新闻速览

•工信部：发展低空产业 安全是重要前提

•首届“数证杯”电子数据取证分析大赛报名启动

•新型勒索软件Ymir现身，与RustyStealer组成危险攻击联盟

•Remcos  RAT新型变种出现，可通过多层加密技术规避安全检测

•MFA保护也会失效！黑客利用Cookie窃取突破MFA防线

•黑客通过伪装npm包针对Roblox开发者发起攻击

•Epson打印机设备曝严重安全漏洞，攻击者可创建恶意管理员账户

•D-Link  NAS存储设备曝命令注入漏洞，超6万台设备或面临远程劫持风险

•Veeam备份软件曝远程代码执行漏洞，55万用户或面临勒索攻击风险

特别关注

工信部：发展低空产业 安全是重要前提

据央视新闻报道，2024低空装备产业创新发展大会11日在广州举行。我国将在粤港澳大湾区探索智能网联“无人机+汽车”一体化产业发展新模式。工业和信息化部副部长辛国斌在大会中表示，要在确保安全的前提下，着力探索破除低空产业发展面临的体制机制障碍，持续推动创新要素向低空产业流动，擦亮民用无人机产品名片，打造低空产业发展的湾区模式。

在低空产业蓬勃发展的进程中，除了探索新模式、构建新体系外，工业和信息化部着重强调了安全的重要性。当前低空产业发展迅速，其复杂的应用场景、庞大的设备数量对于低空装备本体安全、人员安全、运行安全、通信安全及环境安全等提出了极高的要求。工业和信息化部有关负责人表示，保障低空装备在运行过程中的安全性是低空产业发展的核心任务。

刚刚发布的《新能源新构型低空装备安全技术体系报告（2024版）》也指出，当前我国正推动构建覆盖低空装备设计研制、试验验证、试飞交付、应用示范、服务监管等全产业链的工业标准体系，全力提升低空装备的整体安全性能。下一步，将推动跨行业、跨组织、跨地区的合作，健全低空装备安全设计标准规范和研究成果推广应用，推动建设第三方检验检测和试飞验证体系，保障低空装备产业安全健康发展。

原文链接：

https://mp.weixin.qq.com/s/fV8kElqaOJqqIMwy2o14yQ

首届“数证杯”电子数据取证分析大赛报名启动

首届“数证杯”电子数据取证分析大赛报名启动，本次大赛由公安部十一局指导，公安部第三研究所、公安部鉴定中心、安徽省公安厅联合主办，安徽省网络安全协会协办，公安部第一研究所、最高人民检察院检察技术信息研究中心、中国合格评定国家认可委员会、清华大学网络科学与网络空间研究院等单位作为支撑单位。

大赛面向央国企、互联网企业、科研院校等不同机构电子数据取证分析从业人员公开招募，旨在推动各领域电子数据取证分析技术的创新发展，汇聚全国范围内的电子数据取证分析领域的精英人才同台竞技。

大赛模拟真实的电子数据取证分析实战场景，赛程分为线上初赛和线下决赛。初赛将于近日线上举办；决赛于12月初在安徽省合肥市线下举办。具体初赛报名、决赛赛程安排等详见大赛官网（https://shuzhengcup.gass.cn）。大赛设置团队赛、个人赛，分设一等奖、二等奖、三等奖以及优胜奖。大赛特别邀请国内电子数据取证分析领域的专家担任大赛评委，为参赛选手提供公平、公正、专业的评价。欢迎各行业电子数据取证分析人才踊跃报名参加，共同推动电子数据取证与分析技术的发展。

原文链接：

https://mp.weixin.qq.com/s/3pOxvZqKs1T3XLmhWdowcQ

网络攻击

新型勒索软件Ymir现身，与RustyStealer组成危险攻击联盟

卡巴斯基实验室近期在一次事件响应中发现了一个名为”Ymir”的全新勒索软件家族。该软件专门针对此前已被RustyStealer信息窃取恶意软件入侵的系统发起加密攻击。这种协同作战模式凸显了网络犯罪组织日益紧密合作的新趋势。

据卡巴斯基研究人员介绍，这种新型勒索软件具有多个显著特征：采用内存执行技术、在代码注释中使用非洲林加拉语、使用PDF文件进行勒索通知，并提供扩展名配置选项。虽然研究人员发现Ymir会连接到可能用于数据窃取的外部服务器，但该勒索软件本身并不具备数据窃取功能。而在Ymir部署前，RustyStealer就会入侵了目标基础设施中的多个系统。RustyStealer作为一款凭证收集工具，通过窃取高权限账户的合法凭证，为攻击者实现横向移动提供了便利。

这种”双刃剑”式的攻击模式体现了网络犯罪分工的专业化：RustyStealer负责前期渗透和信息窃取，为后续Ymir的勒索攻击铺平道路。这种新型协同攻击方式的出现，为企业信息安全防护敲响了警钟，也凸显了多层次防御体系的重要性。

原文链接：

https://www.bleepingcomputer.com/news/security/new-ymir-ransomware-partners-with-rustystealer-in-attacks/

Remcos RAT新型变种出现，可通过多层加密技术规避安全检测

据Fortinet研究员最新研究显示，网络攻击者已对商业版远程访问工具Remcos进行了恶意改造，通过多层脚本语言包装恶意代码，包括JavaScript、VBScript和PowerShell，以规避检测和分析，最终实现对Microsoft Windows设备的完全控制。

这个最新攻击活动利用了未修补的Microsoft Office和WordPad文件解析远程代码执行漏洞（CVE-2017-0199）。攻击链始于一封钓鱼邮件，诱使用户点击伪装成商业订单的Excel文件。一旦文件被激活，就会利用该漏洞下载恶意负载。

新版Remcos采用了多项复杂的规避分析技术。其代码使用不同的脚本语言和编码方法进行多层包装，包括JavaScript、VBScript、Base64编码、URL编码和PowerShell，以此保护自身免受检测和分析。该恶意软件随后运行经过大量混淆的PowerShell代码。值得注意的是，这些代码仅在32位PowerShell进程中运行。在攻击链的各个环节，该软件都设置了多重分析障碍，包括安装向量化异常处理程序、以不规则方式获取和调用系统API，并使用工具检查调试器。一旦准备就绪，威胁行为者会下载一个加密文件，其中包含在当前进程内存中运行的Remcos RAT恶意版本，这使得最新变体实现了无文件化运行。

原文链接：

https://www.darkreading.com/application-security/revamped-remcos-rat-microsoft-windows-users

MFA保护也会失效！黑客利用Cookie窃取突破MFA防线

Malwarebytes的网络安全研究人员近期发现，黑客正在通过窃取会话Cookie来绕过多因素认证（MFA），从而入侵受MFA保护的电子邮件账户。虽然MFA通过要求用户提供密码之外的额外验证来增强电子邮件账户的安全性，但这种新型攻击方式展示了其潜在的脆弱性。

当用户登录任何网站时，服务器会创建一个唯一的会话ID，并将其以Cookie的形式保存在浏览器中。这个会话Cookie通常有30天的有效期，作为登录信标帮助用户实现无障碍登录。然而，一旦威胁行为者窃取了这个特定的登录会话Cookie，他们就能绕过MFA要求的额外认证步骤，直接访问账户，这是因为被窃取的Cookie包含了有效的会话信息。

研究人员表示，会话Cookie可能通过多种方式被窃取，包括在不安全网络上的中间人攻击，或针对用户设备的恶意软件感染。特别是信息窃取类恶意软件，这种更为复杂的变体专门用于渗透和窃取会话Cookie以及infected设备中的其他重要数据。

为防范此类攻击，安全专家建议用户在所有设备上安装安全软件并保持更新，谨慎使用”记住我”选项，并定期检查重要账户的登录历史。此外，企业应加强对Cookie安全管理的重视，建立相应的安全策略和监控机制。

原文链接：

https://cybersecuritynews.com/hackers-hijack-mfa-enabled/

黑客通过伪装npm包针对Roblox开发者发起攻击

研究人员最近发现，五个针对Roblox开发者的恶意npm包通过传播恶意软件来窃取凭证和个人信息。这些包包括autoadv、ro.dll、node-dlls，以及两个版本的rolimons-api，它们被设计成模仿Roblox开发者社区常用的合法模块。

根据数据显示，截至2024年第二季度，在线平台和游戏制作系统Roblox拥有7950万日活跃用户，其中58%的用户年龄在13岁或以上，开发者社区规模达到260万。平台的巨大人气使其成为网络犯罪分子窃取敏感信息和非法访问用户账户的诱人目标。

Socket的威胁研究团队向网络安全新闻透露，这些恶意包中包含混淆代码，用于下载和执行Skuld信息窃取器和Blank Grabber恶意软件。其中，用Go语言编写的Skuld信息窃取器专门用于从Windows系统中获取敏感数据，特别是来自Discord、基于Chromium和Firefox的浏览器以及加密货币钱包等程序的数据。而基于Python的Blank Grabber恶意软件则通过其易用的GUI设计器，允许威胁行为者修改恶意软件的行为以绕过用户账户控制（UAC）或禁用Windows Defender。被盗取的数据随后通过Telegram或Discord webhooks传送给攻击者。

原文链接：

https://cybersecuritynews.com/roblox-developers-under-attack/

漏洞预警

Epson打印机设备曝严重安全漏洞，攻击者可创建恶意管理员账户

近日，安全研究人员发现多款Epson设备存在一个较严重的安全漏洞（CVE-2024-47295），影响范围包括打印机、扫描仪和网络接口产品。这个漏洞源于设备管理员密码配置的重大疏忽，可能导致设备被未经授权的攻击者完全控制。

据报道，当Epson设备的管理员密码为空时，攻击者可以通过Web Config接口设置恶意管理员账户，从而获得对设备的完全控制权限。这种安全漏洞可能导致设备被非法使用、数据泄露，甚至被用作进一步入侵网络的跳板。受影响的产品范围广泛，涉及Epson多个产品线，包括：喷墨打印机、激光打印机、针式打印机、照片打印机和网络接口产品。

尽管尚未发现该漏洞被实际利用，但Epson公司仍然敦促所有用户立即配置强密码，并强调了遵循行业标准安全实践的重要性，包括使用强密码替换默认密码、确保设备位于防火墙之后，以及定期更新设备固件并关注安全公告。

原文链接：

https://cybersecuritynews.com/epson-devices-vulnerability/

D-Link NAS存储设备曝命令注入漏洞，超6万台设备或面临远程劫持风险

安全研究机构NetSecFish最近披露了一个影响D-Link网络附加存储（NAS）设备的高危安全漏洞CVE-2024-10914。这个命令注入漏洞可能允许攻击者远程劫持联网存储设备，不仅可以访问存储的数据，还可能将设备作为跳板入侵本地网络中的其他系统。

该漏洞的CVSS评分为9.2，被列为严重安全风险。根据NetSecFish的研究，这个漏洞源于某些D-Link设备处理通过GET命令发送的CGI命令的方式。具体来说，漏洞存在于CGI脚本cgi_user_add命令中name参数的处理过程中。未经身份验证的攻击者可以通过精心构造的HTTP GET请求注入任意shell命令，目前互联网上有超过61,000台设备受到影响。

威胁行为者可以向存在漏洞的NAS设备发送包含任意命令的GET请求，由于设备未能正确验证输入，这些指令会被执行，从而导致远程代码执行，也就是实现对设备的完全控制。更棘手的是，由于很多受影响设备都已被D-Link列为进入服务终止（EOS）或生命周期终止（EOL）阶段，因此不会提供相关漏洞的补丁更新，而是建议更换新设备。

原文链接：

https://www.scworld.com/news/nas-ty-flaw-strikes-d-link-storage-boxes

Veeam备份软件曝远程代码执行漏洞，55万用户或面临勒索攻击风险

安全研究人员发现，威胁行为者正在积极利用Veeam备份与复制软件中的一个高危漏洞（CVE-2024-40711）部署名为“Frag”的新型勒索软件。该漏洞允许未经身份验证的远程代码执行，在CVSS中的评分为9.8。

Sophos X-Ops研究人员报告称，这些攻击是他们命名为STAC 5881的威胁活动一部分。该组织先通过入侵VPN设备获得网络初始访问权限，随后利用Veeam漏洞创建恶意管理员账户。这个严重漏洞影响Veeam备份与复制软件12.1.2.172及更早版本。值得注意的是，作为一款被全球超过55万客户使用的主流备份解决方案（包括74%的全球2000强企业），Veeam已于2024年9月初发布了漏洞补丁。

Frag勒索软件通过命令行执行，攻击者需要指定文件加密的百分比，并为加密文件添加“.frag”扩展名。Sophos已将Frag二进制文件的检测功能添加到其终端保护软件中。研究人员注意到Frag操作者与Akira和Fog勒索软件背后的组织使用了相似的战术和技术，这表明可能存在关联或有新的攻击者采用了已确立的攻击策略。

原文链接：

https://cybersecuritynews.com/veeam-rce-frag-ransomware/