点击蓝字·关注我们 / aqniu
新闻速览
•四部委发布商用密码进口许可和出口管制清单
•国家密码管理局就《关键信息基础设施商用密码使用管理规定(征求意见稿)》公开征求意见
•NIST发布量子抗性加密时间表,规模化应用或提前至2028年
•香港首届网络安全攻防演练——“以攻筑防2024”活动启动
•低代码开发暗藏安全陷阱,微软Power Pages平台数百万用户数据或泄露
•云勒索软件攻击战术升级:PHP应用成为主要攻击目标
•全球数据巨头证实用户信息遭泄露,1.22亿用户联系信息遭曝光
•多功能恶意软件Legion Stealer V1来袭,网络摄像头成为泄密工具
•新型Glove恶意软件现身,可绕过Chrome浏览器Cookie加密机制
•Volt Typhoon僵尸网络组织重组归来,攻击能力或显著提升
•Google Cloud扩展CVE标识符应用范围,强化安全透明度承诺
特别关注
四部委发布商用密码进口许可和出口管制清单
11月15日,商务部、工业和信息化部、海关总署和国家密码局发布公告2024年第51号(关于发布《中华人民共和国两用物项出口管制清单》的公告)。
公告显示,根据《中华人民共和国出口管制法》《中华人民共和国两用物项出口管制条例》有关规定,现公布《中华人民共和国两用物项出口管制清单》,自2024年12月1日起实施。同日,商务部、海关总署公告2003年第5号(《关于对磷酸三丁酯实施临时出口管制的公告》)等11个公告废止;商务部、国家密码局、海关总署公告2020年第63号(《关于发布商用密码进口许可清单、出口管制清单和相关管理措施的公告》)所附《商用密码出口管制清单》及商用密码出口许可程序相关内容不再适用。
原文链接:
https://mp.weixin.qq.com/s/EZqcW86blnZ3o9nrkvSqQw
国家密码管理局就《关键信息基础设施商用密码使用管理规定(征求意见稿)》公开征求意见
为了规范关键信息基础设施商用密码使用,保护关键信息基础设施安全,根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《关键信息基础设施商用密码使用管理规定(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出意见:
登录国家密码管理局门户网站(网址:www.nca.gov.cn),进入首页“互动交流—意见征集”栏目提出意见。
电子邮件发送至:gmzcfg@sca.gov.cn,邮件主题请注明“《关键信息基础设施商用密码使用管理规定》反馈意见”字样。
信函寄至:北京市丰台区靛厂路7号国家密码管理局政策法规室(邮政编码:100036),信封上请注明“《关键信息基础设施商用密码使用管理规定》反馈意见”字样。
征求意见时间为2024年11月15日至2024年12月15日。
原文链接:
https://mp.weixin.qq.com/s/90eaHMFOU-9rfgnVckgP4A
热点观察
NIST发布量子抗性加密时间表,规模化应用或提前至2028年
美国国家标准与技术研究院(NIST)近日发布了政府机构向量子抗性加密技术过渡的时间表,计划在2035年前完成现有加密技术的替换。然而,分析师们认为,考虑到各国可能在2028年就实现规模化量子计算,企业界需要采取更快的行动。
NIST在最新发布的文件中对加密算法的使用状态进行了详细分类。"弃用"(deprecated)意味着可以继续使用某算法和密钥长度,但存在安全风险;"禁用"(disallowed)则意味着完全禁止使用相关算法或参数集。文件规定,所有现有的加密方案(包括ECDSA、RSA和EdDSA)必须在2035年后禁用,而112位的ECDSA和RSA将在2030年后被弃用。
值得注意的是,即使量子计算尚未实现规模化应用,采取快速行动仍然十分必要。这是因为存在"现在收集,以后解密"的威胁:对手可能会收集当前加密的数据,等到量子技术成熟后再进行解密。由于敏感数据往往具有长期价值,因此现在就开始向后量子密码学过渡至关重要。
原文链接:
https://www.csoonline.com/article/3604824/nist-publishes-timeline-for-quantum-resistant-cryptography-but-enterprises-must-move-faster.html
香港首届网络安全攻防演练——“以攻筑防2024”活动启动
为提升政府部门和公共机构识别和应对网络攻击的技术、经验及整体防御能力,香港特区政府11月15日开展首次香港网络安全攻防演练,为期三日两夜。活动由香港数字政策办公室(数字办)统筹主办,香港警务处网络安全及科技罪案调查科、香港互联网注册管理有限公司及香港资讯科技学院协办,邀请不同政府部门和公共机构参与。
网络攻防演练由相关专业人员在严格可控的环境中饰演攻击者(亦称红队),在演练期间负责对参与机构已投入运作的指定资讯系统发动模拟真实的网络攻击,识别潜在网安风险和漏洞。防守方(亦称蓝队)则以自身的技术和策略防御红队攻击,藉此提升团队应对各类网络威胁的应变技能和经验。
香港创新科技及工业局局长孙东教授表示,此次60小时的网络安全演习旨在通过模拟网络攻击,检验香港政府部门和公营机构的防御能力,同时对相关系统进行深入的安全评估及漏洞侦测。演习的终极理念是“知己知彼,百战不殆”,通过实战情境提升技术水平、经验和整体防御网络攻击的能力,确保关键基础设施的安全。
原文链接:
https://mp.weixin.qq.com/s/pqWi3CBeECe5aemIxhu2tw
网络攻击
低代码开发暗藏安全陷阱,微软Power Pages平台数百万用户数据或泄露
AppOmni首席SaaS安全研究员Aaron Costello最新披露,当前有大量使用Power Pages构建的网站存在访问控制缺失或配置错误的情况,或导致数百万用户数据泄露风险。Power Pages是从PowerApps Portals演变而来的低代码网站构建平台。该平台主要用于构建面向外部的网站,目前服务于超过1亿的月活跃用户。
研究显示,Power Pages虽然提供了完整的基于角色的访问控制功能,但许多网站并未正确实施这些控制措施。Power Pages的访问控制体系分为三个层次:网站级别的设置,用于定义用户身份验证和账户注册;表级控制,用于定义不同用户对数据的操作权限;以及最细粒度的Dataverse列级控制,如敏感信息掩码功能等。然而,Costello发现许多网站管理员并未充分利用这些安全机制。
这一安全隐患的后果极为严重。在研究过程中,Costello仅针对具有网络安全披露政策的组织进行测试,就发现了500万到700万条暴露的记录。其中一个典型案例是,某大型企业服务提供商泄露了110万英国国民保健署(NHS)员工的个人信息,包括电话号码、电子邮件地址和家庭住址等敏感数据。
原文链接:
https://www.darkreading.com/cybersecurity-operations/microsoft-power-pages-millions-private-records
云勒索软件攻击战术升级:PHP应用成为主要攻击目标
据SentinelOne最新发布的2024年云勒索软件态势报告显示,随着云服务提供商(CSP)不断加强数据保护能力,网络攻击者已开始将目标转向开发新型云勒索软件脚本,专门针对PHP应用程序发起攻击。
研究人员发现了多个专门针对PHP应用程序的新型勒索软件脚本,其中包括名为"Pandora"的Python脚本,以及归属于印度尼西亚黑客组织IndoSec的攻击工具。Pandora脚本使用AES加密技术针对PHP服务器、Android和Linux等系统发起攻击,通过OpenSSL库对文件进行加密。而IndoSec开发的勒索脚本则利用PHP后门来管理和删除文件,通过Web服务API对文件内容进行编码。
值得注意的是,攻击者还开始利用云服务本身的合法功能来窃取数据。今年9月,September Rhysdia和BianLian放弃了传统的MEGAsync和rclone等数据窃取工具,转而使用Azure Storage Explorer下载数据。10月,LockBit勒索软件组织被发现使用Amazon S3存储来窃取Windows和macOS系统的数据。
SentinelOne建议组织评估整体云环境,防止配置错误和存储桶权限过于开放。同时,实施良好的身份管理实践,如要求所有管理员账户启用多因素认证(MFA),并对所有云工作负载和资源部署运行时保护。
原文链接:
https://www.darkreading.com/cloud-security/cloud-ransomware-scripts-web-applications
全球数据巨头证实用户信息遭泄露,1.22亿用户联系信息遭曝光
全球B2B数据聚合公司DemandScience(前身为Pure Incubation)近日确认遭遇重大数据泄露事件,涉及1.22亿条商业联系信息。
据DemandScience公告显示,此次泄露的信息来自一个已停用近两年的系统。公司表示:"我们已进行了全面的内部调查,确认目前运营的系统均未遭到入侵。"这一声明是在该公司此前否认系统遭到入侵数月后发布的,当时KryptonZambie声称从一个配置错误的Pure Incubation系统中窃取了1.328亿条记录。
值得注意的是,KryptonZambie最终在8月中旬以8个积分的低价公开了全部被盗数据,这一行为进一步加大了数据泄露事件的影响范围。
原文链接:
https://www.scworld.com/brief/data-aggregator-breach-exposes-122m-individuals-info
多功能恶意软件Legion Stealer V1来袭,网络摄像头成为泄密工具
一款名为"Legion Stealer V1"的新型恶意软件近期引发网络安全专家的高度关注,该软件不仅能未经授权访问用户网络摄像头,还具备多项网络入侵功能,对用户隐私构成严重威胁。
ThreatMon网络安全研究人员观察发现,这款使用C#编写的恶意软件具有多重攻击功能,可以在用户不知情的情况下访问并可能录制网络摄像头内容,这种能力可能导致勒索或其他形式的网络犯罪。除此之外,该软件还能捕获屏幕截图、收集用户和网络信息、获取磁盘数据,甚至执行系统重启。为了躲避检测,Legion Stealer V1会试图禁用杀毒软件和任务管理器,并采用反调试和虚拟机检测等复杂的规避技术。
该软件专门针对流行的即时通讯平台,如Discord,可以窃取用户的nitro订阅信息、徽章、支付信息、电子邮件地址、电话号码和好友列表等敏感信息。Legion Stealer V1能够同时针对Chrome、Edge、Brave和Opera GX等多款主流浏览器发起攻击,这种广泛的兼容性不仅扩大了潜在受害者范围,也增加了威胁防范的难度。更值得警惕的是,该软件在黑市上被标榜为"无法检测",这意味着传统的安全措施可能难以识别和消除这一威胁。
原文链接:
https://cybersecuritynews.com/legion-stealer-v1/#google_vignette
新型Glove恶意软件现身,可绕过Chrome浏览器Cookie加密机制
安全研究人员近日发现了一种名为"Glove"的新型信息窃取恶意软件,其最显著特征是能够绕过Google Chrome浏览器的应用程序绑定加密,从而窃取浏览器Cookie信息。
Gen Digital安全研究团队在调查最近一起钓鱼攻击活动时首次发现了这款恶意软件。研究人员指出,这款信息窃取软件的结构"相对简单,仅包含最基本的混淆或保护机制",这表明该软件很可能仍处于早期开发阶段。攻击者使用了类似ClickFix感染链中的社会工程策略,通过在钓鱼邮件附带的HTML文件中显示虚假的错误窗口,诱骗潜在受害者安装恶意软件。
这款基于.NET的Glove Stealer恶意软件能够从Firefox和基于Chromium的浏览器(如Chrome、Edge、Brave、Yandex、Opera)中提取和窃取cookies。此外,它还具备以下窃取能力:从浏览器扩展程序窃取加密货币钱包;从Google、Microsoft、Aegis和LastPass认证器应用程序窃取双因素认证(2FA)会话令牌;从Bitwarden、LastPass和KeePass窃取密码数据;从Thunderbird等邮件客户端窃取邮件。
原文链接:
https://www.bleepingcomputer.com/news/security/new-glove-infostealer-malware-bypasses-google-chromes-cookie-encryption/
Volt Typhoon僵尸网络组织重组归来,攻击能力或显著提升
SecurityScorecard威胁情报团队"STRIKE" 11月12日发布报告指出,此前遭受全球执法机构联合打击的Volt Typhoon黑客组织已卷土重来,其攻击能力较之前更为强大和复杂,该组织正在积极利用Cisco RV320/325和Netgear ProSafe路由器的漏洞。这些设备被认为是网络犯罪分子的"完美入口点"。
技术分析显示,Volt Typhoon使用类似Mirai的MIPS恶意软件来建立隐蔽连接,通过8443端口转发进行指令控制通信,有效规避了安全团队的监控。此外,该组织还在路由器上植入了诸如fy.sh等网页后门,以确保对设备的持续访问和控制,从而在目标网络中维持持久性存在。
尽管该组织并未直接部署勒索软件,但报告指出其运营模式受到勒索软件即服务(RaaS)模式的影响,网络犯罪分子将数字勒索活动的收益投资于更复杂的工具开发,以开展更多以网络间谍活动为重点的攻击行动。
原文链接:
https://www.itpro.com/security/cyber-crime/the-infamous-volt-typhoon-hacker-group-is-back
产业动态
Google Cloud扩展CVE标识符应用范围,强化安全透明度承诺
Google Cloud宣布将为其云产品中发现的关键漏洞分配通用漏洞和暴露(CVE)标识符,即使这些漏洞不需要客户采取任何行动。这一立即生效的举措凸显了Google Cloud在增强安全实践和构建IT生态系统信任方面的决心。
作为标准化追踪机制,CVE系统已成为整个技术领域建立信任的关键组成部分,帮助软件和服务用户识别并确定漏洞优先级。为了区分无需客户操作的漏洞,Google Cloud将在CVE记录中引入"exclusively-hosted-service"标签,表明该漏洞已由Google内部处理完毕。
Google Cloud首席信息安全官Phil Venables强调了这一举措的重要性:"透明度和共同行动对于学习和缓解各类漏洞至关重要,这是对抗恶意行为者的重要组成部分。我们将继续在防御者社区中发挥引领和创新作用。"这一扩展的CVE计划与网络安全审查委员会(CSRB)的建议相一致,特别是在最近Storm-0558攻击导致多个组织(包括政府机构)电子邮件账户遭到入侵的背景下显得尤为重要。
原文链接:
https://cybersecuritynews.com/google-to-issue-cves/