每周安全动态精选(2.19-2.23)
本周精选
1、欧洲议会议员批准 GDPR 跨境协调规则草案
2、Spring Security身份验证绕过漏洞(CVE-2024-22234)
3、利用新型系统弱化技术的 Redis 挖矿恶意软件分析
4、德国电池制造商 VARTA AG 遭到网络攻击导致停产
5、Microsoft 365 AiTM 检测:经验教训
政策法规动态
**1、**欧洲议会议员批准 GDPR 跨境协调规则草案
Tag:数据保护
欧洲议会公民自由、司法和内政委员会投票批准了一份报告草案,其中包含执行欧盟通用数据保护条例的附加程序规则。该提案旨在通过采用解决相关方投诉和程序权利的共同规则来进一步协调跨境合作。此外,拟议的规则旨在加快执法程序并简化跨境调查。
**2、**美国众议院委员会预计将讨论 FISA 第 702 条延期法案
Tag:外国情报监视
据 Politico 报道,美国众议院规则委员会预计将在 2 月 14 日讨论延长《外国情报监视法》第 702 条的拟议法案,然后可能在本周末进行现场投票。参与谈判的个人预计,将对拟议法案的修正案进行“大约”六票表决,其中可能包括执法和情报机构查询第 702 条数据库的搜查令要求。
https://iapp.org/news/a/us-house-rules-committee-expected-to-address-section-702-extension-bill
3、修订《儿童在线安全法》获得广泛支持
Tag:儿童安全
美国田纳西州共和党参议员玛莎·布莱克本 (Marsha Blackburn) 和康涅狄格州民主党人理查德·布卢门撒尔 (Richard Blumenthal) 发布了拟议的《儿童在线安全法案》的重新草案,该法案现已获得 62 名参议院共同提案人和利益相关者联盟的支持。新草案将把一些执行权从州总检察长移交给联邦贸易委员会,同时包括其他一些会影响过滤泡沫修正案和优先购买条款的变化。
https://iapp.org/news/a/report-kosa-bill-revamp-likely
4、美国众议院委员会推迟对监控法案的投票
Tag:监控法案
据点名报道,由于议员们未能就该法案达成一致,美国众议院规则委员会推迟了是否延长《外国情报监视法》第 702 条的行动。该法案于 2023 年进行了短期更新,但如果不采取任何行动,预计将于 4 月到期。
https://iapp.org/news/a/u-s-house-committee-punts-on-surveillance-bill-action
技术标准规范
1、隐私技术供应商发布新的治理解决方案
Tag:隐私安全
数据安全和隐私合规供应商BigID发布了组织数据治理解决方案。新产品旨在帮助组织改善安全状况、降低风险、实现零信任安全,并通过新的访问治理控制来遵守新兴的人工智能法规。
https://iapp.org/news/a/privacy-tech-vendor-releases-new-governance-solution
**2、**韩国 PIPC 发布公共部门信息屏蔽指南
Tag:信息保护
韩国个人信息保护委员会发布了一份关于如何正确向公共机构提供假名信息的指南。
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=9934
3、尼日利亚 DPC 发布数据控制者、处理者注册要求指南
Tag:数据保护
尼日利亚数据保护委员会根据《数据保护法》发布了针对“对尼日利亚经济、社会或安全具有特殊价值或意义”的数据控制者和处理者的注册要求的指南。这些要求适用于每六个月处理超过 200 个数据主体的个人数据或处理金融、医疗保健、教育和能源等关键领域的个人数据的任何控制者或处理者。
4、捷克 DPA 发布摄像头系统方法标准
Tag:数据安全
捷克共和国数据保护机构发布了摄像头系统方法,以确保个人数据得到保护。该方法与欧盟通用数据保护条例相结合,旨在“促进小型个人数据管理者的地位,特别是在通用摄像头系统的情况下”。
https://iapp.org/news/a/czech-dpa-publishes-methodology-for-camera-systems
重点漏洞情报
1、Spring Security身份验证绕过漏洞
Tag:CVE-2024-22234、Spring
在 Spring Security(6.1.7 之前的 6.1.x 版本和 6.2.2 之前的 6.2.x 版本)中,当应用程序直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication) 方法时,它容易受到访问控制中断的影响。具体而言,在以下情况下,应用程序容易受到攻击:* 应用程序直接使用 AuthenticationTrustResolver.isFullyAuthenticated(Authentication),并且向其传递了 null 身份验证参数,从而导致错误的 true 返回值。
https://nvd.nist.gov/vuln/detail/CVE-2024-22234、https://spring.io/security/cve-2024-22234
**2、**Apache Solr Backup/Restore APIs 远程命令执行漏洞
Tag:Apache Solr、CVE-2023-50386
此问题影响 Apache Solr:从 6.0.0 到 8.11.2,从 9.0.0 到 9.4.1。在受影响的版本中,Solr ConfigSets 接受通过 ConfigSets API 上传的 Java jar 和类文件。备份 Solr 集合时,使用 LocalFileSystemRepository(备份的默认值)时,这些 configSet 文件将保存到磁盘。如果备份保存到 Solr 在其 ClassPath/ClassLoaders 中使用的目录中,则 jar 和类文件将可用于任何受信任或不受信任的 ConfigSet。
**3、**ConnectWise ScreenConnect身份验证绕过漏洞
Tag:ConnectWise ScreenConnect、CVE-2024-1709
ConnectWise ScreenConnect 23.9.7 及更早版本受到使用备用路径或通道的身份验证绕过漏洞的影响,该漏洞可能允许攻击者直接访问机密信息或关键系统。
https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8
恶意代码情报
1、利用新型系统弱化技术的 Redis 挖矿恶意软件分析
Tag:Redis, 恶意软件,加密货币挖矿
Cado Security 实验室最近发现了一起针对 Redis 的新型恶意软件活动,名为 Migo。这种恶意软件利用新型系统弱化技术攻击 Redis 服务器,用于进行加密货币挖矿。Migo 以 Golang ELF 二进制文件形式传播,并具有持久性特征,同时使用用户态 rootkit 来隐藏恶意进程。攻击者通过修改 Redis 配置参数和创建恶意 Cron 作业来感染主机,最终将 XMRig 挖矿程序安装到主机上。这种攻击手法具有创新性,需要引起重视。
https://www.cadosecurity.com/migo-a-redis-miner-with-novel-system-weakening-techniques/
**2、**Texonto 行动: 战争背景下针对乌克兰语的信息行动
Tag:特克索特行动,信息操作,心理战行动,垃圾邮件
特克索特行动是一个利用垃圾邮件传播虚假信息的信息操作 / 心理战行动,针对乌克兰讲者,内容涉及与战争相关的主题。该行动包括了信息操作和针对乌克兰国防公司和欧盟机构的钓鱼攻击。这些邮件传播关于供暖中断、药物短缺和食品短缺等主题的怀疑和虚假信息,这些是俄罗斯宣传的典型主题。邮件还滥用乌克兰部委的标志,以增加虚假信息的可信度。虽然特克索特行动与卡利斯托网络间谍组织存在相似之处,但并未发现技术重叠,并且高度自信地将该行动归因于与俄罗斯立场一致的组织。
**3、**对袭击罗马尼亚医院的 BackMyData 勒索软件的技术分析
Tag:BackMyData、勒索软件、罗马尼亚、医院、技术分析
本篇文章对被用于攻击罗马尼亚医院的 BackMyData 勒索软件进行了技术分析。文章详细解释了该勒索软件的工作原理,包括加密配置、持久性机制、文件加密过程等。勒索软件采用 AES256 算法加密文件,删除卷影复制并禁用防火墙。最后,文章指出勒索软件会略过特定扩展名和文件目录,以及跳过已被其他勒索软件加密的文件。
4、Mirai 变种利用 CVE-2023-1389
Tag:Mirai 变种、CVE-2023-1389、远程代码执行、TP-Link 路由器、动态分析
文章介绍了一种 Mirai 变种利用 CVE-2023-1389 漏洞进行攻击的情况。攻击通过触发受害路由器下载一个脚本,并尝试执行各种静态二进制文件,旨在利用 TP-Link Archer 路由器的远程代码执行漏洞。对动态分析和静态分析结果进行了介绍,并给出了反制措施的示例。文章指出,这种变种可能与俄语水平高的攻击者有关,且操作方式与 Mirai IoT 僵尸网络相关。
https://blog.permafrostsec.com/posts/mirai-variant-cve-2023-1389/
数据安全情报
**1、**Cactus 勒索软件声称窃取了 1.5TB 施耐德电气数据
Tag:数据泄露
Cactus勒索软件团伙声称他们在上个月成功入侵了施耐德电气的网络,并窃取了约1.5TB的数据。据称,他们于1月17日获取了施耐德电气可持续发展业务部门的访问权限。近期,暗网上公布了25MB 的被盗数据,其中包括几名美国公民护照和保密协议文件的扫描件,作为黑客所声称的证据。
https://hackernews.cc/archives/50011
2、一黑客因出售美国和加拿大用户银行信息被捕
Tag:数据买卖
近日,乌克兰警方逮捕了一名 31 岁的黑客,罪名是其非法获取美国和加拿大用户的银行账户信息并在暗网上出售。警方公告中指出,该嫌疑人利用其管理的网站以“免费资源”的形式,向用户提供可免费下载软件的服务(带有各种木马软件),分发的软件既适用于台式机,也适用于手机(安卓)操作系统。
https://hackernews.cc/archives/49993
3、英国南方水务公司遭遇勒索组织 Black Basta 攻击,导致信息泄露
Tag:勒索软件、信息泄露
英国最大的水和废水供应商之一 南方水务公司在一份声明中承认,其 5% 至 10% 的客户数据在 1 月份的一次网络攻击中被盗 。虽然南方水公司尚未证实该事件是由勒索软件引起的,但此前声称对此次攻击负责的网络犯罪组织 Black Basta 已在网上公布了部分被盗数据。公布的信息包括个人文件和人事档案。
https://hackernews.cc/archives/49960
4、美国的拼车公司HopSkipDrive 15.5 万用户数据泄露
Tag:数据泄露
HopSkipDrive是一家主要服务于儿童和老年人的公司,最近遭受了第三方数据泄露事件。据称,攻击者于2023年5月底入侵了HopSkipDrive使用的第三方应用程序,并在系统中滞留了近两周。据该公司称,可能泄露的信息包括用户名、邮寄地址、电子邮件地址,以及驾驶执照号码或非驾驶员ID号码。该事件影响了超过约15.5万人。
https://hackernews.cc/archives/49873
热点安全事件
1、德国电池制造商 VARTA AG 遭到网络攻击导致停产
Tag:网络攻击
德国电池制造商 VARTA AG 面临 网络攻击,迫使该公司五个工厂暂时停止生产。由于部分IT基础设施遭到攻击,该公司不得不停止运行IT系统并断开与互联网的连接,以确保安全。目前尚不清楚该事件造成的总体损失有多大。尽管该事件具有勒索软件攻击的所有特征,但目前尚不清楚这是否是发生的攻击类型,也没有主要组织声称对此事件负责。
https://hackernews.cc/archives/49956
2、欧盟委员会将就 DSA 合规性调查 TikTok
Tag:未成年保护
据路透社报道,欧盟委员会将对 TikTok 保护未成年用户的行为展开调查。该调查最初由彭博社报道,将检查该平台是否充分遵守欧盟数字服务法。
https://iapp.org/news/a/report-european-commission-to-investigate-tiktok
**3、**美国保德信金融集团遭黑客攻击
Tag:黑客攻击
领先的金融和保险公司之一保德信金融集团(Prudential Financial)成为网络攻击的受害者,在此期间该公司员工和承包商的数据被泄露。黑客攻击发生于 2 月 4 日,该公司于 2 月 5 日阻止了黑客访问受感染的系统。
https://hackernews.cc/archives/49964
**4、**罗马尼亚 25 家医院遭网络攻击瘫痪
Tag:勒索软件、网络攻击
由于大规模勒索软件攻击导致当地卫生管理系统瘫痪,导致罗马尼亚至少 25 家医院面临严重的运营问题。罗马尼亚医院用来管理医疗活动和患者数据的希波克拉底信息系统(HIS)在周末遭到攻击。结果,系统数据库被加密,导致HIS无法访问。
https://hackernews.cc/archives/49953
热点安全技术
**1、**Microsoft 365 AiTM 检测:经验教训
Tag:Microsoft 365, AiTM 攻击,检测,钓鱼尝试
文章介绍了 2024 年初推出的一种新的方法,用于检测 Microsoft 365 环境中的 AiTM 攻击。在短短一个月的时间里,已经保护了 100 多个租户。文章总结了这一新方法的一些经验教训:检测到的钓鱼尝试比预期多,假阳性较低但需要注意,Microsoft 沙箱访问可能导致误报,对浏览器中的浏览器攻击也能够检测到,开发了一个指纹识别工具来追踪各个攻击者。
https://zolder.io/microsoft-365-aitm-detection-the-lessons-learned/
2、像专业人士一样进行代码审查
Tag:代码审查、白盒评估、漏洞识别、审查方法、工具
本文介绍了作者在进行代码审查时的研究方法论,重点是如何在白盒评估中识别漏洞。作者分享了不同的代码审查方法,包括逐行审查、重点关注低悬果功能、使用正则表达式关键词快速查找漏洞以及根据用户输入进行自底向上和自顶向下的审查方法。此外,作者还介绍了几种工具,如 cloc、graudit、TruffleHog 和 Driftwood,可以帮助简化代码审查过程。
https://haymiz.dev/security/2024/02/19/code-review-like-a-pro/
3、在 AI 时代保持领先于威胁行为者
Tag:微软,OpenAI,威胁行为者,AI,大型语言模型(LLM)
微软与 OpenAI 合作发布了有关 AI 时代新兴威胁的研究,重点关注已知威胁行为者 Forest Blizzard、Emerald Sleet、Crimson Sandstorm 等的活动。观察到的活动包括注入提示、企图滥用大型语言模型(LLM)和欺诈行为。微软表示将采取措施打击与威胁行为者相关的资产和账户,提高 OpenAI LLM 技术的保护,以及与合作伙伴合作应对威胁。
4、GMER - 在内核模式中暴露 Windows rootkit 的艺术
Tag:GMER、rootkit、Windows、内核模式、反 rootkit
GMER 软件在暴露 Windows 内核模式 rootkit 中的应用。文章主要涵盖了基本术语、如何提取驱动、建立安全环境、驱动概述、探索 Win11 磁盘子系统等内容。GMER 通过使用各种巧妙的技巧来检测 rootkit 的存在,并进行解钩操作。文章中还提到了 rootkit 类型、反 rootkit 工具、disk.sys 驱动、disk port driver 等相关概念。
https://www.linkedin.com/pulse/gmer-art-exposing-windows-rootkits-kernel-mode-artem-baranov-nbume/
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
