安全态势周刊

News information

六方云 安全态势周刊丨第208期

<<返回

2022年07月19日 10:00

01.

业界动态


1、券商首单网络安全事件“双罚”!

中国证监经查发现招商证券在2022年5月16日的网络安全事件中,存在系统设计与升级变更未经充分论证和测试,升级回退方案不完备等问题,反映出公司内部管理存在漏洞、权责分配机制不完善。决定对招商证券采取出具警示函的行政监管措施。招商证券应对相关问题进行全面整改,并对责任人员进行内部责任追究。

https://mp.weixin.qq.com/s/W72yYKbD76ffpTb2wnjOog


2、Log4j漏洞要十余年才能修完

美国网络安全审查委员会发布首份报告指出,去年年底曝光的Log4j漏洞已成为“流行病”,将在未来十年甚至更长时间持续引发风险。这份报告耗时约五个月,调研了约80个组织,并与行业、外国政府及安全专家开展交流,还包括漏洞发现者所在国家中国政府。该委员会提出了19条建议,以供各实体在Log4j漏洞威胁下采用。

https://www.secrss.com/articles/44752


3、QNAP提醒称新勒索软件Checkmat主要针对其NAS设备

QNAP在7月7日发布公告称,新勒索软件Checkmat主要针对其NAS设备。初步调查表明,Checkmate会通过暴露在互联网上的SMB服务进行攻击,并使用字典攻击来破解弱密码的户。攻击者一旦成功登录设备,就会对共享文件夹中的数据进行加密,并在每个文件夹中留下一个文件作为勒索记录。Checkmate于5月28日左右首次在攻击中被使用,QNAP建议告用户不要将SMB服务暴露在互联网上,并使用VPN访问NAS来减少攻击面。

https://securityaffairs.co/wordpress/132989/malware/checkmate-ransomware-targets-qnap-nas.html

02.

关键基础设施


1、印度地方洪水监测系统遭勒索软件攻击

印度果阿邦的洪水监测系统遭到勒索软件攻击,攻击者要求支付加密货币,以解密洪水监测站的数据。

https://www.hindustantimes.com/india-news/ransomware-attack-hits-goa-s-flood-monitoring-system-demand-crypto-as-payment-101657186573577.html


2、立陶宛能源公司Ignitis Group遭到大规模DDoS攻击

据媒体7月12日报道,立陶宛能源公司Ignitis Group遭到了近十年来最大规模的网络攻击。针对该公司的DDoS攻击导致其数字服务和网站因中断。Ignitis在7月9日发帖,它已经能够管理和限制攻击对其系统的影响,并且没有发现任何违规行为,然而,攻击仍在进行中。黑客团伙Killnet在其Telegram中表示,对此次攻击事件负责。立陶宛国防部副部长在发表讲话时警告称,不要过度关注此类网络攻击。

https://www.infosecurity-magazine.com/news/lithuanian-energy-ddos-attack/


03.

安全事件


1、巴基斯坦空军总部遭到印度团伙Sidewinder的攻击

巴基斯坦空军总部遭到了疑似印度APT组织Sidewinder的攻击。2022年5月,与攻击活动相关的多个恶意软件样本和两个加密文件被上传到VirusTotal。在解密文件后,CPR发现一个与Sidewinder团伙相关的.NET DLL,该团伙主要针对巴基斯坦的实体。第二个加密文件包含了目标设备上所有文件的列表,其中大部分与军事和航空有关。此外,被攻击系统的用户名包括AHQ-STRC3,而AHQ代表巴基斯坦空军总部。

https://blog.checkpoint.com/2022/07/13/a-hit-is-made-suspected-india-based-sidewinder-apt-successfully-cyber-attacks-pakistan-military-focused-targets/


2、Unit42发布ChromeLoader恶意软件活动的分析报告

Unit42在7月12日发布了关于ChromeLoader恶意软件活动的分析报告。报告介绍了ChromeLoader的多个变体,其中第一个Windows变种于今年1月首次被发现,macOS版本于3月份出现,但研究人员称,最早涉及该恶意软件的攻击可以追溯到2021年12月。ChromeLoader主要用于浏览器劫持和adware活动,以ISO或DMG文件下载的形式分发。开发者没有使用Windows可执行文件(.exe)或动态链接库(.dll)等传统恶意软件,而是使用浏览器扩展作为最终payload。

https://unit42.paloaltonetworks.com/chromeloader-malware/


3、黑客通过“面试”从Axie Infinity窃取6.2亿美元

近日,根据The Block的报道,朝鲜黑客通过“面试”目标企业员工的方式从全球最热门的加密货币游戏Axie Infinity窃取了6.2亿美元加密货币。这次鱼叉式钓鱼攻击发生在2022年3月,给Axie Infinity的开发商,风头正劲的Sky Mavis带来了灭顶之灾。

https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game


04.

漏洞事件


1、联想修复其笔记本的UEFI固件中漏洞

据7月13日报道,联想修复了其笔记本电脑的UEFI固件中的三个缓冲区溢出漏洞。这些漏洞分别为ReadyBootDxe驱动程序中的缓冲区溢出漏洞(CVE-2022-1890)以及SystemLoadDefaultDxe驱动程序中的缓冲区溢出(CVE-2022-1891和CVE-2022-1892)。ESET研究人员解释称,这些漏洞是由于传递给UEFI运行时服务函数GetVariable的DataSize参数验证不充分导致的,可被用来在平台启动的早期阶段实现任意代码执行,并劫持操作系统执行流程以及禁用一些重要的安全功能。

https://www.bleepingcomputer.com/news/security/new-uefi-firmware-flaws-impact-over-70-lenovo-laptop-models/


2、微软披露macOS沙盒逃逸漏洞CVE-2022-26706的细节

微软披露了macOS中的一个漏洞(CVE-2022-26706),它可通过特制代码绕过沙盒限制并在系统上执行代码。研究人员解释称,该漏洞是在macOS上运行和检测Microsoft Office文档中的恶意宏方法时发现的。为确保向后兼容,Microsoft Word可以读写带有前缀"~$"的文件,这是在应用程序的沙盒规则中定义的。使用Launch Services对一个带有上述前缀的特殊Python文件运行open -stdin命令,可以在macOS上的App沙盒逃逸,并入侵系统。该漏洞在今年5月的macOS安全更新(Big Sur 11.6.6)中修复。

https://www.microsoft.com/security/blog/2022/07/13/uncovering-a-macos-app-sandbox-escape-vulnerability-a-deep-dive-into-cve-2022-26706/


3、研究人员演示如何通过Rolling-PWN攻击解锁本田汽车

媒体7月10日称,Star-V实验室的一组研究人员称其可以通过Rolling-PWN攻击解锁多个本田车型。研究人员在本田中发现了一个漏洞(CVE-2021-46145),可用来解锁车辆,甚至启动车辆发动机。据悉,该问题影响市场上从2012年到2022年的所有本田汽车。该漏洞存在于用来防止重放攻击的滚动代码机制中,研究人员还发布了一组PoC视频,来演示利用该漏洞对本田CRV的攻击。

https://securityaffairs.co/wordpress/133090/hacking/honda-rolling-pwn-attack.html


05.

政策监管


1、《网络数据安全管理条例》、《商用密码管理条例(修订)》列入国务院今年立法工作计划

2022年7月14日,国务院办公厅发布关于印发《国务院2022年度立法工作计划》的通知。通知显示,《网络数据安全管理条例》将由网信办组织起草,《商用密码管理条例(修订)》将由密码局起草。

http://www.gov.cn/zhengce/content/2022-07/14/content_5700974.htm

 

2、银保监会发布13号文,明确强化信用卡交易安全和个人信息保护

《通知》共八章,三十七条,包括强化信用卡业务经营管理、严格规范发卡营销行为、严格授信管理和风险管控、严格管控资金流向、全面加强信用卡分期业务规范管理、严格合作机构管理、加强消费者合法权益保护、加强信用卡业务监督管理等。

http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1060039&itemId=928


06.

国家/行业标准


1、《信息安全技术 信息安全管理体系 概述和词汇》向社会征求意见

2022年7月22日,全国信息安全标准化技术委员会秘书处发布关于国家标准《信息安全技术 信息安全管理体系 概述和词汇》征求意见稿征求意见的通知,该文件给出了信息安全管理体系(ISMS)概述,界定了ISMS标准族中常用的术语和定义,适用于所有类型和规模的组织(例如,商业企业、政府机构、非营利组织)。意见收集截止时间为2022年09月10日。

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20220712170239531502&norm_id=20211108000020&recode_id=47494


2、《信息安全技术 电子发现 第1部分:概述和概念》向社会征求意见

2022年7月22日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 电子发现 第1部分:概述和概念》征求意见稿征求意见的通知,该文件指出电子信息发现是指由参与调查、诉讼或类似程序的一方或多方发现相关电子留存信息(ESI)或数据的过程。


该文件概述了电子信息发现,定义了相关术语,描述了相关概念,包括但不限于ESI的识别、保全、收集、处理、评审、分析和产出。本文件还确认了其他相关标准(如 ISO/IEC 27037)及其与电子信息发现活动的关系和相互作用。该文件适用于参与部分或全部电子信息发现活动的非技术人员和技术人员。意见收集截止时间为2022年09月10日。

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20220712170239500724&norm_id=20211108000019&recode_id=47492


3、《信息技术 安全技术 公有云中个人信息保护实践指南》获批发布

根据2022年7月11日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第8号),全国信息安全标准化技术委员会归口的国家标准GB/T 41574-2022《信息技术 安全技术 公有云中个人信息保护实践指南》正式发布,实施日期为2023年2月1日。

https://www.tc260.org.cn/front/postDetail.html?id=20220715135431