新闻速览

•NSA联合发布六项工业控制系统安全原则，强化关键基础设施防护

•MOVEit事件影响仍未平息，亚马逊、汇丰等巨头企业近500万员工信息或泄露

•以色列支付系统遭受大规模网络攻击，全国加油站和商超大范围瘫痪

•黑客组织利用Flutter框架开发跨平台macOS恶意软件

•双重钓鱼攻击新威胁：Microsoft  Visio文件成为新型攻击载体

•警惕！黑客借搜索引擎优化投毒瞄准特定群体

•Citrix录制管理器曝零日漏洞，未经身份验证即可实现远程代码执行

•微软11月补丁日：修复91个漏洞，包括4个关键零日漏洞

•安全独角兽厂商Snyk启动第11次收购，扩展API安全测试能力

•中国电信举办2024年网络和数据安全技能竞赛

热点观察

NSA联合发布六项工业控制系统安全原则，强化关键基础设施防护

随着针对关键基础设施组织的攻击持续增加，OT安全漏洞的潜在影响十分严重，不仅会导致服务中断，还可能在破坏能源电网和水资源供应时对公共安全构成重大威胁。在此背景下，美国国家安全局（NSA）日前联合澳大利亚信号局网络安全中心（ASD SCSC）发布了《运营技术网络安全原则》（Principles of Operational Technology Cybersecurity）新指南，旨在为运营技术（OT）环境提供最佳安全实践指导：

1. 安全至上。与传统IT系统不同，OT系统直接关系到人身安全。系统需要具有确定性和可预测性，即使在完全断电的情况下，也不应限制系统重启。
2. 深入了解业务。组织需要清晰识别所有关键系统和流程，记录依赖关系，并确保OT管理人员充分理解这些内容。
3. 保护OT数据的价值。建议采取多重措施保护数据，包括定义数据存储位置和方式，使用与企业环境和互联网访问隔离的受保护数据存储库等。
4. 网络分段和隔离。组织应将OT环境与所有其他网络分段和隔离，限制供应商、同行和服务的上下游数据访问。
5. 确保供应链安全。组织需要建立涵盖软件、设备供应商和管理服务提供商的供应链保障计划。
6. 重视人员因素。训练有素的人员是保护OT系统的关键资产。组织应招募具有基础设施开发、网络安全、控制系统工程等不同背景的专业人才。

原文链接：

https://securityintelligence.com/posts/6-principles-operational-technology-cybersecurity-nsa-initiative/

MOVEit事件影响仍未平息，亚马逊、汇丰等巨头企业近500万员工信息或泄露

攻击者”Nam3L3ss”近期在黑客论坛上泄露了包括亚马逊、汇丰银行、惠普和达美航空在内的多家知名企业的员工数据。这些数据疑似与Cl0p勒索软件团伙去年发起的MOVEit黑客攻击事件有关。该事件此前已影响了英国航空、BBC、爱尔兰航空等多家机构。

网络犯罪情报公司Hudson Rock透露，此次泄露的数据涉及25家大型机构的员工记录，时间可追溯至2023年5月。其中规模最大的是亚马逊，涉及2,861,111条记录，其次是MetLife的585,130条记录和Cardinal Health的407,437条记录。其他受影响企业泄露记录数量从数千到数十万不等。亚马逊已确认这起数据泄露事件。泄露的信息包括员工工作联系方式，如工作邮箱地址、办公电话号码和办公地点等。该公司强调，这些数据并非直接来自亚马逊，而是来自公司的一家物业管理供应商。

研究人员通过将亚马逊和汇丰银行的数据集与员工LinkedIn档案以及信息窃取程序感染记录进行交叉验证，确认了泄露数据的真实性。目前未发现客户信息泄露，但这些详细的员工信息可能被用于实施欺诈、精准钓鱼和社会工程攻击，以及身份盗窃。

原文链接：

网络攻击

以色列支付系统遭受大规模网络攻击，全国加油站和商超大范围瘫痪

日前，一场针对支付系统的网络攻击导致以色列境内数千台信用卡读卡器无法正常工作，造成全国加油站和连锁超市的支付系统大面积瘫痪。

据《耶路撒冷邮报》报道，周日清晨，负责运营支付设备的Hyp CreditGuard公司遭遇疑似分布式拒绝服务（DDoS）攻击，导致其支付网关系统通信中断。这次攻击影响范围广泛，涉及Maccabi卫生基金、Gett出租车服务、Wolt食品订购应用程序，以及Rav Kav Online和Hop-On等公共交通支付系统。

Hyp CreditGuard公司在声明中表示：公司部分服务和相关通信供应商遭受DDoS攻击。目前攻击已被成功阻止，服务已恢复正常运营；我们正在与所有安全机构协调，以确保持续正常运营。该公司同时表示，此次事件未造成个人或财务数据泄露。

数据显示，自去年以来，针对以色列企业的网络攻击增长了100%，这与以色列在加沙和黎巴嫩发起的军事行动有关。

原文链接：

https://securityaffairs.com/170823/hacking/cyberattack-payment-systems-israel.html

黑客组织利用Flutter框架开发跨平台macOS恶意软件

安全公司Jamf最新的分析报告显示，已发现黑客组织开始利用Flutter应用程序框架向macOS设备投递恶意软件。这是该公司首次观察到威胁行为者利用Flutter框架针对macOS发起攻击。

Flutter是谷歌开发的一个简化跨平台应用程序设计的框架。Flutter应用具有独特的布局设计，能够为代码提供大量的混淆空间，这种与生俱来的代码混淆特性可能帮助攻击者规避网络安全防御。

研究人员发现了三种形式的恶意软件，除了基于Flutter构建的应用程序外，还包括Go语言变体和使用Py2App构建的Python变体。其中，Flutter应用因其反向工程的复杂性最为引人注目。研究人员确认了四个受感染的应用程序，其中两个使用了开发者签名。这些签名随后被苹果公司撤销。

研究人员认为，攻击者可能在测试一种新的武器化恶意软件方法，包括尝试观察带有隐藏在dylib中恶意代码的已签名应用是否能通过苹果的公证服务器审核，同时躲避防病毒软件的检测。这种新型攻击手法的出现提醒我们需要警惕看似正常的跨平台应用可能隐藏的安全风险。

原文链接：

https://www.infosecurity-magazine.com/news/north-korea-hackers-flutter-macos/

双重钓鱼攻击新威胁：Microsoft Visio文件成为新型攻击载体

安全研究机构Perception Point近期发现，利用Microsoft Visio文件的双重钓鱼攻击呈现激增趋势，标志着钓鱼攻击手法的一次重要升级。攻击者利用Visio的.vsdx格式文件隐藏恶意URL，利用用户对熟悉工具的信任，巧妙规避传统安全扫描。

Microsoft Visio作为一款常用于流程图和网络图设计的工具，现已被攻击者改造成钓鱼活动的掩护工具。这种攻击手法利用了用户对Microsoft工具的信任，创造了一种绕过安全系统的隐蔽方式。与常见的PDF或Word文档附件相比，Visio文件较少被标记为威胁，这使其成为传递钓鱼链接的理想载体。

根据Perception Point的研究，攻击流程十分精密。攻击者通过控制被入侵的电子邮件账户发送钓鱼邮件，这些邮件能够通过身份验证检查。邮件通常包含.vsdx文件或.eml文件（Outlook邮件）附件，伪装成正常的商业文档如提案或采购订单。当用户点击邮件链接时，会被引导至托管Visio文件的Microsoft SharePoint页面，该文件可能带有被入侵组织的品牌标识。

攻击者在Visio文件中嵌入可点击链接，通常伪装成”查看文档”按钮。用户被要求按住Ctrl键并点击，这个看似微小的提示实际上能够绕过自动化安全工具。一旦用户按要求操作，就会被重定向到虚假的Microsoft登录页面，从而导致凭据被窃取。

原文链接：

https://www.infosecurity-magazine.com/news/microsoft-visio-files-phishing/

警惕！黑客借搜索引擎优化投毒瞄准特定群体

近日，Sophos网络安全研究人员发现，Gootloader恶意软件正在通过污染谷歌搜索结果，瞄准特定人群进行恶意软件投放。作为一个高级恶意软件平台，Gootloader与REVil勒索软件和Gootkit银行木马有关，现已发展成为一个提供初始访问服务的多阶段攻击平台。

这种攻击主要通过SEO投毒实现，攻击者通过操纵搜索引擎结果来推广恶意网站。当用户点击这些看似合法的链接时，会触发三阶段的恶意软件攻击序列：首先下载包含混淆JavaScript的.zip文件；其次部署第二阶段负载，通过Windows任务计划程序和WScript.exe执行建立持久性；最后投放被称为”GootKit”的高级信息窃取工具和远程访问木马（RAT）。RAT通过PowerShell命令在受害者网络中保持持久性，并能够部署Cobalt Strike或勒索软件。

该恶意软件采用了多项高级规避技术，包括使用随机数字序列的文件名混淆方法、伪装成合法许可证注释的高度混淆JavaScript代码，以及通过AppData\Roaming规避系统路径检测。最新的3.0版本会创建名为”Huthwaite SPIN selling.dat”和”Small Units Tactics.js”的文件，并设置名为”Business Aviation”和”Destination Branding”的计划任务来增强其持久性。

原文链接：

漏洞预警

Citrix录制管理器曝零日漏洞，未经身份验证即可实现远程代码执行

安全研究机构watchTowr日前披露，Citrix Session Recording Manager存在一个零日漏洞，该漏洞可导致未经身份验证的远程代码执行（RCE），攻击者可能借此窃取数据、横向移动或完全控制桌面系统。

Citrix Session Recording Manager是一款用于记录用户活动的工具，可记录键盘和鼠标输入、访问的网站和桌面活动的视频流等信息。这些功能主要用于监控、合规审查和故障排除，同时还可以根据敏感数据识别等特定操作触发记录，以满足监管需求和标记可疑活动。

研究人员介绍，此次发现的漏洞源于两个关键问题：一是系统使用Microsoft消息队列（MSMQ）进行会话记录时采用了不安全的BinaryFormatter进行序列化和反序列化；二是Recording Session Manager暴露了可通过HTTP从任何主机访问的MSMQ服务，再加上权限配置不当，最终导致未经授权的远程代码执行风险。

Citrix已紧急发布补丁，并将该漏洞编号为CVE-2024-8068和CVE-2024-8069。目前尚未发现该漏洞被黑客利用的证据，但考虑到Citrix作为网络犯罪分子的重要攻击目标，情况可能很快发生变化。

原文链接：

https://www.darkreading.com/cloud-security/citrix-recording-manager-zero-day-bug-unauthenticated-rce

微软11月补丁日：修复91个漏洞，包括4个关键零日漏洞

微软公司于日前发布了例行补丁更新，修复了其软件产品中的91个安全漏洞，其中包括4个关键零日漏洞，有两个已遭黑客积极利用。

此次更新修复的91个漏洞按类型划分包括：52个远程代码执行漏洞、26个特权提升漏洞、4个拒绝服务漏洞、3个欺骗漏洞、2个安全功能绕过漏洞和1个信息泄露漏洞。其中4个被评为关键级别，包括2个远程代码执行和2个特权提升漏洞。

在已被利用的两个零日漏洞中，CVE-2024-43451是一个NTLM哈希泄露欺骗漏洞，攻击者只需诱使用户点击或右键单击恶意文件即可获取目标用户的NTLMv2哈希值。CVE-2024-49039则是Windows任务调度器特权提升漏洞，攻击者可执行通常仅限特权账户使用的RPC函数，可能导致未授权代码执行或资源访问。

另外两个已公开但尚未被利用的零日漏洞分别是Microsoft Exchange Server欺骗漏洞和Windows MSHTML平台欺骗漏洞。前者允许威胁行为者向本地收件人发送伪造的电子邮件地址，后者可能被用来欺骗用户与恶意内容互动。

原文链接：

https://hackread.com/microsofts-november-patch-tuesday-fix-91-vulnerabilities/

产业动态

安全独角兽厂商Snyk启动第11次收购，扩展API安全测试能力

开发者安全平台提供商Snyk日前宣布收购专注于API和Web应用安全测试的厂商Probely。这是Snyk自2015年成立以来发起的第11次收购活动，旨在增强其开发者安全软件产品线，并为AI相关开发提供更强有力的支持。

Snyk首席创新官Manoj Nair在接受CRN采访时表示：”API测试对于AI原生应用开发的安全采用以及AI应用的实际构建至关重要。”他特别指出，成立于2016年的Probely提供了一种”现代化”的动态应用安全测试（DAST）方法，这是Snyk平台此前所不具备的能力。

Nair表示，在寻找DAST能力提供商时，Snyk特别关注具有开发者导向方法的厂商，而这在市场上较为罕见，Probely是少数几家能够提供此类解决方案的公司之一。此次收购反映了Snyk在开发者安全领域的持续布局，特别是在AI应用开发安全方面的战略前瞻性。通过整合Probely的技术，Snyk将能够为客户提供更全面的安全测试解决方案。

原文链接：

https://www.crn.com/news/security/2024/snyk-expands-api-security-testing-with-acquisition-of-probely

中国电信举办2024年网络和数据安全技能竞赛

11月12日至13日，中国电信在郑州举办2024年中国电信网络和数据安全技能竞赛。大赛以“攻防并蓄 智驭风云”为主题，分为网络安全、数据安全、安全运营三个赛道，共有152支队伍、494名选手参赛，旨在持续加强网信人才队伍建设，优化人才结构和提升专业能力。

据介绍，本次竞赛通过个人解题与团体综合解题的形式，深度考察了选手们在应用程序逆向、安全漏洞利用、安全应急响应、攻击溯源反制等多个关键领域的能力。竞赛自6月启动以来，得到中国电信各级公司的高度重视，广大员工积极参与，通过技能比拼、同场竞技，达到以赛促学、以赛促练的目的，不仅促进了企业内部安全技术交流，还培养并发现了一大批网络安全领域的青年苗子，为安全型企业的建设注入了源源不断的活力。

原文链接：

https://mp.weixin.qq.com/s/Q8SpzXXYcTWiuyLBOTg8gg