每周安全动态精选（12.11-12.15）

本周精选

1、欧盟议会推进《网络团结法案》

2、Apache Struts 文件上传漏洞(CVE-2023-50164)

3、2023年3.6亿人泄漏数据创历史新高，刺激数据加密需求

4、乌克兰最大的移动运营商 Kyivstar 因网络攻击而瘫痪

5、逆向、揭示、恢复: Windows Defender 隔离取证

政策法规动态

**1、**欧盟议会推进《网络团结法案》 

  Tag：网络安全

据Euractiv报道，欧洲议会工业、研究和能源委员会提出了一份关于《网络团结法》的报告草案。该草案包括修正案、预算讨论和消除网络安全风险的策略，例如威胁信息共享。议会希望在2024年开始欧盟机构之间的谈判。

https://iapp.org/news/a/eu-parliament-advances-cyber-solidarity-act

**2、**欧盟就《人工智能法案》达成政治协议

  Tag：人工智能

经过三天的谈判，欧盟机构就《人工智能法案》达成了政治协议。最后的三方谈判给达成协议带来了不确定性，因为多个成员国寻求将基金会模型排除在该法案之外。IAPP的Jedidiah Bracy和Alex LaCasse报告了协议的细节，并分享了几个利益相关者对欧盟在人工智能方面的下一步行动的反应。

https://iapp.org/news/a/eu-reaches-political-agreement-on-ai-act

3、犹他州的消费者隐私法于 12 月 31 日生效

  Tag：数据隐私

犹他州总检察长办公室发布了关于该州《个人信息保护法》于 12 月 31 日生效时企业和消费者应期待的最新指南。法律要求企业实施数据安全措施以保护用户的机密性，消费者有权要求收集他们的哪些数据，并选择退出广告中使用的个人数据收集。

https://iapp.org/news/a/utahs-new-consumer-privacy-law-to-take-effect-at-decembers-end

4、波兰DPA批准医疗保健行为准则

  Tag：数据保护

波兰数据保护机构 UrzÄ...d Ochrony Danych Osobowych，批准了波兰医院联合会的卫生保健部门行为守则。该准则允许公立医院确认数据处理是否符合欧盟《通用数据保护条例》。

https://iapp.org/news/a/polands-dpa-approves-health-care-code-of-conduct

技术标准规范

**1、**欧盟委员会最终确定 DMA 指定看门人的消费者报告模板

  Tag：数字安全

欧盟委员会发布了模板，供看门人报告消费者分析方法以及《数字市场法》下的独立审计。截至 9 月 5 日，指定的看门人除了在 2024 年 3 月 7 日之前提交非机密文件外，还必须提交他们的第一份消费者报告。

https://iapp.org/news/a/european-commission-finalizes-consumer-reporting-template-for-dma-designated-gatekeepers

2、ICO发布与就业相关的数据保护指南

  Tag：数据保护

英国信息专员办公室发布了两份指南草案，涉及企业应如何保存与招聘和选拔相关的员工信息和数据的记录。关于这两个事项的公众意见征询截止日期为 2024 年 3 月 5 日。

https://iapp.org/news/a/uks-ico-releases-guidance-for-employment-related-data-protection

3、NIST发布差分隐私指南

  Tag：隐私安全

美国国家标准与技术研究院（U.S. National Institute of Standards and Technology）发布了使用差分隐私作为隐私增强措施的指南。值得注意的是，该指南是NIST工作的一部分，旨在履行美国总统乔·拜登（Joe Biden）关于人工智能的行政命令中的指导任务，该命令要求评估“差异隐私保障保护的有效性，包括对人工智能的保护”。差分隐私涉及向数据集添加“数学算法”，以避免泄露数据主体的身份。

https://iapp.org/news/a/nist-issues-guide-on-differential-privacy

4、FPF 为沉浸式技术创建风险框架

  Tag：数据安全

隐私的未来论坛发布了“沉浸式技术中身体相关数据的风险框架”。该框架旨在帮助组织开发负责任的“沉浸式技术”，能够提取有关个人身体和行为的数据。虽然该框架主要面向开发具有“沉浸式元素”的技术的组织，但它也可以帮助公司处理与身体相关的数据以用于其他用途。

https://iapp.org/news/a/fpf-creates-risk-framework-for-immersive-technologies

重点漏洞情报

1、Apache Struts 文件上传漏洞

  Tag：Apache Struts、CVE-2023-50164

未经身份验证的远程攻击者可能会利用该漏洞执行路径遍历，成功利用该漏洞可以上传恶意文件到服务器的非预期位置，最终导致远程代码执行。

https://cwiki.apache.org/confluence/display/WW/S2-066

**2、**亿赛通电子文档安全管理系统远程代码执行漏洞

  Tag：亿赛通、RCE

亿赛通由于安全控制不严格，攻击者可以通过特定方式读取服务器上的某些重要文件。利用读取到的信息（如账号和密码），攻击者可以上传文件到服务器的特定位置。

http://www.esafenet.com

3、微软2023年12月安全更新的风险提示

  Tag：微软、2023年12月

2023年12月13日，天融信阿尔法实验室监测到微软官方发布了12月安全更新。此次更新官方发布了微软系列软件的安全补丁，共修复36个漏洞（不包含1个外部分配漏洞和本月早些时候发布的5个Edge漏洞），其中4个严重漏洞(Critical)、29个重要漏洞(Important)、1个中危漏洞(Moderate)、2个低危漏洞(Low)。权限提升漏洞11个、远程代码执行漏洞8个、信息泄露漏洞7个、拒绝服务漏洞5个、欺骗漏洞4个、XSS漏洞1个。

https://mp.weixin.qq.com/s/tzAb5QfqQWyNvaTrceikog

4、OpenCMS XXE漏洞（CVE-2023-42344）

  Tag：OpenCMS、XXE、CVE-2023-42344

由于服务端接收和解析了来自用户端的 XML 数据，且未对引用的外部实体进行适当处理，导致容易受到XML外部实体注入（XXE）攻击。未经身份验证的远程威胁者可向服务端发送带有XXE Payload的恶意 HTTP POST 请求，成功利用可能导致任意文件读取等危害。

https://blog.qualys.com/product-tech/2023/12/08/opencms-unauthenticated-xxe-vulnerability-cve-2023-42344

恶意代码情报

1、俄罗斯联邦安全局 (FSB) 恶意活动

  Tag：俄罗斯情报机构、FSB、网络攻击、关键国家基础设施

介绍了俄罗斯情报机构 FSB 的恶意网络活动。文章指出，FSB 是俄罗斯的国家安全机构，负责进行电子监视和网络渗透等活动。文章列举了 FSB 的两个中心：中心 16 和中心 18。中心 16 负责截获、解密和处理电子信息，以及对外国目标进行技术渗透。中心 18 则负责信息安全和反间谍工作。

https://www.gov.uk/government/publications/russias-fsb-malign-cyber-activity-factsheet/russias-fsb-malign-activity-factsheet

**2、**深度威胁情报报告：伊朗黑客针对美国水务机构的攻击

  Tag：伊朗黑客、美国水务机构、Unitronics PLCs

描述了一系列被怀疑是由伊朗政府支持的黑客组织对美国水务设施进行的网络攻击，主要利用以色列制造的 Unitronics 可编程逻辑控制器（PLCs）的漏洞。这些事件凸显了关键基础设施面临的重大网络安全风险，并强调了加强安全措施的必要性。攻击的目标、方法、威胁行为、漏洞和利用、应对策略以及动机分析都在报告中进行了深入分析。

https://krypt3ia.wordpress.com/2023/12/11/in-depth-threat-intelligence-report-iranian-hackers-targeting-u-s-water-authorities/

**3、**Blacksmith 行动: Lazarus 使用以 DLang 编写的新颖的基于 Telegram 的恶意软件来攻击全球组织

  Tag：Lazarus Group，Operation Blacksmith，DLang，NineRAT

北朝鲜 APT 组织 Lazarus Group 最新的攻击活动 "Operation Blacksmith"，该组织采用至少三种新型 DLang-based 恶意软件，其中两种是远程访问木马（RATs），其中一种使用 Telegram 机器人和频道作为 C2 通信的媒介。

https://blog.talosintelligence.com/lazarus\_new\_rats\_dlang\_and\_telegram/

4、Mallox 复活 | 利用 MS-SQL 的勒索软件攻击继续困扰企业

  Tag：Mallox, Ransomware, MS-SQL, 有效负载

介绍了 Mallox RaaS 的特点以及操作者继续入侵企业并要求赎金获取被窃数据的情况。文章着重介绍了 Mallox 的初始访问方法和最近的有效负载，以帮助防御者更好地了解和应对这种持续的威胁。

https://www.sentinelone.com/blog/mallox-resurrected-ransomware-attacks-exploiting-ms-sql-continue-to-burden-enterprises/

数据安全情报

**1、**2023年3.6亿人泄漏数据创历史新高，刺激数据加密需求

  Tag：数据泄露

根据苹果公司近日发布的数据泄露报告，2023年全球数据泄漏规模将创下历史新高，前九个月有3.6亿人的敏感数据遭泄漏，比2022年全年高出20%。苹果公司在报告中强调了使用端到端加密来保护敏感数据的重要性。

https://hackernews.cc/archives/48001

2、卡巴斯基实验室：全球三分之一的企业遭遇数据泄露

  Tag：数据泄露

在三分之一的企业面临网络安全威胁的世界中，数据泄露统计数据令人震惊。卡巴斯基实验室在 2022 年至 2023 年进行的一项研究 涵盖了工业、电信、金融和零售等各个行业的 700 家公司，发现其中 223 家公司在数据泄露的情况下在暗市中被提及。

https://hackernews.cc/archives/48063

3、迪拜最大的出租车应用泄露 22 万多用户数据

  Tag：信息泄露

由于数据库对公众开放，DTC应用程序泄露了大量敏感信息。Cybernews研究团队发现，超过197,000名应用用户和近23,000名司机的信息被曝光。包括客户数据、日志、司机的个人可识别信息（PII）、注册和银行详细信息，以及乘客订单详细信息。数据覆盖了2018年至2021年的时间段。

https://hackernews.cc/archives/47930

4、肯塔基州连锁医院通知 250 万人数据被盗

  Tag：黑客入侵、数据泄露

肯塔基州连锁医院遭到不明黑客的访问。Norton声称已经通知了联邦调查局，从安全备份中恢复了其系统，并未支付任何形式的赎金。缅因州总检察长办公室表示，这起勒索软件攻击影响了2,500,000人。数据包括姓名、联系信息、出生日期、社会安全号码、健康信息、保险信息和医疗识别号码以及驾驶执照号码或其他政府身份证号码、金融账户号码和数字签名。

https://hackernews.cc/archives/47840

热点安全事件

1、乌克兰最大的移动运营商 Kyivstar 因网络攻击而瘫痪

  Tag：网络攻击

2月12日早上，该公司宣布遭受了一次网络攻击，所有移动通信和互联网接入暂时中断。Kyivstar通知了执法机构和当地政府，包括乌克兰安全局（SSU）。乌克兰安全局宣布，根据乌克兰刑法的八项条款，已对这次网络攻击开展了刑事诉讼。

https://hackernews.cc/archives/47926

2、Americold 冷藏公司遭遇勒索软件攻击，近 13 万人受影响

  Tag：勒索软件、黑客

Americold 公司宣布，四月份对这家冷藏巨头的勒索软件攻击影响了近 13 万人。在上周五向缅因州监管机构提交的违规报告中，亚特兰大总部的  Americold  确认黑客于四月二十六日侵入了其系统，获取了现任和前任员工以及其家属的信息。

https://hackernews.cc/archives/48021

**3、**美国纽约纪念斯隆凯特琳癌症中心遭遇勒索攻击

  Tag：勒索攻击、暗网

纽约市著名的纪念斯隆·凯特琳癌症中心 (MSKCC) 已被 Meow 勒索软件团伙占领，该团伙是一个相当新的犯罪组织，其暗黑泄漏网站的历史可以追溯到9月份。

https://hackernews.cc/archives/47946

**4、**蜘蛛侠游戏创始公司遭遇勒索攻击

  Tag：勒索攻击

勒索软件集团 Rhysida 的目标是视频游戏开发商 Insomniac Games，该公司以《蜘蛛侠》、《小龙斯派罗》和《瑞奇与叮当》而闻名。该团伙正在拍卖被盗数据，起价为 200 万美元的数字货币。数据拍卖为期一周，距离拍卖还剩六天多，起拍价设定为50BTC（约200万美元）。众所周知，勒索软件攻击者会通过设定较短的期限来迫使公司支付赎金。

https://hackernews.cc/archives/47942

热点安全技术  

**1、**逆向、揭示、恢复: Windows Defender 隔离取证

  Tag：Windows Defender,文件夹隔离，取证，逆向工程，数字取证

通过逆向工程Windows Defender的mpengine.dll来恢复隔离文件夹中的元数据的过程。Windows Defender是Windows操作系统默认附带的防病毒软件，它在检测到恶意文件后将其隔离文件夹中的元数据可以提供有关检测到的文件的信息，例如时间、位置和签名，对数字取证和事件响应有很大的价值。

https://research.nccgroup.com/2023/12/14/reverse-reveal-recover-windows-defender-quarantine-forensics/

2、使用 PowerShell 和 SpectreInsight 进行凭据收集

  Tag：PowerShell、SpectreInsight、SAM、哈希值、Windows 股权保管库

使用 PowerShell 和 SpectreInsight 进行资源收集的方法。文章首先介绍了资源收集的背景知识，然后探索了 SpectreInsight 中可用的资源收集技术。具体技术包括从 SAM 中提取数据值、提取明文 Wifi 数据、从 Windows 仪表板中提取纯数据获取以及自动登录凭据。

https://practicalsecurityanalytics.com/credential-harvesting-with-powershell-and-specterinsight/

3、超越幻觉 | 深度应对造假和合成媒体的网络安全

  Tag：深度造假、合成媒体、网络安全、风险

探讨了深度造假和合成媒体对网络的影响以及应对措施。深度造假是利用人工智能技术创作的虚假媒体，它可以被用于传播虚假信息、珠宝舆论，甚至身份用于虚假和骚扰文章介绍了深度造假在政治、企业、个人、金融和法律领域可能造成的风险和影响，并提出了一些应对深度造假的措施，包括教育培训、加强验证流程、利用先进的网络安全等解决方案、定期更新软件和安全补丁、与外部专家合作以及保持个人注意力。

https://www.sentinelone.com/blog/beyond-illusion-addressing-the-cybersecurity-impact-of-deepfakes-and-synthetic-media/

4、Ghidra 基础 - 手动分析 Shellcode 并提取 C2

  Tag：Ghidra，Shellcode，Cobalt Strike，函数调用

使用 Ghidra 进行手动分析 Cobalt Strike Shellcode 的基础知识，包括识别函数调用和解析 API 硬盘。

https://embee-research.ghost.io/ghidra-basics-shellcode-analysis/

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。