专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240629】156期

网空闲话plus · 公众号 · · 2024-06-29 08:52

正文

2024-06-29 星期六 Vol-2024-156

今日热点导读

1 . 美国众议院小组委员会审查关键基础设施漏洞和网络保险的作用

2. 前员工窃取 100 万 Geisinger 患者数据

3. TeamViewer 遭 APT29 黑客攻击

4. Polyfill.io 域名因安全争议被关闭，中国所有者反驳

5. 菲律宾一数据安全官员承认入侵 93 个网站，暴露国家安全漏洞

6. 澳大利亚 7 号新闻台 YouTube 账号被黑客入侵，使用伪造的马斯克视频诱骗加密货币投资

7. 北美乳制品巨头 Agropur 称数据泄露暴露了客户信息

8. 知名商业咨询公司 Infosys McCamish 受 LockBit 勒索软件攻击， 600 万人数据泄露

9. 工业气体分析设备曝出严重安全漏洞

10. Juniper Networks 修复关键认证绕过漏洞

11. 美国 CISA 发布 ICS 硬件漏洞警告，涉及多家知名企业产品

12. 警惕被武器化的 Notezilla 、 RecentX 和 Copywhiz 工具传播窃取恶意软件

13. 美空军与 SpaceX 合作监测 Starlink 卫星再入

14. 人工智能如何帮助美国情报界利用非机密数据

资讯详情

政策法规

1. 美国众议院小组委员会审查关键基础设施漏洞和网络保险的作用

2024年6月28日，美国众议院国土安全委员会的网络安全和基础设施保护小组委员会召开听证会，审查美国关键基础设施的脆弱性及网络保险在应对网络攻击中的作用。会议讨论了网络保险如何在规划、响应和恢复工作中增强关键基础设施的弹性。证人包括多名网络安全专家，他们强调了网络保险在减轻财务负担、制定主动恢复计划方面的潜力，并提出了优化网络保险覆盖范围和协调政府规定的建议，以提高网络安全水平并确保关键基础设施的稳定性。

来源：https://industrialcyber.co/news/us-house-subcommittee-examines-critical-infrastructure-vulnerabilities-role-of-cyber-insurance-in-resilience-efforts/

安全事件

2. 前员工窃取100万Geisinger患者数据

2024年6月28日，Geisinger Health System发现了一起数据泄露事件，涉及超过100万患者的个人信息。泄露源于Nuance Communications Inc.的一名前员工，该员工在被解雇两天后非法访问了数据，包括姓名、出生日期、地址、病历号和电话号码。Geisinger已通知Nuance并撤销该员工的访问权限，同时展开调查并与执法部门合作。受影响患者已被通知并提供了专门的支持热线，建议他们检查健康计划声明并报告任何未经授权的服务。

来源：https://gbhackers.com/former-it-employee-stolen/

3. TeamViewer遭APT29黑客攻击

2024年6月26日，远程连接软件供应商TeamViewer发现其内部网络遭到入侵。公司声明称，其内部IT环境与产品环境完全独立，没有证据表明客户数据受到影响。然而，Mastodon用户Jeffrey报道，NCC集团的威胁情报团队通知其客户，一俄罗斯APT组织攻陷了TeamViewer系统。Health-ISAC也发出警告，称APT29（又名Cozy Bear或Midnight Blizzard）是此次攻击的幕后黑手，建议检查日志中任何异常的远程桌面流量。APT29是一个与俄罗斯政府有关的黑客组织，以高影响力攻击著称。过去，TeamViewer曾被恶意黑客用于监视用户，包括政府官员。2019年，TeamViewer确认2016年曾遭中国黑客攻击，但当时未披露。此次事件中，TeamViewer承诺保持透明，持续提供最新调查进展。

来源：https://www.securityweek.com/russian-apt-reportedly-behind-new-teamviewer-hack/

4. Polyfill.io域名因安全争议被关闭，中国所有者反驳

Namecheap因安全争议关闭了Polyfill.io域名，而中国所有者Funnull对此表示强烈不满，认为这是恶意诽谤。Polyfill.io是一个提供JavaScript代码以增强旧浏览器功能的服务，尽管现代浏览器已不再需要，但仍有超过10万个网站使用。今年2月，原开发者对服务的合法性提出质疑，尤其是域名被中国公司购买后。几周前，GitHub上首次报告了与polyfill.io相关的潜在恶意行为，但Funnull迅速删除了帖子。最近，安全研究人员发现该服务的代码导致网站访客被重定向到不良网站，并使用逃避技术。Google、uBlock Origin等迅速作出反应，Cloudflare甚至自动重写了polyfill.io的链接。Funnull否认了供应链风险，声称服务在Cloudflare中被缓存，但Cloudflare否认了授权使用其名称。Funnull声称获得5000万美元融资，但遭到安全专家和工程师的质疑，认为其抄袭了合法服务的描述。Funnull的实际位置和所有权结构不明确。

来源：https://www.securityweek.com/polyfill-domain-shut-down-as-owner-disputes-accusations-of-malicious-activity/

5. 菲律宾一数据安全官员承认入侵93个网站，暴露国家安全漏洞

一名来自马尼拉公报的数据安全官员，化名“Kangkong”，承认入侵了包括政府和私人公司网站在内的93个网站，其中包括菲律宾武装部队的和平行动中心网站、国家安全委员会的邮件服务器以及“加入菲律宾军队”网站。Kangkong及其两名同伙于6月19日被国家调查局（NBI）网络犯罪部门逮捕。Kangkong公开向菲律宾总统马科斯、公众以及军队社区道歉，并承认其行为可能导致士兵敏感数据泄露给外国实体。他还透露，马尼拉公报的高级技术官员Art Samaniego可能涉及其中，但后来对此表示后悔。Samaniego否认了这些指控，并已被NBI传唤解释情况。马尼拉公报已暂停Samaniego的职务，等待内部调查。Kangkong强调，政府和私人公司的网络安全措施不足是他能够入侵的关键因素，并呼吁组织投资于安全措施以防止未来类似的入侵。

来源：https://thecyberexpress.com/data-security-officer-philippines-93-websites/

6. 澳大利亚7号新闻台YouTube账号被黑客入侵，使用伪造的马斯克视频诱骗加密货币投资

澳大利亚7号新闻台的YouTube账号遭到加密货币诈骗者的劫持，他们播放了一段循环的伪造埃隆·马斯克（Elon Musk）的直播视频。视频中，这位商业巨头的人工智能版本诱使用户扫描二维码，并通过加密货币投资一个翻倍资金的计划。目前，新闻和媒体公司正在调查此事，尽管账号被接管的迹象在本文发表时仍然存在。诈骗者首先控制了7号新闻台的YouTube账号，并将其修改为模仿官方特斯拉频道的外观。接着，他们用伪造的马斯克直播视频替换了频道中的所有视频，视频中的AI马斯克鼓励观众扫描二维码投资加密货币。

来源：https://thecyberexpress.com/crypto-scammers-hijack-channel-7-news-youtube/

7. 北美乳制品巨头Agropur称数据泄露暴露了客户信息

北美最大的乳业合作社之一Agripur遭遇数据泄露事件，公司已向客户发出通报。尽管交易系统和核心业务运营未受影响，Agripur已启动全面调查，并与网络安全专家及执法部门合作以确定事件影响。Agripur年处理牛奶量达67亿升，拥有多个知名品牌，年收入51亿美元。据BleepingComputer报道，Agripur在6月25日通知客户其共享在线目录部分数据遭到泄露，并正在进行调查。公司表示目前没有证据显示泄露数据被滥用，但出于谨慎已向客户发出警告。Agripur未透露具体泄露数据类型和人数，建议客户对网络钓鱼攻击保持警惕。

来源：https://www.bleepingcomputer.com/news/security/dairy-giant-agropur-says-data-breach-exposed-customer-info/

8. 知名商业咨询公司Infosys McCamish受LockBit勒索软件攻击，600万人数据泄露

Infosys McCamish Systems（IMS）公司近日披露，其在2023年11月遭受的LockBit勒索软件攻击导致超过600万人的敏感信息泄露。这些信息包括社会安全号码、出生日期、医疗记录、电子邮件地址、财务账户信息等。IMS已通知受影响的组织，并提供两年免费身份保护和信用监控服务。此次事件涉及的客户包括美国银行和Oceanview Life and Annuity Company等大型金融机构。IMS将继续更新受影响的数据所有者名单。IMS是一家提供商业咨询、信息技术和外包服务的跨国公司，专门满足保险和金融服务行业公司的需求。该公司在美国具有重要影响力，为美国银行等大型金融机构以及美国十大保险公司中的七家提供服务。

来源：https://www.bleepingcomputer.com/news/security/infosys-mccamish-says-lockbit-stole-data-of-6-million-people/

漏洞预警

9. 工业气体分析设备曝出严重安全漏洞

2024年6月28日，研究人员警告称，Emerson Rosemount气相色谱仪（型号GC370XA、GC700XA、GC1500XA）存在多个安全漏洞，包括命令注入和认证缺陷。漏洞使攻击者能够远程执行任意命令、获取敏感信息或导致拒绝服务（DoS）攻击。CVE编号包括CVE-2023-46687、CVE-2023-49716、CVE-2023-51761和CVE-2023-43609。Emerson已发布固件更新，并建议用户避免设备直接连接互联网。同时，其他设备如AiLux RTU62351B和Proges Plus温度监控设备也被发现存在类似漏洞，可能被恶意利用。这些漏洞的影响范围广泛，可能导致工业和医疗设备的安全隐患。用户应尽快更新设备固件并采取网络安全防护措施。

来源：https://thehackernews.com/2024/06/researchers-warn-of-flaws-in-widely.html

10. Juniper Networks修复关键认证绕过漏洞

Juniper Networks近日披露了其Session Smart Router（SSR）和Session Smart Conductor产品中的关键认证绕过漏洞（CVE-2024-2973）。该漏洞允许网络攻击者绕过API认证，完全控制设备，尤其在高可用性冗余配置中。受影响的产品版本包括SSR和Conductor的所有5.6.15之前版本，以及6.0至6.1.9-lts和6.2至6.2.5-sts的版本。WAN Assurance Router的部分版本也受到影响。Juniper Networks已经发布了修复该漏洞的软件更新版本，并建议所有受影响用户尽快升级系统，以减轻由此漏洞带来的风险。对于连接到Mist Cloud的WAN Assurance路由器，补丁已自动应用。升级过程对生产流量无干扰，仅管理界面和API会有短暂（少于30秒）的中断。

来源：https://cybersecuritynews.com/juniper-session-smart-router-flaw/

11. 美国CISA发布ICS硬件漏洞警告，涉及多家知名企业产品

美国网络安全和基础设施安全局（CISA）6月27日发布了一系列关于工业控制系统（ICS）的警告，指出TELSAT、SDG Technologies、横河电机和江森自控等公司的硬件存在安全漏洞。这些漏洞可能允许攻击者绕过身份验证或执行远程代码。具体产品包括TELSAT MarKoni的FM发射器、SDG Technologies的PnPSCADA设备、横河电机的FAST/TOOLS和CI服务器，以及江森自控的Illustra Essentials Gen 4硬件。CISA强调了漏洞的严重性，并提供了相关的CVE编号和CVSS评分。受影响的公司已发布修复补丁或更新版本，以解决这些安全问题。

来源：https://industrialcyber.co/cisa/ics-hardware-vulnerabilities-found-in-telsat-sdg-technologies-yokogawa-johnson-controls-equipment/

TTPs动向

12. 警惕被武器化的Notezilla、RecentX和Copywhiz工具传播窃取恶意软件

网络安全公司Rapid7发现，由印度公司Conceptworld开发的流行Windows工具Notezilla、RecentX和Copywhiz已被武器化，用于传播恶意软件。这些工具被广泛用于提高生产力，但官方Conceptworld网站上的安装包被发现在安装合法软件的同时执行恶意软件，给用户带来重大风险。Rapid7的调查显示，这些安装包被篡改，没有签名，并且文件大小与下载页面上的不匹配。这些恶意安装包嵌入的恶意软件能够窃取浏览器凭证、加密货币钱包信息、剪贴板内容和键盘输入，并下载执行额外的有效载荷。一旦系统被感染，恶意软件通过计划任务每三小时执行一次主有效载荷。Rapid7建议用户验证下载软件的文件完整性，检查是否有隐藏的计划任务和通过curl.exe进行外联连接的cmd.exe实例。

来源：https://cybersecuritynews.com/beware-of-weaponized-notezilla/

其他

13. 美空军与SpaceX合作监测Starlink卫星再入

2024年6月28日，美空军宣布与SpaceX直接合作，密切监测Starlink卫星的轨道降低和再入地球大气层的过程，确保这些卫星在再入过程中完全燃烧，避免碎片坠落地面。该计划涉及在未来六个月内去轨约100颗早期Starlink卫星。SpaceX在低地球轨道中部署了超过6000颗Starlink卫星，这些卫星的寿命为三到五年。美空军通过Space-Track.org提供详细再入信息，并希望通过这一协作提高公众意识和再入过程的安全性。尽管目前尚未有Starlink碎片影响地面的报道，但由于再入次数的增加，模型准确性正在重新评估。

来源：https://breakingdefense.com/2024/06/space-force-working-with-spacex-to-closely-watch-falling-starlinks/

14. 人工智能如何帮助美国情报界利用非机密数据

2024年6月28日，Joshua Haecker撰文探讨生成式人工智能（AI）和大型语言模型（LLM）如何为美国情报界提供利用非机密信息的新契机。尽管情报机构传统上更重视机密信息，但非机密数据，如互联网公开数据，也能提供关键的早期预警。文中强调正确训练AI模型以避免偏见的重要性，若不慎，可能会导致系统性忽视非机密数据。通过综合机密与非机密数据，AI可显著提升情报收集和分析能力，有助于应对战略或战术突袭。Haecker指出，情报界应扩展数据集和评估方法，以实现更全面的情报分析，避免长期偏见影响未来情报工作。

来源：https://breakingdefense.com/2024/06/could-ai-help-us-intelligence-end-decades-long-aversion-to-unclassified-data/

5th域安全微讯早报【20240629】156期

正文

请到「今天看啥」查看全文