5th域安全微讯早报【20250321】069 期

1. 特朗普推出国家复原力战略，优先提升基础设施抵御网络攻击能力

【Industrial Cyber网站3月20日消息】美国总统唐纳德·特朗普发布行政命令，推出国家复原力战略，旨在增强各州、地方政府和公民应对网络攻击及恶劣天气事件的能力。该战略明确了提高国家复原力的优先事项和方法，简化了联邦准备和响应政策，使地方当局能够更好地规划和满足社区需求。特朗普强调，公民是地方决策和投资的直接受益者，合理的风险知情决策将增强基础设施、社区和经济的抵御能力。行政命令要求审查前总统乔·拜登政府的多项政策，包括关键基础设施安全和供应链复原力相关备忘录，并启动国家风险登记册，以识别和量化国家基础设施面临的风险。特朗普还要求总统国家安全事务助理在90天内发布国家复原力战略，并在180天内审查所有关键基础设施政策，提出修订建议。此外，国土安全部长需在一年内提出修改框架政策的建议，以改善联邦与州和地方政府的沟通。自上任以来，特朗普政府通过任命克里斯蒂·诺姆为国土安全部长和肖恩·普兰基为网络安全和基础设施安全局（CISA）局长，重新强调了对国家数字基础设施的保护。然而，解散网络安全审查委员会（CSRB）引发了对其网络安全监督能力的担忧。

2. 新加坡与甲骨文签署协议，部署独立云计算和人工智能服务

【The Cyber Express网站3月19日消息】新加坡国防部（MINDEF）与美国云计算巨头甲骨文（Oracle）签署协议，将使用其“Oracle Cloud隔离区”平台，以增强新加坡的数字化能力。该平台提供高性能、隔离且安全的云计算、数据管理和人工智能（AI）服务，旨在支持新加坡国防科学技术局（DSTA）的关键功能，提升运营效率、网络安全性和可扩展性。DSTA首席执行官Ng Chad-Son表示，安全且可扩展的云解决方案是创新的基础，通过与甲骨文的合作，国防部将利用先进的云和AI技术实现运营数字化和转型。Oracle云隔离区域为国防部提供了一个安全、可扩展的环境，支持高性能计算、AI和机器学习（ML）功能，以改进实时分析、简化决策并增强网络防御能力。此次合作标志着新加坡向更先进、更具弹性的国防系统迈出了重要一步，同时甲骨文也在东南亚地区加大投资，推动AI和云计算创新。

3. NCSC设定2035年为后量子密码学迁移的最后期限

【InfoSecurity Magazine网站3月20日消息】英国国家网络安全中心（NCSC）发布新指南，敦促各组织在2035年前将其系统、服务和产品完全迁移到后量子密码学（PQC），以应对量子计算机带来的未来威胁。NCSC建议采用分阶段方法，确保平稳、可控的迁移，降低安全漏洞风险。该指南主要针对大型组织、关键国家基础设施运营商和拥有定制IT系统的公司，而中小型组织则可通过服务提供商的常规升级实现迁移。NCSC首席技术官Ollie Whitehouse表示，量子计算将彻底改变技术，但也对现有加密方法构成重大风险。新指南为组织提供了明确的路线图，分为三个阶段：2028年前完成发现与评估，2031年前执行高优先级升级并完善计划，2035年前完成全面迁移。NCSC预计，未来几年内将出现详细的PQC标准、产品生态系统和广泛应用，同时强调构建更强大的网络弹性的重要性。

4. 欧盟要求苹果开放iPhone功能

【Securitylab网站3月20日消息】据相关报道，欧盟委员会依据《数字市场法案》（DMA），要求苹果公司扩大iPhone与第三方设备的兼容性，打破其封闭的生态系统。具体要求包括向第三方开放通知、设备自动配对、类似AirDrop的文件传输、类似AirPlay的流媒体等功能，同时开放Wi-Fi网络数据访问权限、支持高速P2P连接、解锁NFC功能用于第三方支付，且所有API和框架需与苹果产品同步向开发者开放。第三方耳机制造商可使用与AirPods相同的自动连接和音频切换系统，其他公司的智能手表可完全访问iOS通知和后台进程。苹果对此发表强烈声明表示反对，认为这将削弱其竞争优势并影响用户安全，但欧盟仍计划全面实施这些要求。iOS中第三方通知支持的测试版预计2025年底发布，2026年全面推出，其他功能大多将出现在iOS 19中，最终支持在iOS 20结束。

5. 六国政府疑似使用以色列Paragon间谍软件监控即时通讯应用

【The Hacker News网站3月20日消息】公民实验室（Citizen Lab）最新报告显示，澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡的政府可能使用了以色列公司Paragon Solutions开发的间谍软件Graphite。该软件能够从即时通讯应用中收集敏感数据。报告通过分析服务器基础设施，将这六个政府列为“疑似Paragon部署”。此前，Meta旗下WhatsApp于2024年12月阻止了Graphite的攻击，并通知了约90名记者和民间社会成员，称他们成为攻击目标。攻击者通过WhatsApp群组发送恶意PDF文档，利用零日漏洞感染设备。调查还发现了一种名为BIGPRETZEL的取证工具，可能与Graphite感染相关。此外，2024年6月，利比亚难民组织一位意大利创始人的iPhone也疑似遭到Paragon感染，苹果公司随后通过iOS 18修复了相关漏洞。此类间谍软件攻击成本高昂，通常针对特定个人，凸显了网络安全威胁的复杂性和严重性。

6. 印度有机电商平台Indo Organic涉嫌数据库泄露，用户数据面临风险

【CyberPress网站3月20日消息】知名有机产品在线销售平台Indo Organic近日被曝涉嫌数据库泄露。威胁行为者“SukaMoniZy”在暗网论坛上宣称，已成功入侵并窃取了该平台的敏感数据，可能包括用户的姓名、电子邮件地址、电话号码及哈希密码等个人身份信息（PII）。目前，网络安全分析师正在核实相关指控。初步分析显示，此次泄露可能源于配置错误的数据库或过时的安全协议，攻击者可能利用Shodan.io等工具发现漏洞，并通过SQL注入等技术获取未授权访问。如果属实，这将是一起典型的网络安全事件，即通过故意行为获取敏感信息的数据泄露。数据泄露可能对Indo Organic及其用户造成严重影响，包括身份盗窃、网络钓鱼攻击和金融欺诈等。此外，企业声誉和客户信任也可能受到损害，并面临数据保护法规的处罚。目前，Indo Organic管理层尚未发表官方声明，但专家建议立即采取行动，包括通知受影响用户、重置密码及加强数据库安全措施。

7. CERT-UA警告：Dark Crystal RAT通过Signal恶意消息攻击乌克兰国防部门

【The Hacker News网站3月20日消息】乌克兰计算机应急响应小组（CERT-UA）警告称，一项针对国防部门的新活动正在利用Dark Crystal RAT（DCRat）进行攻击。此次攻击目标包括国防工业综合体企业的员工和乌克兰国防军代表，攻击者通过Signal消息应用程序分发包含恶意会议记录的存档文件。这些文件包含诱饵PDF和基于.NET的加密程序DarkTortilla，后者解密并启动DCRat恶意软件。DCRat是一种远程访问木马（RAT），可执行任意命令、窃取信息并对受感染设备进行远程控制。CERT-UA将此活动归因于威胁集群UAC-0200，该集群自2024年夏季以来一直活跃。CERT-UA指出，攻击者利用先前被入侵的Signal账户发送消息以增加成功率，并强调即时通讯工具的广泛使用扩大了攻击面。此前，Signal因停止响应乌克兰执法部门关于俄罗斯网络威胁的请求而受到批评。Signal首席执行官Meredith Whittaker否认了这一说法，称其从未与任何政府正式合作。

8. SpyX大规模数据泄露危及数百万用户隐私

【CyberPress网站3月20日消息】跟踪软件服务Spyzie及其姊妹服务Spyic和Cocospy于2025年2月遭遇重大数据泄露，暴露了数十万用户的敏感信息。此次泄露事件中，仅Spyzie就泄露了近51.9万个客户电子邮件地址，这些信息已被添加到数据泄露通知服务Have I Been Pwned（HIBP）中。Spyzie作为家长监控工具营销，通常在用户不知情或未同意的情况下安装，引发严重隐私问题。此次泄露不仅暴露了电子邮件地址，还可能导致消息、照片、通话记录等敏感数据被未经授权访问，增加了网络钓鱼攻击和身份盗窃的风险。漏洞源于Spyzie服务器的安全缺陷，类似于影响Cocospy和Spyic的漏洞，表明其架构存在系统性问题。Android用户可通过拨号器输入“001”检测是否安装Spyzie，iOS用户应检查Apple账户并启用双重身份验证（2FA）以增强安全性。自2017年以来，已有超过23起类似服务的违规事件，凸显监控软件持续存在的安全缺陷。此次事件再次提醒用户保持警惕，采取主动措施保护设备隐私，并呼吁加强监管和安全措施。

9. 英国警方在打击大型诈骗行动中逮捕422人

【InfoSecurity Magazine网站3月20日消息】英国执法部门在最近一次打击诈骗的行动中取得重大成果，逮捕了422人，并缴获了750万英镑现金和资产，同时冻结了390万英镑的账户。此次行动由英国国家犯罪局（NCA）协调，代号为“鸡舍行动”，旨在应对英国日益严重的诈骗问题。诈骗是英国最常见的犯罪行为，占警方报告案件的41%，每年在英格兰和威尔士造成的损失估计达68亿英镑，其中约80%的诈骗与网络相关。此次行动的成功案例包括肯特郡警方为一名投资诈骗受害者追回近100万英镑，以及默西塞德郡警方查获超过270万英镑的涉嫌犯罪现金和资产。英国反欺诈大臣汉森勋爵表示，欺诈是一种危害严重的犯罪行为，政府将继续与执法部门合作，推出新的反欺诈战略。尽管英国政府过去因未能优先打击诈骗而受到批评，但此次行动显示了执法部门在应对这一威胁方面的决心和能力。

10. 西部联盟银行数据泄露事件

【Securitylab网站3月20日消息】总部位于美国亚利桑那州凤凰城的西部联盟银行因第三方文件传输工具的漏洞，导致超过2万人的个人信息在2024年被窃取，但直到2025年1月27日才得知这一违规行为，并于3月向缅因州和加利福尼亚州的监管机构提交了违规通知。被盗信息包括客户姓名、社会保险号、出生日期、金融账户号、驾驶执照、纳税人识别号甚至护照等敏感信息，受影响人数达21,899人。该银行管理着超过800亿美元的资产，2024年净收入为7.877亿美元。此次事件与黑客组织Clop对Cleo软件的攻击有关。银行已为受影响客户提供一年免费隐私保护服务。此外，惠普企业和汤森路透等其他使用Cleo软件的公司也在调查此次攻击的影响，汤森路透已删除Cleo应用程序并联系受影响客户。Clop组织近年来一直攻击各种数据平台，并在2024年秋天公布了66家可能受影响的公司名单，2025年继续披露更多可能受影响的组织。

11. 戴尔发布安全更新，修复安全连接网关200多个漏洞

【CyberPress网站3月20日消息】戴尔科技发布重要安全公告（DSA-2025-104），修复其安全连接网关（SCG）设备和虚拟版中的200多个漏洞，包括第三方组件和专有代码中的高风险缺陷。此次更新影响5.28.00.14之前的SCG版本，修复了可能导致远程代码执行、权限提升和数据泄露的漏洞。第三方组件漏洞涉及广泛使用的库和框架，包括GRUB2（11个CVE）、Linux内核（82个CVE）、OpenSSL（8个CVE）和Spring Framework（2个CVE）。这些漏洞可能被攻击者利用入侵SCG的安全远程服务（SRS）基础设施，进而威胁企业环境的遥测数据和自动支持工作流程。此外，戴尔修复了两个高优先级SCG专有漏洞：CVE-2025-23382（敏感系统信息泄露）和CVE-2025-26475（Docker Live-Restore设置验证不当）。后者可能导致容器在守护进程重启期间保持持久性，为攻击者提供立足点。戴尔建议所有受影响的系统立即更新至SCG 5.28.00.14或更高版本，并采取补丁部署、访问控制和网络分段等措施。此次更新反映了戴尔对供应链安全的重视，73%的漏洞源自第三方依赖项。

12. Mautic漏洞使网站面临任意文件上传攻击风险

【CyberPress网站3月20日消息】SonicWall Capture Labs威胁研究团队在开源营销自动化平台Mautic中发现一个严重漏洞（CVE-2024-47051），允许低权限认证用户上传恶意文件，可能导致远程代码执行（RCE）和任意文件删除。该漏洞CVSS评分为9.1，影响极其严重。Mautic被超过20万个组织使用，漏洞源于文件上传功能中的逻辑缺陷，攻击者可通过修改请求参数绕过文件扩展名限制，上传包含PHP代码的文件并执行任意代码。漏洞利用步骤包括：攻击者需具备网络访问权限和管理资产权限，上传包含PHP代码的.jpg文件，并在保存请求时修改扩展名为.php，随后访问上传文件以执行代码。尽管默认Apache配置可能阻止访问.php文件，但手动安装的实例仍可能受到攻击。SonicWall已发布相关IPS签名以防范潜在攻击。Mautic用户应立即更新至5.2.3或更高版本，并确保安全配置防止未经授权访问上传文件。

13. Veeam备份和复制漏洞允许恶意远程代码执行，威胁企业备份安全

【CybersecurityNews网站3月20日消息】Veeam Backup & Replication系统中发现一个严重漏洞（CVE-2025-23120），允许经过身份验证的域用户执行远程代码执行（RCE），从而可能控制受影响的系统。该漏洞影响Veeam Backup & Replication 12.3.0.310及所有早期版本，CVSS评分为9.9（严重），表明其极有可能被利用并对企业备份基础设施造成重大威胁。该漏洞由watchTowr安全研究员Piotr Bazydlo发现，仅影响加入域的备份服务器，尽管Veeam不建议此配置，但在许多企业环境中仍很常见。2024年超过20%的事件响应案例涉及攻击者利用Veeam系统，凸显备份解决方案成为勒索软件运营商的主要目标。Veeam已发布安全更新（版本12.3.1.1139），建议用户立即升级，并避免将备份系统暴露在互联网上。

14. Linux内核越界写漏洞允许攻击者提升权限

【CybersecurityNews网站3月20日消息】Linux内核中发现一个严重漏洞（CVE-2025-0927），允许本地用户在受影响的系统上获得root权限。该漏洞存在于HFS+文件系统驱动程序中，影响内核版本至6.12.0的系统，包括搭载Linux内核6.5.0-18-generic的Ubuntu 22.04。该漏洞自2005年初始git存储库构建以来一直存在，涉及B树节点处理中的缓冲区溢出问题。攻击者可通过挂载特制的HFS+文件系统，利用标准用户权限触发漏洞，最终通过覆盖敏感内核结构实现权限提升。Ubuntu已发布安全公告和修复补丁，建议系统管理员立即应用更新。此漏洞凸显了严格代码审计的重要性，即使在遗留组件中也不容忽视。

20. Dragon RaaS凭借新型初始访问与利用技术主导“五大家族”犯罪软件

【CybersecurityNews网站3月20日消息】一种名为“Dragon”的复杂勒索软件即服务（RaaS）行动已成为“五大家族”犯罪软件中的主导力量，其先进的初始访问技术和利用方法令网络安全专家震惊。过去三个月中，Dragon RaaS与一系列针对关键基础设施、金融机构和医疗保健组织的高调攻击有关，平均赎金要求高达340万美元。Dragon RaaS利用广泛使用的VPN设备中未记录的漏洞建立对公司网络的持续访问。攻击链始于特制的HTTP请求，触发身份验证模块中的内存损坏，从而绕过安全控制。SentinelOne研究人员指出，Dragon使用定制的命令与控制（C2）框架，通过DNS隧道逃避传统监控，其复杂程度堪比国家级攻击者。Dragon运营商展示了高水平的技术能力，利用离地攻击技术和新颖的混淆方法，在启动加密程序前平均潜伏26天。在此期间，攻击者窃取敏感数据用于双重勒索，并侦察关键系统。初始访问媒介包括包含恶意Excel文档的网络钓鱼邮件，通过PowerShell命令下载第一阶段加载程序。

21. Arcane恶意软件：伪装成游戏作弊程序，窃取30多个应用程序数据

【Securitylab网站3月20日消息】网络安全专家发现一种名为Arcane的新型恶意软件，自2024年11月以来持续传播，主要针对俄罗斯、白俄罗斯和哈萨克斯坦的用户。该恶意软件通过YouTube视频宣传游戏作弊程序和破解版软件，诱使用户下载受密码保护的档案，其中包含禁用Windows SmartScreen和创建文件扫描例外的脚本。Arcane能够收集大量数据，包括VPN服务、即时通讯工具、游戏客户端和浏览器的配置文件及凭据。它还支持截取屏幕截图和提取Wi-Fi密码。尽管Arcane与独联体国家有地理联系，但其攻击范围不限于此。专家建议用户避免下载盗版软件和可疑程序，尤其是游戏作弊工具，以防止数据泄露和财务损失。

22. Babuk2勒索软件疑利用旧泄露数据发出虚假勒索要求

【CybersecurityNews网站3月20日消息】Babuk2勒索软件组织被发现利用早期漏洞数据和虚假声明发出敲诈勒索要求。Halcyon RISE团队调查显示，该组织声称的多次攻击缺乏新证据，实际使用的是过去勒索事件中的数据。Babuk2通过利用2021年原始Babuk勒索软件的恶名，试图在网络犯罪黑社会中建立信誉。该组织管理员Bjorka活跃于多个论坛和Telegram，曾参与其他数据泄露和勒索行为。尽管其指控引人注目，包括针对印度军方和政府数据的所谓事件，但缺乏独立验证。专家提醒，面对此类威胁，组织需加强尽职调查和验证流程，避免因虚假勒索而遭受财务和声誉损失。

23. 朝鲜IT工作者利用GitHub攻击全球组织

【CybersecurityNews网站3月20日消息】疑似朝鲜IT工作者利用GitHub创建虚假身份，获取日本和美国的远程工作机会。这些人员伪装成越南、日本和新加坡的专业人士，主要瞄准工程和区块链开发职位，旨在为朝鲜的弹道导弹和核计划提供外汇支持。Rewterz研究人员发现，这些朝鲜相关工作者通常声称精通网页和移动应用开发、多种编程语言及区块链技术。他们通过GitHub账户伪造贡献历史，并与已知的朝鲜相关账户协作，以建立技术信誉。例如，账户“nickdev0118”与“AnacondaDev0120”协作，揭示了其协调活动。最引人注目的案例是“Huy Diep”（又名“HuiGia Diep”），他在日本公司Tenpct Inc.获得了软件工程师职位。分析其GitHub仓库发现，其命名惯例和提交时间模式与其他朝鲜相关账户一致。专家建议公司加强远程开发人员的验证流程，审查GitHub历史中的异常活动模式，并进行实时编码测试，而非仅依赖作品集提交。