工業(yè)網絡安全周報（2024年第42期）

本期摘要

政策法規(guī)方面，本周觀察到國內外網絡安全相關政策法規(guī)6項，值得關注的有美國CISA公布2025-2026年計劃，以加強全球網絡和基礎設施彈性。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動態(tài)8條，值得關注的有研究人員發(fā)現開源AI和ML模型中的漏洞。

安全事件方面，本周監(jiān)測到重大網絡安全事件10起，其中典型的事件有法國第二大互聯網服務提供商Free近期遭到黑客攻擊，導致部分用戶個人信息泄露。

安全技術方面，網絡安全公司Aviatrix最近推出了新功能，以加強云環(huán)境中的網絡安全，這些功能包括混合云傳輸和分布式云防火墻(DCF)的增強，以及集成了高級威脅情報功能。

1、美國CISA公布2025-2026年計劃，以加強全球網絡和基礎設施彈性

10月31日，據媒體報道，網絡安全和基礎設施安全局(CISA)發(fā)布了其首個2025-2026年國際戰(zhàn)略計劃，旨在通過國際合作保護美國關鍵基礎設施。該計劃基于CISA的2023-2025年戰(zhàn)略計劃，并與國家安全備忘錄緊密結合，強調全球伙伴關系的重要性。戰(zhàn)略計劃明確了三個主要目標：增強外國基礎設施的彈性、加強集成網絡防御、統一國際活動的機構協調。這標志著CISA在國際合作方面邁出了重要一步，以應對網絡和物理威脅的增長。

資料來源：https://thecyberexpress.com/cisa-unveils-strategic-plan-for-2025-2026/

2、美國政府的新TLP指南

10月31日，據媒體報道，美國政府(USG)發(fā)布了關于紅綠燈協議(TLP)的新指南，旨在促進私營部門、個人研究人員和聯邦機構間的威脅情報共享。TLP框架使用四種顏色(紅、琥珀、綠、白)對信息進行分類，每種顏色指定了不同的機密性和共享權限級別。新指南強調了USG對尊重信息共享者意愿的承諾，將遵循個人或組織自愿共享的網絡安全信息的TLP標記，以增強數據處理的信任。

資料來源：https://thecyberexpress.com/new-traffic-light-protocol-guidelines/

3、加拿大發(fā)布2025-2026年NCTA

10月31日，據媒體報道，加拿大網絡安全中心發(fā)布的《2025-2026 年國家網絡威脅評估》強調了網絡犯罪和國家支持的網絡威脅行為者對加拿大構成的持續(xù)威脅。報告指出，勒索軟件是加拿大關鍵基礎設施面臨的最大網絡犯罪威脅，而國家對手可能結合網絡攻擊和信息活動以影響公眾輿論。加拿大政府已將網絡安全作為優(yōu)先事項，計劃投入9.174億美元加強情報和網絡行動計劃，并成立加拿大武裝部隊網絡司令部以維護國家安全。

資料來源：http://hpctl.dz112.sbs/E62dz8F

4、云安全聯盟發(fā)布針對關鍵基礎設施的零信任指南

10月30日，據媒體報道，云安全聯盟(CSA)發(fā)布的零信任指南強調了零信任原則在關鍵基礎設施中的實施，特別是在運營技術(OT)和工業(yè)控制系統(ICS)中的重要性。該指南提供了一個五步流程，包括定義保護面、映射操作流程、構建零信任架構、創(chuàng)建零信任策略以及監(jiān)控和維護網絡，旨在幫助組織降低風險并增強關鍵基礎設施的彈性。

資料來源：http://krp6l.dz112.sbs/Mi491AH

5、研究人員發(fā)現開源AI和ML模型中的漏洞

10月29日，據媒體報道，研究人員在開源人工智能(AI)和機器學習(ML)模型中發(fā)現了三十多個安全漏洞，這些漏洞可能允許遠程代碼執(zhí)行和信息盜竊。最嚴重的漏洞影響Lunary工具包，包括兩個CVSS評分為9.1的漏洞：CVE-2024-7474(不安全的直接對象引用，IDOR)和CVE-2024-7475(不正確的訪問控制)，以及另一個IDOR漏洞CVE-2024-7473(CVSS評分7.5)。ChuanhuChatGPT存在路徑遍歷缺陷CVE-2024-5982，可能導致任意代碼執(zhí)行和數據泄露。LocalAI項目可能允許惡意行為者通過上傳惡意配置文件執(zhí)行任意代碼(CVE-2024-6983)，并通過分析服務器響應時間猜測有效的API密鑰(CVE-2024-7010)。此外，Deep Java Library (DJL)面臨遠程代碼執(zhí)行風險(CVE-2024-8396)。這些漏洞的披露強調了AI/ML供應鏈中的關鍵風險。

資料來源：http://fjl7n.dz113.sbs/lHpEPlz

6、法國第二大互聯網服務提供商披露數據泄露事件

10月29日，據媒體報道，法國第二大互聯網服務提供商Free近期遭到黑客攻擊，導致部分用戶個人信息泄露。此次攻擊主要針對其系統內的一個管理工具，但敏感財務信息如銀行詳情、密碼或通信內容未受影響。Free已向檢察官提起刑事訴訟，并通知了法國國家信息技術和公民自由委員會(CNIL)和國家信息系統安全局(ANSSI)。公司已采取措施加強信息系統保護，并通知受影響用戶。此次事件再次凸顯了電信行業(yè)網絡安全的重要性和挑戰(zhàn)。

資料來源：https://thecyberexpress.com/free-cyberattack-confirmed/

7、荷蘭警方在馬格努斯行動中搗毀主要信息竊取者RedLine和MetaStealer

10月29日，據媒體報道，荷蘭國家警察與國際合作伙伴成功破壞了支持RedLine和MetaStealer信息竊取程序的基礎設施。這一行動被稱為“馬格努斯行動”，涉及多國執(zhí)法機構，關閉了荷蘭的三臺服務器，并查封了兩個域名。美國當局已指控一名管理員，比利時警方逮捕了兩人。美國司法部指控RedLine Stealer的開發(fā)人員Maxim Rudometov犯有多項罪名，若定罪，他將面臨最高35年監(jiān)禁。

資料來源：http://hutsm.dz113.sbs/say2KBR

8、俄羅斯用欺騙性的“民防”應用程序限制烏克蘭軍隊招募

10月29日，據媒體報道，俄羅斯支持的威脅行為者對烏克蘭的軍事招募活動進行了雙重網絡攻擊，利用欺騙版本的“Civil Defense”工具散布惡意軟件和錯誤信息。攻擊者通過Telegram頻道誘導新兵下載惡意版本的應用，該應用會安裝Windows和Android惡意軟件，包括Pronsis Loader、Sunspinner、Purestealer和Craxsrat。這些工具旨在竊取信息和遠程控制用戶設備，同時提供虛假的軍事招募位置信息，以破壞烏克蘭的軍事動員努力。

資料來源：http://5mb3n.dz113.sbs/DNq1wTE

9、臭名昭著的黑客組織TeamTNT發(fā)起針對加密挖礦的新云攻擊

10月26日，據媒體報道，TeamTNT組織正針對云原生環(huán)境發(fā)起新活動，目標是挖掘加密貨幣并出租被破壞的服務器。他們主要攻擊暴露的Docker守護程序，部署Sliver惡意軟件、網絡蠕蟲和加密礦工，使用受感染的服務器和Docker Hub作為傳播惡意軟件的基礎設施。

資料來源：http://9stpl.dz112.sbs/o9mI6dq

10、俄羅斯的APT29模仿AWS域來竊取Windows憑證

10月26日，據媒體報道，APT29，一個與俄羅斯聯邦對外情報局(SVR)有關的高級持續(xù)性威脅組織，近期通過網絡釣魚攻擊全球數千個目標，包括軍隊、公共機構和企業(yè)。該組織以SolarWinds和民主黨全國委員會(DNC)的攻擊而臭名昭著，最近還攻破了微軟在歐洲、非洲及其他地區(qū)的代碼庫和政治目標。APT29利用惡意域名模仿AWS，發(fā)送包含遠程桌面協議(RDP)配置文件的電子郵件，企圖獲取目標計算機的控制權。AWS通過識別并阻斷這些惡意模仿者來中斷APT29的活動。

資料來源：http://dmfkm.dz113.sbs/HRDLeM9

11、Forescout Research揭示了互聯醫(yī)療設備中的162個漏洞

10月30日，據媒體報道，Forescout Technologies的研究揭示了162個安全漏洞，這些漏洞威脅著IoMT設備，可能導致患者數據泄露和醫(yī)療運營中斷。最脆弱的設備包括DICOM工作站、PACS系統、泵控制器和醫(yī)療信息系統。2023年，黑客攻擊成為數據泄露的主要原因，影響了美國醫(yī)療機構。Forescout建議識別資產、網絡分段和持續(xù)監(jiān)控以降低風險。

資料來源：http://ajptm.dz113.sbs/gwCTRZO

12、Fog勒索軟件利用SonicWall VPN漏洞入侵企業(yè)網絡

Fog和Akira勒索軟件團伙利用SonicWall VPN的CVE-2024-40766漏洞入侵企業(yè)網絡，至少進行了30次入侵，75%與Akira有關，其余歸因于Fog。兩個團伙共享基礎設施，顯示非正式合作。從入侵到加密數據通常只需約10小時，最快1.5至2小時。攻擊者通過VPN/VPS隱藏真實IP，主要針對虛擬機及其備份。被竊數據包括文檔和專有軟件，攻擊者對超過六個月的文件不感興趣。

資料來源：http://vzqvk.dz112.sbs/o7YFJS0

13、HeptaX黑客組織通過未經授權的RDP連接揭露網絡間諜活動

10月28日，據媒體報道，Cyble Research and Intelligence Labs(CRIL)揭露了一個名為HeptaX的持續(xù)威脅組織發(fā)起的網絡攻擊活動，該活動通過傳遞嵌入在ZIP檔案中的惡意快捷方式文件(.lnk)來獲得未經授權的遠程桌面訪問，尤其針對醫(yī)療保健領域。攻擊鏈開始于惡意LNK文件的執(zhí)行，觸發(fā)PowerShell命令，從遠程服務器下載后續(xù)負載，并在受感染系統上創(chuàng)建管理用戶賬戶，降低身份驗證要求，便于攻擊者建立未經授權的遠程訪問。HeptaX還利用ChromePass工具從基于Chromium的瀏覽器中收集保存的密碼，增加賬戶泄露風險。

資料來源：https://thecyberexpress.com/heptax-cyberattack/

14、意大利黑客丑聞暴露了總統、前總理和數千人的數據

10月29日，據倫敦《泰晤士報》報道，意大利黑客丑聞導致四人被指控，涉及泄露國家安全數據庫中的800,000個文件和15TB數據，包括總統塞爾吉奧·馬塔雷拉和前總理馬泰奧·倫齊的個人數據。此次泄露由私人調查公司Equalize策劃，通過賄賂警察、植入遠程訪問木馬(RAT)和滲透內政部計算機系統人員獲取數據，活動持續(xù)至少五年。

資料來源：https://thecyberexpress.com/italian-hacking-scandal-exposed-president/

15、Aviatrix推出簡化網絡安全管理的功能

10月29日，據媒體報道，Aviatrix最近推出了新功能，以加強云環(huán)境中的網絡安全。這些功能包括混合云傳輸和分布式云防火墻(DCF)的增強，以及集成了高級威脅情報功能。這些更新旨在幫助企業(yè)保護云出口和混合云連接，同時簡化網絡架構，提高安全性，降低復雜性和成本。

資料來源：http://y7bkk.dz112.sbs/3f0nw7w