新闻速览

•《公共安全视频图像信息系统管理条例》公布，4月1日起施行

•美国有史以来最大、最严重的数据泄露事件？马斯克DOGE访问权引发安全担忧

•为补充网络战力放宽新兵训练，英国加快网络军人招募

•黑客对入侵SEC的X账户致比特币价值飙升认罪

•8Base勒索软件集团遭警方重挫，4名成员被逮捕

•黑客组织Handala声称窃取以色列警方2.1TB敏感数据

•黑客利用谷歌标签管理器从电商网站窃取信用卡信息

•Hugging Face Hub上发现两个含恶意代码的机器学习模型

•超1.2万台KerioControl防火墙暴露于远程代码执行漏洞威胁之下

特别关注

《公共安全视频图像信息系统管理条例》公布，4月1日起施行

国务院总理李强日前签署国务院令，公布《公共安全视频图像信息系统管理条例》（以下简称《条例》），自2025年4月1日起施行。

《条例》旨在规范公共安全视频系统管理，维护公共安全，保护个人隐私和个人信息权益，共34条，主要规定了以下内容：严格规范建设，严禁非法乱建；明确县级以上地方人民政府加强统筹规划，避免重复建设，政府有关部门、经营管理单位按照规划、标准建设公共安全视频系统；除负有经营管理责任、安全防范义务的部门、单位或者个人为维护公共安全所必需建设外，其他任何单位或者个人不得在公共场所安装图像采集设备设施；禁止在民宿、宿舍、更衣室等能够拍摄、窥视、窃听他人隐私的区域、部位安装图像采集设备设施；明确在军事禁区、军事管理区以及国家机关等涉密单位周边安装图像采集设备设施的，应当事先征得相关涉密单位同意。

原文链接：

https://www.thepaper.cn/newsDetail_forward_30121654

热点观察

美国有史以来最大、最严重的数据泄露事件？马斯克DOGE访问权引发安全担忧

由马斯克领导的美国政府效率部门(DOGE)迅速渗透到联邦机构,并采取了严厉措施削减开支。这包括试图解雇数千名联邦工作人员、关闭美国国际开发署,以及访问财政部庞大的支付系统。DOGE的行为引发了一系列担忧。

美国五位前财政部长就马斯克的DOGE访问敏感财政部支付系统,并可能停止国会授权的支付所带来的风险发出警告。他们还表示,美国人的个人信息可能会因不安全的敏感数据处理而受到威胁。华盛顿电子隐私信息中心高级顾问约翰·戴维森认为,DOGE的访问权”是美国有史以来最大、最严重的数据泄露事件”。

美国财政部的数据库包括个人和企业纳税、医疗记录、社会保障支付和号码,以及政府支付等个人数据,还包括出生日期、家庭住址和电话号码、军事记录和残疾信息等长列表。通常,处理这些数据的政府雇员必须接受培训,并遵守无数规则,以确保数据不会被滥用、泄露或遭到入侵。且数据通常被分散存储在不同系统中,以确保没有人能轻易访问所有信息。这被认为是一个”不完美但相当健全”的系统,否则美国人可能会面临更大的身份盗窃、骚扰或其他犯罪风险。

原文链接：

https://apnews.com/article/treasury-trump-doge-summers-yellen-ab340462d45dbcd601c2736926e49014

为补充网络战力放宽新兵训练，英国加快网络军人招募

为应对英国皇家武装部队内的网络技能短缺,包括负责进攻性网络行动的国家网络部队,英国政府正在放弃对专门的网络军事招募人员进行传统的体能和武器训练。

新的招募渠道将在今年年底前加快50名新兵加入皇家海军或皇家空军的现有空缺职位。英国陆军将于2026年加入此次招募行动。新兵只需完成为期4周的基础训练,比皇家海军和皇家空军通常要求的10周大幅缩短，之后将在牛津郡Shrivenham的国防学院接受为期3个月的军事网络技能培训。

英国国防部表示，到2025年底,新兵将被派往实际岗位，要么在科瑟姆的数字总部确保国防网络和服务的安全；要么作为国家网络部队的一员，进行网络行动以应对那些意图危害英国的势力。

原文链接：

https://therecord.media/british-military-drops-basic-training-to-fast-track-cyber-recruits

黑客对入侵SEC的X账户致比特币价值飙升认罪

2月10日，25岁男子Eric Council在美国哥伦比亚特区联邦地区法院就一项阴谋实施严重身份盗窃罪名认罪。Council于2024年10月17日因参与黑客入侵美国证券交易委员会(SEC)的X账户并冒充时任SEC主席发布虚假信息而被捕。

根据法庭文件,从2024年1月起, Council与他人密谋实施SIM卡互换攻击以换取金钱。2024年1月9日, Council等人对SEC官方X账户@SECgov的手机账户实施了SIM卡互换,目的是获取该政府账户的未经授权访问权限并发布虚假信息。Council通过伪造身份证件获取了与受害者手机号码相关的SIM卡,并购买了一部新iPhone参与犯罪。一名共犯利用重置码访问了@SECgov X账户,并冒充时任SEC主席发布了一则虚假消息,宣布SEC批准比特币交易所交易基金(ETF)。比特币价格随后暴涨逾1000美元,但SEC很快重新控制账户并确认该消息为未经授权的安全漏洞所致,比特币价格随后暴跌逾2000美元。

Council还承认2024年6月曾试图在阿拉巴马州实施其他SIM卡互换。他面临最高5年监禁、25万美元罚款和3年缓刑的判决。

原文链接：

https://www.darkreading.com/cyber-risk/guilty-plea-in-hacking-of-the-sec-s-x-account-that-caused-bitcoin-value-spike

8Base勒索软件集团遭警方重挫，4名成员被逮捕

近日，在一场国际安全行动中,执法部门扣押了与8Base勒索软件集团相关的4个暗网网站,并逮捕了4名嫌疑人。

据泰国媒体报道,在普吉岛进行的这次逮捕行动,主要针对被认为属于Phobos勒索软件团伙的成员。分析认为，8Base使用Phobos勒索软件的修改版本,嫌疑人被控对全球超过1000个受害者实施网络攻击。8Base勒索软件集团自2022年开始活动,采用多重勒索模式,在加密数据后还威胁公布被盗数据,除非受害者支付赎金。到2023年年中,该集团的活动急剧增加,攻击目标遍及全球各个行业。分析人士认为他们还推出了一个TOR隐藏服务博客,用于发布被盗数据。

参与此次行动的机构包括美国国防部网络犯罪中心、联邦调查局、欧洲刑警组织、日本国家警察厅、英国国家犯罪局、德国巴伐利亚州刑事警察局、联邦警察局以及泰国网络犯罪调查局。

原文链接：

https://hackread.com/police-dismantle-8base-ransomware-seize-dark-web-sites/

网络攻击

黑客组织Handala声称窃取以色列警方2.1TB敏感数据

近日，黑客组织Handala声称他们成功入侵以色列警方系统,窃取了2.1TB敏感数据,并公开泄露了其中35万份文件。据悉,被盗数据涵盖了大量敏感信息,包括电子邮件地址、枪支许可证、警员照片和个人联系方式、机密文件,以及嫌疑人和罪犯的个人信息,其中还包括性犯罪者的工作许可细节。

Handala还声称,他们获取了警员的个人档案,包括心理评估和其他私人数据,并入侵了以色列国家安全部的服务器。但以色列警方否认其系统遭到直接入侵,表示如果确有数据泄露,可能涉及与警方共享数据的第三方实体。目前正在调查此事件的真实范围和任何潜在漏洞。

此次声称的数据泄露事件与Handala针对以色列实体的一系列破坏性网络行动存在关联,尤其是自以色列-哈马斯冲突升级以来。微软报告显示,以色列已成为伊朗网络行动的重点目标,遭受攻击数量大幅增加。Handala的活动正体现了这一趋势,他们针对以色列机构的一系列数据泄露事件不断升级。

原文链接：

https://hackread.com/handala-hackers-israeli-police-breach-data-leak/

黑客利用谷歌标签管理器从电商网站窃取信用卡信息

研究人员近日发现，黑客一直在利用谷歌标签管理器(GTM)从电商网站窃取敏感的信用卡信息,尤其是那些建立在Magento平台上的网站。这种精心策划的攻击显示，网络犯罪分子在利用合法工具实施恶意目的方面不断发展。

谷歌标签管理器是谷歌提供的一款免费工具,允许网站所有者无需修改网站代码即可管理和部署营销标签，支持营销人员更容易跟踪网站活动并优化营销活动。这种恶意软件攻击涉及在GTM标签中嵌入恶意代码,这些代码一开始看起来是合法的，实际上用来收集用户在结账过程中输入的敏感数据,并将其发送到黑客控制的远程服务器。恶意代码通常看起来像标准的GTM和谷歌分析跟踪脚本,但包含了编码的JavaScript负载,充当信用卡木马。除了GTM恶意软件外,还发现了一个后门文件。黑客可以利用这个后门进一步感染网站,获得持久访问权限。

为防范此类攻击,建议网站管理员定期监控GTM标签,确保所有标签均为合法且由授权人员放置；彻底审计以检查可疑脚本和后门,使用网站防火墙和恶意软件检测系统。

原文链接：

Hackers Exploiting Google Tag Manager To Steal Credit Card From eCommerce Sites

Hugging Face Hub上发现两个含恶意代码的机器学习模型

近日，研究人员在备受欢迎的在线数据集和预训练模型仓库Hugging Face Hub上发现了两个含有恶意代码的机器学习模型。一旦开发人员下载并在本地机器上执行其中一个模型,恶意payload会检查所在系统是Windows、Linux还是使用Mach内核(如macOS)。根据检查结果,它会使用不同的编程逻辑创建反向shell,连接到一个硬编码的IP地址。

Hugging Face Hub是一个在线平台，软件开发者和研究人员可在此找到、共享和协作机器学习模型,这些模型提供可嵌入软件应用的功能函数。机器学习模型的数学表示可以用各种数据序列化格式存储,其中之一叫做pickle。Pickle是一个流行的Python模块。被发现的两个恶意模型使用PyTorch格式存储，该格式使用pickle模块进行序列化和反序列化,实际上是一个带有PyTorch包装器的压缩pickle文件。该模型利用被称为”NullifAI”的防御规避技术,有效利用了pickle文件中序列化代码的执行来允许恶意代码执行。

目前，Hugging Face安全团队已移除了这些恶意模型,并改进了Picklescan对损坏pickle文件的检测能力。研究人员指出,虽然这些模型没有使用常见的规避技术,但它们更像是测试新攻击方法的概念验证模型。

原文链接：

Malicious ML models found on Hugging Face Hub

安全漏洞

超1.2万台KerioControl防火墙暴露于远程代码执行漏洞威胁之下

近期,安全研究人员发现,超过1.2万个GFI KerioControl防火墙实例暴露于一个严重的远程代码执行漏洞(CVE-2024-52875)的威胁之下。

KerioControl是一款面向中小型企业的网络安全套件,提供VPN、带宽管理、报告和监控、流量过滤、防病毒保护以及入侵防御等功能。CVE-2024-52875于2024年12月中旬被发现,可能导致危险的一键远程代码执行攻击。GFI软件于2024年12月19日发布了补丁版本的安全更新以修复此问题。尽管已经警告存在主动利用行为,但威胁监控服务机构Shadowserver基金会最新报告称,目前仍有12,229台KerioControl防火墙暴露于利用CVE-2024-52875漏洞的攻击之下。

由于该漏洞的概念验证代码已公开,攻击门槛较低,即使是低技术水平的黑客也可能加入恶意活动。该漏洞源于对用户输入的不当过滤,具体来说，应用程序没有正确过滤/删除换行符(LF)字符。这可被利用执行HTTP响应拆分攻击,进而可能导致反射型跨站脚本(XSS)甚至远程代码执行(RCE)攻击。安全专家强烈建议未应用安全更新的用户立即安装于2025年1月31日发布的KerioControl 9.4.5补丁2版本。

原文链接：

https://www.bleepingcomputer.com/news/security/over-12-000-keriocontrol-firewalls-exposed-to-exploited-rce-flaw/