2024-07-29 星期一
Vol-2024-181
1.
印度理工学院坎普尔与国家电力培训中心合作加强电网网络安全
2.
美国司法部要求法院驳回
TikTok
上诉
指其侵犯用户隐私
3.
X
平台默认使用用户数据训练
Grok AI
:
如何关闭该选项
4.
Cuckoo Spear
:
新型长期潜伏网络攻击
5.
Gemini
加密货币交易所第三方数据泄露事件
7.
Cicada3301
攻击新加坡
Tri-Star Display
,疑窃取
95GB
数据
9.
谷歌
Chrome
浏览器密码管理故障影响数百万用户
10.
Palo Alto Networks
利用
AI
发现
Easy!Appointments 15
项安全漏洞
11.
WhatsApp
的
Windows
版存在安全漏洞:
允许执行
Python
和
PHP
脚本
12.
Check Point
网络安全设备重大
0Day
漏洞曝光
13.
欧洲议会议员因批评匈牙利政府成为间谍软件攻击目标
14.
澳大利亚政府改组:
托尼·伯克担任新网络安全部长
16.
从
CrowdStrike
全球中断事件吸取的
10
个关键教训
1. 印度理工学院坎普尔与国家电力培训中心合作加强电网网络安全
印度理工学院坎普尔(IITK)与国家电力培训中心(NPTI)签署了谅解备忘录(MoU),旨在加强印度电网网络安全领域的研究和培训能力。IITK以其在科学和工程教育以及研发贡献方面的高标准而闻名,此次合作将利用其在网络安全研究方面的专长,以提高国家电力系统的网络安全。MoU中提出了建立一个操作技术(OT)和数据采集与监控系统(SCADA)网络安全实验室的详细项目报告(DPR),以应对当前网络威胁环境下的电力系统。IITK的C3iHub项目负责人强调了DPR在实现这一愿景中的重要性,并指出实验室将配备最先进的设备,为印度电力系统运营商提供OT和SCADA安全培训。NPTI总干事强调了实验室对提升电力行业专业人士技能的潜在影响,承诺为员工提供最新的技术知识。IITK的研发院长强调了学院在现代化国家电力系统中的关键作用,相信通过强大的学术基础、尖端的研究能力和强大的行业联系,可以确保电力系统的长期可持续性和效率。此次合作是印度电网网络安全基础设施加强的重要里程碑,体现了IITK和NPTI共同推进国家技术能力和关键基础设施韧性的承诺。
来源:https://thecyberexpress.com/iit-kanpur-npti-join-forces/
2. 美国司法部要求法院驳回TikTok上诉 指其侵犯用户隐私
美国司法部于2024年7月27日晚间请求联邦法院驳回TikTok试图推翻可能迫使其出售或在美国被禁的法律的请求,理由是国家安全问题,包括TikTok被指控使用内部搜索工具收集用户对敏感话题如堕胎、枪支管制和宗教等的观点。这一请求是对TikTok在5月提交的试图挑战该法律的请愿书的回应,该法律要求其中国母公司字节跳动出售该应用,否则将在美国被禁止。拜登总统在4月签署了该法案成为法律。在提交给美国哥伦比亚特区巡回上诉法院的文件中,司法部表示,公司员工使用的通讯系统Lark中的搜索工具“允许字节跳动和TikTok的美国和中国员工收集大量基于用户内容或表达的用户信息,包括对枪支管制、堕胎和宗教的观点”。司法部还争辩说,TikTok可能被用来对美国用户进行内容操纵,并且他们的敏感信息可能最终存储在中国的服务器上。TikTok一再否认其对国家安全构成威胁的指控,并称试图禁止其为“违宪”。
来源:https://www.engadget.com/doj-says-tiktok-collected-users-views-on-issues-like-abortion-gun-control-and-religion-201617503.html?src=rss
3. X平台默认使用用户数据训练Grok AI:如何关闭该选项
2024年7月27日,Lawrence Abrams报道,X平台(前Twitter)在未提前通知用户的情况下,开始默认使用用户的公开帖子来训练其Grok AI聊天平台。随着AI平台竞争加剧,各平台都在不断寻找数据来训练其大型语言模型(LLM),而用户数据因此变得极具价值。然而,大多数平台在未告知用户或相关网站的情况下,擅自使用这些数据。X平台直到2024年7月25日,用户才注意到其隐私设置中新增了一个允许平台使用数据的选项,而且该选项默认是启用状态。X平台的安全团队确认了这一新设置,并表示目前仅在网页版提供,移动端即将推出。用户可以通过设置将该选项关闭,从而阻止X平台使用其数据训练Grok。关闭方法是登录X平台网页版,点击屏幕底部的“更多”按钮,选择“设置和隐私”,在“数据共享和个性化”下选择“Grok”,然后取消勾选“允许使用您的帖子以及与Grok的交互、输入和结果进行训练和微调”选项。这样,X平台将不再使用您的数据训练Grok或共享给xAI公司。
来源:https://www.bleepingcomputer.com/news/security/x-begins-training-grok-ai-with-your-posts-heres-how-to-disable/
4. Cuckoo Spear:新型长期潜伏网络攻击
2024年7月27日,Cybereason公司发布报告,揭示了国家级黑客攻击的最新威胁——“Cuckoo Spear”。这类攻击复杂且难以察觉,目标主要是关键基础设施,包括通讯、制造和政府部门。报告显示,APT10小组,一个自2006年以来活跃的中国国家级网络间谍组织,是“Cuckoo Spear”背后的黑手。APT10通过新型恶意软件NOOPDOOR进行长时间隐蔽入侵和数据窃取,滞留在受害者网络中长达2-3年。NOOPDOOR利用DGA(域名生成算法)进行C2(命令与控制)通信,通过加载程序NOOPLDR解密和执行。APT10在一系列攻击中同时使用LODEINFO和NOOPDOOR,前者作为主要入口,后者用于长期潜伏。为应对“Cuckoo Spear”,Cybereason提供了威胁狩猎查询和妥协指标(IOC),建议组织实施全面安全措施,监控可疑活动,并与网络安全专家合作。
来源:https://www.securitylab.ru/news/550539.php
5. Gemini加密货币交易所第三方数据泄露事件
2024年7月26日,Bill Toulas报道,Gemini加密货币交易所披露其自动清算所(ACH)服务提供商遭到网络攻击,导致部分客户银行信息泄露。此次数据泄露发生在2024年6月3日至6月7日之间,涉及客户的全名、银行账户号码和路由号码。其他信息如出生日期、物理地址、社保号码、电子邮件、电话号码、用户名或密码未被泄露。Gemini于6月26日开始通知受影响的客户,并于7月26日向加州总检察长办公室提交了通知样本。目前,事件已得到控制,外部专家正在协助调查。受影响的客户被建议保持警惕,注意任何涉及泄露信息的欺诈迹象,并启用银行账户的多因素认证。Gemini还建议客户联系银行,要求激活额外保护措施或更换账户号码。
来源:https://www.bleepingcomputer.com/news/security/whatsapp-for-windows-lets-python-php-scripts-execute-with-no-warning/
2024年7月27日,法国司法当局与欧盟刑警组织(Europol)合作,启动了清除已知恶意软件PlugX的“消毒行动”。巴黎检察官办公室于7月18日发起此行动,预计将持续数月。到目前为止,已有约100名受害者受益于此次清理行动,受害者分布在法国、马耳他、葡萄牙、克罗地亚、斯洛伐克和奥地利等国家。PlugX(也称Korplug)是一种远程访问木马(RAT),自2008年以来广泛被中国相关的威胁行为者使用。它通常通过DLL侧加载技术在受感染主机中运行,允许攻击者执行任意命令、上传/下载文件、枚举文件和收集敏感数据。Sekoia公司于2023年9月通过购买IP地址,成功获取了与PlugX木马相关的一个命令与控制(C2)服务器,并注意到每天约有10万个独立的公共IP地址向被获取的域发送PlugX请求。PlugX恶意软件还包含一种可以通过感染的USB设备传播的蠕虫组件,从而绕过隔离网络。
来源:https://thehackernews.com/2024/07/french-authorities-launch-operation-to.html
7. Cicada3301攻击新加坡Tri-Star Display,疑窃取95GB数据
2024年7月26日,Cicada3301勒索软件组织声称攻击了新加坡的Tri-Star Display Pte Ltd,窃取了超过95GB的数据。该组织在暗网分享了部分被泄露的数据样本,但Tri-Star Display尚未回应这些指控。Tri-Star Display是James King Group的子公司,专注于奢侈品牌的展示设计和制造。若此次数据泄露属实,可能会导致公司客户、项目及内部运营相关的敏感信息泄露,造成财务损失和声誉受损。近期,勒索软件攻击频发,相关公司被建议实施强有力的网络安全措施,如定期数据备份、员工培训及部署先进安全软件,并在遭遇攻击时隔离系统、通知当局、避免支付赎金、透明沟通和进行事后分析。此次事件凸显了勒索软件威胁的严重性,相关机构应加强防范。
来源:https://thecyberexpress.com/tri-star-display-cyberattack/
乌克兰网络作战人员针对俄罗斯顶级银行的ATM服务发起了大规模网络攻击,这场网络战自2024年7月23日早晨开始,严重影响了俄罗斯的银行业务,导致客户无法取款和获取其他金融服务。到了7月27日,攻击的第五天,多家俄罗斯主要银行的ATM服务失效,客户尝试使用ATM时发现他们的借记卡和信用卡被立即封锁,实际上切断了他们对自己资金的访问。乌克兰情报部门的消息人士向《基辅邮报》证实了攻击的持续性质和日益增长的影响,称这是俄罗斯和乌克兰之间持续冲突中更广泛网络行动的一部分。此次网络攻击不仅针对银行,还扩展到了俄罗斯的移动和互联网提供商,包括Beeline、MegaFon、Tele2和Rostelecom,以及流行的在线信使和主要的俄罗斯社交网络。乌克兰黑客据称
已经获得了俄罗斯主要银行数据库的访问权限,进一步加剧了网络攻击的范围和有效性。克里姆林宫已经承认了这次攻击,将其归因于“政治动机的黑客”。
来源:https://thecyberexpress.com/cyberattack-on-russian-banks-cause-disruption/
9. 谷歌Chrome浏览器密码管理故障影响数百万用户
谷歌为其Chrome浏览器中的一个故障向用户致歉,该故障导致众多Windows用户无法在Chrome中查找或保存密码。问题始于7月24日,持续了将近18小时,直至7月25日得到解决。谷歌将原因归咎于“产品行为变化”缺乏适当的功能保护。这次故障仅影响Windows平台上的Chrome M127版本用户,尽管难以确定受影响用户的确切数量,但据估计约有1500万用户遇到了密码管理器问题。作为临时解决方案,用户可以通过特定的命令行启动Chrome,但谷歌现已推出完整修复程序,用户只需重启浏览器即可。谷歌对此次故障造成的不便表示歉意,并感谢用户的耐心等待,同时建议遇到其他问题的用户联系Google Workspace支持人员获取帮助。
来源:https://www.securitylab.ru/news/550554.php
10. Palo Alto Networks利用AI发现Easy!Appointments 15项安全漏洞
Palo Alto Networks公司开发了一种利用人工智能的自动化工具,用于检测BOLA(Broken Object-Level Authorization,对象级授权破坏)类型的安全漏洞。该工具在2023年被应用于开源项目Easy!Appointments,发现了15项漏洞。Easy!Appointments是一个流行的会议管理和调度应用,与Google Calendar和CalDAV同步。这些漏洞允许低权限用户查看和修改高权限用户(如管理员和服务提供商)创建的会议。所有被分类为CVE-2023-3285至CVE-2023-3290和CVE-2023-38047至CVE-2023-38055的漏洞已在Easy!Appointments 1.5.0版本中修复。强烈建议组织更新至该版本或更高版本。发现的问题包括创建和删除特权用户、更改系统设置以及管理其他用户的数据。例如,CVE-2023-38049漏洞允许低权限用户更改或删除管理员创建的会议。该漏洞检测工具基于人工智能,有效识别了BOLA漏洞,这些漏洞由于现代Web应用逻辑的复杂性,手工检测非常困难。
来源:https://www.securitylab.ru/news/550543.php
11. WhatsApp的Windows版存在安全漏洞:允许执行Python和PHP脚本
最新版本的WhatsApp
for Windows被发现存在安全问题,允许用户在没有任何警告的情况下执行收到的Python和PHP附件。这一漏洞需要在目标设备上安装Python才能成功利用,可能将攻击目标限制为软件开发者、研究人员和高级用户。安全研究人员Saumyajeet Das在测试中发现,尽管WhatsApp阻止了多种被认为有风险的文件类型,但并未将Python脚本和PHP文件列入黑名单。Meta公司在收到问题报告后表示,该问题已被其他研究人员报告,并应已修复,但实际测试显示漏洞依然存在。Meta公司回应称,他们不认为这是一个需要解决的问题,因此没有计划进行修复。研究人员对此表示失望,并建议通过将.pyz和.pyzw扩展名添加到黑名单来防止潜在的利用。
来源:https://www.bleepingcomputer.com/news/security/whatsapp-for-windows-lets-python-php-scripts-execute-with-no-warning/
12. Check Point网络安全设备重大0Day漏洞曝光
Check Point的CloudGuard网络安全设备被发现存在高危漏洞,编号为CVE-2024-24919,该漏洞允许未授权攻击者访问网关上的敏感信息,包括通过VPN或移动访问进行远程数据读取。WatchTowr Labs的安全研究人员通过比较源代码和更新代码的方法分析发现,漏洞与路径遍历攻击有关,允许攻击者绕过文件路径检查,获取对服务器上敏感文件的访问权限。攻击者可通过发送特制请求读取设备上的敏感信息,包括配置文件和密码哈希值,甚至完全控制系统。Check Point已确认漏洞正在被积极利用,并发布了紧急补丁。公司建议用户立即安装更新,并采取额外安全措施,如在边境网关使用IPS和SSL检查,以保护易受攻击的设备。CVE-2024-24919漏洞对Check Point设备的安全构成严重威胁,所有管理员应立即采取行动,安装更新并执行其他保护措施,以防止潜在攻击。
来源:https://www.securitylab.ru/news/550542.php
13. 欧洲议会议员因批评匈牙利政府成为间谍软件攻击目标
2024年5月27日,德国欧洲议会议员丹尼尔·弗罗因德(Daniel Freund)因其在布鲁塞尔的透明度和反对匈牙利政府的立场,成为间谍软件攻击的目标。弗罗因德收到一封伪装成基辅国际大学学生发来的电子邮件,邀请他参加关于乌克兰加入欧盟的研讨会,并附带一个恶意链接。弗罗因德未点击该链接,成功避免感染。欧洲议会警告他,该链接可能包含由以色列公司Candiru开发的间谍软件,此公司已被美国政府列入黑名单。此次袭击可能与弗罗因德暂停匈牙利欧盟理事会轮值主席国的倡议有关,但其幕后黑手尚未确定。欧洲议会和匈牙利政府对此事件均未发表评论。该事件引发了对欧洲政府滥用间谍软件监控公民的担忧,尤其是在希腊、西班牙、匈牙利和波兰等国,间谍软件被用来对付反对派团体,挑战了民主国家的基本原则。
来源:https://www.securitylab.ru/news/550526.php
14. 澳大利亚政府改组:托尼·伯克担任新网络安全部长
澳大利亚联邦政府进行了内阁和部长级改组,总理安东尼·阿尔巴尼斯宣布托尼·伯克为新任网络安全和内政部长,同时他还将领导移民和多元文化事务,并继续兼任艺术部长和众议院领袖。此次改组是近两年来政府人员的首次重大变动,涉及数位部长职位的调整。克莱尔·奥尼尔则从现任职位调任为住房部长。此外,新设立了“网络安全和数字弹性特使”一职,由安德鲁·查尔顿担任,旨在深入思考和规划澳大利亚在网络安全和数字技术方面的发展战略。阿尔巴尼斯强调了新角色的重要性,并对团队表达了信心,认为改组将为政府带来新的活力和确定性。同时,澳大利亚安全情报组织(ASIO)将从内政部迁至总检察长部,以更接近澳大利亚联邦警察局。预计新内阁成员将于7月29日宣誓就职。
来源:https://thecyberexpress.com/tony-burke-australia-cybersecurity-minister/
随着智能家居设备的普及,保障这些设备的网络安全变得尤为重要。以下是七个基本的网络安全提示,帮助用户保护家中的智能设备:
保持软件更新:
定期更新智能设备的软件和固件,启用自动更新功能,确保设备安全免受已知漏洞的威胁。
更改默认密码:
使用强密码替换掉智能设备的默认密码,避免使用易猜密码,并定期更新。
保护家庭网络:
更改Wi-Fi网络的默认SSID,使用WPA3或WPA2加密,并设置访客网络以隔离主网络。
禁用未使用的功能:
关闭智能设备上不需要的功能,如远程访问,减少潜在的安全风险。
启用多重身份验证(MFA):
为设备添加额外的安全层,即使密码泄露,也能防止未授权访问。
定期监控设备:
使用网络监控工具跟踪连接设备,设置警报以识别和解决未经授权的连接。
实施网络分段:
通过路由器设置不同的SSID或VLAN,隔离不同类型的设备,限制安全漏洞的影响。
来源:https://thecyberexpress.com/secure-smart-home-devices-cybers
ecurity-tips/
16. 从CrowdStrike全球中断事件吸取的10个关键教训
CrowdStrike 的 Falcon 传感器更新缺陷引发了全球Windows系统崩溃,影响了银行、航空、医疗等关键行业。此次事件揭示了十个重要经验教训。一是确保严格的部署前测试:严格的测试协议可以识别和纠正潜在漏洞,避免大规模系统崩溃。二是优先考虑事件响应培训:事件响应培训确保团队能够迅速处理威胁,减少影响。三是促进国际网络安全合作:国际合作和信息共享提高了应对广泛问题的效率,增强整体网络安全态势。四是进行定期审核和测试:定期审计和测试有助于维护高水平的安全性,及时发现和解决潜在漏洞。五是增加网络安全专业知识和资金投入:投资于网络安全专业人员和技术,以开发强大的系统和防止类似事件发生。六是平衡效率与安全:在追求效率的同时,不忽视安全检查,确保安全措施到位。七是事故发生时保持透明沟通:及时透明的沟通帮助减轻影响并指导客户完成补救步骤,保持信任。八是分阶段推出更新:分阶段部署更新可以尽早发现并纠正问题,降低大规模中断的风险。九是使用备份服务器和备用数据中心确保业务连续性:备份服务器和备用数据中心提供额外保护层,确保服务持续运行,减少数据丢失和系统故障的风险。十是实现常规 IT 流程自动化,最大限度地减少人为错误:自动化常规 IT 任务确保流程一致性,减少人为错误,优化系统管理。通过吸取这些经验教训,组织可以加强网络安全措施,防止未来发生类似事件。
来源:https://thecyberexpress.com/10-lessons-from-crowdstrike-system-crash/
