5th域安全微讯早报【20250315】064期

2025-03-15  星期六 Vol-2025-064

1. 马斯克以总统特别顾问身份访问NSA，推动机构改革

2. 特朗普推动加密货币战略储备引发市场操纵质疑

3. 勒索软件攻击致密克罗尼西亚卫生系统瘫痪

4. 美国指控LockBit勒索软件组织开发者并引渡至美受审

5. 研究人员成功破解Akira勒索软件Linux/ESXi变种加密

6. 思科警告IOS XR软件漏洞或致网络拒绝服务

7. 严重ruby-saml漏洞致身份验证绕过，攻击者可接管账户

8. 微软警告网络钓鱼活动冒充Booking.com传播恶意软件

9. 俄罗斯假约会骗局猖獗，四犯罪团伙骗取980万美元

10. 新型勒索软件组织Mora_001利用Fortinet漏洞部署SuperBlack勒索软件

1. 马斯克以总统特别顾问身份访问NSA，推动机构改革

【SecurityLab网站3月14日报道】埃隆·马斯克以总统特别顾问身份首次访问美国国家安全局（NSA），与该机构负责人何志平将军会面，讨论裁员和运营改革问题。作为政府效能办公室（DOGE）负责人，马斯克在联邦政府缩减规模的举措中扮演关键角色，此次访问正值联邦机构提交重组计划的最后期限，凸显其对情报机构改革的积极参与。尽管讨论细节未公开，但此次访问引发了广泛反应。支持者认为马斯克的参与可能提升NSA效率，而批评者则担忧裁员和重组可能影响国家安全和机构稳定。马斯克的访问进一步表明其在联邦政府中的影响力，未来改革的具体影响仍有待观察。

2. 特朗普推动加密货币战略储备引发市场操纵质疑

【SecurityLab网站3月14日报道】唐纳德·特朗普近期关于建立加密货币战略储备的声明引发金融市场震动。尽管特朗普曾对数字资产持怀疑态度，但他现在宣称加密货币是美国金融体系的未来，并推出TRUMP和TRUMP和MELANIA模因币。然而，加密货币市场的去中心化原则并未消除操纵和投机风险。研究表明，少数开发者和大型投资者掌握关键决策权，可能导致市场操纵。例如，$LIBRA代币曾因开发者和影响者人为制造兴奋感后抛售资产而价格暴跌。特朗普的声明推动加密货币市场飙升，但也引发内幕交易和操纵的质疑，专家呼吁国会调查。投资建议包括深入研究项目经济模型、分析开发者背景并评估风险水平，以区分有前景的技术与投机资产。

3. 勒索软件攻击致密克罗尼西亚卫生系统瘫痪

【The Record网站3月14日报道】太平洋国家密克罗尼西亚的雅浦州卫生服务部近日遭受勒索软件攻击，导致其所有计算机系统被迫下线。此次攻击发生于3月11日，迫使该部门关闭整个网络以防止进一步损害，并中断了电子邮件通信和数字医疗系统的运行。雅浦州卫生部门正与私人IT承包商及其他政府机构合作，努力恢复服务并评估数据泄露程度。密克罗尼西亚由四个州组成，总人口超过10万，分布在600多个岛屿上。此次攻击是近期太平洋地区一系列勒索软件事件的最新一例，此前帕劳、关岛等地也遭受类似攻击。目前尚无黑客组织宣称对此次事件负责。勒索软件攻击持续威胁全球政府机构，尤其是资源有限的小型政府，凸显了加强网络安全防护的紧迫性。

4. 美国指控LockBit勒索软件组织开发者并引渡至美受审

【CybersecurityNews网站3月14日报道】51岁的俄罗斯-以色列双重国籍男子罗斯季斯拉夫·帕内夫因涉嫌担任LockBit勒索软件组织的开发者被引渡至美国受审。帕内夫于3月13日被移交美国，此前他于2024年8月在以色列被捕。美国联邦检察官指控帕内夫自2019年起参与LockBit勒索软件的开发，该组织在全球120个国家攻击了超过2,500名受害者，包括美国的1,800个目标，涉及医院、学校、关键基础设施和政府机构。调查人员在帕内夫的计算机中发现LockBit构建器源代码、控制面板凭证及数据泄露工具StealBit的证据。帕内夫承认开发了禁用Windows Defender的代码、利用Active Directory部署恶意软件的程序，以及将勒索信打印到受害者网络打印机的功能。财务记录显示，帕内夫从LockBit主要管理员Dmitry Khoroshev处获得超过23万美元的加密货币报酬。美国国务院悬赏1,000万美元以抓捕Khoroshev。此案标志着网络犯罪起诉范围的扩大，开发人员与攻击者同样面临法律追责，为全球勒索软件受害者提供了部分正义。

5. 研究人员成功破解Akira勒索软件Linux/ESXi变种加密

【CybersecurityNews网站3月14日报道】网络安全研究人员Yohanes Nugroho成功破解了Akira勒索软件Linux/ESXi变种的加密机制，使受害者无需支付赎金即可恢复数据。该勒索软件利用纳秒级时间戳作为加密种子，研究人员通过逆向工程发现其使用Yarrow256随机数生成器和KCipher2、Chacha8加密算法生成密钥。为破解加密，研究人员开发了基于CUDA的GPU加速暴力破解工具，在RTX 3090 GPU上实现每秒15亿次加密尝试，RTX 4090性能更优。测试显示，使用16个GPU可在10小时内完成解密。解密过程需要原始文件时间戳、已知明文/密文对及充足的计算资源。研究人员已在GitHub上公开源代码和方法，为2023年底以来受影响的组织提供解决方案。此次突破不仅破坏了Akira勒索软件的商业模式，也为防御者提供了对抗勒索软件的新工具，凸显了攻击与防御之间的持续技术竞赛。

8. 微软警告网络钓鱼活动冒充Booking.com传播恶意软件

【CybersecurityNews网站3月14日报道】微软威胁情报团队发现一起针对全球酒店组织的网络钓鱼活动，攻击者冒充Booking.com传播窃取凭证的恶意软件。该活动自2024年12月开始，主要针对北美、大洋洲、亚洲和欧洲的酒店员工，利用虚假电子邮件和欺诈网站诱导受害者下载恶意软件。攻击者使用名为“ClickFix”的技术，通过虚假错误消息诱骗用户执行恶意命令。受害者点击链接后，会看到一个伪造的CAPTCHA页面，提示其使用键盘快捷键运行命令（如“mshta.exe”），从而下载恶意软件。该活动传播了XWorm、Lumma Stealer、VenomRAT等多种恶意软件，用于窃取财务数据、凭证并提供远程访问权限。微软将该威胁行为者追踪为Storm-1865，其自2023年初以来持续开展类似活动。此次攻击通过社会工程手段绕过传统安全措施，专门针对与Booking.com频繁互动的酒店工作人员，进一步凸显了网络钓鱼攻击的复杂性和针对性。

9. 俄罗斯假约会骗局猖獗，四犯罪团伙骗取980万美元

【SecurityLab网站3月14日报道】F6分析师发现，俄罗斯四个犯罪团伙利用假约会骗局在情人节、2月23日和3月8日等节假日期间骗取受害者980万美元，较前一年翻倍。诈骗者通过社交网络、约会网站或Telegram聊天机器人假扮女性，诱骗受害者购买虚假的电影票或演出门票，并发送钓鱼链接或恶意应用程序。近年来，诈骗者开始使用音频和视频深度伪造技术增强可信度。情人节期间，诈骗团伙获利最高，达400万美元。尽管活跃的犯罪团伙数量减少，但总收入持续增长，因参与者增加且骗局易于实施。防骗建议包括避免点击未知链接、不在可疑网站付款、检查域名、通过可信平台购票、定期更新浏览器并启用双因素身份验证。

10. 新型勒索软件组织Mora_001利用Fortinet漏洞部署SuperBlack勒索软件

【SecurityLab网站3月14日报道】Forescout专家发现新型勒索软件组织Mora_001利用Fortinet产品中的两个严重漏洞（CVE-2024-55591和CVE-2025-24472）获取防火墙未授权访问，并部署定制勒索软件SuperBlack。攻击者通过WebSocket或HTTPS请求获取“super_admin”权限，创建伪装管理员账户并修改自动任务确保持久性。Mora_001使用窃取的VPN、WMI、SSH等凭证横向移动，优先针对文件服务器、数据库和域控制器，并在加密前窃取数据以实施双重勒索。SuperBlack基于泄露的LockBit 3.0代码，赎金记录中的TOX标识符与LockBit攻击相匹配，表明其与LockBit组织存在关联。Forescout已发布相关危害指标列表，建议组织及时修补漏洞并加强网络监控。