专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240724】177期

网空闲话plus · 公众号 · · 2024-07-24 06:55

正文

2024-07-24 星期三 Vol-2024-177

今日热点导读

1. 印度 2024 年预算助力网络安全与技能培训

2. 五角大楼网络安全新规被指阻碍外国供应商合作

3. 黑客利用新型恶意软件 FrostyGoop 攻击乌克兰供暖系统

4. 云安全初创公司 Wiz 拒绝谷歌 230 亿美元收购提议

5. CrowdStrike 就传感器软件更新事件提交 8-K 表澄清

6. 暗网 Vigorish Viper 集团利用足球推广 1.7 万亿美元非法赌博市场

7. APT28 疑似针对乌克兰科研机构发起网络间谍活动

8. TracFone 因数据泄露支付 1600 万美元罚款

9. Okta 浏览器插件曝反射型跨站点脚本漏洞，用户需及时升级

10. 飞利浦 Vue PACS 系统漏洞威胁全球医疗数据安全

11. Windows Hello for Business 身份验证遭降级攻击

12. 勒索软件生态因执法压力和不信任而分裂

13. 警惕约会应用泄露个人信息和位置隐私风险

14. FrostyGoop 恶意软件：针对乌克兰能源设施的致命攻击

15. 新型 Braodo 窃取程序威胁用户登录凭证安全

16. R0bl0ch0n 恶意流量分配系统影响超过 1.1 亿互联网用户

资讯详情

政策法规

1. 印度2024年预算助力网络安全与技能培训

2024-25年联邦预算重点关注九大领域，包括农业生产力和恢复力、就业和技能培训、包容性人力资源开发、制造和服务业、城市发展、能源安全、基础设施、创新与研发，以及下一代改革。这些举措旨在促进各领域的增长和发展。政府还拨款超过30亿卢比用于支持妇女和女孩的计划，设立专门的技能培训项目以提高女性在劳动力市场的参与率。在网络安全方面，预算显著增加了资金投入，将网络安全预算增加到75亿卢比，并将电子和信息技术部（MeitY）的预算提升了40%，达到2100亿卢比。这些资金将用于加强网络安全基础设施，支持创新和研发，尤其是在人工智能、物联网和区块链等领域。预算还强调了通过技术和数字化提高生产力，进一步增强数字安全需求。专家们对预算中对技能培训和就业的重视表示赞赏。政府为教育、就业和技能培养拨款14.8亿卢比，并设立了专项的实习计划和职业女性宿舍，旨在培养技术熟练的劳动力。

来源：https://thecyberexpress.com/budget-2024/

2. 五角大楼网络安全新规被指阻碍外国供应商合作

美国国防创新委员会指出，国防部即将实施的网络安全成熟度模型认证（CMMC）和2018年的OSD重组正在对外国供应商造成合作障碍。CMMC旨在提升承包商的网络防御，但合规过程对许多公司来说既困难又昂贵，尤其是对盟国和伙伴国家的中小企业。这些公司面临找不到合适的认证顾问和高昂的合规成本问题。委员会建议五角大楼应提供培训和认证支持，允许盟国发布本地化培训材料，并作为CMMC合规资源。此外，委员会还建议撤销2018年对国防部采购、技术和后勤办公室的拆分，以简化与外国伙伴的合作流程。委员会强调，为了实现创新目标，国防部需要进行文化变革，开放接受并协调外国技术。

来源：https://www.nextgov.com/defense/2024/07/pentagons-new-cyber-rules-are-stifling-foreign-suppliers-advisors-say/398279/

安全事件

3. 黑客利用新型恶意软件FrostyGoop攻击乌克兰供暖系统

安全研究人员揭露，乌克兰利沃夫市在1月中旬遭受了网络攻击，导致部分居民在严寒中失去中央供暖近48小时。这一攻击被归咎于名为FrostyGoop的新型恶意软件，该软件专门针对工业控制系统，特别是供暖系统控制器。网络安全公司Dragos的报告指出，FrostyGoop通过Modbus协议与工业控制设备交互，这一协议在全球范围内被广泛使用。此次事件是乌克兰近年来第三次遭受与网络攻击相关的中断，暴露了关键基础设施面临的网络威胁。研究人员认为，黑客可能早在一年前就已访问目标网络，并在2024年1月通过位于莫斯科的IP地址连接进行了攻击。尽管有俄罗斯IP地址的线索，但Dragos并未指责任何特定黑客组织或政府，而是认为这次攻击可能是为了破坏当地居民的士气。

来源：https://techcrunch.com/2024/07/23/hackers-shut-down-heating-in-ukrainian-city-with-malware-researchers-say/

4. 云安全初创公司Wiz拒绝谷歌230亿美元收购提议

市值达120亿美元的云安全初创公司Wiz已拒绝了谷歌母公司Alphabet提出的230亿美元收购要约。Wiz的首席执行官阿萨夫·拉帕波特在内部备忘录中向1200名员工宣布了这一决定，并表示公司选择继续独立发展，目标是实现年经常性收入10亿美元并最终上市。Wiz的投资者全力支持公司保持独立，认为公司规模已适合进行IPO。尽管这笔交易若达成将成为谷歌历史上最大的收购之一，但预计会面临监管部门的严格审查。Wiz在纽约和以色列特拉维夫设有办事处，今年初以120亿美元的估值筹集了10亿美元风险投资，计划用于增长和收购。Wiz的独立决定得到了包括Andreessen Horowitz、Lightspeed Venture Partners等知名投资者的支持。公司将继续专注于创新和增长，同时瞄准IPO和进一步收购。

来源：https://cybersecuritynews.com/wiz-rejects-googles-23-billion-deal/

5. CrowdStrike就传感器软件更新事件提交8-K表澄清

CrowdStrike Holdings, Inc.因Falcon传感器软件的配置更新导致使用特定Windows系统客户遭遇中断而面临挑战。该公司迅速解决了问题，并明确表示这是内部更新失误而非网络攻击。更新在UTC时间4:09发布，影响了部分在线Windows系统。CrowdStrike紧急响应，团队迅速介入确保客户系统安全稳定。UTC时间5:27问题得到确认和隔离，更新已撤销。公司通过客户支持门户和博客提供了补救信息和事件更新，保持透明沟通。CrowdStrike向美国证券交易委员会提交8-K表，承认事件的持续影响并评估对业务运营的影响，同时提醒风险和不确定性，强调前瞻性声明不构成业务表现的保证。公司展现了对客户安全和系统稳定性的承诺，同时积极采取措施减轻事件影响。

来源：https://cybersecuritynews.com/crowdstrike-filed-a-form-8-k/

6. 暗网Vigorish Viper集团利用足球推广1.7万亿美元非法赌博市场

2024年7月23日，研究人员发现，暗网中的Vigorish Viper集团通过与欧洲足球俱乐部的有争议赞助关系，推广针对大中华区的非法赌博网站。这个由雅博集团控制的犯罪网络，拥有价值1.7万亿美元的非法赌博资产，并涉足大规模洗钱和人口贩卖活动。Vigorish Viper利用足球俱乐部的声望吸引赌徒，其技术手段包括DNS配置、网站托管和支付系统等，管理着超过17万个活跃域名。尽管中国对赌博行为实施了严厉惩罚，但大中华区每年赌博赌注仍高达8500亿美元。研究表明，Vigorish Viper与雅博集团合作，通过复杂的网络基础设施，在欧洲和亚洲的体育联赛中持续进行非法赌博活动。

来源：https://thecyberexpress.com/vigorish-viper-campaign/

7. APT28疑似针对乌克兰科研机构发起网络间谍活动

乌克兰计算机应急响应小组（CERT-UA）分析指出，与克里姆林宫支持的APT28（Fancy Bear或BlueDelta）有联系的网络间谍活动，疑似针对乌克兰科研机构。APT28与俄罗斯军事情报局（GRU）有关，此次攻击中使用了Hatvibe和Cherryspy两款恶意软件，这两款软件之前也曾用于针对乌克兰政府机构的网络间谍活动。研究人员以“中等信心”将攻击者UAC-0063与APT28联系起来，该组织自2021年被首次检测到，其起源尚不明确，但已表现出对多个国家的兴趣。攻击者通过获取员工邮箱账户，替换邮件附件为恶意文件以进行攻击。CERT-UA还记录了利用HFS漏洞安装Hatvibe后门的案例，表明攻击者使用多种策略。APT28被认为是过去几年对乌克兰及其盟友发动的多次重大网络攻击的幕后黑手，其攻击范围广泛，包括德国社会民主党、波兰政府机构以及捷克外交部等。

来源：https://therecord.media/ukraine-scientific-institutions-espionage-russia

8. TracFone因数据泄露支付1600万美元罚款

美国联邦通信委员会（FCC）宣布，Verizon旗下的TracFone Wireless因未能保护消费者数据，导致两年内发生三次数据泄露，将支付1600万美元的民事罚款。这些泄露是由于恶意使用应用程序编程接口（API）造成的，侵犯了消费者隐私，暴露了网络安全协议的无效性。FCC要求TracFone加强API安全性，并创建信息安全计划，减少API漏洞，使用NIST和OWASP的标准。此外，TracFone需更换用户识别模块（SIM卡）和端口出保护措施，接受第三方年度评估，并对员工及合作伙伴进行隐私和安全要求培训。TracFone的匿名电话服务以保护隐私著称，此次事件凸显了其安全措施的不足。Verizon于2021年11月收购TracFone，此次和解协议旨在提高其网络安全和隐私保护标准。

来源：https://therecord.media/tracfone-16-million-to-settle-fcc-investigation

漏洞预警

9. Okta浏览器插件曝反射型跨站点脚本漏洞，用户需及时升级

2024年7月23日，Okta浏览器插件被发现存在反射型跨站点脚本（XSS）漏洞，影响多个浏览器，包括Edge、Chrome、Safari和Firefox，用户数量超过500 万。此漏洞被指定为CVE-2024-0981，严重性评分为7.1（高）。当用户输入新凭证时，漏洞允许威胁行为者执行任意 JavaScript 码。Okta迅速发布了安全公告并提供了解决方案。受影响的插件版本为 6.5.0 至 6.31.0，修复版本为6.32.0。Okta建议用户立即升级到最新版本以避免潜在风险。此外，此漏洞不影响未添加Okta Personal的Workforce Identity Cloud用户。Okta Admin用户可通过特定查询搜索仍在使用过时版本插件的用户。Okta插件功能丰富，超过1亿用户依赖其进行凭据保存和应用程序访问，因此及时更新至关重要。

来源：https://cybersecuritynews.com/okta-browser-plugin-xss-vulnerability/

10. 飞利浦Vue PACS系统漏洞威胁全球医疗数据安全

飞利浦公司近期披露了其Vue图像存档和通信系统（PACS）中存在的多个高危和严重漏洞，这些漏洞可能使患者数据面临未授权访问、服务中断和诊断数据操纵的风险。Vue PACS广泛应用于医院和诊断中心，负责管理和传输关键医学图像，并与电子病历和放射信息系统无缝集成。飞利浦已发布安全公告，建议医疗机构立即升级到最新安全版本并遵循特定配置指南以降低风险。Cyble研究与情报实验室的发现显示，大量Vue PACS系统可通过互联网访问，增加了远程攻击的脆弱性，特别是巴西和美国受影响较大。医疗保健行业被呼吁采取强有力的网络安全措施，包括定期更新软件、实施网络分段策略和采用事件响应计划，以保护患者数据和维持运营连续性。

来源：https://thecyberexpress.com/philips-vue-pacs-vulnerabilities/

11. Windows Hello for Business 身份验证遭降级攻击

埃森哲红队的安全研究员Yehuda Smirnov发现了Windows Hello for Business（WHfB）的一个漏洞，攻击者可以通过中间人攻击（MITM）绕过WHfB的默认防网络钓鱼身份验证。WHfB利用计算机中的可信平台模块（TPM）和生物识别或PIN码进行身份验证，但Smirnov发现攻击者可以拦截并篡改身份验证请求，将WHfB降级为更易受到网络钓鱼攻击的密码或短信一次性密码（OTP）方法。他使用开源的Evilginx框架成功演示了这一攻击手段。微软已经发布了修复程序，通过增加“身份验证强度”的条件访问功能，管理员可以在Azure门户中强制使用防网络钓鱼的身份验证方法。这一新功能已集成在Microsoft的Etra ID联合应用程序中，允许组织根据多种条件调整所需的身份验证强度。

来源：https://www.darkreading.com/endpoint-security/goodbye-attackers-can-bypass-windows-hello-strong-authentication

风险预警

12. 勒索软件生态因执法压力和不信任而分裂

近年来，执法机构的打击和勒索软件团伙AlphV/BlackCat的退出骗局导致资深网络犯罪分子开始回避大型勒索软件即服务(RaaS)平台。欧洲刑警组织的报告显示，有组织的网络犯罪集团正尝试通过开发自己的恶意软件变种来减少对RaaS服务的依赖。尽管勒索软件攻击的组织结构可能因执法行动而分裂，但专家们认为这不太可能减少勒索软件攻击的数量，因为网络犯罪市场依然活跃，且软件漏洞众多。RaaS生态系统的分裂可能降低进入门槛，使得犯罪分子更容易独立发动攻击，而不再需要依附于大型平台。尽管如此，专家们普遍认为，由于利用软件漏洞的盈利模式未变，勒索软件攻击和敲诈事件仍将频繁发生。

来源：https://therecord.media/ransomware-ecosystem-changing-under-law-enforcement-pressure-distrust

13. 警惕约会应用泄露个人信息和位置隐私风险

网络犯罪分子正越来越多地攻击约会应用程序，窃取个人数据和位置信息，用于身份盗窃、勒索等恶意活动。DistriNet研究部门分析了15款流行的基于位置的约会应用程序（LBD），发现这些应用通过分享用户的个人和敏感信息，导致用户面临隐私风险。被分析的应用包括Tinder、Grindr和OkCupid等。研究表明，一些应用程序存在三边测量漏洞和API缺陷，使用户的精确位置暴露。此外，LBD应用的隐私政策和实际行为之间存在显著差异，很多应用未能提供有效的隐私控制，甚至泄露数据。这表明亟需提高透明度，改善用户数据管理工具，并制定更严格的安全政策以保护用户隐私。

来源：https://gbhackers.com/dating-apps-security-risk/

恶意软件

14. FrostyGoop恶意软件：针对乌克兰能源设施的致命攻击

2024年1月，乌克兰西部能源公司Lvivteploenergo遭到一种名为FrostyGoop的恶意软件攻击，导致600户家庭在极寒天气中断暖气。工业网络安全公司Dragos的研究人员发现并分析了这一恶意软件。FrostyGoop是为Windows系统编译的恶意软件，尚未被防病毒软件检测到。它利用了Modbus协议，与工业控制系统直接交互，是首个通过Modbus破坏物理设备的恶意软件。攻击者向控制区域供热变电站模块和锅炉房流程的ENCO控制器发送Modbus命令，导致系统故障和测量不准确。尽管Dragos未将此次攻击归咎于特定的威胁行为者，但在事件发生前，攻击者曾从莫斯科的IP地址连接到能源系统网络。FrostyGoop的出现揭示了工业控制系统面临的新型网络威胁，凸显了加强网络安全的重要性。

来源：https://therecord.media/frostygoop-malware-ukraine-heat

15. 新型Braodo窃取程序威胁用户登录凭证安全

Braodo Stealer是一种新型的信息窃取恶意软件，源自越南，其复杂的信息窃取能力引起了安全专家的关注。该恶意软件利用Unicode混淆和多阶段感染过程，通过PowerShell下载额外组件，并在Windows启动文件夹中安装持久机制。Braodo的核心负载隐藏在“Document.zip”中，包含一个完整的Python环境和主要破坏性脚本“sim.py”。一旦被触发，该脚本会全面扫描系统，收集计算机名称、用户个人信息和IP地址等详细信息，并专门从Chrome、Firefox和Edge等浏览器中提取机密数据。使用AES算法解密后，通过Telegram机器人发送被盗信息。Braodo Stealer的复杂性和隐蔽性对个人和金融安全构成严重威胁，凸显了信息窃取恶意软件的进化和对强有力网络安全措施的迫切需求。网络安全分析师建议用户投资于信誉良好的最新安全解决方案，以防范这些高级威胁。

来源：https://cybersecuritynews.com/beware-braodo-stealer-login-theft/

16. R0bl0ch0n恶意流量分配系统影响超过1.1亿互联网用户

2024年7月23日，网络安全研究人员发现了R0bl0ch0n恶意流量分配系统，该系统已影响超过1.1亿互联网用户。R0bl0ch0n通过关联营销平台，如Affplus和OfferVault，传播恶意活动，包括钓鱼诈骗和虚假广告。此系统通过“0/0/0”模式识别，利用流量分配系统（TDS）重定向用户，使用affId、c1、c2和c3等跟踪参数，并进行IP检查以防止重复访问。Palo Alto Networks的分析显示，该系统通过短期域名和共享域名，规避Google Safe Browsing和反垃圾邮件过滤。R0bl0ch0n利用AWS和Microsoft Azure等云服务，进行大规模欺诈活动，自2021年夏季以来与“event.trk-”模式的跟踪域名通信。研究人员建议阻止该基础设施，以防止更多用户受到影响。

来源：https://cybersecuritynews.com/r0bl0ch0n-rogue-traffic-distribution-system/

5th域安全微讯早报【20240724】177期

正文

请到「今天看啥」查看全文