专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240723】176期

网空闲话plus · 公众号 · · 2024-07-23 06:55

正文

2024-07-23 星期二 Vol-2024-176

今日热点导读

1. 云安全联盟发布云安全知识证书新版本，强化现代云安全技能

2. 五角大楼北极战略：强化太空和卫星能力应对地缘政治挑战

3. 以色列裔加拿大商人涉诉雇佣黑客事件曝光

4. 电子处方供应商 MediSecure 数据泄露影响 1290 万澳大利亚人

5. EC-Council 推出 8 门网络安全基础课程，普及动手实践培训

6. 大金公司遭 Meow 黑客组织攻击， 40 GB 机密数据泄露

7. 约会应用数据泄露：用户位置和敏感信息暴露

8. Handala 组织宣称对以色列组织发起网络攻击

9. Telegram Android 版修复零日漏洞，防止恶意文件伪装成视频

10. Bazaar v1.4.3 漏洞允许未经身份验证的目录遍历

11. Pwn2Own Automotive 揭示 Phoenix Contact 充电控制器严重漏洞

12. 严重 Splunk 漏洞被利用，通过精心构造的 GET 命令执行

13. Panchan 僵尸网络利用先进持久性技术传播独特恶意软件

14. SocGholish 恶意软件利用 BOINC 项目进行隐蔽攻击

15. Play 勒索软件新变种瞄准 VMware ESXi 系统

16. 威胁者利用 SYS01 恶意软件劫持 Faceb ook 账户

资讯详情

政策法规

1. 云安全联盟发布云安全知识证书新版本，强化现代云安全技能

云安全联盟（CSA）近日宣布推出云安全知识证书（CCSK）第五版，旨在提供最新的云安全培训，帮助云利益相关者优化云中关键资产的保护，并提升其对雇主和市场的价值。CCSK v5基于《云计算关键领域的安全指南》第五版，为现代网络安全专业人士提供了全面且最新的云安全知识体系。CSA的CEO和联合创始人Jim Reavis强调，CCSK v5不仅覆盖了保护云中关键资产所需的技能，还包括了对GenAI安全和零信任安全方法的深入讨论，确立了其作为现代网络安全专业人士的新标准。CCSK v5更新了云架构、云原生安全、工作负载、虚拟网络、数据保护、DevSecOps、零信任、生成性AI等技术领域的最新内容，并提供了关于风险管理、合规性达成、云安全策略优化以及云服务提供商和用户之间责任共享的关键信息。CCSK v5项目还包括创新性的CCSK Orb，这是一个独特的生成性AI工具，帮助用户掌握知识体系并在日常工作挑战中提供持续帮助。CCSK v5覆盖了12个关键云安全知识领域，提供了组织云安全的核心概念、最佳实践和建议，适用于任何云服务提供商或平台。

来源：https://www.darkreading.com/cloud-security/cloud-security-alliance-sets-new-standard-in-cloud-security-expertise-with-the-certificate-of-cloud-security-knowledge

2. 五角大楼北极战略：强化太空和卫星能力应对地缘政治挑战

2024年7月22日，美国国防部发布了新的北极战略，强调应对北极地区日益加剧的地缘政治和环境挑战。该战略指出，美国军方需在高纬度地区作战，并建议投资太空能力以增强通信、情报收集和监控活动。气候变化正在重塑北极地区的地貌和地缘政治动态，俄罗斯和中国的活动引发了美国的关注。战略文件强调北极在导弹预警和美国本土防御中的重要性，呼吁升级雷达和传感器网络，并改善卫星覆盖范围。美国太空军在阿拉斯加和格陵兰岛的基地为北极军事行动提供关键支持，确保北极圈以北的战略位置得到有效监控和通信保障。

来源：https://spacenews.com/pentagons-arctic-strategy-emphasizes-space-and-satellite-capabilities/

安全事件

3. 以色列裔加拿大商人涉诉雇佣黑客事件曝光

以色列裔加拿大商人奥弗·巴佐夫（Ofer Baazov）卷入特拉维夫地方法院的诉讼，被指控雇佣黑客入侵对方电话和服务器以获取并利用私人信息进行诽谤。原告包括白俄罗斯软件公司SoftSwiss的创始人，他们指控巴佐夫及其同伙策划了一场“犯罪诽谤运动”。录音显示，巴佐夫的助手萨吉·拉赫米（Sagi Lahmi）雇佣了一名犹太裔俄罗斯黑客，对目标手机进行“镜像”并提取WhatsApp、Telegram和Signal上的数据。这名黑客与原告合作后，提供了详细的黑客计划和价格清单，比如入侵某人的费用为70,000欧元。网络安全顾问加比·阿隆揭露了这些活动，并与黑客合作获取了更多证据。这些录音将作为证据提交法庭。巴佐夫及其同伙否认所有指控，并反诉原告存在欺诈行为。

来源：https://cybersecuritynews.com/hijacking-server-whatsapp-exposed/

4. 电子处方供应商MediSecure数据泄露影响1290万澳大利亚人

2024年4月，澳大利亚电子处方公司MediSecure遭受勒索软件攻击，导致1290万人个人和健康信息泄露，受影响人数约占全国总人口的一半。被盗数据包括姓名、出生日期、地址、电话号码、电子邮件地址以及处方药信息等。这些信息在5月份被黑客以5万美元的价格在俄罗斯黑客论坛上出售。MediSecure因无法负担事件响应费用而宣布清算，并向澳大利亚政府寻求帮助但被拒绝。该事件引起了澳大利亚主要网络安全机构的重视，涉及多方合作进行调查和处理。MediSecure已通知相关政府部门，并与网络安全专家合作，努力恢复数据并进行详细取证分析。然而，由于数据量大且性质复杂，取证工作仍在进行中。

来源：https://www.govinfosecurity.com/e-prescription-vendor-breach-affects-129-million-aussies-a-25821

5. EC-Council推出8门网络安全基础课程，普及动手实践培训

2024年7月17日，网络安全认证与培训公司EC-Council宣布推出8 门“基础”网络安全课程，每门课程定价299美元。这些课程旨在通过提供可负担的培训，普及技术网络安全技能的发展。课程设计注重沉浸式学习体验，确保学员掌握行业级技能。全球网络安全人才短缺预计到2025年将达到350 人，此次推出的“基础系列”课程为参与者提供了全面的教育体验，包括课程材料、视频、最终项目或“夺旗”挑战以及考试。课程覆盖8 关键领域：道德黑客、网络防御、云安全、物联网安全、威胁情报、数字取证、开发安全运维和安全运营。该系列课程适用于希望建立网络安全基础知识的爱好者以及希望验证基础技能的专业人士。EC-Council集团总裁Jay Bavisi表示，推出“基础系列”体现了公司致力于提高技术网络安全教育标准、促进赋权、并在技术社区内推广普及和包容性。此举旨在增加学生和技术爱好者的技术网络安全教育，并为全球教育者提供有效教授网络安全的工具。

来源：https://www.darkreading.com/cybersecurity-operations/ec-council-democratizes-hands-on-cybersecurity-training-with-8-cyber- courses

6. 大金公司遭Meow黑客组织攻击，40 GB机密数据泄露

全球最大的空调制造商大金公司美国分公司近日遭到Meow黑客组织的网络攻击，该组织声称已窃取40 GB的机密数据，内容包括敏感账户信息、银行详细信息和交易记录。此次数据泄露事件不仅暴露了公司的关键财务信息，也给客户信任带来重大风险。Meow黑客组织要求支付4万美元赎金以换取不公开被盗数据，给大金公司带来了两难选择：支付赎金可能树立危险先例，不支付则可能面临敏感信息的公开。目前，大金尚未发表官方声明，但预计将与网络安全专家和执法机构合作应对此次危机。这一事件凸显了大型企业在网络安全方面的漏洞以及网络犯罪分子策略的不断演变，其处理结果及后续措施将对公司的声誉和整个行业产生重要影响。

来源：https://gbhackers.com/hackers-claim-breach-of-daikin/

7. 约会应用数据泄露：用户位置和敏感信息暴露

2024年7月23日，安全研究人员发现，Tinder、Bumble、Grindr等15款约会应用存在API漏洞，泄露了用户的敏感数据和精确位置。比利时KU Leuven大学的研究人员Karel Dhondt和Victor Le Pochat通过分析发现，这些应用泄露了用户公开资料之外的敏感信息，包括种族、政治观点、性取向和健康信息。六款应用（包括Bumble、Grindr和Hinge）允许恶意行为者通过三边测量法准确定位用户。研究表明，API流量中的数据泄露是由于服务器向应用接口发送了超出必要的数据，如年龄显示为出生日期等。研究人员已通知相关公司修复漏洞，但一些公司声称这是“预期行为”。研究呼吁用户谨慎分享个人信息，并敦促应用开发商采取更严格的数据保护措施。

来源：https://www.darkreading.com/application-security/swipe-right-for-data-leaks-dating-apps-expose-location-more

8. Handala组织宣称对以色列组织发起网络攻击

Handala Group声称对以色列众多组织实施了针对性的网络钓鱼攻击，该事件与近期CrowdStrike的蓝屏死机（BSOD）事件有关。尽管攻击的真实性和范围尚未得到验证，但Handala Group的声明已在网络安全界引起了关注。据称，Handala Group发起了一次大规模的网络钓鱼活动，利用专用擦除器和FUD（恐惧、不确定、怀疑）策略破坏数据完整性，声称已有数十家目标组织丢失了数个TB的数据。Handala Group还批评了以色列国家网络局（INCD），认为该机构对攻击的真正规模一无所知，并警告说如果INCD不公开受影响的组织，他们将自行公布这些信息。目前，INCD和受影响的组织尚未确认数据泄露的程度，事件的发展和Handala Group的声明是否得到证实还有待观察。

来源：https://dailydarkweb.net/alleged-cyber-attack-by-handala-group-targets-israeli-organizations-after-crowdstrike-bsoding-incident/

漏洞预警

9. Telegram Android版修复零日漏洞，防止恶意文件伪装成视频

安全研究人员发现并报告了Android设备上Telegram应用的一个零日漏洞，该漏洞允许攻击者发送伪装成合法视频文件的恶意负载。ESET公司将此漏洞命名为EvilVideo，并指出攻击者在漏洞被修补前有约五周时间利用它。Telegram已于本月初在版本10.14.5及更高版本中修复了这一问题。漏洞利用了Telegram自动下载媒体文件的默认设置，攻击者可以将恶意应用程序伪装成外部播放器。在修补后，恶意文件在聊天中会被正确识别为应用程序而非视频。目前尚不清楚该漏洞是否被广泛利用，以及哪些黑客组织对此感兴趣。ESET还发现同一地下论坛账户宣传了一种声称完全无法检测到的Android加密挖掘即服务恶意软件。

来源：https://therecord.media/telegram-zero-day-android-app-eset

10. Bazaar v1.4.3漏洞允许未经身份验证的目录遍历

Bazaar v1.4.3中出现了一个严重的安全漏洞（CVE-2024-40348），允许未经身份验证的攻击者通过/api/swaggerui/static 组件执行目录遍历攻击。安全研究员4rdr发现此漏洞，攻击者可以利用该漏洞操纵路径，未经授权访问敏感目录和文件，严重影响系统的完整性和机密性。目录遍历攻击通过操纵用户输入，使用“../”等特殊字符，访问应用文件系统预期范围之外的文件和目录，导致机密文件暴露。安全专家开发了概念验证（PoC），展示了如何利用此漏洞执行任意代码，可能导致勒索软件等严重后果。目前尚无专门针对 CVE-2024-40348 的安全补丁。建议组织监控系统日志、实施严格访问控制、定期进行漏洞评估，并在 Bazaar 发布官方补丁前更换或限制受影响的组件。

来源：https://thecyberexpress.com/cve-2024-40348-vulnerability-in-bazaar-v1-4-3/

11. Pwn2Own Automotive揭示Phoenix Contact充电控制器严重漏洞

在趋势科技零日计划（ZDI）举办的Pwn2Own竞赛中，Phoenix Contact CHARX SEC-3100交流充电控制器被发现存在严重安全漏洞。这些漏洞包括HomePlug协议越界读取信息泄露（CVE-2024-26003）和ClientSession使用后释放导致的远程代码执行（CVE-2024-26005）。攻击者可以利用这些漏洞泄露机密信息，甚至在受影响设备上执行任意代码。CHARX控制器具有远程攻击面，采用嵌入式Linux系统，且默认开启SSH，存在非特权用户默认密码。Phoenix Contact已发布更新修复这些漏洞，建议用户更新至最新版本以确保设备安全。

来源：https://cybersecuritynews.com/pwn2own-automotive-critical- vulnerabilities-ac-charging-controller/

12. 严重Splunk漏洞被利用，通过精心构造的GET命令执行

Splunk Enterprise，一款用于安全和监控目的的应用程序，近日被披露存在一个高危漏洞，CVE编号为CVE-2024-36991。该漏洞与Windows平台上的路径遍历问题有关，影响9.2.2、9.1.5和9.0.10以下版本的Splunk Enterprise。由于Python的os.path.join函数在路径处理上的缺陷，攻击者可以利用该漏洞遍历文件系统并访问受限目录之外的文件或目录。据报告，超过23万台暴露在互联网上的Splunk服务器面临此漏洞风险。攻击者可以通过发送特定的GET请求，利用该漏洞在Splunk Enterprise实例上读取操作系统上的任意文件。目前，已有GitHub上的利用代码和概念验证发布。为了防止攻击者利用此漏洞，建议上述版本的Splunk Enterprise用户升级到最新版本。

来源：https://cybersecuritynews.com/critical-splunk-vulnerability-cve-2024-36991-exploit/

恶意软件

13. Panchan僵尸网络利用先进持久性技术传播独特恶意软件

摘要：Nozomi Networks Labs的研究人员发现了Panchan僵尸网络中的一种独特恶意软件，该软件采用先进的持久性技术，通过替换受感染机器上的SSH服务器实现长期驻留。与传统的Mirai变种不同，Panchan使用基于Go语言的代码库，并在系统重启后通过建立systemd服务确保其持续运行。该恶意软件还嵌入了XMRig和NBMiner两款加密货币挖矿软件，通过base64编码和memfd_create系统调用来部署。研究人员通过Shodan等平台识别出显示Go横幅的SSH服务器，确定Panchan感染的设备。Panchan采用P2P协议，通过端口1919进行对等点交换，支持sharepeer、sharerigconfig和shareupdateinfo等命令，实现挖矿配置和更新信息的交换。研究人员通过部署蜜罐系统，获得了关于恶意行为者策略和工具的宝贵见解，并强调持续监控和适应威胁形势对于保护数字基础设施和防范网络威胁的重要性。

来源：https://industrialcyber.co/ransomware/unique-malware-identified-in-panchan-botnet-with-advanced-persistence-techniques/

14. SocGholish恶意软件利用BOINC项目进行隐蔽攻击

SocGholish（也称FakeUpdates）是一种JavaScript下载器恶意软件，它传播了AsyncRAT远程访问木马和合法的BOINC（伯克利开放基础设施网络计算客户端）项目。BOINC是一个分布式计算平台，用户可贡献闲置的计算机资源并获得Gridcoin加密货币奖励。SocGholish通过伪装成浏览器更新诱导用户下载，一旦执行，便会连接到攻击者控制的C2服务器，收集数据并推送命令。BOINC被恶意重命名为“SecurityHealthService.exe”或“trustedinstaller.exe”，通过PowerShell脚本和计划任务实现持久性。尽管目前不清楚攻击者的确切动机，但受感染的BOINC客户端可能被用于进一步的恶意活动，如勒索软件部署。项目维护人员正在寻求解决方案，安全专家警告用户BOINC的滥用可能带来严重风险。

来源：https://thehackernews.com/2024/07/socgholish-malware-exploits-boinc.html

15. Play勒索软件新变种瞄准VMware ESXi系统

网络安全研究人员发现，名为Play的勒索软件推出了专门针对VMware ESXi环境的Linux新变种。该变种通过窃取数据和加密系统进行双重勒索。自2022年6月首次出现以来，Play已对约300个组织发起攻击，受害者包括制造、IT、金融服务等多个行业。Trend Micro报告称，Play正在扩展其在Linux平台上的攻击范围，增加勒索成功的可能性。分析表明，Play的Linux变种采用了Prolific Puma提供的非法服务，利用注册域生成算法（RDGA）来逃避检测。这种策略使得Play勒索软件在加密虚拟机文件后，附加“.PLAY”扩展名并在根目录放置勒索信，进一步增加其攻击威力。报告强调，ESXi环境因其在业务运营中的关键作用，成为勒索软件攻击的高价值目标。通过同时加密大量虚拟机，网络犯罪分子能更有效地获利。

来源：https://thehackernews.com/2024/07/new-linux-variant-of-play-ransomware.html

16. 威胁者利用SYS01恶意软件劫持Facebook账户

一种名为SYS01的信息窃取程序通过社交媒体平台Facebook传播，专门窃取用户凭证并进一步扩散恶意软件。该恶意软件自2023年3月出现以来不断演化，通过恶意广告诱导用户下载。SYS01不仅窃取浏览器数据，还能获取Facebook访问令牌，尤其是商业页面管理账户，使攻击者能够接管这些账户并通过其传播更多恶意广告。攻击者运用复杂的攻击链，包括C2域生成、数据提取和Facebook账户劫持。此外，SYS01还使用商业工具实现在受感染系统上的持久性。安全专家警告，多因素身份验证和强检测等安全措施对于防御此类攻击至关重要。

来源：https://cybersecuritynews.com/facebook-account-hijack-malware/

5th域安全微讯早报【20240723】176期

正文

请到「今天看啥」查看全文