巴黎奥运会比赛场馆遭勒索软件攻击；Windows 11自带的安全控制机制或存在缺陷，可被多种方式绕过 | 牛览

点击蓝字·关注我们/aqniu

新闻速览

•《网络安全标准实践指南—互联网平台停服数据处理安全要求》公开征求意见

•江苏组建省数据集团，聚焦6大核心功能业务开展

•巴黎奥运会比赛场馆遭勒索软件攻击

•移动设备管理平台遭受网络攻击，1.3万台设备数据被非法删除

•新型远程访问木马工具重点针对专业IT人员发起攻击

•Proton勒索软件最新变种中设置了独特的终止开关

•Windows 11自带的安全控制机制存在缺陷，可被多种方式绕过

•AWS神经网络模型每天可拦截超18万个新恶意域名

•三星推出全新漏洞赏金计划，最高奖金可达100万美金

•飞塔宣布收购创新数据防泄漏厂商Next DLP

特别关注

《网络安全标准实践指南—互联网平台停服数据处理安全要求》公开征求意见

为规范互联网平台停服数据处理活动，保障数据安全，促进数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—互联网平台停服数据处理安全要求（征求意见稿）》。

根据《全国网络安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》要求，秘书处现组织对《网络安全标准实践指南—互联网平台停服数据处理安全要求（征求意见稿）》面向社会公开征求意见。如有意见或建议，请于2024年8月22日前反馈至秘书处。

原文链接：

https://mp.weixin.qq.com/s/0T3jGPnC5EB0DwwGK6l8Fg

江苏组建省数据集团，聚焦6大核心功能业务开展

江苏省政府近日印发《关于成立江苏省数据集团有限公司的通知》，决定成立江苏省数据集团有限公司，旨在推动数据要素市场化配置改革，发挥数据的基础资源作用和创新引擎作用，做强做优做大数据产业。

据悉，根据江苏省委常委会于4月9日审议通过的省数据集团组建方案，江苏省数据集团的核心功能聚焦在六个方面，即：数据要素整合平台、重要行业数据运营可靠第三方、省级数据交易场所建设运营主体、基于数据赋能高水平智库、省级数字产业化创新高地、省属国有资本布局数字产业投资主体。江苏省数据集团将以公共数据资源为基础，归集、治理、应用相关数据，通过市场化方式，在金融、交通、能源、制造、商贸、文化、医疗等领域充分发挥数据要素价值，促进数字技术与实体经济深度融合。积极承担数字政府、智慧城市、数字基础设施建设和运营任务，提供网络信息安全产品与服务。

根据通知，江苏省数据集团在整合江苏省属企业相关资产的基础上组建，注册资本30亿元。

相关链接：

https://mp.weixin.qq.com/s/itAymoWFaqXEFkkfyJi5yA

网络攻击

巴黎奥运会比赛场馆遭勒索软件攻击

日前，巴黎检察官办公室表示，法国国家博物馆网络系统遭遇了一次“勒索软件攻击”，其中也包括了本届奥运会的举办场地“巴黎大皇宫”博物馆。该馆主要用于举办巴黎2024年夏季奥运会的击剑和跆拳道比赛。

据介绍，攻击一度导致巴黎大皇宫的服务器系统访问被中断，但目前尚未发现2024年奥运会赛事安排受到影响。

目前，法国网络犯罪警察部门正积极调查情况，旨在减小影响，并恢复加密数据。法国政府网站公布的数据显示，自7月22日以来，该国共发现并挫败68起针对2024年巴黎奥运会组织工作的网络攻击。

原文链接：

https://www.cybersecurity-insiders.com/france-olympics-venue-hit-by-a-ransomware-attack/

移动设备管理平台遭受网络攻击，1.3万台设备数据被非法删除

日前，英国移动设备管理公司Mobile Guardian遭受了大规模网络攻击事件，导致包括北美、欧洲和新加坡在内的学校和企业遭受严重影响。攻击者未经授权访问了Mobile Guardian平台上注册的iOS和ChromeOS设备，导致数据丢失，并远程擦除了数千名用户的iOS和ChromeOS设备上的数据。

攻击对新加坡的教育部门造成了严重影响。来自26所中学的约1.3名学生的iPad和Chromebook设备被攻击者远程擦除，无法使用。目前新加坡教育部已将Mobile Guardian的设备管理应用程序从所有iPad和Chromebook设备中移除，同时努力恢复这些设备的正常使用。

目前，Mobile Guardian已经暂停其服务以限制损失，并已在调查此次入侵。此前，Mobile Guardian曾因配置错误导致一些学生出现连接问题。此次事件可能导致企业和学校更倾向于选择更可靠和成熟的公司的解决方案，以保证业务连续性。

原文链接：

https://www.csoonline.com/article/3481871/over-13000-phones-wiped-clean-as-cyberattack-cripples-mobile-guardian.html

新型远程访问木马工具重点针对专业IT人员发起攻击

日前，研究人员发现，新兴的勒索软件组织Hunters International使用一种的新型远程访问木马（RAT）新工具，对IT专业人员发起攻击。

Quorum Cyber的研究人员在最近的一篇博文中透露，Hunters International自去年10月以来一直活跃，并部署了Hive勒索软件。该组织使用这种名为SharpRhino的新型恶意软件，首先获取对目标基础设施的访问权限，然后建立持久性，以便发起复杂的勒索软件攻击以获取经济利益。

SharpRhino通过仿冒域名，伪装成开源网络管理工具Angry IP Scanner的系统。由于Angry IP Scanner是开源的，攻击者可以滥用和误用有效的代码签名证书，让人误以为网络管理员正在下载具有有效证书的软件，但实际上正在安装恶意软件。一旦执行，SharpRhino就会潜伏下来，让攻击者可以远程访问设备，然后使用Hive勒索软件发动典型的勒索软件攻击。

与许多其他勒索软件组织一样，Hunters International在加密文件之前会从受害组织中窃取数据，将文件扩展名更改为.locked，并留下一条README消息，引导接收者前往Tor网络上的聊天门户获取付款说明。

原文链接：

www.darkreading.com/cyberattacks-data-breaches/hunters-international-disguises-novel-sharprhino-rat-as-legitimate-network-tool

Proton勒索软件最新变种中设置了独特的终止开关

日前，Acronis威胁研究部门发布了Proton勒索软件系列的一个最新变种Zola。Proton家族自2023年3月首次出现以来，经历了多次演变。这个新的变种特性包括特权升级措施、磁盘覆盖功能和基于键盘语言的终止开关。

研究人员在最近的一次事件响应中遇到了这个新的变种。Proton家族使用勒索软件团伙中常见的黑客工具，比如Mimikatz、ProcessHacker和各种禁用Windows Defender的工具。该恶意软件通常将这些工具投放在目标机器上的Downloads、Music或3D Objects目录中。Zola在执行时会创建一个互斥体，避免并发执行；这个硬编码的互斥体在变种之间保持不变。

Zola和其他最新的变种的一个独特特征是终止开关，如果识别到波斯语键盘布局它就会停止进程。如果终止开关没有触发，恶意软件将继续检查管理员特权，并在检查失败时反复提示用户以管理员身份运行可执行文件。Zola采用ChaCha20加密方案。在加密文件之前，Zola会生成唯一的受害者ID和密钥信息，清空回收站，修改引导配置和删除影像副本以防止恢复。为了加大数字取证和数据恢复的难度的一项功能，Zola在C:\下生成一个临时文件，通过连续写入未初始化的数据来填满磁盘。

原文链接：

https://www.scmagazine.com/news/proton-ransomware-continues-evolution-with-latest-zola-variant

漏洞预警

Windows 11自带的安全控制机制存在缺陷，可被多种方式绕过

日前，研究人员警告，内置在微软Windows 11的安全应用Windows Smart App Control（智能应用程序控制）本身存在根本性缺陷。

Smart App Control是从Windows 8中Defender SmartScreen演变而来。理论上该系统可以通过查询微软数据库（含有已知安全和危险的可执行文件）来检测用户何时企图运行恶意应用程序，但Elastic Security Labs的研究人员认为，它很有可能被攻击者采用方式利用，绕过安全机制。

• 恶意应用程序签名：攻击者可以使用合法证书对恶意应用程序进行签名，以逃避Smart App Control的检测。
• 声誉劫持：攻击者可以利用受信任的应用程序作为攻击向量，强制启动恶意代码而不向用户发出警告。这种声誉劫持的方法可以绕过Smart App Control的安全警告。
• 声誉篡改：Smart App Control可能使用模糊哈希或基于特征的相似性比较来评估文件的声誉。攻击者可以通过修改文件的某些代码段，而不改变其声誉，从而绕过检测。
• LNK Stomping：通过制作具有非标准目标路径或内部结构的LNK文件，当用户单击该文件时，explorer.exe会对其进行修改，从而在执行安全检查之前删除MotW（Mark of the Web）标签。

原文链接：

https://betanews.com/2024/08/06/security-firm-warns-that-design-weaknesses-in-windows-smart-app-control-mean-it-can-be-easily-bypassed/

产业动态

AWS神经网络模型每天可拦截超18万个新恶意域名

根据安全外媒SecurityWeek报道，日前AWS利用其Mithra神经网络图模型，平均每天拦截18.2万个新的恶意域名。

据AWS首席信息安全官CJ Moses介绍，Mithra拥有35亿个节点和480亿个边缘，不仅可以对域名进行评分，还可以在恶意域名出现在第三方威胁情报源前几个月进行预测。Mithra的算法提供声誉评分功能，为在AWS中查询的每个域名进行评分，以便检测新出现的威胁减少对第三方的依赖，更快速、准确地识别和应对新的威胁。

此外，AWS还推出了MadPot内部威胁情报诱饵系统，该系统有先进的传感器和自动响应功能，能够成功阻止来自Sandworm、Volt Typhoon等高级持续性威胁组织的威胁。

原文链接：

https://www.scmagazine.com/brief/malicious-domains-blocked-by-aws-neural-network-system

三星推出全新漏洞赏金计划，最高奖金可达100万美金

近日，为了其提高移动设备的安全性，三星推出了一个全新的漏洞悬赏计划，最高赏金额达到100万美元，奖励能够证明其手机产品中存在严重漏洞的安全研究人员，尤其是在高度特权目标上的执行任意代码相关的漏洞。

这项计划是三星重要场景漏洞计划（ISVP）的一部分，重点关注可能对其产品产生重大影响的漏洞。该计划专门针对以下关键场景：在高权限目标上任意执行代码、设备解锁和全面提取用户数据、任意安装应用程序以及绕过设备保护解决方案。其中，最高赏金用于找出针对三星存储敏感数据的安全环境Knox Vault的远程任意代码执行漏洞。

三星鼓励安全研究人员发现并报告关键漏洞，旨在预防潜在的攻击并保护用户数据。大幅增加奖励金额，三星不仅吸引了更多安全研究人员来发现其产品中的漏洞，还表明了其在日益复杂的数字世界中，致力于维护移动设备高标准安全性的承诺。

原文链接：

https://cybersecuritynews.com/samsung-announces-1-million-rewards/

飞塔宣布收购创新数据防泄漏厂商Next DLP

飞塔于8月6日宣布收购数据安全初创公司Next DLP，旨在夯实其SASE平台，并提升在独立企业数据丢失预防（DLP）市场的地位，更好地帮助客户管理内部风险。

Next DLP被外媒CRN评为2023年十大最热门的网络安全初创公司之一。Next DLP提供一款内部风险发现平台。该平台还具有检测数据泄露和数据丢失的功能。去年秋天，Next DLP宣布扩大其Reveal平台，支持ChatGPT、Hugging Face、Bard和Claude等生成式人工智能工具。

一周前，飞塔刚刚宣布完成对前安全领域独角兽Lacework的收购，并强调将Lacework的云安全功能整合到统一SASE产品中。

原文链接：

https://www.crn.com/news/security/2024/fortinet-acquires-data-security-startup-next-dlp

合作电话：18311333376

合作微信：aqniu001

投稿邮箱：editor@aqniu.com