5th域安全微讯早报【20250222】046期
5th域安全微讯早报【20250222】046期
网空闲话 网空闲话plus 2025-02-21 23:58
2025-02-22 星期六Vol-2025-046
今日热点导读
1.
五角大楼加速“网络司令部
2.0
”审查,要求列出权限愿望清单
- DISA
:国防部将在财年末实现所有军种的联合
ICAM
连接
3.
美国成立特别工作组管控人工智能和加密货币
- Bybit
交易所遭黑客攻击,损失
14
亿美元加密货币
5.
波兰反腐高官因间谍软件调查辞职
6.
乌克兰黑客声称入侵与普京前妻有关的俄罗斯贷款公司
-
Sitevision
自动生成密码漏洞导致签名密钥泄露 -
CISA
发布
7
条
ICS
公告,详细说明漏洞和利用情况
9.
德国大选或成俄罗斯虚假信息攻击目标,安全部门发出警告
-
CL0P
勒索软件大规模攻击电信和医疗保健行业 -
Eclipse DLL
攻击导致
JAVA
程序员银行账户被盗
备注: 更多资讯信息,欢迎订阅!
资讯详情
政策法规
1.
五角大楼加速“网络司令部
2.0
”审查,要求列出权限愿望清单
【
The Record
网站
2
月
21
日报道】美国国防部长皮特·赫格塞斯(
Pete Hegseth
)支持拜登政府改组美国网络司令部的计划,并要求该司令部在
45
天内提交具体实施细节,这一时间表比原定的
180
天大幅缩短。此举旨在应对中国日益增长的网络威胁,并推动网络司令部向更具对抗性的方向转型。“网络司令部
2.0
”计划于去年年底获得批准,重点包括建立网络战创新中心、扩大网络训练规模、优化部队生成模型以及加强人才管理。然而,缩短的时间表可能使网络司令部难以与各军种就人力和资金分配达成一致。此外,网络司令部还被要求提交一份权限愿望清单,以提升其行动效率。分析人士指出,这一改革可能推动网络司令部从“持续交战”战略转向“战役”模式,通过一系列相互关联的行动实现战略目标。尽管面临时间压力,网络司令部仍希望借此机会完善其权力框架,以更灵活地应对快速变化的网络威胁。
- DISA
:国防部将在财年末实现所有军种的联合
ICAM
连接
【
Breaking Defense
网站
2
月
21
日报道】美国国防信息系统局(
DISA
)计划在本财年结束前,在所有军种的非机密网络上实现联合身份、凭证和访问管理(
ICAM
)连接。
ICAM
是国防部零信任战略的核心组成部分,旨在通过持续验证确保用户访问权限的安全性。
DISA
的
PEO Cyber
项目执行官
Brian Hermann
表示,联合
ICAM
允许不同组织共享身份验证流程,从而实现跨平台数据访问。
DISA
已与陆军合作,预计陆军的
ICAM
联合解决方案将在
3
月底完成,随后是海军和空军,分别在未来三个月内完成。
Hermann
强调,联合
ICAM
是实现与盟友和合作伙伴信息共享的关键。
DISA
计划在完成军种内部联合后,进一步与国防人力数据中心及其他部门合作,并加快与国际盟友的联合进程。此前,
DISA
已与加拿大成功试行联合
ICAM
连接。
3.
美国成立特别工作组管控人工智能和加密货币
【
SecurityLab
网站
2
月
21
日报道】美国证券交易委员会(
SEC
)宣布成立网络和新兴技术部门(
CETU
),以应对数字资产领域的欺诈行为并保护散户投资者。该部门由劳拉·达莱尔德(
Laura D’Allaird
)领导,将取代现有的加密资产和网络安全部门,专注于利用人工智能和机器学习进行欺诈、社交媒体操纵、黑客攻击及加密资产滥用等关键领域。
CETU
将与加密货币工作组合作,监控网络安全标准的遵守情况,并发现上市公司欺诈性披露。
SEC
表示,新部门的成立将更有效地分配资源,加强投资者保护,并防止金融科技市场中的滥用行为。
安全事件
- Bybit
交易所遭黑客攻击,损失
14
亿美元加密货币
【
The Record
网站
2
月
22
日报道】加密货币交易所
Bybit
于周五遭遇黑客攻击,损失了价值超过
14
亿美元的以太币(
ETH
)。这是有史以来针对加密货币平台的最大规模盗窃案之一。
Bybit
首席执行官
Ben Zhou
在直播中证实,共有
401,000
枚
ETH
被盗,但其他钱包未受影响。黑客通过操纵签名界面,掩盖了正确的地址并更改了底层智能合约逻辑,从而成功窃取资金。
Bybit
推测,攻击可能与钱包提供商
Safe
的服务器被入侵有关,但
Safe
否认其前端被攻破。
Bybit
已获得过桥贷款以弥补
80%
的损失,并承诺维持正常运营。此次事件再次凸显了加密货币领域的安全风险,此前
Ronin Network
和
Poly Network
也曾因黑客攻击损失巨额资金。朝鲜的
Lazarus Group
被认为是此类攻击的主要幕后黑手之一。
5.
波兰反腐高官因间谍软件调查辞职
【
The Record
网站
2
月
22
日报道】波兰中央反腐败局(
CBA
)局长阿格涅什卡·克维亚特科夫斯卡
–
古尔达克(
Agnieszka Kwiatkowska-Gurdak
)因涉嫌隐瞒信息,于周四迫于压力辞职。此前,她在负责调查间谍软件滥用的委员会作证时表示,出于保密和保护刑事调查的需要,无法分享相关信息。调查委员会副主席马尔钦·博萨茨基(
Marcin Bosacki
)批评她“过分宽泛地解释了她不向委员会告知信息的权利”。波兰司法部此前披露,
2017
年至
2022
年间,近
600
人成为
Pegasus
间谍软件的攻击目标,其中许多人是前执政党的反对者。自
2023
年
12
月执政以来,现任总理唐纳德·图斯克(
Donald Tusk
)政府一直在积极调查间谍软件滥用事件。上个月,波兰前司法部长因涉嫌批准使用政府资金购买间谍软件被捕。此次事件凸显了波兰政府对前政府滥用间谍软件行为的追责决心。
6.
乌克兰黑客声称入侵与普京前妻有关的俄罗斯贷款公司
【
The Record
网站
2
月
21
日报道】亲乌克兰的黑客组织“网络联盟”声称对俄罗斯小额信贷公司
CarMoney
的网络攻击负责。
CarMoney
是俄罗斯最大的小额信贷公司之一,与总统弗拉基米尔·普京的前妻柳德米拉·奥切列特纳亚有联系。
CarMoney
本周早些时候证实遭遇网络攻击,攻击者向客户发送垃圾邮件,声称公司将关闭业务并注销所有债务,迫使公司关闭所有系统。黑客声称,此次攻击摧毁了
CarMoney
的基础设施并泄露了“数
TB
的数据”,其中包括俄罗斯军事人员和情报人员的借款人信息。尽管
CarMoney
否认个人数据泄露,但客户报告称支付服务和账户访问持续中断。乌克兰网络联盟自
2016
年成立以来,一直针对俄罗斯实体进行网络攻击。此前,该组织曾攻击俄罗斯互联网提供商
Nodex
和特维尔市停车执法系统,并声称入侵了俄罗斯国家信用卡支付系统。
漏洞预警
- Sitevision
自动生成密码漏洞导致签名密钥泄露
【
Cybersecurity News
网站
2
月
21
日报道】
Sitevision CMS 10.3.1
及更早版本中存在一个严重安全漏洞(
CVE-2022-35202
),导致
SAML
身份验证签名密钥泄露,可能引发身份验证绕过和会话劫持攻击。该漏洞源于
Java
密钥库(
JKS
)使用弱自动生成密码,攻击者可通过暴力破解获取私钥。
Sitevision
是瑞典广泛使用的内容管理系统,依赖
SAML
实现安全身份验证。漏洞利用链始于
WebDAV
配置错误,攻击者可访问包含加密密钥的
saml-keystore
文件。通过工具破解
8
字符密码后,攻击者可伪造
SAML Authn
请求,劫持用户会话。
Sitevision
已在
10.3.2
版本中修复漏洞,强制使用更强密码,但现有安装需手动轮换密钥库密码。建议管理员升级版本、审核
WebDAV
配置,并与身份提供者(
IdP
)协调,确保强制执行基于元数据的
URL
验证。
- CISA
发布
7
条
ICS
公告,详细说明漏洞和利用情况
【
Cybersecurity News
网站
2
月
21
日报道】美国网络安全和基础设施安全局(
CISA
)发布了七项工业控制系统(
ICS
)公告,详细说明了
ABB
、开利、西门子和三菱电机等主要供应商产品中的严重漏洞。这些漏洞可能影响关键基础设施的安全,
CISA
提供了技术细节和缓解建议。公告涉及的漏洞包括
ABB ASPECT-Enterprise
系列中的硬编码凭据漏洞(
CVE-2024-51547
,
CVSS v4
评分
9.3
)、
ABB FLXEON
控制器中的远程代码执行漏洞(
CVE-2024-48841
,
CVSS v4
评分
10.0
)、西门子
SiPass Integrated
系统的目录遍历漏洞(
CVE-2024-48510
,
CVSS v4
评分
9.3
)等。
CISA
建议用户及时更新系统并实施缓解措施,以降低被攻击的风险。
风险预警
9.
德国大选或成俄罗斯虚假信息攻击目标,安全部门发出警告
【
The Record
网站
2
月
21
日报道】德国安全部门警告称,俄罗斯可能通过虚假信息干预即将举行的德国联邦选举。内政部发言人表示,社交媒体上流传的关于选票操纵的虚假视频是俄罗斯信息行动的一部分,这些视频被认定为俄罗斯组织
Storm-1516
的活动。这些虚假视频旨在煽动极右翼政党德国选择党(
AfD
)支持者的不满,内容显示选票上缺少
AfD
选项或支持
AfD
的选票被销毁。萨克森州刑警队已对此展开调查。此前,德国联邦宪法保卫局曾警告,俄罗斯数月来一直试图影响德国大选,主要目的是推动对
AfD
的支持。美国副总统
JD Vance
在慕尼黑安全会议上批评了欧洲对俄罗斯干预的过度反应,称其为“情报机构的脆弱怀疑”。然而,德国政府报告显示,俄罗斯的干预不仅限于在线广告,还包括使用虚假账户扩大对
AfD
的支持。这一警告凸显了俄罗斯在信息战中的持续威胁,类似干预行为曾在
2016
年美国大选期间出现。
- CL0P
勒索软件大规模攻击电信和医疗保健行业
【
Cybersecurity News
网站
2
月
21
日报道】
CL0P
勒索软件组织近期加大了对电信和医疗保健行业的攻击力度,利用
Cleo
集成软件中的零日漏洞(
CVE-2024-50623
)入侵了
80
多个组织。该组织通过窃取敏感数据并部署加密负载,显著升级了其攻击策略。
CL0P
利用自动漏洞利用脚本与手动横向移动相结合,针对未修补的面向互联网系统,并通过终止备份进程和删除影子卷防止数据恢复。其最新攻击链包括通过
Cleo
漏洞建立初始立足点、凭证收集、数据泄露以及部署文件加密二进制文件。加密文件现带有
.Cl0p_2025
扩展名,并通过
Tor
托管的聊天门户进行赎金谈判。超过
22TB
的被盗数据已在点对点网络上泄露,包括患者治疗记录、
5G
网络拓扑图和医疗设备固件。
CISA
建议立即修补
Cleo
软件至
5.8.0.21
版本,并监控相关命令和控制域流量。
TTPs动向
- Eclipse DLL攻击导致JAVA程序员银行账户被盗
【SecurityLab网站2月21日报道】网络犯罪分子利用Eclipse IDE中的jarsigner实用程序,通过DLL Sideloading技术分发XLoader信息窃取程序。攻击者通过受感染的ZIP文件传播恶意软件,其中包含重命名的“jarsigner.exe”、伪造的“jli.dll”库以及XLoader加载器。启动受感染文件后,恶意代码注入合法进程“aspnet_wp.exe”,隐藏XLoader的存在。该恶意软件窃取浏览器数据和用户账户信息,并可能下载其他恶意软件。XLoader是Formbook的延续,采用恶意软件即服务(MaaS)模式,具有先进的隐身技术,包括代码加密和逃避检测。此外,专家还发现了新的恶意软件加载器NodeLoader和RiseLoader,传播Vidar、Lumma等威胁。RiseLoader的代码与RisePro相似,表明两者之间存在联系。
往期推荐
5th域安全微讯早报【20250217】041期2025-02-17
5th域安全微讯早报【20250218】042期2025-02-18
5th域安全微讯早报【20250219】043期2025-02-19