专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240803】186期

网空闲话plus · 公众号 · · 2024-08-03 08:02

正文

2024-08-03 星期六 Vol-2024-186

今日热点导读

1. 欧盟首部人工智能法正式生效

2. 英国 NCA 关闭大型诈骗平台，制止 180 万次诈骗电话

3. Exodus 市场回归：暗网经济中的新势力

4. McDowall Affleck 确认遭遇“网络事件”， RansomHub 勒索团体声称获取 470GB 数据

5. 暗网行为者声称对 ADT 数据泄露负责

6. 美国起诉 TikTok 违反儿童隐私保护法

7. 谷歌 Chrome 更新破坏了下载气泡的拖放功能

8. Claroty Team82 揭露罗克韦尔 ControlLogix 1756 设备安全漏洞

9. SLUBStick 漏洞使攻击者能够完全控制 Linux 系统

10. 微软修补 Edge 浏览器关键漏洞，防止任意代码执行

11. 新型后门木马 BITSLOTH 利用 BITS 服务进行隐蔽通信

12. 美国参议院确认迈克尔·萨尔米耶为国防部网络政策助理部长

资讯详情

政策法规

1. 欧盟首部人工智能法正式生效

欧盟的首部人工智能法案于周四（8月1日）正式生效，标志着该地区在技术监管方面迈出的重要一步。该法案旨在保护27个成员国公民的“基本权利”，同时促进AI行业的投资与创新。法案根据风险等级对AI系统进行分类，大多数AI系统将被归入低风险类别，如内容推荐和垃圾邮件过滤器。法律规定分阶段实施。2024年2月起，针对“不可接受风险”的AI系统，如社交评分、某些预测性警务和情感识别系统，将面临全面禁令。2025年8月，通用AI模型（如OpenAI的GPT-4）将受新规约束。到2026年中期，包括高风险AI系统（如贷款决策系统和自主机器人）的完整法规将全面生效。此外，面临有限风险的AI系统，如聊天机器人，必须告知用户其为机器交互，AI生成内容（如深度伪造）需标记。违者将面临高达年全球收入7%的罚款。欧盟还将设立新的AI办公室，负责执行这些新规。

来源：https://www.securityweek.com/the-european-unions-world-first-artificial-intelligence-rules-are-officially-taking-effect/

安全事件

2. 英国NCA关闭大型诈骗平台，制止180万次诈骗电话

2024年8月，国家犯罪调查局（NCA）成功关闭了一个名为Russian Coms的复杂诈骗平台，该平台自2021年成立以来，向全球数千名受害者实施诈骗。Russian Coms通过使用银行、电信公司和执法机构的预选号码来伪装身份，利用信任进行诈骗，涉及130万次诈骗电话，影响50万个英国电话号码，造成数千万英镑的经济损失。该平台通过社交媒体进行推广，提供“无限通话时间”、“保持音乐”、“加密电话”和“即时手持设备擦除”等功能。典型的诈骗手法包括冒充银行号码，诱骗受害者将资金转移到骗子控制的“安全”账户。NCA的调查导致三名主要嫌疑人在伦敦Newham被捕，其中两人被认为是平台的开发者和管理员。NCA强调将继续打击技术驱动的犯罪，并警告此类服务通常存储用户数据，有助于执法部门识别和逮捕罪犯。

来源：https://gbhackers.com/nca-shuts-down-major-fraud-platform/

3. Exodus市场回归：暗网经济中的新势力

Exodus市场重新出现，成为非法在线经济中的显著参与者。Cyble Research & Intelligence Labs (CRIL) 密切监视了这个市场的发展，发现它在暗网社区中努力巩固地位，并试图吸引顾客从已建立的平台转移过来。Exodus市场首次亮相是在2024年2月10日的Cracked论坛上，自1月底开始运营以来，已经历了几次重大的域名变更。7月23日，Exodus市场背后的威胁行为者推广了新域名以吸引新用户，并提供通过推荐码免费注册的激励措施。Exodus市场的操作分析显示，平台由自2020年起活跃的用户“Kira3301”创建，该用户在网络开发领域享有盛誉。市场提供详细的机器人列表信息，交易通过比特币、门罗币和莱特币等加密货币进行。Exodus市场还提供客户支持的票务系统和维基百科部分，尽管后者目前尚未完成。Exodus市场强调了多个吸引用户的功能，包括每日更新超过10,000个新日志、增强隐私保护、改进的版主管理以及高级过滤选项以改善日志搜索。平台还计划引入新功能，如多商户、多供应商系统和用于直接日志注入的反检测浏览器。

来源：https://thecyberexpress.com/exodus-marketplace/

4. McDowall Affleck确认遭遇“网络事件”，RansomHub勒索团体声称获取470GB数据

澳大利亚工程公司McDowall Affleck确认其近期遭遇“网络事件”。虽然公司尚未明确攻击者，但勒索软件团体RansomHub在2024年8月1日声称对该事件负责。RansomHub在其暗网网站上公布了相关信息，声称已获取McDowall Affleck的470GB内部数据，包括关键文件、保险记录、合同细节以及员工和客户的个人信息。RansomHub威胁若不满足其要求，将在4-5天内公开这些数据。McDowall Affleck表示，发现问题后迅速采取了措施，聘请了取证专家进行调查，并与澳大利亚网络安全中心（ACSC）及西澳警察局合作。公司正评估在线声明的真实性，并向受影响方提供了安全指导。RansomHub被认为是Knight勒索软件的演变版本，利用Ransomware-as-a-Service模型，曾攻击高知名度目标如Christie’s。

来源：https://thecyberexpress.com/mcdowall-affleck-cyberattack/

5. 暗网行为者声称对ADT数据泄露负责

2024年8月1日，一名以“netnsher”为别名的暗网行为者声称对美国知名安全公司ADT的数据泄露事件负责。据称，此次泄露涉及超过30,812条记录，包括约30,400个独特的电子邮件地址，信息内容涵盖客户邮箱、实际地址、用户ID和购买历史等个人详细信息。该行为者不仅公开了这些记录，还提供了样本以证明泄露的真实性。ADT公司已确认知晓此事并正在进行调查，以评估泄露对客户的影响。此次事件是“netnsher”所涉及的一系列数据泄露事件中的最新一例。此前，该行为者还声称对Kernel Finance和Law Firm Banking Trustnota的数据泄露负责，并在上个月声称攻击了RestoreCord，出售了包含DiscordID、Discord名称、IP地址和日期的数据库。ADT作为安全行业的巨头，此次数据泄露的影响尤为严重，因为暴露的记录可能被滥用，导致身份盗窃或钓鱼攻击。目前，情况仍在发展中，ADT和受影响的客户需要保持警惕，防范潜在的信息滥用风险。

来源：https://thecyberexpress.com/adt-data-breach/

6. 美国起诉TikTok违反儿童隐私保护法

美国司法部已对流行社交媒体平台TikTok及其母公司字节跳动提起诉讼，指控其严重违反儿童隐私保护法律。诉讼称，TikTok未经父母同意收集13岁以下儿童的个人信息，违反了《儿童在线隐私保护法》（COPPA）。自2019年以来，TikTok还允许儿童在未启用“儿童模式”的情况下创建账户，并未有效实施删除儿童账户的政策和流程。司法部指出，TikTok暴露了大量年轻用户的个人信息，允许他们接触成人内容并与成人用户互动。此外，TikTok在家长要求删除个人信息时未遵守规定，且未能准确告知数据收集和使用情况。司法部要求对TikTok及字节跳动处以民事处罚，并采取禁令以防止进一步违反。TikTok回应称不同意指控，并表示将继续改进保护儿童的措施。

来源：https://www.bleepingcomputer.com/news/security/us-sues-tiktok-for-violating-children-privacy-protection-laws/

7. 谷歌Chrome更新破坏了下载气泡的拖放功能

最近的谷歌Chrome浏览器更新意外破坏了下载气泡中的拖放功能，该功能原本允许用户将下载的文件拖放到浏览器的任何网站或标签页上。下载菜单原先以浏览器底部的条形形式出现，去年变更为出现在工具栏中的下载气泡。据BleepingComputer首次报道，数百名用户反映在最近的Chrome更新后，拖放功能失效。问题主要在于无法将文件拖入另一个Chrome窗口或用以打开新的Chrome窗口。谷歌在Chromium问题跟踪中确认，该错误始于7月29日，影响了版本127.0.6533.73和126.0.6478.185。经调查，问题是由一项旨在提高性能的新功能'UIPumpImprovementsWin'引起的，该功能在上周日晚间向50%的Chrome稳定版用户推出。谷歌已通过回滚UIPumpImprovementsWin变更来创建修复方案，并计划尽快向用户推出。

来源：https://www.bleepingcomputer.com/news/google/google-chrome-bug-breaks-drag-and-drop-from-downloads-bubble/

漏洞预警

8. Claroty Team82揭露罗克韦尔ControlLogix 1756设备安全漏洞

Claroty的Team82研究团队发现了罗克韦尔自动化ControlLogix 1756设备中的一个安全绕过漏洞。该漏洞允许攻击者绕过罗克韦尔实施的受信任插槽特性，这一特性用于执行安全策略，允许控制器拒绝通过本地机箱上不受信任路径的通信。攻击者需要对设备进行网络访问才能利用此漏洞，成功利用将允许攻击者绕过安全限制，向PLC CPU发送高权限命令。罗克韦尔已经发布了针对CVE-2024-6242（CVSSv3：8.4）的修复程序，美国网络安全和基础设施安全局（CISA）也发布了包含缓解建议的咨询。受影响的产品包括ControlLogix、GuardLogix和1756 ControlLogix I/O模块。CISA咨询确认，受影响产品中存在的漏洞允许威胁行为者绕过ControlLogix控制器中的受信任插槽特性，如果利用，可能执行修改用户项目和/或Logix控制器上设备配置的CIP命令。

来源：https://industrialcyber.co/vulnerabilities/security-flaw-in-rockwell-controllogix-1756-devices-exposed-by-clarotys-team82/

9. SLUBStick漏洞使攻击者能够完全控制Linux系统

安全研究人员发现了一个严重的Linux内核漏洞，名为“SLUBStick”，该漏洞利用内存分配缺陷，使攻击者能够获得对受影响系统的完全控制。该漏洞影响最新的Linux内核版本，包括5.19和6.2，允许无特权用户提升权限并可能逃逸容器环境。SLUBStick通过利用内核的SLUB内存分配器进行跨缓存攻击，研究人员开发了一种新的时间侧信道技术，将成功率提高到99%以上。该漏洞分多个阶段操作，首先通过时间侧信道可靠地触发内存重用，然后将受限的内存损坏错误转化为覆盖页表条目的能力，从而将任意物理内存映射到攻击者的地址空间。研究人员展示了该漏洞对9个真实世界Linux漏洞的有效性，甚至在现代内核防御启用的情况下也能实现权限提升和容器逃逸。研究结果已披露给Linux内核安全团队，建议用户尽快应用安全更新。研究人员还提出了几种潜在的缓解措施，但警告说，彻底解决这些问题可能需要对内核内存管理进行更根本的更改。

来源：https://cybersecuritynews.com/slubstick-linux-vulnerability/

10. 微软修补Edge浏览器关键漏洞，防止任意代码执行

2024年8月，微软修复了其基于Chromium的Edge浏览器中的多项关键漏洞。受影响的版本包括127.0.6533.88和127.0.6533.89，用户被强烈建议更新到最新版本以降低安全风险。根据Asec Ahnlab的报告，这些漏洞涉及Microsoft Edge的Dawn组件和WebTransport功能，可能被攻击者利用来执行任意代码或进行越界（OOB）内存访问。具体漏洞包括：Dawn组件中的不正确数据验证（CVE-2024-7256）、未初始化使用（CVE-2024-6990），以及WebTransport功能中的漏洞（CVE-2024-7255）。微软通过最新更新发布了针对这些漏洞的补丁，用户可以通过Windows更新或访问微软官方网站进行下载和安装。Edge浏览器用户应立即更新浏览器，以保护系统免受潜在的攻击。

来源：https://gbhackers.com/microsoft-patched-a-critical-edge-flaw/

恶意软件

11. 新型后门木马BITSLOTH利用BITS服务进行隐蔽通信

网络安全研究人员发现了一种新型Windows后门木马BITSLOTH，该木马利用内置的Background Intelligent Transfer Service（BITS）功能作为命令与控制（C2）机制。Elastic Security Labs于2024年6月25日发现这一后门，与针对某南美国家外交部的网络攻击有关，该活动集群被追踪为REF8747。BITSLOTH包含35个处理函数，包括键盘记录和屏幕捕获功能，以及多种用于发现、枚举和命令行执行的功能。该工具自2021年12月开始开发，被认为用于数据收集。虽然幕后黑手不明，但源代码分析显示，作者可能是讲中文的人员。此外，该木马使用开源工具RingQ进行加密，以防止被安全软件检测。BITSLOTH还使用了STOWAWAY来代理加密的C2流量，并通过iox端口转发工具。BITSLOTH以DLL文件形式存在，通过使用与Image-Line公司合法程序FL Studio相关的执行文件进行DLL侧加载。研究人员指出，该后门木马具备运行和执行命令、上传和下载文件、执行枚举和发现、通过键盘记录和屏幕捕获收集敏感数据等功能。

来源：https://thehackernews.com/2024/08/new-windows-backdoor-bitsloth-exploits.html

其他动态

12. 美国参议院确认迈克尔·萨尔米耶为国防部网络政策助理部长

美国参议院于周四确认迈克尔·萨尔米耶（Michael Sulmeyer）担任五角大楼的首任网络政策助理部长。2023财年国防政策法案要求设立一个总统任命的网络政策职位，以解决五角大楼在利用民用领导专注于此类政策方面的不足。萨尔米耶将管理的五角大楼单位于3月份成立，由前代理助理部长艾什莉·曼宁（Ashley Manning）临时领导。新办公室负责协调五角大楼的网络战略、监督军事网络作战预算、网络人才发展和私营部门的联络等工作。目前，美国军事网络空间的监管以网络司令部（CYBERCOM）为核心，它是一个联合作战指挥部，汇集了多个军种的服务人员。萨尔米耶此前担任美国陆军部长的首席网络顾问，支持网络就绪和战略事务。他曾在国防部长办公室、国家安全委员会和网络司令部任职，并在哈佛大学肯尼迪学院贝尔弗科学与国际事务中心担任网络安全项目的主任，此外还拥有德克萨斯大学法学院和乔治城大学安全与新兴技术中心的教学与研究经验。

来源：https://www.nextgov.com/cybersecurity/2024/08/senate-confirms-first-ever-pentagon-cyber-policy-chief/398537/?oref=ng-home-top-story

5th域安全微讯早报【20240803】186期

正文

请到「今天看啥」查看全文