新闻速览

•2024年世界互联网大会乌镇峰会将于11月19日开幕

•美国政府宣布将采用TLP协议共享网络威胁信息

•Rust语言成黑客新宠，勒索团伙推出高度定制化攻击工具

•WarmCookie：一种比Resident更危险、更强大的新型网络间谍软件

•多轮对话中的隐藏威胁：AI大模型正在被”欺骗性愉悦”攻击所利用

•代码中的定时炸弹！数百万Android和iOS用户面临硬编码凭据暴露风险

•CNNVD通报Fortinet FortiManager访问控制错误漏洞相关情况

•概念验证被公开，微软SharePoint反序列化漏洞利用风险骤增

特别关注

2024年世界互联网大会乌镇峰会将于11月19日开幕

10月24日，世界互联网大会国际组织在北京举行新闻发布会，介绍2024年世界互联网大会乌镇峰会的基本情况、亮点特色及总体筹备进展情况。本次峰会将全面聚焦人工智能，以“拥抱以人为本、智能向善的数字未来——携手构建网络空间命运共同体”为主题，于11月19日至22日在中国浙江省乌镇举行。

除举办开幕式、主论坛外，本次乌镇峰会将围绕全球发展倡议、数字经济、开源生态发展、数据治理、人工智能技术创新与治理、青年与数字未来等议题举办24场分论坛。在往年特色基础上，本次乌镇峰会将持续推陈出新：

全新设立“世界互联网大会杰出贡献奖”，以表彰在全球互联网相关领域做出杰出贡献的个人和企业，峰会期间将举办隆重的颁奖典礼；

成立世界互联网大会人工智能专业委员会，作为大会国际组织成立后设立的第一个专业化、常态化分支机构，将搭建人工智能国际交流合作平台；

启动世界互联网大会智库合作计划，预计约60家全球互联网领域国际高端智库共同参与；

设立世界互联网大会数字研修院，并举办全球互联网人才卓越计划研修班，为全球特别是发展中国家政府部门、社会组织、企业管理层搭建国际化研修平台。

原文链接：

https://mp.weixin.qq.com/s/M8SO_9kvWIvhwF1wVXEq7w

美国政府宣布将采用TLP协议共享网络威胁信息

近日，美国联邦政府宣布将全面采用TLP协议（Traffic Light Protocol，简称TLP）来促进与网络安全社区和企业组织之间的网络威胁信息共享。这有利于加强政府与网络安全研究社区之间的信任，确保在不违反现有法律或政策的前提下，高效共享重要的威胁数据。

美国国家网络中心主任Harry Coker, Jr.表示，充分的信息共享是网络安全领域的基本要求。美国国家网络主任办公室（ONCD）致力于与合作伙伴协作，亟需明确指引以确保整个联邦政府能够全面、安全地处理威胁信息。

TLP由美国国土安全部支持的事件响应和安全团队论坛（FIRST）开发并管理，是一种广泛使用的标记系统，用于指定数据、文件或其他通信的信息处理权限。虽然这些标准不具有法律约束力，但它们已成为业界广泛接受和实践的数据传播期望沟通方式。采用TLP协议的决定或有助于打破信息孤岛，促进跨部门、跨领域的威胁情报共享，最终提高整个国家应对网络威胁的能力。然而，实施过程中也将如何平衡信息共享与保密需求等挑战。

原文链接：

https://www.infosecurity-magazine.com/news/us-government-threat-sharing-tlp/

网络攻击

Rust语言成黑客新宠，勒索团伙推出高度定制化攻击工具

近日，安全公司ESET的研究人员发现，Embargo勒索软件团伙正在使用基于Rust语言开发的定制工具来突破网络安全防护。这套新工具包于2024年7月的一起勒索攻击事件中首次被发现，包含一个名为MDeployer的加载程序和一个被称为MS4Killer的EDR杀手。

MDeployer是Embargo团伙用于在受损网络中部署的主要恶意加载程序，其目的是促进勒索软件的执行和文件加密。当勒索软件完成加密后，MDeployer会终止MS4Killer进程，删除相关文件，并重启系统。值得注意的是，MDeployer还具有将受害者系统重启至安全模式的功能，以禁用选定的安全解决方案。

而MS4Killer是一个防御规避工具，利用自带漏洞驱动程序（BYOVD）技术来终止安全产品进程。它针对每个受害者环境单独编译的，专门针对特定安全解决方案，这使得它尤为危险。

MDeployer、MS4Killer和相关勒索软件有效载荷均采用Rust语言编写，表明这是该团伙开发者的首选编程语言。这套定制工具的主要目的是通过禁用受害者基础设施中的安全解决方案，并在攻击的不同阶段复制相同的功能，以提高攻击的成功率。

原文链接：

https://www.infosecurity-magazine.com/news/embargo-ransomware-defense-evasion/

WarmCookie：一种比Resident更危险、更强大的新型网络间谍软件

近日，思科Talos安全团队公开揭示了一种名为WarmCookie（又称BadSpace）的新型恶意软件。自2024年4月以来，该恶意软件通过恶意邮件和广告活动积极传播，对全球企业组织的网络安全构成严重威胁。

WarmCookie主要通过电子邮件附件或嵌入的超链接进行传播，诱饵主题包括工作机会或发票等。该恶意软件具备多种功能，包括命令执行、截图捕获和有效载荷部署，使攻击者能够长期控制受损系统。值得注意的是，WarmCookie与名为TA866的威胁组织存在关联。

研究人员还发现，WarmCookie与Resident后门在核心功能和编码规范上存在重叠，暗示这两个恶意软件家族可能由同一实体开发。思科安全专家指出，与Resident后门相比，WarmCookie的功能和命令支持更为强大。此外，WarmCookie通常作为入侵活动的初始访问有效载荷，而Resident后门则在多个其他组件部署后进行后期部署。

WarmCookie的感染链通常始于恶意JavaScript下载器。最新样本显示，WarmCookie正在不断演变，其持久性机制、命令结构和沙盒检测能力都得到了更新。研究人员预计，随着攻击者不断完善其功能，WarmCookie将继续演变。

原文链接：

https://www.infosecurity-magazine.com/news/malware-warmcookie-users-malicious/

多轮对话中的隐藏威胁：AI大模型正在被”欺骗性愉悦”攻击所利用

近日，Palo Alto网络公司的安全研究人员Jay Chen和Royce Lu共同揭示了一种名为”欺骗性愉悦”的新型AI对抗性攻击技术，该技术能够在互动对话过程中通过巧妙混合无害和不良指令来越狱大语言模型（LLM）。这种方法被证明简单而有效，平均攻击成功率（ASR）高达64.6%。

据介绍，”欺骗性愉悦”是一种多轮对话攻击技术，通过与LLM进行互动对话，逐步绕过其安全防护，诱导其生成不安全或有害内容。与其他多轮越狱方法不同，”欺骗性愉悦”利用LLM内在的弱点，特别是其有限的注意力范围，通过在两个对话轮次中操纵上下文来欺骗模型无意中生成不安全内容。

为降低”欺骗性愉悦”带来的风险，研究人员建议采用有效的内容过滤策略，使用提示工程来增强LLM的弹性，并明确定义可接受的输入和输出范围。他们强调，这些发现不应被视为AI本质上不安全或不可靠的证明，而是突显了需要多层防御策略来降低越狱风险，同时保持这些模型的效用和灵活性。

原文链接：

https://thehackernews.com/2024/10/researchers-reveal-deceptive-delight.html

代码中的定时炸弹！数百万Android和iOS用户面临硬编码凭据暴露风险

近日，赛门铁克网络安全研究人员发现，多款广受欢迎的移动应用程序在其源代码中直接暴露了云服务凭据，这一安全漏洞可能影响数百万Android和iOS用户。这些应用包括下载量超过500万次的Pic Stitch、拥有390万条评分的Crumbl、，以及其他多个知名应用。

研究人员发现，这些应用在代码中直接嵌入了未加密的AWS访问密钥、秘密密钥、WebSocket安全URL和Microsoft Azure Blob存储身份验证令牌等敏感信息。这种做法被称为”硬编码凭据”，指的是将明文密码和其他敏感信息直接嵌入应用程序的源代码中。这种不安全的做法使得这些应用容易受到二进制分析和源代码检查的攻击。例如，Pic Stitch的”loadAmazonCredential()”方法和Crumbl的“AWSStaticCredentialsProvider”实现暴露了可能导致未经授权访问后端服务的生产级凭据。恶意行为者如果获得这些应用程序的二进制文件或源代码，就可能提取这些凭据，进而未经授权访问敏感的云存储资源，导致数据泄露和后端基础设施被破坏。这一问题同时影响iOS和Android平台，凸显了移动应用开发实践中存在的系统性问题。

为了缓解这些风险，安全专家建议开发者使用环境变量、实施秘密管理、加密敏感数据、进行代码审查和审计、实施自动化安全扫描、保持软件更新等；建议用户不要从未知来源下载应用，安装合适的安全应用，密切关注应用请求的权限，并确保定期备份重要数据。

原文链接：

https://cybersecuritynews.com/hardcoded-creds-mobile-apps/

安全漏洞

CNNVD通报Fortinet FortiManager访问控制错误漏洞相关情况

近日，国家信息安全漏洞库(CNNVD)收到关于Fortinet FortiManager访问控制错误漏洞(CNNVD-202410-2613、CVE-2024-47575)情况的报送。攻击者可以通过构造恶意请求绕过身份认证，在目标设备执行任意命令。

Fortinet FortiManager是美国飞塔（Fortinet）公司的一套集中化网络安全管理平台。该平台支持集中管理任意数量的Fortinet设备，并能够将设备分组到不同的管理域进一步简化多设备安全部署与管理。Fortinet FortiManager存在访问控制错误漏洞，该漏洞源于缺少关键功能的身份验证，允许攻击者通过特制的请求执行任意代码或命令。

FortiManager多个版本均受此漏洞影响，包括：FortiManager 7.6.0版本，FortiManager 7.4.0版本-7.4.4版本，FortiManager 7.2.0版本-7.2.7版本，FortiManager 7.0.0版本-7.0.12版本，FortiManager 6.4.0版本-6.4.14版本，FortiManager 6.2.0版本-6.2.12版本等。

目前，Fortinet官方已发布新版本修复了该漏洞，CNNVD建议用户及时确认产品版本，尽快采取修补措施。

官方参考链接：

https://fortiguard.fortinet.com/psirt/FG-IR-24-423

概念验证被公开，微软SharePoint反序列化漏洞利用风险骤增

研究人员近日发现，微软SharePoint平台中一个高严重性漏洞（CVE-2024-38094）在GitHub上出现了公开可见的漏洞利用PoC，因此其被实际利用的风险进一步加剧。

该漏洞是一种反序列化漏洞，常被恶意网络攻击者用作攻击向量。如果被成功利用，攻击者可能获得远程执行代码的能力，对企业构成严重威胁。微软公司的官方通告指出：”通过身份验证的攻击者可以利用该漏洞注入任意代码，并在SharePoint服务器的上下文中执行该代码。”

尽管目前关于该漏洞如何被积极利用的具体细节尚未披露，但安全专家强烈建议所有使用SharePoint的组织尽快更新系统，以防止潜在的安全威胁。微软已于今年7月发布了针对该漏洞的补丁，作为Patch Tuesday更新的一部分。对于无法立即更新的组织，建议采取临时缓解措施，如限制对SharePoint服务器的访问，加强网络监控，以及实施多层次的安全防护策略。

原文链接：

https://www.darkreading.com/vulnerabilities-threats/microsoft-sharepoint-vuln-active-exploit

CISA就ICONICS和三菱电机ICS产品中的高风险漏洞发布紧急风险提示

美国网络安全和基础设施安全局（CISA）于10月22日发布了一份重要的工业控制系统（ICS）安全风险公告，披露了一个影响ICONICS和三菱电机产品套件的高风险漏洞（编号为CVE-2024-7587）。

公告显示，这个漏洞源于不当的默认权限设置，可能导致未经授权的用户访问关键数据。如果被成功利用，可能造成数据泄露、未经授权的数据篡改，甚至是拒绝服务（DoS）攻击。受影响的产品包括ICONICS套件（GENESIS64、Hyper Historian、AnalytiX和MobileHMI，版本10.97.3及更早版本）以及三菱电机MC Works64的所有版本。

虽然该漏洞需要本地访问才能利用，但考虑到这些产品在全球各行业，特别是关键制造业中的广泛应用，其潜在影响不容忽视。漏洞的CVSS向量为（CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H），表明它可能对系统的机密性、完整性和可用性造成重大危害。

为应对这一威胁，CISA建议对于ICONICS产品：使用10.97.3 CFR1版本或更高版本；对现有系统从 ICONICS 下载并安装最新版本的 GenBroker32；验证并修正C:\ProgramData\ICONICS文件夹的权限，删除对”所有人”组的访问权限。CISA还建议用户对于三菱电机MC Works64，定期应用安全补丁并持续监控访问权限。

原文链接：

https://thecyberexpress.com/iconics-and-mitsubishi-electric-vulnerability/