新闻速览
•《工业和信息化领域人工智能安全治理标准体系建设指南(2025)(征求意见稿)》公开征求意见
•英国托管服务供应商Advanced因客户数据泄露被罚307万英镑
•美国电信巨头WOW!被曝遭入侵,40万客户数据被泄露
•微软弃用域名被劫持:SharePoint站点意外展示赌博网站内容
•StreamElements确认第三方服务提供商数据泄露,部分数据已被公开
•黑客入侵10个npm包,针对开发者发起攻击
•警惕黑客攻击新手法:滥用COM对象实现无文件恶意软件横向移动
•电网安全警报:太阳能发电系统新发现46个严重安全漏洞
•Unisys推出加密态势评估服务应对量子威胁
特别关注
《工业和信息化领域人工智能安全治理标准体系建设指南(2025)(征求意见稿)》公开征求意见
工业和信息化部人工智能标准化技术委员会3月27发布关于《工业和信息化领域人工智能安全治理标准体系建设指南(2025)(征求意见稿)》公开征求意见的通知。
根据通知,为深入贯彻落实党中央、国务院关于加快发展人工智能的部署要求,贯彻落实《国家标准化发展纲要》《全球人工智能治理倡议》《国家人工智能产业综合标准化体系建设指南(2024)》,根据工业和信息化部人工智能标准化技术委员会审议通过的《人工智能标准化技术委员会标准体系(2025年)》,进一步加强人工智能安全领域标准化工作系统谋划,加快构建保障人工智能产业高质量发展和实现高水平安全的标准体系,夯实标准对推动技术进步、促进企业发展、引领产业升级、保障产业安全的支撑作用,更好推进人工智能赋能新型工业化,加速迈向制造强国和网络强国,秘书处组织编制了《工业和信息化领域人工智能安全治理标准体系建设指南(2025)(征求意见稿)》。现面向社会公开征求意见,如有意见或建议,请于2025年4月15日前反馈至秘书处。
原文链接: https://mp.weixin.qq.com/s/PxhkZiDJXMDwI7jhucSmtg
热点观察
英国托管服务供应商Advanced因客户数据泄露被罚307万英镑
英国信息专员办公室(ICO)近日对托管服务商(MSP)Advanced Computer Software Group Ltd处以307万英镑罚款,原因是该公司在2022年遭受的勒索软件攻击导致79,404人的敏感个人数据泄露,其中包括国家医疗服务体系(NHS)患者信息。
这起网络攻击于2022年8月初公布,当时包括111紧急服务在内的多项NHS服务出现严重中断,指向英国托管服务提供商(MSP) Advanced遭受了入侵。Advanced为NHS提供多种患者管理和健康相关服务产品,如Adastra、Caresys、Carenotes、Odyssey、Crosscare、Staffplan和eFinancials。LockBit勒索软件组织对此次攻击负责,他们利用被盗凭证在Staffplan Citrix服务器上建立远程桌面协议(RDP)会话,随后横向移动进入组织的网络环境。
ICO在公告中强调,Advanced未能实施足够的安全措施来防止导致数据泄露和危及生命的健康服务中断的入侵。这些疏漏主要涉及脆弱性扫描不足、补丁管理不当以及多因素认证(MFA)覆盖范围不全面。这一处罚具有重要意义,因为这是英国首次对数据处理者而非数据控制者处以罚款。
原文链接:
美国电信巨头WOW!被曝遭入侵,40万客户数据被泄露
新兴勒索软件组织Arkana Security近日声称已成功入侵美国最大互联网服务提供商WideOpenWest(WOW)。根据安全研究人员的追踪,此次攻击源于2024年9月的信息窃取程序感染,据报道已经泄露超过40.3万客户账户信息,并使攻击者获得了关键后端系统的控制权。
威胁行为者声称通过入侵AppianCloud和Symphonica两个关键平台:Symphonica负责客户账户管理,而AppianCloud管理业务流程工作流。这些系统的凭证是在实际勒索软件部署前数月从一名员工被信息窃取恶意软件感染的设备上获取的。黑客声称已窃取两个数据库,包含用户身份数据(包括用户名和带盐密码)、安全问题及答案、电子邮件地址、Firebase认证详情、账户状态信息、登录历史和服务包信息。第二个文件据称包含220万条记录,包括姓名、电话号码、地址和设备信息。
Arkana在其泄露网站上威胁道:”如果你不支付赎金,数据泄露将公开。你的基础设施是一场彻底的灾难,你的安全形同虚设。”截至发稿时,WOW!尚未正式确认此次入侵。此事件可能影响WOW!主要运营区域(中西部和东南部)的数百万住宅和商业客户。
原文链接:
微软弃用域名被劫持:SharePoint站点意外展示赌博网站内容
微软Stream的旧域名microsoftstream.com近日被劫持,显示一个推广泰国赌场的虚假亚马逊网站,导致所有嵌入了旧视频的SharePoint站点出现垃圾内容。
微软Stream是一项企业视频流服务,允许组织在Microsoft 365应用程序(如Teams和SharePoint)中上传和共享视频。此前,托管在微软Stream上的视频内容通过microsoftstream.com门户访问或嵌入。2020年9月,微软宣布将淘汰Microsoft Stream传统服务,并将其迁移至SharePoint。组织被告知在2024年4月服务正式停用前,将Microsoft Stream视频迁移到新平台。
弃用域名microsoftstream.com被劫持后,显示一个模仿亚马逊的网站,该网站充当泰国在线赌场的钓鱼页面。目前尚不清楚该域名是被劫持还是DNS被修改,但WHOIS记录显示该域名于2025年3月27日进行了更改。
目前该域名再次被关闭,以阻止垃圾页面出现在SharePoint中。值得庆幸的是,此次劫持背后的威胁行为者并未尝试开展更有害的活动。
原文链接:
StreamElements确认第三方服务提供商数据泄露,部分数据已被公开
在一名威胁行为者在黑客论坛上泄露被盗数据样本后,云端流媒体工具平台StreamElements近日确认,其第三方服务提供商遭遇了数据泄露。该公司已向用户保证,此次攻击并未影响其服务器,但他们去年已停止合作的第三方提供商处存储的旧数据仍然被泄露。
StreamElements是一个流行的云端流媒体工具平台,主要被Twitch和YouTube上的内容创作者使用,注册创作者超过100万。威胁行为者victim于3月20日声称窃取了21万StreamElements客户数据,并分享了被盗数据的样本,其中包括全名、地址、电话号码和电子邮件地址。他们通过信息窃取恶意软件感染入侵了StreamElements员工,这使他们能够接管内部账户并访问平台的订单管理系统。威胁行为者表示,他们从该系统窃取了数据,其中包含2020年至2024年的用户数据。
尽管这些详细信息尚未得到 StreamElements 的正式验证,但安全专家建议在这些日期之间注册该服务的用户对潜在的网络钓鱼和诈骗企图格外警惕。值得注意的是,威胁行为者在BreachForums上的帖子现已被删除。
原文链接: https://www.bleepingcomputer.com/news/security/streamelements-discloses-third-party-data-breach-after-hacker-leaks-data/
黑客入侵10个npm包,针对开发者发起攻击
近日,10个npm包突然被更新了恶意代码,旨在从开发者系统中窃取环境变量和其他敏感数据。此次攻击活动针对多个加密货币相关包,其中广受欢迎的”country-currency-map”包每周下载量达数千次。
恶意代码藏匿于两个高度混淆的脚本 “/scripts/launch.js” 和 “/scripts/diagnostic-report.js” 中,这些脚本会在包安装时执行。这些JavaScript代码会窃取设备的环境变量并将其发送到远程主机”eoi2ectd5a5tn1h.m.pipedream(.)net”。环境变量通常包含API密钥、数据库凭证、云凭证和加密密钥,这些可被用于进一步攻击。
受影响的包名、被入侵的版本及恶意版本的下载次数如下:•country-currency-map:版本2.1.8,288次下载•@keepkey/device-protocol:版本7.13.3,56次下载•bnb-javascript-sdk-nobroadcast:版本2.16.16,61次下载•@bithighlander/bitcoin-cash-js-lib:版本5.2.2,61次下载•以及其他6个包,下载量为0
除country-currency-map外,所有这些包仍在npm上提供,且最新版本即为上述标注的版本,如若下载,将使用户项目感染信息窃取恶意软件。country-currency-map包的维护者已于昨日弃用恶意版本(2.1.8),并留言告知开发者使用安全的2.1.7版本。
原文链接: https://www.bleepingcomputer.com/news/security/infostealer-campaign-compromises-10-npm-packages-targets-devs/
安全漏洞
警惕黑客攻击新手法:滥用COM对象实现无文件恶意软件横向移动
研究人员近期发现了一种复杂的攻击技术,黑客通过滥用组件对象模型(COM)对象来执行无文件恶意软件,实现网络内的横向移动。
这项技术利用Windows合法功能建立持久性并规避传统安全控制,标志着攻击方法的重大演变。攻击者针对COM这一二进制接口标准,该标准一直是现代Windows操作系统的核心组成部分。攻击者首先操纵远程注册表设置,通过在目标的HKLM\Software\Microsoft.NetFramework注册表路径中设置AllowDCOMReflection和OnlyUseLatestCLR值,启用DCOM上的.NET反射。然后,攻击者通过修改StandardFont CLSID的TreatAs键进行COM劫持,重定向执行流。该技术允许攻击者通过DCOM动态加载恶意.NET程序集,执行完全在受保护进程轻量级(PPL) svchost.exe上下文的内存中进行,使传统的基于文件的检测无效。
安全专家建议监控svchost.exe进程中的CLR加载事件,检测特定COM相关键的注册表操作,并实施基于主机的防火墙限制,以缓解这一新兴威胁。
原文链接:
电网安全警报:太阳能发电系统新发现46个严重安全漏洞
Forescout Technologies近日发布研究报告,揭示了太阳能发电系统中46个新发现的安全漏洞,这些漏洞威胁电网稳定性,并可能允许攻击者控制太阳能逆变器。
报告指出,太阳能发电系统每年平均披露 10 个漏洞,其中 80%的先前披露漏洞被评为高危或严重级别;过去三年披露的大多数漏洞被归类为高危或严重级别。这些发现揭示了系统性安全弱点,可能对电网稳定性、公用事业运营和消费者数据隐私产生负面影响。利用这些漏洞,攻击者可能操纵发电并协调负载变化攻击,这可能导致电网不稳定甚至引发停电。在负责任披露后,所有受影响的供应商已实施补丁修复。
安全专家指出,虽然太阳能发电系统对全球电网越来越重要,但持续存在的安全缺陷构成严重风险;建议商业安装业主执行严格的安全要求,定期进行风险评估,并对这些设备实施持续的网络可见性监控。
原文链接:
行业动态
Unisys推出加密态势评估服务应对量子威胁
Unisys近日推出了加密态势评估服务,作为其网络安全解决方案的一部分,旨在增强组织抵御未来量子计算威胁的能力。该服务提供对组织加密环境的全面分析,识别潜在漏洞并推荐可行的安全改进措施。
量子计算有望通过实现快速复杂的模拟计算改变多个行业,但这种强大的计算能力也可能在几秒钟内破解现有的加密算法,从而危及敏感数据安全。Unisys的新服务旨在帮助组织采用适当的后量子密码算法并制定有效的迁移策略,以应对这些风险。
展望未来,Unisys计划扩展其服务,增加以下功能:后量子密码(PQC)战略和咨询服务,基于组织目标创建定制的转型路线图;PQC基础设施现代化服务,整合抗量子技术,如量子密钥管理;加密敏捷性服务,基于对组织需求的持续评估,维护和增强网络安全态势。此外,Unisys还与Chicago Quantum Exchange建立合作伙伴关系,促进量子技术的行业应用并培养量子领域人才。
原文链接:
