新闻速览

•山西公安机关破获特大侵犯公民个人信息案

•前实习生篡改代码攻击大模型训练，字节跳动起诉要求索赔800万元

•用户数据保护不力，美国两大保险公司遭罚8000万元

•震惊！AWS云原生防火墙的实际防护率不足1%？

•钓鱼攻击结合VPN漏洞利用，新型NachoVPN攻击手法被曝光

•黑客组织Matrix部署巨型IoT僵尸网络，超3500万设备或被控制

•邮件安全服务遭恶意利用，URL重写技术成为钓鱼攻击新路径

•巧妙伪装npm包名，Linux系统SSH后门植入威胁快速升级

•WordPress热门反垃圾邮件插件现危险漏洞，或波及20万网站

•无需交互即可突破沙箱，RomCom组织利用双零日漏洞发动无交互攻击

热点观察

山西公安机关破获特大侵犯公民个人信息案

近日，山西长治公安机关先后辗转多地，成功打掉一个特大侵犯公民个人信息及掩饰、隐瞒犯罪所得犯罪团伙，抓获犯罪嫌疑人10名，扣押涉案资金500余万元。

长治公安网安部门工作发现，辖区女子郑某燕在多个小区以赠送小礼品、小礼物为诱饵，诱骗群众扫描二维码、推广码注册各类APP，通过窃取群众手机号码及验证码非法获利3万余元，涉嫌侵犯公民个人信息犯罪。掌握确凿证据后，民警将犯罪嫌疑人郑某燕抓获归案。

以此为突破口，长治市公安网安部门全力展开侦查，共抓获涉嫌侵犯公民个人信息以及掩饰、隐瞒犯罪所得的犯罪嫌疑人10名，扣押涉案资金逾500万元。经查，该特大侵犯公民个人信息犯罪团伙以赠送小礼品、小礼物等地推形式，诱导普通群众使用自己的手机号码注册各类APP的虚拟账号后，窃取公民个人信息用于上游犯罪分子实施网络诈骗、网络敲诈、网络刷单等违法犯罪活动。

警方提醒，一旦发现个人信息泄露或联络工具丢失，要在第一时间通知家人或亲友，提醒他们加以防范，避免上当受骗。同时，也要切实增强个人信息的自我保护意识。

原文链接：

https://mp.weixin.qq.com/s/aX7-Ih3FMCRRQ3O8xT2Q3g

前实习生篡改代码攻击大模型训练，字节跳动起诉要求索赔800万元

据《法制日报》报道，字节跳动已将前实习生田xx告上法庭，指控其篡改代码以攻击公司内部模型训练。字节跳动要求法院判决田xx赔偿公司因侵权行为遭受的损失共计800万元，以及额外的合理支出2万元，并公开向公司道歉。此案由北京市海淀区人民法院正式受理。

今年10月，有媒体称“字节大模型训练任务被实习生攻击”，并有网传信息称“涉及8000多卡、损失上千万美元”。后字节跳动通过官方账号发布事实澄清，称确有实习生发生严重违纪，涉事实习生已于2024年8月被公司辞退，并将其行为同步给所在学校和行业联盟，但相关报道也存在部分夸大及失实信息。

字节跳动内部人士透露，由于田某某为在读博士，字节跳动将其辞退后首先交由校方处理。但在事件处理期间，田某某多次对外否认，称攻击模型训练任务的不是自己，而是别的实习生。考虑到田某某完全没有意识到错误，且涉事行为已触犯公司安全红线，字节跳动最终决定向法院起诉，以表明其严肃态度、杜绝类似事件再次发生。

原文链接：

https://mp.weixin.qq.com/s/Ha-4BiISMmXHvGb19n1ZmA

用户数据保护不力，美国两大保险公司遭罚8000万元

美国纽约州安全监管机构近日对GEICO和Travelers两家保险公司处以1130万美元（约合8000万元人民币）罚款，原因是这两家公司的汽车保险业务中数据安全措施不力，导致超过1.2万名纽约州居民的个人信息遭到黑客窃取，并被用于提交虚假失业救济申请。

纽约州总检察长Letitia James指出，这两家公司违反了要求”实施保护消费者数据和金融机构本身的政策、程序和控制措施”的州法规。其中，GEICO被处以975万美元罚款，Travelers则被处以155万美元罚款。

据调查，GEICO于2020年11月遭遇其汽车保险报价工具的安全漏洞，导致黑客能够从其面向公众的网站窃取驾驶证号码。尽管纽约州金融服务局此前已就针对驾驶证号码的行业性网络攻击向GEICO发出警告，但该公司未能对其系统进行全面审查以防范和检测未来的网络攻击。随后，黑客又成功利用GEICO另一个面向保险代理人的报价工具漏洞。这两次攻击总共泄露了约1.16万名纽约居民的个人信息。

Travelers公司则在2021年4月遭遇类似攻击，黑客利用被盗凭证通过独立代理人使用的保险计算器生成包含驾驶证号码的明文报告，导致4000名纽约居民的数据泄露。

原文链接：

https://www.darkreading.com/cybersecurity-operations/geico-travelers-fined-lax-data-security

震惊！AWS云原生防火墙的实际防护率不足1%？

非营利性第三方测试机构CyberRatings最新的评测结果显示，AWS、Microsoft Azure和Google Cloud Platform（GCP）的云原生防火墙在实际应用时的表现令人震惊，均未能达到基本的安全标准。

据CyberRatings CEO Vikram Phatak介绍，本次测试专注于已知漏洞利用防护能力。结果显示，AWS防火墙的防护效率仅为0.38%，较今年5月的0.54%还有所下降；GCP的测试表现相对较好，但防护率也仅达50.57%；Azure的防护率为24.14%。这些数据反映出主流的云原生防火墙在基础安全防护能力上普遍存在着缺陷。

CyberRatings强调，这不是由特定漏洞或零日漏洞引起的问题，而是产品在基本功能上的根本性缺陷。即便在提前知道测试内容的情况下，这些产品仍未能有效拦截已知攻击。目前，AWS在全球云基础设施即服务（IaaS）市场占有31%的份额，Azure和Google Cloud分别为20%和11%。

原文链接：

https://www.sdxcentral.com/articles/three-cloud-firewalls-fail-to-meet-basic-expectations-a-critical-analysis-by-cyberratings/2024/11/

网络攻击

钓鱼攻击结合VPN漏洞利用，新型NachoVPN攻击手法被曝光

安全研究机构AmberWolf近日披露了一种名为”NachoVPN”的新型攻击方式，该攻击利用SSL-VPN客户端的安全漏洞，通过恶意VPN服务器向未修补的Palo Alto和SonicWall客户端安装恶意更新。

研究人员发现，攻击者可以通过社会工程学或钓鱼攻击，诱使目标用户将其SonicWall NetExtender和Palo Alto Networks GlobalProtect VPN客户端连接到攻击者控制的VPN服务器。一旦成功，攻击者可以窃取受害者的登录凭证、以提升权限执行任意代码、通过更新机制安装恶意软件，甚至通过安装恶意根证书发起代码签名伪造或中间人攻击。

目前，AmberWolf已公开发布了一个名为NachoVPN的开源工具，用于模拟可利用这些漏洞的恶意VPN服务器。该工具支持多个主流企业VPN产品，包括Cisco AnyConnect、SonicWall NetExtender、Palo Alto GlobalProtect和Ivanti Connect Secure，并可根据连接的具体客户端调整其响应。

原文链接：

https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/

黑客组织Matrix部署巨型IoT僵尸网络，超3500万设备或被控制

安全研究机构Aqua Nautilus最新发现，黑客组织Matrix正在部署大规模IoT僵尸网络，并利用大量互联网设备发起分布式拒绝服务（DDoS）攻击。

研究显示，Matrix组织主要针对物联网设备、摄像头、路由器、DVR和企业系统等联网设备，通过暴力破解、利用弱口令和系统配置错误等方式获取初始访问权限。攻击者将被入侵的设备整合成僵尸网络，并通过Telegram机器人”Kraken Autobuy”出售针对传输层（Layer 4）和应用层（Layer 7）的DDoS攻击服务。

调查发现，攻击者利用了多个新旧漏洞，包括CVE-2014-8361、CVE-2017-17215、CVE-2024-27348等，并在GitHub上存储和管理恶意工具和脚本，主要使用Python、Shell和Golang编写。病毒分析显示，攻击者使用了DDoS Agent、SSH Scan Hacktool、PyBot等多种工具来控制被入侵设备并发起大规模DDoS攻击。

研究人员指出，目前约有3500万台设备存在被利用风险。如果1%的设备被感染，僵尸网络规模将达到35万台；如果感染率达到5%，规模将扩大到170万台，堪比历史上重大攻击事件的规模。

原文链接：

https://hackread.com/matrix-hackers-new-iot-botnet-ddos-attacks/

邮件安全服务遭恶意利用，URL重写技术成为钓鱼攻击新路径

安全研究机构Perception Point最新报告显示，网络攻击者正在加大利用”URL重写”技术发起钓鱼攻击，通过多重重定向机制规避安全检测。这种攻击手法近期呈现显著上升趋势，且手法愈发复杂。

URL重写原本是一种安全防护措施。安全电子邮件网关（SEG）等邮件保护服务会将收到邮件中的URL链接，替换为其防护域名下的新链接。当用户点击重写后的URL时，该服务会在重定向到目标网页前先进行安全扫描。然而，攻击者通过入侵使用此类服务的企业账户，利用被入侵的邮件账户生成看似合法的包装链接。

据观察，攻击者开始采用”多重重写攻击”，即通过两个不同安全厂商的服务对恶意链接进行双重包装，进一步掩盖其来源。这种经过双重包装的链接被伪装成SharePoint文档分享邮件发送给目标用户。攻击者还添加了第三层伪装——CAPTCHA验证，用于阻止自动化威胁检测系统的分析。通过CAPTCHA后的恶意网页会伪装成Microsoft登录页面，意图窃取用户的Microsoft凭证。

URL重写攻击之所以有效，是因为某些邮件安全服务会将自己的域名列入白名单，这意味着经该服务包装的URL在被同一服务再次扫描时不会被拦截。攻击者不仅利用此特点在组织内部发起攻击，还将一个组织的被入侵账户生成的链接用于攻击其他组织。

原文链接：

https://www.scworld.com/news/phishing-attacks-via-url-rewriting-to-evade-detection-escalate

巧妙伪装npm包名，Linux系统SSH后门植入威胁快速升级

安全研究人员近期发现黑客正在利用软件包名称仿冒（typosquatting）攻击向npm用户植入SSH后门。Socket威胁研究团队披露，一个化名为”sanchezjosephine180″的攻击者发布了六个恶意npm软件包，通过模仿知名库的名称来欺骗用户。

这些恶意软件包分别仿冒了下载量达数千万次的流行库，包括”babel-cli”、”chokidar”、”streamsearch”、”ssh2″、”npm-run-all”和”node-pty”。攻击者通过利用常见的拼写错误，并滥用postinstall脚本分发恶意代码。软件包被安装时，脚本会执行node app.js，同时安装合法的包以掩盖其真实意图。据统计，这些恶意软件包已被下载超过700次。一旦安装，它们会在Linux系统中植入SSH后门，让攻击者获得未经授权的系统访问权限。这可能导致系统被秘密入侵、安全措施被绕过、网络被全面入侵，甚至成为勒索软件攻击的跳板。

研究人员还发现了第七个名为”parimiko”的可疑包，虽然目前没有恶意行为，但它模仿了流行的Python SSH库”paramiko”，可能为未来的恶意更新埋下隐患。Socket安全专家建议开发人员和组织在安装软件包前仔细核对包名，实施严格的版本控制，定期审计依赖项，并使用专业的安全工具进行检测。

原文链接：

漏洞预警

WordPress热门反垃圾邮件插件现危险漏洞，或波及20万网站安全性

近日，安全研究人员在多款流行的WordPress反垃圾邮件插件中发现两个严重安全漏洞，未经身份验证的攻击者可利用这些漏洞在受影响站点上安装恶意插件，并可能实现远程代码执行。

这两个漏洞分别被编号为CVE-2024-10542和CVE-2024-10781，其中CVE-2024-10781是由于插件在”perform”函数中未对”api_key”值进行空值检查所致；而CVE-2024-10542则源于checkWithoutToken()函数存在通过反向DNS欺骗的授权绕过问题。无论使用哪种绕过方法，攻击者都可以在目标系统上安装、激活、停用，甚至卸载插件。

研究人员表示，这两个漏洞本质上都是授权绕过问题，攻击者可以借此安装任意插件。如果被激活的插件本身存在漏洞，则可能导致远程代码执行。CleanTalk已在本月发布的6.44和6.45版本中修复了这些漏洞。

与此同时，安全公司Sucuri警告称，已发现多个针对WordPress网站的攻击活动。攻击者通过入侵网站注入恶意代码，实现访客重定向、窃取登录凭证，以及部署能够捕获管理员密码的恶意软件。

原文链接：

https://thehackernews.com/2024/11/critical-wordpress-anti-spam-plugin.html

无需交互即可突破沙箱，RomCom组织利用双零日漏洞发动无交互攻击

日前，安全厂商ESET的研究人员发现黑客组织RomCom通过结合Firefox远程代码执行漏洞（CVE-2024-9680）和Windows任务计划程序权限提升漏洞（CVE-2024-49039），成功实现了无需用户交互的自动化攻击。这是RomCom组织第二次被发现在野利用重大零日漏洞。

据介绍，攻击者通过构建虚假网站，在受害者访问时自动触发零点击漏洞利用链。攻击过程中，Firefox漏洞首先在浏览器受限环境下执行代码，随后Windows漏洞帮助攻击者突破Firefox沙箱限制，最终在目标系统上植入后门程序。该后门具备执行命令和下载额外模块的能力。

ESET的监测数据显示，此次攻击活动受影响用户主要分布在欧洲和北美地区。Mozilla在接到漏洞报告后迅速做出响应，在25小时内为Firefox和Firefox ESR发布了修复补丁。微软则于11月12日修复了Windows系统漏洞。ESET已发布了这两个漏洞的根因分析、shellcode技术分析以及相关的威胁指标，以帮助组织进行防护。

原文链接：