宏观新闻
【国家网信办修订《移动互联网应用程序信息服务管理规定》发布施行】 国家互联网信息办公室6月14日发布新修订的《移动互联网应用程序信息服务管理规定》。新《规定》自2022年8月1日起施行。国家互联网信息办公室有关负责人表示,修订发布新《规定》旨在进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展。国家互联网信息办公室有关负责人介绍,《移动互联网应用程序信息服务管理规定》自2016年8月1日施行以来,对于维护网络信息内容生态,保护公民、法人和其他组织的合法权益发挥了积极作用。但随着移动应用程序快速发展、广泛应用,新情况新问题不断出现,需要适应形势发展进行修订完善。新《规定》共27条,包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款。新《规定》提出,应用程序提供者和应用程序分发平台应当遵守法律法规,大力弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,自觉遵守公序良俗,积极履行社会责任,维护清朗网络空间。新《规定》要求,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。
【物联网勒索软件攻击或成为关键基础设施安全保护的噩梦】 勒索软件攻击仍然是关键基础设施部门和运营技术(OT)环境的噩梦。近日,一种称为物联网勒索软件或R4IoT方法的新攻击浮出水面。概念验证(PoC)揭示了网络犯罪分子日益复杂的行为,因为他们将IT、物联网和OT环境串联在一起,形成了一个巨大的攻击视图。在数字化转型竞争优势的推动下,越来越多的工业企业正在将以前孤立的运营技术(OT)连接到企业IT网络,同时还将新的物联网和工业物联网资产引入这些融合的OT/IT环境。这导致工业系统越来越容易受到新型网络威胁的影响,对物理安全和环境产生严重影响。这些威胁的性质和规模意味着工业系统运营者无法独立应对,对抗类似R4IoT方法的攻击必须成为工业过程各个方面的优先事项。Forescout Technologies的Vedere Labs展示了下一代勒索软件如何利用物联网设备进行初始访问,利用部署加密矿工和数据泄露来攻击IT设备,并利用不良的OT安全实践对业务运营造成物理中断(例如破坏PLC)。通过破坏IoT、IT和OT资产,R4IoT方法超越了通常的加密和数据泄露,从而导致业务运营的物理中断。一旦域控制器处于黑客的控制之下,他们将能够将其*器武**化以进行大规模的恶意软件部署并建立他们的命令和控制(C&C)通道。基本上,在这个阶段,组织资产、流程和网络的布局就像一张自助餐桌,用于赎金或破坏。鉴于此类威胁可能造成的严重的破坏程度,R4IoT方法被描述为下一代勒索软件。
【2021年路由器漏洞数量超过去十年总和】 卡巴斯基发布研究报告引用相关数据指出,在过去的2020年至2021年,路由器漏洞数量正在显著增加。根据cve.mitre.org的数据显示,在这一期间增加的漏洞数量为500多个,nvd.nist.gov则提供了不同的数据,2020年至2021年漏洞数量已经超过1000个,这一数量超过了过去十年间路由器漏洞总量。分析nvd.nist.gov有关路由器漏洞的数据,卡巴斯基指出其中18%是关键漏洞,53.5%具有高优先级。关键漏洞是指入侵者可通过这些漏洞入侵家庭或公司网络,虽然其具有严重危害,但卡巴斯基指出并不是所有供应商都急于修复这些关键漏洞,在这份研究报告发布之时,2021年发布的87个严重漏洞,超过四分之一(29.9%)仍未被供应商修复。报告指出,尽管员工或多或少地掌握了保护笔记本电脑、台式电脑甚至移动设备的方法,但他们可能不知道如何使用路由器(如果有的话)。根据英国一项调查,48%的用户根本没有更改过路由器的任何设置,甚至仍然在使用默认密码。73%的人认为没有理由进入设置,20%的人甚至不知道该怎么做。卡巴斯基指出,路由器攻击中Mirai僵尸网络更为活跃,而他们的目标是将路由器招募到僵尸网络中以进行大规模的DDoS攻击。但他们补充说,我们不应该忘记路由器的主要功能:充当从本地网络到互联网的网关。网络犯罪分子可以侵入路由器以进入用户或公司的网络。
安全动态
【国际刑警查获五千万美元,逾两千名“社会工程师”被捕】 近日,有消息显示,一项代号为“2022第一缕光”(First Light 2022)的国际执法行动在全球范围内共查获了5000万美元赃款,数千名参与社会工程诈骗的人遭到逮捕。这项行动由国际刑警组织(Interpol)领导,并得到76个国家警方的协助,其主要目的是打击社会工程犯罪,包括电话诈骗、婚恋诈骗、商业电邮诈骗及相关的洗钱活动。这里的“社会工程”是业内一个通用术语,指的是攻击者通过与他人的合法交流,来使其心理受到影响,从而执行某些行为或泄露敏感信息。通常情况下,攻击者会事先设想好一个令人信服的、逼真的理由作为诱饵,然后通过电话或电子邮件联系受害者并操纵他们。一般而言,社会工程攻击者通常会以一个理由直接要求受害者付款。当然,有时他们也会将窃取的信息出售给其他*子骗**,从而获得访问网络/系统的权限,实施勒索。这一行动自2022年3月到5月,持续了两个月,取得了一系列的成果。国际刑警组织强调的一点是,冒充电子商务机构的庞氏*局骗**与电子商店*局骗**似乎正在不断增加。此外,国际刑警组织的分析师还发现了2022年的另一个趋势,那就是犯罪者会冒充国际刑警组织的官员,然后随机向人们发送威胁信息,要求他们向这些假官员付款以停止对他们的调查行动。
【“创新”威胁手段!勒索软件团伙首次推出受害者数据搜索功能】 那些窃取目标数据并公布出来以要挟勒索赎金的网络犯罪团伙,一直在尝试用各种办法迫使受害者交钱息事。日前,ALPHV/BlackCat勒索软件团伙做出“重大创新”:不同于以往通过暗网发布受害者数据,如今他们开始在公共互联网上披露个别受害者网站,并以易于搜索的形式展示泄露数据,任何人均可查询。安全公司Emsisoft的威胁分析师Brett Callow认为,ALPHV的行为是“一种狡猾的策略”,旨在加剧其他受害者的焦虑情绪。Callow表示,以往勒索软件及数据勒索团伙用来羞辱/施压受害者的手段,主要是那些访问不易、加载缓慢的暗网网站。如果不借助Tor等第三方软件,普通用户根本接触不到。而在这次新的施压策略当中,ALPHV开始直接在开放互联网上公布被盗信息。“相较于把数据发布到几乎没人会去看的Tor网站上,企业受害者可能更担心现在这种直接公开的威胁。这会让受到影响的个人更愤怒,引导他们通过集体诉讼向企业施压。”目前还不清楚ALPHV会不会有选择地对各受害者实施这种方法,该团伙近期的其他受害者包括一个学区和一个美国城市。据猜测,ALPHV这次是想先行试水,看看能不能改善勒索效果。ALPHV在受害者网站上写道,“我们不会停下,我们的泄露数据发布部门会尽一切努力毁掉你的生意。但时间还不晚,你仍有机会保住酒店的安全和声誉。我们强烈建议你积极参与谈判,但时间已经不多了。”
【邮件巨头Zimbra曝严重漏洞,黑客无需密码即可登录】 据Bleeping Computer报道,邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面,通过利用该漏洞,黑客可以在没有身份验证或用户交互的情况下窃取登录信息,这意味着黑客无需账号密码即可登录用户的邮箱。该漏洞编号为CVE-2022-27924,目前已经被收录至CNNVD,受影响的Zimbra主要是开源和商业版本8.x和9.x。自2022年5月10日起,Zimbra版本ZCS 9.0.0的补丁24.1,以及ZCS 8.8.15的补丁31.1中都发布了一个修复程序。资料显示,Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。其产品遍布全球,在各国/地区的政府、组织、金融和教育部门广泛使用。SonarSource公司的研究人员报告了该漏洞,并对其进行描述,“未经身份验证的攻击者可以将任意memcache命令注入目标实例”。因此,攻击者可以通过将CRLF注入Memcached查找的用户名来进行利用。研究人员进一步解释,攻击者可以通过对易受攻击的Zimbra实例的特制HTTP请求,来覆盖已知用户名的IMAP路由条目。而当真实用户登录时,Zimbra中的Nginx代理会将所有IMAP流量转发给攻击者,包括纯文本凭据。
【乌克兰将国家重要数据迁移至北约邻国】 6月15日消息,乌克兰政府官员已经开始将敏感数据存储到国外上,希望保护其免受俄罗斯网络与物理攻击的影响。乌克兰还在与多个欧洲国家进行协商,旨在为后续更多数据库外迁做准备。已有超百个数据库正在迁移,战争严重威胁国家数据安全。乌克兰数字化转型部副部长George Dubinskiy表示,自俄乌战争爆发以来,已有不同政府部门和办公室的约150个登记数据库或备份副本,正在商议或已被迁往国外。Dubinskiy称,之前政府的大部分信息记录都保存在国内的数据中心,需要先迁移至云端,然后才能传输备份副本。为此,政府决定优先考虑将重要的数据库从旧的遗留数据存储系统中迁出,为其创建副本,以便存储到国外的云设施当中。他解释道,“为了安全起见,我们希望把备份数据放在国外。”他认为,将数据库迁移至云端将增加新的保护层,这样即使乌克兰的某个数据中心被俄罗斯*器武**摧毁,政府官员仍然可以访问数据内容。他还说,政府制定了法律和安全规定,将协助保护这些数据库免受网络和其他威胁的侵扰。在俄乌战争初期,某个政府数据中心就曾遭俄罗斯导弹破坏。但由于备份副本的存在,没有造成数据丢失。Dubinskiy表示,“这在我们看来绝对是个危险的信号,我们必须以某种方式保存和保护自己的关键数据存储。”
【数以万计开源项目开发账户遭大规模泄露】 本周二,Aqua Security公司Nautilus团队安全研究人员发现流行的持续集成开发工具Travis CI发生大规模账户泄露,超过7.7亿条Travis CI免费版用户日志数据以明文方式泄露,其中包含大量敏感机密信息(开发令牌、云服务凭证等),包括Github、Docker的数以万计的开源项目开发账户受到影响。安全专家在一份新报告中表示,其中许多泄露信息允许黑客访问Github、Docker、AWS和其他代码存储库上开发人员的私人账户。据悉,Travis CI是一种被称为持续集成的越来越流行的敏捷开发工具,通常缩写为CI,它使开发和测试代码变更的过程自动化,已经成为现*开代**发和云原生应用程序管道的重要组成部分。CI对于每次代码更改,都会定期构建、测试代码并将其合并到共享存储库中。CI环境通常存储许多敏感信息,例如访问令牌,以自动访问云或管道中的其他组件。在某些情况下,这些访问令牌被设置为具有读取、写入、管理等的高权限。此类访问令牌如果失窃,可能导致数据泄露、帐户接管,甚至跨多个云帐户横向移动。对于Aqua Security的安全报告,Travis CI目前没有公开回复。鉴于这种暴露的反复出现,开发人员应定期主动轮换访问令牌和其他凭据。此外,还应该定期扫描代码工件,以确保它们不包含凭据。
