2024-06-20 星期四
Vol-2024-148
1
.
G7
国家誓言建立全球运营技术网络安全框架
2.
美国及其盟友发布网络安全指南
3.
美国
铁路公司披露旅客奖励账户数据泄露事件
4.
Kraken
加密货币交易所遭零日漏洞攻击损失
300
万美元
5.
美国情报部门未发现俄罗斯大规模干涉英国大选迹象
6.
波兰指责俄罗斯黑客攻击导致欧洲杯直播中断
7.
Trellix
修补入侵防御系统
(IPS)
管理器中的关键安全漏洞
8.
Mailcow
邮件服务器漏洞可致远程代码执行
9.
CISA
警告
RAD SecFlow-2
工业交换机漏洞风险
10.
Chrome 126
更新修补了黑客竞赛中利用的漏洞
11.
假冒
Microsoft Teams
网站传播
Oyster
后门木马
12.
ONNX Store
:
新型网络钓鱼平台绕过双因素身份验证
13.
黑客利用电信政策漏洞在
Telegram
提供“免费”移动数据访问
14.
使用人工智能浏览器的下一代网络钓鱼攻击
15.
破解加密的无线电能传输:
动态充电的网络安全
在最近于意大利举行的七国集团(G7)峰会上,美国国家安全顾问杰克·沙利文宣布,G7国家已同意围绕制造商和运营商的运营技术建立集体网络安全框架。此次倡议旨在应对针对全球能源系统的持续网络攻击,如美国Colonial Pipeline勒索软件攻击和多起欧洲能源公司事件。沙利文强调,随着数字清洁能源技术的整合,必须确保其网络安全以防止服务中断。峰会讨论了多项网络安全相关问题,包括勒索软件、俄罗斯的网络攻击,以及成立新的G7网络安全工作组。G7领导人在声明中承诺提高能源行业的弹性和安全性,鼓励制造更安全的产品,并探索建立网络安全产品互认计划。比如美国能源部发布了新的供应链网络安全原则,得到了多家知名供应商和制造商的支持。这些原则旨在为能源自动化和工业控制系统提供强大网络安全,推动最佳实践并实现预期安全结果。这一框架由制造商、用户和国际政府机构协调制定,确保全球供应链的网络安全。
来源:https://therecord.media/countries-vow-to-establish-cyber-collective
美国、新西兰和加拿大政府机构联合发布了《网络访问安全的现代方法》指南,指导组织采用安全服务边缘(SSE)和安全访问服务边缘(SASE)等现代安全解决方案,以提高网络活动的可见性并超越传统的VPN解决方案。指南指出VPN存在多起安全事件,而现代解决方案提供更细粒度的访问控制,帮助组织更接近零信任(ZT)原则。文件由CISA、FBI、新西兰GCSB、CERT和加拿大CCCS共同撰写,旨在帮助组织识别VPN相关漏洞和风险,过渡到更安全的解决方案。指南强调,VPN系统漏洞可能给组织带来重大影响,而现代解决方案基于精细的访问控制策略,提供远程访问应用程序和服务,同时降低内部资产暴露风险,保护静态数据。
来源:https://www.securityweek.com/us-allies-publish-network-access-security-guidance/
美国铁路公司(Amtrak)近期披露了一起影响其火车旅客宾客奖励(Guest Rewards)账户的数据泄露事件。在5月15日至18日,未知第三方未经授权访问了用户账户信息。泄露的信息包括姓名、联系方式、账户详情、部分信用卡信息、礼品卡信息以及交易和旅行记录。尽管Amtrak强调其系统未被黑客攻击,但攻击者可能使用了之前泄露的用户名和密码来访问账户。在某些情况下,黑客甚至接管了账户并更改了电子邮件和密码。Amtrak已采取措施恢复受影响账户的电子邮件地址并启动密码重置。公司未透露受影响用户数量,但建议乘客更换密码并启用多因素认证。Jumio首席技术官Stuart
Wells指出,忠诚度积分和奖励容易在暗网上出售,呼吁企业采用更先进的验证技术,如生物特征认证,以加强用户数据保护。
来源:https://www.darkreading.com/cyberattacks-data-breaches/hackers-amtrak-guest-rewards-accounts-breach
4. Kraken加密货币交易所遭零日漏洞攻击损失300万美元
2024年6月19日,加密货币交易所Kraken遭受了一起严重的零日漏洞攻击,导致价值300万美元的数字资产被盗。该漏洞被一名未透露姓名的安全研究人员发现并利用,该人员在Kraken的平台上人为增加余额并提取资金。Kraken首席安全官Nick
Percoco在X(前Twitter)上分享了事件细节,指出漏洞源于最近的用户界面变化,允许攻击者在存款未完全完成时即存入资金。Kraken在47分钟内解决了问题,并强调客户资产未受威胁。然而,该安全研究人员未按Bug
Bounty计划报告漏洞,反而与两名合作者共谋,从Kraken账户中盗取了近300万美元。当Kraken要求退还资金时,对方却要求支付一定金额以释放资产,Kraken将此视为敲诈勒索,并已与执法机构协调处理此事。Percoco强调,遵守漏洞赏金规则是安全研究人员的责任,违反规则将导致严重后果。
来源:https://thehackernews.com/2024/06/kraken-crypto-exchange-hit-by-3-million.html
5. 美国情报部门未发现俄罗斯大规模干涉英国大选迹象
参议院情报委员会主席马克·沃纳表示,美国情报界“没有发现太多”关于俄罗斯干涉英国大选的活动。沃纳称,他一直密切关注英国大选,认为这是对民主诚信的重要考验。尽管俄罗斯不喜欢英国在乌克兰问题上的坚定立场,普京希望削弱英国和美国对乌克兰的支持决心,但目前尚未见到明显的干涉迹象。沃纳警告,克里姆林宫通过代理人破坏全球民主的活动可能在选举临近时增加。去年,英国政府曾召见俄罗斯大使,指控一个黑客组织在俄罗斯联邦安全局的指挥下进行破坏民主的黑客泄密行动,并对两名涉案人员实施制裁。2019年,英国大选期间,工党指责俄罗斯干涉,尽管时任反对党领袖科尔宾否认这些指控。俄罗斯政府一再否认干涉英国、美国和法国选举的指控。
来源:https://therecord.media/us-intelligence-russia-interference-uk-election
波兰国家当局指出,2024年欧洲杯期间,公共电视网络TVP网站遭受的网络攻击导致波兰对阵荷兰的首场比赛在线直播中断,怀疑是俄罗斯黑客所为。比赛开始时,TVP网站遭遇了分布式拒绝服务(DDoS)攻击,使得在线直播服务暂时无法访问。波兰数字事务副部长Pawel
Olszewski表示,所有迹象都指向俄罗斯,认为其目的是阻止波兰公民在线观看比赛。尽管攻击来自波兰的IP地址,但Olszewski认为网络空间无边界,DDoS流量来源并不关键。波兰过去几个月遭受的俄罗斯网络攻击数量增加,促使波兰宣布投资7.6亿美元加强网络防御。此外,与俄罗斯有关的黑客组织APT28也涉嫌对波兰进行间谍活动。波兰数字部长Krzysztof Gawkowski强调,波兰正处于针对俄罗斯的网络斗争前线。
来源:https://therecord.media/poland-blames-russia-ddos-euro-2024-online-broadcast
7. Trellix修补入侵防御系统(IPS)管理器中的关键安全漏洞
Trellix已修补其入侵防御系统(IPS)管理器中的一个关键安全漏洞CVE-2024-5671。该漏洞由于不安全反序列化导致,可能允许未经身份验证的远程攻击者执行任意代码,从而对网络安全构成严重威胁。该漏洞被赋予9.8的CVSSv3评分,影响11.1.x之前版本的TrellixIPS管理器,可能导致数据盗窃、服务中断和网络攻破。建议立即应用Trellix发布的补丁,增强监控和检测能力,并在应用补丁前限制对IPS管理器的访问。此漏洞突显了及时更新和强大安全实践的重要性。
来源:https://cybersecuritynews.com/vulnerability-trellix-ips/
8. Mailcow邮件服务器漏洞可致远程代码执行
Mailcow开源邮件服务器套件被发现存在两个安全漏洞,这些漏洞允许攻击者在受影响的服务器上执行任意代码。这些漏洞影响2024-04版之前的所有版本,由SonarSource在2024年3月22日负责任地披露。第一个漏洞CVE-2024-30270(CVSS评分6.7)是一个路径遍历漏洞,允许覆盖文件并执行命令;第二个漏洞CVE-2024-31204(CVSS评分6.8)是一个跨站点脚本(XSS)漏洞,由于异常处理不当,允许攻击者注入恶意脚本。攻击者可以通过发送特制的HTML邮件,利用CSS背景图像触发XSS负载,如果管理员在查看恶意邮件后继续使用管理面板,就可能遭受攻击。漏洞研究员Paul Gerste指出,攻击者可以结合这两个漏洞,在管理面板服务器上执行任意代码,从而控制Mailcow服务器上的账户、访问敏感数据。
来源:https://thehackernews.com/2024/06/mailcow-mail-server-flaws-expose.html
9. CISA警告RAD SecFlow-2工业交换机漏洞风险
美国网络安全与基础设施安全局(CISA)发布公告,警告以色列制造商RAD
Data Communications生产的过时工业交换机存在高严重性漏洞。该漏洞标识为CVE-2019-6268,近日在Packet Storm网站上公开了技术细节和概念验证(PoC)攻击代码。漏洞允许未经授权的攻击者通过路径遍历获取操作系统的文件,例如读取密码哈希文件(/etc/shadow)。该漏洞影响RAD的SecFlow-2工业交换机/路由器,这些设备已达到使用寿命。RAD建议用户升级至更新的SecFlow-1p工业物联网网关。CISA也提供了降低风险的建议。受影响产品广泛应用于全球通信领域,漏洞的存在可能对工业控制系统(ICS)和其他运营技术(OT)系统构成重大威胁。
来源:https://www.securityweek.com/cisa-informs-organizations-of-vulnerability-in-rad-secflow-2-industrial-switch/
10. Chrome 126更新修补了黑客竞赛中利用的漏洞
谷歌于本周二(6月18日)发布了Chrome浏览器126版本更新,其中包含六项安全修复,特别是针对外部研究人员报告的四个高严重性漏洞。这些修复包括V8 JavaScript引擎中的类型混淆问题(CVE-2024-6100)、WebAssembly中的不适当实现问题(CVE-2024-6101),以及Dawn中的两个漏洞:越界内存访问(CVE-2024-6102)和释放后使用问题(CVE-2024-6103)。这些漏洞的发现者分别为Seunghyun Lee和安全研究员“wgslfuzz”,谷歌分别为他们提供了20,000美元和7,000美元的赏金。谷歌没有公开这些漏洞的技术细节,也没有提到这些漏洞是否已被广泛利用。最新版本的Chrome已向用户推出,Linux版本号为126.0.6478.114,而Windows和macOS版本号为126.0.6478.114/115。
来源:https://www.securityweek.com/chrome-126-update-patches-vulnerability-exploited-at-hacking-competition/
11. 假冒Microsoft Teams网站传播Oyster后门木马
网络安全研究人员在Rapid 7发现一起新的恶意广告活动,该活动通过假冒权威和知名品牌网站,诱骗用户下载伪装成知名实用工具(如Google Chrome和Microsoft Teams)的恶意安装程序,这些安装程序实际上是一种名为“Oyster”或“Broomstick”的后门木马。该木马一旦安装,便进行键盘活动记录、系统信息收集,并部署其他恶意负载。用户在搜索Microsoft Teams软件时,三次从仿冒的微软网站下载了安装程序,这些网站看似合法,实则诱使用户下载恶意软件。Oyster木马家族自2023年9月起就开始通过这类安装程序传播。该木马收集系统数据,联系C2服务器,执行远程代码,并创建定时任务每3小时自启动。C2域名通过字节映射算法解码,感染的机器信息被发送回C2基础设施。CleanUp30.dll利用Boost.Beast进行HTTP/WebSocket通信,执行后会通过PowerShell脚本创建启动快捷方式DiskCleanUp.lnk,以rundll32.exe运行CleanUp.dll,进而执行k1.ps1、main.dll和getresult.exe有效载荷。
来源:https://gbhackers.com/beware-fake-microsoft-teams-oyster-malware/
12. ONNX Store:新型网络钓鱼平台绕过双因素身份验证
近期,网络钓鱼即服务(PhaaS)平台Caffeine被重新命名为ONNX Store,由原开发者MRxC0DER继续提供客户支持。该平台通过网络钓鱼邮件攻击金融机构,并可绕过双因素身份验证(2FA),提高商业邮件攻击成功率。ONNX
Store提供用户友好界面,并通过Telegram机器人控制操作。ONNX Store的网络钓鱼页面仿照Microsoft 365登录页面,诱骗用户输入身份验证凭据。它使用Cloudflare延迟钓鱼域名的删除,并通过加密JavaScript代码逃避反钓鱼扫描。ONNX Store提供防弹托管服务,保护攻击者的匿名性。其服务套餐包括多种网络钓鱼工具,如可定制钓鱼页面和捕获2FA令牌的工具,费用从150至400美元不等。此外,平台支持QR钓鱼攻击,并广泛利用JavaScript加密技术以窃取受害者的2FA令牌和其他敏感信息。
来源:https://gbhackers.com/phaas-platform-bypass-2fa/
13. 黑客利用电信政策漏洞在Telegram提供“免费”移动数据访问
黑客通过利用电信提供商政策的漏洞,在Telegram频道上为非洲和亚洲用户提供“免费”的移动数据访问。这些漏洞涉及共享配置文件,模拟零费率流量服务,允许用户绕过数据计量。攻击者使用HTTP Injector等工具,通过隧道技术操纵数据包,使流量看似来自免收费服务。此外,利用SSH、Stunnel建立加密隧道,或使用VPN的混淆技术和不可检测协议,进一步增强欺骗性。攻击者还通过代理操纵流量头或SOCKS代理将流量路由到远程服务器,欺骗网络将数据视为不计量。他们滥用零评级政策,通过修改HTTP标头、DNS设置、HTTPS请求中的服务器名称指示(SNI),使流量看似来自豁免服务。SNI代理、拆分隧道和选择性路由技术也被用于传输特定流量,同时保持其他数据加密。CloudSEK发现的多种工具,如HTTP Injector、Freedom VPN Client和HA Tunnel Plus,利用隧道功能绕过限制,实现安全互联网访问。
来源:https://gbhackers.com/hackers-vpns-exploit-restrictions-steal-data/
本研究探讨了开发和利用集成机器学习模型的实时浏览器扩展,以提高对网络钓鱼网站的检测能力。结果表明,该模型的准确率为98.32%,精确率为98.62%,召回率为97.86%,F1得分为98.24%。与支持向量机、朴素贝叶斯、决策树、XGBoost和K最近邻等其他算法相比,随机森林算法在检测网络钓鱼攻击方面表现出色。为期15天的零日网络钓鱼攻击检测测试表明,该模型能够识别以前未见过的威胁,实现了99.11%的总体准确率。此外,与Google安全浏览等传统安全措施相比,该模型表现出更好的性能。该模型成功检测到了逃避Google安全浏览检测的网络钓鱼URL。这项研究展示了如何在实时浏览器扩展中使用机器学习来防御网络钓鱼攻击。它提供了有关网络安全的有用信息,并有助于让互联网对每个人都更安全。
来源:https://arxiv.org/abs/2406.12547
15. 破解加密的无线电能传输:动态充电的网络安全
近年来,为了确保能量安全,公共场所已经开发了用于无线电能传输的能量加密技术,这对于抑制未经授权的能量提取非常重要。大多数技术通过变化频率,使未经授权的接收器因非谐振而无法提取能量。然而,这种策略并不可靠。为了促进能量加密技术的发展并指出安全漏洞,本文提出了一种针对变频无线电能传输加密原理的解密方法。本文使用辅助线圈来检测频率,并通过一个包含两个电容器和一个半导体开关的开关电容阵列自适应地补偿接收器的宽频范围。一个电容器始终补偿接收器,而另一个电容器在一个无线电能传输周期内的活跃时间由开关调节。因此,所提出的破解接收器通过控制补偿的等效电容来窃取能量。最终,详细的仿真模型和实验结果证明了对跳频能量加密的攻击有效性。尽管任何不可忽视的能量提取都是有问题的,但作者成功地窃取了授权接收器能获取的78%至84%的能量。当频率变化时,拦截器能够快速粗略调谐,从而可以破解快速变频加密系统。
来源:https://arxiv.org/abs/2406.12019
