新闻速览
•美国拟通过立法将勒索软件攻击定义为恐怖主义威胁
•百度地图突发故障,大量“萝卜快跑”无人驾驶网约车街头罢工
•腾讯官方回应文件传输助手隐私问题
•安全情报平台SOCRadar被曝泄露3.3亿个电子邮件地址
•伪装成合法CRM应用绕过检测,变色龙银行木马卷土重来
•研究人员在黑帽大会上披露了AWS多项严重漏洞
•Firefox 新版本修补多个高危漏洞
•传闻趋势科技正在寻求出售,美股ADRs应声上涨超10%
•京东集团举办第二届京麒CTF挑战赛
•CrowdStrike支持微软削弱内核级访问计划
热点观察
美国拟通过立法将勒索软件攻击定义为恐怖主义威胁
为了应对越来越严重的勒索软件攻击,美国参议院情报委员会日前提出一项新的立法提案,拟将勒索软件攻击定义为恐怖主义威胁。
据了解,新提案由美国情报委员会主席Mark Warner发起,旨在将勒索软件团伙定义为“敌对的国际网络恐怖主义行为者”,并对保护勒索软件团伙的国家进行制裁。同时,该提案要求美国财政部配合提交一份报告,详细描述因涉及勒索软件而受到美国外国资产控制办公室管制的个人、团体和组织的信息。
提案还要求,负责追查外国勒索软件攻击的机构,包括网络安全和基础设施安全局(CISA)和联邦调查局(FBI),应定期向审计长提交报告。
原文链接:
https://www.scmagazine.com/brief/ransomware-to-be-regarded-as-terrorism-under-new-bill
百度地图突发故障,大量“萝卜快跑”无人驾驶网约车街头罢工
日前,由于受到百度地图定位错误、自驾路线无法正常规划等故障影响,大量“萝卜快跑”无人驾驶网约车无法正常运营,在街头集体罢工。
据报道,百度官方人员回应,故障是由于百度地图界面发生错误,技术人员紧急修复服务器。当前系统恢复正常。
值得注意的是,这并非首次出现与百度地图相关的问题影响“萝卜快跑”服务。早在7月11日,武汉地区就曾出现因“萝卜快跑”无人驾驶网约车服务中断而导致的交通拥堵现象。
原文链接:
https://caifuhao.eastmoney.com/news/20240807163909308531280
腾讯官方回应文件传输助手隐私问题
日前,腾讯方面就国家安全部对“文件传输助手”安全风险可能导致信息泄露的警告做出了正式回应,澄清微信文件传输助手是微信内置的一项辅助功能,旨在帮助用户在不同设备间(如手机、电脑、iPad)传输各种类型的文件,包括视频、图片和文档等。腾讯强调该服务不会在服务器上保存用户的聊天记录,且会严格遵守相关法律法规以保障用户的通讯隐私安全。
国家安全部于8月4日在其官方微信公众号发文警示,“文件传输助手”这类服务可能存在多种安全风险,可能导致信息泄露。这一警告迅速引起了广泛关注,并成为了网络热议的话题。
原文链接:
https://tech.caijing.com.cn/20240807/5029116.shtml
网络攻击
安全情报平台SOCRadar被曝泄露3.3亿个电子邮件地址
近日,3.32亿个据称从安全情报平台SOCRadar.io搜集的电子邮件地址在网上泄露,引发严重的安全担忧。
据Hackread报道,这些电子邮件地址是从“stealer日志和combolist”中提取的,表明恶意软件感染在初始数据收集中起到了作用。数据是威胁行为者USDoD在2024年7月搜集的,另一个威胁行为者Dominatrix以7000美元的价格将其购买,并发布在网络犯罪论坛Breach Forum上。虽然这批数据只涉及电子邮件地址,不含密码,但还是引起了广泛关注。因为这类信息可能被用于网络钓鱼、暴力破解和凭据填充攻击。
不过SOCRadar的首席安全官Ensar Seker回应说,攻击者冒充一家合法公司订阅了SOCRadar平台来收集数据。他获得了用于收集电子邮件地址的Telegram频道的名称,误以为这些数据来自SOCRadar。他强调,这些数据是从Telegram频道下载的,而非SOCRadar。
原文链接:
https://thecyberexpress.com/330-million-email-ids-scraped-from-socradar-io/
伪装成合法CRM应用绕过检测,变色龙银行木马卷土重来
日前,变色龙(Chameleon)安卓银行木马卷土重来,伪装成客户关系管理(CRM)应用程序,绕过安卓安全功能,伪装成安全应用程序获取受害者的银行安全证书,可能对遭受侵害的组织构成重大风险。
威胁情报公司Threat Fabric的研究人员发现,变色龙木马正在针对位于加拿大的一家全球知名连锁餐厅发起攻击,以获取对企业银行账户的访问权限。不仅如此,该木马主要对加拿大和欧洲的酒店工作人员和其他B2C业务员发起攻击。Threat Fabric认为,变色龙木马在最新的攻击活动中选择伪装成CRM应用程序,很可能是因为应用CRM工作的员工更有可能获得他们需要访问权限。
研究人员发现,新变种的变色龙使用了一个可以绕过安卓13+版本辅助功能服务限制的投放器。它使用Brokewell释放器投放攻击载荷对于绕过安全限制至关重要。一旦加载,释放器显示伪装成CRM登录页面的虚假页面,请求输入员工ID,然后发出消息要求用户重新安装应用程序(实际上安装的是变色龙木马)。安装完毕后,木马再次加载一个虚假网站,要求输入员工凭据。一旦提交,应用程序会显示错误页面,但该木马仍在设备上后台运行,通过使用键盘记录从窃取用户的其他凭据和敏感信息。
原文链接:
https://www.darkreading.com/endpoint-security/chameleon-banking-trojan-makes-a-comeback-cloaked-as-crm-app
漏洞预警
研究人员在黑帽大会上披露了AWS多项严重漏洞
在8月7日举办黑帽大会上,Aqua Security的研究人员指出,已在AWS上的六项服务中发现严重漏洞。这些服务存在“Shadow Resources”(影子资源)和“Bucket Monopoly”(桶垄断)攻击漏洞,可能被攻击者用来接管账户、执行远程代码、操作AI数据和泄露敏感信息泄露等。
研究人员发现,在AWS CloudFormation、Glue、EMR、SageMaker、ServiceCatalog和CodeStar服务中,用户在进行新的操作时(例如创建新的Glue作业、新的EMR Studio或新的SageMaker Canvas),都会创建S3存储桶来临时存储某些资源。这些桶具有可预测的名称,包括固定前缀、AWS账户ID和区域代码。研究人员发现,攻击者可能通过“Bucket Monopoly”(桶垄断)的方式来进行攻击,即针对已知用户哈希或账户ID,预先注册所有可能的桶名称。当目标用户在任何区域生成新的桶时,攻击者都有可能控制这些桶并实施等攻击。而针对不同的服务,攻击者利用这个漏洞可能带来不同的后果。
AWS回应称,他们已在2024年6月全面解决了这些漏洞。
原文链接:
https://www.scmagazine.com/news/critical-vulnerabilities-in-6-aws-services-disclosed-at-black-hat-usa
Firefox 新版本修补多个高危漏洞
日前,Mozilla发布Firefox 129,解决了多个高危漏洞。这次补丁对于增强这款浏览器的安全性,并保护用户免受潜在漏洞至关重要。
其中几个关键漏洞可能严重影响用户安全,包括:CVE-2024-7518/CVE -2024-7519(图形共享内存处理中的越界内存访问)、CVE-2024-7520(WebAssembly中的类型混淆)、CVE-2024-7521(不完整的WebAssembly异常处理)、CVE-2024-7522(编辑器组件中的越界读取)、CVE-2024-7523(文档内容可能部分遮掩安全提示,影响安卓版本)和CVE-2024-7524(使用web兼容性库的CSP严格动态绕过)等高危漏洞。
这次更新解决的漏洞构成了重大风险,包括潜在的欺骗攻击、内存损坏、沙箱逃逸和未经授权的数据访问。比如说,CVE-2024-7518可能允许恶意网站隐藏全屏通知对话框,欺骗用户执行意外操作;CVE-2024-7519涉及越界内存访问,可能导致内存损坏和沙箱逃逸。鉴于这些漏洞的严重影响,强烈建议用户立即将Firefox浏览器更新到129版本。
原文链接:
https://cybersecuritynews.com/firefox-patches-vulnerabilities/
产业动态
传闻趋势科技正在寻求出售,美股ADRs应声上涨超10%
据路透社报道,由于近期日元的大幅贬值,以及公司股价的长期低迷表现,网络安全公司趋势科技成为了一个较理想的收购目标。有消息人士对路透社表示,趋势科技目前已经开始与投资银行合作,以征询潜在买家的兴趣,其中包括私募股权公司。
趋势科技成立于1988年,专注于在云环境、网络和终端提供全面的安全解决方案,帮助组织保护其数字资产安全。公司财务总部设在日本东京,营销总部则在美国硅谷,目前分别在日本东京证券交易所和美国NASDAQ上市,最新市值约为9500亿日元。
该出售计划目前仍有很大的不确定性,因为所有的讨论都还处于保密阶段,但这一消息使得趋势科技的美股ADRs(存托凭证)一度上涨了超10%。趋势科技公司发言人拒绝对出售事宜发表评论,并表示公司正努力提高盈利能力,同时会继续专注于通过领先的人工智能平台进行业务转型和客户扩张。
原文链接:
https://www.itnews.com.au/news/trend-micro-explores-sale-610507
京东集团举办第二届京麒CTF挑战赛
日前,由京东集团主办的2024京麒CTF挑战赛正式举办,吸引了清华大学、北京大学、上海交通大学、中国科学院大学等近140所高校的647支极客战队竞相参赛,带来一场网络安全领域的技术盛宴。
历经10小时的巅峰对决,来自北京邮电大学、哈尔滨工业大学和杭州电子科技大学的联合战队“emmmm”摘得冠军,来自中国科学院大学的战队“LaoGong”荣膺亚军;来自中山大学、暨南大学等高校联合战队“S1uM4i”获得季军。
京麒CTF挑战赛于2023年首次启动,旨在为更多年轻网络安全人才提供专业化的赛事舞台和技术交流平台,挖掘并培养具有扎实实战能力的网络安全新星,加快中国年轻一代网安人才的成长,助力推动网络安全行业的发展和进步。
原文链接:
https://mp.weixin.qq.com/s/DAzineiBdcqtIb5Ie-ro5w
CrowdStrike表示支持微软削弱内核级访问计划
为了消除“蓝屏事件”的影响,CrowdStrike在一份事故原因分析报告中表示,将重新考虑安全供应商对内核级访问的要求。
微软公司将本次故障归咎于2009年欧洲委员会强制执行的互操作性协议。该协议要求微软向安全软件制造商提供与微软相同的对Windows的访问权限。事实上,内核访问是一个重要的漏洞点,因为它支持深度的系统级交互,如果被利用,可能会导致广泛的中断和破坏。微软希望通过限制内核访问最大程度地减少此类漏洞的可能性。
CrowdStrike表示将会与微软继续保持合作,并对与微软合作进行限制内核级访问的开发表达了兴趣,计划通过Windows硬件质量实验室对每个新发布的传感器版本进行认证。
原文链接:
https://www.csoonline.com/article/3483641/crowdstrike-backs-microsofts-demand-for-reducing-kernel-level-access.html