其他
5th域安全微讯早报【20240605】135期
2024-06-05 星期三 Vol-2024-135
今日热点导读
资讯详情
政策法规
1. 美国网络空间日光浴委员会报告敦促加强医疗保健网络安全
美国网络空间日光浴委员会(CSC)2.0 的报告揭示,自COVID-19疫情爆发以来,医疗保健和公共卫生部门遭受的网络攻击显著增加,尤其是勒索软件攻击,严重威胁患者安全和系统运作。安妮·菲克斯勒和迈克尔·萨格登在《医疗网络安全需要检查》报告中强调,政府需与利益相关者合作,提高提供商的网络防御能力,并提出13项建议,包括增加网络安全投资、实施全组织网络卫生培训和制定应急响应计划。报告指出,财政困境和老化基础设施加重了医疗系统的脆弱性,COVID-19疫情导致医院收入损失巨大,进一步暴露了网络安全缺陷。国会和政府需提供更多资金和支持,尤其是加强农村地区的网络安全。来源:https://industrialcyber.co/medical/us-cyberspace-solarium-commission-report-urges-enhanced-healthcare-cybersecurity-amid-rising-threats/2. 白宫敦促根据行业反馈简化网络规则
2023年8月,白宫请求就网络安全监管协调提供反馈,收到近90份回复。国家网络总监哈里·科克(Harry Coker)6月4日指出,不一致和重复的要求迫使企业将资金用于合规支出,阻碍了网络防御。科克呼吁国会与拜登政府合作制定标准化的网络政策。行业反馈表明,缺乏协调的监管对网络安全和企业竞争力构成挑战。受访者建议更多依赖NIST标准,并与外国盟友协调网络安全规则。FCC和NIST正制定相关标准,而SEC的一项规定要求公司在发现网络事件后四天内报告,面临争议。ONCD的Nick Leiserson和GAO的David Hinchman将在众议院小组会议上讨论该问题。Leiserson在RSA大会上表示,正与软件开发商合作,以制定不含漏洞的软件法律。来源:https://www.nextgov.com/cybersecurity/2024/06/white-house-urges-streamlined-cyber-rules-following-industry-feedback/397097/3. FCC提出加强互联网基础设施安全的规则
2024年6月4日报道,美国联邦通信委员会(FCC)计划(本周四,6月6日)就改善互联网关键组成部分的安全性进行投票。该提案要求宽带互联网提供商制定并维护安全的路由计划,并提交季度报告以展示努力。FCC主席Jessica Rosenworcel表示,边界网关协议(BGP)的不安全性已被滥用,导致网络数据被劫持。尽管一些行业团体担心提案可能过于严厉,但规则已针对行业反馈进行了修改,以缓解部分担忧。此举表明FCC认真对待改善互联网基础设施安全,并为行业提供了灵活性来实现这一目标。来源:https://cyberscoop.com/fcc-vote-on-tap-for-rules-to-secure-fundamental-component-of-the-internet/安全事件
4. 加拿大不列颠哥伦比亚省网络攻击:员工信息泄露事件
不列颠哥伦比亚省公共服务部负责人Shannon Salter于2024年6月4日透露,该省网络遭受了来自国家支持的黑客攻击,22名省级雇员的电子邮件收件箱可能被访问,其中19人的敏感个人信息包括人事档案可能泄露。受影响个人已收到通知,并提供信用监控和身份保护服务。目前,没有发现信息滥用或特定文件被访问的证据,且此次攻击非勒索软件攻击。公共安全部长Mike Farnworth确认,没有迹象显示公众信息被访问,且内阁成员未受影响。事件始于4月10日,随后展开调查,并报告给加拿大网络安全中心,启用微软的DaRT工具。4月29日,发现同一威胁行为者再次发起攻击,省级雇员被要求更改密码。5月6日,确认第三次攻击,由同一威胁行为者负责。5月8日,网络安全中心同意通知公众,事件被公开。来源:https://thecyberexpress.com/british-columbia-government-cyberattack/5. Tech in Asia遭遇大规模数据泄露,23万用户信息外泄
新加坡和雅加达的新闻网站Tech in Asia遭受了大规模数据泄露,影响了23万用户。泄露的数据包括用户ID、Tech in Asia ID、电子邮件地址、用户角色、全名、显示名称、注册日期、头像URL、作者网址等敏感信息。威胁行为者Sanggiero声称对此次数据泄露负责,并在黑客论坛Breach Forums上发布了泄露的数据。Sanggiero声称利用Tech in Asia API中的漏洞入侵网站,获取了对数据库的访问权限。目前尚不清楚泄露数据的具体用途,但用户需采取预防措施,包括更改密码、警惕网络钓鱼攻击和监控账户异常活动。Tech in Asia尚未就此事发表官方声明,但预计将采取措施保护用户数据并防止未来数据泄露。来源:https://thecyberexpress.com/tech-in-asia-data-breach-230000-users-at-risk6. 印度设计公司Archi Hives数据泄露:客户信息泄露至暗网
印度知名建筑和室内设计公司Archi Hives遭受网络攻击,其数据库被入侵,导致数据泄露。此次数据泄露由名为SirDump的威胁行为者所为,其在nuovo BreachForums平台上分享了泄露信息。泄露的数据包含两个CSV文件,涉及大量个人和组织信息,如社交媒体账号、账单和送货信息、昵称以及用户登录名、密码和激活密钥。尽管Archi Hives数据泄露事件在暗网上被广泛讨论,但公司尚未就此事件发表官方评论,因此网络攻击的具体细节和影响尚未得到证实。此次事件对公司乃至整个印度和亚太地区的建筑业都可能产生严重影响。来源:https://thecyberexpress.com/alleged-archi-hives-data-breach/7. 伊朗朝觐组织遭遇重大数据泄露:1.68 亿条记录被盗
2024年6月4日,伊朗朝觐和朝圣组织被曝数据泄露,1.68亿条记录被黑客在论坛上出售。这些数据包括护照扫描件、航班信息、保险详情、银行和付款信息、旅行者住宿状况及政府官员的详细信息,涵盖1984年至2024年间的记录,大小达1.25TB。该组织负责伊朗民众的朝觐和宗教旅行。数据泄露可能导致严重的身份盗窃、财务损失和隐私侵犯。此外,与朝觐相关应用程序和服务的源代码泄露也可能威胁其安全性。目前,该组织尚未对此作出回应。此次事件背景复杂,正值中东网络战加剧时期。来源:https://thecyberexpress.com/hajj-and-pilgrimage-organization-data-leak/漏洞预警
8. Zyxel NAS设备漏洞可让攻击者远程执行代码
Zyxel为两款NAS产品NAS326和NAS542发布了安全补丁,修复了包括命令注入和远程代码执行在内的五个严重漏洞(CVE-2024-29972-CVE-2024-29976)。其中最严重的是CVE-2024-29974:CGI程序"file_upload-cgi"中的远程代码执行漏洞。这些漏洞可能允许未经身份验证的攻击者执行操作系统命令或上传恶意代码,以及经过身份验证的攻击者获取管理员会话信息。受影响的产品已于2023年12月终止漏洞支持,但Zyxel仍提供了补丁,凸显了维护所有用户安全的重要性。用户应立即安装补丁,以确保系统安全。来源:https://gbhackers.com/zyxel-nas-devices-vulnerability/9. 谷歌发布六月Android安全更新:修复37个漏洞
谷歌在2024年6月推出了Android安全更新,修复了37个安全漏洞,包括框架和系统中的高严重性缺陷。此次更新分为两个补丁级别:2024-06-01解决了19个缺陷,主要关注系统和框架中的权限提升问题;2024-06-05则修复了Kernel和多个芯片制造商组件中的18个漏洞,其中三个高通漏洞被评为非常严重。Wear OS和AAOS也获得了相应的安全修复。谷歌未透露这些漏洞是否已被利用,但建议用户尽快更新设备以保障安全。来源:https://www.securityweek.com/37-vulnerabilities-patched-in-android/10. 严重漏洞威胁Telerik报表服务器:需紧急更新修复
2024年6月4日,Progress Software发布公告,修复了影响Telerik报告服务器的严重安全漏洞CVE-2024-4358,CVSS评分9.8。该漏洞允许未经身份验证的攻击者绕过身份验证,创建恶意管理员账户。受影响版本包括2024 Q1(10.0.24.305)及更早版本。Summoning Team的Sina Kheirkhah发现并报告了此漏洞。更新到Report Server 2024 Q2(10.1.24.514)已修复此问题。作为临时解决方案,用户应实施URL重写技术并检查用户列表。一个月前,Progress修复了另一个高严重性漏洞CVE-2024-1800,评分8.8,攻击者可通过此漏洞执行任意代码。两者可被结合利用,威胁更大。用户需尽快更新以减轻风险。来源:https://thehackernews.com/2024/06/telerik-report-server-flaw-could-let.html恶意软件
11. 暗网上的新型Android木马“Viper RAT”会窃取您的数据
暗网上出现了一种新型Android远程木马(RAT)名为"Viper RAT",专门针对Android设备。该恶意软件于2024年5月31日在CrackingX和OnniForums论坛上发布广告,声称具备多种功能,包括凭证、电子邮件、2FA代码、钱包和密钥的多重抓取器,键盘记录,以及音频和视频录制等。Viper RAT的租用价格为499美元,其低成本和强大功能令人担忧。Viper RAT通过专用网站viperrat[.]com(注册于2024年5月17日)和Telegram账户进行销售。该木马提供全球范围内的注入、手机解锁、VNC控制等功能,以帮助进行网络钓鱼重定向。此外,它还支持实时键盘记录、无缝屏幕控制等高级特性。来源:https://thecyberexpress.com/viper-rat-goes-on-sale/12. Underground勒索软件持续攻击各种规模的行业
尽管在过去一年中,名为“Underground”的勒索软件组织的活跃度有所下降,它们对网络安全构成的威胁依然不容小觑。该组织以对各种规模行业发起攻击而著称,造成严重的破坏和经济损失。Underground组织因生成详尽的勒索信而臭名昭著,信中通常包含已渗透数据的详细信息,并要求受害者通过TOR网络上的网站与之联系,使用特定的ID和密码。此外,VMware Carbon Black产品中的现有策略能够阻止和检测与该勒索软件相关的恶意指标。尽管Underground的活跃度不如其他勒索软件组织,但其持续存在和攻击能力使得各组织必须保持警惕,采取必要的网络安全措施,以防范此类复杂的攻击。有效的预防和应对策略对于保护组织免受勒索软件攻击至关重要。来源:https://gbhackers.com/underground-ransomware/组织跟踪
13. 俄罗斯遭受“诱饵狗”木马攻击,APT组织HellHounds被指幕后黑手
2024年6月4日,网络安全公司Positive Technologies报告,俄罗斯的电力公司、IT公司和政府机构正遭受名为“Decoy Dog”的恶意软件攻击。该攻击由高级持续威胁(APT)组织HellHounds实施,攻击活动被命名为Operation Lahat。研究人员亚历山大·格里戈里安和斯坦尼斯拉夫·皮佐夫称,HellHounds通过易受攻击的网络服务和信任关系入侵目标网络,长期潜伏。2023年11月,俄罗斯一家电力公司首次记录了该木马病毒感染,已确认48名受害者,包括IT公司、政府和电信提供商。Decoy Dog利用DNS隧道与C2服务器通信,保持隐蔽。Infoblox和Positive Technologies的分析显示,该恶意软件的Windows版本通过专用基础设施的加载器传送。HellHounds还使用修改版的开源程序3snake获取Linux主机凭证,通过承包商的SSH登录凭据获得初始访问权。研究人员强调,HellHounds工具包经过精心修改,以绕过恶意软件防御并确保长期隐蔽。来源:https://thehackernews.com/2024/06/russian-power-companies-it-firms-and.html14. 白俄APT组织UNC1151发起新网络钓鱼攻击,瞄准乌克兰国防部
2024年6月4日,Cyble研究与情报实验室(CRIL)报告,与白俄罗斯政府有关的威胁行为者UNC1151发起了一项新网络钓鱼活动,目标是乌克兰国防部。UNC1151长期以来一直与传播亲俄言论和虚假信息的活动有关,特别是针对乌克兰、立陶宛、拉脱维亚和波兰等国家。此次攻击从2024年4月开始,使用社会工程设计的恶意Excel文件,通过垃圾邮件分发,诱导受害者启用恶意宏代码。宏代码在受害者系统中植入快捷方式文件和恶意DLL文件,利用Rundll32.exe加载并执行。研究人员解密发现,这些DLL文件可能最终植入njRAT、AgentTesla和Cobalt Strike等恶意软件,进行远程控制和信息窃取。CRIL建议采用电子邮件过滤、验证发件人身份、限制脚本语言执行、设置网络级监控和定期备份数据来应对这种威胁。来源:https://thecyberexpress.com/unc1151-targets-ukraine-ministry-of-defense/往期推荐
2024-05-30
2024-05-31
2024-06-01
2024-06-03
2024-06-04