5th域安全微讯早报【20250102】002期

2025-01-02  星期四 Vol-2025-002

1. Starlink 直连蜂窝网络即将登陆乌克兰，提升通信韧性

2. 俄罗斯以违法为由封锁通信应用 Viber ，影响 1700 万用户

3. 美国法院裁定 NSO 集团对 WhatsApp 黑客攻击负责， Pegasus 间谍软件再受打击

4. 美国陆军士兵涉嫌窃取特朗普 AT&T 通话记录被捕

5. 35 个 Google Chrome 扩展程序遭黑客入侵， 260 万用户面临风险

6. 美国制裁伊朗和俄罗斯实体，指控其利用 AI 和网络战术干预选举

7. 80 万辆大众汽车信息曝光事件引发德国安全危机

8. DrayTek 设备曝严重漏洞，攻击者可远程执行任意命令

9. Kerio Control 修复存在 7 年的 RCE 漏洞，用户需尽快更新

10. 无文件恶意软件：基于内存的攻击与防御挑战

1. Starlink 直连蜂窝网络即将登陆乌克兰，提升通信韧性

【 The Register 网站 1 月 1 日报道】乌克兰移动运营商 Kyivstar 宣布将与 Starlink 合作，推出直达蜂窝的卫星连接服务，预计消息服务将于 2025 年底正式启动，后续将扩展至语音和数据功能。该服务利用配备虚拟基站功能的 Starlink 卫星，使用户能够通过标准移动设备直接连接，无需依赖传统手机信号塔。 Starlink 此前已在美国和新西兰等地推出类似服务，并在 2022 年与 T-Mobile US 合作，为美国偏远地区提供手机信号覆盖。在乌克兰与俄罗斯的冲突中， Starlink 连接已被证明是重要的通信保障。 Kyivstar 母公司 VEON 表示，此举将使乌克兰成为首批拥有 Starlink 直连蜂窝服务的国家之一，显著增强其通信网络的韧性。尽管 Starlink 直连服务面临技术挑战，例如美国联邦通信委员会（ FCC ）对其信号强度的限制，但其在全球范围内的应用前景广阔。 Kyivstar 首席执行官 Oleksandr Komarov 强调，此次合作将加速实现“ LTE 无处不在”的目标，进一步巩固乌克兰在战争期间的通信能力。

2. 俄罗斯以违法为由封锁通信应用 Viber ，影响 1700 万用户

【 Latest Hacking News 网站 1 月 1 日报道】俄罗斯监管机构 Roskomnadzor 以违反国家法律为由，封锁了即时通讯应用 Viber 。 Roskomnadzor 表示， Viber 未能遵守删除犯罪内容的法律要求，包括涉及毒品销售、恐怖主义和传播错误信息的内容。 Viber 是俄罗斯最常用的通讯应用之一，每天有超过 1700 万独立用户，此次封锁将对这些用户的日常通讯造成重大影响。此前，俄罗斯已对 Viber 处以多笔罚款，因其未支付罚款并发布违禁内容。俄罗斯国家杜马信息政策委员会委员 Anton Nemkin 指出， Viber 的加密功能使其成为外国情报机构招募人员的工具，尤其是青少年容易成为受害者。此次封锁并非俄罗斯首次对热门服务采取严厉措施，此前已封锁加密消息应用 Signal 和多家 VPN 服务提供商。这些举措表明俄罗斯对公民数字自由的压制正在加深，同时也引发了对通信自由与国家安全之间平衡的讨论。

3. 美国法院裁定 NSO 集团对 WhatsApp 黑客攻击负责， Pegasus 间谍软件再受打击

【 Latest Hacking News 网站 1 月 1 日报道】美国法院近期作出裁决，认定以色列 NSO 集团对 Meta 旗下 WhatsApp 的黑客攻击行为负有责任。美国地区法官 Phyllis J. Hamilton 指出， NSO 集团多次入侵 WhatsApp 服务器，并在 2019 年 5 月期间通过位于加利福尼亚的服务器传输 Pegasus 间谍软件代码 43 次，构成对服务器的非法入侵。此前，法院曾要求 NSO 集团在 2024 年初向 WhatsApp 提供 Pegasus 的完整源代码，但 NSO 以安全为由未予配合。 Meta 于 2019 年对 NSO 集团提起诉讼，指控其利用 WhatsApp 漏洞（ CVE-2019-3568 ）部署 Pegasus 间谍软件。尽管 Meta 已修复漏洞，但 NSO 集团仍被指控继续利用 WhatsApp 传播恶意软件。 NSO 集团因向专制政权提供监控工具而臭名昭著，研究机构 CitizenLab 多次报告 Pegasus 被用于针对记者、活动人士甚至政府官员的监控。 Pegasus 以其隐蔽性和持久性著称，即使是最强大的反恶意软件也难以清除。此次裁决对 NSO 集团构成重大打击，同时也为 Meta 挽回用户信任提供了支持。

4. 美国陆军士兵涉嫌窃取特朗普 AT&T 通话记录被捕

【 The Register 网站 1 月 1 日报道】一名美国陆军士兵 Cameron John Wagenius 因涉嫌非法转移机密电话记录信息在德克萨斯州被捕。 Wagenius 被怀疑是代号为 Kiberphant0m 的网络犯罪分子，据称其入侵了包括 AT&T 和 Verizon 在内的至少 15 家电信公司网络。起诉书显示， Wagenius 在未经授权的情况下出售和转让了机密电话记录信息，但未提及具体受害者或黑客活动细节。信息安全记者 Brian Krebs 指出， Wagenius 与 Connor Riley Moucka 是同伙，后者因入侵 Snowflake 云存储服务并窃取客户数据已被捕。 11 月 6 日， Kiberphant0m 在 BreachForums 上声称窃取了 AT&T 候任总统唐纳德·特朗普和副总统卡马拉·哈里斯的通话记录，并威胁泄露数据。 Wagenius 的母亲表示对其儿子的黑客行为毫不知情。 12 月 20 日， Wagenius 在德克萨斯州出庭，联邦检察官要求将其引渡至华盛顿州。此次逮捕使得与 Snowflake 数据勒索事件相关的嫌疑人增至三人，包括此前被捕的 Moucka 和 John Erin Binns 。联邦检察官指控三人共谋实施计算机欺诈、电信欺诈和严重身份盗窃，涉及至少 10 个组织的数十亿条敏感客户记录。此前报告显示， Snowflake 客户中至少有 165 家受到攻击，包括 AT&T 、桑坦德银行和 Ticketmaster 等。犯罪分子可能与 Scattered Spider 组织有关，该组织被认为是 2023 年拉斯维加斯赌场数字抢劫案的幕后黑手。

5. 35 个 Google Chrome 扩展程序遭黑客入侵， 260 万用户面临风险

【 Cybersecurity News 网站 1 月 1 日报道】至少 35 个 Google Chrome 扩展程序遭到黑客入侵，涉及约 260 万用户。攻击者通过伪装成 Google Chrome 网上应用店开发者支持的官方通知，诱骗扩展程序发布者授予 OAuth 权限，从而绕过多因素身份验证并上传恶意版本。这些受感染的扩展程序包括流行的 VPN 工具、 AI 浏览器集成和生产力插件，恶意代码旨在窃取用户会话令牌、 cookie 和凭据，特别是针对 Facebook 广告仪表板等企业账户。加州数据保护公司 Cyberhaven 率先确认了此次攻击，并指出攻击者利用硬编码的命令与控制（ C2 ）域远程窃取数据。初步调查显示，攻击活动可能始于 2024 年 3 月，主要攻击媒介为伪装成 Google 合规通知的网络钓鱼邮件。安全研究人员建议用户立即卸载或更新受感染扩展程序，重置密码并监控账户异常活动。尽管部分扩展程序已被删除或修复，但攻击范围可能进一步扩大，用户需保持警惕并定期验证扩展程序的合法性。

6. 美国制裁伊朗和俄罗斯实体，指控其利用 AI 和网络战术干预选举

【 The Hacker News 网站 1 月 1 日报道】美国财政部外国资产控制办公室（ OFAC ）对伊朗和俄罗斯的两个实体实施制裁，指控其利用人工智能（ AI ）和网络战术干预 2024 年 11 月的美国总统大选。受制裁的实体包括伊朗伊斯兰革命卫队的下属组织“认知设计生产中心”（ CDPC ）和俄罗斯情报总局（ GRU ）的分支机构“地缘政治专业知识中心”（ CGE ）。这些实体通过生成 AI 工具创建深度伪造内容和虚假信息，并利用伪装成合法新闻机构的网站进行传播，旨在煽动社会政治紧张局势并影响美国选民。美国财政部指出， CGE 通过建立 AI 服务器和虚假网站网络，在 GRU 的资金支持下进行秘密影响行动。此外，伊朗实体还被指控策划网络行动以获取与选举相关的敏感信息。此次制裁是美国应对外国干预选举的持续努力的一部分，凸显了 AI 技术在虚假信息传播中的潜在威胁。

7. 80 万辆大众汽车信息曝光事件引发德国安全危机

【 Boan News 网站 1 月 1 日报道】德国大众汽车公司发生了一起严重的信息泄露事件，导致超过 80 万辆电动汽车及其车主的敏感数据被曝光。此次事件由大众汽车软件开发子公司 Cariad 在设置亚马逊云存储系统时出现错误，导致数据在未加密的情况下连接到互联网数月。泄露的信息包括车主和驾驶员的姓名、联系方式以及精确的位置数据，部分车辆甚至记录了发动机开关的具体时间和地点。受影响车辆不仅限于大众品牌，还包括西雅特、奥迪和斯柯达等品牌。泄露的数据中涉及政界人士、企业高管、情报机构人员和警察等敏感群体的信息，例如绿党成员 Nadja Weippert 和联邦议会议员 Markus Gr ü bel 的日常行踪。此次事件暴露了车辆数据管理的严重漏洞，攻击者可能利用这些数据实施跟踪、网络钓鱼甚至社会基础设施攻击。专家建议，汽车制造商应减少不必要的数据收集，消费者应提高对车辆数据收集的认知，并通过集体行动要求企业改进数据管理。