新闻速览

•第二届网络空间安全（天津）论坛成功举办

•欧盟将开放签署一项具有法律约束力的国际性人工智能公约

•Palo Alto宣布已完成对IBM  QRadar的收购，原用户将迁移至新平台

•红队工具MacroPack被黑客滥用部署多种恶意软件

•RomCom勒索组织利用微软零日漏洞部署勒索软件

•2.2万个PyPI项目或面临“复兴劫持”新型供应链攻击风险

•谷歌发布9月安卓系统安全更新，成功修复34个安全漏洞

•思科披露智能许可工具两个严重安全漏洞，攻击者可能获取管理权限

热点观察

第二届网络空间安全（天津）论坛成功举办

9月5日，为期三天的第二届网络空间安全（天津）论坛在滨海新区闭幕。论坛由天津市政府主办，国家计算机病毒应急处理中心、天津市公安局、天津市滨海新区政府承办，近800位国内外嘉宾齐聚一堂，围绕“共建网络安全 共治网络空间”主题，共话网络空间安全形势、共享网络空间安全理念、共商网络空间安全对策。

与会单位和嘉宾通过专题报告和主题演讲，进一步凝聚了全球网络空间治理共识，共创携手构建网络空间命运共同体新局面，进一步汇聚了全球智慧力量，推动网络安全技术革新实现新突破，进一步搭建高端专业对话平台，为推进互联网前沿技术深度交流合作注入新动力。

论坛期间，第二届“天网杯”网络安全大赛吸引了来自全国近百支队伍的380名选手参加；网络安全法律专家咨询委员会专家聘任仪式举行；国家计算机病毒应急处理中心发布了《网络空间安全态势分析报告（2024）》《移动互联网应用安全统计分析报告（2024）》；国家计算机病毒协同分析平台正式上线运行。

原文链接：

https://mp.weixin.qq.com/s/YFbpxZGIkDU6GWszFggQEQ

欧盟将开放签署一项具有法律约束力的国际性人工智能公约

欧洲委员会人权组织宣布，首个具有法律约束力的国际人工智能协议将于周四（9月5日）开放签署，参与国包括欧盟成员国、美国和英国。这份经过多年筹备的人工智能公约旨在应对人工智能可能带来的风险，同时促进负责任的创新。

该公约由独立于欧盟的国际组织——欧洲委员会主导制定，于今年5月在57个国家的讨论中通过，主要关注保护受人工智能系统影响的人的人权。英国司法部长沙巴娜·马哈茂德强调，这一公约是确保新技术在不侵蚀人权和法治等核心价值观的前提下得以利用的重要一步。签署国可以选择采取立法、行政或其他措施来实施条款。

值得注意的是，这份人工智能公约与上个月生效的欧盟人工智能法案有所不同。欧盟的法案对人工智能系统在欧盟内部市场的开发、部署和使用进行了全面规定，而此次的国际公约更侧重于人权保护。

这份国际人工智能协议的签署标志着全球在人工智能治理方面迈出了重要一步，但其实际效果还有待观察。

原文链接：

https://www.usnews.com/news/technology/articles/2024-09-05/us-britain-eu-to-sign-agreement-on-ai-standards-ft-reports

Palo Alto宣布已完成对IBM QRadar的收购，原用户将迁移至新平台

近日，Palo Alto Networks宣布已完成对IBM QRadar软件即服务（SaaS）资产的收购。该公司CEO Nikesh Arora表示，此次并购将显著推动其新一代安全信息和事件管理（SIEM）平台Cortex XSIAM的普及，并加快公司在SIEM市场的市场份额扩张。

据Arora介绍，收购完成后，Palo Alto将重点协助原 QRadar客户尽快迁移至其精准AI驱动的Cortex XSIAM平台中。该平台将数据和安全操作能力集中到一个平台上，以简化操作并提高防范威胁的效率。为确保平稳过渡，Palo Alto与IBM合作，通过IBM咨询为全球客户提供免费迁移服务。而继续使用本地部署QRadar的客户将持续获得IBM的功能支持。

此外，收购完成后，IBM合作伙伴也将成为Palo Alto的正式合作伙伴，并销售Cortex XSIAM平台。IBM还进一步推动了其内部部署Palo Alto网络安全平台，为全球超过25万名员工部署了Cortex XSIAM和Prisma SASE 3.0。

原文链接：

https://www.crn.com/news/security/2024/palo-alto-networks-completes-ibm-qradar-deal-ceo-touts-cortex-adoption-ahead

网络攻击

红队工具MacroPack被黑客滥用部署多种恶意软件

思科Talos安全团队近期发布报告，揭示黑客正在滥用红队演练工具MacroPack传播各种恶意软件。这些恶意文件被用来部署多种危险的有效载荷，包括Havoc和Brute Ratel后期利用框架，以及一种新型的PhantomCore远程访问木马（RAT）变种。

MacroPack原本是一款设计用于红队渗透测试的工具，能够快速生成多种有效载荷并转换为不同文件格式。MacroPack生成的代码具有多种特征，可以绕过反恶意软件的检测，如函数和变量重命名、去除多余空格和注释、有效载荷混淆等。MacroPack对免费版本无使用限制，因此被攻击者滥用。

报告显示，今年5月至7月，多个可疑的微软文档被上传至VirusTotal病毒扫描平台。这些文档均由MacroPack有效载荷生成框架的某个版本制作而成。这些恶意文件的上传者来自中国、巴基斯坦、俄罗斯和美国等多个国家，表明该工具已被广泛滥用。分析发现，所有被检查的文档中都包含四个此前未见过的非恶意子例程。研究人员推测，加入这些良性代码可能是为了降低MacroPack生成代码的可疑性，从而更容易绕过反恶意软件工具的检测。

这些文档有些使用通用的Word文档指示用户“启用内容”，而另一些则伪装成军事组织的官方文件和信函。这种多样性表明，不同的威胁行为者正在利用MacroPack部署各自的恶意有效载荷。

原文链接：

https://www.bleepingcomputer.com/news/security/google-backports-fix-for-pixel-eop-flaw-to-other-android-devices/

RomCom勒索组织利用微软零日漏洞部署勒索软件

近日，研究人员发现，代号为Storm-0978的黑客组织RomCom团伙正在利用微软Office和Windows HTML远程代码执行（RCE）零日漏洞（CVE-2023-36884）分发勒索软件，企图通过加密受害者Windows电脑上的文件，并要求受害者支付赎金以解锁文件内容。

攻击者主要通过精心制作的Office文档进行网络钓鱼来传播该漏洞。此外，电子邮件和从初始访问经纪人（IAB）购买访问权限也是可能的感染途径。安全公司Fortinet的研究显示，该勒索软件在执行后会删除影子副本，终止微软SQL Server服务，并创建名为“!!readme!!!.txt”的勒索通知。攻击者还设置了远程桌面会话最长可保持14天活动的时间限制。该黑客团伙还维护着一个数据泄露网站，公布受害者数据。截至2024年7月3日，该网站已列出16个受害者，涉及美国、法国、韩国等多个国家的建筑、银行、制药等行业。

安全专家建议组织及时更新所有防病毒软件和入侵防御系统（IPS）签名，以防止潜在的操作中断、声誉损害和个人身份信息（PII）泄露。

原文链接：

https://cybersecuritynews.com/romcom-office-0-day-ransomware/

2.2万个PyPI项目或面临“复兴劫持”新型供应链攻击风险

近日，安全研究人员“Revival Hijack（复兴劫持）”新型供应链攻击正在威胁Python包索引（PyPI）平台。攻击者通过注册与已删除包同名的新项目，向开发者推送恶意代码，可能影响约2.2万个PyPI包。

安全公司JFrog的研究显示，PyPI平台每月平均删除309个包，为攻击者提供了持续的攻击机会。这种攻击之所以可能成功，是因为PyPI在包被删除后立即将其名称重新开放注册。尽管PyPI会警告开发者删除项目可能带来的风险，但这种提醒似乎并不足以阻止攻击的发生。研究人员举例说，pingdomv3包在3月30日被删除后，攻击者迅速劫持了这一名称并发布了更新版本，更新版本中包含了一个针对Jenkins CI/CD环境的Base64混淆Python木马。

安全专家认为，随着这种攻击手法的出现，Python开发社区用户需要更加提高警惕，加强对包管理和使用的安全意识，并建议采取以下措施来防范Revival Hijack攻击：一是使用包固定技术，确保使用指定的可信版本；二是验证包的完整性；三是审计包的内容；四是密切关注包所有权的变化和异常更新活动

原文链接：

https://www.bleepingcomputer.com/news/security/revival-hijack-supply-chain-attack-threatens-22-000-pypi-packages/

漏洞预警

谷歌发布9月安卓系统安全更新，成功修复34个安全漏洞

近日，谷歌月发布了最新的9月安卓安全更新，修复了34个漏洞。其中最引人注目的此前在Pixel设备上修复的CVE-2024-32896高危权限提升漏洞，此次更新将CVE-2024-32896的修复扩展到运行安卓12、12L、13和14版本的设备上。CVE-2024-32896是一个与代码逻辑错误相关的高危漏洞，允许攻击者在无需额外权限的情况下绕过安卓系统的某些保护措施，从而提升权限，并且已在有限的针对性攻击中被积极利用。

除此之外，更新还修复了其他多个高危问题，其中包括两个与高通封闭源代码组件相关的漏洞（CVE-2024-33042和CVE-2024-33052）。这两个漏洞被归类为FM Host组件中的内存损坏问题，仅可通过本地访问或先前被恶意软件入侵的情况下被利用。谷歌还为Pixel 6及以上系列设备发布了专门的补丁。

谷歌强烈建议所有安卓用户尽快更新系统。值得注意的是，运行安卓11或更早版本的设备将不再获得官方支持。谷歌建议这些用户更换新设备或安装包含重要安全修复的第三方安卓版本。

原文链接：

https://www.infosecurity-magazine.com/news/red-teaming-tool-abused-malware/

思科披露智能许可工具两个严重安全漏洞，攻击者可能获取管理权限

近日，思科公司披露了其智能许可工具（CSLU）中存在的两个关键漏洞，这些漏洞可能使未经授权的远程攻击者获得系统管理权限或窃取敏感信息。

这两个漏洞分别被标识为CVE-2024-20439和CVE-2024-20440，CVSS评为达9.8分，影响多个版本的CSLU软件。CVE-2024-20439漏洞源于系统中存在未记录的静态管理员账户凭证。攻击者可能利用这些凭证以管理员权限登录受影响的系统，从而完全控制设备。CVE-2024-20440漏洞则涉及调试日志文件中的敏感信息泄露，攻击者可通过发送特制的HTTP请求获取API凭证等关键数据。

思科确认，这些漏洞影响运行易受攻击版本的CSLU系统，但仅在工具处于活动运行状态时可被利用。受影响的版本包括2.0.0、2.1.0和2.2.0，但思科的智能软件管理本地版和智能软件管理卫星版不受这些漏洞影响。

目前，思科已迅速发布了软件更新，并强烈建议所有用户尽快升级到修复版本。但思科产品安全事件响应团队（PSIRT）透露，目前尚未发现这些漏洞被恶意利用的证据。然而，考虑到漏洞的严重性，使用CSLU的组织应立即检查当前软件版本，并及时应用必要的更新，以防范潜在的安全风险。

此次事件再次凸显了定期软件更新和安全漏洞管理的重要性。思科呼吁用户密切关注其安全公告，及时获取有关漏洞和修复的最新信息，以确保系统安全。

原文链接：

https://cybersecuritynews.com/cisco-smart-licensing-vulnerabilities/