特别关注

2024北京网络安全大会（BCS）开幕

2024年6月5日，以“AI驱动安全”为主题的2024全球数字经济大会数字安全高层论坛暨北京网络安全大会战略峰会（以下简称“BCS大会”）在北京国家会议中心开幕。

在BCS大会开幕式上，全国工商联副主席、中国民间商会副会长汪鸿雁，中国友谊促进会理事长、国家网信办原副主任陈智敏，中国职业技术教育学会会长、教育部原副部长鲁昕，北京市政府副秘书长许心超，中央网信办网络安全协调局副局长王营康，中国电子信息产业集团有限公司总经理李立功致开幕辞。

全国政协委员、全国工商联副主席、奇安信集团董事长齐向东在主旨演讲时表示：“AI驱动安全是大势所趋，未来网络攻防就是得AI者得天下。谁能提前抓住AI变革的机遇，谁就能掌握网络空间安全的主动权。”齐向东判断，当前网络安全格局正在被颠覆重构，但这种颠覆重构不仅带来新的安全挑战，也为网络安全行业带来前所未有的战略机遇。

本次大会将历时两天，共举办2场峰会、20多场分论坛，2场大赛，邀请了来自10多个国家和地区的上百位专家学者、10多个行业领域的200多家企业的代表，分享人工智能发展的研究、实践或建议，并就AI驱动安全在数据、能源、金融、交通、制造等领域的情况展开广泛讨论，预计吸引6000余人参会。

https://mp.weixin.qq.com/s/6u7_uaTbEHVrhN7CYWK-qw

《数据安全技术 二手电子产品信息清除技术要求》标准公开征集参编单位

日前，为切实做好网络安全国家标准编制工作，鼓励更多单位切实参加到标准编制过程中，提高标准编制工作的开放性、公正性、透明性，提升标准的适用性和质量，中国科学院信息工程研究所作为《数据安全技术 二手电子产品信息清除技术要求》标准制定的牵头单位，按照《全国网络安全标准化技术委员会标准参与单位管理办法（暂行）》要求，公开征集相关标准参编单位。

https://mp.weixin.qq.com/s/bINfWFrS-Sh7POcEZujiOQ

热点观察

美国参议院认为Change Healthcare在应对勒索攻击中的存在低级疏忽

日前，美国参议院财政委员会主席罗恩·怀登（Ron Wyden）指责Change Healthcare在应对勒索软件攻击中存在”低级疏忽”和”经验不足”。这次攻击扰乱了全美范围内的医疗付款和理赔处理。怀登呼吁拜登政府追究联合健康集团（UHG）在这起事件中的责任，并指这次攻击”是完全可以预防的，是由于公司的低级疏忽所致”。

UHG首席执行官安德鲁·威蒂（Andrew Witty）在美国国会听证会上的证词指出，黑客通过未启用多因素认证（MFA）的远程访问服务器进入了Change Healthcare的网络，并窃取了数千万份机密文件，随后部署了ALPHV/BlackCat勒索软件。怀登认为，UHG任命的首席信息安全官史蒂文·马丁在此之前从未担任过全职的网络安全工作，这可能成为此次事件发生的一个重要原因。怀登还批评了UHG董事会在此次事件中的责任。此外，Wyden还指出UHG在备灾计划方面存在不足，这导致Change Healthcare的系统需要从头重建，其服务中断长达数周。

原文链接：

https://www.csoonline.com/article/2137814/us-senate-finance-chair-slams-change-healthcare-for-negligence-in-ransomware-attack.html

美国国家安全局建议：智能手机每周至少应该重启一次

日前，国家安全局（NSA）发出建议，智能手机用户每周至少需要重启一次手机，原因在于：定期关机和重启手机可以帮助防止针对手机的一些安全威胁，如钓鱼攻击、恶意软件和间谍软件。尽管只是一项简单的操作，但是重启能大大增加手机的安全性；诸如鱼叉式钓鱼攻击和零点击缺陷都能在不知情的情况下感染设备。

不过NSA也表示，通过重启收集可以使黑客更难窃取用户的隐私信息，但这并不能完全预防攻击，其他移动设备安全威胁包括恶意应用程序、恶意Wi-Fi网络、间谍软件和黑客远程访问设备来收集通话或短信数据。此外，一旦手机被攻击者短暂接触，就可能被安装恶意软件或间谍软件。

原文链接：

https://www.zdnet.com/article/the-nsa-advises-you-to-turn-your-phone-off-and-back-on-once-a-week-heres-why/

账户接管攻击成为当前企业组织面临的首要安全问题

据Abnormal Security公司发布的《2024年云账户接管攻击现状报告》，83%的组织在过去一年中至少遭受过一次账户接管攻击。报告基于来自全球不同行业和规模组织的300多名安全专业人士的反馈。77%的安全主管将账户接管攻击列为他们最关注的四大网络威胁之一，超过了勒索软件和鱼叉式网络钓鱼；近一半的受访组织在过去一年中遭遇过5次以上此类攻击；近20%面临过10次以上重大事件。

报告还指出，安全利益相关方特别担心文件存储和共享服务（如Dropbox和Box）、云基础设施服务（如AWS、微软Azure和谷歌云平台）以及商业电子邮件账户（如微软Outlook和Gmail）遭到入侵，文档和合同管理软件（如DocuSign）也面临重大风险。尽管如此，大多数安全专业人士认为自己无法有效应对账户接管攻击。

常见的应对措施包括多因素身份验证（MFA）和强密码政策，但63%的受访者对MFA的有效性表示怀疑，65%对单点登录（SSO）解决方案持谨慎态度。其他措施如身份和访问管理（IAM）、云访问安全代理（CASB）和Web应用防火墙（WAF）也被提及，但这些都不是专门针对账户接管威胁的。87%的参与者希望云服务提供商能提供针对账户接管的原生保护措施。然而，大多数应用程序提供商更关注针对错误配置或提权的防护，而不是针对实时账户接管的防御。因此，市场急需可以检测和自动修复受损账户的解决方案，99%的受访者认为这样的解决方案将显著增强他们的安全态势。

原文链接：

https://www.infosecurity-magazine.com/news/ato-outpace-ransomware-top/

网络攻击

Microsoft Azure安全缺陷或使攻击者绕过防火墙检测

近期，Tenable Research发现了微软Azure云平台中的一个严重安全缺陷，可让恶意攻击者通过伪造来自受信任服务的请求绕过防火墙规则。这个缺陷影响到Azure上的多项关键服务，包括Application Insights、DevOps、Machine Learning、Logic Apps等。

Tenable将这个缺陷归类为”安全功能绕过”问题，评估其危害级别为高风险。微软安全响应中心（MSRC）也确认了这个问题，并将其归类为”特权提升”，评级为”重要”。尽管微软决定通过更新客户文档的方式来解决这个问题，但该缺陷仍然存在于客户的部署环境中。Tenable建议Azure用户应该在网络控制之上添加身份验证和授权层，以进一步加强资产防护。

原文链接：

DarkGate恶意软件已升级攻击负载投放策略，可绕过检测

近日，网络攻击组织DarkGate恶意软件服务（MaaS）将攻击手段从AutoIt脚本转向使用AutoHotkey机制来传播最后阶段的负载。这一变化被观察到在DarkGate 2024年3月发布的第6版本中，该版本由开发者RastaFarEye所售，目前有30多名客户订阅。DarkGate从2018年就开始活跃，是一款功能全面的远程访问木马，具有命令控制和根目录工具包功能，集成了多种模块，如凭证窃取、键盘记录、屏幕捕捉和远程桌面等。

Trellix的安全研究员表示，DarkGate攻击活动变化迅速，不断修改组件试图规避安全检测。这是首次发现DarkGate使用AutoHotkey这种不太常见的脚本解释器来启动自身。DarkGate转向AutoHotkey最初是由McAfee Labs于2024年4月底记录，其攻击链利用如CVE-2023-36025和CVE-2024-21412等缺陷，通过微软Excel或HTML附件的钓鱼邮件绕过微软Defender SmartScreen防护。此外，攻击者还利用Docusign提供的可定制化合法外观的钓鱼模板，在地下论坛出售，用于窃取凭证并实施网络钓鱼和商业电子邮件欺诈。

原文链接：

https://thehackernews.com/2024/06/darkgate-malware-replaces-autoit-with.html

Cox调制解调器被曝存在多个缺陷，数百万台设备或受影响

日前，安全研究员 Sam Curry 发现 Cox 调制解调器存在多个安全问题，可被利用来修改调制解调器设置并在其上运行恶意命令。Curry 描述了一种潜在的攻击场景，攻击者可以利用暴露的 API 针对 Cox 企业客户进行攻击。该攻击涉及使用目标的可识别信息（如姓名、电话号码、电子邮件地址或账号）来搜索目标，然后利用返回的 UUID 查询 API 获取目标的全部个人信息，包括设备 MAC 地址、电子邮件、电话号码和物理地址。有了硬件 MAC 地址，攻击者可以检索 WiFi 密码和连接设备列表，从而执行任意命令、更新设备属性，最终获取受害者账户的控制权，危及目标网络的安全并威胁其个人和商业数据。

Cox是美国最大的私有宽带服务提供商、第三大有线电视提供商、第七大电话运营商，拥有数百万客户。研究人员于2024年3月4日通过公司的负责披露计划报告了这些缺陷，Cox目前已经快速解决了这些问题，同时未发现之前有人利用这些缺陷进行实际攻击。

原文链接：

暗网上发现一种可窃取数据的新兴Android 远程木马——Viper RAT

网络安全研究人员近日在监测暗网时发现，出现了一款名为”Viper RAT”的新型Android远程木马（RAT），该恶意软件针对Android设备，其功能包括窃取凭证、电子邮件、2FA代码、钱包以及密钥，还具有键盘记录功能，窃取用户各类敏感数据。

2024 年 5 月 31 日，在 CrackingX 和 OnniForums 论坛上出现了宣传名为“VIPER RAT”的全新 Android 远程木马访问 （RAT） 的信息公开。根据该帖子，Viper RAT 的租用价格仅为 499 美元，具有基于Android 操作系统的瞄准和渗透设备的能力。

据介绍，Viper RAT提供了600多个全球性注入点、手机解锁、VNC远程控制，以及音频和视频录制功能来辅助网络钓鱼诈骗。由于这些功能，威胁行为者能够无限制地访问个人信息，从而实施破坏性和隐秘的行为。Viper RAT还拥有一系列专门针对Android设备的其他功能，无论它们使用何种硬件，比如实时键盘记录、网络钓鱼重定向、多功能抓取功能，以及无缝的屏幕控制。通过地下论坛租用Viper RAT，价格低廉且提供安装支持，很可能会加剧该类威胁在Android生态系统中的蔓延。

原文链接：

产业动态

TikTok表示已紧急修复一个账号接管安全缺陷

近日，攻击者利用TikTok直接消息（DM）功能中的一个零日漏洞，成功入侵并接管了多个知名公司和名人的TikTok账号。这个缺陷只需要目标用户打开恶意消息，就可以被攻击者控制账户，无需其他操作。受影响的账号包括索尼、CNN和巴黎希尔顿等，为了防止滥用，这些账号被临时关停。

TikTok表示已采取措施阻止此次攻击，并与受影响账户所有者合作恢复访问权限。该公司正在努力修复这个缺陷，但目前尚未透露受影响账户的具体数量，也没有在修复之前披露缺陷的细节。这并非TikTok第一次出现允许账号被接管的安全问题，之前曾出现过利用安卓应用程序和绕过隐私保护的缺陷。

原文链接：

https://www.bleepingcomputer.com/news/security/tiktok-fixes-zero-day-bug-used-to-hijack-high-profile-accounts/

思科将与谷歌公司加强在零信任领域合作

日前，思科宣布加强与谷歌在零信任访问领域的合作。两家公司将把基于浏览器的威胁和数据保护从Chrome Enterprise引入到受思科安全访问保护的Web应用程序，这有助于组织在提高用户工作效率的同时，也能更好地降低安全风险。

思科安全接入是基于思科安全云构建的人工智能优先安全服务边缘（SSE）解决方案，提供一组融合的云安全服务，包括零信任访问、安全Web网关、云访问安全代理、浏览器隔离等。而谷歌的Chrome Enterprise则提供基于浏览器的威胁和数据防护、政策和访问控制以及关键安全洞察。两家公司的解决方案结合，为企业带来了基于云和基于浏览器的端到端安全优势，包括设备信任、强授权以及托管和非托管设备的安全应用程序访问。除了在零信任访问领域，思科和谷歌还在其他关键安全领域进行了广泛合作。

原文链接：

https://blogs.cisco.com/security/cisco-enhances-zero-trust-access-with-google/

Cloudflare收购零信任公司BastionZero

根据SDxCentral的报道，Cloudflare收购了零信任基础设施访问平台提供商BastionZero，以增强其零信任网络访问（ZTNA）和安全访问服务边缘（SASE）功能。此次收购的主要目的是将BastionZero的技术整合到Cloudflare One SASE平台中，以扩展Cloudflare的ZTNA能力。BastionZero提供了对服务器、Kubernetes集群和数据库的无密码访问管理，利用客户现有的身份提供商，免去了对密码、VPN和SSH密钥的需求。

BastionZero将专注于将他们的控制功能融入Cloudflare One平台，该平台已经包括了安全Web网关、云访问安全代理和ZTNA等功能。基于这次收购，Cloudflare计划在今年年底前推出新的零信任基础设施访问功能。Cloudflare表示，这次收购将为其SASE平台带来新功能，如现代化的凭证管理、增强的SSH安全性和无客户端远程桌面访问协议，从而帮助组织摆脱VPN、堡垒机和特权访问管理等传统解决方案。

原文链接：

https://www.scmagazine.com/brief/cloudflare-acquires-zero-trust-firm-bastionzero