新闻速览
•合规压力过大,金融机构敦促CISA修订网络事件报告规则
•暗网Nemesis管理员遭美国财政部制裁
•逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪
•AI伪造YouTube CEO视频被网络犯罪分子用于实施钓鱼攻击
•BadBox安卓僵尸网络再遭重击,50万设备被切断控制
•云端漏洞被黑客用来传播恶意软件和建立控制中心
•持续渗透Go生态系统,新兴域名仿冒欺骗瞄准金融业Linux/macOS系统
•WordPress插件RCE漏洞曝光,威胁超10万网站
•网络安全新星SpecterOps获7500万美元融资,加速身份安全创新
热点观察
合规压力过大,金融机构敦促CISA修订网络事件报告规则
美国多家金融机构敦促网络安全与基础设施安全局(CISA)撤回一项拟议规则,该规则将要求关键基础设施实体在72小时内报告网络安全事件,因为该规则在现状下将给网络安全团队带来过重负担,并背离了美国国会《关键基础设施网络事件报告法案》(CIRCIA)的初衷。
CISA于2024年4月发布的这项拟议规则旨在落实CIRCIA,要求金融服务、医疗保健、能源等关键基础设施部门的组织在72小时内报告”重大网络事件”,并在24小时内报告赎金支付情况。美国银行家协会、银行政策研究所、国际银行家协会和证券业与金融市场协会等机构在一封公开信中表示,拟议规则中对报告门槛的宽泛定义将导致无关紧要的服务中断也需报告,而要求报告的大量数据元素将消耗关键人员的有限时间。即使拟议规则豁免了与其他联邦机构,如证券交易委员会(SEC)报告的信息”基本相似”的内容,但实际上这一豁免被广泛的数据元素要求所抵消。
如果拟议规则未被撤回,CISA将在2025年10月前根据CIRCIA发布最终规则。不过,特朗普政府上台后发布的一项监管冻结备忘录可能会影响该规则的最终通过。
原文链接:
https://www.scworld.com/news/financial-groups-urge-cisa-to-revise-proposed-incident-reporting-rule
暗网Nemesis管理员遭美国财政部制裁
美国财政部近日对伊朗籍暗网网站Nemesis管理员Behrouz Parsarad实施制裁,冻结其在美国境内的所有资产。所有与Parsarad相关、位于美国或受美国管辖的财产和利益现已被冻结。此外,他拥有50%以上所有权的实体也将受到同样限制。
成立于2021年的Nemesis拥有3万多活跃用户和1000余家供应商,被视为大型网络犯罪企业。该暗网市场促成近3000万美元的非法交易,包括在美国和海外销售芬太尼等毒品,内置洗钱功能,为网络犯罪分子提供避风港。Nemesis还允许销售掺杂其他物质的芬太尼,提供黑客服务控制他人账户,采用加密技术使用户能匿名活动。
2024年3月,美国、德国和立陶宛执法机构联合行动,扣押了Nemesis的服务器,导致该暗网市场被迫关闭。此次美国财政部的制裁行动标志着其首次作为联邦调查局牵头的”联合刑事阿片类毒品和暗网执法小组”成员采取行动。此次制裁依据的是第14059号行政命令,旨在打击助长毒品蔓延的个人和实体。
原文链接:
逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪
专家透露,疑似朝鲜黑客在从加密交易所Bybit窃取14亿美元加密货币后,逾10亿美元加密货币已完成了洗钱的初步阶段。Bybit被盗事件是有史以来最大的加密货币黑客攻击。
多家区块链安全公司的专家于3月3日表示,黑客们已将被盗的以太币转移到新地址,这是进一步洗钱的第一步。洗钱过程严重依赖于去中心化金融(DeFi)工具,以掩盖被盗资产的来源。这一行动表现了前所未有的高效运作能力,给调查人员带来严峻挑战。
上周FBI将这起攻击归咎于黑客组织TraderTraitor或Lazarus ,并敦促加密货币社区帮助遏制从Bybit窃取的加密货币。FBI警告称,TraderTraitor已将部分被盗资产转换为比特币和其他虚拟资产,分散在多条区块链上数千个地址;预计这些资产将进一步洗钱,最终转换为法定货币。FBI还敦促DeFi服务和其他实体,阻止与TraderTraitor使用的地址相关或衍生的交易。
Bybit已启动赏金计划,向有助追踪和冻结被盗加密货币的人提供10%的奖励。截至上周四,12名”猎人”已获得约420万美元奖金。TRM Labs表示,目前仍有约77%的资金可追踪,他们正在与其他区块链安全基金合作,以阻止这些资金被进一步洗钱。
原文链接:
https://therecord.media/north-koreans-initial-laundering-bybit-hack
网络攻击
AI伪造YouTube CEO视频被网络犯罪分子用于实施钓鱼攻击
YouTube近日警告称,网络犯罪分子正在利用一段AI合成的视频,其中包含该公司CEO Neal Mohan的形象,用于钓鱼攻击以窃取创作者的凭据。
攻击者通过电子邮件将这段视频作为私人视频分享给目标用户,声称YouTube即将改变其货币化政策。YouTube在官方社区网站上发布了固定公告,提醒用户”YouTube及其员工永远不会尝试通过私人视频与您联系或分享信息。如果有人私下与您分享声称来自YouTube的视频,那就是钓鱼骗局。”
而这些钓鱼邮件也警告YouTube永不会通过私人视频联系用户或分享信息,并促请收件人如果发现可疑情况就举报发件渠道。钓鱼邮件中的视频描述要求用户点击一个链接,进入一个页面输入账户信息以”确认更新的YouTube合作伙伴计划条款”。但实际上该页面旨在窃取他们的凭据。骗子还制造紧迫感,声称若不遵守新规则,账户将在7天内受到限制。
YouTube警告用户不要点击这些邮件中的链接,因为它们可能会将用户重定向到试图窃取凭据或感染恶意软件的钓鱼网站。不过,已有许多创作者遭到攻击,报告称骗子劫持了他们的频道并用于直播加密货币诈骗。
原文链接:
https://www.bleepingcomputer.com/news/security/youtube-warns-of-ai-generated-video-of-its-ceo-used-in-phishing-attacks/
BadBox安卓僵尸网络再遭重击,50万设备被切断控制
近日,HUMAN公司的Satori威胁情报团队与谷歌、趋势科技、Shadowserver基金会等合作伙伴,破坏了一场针对低端安卓设备的BadBox恶意软件僵尸网络攻击。
BadBox是一个网络欺诈操作,主要针对低价安卓电视盒子、平板电脑、智能电视和手机等设备。这些设备或预装了BadBox恶意软件,或通过恶意应用和固件下载感染。一旦感染,恶意软件会将设备变为住宅代理,在设备上生成虚假广告展示、将用户重定向到低质量域名、利用用户IP创建虚假账户并进行凭证填充攻击。去年12月德国当局曾破坏了感染该国设备的僵尸网络,但此后设备仍被感染,僵尸网络规模已增长至100多万台设备,影响范围遍及222个国家。
研究人员将BadBox称为”BadBox 2.0″,暗示其进入了新的运营阶段。BadBox 2.0背后存在多个威胁组织,分工包括基础设施管理、后门和僵尸网络开发、广告欺诈活动以及恶意应用开发等。研究人员通过接管BadBox 2.0的域名,切断了50多万感染设备与攻击者控制的命令与控制服务器的通信,使恶意软件陷入休眠状态。同时,谷歌从Play商店下架了24个安装BadBox的应用。
原文链接:
https://www.bleepingcomputer.com/news/security/badbox-malware-disrupted-on-500k-infected-android-devices/
云端漏洞被黑客用来传播恶意软件和建立控制中心
Veriti公司的研究显示,网络犯罪分子正越来越多地利用云基础设施传播恶意软件并建立控制中心。研究发现,超过40%的网络允许与主要云服务提供商进行不受限制的通信,这为攻击者从看似可信的云源渗透数据和部署恶意软件创造了重大漏洞。
研究结果显示,多种恶意软件正利用云存储传播,如XWorm利用亚马逊网络服务(AWS)S3存储分发恶意可执行文件,Remcos则通过托管在AWS S3上的恶意RTF文件利用已知漏洞传播。除了传播载荷,云平台还被用作命令与控制(C2)服务器。多种恶意软件家族,如Havoc、NetSupportManager、Unam Miner等,均利用AWS、谷歌云、微软Azure和阿里云等主要云供应商的基础设施进行C2操作。此外,一些常见的恶意软件,如Mirai和njRAT,正通过云环境传播。值得关注的是,开源C2框架Sliver也被高级持续威胁(APT)组织武器化,用于隐蔽的C2操作和后渗透攻击,包括最近的Ivanti Connect Secure和Policy Secure漏洞利用。
研究人员建议,组织应限制”任意/任意”网络规则、实施云原生安全解决方案进行威胁监控,并加强云安全政策执行,以应对不断演进的云威胁。
原文链接:
持续渗透Go生态系统,新兴域名仿冒欺骗瞄准金融业Linux/macOS系统
一场持续的网络攻击活动利用至少7个域名仿冒欺骗包渗透了Go生态系统,这些包安装了隐藏的加载程序恶意软件,主要针对金融行业的Linux和macOS系统。
这些精心策划的攻击利用了域名仿冒欺骗手段,即创建与合法包名称非常相似的包,从而在恶意代码执行后导致金融行业开发人员遭受大规模数据窃取。尽管Go模块不像PyPI或npm那样存储在包存储库中,而是驻留在GitHub上,但攻击者仍然可以创建域名仿冒欺骗的Github存储库,并向go.pkg.dev投放恶意软件。随着macOS在企业环境中的采用增加,针对苹果系统的恶意软件攻击在最近几个季度激增101%,反映出攻击者将目标转移到这些高价值目标上的战略转变。
安全专家建议建议组织实施自动化扫描工具来检测安装前的打字域名欺骗包,通过哈希验证来验证包的完整性,并部署实时行为监控来捕获使用延迟执行策略的可疑活动。
原文链接:
https://www.scworld.com/news/typosquatting-campaign-targets-financial-sector-linux-macos-systems
安全漏洞
WordPress插件9.8分RCE漏洞曝光,超10万网站面临威胁
近日,WordPress捐赠插件GiveWP中被发现一个评分高达9.8分的高危漏洞(CVE-2025-0912),导致超过10万个网站面临未经身份验证的远程代码执行(RCE)攻击的风险,导致财务欺诈、捐赠者数据被盗和声誉受损等。
该漏洞源于插件在处理捐赠表单数据时未正确处理用户输入。攻击者可通过反序列化不受信任的输入注入恶意PHP对象,利用属性导向编程(POP)链实现服务器完全控制。该漏洞存在于插件处理捐赠表单中card_address参数的逻辑中。3.19.4及更早版本未能验证或过滤该字段传递的序列化数据,导致PHP对象注入(CWE-502)漏洞。在捐赠处理过程中,give_process_donation_form()函数在没有适当检查的情况下反序列化用户输入,使攻击者能够构造有效载荷实例化任意PHP对象。插件代码库中存在可利用的POP链允许攻击者将对象注入升级为系统命令执行,如通过析构函数或wakeup函数执行任意代码。该漏洞绕过了WordPress的安全防护,不需要任何身份验证即可被外部攻击者利用, 可能导致任意文件删除(包括wp-config.php)、数据库凭据泄露、网站被植入后门等后果。
尽管3.20.0版本修复了该漏洞,但安全分析师警告,仍有超过30%的受影响网站未打补丁。网站管理员必须立即更新到3.20.0或更高版本、审计服务器日志、部署Web应用程序防火墙规则、监控未经授权的文件变更等。无法立即修补的网站可暂时禁用捐赠小工具或限制表单提交。
原文链接:
https://cybersecuritynews.com/wordpress-plugin-vulnerability-code-execution/
行业动态
网络安全新星SpecterOps获7500万美元融资,加速身份安全创新
3月5日,网络安全初创公司SpecterOps宣布其在B轮融资中筹集了7500万美元,这笔资金将用于扩大其旗舰平台BloodHound Enterprise的规模,该平台旨在检测和消除基于身份的攻击路径。
BloodHound Enterprise平台被认为是业内首个全面消除基于身份的攻击路径的平台。该工具持续映射和量化IT基础设施中的身份攻击路径,为组织提供潜在漏洞的全面视图,衡量整体风险,并提供降低风险的实用指导。SpecterOps还开发了开源工具BloodHound社区版,用于映射Active Directory攻击路径。
SpecterOps首席执行官David McGuire表示:”基于身份的威胁正在增长,这通常是由于企业身份架构的复杂性日益增加。企业需要采取主动、动态的方法来保持领先。我们的攻击路径管理方法将身份生态系统视为一个活的、相互关联的图形,持续检测和解决攻击路径,帮助组织管理身份风险。”除了扩大平台规模,SpecterOps表示,B轮融资还将用于研究、咨询、销售和营销工作。
原文链接:
