第二批次安全可靠产品测评结果发布,新增24款产品 ; 一种新型Android木马可模仿Google Play非法更新应用 |牛览
日期:2024年05月21日 阅:13
新闻速览
ㆍ 第二批次安全可靠产品测评结果发布,新增24款产品
ㆍ 工信部等三部门联合印发《制造业企业供应链管理水平提升指南(试行)》
ㆍ 超过6000个AI大模型应用或面临远程代码执行安全风险
ㆍ 利用合法网站的猫式网络钓鱼攻击威胁激增
ㆍ 挪威国家网络安全中心要求关基单位在今年底前停用SSL VPN设备
ㆍ BreachForums改名“Breach Nation”,力图东山再起!
ㆍ 一种新型Android木马可模仿Google Play非法更新应用
ㆍ 黑客组织利用SugarGh0st RAT对美国AI研究机构发起攻击
ㆍ Facebook商业账户成为网络钓鱼攻击的新目标
ㆍ 微软将于7月份开始强制实施Azure多因素身份验证
ㆍ 中科网威与电科云达成战略合作
特别关注
第二批次安全可靠产品测评结果发布,新增24款产品
2024年5月20日,中国信息安全测评中心依据《安全可靠测评工作指南(试行)》相关要求,组织测评并发布《安全可靠测评结果公告(2024年第1号)》。公告显示,本次新增10款安全可靠等级为Ⅱ级(安全可靠程度更高)的CPU、4款Ⅰ级CPU;3款桌面操作系统、7款服务器操作系统。
据了解,中国信息安全测评中心在去年7月发布了针对PC和服务器搭载的CPU、操作系统及数据库等基础软硬件产品的《安全可靠测评工作指南(试行)》。根据指南要求,相关产品供应商可以在每年的1-2月及7-8月进行测评申报,产品测评通过后即被认定为安全可靠产品,相关测评结果可供政企客户选型购买时自主参考。2023年12月26日,首批《安全可靠测评结果公告(2023年第1号)》公布,有18款CPU、6款操作系统(桌面/服务器)和11款集中式数据库成功通过测评。
附表一、中央处理器(CPU)(同一等级按产品名称首字笔画为序排列)
附表二、操作系统(同一等级按产品名称首字笔画为序排列)
(一)桌面操作系统
(二)服务器操作系统
原文链接:
http://www.itsec.gov.cn/aqkkcp/cpgg/202405/t20240520_172866.html
工信部等三部门联合印发《制造业企业供应链管理水平提升指南(试行)》
近日,工业和信息化部、交通运输部、商务部联合印发《制造业企业供应链管理水平提升指南(试行)》(以下简称“指南”)。指南要求,提升制造业企业供应链管理水平是一项系统性工程,要以高起点部署供应链战略为引领,以保障循环畅通为底线,以提高质量和效益为目标,以高端化、智能化、绿色化为路径进行布局。
指南还要求,制造业企业应加快企业供应链数字化转型,依托物联网、5G、区块链、大数据、工业互联网、人工智能等新一代信息技术,集成供应链各环节量化作业数据,实现供应链运行数据化、模型化、可视化,提高分析预测、决策支撑、风险管控能力,降低企业运营成本,提高生产效率。
此外,指南将“网络和数据安全防护能力”列为制造业企业供应链管理水平的重要评价指标,并重点考量企业上一年度网络和数据安全投入占信息化的投入比例,以及发生网络和数据安全风险或事件的数量。
原文链接:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_ad63464eda124d2db5ed45bda05a51a1.html
热点观察
超过6000个AI大模型应用或面临远程代码执行安全风险
日前,安全研究人员Patrick Peng(网名为retro0reg)发布报告表示,在广泛适用于目前大语言模型 (LLM)的一个流行Python包中发现存在严重的安全缺陷,可能影响到6000多个已发布的大模型应用,并可能导致供应链攻击。该缺陷目前已被标记为CVE-2024-34359,存在远程代码执行的威胁。
这个缺陷存在于开源的llama-cpp-python包中,该包提供了广受欢迎的llama.cpp库的Python绑定。llama.cpp库是一个用于在个人计算机上运行Meta的LLaMA和Mitral AI模型的C++库。而llama-cpp-python包进一步使开发者能够将这些开源模型集成到Python中。
据了解,这个安全缺陷可能源于Jinja2模板引擎的错误实现,它允许Jinja2解析存储在元数据中的聊天模板,但没有进行适当的净化或沙箱处理,从而为攻击者注入恶意模板提供了机会。攻击者可以利用这个安全缺陷进行远程代码执行,从而对使用这些受影响的大型语言模型的系统造成严重的安全威胁。
原文链接:
https://www.scmagazine.com/news/6k-plus-ai-models-may-be-affected-by-critical-rce-vulnerability
利用合法网站的猫式网络钓鱼攻击威胁激增
据SiliconAngle 报道,惠普公司近日发布了《Wolf Security威胁洞察》报告,主要揭示了网络犯罪分子采用“猫式网络钓鱼”技术欺骗受害者的上升趋势。猫式网络钓鱼是攻击者利用合法网站中的漏洞,如开放重定向等来篡改URL,使其看起来值得信赖,导致用户错误点击链接,并在他们不知情的情况下将他们重定向到恶意网站。
该报告还发现,攻击者正在滥用Windows背景智能传输服务来下载未被检测到的恶意文件。这种滥用合法机制的行为使得攻击者能够绕过安全防御系统,使攻击变得更加隐蔽。此外,报告指出,网络犯罪分子还采用HTML走私技术,将恶意软件隐藏在冒充交付发票的HTML文件中。一旦用户在浏览器中打开这些发票,恶意软件就会被部署,从而对用户的系统造成威胁。
原文链接:
https://www.scmagazine.com/brief/report-cat-phishing-of-legitimate-websites-on-the-rise
挪威国家网络安全中心要求关基单位在今年底前停用SSL VPN设备
近日,挪威国家网络安全中心(NCSC)发布了一项公告,建议企业组织尽快用更安全的安全方案替换传统的SSLVPN和WebVPN解决方案,以应对降低黑客利用边缘设备漏洞入侵企业网络的风险。NCSC表示:尽管SSLVPN和WebVPN解决方案使用SSL/TLS协议在互联网上提供了安全的远程访问,但由于存在很多设备上的固有漏洞,它们已成为黑客攻击的重点目标。
为了替代这些不安全的解决方案,NCSC推荐采用Internet Protocol Security(IPsec)和Internet Key Exchange(IKEv2)协议。NCSC认为相比SSLVPN,IPsec与IKEv2更为安全,尤其在系统配置方面的要求更加严格。NCSC要求,和关键基础设施相关的组织应在2024年底之前完成过渡,而对于其他类型的组织,NCSC也建议其在2025年前完成替换。
原文链接:
https://thecyberexpress.com/replacement-of-sslvpn-and-webvpn/
网络攻击
BreachForums改名“Breach Nation”,力图东山再起!
近日,威胁行动者USDoD宣布了他的最新计划,即创建名为“Breach Nation”的新论坛,以取代被美国联邦调查局关闭的黑客论坛BreachForums。BreachForums一直是网络犯罪分子的主要市场,促进了盗取数据和黑客工具的交易。尽管该论坛的关闭是执法机构的重大胜利,但不到24小时后,USDoD宣布将重建并改进这一社区,展示了网络黑市的无情本质。
USDoD保证论坛的遗产和用户数据将被保留,并详细介绍了新论坛的资源和基础设施。新论坛的域名将为breachnation.io和databreached.io,计划于2024年7月4日上线,以象征美国独立日的重要性。USDoD强调他的目标是提供更强大的功能和安全性。USDoD的计划包括建立强大的基础设施,通过分离服务器来保证论坛的性能和安全性。他承诺不追求利润,将向前20万名用户提供升级会员等级作为善意的象征。USDoD承认面临来自执法机构和BreachForums管理员ShinyHunters的挑战,并表示将独自管理论坛以确保安全并建立信任。
USDoD是一个知名的威胁行动者,以NetSec在RaidForums上的身份而闻名。他以采用复杂的社交工程和冒充技术渗透安全系统而闻名,并曾曝光了多个知名组织的相关数据。此前,他声称对美国陆军、北约网络中心、CEPOL等机构的数据泄漏负责,并声称攻击了国防承包商Thales和中国共产党。新论坛的潜在影响尚不清楚,但它可能成为执法机构与网络犯罪之间持续斗争中的一个关键发展。
原文链接:
https://thecyberexpress.com/usdod-creation-of-breach-nation-forum/
一种新型Android木马可模仿Google Play非法更新应用
近日,网络安全公司Cyble Research and Intelligence Labs(CRIL)的研究部门发现了一种新型针对Android设备的银行木马。这种被称为”Antidot”的恶意软件采用了一系列高级恶意特性,包括覆盖攻击、键盘记录和混淆能力。Antidot木马伪装成Google Play更新应用程序,在用户安装时展示一个伪造的Google Play更新页面。这个虚假的更新页面使用多种语言制作,表明该恶意软件针对的是不同地区的Android用户。
在伪造的更新页面上,用户点击”继续”按钮后会被重定向到Android设备的辅助功能设置。一旦用户授予辅助功能权限,恶意软件将向服务器发送第一个”ping消息”,同时发送包含恶意代码信息的Base64编码数据。恶意软件与其命令与控制(C2)服务器建立HTTP连接,并通过socket.io库建立WebSocket通信,实现服务器与客户端之间的实时双向通信。恶意软件通过”ping”和”pong”消息维持与服务器的通信,并根据服务器生成的机器人ID发送统计信息并接收命令。
该木马可以实现35个命令,包括收集短信、发起USSD请求以及远程控制设备功能,如相机和屏幕锁定等。Cyble的研究人员指出,Antidot木马利用字符串混淆、加密和伪造更新页面的策略,旨在规避检测并在不同语言区域最大程度地扩大其影响力。
原文链接:
https://www.infosecurity-magazine.com/news/android-banking-trojan-google-play/
黑客组织利用SugarGh0st RAT对美国AI研究机构发起攻击
网络安全公司Proofpoint近日发现了一起新的网络攻击行动,该行动使用SugarGh0st远程访问木马(RAT)针对美国的AI研究机构展开攻击。该攻击行动与一个被称为UNK_SweetSpecter的威胁群体相关,其目标涉及企业、大学和政府机构。据报告显示,UNK_SweetSpecter在2024年5月的活动中使用免费电子邮件账户向潜在受害者发送了带有AI主题陷阱的电子邮件。这些电子邮件附带一个压缩文件,旨在诱使受害者打开,一旦打开压缩文件,其中的LNK快捷方式文件将启动一个JavaScript下载器,这个下载器会注入SugarGh0st RAT的代码。
攻击链与先前报告的思科Talos所描述的方法非常相似。它包括一个伪装成文档的文件、用于侧载的ActiveX工具以及经过Base64加密的二进制文件。JavaScript下载器被放置在一个库中,然后通过多阶段的shellcode运行JavaScript,最终释放了SugarGh0st RAT的恶意负载。
SugarGh0st RAT的目的是进行数据窃取、命令和控制(C2)心跳协议以及键盘记录。这一发现引起了对AI研究机构和个人的关注,因为这些机构在处理敏感的研究和知识产权时特别容易成为攻击目标。Proofpoint建议这些机构加强网络安全措施,包括教育员工警惕电子邮件陷阱、定期更新和维护安全软件,并进行网络流量监控以便及时检测和应对潜在的威胁。
原文链接:
Facebook商业账户成为网络钓鱼攻击的新目标
最近,一系列新的网络钓鱼攻击活动针对与Meta(Facebook)相关的商业账户展开。攻击者利用社交工程策略伪装成Facebook Ads团队,通过发送伪造的电子邮件来诱使用户点击恶意链接。这些攻击利用紧急情况和发件人名称伪造等手法,以合法的形式出现,但语法错误和嵌入的可疑链接揭示了钓鱼企图的破绽。一旦用户点击链接,他们将被引导至一个欺诈性的网页,旨在窃取商业账户的敏感信息,从而完全控制目标账户。
这一攻击活动的初衷是通过一系列技术步骤,最终接管整个账户。钓鱼邮件中嵌入的链接指向Netlify或Vercel托管的页面,引诱用户进行虚假的账户恢复过程。登陆页面被精心设计,旨在窃取Meta账户的关键信息,包括电子邮件、电话号码甚至财务细节。攻击者还利用多因素认证的弱点,通过连续两个验证码的要求,成功绕过了账户的多重认证,从而进一步危及账户的安全。
分析人员发现,这些攻击行为者通过越南语到英文的翻译重定向,利用Netlify创建链接、使用Microsoft邮箱登录Hotmail等服务,构建了相关基础设施。他们还使用电子表格来跟踪收益和成本,并锁定另一个电子表格,其中包含受攻击国家的信息,这表明攻击者计划在入侵商业广告账户后发动更多攻击。这一攻击活动使用了针对性的资源、基础设施和工具,攻击者还提供了自动化钓鱼活动的工具,包括将文本输入转换为CSV文件、检查活动钓鱼链接是否仍然有效等功能。
原文链接:
产业动态
微软将于7月份开始强制实施Azure多因素身份验证
日前,微软宣布将于7月份开始逐步强制实施多因素身份验证(MFA)以提高Azure用户的安全性。这一措施将首先在Azure门户推广,并随后在CLI、PowerShell和Terraform等工具中逐步推出。根据微软的研究结果显示,启用MFA的用户账户在面对可疑活动时,超过99.99%的账户成功抵御了黑客攻击。即使攻击者使用窃取的凭据,MFA仍能将被攻击的风险降低98.56%。微软计划通过发送电子邮件和官方通知向用户提供有关MFA强制实施的进一步信息,以确保用户在实施之前有足够的准备时间。
需要注意的是,MFA强制实施将不包括服务主体、托管标识、工作负载标识以及其他基于令牌的自动化账户。此外,学生、访客用户和其他终端用户仅在登录Azure门户、CLI、PowerShell或Terraform以管理Azure资源时受到影响,对于托管在Azure上的应用程序、网站或服务,身份验证政策仍由其所有者控制。
为了帮助管理员在实施之前启用MFA,微软建议他们使用Microsoft Entra的MFA向导,并使用身份验证方法注册报告和PowerShell脚本监控已注册MFA的用户。此举是微软提高MFA采用率的一部分,旨在确保账户安全。此前,微软已经宣布将在Microsoft管理门户(如Entra、Microsoft 365、Exchange和Azure)、云应用程序以及高风险登录时要求所有管理员进行MFA。
原文链接:
中科网威与电科云达成战略合作
近日,北京中科网威信息技术有限公司(简称“中科网威”)与电科云(北京)科技有限公司(简称“电科云”)在北京举行战略合作签约仪式。双方宣布将在容器云桌面、虚拟化IDV云桌面等产品的研发、生产制造、销售等领域展开深度合作,共同发掘、培育市场,推动双方长期、全面、深入的合作。
为确保合作顺利进行,双方将成立项目工作小组,建立日常工作制度,成立项目支持专职团队,确定双方协调组织专项负责人,进行技术及市场研究,互通项目信息,协调解决合作中出现的问题。同时,双方将利用各自资源进行广泛的研讨、业务技术交流、联合招商等活动,共同推动项目的顺利实施。
原文链接: