2024-05-21 星期二         Vol-2024-122

1. 美国TSA加强地面运输安全评估征求反馈

2. 英国人工智能安全研究所在美设立办事处加强国际合作

3. 美国众议院军事委员会推动建立军事网络服务的提案

4. Turla APT组织利用恶意LNK文件发起复杂网络攻击

5. 吉尔吉斯斯坦面临暴徒暴力和网络攻击

6. Just Evil/Killmilk宣称对汉堡机场网络攻击负责

7. 美国无线电中继联盟（ARRL）遭受重大网络攻击

8. 意大利锡耶纳大学遭受LockBit 3.0勒索软件攻击

9. 与伊朗MOIS有关的黑客对阿尔巴尼亚和以色列进行破坏性攻击

10. 电子邮件网络钓鱼活动传播新兴恶意软件Latrodectus

11. 网络犯罪分子利用GitHub和FileZilla传播鸡尾酒恶意软件

12. Fluent Bit日志记录工具中发现严重漏洞

13. 英国AISI研究显示常用AI聊天机器人易受越狱攻击

14. QNAP QTS操作系统存在多个未修复漏洞

15. Trustnet：麻省理工学院推出浏览器扩展识别错误信息

16. OpenSSF推出Siren邮件列表共享开源项目威胁情报

1. 美国TSA加强地面运输安全评估征求反馈

美国运输安全管理局（TSA）发布了一份信息收集请求（ICR），旨在加强地面运输安全和操作人员的现场考察期间的运输安全评估。TSA寻求意见以确保其安全增强基线评估（BASE）计划的信息收集活动对机构履行职能的必要性和实用性，并评估负担估计的准确性。同时，TSA也在寻求提高信息收集质量、减少响应者负担的方法。BASE计划与运输资产所有者/运营商合作，通过一系列问题确定安全态势、识别漏洞，并鼓励实施特定对策。此外，TSA响应了政府问责办公室（GAO）的建议，更新了BASE计划中的网络安全问题，以确保反映关键实践，并与网络安全和基础设施安全局（CISA）的指南相结合。预计年度负担时间将减少至885小时，较之前发布的1,708小时有所降低。TSA呼吁在6月17日前收集反馈意见，以供OMB审核和批准。

来源：https://industrialcyber.co/transport/tsa-seeks-feedback-on-enhanced-transportation-security-assessments-for-surface-transportation-personnel/

2. 英国人工智能安全研究所在美设立办事处加强国际合作

英国人工智能安全研究所宣布将在美国旧金山设立新办事处，以加强人工智能监管的国际合作，应对全球性的AI挑战。该办事处计划于今年夏天开业，组建技术专家团队，与伦敦总部协同工作，促进知识交流和跨境监管协调。专家们将人工智能技术的潜在威胁视为与核武器和气候变化相似的生存挑战，强调了国际合作在制定AI政策和保障措施方面的重要性。研究所的扩张和与加拿大的合作伙伴关系体现了其对全球AI安全的承诺，并发布了首个AI安全测试结果。此扩张恰逢英国和韩国政府联合主办的全球人工智能安全峰会，旨在制定负责任的AI治理路线。技术领导者和专家呼吁暂停AI技术进步，直至建立审慎和透明的监管框架。首届人工智能安全峰会在布莱切利公园举行，促进了全球领导人、行业高管和学者之间的建设性对话，推动制定AI开发和部署的道德准则和政策框架。

来源：https://thecyberexpress.com/uk-ai-safety-institute-us-office/

3. 美国众议院军事委员会推动建立军事网络服务的提案

美国众议院军事委员会成员准备推动一项要求五角大楼研究建立军事网络服务的两党提案。该措施将在2025财年国防授权法案审议期间提出，要求国防部委托美国国家科学院进行独立评估，探讨建立统一网络部队的可行性。该修正案由众议员摩根·勒特雷尔和克里斯西·胡拉汉提出，旨在解决现有数字作战分支孤立的问题，并提高网络作战效率。尽管五角大楼此前对建立网络军种持保留态度，但新的两党提案可能改变这一立场。修正案还包含“禁止干扰”条款，确保评估的独立性。美国国家科学院将有约九个月时间完成评估，其结论可能影响2027财年的政策制定。勒特雷尔认为修正案通过的可能性较高，并预计即使在委员会中被否决，也将在众议院或未来国防法案中继续推进。这一提案反映了美国国会对于加强网络作战能力的迫切需求，以及对现有网络司令部结构和效能的担忧。

来源：https://therecord.media/cyber-force-study-house-ndaa-amendment

4. Turla APT组织利用恶意LNK文件发起复杂网络攻击

Cyble研究与情报实验室（CRIL）揭露了一场由Turla高级持续威胁（APT）组织精心策划的复杂网络活动。该活动通过利用人权研讨会邀请和公共咨询作为诱饵，分发恶意LNK文件，以隐蔽的方式渗透用户系统。攻击者展示了高水平的复杂性，通过在LNK文件中嵌入诱饵PDF和MSBuild项目文件，利用Microsoft构建引擎（MSBuild）执行项目文件，部署无文件的最终后门有效负载，实现对受感染系统的远程控制。攻击链包括从ZIP存档传递恶意LNK文件，执行后触发PowerShell脚本，创建诱饵PDF和自定义MSBuild项目，以及使用Rijndael算法解密数据并执行后门负载。CRIL将此次攻击归因于Turla APT组织，依据是代码中的俄语注释和与之前Turla活动的行为相似性。该组织针对非政府组织的焦点与诱饵文件中引用的人权研讨会一致。Turla APT组织的持久性体现在利用MSBuild等合法应用程序，以逃避传统安全措施。组织必须采取多层安全方法，以有效降低此类高级威胁的风险。

来源：https://thecyberexpress.com/new-turla-apt-groups-tiny-backdoor-tactics/

5. 吉尔吉斯斯坦面临暴徒暴力和网络攻击

吉尔吉斯斯坦首都比什凯克遭受严重的街头暴力和网络攻击，导致国际社会特别是印度和巴基斯坦的外交担忧。始于5月17日至18日晚的动乱起因于社交媒体上流传的一段视频，显示吉尔吉斯斯坦与埃及学生发生冲突，引发对外国学生的攻击，造成28人受伤。网络攻击加剧了危机，多个黑客组织针对吉尔吉斯斯坦的关键政府和私营部门系统。其中包括Team Insane PK、Silent Cyber Force、Golden Don's、Anon Sec BD等，攻击了包括农业部、国防部、经济和商务部、大学和银行在内的多个机构。这些攻击不仅扰乱政府运作，还对基本服务构成重大风险，凸显了加强物理和网络领域安全措施的迫切需要。吉尔吉斯斯坦的局势凸显了社会动荡时期数字基础设施的脆弱性，以及制定全面网络安全战略保护国家基础设施的必要性。吉尔吉斯斯坦当前的动荡局势要求加强网络安全防御和实体安全措施，确保所有居民包括外国留学生的安全。

来源：https://thecyberexpress.com/cyberattacks-on-kyrgyzstan-admist-violence/

6. Just Evil/Killmilk宣称对汉堡机场网络攻击负责

Just Evil/Killmilk黑客组织声称对汉堡机场的网络攻击负责，并在社交媒体上发布隐秘信息，暗示访问了机场的某些部分。帖子包含代码片段和对机场区域的引用，引发关键基础设施网络安全的担忧。尽管汉堡机场尚未对网络攻击的声明做出正式回应，但机场网站目前运行正常，无明显中断迹象。Just Evil/Killmilk组织的背景增加了事件的复杂性。其领导人尼古拉·塞拉菲莫夫（Nikolai Serafimov）是一名30岁的俄罗斯公民，与多个犯罪活动有关，包括Lockheed Martin的网络攻击。塞拉菲莫夫还涉及运营“Black Listing”DDoS平台，并介绍了私人军事黑客公司“Black Skills”，显示非国家行为者在网络战中的威胁日益增加。尽管汉堡机场网络攻击的真实性尚未得到官方确认，但Just Evil/Killmilk及其领导人的历史和能力表明，关键基础设施的网络安全不容忽视。

来源：https://thecyberexpress.com/alleged-hamburg-airport-cyberattack/

7. 美国无线电中继联盟（ARRL）遭受重大网络攻击

美国无线电中继联盟（ARRL），一个杰出的业余无线电爱好者协会，已确认遭受严重网络攻击，影响了包括“世界日志”（LoTW）互联网数据库在内的多个关键在线服务。LoTW对业余无线电运营商至关重要，用于记录和验证全球联系。ARRL强调，其系统不存储社会安全号码或信用卡信息，但会员数据库包含公开信息和呼号等敏感数据。ARRL尚未明确网络事件的性质，正与外部网络安全专家合作，以减轻影响并恢复服务。该事件在业余无线电界引起了不同的反应，从支持和耐心到对数据安全和潜在长期影响的担忧。此事件凸显了数字化转型的固有风险和强化网络安全措施的必要性。ARRL遭受的网络攻击不仅对该组织造成影响，也波及了依赖其服务的业余无线电操作员社区。目前，社区对ARRL的服务恢复持谨慎乐观态度，同时期待更多关于攻击性质和防范措施的详细信息。

来源：https://thecyberexpress.com/cyberattack-on-arrl/

8. 意大利锡耶纳大学遭受LockBit 3.0勒索软件攻击

意大利锡耶纳大学，一所成立于1240年的古老学术机构，遭受了LockBit 3.0勒索软件组织的网络攻击，导致多项服务中断。该大学在意大利国家网络安全局的支持下采取了恢复措施，尽管LockBit的参与尚未得到官方证实。据LockBit声称，他们从大学系统中窃取了514GB的敏感数据，包括财务文件和机密信息，并在他们的泄露网站及Telegram频道上分享了被盗数据的屏幕截图。攻击发生后，锡耶纳大学的网站承认了网络攻击，并告知公众服务暂停的情况。大学的应对措施包括关闭受影响的服务，如国际招生网站、票务服务和支付管理平台。尽管付款确认和申请处理之间存在暂时断开，但攻击前的付款已被确认。大学还特别向国际候选人发出通知，建议他们避免不必要地联系工作人员，并承诺尽快回复。这次对锡耶纳大学的攻击是LockBit组织声称的最大规模攻击之一，尽管该组织最近受到执法机构的打击，但仍显示出其持续的破坏能力。

来源：https://thecyberexpress.com/lockbit-university-of-siena-ransomware-victim/

9. 与伊朗MOIS有关的黑客对阿尔巴尼亚和以色列进行破坏性攻击

Check Point追踪的名为Void Manticore的伊朗APT组织，被指向阿尔巴尼亚和以色列发起破坏性擦除攻击的幕后黑手。该组织与“国土正义”和“业力”行动相关，利用Cl Wiper、No-Justice和BiBi等定制擦除器恶意软件，针对两国的Windows和Linux系统。攻击手法包括使用公开工具，通过RDP、SMB和FTP协议进行横向移动，利用已知安全缺陷如CVE-2019-0604获取初始访问权限。成功立足后，攻击者部署Web shell，包括自制的Karma Shell，用于进一步操作。Void Manticore被怀疑利用Scarred Manticore（Storm-0861）获取的访问权限进行入侵，显示两个APT组织间的协同。微软亦曾指出多个伊朗APT组织在攻击阿尔巴尼亚政府中的合作，其中APT34（Cobalt Gypsy）参与其中。Check Point分析认为，针对以色列和阿尔巴尼亚的攻击技术有重叠，且两个APT组织间的协调表明这种攻击已成为常规。Void Manticore的行动结合心理战和实际数据破坏，通过擦除攻击和信息泄露放大对目标的破坏。

来源：https://thehackernews.com/2024/05/iranian-mois-linked-hackers-behind.html

10. 电子邮件网络钓鱼活动传播新兴恶意软件Latrodectus

自2024年3月起，网络安全研究人员观察到电子邮件网络钓鱼活动激增，这些活动传播了Latrodectus，一种新兴的恶意软件加载程序，被认为是IcedID恶意软件的后继者。Latrodectus利用超大JavaScript文件和WMI调用执行远程托管的MSI文件，具有自删除技术，混淆源代码，并执行反分析检查，以增强隐蔽性。该恶意软件支持通过计划任务在Windows主机上设置持久性，并通过HTTPS与C2服务器建立联系，进行系统信息收集、更新、重启、终止自身，以及运行shellcode、DLL和可执行文件。Elastic Security Labs的研究人员提出，Latrodectus可能正在作为IcedID的替代品被积极开发。此外，Forcepoint剖析了一场网络钓鱼活动，利用以发票为主题的电子邮件诱饵传播DarkGate恶意软件，该活动采用了Tycoon PhaaS平台的更新版本来获取Microsoft 365和Gmail会话cookie，绕过多重身份验证(MFA)保护。同时，其他社会工程活动利用假冒的Google广告传播D3F@ck Loader恶意软件加载程序，该程序最终删除Raccoon Stealer和DanaBot。

来源：https://thehackernews.com/2024/05/latrodectus-malware-loader-emerges-as.html

11. 网络犯罪分子利用GitHub和FileZilla传播鸡尾酒恶意软件

网络安全公司GitCaught追踪到一场滥用GitHub和FileZilla等合法服务的多方面活动，该活动通过冒充1Password、Bartender 5和Pixelmator Pro等可信软件传播恶意软件。Insikt Group的报告指出，存在多种恶意软件变体，表明了跨平台的目标策略和集中式命令设置，提高了攻击效率。攻击链利用GitHub上的虚假配置文件和存储库托管假冒版本，以获取敏感数据，并通过恶意广告和SEO中毒活动分发链接。背后的威胁行为者疑似来自CIS的俄语者，他们还使用FileZilla服务器进行恶意软件管理和交付。进一步分析发现，这些攻击与自2023年8月以来提供RedLine、Lumma、Raccoon等恶意软件的更大活动有关。特别是Rhadamanthys感染途径，它将受害者重定向到Bitbucket和Dropbox上的有效负载，显示了合法服务滥用的广泛性。此外，微软威胁情报团队指出，代号Activator的macOS后门通过冒充合法软件破解版本的磁盘映像文件进行分发，窃取Exodus和Bitcoin-Qt钱包数据，并利用多个C2域下载并启动恶意Python脚本，实现持久性。

来源：https://thehackernews.com/2024/05/cyber-criminals-exploit-github-and.html

12. Fluent Bit日志记录工具中发现严重漏洞

Tenable公司发现流行日志记录工具Fluent Bit存在严重内存损坏漏洞，命名为Linguistic Lumberjack（CVE-2024-4323），CVSS评分高达9.8。该漏洞可能导致拒绝服务（DoS）攻击、信息泄露甚至远程代码执行（RCE）。Fluent Bit是一个开源数据收集器和处理器，被微软、谷歌云、AWS等主要云服务提供商以及思科、LinkedIn等科技巨头广泛使用。Tenable已公开技术信息和概念验证（PoC）漏洞，并向Fluent Bit开发团队及相关云服务提供商报告了此问题。虽然补丁已开发，但尚未正式发布。建议用户采取缓解措施，如限制API访问和禁用受影响端点。Fluent Bit中发现的严重漏洞凸显了广泛使用的开源工具的潜在风险。尽管Tenable已向相关方报告并公开了PoC漏洞，但用户仍需采取积极措施以减轻风险。

来源：https://www.securityweek.com/vulnerability-found-in-fluent-bit-utility-used-by-major-cloud-tech-companies/

13. 英国AISI研究显示常用AI聊天机器人易受越狱攻击

英国人工智能安全研究所（AISI）的研究人员发现，在四种最常用的生成式人工智能聊天机器人中，有90%-100%的案例能够通过基本越狱技术绕过安全措施并执行不当操作。这些测试是在英国和韩国联合主办的2024年人工智能首尔峰会前发布的更新中进行的。测试的五种AI模型（匿名称为红色、紫色、绿色、蓝色和黄色模型）被评估了越狱的易感性、促进网络攻击的潜力、自主行动的能力，以及提供可用于积极和有害目的的化学和生物学专家级知识。结果显示，所有四种测试的LLM在连续五次相同的攻击模式下都极易受到越狱攻击。此外，这些模型在面对简单问题时表现良好，但在处理更复杂的网络安全挑战时则受限。尽管两个模型能够独立解决一些短期任务，但目前还没有模型能够规划和执行复杂任务的完整序列。AISI的研究结果表明，尽管生成式AI聊天机器人在某些方面表现出潜力，但它们在安全性和复杂任务执行方面存在限制。

来源：https://www.infosecurity-magazine.com/news/ai-chatbots-vulnerable-jailbreaks/

14. QNAP QTS操作系统存在多个未修复漏洞

WatchTowr实验室对QNAP QTS操作系统进行了安全审计，发现15个严重程度不同的漏洞，其中11个仍未修复。包括一个未打补丁的堆栈缓冲区溢出漏洞CVE-2024-27130，可能允许攻击者在满足特定条件下执行远程代码。QNAP对漏洞报告回应延迟，仅修复了4个漏洞。WatchTowr发现的缺陷主要涉及代码执行、缓冲区溢出、内存损坏、身份验证旁路和XSS问题，影响NAS设备的安全性。QNAP在2024年4月的安全更新中解决了部分漏洞，但大多数问题仍未解决。特别地，CVE-2024-27130漏洞由于"share.cgi"脚本中"No_Support_ACL"函数的不安全使用，可能导致远程代码执行。虽然利用此漏洞需要满足特定条件，但攻击者可通过社会工程手段获取所需参数。WatchTowr已在GitHub上发布了PoC，并联系QNAP发表声明，但尚未得到回应。这些未修复的漏洞对使用QNAP NAS设备的用户构成了重大安全风险。

来源：https://www.bleepingcomputer.com/news/security/qnap-qts-zero-day-in-share-feature-gets-public-rce-exploit/

15. Trustnet：麻省理工学院推出浏览器扩展识别错误信息

麻省理工学院研究人员推出了Trustnet，一款浏览器扩展程序，旨在帮助用户识别网站上的错误信息。该工具采用去中心化方法，允许用户自行标记错误信息并决定信任哪些内容评估者，而不是依赖中央机构或商业公司。Trustnet适用于任何网站，用户可以通过点击按钮对内容进行评分，并查看信任个人的评级。为期两周的研究中，32名参与者对不同类型内容进行了评分，结果显示用户重视非专业事实核查人员的评估，并倾向于对非新闻内容进行评分。然而，存在用户可能陷入信息泡沫的风险，研究人员提出通过值得信赖的评估机构提出的结构化提案来解决这一问题。未来，Trustnet计划扩展其框架，以过滤不符合道德标准的内容，并继续研究结构化信任关系。Trustnet浏览器扩展的推出为用户提供了一种主动识别和评估错误信息的工具，促进了批判性思维和信息识别能力的提高。

来源：https://www.securitylab.ru/news/548399.php

16. OpenSSF推出Siren邮件列表共享开源项目威胁情报

开源安全基金会（OpenSSF）宣布推出Siren邮件列表，目的是在开源社区内共享与项目相关的威胁情报。这一新举措源于对开源项目安全性的关注，特别是Log4j问题后，以及围绕XZ Utils和OpenJS的事件。Siren邮件列表将公开供人查看和发布，仅需注册。OpenSSF总经理Omkhar Arasaratnam指出，尽管开源社区在桌面演习中定义了漏洞处理流程，但在信息广泛传播方面存在差距。Siren旨在填补这一空白，提供一个聚集地，用于分发威胁指标、策略和程序，以便在软件包受攻击时社区能够识别威胁。虽然存在如oss-security邮件列表等工具帮助沟通漏洞，但Siren将更广泛地与包括开源项目、分销商、安全研究人员和开发人员在内的受众共享信息，重点关注运营影响和响应。Siren邮件列表将为成员提供与其项目相关的新兴威胁的实时更新，OpenSSF希望这能培养共同责任和集体防御的文化，增强项目网络安全防御，并提高对恶意活动的整体认识。

来源：https://therecord.media/openssf-siren-open-source-threat-intelligence-mailing-list

往期推荐