新闻速览

ㆍ 国家无线电办公室通报2023年全国无线电管理十大典型执法案例

ㆍ 中央网信办等四部门印发《2024年数字乡村发展工作要点》

ㆍ 英国三大保险协会将联合监管机构共同打击勒索软件

ㆍ SharePoint中的安全缺陷可绕过审计追踪隐匿文件下载行为

ㆍ 由企业内部威胁引发的欺诈风险快速增长

ㆍ 会话令牌的安全缺陷可能威胁FIDO2认证安全性

ㆍ 黑客利用DNS隧道技术扫描漏洞并实施钓鱼攻击

ㆍ 二维码网络钓鱼攻击成为CISO们密切关注的安全方向

ㆍ Ebury僵尸网络累计感染近40万台Linux服务器

ㆍ 微软修复了2个可被利用的零日漏洞

ㆍ MITRE发布面向嵌入式设备的 EMB3D 威胁模型

ㆍ 盛邦安全宣布进军卫星互联网安全领域

特别关注

国家无线电办公室通报2023年全国无线电管理十大典型执法案例

2023年，国家无线电办公室（工业和信息化部无线电管理局）指导各省自治区、直辖市无线电管理机构依法履行无线电监管职能，着力提升无线电管理依法行政能力和水平，有力打击非法使用无线电频率、设置使用无线电台(站)等行为，切实发挥无线电管理在促进经济社会发展、维护空中电波秩序、保障电磁空间安全等方面的重要作用。日前，国家无线电办公室对2023 年度全国无线电管理十起典型执法案例进行了通报。

原文链接：

https://mp.weixin.qq.com/s/DPn1KvheHcTLZGJ4L2EzJA

中央网信办等四部门印发《2024年数字乡村发展工作要点》

《工作要点》部署了9个方面28项重点任务。一是筑牢数字乡村发展底座。包括提升农村网络基础设施供给能力，加大农村基础设施改造升级力度，加快推进涉农数据资源集成共享。二是以数字化守牢“两条底线”。包括强化确保粮食安全数字化支撑，强化防止返贫监测和帮扶举措。三是大力推进智慧农业发展。包括加强农业科技创新与应用推广，提升农业全产业链数字化水平，以数字技术深化农业社会化服务。四是激发县域数字经济新活力。包括加快推进农村电商高质量发展，多措并举推动农文旅融合发展，释放涉农数据要素乘数效应，运用数字技术促进农民增收。五是推动乡村数字文化振兴。包括加快乡村文化文物资源数字化，丰富乡村公共文化服务数字供给。六是健全乡村数字治理体系。包括稳步推进农村“三务”信息化建设，提升农村社会治理数字化效能，增强农村智慧应急管理能力。七是深化乡村数字普惠服务。包括着力提升乡村教育数字化水平，持续推进乡村数字健康发展，增强农村数字普惠金融服务实效，加强农村特殊人群信息服务保障。八是加快建设智慧美丽乡村。包括加强农村人居环境整治数字化应用，提升农村生态环境保护监管效能。九是统筹推进数字乡村建设。包括加强跨部门跨层级协调联动，健全多元化投入保障机制，培养壮大乡村数字人才队伍，推进重点领域标准化建设，讲好新时代数字乡村故事。

原文链接：
https://mp.weixin.qq.com/s/HUyxMW67ST_lynm-_xH7Zg

热点观察

英国三大保险协会将联合监管机构共同打击勒索软件

近日，英国的三大保险协会与英国国家网络安全中心（NCSC）共同宣布，将合作打击勒索攻击的支付问题。这一跨界联盟由英国保险协会（ABI）、英国保险经纪人协会（BIBA）和国际承保协会（IUA）发起，他们稍早前联合发布了一份旨在减少英国勒索攻击受害者赎金损失的最佳实践指南。

该指南源自NCSC赞助的英国皇家联合服务研究所（RUSI）于2023年发布的一份研究报告。该报告提出了多项建议，旨在减少勒索软件攻击后进行勒索支付的可能性，不仅针对保险公司，还包括政府部门。指南提供了一系列的步骤，鼓励受害组织在面对勒索软件事件时慎重考虑支付。尽管该指南并非强制性的，但旨在防止组织在面临勒索软件事件时做出冲动性的支付决策，其中包括对业务影响进行全面评估、制定报告流程以及获取支持资源的渠道。该联盟的目标是通过提供指导和建议，降低受害者支付勒索款项的风险，并呼吁受害组织遵循指南中的建议，并将其视为处理勒索软件事件的重要参考。

原文链接：

https://www.infosecurity-magazine.com/news/uk-insurance-ncsc-ransomware/

SharePoint中的安全缺陷可绕过审计追踪隐匿文件下载行为

近日，安全公司Varonis的研究人员发现了两种可用于在SharePoint中规避审计追踪并隐藏文件下载事件的技术。这些技术可绕过传统安全工具的检测和执行策略，使攻击者能够窃取敏感数据而不被发现。

其中一种技术是利用SharePoint中的“在桌面应用中打开”选项。这种方法通过将下载伪装成访问并在桌面应用程序中打开文件，绕过了传统工具对下载事件的检测。通过修改浏览器的用户代理名称为“Microsoft SkyDriveSync”，攻击者可以使用任何常规方法下载文件，包括通过SharePoint Web界面，这些事件将被记录为同步而不是下载条目；另一种技术是模拟本地OneDrive客户端的行为，当它同步来自SharePoint服务器的文件时，通常情况下，这种同步操作会在SharePoint的审计日志中创建“FileSyncUploadedFull”和“FileSyncDownloadedFull”条目。然而，攻击者可以通过修改浏览器的用户代理名称为“Microsoft SkyDriveSync”，以同步事件的方式下载文件，并将其记录为同步而不是下载条目。

研究人员建议组织在监控SharePoint和OneDrive的日志时，不仅要关注文件下载活动，还要注意异常的文件访问和文件同步活动。异常大量的访问或异常的审计日志可能是未经授权的下载和数据外泄的迹象。研究人员已向微软报告了这些技术，但修复可能需要一些时间。在此之前，组织应加强对SharePoint和OneDrive的监控，并更新检测规则以包括同步事件，以侦测伪装的下载行为，从而保护敏感数据免受不当访问。

原文链接：

https://www.csoonline.com/article/2087010/researchers-uncover-evasion-data-exfiltration-techniques-that-can-be-exploited-in-sharepoint.html

由企业内部威胁引发的欺诈风险快速增长

原文链接：

https://www.tripwire.com/state-of-security/insider-threats-maintain-rising-trend

会话令牌的安全缺陷可能威胁FIDO2认证安全性

原文链接：

https://www.darkreading.com/identity-access-management-security/unprotected-session-tokens-can-undermine-fido2-security

网络攻击

黑客利用DNS隧道技术扫描漏洞并实施钓鱼攻击

据Palo Alto Networks最新研究，威胁行为者正在利用DNS隧道技术进行网络扫描，以及检查钓鱼活动的成功率。使用DNS查询来探测目标组织的网络配置错误，这些错误可以被利用来发动拒绝服务攻击、窃取数据或安装恶意软件。

安全供应商Palo Alto Networks的Unit 42团队表示，DNS隧道通常被用来绕过安全过滤器，通过将恶意流量隐藏在DNS数据包中。这样黑客可以将窃取的数据从目标基础设施中传输出来，或者隐藏恶意软件或命令与控制（C&C）指令，攻击者可以利用相同的技术追踪来自其活动的多个受害者。研究人员声称在被称为“TrkCdn”和“SpamTracker”的活动中观察到了这一情况，用于检查受害者与钓鱼和垃圾邮件的互动。Unit 42敦促网络防御者通过控制解析器的服务范围仅接受必要的查询，并及时更新解析器软件版本，以减少DNS解析器的攻击面。

原文链接：

https://www.infosecurity-magazine.com/news/dns-tunneling-scan-track-victims/

二维码网络钓鱼攻击成为CISO们密切关注的安全方向

据Perception Point、Check Point和AT&T等多个报告显示，利用QR码（二维码）的网络钓鱼诈骗活动（也被称为quishing）急剧增加。QR码已成为黑客攻击的有用工具，因为它们容易融入攻击中，难以检测和防止，并且能够欺骗用户泄露凭据。uishing通过将信息（通常是恶意链接）编码到QR码图像中来实施，使得员工更容易上当受骗，而自动化系统更难检测到这种诈骗。

quishing的崛起对企业和组织的数据安全构成严重威胁，安全负责人应密切关注这一趋势，并采取适当的措施来保护组织免受QR码网络钓鱼攻击的影响。及时的安全意识培训、高级安全工具的部署和系统补丁的更新将有助于减轻这种攻击方式的影响。

原文链接：

https://www.csoonline.com/article/1248084/the-alarming-rise-of-quishing-is-a-red-flag-for-cisos.html

由于缺乏攻击者失去对系统访问权限的具体时间数据，目前还很难确定该僵尸网络在某些具体时间点上的规模情况。ESET通过最近的执法行动，获得了对过去15年内该恶意软件活动情况的整体洞察，该行动使研究人员能够更好地了解Ebury的运作方式。

原文链接：

https://www.bleepingcomputer.com/news/security/ebury-botnet-malware-infected-400-000-linux-servers-since-2009/

产业动态

微软修复了2个可被利用的零日漏洞

日前，微软在2024年5月“补丁星期二（Patch Tuesday）”发布了一系列修复程序，解决了59个CVE编号的漏洞，其中包括两个被攻击者积极利用的零日漏洞（CVE-2024-30051和CVE-2024-30040）。微软建议用户尽快更新其Windows系统，并确保安装了最新的补丁程序，以最大程度地减少安全风险。

CVE-2024-30051是一种影响Windows DWM核心库的堆缓冲区溢出漏洞，攻击者可以利用它来提升其在目标系统上的权限。通过成功利用该漏洞，攻击者可以获得SYSTEM级别的权限，从而对系统进行操控。多个安全研究机构，包括Kaspersky、DBAPPSecurity WeBin Lab、Google Threat Analysis Group和Google Mandiant，报告了该漏洞，并且据推测，利用该漏洞的攻击已经相当普遍。

另一个被修复的漏洞是CVE-2024-30040，它允许攻击者绕过Microsoft 365和Microsoft Office中的OLE（对象链接和嵌入）防护机制。要利用此漏洞，攻击者需要诱使用户加载一个恶意文件到易受攻击的系统中，并且说服用户操作该文件，但不一定需要点击或打开它，成功利用该漏洞的攻击者可以在用户的上下文中执行任意代码。

原文链接：

MITRE发布面向嵌入式设备的 EMB3D 威胁模型

近日，MITRE发布了用于关键基础设施中的嵌入式设备的EMB3D威胁模型，通过将威胁与相关设备特征/属性进行映射，用户可以根据已知的设备特征轻松列举威胁暴露。该模型适用于各行业，包括关键基础设施中使用的嵌入式设备。

该威胁模型提供了关于嵌入式设备的网络威胁的知识库，为关键基础设施、物联网、汽车、医疗保健和制造业，为供应商、资产所有者/运营商、测试组织和安全研究人员提供洞见，以增强嵌入式设备的安全性。Red Balloon Security、Narf Industries和ONE Gas的Niyo ‘Little Thunder’ Pearson等多个合作伙伴参与了该威胁模型的设计。

EMB3D被设计为一个动态框架，将随着时间的推移不断发展，包括来自威胁行为者和安全研究人员的新威胁和缓解措施。作为一个公共社区资源运行，允许所有人访问所有信息，并允许安全社区进行贡献和修订。这种协作方式确保EMB3D始终是最新和全面的，成为增强嵌入式设备安全性的宝贵资源。

原文链接：

盛邦安全宣布进军卫星互联网安全领域

2024年5月13日，盛邦安全年度新品暨卫星互联网安全战略升级发布会在北京举办。在会上，盛邦安全宣布了公司战略将聚焦卫星互联网安全这一新兴领域，正式迈入由场景化安全、网络空间地图和卫星互联网安全三大核心能力驱动的战略2.0时代。

此次战略升级，盛邦安全将原有四大业务版块拓展至包括网络空间地图、身份安全、卫星互联网安全、密码安全、数据安全、云安全及安全服务的六大版块。盛邦安全董事长权小文表示，公司将继续秉承“两精一深”的理念，加大研发投入，围绕漏洞技术，追求精准识别和精确防御，深入电力能源、金融科技、运营商、教育、监管及卫星互联网等核心业务场景，不断提升公司技术创新优势。

原文链接：

https://mp.weixin.qq.com/s/TxEy86t_iczqmQgCNstlIQ