新闻速览

•全面升级联邦机构数字安全，美国政府将出台新版网络安全行政令

•强化云服务安全，Google  Cloud将分阶段实施强制MFA认证

•诺基亚遭遇重大数据泄露，供应链攻击威胁再次暴露

•警惕”ClickFix”新型钓鱼攻击，利用虚假错误消息实施跨平台攻击

•新型安卓恶意软件ToxicPanda来袭，超1500台银行设备已沦陷

•保险管理公司遭黑客攻击  80余万客户个人信息遭泄露

•高通芯片组曝严重安全缺陷，或影响数百万Android设备

•罗克韦尔自动化管理软件曝严重漏洞，工控系统面临DDoS攻击风险

热点观察

全面升级联邦机构数字安全，美国政府将出台新版网络安全行政令

据CyberScoop网站报道，拜登政府正在敲定第二份网络安全行政令，计划于12月初完成。这份新行政令将重点加强联邦机构的数字安全，特别是在人工智能、云安全和身份管理等领域。

新行政令的核心内容包括启动基于人工智能的网络防御试点项目，这是对此前拜登总统签署的AI相关行政令的进一步深化。同时，针对联邦风险与授权管理项目下的云安全标准也将进行更新，以应对近期联邦电子邮件系统遭遇入侵等网络安全事件暴露出的漏洞。

此外，行政令草案还涉及身份凭证管理，旨在加强联邦机构的访问管理系统。为了确保数据安全的长期有效性，新规还将引入后量子密码标准。这份行政令是对政府此前网络安全指令的补充和扩展，前期指令主要聚焦于安全软件标准，并试图通过联邦采购力来提升私营部门的安全水平。

值得注意的是，新行政令还包含了软件供应链透明度和开源网络安全增强等条款。这表明美国政府正在采取更全面的方法来应对日益复杂的网络安全威胁，通过制度建设来提升联邦机构的整体安全防护能力。

原文链接：

https://www.scworld.com/brief/biden-administration-prepares-second-executive-order-on-cybersecurity

强化云服务安全，Google Cloud将分阶段实施强制MFA认证

Google Cloud近日宣布将分三个阶段推行强制性多因素认证（MFA）要求，计划于2025年底前覆盖所有用户。这一决策是在身份认证相关攻击持续上升的背景下做出的，紧随AWS和微软等其他云服务供应商的类似举措。

Google Cloud工程副总裁Mayank Upadhyay表示：第一阶段将于本月启动，主要聚焦于提高用户意识，通过发送通知和信息帮助用户规划部署和测试。第二阶段将于明年初开始，届时Google将对密码登录实施MFA要求。用户如需继续使用Google Cloud Console、Firebase Console和GCloud等工具，必须启用MFA。最后阶段计划于2025年底完成，届时所有使用联合身份认证访问Google Cloud的用户都需要启用MFA。

据Upadhyay透露，目前已有70%的Google用户在使用MFA保护账户。虽然Google早在2021年就为普通用户账户默认启用了两步验证（2SV），但考虑到云服务的敏感性质，以及Mandiant威胁情报团队观察到钓鱼和凭证窃取仍是主要攻击方式，强制推行MFA势在必行。

原文链接：

https://www.techtarget.com/searchsecurity/news/366615313/Google-Cloud-to-roll-out-mandatory-MFA-for-all-users

网络攻击

诺基亚遭遇重大数据泄露，供应链攻击威胁再次暴露

近日，有消息称诺基亚的源代码及其他敏感信息在地下黑客论坛BreachForum上被公开出售。据称，黑客使用默认凭据访问了诺基亚第三方供应商的SonarQube服务器，下载了客户Python项目，包括属于诺基亚的项目。被窃取的数据据称包括 SSH 密钥、源代码、RSA 密钥、Bitbucket 凭据、SMTP 帐户、Webhook 和硬编码凭据。

诺基亚已就此事作出回应:”诺基亚已注意到有人声称获取了某些第三方承包商数据，可能还包括诺基亚的数据。诺基亚对此严正声明，并展开调查。到目前为止，我们的调查未发现任何系统或数据受到影响的证据。我们将继续密切关注此事。”

该事件的影响可能超出诺基亚自身系统。据网络安全新闻媒体”国际网络文摘”报道，此次事件可能还影响到诺基亚与印度最大电信运营商 Vodafone Idea Limited (VIL) 相关的4G/5G产品数据。

如果事实证实，这起被指控的数据泄露事件可能会产生广泛影响。源代码和内部凭证的泄露，可能导致诺基亚产品被逆向工程，揭示未来攻击者可能利用的漏洞。

原文链接：

https://cybersecuritynews.com/nokia-investigating-data-breach/

警惕”ClickFix”新型钓鱼攻击，利用虚假错误消息实施跨平台攻击

安全研究机构Sekoia威胁检测与研究（TDR）团队近日详细披露了一种名为ClickFix的新型社会工程学攻击手法。该攻击技术通过使用虚假的错误消息诱导用户执行恶意PowerShell命令，从而感染用户设备。

研究发现，ClickFix主要针对Google Meet和Zoom等视频会议平台，通过模仿平台的错误通知来欺骗用户。当用户试图修复这些”错误”时，会触发一系列命令，导致恶意软件被下载到设备中。除了视频平台外，攻击者还利用虚假的CAPTCHA页面诱导用户完成一些步骤。这些步骤会激活恶意代码，同时影响Windows和macOS系统。

ClickFix针对不同操作系统采用了不同的感染链。在macOS系统上，当用户点击”修复”提示时，会被引导完成一系列步骤。而在Windows系统上，ClickFix则根据不同的感染集群使用恶意mshta或PowerShell命令。这些Windows系统上的感染往往伪装成故障排除操作，并被伪装成来自合法的Explorer.exe进程，这使得恶意软件更难被检测。

攻击者还利用GitHub和可疑网站部署攻击，用户经常在这些平台上遇到将其引导至虚假CAPTCHA的重定向链。这些欺骗性页面使用简单但难以检测的PowerShell脚本来实现攻击目的。

原文链接：

https://www.infosecurity-magazine.com/news/clickfix-fake-errors-malicious-code/

新型安卓恶意软件ToxicPanda来袭，超1500台银行设备已沦陷

安全研究机构Cleafy日前披露，新型Android恶意软件”ToxicPanda”主要针对零售银行客户，已在意大利、葡萄牙、西班牙和部分拉美地区感染超过1500台设备，其中意大利占比超过50%。

Cleafy威胁情报团队经过深入分析发现，虽然ToxicPanda最初因其bot指令相似性被归类为TgToxic家族，但在代码层面存在显著差异，因此被重新确定为一个独立威胁。与TgToxic相比，ToxicPanda虽然缺少自动转账系统（ATS）等高级功能，但具有通过设备内欺诈（ODF）实现账户接管（ATO）的能力，仍然构成重大风险。

在传播方式上，ToxicPanda主要依靠社会工程学策略，诱导用户从正规应用商店之外安装应用。一旦安装成功，该恶意软件会利用Android的无障碍服务获取高级权限，从而捕获敏感数据并执行未经授权的操作。ToxicPanda目前尚处于发展阶段，其代码中缺乏混淆技术和调试文件，这意味着该恶意软件很可能会进一步升级。

原文链接：

https://www.infosecurity-magazine.com/news/toxicpanda-malware-banking-android/

保险管理公司遭黑客攻击 80余万客户个人信息遭泄露

日前，第三方保险管理公司 Landmark Admin 确认，2024年5月发生的勒索软件攻击导致了近百万客户的数据泄露。

Landmark 是总部位于德克萨斯州布朗伍德的第三方管理公司(TPA)，代管其他公司的人寿保险和年金业务。该公司在其网站上发布的数据泄露公告中表示，于2024年5月13日发现其系统出现可疑活动，随即断开了受影响的系统，并聘请外部网络取证专家进行调查并保护公司的计算基础设施。

初步调查结果显示，攻击者访问了一些包含客户敏感信息的 Landmark 文件。Landmark 确定，该事件发生于2024年5月13日至6月17日期间，攻击者窃取并加密了数据。由于Landmark 无法立即确定攻击者窃取了哪些客户信息，因此在外部取证协助下继续调查此事件。

原文链接：

https://www.cpomagazine.com/cyber-security/insurance-administrator-landmark-admin-ransomware-data-breach-impacted-over-800000-people/

漏洞预警

高通芯片组曝严重安全缺陷，或影响数百万Android设备

日前，谷歌公司在最新的Android安全公告中官方披露了两个正在被黑客积极利用的零日安全缺陷，并呼吁用户立即更新设备系统。

其中，其中一个缺陷（CVE-2024-43047）是一个影响高通芯片组的高危漏洞，CVSS评分达到7.8。这个存在于高通FastRPC驱动程序中的释放后使用（use-after-free）漏洞可能被攻击者利用来执行任意代码，进而实现未授权访问和权限提升。该漏洞影响包括骁龙8（第一代）在内的数十款高通芯片组，波及摩托罗拉、三星、OnePlus、OPPO、小米和中兴等品牌的众多Android手机。

另一个安全缺陷也被报告正在遭受积极利用，但由于仍在进行正式审查和文档编制，目前关于该缺陷的详细信息有限。

针对以上缺陷，谷歌和高通公司目前已经联合发布了修复补丁，建议相关设备制造商尽快部署这些补丁，同时也建议Android用户立即检查并安装最新的安全更新。

原文链接：

https://cybersecuritynews.com/android-zero-day-flaws-actively-exploited/

罗克韦尔自动化管理软件曝严重漏洞，工控系统面临DDoS攻击风险

Tenable Network Security的网络安全研究人员近日在罗克韦尔自动化的FactoryTalk ThinManager软件中发现多个严重漏洞。该软件是工业控制系统中的重要组件，这些漏洞可能允许攻击者操纵数据库或触发拒绝服务（DoS）攻击，对工业环境构成重大威胁。

这两个漏洞分别被追踪为CVE-2024-10386和CVE-2024-10387，影响ThinManager 11.2.0至14.0.0版本。其中，CVE-2024-10386被归类为”关键功能缺失身份验证”（CWE-306）漏洞，允许具有网络访问权限的攻击者向ThinManager设备发送特制消息，可能导致未经授权的数据库操作。

CVE-2024-10387则涉及”越界读取”（CWE-125）问题，攻击者可通过网络发送特制消息来中断ThinManager的运行。该漏洞的CVSS v3.1基础评分为7.5，CVSS v4评分为8.7，同样具有较高的危险等级。

为应对这些安全威胁，罗克韦尔自动化发布了相关补丁并提出多项建议：用户应及时升级到已修复的最新版本ThinManager；建议限制TCP端口2031的通信，仅允许需要连接ThinManager的设备访问，以减少潜在攻击面；建议实施全面的安全措施并遵循罗克韦尔自动化的安全指南。

原文链接：

https://cybersecuritynews.com/rockwell-automation-thinmanager-vulnerability/