新闻速览

•四部门联合开展“清朗·网络平台算法典型问题治理”专项行动

•违反《网络安全法》相关规定，快手被依法处罚

•远程链式WiFi攻击手法曝光，传统物理接近已非必需

•APT组织Gelsemium战术升级，首次部署Linux恶意软件开展攻击活动

•军人社交平台服务器配置失误，百万用户隐私数据或遭泄露

•警惕基于已知漏洞的链式攻击，超2000台Palo Alto防火墙或被攻陷

•Kubernetes官方披露远程代码执行漏洞，可突破容器边界执行任意命令

•封禁超240个域名，最大钓鱼即服务平台ONNX遭微软封杀

•云安全独角兽Wiz拟4.5亿美元收购Dazz，强化云安全修复能力

特别关注

四部门联合开展“清朗·网络平台算法典型问题治理”专项行动

为进一步深化互联网信息服务算法综合治理，中央网信办、工业和信息化部、公安部、国家市场监督管理总局决定自即日起至2025年2月14日，联合开展“清朗·网络平台算法典型问题治理”专项行动。行动主要任务包括：

1. 深入整治“信息茧房”、诱导沉迷问题。构建“信息茧房”防范机制，提升推送内容多样性丰富性。严禁推送高度同质化内容诱导用户沉迷。不得强制要求用户选择兴趣标签，不得将违法和不良信息记入用户标签并据以推送信息，不得超范围收集用户个人信息用于内容推送。规范设置“不感兴趣”等负反馈功能。
2. 提升榜单透明度打击操纵榜单行为。全面公示热搜榜单算法原理，提升榜单透明度和可解释性。完善榜单日志留存，提高榜单算法原理可验证性。健全水军刷榜、水军账号等违规行为、账号检测识别技术手段，严管不法分子恶意利用榜单排序规则操纵榜单、炒作热点行为。
3. 防范盲目追求利益侵害新就业形态劳动者权益。严防一味压缩配送时间导致配送超时率、交通违章率、事故发生率上升等问题。详细公示时间预估、费用计算、路线规划等算法规则。搭建畅通的申诉渠道，及时受理劳动者因交通管制、交通事故、恶劣天气等不可控因素导致的配送超时等申诉。
4. 严禁利用算法实施大数据“杀熟”。严禁利用用户年龄、职业、消费水平等特征，对相同商品实施差异化定价行为。提升优惠促销透明度，清晰说明优惠券的领取条件、发放数量和使用规则等内容。客观如实说明优惠券领取失败原因，严禁以“来晚了”“擦肩而过”等提示词掩盖真实原因。
5. 增强算法向上向善服务保护网民合法权益。持续优化完善面向未成年人、老年人的算法推荐服务，便利未成年人、老年人获取有益身心健康的信息。建立健全算法在赋能优质内容传播、违法行为识别发现等方面的社会治理应用。持续提升生成合成信息检测识别能力，及时发现处理违法违规生成合成信息。
6. 落实算法安全主体责任。健全算法机制机理审核、数据安全的管理制度和技术措施。确保算法的训练数据具有合法来源，及时检测修复代码安全漏洞和算法逻辑缺陷，定期对算法模型的可用性、可控性、可解释性以及数据处理、模型训练、部署运行等环节开展安全评估。

原文链接：

https://mp.weixin.qq.com/s/JTQxUDz9snae3gefR61kcQ

违反《网络安全法》相关规定，快手被依法处罚

据“国家网络安全通报中心”微信公众号22日消息，近日，针对快手公司短视频中存在违法信息等问题，公安机关依据《网络安全法》规定，依法给予快手公司警告处罚。经查，快手公司存在对法律、行政法规禁止发布或者传输的信息未及时处置，以及落实青少年模式不到位等情况，导致违法信息扩散，危害未成年人身心健康，违反了《网络安全法》相关规定。公安机关依法对快手公司给予行政处罚，责令其全面落实青少年模式，全面排查清理违法信息，并依法依规处置违法违规账号。

公安机关要求，各互联网平台须引以为鉴，举一反三，切实履行信息网络安全管理主体责任，严格落实网络实名制，加强源头治理、综合治理，有效防止违法信息传播，坚决防范违法信息对未成年人造成侵蚀危害。

原文链接：

https://mp.weixin.qq.com/s/tp323lUloSv2j0aBS1qdIg

网络攻击

远程链式WiFi攻击手法曝光，传统物理接近已非必需

网络安全公司Volexity最新披露，APT28黑客组织（又称Fancy Bear）在2022年对华盛顿特区的一个目标机构实施了一种被称为“最近邻攻击”的创新攻击模式，标志着WiFi入侵技术达到了新的高度。

与传统的WiFi攻击需要黑客携带设备在目标建筑物附近实施不同，APT28实现了远程WiFi入侵。他们首先入侵了目标大楼对面建筑中的一台笔记本电脑，随后利用该设备的无线网卡作为跳板，成功突破了街对面目标机构的WiFi网络。调查显示，黑客不仅实现了跨街区的WiFi入侵，还可能通过同一建筑内的其他网络实施了“链式入侵”。APT28利用获取的WiFi凭据和Windows打印后台程序漏洞，成功获取了目标系统的管理权限。

前Mandiant威胁情报主管John Hultquist评论说，这种远程WiFi入侵方法是APT28“近距离接入”黑客技术的自然演进，预计未来类似攻击会更加普遍。这一事件也凸显了高价值目标WiFi安全防护升级的紧迫性。

原文链接：

https://www.wired.com/story/russia-gru-apt28-wifi-daisy-chain-breach/

APT组织Gelsemium战术升级，首次部署Linux恶意软件开展攻击活动

ESET研究人员近期发现了一款名为WolfsBane的Linux后门程序，该程序被归属于高级持续性威胁（APT）组织Gelsemium。这是该组织首次被公开报道使用Linux恶意软件，标志着其作战策略的重大转变。

作为一款网络间谍工具，WolfsBane主要用于窃取系统信息、用户凭证，以及特定文件和目录等敏感数据。该恶意软件具备持久化访问能力，可以隐蔽地执行命令，在实现长期情报收集的同时有效规避检测。其核心特性包括定制的网络通信库、复杂的命令执行机制，以及与其Windows版本相似的配置结构，同时还使用了此前已知的Gelsemium关联域名。

研究人员发现，WolfsBane的攻击链包含三个阶段：首先，投递程序伪装成合法的命令调度工具，将启动器和后门程序放置在隐藏目录中；其次，利用启动器维持持久性并启动后门；最后，后门程序加载嵌入式库以实现主要功能和网络通信。值得注意的是，WolfsBane使用了经过修改的开源BEURK用户空间rootkit来隐藏其活动，通过钩取基本标准C库函数来过滤与恶意软件相关的结果。

原文链接：

https://cybersecuritynews.com/gelsemium-apt-hackers-attacking-linux-servers/

军人社交平台服务器配置失误，百万用户隐私数据或遭泄露

据Hackread报道，近日美英军人社交和约会服务平台Forces Penpals因服务器配置错误，导致超过110万用户的个人信息遭到泄露。安全研究人员Jeremy Fowler通过vpnMentor发布的报告详细披露了此次事件。

此次暴露的非加密数据库中包含了军人及其支持者的敏感信息，涉及全名、图片、邮寄地址、位置信息、社会安全号码（SSN）和国民保险号码（NIN）等个人数据。更为严重的是，现役军人的军衍、服役证明和军种信息也在泄露之列。

Jeremy Fowler在报告中指出：“在有限的样本调查中，我看到的文件主要是用户图片，此外还包括一些潜在敏感的服役证明文件。”虽然Forces Penpals表示这次数据泄露是由代码错误导致，且问题已得到解决，但关于数据库遭受未经授权访问的具体情况，以及公开暴露的持续时间等细节仍不明确。考虑到涉及军人的敏感身份信息，这次数据泄露事件的安全影响值得高度关注。

原文链接：

https://www.scworld.com/brief/misconfigured-forces-penpals-server-leaks-over-1-1m-users-data

漏洞预警

警惕基于已知漏洞的链式攻击，超2000台Palo Alto防火墙或被攻陷

Shadowserver Foundation最新扫描数据显示，攻击者利用最近修复的两个零日漏洞（CVE-2024-0012和CVE-2024-9474），已经成功入侵了约2000台Palo Alto Networks防火墙设备，受影响设备主要分布在美国和印度。

Palo Alto Networks在两周前首次发出警告，称发现攻击者正在利用一个零日漏洞对设备实施远程代码执行攻击。该公司于11月18日进一步确认了两个零日漏洞的存在：CVE-2024-0012允许未经身份验证访问管理界面，而CVE-2024-9474则使攻击者能够将权限提升至root级别。攻击者利用这些漏洞在受感染设备上植入了webshell。

WatchTowr研究团队随后发布了这两个漏洞协同利用的技术分析，并提供了Nuclei模板供管理员检测设备是否受到影响。然而，攻击活动仍在持续。Palo Alto Networks的Unit 42安全团队评估认为，链式利用这两个漏洞的功能性攻击代码已公开，可能导致更广泛的威胁活动。该团队还观察到与第三方攻击工具广泛传播时间线相符的手动和自动化扫描活动。

值得注意的是，这两个漏洞不仅影响防火墙设备，还波及到Palo Alto Networks的Panorama（防火墙管理）设备和用于可疑文件分析的WildFire沙箱系统。Palo Alto 公司表示，正在积极调查这些漏洞的影响范围，并与客户密切合作提供缓解支持。

原文链接：

Kubernetes官方披露远程代码执行漏洞，可突破容器边界执行任意命令

近日，Kubernetes社区披露了一个高危安全漏洞（CVE-2024-10220），该漏洞允许攻击者突破容器边界执行任意命令。

据Kubernetes安全响应委员会分析，该漏洞存在于多个Kubernetes版本中，包括kubelet v1.30.0至v1.30.2、v1.29.0至v1.29.6，以及v1.28.11及更早版本。攻击者可能通过利用目标仓库中的hooks文件夹，在容器边界之外执行任意命令。具有创建Pod和关联gitRepo卷权限的攻击者可能会利用此漏洞执行恶意命令，从而危及受影响Kubernetes集群的安全。

为应对这一安全威胁，Kubernetes已发布了修复版本，包括kubelet v1.31.0、v1.30.3、v1.29.7和v1.28.12。安全专家建议使用init容器执行Git克隆操作，然后将目录挂载到Pod的容器中，从而有效规避该漏洞带来的风险。

原文链接：

https://cybersecuritynews.com/critical-kubernetes-vulnerability/

产业动态

封禁超240个域名，最大钓鱼即服务平台ONNX遭微软封杀

微软近日采取法律行动，查封了属于钓鱼即服务（Phishing-as-a-Service）平台ONNX的240个域名。该平台自2017年以来一直为犯罪分子提供服务。微软《2024数字防御报告》显示，ONNX是最大的中间人钓鱼服务提供商，仅2024年上半年就发起了数百万次针对Microsoft 365账户的钓鱼邮件攻击。

ONNX通过Telegram销售钓鱼工具包，采用订阅服务模式，月费从150美元到550美元不等。该平台提供的钓鱼工具包专门针对多家科技行业公司，其中包括Google、Dropbox、Rackspace和Microsoft等。ONNX的攻击通过Telegram机器人进行控制，并内置双因素认证（2FA）绕过机制。最近，该平台还启用了针对金融机构员工的二维码钓鱼攻击（又称quishing）。ONNX利用防弹托管服务来延迟钓鱼域名的下线时间，同时使用自解密的加密JavaScript代码，这些特性使其能够有效实施攻击并逃避检测。

微软数字犯罪部门助理总法律顾问Steven Masada表示，这次行动向那些试图复制微软服务并在网上危害用户的人发出了强烈信号：微软将积极采取补救措施保护其服务和客户，并不断改进技术和法律策略。

原文链接：

https://www.darkreading.com/cybersecurity-operations/microsoft-takes-action-against-phishing-service-platform

云安全独角兽Wiz拟4.5亿美元收购Dazz，强化云安全修复能力

云安全领域独角兽企业Wiz日前宣布，计划以4.5亿美元收购专注于云环境修复的初创公司Dazz，旨在通过整合Dazz的“行业领先的修复引擎”来扩展其云计算和AI安全平台能力。

Dazz提供专注于修复的云安全平台，具备应用安全态势管理和持续威胁与暴露管理等功能。自2021年成立以来，Dazz已累计获得1.1亿美元融资，其中包括今年7月完成的5000万美元融资轮。Wiz联合创始人兼首席执行官Assaf Rappaport表示，此次收购将使Wiz能够“赋能安全团队在统一平台上关联多源数据并管理应用风险”。这是Wiz在2024年的第二次收购，此前该公司已于4月份收购了云检测和响应提供商Gem Security。

作为一家成立仅四年的公司，Wiz发展迅猛。今年5月，该公司以120亿美元估值完成10亿美元新一轮融资。据报道，其年度经常性收入（ARR）已从今年早些时候的3.5亿美元增长至超过5亿美元。

原文链接：

https://www.crn.com/news/security/2024/wiz-to-acquire-cloud-remediation-startup-dazz-for-450-million