新闻速览
•国务院常务会议审议通过《网络数据安全管理条例(草案)》
•工信部:今年1-7月我国信息安全产品和服务收入增长放缓,同比增长7.5%
•加州大学圣克鲁斯分校就误导性网络钓鱼测试道歉
•攻击者伪造Palo Alto GlobalProtect应用安全软件发起攻击活动
•中国电信App、小程序系统突发故障,部分查询功能异常
•攻击者利用多个已修复的移动浏览器漏洞窃取数据
•LummaC2恶意软件在新变种中引入更先进的混淆技术
•Mirai僵尸网络利用AVTECH摄像头漏洞发起新兴DDoS攻击
•思科修复NX-OS软件高危漏洞,防范潜在的拒绝服务攻击
•戴尔考虑出售网络安全子公司Secureworks
特别关注
国务院常务会议审议通过《网络数据安全管理条例(草案)》
据央视新闻报道,8月30日,国务院总理李强主持召开国务院常务会议,审议通过《网络数据安全管理条例(草案)》。
会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。
据了解,该条例由国家网信办组织起草。2021年11月,国家网信办曾就《网络数据安全管理条例(草案)》公开征求意见,从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等多方面,作了详细规定。
在2022年度和2023年度国务院立法计划里,明确将《网络数据安全管理条例》纳入拟制定的行政法规中。今年5月,国务院办公厅发布的《国务院2024年度立法工作计划》再次提到,围绕健全国家安全法治体系,制定《网络数据安全管理条例》等。
原文链接:
https://mp.weixin.qq.com/s/BouiuxZSCCDYUXDswpLF9A
工信部:今年1-7月我国信息安全产品和服务收入增长放缓,同比增长7.5%
8月30日,工业和信息化部运行监测协调局发布了《2024年1-7月份软件业经济运行情况》监测报告。报告数据显示,今年1-7月,我国软件和信息技术服务业运行态势良好,软件业务收入和利润均保持两位数增长,业务收入73429亿元,同比增长11.2%;软件业利润总额8754亿元,同比增长12%。其中,信息安全产品和服务收入1088亿元,同比增长7.5%,收入增长放缓。
原文链接:
https://mp.weixin.qq.com/s/8c7Srj8xWcP9LmJm1VMdOg
热点观察
加州大学圣克鲁斯分校就误导性网络钓鱼测试道歉
员工网络安全培训计划和网络钓鱼测试通常对网络防范有好处,但如果对内容尺度把握不当,也会引起用户的恐慌和投诉。
上周,加州大学圣克鲁斯分校 (UCSC) 的学生和教职员工收到一封主题为“紧急通知:校园出现埃博拉病毒病例”的电子邮件,警告他们,一名最近前往非洲的教职员工被检测出感染了埃博拉病毒。
该电子邮件来自一个非大学电子邮件地址,并将用户引导至一个信息网站,其中一位收件人在Reddit上说该网站是一个 Proofpoint 网络钓鱼培训网站。
目前,该大学已为误导性的网络钓鱼测试进行了正式道歉,因为测试邮件内容引起了 UCSC 社区部分成员的恐慌和愤怒。据《圣克鲁斯瞭望台》报道,加州大学圣克鲁兹分校助理社会学教授艾丽西亚·莱利向大学安全团队发送了一封电子邮件,批评其在网络钓鱼测试中选择了虚假的埃博拉病毒声明。作为一名研究传染病死亡率和教授埃博拉病毒的人口健康科学家,莱利认为在周日早上用这个话题向大学社区发送模拟网络钓鱼攻击电子邮件是不负责任和低俗的。
测试发生后的第二天,加州大学圣克鲁兹分校首席信息安全官 Brian Hall 在一封电子邮件中向大学社区道歉。霍尔表示:“电子邮件内容不真实且不恰当,因为它引起了不必要的恐慌,可能会破坏公众对公共卫生信息的信任。我们对这一疏忽深表歉意。在网络钓鱼测试中使用埃博拉病毒也在无意中传播了有关南非的有害信息”。
原文链接:
https://lookout.co/uc-santa-cruz-after-phishing-test-gone-wrong-uc-santa-cruz-apologizes-for-false-alert-about-ebola-outbreak/
攻击者伪造Palo Alto GlobalProtect应用安全软件发起攻击活动
近日,安全研究人员发现在一波网络攻击活动中,攻击者将恶意软件伪装成Palo Alto GlobalProtect应用安全软件对中东地区组织发起攻击。这种恶意软件不仅能窃取数据,还能执行远程PowerShell命令,从而深入渗透目标组织的内部网络。
攻击者用来伪装的Palo Alto GlobalProtect应用广泛,提供多因素身份验证和安全VPN访问功能。分析认为,攻击者选择冒充这款软件,表明其目标是使用企业软件的高价值公司。
根据趋势科技研究人员的分析,攻击可能始于钓鱼邮件。受害者执行名为“setup.exe”的文件后,系统会部署一个名为“GlobalProtect.exe”的文件及其配置文件,并在后台会悄然加载恶意软件。为逃避检测,该恶意软件会先检查是否在沙盒环境中运行,然后再执行主要代码。它还使用AES加密对字符串和数据包进行加密,以隐藏与指挥与控制(C2)服务器的通信。感染后,恶意软件通过开源工具Interactsh与攻击者保持通信。这样,攻击者能够灵活地控制被感染系统并进行进一步的恶意活动。
原文链接:
https://www.bleepingcomputer.com/news/security/fake-palo-alto-globalprotect-used-as-lure-to-backdoor-enterprises/
中国电信App、小程序系统突发故障,部分查询功能异常
2024年9月1日,中国电信突发网络故障,导致其App和小程序的部分查询功能出现异常。
当天下午14:22,中国电信App官微发布微博称:因网络拥塞,中国电信App、中国电信小程序部分查询功能异常,12:55中国电信小程序已全面恢复,App查询功能目前存在部分不稳定情况,正在解决中。
经过近两个小时的紧急修复,中国电信于14:10成功解决了所有异常情况。中国电信官微在15:57发布最新通报,确认中国电信App和小程序的所有功能已全面恢复正常。
原文链接:
https://mp.weixin.qq.com/s/wCkT0awDyIRdQ6WOsn-LbQ
网络攻击
攻击者利用多个已修复的移动浏览器漏洞窃取数据
近日,网络安全研究人员揭露了一系列针对移动设备用户的高级网络攻击活动。这些攻击巧妙利用了Apple Safari和Google Chrome浏览器的多个已修复漏洞,意图植入信息窃取恶意软件。
据谷歌威胁分析组(TAG)研究人员报告,这些攻击活动发生在2023年11月至2024年7月期间。攻击者主要针对蒙古政府网站cabinet.gov.mn和mfa.gov.mn实施水坑攻击。他们利用了三个已被修复的关键漏洞:CVE-2023-41993(WebKit漏洞)、CVE-2024-4671(Chrome Visuals组件漏洞)和CVE-2024-5274(V8 JavaScript和WebAssembly引擎漏洞)。
攻击者针对不同设备采取了不同的攻击策略。对于iPhone或iPad用户,黑客首先入侵目标网站,植入恶意iframe组件,将用户引导至他们控制的域。当用户访问这些被篡改的网站时,攻击者会部署有效载荷进行验证检查,随后利用WebKit漏洞从设备中窃取浏览器cookie。
而对于Android Chrome用户,攻击者则注入恶意JavaScript代码,将用户重定向到危险链接。通过突破Chrome的网站隔离保护,黑客能够窃取包括cookie、密码、信用卡数据、浏览历史和信任令牌在内的各种敏感信息。
原文链接:
https://thehackernews.com/2024/08/russian-hackers-exploit-safari-and.html
LummaC2恶意软件在新变种中引入更先进的混淆技术
近期,网络安全研究人员发现了一种新的LummaC2恶意软件变种,其采用了更为复杂的混淆技术,在网络攻击中的使用频率显著增加。这种被称为Lumma信息窃取者的恶意软件,展现出了令人担忧的技术进步。
据安全公司Ontinue的最新报告,这个LummaC2新变种的攻击链程序极为精密。首先,它通过经过高度混淆的PowerShell命令进行初始下载。随后,它执行一个AES加密的第二阶段有效载荷,这使得恶意代码能够成功注入Windows进程。这一过程不仅建立了与攻击者的命令与控制(C2)通信,还确保了持久性连接,为后续的数据盗窃操作铺平了道路。
研究人员在深入分析中还发现,该恶意软件包含了自定义的User-Agent字符串,这是一种旨在规避检测的高级技术。这一发现与另一个LummaC2变种的出现时间相近,后者据报道在数据盗窃活动中使用三角函数技术来检测人类用户,显示出攻击者不断提升技术水平的趋势。
原文链接:
https://www.scmagazine.com/brief/more-advanced-stealthy-lummac2-malware-variant-emerges
漏洞预警
Mirai僵尸网络利用AVTECH摄像头漏洞发起新兴DDoS攻击
近日,研究人员发现一种基于Mirai的新型DDoS攻击僵尸网络正在利用已停产的AVTECH监控摄像头的零日漏洞进行传播。
据报道,这个已停产的AVTECH AVM1203监控摄像头的零日漏洞(CVE-2024-7029)可被利用来进行代码注入。Akamai的研究人员进一步分析发现,攻击者正在利用这个漏洞执行JavaScript文件,部署恶意软件变种Corona Mirai。一旦成功感染设备,该恶意软件会通过Telnet连接大量主机,使用的端口包括23、2323和37215。此外,它还会在被感染主机的控制台上打印"Corona"字样。
考虑到AVTECH已不再为受影响的摄像头型号提供安全更新,安全专家强烈建议使用这些设备的组织立即升级到新版本的摄像头,以防止成为这个新兴僵尸网络的一部分。
原文链接:
https://www.scmagazine.com/brief/mirai-variant-deployed-via-avtech-security-camera-exploit
思科修复NX-OS软件高危漏洞,防范潜在的拒绝服务攻击
近日,网络设备厂商思科发布了一系列针对NX-OS软件的重要安全更新,其中包括一个高危漏洞的修复。这个被追踪为CVE-2024-20446的漏洞存在于NX-OS的DHCPv6中继代理中,如果被利用,可能导致严重的拒绝服务(DoS)攻击。
据思科官方通告,该漏洞的根源在于系统对DHCPv6 RELAY-REPLY消息中特定字段的处理不当。攻击者可以通过向受影响设备配置的任意IPv6地址发送精心构造的DHCPv6数据包来触发漏洞。一旦攻击成功,可能导致dhcp_snoop进程崩溃并多次重启,最终使受影响设备重启,从而实现DoS攻击。
这个高危漏洞主要影响思科Nexus 3000和7000系列交换机,以及以独立NX-OS模式运行的Nexus 9000系列交换机。然而,漏洞的触发条件较为特定:设备必须至少配置一个IPv6地址,运行思科NX-OS软件版本8.2(11)、9.3(9)或10.2(1),并且启用DHCPv6中继代理功能。思科表示,目前该漏洞唯一的修复方法是应用最新的安全补丁。
原文链接:
https://securityaffairs.com/167785/security/cisco-high-severity-flaw-nx-os.html
产业动态
戴尔考虑出售网络安全子公司Secureworks
据路透社报道,戴尔科技正在考虑将其持有大部分股份的上市安全公司Secureworks出售给私募股权投资者或其他买家,并已聘请摩根士丹利和派珀·桑德勒两家投资银行探讨此事。
戴尔于2011年收购Secureworks,并于2016年将其上市。此后,戴尔曾多次考虑出售Secureworks。近年来,Secureworks从传统的管理安全服务提供商(MSSP)转型为专注于提供扩展检测与响应(XDR)能力的公司。
值得注意的是,过去几年,包括KnowBe4、Proofpoint、SailPoint和Ping Identity在内的多家上市网络安全供应商通过与私募股权投资者的交易实现私有化。最新报告显示,Darktrace、Tenable和Trend Micro等六家安全供应商也可能成为下一批私有化的对象。分析认为,这些潜在交易反映了网络安全行业的持续整合趋势,以及私募股权对该领域的浓厚兴趣。
如果交易成功,这将为Secureworks带来新的发展机遇,同时也可能影响网络安全市场格局。消息公布后,Secureworks股价在上周四下午上涨近20%,达到每股8.66美元。
原文链接:
https://www.crn.com/news/security/2024/dell-may-seek-to-sell-secureworks-to-private-equity-report