2025-03-27 星期四 Vol-2025-074
1. 欧盟启动自主操作系统项目EU OS以增强数字主权
2. 俄罗斯拟加强DDoS防护立法要求
3. 英国NCSC发布特权访问工作站八项安全原则,强化高权限账户防护
4. Cloudflare服务中断事件揭示云安全运维挑战
5. 谷歌Chrome安装程序架构错误导致Windows用户安装失败
6. DeFi平台Abracadabra Finance遭黑客攻击损失1290万美元
7. Signal总裁重申隐私承诺与WhatsApp形成鲜明对比
8. 网络安全专家Troy Hunt遭遇钓鱼攻击事件
9. 奥地利揭露俄罗斯涉嫌在德语区散布乌克兰相关虚假信息
10. 美情报高层坚称未在Signal聊天中泄露机密国会两党激烈交锋
11. Clevo游戏笔记本曝重大固件安全漏洞
12. DrayTek路由器漏洞遭利用引发全球性服务中断
13. Appsmith开发平台曝高危远程代码执行漏洞
14. CISA警告四大工业控制系统高危漏洞
15. npm软件包供应链攻击事件分析报告
16. Ontinue报告:2024年勒索软件攻击激增132%,新型威胁手段涌现
17. 马来西亚开斋节前夕网络安全威胁激增
18. Raspberry Robin恶意软件C2基础设施分析报告
19. 新型IOCONTROL恶意软件威胁关键燃料基础设施安全
20. 勒索软件即服务(RaaS)平台PlayBoy Locker威胁分析报告
政策法规
1. 欧盟启动自主操作系统项目EU OS以增强数字主权
【Securitylab网站3月26日消息】欧洲数据保护监督局(EDPS)员工Robert Riemann博士提出EU OS项目,旨在为欧盟政府机构开发基于Linux的安全操作系统。该方案计划以美国Fedora Kinoite为基础构建不可变系统,采用类似Windows的KDE Plasma界面,专为中型政府机构设计。项目借鉴了德国LiMux等历史经验,但选择非欧洲开发的Fedora作为基础引发争议。专家指出,在当前勒索软件威胁下,基于本地功能的系统设计可能已过时,建议采用更接近ChromeOS的云协同架构。尽管项目启动仅三个月(2024年12月),其详细的技术文档已展现出构建欧洲自主操作系统的雄心,这被视为欧盟数字主权战略的重要一步。
2. 俄罗斯拟加强DDoS防护立法要求
【Securitylab网站3月26日消息】俄罗斯联邦通信监管局在Lovit公司遭受持续DDoS攻击后,提议修订现行网络安全法规。该攻击自3月21日持续至25日,峰值流量达219.06Gbps,主要源自美欧多国IP地址。监管机构指出,现行法律需强化三方面要求:明确通信网络稳定性标准、扩大DDoS防护强制措施(包括使用国产流量监控方案)、严格基础设施冗余规范。此次事件暴露了运营商在威胁监测和快速恢复机制方面的不足,Lovit公司的移动应用、官网及用户账户服务均遭受严重影响。俄罗斯联邦通信监管局强调,新规将提升关键基础设施防护水平,目前攻击流量虽已降至72.03Gbps,但尚未完全平息。
3. 英国NCSC发布特权访问工作站八项安全原则,强化高权限账户防护
【Industrial Cyber网站3月26日消息】英国国家网络安全中心(NCSC)发布《特权访问工作站(PAW)八项原则》,为组织部署高权限账户安全防护提供系统性框架。PAW是一种专用于高风险操作的受信任设备,通过最小化攻击面(如禁用非必要功能)降低特权滥用风险。八项原则涵盖:1)整合至现有特权访问管理策略;2)平衡安全性与用户体验;3)建立设备全生命周期信任链;4)利用基础设施即代码(IaC)实现规模化安全管控;5)严格限制外部连接与高风险服务;6)通过虚拟化隔离漏洞操作;7)实施实时监控与行为审计;8)规范数据导入导出流程。NCSC强调,PAW需作为整体安全策略的一部分,结合组织威胁模型定制设计,尤其需关注第三方高风险访问的合规性。同期,NCSC还推出后量子密码(PQC)迁移路线图,计划2035年前完成抗量子加密升级,体现其对前沿威胁的主动防御布局。
安全事件
4. Cloudflare服务中断事件揭示云安全运维挑战
【Cybersecuritynews网站3月26日消息】全球知名云服务提供商Cloudflare近日披露,3月21日因密码轮换错误导致全球性服务中断,持续时间达1小时7分钟。事故源于工程师在例行安全轮换时将新凭证误部署至开发环境而非生产环境,且遗漏关键命令行参数"--env production"。此次中断影响广泛,R2对象存储服务100%写入操作和35%读取操作失败,图像和流服务上传完全中断,Vectorize数据库查询失败率达75%。Cloudflare指出,事故暴露了凭证管理流程的缺陷:缺乏凭证使用追踪机制、人工操作风险控制不足。该公司已采取多项改进措施,包括增强日志记录、实施双重验证、强制使用自动发布工具等。值得注意的是,这已是Cloudflare今年第二次重大运维事故,2月份曾因员工误操作导致R2网关服务瘫痪。这两起事件凸显了云服务商在平衡安全运维与系统复杂性方面面临的持续挑战。
5. 谷歌Chrome安装程序架构错误导致Windows用户安装失败
【Cybersecuritynews网站3月26日消息】谷歌Chrome浏览器安装程序出现重大技术错误,导致全球Windows 10和11用户无法正常安装。该问题源于谷歌意外将ARM架构的安装程序(ChromeSetup.exe)分发给了x86/x64架构系统用户,引发"此应用无法在您的PC上运行"错误提示。安全分析显示,问题安装程序中包含专为ARMv8架构设计的加密例程,与Intel/AMD处理器不兼容。目前受影响用户可通过两种临时解决方案:使用64位离线安装程序(ChromeStandaloneSetup64.exe)或完全删除旧版Chrome后重新安装。值得注意的是,基于ARM架构的Windows设备(如骁龙版Surface)不受此问题影响。此次事件凸显了在多架构环境下软件分发的复杂性,尽管谷歌尚未公布正式修复时间表,但预计将很快推出解决方案。
6. DeFi平台Abracadabra Finance遭黑客攻击损失1290万美元
【Securitylab网站3月26日消息】知名DeFi平台Abracadabra Finance于3月25日遭受黑客攻击,损失约6200枚以太坊(价值1290万美元)。攻击针对平台的"cauldrons"贷款池组件,黑客利用漏洞进行多笔交易后平台才察觉异常。目前Abracadabra已暂停服务并聘请Chainalysis追踪资金流向,同时向黑客提出返还80%资金的条件。值得注意的是,被盗资金通过近期解禁的Tornado Cash混币器转移,这可能是美国法院撤销对该平台制裁后的首起重大相关案件。尽管平台声称所有资金池均经过第三方审计,但此次事件再次暴露了DeFi领域的安全风险。
7. Signal总裁重申隐私承诺与WhatsApp形成鲜明对比
【Securitylab网站3月26日消息】Signal总裁Meredith Whittaker近日就美国官员误将记者加入加密聊天群组事件发表声明,强调Signal作为"私人通信黄金标准"的技术优势。她指出,与WhatsApp不同,Signal不仅加密消息内容还保护元数据,且不存储可能被要求提供的用户信息。Sensor Tower数据显示,2025年第一季度Signal在美国的下载量同比增长25%,反映出用户对隐私保护的持续关注。WhatsApp方面回应称其仅将元数据用于反垃圾邮件等用途。此次事件再次引发关于数字通信安全性的讨论,凸显了开源架构与商业通讯应用在隐私保护理念上的根本差异。
8. 网络安全专家Troy Hunt遭遇钓鱼攻击事件
【Securitylab网站3月26日消息】知名网络安全服务Have I Been Pwned(HIBP)创始人Troy Hunt近日自曝成为钓鱼攻击受害者。3月25日清晨,攻击者通过伪造Mailchimp登录页面(mailchimp-sso[.]com)获取了Hunt的账户凭证,导致约16,000名订阅者数据泄露。Hunt表示,疲劳和时差使他忽略了1Password未能自动填充密码等异常信号。此次泄露的数据包含电子邮件、订阅类型及地理位置等元数据,值得注意的是Mailchimp默认长期保存已取消订阅用户信息。事件发生后,Hunt已将受影响数据录入HIBP数据库,并向6.6万订阅者发送通知。他批评Mailchimp缺乏Passkey等防钓鱼认证方式,并宣布将通过whynopasskeys[.]com项目推动更安全的身份验证标准。
9. 奥地利揭露俄罗斯涉嫌在德语区散布乌克兰相关虚假信息
【The Record网站3月26日消息】奥地利国内情报机构(DSN)近日披露一起由俄罗斯主导的虚假信息宣传活动,该活动主要针对德语国家散布有关乌克兰的虚假信息。调查源于对一名涉嫌为俄罗斯从事间谍活动的保加利亚女性的调查,在其电子设备中发现相关证据。据称,该网络通过在线上传播虚假言论,并利用贴纸和涂鸦散布极右翼符号,试图将这些行为嫁祸于亲乌克兰人士。值得注意的是,这并非孤立事件。去年11月,两名保加利亚人在英国承认为俄罗斯间谍网络工作,该网络由现居俄罗斯的奥地利前金融高管Jan Marsalek指挥。维也纳近年来已成为俄罗斯在欧洲间谍活动的重要枢纽,涉及情报收集、工业间谍和影响力操作等多方面活动。奥地利当局表示将持续监控并依法应对此类国家安全威胁。
10. 美情报高层坚称未在Signal聊天中泄露机密国会两党激烈交锋
【The Record网站3月27日消息】在美国众议院情报委员会全球威胁听证会上,国家情报总监加巴德和中央情报局局长拉特克利菲再次否认在Signal应用中分享军事打击机密信息。此前《大西洋月刊》曝光了内阁官员讨论对也门胡塞武装打击细节的完整聊天记录,包括行动时间和军机型号。国家安全顾问沃尔兹承认将记者误加入该加密聊天群组,目前正进行技术审查。民主党议员希姆斯警告此类疏漏可能导致作战人员伤亡,而共和党人则坚称讨论内容未涉及情报来源和方法。值得注意的是,美国安局证实曾就Signal使用风险向员工发出网络安全警告。参议院军事委员会已提议对此事展开两党联合调查,民主党议员胡拉汉更暗示可能存在更多类似违规情况。此次争议凸显美国政府高层在加密通讯工具使用规范方面的重大分歧。
漏洞预警
11. Clevo游戏笔记本曝重大固件安全漏洞
【Cybersecuritynews网站3月26日消息】安全研究人员近日披露,多款采用Clevo硬件的游戏笔记本电脑存在严重固件安全漏洞。Binary Research团队发现,Clevo固件更新包中意外泄露了用于英特尔Boot Guard安全技术的私钥,该漏洞可能允许攻击者绕过固件验证机制,在UEFI级别植入恶意代码。研究显示,泄露的私钥存储在BootGuardKey.exe二进制文件和两个.pem密钥文件中,可被用于签署恶意固件映像。目前确认受影响的设备涉及技嘉、XPG等品牌的至少10款机型,包括2025年新发布的技嘉G6X 9KG游戏本。Binarly公司已于2025年2月28日向CERT/CC提交漏洞报告(编号BRLY-2025-002),但该报告在数日后被结案且未获详细解释。此次事件再次凸显了ODM厂商安全漏洞对整个硬件生态系统的广泛影响。
12. DrayTek路由器漏洞遭利用引发全球性服务中断
【Cybersecuritynews网站3月26日消息】全球多国互联网服务提供商报告DrayTek路由器出现大规模重启循环故障,安全公司GreyNoise确认这与多个已知漏洞被利用有关。英国、澳大利亚、越南和德国等地用户反映,多型号DrayTek路由器间歇性断连并陷入重启循环。监测显示,攻击者主要利用三个漏洞:CVE-2020-8515远程代码执行漏洞(过去30天82个攻击IP)、CVE-2021-20123/20124目录遍历漏洞(近期每天20余个攻击IP)。受影响最严重的国家包括立陶宛、美国和新加坡。DrayTek官方建议用户立即断开WAN连接并升级至最新固件,同时禁用远程管理和SSL VPN服务。此次事件与2024年10月Forescout Technologies发现的14个DrayTek路由器漏洞相呼应,其中包含一个CVSS评分达10分的严重漏洞。网络管理员应尽快采取缓解措施,包括启用双因素认证和监控系统警报。
13. Appsmith开发平台曝高危远程代码执行漏洞
【Cybersecuritynews网站3月26日消息】开源应用开发平台Appsmith被曝存在三个严重安全漏洞,其中最危险的CVE-2024-55963允许未认证攻击者在默认配置的服务器上执行任意系统命令。Rhino安全实验室发现,该漏洞源于Appsmith默认安装的PostgreSQL数据库配置错误,其pg_hba.conf文件允许本地用户无需密码即可连接。攻击者通过注册账户后,可利用PostgreSQL的COPY FROM PROGRAM功能以数据库用户权限执行命令。另外两个漏洞CVE-2024-55964(越权访问)和CVE-2024-55965(拒绝服务)同样危害严重。Appsmith已在1.52版本中修复这些问题,建议用户立即升级。该平台广泛用于构建企业内部应用,此次漏洞可能使大量企业面临数据泄露和系统入侵风险。
14. CISA警告四大工业控制系统高危漏洞
【Cybersecuritynews网站3月26日消息】美国网络安全和基础设施安全局(CISA)发布四项工业控制系统(ICS)安全公告,披露ABB、罗克韦尔自动化和稻叶电气产业公司产品中存在的严重漏洞。这些漏洞CVSS v4评分介于5.1至9.3之间,影响全球石油天然气、制造业等关键基础设施。其中,ABB RMC-100流量计算机的原型污染漏洞(CVE-2022-24999,CVSS 8.7)可能导致服务拒绝;罗克韦尔自动化Verve资产管理器的命令注入漏洞(CVE-2025-1449,CVSS 8.9)允许管理员执行任意命令;稻叶电机产业CHOCO TEI WATCHER mini设备存在多个漏洞,包括弱密码要求(CVE-2025-25211,CVSS 9.3)等高风险问题。CISA建议受影响企业立即采取修补措施,实施网络隔离并限制物理访问,特别是对于目前无法修补的稻叶电机设备。目前尚未发现这些漏洞被主动利用的情况。
风险预警
15. npm软件包供应链攻击事件分析报告
【BleepingComputer网站3月26日消息】安全公司Reversing Labs发现npm平台上存在新型供应链攻击,恶意包"ethers-provider2"和"ethers-providerz"通过修改本地安装的合法包实现持久化后门。攻击采用三阶段载荷传递:首先通过修改的install.js脚本下载第二阶段恶意代码,随后替换合法ethers包的provider-jsonrpc.js文件,最终建立指向5[.]199[.]166[.]1的反向SSH连接。值得注意的是,即使卸载初始恶意包,被篡改的合法包仍保留后门功能。研究人员还发现"reproduction-hardhat"等关联恶意包,并提供了检测YARA规则。此次事件凸显开源软件供应链的脆弱性,建议开发者严格审查依赖包代码,特别警惕混淆代码和外部服务器调用。
16. Ontinue报告:2024年勒索软件攻击激增132%,新型威胁手段涌现
【Industrial Cyber网站3月26日消息】网络安全公司Ontinue发布《2024年威胁情报报告》显示,全球勒索软件攻击量同比激增132%,但支付赎金额下降35%,表明攻击策略正转向数据泄露勒索。报告指出,制造业、服务业和医疗保健成为主要攻击目标,其中中间人攻击(AiTM)和PlugX远程访问木马(RAT)使用量显著增长。新型威胁手段包括:利用AI语音克隆技术实施的钓鱼攻击激增1633%,攻击者滥用微软Quick Assist等合法工具实施入侵,以及针对物联网(IoT)和工控系统(OT)的定向攻击增加。专家建议,组织应加强主动监控、快速修补漏洞并采用零信任架构应对日益复杂的网络威胁。
17. 马来西亚开斋节前夕网络安全威胁激增
【The Cyber Express网站3月26日消息】马来西亚网络安全中心Cyber999报告显示,2025年前两个月已记录1029起网络安全事件,包括勒索软件攻击、数据泄露及WhatsApp冒充诈骗等。随着开斋节临近,该机构紧急发布节日网络安全预警,指出黑客常趁节假日防御松懈之际发动攻击。Cyber999针对不同群体提出具体防护建议:系统管理员需强化补丁管理和多层防御,金融机构应加强客户反诈教育,家庭用户则需警惕网络钓鱼。该机构特别强调,节日期间将保持24/7应急响应服务,并呼吁通过分析2024年第四季度威胁报告提升整体网络安全意识。
恶意软件
18. Raspberry Robin恶意软件C2基础设施分析报告
【Cybersecuritynews网站3月26日消息】安全研究人员近日披露了Raspberry Robin恶意软件使用的近200个独特C2域名。这款自2019年开始活跃的恶意软件已从简单的USB蠕虫发展为成熟的初始访问代理(IAB)服务,与包括LockBit、Dridex在内的多个俄罗斯威胁组织存在关联。研究显示,该恶意软件采用独特的域名命名模式,主要使用三字符域名配合不常见顶级域(.wf/.pm等),并通过Fast Flux技术在不同IP间轮换以逃避检测。2024年NetFlow分析发现,攻击者使用单一IP通过Tor中继控制所有受感染的QNAP设备。值得注意的是,美国网络安全机构(CISA)在2024年9月确认该恶意软件与俄罗斯GRU 29155部队存在关联,凸显其国家级攻击背景。目前这些域名主要使用ClouDNS名称服务器,每周仍有数十个处于活跃状态。
19. 新型IOCONTROL恶意软件威胁关键燃料基础设施安全
【Cybersecuritynews网站3月26日消息】安全研究人员发现一款名为"IOCONTROL"的新型Linux恶意软件正针对美国和以色列的燃料管理系统发起攻击。该恶意软件采用模块化设计,利用UPX打包、加密C2通信等高级规避技术,通过MQTT协议绕过传统安全监控。分析显示IOCONTROL与亲伊朗黑客组织Cyber Av3ngers存在关联,其攻击始于2024年12月,利用凭证窃取渗透系统后建立持久性访问。恶意软件通过创建/tmp/iocontrol/和/etc/rc3.d目录、注入启动脚本确保持续运行,并使用AES-256-CBC加密传输系统数据。值得注意的是,攻击者曾尝试在BreachForums等地下论坛兜售该恶意软件,可能扩大其传播范围。安全专家建议关键基础设施运营商加强固件更新、网络分段及MQTT流量监控以应对此威胁。
20. 勒索软件即服务(RaaS)平台PlayBoy Locker威胁分析报告
【Securitylab网站3月26日消息】网络安全公司Cybereason发布最新研究报告,揭露勒索软件即服务平台PlayBoy Locker的运作模式。该平台自2024年9月出现以来,采用"85/15"分成模式,为不具备技术能力的攻击者提供包括恶意软件构建器、控制面板和技术支持在内的全套工具。技术分析显示,该勒索软件采用C++编写,使用hc-128和curve25519加密算法,具备多线程文件加密、卷影副本删除、进程终止及Active Directory域内自动传播等功能。平台针对Windows、NAS和ESXi系统提供定制化攻击方案,其中ESXi版本可终止虚拟机并以守护进程模式运行。专家建议企业采取多因素认证、定期备份、系统更新等措施应对威胁,并指出RaaS模式的专业化发展使得网络犯罪门槛持续降低。
往期推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...