5th域安全微讯早报【20250221】045期

发布于 作者:

5th域安全微讯早报【20250221】045期

网空闲话 网空闲话plus 2025-02-20 22:38

2025-02-21  星期五Vol-2025-045

今日热点导读

1. 
俄数字发展部提议豁免信息安全公司免受个人数据法约束

2. 
意大利计划打造本土低轨道卫星系统,替代
Starlink

3. 
美国证券交易委员会重塑加密货币部门,聚焦新兴技术监管

4. 
美军网络司令部呼吁各军种统一战备方法,激励网络“精通”人才

5. 
美国医疗保健机构因涉嫌网络安全漏洞支付
1100
万美元和解金

  1. 19
    岁天才黑客
    Edward Coristin
    加入美国网络安全机构
    CISA

7. 
美军士兵泄露特朗普通话记录,涉入
Snowflake
黑客案被捕

  1. Meta
    起诉
    Instagram
    勒索组织者,涉案金额达
    60
    万美元

  2. Ivanti Endpoint Manager
    严重漏洞
    PoC
    公开,企业面临域控风险

  3. IBM OpenPages
    漏洞使攻击者能够窃取身份验证凭证

11. 
多个
NVIDIA CUDA
工具包漏洞可让攻击者触发
DoS

12. 
警惕朝鲜求职面试流程通过虚假
Chrome
更新传播恶意软件

13. 
针对首席执行官和首席技术官等决策者的复杂网络钓鱼攻击

  1. Pegasus
    间谍软件转向商业精英,全球监控范围扩大

  2. Rhadamanthys
    信息窃取者利用
    Microsoft
    管理控制台执行恶意脚本

16. 
新的
Zhong
恶意软件利用
AnyDesk
工具攻击金融科技和加密货币

  1. Darcula PhaaS
    平台现可自动生成针对任何品牌的钓鱼工具包

备注: 更多资讯信息,欢迎订阅!

资讯详情

政策法规

1. 
俄数字发展部提议豁免信息安全公司免受个人数据法约束


SecurityLab
网站
2

20
日消息】俄罗斯数字发展部、联邦委员会及信息安全(
IS
)市场代表正在讨论将
IS
公司排除在《个人数据法》适用范围之外的可能性。此举旨在保护从事计算机犯罪调查、开源情报收集(
OSINT
)和系统漏洞测试(渗透测试)的专家免受刑事责任。
2024

11
月,俄罗斯通过法律加大对个人数据泄露的处罚力度,最高可判处
10
年监禁。然而,信息安全专家在工作中不可避免地会接触个人数据,引发行业担忧。市场参与者建议制定单独法案,明确合法工作与违法行为的界限。目前,相关讨论仍在进行中,涉及
Positive Technologies
、卡巴斯基实验室等多家信息安全公司。

2. 
意大利计划打造本土低轨道卫星系统,替代
Starlink


SecurityLab
网站
2

20
日消息】意大利工业部长阿道夫·乌尔索宣布,意大利计划开发自己的低轨道卫星系统,以替代埃隆·马斯克的
Starlink
网络。此举旨在确保国家通信安全,减少对外国技术的依赖。此前,意大利政府曾考虑使用
Starlink
为高风险地区官员提供加密通信,但因国家安全担忧遭到反对。新项目将与意大利主要公司合作,并由国家航天局进行可行性研究。尽管尚未公布具体时间表和参与企业,但这一计划标志着意大利在数字独立和战略通信控制方面迈出重要一步。

3. 
美国证券交易委员会重塑加密货币部门,聚焦新兴技术监管


CyberScoop
网站
2

20
日消息】美国证券交易委员会(
SEC
)将其加密资产和网络部门更名为“网络和新兴技术部门”,旨在打击与网络相关的不当行为,并保护投资者免受新兴技术领域的不良行为者侵害。新部门由
Laura D’Allaird
领导,重点关注区块链技术、加密资产欺诈、社交媒体欺诈及网络安全规则合规等领域。此次更名被视为
SEC
在加密货币监管方向上的调整。尽管新部门仍将加密资产欺诈列为核心关注点,但部分观察人士认为,此举可能是
SEC
减少对加密货币执法力度的信号。特朗普政府提名的
SEC
官员对加密货币行业持支持态度,而拜登政府则更倾向于严格监管。新部门的职责扩展至人工智能和量子计算等新兴技术,表明
SEC
正试图在保护投资者与促进创新之间寻求平衡。

4. 
美军网络司令部呼吁各军种统一战备方法,激励网络“精通”人才


DefenseScoop
网站
2

20
日消息】美国网络司令部司令蒂莫西·霍夫将军呼吁各军种在网络部队战备方面采取更加一致的方法。目前,各军种在网络任务部队的晋升结构、薪酬和任务分配上存在差异,导致战备水平不一致。霍夫希望借鉴特种作战司令部的模式,建立统一的人才管理和部队生成模型,以提升网络部队的整体能力。作为“网络司令部
2.0
”计划的一部分,霍夫强调培养“精通”网络技术的人才,并通过奖金制度激励高水平技能。他指出,网络司令部正在研究如何与各军种合作,确保部队在抵达时已具备高水平的战备能力,并能够快速适应新兴威胁。

安全事件

5. 
美国医疗保健机构因涉嫌网络安全漏洞支付
1100
万美元和解金


Bleeping Computer
网站
2

20
日消息】健康网络联邦服务公司(
HNFS
)及其母公司
Centene Corporation
同意支付
11,253,400
美元,以解决有关其虚假证明符合国防卫生局(
DHA

TRICARE
合同网络安全要求的指控。美国政府指控
HNFS

2015
年至
2018
年期间未能实施必要的网络安全措施,包括漏洞扫描、访问控制、补丁管理等,同时虚假提交合规报告。尽管
HNFS

Centene
否认所有指控并声称未发生数据泄露,但仍同意支付和解金以解决争议。和解协议不排除未来可能出现的刑事责任或民事诉讼。此次事件凸显了医疗保健机构在网络安全合规方面的挑战。

  1. 19
    岁天才黑客
    Edward Coristin
    加入美国网络安全机构
    CISA


SecurityLab
网站
2

20
日消息】
19
岁的
DOGE
工程师
Edward Coristin
(别名“
Big Balls
”)已被美国网络安全和基础设施安全局(
CISA
)聘用,担任高级顾问。
Coristin
此前曾为美国国务院等多个联邦机构工作,并接触过敏感数据。
Coristin
的职业生涯充满争议,他曾与黑客组织
The Com
有关联,并涉嫌参与网络攻击。尽管
CISA
和国土安全部未对此事发表评论,但
Coristin
的加入引发了对其访问权限和背景的广泛关注。
CISA
负责保护美国联邦民用网络和关键基础设施,其数据涉及网络攻击、软件漏洞和选举安全等领域。

7. 
美军士兵泄露特朗普通话记录,涉入
Snowflake
黑客案被捕


SecurityLab
网站
2

20
日消息】美国军人卡梅伦·约翰·瓦吉尼斯(
Cameron John Wagenius
)因泄露
AT&T

Verizon
用户的通话记录被捕。他化名“
Kiberphant0m
”,自称成功入侵至少
15
家电信公司,包括
AT&T

Verizon
。据称,他获取的数据甚至涉及前总统唐纳德·特朗普和副总统卡马拉·哈里斯的通话记录。检方指出,瓦吉尼斯的活动与
2024

Snowflake
云账户黑客攻击案有关。当时,两名黑客窃取
150
多名客户的数据并进行勒索。瓦吉尼斯被指控受雇于他们,并威胁
AT&T
,如果不与其接触,他将公开“总统的所有通话记录”。他在暗网上公布了一部分被盗数据以证明自己的能力。案件的其他涉案人包括亚历山大·康纳·莫基(
Alexander Connor Mokey
)和约翰·宾斯(
John Binns
),他们分别在加拿大和土耳其被捕,正等待引渡。他们面临
20
项指控,包括共谋、计算机欺诈、黑客攻击和身份盗窃。据法庭记录,他们使用名为“
Rapeflake
”的软件在被盗的
Snowflake
账户中搜索敏感信息。瓦吉尼斯在德克萨斯州卡瓦佐斯堡军事基地附近被捕,面临最高
20
年监禁和
50
万美元罚款。目前,美国陆军和
Snowflake
尚未对此案发表评论。

  1. Meta
    起诉
    Instagram
    勒索组织者,涉案金额达
    60
    万美元


SecurityLab
网站
2

20
日消息】
Meta
公司对
Instagram
上大规模勒索行为的组织者
Idriss Kibaa
提起诉讼。
Kibaa
通过“
Unlocked 4 Life
”计划威胁用户并索要钱财以恢复其被封锁的账户,每月非法获利超过
60
万美元。
Kibaa
利用社交媒体平台(如
X

YouTube

TikTok
等)推广其非法服务,包括封锁账户、违规恢复账户以及增加订阅者数量。
Meta
已封锁
Kibaa
的账户,但其通过新账户继续活动。
Meta
表示将采取一切法律手段保护用户并打击此类滥用行为。

漏洞预警

  1. Ivanti Endpoint Manager
    严重漏洞
    PoC
    公开,企业面临域控风险


Cybersecurity News
网站
2

20
日消息】
Ivanti Endpoint Manager (EPM) 
中的四个严重漏洞(
CVE-2024-CVE-2024-13161

CVE-2024-13160

CVE-2024-13159
)的概念验证(
PoC
)漏洞利用代码已公开发布,使未打补丁的企业面临域控被接管的高风险。这些漏洞由研究人员于
2024

10
月发现,并于
2025

1
月由
Ivanti
修补,但由于初始补丁存在兼容性问题,部分企业可能未及时更新。漏洞源于
EPM

.NET
框架组件
WSVulnerabilityCore.dll
,攻击者可利用
UNC
路径注入漏洞窃取机器账户凭据,并通过
LDAP
中继攻击获取域管理员权限。研究人员演示了攻击者如何在
15
分钟内完成域控接管。建议企业立即应用最新补丁,限制
EPM
服务器的出站连接,并监控异常活动。此次事件再次凸显了企业管理系统在设计上需遵循零信任原则的重要性。

  1. IBM OpenPages
    漏洞使攻击者能够窃取身份验证凭证


Cybersecurity News
网站
2

20
日消息】
IBM
修复了其
OpenPages
治理、风险和合规(
GRC
)平台中的多个高严重性漏洞,这些漏洞可能使攻击者劫持用户会话、窃取身份验证凭证并操纵关键企业数据。受影响的版本包括
8.3

9.0
,修复补丁已于
2
月发布。漏洞包括
CVE-2024-45613

XSS
漏洞)、
CVE-2024-49779

CSRF
保护绕过)等,攻击者可利用这些漏洞注入恶意脚本、窃取会话信息或拦截敏感数据。此外,
CVE-2024-49780
(路径遍历漏洞)和
CVE-2024-49355
(日志记录漏洞)进一步加剧了安全风险。
IBM
建议立即安装相关补丁,并审核系统中是否存在暴露的凭证。这些漏洞凸显了企业风险平台的安全挑战,建议企业加强凭证保护、监控异常活动,并遵循
NIST 800-53

ISO 27001
等安全框架。

11. 
多个
NVIDIA CUDA
工具包漏洞可让攻击者触发
DoS


Cybersecurity News
网站
2

20
日消息】研究人员在
NVIDIA

CUDA Toolkit
中发现九个漏洞,涉及
cuobjdump

nvdisasm
实用程序,可能导致拒绝服务(
DoS
)攻击和信息泄露。这些漏洞影响
GPU
加速计算的基础软件套件,对
AI
研究和科学模拟等领域构成潜在威胁。漏洞包括
CVE-2024-53870

CVE-2024-53878
,涉及整数溢出和越界读取等问题。最严重的漏洞(
CVE-2024-53873
)可能导致堆缓冲区溢出,使攻击者通过恶意
cubin
文件使分析工具崩溃或泄露内存内容。
NVIDIA
已于
2
月发布补丁,建议开发人员升级至
CUDA Toolkit 12.5.1

Windows
)或
11.9.2

Linux
)。此次事件凸显了
GPU
软件供应链的安全风险,建议组织审核遗留的
CUDA
项目并为
cubin
分析工作流程实施运行时监控。

风险预警

12. 
警惕朝鲜求职面试流程通过虚假
Chrome
更新传播恶意软件


Cybersecurity News
网站
2

20
日消息】朝鲜威胁行为者发起了一项名为“传染性采访”的新型恶意软件活动,通过虚假的求职面试流程传播恶意软件。该活动利用伪装成
Google Chrome
安全组件的恶意
Swift
应用程序(如
DriverEasy.app
),通过社会工程学手段窃取用户凭证。研究人员发现,该恶意软件与之前记录的“
Flexible Ferret
”和“
ChromeUpdate
”活动存在技术联系,表明其工具包正在不断进化。恶意软件
DriverEasy.app
通过虚假提示诱导用户输入密码,并将捕获的凭证加密后传输至
Dropbox
。其代码采用
Swift
字符串混淆技术,并利用临时签名的
Mach-O
二进制文件减少沙盒检测。研究人员建议组织仔细审查需要安装软件的面试请求,并监控相关
IOC
(如
Dropbox
令牌),同时增强应用程序允许列表和
EDR
解决方案的部署。

13. 
针对首席执行官和首席技术官等决策者的复杂网络钓鱼攻击


Cybersecurity News
网站
2

20
日消息】
Hackmosphere
最近的一项研究揭示了高层管理人员对网络钓鱼攻击的高度脆弱性,尤其是在首席执行官(
CEO
)方面。研究通过模拟网络钓鱼活动,针对
45

CEO

CTO
进行测试,结果显示
24%

CEO
点击了恶意链接,而仅
6%

CTO
受影响。这凸显了高管层在面对日益复杂的网络钓鱼攻击时存在的显著差距。研究指出,钓鱼攻击已演变为多种专门化形式,包括鲸钓式网络钓鱼,专门针对高级管理人员。攻击者通过模仿合法实体域名进行攻击,利用虚拟专用服务器(
VPS
)设置邮件传输和
SSL/TLS
证书管理,确保攻击邮件顺利到达目标邮箱。为了绕过垃圾邮件过滤器,攻击者使用了
Warmupinbox
工具,通过模拟参与提高邮件信誉度。此外,研究发现,尽管
Office 365
等工具能标记大多数钓鱼邮件为垃圾邮件,
Gmail
却允许
98%
的恶意邮件直接进入主收件箱,进一步加大了组织面临的风险。此类攻击可能导致凭证泄露、勒索软件入侵或知识产权丧失,给企业带来数百万美元的财务和声誉损失。

  1. Pegasus
    间谍软件转向商业精英,全球监控范围扩大


SecurityLab
网站
2

20
日消息】以色列
NSO
集团开发的
Pegasus
间谍软件已从针对记者和活动家的监控扩展到商业领域。
2024

12
月,
iVerify
检测到
7
起新的感染案例,涉及金融、物流和房地产行业的高管,覆盖瑞士、波兰、巴林等多个国家。
Pegasus
可在用户不知情的情况下秘密监控设备活动,尽管
NSO
声称其仅用于打击犯罪和恐怖主义。
iVerify
指出,实际感染率可能更高,且许多用户未收到苹果的警告。
WhatsApp
此前在针对
NSO
的诉讼中获胜,揭露了
Pegasus
的更多内幕。

恶意软件

  1. Rhadamanthys信息窃取者利用Microsoft管理控制台执行恶意脚本

【Cybersecurity News网站2月20日消息】研究人员发现一项通过恶意Microsoft管理控制台(MMC)文件(.MSC)分发Rhadamanthys信息窃取者的活动。该活动利用已修补的DLL漏洞(CVE-2024-43572)和MMC的控制台任务板功能执行恶意脚本,窃取系统元数据、应用程序凭证、加密货币钱包数据等敏感信息。攻击者通过伪装成合法文档的MSC文件进行分发,并利用Google Ads将用户重定向至恶意下载页面。Rhadamanthys通过多阶段有效载荷检索过程激活,并采用虚拟机逃避技术绕过检测。其窃取的数据通过SOAP消息泄露至C2服务器。研究人员建议应用相关补丁、禁用未使用的协议处理程序,并通过组策略阻止执行不受信任的MSC文件。自2024年6月以来,基于MSC的攻击增加了300%,凸显了分层防御的重要性。  

  1. 新的Zhong恶意软件利用AnyDesk工具攻击金融科技和加密货币

【Cybersecurity News网站2月20日消息】2024年12月期间,一种名为“Zhong Stealer”的新型恶意软件通过社会工程手段针对金融科技和加密货币平台发起攻击。攻击者利用伪造的客户支持票证(通过Zendesk提交)和受损的AnyDesk安装,诱骗用户执行伪装成图像文件的恶意可执行文件,从而启动多阶段攻击链。Zhong Stealer通过C2服务器下载加密的辅助有效载荷,并使用窃取的证书签名以逃避检测。该恶意软件通过注册表修改和计划任务实现持久性,并窃取Brave、Edge和Chrome等浏览器的凭证、会话Cookie及加密货币钱包数据。被盗数据通过AES加密通道传输至C2服务器。专家建议组织阻止非标准端口的出站连接,部署YARA规则检测恶意软件,并监控注册表修改和异常进程执行。  

  1. Darcula PhaaS平台现可自动生成针对任何品牌的钓鱼工具包

【Bleeping Computer网站2月20日消息】Darcula钓鱼即服务(PhaaS)平台即将发布第三版“Darcula Suite”,其亮点功能包括自动生成针对任何品牌的钓鱼工具包。新版本允许用户通过输入目标品牌URL自动生成钓鱼页面,并支持自定义登录字段、支付表单等元素。此外,Darcula Suite还提供了反检测功能、简化管理面板以及将窃取的信用卡数据转换为虚拟卡的工具。Netcraft研究人员测试了Darcula Suite的测试版,确认其功能真实有效。自去年以来,Darcula已利用20,000个域名在100多个国家实施钓鱼攻击。新版本的推出预计将大幅增加钓鱼攻击的数量和复杂性。Netcraft在过去10个月中已检测并屏蔽了近100,000个Darcula 2.0域名和20,000个钓鱼网站。 

往期推荐

5th域安全微讯早报【20250215】040期2025-02-15 

5th域安全微讯早报【20250217】041期2025-02-17 

5th域安全微讯早报【20250218】042期2025-02-18 

5th域安全微讯早报【20250219】043期2025-02-19 

5th域安全微讯早报【20250220】044期2025-02-20