每周安全动态精选（1.1-1.5）

本周精选

1、美国防部新规草案：军工行业每年将增加超280亿元网络安全支出

2、新 5Ghoul 攻击影响装有高通和联发科芯片的 5G 手机

3、2023 年度 Mac 恶意软件综述

4、现象级车辆 App 遭网络攻击，泄露数百万用户数据

5、搜索协议漏洞可用于网络渗透，绕过 Windows 的安全机制

政策法规动态

**1、**美国防部新规草案：军工行业每年将增加超280亿元网络安全支出 

  Tag：网络安全

美国国防部在《联邦公报》上发布针对CMMC的拟议规则，要求国防承包商必须获得CMMC认证才能获得订单。据新规估算，美国国防工业企业每年因此将增加超40亿美元（约合人民币285亿元）的网络安全支出。

https://www.secrss.com/articles/62444

**2、**英国监控法拟议修正案招致批评

  Tag：隐私安全

据 Politico 报道，科技公司和隐私倡导者正在排队反对英国调查权力法案的拟议修正案。行业组织 TechUK 致信内政大臣詹姆斯·克莱弗利 (James Cleverly)，称该修正案可能“阻碍旨在改善消费者隐私、诚信和安全的技术进步”。该组织补充说，该法案损害了其他国家的主权，因为它授权内政部发布通知，阻止科技公司更新其产品，如果这可能妨碍与情报机构的信息共享。

https://iapp.org/news/a/proposed-amendment-to-uk-surveillance-law-draws-criticism-from-tech-companies-privacy-advocates

3、魁北克根据第 25 号法律公布匿名要求草案

  Tag：数据保护

魁北克政府根据《魁北克公报》第 25 号法律发布了“尊重个人信息匿名化”的法规草案。该法律草案于 2023 年 12 月 20 日发布，要求公共机构和适用的私人实体对其收集的所有个人身份信息进行充分匿名化，并阐明此类匿名信息可用于处理目的的标准。该法规草案目前正在接受为期 45 天的公众评议期。 

https://iapp.org/news/a/quebec-government-publishes-draft-anonymization-requirement-under-law-25

4、美国各州正在考虑类似于加州适龄设计规范法案的法案

  Tag：儿童、网络安全

据《华盛顿邮报》报道，随着美国第九巡回上诉法院对禁止执行《加州适龄设计规范法案》的禁令提出上诉，明尼苏达州、马里兰州和新墨西哥州正在推行类似的儿童在线安全法。该报审阅的草案措辞指出，该法案“将要求公司考虑其产品是否可能对儿童造成‘合理可预见的’身体、心理或经济伤害。”

https://iapp.org/news/a/several-us-states-poised-to-pass-similar-bills-to-california-age-appropriate-design-code/

技术标准规范

韩国 PIPC 发布新 PIPA 修正案指南

  Tag：信息保护

韩国个人信息保护委员会发布了个人信息保护法新修正案指南以及执行令。PIPA 的修订包括要求私人实体参与争议解决，而在新修订之前，只有公共机构被迫回应公民数据保护投诉。

https://iapp.org/news/a/south-koreas-pipc-releases-guide-for-new-pipa-amendment

重点漏洞情报

1、新 5Ghoul 攻击影响装有高通和联发科芯片的 5G 手机

  Tag：5Ghoul 攻击、高通、联发科、安全漏洞、5G 手机

"5Ghoul" 是由新加坡大学的研究人员发现的，共包含了 14 个移动通信系统的漏洞，其中 10 个已经公开披露，另外四个因安全原因被保留。这些漏洞可以导致从临时服务中断到网络降级的一系列攻击，从安全角度来看，可能更加严重。研究人员在对 5G 调制解调器固件进行分析时发现了这些漏洞，并报告称，攻击者可以通过冒充合法的 5G 基站，在空中轻松利用这些漏洞进行攻击。

https://www.bleepingcomputer.com/news/security/new-5ghoul-attack-impacts-5g-phones-with-qualcomm-mediatek-chips/

**2、**Inductive Automation 的 Ignition 软件存在重大反序列化漏洞

  Tag：漏洞利用，反序列化漏洞，Ignition 软件

一项研究详细介绍了 Inductive Automation 的 Ignition 软件中的两个重要反序列化漏洞，分别是 CVE-2023-39475 和 CVE-2023-39476。这些严重漏洞使得远程攻击者能够在不需要进行身份验证的情况下执行任意代码。该研究提供了对漏洞的深入分析，利用方法，并提供了名为 DoubleTrouble 的漏洞利用工具的使用说明。

https://github.com/TecR0c/DoubleTrouble

3、VisualStudio .suo 反序列化漏洞

  Tag：VisualStudio、漏洞利用、代码执行、suo 文件、C#

VisualStudio 的.suo 文件反序列化存在漏洞。通过创建恶意的.suo 文件，并将其放入 VisualStudio 代码项目中，当打开该项目时，就会触发代码执行。具体的利用方式是通过修改.suo 文件中的某些关键字段，将其指向一个恶意命令，当 VisualStudio 解析.suo 文件时，就会执行该命令。

https://github.com/moom825/visualstudio-suo-exploit

4、kfd：Apple 设备内核漏洞被利用，黑客能够读写内核内存

  Tag：漏洞利用、内核安全、Apple 设备、内存读写

近日，安全研究人员发现了一处影响 Apple 设备的内核漏洞，并成功利用该漏洞实现对内核内存的读写操作。该漏洞被命名为 kfd（kernel file descriptor）漏洞，已被分配 CVE-2023-32434 编号，并在 iOS 16.5.1 和 macOS 13.4.1 中得到修复。该漏洞可以通过 WebContent 沙盒实现远程攻击，可能已被在野利用。

https://github.com/felix-pb/kfd/blob/main/writeups/smith.md

恶意代码情报

1、2023 年度 Mac 恶意软件综述

  Tag：Mac 恶意软件、2023 年度综述、威胁分析、安全防护、企业安全

近年来，Mac 电脑在企业环境中的使用不断增加，而相应的 Mac 恶意软件也在不断增长和演进。2023 年共发现了大量新的 Mac 恶意软件样本，其中包括勒索软件、钓鱼软件等各种类型。本文综合分析了 2023 年度所有新出现的 Mac 恶意软件，并提供了样本下载。同时，文章还介绍了一些常用的恶意软件分析工具和技术细节。

https://objective-see.org/blog/blog\_0x77.html

**2、**三个恶意 PyPI 软件包在 Linux 设备上部署 CoinMiner

  Tag：恶意软件，PyPI 软件包，CoinMiner，Linux 设备，安全威胁

FortiGuard Labs 的 AI 驱动的开源软件恶意软件检测系统于 2023 年 12 月 5 日发现了三个引人注目的 PyPI（Python 包索引）软件包。这些软件包在初次使用时会在 Linux 设备上部署一个 CoinMiner 可执行文件。通过与早先发现的 “culturestreak” PyPI 软件包的指标对比，这些软件包的指示器与 “culturestreak” 相似。本文概述了这三个新软件包的攻击阶段，重点介绍了它们与 “culturestreak” 的相似之处和发展。

https://www.fortinet.com/blog/threat-research/malicious-pypi-packages-deploy-coinminer-on-linux-devices

**3、**隐蔽后门 “Android/Xamalicious” 批量感染设备

  Tag：Android 恶意软件，Xamarin，可访问性权限，广告欺诈，恶意应用

最近，McAfee 移动研究团队发现了一种名为 “Android/Xamalicious” 的恶意软件，该软件利用 Xamarin 开源框架实现，并以社交工程的方式获取可访问性权限。一旦获得权限，恶意软件与命令和控制服务器通信，根据评估结果决定是否下载第二阶段的恶意负载。这些负载以动态注入的方式，作为装配 DLL 在运行时注入设备，以完全控制设备并执行欺诈行为，例如点击广告、安装应用程序等，而无需用户同意。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/stealth-backdoor-android-xamalicious-actively-infecting-devices/

4、揭秘 RedLine Stealer

  Tag：RedLine Stealer, 信息窃取，恶意软件

RedLine Stealer 是一种危险的恶意软件，可以对个人和组织造成严重伤害。该恶意软件能够窃取个人和敏感数据，如登录凭据、浏览历史、加密钱包、地理位置等。本文对 RedLine Stealer 进行了深入研究，分析了其样本并进行了高级恶意软件分析。

https://www.infostealers.com/article/unmasking-redline-stealer/

数据安全情报

**1、**现象级车辆 App 遭网络攻击，泄露数百万用户数据

  Tag：网络攻击、数据泄露

停车应用程序开发商 EasyPark 在其网站上发布一则公告，称其在 2023 年 12 月 10 日遭遇一起数据泄露安全事件。EasyPark 公司在公告中指出，根据用户向平台提供的信息，部分用户的下列信息遭到泄露：姓名，电话号码，实地址，电子邮件地址，信用卡/借记卡或 IBAN 的某些数字。

https://hackernews.cc/archives/48640

2、瑞典最大的连锁超市 Coop 再遭勒索软件团伙攻击，泄露超2万条个人信息

  Tag：勒索软件、数据泄露

仙人掌勒索软件团伙声称已经黑入了瑞典最大的连锁超市 Coop ，并威胁要公开超过2万个条目的个人信息。Kroll的研究人员报告称，该勒索软件团伙使用加密技术来保护勒索软件的二进制文件，做法非常“聪明”。

https://hackernews.cc/archives/48702

3、德国能源署被 LockBit 勒索，数据全量公开

  Tag：勒索软件、数据泄露

据报道，德国能源署Dena成为国际 LockBit 勒索软件组织的新受害者，黑客组织在暗网平台上披露了针对 Dena 的网络攻击。袭击发生后不久，能源署基本上无法正常办公，无法通过电话或电子邮件联系。

https://hackernews.cc/archives/48775

4、INC RANSOM 勒索软件团伙声称已侵入施乐公司

  Tag：勒索软件、数据泄露

INC RANSOM 勒索软件组织声称对入侵施乐公司的行为负责，并威胁要公布被盗的数据。INC RANSOM 组织将施乐公司添加到其 Tor 泄露站点的受害者名单中。勒索软件组织发布了八份文件的图像，包括电子邮件和发票，作为黑客攻击的证据。

https://hackernews.cc/archives/48694

热点安全事件

1、普京竞选网站刚刚上线就遭多起境外攻击

  Tag：网络攻击

俄罗斯总统普京的竞选总部新闻秘书亚历山大·苏沃罗夫29日向记者透露，普京的竞选网站刚投入使用就遭到多起境外分布式拒绝服务攻击（DDoS攻击），但该网站目前工作正常。

https://hackernews.cc/archives/48691

2、用 660 美元即可破解特斯拉自动驾驶仪

  Tag：特斯拉、黑客大会

在最近举行的混沌计算机俱乐部黑客大会上，来自柏林工业大学的三名网络安全研究人员展示了他们破解特斯拉自动驾驶系统的过程。他们使用成本较低的设备，不仅获取到了敏感的系统文件和用户数据，还成功解锁了特斯拉自动驾驶的隐藏模式——“ Elon 模式”。

https://hackernews.cc/archives/48770

**3、**巴勒斯坦黑客对 100 个以色列组织发动破坏性攻击

  Tag：网络攻击

过去几个月，一个名为 Cyber Toufan 的黑客组织袭击了以色列 100 多个公共和私人组织，这是该地区地缘政治紧张局势加剧所推动的网络攻击活动的一部分。CyberToufan 具有复杂的黑客特征，该组织声称由巴勒斯坦国家网络战士组成，因此迅速声名鹊起，该组织对知名以色列实体执行复杂的网络攻击。

https://hackernews.cc/archives/48766

**4、**澳大利亚和新西兰领先的汽车经销商 Eagers Automotive 遭受网络攻击停摆

  Tag：网络攻击

澳大利亚和新西兰领先的汽车经销商 Eagers Automotive 宣布，由于最近的网络攻击，证券交易所暂停交易。该公司宣布需要暂停所有交易操作，以防止信息泄露。该公司在随后的声明中表示，其在澳大利亚和新西兰的多个系统遭到网络攻击。

https://hackernews.cc/archives/48722

热点安全技术  

**1、**搜索协议漏洞可用于网络渗透，绕过 Windows 的安全机制

  Tag：搜索协议，WebDav，Windows 安全，初级访问，社会工程学

一项新的研究发现，利用搜索协议漏洞结合 WebDav 和 AppDomainManager 注入技术，可以绕过 Windows 的安全机制，将恶意文件伪装成可信的文件进行传递，从而获取网络渗透的初级访问权限。攻击者利用这一漏洞，通过伪装文件的来源并诱使用户打开恶意附件，成功地避开了 Windows 的智能屏幕和 Mark of the Web（MotW）机制的阻止。这种方法可以通过社会工程学手段欺骗用户，成功地传递恶意文件，进而实施进一步的攻击。

https://pentestlab.blog/2024/01/02/initial-access-search-ms-uri-handler/

2、自动化 Web 应用评估的盲点

  Tag：应用安全，自动化工具，渗透测试，OWASP TOP 10

文章介绍了在确保应用程序安全时手动代码审查的重要性。过度依赖自动化工具可能导致一些明显的漏洞被忽视，从而给应用程序带来重大风险。

https://baldur.dk/blog/automated-web-assessment.html

3、DNS 接管漏洞挖掘

  Tag：DNS 接管，网络安全，漏洞利用，信息安全

这篇文章以实验为基础，展示了作者如何通过使用公共搜索工具和开源存储库的数据，发现了超过 200 个可能存在 DNS 接管漏洞的域名。DNS 接管是一种常见的漏洞技术，可以用来窃取已停用但仍活动的域名。文章详细解释了子域接管和 DNS 接管的概念，并提供了实际案例以加深读者对这些漏洞的理解。

https://fireshellsecurity.team/mining-takeovers-for-fun-and-profit/

4、被忽视的网络协议

  Tag：协议漏洞、网络攻击、安全验证

本篇文章通过详细介绍了几个常见的被忽视的网络协议，包括（列举几个协议），并指出了它们存在的安全风险。这些协议通常被默认启用，但在安全配置方面存在严重不足。作者还强调了监管和安全团队在排查和修复这些协议漏洞上的重要性。

https://pentera.io/resources/research/death-by-default-neglected-network-protocols-you-should-know/

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。