE ATT&CK®策略一致的能力，如横向移动和权限提升。LLM用例：评估模型作为知识助手、协同编排代理或自主操作员的表现。推理能力：衡量规划、环境感知和任务概括等能力。MITRE通过三个基准验证OCCULT的严谨性：TACTL基准：评估LLM对44种ATT&CK技术的知识，DeepSeek-R1模型实现100%准确率。动态环境测试：模拟复杂网络环境，测试LLM在多步骤攻击中的表现。高保真网络仿真：测试LLM在自主决策中的表现，发现模型行为“嘈杂”，触发警报比人类多3-5倍。研究发现，DeepSeek-R1展示了强大的OCO能力，但推理时间较长；开源模型在多步骤规划中表现不足；GPT-4o在速度和准确性上表现平衡，适合作为红队辅助工具。MITRE计划在2025年开源OCCULT测试用例，并扩展至云、物联网和零日漏洞利用场景。该框架旨在为政策制定者和防御者提供主动缓解AI网络威胁的工具。

4. 克利夫兰市法院因网络事件连续关闭三天

【The Record网站2月27日消息】克利夫兰市法院因网络安全事件连续第三天关闭。自本周一以来，法院在其Facebook页面上发布声明称，尚未确认事件的性质和范围，所有内部系统和软件平台将保持关闭，直至另行通知。法院表示，作为预防措施，受影响系统已关闭，重点是确保服务安全并恢复。马里兰州安妮阿伦德尔县的市政办公室也因网络攻击于周一关闭，尽管周二重新开放，但仍采取预防措施。此外，1月11日，麒麟勒索软件组织声称对康涅狄格州西黑文市发动攻击，导致该市IT系统关闭。俄亥俄州哥伦布市去年7月也曾遭遇勒索软件攻击，导致50多万居民信息泄露。网络攻击对美国市政府的运作和预算造成持续压力。

5. Cellebrite因塞尔维亚滥用手机破解软件切断与该国联系

【The Record网站2月27日消息】以色列公司Cellebrite宣布将不再允许塞尔维亚使用其手机破解软件。该软件被全球执法部门用于解锁手机，但国际特赦组织2024年12月报告指控塞尔维亚当局滥用该技术秘密侵入平民手机并安装间谍软件，目标包括民间社会成员。Cellebrite在声明中表示，公司定期评估软件销售对象国政府，并根据国际特赦组织的调查结果决定终止与塞尔维亚的合作。公司强调，其技术旨在加速正义和保护社区，使用必须符合道德和法律标准。Cellebrite还表示，在与政府合作前会审查其人权记录，并支持言论自由和新闻自由的民主理想。塞尔维亚近年来以镇压异见人士、记者和示威者闻名，自由之家报告指出该国专制主义日益盛行。国际特赦组织报告显示，塞尔维亚环保活动家和记者斯拉维沙·米拉诺夫成为手机入侵受害者。2024年2月，米拉诺夫被警方拘留后，手机被植入Cellebrite产品和塞尔维亚制造的间谍软件。国际特赦组织呼吁Cellebrite改进尽职调查流程，防止其技术被用于侵犯人权，并建议停止向塞尔维亚出口监控技术，直至该国建立有效的独立监督系统。

6. 罗马尼亚警方讯问亲俄总统候选人，调查俄罗斯干预选举

【The Record网站2月26日消息】罗马尼亚检察官于2月26日拘留并讯问了极右翼总统候选人卡林·乔治斯库（Călin Georgescu），这是在俄罗斯被指控干预罗马尼亚总统选举后采取的行动。检察官办公室宣布，刑事调查部门进行了47次搜查，涉及27名个人和4个场所，罪名包括违反宪法秩序、选举融资、支持法西斯和反犹太组织以及武器和烟火制品等。目前尚不清楚乔治斯库是被逮捕还是自愿接受讯问，尽管有报道称他收到了逮捕令，但他尚未被正式列为嫌疑人。乔治斯库仍是罗马尼亚最受欢迎的候选人之一，但尚不清楚他是否会被允许再次参选。调查特别关注了他的保镖公司经营者霍拉茨乌·波特拉（Horațiu Potra）及其伴侣，他们被认为与莫斯科高层有联系。去年12月，罗马尼亚宪法法院因解密情报显示俄罗斯干预影响了选举结果，宣布第一轮总统选举无效，并决定重新进行整个选举过程。这一决定引发了反对党的批评，他们认为这是现任主要政党试图继续掌权。乔治斯库在Facebook上指责检察官办公室试图“捏造证据”，并称此次调查是“共产主义布尔什维克制度的滥用职权行为”。

7. 澳大利亚IVF提供商Genea证实患者医疗数据遭黑客窃取并泄露

【The Record网站2月27日消息】澳大利亚最大生育服务提供商Genea证实，其系统在近期网络攻击中被窃取的患者数据已被黑客发布。攻击者访问了患者管理系统，获取了包括个人信息、健康保险详情、病史及诊断记录等敏感数据。勒索软件团伙Termite声称对此次攻击负责，称窃取了约700GB的患者数据，并在暗网泄露了身份证明文件和病人记录截图。Termite此前曾攻击多国政府机构和行业公司，其工具被认为是Babuk勒索软件的修改版本。Genea两周前检测到网络异常，随后多家诊所电话和应用程序中断。公司表示已聘请专家调查，并确认财务信息未受影响。数据泄露后，Genea获得法院命令，禁止威胁行为者传播受损数据。尽管Genea承诺向患者通报进展，但部分患者对公司沟通不足表示不满，称难以联系到公司进行紧急咨询，甚至有人因沟通延迟未能完成生育测试。Genea已向患者发布信件解释事件情况，并建议采取措施保护数据安全。

11. 2850多台Ivanti Connect安全设备易受远程代码执行攻击

【Cybersecurity News网站2月26日消息】Ivanti Connect Secure（ICS）设备中存在一个严重漏洞（CVE-2025-22467），导致全球约2850个实例未修补，面临远程代码执行（RCE）攻击风险。该漏洞的CVSS评分为9.9，属于基于堆栈的缓冲区溢出漏洞，影响22.7R2.6之前的ICS版本。Shadowserver Foundation的扫描显示，美国（852台设备）和日本（384台设备）是受影响最严重的地区，中国、加拿大、澳大利亚和印度也有大量设备暴露。该漏洞源于对用户输入的不当处理，允许经过身份验证的攻击者远程执行任意代码，可能导致系统完全被攻陷，危及敏感数据和关键操作。尽管尚未发现主动攻击，但由于漏洞严重性，滥用的可能性极高。Ivanti已发布针对ICS 22.7R2.6版本的补丁，并敦促管理员立即更新系统、监控入侵迹象，并实施严格的访问控制和网络分段。此次事件凸显了补丁管理的滞后性，使组织面临间谍活动和勒索软件攻击的风险。

12. CISA警告Microsoft合作伙伴中心访问控制漏洞遭野外利用

【Cybersecurity News网站2月26日消息】美国网络安全和基础设施安全局（CISA）发布紧急公告，确认威胁行为者正在积极利用Microsoft合作伙伴中心平台中的一个严重权限提升漏洞（CVE-2024-49035）。该漏洞允许未经身份验证的攻击者获得提升的网络权限，被添加到CISA的已知利用漏洞（KEV）目录中。微软最初于2024年11月披露该漏洞，CVSS评分为8.7，后被国家漏洞数据库评为9.8分，因其攻击复杂度低且对机密性和完整性影响大。漏洞源于Microsoft合作伙伴中心门户中的不当权限管理，攻击者无需身份验证即可利用该漏洞提升权限，访问敏感数据、部署恶意负载或在网络中横向移动。微软已自动向Power Apps在线服务推出补丁，但CISA要求联邦民事行政部门机构在2025年3月18日前应用更新，并敦促私营部门效仿。建议措施包括实施网络分段、审核访问控制和采用零信任原则。该漏洞凸显了企业平台中的持续风险，影响中央合作伙伴生态系统，可能加剧供应链危害。

13. 安装量达900万的VSCode扩展因安全风险被撤下

【BleepingComputer网站2月26日消息】微软从Visual Studio Marketplace中删除了两个流行的VSCode扩展——“Material Theme – Free”和“Material Theme Icons – Free”，原因是它们被发现包含恶意代码。这两个扩展的总下载量接近900万次，用户已在VSCode中收到扩展被自动禁用的警报。网络安全研究人员Amit Assaraf和Itay Kruk在扩展中发现了可疑代码，并向微软报告。微软随后确认了恶意行为，并禁止了开发者Mattia Astorino（又名equinusocio）的账户，删除了其所有扩展。研究人员认为，恶意代码可能是通过依赖项引入的供应链攻击，或是开发者账户被入侵的结果。扩展中的“release-notes.js”文件包含严重混淆的JavaScript代码，这在开源软件中被视为危险信号。部分反混淆代码显示了对用户名和密码的引用，但具体用途尚不明确。开发者Astorino回应称，问题源于过时的Sanity.io依赖项，并表示微软未与其沟通就直接删除了扩展，导致数百万用户受到影响。

14. Truesight.sys：流行反Rootkit工具被网络犯罪分子滥用

【SecurityLab网站2月26日消息】网络犯罪分子正在利用Adlice安全产品的易受攻击Windows驱动程序（Truesight.sys 2.0.2版）绕过安全机制并传播Gh0st RAT恶意软件。攻击者通过修改驱动程序的可执行文件部分内容，保留其数字签名，从而绕过检测方法。Check Point数据显示，已有超过2,500个恶意样本利用该驱动程序，实际数量可能更高。该驱动程序漏洞允许任意进程终止，影响3.4.0以下的所有版本，曾被Darkside和TrueSightKiller漏洞利用。攻击者通过虚假网站和通讯工具传播恶意软件，主要受害者集中在中国、新加坡和台湾。微软已于2024年12月将该驱动程序加入阻止列表，但攻击者通过修改文件结构仍可绕过保护机制。

15. 新型勒索软件Anubis可能对组织构成重大威胁

【SecurityWeek网站2月26日消息】威胁情报公司Kela警告称，新型勒索软件组织Anubis以勒索软件即服务（RaaS）模式运营，为附属机构提供多种选择。该组织于2024年底出现，但其成员被认为在勒索软件领域经验丰富。Anubis采用双重勒索策略，提供三种服务：Anubis Ransomware：针对Windows、Linux、NAS和ESXi环境的勒索软件，附属机构可获得80%赎金。Anubis Data Ransom：针对被盗数据的货币化服务，附属机构分得60%收入。Access Monetization：为访问经纪人提供50%后续收入，目标需位于美国、欧洲、加拿大或澳大利亚。Anubis已在其博客中列出三名受害者，其中两名是医疗机构。Kela指出，Anubis可能专注于数据勒索而非传统文件加密，表明数据泄露勒索趋势正在上升。尽管尚未分析其代码，但其专业素养表明Anubis可能在2025年对组织构成重大威胁。