新闻速览
•9项网络安全国家标准获批发布,2024年4月1日起施行
•2024 年第三季邮件安全态势观察:二维码钓鱼攻击已常态化
•2024年活跃的勒索软件组织数量同比激增30%
•日本科技巨头卡西欧遭网络攻击,部分业务系统中断
•MisterioLNK:一种难以被检测的新型恶意文件加载器
•融合多种攻击模式,新型Gorilla僵尸网络全球发起超过30万起DDoS攻击
•警惕!黑客可利用DNS隧道服务绕过网络防火墙
•微软发布10月补丁日安全更新,共修复121个安全漏洞
•Juniper发布新型安全AI原生边缘解决方案
特别关注
9项网络安全国家标准获批发布,2024年4月1日起施
根据2024年9月29日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第22号),全国网络安全标准化技术委员会归口的9项国家标准日前正式发布。具体清单如下:
原文链接:
https://mp.weixin.qq.com/s/735HV8NvO0hOuTlWEFNdow
热点观察
2024 年第三季邮件安全态势观察:二维码钓鱼攻击已常态化
根据ASRC (Asia Spam-message Research Center) 研究中心与守内安公司的监测观察,2024年第三季度,电子邮件安全的整体基调仍以泛滥的钓鱼邮件为主,而利用二维码将钓鱼链接编码的攻击已渐渐常态化,成为钓鱼邮件流行的一种类型。
通过二维码隐藏钓鱼地址的钓鱼行动,称为 Quishing(QR code phishing),本质上是一种网络钓鱼攻击,与传统网络钓鱼攻击有许多相同的概念与技术。区别在于利用二维码隐藏钓鱼地址以防安全机制的侦测,且受攻击者多半以手机来解码二维码,因此能够将钓鱼攻击目标由受保护的个人计算机,转移至较不受保护的个人电子设备,危害性更加明显。
此外,比较值得注意的是,本季度发现试图利用 CVE-2014-4114 漏洞的恶意邮件趋势明显升高,附件文件多为.ppt。研究人员建议组织避免使用盗版的 Office 软件并确保适时进行安全更新,才能有效避开这个历时十年不衰的漏洞影响。
原文链接:
https://mp.weixin.qq.com/s/f2AtbAR6LzCwCM6PPcW8MA
2024年活跃的勒索软件组织数量同比激增30%
Secureworks日前发布第八版《年度威胁状况调查报告》,列出了过去12个月进入勒索软件生态系统的31个新组织。报告指出,此前勒索攻击威胁领域由少数几个大组织主导,如今出现了更广泛的新兴组织,活跃的勒索软件组织数量同比激增30%
按受害者数量划分,最活跃的三个勒索软件组织是:LockBit、PLAY和RansomHub。BlackCat/ALPHV曾是最活跃的勒索软件组织之一,但今年未能跻身前三,执法活动已严重打击了其活动。Secureworks指出,尽管勒索软件组织在增加,但受害者数量并没有以同样的幅度增加。这表明了更分散的生态格局。
AI工具现在广泛使用,很容易被人用于正当用途和不当用途。与此同时,中间攻击者(AiTM)攻击被用来窃取凭据和会话cookie,企图访问网络。这可能会降低某些类型的多因素身份验证(MFA)的有效性。
原文链接:
https://www.infosecurity-magazine.com/news/new-ransomware-groups-emerge-2024/
网络攻击
日本科技巨头卡西欧遭网络攻击,部分业务系统中断
据Bleepingcomputer网站报道,日本科技巨头卡西欧公司近日遭遇网络攻击,有未经授权的攻击者入侵了卡西欧的网络,导致部分业务系统运行中断,并影响了部分线上服务的提供。
卡西欧品牌的母公司卡西欧电脑公司目前已对网络攻击事件进行了官方回应:卡西欧计算机株式会社证实遭到第三方未经授权的访问。经过内部调查,我们发现未经授权的访问导致系统故障,导致部分服务无法提供。我们目前正在调查细节,也邀请了外部专门机构共同协助调查,以确认是否存在任何信息泄露,包括个人信息和其他重要信息。
卡西欧公司同时表示,已向相关数据保护监管机构报告了这起事件,并迅速实施了限制外部人员访问的措施。目前还没有任何勒索软件组织声称对卡西欧遭到的攻击负责。
原文链接:
https://www.bleepingcomputer.com/news/security/casio-reports-it-systems-failure-after-weekend-network-breach/
MisterioLNK:一种难以被检测的新型恶意文件加载器
Cyble的研究人员日前发现了一种新的加载器构建和混淆工具,这种工具难以被现有的安全工具检测出来。Cyble研究和情报实验室表示,在GitHub上发现的“MisterioLNK”加载器构建工具对安全防御提出了重大挑战,因为该工具生成的文件目前基本上未被传统安全系统检测出来。
MisterioLNK开源加载器构建工具利用Windows脚本引擎,在使用混淆手法的同时执行恶意载荷。它经过精心设计,能够悄然运行,在启动文件之前将文件下载到临时目录中,从而增强了规避能力,使传统安全措施难以检测出来。
MisterioLNK支持五种加载器方法:HTA、BAT、CMD、VBS和LNK,还支持面向VBS、CMD和BAT的混淆方法,计划增添支持HTA混淆方法的功能。该项目目前处于测试阶段,开发人员声称对使用该软件进行的非法活动不承担任何责任。
研究人员表示,攻击者已经开始使用MisterioLNK生成经过混淆处理的文件,用于部署Remcos RAT、DC RAT和BlankStealer等恶意软件。
原文链接:
https://thecyberexpress.com/misteriolnk-loader-missed-by-security-tools/
融合多种攻击模式,新型Gorilla僵尸网络全球发起超过30万起DDoS攻击
The Hacker News报道,9月4日至9月27日期间,新型Gorilla僵尸网络(又名GorillaBot)已经实施了30多万起分布式拒绝服务(DDoS)攻击,针对100多个国家的电信、银行、教育、政府、游戏和博彩等行业的组织。
NSFOCUS的分析结果显示,美国、加拿大、德国和我国都是Gorilla僵尸网络攻击的主要目标,该僵尸网络利用了UDP洪水、Valve Source Engine洪水、ACK BYPASS洪水、ACK洪水和SYN洪水等攻击技术,以及旧的Apache Hadoop YARN RPC漏洞。
NSFOCUS的研究人员表示,Gorilla引入了各种DDoS攻击方法,使用Keksec组织常用的加密算法来隐藏关键信息,同时采用多种技术对物联网设备和云主机实行长期控制,这种新兴的僵尸网络系列表现出了很强的反检测意识。另一方面,网络安全研究人员Fox_threatintel特别指出,一年多来Gorilla僵尸网络一直被用于攻击。
原文链接:
https://www.scmagazine.com/brief/global-attacks-of-novel-gorilla-botnet-exceed-300k
警惕!黑客可利用DNS隧道服务绕过网络防火墙
DNS隧道是一种通过利用DNS协议隐藏信息的黑客技术。这种攻击使攻击者能够规避防火墙和安全措施。黑客获取通常编码在DNS查询和响应中的信息,从而能够泄露敏感信息,并对受攻击系统实施操控。
派拓网络公司的Unit 42研究团队最近发现,黑客一直在大肆利用DNS隧道服务绕过网络防火墙。DNS隧道将人类可读的域名转换成机器可读的IP地址(比如“192.168.1.1”)。这种攻击针对端口53(“UDP”和“TCP”),该端口在组织防火墙中通常敞开且不受监控,以便DNS通信。
在这种攻击方法中,攻击者先用恶意软件感染客户端系统,然后将窃取的数据编码到子域查询中(比如“stolen-data.attacker-domain[.]com”)。然后通过DNS请求将其传输到由攻击者控制的权威DNS(aDNS)服务器。攻击通过使用“循环DNS服务器”作为中介来实现隐身,这使得恶意流量显示为合法的DNS查询。
通过将指令编码到DNS响应中,攻击者还可以将命令发回到受感染的系统。这有助于建立隐蔽的“C2”通道。这种技术已被Evasive Serpens(即OilRig)和Obscure Serpens(即DarkHydrus)之类的威胁组织用来攻击关键基础设施。
原文链接:
https://cybersecuritynews.com/hackers-exploiting-dns-tunneling/
产业动态
微软发布10月补丁日安全更新,共修复121个安全漏洞
北京时间2024年10月9日,微软公司发布了最新安全更新,共发布了121个CVE的补丁程序,同比上月增加42个。在漏洞安全等级方面,存在3个标记等级为“紧急”的漏洞,116个漏洞被标记为“高危/重要”等级的漏洞,2个被标记为“中等”的漏洞;在漏洞类型方面,主要有46个远程代码执行漏洞,28个权限提升漏洞以及6个信息泄露漏洞。
微软官方已更新受影响软件的安全补丁,用户可根据不同系统版本下载安装对应的安全补丁。
安全更新链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43572
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43573
Juniper发布新型安全AI原生边缘解决方案
企业日益依赖与网络系统有效集成的网络安全解决方案。Juniper Networks(瞻博网络)近日推出了一种新方法,不仅可以增强安全,还可以简化网络运营管理。
瞻博安全AI原生边缘(Juniper Secure AI-Native Edge)解决方案集成了跨网络和安全领域的关键运营,为客户和合作伙伴提供了统一的工具集。这种方法旨在提高可见性、控制和整体运营效率,最终增强安全的用户体验。通过推出安全保障产品,瞻博将屡次获奖的AI原生运营与一流安全能力相结合。这种集成旨在加快网络威胁的检测和消除,从而更有效地响应潜在的安全问题。
该解决方案的关键是新的Mist Security Assurance软件订阅,它将安全管理整合到单一仪表板中,便于管理员创建详细的用户身份验证和应用程序访问策略,丰富用户体验洞察力,以简化安全实施。
瞻博凭借最近在Cyber Ratings企业防火墙测试中的表现,展示了出色的安全功效。其优势来自高级威胁情报和基于AI的行为检测,确保在不影响性能的情况下迅速应对新旧威胁。
原文链接:
https://www.sdxcentral.com/articles/stringerai-announcements/juniper-networks-introduces-secure-ai-native-edge-solution/2024/10/