专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240807】189期

网空闲话plus · 公众号 · · 2024-08-07 07:23

正文

2024-08-07 星期三 Vol-2024-189

今日热点导读

1. 澳美签署谅解备忘录加强打击虚假信息合作

2. 日本拟强制私营部门报告网络安全事件以加强防御

3. 澳大利亚家具零售商 Early Settler 确认数据泄露事件

4. Mobile Guardian 遭黑客攻击，影响全球设备管理

5. 新加坡当局追回 4000 万美元 BEC 欺诈款项

6. SisaCloud 数据库泄露事件引发泰国教育数据安全担忧

7. 科技巨头应对 AI 干预选举的计划

8. CrowdStrike 发布故障分析报告，法律纠纷升级

9. 俄方重视网络犯罪分子交换释放凸显网络优先策略

10. 巴黎奥运文化场馆遭网络攻击，官方否认勒索软件

11. 网络攻击重创亨利·施亨，公司利润下滑

12. 美法院裁定谷歌滥用垄断地位，或改变互联网格局

13. Google 修补积极利用的 Android 内核零日漏洞

14. JFrog Artifactory 漏洞导致工件缓存中毒风险

15. 三星推出千万美元漏洞赏金计划

16. 2024 年 CVE 激增 30% ，仅 0.91% 被武器化

17. 西部数据 WD Discovery 应用漏洞允许代码执行

18. 新型 Doubleface 勒索软件声称无法被检测

19. SharpRhino 木马渗透企业网络新策略曝光

20. CRM- 陷阱： Chameleon 攻击酒店业

21. 新型 CryptoKat 勒索软件发布：声称快速加密引发担忧

22. 澳大利亚联邦警察冻结涉嫌俄罗斯间谍夫妇资产

23. 美国民警卫队任务部队支援网络司令部任务结束

资讯详情

政策法规

1. 澳美签署谅解备忘录加强打击虚假信息合作

澳大利亚外交部长黄英贤与美国国务卿安东尼·J·布林肯在华盛顿宣布签署一项新的谅解备忘录，旨在加强两国在打击国家信息操纵方面的合作。这份谅解备忘录是在即将举行的澳美信息磋商前签署的，目的是更有效地共同应对错误信息和虚假信息。布林肯强调，澳大利亚是第20个与美国签署此类协议的国家，这显示了全球范围内对打击虚假信息的共识和决心。谅解备忘录将促进信息共享，采取互补措施应对印度-太平洋地区的威胁，并增强数字生态系统的信息完整性。黄英贤表示，这份备忘录有助于保护民主国家的政治制度和价值观，应对外国干涉等风险和挑战。此外，澳大利亚还将作为“创始伙伴”加入美国的“Landsat Next 2030”国际伙伴关系倡议，以支持气候变化应对工作。

来源：https://www.cyberdaily.au/government/10925-australia-and-us-sign-memorandum-of-understanding-to-fight-disinformation

2. 日本拟强制私营部门报告网络安全事件以加强防御

面对网络攻击威胁的增加，日本政府正考虑实施新措施，要求关键基础设施领域的私营部门运营商必须报告任何网络破坏事件。此举主要针对企业因担心股价受损而不愿报告网络攻击的问题，以促进信息快速共享，防止攻击蔓延。日本政府曾在2022年推出自愿行动计划，鼓励企业报告网络攻击，但现拟将此转变为法律义务，以营造透明和合作的文化。关键基础设施包括电信、金融、机场、港口等，政府网络安全工作组还将政府和行政服务、医疗等15个行业指定为关键基础设施。日本企业高管协会支持强制报告，认为这有助于协调和主动采取网络安全措施。政府的新计划意在通过提高透明度和信息共享，使企业能更好地保护自己和客户免受网络攻击影响。

来源：https://thecyberexpress.com/japan-mandatory-cybersecurity-reporting/

安全事件

3. 澳大利亚家具零售商Early Settler确认数据泄露事件

2024年8月6日，澳大利亚家具零售商Early Settler确认发生数据泄露，泄露数据已被出售于黑客论坛。威胁行为者“worry”于8月3日声称拥有110万客户的详细信息，包括姓名、电子邮件、电话号码、地址和出生日期，并以2000美元的价格出售。样本数据展示了一些内部数据如忠诚度奖励、客户参考编号和调查结果，但大多数字段为空。Early Settler发言人确认了这一事件，并表示公司正在优先调查这一情况，同时检查其安全系统。泄露数据来自2022年7月前的存档数据库，且不涉及支付信息。公司将通知受影响的客户并在其网站上发布公告，并已联系相关当局如澳大利亚信息专员办公室（OAIC）、澳大利亚网络安全中心（ACSC）以及新西兰隐私专员办公室（OPC）和CERT NZ。Early Settler向客户保证，他们正在采取一切适当措施迅速解决此问题，并实施了先进的监控系统，以应对可能的进一步发展。

来源：https://www.cyberdaily.au/security/10927-exclusive-australian-furniture-retailer-early-settler-confirms-data-breach

4. Mobile Guardian 遭黑客攻击，影响全球设备管理

2024年8月6日，领先的移动设备管理（MDM）供应商Mobile Guardian于8月4日遭遇未经授权的访问，影响了全球范围内的iOS和ChromeOS设备。事件发生在格林尼治标准时间下午2点，Mobile Guardian检测到平台上的可疑活动，安全团队立即采取措施暂停服务以控制漏洞。初步调查显示，受影响的用户遍布北美、欧洲和新加坡。尽管只有一小部分设备被取消注册并远程擦除，但没有证据表明攻击者访问了用户数据。此次事件严重影响了依赖Mobile Guardian进行设备管理的教育机构，导致学生和教职员工无法登录平台，限制了对设备的访问。Mobile Guardian已采取果断措施防止进一步的未经授权访问，并正在努力恢复功能。用户被建议联系当地IT管理员以重新激活设备。Mobile Guardian承诺尽快解决问题，恢复正常运营，并持续提供进展更新。

来源：https://gbhackers.com/vendor-mobile-guardian-hacked/

5. 新加坡当局追回 4000 万美元 BEC 欺诈款项

2024年8月6日，新加坡当局成功拦截并追回一起商业电子邮件诈骗（BEC）案件中被骗取的4000多万美元。这次行动由国际刑警组织的全球快速干预支付（I-GRIP）机制推动，是新加坡历史上最大规模的追回欺诈所得资金的行动。2024年7月23日，新加坡一家商品公司报告称成为BEC诈骗的受害者。诈骗者冒充供应商，通过稍微修改过的电子邮件地址发送邮件，要求将待付款项汇入东帝汶的新银行账户。公司于7月19日转账4230万美元，四天后发现欺诈行为并向警方报案。新加坡警察部队（SPF）立即联系国际刑警组织，协调东帝汶当局拦截交易。7月25日，SPF确认从东帝汶欺诈账户中扣留了3900万美元，并逮捕了7名嫌疑人，追回了200万美元。国际刑警组织金融犯罪和反腐败中心（IFCACC）主任伊萨克·奥金尼强调了快速反应的重要性。新加坡金融管理局商业事务部主任David Chew指出全球合作对打击金融犯罪的必要性。

来源：https://gbhackers.com/authorities-have-uncovered-usd/

6. SisaCloud数据库泄露事件引发泰国教育数据安全担忧

泰国学校信息系统公司SisaCloud的数据库被声称遭受泄露，该消息由DailyDarkWeb首次在社交媒体平台X.com上报道。据威胁行为者声称，泄露的数据库包含超过500万条记录，涵盖电子邮件、电话号码、全名和身份证号码等敏感个人信息。这一事件立即引起网络安全专家和公众的广泛关注，担心数百万泰国教育系统用户的隐私受到严重侵犯。如果情况属实，滥用这些数据可能导致身份盗窃和网络钓鱼等犯罪行为。目前，SisaCloud尚未就此事发表官方声明，但预计将进行调查以评估损失。泰国网络安全机构可能介入调查，同时专家建议受影响用户提高警惕，监控账户异常，并采取更改密码和启用双因素认证等措施加强安全。

来源：https://gbhackers.com/claims-leak-of-sisacloud-database/

7. 科技巨头应对AI干预选举的计划

在2024年慕尼黑安全会议上，主要AI公司承诺采取措施保护选举免受AI的有害影响。然而，六个月后，这些公司在透明度和实际行动方面未能满足期望。在给参议员马克·华纳的信中，OpenAI、微软、谷歌、亚马逊、TikTok、Meta和X等公司描述了他们识别和标记合成内容的进展，但缺乏详细计划和可衡量的影响。研究人员指出，这些努力更多是展示行动而非真正解决问题。尽管一些公司开发了检测和水印技术，但生成的AI内容仍在选举期间泛滥。科技公司强调需要行业内更广泛的信息共享和采用措施来应对这一问题。批评者认为，仅靠技术进步无法解决信任和安全团队削减以及领导层的冲动行为等更大问题。

来源：https://cyberscoop.com/tech-platforms-ai-elections-misinformation-disinformation/

8. CrowdStrike发布故障分析报告，法律纠纷升级

CrowdStrike于2024年8月6日发布了针对7月19日导致850万台Windows设备瘫痪的软件更新故障的根本原因分析报告，并宣布将进行一系列改革。该报告详细解释了此前发布的初步事后审查，并指出故障源于2月份发布的传感器版本7.11中的一个新Windows进程间通信模板类型。该模板类型定义了21个输入参数字段，但实际调用内容解释器时仅提供了20个输入值，导致参数数量不匹配问题。7月19日，部署了两个新的IPC模板实例，其中一个引入了对第21个输入参数的非通配符匹配标准，触发了内容解释器的越界读取问题，导致系统崩溃。CrowdStrike承诺进行六项改革，包括在传感器编译时验证模板类型的输入字段数量，纠正运行时数组边界检查的缺失，扩大模板类型测试的范围，扩展模板实例验证，以及对模板实例进行分阶段部署等。此外，公司还计划将内核驱动程序功能迁移到用户空间，以适应Windows的新版本。同时，CrowdStrike CEO George Kurtz在报告发布时发表声明，对此次事件给客户带来的影响表示深切歉意，并强调公司将致力于重新获得客户的信任和信心。然而，随着微软加入Delta航空公司的法律纠纷，一场漫长的法律战可能即将展开。

来源：https://thecyberexpress.com/crowdstrike-root-cause-analysis/

9. 俄方重视网络犯罪分子交换释放凸显网络优先策略

在最近的美俄大规模囚犯交换中，八名俄罗斯国民被交换回国，其中包括网络犯罪分子弗拉迪斯拉夫·克柳申和罗曼·塞列兹涅夫。克柳申因参与“黑客交易”而被判九年监禁，塞列兹涅夫则因信用卡欺诈被判十四年。此次交换显示了俄罗斯对网络操作的高度重视。该交换涉及美国及其盟友，包括德国、挪威、波兰、斯洛文尼亚和土耳其，共释放了16名被囚的美国人和欧洲人。美国总统拜登强调了盟友的重要性，并赞扬了他们在交换中的合作。网络犯罪专家认为，此次交换不太可能改变执法机构对网络犯罪分子的追捕和起诉方式，但却凸显了俄罗斯在网络领域的优先策略。

来源：https://www.darkreading.com/cyber-risk/russias-priorities-in-prisoner-swap-suggest-cyber-focus

10. 巴黎奥运文化场馆遭网络攻击，官方否认勒索软件

巴黎2024年奥运会期间，Grand Palais Réunion des musées nationaux文化场馆遭受网络攻击。尽管有报道称财务数据被加密并索要赎金，但卢浮宫馆长否认了勒索软件攻击。Grand Palais声明称，攻击发生在8月3日至4日，ANSSI已介入调查，未发现数据被提取。网络安全专家警告，鉴于奥运会的高知名度，可能成为网络攻击的目标。微软也警告称，俄罗斯相关行动者可能针对法国和奥运会进行恶意影响活动。尽管如此，ANSSI表示此次攻击不影响奥运会信息系统。目前，攻击细节尚未披露，但法国基础设施已遭受物理破坏。

来源：https://cyberscoop.com/french-olympic-venue-and-cultural-site-targeted-in-cyberattack/

11. 网络攻击重创亨利·施亨，公司利润下滑

由于去年遭受多次网络攻击，知名牙科和医疗设备供应商亨利·施亨公司大幅下调年度利润和增长预期。2023年10月14日，亨利·施亨首次遭受BlackCat勒索软件攻击，导致业务中断一个月，并泄露了敏感数据。随后，11月14日再次遭袭，损失超过5亿美元。尽管公司努力恢复，攻击者威胁进行第三次攻击，暗示公司可能支付了赎金。网络攻击对公司的财务表现产生了持续影响，第二季度收入降至31.4亿美元，低于预期的32.7亿美元。公司将年度利润预期从每股5至5.16美元下调至4.7至4.82美元。销售额增长预期从8%-10%下调至4%-6%。牙科和医疗部门销售额也低于预期。公司宣布重组计划，预计每年节省7500万至1亿美元，并将在2024年下半年和2025年记录相关费用。

来源：https://thecyberexpress.com/cyberattacks-henry-schein-profits-fall/

12. 美法院裁定谷歌滥用垄断地位，或改变互联网格局

美国联邦地区法院裁定，谷歌在在线搜索市场上非法维持其垄断地位。法院认为谷歌通过与苹果等公司的数十亿美元交易，将其搜索引擎设为默认选项，滥用垄断权力。2020年，美国司法部及多个州提起诉讼，2023年9月开庭审理。谷歌每年花费数十亿美元确保其搜索引擎在浏览器和智能手机上占据有利位置。2021年，谷歌在此方面花费了260亿美元，其中180亿用于与苹果的交易。政府指控这些支付阻碍了竞争对手的发展。法院裁定谷歌违反了《谢尔曼法》第2条，构成垄断行为。谷歌计划上诉，声称其提供的是“最佳搜索引擎”，并认为其市场行为有利于消费者和广告商。法院未对谷歌未保存与案件相关的聊天记录施加制裁，但强调这不应被视为对谷歌行为的辩护。法院尚未确定对谷歌的处罚措施，可能要求其改变业务模式或出售部分业务。司法部对此判决表示欢迎，称其为未来创新和信息获取开辟了道路。

来源：https://www.securitylab.ru/news/550833.php

漏洞预警

13. Google 修补积极利用的Android 内核零日漏洞

2024年8月6日，Google发布了2024年8月的Android安全公告，修补了多个漏洞，其中最关键的是一个被积极利用的Android内核零日漏洞“CVE-2024-36971”。该漏洞是一个释放后使用（UAF）安全漏洞，存在于Linux内核的网络路由管理系统中，允许具有系统执行权限的攻击者在未修补的设备上执行任意代码，而无需用户参与。这种攻击可能改变网络连接方式，并威胁系统完整性和网络安全。Google的TAG安全研究员Clement Lecigne发现并报告了此漏洞。尽管TAG尚未透露具体攻击策略，但这次披露与其揭露零日威胁的努力一致，通常这些漏洞被国家控制的间谍计划用于攻击政治领袖、人权活动家等知名人物。Google发布了两套2024年8月的Android安全补丁程序：2024-08-01和2024-08-05。后者包含所有修复程序及针对第三方闭源和内核组件的附加补丁，包括一个严重的Qualcomm漏洞。虽然Google Pixel设备会立即收到更新，但其他制造商可能会推迟推出以进行兼容性测试。

来源：https://cybersecuritynews.com/google-android-kernel-zero-day-patch/

14. JFrog Artifactory 漏洞导致工件缓存中毒风险

2024年8月6日，JFrog Artifactory 中发现一个严重漏洞 CVE-2024-6915，被归类为 CWE-20（不当输入验证）。该漏洞允许攻击者毒害工件缓存，导致严重安全风险。受影响的版本包括7.90.6以下的多个版本，修补版本分别为7.90.6、7.84.20、7.77.14等。云环境已更新必要的安全控制，无需用户操作。但混合部署的云客户需升级本地 Edge 实例。为了降低风险，建议禁用匿名访问或删除匿名帐户的远程存储库的部署/缓存权限。该漏洞由GitHub安全实验室的Michael Stepankin (artsploit) 发现和报告。用户需尽快更新至修补版本以确保安全。

来源：https://cybersecuritynews.com/jfrog-artifactory-flaw/

15. 三星推出千万美元漏洞赏金计划

三星为旗下移动设备推出了一项新的漏洞赏金计划，名为“重要场景漏洞计划（ISVP）”，针对关键攻击场景的报告提供高达100万美元的奖励。该计划特别关注任意代码执行、设备解锁、数据提取、任意应用安装以及绕过设备保护等漏洞。Knox Vault是三星用于存储敏感生物识别信息和加密密钥的隔离安全环境，对于在三星设备上实现本地任意代码执行的报告，将提供30万美元奖励，而远程代码执行（RCE）的奖励高达100万美元。TEEGRIS OS是三星的信任执行环境（TEE）操作系统，提供与主操作系统隔离的安全环境，用于执行敏感代码和处理关键数据，本地任意代码执行奖励20万美元，而RCE漏洞则高达40万美元。此外，设备解锁结合完整用户数据提取可获得40万美元奖励。三星还为从非官方市场或攻击者服务器远程任意应用安装提供10万美元奖励，若应用从Galaxy Store安装则为6万美元。本地任意安装的奖励分别为5万美元和3万美元。为了领取奖励，漏洞报告必须包括在最新安全更新的旗舰机型（如Galaxy S和Z系列）上无需特权即可一致工作的可构建利用程序。要获得最高奖励，利用程序必须是持久的，且为0点击，即不需要用户交互。三星还宣布，在2023年，通过其移动安全奖励计划向113名安全研究人员支付了827,925美元。自2017年该计划启动以来，三星已支付超过490万美元的漏洞赏金，最高奖励为12万美元。

来源：https://www.bleepingcomputer.com/news/security/samsung-to-pay-1-000-000-for-rces-on-galaxys-secure-vault/

16. 2024年CVE激增30%，仅0.91%被武器化

2024年上半年，报告的通用漏洞和暴露（CVE）数量同比增加了30%，达到22,254个。然而，据Qualys报告，仅有0.91%的CVE被武器化。尽管比例较小，这些武器化的漏洞代表了最严重的风险，常被用于勒索软件和其他恶意软件攻击。报告指出，软件复杂性和技术广泛应用推动了漏洞数量的增加，强调了动态和先进漏洞管理策略的必要性。尽管武器化的CVE仅占总数的0.91%，这些漏洞却构成了重大威胁，攻击者常通过公共应用和远程服务进行初始访问和横向移动。此外，2024年旧CVE武器化增加了10%，表明已识别的漏洞仍具危险性。报告强调了勒索软件的持续威胁，并指出Ivanti的漏洞在过去一年中被频繁利用。Qualys建议组织优先处理被积极利用的漏洞，定期更新和修补系统，采用先进威胁检测系统，以提升安全态势。

来源：https://www.infosecurity-magazine.com/news/cves-surge-30-2024/

17. 西部数据WD Discovery应用漏洞允许代码执行

西部数据（Western Digital）的WD Discovery应用存在一个安全漏洞（CVE 2024-22169），CVSS基础得分为7.1，允许攻击者执行代码。该漏洞源于WD Discovery应用中的Node.js环境设置，通过ELECTRON_RUN_AS_NODE环境变量可能实现代码执行。任何具有标准用户权限的恶意应用都可能利用此漏洞，在WD Discovery应用的上下文中执行代码。受影响的是5.0.589版本之前的所有WD Discovery桌面应用用户，包括Windows和macOS用户。西部数据敦促用户尽快将WD Discovery应用升级至5.0.589或更高版本，以解决此问题。5.0.589版本通过“禁用Electron中的某些功能和熔断器”来解决这一漏洞。用户可以从WD Discovery下载页面下载最新版本，接受自动更新，或按照WD Discovery在线用户指南进行操作。

来源：https://cybersecuritynews.com/western-digital-code-execution-flaw/#google_vignette

恶意软件

18. 新型Doubleface勒索软件声称无法被检测

网络威胁者宣布推出一款名为Doubleface的新型勒索软件，声称其具有完全无法被主流防病毒软件检测的特性。Doubleface采用AES-128和RSA-4096的加密算法组合，每个文件的AES密钥随机生成并用RSA密钥加密，形成双层加密机制，使得解密变得极其困难。该软件使用C/C++编写，以效率和性能著称。Doubleface团队声称已在多个防病毒软件上测试并成功避开检测，且具备反虚拟机、反调试和反沙盒等高级功能，增加了分析和缓解的难度。勒索软件的定价为每个存根500美元，而完全无法检测的源代码则高达10000美元。创建者强调，解密不需要存根，但必须正确管理每个存根的密钥，否则尝试错误密钥将导致文件被销毁。这一声明在网络安全界引起震动，凸显了网络犯罪分子策略的不断演变和对自适应安全措施的迫切需求，强调了组织机构在面对潜在攻击时，采取主动网络安全策略的重要性。

来源：https://cybersecuritynews.com/doubleface-ransomware-claims/

19. SharpRhino木马渗透企业网络 新策略曝光

勒索软件组织Hunters International采用新的C#远程访问木马（RAT）SharpRhino，以渗透企业网络。该木马通过模仿合法网络扫描工具Angry IP Scanner的网站进行传播，利用Google Ads吸引用户下载恶意安装程序。自2023年底以来，Hunters International已对全球多个组织发起攻击，包括医疗设施，成为该领域十分活跃的组织之一。SharpRhino木马能够实现初始感染、权限提升、执行PowerShell命令，并最终部署勒索软件。它通过修改Windows注册表确保持久性，并创建快捷方式和批处理文件以隐藏其恶意行为。专家建议用户警惕赞助搜索结果，使用广告拦截器，并仅从官方网站下载软件以避免感染。同时，建议企业建立备份计划，对网络进行分段，并保持软件更新，以减少黑客的攻击能力。

来源：https://www.securitylab.ru/news/550835.php

20. CRM-陷阱：Chameleon攻击酒店业

ThreatFabric研究人员发现了新的恶意软件活动Chameleon，专门针对酒店业员工。攻击者将恶意软件伪装成移动CRM应用，轻松绕过Android 13的安全防护。Chameleon能够窃取企业银行账户信息，控制业务账户，对组织构成重大威胁。Chameleon最早在2023年4月被发现，当时它模仿澳大利亚的加密货币交易所和政府机构进行攻击。最新的恶意活动显示，Chameleon能够绕过Android 13的安全措施，窃取用户凭证，并在设备上秘密安装恶意组件。此恶意软件在后台运行，记录键盘输入，窃取敏感信息，特别危险的是用于酒店业的企业手机。攻击者还针对金融机构，将恶意软件伪装成安全应用。研究人员建议企业应加强防护措施，告知员工和客户潜在威胁，采用异常检测系统提升安全性。

来源：https://www.securitylab.ru/news/550873.php

21. 新型CryptoKat勒索软件发布：声称快速加密引发担忧

新型勒索软件CryptoKat在暗网上出现，引发了网络安全社区的广泛关注。根据网络安全分析师MonThreat的报告，CryptoKat具备多个先进特性，使其与其他勒索软件变种区别开来。CryptoKat使用先进的AES（高级加密标准）对文件进行加密，确保了强大的安全性。其特别引人关注的特点是其声称的快速加密能力，能够利用最大磁盘速度迅速锁定受害者的数据。这种快速加密过程使得用户在重大损害发生前难以及时发现和阻止攻击。此外，CryptoKat使用独特的可执行文件，这使其能够规避传统的杀毒软件检测。它在Windows系统中悄无声息地运行，没有弹窗提醒用户。它还利用Windows 11的漏洞和安全缺陷，以增强其影响力。最令人担忧的是，CryptoKat的解密密钥不会存储在受害者的机器上，即使勒索软件被检测并移除，加密的文件仍然无法访问，攻击者掌握了解密密钥。这种策略迫使受害者支付赎金以期恢复数据。

来源：https://cybersecuritynews.com/cryptokat-ransomware-was-released/

其他动态

5th域安全微讯早报【20240807】189期

正文

请到「今天看啥」查看全文