专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240627】154期

网空闲话plus · 公众号 · · 2024-06-27 07:13

正文

2024-06-27 星期四 Vol-2024-154

今日热点导读

1 . 俄罗斯 Roskomnadzor 要求 Opera 和 Google 限制 Censor Tracker 扩展否则将面临高额罚款

2. 俄罗斯限制 81 家外国媒体报复欧盟制裁

3. 超 11 万网站受 Polyfill 供应链攻击影响，谷歌屏蔽相关广告

4. BianLian 勒索软件攻击美国商业改进局和皮肤病学合作伙伴

5. 微软 PlayReady DRM 源码泄露事件

6. 美国悬赏 500 万美元缉捕“失踪的加密女王”鲁贾·伊格纳托娃

7. 美国指控俄罗斯公民协助克里姆林宫入侵乌克兰计算机系统

8. LockBit 勒索软件团伙误报攻击目标，实为银行数据泄露

9. 西门子 Sicam 产品漏洞修补，能源行业面临潜在攻击风险

10. Chrome 浏览器 0day 沙盒逃逸漏洞被高价出售

11. Apple 修复 AirPods 蓝牙漏洞以防止窃听风险

12. 朝鲜新攻击者利用恶意 npm 软件包攻击开源生态系统

13. 恶意软件利用 BPL 侧载和伪装 PGP 密钥传播

14. KillSec 推出功能强大的勒索软件即服务平台

15. 微软推出 AI 驱动的 Copilot 工具，增强 Defender XDR 的威胁情报能力

16. 利用红队中的强化学习进行高级勒索软件攻击模拟

资讯详情

政策法规

1. 俄罗斯Roskomnadzor要求Opera和Google限制Censor Tracker扩展否则将面临高额罚款

2024年6月26日，俄罗斯通信监管机构Roskomnadzor要求Opera和Google限制Censor Tracker浏览器扩展在俄罗斯的运营。该扩展提供绕过网络封锁的方法，被Roskomnadzor认定为非法信息，并将其链接纳入禁止信息统一登记册。Roskomnadzor已向Opera、Google及扩展程序开发商发出要求，限期删除这些非法内容。如果未能满足要求，这些公司将面临高达80万至400万卢布的罚款，屡次违规的罚款最高可达公司年收入的10%。自2024年3月1日起，俄罗斯禁止在互联网上传播绕过屏蔽访问禁止内容的方法的信息。

来源：https://www.securitylab.ru/news/549536.php

2. 俄罗斯限制81家外国媒体报复欧盟制裁

俄罗斯6月25日宣布对81家欧洲媒体实施访问限制，包括《政治报》、《明镜周刊》和《世界报》，作为对欧盟上周制裁俄罗斯媒体的回应。俄罗斯外交部表示，这些媒体“系统性地传播不实信息”，并指责其对乌克兰的报道存在偏见。该禁令涉及25个欧盟成员国的新闻机构，如法新社、德国《法兰克福汇报》和意大利《La Repubblica》。欧盟官员和被禁媒体纷纷谴责此举，认为这是一种“无稽之谈的报复”。美国国务院也批评俄罗斯政府限制新闻自由。俄罗斯此举是对欧盟封锁其国有宣传频道的回应，显示出两方在媒体制裁问题上的持续对抗。

来源：https://therecord.media/russian-bans-european-media-outlets-response-sanctions

安全事件

3. 超11万网站受Polyfill供应链攻击影响，谷歌屏蔽相关广告

在一家中国公司Funnull收购了Polyfill.io域名并修改了JavaScript库“polyfill.js”后，超过110,000个使用该库的网站遭受供应链攻击，用户被重定向到恶意和诈骗网站。谷歌因此屏蔽了受影响电子商务网站的广告。Polyfill是一个流行的Web库，被广泛用于支持现代浏览器功能。今年2月，Funnull收购该域名后，注入恶意代码将用户重定向至不良网站。安全公司Sansec报告称，恶意代码具有特定保护机制，仅在特定时间和设备上激活，以避免检测。原项目创作者Andrew Betts建议立即移除该库。Cloudflare和Fastly已提供替代端点帮助用户脱离Polyfill.io。

来源：https://thehackernews.com/2024/06/over-110000-websites-affected-by.html

4. BianLian勒索软件攻击美国商业改进局和皮肤病学合作伙伴

臭名昭著的勒索软件组织BianLian声称最新的网络攻击目标是美国两家公司：Better Business Bureau Inc和US Dermatology Partners。据称，BianLian已成功获取这两家组织的大量敏感数据，包括财务信息、合同、员工资料等。商业改进局（BBB）和皮肤病学合作伙伴分别遭受了大规模数据泄露，可能导致严重的隐私和安全问题。目前，具体的攻击细节和背后动机尚未公开，但相关组织已被建议加强网络安全措施，以应对此类高度复杂的网络威胁。

来源：https://thecyberexpress.com/bianlian-ransomware-bbb-us-dermatology/

5. 微软PlayReady DRM源码泄露事件

微软工程师在公开论坛意外泄露了PlayReady DRM的内部源代码，该事件可能对广泛使用的DRM技术安全性构成重大影响。泄露的数据包包含4GB信息，足以让人从源代码编译DLL，为DRM技术的逆向工程和破解提供了可能。AG安全研究实验室的研究人员利用泄露的代码发现了PlayReady的多个缺陷，成功解密受保护的高清电影。研究人员已于6月12日将泄漏事件通知微软，微软迅速删除了论坛帖子，但下载链接一度仍有效。微软回应称，已进行调查并确定该事件不是服务漏洞。但事件已引起对流媒体服务安全性的严重担忧，强调了保护DRM技术的重要性和在公共论坛处理敏感信息的谨慎性。

来源：https://thecyberexpress.com/microsoft-engineer-leaked-4gb-of-playready-drm/

6. 美国悬赏500万美元缉捕“失踪的加密女王”鲁贾·伊格纳托娃

美国政府将悬赏金额提高至500万美元，寻求有关“失踪的加密女王”鲁贾·伊格纳托娃的信息。伊格纳托娃因涉嫌参与OneCoin加密货币诈骗案，骗取受害者超过40亿美元，于2017年10月在美国被起诉后失踪。2022年，她被列入美国联邦调查局十大通缉逃犯名单，当时悬赏金额为25万美元。最新消息称，她在收到腐败执法官员的举报后逃往希腊，并可能持德国护照前往多国。尽管有传言称她已于2018年被谋杀，但美国国务院和联邦调查局假设她仍然活着，继续进行调查。此案因英国广播公司的播客《失踪的加密女王》而引起全球关注，其他涉案人员也已在美国被判刑。

来源：https://therecord.media/ruja-ignatova-onecoin-cryptoqueen-us-5million-reward

7. 美国指控俄罗斯公民协助克里姆林宫入侵乌克兰计算机系统

美国司法部指控22岁的俄罗斯国民阿明·斯蒂加尔(Amin Stigal)协助俄罗斯军事情报机构GRU入侵乌克兰的计算机系统。斯蒂加尔使用名为WhisperGate的恶意软件，在2022年俄罗斯入侵前攻击并摧毁了数十个乌克兰政府实体的计算机系统。WhisperGate伪装成勒索软件，实为数据擦除器，类似于2017年攻击乌克兰企业的NotPetya。2022年1月，俄罗斯黑客利用WhisperGate攻击多台乌克兰政府计算机，窃取敏感数据并破坏网站，进一步袭击了中欧支持乌克兰的国家及美国联邦政府机构。斯蒂加尔若被定罪，最高可判五年监禁。美国司法部长加兰德表示，司法部将继续与乌克兰合作，追究支持俄罗斯恶意网络活动的责任。

来源：https://therecord.media/us-accuses-russian-helping-kremlin

8. LockBit勒索软件团伙误报攻击目标，实为银行数据泄露

LockBit勒索软件团伙近期错误声称攻击了美国联邦储备系统（美联储），并盗取了33TB的敏感银行信息。然而，这一谣言已被揭穿，实际上受攻击的是美国一家银行——Evolve Bank & Trust。LockBit在暗网泄露了数据，并声称与美联储有谈判，索要赎金。但随后，网络安全公司HackManac在社交媒体上更新信息，确认真正的受害方是Evolve Bank & Trust。该银行已确认数据被盗，并表示正在同执法机构合作调查此次网络安全事。美联储此前因发现该银行在风险管理、反洗钱（AML）和合规实践方面存在多项“缺陷”，曾对Evolve Bank & Trust进行了处罚。安全公司AzAl Security将LockBit的虚假声明视为其“急于寻求关注”的行为，反映出该团伙在俄罗斯勒索软件界地位的下降。

来源：https://www.bleepingcomputer.com/news/security/lockbit-lied-stolen-data-is-from-a-bank-not-us-federal-reserve/

漏洞预警

9. 西门子Sicam产品漏洞修补，能源行业面临潜在攻击风险

西门子近期修补了Sicam产品中的多个漏洞，这些漏洞可能被利用来针对能源行业发动攻击。5月，西门子通知客户，其Sicam A8000远程终端单元、Sicam EGS电网传感器和Sicam 8电力自动化软件更新修复了两个高严重性漏洞和一个中等严重性漏洞。其中，CVE-2024-31484是一个缓冲区覆盖问题，可能导致任意代码执行或拒绝服务。CVE-2024-31485是Web界面的命令注入问题，允许攻击者获取提升权限用户的凭证并以root身份执行代码。CVE-2024-31486涉及MQTT客户端密码保护不当，可能导致凭据泄露。受影响的产品设计用于变电站自动化。SEC Consult的研究人员因发现这些漏洞而受到赞誉，并详细解释了这些漏洞的利用方式。

来源：https://www.securityweek.com/siemens-sicam-vulnerabilities-could-facilitate-attacks-on-energy-sector/

10. Chrome浏览器0day沙盒逃逸漏洞被高价出售

6月25日，一名威胁行为者宣称其掌握了谷歌Chrome浏览器的一个0day漏洞，并声称该漏洞能够实现沙盒逃逸远程代码执行（RCE）。该漏洞影响Chrome浏览器的126.0.6478.126和126.0.6478.127版本，并已在Windows操作系统的21H1和21H2版本上得到验证。该行为者对这一漏洞的开价高达100万美元，并希望通过使用门罗币或比特币进行交易，同时提出通过中间人或担保人确保交易安全。由于此漏洞能够绕过Chrome浏览器的沙盒安全机制，其潜在威胁极大，可能允许攻击者在受影响的系统上执行任意代码。

来源：https://dailydarkweb.net/threat-actor-claims-to-sell-0day-sandbox-escape-rce-in-chrome-browser/

11. Apple修复AirPods蓝牙漏洞以防止窃听风险

Apple发布了针对AirPods的固件更新，修复了一个可能导致窃听的蓝牙漏洞（编号CVE-2024-27867）。该漏洞影响AirPods（第二代及更新版本）、AirPods Pro、AirPods Max、Powerbeats Pro和Beats Fit Pro。当这些耳机向之前配对的设备发出连接请求时，蓝牙范围内的攻击者可能伪造源设备以获取耳机的访问权限，从而窃听私人谈话。该问题已通过改进状态管理解决。Jonas Dreßler因发现并报告此漏洞受到赞誉。此次修补包含在AirPods固件更新6A326、6F8和Beats固件更新6F8中。此外，Apple两周前还发布了visionOS 1.2版更新，修复了21处缺陷，包括一个可能导致拒绝服务的WebKit漏洞（CVE-2024-27812）。

来源：https://thehackernews.com/2024/06/apple-patches-airpods-bluetooth.html

TTPs动向

12. 朝鲜新攻击者利用恶意npm软件包攻击开源生态系统

2024年初以来，朝鲜新威胁行为者Moonstone Sleet通过公共npm注册表分发恶意软件包，威胁开源生态系统的安全。该攻击者利用开源软件供应链漏洞，模仿Jade Sleet等其他朝鲜攻击者的策略，扩展其影响范围。Moonstone Sleet使用双包方法，其中一个包创建基础设施，另一个包充当下载器和执行器，将恶意代码下载到受害者机器上执行。该攻击者不断改进技术，通过使用单独的下载程序和混淆技术逃避检测，目标不仅是Windows系统，还包括Linux系统。尽管安全界提高了警惕，朝鲜行为者依然对开源生态系统构成持续威胁。

来源：https://gbhackers.com/north-korean-actor-malicious-npm-packages/

13. 恶意软件利用BPL侧载和伪装PGP密钥传播

新发现的网络活动利用BPL侧载技术和伪装成PGP密钥的策略，传播名为IDAT Loader的恶意软件，阻止安全系统的检测。此攻击链从一个宝莱坞盗版电影下载网站开始，经由Bunny内容交付平台引导用户下载ZIP文件。在ZIP文件中，隐藏有一个看似PGP密钥的文件，实际上包含垃圾字节和嵌入式恶意代码。通过LNK文件执行mshta.exe，进一步下载和执行另外两个ZIP文件，其中一个包含伪装的可执行文件和嵌入的恶意BPL文件。BPL侧载允许恶意代码在合法签名的执行文件中运行，绕过传统的检测机制，增加了检测和防范的难度。网络安全公司Kroll建议企业采用规则来监测mshta.exe的异常行为，并强调阻止或删除MSHTA的执行是防范这类攻击的关键步骤。

来源：https://www.helpnetsecurity.com/2024/06/26/malware-bpl-sideloading/

14. KillSec推出功能强大的勒索软件即服务平台

黑客组织 KillSec 推出了新的勒索软件即服务 (RaaS) 平台，为网络犯罪分子提供高级黑客工具。该平台的核心是一个采用 C++ 编写的高效加密工具，能锁定受害者计算机上的文件，要求支付赎金以解锁。用户可通过 Tor 网络上的仪表板管理攻击，享受统计追踪、聊天功能和勒索软件配置自定义等多种功能。KillSec 还计划增加 DDoS 攻击工具、自动电话功能和高级数据窃取程序。该服务面向“受信任的个人”，收费为250美元，并从赎金中抽取12%佣金。KillSec 自2021年成立以来，已成为重要的黑客行动力量，其RaaS平台的推出标志着网络犯罪的进一步发展。

来源：https://thecyberexpress.com/killsec-launches-raas-program/

新兴技术

15. 微软推出 AI 驱动的Copilot工具，增强Defender XDR的威胁情报能力

微软宣布在Defender XDR门户中全面推出AI驱动的Copilot for Security工具，以增强威胁情报能力。Copilot使用户能够通过自然语言提示访问和利用Microsoft的威胁情报数据。嵌入式体验位于Defender XDR门户右侧，提供开放的提示栏和三个预填充提示，帮助用户快速获取最新的妥协指标、情报文章和威胁分析内容。Copilot通过提取、情境化和总结相关情报，帮助用户评估漏洞和了解攻击范围。用户可以优先处理威胁并根据独特的安全态势获取定制的优先列表，从而更有效地保护关键资产。

来源：https://gbhackers.com/microsoft-announced-copilot/

16. 利用红队中的强化学习进行高级勒索软件攻击模拟

ARXIV网站刊载文章，介绍了一种新的方法，利用强化学习（RL）模拟勒索软件攻击，以增强个人和组织对安全威胁的准备。通过在仿真环境中训练RL代理，模拟真实网络中的勒索软件攻击，实现快速学习有效的攻击策略。这一方法简化了传统的手动渗透测试流程，使得RL代理能够发现攻击路径并揭示网络的弱点。通过在152台主机示例网络上的实验验证，证明了该方法的有效性。RL代理能够成功发现和模拟对高价值目标的攻击，并且能够有效避开蜜罐文件，这些文件通常是为了检测未经授权访问而故意放置的诱饵文件。这种方法为安全防御团队提供了宝贵的见解，帮助他们制定更强大和更具适应性的防御策略。

来源：https://arxiv.org/html/2406.17576v1

5th域安全微讯早报【20240627】154期

正文

请到「今天看啥」查看全文