新闻速览
•CSTIS就防范新型ValleyRAT恶意软件发布风险提示
•FBI存储设备管理存在重大安全隐患,将安装“防护笼”
•上海电信发生断网事故,部分云宽带业务受到影响
•西雅图国际机场遭遇网络攻击,多项服务转为人工方式
•标价1万美元!Fortinet SSL VPN的RCE漏洞利用链已在暗网兜售
•伪装成流行金融应用程序,升级版Copybara恶意软件针对安卓用户展开多种攻击
•黑客利用AWS分发武器化的管理控制台文件
•YouTube推出AI助手:为被黑账户提供智能恢复服务
•永信至诚半年报:营收同比增长18.48%,二季度实现扭亏为盈
•天融信联合山东大学共同成立网络空间安全实战人才实践基地
热点观察
CSTIS就防范新型ValleyRAT恶意软件发布风险提示
8月27日,工业和信息化部网络安全威胁与漏洞信息共享平台(CSTIS)发布《关于防范新型ValleyRAT恶意软件的风险提示》,指出新型ValleyRAT恶意软件正在针对中文版Windows用户,特别是电子商务、金融、销售和管理相关用户发起攻击,可能导致敏感信息泄露、业务中断、被勒索等风险。
ValleyRAT是一种用C++编写的远程访问木马(RAT),疑似与APT组织“Silver Fox”相关联,该恶意软件侧重于以图形方式监视用户活动。攻击者发送伪装成金融或商业文档的诱饵,利用Microsoft Office等合法应用图标诱骗用户点击。一旦打开,恶意软件会通过创建互斥锁和修改注册表来建立持久性,并用虚拟环境检查、混淆技术、禁用防病毒软件等手段绕过检测,与命令和控制(C2)服务器通信后,下载ValleyRAT核心载荷,可执行监视、数据窃取、屏幕截图、文件执行、注册表操纵及系统功能控制等恶意活动,并可能进一步部署其他恶意负载扩大攻击。
CSTIS建议,相关单位和用户提高警惕,及时更新防病毒软件,实施全盘病毒查杀,谨慎下载运行来源不明的邮件或文档,保持软件更新,及时修复安全漏洞,定期备份数据等措施,防范网络攻击风险。
原文链接:
https://mp.weixin.qq.com/s/ubOLdw2m8nMVj-ymW8qE9g
FBI存储设备管理存在重大安全隐患,将安装“防护笼”
近日,美国司法部监察长办公室(OIG)发布的一项审计报告,揭示了联邦调查局(FBI)在管理和处理包含敏感和机密信息的存储设备方面存在严重安全隐患。
审计发现的主要问题包括三个方面:首先,FBI未能有效跟踪或记录从大型设备中拆卸的存储设备,如内部硬盘和闪存驱动器,这增加了设备丢失或被盗的风险;其次,FBI未能始终如一地对存储设备进行适当的分类标记,可能导致敏感信息的错误处理或未经授权的访问;最后,FBI进行存储设备销毁的设施存在物理安全不足问题,包括内部访问控制不完善、待销毁设备的临时存放管理存在安全隐患,以及监控摄像头失效等,这些都增加了机密信息泄露的风险。
FBI已确认审计发现的问题,并表示正在制定一项新的指令——“机密和敏感电子设备及材料的物理控制与销毁政策指令”。此外,FBI还表示正在安装一种特制的“保护笼”作为存储设备的存储点,并将加强视频监控覆盖。
原文链接:
https://www.bleepingcomputer.com/news/security/audit-finds-notable-security-gaps-in-fbis-storage-media-management/
上海电信发生断网事故,部分云宽带业务受到影响
8月26日下午,上海电信因为断网冲上热搜。有网友反映,上海部分区域电信宽带用户出现断网情况。对此,上海电信回应称,当日17时30分左右,上海电信部分宽带业务发生异常,经紧急抢修,已于18时05分全面恢复正常。
上海电信后来向媒体确认,上海电信城域网设备故障导致上海电信部分宽带业务发生异常,影响全市范围部分云宽带用户业务,上海电信其他业务均不受影响。上海电信表示,将加强巡查,梳理风险点,排除故障隐患。
原文链接:
https://www.thepaper.cn/newsDetail_forward_28530562
网络攻击
西雅图国际机场遭遇网络攻击,多项服务转为人工方式
8月25日西雅图-塔科马国际机场(SeaTac)官方确认,这个太平洋西北地区最繁忙机场之一遭遇了一个网络攻击,导致造成机场和西雅图港的网站、电子邮件和电话服务瘫痪,影响了旅客的出行计划。
这次网络攻击发生在当地时间周六(8月24日)清晨,一直持续到周日下午。攻击导致行李分拣系统受到干扰,部分航站楼显示屏出现问题。阿拉斯加航空公司表示,工作人员正在手动整理超过7000件行李,因为大部分托运行李受影响错过了航班。而使用机场"公共登机口"的航空公司不得不手写登机牌并手动检查行李。
这是SeaTac机场首次遭遇此类网络攻击。这次事件凸显了航空业对网络安全的脆弱性:一方面,行业运营与互联网之间的相互联系和依赖性不断增强;另一方面,近年来黑客攻击手段日益复杂,对航空运营设备和GPS系统构成潜在威胁。分析认为,此次攻击选择在周末非高峰时段进行,意在最大化对机场财务和声誉的损害。
原文链接:
https://www.seattletimes.com/business/sea-tac-airport-officials-say-cyberattack-disrupted-service-websites/
标价1万美元!Fortinet SSL VPN的RCE漏洞利用链已在暗网兜售
近日,一名自称掌握完整利用链的卖家正在暗网上兜售Fortinet SSLVPN 远程代码执行(RCE)漏洞利用链,叫价高达1万美元。
这套利用链声称可以针对所有Fortinet设备,包含了针对两个不同的CVE编号的攻击方法。卖家提供的套件包括4个Python 脚本文件,分别适用于x86和ARM32架构,同时还附带了必要的工具和地址信息。值得注意的是,如果买家需要AARCH64架构的版本,还需要额外付费。套件中还包含了一个shellcode生成器,可与两个CVE配合使用作为攻击载荷。此外,套件还提供了一个基于CVE-2024-23662的版本检测工具,以及详细的使用教程和示例银色代理载荷。
原文链接:
https://darkwebinformer.com/a-threat-actor-is-allegedly-selling-rce-exploits-for-fortinet-ssl-vpn/
伪装成流行金融应用程序,升级版Copybara恶意软件针对安卓用户展开多种攻击
近日,恶意软件Copybara升级后强势重来,经常伪装成流行的金融应用程序,对Android用户发起攻击。Copybara利用钓鱼页面模仿加密货币交易所和全球金融机构,诱使用户下载安装,然后展开多种攻击,包括键盘记录、媒体录制、短信劫持、屏幕捕获、凭证盗窃和远程设备控制等。
Copybara使用合法的Android应用开发框架B4A开发,使其能够更好地伪装成合法应用,包括模仿Google Chrome和IPTV应用程序。安装后,Copybara会强烈提示用户启用无障碍服务。一旦获得授权,其就能操控各种设备功能和设置,包括拦截短信、截图,甚至锁定设备。随后,它会从C2服务器下载钓鱼页面,诱使受害者输入敏感信息。除了数据盗窃,Copybara还能接收来自C2服务器的命令,执行锁定设备、截图和拦截短信等操作。此外,它还可以下载和安装其他恶意应用程序,进一步增强其能力,使其难以被移除。
最新版本的Copybara采用MQTT协议与其指挥控制(C2)服务器进行通信。MQTT是一种为资源受限设备和带宽有限环境设计的轻量级通信协议,常用于物联网场景。这一技术升级使得Copybara的通信更加安全和高效。
原文链接:
https://cyberpress.org/new-copybara-malware-remotely/#google_vignette
黑客利用AWS分发武器化的管理控制台文件
近日,网络安全分析师发现黑客正在利用AWS分发武器化的MSC(管理控制台)文件。AWS具有强大的计算能力、存储资源和全球覆盖范围,成为黑客发动攻击、托管恶意内容和隐藏活动的理想平台。
ASEC的分析师揭示了这种新型攻击的技术细节。攻击者巧妙地利用了MSC文件的XML结构,通过Microsoft管理控制台(MMC)执行恶意代码。最新变种的MSC恶意软件在文件的“<StringTables>”部分插入有效载荷,并利用apds.dll中的漏洞,主要针对威胁情报平台AhnLab TIP的用户群体。攻击过程中,恶意软件会执行一个合法的PDF文件作为掩护,同时“Edge.exe”加载“msedge.dll”。后者解密“Logs.txt”文件以生成shellcode。
这种利用AWS传播恶意软件的方式凸显了云服务在网络安全中的双刃剑效应。一方面,云服务为企业和个人用户提供了便利;另一方面,也为黑客提供了新的攻击途径。因此,加强对云服务使用的安全监管,提高用户的安全意识,成为当前网络安全工作的重中之重。
原文链接:
https://cybersecuritynews.com/hackers-exploit-amazon-services-weaponized-msc/
产业动态
YouTube推出AI助手:为被黑账户提供智能恢复服务
YouTube近日推出了基于人工智能的被黑频道助手,旨在帮助用户快速恢复被黑账户。这款智能工具通过一系列简洁的问题引导用户保护账户安全。在完成初步诊断后,系统会建议用户采取额外的安全措施,如启用多因素身份验证,以防范未来可能出现的安全风险。目前,该工具仅提供英文版本,但YouTube计划在明年初将支持语言扩展至13种广泛使用的语言。
作为Alphabet Inc.旗下公司,谷歌一直将用户安全置于首位。随着社交媒体黑客攻击事件的增加,YouTube此次推出的账户恢复流程旨在简化内容创作者恢复被攻击账户的过程,体现了平台对用户安全的重视。
原文链接:
https://www.cybersecurity-insiders.com/youtube-offers-ai-chatbot-assistance-for-hacked-accounts/?utm_source=feedly&utm_medium=rss&utm_campaign=youtube-offers-ai-chatbot-assistance-for-hacked-accounts
永信至诚半年报:营收同比增长18.48%,二季度实现扭亏为盈
永信至诚(股票代码:688244)8月27日发布2024年半年报。年报显示,2024年上半年公司营业收入1亿元,同比增长18.48%。其中,第二季度经营业绩增长加速,营业收入同比增长22.07%,净利润实现扭亏为盈。
报告期内,公司数字风洞测试评估实现营业收入3759万元,助力政府部门、能源、电力、电信等10多个关键行业和关键客户完成数字安全测试评估;网络靶场系列产品实现营业收入5254万元,持续保持增长态势;发布“春秋”靶场构建大模型、“春秋”安全竞赛大模型和“春秋”人才测评大模型三款安全垂直领域大模型产品,推动AI技术与主营业务深度融合。
原文链接:
http://www.cninfo.com.cn/new/disclosure/detail?plate=sse&orgId=9900032737&stockCode=688244&announcementId=1220984935&announcementTime=2024-08-27
天融信联合山东大学共同成立网络空间安全实战人才实践基地
近日,山东大学-天融信网络空间安全实战人才实践基地正式揭牌成立。据了解,双方将在前期合作的基础上,积极响应网络强国建设实战型人才培养号召,围绕漏洞挖掘、国产化课程培育、实战型人才培养、实战型师资共育等领域展开合作,推动在人才培养、学术研究、成果转化等方面取得更加丰硕的成果。
天融信科技集团董事长兼CEO李雪莹表示,天融信高度重视和山东大学的合作,并将以此为契机,探索和推动更多合作可能,把山东大学的技术转化成实际应用,共同推动网络安全产业高质量发展,为网络安全实战人才培养、密码数学人才培养贡献企业力量。
原文链接:
https://mp.weixin.qq.com/s/9tJerZFq-mykjXJkXHoXMQ