专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240812】193期

网空闲话plus · 公众号 · · 2024-08-12 06:54

正文

2024-08-12 星期一 Vol-2024-193

今日热点导读

1. 伊朗黑客攻击特朗普竞选活动并泄露内部通信

2. 黑客泄露 Nerasolgh 公司 30 万行数据以惩罚其数据保护失责

3. 两名嫌疑人在佛罗里达被捕，涉嫌运营 WWH-Club 黑市

4. 揭露速度跑圈作弊者的黑客： Allan Cecil 的使命

5. 美国商品期货交易委员会对 FTX 和 Alameda 诈骗案取得历史性判决

6. 英国塞拉菲尔德核设施因网络安全漏洞道歉，或开创行业新判例

7. 通信服务商 Twilio 因 Segment SDK 被诉侵犯隐私

8. 威胁演员声称泄露 860 万条记录，涉及佛罗里达金融监管办公室

9. 黑客攻击致使奶牛死亡：瑞士农场遭勒索事件

10. 近 27 亿条美国个人信息记录遭泄露

11. 独立研究员揭露大规模硬编码秘密泄露

12. 谷歌 Quick Share 工具中发现 10 个安全漏洞

13. WordPress 插件漏洞 PoC 发布：远程代码执行威胁严重

14. Golddigger 与 Gigabud 银行木马通过钓鱼战术扩展攻击范围

15. 从 99 美元起的网络攻击市场：揭秘 Botnet 的运作

16. Xiaomi 推出 HyperOS 2.0 ，内置隐藏摄像头检测功能提升用户隐私保护

资讯详情

安全事件

1. 伊朗黑客攻击特朗普竞选活动并泄露内部通信

2024年8月10日，特朗普的总统竞选团队被黑客入侵，内部通信被泄露，竞选发言人指责此举是伊朗黑客所为。最早报道此事的是《Politico》，该媒体收到了匿名邮件，内含竞选内部对话内容。据报道，微软近期的一份报告提到，伊朗黑客在2024年6月入侵了一位美国总统候选人的账户，但未公开具体身份。特朗普竞选团队发言人表示，这些文件是通过非法手段从对美国怀有敌意的外国势力处获取的，目的是干涉2024年大选并扰乱民主进程。特朗普团队尚不清楚是否已与微软或执法部门联系，联邦调查局和网络安全与基础设施安全局对此事拒绝置评。伊朗被认为正在尝试暗杀特朗普，尽管没有证据表明上个月试图暗杀特朗普的袭击者与伊朗有联系。前CISA主任Chris Krebs表示，伊朗的信息行动越来越像俄罗斯，意在分裂美国并破坏民主。伊朗驻美代表也未对此事作出回应。

来源：https://www.nextgov.com/cybersecurity/2024/08/trump-campaign-hacked-blames-iran-stealing-internal-communications/398729/

2. 黑客泄露Nerasolgh公司30万行数据以惩罚其数据保护失责

2024年8月10日，Dark Web Informer报道了一个重大数据泄露事件。一个匿名的黑客在BreachForums论坛上声称，Nerasolgh公司因未能履行数据保护承诺而受到惩罚。黑客宣布泄露该公司30万行客户和员工数据，包括姓名、电子邮件、密码、地址、经纬度、银行详细信息等敏感信息。该黑客还指责Nerasolgh与Omni Bank和M-Files合作，却未能采取足够的安全措施保护数据，导致此次泄露事件发生。黑客在泄露声明中警告Nerasolgh应加大投资以加强数据保护，否则将面临更严重的后果。Nerasolgh是一家专注于定制商业效率软件解决方案的科技公司，致力于在复杂的信息环境中为客户提供优质服务。

来源：https://darkwebinformer.com/a-threat-actor-has-allegedly-leaked-300k-lines-of-data-belonging-to-nerasolgh/

3. 两名嫌疑人在佛罗里达被捕，涉嫌运营WWH-Club黑市

2024年8月10日，WWH-Club，一个自2012年以来运营的臭名昭著的黑市，被美国执法部门重创，两名涉嫌管理该平台的嫌疑人在佛罗里达被捕。嫌疑人分别是俄罗斯国籍的帕维尔·库布里茨基和哈萨克斯坦的亚历山大·霍迪列夫，他们被控管理这个黑市平台，涉及数不清的信用卡欺诈和身份盗窃案件。布里茨基和霍迪列夫过着奢华的生活，频繁使用现金进行奢侈消费，这引起了美国国税局的注意。尽管没有合法收入来源，二人仍大额存款，并在昂贵的旅游景点上花费巨资。WWH-Club黑市拥有超过35万注册会员，主要交易被盗信用卡数据、个人信息和恶意软件，还提供给新手网络犯罪分子培训，并设有保护非法交易的托管服务。

来源：https://thecyberexpress.com/wwh-club-stolen-credit-card-marketplace-admins/

4. 揭露速度跑圈作弊者的黑客：Allan Cecil的使命

Allan “dwangoAC” Cecil，是一名致力于揭露电子游戏速度跑圈作弊者的黑客。他的使命是确保这个快速完成游戏的竞技领域保持公平。速度跑（speedrunning）是一项技术性极高的竞技活动，选手们通过利用游戏漏洞和惊人的技巧，将通常需要数十小时完成的游戏缩短至几分钟。然而，这一领域也存在作弊行为，部分玩家通过篡改工具或操纵录像来伪造记录。Cecil以他的机器人TASbot为工具，专门用来测试和揭露那些“不可能的”速度跑纪录。他将在Defcon黑客大会上挑战一个持续了15年的速度跑纪录，进一步巩固他作为速度跑圈内公正捍卫者的地位。这一活动不仅体现了技术的极限，也展现了他对竞技公平的坚持。

来源：https://www.wired.com/story/the-hacker-who-hunts-video-game-speedrunning-cheaters/

5. 美国商品期货交易委员会对FTX和Alameda诈骗案取得历史性判决

美国商品期货交易委员会（CFTC）在一场为受骗投资者争取权益的重大胜利中，对现已破产的FTX集团及其关键人物，前CEO塞缪尔·班克曼-弗里德（Samuel Bankman-Fried）及其核心圈子，获得了高达127亿美元的判决。这一判决是美国纽约南区地方法院同意的，要求FTX Trading Ltd.和Alameda Research LLC支付87亿美元的赔偿和40亿美元的非法所得没收。这一赔偿将用于进一步补偿因FTX欺诈活动而遭受损失的受害者。CFTC主席Rostin Behnam指出，FTX使用传统手段制造了一种假象，让人们认为它是一个安全且可靠的加密货币市场接入地，但基本的监管工具，如治理、客户保护和监控，以识别不当行为并最终防止崩溃的手段，实际上并不存在。CFTC还寻求对被告进行额外的赔偿、没收、民事罚款、永久交易和注册禁令。

来源：https://thecyberexpress.com/cftc-12-7-billion-judgment-against-ftx-alameda/

6. 英国塞拉菲尔德核设施因网络安全漏洞道歉，或开创行业新判例

在英国坎布里亚的塞拉菲尔德核废料管理中心因一系列网络安全漏洞道歉。该中心负责管理英国85%的核废料，因其四年来（2019-2023）的IT安全缺陷，使得敏感信息暴露，严重威胁到国家安全。外部承包商Atos发现，75%的服务器易受攻击，使用过时的操作系统如Windows 7和Windows 2008。此外，Commissum报告指出，一个“技术熟练的黑客或恶意内部人员”有可能访问敏感数据并插入恶意软件，增加了间谍和破坏的风险。塞拉菲尔德已采取措施改善系统，并表示问题已在过去，但仍需面对法院的判决。法院预定于9月对其进行判决，此次案件可能为核行业未来的网络安全管理设立新标准。

来源：https://thecyberexpress.com/sellafield-apology-cybersecurity-failings/

7. 通信服务商Twilio因Segment SDK被诉侵犯隐私

2024年8月9日，通信服务提供商Twilio因被指控其开发者工具Segment SDK在未经用户同意的情况下，秘密收集移动应用数据而面临诉讼。这起案件在加利福尼亚州旧金山的联邦法院提起，名为Bender v. Twilio, Inc。Segment SDK被集成到移动应用中，用于数据收集和分析，但原告声称该SDK违反了美国的《窃听法》、《加州窃听法》和《加州综合计算机数据访问和欺诈法》。原告指出，Twilio通过SDK实时收集敏感数据，包括用户姓名、电子邮件地址、移动广告ID、应用名称和设备指纹数据等。该SDK不仅收集与应用用户和设备硬件相关的数据，还收集应用内活动数据，如搜索词、按键操作、搜索结果、按钮和菜单交互以及请求的页面。本案中涉及的应用是一款名为Calm的心理健康应用，其隐私政策描述了广泛的数据收集和共享，但并未特别提及Twilio或Segment SDK。诉讼强调，由于Calm应用涉及压力、焦虑和抑郁等敏感信息，因此收集的数据也极为敏感。

来源：https://www.theregister.com/2024/08/09/twilio_privacy_lawsuit/

8. 威胁演员声称泄露860万条记录，涉及佛罗里达金融监管办公室

2024年8月10日，威胁演员Hikki-chan宣称泄露了佛罗里达金融监管办公室的数据库，涉及860万条记录。此次泄露的数据库包含多个行业的数据，包括房地产、美容和建筑等。泄露的数据包括个人身份信息（PII）、专业许可记录、检查和合规报告、企业地址、专业关系、监管行动以及调查数据。数据包中含有详细的CSV和Excel文件，共307个文件，总计1.36GB的数据，涵盖了863万条记录。这一泄露事件引发了对敏感信息安全的担忧，影响范围广泛，可能涉及多个行业的个人和企业。尽管尚未确认数据泄露的具体影响，但数据的敏感性质可能对相关个人和组织构成严重风险。

来源：https://dailydarkweb.net/threat-actor-claims-to-leak-8-6-million-records-from-florida-office-of-financial-regulation/

9. 黑客攻击致使奶牛死亡：瑞士农场遭勒索事件

媒体近日披露，2023年11月，瑞士农场主维塔尔·比尔彻（Vital Bircher）遭遇了一起严重的网络勒索事件。黑客控制了他的奶牛挤奶机器人，并加密了所有数据，随后向比尔彻索要1万美元赎金。尽管挤奶系统部分仍可运行，但比尔彻拒绝支付赎金。由于无法获取奶牛怀孕及分娩的精确信息，一头奶牛因未能及时分娩而死亡，比尔彻因此额外支付了2000瑞士法郎的兽医费用。此事件最终给比尔彻造成了约6000瑞士法郎的经济损失，其中包括购买新计算机的费用。瑞士农民联盟（USC）指出，尽管类似的网络攻击在该国的农业领域尚未广泛传播，但对挤奶机器的攻击已经引发了严重后果，奶牛无法正常挤奶的问题尤为关键。类似的网络勒索事件此前也曾发生在瑞士的哈根多恩村。

来源：https://securityaffairs.com/166839/cyber-crime/cow-milking-robot-hacked.html

10. 近27亿条美国个人信息记录遭泄露

2024年8月11日，据Lawrence Abrams报道，近27亿条包含美国公民姓名、社会安全号码、所有已知住址及可能的别名的个人信息记录在黑客论坛上被泄露。这些数据据信来自National Public Data公司，该公司收集并销售个人数据用于背景检查、获取犯罪记录和私人调查。此前，名为USDoD的威胁行为者声称以350万美元的价格出售2.9亿条记录，声称包含了美、英、加三国每个人的记录。8月6日，名为"Fenice"的威胁行为者在Breached黑客论坛上免费泄露了最完整的版本，但表示此次数据泄露是由另一位名为"SXUL"的威胁行为者所为。泄露的数据包括两个总计277GB的文本文件，包含近27亿条明文记录。尽管无法确认此次泄露是否包含了每个美国人的数据，但多人已确认包含他们及其已故家庭成员的真实信息。每条记录包括人名、邮寄地址和社会安全号码，部分记录还包括其他信息，如与该人相关的其他姓名。此次数据泄露已引发针对Jerico Pictures（据信是National Public Data的商业名称）的多起集体诉讼，因其未能充分保护人们的个人数据。

来源：https://www.bleepingcomputer.com/news/security/hackers-leak-27-billion-data-records-with-social-security-numbers/

漏洞预警

11. 独立研究员揭露大规模硬编码秘密泄露

独立安全研究员比尔·德米尔卡皮（Bill Demirkapi）自2021年秋季以来，开发了一种方法，利用常被忽视的大数据源，发掘出超过15000个硬编码的开发者秘密和66000个易受攻击的网站。这些秘密包括密码、API密钥和认证令牌，可能使网络犯罪分子能够访问公司系统并窃取数据。在拉斯维加斯举行的Defcon安全会议上，德米尔卡皮公布了他的研究成果，其中包括内布拉斯加州最高法院的用户名和密码细节、斯坦福大学Slack频道的访问权限，以及数千个OpenAI客户的API密钥。德米尔卡皮还扫描了数据源，发现了存在悬挂子域问题的66000个网站，使它们容易受到包括劫持在内的各种攻击。他通过创造性地使用通常用于其他目的的非常规数据集，识别了这些大规模问题，并提出了一种方法，可以自动撤销暴露的秘密，使它们对任何黑客都无用。

来源：https://www.wired.com/story/secret-hunting-bill-demirkapi/

12. 谷歌Quick Share工具中发现10个安全漏洞

2024年8月10日，SafeBreach Labs的研究人员揭露了谷歌Quick Share（前称Nearby Share）数据传输工具中存在的10个安全漏洞。这些漏洞横跨多个平台，包括Android和Windows，可能被组合利用来在安装了该软件的系统上触发远程代码执行（RCE）链。这些漏洞包括六起远程拒绝服务（DoS）问题、两起未授权文件写入错误、一起目录遍历问题，以及一起强制Wi-Fi连接问题。其中，一项漏洞（CVE-2024-38271）可迫使受害者保持连接至为分享而创建的临时Wi-Fi网络，另一项（CVE-2024-38272）允许攻击者绕过Windows上的接受文件对话框。Quick Share是一款点对点文件共享工具，允许用户在近距离内的Android设备、Chromebook以及Windows桌面和笔记本电脑之间传输照片、视频、文档、音频文件或整个文件夹。两台设备必须在彼此5米（16英尺）范围内，并启用蓝牙和Wi-Fi。

来源：https://thehackernews.com/2024/08/researchers-uncover-10-flaws-in-googles.html

13. WordPress 插件漏洞PoC发布：远程代码执行威胁严重

2024年8月11日，CVE-2024-3105的概念验证（PoC）代码在GitHub上公开，该漏洞影响WordPress插件“Woody code snippets – Insert Header Footer Code, AdSense Ads”。此插件的2.5.0及之前版本存在远程代码执行（RCE）漏洞，原因在于插件未限制'insert_php'短代码的使用权限，导致拥有贡献者及以上权限的认证攻击者能够在服务器上执行任意代码。漏洞的CVSS评分为9.9（CRITICAL），攻击向量涉及网络，易于利用，并可能导致严重的保密性、完整性和可用性破坏。受影响用户应立即升级至2.5.1或更新版本，以防范潜在攻击。PoC中提供的示例PHP代码可被用于远程执行命令，进一步加剧了此漏洞的危险性。

来源：https://darkwebinformer.com/poc-released-a-poc-exploit-for-cve-2024-3105-the-woody-code-snippets/

恶意软件

14. Golddigger与Gigabud银行木马通过钓鱼战术扩展攻击范围

2024年7月以来，网络安全分析师观察到Golddigger和Gigabud Android银行木马活动显著增加，尤其是Gigabud的检测率大幅上升，表明其分发和影响力正在扩大。Gigabud伪装成合法的航空应用，通过模仿Google Play商店的钓鱼网站传播，目标用户从越南、泰国扩展至孟加拉国、印尼、墨西哥、南非和埃塞俄比亚。研究显示Golddigger和Gigabud共享相似的代码库，表明它们可能由同一威胁行为者操控。Gigabud的最新版本增加了多个API端点，并继续使用“libstrategy.so”库进行UI元素交互，意在窃取金融数据并执行恶意操作。为防范这些木马，建议用户启用生物识别安全功能、谨慎处理短信和邮件中的链接、启用Google Play Protect，并及时更新设备和应用程序。

来源：https://thecyberexpress.com/golddigger-and-gigabud-malware/

15. 从99美元起的网络攻击市场：揭秘Botnet的运作

2024年8月9日，Kaspersky的研究揭示了Botnet（僵尸网络）在网络攻击中的普及及其市场情况。Botnet由感染恶意软件的设备组成，可用于发起大规模攻击，如DDoS攻击。研究显示，Botnet在黑市上的租赁或购买价格从99美元起，最高可达10,000美元，租赁费用从30美元到4,800美元不等。这些网络可以根据具体需求进行定制，包含不同的感染方法、软件类型和绕过保护系统的手段。近期俄罗斯的IoT设备感染数量增加了一倍，尤其是家庭和工业设备。黑市上也出现了按需定制Botnet的服务，价格从3,000美元起。这些Botnet不仅用于发起攻击，还被用于非法挖矿和传播勒索软件，后者的赎金可高达2,000,000美元。尽管Botnet相对容易获取，它们仍然是网络犯罪分子常用的工具，威胁着个人和组织的安全。

来源：https://www.securitylab.ru/news/550999.php

其他动态

16. Xiaomi 推出HyperOS 2.0，内置隐藏摄像头检测功能提升用户隐私保护

Xiaomi公司正在改进其操作系统HyperOS，计划在2024年10月发布新版HyperOS 2.0。新版本的一大亮点是内置的隐藏摄像头检测功能。用户只需一键扫描，即可启动该功能，以识别周围可能存在的隐藏摄像头，旨在提升用户的隐私和安全保护。虽然技术细节尚未完全公开，但该功能可能依赖于WLAN信号进行检测。然而，实际效果仍有待观察，尤其是在复杂的物理环境和信号干扰的情况下。此外，HyperOS 2.0还将带来设备性能提升、增强的设备互联体验和更广泛的个性化选项，进一步优化用户体验。

来源：https://www.securitylab.ru/news/551019.php

5th域安全微讯早报【20240812】193期

正文

请到「今天看啥」查看全文