每周安全动态精选（1.22-1.26）

本周精选

1、新罕布什尔州立法机构通过全面的隐私法案

2、ScarCruft | 攻击者收集战略情报并瞄准网络安全专业人员

3、阿根廷警察 259GB 数据泄露于暗网

4、北美“水务巨头”遭遇勒索软件攻击，账单支付系统被破坏

5、电动汽车充电器的逆向

政策法规动态

**1、**新罕布什尔州立法机构通过全面的隐私法案

  Tag：隐私安全

新罕布什尔州参议院同意众议院对第255号法案的修正案,为全面的隐私法案通过立法铺平了道路。该法案涵盖处理超过 35,000 名州居民数据的组织或处理超过 10,000 名州居民数据并从数据销售中产生超过 25% 收入的组织。它包括对普遍选择退出机制的支持，60天的治疗期，将于2026年日落，以及国务卿领导的狭隘规则制定。在州长登记和采取行动后，该法案将于 2025 年 1 月 1 日生效。

https://iapp.org/news/a/comprehensive-privacy-bill-clears-new-hampshire-legislature

**2、**欧盟委员会征求对 GDPR 的反馈意见

  Tag：数据保护

欧盟委员会呼吁就《欧盟通用数据保护条例》自六年前首次生效以来的表现提供反馈。材料将提交给委员会2020年对该法律审查的正式报告。有兴趣的各方必须在 2 月 8 日之前提交意见。

https://iapp.org/news/a/european-commission-solicits-feedback-on-gdpr

3、白宫计划就外国访问美国敏感数据发布行政命令

  Tag：数据保护

根据彭博社获得的一份文件，美国总统乔·拜登将很快发布一项行政命令，针对外国对手试图访问美国公民的敏感个人数据以及与政府有关人员的个人数据。据报道，该命令将指示美国司法部长和国土安全部对“可能威胁国家安全”的数据传输制定限制。 

https://iapp.org/news/a/biden-administration-preparing-executive-order-to-stop-adversaries-from-obtaining-citizens-sensitive-data

4、印度的数据保护法可能推迟到大选后

  Tag：数据保护

据CNBCTV报道，印度新的数字数据保护法的框架可能要到2024年春季大选才能最终确定。据报道，根据《数字个人数据保护法》制定的规则正处于起草的最后阶段，但仍需要经过公众咨询程序和其他监管行动才能生效。 

https://iapp.org/news/a/indias-data-protection-rules-likely-delayed-until-after-elections

技术标准规范

1、企业联手发布数据溯源标准提案

  Tag：数据溯源

随着人工智能技术开始渗透到各行各业的业务方方面面，使用可信赖的数据至关重要。为了为数据设定基线质量标准，最终为各行各业即将普遍采用的人工智能系统提供动力，数据和信任联盟发布了新的数据来源标准。IAPP特约撰稿人亚历克斯·拉卡斯（Alex LaCasse）与联盟两个成员的代表进行了交谈，探讨了公司如何在其运营中实施这些标准。

https://iapp.org/news/a/companies-join-forces-to-release-proposed-data-provenance-standards

**2、**NIST发布企业网络安全标准指南

  Tag：网络安全

美国国家标准与技术研究院（U.S. National Institute of Standards and Technology）发布了企业网络安全计划指南草案。该指南旨在帮助企业制定符合组织需求的网络安全计划，同时应对网络风险。

https://iapp.org/news/a/nist-releases-guidance-for-businesses-cybersecurity-standards

**3、**ICO更新儿童在线安全规定

  Tag：网络安全

英国信息专员办公室发布了关于在线服务需要做些什么来遵守《在线安全法》的最新意见。该指南涉及技术的最新发展，并解释了立法发展以及在线服务如何在使用数据保护的同时进行年龄保证测试。

https://iapp.org/news/a/ico-updates-child-online-safety-provisions

重点漏洞情报

1、Jenkins存在任意文件读取漏洞

  Tag：Jenkins、CVE-2024-23897

Jenkins 2.441 及更早版本、LTS 2.426.2 及更早版本不会禁用其 CLI 命令解析器的一项功能，即用文件内容替换参数中后跟文件路径的“@”字符，从而允许未经身份验证的攻击者读取Jenkins 控制器文件系统。

http://www.openwall.com/lists/oss-security/2024/01/24/6

**2、**Apple WebKit 代码执行漏洞

  Tag：WebKit、CVE-2024-2322

 Apple WebKit 代码执行漏洞(CVE-2024-23222)，处理恶意制作的 Web 内容可能会导致任意代码执行。

https://support.apple.com/zh-cn/HT214055

3、GoAnywhere MFT 身份认证绕过漏洞

  Tag：GoAnywhere、CVE-2024-0204

7.4.1 之前的 Fortra GoAnywhere MFT 中的身份验证绕过允许未经授权的用户通过管理门户创建管理员用户。

https://www.fortra.com/security/advisory/fi-2024-001

4、SOFARPC反序列化漏洞

  Tag：SOFARPC、CVE-2024-23636

SOFARPC 默认使用 SOFA Hessian 协议来反序列化接收到的数据，而 SOFA Hessian 协议使用黑名单机制来限制潜在危险类的反序列化，以达到安全保护的目的。但是，在5.12.0版本之前，有一个gadget链可以绕过SOFA Hessian黑名单保护机制，并且这个gadget链仅依赖于JDK，不依赖任何第三方组件。5.12.0 版本通过添加黑名单修复了此问题。SOFARPC 还提供了添加额外黑名单的方法。用户可以添加类似“-Drpc_serialize_blacklist_override=org.apache.xpath.”的类来避免此问题。

https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314

恶意代码情报

1、ScarCruft | 攻击者收集战略情报并瞄准网络安全专业人员

  Tag：ScarCruft，攻击活动，媒体组织，朝鲜事务专家，钓鱼邮件

文章介绍了朝鲜 APT 组织 ScarCruft（也称为 APT37 和 InkySquid）的最新活动。这些活动针对了媒体组织和朝鲜事务专家，旨在收集战略情报。文章详细描述了 ScarCruft 使用的感染链，包括发送钓鱼邮件和使用恶意文件来传播自定义后门 RokRAT。ScarCruft 还在测试使用技术威胁研究报告作为诱饵来针对网络安全专业人员。

https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals/

**2、**分发伪装韩国 IT 公司证书的 VenomRAT（AsyncRAT）恶意软件

  Tag：VenomRAT、AsyncRAT、韩国IT公司、证书、恶意软件

该文章介绍了一种名为 VenomRAT（AsyncRAT）的恶意软件通过伪装成韩国 IT 公司证书的方式进行传播的情况。该恶意软件通过下载器类型的恶意软件和脚本来执行各种恶意行为，包括键盘记录和泄露用户电脑信息。文章强调用户需要保持警惕，特别是对伪装成合法文档的有效方式文件要特别小心。

https://asec.ahnlab.com/en/60805/

**3、**针对中国用户的限制消息应用程序的恶意广告，安装恶意软件

  Tag：恶意广告，限制消息应用程序，中国用户，Telegram

该文章报道了针对中国用户的恶意广告活动，钓鱼用户下载 Telegram 和 LINE 等受限制的消息应用程序，实际上安装了恶意软件。威胁行为者利用 Google 广告商帐户创建恶意广告，引导用户下载远程管理特洛伊木马（RAT）。这些恶意广告主要针对被限制或禁止的应用程序，可能是为了进行数据收集和间谍活动。文章还提到了恶意广告的基础设施和恶意软件有效负载的细节，并呼吁有关方面采取行动。

https://www.malwarebytes.com/blog/threat-intelligence/2024/01/malicious-ads-for-restricted-messaging-applications-target-chinese-users

4、VexTrio 成为联属网络犯罪计划的中心

  Tag：VexTrio、ClearFake、SocGholish、恶意软件

该文章揭示了一个涉及 VexTrio、ClearFake、SocGholish 和其他参与者的大规模恶意关系。VexTrio 是一个大型的网络犯罪联属计划的核心，其包括恶意软件服务、虚假软件更新页面等。通过与安全研究人员的合作，揭示了 VexTrio 与 ClearFake 和 SocGholish 之间的合作关系。研究人员发现 VexTrio 是目前网络中最具威胁性的威胁之一，他们通过自己的基础设施在网络中出现的频率最高，并且对查询量最多。

https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program/

数据安全情报

**1、**阿根廷警察 259GB 数据泄露于暗网

  Tag：数据泄露

阿根廷警察 (Policía Federal Argentina – PFA)259GB 数据被泄露。其内容包含电子邮件、文件、窃听录音、警察官方照片、犯罪案件记录等信息。目前只有截图样本，从样本图片来看数据时间为2020年。

https://hackernews.cc/archives/49540

2、泰国 5500 万公民疫苗信息疑遭泄漏

  Tag：信息泄露

近日，泰国网站9near.org扬言泄漏从疫苗登记记录中获得的5500万泰国公民个人信息。泰国刑事法院紧急发布命令封锁了该网站，并警告任何其他被发现散布“9near.org”泄露的泰国公民数据的网站也将面临封锁。

https://hackernews.cc/archives/49517

3、Trello 客户端遭黑客攻击， 超 1500 万数据被泄露

  Tag：数据泄露

Atlassian 旗下的在线项目管理工具 Trello 遭到黑客攻击，超1500 万数据被泄露。这些数据包括先前泄露的姓名、用户名、电子邮件地址以及Trello的相关资料。

https://hackernews.cc/archives/49477

4、超 260 亿条数据被泄露，涉及多家知名公司

  Tag：网络攻击、数据泄露

超大规模的泄露之母（简称 MOAB）中存储了超260亿条个人信息记录。发现该事件的研究人员认为：其可能是黑客或某些处理数据服务的工作人员进行的泄露，这种行为非常危险，黑客可以利用聚合数据进行广泛的攻击，包括身份盗窃、网络钓鱼、有针对性的网络攻击以及未经授权访问个人和敏感帐户。

https://hackernews.cc/archives/49414

热点安全事件

1、北美“水务巨头”遭遇勒索软件攻击，账单支付系统被破坏

  Tag：勒索软件、网络攻击

近日，威立雅北美公司披露了一起勒索软件攻击事件，此次攻击影响了其市政水务部门的部分系统，并破坏了其账单支付系统。在发现攻击后，该公司立即采取了防御措施，并暂时关闭了部分系统，以避免漏洞造成更大的影响 。

https://hackernews.cc/archives/49492

2、英国多地议会遭网络攻击，部分在线服务被迫关闭

  Tag：网络攻击

近日，英国的三个议会宣称遭到网络攻击，导致其多项在线服务被迫关闭。坎特伯雷市的规划部门、在线表格和地图，多佛区的在线表格以及萨尼特区的规划部门和在线表格，都已临时下线。英国国家网络安全中心的一位发言人表示，他们正在与受影响的地方当局合作，以充分了解此次事件的影响。

https://hackernews.cc/archives/49492

**3、**全球航空租赁巨头 AerCap 遭受勒索软件攻击

  Tag：勒索软件、网络攻击

全球航空租赁巨头 AerCap 遭受勒索软件攻击，成为过去六个月中第四家被攻击的航空业公司。AerCap 表示，他们立即采取措施启动了调查，包括聘请第三方网络安全专家并通知执法部门。目前尚不清楚数据泄露或其他可能的影响，调查仍在进行中。

https://hackernews.cc/archives/49467

**4、**Vans 和 North Face 母公司遭遇勒索软件攻击，影响 3500 万消费者

  Tag：勒索软件、网络攻击

Bleeping Computer 网站消息，Vans、Timberland、The North Face、Dickies 和 Supreme 等知名服饰和鞋类品牌背后的母公司 VF Corporation 表示，在 12 月份发生的勒索软件攻击事件中，超过 3500 万客户个人信息被威胁攻击者盗取了。

https://hackernews.cc/archives/49379

热点安全技术  

**1、**电动汽车充电器的逆向

  Tag：挪威，充电器，Zaptec Pro，逆向工程

文章介绍了对挪威道路上常见的 Zaptec Pro 充电器进行逆向工程的过程。通过测试和分析该充电器的固件，作者成功地对设备进行了 root，并深入了解了其工作原理。文章还提出了改进的潜在领域。

https://www.mnemonic.io/no/resources/blog/reverse-engineering-an-ev-charger/

2、介绍 MavenGate：一种针对 Java 和 Android 应用程序的供应链攻击方法 

  Tag：MavenGate，供应链攻击，Java，Android

本文介绍了一种名为 MavenGate 的供应链攻击方法，针对 Java 和 Android 应用程序。作者通过研究发现，许多废弃的公共和流行图书馆仍在大型项目中使用，并由于构建默认配置的问题，这些项目很容易遭受攻击。攻击者可以通过劫持依赖项，将恶意代码注入应用程序中。目前的防御措施主要是检查文件的哈希值和数字签名，但这些方法存在一些问题。作者还对易受攻击的依赖项进行了统计，书面的一些实际项目进行了验证。

https://blog.oversecured.com/Introducing-MavenGate-a-supply-chain-attack-method-for-Java-and-Android-applications/

3、Kubernetes 调度与安全设计

  Tag：Kubernetes、调度、安全设计、节点选择器

介绍了 Kubernetes 的调度和安全设计。在 Kubernetes 设计中，调度经常被忽视，但拥有面向安全的调度策略可以降低工作负载受损的风险。文章讨论了多种调度机制，包括节点选择器、节点名称、亲和力与反亲和力、Pod 间亲和力与反亲和力、Taints and Tolerations、Pod 拓扑扩展约束和定制调度程序。

https://blog.doyensec.com/2024/01/23/k8s-scheduling-secure-design.html

4、成帧：通过串行传输边界 Wi-Fi 加密

  Tag：Wi-Fi 加密，传输队列，安全边界，攻击方法

本文介绍了一种通过队列传输队列绕过Wi-Fi加密的攻击方法，称为“成帧”。作者指出，Wi-Fi在传输之前通常会对帧进行队列设备，而攻击者可以利用这一点来窃取接入点泄漏帧的内容，或者使用组或全零密钥进行加密。文章详细描述了这种攻击方法，并指出了相关的设计缺陷和安全上下文管理的挑战。作者还演示了攻击的广泛影响，并要求在处理安全上下文时需要拓扑和跨网络堆栈层的协同工作。

https://www.usenix.org/conference/usenixsecurity23/presentation/schepers

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。