专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240710】165期

网空闲话plus · 公众号 · · 2024-07-10 07:07

正文

2024-07-10 星期三 Vol-2024-165

今日热点导读

1 . 美国共和党政纲将关键基础设施保护列为国家优先事项

2. 澳大利亚启动联邦网络安全倡议，加强抵御外国威胁

3. CISA 推进开源软件安全：加强联合防御与评估框架

4. 美破获俄 AI 虚假信息传播网络， Meliorator 软件曝光

5. 也门胡塞武装利用网络间谍活动监听中东军方电话

6. 富士通确认三月网络攻击导致客户数据泄露

7. 菲律宾卫生部因信息泄露未及时通知 4200 万受害者遭立法者质询

8. REvil勒索软件案揭露特斯拉贿赂企图与俄罗斯审判细节

9. SN Blackmeta声称对《华盛顿时报》网络攻击负责

10. 印度WhatsApp用户成网络钓鱼骗局新目标： RTO假应用泛滥

11. 黑客攻击WordPress日历插件，15万网站受影响

12. 研究人员发现Traeger智能烧烤炉多个漏洞，用户需警惕

13. 微软紧急修复Windows Hyper-V和MSHTML在野利用的零日漏洞

14. Adobe发布多款产品关键补丁，警告代码执行风险

15. 北约峰会：爱沙尼亚国防部长警告俄罗斯混合攻击

16. 黑客获取 Brute Ratel 网络战工具激活器

资讯详情

政策法规

1. 美 国共和党政纲将关键基础设施保护列为国家优先事项

共和党全国委员会发布2024年政策路线图，承诺将利用国家力量保护美国关键基础设施和国家工业基础免受恶意网络攻击。该政纲预计将在密尔沃基举行的共和党全国代表大会上正式批准。尽管共和党最近反对联邦政府对水系统和医疗保健网络等行业实施数字监管，但政纲强调保护关键系统和网络的安全是国家优先事项。此外，最高法院最近的裁决可能削弱政府的监管工作，包括网络事件报告制度。新党纲《2024年共和党纲领：让美国再次伟大！》还承诺废除总统拜登的人工智能行政命令，称其阻碍了人工智能创新，并将激进左翼思想强加于该技术的发展。

来源：https://therecord.media/rnc-policy-roadmap-critical-infrastructure-cybersecurity

2. 澳大利亚启动联邦网络安全倡议，加强抵御外国威胁

澳大利亚内政部长斯蒂芬妮·福斯特发起了一项新举措，旨在加强联邦网络安全，抵御外国威胁。该倡议要求近200个政府实体和相关公司进行全面的技术审计，识别漏洞并实施风险缓解策略，并与澳大利亚信号局共享网络威胁情报。这些指令被纳入保护服务政策框架（PSPF），重点关注外国所有权、控制权或影响力带来的潜在风险。福斯特的指示与内政部长克莱尔·奥尼尔公布的更广泛措施相一致，旨在应对澳大利亚社会的外国干涉威胁。网络安全专家对此表示欢迎，认为这些措施对于维护澳大利亚作为安全数字国家的地位至关重要。

来源：https://thecyberexpress.com/commonwealth-cybersecurity-initiative/

3. CISA推进开源软件安全：加强联合防御与评估框架

美国网络安全和基础设施安全局（CISA）通过战略举措和社区协作，致力于增强开源软件（OSS）的安全性。近日举办的首届开源软件安全峰会是该进程的重要一步，聚焦于协调应对假设的OSS漏洞，强调了统一行动的重要性。CISA还推出了Hipcheck工具，旨在自动化和简化OSS组件的安全评估，以标准化评估过程并满足不同的安全标准和运营需求。此举旨在提高OSS的可信度和安全性，以保护联邦机构和关键基础设施免受网络威胁。CISA强调透明度和主动安全措施的重要性，以促进开源生态系统的安全发展，并确保其在数字领域的抵御能力。

来源：https://thecyberexpress.com/cisa-announces-open-source-software-security/

安全事件

4. 美破获俄AI虚假信息传播网络，Meliorator软件曝光

美国联邦当局近日揭露并破获了俄罗斯利用人工智能进行虚假信息传播的行动。这一行动由俄罗斯国内情报机构及其国家宣传机构RT的分支机构支持，通过名为Meliorator的定制AI软件，创建并运行社交媒体机器人账户，传播亲莫斯科的宣传内容。FBI在联合荷兰和加拿大政府机构发布的报告中指出，该软件能够实时响应消息，并警告其可能扩展到其他社交媒体平台。兰德公司分析显示，即使投资适度，虚假信息也能广泛传播。FBI追踪到Meliorator的主要开发者为RT的员工，并发现其与俄罗斯联邦安全局有合作。该行动在X平台注册了968个账户，专注于避免自动检测，使用AI生成的个人资料和代理IP地址，以融入社交媒体环境并传播虚假信息。

来源：https://www.bankinfosecurity.com/us-busts-russian-ai-driven-disinformation-operation-a-25729

5. 也门胡塞武装利用网络间谍活动监听中东军方电话

网络安全公司Lookout的研究人员发现，也门胡塞武装正在通过移动监控软件窃听中东军事人员的电话，这一行动表明移动设备在全球冲突中的监控作用日益重要。报告指出，胡塞武装自2019年起，已成功感染450多部手机，这些手机分布在也门及其邻国，包括沙特阿拉伯、埃及等。该行动使用了基于十年前泄露的Dendroid恶意软件的GuardZoo版本，能够收集手机中的照片、文档和文件等数据。胡塞武装此举意在获取军事资产位置等敏感信息，其行动不仅利用了军事主题诱饵，还涉及宗教和其他主题。此外，Recorded Future的报告也提到，可能与胡塞武装有关的黑客组织OilAlpha正以也门的人道主义组织为目标进行网络攻击。

来源：https://cyberscoop.com/researchers-catch-yemeni-hackers-spying-on-middle-east-military-phones/

6. 富士通确认三月网络攻击导致客户数据泄露

日本科技巨头富士通确认，在2024年初检测到的数据泄露事件中，一些个人和客户商业信息已被泄露。尽管这次攻击没有涉及勒索软件，但攻击者使用了复杂的机制来规避检测，同时窃取信息。富士通在三月份发现其多个系统被恶意软件感染，并意识到敏感客户信息可能已受到威胁。公司随后隔离了受影响的计算机，并在外部专家的协助下启动了调查。调查结果显示，恶意软件从一个单一的入侵点传播到了49台计算机。富士通表示，这是一款高度先进的攻击，使用了复杂的技术来伪装自己，使得检测变得困难。目前，富士通已将49台受感染的计算机隔离，并限制了恶意软件在日本网络环境中的传播。公司还指出，由于恶意软件的行为，执行了复制文件的命令，因此数据可能已经被外泄。富士通补充说，目前尚未收到任何关于被泄露数据被滥用的报告。

来源：https://www.bleepingcomputer.com/news/security/fujitsu-con firms-customer-data-exposed-in-march-cyberattack/

7. 菲律宾卫生部因信息泄露未及时通知4200万受害者遭立法者质询

菲律宾健康保险公司（PhilHealth）因未能在去年秋季勒索软件攻击中及时通知4200多万受害者其健康信息被泄露，面临立法者的强烈反对。PhilHealth执行副总裁埃利·迪诺·桑托斯在听证会上承认未按法律要求通知受害者。众议员斯特拉·金博要求在本周内提交数据泄露通知工作的报告，并提供通知受害者的计划。去年9月，Medusa勒索软件团伙袭击PhilHealth，导致数周中断，最初声称无信息泄露，但10月确认850万老年人信息被盗。今年4月政府创建门户网站供公众查询是否受影响。近年来，菲律宾频遭网络攻击，2024年前几个月恶意网络活动增加近325%。

来源：https://therecord.media/philippine-lawmakers-want-answers-data-breach

8. REvil勒索软件案揭露特斯拉贿赂企图与俄罗斯审判细节

俄罗斯对REvil勒索软件集团成员的审判揭示了该组织对美国目标的攻击细节，包括对特斯拉的贿赂企图。审判中，八名成员面临的指控已大幅减少，主要涉及银行卡盗窃，而非勒索软件犯罪。尽管如此，辩方声称缺乏证据和受害者。REvil案在军事法庭审理，部分原因是其中一名被告当时正在服兵役。案件披露了试图贿赂特斯拉工程师在公司内植入恶意软件的细节，但美国在此案中的合作不足，导致相关证据未被采纳。REvil曾对Colonial Pipeline、Kaseya、JBS和Quanta Computer等公司发起攻击，其成员在2021年解散后继续在俄罗斯网络犯罪中活跃，有的加入了BlackBasta等团体。审判还涉及了与DarkSide勒索软件攻击者合作加密Colonial Pipeline数据的指控，以及涉及大额比特币交易的赎金支付问题。

来源：https://thecyberexpress.com/revil-ransomware-trial-tesla-bribe-attempt/

9. SN Blackmeta声称对《华盛顿时报》网络攻击负责

据报道称，《华盛顿时报》遭受网络攻击，黑客组织SN Blackmeta宣称对此负责，并在声明中批评美国在自由和言论自由方面的选择性立场，尤其是对LGBTQ权利的关注而忽视其他问题，如巴勒斯坦人的权利和加沙局势。此次网络攻击似乎出于政治和意识形态不满，意图通过此事件引起对其观点的关注。尽管SN Blackmeta声称攻击导致《华盛顿时报》所有服务中断，但《华盛顿时报》尚未发布官方声明，且其网站在报道时仍可访问，因此攻击的真实性尚未得到证实。如果攻击属实，可能会对《华盛顿时报》的运营、声誉及媒体行业整体造成影响。同时，SN Blackmeta的声明暗示可能对更大目标发起攻击，提升了对其他媒体组织和关键基础设施的威胁级别。

来源：https://thecyberexpress.com/the-washington-times-cyberattack/

10. 印度WhatsApp用户成网络钓鱼骗局新目标：RTO假应用泛滥

最近，Cyble研究与情报实验室发现，威胁行为者正在利用WhatsApp向印度用户发送冒充地区运输办公室（RTO）的网络钓鱼信息。这些消息声称接收者的车辆涉嫌违规，并诱导他们下载名为“VAHAN PARIVAHAN”的应用程序。一旦安装，此应用程序窃取设备信息并传输至攻击者。该活动的进化还表明，攻击者不再依赖于传统短信，而是转向WhatsApp，以增加欺骗的成功率和隐蔽性。专家建议用户只从官方应用商店下载应用，并保持警惕以防范类似诈骗行为的威胁。

来源：https://thecyberexpress.com/whatsapp-india-regional-transport-office-scam/

漏洞预警

11. 黑客攻击WordPress日历插件，15万网站受影响

黑客正在利用WordPress插件Modern Events Calendar中的漏洞，试图向超过150,000个网站上传任意文件并远程执行代码。该插件由Webnus开发，用于管理各类活动。漏洞编号为CVE-2024-5441，严重性评分为8.8。该漏洞于5月20日由Friderika Baranyai在Wordfence的漏洞赏金活动中发现并报告。漏洞源于插件的“set_featured_image”功能缺乏文件类型验证，允许上传包括.PHP文件在内的任何文件类型，从而可能导致网站被完全接管。任何经过身份验证的用户都可利用此漏洞，甚至在插件允许非会员提交活动时，无需身份验证也可被利用。Webnus已于昨日发布7.12.0版修复此漏洞，用户应尽快升级以避免网络攻击风险。

来源：https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-calendar-plugin-used-by-150-000-sites/

12. 研究人员发现Traeger智能烧烤炉多个漏洞，用户需警惕

Bishop Fox的专家发现Traeger Grill D2智能烧烤炉的Wi-Fi控制器存在多个漏洞，可能对用户安全构成严重威胁。发现的问题包括授权流程控制不够、机密信息泄露、未加密固件和调试端口开放。攻击者可以通过API获取烤架ID并控制其他用户的烤架，甚至在烹饪时更改温度。此外，移动应用程序的GraphQL API泄露了所有注册用户的烧烤信息。Traeger已发布固件更新并禁用ListGrills操作以解决这些问题。Bishop Fox建议用户在不使用时关闭烤架的物理电源开关以增强安全性。

来源：https://www.securitylab.ru/news/549962.php

13. 微软紧急修复Windows Hyper-V和MSHTML在野利用的零日漏洞

微软在7月的补丁星期二发布了大量更新，修复了Windows生态系统中的140多个安全漏洞，特别警告了攻击者正在利用的两个零日漏洞。其中一个是Windows Hyper-V的权限提升漏洞（CVE-2024-38080），攻击者成功利用此漏洞可获得系统权限，该漏洞的CVSS严重性评分为7.8。另一个是Windows MSHTML平台欺骗漏洞（CVE-2024-38112），需要攻击者在利用前准备目标环境。此次更新的补丁中，有5个漏洞被评为严重级别。安全专家特别提醒注意Microsoft Office SharePoint中的严重远程代码执行漏洞（CVE-2024-38023），该漏洞可能被攻击者利用。微软同时确认了针对Windows图像组件和Windows桌面远程许可的严重远程代码执行漏洞的修复。

来源：https://www.securityweek.com/microsoft-warns-of-windows-hy per-v-zero-day-being-exploited/

14. Adobe发布多款产品关键补丁，警告代码执行风险

Adobe于周二发布了一系列针对Windows和macOS上多款企业产品的严重安全补丁，警告用户这些漏洞可能导致代码执行攻击。此次补丁日修复了至少七个影响Adobe Premiere Pro、Adobe InDesign和Adobe Bridge的漏洞。Adobe Premiere Pro的漏洞（CVE-2024-34123）涉及不受信任的搜索路径，CVSS评分为7.0/10。Adobe InDesign的四个漏洞（CVE-2024-20781至CVE-2024-20785）与内存安全问题相关，CVSS评分为7.8/10。Adobe Bridge的两个漏洞（CVE-2024-34139和CVE-2024-34140）包括整数溢出和带外读取，CVSS评分为7.8。Adobe强调，这些漏洞如果被成功利用，可能导致任意代码执行。

来源：https://www.securityweek.com/adobe-issues-critical-patches-for-multiple-products-warns-of-code-execution-risks/

风险预警

15. 北约峰会：爱沙尼亚国防部长警告俄罗斯混合攻击

在2024年北约峰会上，爱沙尼亚国防部长汉诺·佩夫库尔表示，俄罗斯正在北约范围内发动混合攻击，试图分散各国对如何最好地支持乌克兰的注意力。这些混合攻击包括网络攻击、破坏车辆等，目的是让欧洲国家处理内部问题而非关注乌克兰危机。佩夫库尔强调，乌克兰有数百人死亡，应是各国关注的重点。北约此前已警告俄罗斯在欧洲各地进行破坏、暴力、虚假宣传等混合活动。佩夫库尔指出，混合攻击是否援引北约第五条款需个别评估，不应因小事反应过度，以免落入俄罗斯的政治圈套。此外，佩夫库尔介绍了波罗的海计划的最新进展，计划在爱沙尼亚、拉脱维亚和立陶宛边境建立掩体防线以更好应对俄罗斯军队。

来源：https://breakingdefense.com/2024/07/estonia-wont-fall-into-russias-trap-by-overreacting-to-hybrid-attacks-defense-minister/

恶意软件

16. 黑客获取Brute Ratel网络战工具激活器

网络安全研究员@knight0x07在7月2日报告称，Brute Ratel C4 (BRC4)的当前版本激活器已在网络犯罪社区中泄露。Brute Ratel是一款高级软件，虽不如Cobalt Strike知名，但具备类似的C2功能，专门设计用于绕过EDR和防病毒等威胁检测系统。该工具被描述为模拟攻击者行为和模拟攻击的工具，帮助安全团队分析攻击并改进防御。然而，破解版本的泄露意味着任何人都可以无激活密钥使用该工具，这引起了严重担忧，因为其生成的shellcode难以被多数EDR和防病毒产品检测。这为攻击者提供了建立初始访问、在网络中移动和建立持久性的时间。专家建议组织应加强网络的多层防御，包括定期更新安全系统、进行漏洞审计、使用现代EDR解决方案、实施零信任原则，并培训员工识别网络威胁及对可疑活动做出反应。

来源：https://www.securitylab.ru/news/549950.php

5th域安全微讯早报【20240710】165期

正文

请到「今天看啥」查看全文