新闻速览

ㆍ《网络安全技术 软件产品开源代码安全评价方法》国家标准发布

ㆍ CNNVD通报Apache ActiveMQ安全漏洞

ㆍ LockBit组织重要管理者身份曝光

ㆍ  DBIR报告显示，供应链安全违规同比增长68%

ㆍ  一涉嫌参与90亿美元加密货币洗钱的犯罪嫌疑人认罪

ㆍ 美国公布最新的国际网络空间和数字政策战略

ㆍ 针对Azure环境的攻击活动导致数百个账户被入侵

ㆍ 黑客利用LiteSpeed Cache缺陷创建WordPress管理员账户

ㆍ 美国医疗服务商MedStar泄露近20万名患者隐私信息

ㆍ 超过5万台Tinyproxy服务器易面临严重RCE缺陷攻击威胁

ㆍ 云安全公司Wiz完成E轮融资，估值高达120亿美元

ㆍ 谷歌在RSA大会上发布最新威胁情报产品

ㆍ Akamai将以4.5 亿美元收购API安全公司Noname

ㆍ 2024 年第一季邮件安全观察报告

特别关注

《网络安全技术 软件产品开源代码安全评价方法》国家标准发布
依据中国国家市场监督管理总局（国家标准化管理委员会）2024年第6号中国国家标准公告，《网络安全技术 软件产品开源代码安全评价方法》国家标准经国家市场监督管理总局（国家标准化管理委员会）批准，于2024年4月25日正式发布，11月1日起实施。

据了解，本标准由中国信息通信研究院于2022年10月牵头立项并持续推进标准编制工作，在标准制定的过程中汇集大量来自金融、能源、通信、汽车、互联网、云厂商、安全厂商的专家建议与实践经验。标准范围覆盖软件产品中开源代码成分安全的评价要素和评价规程，评价要素涵盖开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理。适用于对软件产品包含的开源代码成分进行静态安全评价，为各单位对于软件产品中的开源代码成分进行安全性自评价提供依据，为第三方机构开展此类工作提供参考。

原文链接：https://mp.weixin.qq.com/s/tEjptgY6K-N2_ujdc_lilA

CNNVD通报Apache ActiveMQ安全漏洞

近日，国家信息安全漏洞库（CNNVD）通报了关于Apache ActiveMQ安全漏洞（CNNVD-202405-256、CVE-2024-32114）的情况。成功利用漏洞的攻击者，可能在未经身份验证的情况下使用Jolokia JMX REST API与代理交互，或使用Message REST API向消息队列和主题中发送消息、接收消息、删除消息队列和主题等。Apache ActiveMQ 6.0.0-6.1.1版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

原文链接：

https://mp.weixin.qq.com/s/UJTJFQMhm4AUTvEVwy1Kzw

热点观察

LockBit组织重要管理者身份曝光

臭名昭著的 LockBit 勒索软件团伙今年以来收到各种执法部门严厉打击。日前，该团伙一名俄罗斯籍的管理者身份被曝光。在英国国家犯罪局（NCA）组织开展的国际打击行动“Cronos行动”之后，一位名叫Dmitry Yuryevich Khoroshev的俄罗斯人被认为是 LockBit 勒索软件团伙的重要管理者和参与者，目前已被英国、美国和澳大利亚等国家联合制裁。NCA在2024年5月7日发布的一份声明中表示，该名LockBit团伙管理者长期以来以LockBitSupp（别名LockBit Leader）名义开展匿名活动。现在，他将面临一系列资产冻结和旅行禁令。

原文链接：

https://www.infosecurity-magazine.com/news/lockbit-leader-identity-revealed/

DBIR报告显示，供应链安全违规同比增长68%

根据Verizon最新发布的数据泄露调查报告（DBIR）数据显示，由第三方供应链造成的数据泄露事件在2023年增长了68％，主要是由于勒索软件和敲诈攻击中利用的软件漏洞。供应链泄露事件已经持续上升了一段时间，最近几个月的增长尤为迅猛。在2023年所有数据泄露事件中，有15％涉及第三方，较2022年的9％大幅增加。

在报告中，Verizon Business将“供应链泄露事件”的定义扩大到不仅包括通过供应商（例如2013年的Target事件）、数据保管人（MOVEit）和软件更新（SolarWinds）而导致的妥协，还包括第三方软件中的漏洞。

事实上，供应链攻击所利用的漏洞是DBIR供应链指标中最常见的Vocabulary for Event Recording and Incident Sharing (VERIS)行动，其次是后门/命令与控制（C2）和勒索。Verizon Business的威胁情报副总监Alex Pinto表示：“去年在勒索软件领域，我们看到威胁行为者无论是自己进行研究还是购买，都能获取到很多零日漏洞。”

原文链接：

https://www.darkreading.com/cyber-risk/supply-chain-breaches-up-68-yoy-according-to-dbir

一涉嫌参与90亿美元加密货币洗钱的犯罪嫌疑人认罪

近日，亚历山大·文尼克（Alexander Vinnik）近日承认参与了BTC-e加密货币交易所的大规模洗钱犯罪活动，该交易所因涉嫌非法洗钱活动已于2017年被关闭。根据美国司法部的说法，文尼克在2011年至2017年期间是该交易所的主要运营者之一。在此期间，BTC-e处理了总额超过90亿美元的交易，并为超过100万名用户提供服务，其中许多用户是网络犯罪分子，试图清洗其非法活动的收益。

据称，文尼克通过帮助犯罪分子洗钱，导致犯罪分子因计算机入侵、勒索软件攻击、身份盗窃、贪污公职人员和毒品分销网络而遭受了超过1.2亿美元的损失。BTC-e在美国开展业务，但并未在美国领导的反洗钱组织金融犯罪执法网络（FinCEN）注册为货币服务业务，也没有按照联邦法律规定的反洗钱和了解客户的流程进行操作。实际上，BTC-e几乎没有验证任何客户的身份信息是否合法。美国司法部表示，BTC-e使用的虚拟公司和附属公司也没有进行反洗钱或FinCEN注册，以帮助其在全球范围内转移资金。

原文链接：

https://www.infosecurity-magazine.com/news/btce-9bn-cryptomoney-launderer/

美国公布最新的国际网络空间和数字政策战略

近日，美国国务卿安东尼·布林肯（Antony Blinken）在RSA网络安全会议上发布了美国政府最新的国际网络空间和数字政策战略，概述了美国政府在各种技术安全问题上与全球社区进行合作的计划。

最新的战略蓝图显示，美国联邦政府将在与全球社区合作解决各种技术安全问题方面进行多方面合作，旨在促进盟友、合作伙伴和全球利益相关者之间的合作与协作。国际网络空间和数字政策战略的核心是“数字团结”概念，其特点是对受恶意网络活动和其他数字伤害的受害者提供相互援助。

该战略还强调与国际合作伙伴在技术治理方面的协调，与民间社会和私营部门建立紧密伙伴关系，并通过来自可信技术供应商的各种产品和服务来促进网络安全弹性。

原文链接：

https://thecyberexpress.com/international-cyberspace-and-digital-policy/

网络攻击

针对Azure环境的攻击活动导致数百个账户被入侵

近日，安全研究人员警告称，一场针对Microsoft Azure环境的攻击活动已经导致数百个账户被入侵。根据安全公司Proofpoint的报告，攻击者采用了一种针对特定角色的精确策略，目标是入侵具有不同级别权限和职责的账户，涵盖了各种组织职能。受攻击的职位包括销售总监、客户经理、财务经理、运营副总裁、首席财务官、总裁和首席执行官。这表明攻击者旨在获取对有价值资源和跨职能部门的关键职位的访问权限。

一旦账户被入侵，攻击者会添加自己的电话号码或验证器应用程序作为多因素认证（MFA）方法，以保持持久性。这次攻击的最终目标似乎是金融欺诈或商业电子邮件侵入（BEC），攻击者会从被入侵的账户向人力资源和财务部门的员工发送电子邮件。攻击者还会下载包含有关财务资产、内部安全协议和用户凭据的敏感文件，以更好地准备他们的欺诈信息。横向移动也是攻击的关键组成部分，通过被入侵的账户向组织中的其他关键员工发送钓鱼邮件。

原文链接：

https://www.csoonline.com/article/1307764/attack-campaign-targeting-azure-environments-compromised-hundreds-of-accounts.html

黑客利用LiteSpeed Cache缺陷创建WordPress管理员账户

近日，Automattic的安全团队WPScan发现，网络犯罪分析一直在针对使用过时版本LiteSpeed Cache插件的WordPress网站，创建管理员用户并控制这些网站。LiteSpeed Cache（LS Cache）是一款在超过500万个WordPress网站中被广泛使用的缓存插件，可以加快页面加载速度，提升访客体验并提高Google搜索排名。

据研究人员观察，威胁行为者正在扫描和攻击使用插件旧版本（小于5.7.0.1）的WordPress站点，这些版本存在一个高危（8.8）的未经身份验证的跨站脚本漏洞，被跟踪为CVE-2023-40000。在扫描易受攻击站点时，从IP地址94[.]102[.]51[.]144仅仅有超过120万次的探测请求。

WPScan报告称，攻击者利用恶意JavaScript代码注入到关键的WordPress文件或数据库中，创建名为“wpsuppuser”或“wpconfiguser”的管理员用户。另一个感染的迹象是数据库中“litespeed.admin_display.messages”选项中存在“eval(atob(Strings.fromCharCode”字符串。

专家建议WordPress网站管理员及时更新插件至最新版本，删除或禁用不需要的组件，并密切监测是否有新的管理员账户被创建。对于已经受到攻击的网站，必须进行全面的清理工作。这包括删除所有恶意账户、重置现有账户的密码，并从干净的备份中恢复数据库和网站文件。

原文链接：

https://www.bleepingcomputer.com/news/security/hackers-exploit-litespeed-cache-flaw-to-create-wordpress-admins/

美国医疗服务商MedStar泄露近20万名患者隐私信息

据Cybernews报道，美国重要非营利医疗服务提供商MedStar在2023年发生了长达数月的数据泄露事件，导致近20万名患者的个人数据被泄露。攻击者在2023年1月至10月期间成功入侵了MedStar的系统，篡改了三个员工的电子邮件账户，从而未经授权地访问了个人的姓名、出生日期、邮寄地址、服务日期、提供者姓名和健康保险详情。

该医疗服务提供商在上周的泄露通告中表示，目前没有证据表明泄露的数据被外部窃取或查看，同时表示已采取额外措施以更好地保护患者数据免受未来的攻击。尽管没有数据外泄的迹象，但受可能受到影响的个人被敦促保持警惕，防范可能的医疗身份盗窃、钓鱼攻击和其他欺诈活动，包括利用泄露的个人身份信息申请新的信用账户和贷款。

原文链接：

https://www.scmagazine.com/brief/medstar-breach-impacts-183k-patients

超过5万台Tinyproxy服务器易面临严重RCE缺陷攻击威胁

近日，Cisco Talos安全研究团队披露了一种严重的远程代码执行（RCE）风险隐患，可能会影响开源HTTP和HTTPS代理服务器Tinyproxy的近52,000个公开互联网实例。Tinyproxy旨在提供快速、小巧和轻量级的代理服务，广泛应用于小型企业、公共WiFi提供商和家庭用户。

Talos团队在2023年12月首次发现了该风险隐患，但表示未能收到开发人员的及时回应。该缺陷位于Tinyproxy的’remove_connection_headers（）’函数中，特定的HTTP头（Connection和Proxy-Connection）未正确处理，导致内存被释放后再次错误访问，从而引发服务器崩溃和潜在的远程代码执行。

原文链接：

https://www.bleepingcomputer.com/news/security/over-50-000-tinyproxy-servers-vulnerable-to-critical-rce-flaw/

产业动态

云安全公司Wiz完成E轮融资，估值高达120亿美元

近日，云安全平台初创公司Wiz完成了10亿美元的E轮融资，由 Andreessen Horowitz、Lightspeed Venture Partners 和 Thrive Capital 领投，Greylock、Wellington Management 以及现有投资者 Cyberstarts、Greenoaks、Howard Schultz、Index Ventures、Salesforce Ventures 和 Sequoia Capital 参投。此轮融资使Wiz的估值达到120亿美元，成为当今网络安全领域估值最高的初创公司之一。

Wiz已成立四年，2023年以3.5亿美元的年度收入入选福布斯云100强，并与知名AI服务提供商合作。Wiz计划利用这笔资金进一步进行并购，同时进行产品开发和招聘新人才，预测2024年将是“安全整合的一年”，该公司最近收购了Raftt和Gem Security等公司。

原文链接：

https://www.darkreading.com/cloud-security/wiz-announces-1b-funding-round-will-be-used-to-further-m-a-efforts

谷歌在RSA大会上发布最新威胁情报产品

日前，谷歌在RSA会议上推出了谷歌云安全组合的新成员——谷歌威胁情报（Google Threat Intelligence）。这项服务旨在为组织提供对全球威胁景观的更强大的可见性，帮助它们更好地保护数字资产并应对新兴的网络安全威胁。谷歌威胁情报从多个渠道获取信息，包括谷歌的威胁洞察、Mandiant的专业知识、VirusTotal的洞察以及安全社群的开源情报。组织可以利用这些信息来支持它们保护免受外部威胁、管理攻击面、减轻数字风险、分析威胁指标和获取专业知识的方法。该服务还包括Gemini 1.5 Pro人工智能模型，它能够利用洞察力进行威胁扫描和响应等操作。此外，谷歌威胁情报作为谷歌云安全综合安全组合的一部分，并未透露有关由Gemini提供支持的安全更新在Chronicle和Workspace方面的详细信息。

原文链接：

https://www.csoonline.com/article/2098501/google-launches-google-threat-intelligence-at-rsa-conference.html

Akamai将以4.5 亿美元收购API安全公司Noname

日前，Akamai Technologies宣布计划以约4.5亿美元收购API安全初创公司Noname Security，以加强其现有的API安全解决方案。此次收购预计将于2024年第二季度完成。根据Akamai的预测，收购将在2024年的第一年为公司带来约2000万美元的收入。

Akamai Technologies执行副总裁兼安全技术集团总经理Mani Sundaram在一份声明中表示：Akamai已经看到了对API保护的需求不断增长，我们自己的数据显示API攻击同比增长了109%。随着 Noname 的加入，Akamai 相信它将拥有广泛的集成和部署选择，为所有环境中的客户提供全面的 API 保护。

原文链接：

https://www.sdxcentral.com/articles/news/akamai-to-acquire-noname-for-450m-to-reduce-api-security-threats/2024/05/

研究报告

2024 年第一季邮件安全观察报告

日前，守内安 & ASRC联合发布《2024 年第一季邮件安全观察报告》。报告数据显示：2024 年第一季电子邮件总量约较上季增加 30%，而针对账号、邮件服务器尝试的联机都比上一季增加更多。恶意邮件通过压缩文件形式发送的比例明显下降，取而代之的是直接发送恶意的 Office 及 PDF 文件的情况有明显增长。

研究人员认为，邮件安全领域的攻击及防护手段持续竞赛，除了网安设备需要不断升级外，人员的教育训练也应该根据攻击的变化与时俱进；二维码钓鱼邮件带来的风险，除了设法杜绝收件人接触这类邮件、教育训练外，企业也需要手机等移动设备的管理 (MDM)，在个人方面最好都能采取多因子认证 (MFA) 的保护措施，万一泄漏了账号密码或敏感信息时，可以多一道安全保护。

原文链接：

https://mp.weixin.qq.com/s/dMBC92bUSLSt_L38_5UGOw