2025-02-07 星期五
Vol-2025-033
1.
美国财政部限制
DOGE
团队访问敏感支付系统
2.
英国成立网络监控中心,评估数字灾难等级
3.
美国重新推出《网络
PIVOTT
法案》以解决网络安全劳动力缺口
4.
医疗器械网络安全责任与生命周期管理
5. Paragon
终止与意大利合同,
WhatsApp
零点击间谍软件滥用引争议
6. OpenAI
数据泄露事件:威胁者声称出售
2000
万账户登录信息
7.
当局逮捕入侵
40
多个组织的黑客
8. HailBot
与
RapperBot
僵尸网络联手攻击
DeepSeek
,致其运营中断
9. F5 BIG-IP SNMP
漏洞或引发
DoS
攻击,需紧急修复
10. DeepSeek
越狱漏洞曝光:完整系统提示被公开
11. MobSF
框架零日漏洞导致扫描结果触发拒绝服务攻击
12. Cisco IOS
软件
SNMP
漏洞或引发
DoS
攻击,需紧急修复
13.
警惕黑客论坛上以
50
美元出售的
Nova Stealer
恶意软件
14.
微软警告:攻击者利用暴露的
ASP.NET
密钥部署恶意软件
15. MMS
回归:过时的协议如何成为加密货币骗子的武器
16. AppleScript
:
macOS
的内置安全功能已成为黑客工具
1.
美国财政部限制
DOGE
团队访问敏感支付系统
【
The Record
网站
2
月
6
日消息】美国财政部已同意暂时限制特朗普政府“政府效率部”(
DOGE
)团队中除两名成员外的所有人员访问敏感支付记录,并将其权限限制为“只读”。根据周三的法庭文件,被允许继续访问财政部支付系统的
DOGE
成员为
Tom Krause
及其下属
Marko Elez
。此举是针对工会组织起诉财政部长
Scott Bessent
的最新进展,诉讼要求财政部阻止
DOGE
访问支付系统并保护已获取的数据。
DOGE
由亿万富翁
Elon Musk
领导,已渗透多个联邦机构,包括劳工部、教育部、医疗保险和医疗补助服务中心以及美国国际开发署等。法庭命令将一直有效,直到法官对初步禁令动议作出裁决。财政部否认
DOGE
拥有完全访问权限,称
Krause
和
Elez
仅具有只读权限,并强调
Krause
现为财政部雇员。此外,
DOGE
团队成员
Edward Coristine
的背景引发安全担忧,其曾与网络攻击服务相关的
Telegram
账户有联系。
2.
英国成立网络监控中心,评估数字灾难等级
【
SecurityLab
网站
2
月
6
日消息】英国正式启动网络监控中心(
CMC
),旨在以类似于自然灾害等级(如里氏地震等级和萨菲尔
-
辛普森飓风等级)的方式对网络事件进行分类。该中心由英国保险业支持,作为独立非营利组织运营,闭门开发一年后于
2
月
6
日在皇家联合服务研究所(
RUSI
)正式揭幕。
CMC
的主要任务是监控和分类网络攻击的强度及其对英国组织的影响,涵盖软件错误、数据泄露、针对性攻击和供应链攻击等事件。
CMC
将公开其调查结果,帮助企业和个人更好地理解网络事件的影响并提高抵御能力。技术委员会主席
Ciaran Martin
指出,尽管技术水平高,衡量网络攻击损害仍具挑战性。
CMC
的分类基于受影响组织数量和超过
1000
英镑的财务损失,关键因素包括业务停机、数据恢复、响应成本等。专家认为,若成功,
CMC
的方法将在全球推广,成为评估网络事件影响的国际标准。
3.
美国重新推出《网络
PIVOTT
法案》以解决网络安全劳动力缺口
【
Industrialcyber
网站
2
月
6
日消息】田纳西州共和党众议员、美国众议院国土安全委员会主席马克·格林再次提出《网络
PIVOTT
法案》,旨在解决美国面临的网络安全人才短缺问题。该法案首次在第
118
届国会期间提出,目标是通过建立全额奖学金计划,培养更多熟练的网络安全专业人员。该计划仿照预备役军官训练团(
ROTC
)模式,为攻读两年制学位的学生(主要在社区学院和技术学校)提供奖学金,以换取其对政府服务的承诺。该计划由网络安全和基础设施安全局(
CISA
)管理,要求获奖者在完成学业后在各级政府机构任职。法案的推出正值美国约有
50
万个网络安全职位空缺,数据泄露平均成本高达
936
万美元,网络攻击威胁日益增加的背景下。法案还为军人提供服役豁免,计划每年培训
10000
名网络专业人员,并为相关奖学金计划提供额外支持。法案得到了多方支持,被认为对加强美国网络防御能力至关重要。
4.
医疗器械网络安全责任与生命周期管理
【
Industrial Cyber
网站
2
月
6
日消息】美国卫生信息安全分析与咨询委员会(
Health-ISAC
)发布白皮书,强调医疗器械生命周期中的网络安全责任,重点关注恢复能力。白皮书指出,医疗器械生命周期分为开发、支持、有限支持和终止支持四个阶段,制造商(
MDM
)和医疗机构(
HDO
)的责任随阶段变化而转移。在开发阶段,
MDM
需评估威胁、设计安全控制并提交文档以满足监管要求;进入支持阶段后,设备上市并需定期更新和补丁维护安全态势;有限支持阶段,
HDO
需承担更多监控责任;终止支持阶段,
HDO
几乎承担全部责任,需评估风险并决定是否继续使用设备。白皮书还提到,
MDM
和
HDO
需持续沟通,共享安全文档、软件物料清单(
SBOM
)等信息,以促进设备安全使用。
FDA
要求制造商和医疗机构制定监控和响应计划,以应对新出现的威胁和漏洞。明确责任划分和加强协作是确保医疗器械网络安全的关键。
5. Paragon
终止与意大利合同,
WhatsApp
零点击间谍软件滥用引争议
【
Cybersecurity News
网站
2
月
6
日消息】以色列间谍软件公司
Paragon Solutions
宣布终止与意大利的合同,原因是其军用级监视软件
Graphite
被指控滥用于针对记者和民间社会成员。此前,
WhatsApp
披露其平台上的零点击攻击活动利用
Graphite
入侵了
24
个国家的
90
个目标,其中包括意大利的
7
人。攻击通过
WhatsApp
群聊中的恶意
PDF
文件实施,无需用户交互即可感染设备。受害者包括意大利记者弗朗西斯科·坎塞拉托和活动人士卢卡·卡萨里尼,两人均曾批评意大利政府的移民政策。
Paragon
坚称其技术仅用于反恐和犯罪预防,并强调合同禁止针对记者和民间社会成员。意大利总理办公室否认情报机构参与违规行为,但受害者计划提起刑事诉讼。此次事件引发了对监控技术道德使用的广泛讨论,并促使
WhatsApp
呼吁加强监管。
Paragon
的终止合同决定虽缓解了部分担忧,但滥用行为的责任问题仍未解决。
6. OpenAI
数据泄露事件:威胁者声称出售
2000
万账户登录信息
【
Cybersecurity News
网站
2
月
6
日消息】一名威胁行为者声称已获取
2000
万个
OpenAI
账户的登录信息,包括电子邮件地址和密码,并在黑客论坛上以象征性价格出售全套数据。尽管这一说法的真实性尚未得到证实,但事件引发了人们对人工智能行业数据安全的严重担忧。威胁行为者提供的样本数据显示,这些凭证可能被用于未经授权访问用户数据或滥用
OpenAI
的
API
进行恶意活动,如网络钓鱼、欺诈等。此次事件发生在针对人工智能平台的网络威胁日益增加的背景下。
2023
年
7
月,曾有超过
20
万个
OpenAI
凭证在暗网上出售。此外,微软近期调查发现,与中国人工智能初创公司
DeepSeek
相关的团体试图从
OpenAI
的
API
中提取未经授权的数据。这些事件表明,网络犯罪分子对利用人工智能技术进行恶意活动的兴趣日益浓厚。目前,
OpenAI
和独立网络安全公司正在调查事件真实性,以确定是否发生系统入侵或凭证是否通过其他方式(如网络钓鱼或恶意软件攻击)泄露。
7.
当局逮捕入侵
40
多个组织的黑客
【
Cybersecurity News
网站
2
月
6
日消息】西班牙当局与国际机构合作,在阿利坎特卡尔佩逮捕了一名涉嫌策划
40
多次网络攻击的黑客嫌疑人。该嫌疑人被指控侵入了北约、美国陆军、国防部和西班牙大学等知名组织的计算机系统。嫌疑人使用了匿名消息应用程序和加密浏览工具来逃避侦查,并在暗网论坛上频繁更换假名以避免被识别。在突袭嫌疑人住所时,调查人员查获了多台计算机设备和
50
多个加密货币账户,凸显了其利用区块链技术洗钱的能力。调查显示,嫌疑人与
2024
年多起网络攻击有关,攻击目标包括国家铸币和邮票工厂、教育部、西班牙大学、北约和美国陆军数据库等。该黑客面临未经授权访问
IT
系统、数据泄露、计算机损坏、洗钱和泄露机密等多项指控,最高可判处
20
年监禁。此案凸显了网络犯罪分子日益复杂的手段以及国际合作在打击网络犯罪中的重要性。
8. HailBot
与
RapperBot
僵尸网络联手攻击
DeepSeek
,致其运营中断
【
Cybersecurity News
网站
2
月
6
日消息】中国人工智能公司
DeepSeek
在推出其首款
AI
模型
DeepSeek-R1
不到一个月后,遭遇了由
HailBot
和
RapperBot
僵尸网络发起的大规模网络攻击,导致公司运营中断并暂停新用户注册。此次攻击始于
2025
年
1
月初,并在月底升级,涉及分布式拒绝服务(
DDoS
)攻击、
HTTP
代理攻击和暴力破解尝试。
HailBot
利用华为设备漏洞(如
CVE-2017-17215
)发起
DDoS
攻击,而
RapperBot
则通过
SSH
暴力攻击传播,并在受感染设备上挖掘加密货币。
DeepSeek
的快速崛起使其成为网络犯罪分子的目标。尽管其
AI
模型因高性能和低成本获得广泛关注,但此次攻击暴露了依赖数字基础设施的公司所面临的脆弱性。网络安全专家建议企业利用高级威胁分析工具(如
ANY.RUN
的交互式沙箱)来识别和防范类似攻击,以保护其数字生态系统。
9. F5 BIG-IP SNMP
漏洞或引发
DoS
攻击,需紧急修复
【
Cybersecurity News
网站
2
月
6
日消息】
F5 BIG-IP
系统近日披露了一个高危漏洞(
CVE-2025-21091
),该漏洞允许远程、未经身份验证的攻击者在禁用
SNMP v1
或
v2c
时,利用简单网络管理协议(
SNMP
)触发拒绝服务(
DoS
)攻击。该漏洞源于内存管理不善(
CWE-401
),影响负责处理
SNMP
操作的
snmpd
进程,可能导致系统性能下降,直至进程重新启动。该漏洞的
CVSS v3.1
评分为
7.5
(高),
CVSS v4.0
评分更高达
8.7
(高),影响
BIG-IP 15.x
至
17.x
版本。
F5
已发布修复版本,并建议用户重新启用
SNMP v1
和
v2c
以缓解漏洞,同时通过防火墙限制对
SNMP
端口的访问。此外,配置高可用性(
HA
)系统可降低服务中断风险。使用受影响版本的组织应立即采取措施,防止潜在攻击。
10. DeepSeek
越狱漏洞曝光:完整系统提示被公开
【
Cybersecurity News
网站
2
月
6
日消息】研究人员利用复杂的越狱技术成功绕过
DeepSeek
人工智能模型内置的安全限制,公开了其完整的系统提示信息。此次攻击采用了提示填充、错误格式请求、模拟调试等以及间接询问多种技术方法,从而提取出模型的核心操作指令和内部系统参数。这些泄露信息包括超过
100
万行日志、聊天记录以及秘密情报,揭示了模型训练过程中可能与
O Wallarm
安全研究团队指出,该漏洞暴露了
DeepSeek
在安全架构上的根本不足,促使多个国家(如澳大利亚、意大利、台湾、韩国和法国)已禁止在政府设备上使用该平台。专家警告,随着人工智能系统的扩大奥克兰关键应用领域,此类漏洞可能对商业和国家安全构成严重威胁,要求立即加强安全防护措施和模型训练。
11. MobSF
框架零日漏洞导致扫描结果触发拒绝服务攻击
【
Cybersecurity News
网站
2
月
6
日消息】移动安全框架(
MobSF
)被发现存在一个零日漏洞,该漏洞被认定为部分拒绝服务(
DoS
)漏洞,影响扫描结果和
iOS
动态分析器的功能。该漏洞被归类为
CWE-1287
,即对指定类型的输入验证不当,其
CVSS v4.0
评分为
6.9
(中等严重性)。该漏洞源于
MobSF
的
urls.py
文件中输入验证不当,具体与
iOS
应用程序包标识符的解析有关。攻击者可以通过修改
iOS
应用程序的
Info.plist
文件中的
CFBundleIdentifier
值来包含特殊字符,从而绕过限制。当这种恶意制作的应用程序被上传到
MobSF
进行分析时,该框架无法正确处理无效字符,导致
500
内部服务器错误,使扫描结果和
iOS
动态分析器页面无法访问。唯一的解决办法是手动从系统中删除恶意应用程序。该漏洞由
Positive Technologies
的
Oleg Surnin
发现,并已在
MobSF 4.3.1
版本中修复。依赖
MobSF
进行移动应用程序分析的组织应优先升级到
4.3.1
版本,以保护其系统免受潜在攻击。
12. Cisco IOS
软件
SNMP
漏洞或引发
DoS
攻击,需紧急修复
【
Cybersecurity News
网站
2
月
6
日消息】思科披露其
IOS
、
IOS XE
和
IOS XR
软件的简单网络管理协议(
SNMP
)子系统中存在多个高危漏洞(
CVE-2025-CVE-2025-20170
、
CVE-2025-20171
),这些漏洞可能允许经过身份验证的远程攻击者在受影响的设备上触发拒绝服务(
DoS
)攻击。漏洞源于
SNMP
请求解析时的错误处理不当,影响所有
SNMP
版本(
v1
、
v2c
、
v3
),
CVSS
评分为
7.7
(高)。攻击者需具备有效的社区字符串(
SNMP v1/v2c
)或用户凭据(
SNMP v3
)才能利用漏洞。思科建议管理员限制
SNMP
访问至受信任设备,并尽可能禁用易受攻击的对象标识符(
OID
)。目前,思科正在开发修复补丁,尚未发现漏洞被主动利用的迹象。使用受影响设备的组织应立即实施缓解措施,并准备升级软件以防范潜在攻击。
13.
警惕黑客论坛上以
50
美元出售的
Nova Stealer
恶意软件
【
Cybersecurity News
网站
2
月
6
日消息】网络安全研究人员发现一种名为
Nova Stealer
的新型恶意软件正在黑客论坛上以
50
美元的价格出售。该恶意软件是流行的
SnakeLogger
窃取程序的分支,采用恶意软件即服务(
MaaS
)模式,攻击者只需支付
50
美元即可获得
30
