新闻速览

•RaaS威胁不断升级，渗透测试技能成为勒索软件团伙新宠

•悬赏400万美元！全球最大规模”零日探索”计划启动

•RansomHub勒索组织攻陷墨西哥政府网站，313GB政务敏感数据或被公开

•Helldown勒索软件进化，可针对Linux和VMware系统发起攻击

•福特汽车启动数据泄露事件调查，4.4万客户信息或被公开

•以Facebook账户凭证为目标，全新信息窃取软件PXA Stealer现身

•CNNVD通报Apache OFBiz安全漏洞相关情况

•无需认证即可远程攻击，Oracle修复Agile  PLM框架严重安全漏洞

•微软将启动Windows韧性计划，安全厂商或被踢出内核模式

•用“虚拟岛屿”构筑安全堡垒，Zscaler发布新一代零信任分段解决方案

热点观察

RaaS威胁不断升级，渗透测试技能成为勒索软件团伙新宠

Cato Networks的Cato网络威胁研究实验室（CTRL）最新发布的2024年第三季度SASE威胁报告披露，多个勒索软件团伙正在积极招募渗透测试专家加入其附属计划，包括Apos、Lynx和Rabbit Hole等组织。

Cato Networks首席安全策略师Etay Maor指出，渗透测试原本是安全领域的术语，用于检测自身系统的漏洞；然而，现在勒索软件团伙正在招募具有相同专业水平的人员，不是为了保护系统，而是为了攻击系统。Maor补充说，犯罪门槛正在不断降低，过去网络犯罪分子需要编程知识，现在他们甚至不需要购买病毒，因为其他犯罪分子会为他们提供服务。而人工智能正在进一步降低网络犯罪的门槛。

Maor还强调了传输层安全（TLS）检查的重要性。研究发现，只有45%的参与组织启用了TLS检查，仅有3%的组织检查了所有相关的TLS加密会话。这为威胁行为者利用TLS流量并保持隐蔽提供了机会。在2024年第三季度，研究人员发现60%的CVE漏洞利用尝试是在TLS流量中被阻止的。

原文链接：

https://www.infosecurity-magazine.com/news/ransomware-gangs-pen-testers/

悬赏400万美元！全球最大规模”零日探索”计划启动

微软于本周二在芝加哥举行的Ignite大会上宣布了一项名为”零日探索”（Zero Day Quest）的重大安全计划。该计划将于明年在华盛顿州雷德蒙德市举行，旨在扩大微软的漏洞赏金和透明度倡议，预计将为安全研究人员提供超过400万美元的测试奖励。

微软安全响应中心工程副总裁Tom Gallagher在博客文章中表示，微软认识到安全本质上是一项团队运动，因此希望与安全社区广泛合作。”零日探索”活动是”同类活动中规模最大的”，将重点关注云计算和人工智能这两个高影响力领域的研究，旨在汇聚安全领域的顶尖人才，共同分享、学习和建立社区，以确保每个人的安全。

作为活动的预热，微软目前已启动了一项初级挑战。在特定场景下，某些漏洞提交将有资格获得倍增的赏金奖励。例如，从现在开始，人工智能相关的赏金奖励将翻倍。此外，提交漏洞还可以让研究人员有机会参与明年的主要”零日探索”活动。

Gallagher重申了微软对透明度的承诺。他表示，微软将鼓励研究人员在漏洞得到缓解后公开讨论其发现，还将通过博客、播客和视频等方式支持这些努力。

原文链接：

https://www.techtarget.com/searchsecurity/news/366616078/Microsoft-to-offer-hackers-millions-in-Zero-Day-Quest-event

网络攻击

RansomHub勒索组织攻陷墨西哥政府网站，313GB政务敏感数据或被公开

据Cybernews报道，知名勒索软件组织RansomHub近日声称已成功入侵墨西哥联邦政府官方网站系统。该组织在其泄露站点上发布声明称，他们已经成功窃取了包括合同、财务、保险等在内的大量政务机密信息。

为证实攻击的真实性，RansomHub在周五公布了部分数据样本，其中包含墨西哥政府雇员的姓名、职务、工作地点、电话分机号、电子邮件地址以及身份证号等敏感信息。攻击者要求墨西哥政府在10天内支付未公开金额的赎金，否则将公开所有被盗数据。

据Check Point最新发布的报告显示，RansomHub已成为2024年9月最活跃的勒索软件组织。该组织此前曾成功入侵多家知名企业，包括哈里伯顿（Halliburton）、Rite Aid连锁药店、蒙大拿州计划生育组织（Planned Parenthood of Montana）以及川崎欧洲机车公司（Kawasaki Motors Europe）等。专家分析认为，该组织与ALPHV/BlackCat勒索软件团伙的潜在关联可能是推动其快速发展的重要因素。

原文链接：

https://www.scworld.com/brief/ransomhub-lays-claim-on-mexican-government-website-hack

Helldown勒索软件进化，可针对Linux和VMware系统发起攻击

近日，安全研究人员发现了Helldown勒索软件的一个Linux变种。该变种不仅针对Linux系统，还可能演变为专门攻击虚拟化VMware系统的威胁。这一发现引发了网络安全界的高度关注。

据Sekoia威胁检测与研究团队11月19日发布的博客文章显示，尽管Helldown的具体攻击方法尚不明确，但Cyfirma和Cyberint两家安全公司均发现，该组织利用最近披露且可能尚未修复的漏洞入侵受害者网络，随后部署勒索软件。其中，CVE-2024-42057代码执行漏洞首次被用于在野恶意软件攻击。Helldown采用双重勒索策略，首先窃取大量数据，威胁如果不支付赎金就将数据公布在其暗网站点上。该组织在近三个月内声称已有31个受害者，包括Zyxel的欧洲子公司。

Helldown源自LockBit 3.0，并利用了一些熟悉的技术，如利用Zyxel防火墙漏洞进行初始访问。一旦入侵，它会有条不紊地收集凭证、绘制网络图并规避检测，然后启动加密负载。Sectigo高级研究员Jason Soroko认为，Helldown是网络犯罪分子将现代恶意软件的所有元素组合在一起，创造出一个强大威胁的典型例子，代表着各个方面都在加强的新型恶意软件。Keeper Security安全与架构副总裁Patrick Tiquet指出，针对Linux的勒索软件并不常见，而Helldown对VMware系统的关注表明其操作者正在进化，以破坏许多企业依赖的虚拟化基础设施。

原文链接：

https://www.scworld.com/news/helldown-evolves-to-target-vmware-systems-via-linux

福特汽车启动数据泄露事件调查，4.4万客户信息或被公开

近日，福特汽车公司正式就一起疑似数据泄露事件展开调查。此前据报道，一名自称”EnergyWeaponUser”的威胁行为者在黑客论坛上声称泄露了4.4万条福特客户记录。

这起泄露事件于周日在BreachForums上被公布，同时还牵涉到另一名黑客”IntelBroker”，据称后者也参与了2024年11月的这次入侵。泄露的数据包含客户全名、物理位置、购买详情、经销商信息和记录时间戳等信息。虽然泄露的记录并不包含极度敏感的信息，但还是可能助长针对这些暴露个人的钓鱼和社会工程攻击。

福特公司发言人表示，福特已知悉并正在积极调查有关福特数据遭到入侵的指控。初步的调查显示，福特公司本身的业务系统或客户数据没有遭到入侵。本次事件主要涉及一个第三方供应商和一小批公开可用的经销商业务地址。“这个问题将很快得到解决。”

原文链接：

https://www.bleepingcomputer.com/news/security/ford-investgates-alleged-breach-following-customer-data-leak/

以Facebook账户凭证为目标，全新信息窃取软件PXA Stealer现身

安全研究人员最新发现，黑客组织正在利用新型恶意软件PXA Stealer针对亚欧地区的政府和教育机构发起攻击，企图窃取金融信息、在线凭证等敏感数据。

据The Hacker News报道，攻击者通过发送包含ZIP附件的钓鱼邮件展开攻击。该附件内含一个基于Rust语言开发的加载程序，可触发Windows批处理脚本。这些脚本不仅会打开诱饵文档，还会在部署基于Python的信息窃取恶意软件之前，设法关闭目标系统的杀毒软件。

Cisco Talos的技术分析显示，PXA Stealer具备解密受害者浏览器主密码的能力，并利用这些密码窃取各类在线账户的存储凭证。研究人员特别指出，该恶意软件主要针对Facebook的cookie进行攻击，通过会话认证实现对账户和广告相关数据的进一步窃取。

原文链接：

https://www.scworld.com/brief/novel-pxa-stealer-leveraged-by-vietnamese-hackers

漏洞预警

CNNVD通报Apache OFBiz安全漏洞相关情况

近日，国家信息安全漏洞库（CNNVD）收到关于Apache OFBiz安全漏洞(CNNVD-202411-2279、CVE-2024-47208)情况的报送。攻击者可以利用漏洞向目标发送恶意请求，通过服务端请求伪造的方式远程执行任意代码。Apache OFBiz 18.12.17以下版本受此漏洞影响。

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。漏洞源于程序对URL校验不严格，攻击者可通过构造恶意URL绕过校验并注入Groovy 表达式代码或触发服务器端请求伪造（SSRF）攻击，导致远程代码执行。

目前，Apache官方已发布新版本修复了该漏洞，CNNVD建议用户及时确认产品版本，尽快采取修补措施。

官方补丁下载链接：

https://ofbiz.apache.org/download.html

无需认证即可远程攻击， Oracle修复Agile PLM框架严重安全漏洞

Oracle公司近日发布了一项重要安全补丁，用以修复其Agile PLM框架中的一个远程可利用漏洞（CVE-2024-21287）。安全公司Tenable的研究人员表示，这个漏洞已经被攻击者实际利用。

Oracle Agile PLM框架是一款企业级产品生命周期管理解决方案，用于促进各团队之间的协作。CVE-2024-21287漏洞影响Oracle Agile PLM框架9.3.6版本，特别是其中的Agile软件开发工具包和流程扩展组件。

Oracle在其安全公告中指出：”这个漏洞可以通过HTTP和HTTPS协议远程利用，无需身份认证。也就是说，攻击者可以在不需要用户名和密码的情况下，通过网络进行攻击。如果成功利用，可能导致文件泄露。”

尽管Oracle公司并未在公告中提及该漏洞已被攻击者利用的情况。然而，Oracle安全保障副总裁Eric Maurice在一篇单独的文章中确认，CrowdStrike报告称该漏洞已经在野被积极利用。

原文链接：

产业动态

微软将启动Windows韧性计划，安全厂商或被踢出内核模式

微软近日公布了Windows韧性计划（Windows Resiliency Initiative），旨在避免再次发生类似CrowdStrike错误更新导致的大规模Windows设备瘫痪事件。

作为该计划的一部分，微软正在开发快速机器恢复（Quick Machine Recovery）功能。该功能将使IT管理员能够在设备无法启动时，无需物理接触PC，就能从Windows Update执行针对性修复。

而为了防止CrowdStrike类似事件再次发生，微软将要求与Windows深度集成的终端安全公司采取以下措施：

1. 对每次Windows更新的组件（如驱动程序）进行额外的安全和兼容性测试。
2. 采用安全的部署实践，如逐步发布安全产品更新、利用部署环形策略（deployment rings）、监控更新部署，以尽可能减少更新带来的负面影响。
3. 与微软合作开发和实施加强的事件响应流程，以便快速应对未来可能发生的事件。

此外，微软还承诺采用更安全的编程语言，并”逐步将功能从C++实现转移到Rust”，以进一步提高系统的安全性和稳定性。

原文链接：

用“虚拟岛屿”构筑安全堡垒，Zscaler发布新一代零信任分段解决方案

网络安全企业Zscaler近日宣布推出新一代零信任分段（Zero Trust Segmentation）解决方案，旨在提升分布式环境中连接方法的安全性、灵活性和成本效益。

这一创新解决方案通过创建虚拟岛屿的方式，消除了企业对传统防火墙、软件定义广域网（SD-WAN）和站点到站点虚拟专用网络（VPN）的依赖。这些虚拟岛屿由企业现有的分支机构、工厂和云环境构成，通过与Zscaler云平台的直接连接获得安全策略保护。这种方法不仅有助于防范勒索软件，还能保护物联网（IoT）和运营技术（OT）系统，同时简化网络结构。

该解决方案包含两个主要组件：针对分支机构和工厂的零信任分段，以及针对数据中心和公共云的零信任分段。对于分支机构和工厂，该解决方案通过快速分段保护易受攻击的IoT和OT系统，消除了对南北向防火墙的需求。对于数据中心和公共云，它通过消除面向互联网的防火墙和站点到站点VPN来保护混合和多云环境，从而减少攻击面并标准化安全措施。

Zscaler表示，该解决方案体现了网络安全领域向零信任架构转变的趋势，并集成了从其收购的AirGap公司获得的技术，提供了先进的勒索软件保护功能。通过消除对传统网络基础设施的需求，企业可以节省高达50%的成本。

原文链接：

https://www.scworld.com/brief/zscaler-launches-zero-trust-segmentation-to-simplify-and-secure-networks