2025-04-01 星期二 Vol-2025-078
1. 欧盟启动"数字欧洲2025-2027"网络安全计划重点布局AI与后量子加密
2. 欧盟启动13亿欧元数字投资计划网络安全与AI成重点领域
3. Telegram账号遭大规模窃取:卡巴斯基警告iOS和Android用户面临钓鱼攻击风险
4. 莫斯科地铁系统遭疑似网络攻击网站及APP服务中断
5. 英国GCHQ前实习生承认窃取绝密数据面临国家安全指控
6. 法国监管机构以反竞争为由对苹果罚款1.62亿美元隐私保护工具引发争议
7. 加拿大黑客因入侵德州共和党系统在美国面临指控
8. 佳能打印机驱动高危漏洞威胁全球用户,攻击者可远程执行任意代码
9. 戴尔Unity存储系统曝多个高危漏洞,攻击者可远程获取root权限
10. Ubuntu曝用户命名空间限制绕过漏洞,本地攻击者可提升权限
11. HPE集群管理工具曝高危RCE漏洞,攻击者可root权限远程执行命令
12. PHP曝严重解析漏洞,攻击者可绕过验证加载恶意内容
13. 苹果紧急发布iOS 18.4更新,修复62个安全漏洞包含多个高危漏洞
14. 苹果iMessage零点击漏洞技术细节曝光:恶意票证图像可完全控制iPhone
15. 黑客转向冷门编程语言开发恶意软件以规避安全检测
16. AI语音克隆技术滥用:体育明星成诈骗新工具,C罗声音被伪造超5500次
17. 新型恶意软件DarkCloud通过Telegram传播,专门窃取Windows用户敏感数据
18. 朝鲜黑客组织Konni RAT升级攻击手法,利用Windows资源管理器漏洞实施隐蔽攻击
政策法规
1. 欧盟启动"数字欧洲2025-2027"网络安全计划重点布局AI与后量子加密
【Industrial Cyber网站3月31日报道】欧洲网络安全能力中心(ECCC)正式通过"数字欧洲计划(DEP)"首个网络安全工作计划,将在2025-2027年间重点投资三大领域。一是前沿技术布局。投入1.8亿欧元开发基于生成式AI的网络安全系统,提升威胁情报分析能力;建立欧洲后量子密码学测试基础设施,应对量子计算破解风险;专项支持中小企业满足《网络弹性法案》等新规要求。二是关键立法实施;构建欧洲网络安全警报系统(ECAS),整合跨境威胁检测网络;落实《网络团结法案》应急机制,建立成员国互助框架。三是重点领域防护。协调NIS2指令、DORA法规等多项立法要求;专项保护医疗系统网络安全;加强海底电缆等关键通信基础设施监控。ECCC执行董事Luca Tagliaretti表示,该计划将强化欧盟共同网络防御体系,其中AI安全工具开发项目已向成员国开放申请,首轮资助将于2025年Q3启动。
2. 欧盟启动13亿欧元数字投资计划网络安全与AI成重点领域
【SecurityWeek网站3月31日报道】欧盟委员会宣布将通过"数字欧洲计划(2025-2027)"投入13亿欧元(约14亿美元)用于网络安全、人工智能及数字技能发展。该投资计划旨在提升欧盟整体数字技术水平,其中网络安全领域将重点加强关键基础设施防护,包括建立欧盟网络安全储备机制以保护医院和海底电缆等设施安全。部分资金还将用于部署新型欧盟数字身份钱包系统,该系统将通过强化数据保护机制提升防欺诈能力。此外,投资计划还涵盖生成式AI应用推广、数字创新中心建设以及数字技能培训等项目。此次拨款正值欧盟加强对网络攻击行为的制裁力度之际,近期欧盟已对涉嫌攻击爱沙尼亚的俄罗斯黑客及协助俄乌战争的朝鲜网络部队成员实施制裁。分析指出,这项投资将显著提升欧盟应对日益复杂的网络威胁的能力,特别是在关键基础设施保护和个人数据安全方面。
安全事件
3. Telegram账号遭大规模窃取:卡巴斯基警告iOS和Android用户面临钓鱼攻击风险
【SecurityLab网站3月31日报道】卡巴斯基实验室发现针对iOS和Android用户的钓鱼攻击活动正在大规模窃取Telegram账号。2025年前两个月,研究人员已监测到数千个俄罗斯用户点击恶意链接的案例,这些链接通过即时通讯工具传播,旨在窃取账户信息或植入恶意软件。被盗账号被以几十至数百卢布不等的价格在地下论坛出售,其中频道管理员账号价值最高。攻击者不仅通过钓鱼链接窃取账号,还利用虚假购物网站分发名为Mamont的银行木马,该木马会窃取短信和推送通知权限以实施金融诈骗。卡巴斯基提醒用户警惕不明链接,建议启用双重验证并仅从官方渠道下载应用。
4. 莫斯科地铁系统遭疑似网络攻击网站及APP服务中断
【The Record网站3月31日报道】莫斯科地铁系统网站及移动应用程序当日出现服务中断,网站页面一度显示乌克兰国家铁路公司Ukrzaliznytsia的标志,疑似遭遇报复性网络攻击。此次中断导致乘客无法远程充值交通卡,部分自动售票机也出现故障。莫斯科交通部门声称是"技术维护"所致,但俄罗斯互联网监管机构Roskomnadzor已确认服务异常。事件发生前一周,乌克兰铁路系统刚遭受大规模网络攻击,致使其不得不临时增加人工售票窗口。近年来,俄乌双方黑客频繁攻击对方交通基础设施,乌克兰IT军曾多次宣称对俄罗斯多个城市的交通支付系统发动攻击。目前莫斯科地铁数字服务仍未完全恢复,但官方强调车站人工售票服务正常运作。此次事件再次凸显关键基础设施面临的网络安全风险正在持续升级。
5. 英国GCHQ前实习生承认窃取绝密数据面临国家安全指控
【The Record网站4月1日报道】英国政府通信总部(GCHQ)前实习生哈桑·阿尔沙德承认从该机构受保护计算机中走私绝密信息。25岁的阿尔沙德在2022年8月实习期间,将包含GCHQ员工姓名及机密工具的敏感数据通过智能手机带出,随后上传至个人硬盘。这些被归类为"绝密"的信息一旦泄露可能直接威胁国家安全甚至造成人员伤亡。案件部分审理过程采取闭门方式进行,阿尔沙德此前还承认持有儿童不雅照片的指控。这起事件暴露了情报机构内部安全管理漏洞,尤其凸显实习人员接触敏感信息的风险。阿尔沙德将于6月13日接受量刑,此案再次引发对关键岗位人员背景审查和安全教育的讨论。
6. 法国监管机构以反竞争为由对苹果罚款1.62亿美元隐私保护工具引发争议
【The Record网站3月31日报道】法国竞争管理局(FCA)以反竞争行为为由对苹果公司处以1.5亿欧元(约1.62亿美元)罚款。监管机构认定,苹果在2021年至2023年间通过其应用程序跟踪透明度(ATT)机制滥用市场主导地位,该机制虽然旨在保护用户隐私,但其设计方式对第三方应用程序开发商造成不公平竞争。ATT功能要求应用程序在收集用户数据用于定向广告前必须获得明确同意,但FCA指出苹果的实施方式存在双重标准:第三方应用面临复杂的同意弹窗,而苹果自家应用只需简单勾选即可完成授权。更关键的是,苹果被指控将从同意跟踪用户处收集的数据用于自身广告业务获利。尽管罚款金额仅相当于苹果2024年第四季度营收(1240亿美元)的0.13%,但此案凸显了科技巨头在隐私保护与市场竞争间的平衡难题。苹果公司表示对裁决失望,但强调FCA并未要求修改ATT机制本身。这起处罚可能影响欧盟正在制定的数字市场竞争新规,为其他科技公司的隐私工具设计树立重要判例。
7. 加拿大黑客因入侵德州共和党系统在美国面临指控
【The Record网站4月1日报道】37岁的加拿大黑客奥布里·科特尔(Aubrey Cottle)因涉嫌入侵德州共和党使用的网络系统并窃取敏感数据,已于上周三在加拿大被捕。美国司法部指控这位化名"Kirtaner"的知名黑客入侵了网站托管公司Epik的系统,获取了包含个人身份信息的德州共和党服务器备份数据,并将这些数据公开发布在互联网上。起诉书显示,科特尔在社交媒体上公开承认对此次攻击负责,警方在其住所查获了20TB的被盗数据。作为黑客组织"匿名者"的核心成员,科特尔此前就曾攻击过多个保守派组织。如果"非法转移、持有或使用身份证明"罪名成立,他将面临最高五年监禁。这起案件凸显政治组织面临的网络安全风险,以及黑客活动分子针对敏感政治数据的持续威胁。
漏洞预警
8. 佳能打印机驱动高危漏洞威胁全球用户,攻击者可远程执行任意代码
【CybersecurityNews网站3月31日报道】佳能公司发布安全公告,披露其多款打印机驱动程序存在严重越界漏洞(CVE-2025-1268),CVSS 3.1评分高达9.4,属于“严重”级别安全风险。该漏洞影响Generic Plus系列驱动程序的多个版本(PCL6、UFR II、LIPS4、LIPSLX及PS驱动,V3.12及更早版本),攻击者可利用EMF Recode处理功能的缺陷,通过恶意打印任务远程执行任意代码,无需用户交互或特殊权限即可触发。该漏洞由微软MORSE团队研究员Robert Ord发现并报告,佳能已对其致谢。由于受影响驱动程序广泛应用于企业办公、生产环境及个人设备,全球大量用户面临潜在攻击威胁。攻击者不仅能破坏打印服务,还可能进一步渗透系统,窃取敏感数据或部署恶意软件。佳能强烈建议用户立即升级至最新版驱动程序,并采取额外防护措施,如网络隔离打印服务器、监控异常打印行为等,以降低风险。
9. 戴尔Unity存储系统曝多个高危漏洞,攻击者可远程获取root权限
【CybersecurityNews网站3月31日报道】戴尔科技发布紧急安全更新,修复其Unity企业存储系统中16个安全漏洞,其中包含两个CVSS评分超过9.0的严重漏洞。最危险的CVE-2025-22398(CVSS 9.8)允许攻击者通过发送恶意API请求,以root权限远程执行任意命令,可能导致系统完全被接管。另一个高危漏洞CVE-2025-24383(CVSS 9.1)则允许未经认证的攻击者远程删除任意系统文件。此次披露的漏洞影响运行5.4及更早版本的Dell Unity、UnityVSA和Unity XT存储系统。除远程漏洞外,还包含多个本地权限提升漏洞(CVSS 7.8)和命令注入漏洞(CVSS 7.3)。攻击者可组合利用这些漏洞实施勒索软件攻击、数据窃取或植入持久性后门。戴尔已发布5.5.0.0.5.259版本修复所有漏洞,建议用户立即升级。企业存储系统通常承载关键业务数据,这些漏洞若被利用将造成严重影响。
10. Ubuntu曝用户命名空间限制绕过漏洞,本地攻击者可提升权限
【CybersecurityNews网站3月31日报道】Qualys研究人员在Ubuntu 23.10和24.04 LTS系统中发现三个关键安全绕过漏洞,允许本地攻击者突破AppArmor对用户命名空间的限制。这些漏洞虽不直接提供root权限,但能显著降低内核漏洞利用门槛,与CAP_SYS_ADMIN等特权缺陷结合可导致完整系统沦陷。漏洞利用三种独特绕过技术:通过aa-exec工具切换宽松配置文件(如trinity)、利用Busybox的弱配置AppArmor策略、或通过LD_PRELOAD注入Nautilus进程。这些方法均能绕过Ubuntu为防止非特权用户滥用命名空间而设计的防护机制,使攻击者能够创建具备完整能力的命名空间。Canonical已承认问题并将其归类为纵深防御缺陷,建议通过内核参数调整(如启用apparmor_restrict_unprivileged_unconfined)和配置文件硬化来缓解风险。
11. HPE集群管理工具曝高危RCE漏洞,攻击者可root权限远程执行命令
【CybersecurityNews网站3月31日报道】HPE Insight Cluster Management Utility (CMU) v8.2中存在一个严重设计缺陷(CVE-2024-13804),允许攻击者在无需任何凭证的情况下,通过修改客户端代码绕过身份验证机制,以root权限在服务器端执行任意命令。该漏洞由研究人员"Navigating The Shadows"发现,源于软件客户端授权检查存在服务器端验证缺失,攻击者通过反编译cmugui_standalone.jar文件并修改isAdmin验证函数,即可通过RMI协议(端口1099)发送特权命令。由于该软件已被HPE列为生命周期终止产品,将不会获得官方补丁。建议仍在使用该软件的组织立即采取网络隔离措施,限制对1099端口的访问。该漏洞最初于2023年5月报告,但直到2025年1月才获得CVE编号,凸显了漏洞披露流程中的协调挑战。对于高性能计算环境而言,此漏洞可能导致整个集群被完全控制,风险等级极高。
12. PHP曝严重解析漏洞,攻击者可绕过验证加载恶意内容
【CybersecurityNews网站3月31日报道】网络安全研究人员近日发现PHP的libxml流中存在一个严重漏洞(CVE-2025-1219),该漏洞会影响依赖DOM或SimpleXML扩展进行HTTP请求的Web应用程序。该漏洞源于HTTP流包装器在处理重定向时未能正确清除历史请求头,导致php_libxml_sniff_charset_from_stream()函数可能使用错误的content-type标头解析文档。受影响的PHP版本包括8.1系列低于8.1.8.2系列低于8.2.28、8.3系列低于8.3.18以及8.4系列低于8.4.5的版本。攻击者可利用此漏洞实施字符集解析错误、验证机制绕过等攻击,甚至可能导致内容被篡改。PHP开发团队已在最新版本中修复该问题,建议所有使用相关扩展的Web应用立即升级至安全版本。该漏洞的发现再次凸显了及时更新软件以应对安全威胁的重要性,特别是对于广泛使用的Web开发语言而言。
13. 苹果紧急发布iOS 18.4更新,修复62个安全漏洞包含多个高危漏洞
【SecurityLab网站3月31日报道】苹果公司意外提前推送iOS 18.4系统更新,一次性修复了62个安全漏洞,其中包含多个高危漏洞。此次更新支持iPhone Xs及以上机型,更新包大小约3.76GB,安装过程仅需10分钟左右。安全修复重点包括:WebKit引擎中的CVE-2025-30432漏洞可能导致设备被完全控制;CVE-2025-24208跨站脚本漏洞允许攻击者注入恶意代码;以及一个可被利用来暴力破解设备密码的漏洞。除安全补丁外,本次更新还新增了改进的Apple Intelligence功能、18个新表情符号、增强的照片管理功能等。苹果建议所有符合条件的用户立即安装更新,以防范潜在的安全威胁。
14. 苹果iMessage零点击漏洞技术细节曝光:恶意票证图像可完全控制iPhone
【SecurityLab网站3月31日报道】NSO集团在2023年9月利用的苹果iMessage零点击漏洞技术细节首次完整公开。该攻击通过精心构造的PKPass票证文件实施,可完全绕过iOS 16.6的安全防护:漏洞组合:利用WebP格式解析漏洞(CVE-2023-41064)实现内存越界写入;通过伪造的TIFF图像(background.png)准备内存布局;使用超大的bplist数据块构造恶意CFReadStream对象。高级绕过技术:巧妙利用指针认证(PAC)机制的设计特点,无需直接绕过;提前通过HomeKit漏洞获取ASLR内存地址;采用NSExpression加密载荷,需二次交互解密。攻击流程:①发送携带恶意PKPass的iMessage;② WebP漏洞触发初始内存破坏;③ TIFF文件伪造CFArray对象重塑内存;④巨型bplist构造虚假CFReadStream;⑤触发回调函数执行NSExpression代码⑥接收密钥解密最终载荷,突破BlastDoor沙箱。该攻击曾成功入侵美国人权组织成员的iPhone,促使苹果紧急发布安全更新。安全专家指出,这已是第二次利用文件扩展名欺骗(PNG伪装)的案例,建议苹果加强文件格式验证机制,特别是对bplist结构的严格检查。
风险预警
15. 黑客转向冷门编程语言开发恶意软件以规避安全检测
【SecurityLab网站3月31日报道】网络安全研究人员发现黑客正越来越多地采用Haskell、Delphi和Phix等冷门编程语言开发恶意软件,以规避传统杀毒软件的静态分析检测。通过对近40万个Windows可执行文件的分析显示,使用非标准编译器(如Embarcadero Delphi、Tiny C等)能显著降低恶意代码被识别的概率,其效果甚至超过编程语言本身的影响。传统恶意软件多采用C/C++编写并通过Visual Studio编译,其内存结构相对规律便于检测。而Rust、Lisp、Haskell等语言生成的二进制文件中,恶意代码字节呈现分散分布特征,大大增加了自动化检测的难度。这些冷门语言还带来更多间接调用、多线程和复杂执行逻辑,使得逆向工程分析耗时更长。研究指出,多个知名黑客组织已开始采用这一策略:APT29使用Python开发后门,BlackByte从C#转向Go语言,而Hive勒索软件则完全用Rust重写。这种"通过冷门技术实现混淆"的战术正在形成新趋势——安全工具和专家对某种语言了解越少,相关恶意软件就越可能逃过检测。安全专家建议,防御方需要扩展分析工具库,加强对非常用编程语言和编译器的支持,才能有效应对这一新兴威胁。
16. AI语音克隆技术滥用:体育明星成诈骗新工具,C罗声音被伪造超5500次
【SecurityLab网站3月31日报道】网络犯罪分子正大规模利用AI语音克隆技术模仿体育明星声音实施诈骗。票务平台SeatPick与AI专家AIPRM联合研究发现,足球巨星C罗(Cristiano Ronaldo)的声音已被AI复制超过5500次,成为最常被克隆的运动员。研究显示,此类AI语音诈骗主要呈现以下特征:目标广泛:既针对企业实施精准诈骗,也欺骗普通民众。技术成熟:深度伪造技术可高度还原名人声线特征。危害严重:已造成多起百万美元级诈骗案件。除C罗外,其他频繁被克隆的体育明星包括:勒布朗·詹姆斯(篮球):4700+次克隆;帕特里克·马霍姆斯(橄榄球):3000+次克隆;梅西、姆巴佩等足坛巨星同样位列前十。专家提醒,虽然部分克隆音频可能是粉丝娱乐行为,但该技术已被证实可用于实施金融诈骗、信息窃取等犯罪活动。建议公众对涉及转账、敏感信息索取的电话保持警惕,特别是当对方声称是名人或权威人士时。
恶意软件
【CybersecurityNews网站3月31日报道】网络安全研究人员近日发现一款名为DarkCloud的高级窃取型恶意软件正在通过Telegram等渠道大肆传播。该恶意软件自2022年首次出现以来,已发展成为最具威胁的数据窃取工具之一,能够盗取浏览器数据、FTP凭证、屏幕截图、键盘记录以及加密货币钱包等敏感信息。据安全专家REXorVc0分析,DarkCloud采用多阶段感染机制逃避检测:初始通过钓鱼邮件传播,常伪装成付款收据或罚款通知;使用Base64编码和TripleDES加密等混淆技术;最终将恶意代码注入svchost.exe等合法Windows进程。该恶意软件主要针对企业HR部门,也常与其他恶意软件如DbatLoader捆绑传播。失窃数据会通过Telegram机器人自动传输给攻击者,对个人隐私和企业数据安全构成严重威胁。
18. 朝鲜黑客组织Konni RAT升级攻击手法,利用Windows资源管理器漏洞实施隐蔽攻击
【CybersecurityNews网站3月31日报道】网络安全公司Cyfirma于3月31日披露,与朝鲜有关的Konni RAT远程访问木马已升级攻击技术,通过利用Windows资源管理器漏洞实施多阶段攻击。该恶意软件主要针对政府机构、外交使团和关键基础设施,已在东南亚地区造成严重影响。最新攻击采用高度隐蔽的技术手段:攻击者首先通过鱼叉式钓鱼邮件传播伪装成文档的恶意文件,利用Windows资源管理器处理文件时的DLL搜索顺序劫持漏洞触发感染。攻击者将恶意DLL放置在特定位置,当资源管理器加载该DLL时即执行恶意代码。随后通过修改注册表、创建计划任务等方式建立持久化机制,并将恶意代码注入合法系统进程实现隐蔽运行。该攻击最大的威胁在于完全依托Windows合法系统进程实施,能有效规避传统安全检测。专家建议组织应加强应用程序控制策略,监控异常DLL加载行为,并部署能识别系统进程异常的行为检测系统。
往期推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...