新闻速览
•国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》
•英国NCSC设定2035年为后量子密码迁移最后期限,提出三阶段迁移计划
•警惕新型隐写术恶意软件,利用JPEG文件分发信息窃取程序
•Cisco两个9.8分智能许可工具漏洞被黑客积极利用
•采用高级初始访问与利用方法,Dragon RaaS成为网络犯罪“五大家族”主导力量
•黑客利用虚拟硬盘文件隐藏VenomRAT恶意软件
安全警报:Root设备面临3000倍入侵安全风险
•RansomHub附属组织部署新型自定义后门Betruger,整合关键功能
•IBM AIX曝满分高危漏洞,可导致系统完全沦陷
特别关注
国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》
近日,国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起施行。
《办法》明确了应用人脸识别技术处理人脸信息的处理规则。一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。二是应当履行告知义务。三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估,并对处理情况进行记录。
《办法》明确了人脸识别技术应用安全规范。一是实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。国家另有规定的,从其规定。二是应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。三是任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。四是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。五是人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
原文链接:
热点观察
英国NCSC设定2035年为后量子密码迁移最后期限,提出三阶段迁移计划
英国国家网络安全中心(NCSC)近日发布指南,敦促各组织在2035年前完全将系统、服务和产品迁移至后量子密码学(PQC)。这种加密技术旨在保护敏感信息免受未来量子计算机带来的风险。
NCSC提出了一个分三阶段的迁移计划:到2028年完成发现和评估,2031年执行高优先级升级并完善计划,2035年完成PQC全面迁移。这种分阶段方法旨在确保平稳、可控的迁移过程,减少仓促实施带来的安全隐患。
NCSC首席技术官Ollie Whitehouse表示:”我们的新指南为组织提供了明确路线图,帮助确保今天的机密信息在未来几年仍然安全。”该指南主要针对大型组织的技术决策者和风险负责人、关键国家基础设施系统运营商以及拥有定制IT的公司。对于中小型组织,PQC迁移将作为服务和技术提供商正常升级的一部分。
原文链接:
网络攻击
警惕新型隐写术恶意软件,利用JPEG文件分发信息窃取程序
安全研究人员近日发现了一种利用隐写术技术的复杂恶意软件攻击活动,该活动通过看似无害的JPEG图像文件针对用户。攻击者在图像文件中嵌入隐藏的恶意代码,一旦执行,将启动一系列复杂操作,旨在窃取受害者系统中的敏感信息。
攻击始于诱骗受害者下载看似标准的JPEG文件,其中包含隐藏的恶意脚本,常规安全措施无法检测到。一旦访问受感染文件,嵌入的代码就会在后台静默激活。执行后,恶意软件会定位浏览器、电子邮件客户端和FTP应用程序中的凭证存储库。提取的数据随后被发送到命令与控制服务器,同时下载额外的有效载荷,包括已知信息窃取程序家族如Vidar、Raccoon和Redline的定制版本。
恶意软件作者使用了高级混淆技术,包括PowerShell脚本中的base64编码以逃避检测。从JPEG文件提取的初始脚本使用Windows Script Host执行命令,几乎不留痕迹。已识别的恶意代码包括从多个浏览器收集凭证的指令,特定功能针对cookie文件、保存的密码和表单数据。
专家建议用户谨慎下载来自不受信任来源的图像文件,并确保安全解决方案更新了最新的定义,包括特定检测签名ACM.Ps-Base64!g1、ISB.Downloader!gen80和Heur.AdvML.B。
原文链接:
从Ascom到捷豹路虎,HellCat黑客利用过期凭证大规模攻击Jira服务器
瑞士全球解决方案提供商Ascom近日证实其IT基础设施遭受网络攻击,黑客组织HellCat利用被盗凭证针对全球Jira服务器发起一系列入侵行动。
Ascom表示,黑客于周日入侵了其技术工单系统,目前正在调查此事件。HellCat黑客组织声称窃取了约44GB数据,可能影响公司所有部门。据HellCat成员Rey透露,他们从Ascom窃取了多个产品的源代码、各种项目详情、发票、机密文档以及工单系统中的问题记录。Ascom表示,此次入侵仅影响其技术工单系统,对公司业务运营没有影响,客户和合作伙伴无需采取任何预防措施。
除Ascom外,HellCat近期还声称入侵了捷豹路虎(JLR)和汽车行业营销公司Affinitiv的系统。在JLR案例中,黑客通过使用LG Electronics员工的第三方凭证访问JLR的Jira服务器。对于Affinitiv,黑客声称窃取了包含47万多个”唯一电子邮件”和78万多条记录的数据库。此前,HellCat已成功入侵施耐德电气、Telefónica和Orange集团,所有这些案例都是通过Jira服务器实施的。
网络安全专家警告,Jira在企业工作流程中的核心地位和其存储的大量数据,已成为攻击者的主要目标。由于信息窃取程序收集的凭证容易找到,且一些凭证多年未更改,此类攻击可能会变得更加频繁。
原文链接:
Cisco两个9.8分智能许可工具漏洞被黑客积极利用
安全研究人员近日发现,黑客正在积极利用Cisco智能许可工具(Smart Licensing Utility)中两个已修复约6个月的严重漏洞。这两个漏洞(CVE-2024-20439和CVE-2024-20440)的CVSS评分均为9.8分,可能允许未经授权的远程攻击者访问敏感的许可数据和管理功能。
CVE-2024-20439实质上是一个”后门”,允许未经身份验证的远程攻击者使用硬编码凭据访问软件。受影响的Cisco工具版本(2.0.0至2.2.0)包含一个静态管理员密码:Library4C$LU。CVE-2024-20440则涉及调试日志文件中的”过度详细信息”,可能泄露API凭据等敏感信息。
攻击者正在发送特制的HTTP请求来利用这些漏洞。一种已识别的攻击模式显示,威胁行为者试图使用硬编码凭据访问/cslu/v1/scheduler/jobs的API端点。同时,这些攻击者还在尝试利用其他设备的漏洞,如某些DVR系统的CVE-2024-0305,表明这是一场针对互联网暴露设备的广泛扫描活动。
Cisco表示,除非用户主动启动并运行智能许可工具,否则这些漏洞无法被利用。但安全专家仍建议用户立即更新到不受影响的2.3.0版本,并检查日志中是否存在针对/cslu/v1端点的未授权访问尝试。
原文链接:
采用高级初始访问与利用方法,Dragon RaaS成为网络犯罪“五大家族”主导力量
复杂勒索软件即服务(RaaS)组织Dragon已成为臭名昭著的网络犯罪“五大家族”中的主导力量。据SentinelOne研究人员报告,过去三个月内,Dragon RaaS组织已与针对关键基础设施、金融机构和医疗组织的一系列高调攻击有关,平均勒索金额达每起事件340万美元。
Dragon操作者利用广泛使用的VPN设备中一个此前未公开的漏洞建立对企业网络的持久访问。攻击链始于一个精心构造的HTTP请求,该请求在认证模块中触发内存损坏,有效绕过安全控制;使用自定义命令与控制(C2)框架,利用DNS隧道逃避传统网络安全监控。
Dragon结合新型混淆方法使用”借用系统工具”技术,在启动加密例程前平均在被入侵环境中不被发现地潜伏26天。在此期间,操作者窃取敏感数据用于双重勒索,同时进行侦察以识别关键系统。初始访问载体包括包含嵌入宏的恶意Excel文档的钓鱼邮件,通过PowerShell命令下载第一阶段加载器。一旦建立初始访问,Dragon部署PowerShell加载器,检索直接注入内存的第二阶段DLL以避免检测。加载器包含复杂的反分析技术,包括环境检查和执行步骤之间的休眠。
勒索软件组件本身使用混合加密方案,结合AES-256文件加密和RSA-4096密钥保护。Dragon操作者还引入了一项新功能,在加密前专门针对数据库服务器破坏事务日志,使得即使有备份也难以恢复。
原文链接:
https://cybersecuritynews.com/dragon-raas-leading-five-families-crimeware/
黑客利用虚拟硬盘文件隐藏VenomRAT恶意软件
Forcepoint X-Labs网络安全研究人员近日发现了一种新型恶意软件攻击活动,黑客通过虚拟硬盘镜像文件(.vhd)传播VenomRAT远程访问木马,成功绕过了常规安全软件的检测。
攻击从一封看似无害的采购订单钓鱼邮件开始。当用户打开附带的.vhd文件时,计算机会将其视为新驱动器,但其中包含的是恶意批处理脚本。由于.vhd文件通常用于磁盘映像和虚拟化,安全软件往往不会将其标记为威胁。一旦激活,恶意软件会执行一系列危险操作:首先自我复制确保副本随时可用;然后启动PowerShell并通过在启动文件夹中放置恶意脚本建立持久性,使其在用户每次登录时自动运行;同时修改Windows注册表设置,增加检测和删除难度。
该恶意软件还通过连接Pastebin获取远程命令与控制(C2)服务器的指令,实现隐蔽通信。一旦建立连接,恶意软件开始记录按键并在配置文件中存储敏感信息。研究人员指出,这种VenomRAT变体使用HVNC(隐藏虚拟网络计算),允许攻击者在不被发现的情况下控制受感染系统。
原文链接:
已Root设备面临3000倍入侵安全风险
移动安全公司Zimperium最新报告显示,已RootAndroid手机和越狱的iOS设备面临日益严重的安全威胁,而先进的黑客工具包使得网络安全研究人员几乎无法检测到这些威胁。
Root(Android)和越狱(iOS)操作赋予用户对设备的完全控制权,允许超出制造商限制的定制,但同时也移除了关键安全保护。这类设备无法执行Google的Play Integrity或Apple的安全检查等安全协议,却能安装来自未验证来源的应用、禁用安全功能并修改系统文件,成为网络犯罪分子的首选目标。
根据Zimperium的研究,Root过的Android设备遭受恶意软件攻击的可能性高出3.5倍、系统被入侵的可能性高出250倍、文件系统被入侵的可能性高出3000倍。一部被入侵的手机可作为进入企业网络的入口点,使攻击者能够窃取敏感数据、发起钓鱼攻击并绕过OTP验证。
尽管安全行业努力检测和阻止Root设备,但黑客技术也在不断进步,有些甚至设计为隐藏自身存在以避免扫描。例如,Magisk使用”无系统”Root方法避免修改核心系统文件;APatch则采用即时修改内核内存的方法,不留下永久痕迹。
原文链接:
RansomHub附属组织部署新型自定义后门Betruger,整合关键功能
Symantec威胁猎手团队3月20日发现,一个RansomHub附属组织正在部署新型自定义后门程序Betruger。这款复杂恶意软件代表了勒索软件攻击方法的一次重要演进,整合了通常分散在多个工具中的各种功能,可能简化攻击流程并减少攻击者的数字足迹。
作为RaaS提供商,RansomHub使其附属组织能够利用Betruger等复杂工具,可能降低了实施复杂勒索软件攻击的门槛。Betruger集成了一系列关键功能,对全面系统渗透和数据窃取至关重要。这些功能包括捕获屏幕截图、窃取凭证、记录按键、执行网络扫描以及在被入侵系统中提升权限。Betruger的出现展示了网络犯罪分子与安全专家之间持续的军备竞赛。通过开发自定义工具,勒索软件组织试图领先于检测机制和安全协议一步。
Symantec已迅速推出一系列保护措施,包括基于适应性的保护(如ACM.Ps-RgPst!g1和ACM.Untrst-RunSys!g1)、基于行为的检测(如SONAR.TCP!gen1)以及针对Backdoor.Betruger及相关恶意软件变种的基于文件的识别方法。
原文链接:
安全漏洞
IBM AIX曝满分高危漏洞,可导致系统完全沦陷
IBM AIX操作系统近日被发现存在两个高危安全漏洞(CVE-2024-56346和CVE-2024-56347),允许未授权远程攻击者执行任意命令,可能导致整个系统被完全控制。AIX通常用于金融、银行、医疗保健和电信等行业的关键应用,成功利用这些漏洞可能会产生广泛的后果,包括数据盗窃、服务中断或网络内的横向移动。
这两个漏洞均与AIX网络安装管理(NIM)服务中的进程控制不当有关。CVE-2024-56346影响IBM AIX中的nimesis NIM主服务,CVSS基础评分高达10.0,表明其严重性达到临界级别。该漏洞无需任何身份验证或用户交互,即可允许远程攻击者执行任意命令。CVE-2024-56347影响AIX nimsh服务的SSL/TLS保护机制,CVSS基础评分为9.6。该漏洞同样允许远程攻击者执行任意命令,但需要一定的用户交互。
受影响的系统包括IBM AIX 7.2和7.3版本,包括运行在虚拟I/O服务器(VIOS)环境中的系统。具体受影响的文件集包括bos.sysmgt.nim.client、bos.sysmgt.nim.master和bos.sysmgt.sysbr。
IBM已针对这些漏洞发布了安全补丁,并为受影响的系统分配了特定的APAR(授权程序分析报告)来跟踪修复情况。安全补丁可从IBM的安全修复门户下载。IBM强烈建议所有受影响的组织立即应用安全更新,以降低潜在攻击的风险。
原文链接:
