要聞速覽

1、中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心正式掛牌成立

2、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——大型互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)安全評估指南（征求意見稿）》發(fā)布

3、網(wǎng)絡(luò)安全公司Resecurity發(fā)布2024年網(wǎng)絡(luò)威脅態(tài)勢預(yù)測報告

4、巔峰對抗：卡巴斯基曝光疑遭NSA利用的蘋果處理器“神秘后門” 

5、R星又雙叒遭非法“登陸”，GTA 5 完整源代碼被公開泄露

6、公開100GB數(shù)據(jù)，日產(chǎn)汽車遭勒索組織“撕票”

一周政策要聞

中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心正式掛牌成立

12月25日，中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心正式掛牌成立。該中心直屬國家市場監(jiān)督管理總局，相關(guān)業(yè)務(wù)接受中央網(wǎng)絡(luò)安全和信息化委員會辦公室指導(dǎo)。市場監(jiān)管總局網(wǎng)數(shù)中心是在原中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心和國家市場監(jiān)督管理總局原信息中心為主的基礎(chǔ)上整合重組、優(yōu)化調(diào)整成立。

主要職責(zé)是：依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《網(wǎng)絡(luò)安全審查辦法》及國家有關(guān)強制性產(chǎn)品認(rèn)證法律法規(guī)，承擔(dān)網(wǎng)絡(luò)安全審查技術(shù)與方法研究、網(wǎng)絡(luò)安全審查技術(shù)支撐工作；在批準(zhǔn)范圍內(nèi)開展與網(wǎng)絡(luò)安全相關(guān)的產(chǎn)品、管理體系、服務(wù)、人員認(rèn)證和培訓(xùn)、檢驗檢測等工作；參與研究擬訂市場監(jiān)管信息化發(fā)展規(guī)劃，協(xié)助指導(dǎo)全國市場監(jiān)管系統(tǒng)信息化建設(shè)、管理和應(yīng)用推廣工作；承擔(dān)市場監(jiān)管業(yè)務(wù)應(yīng)用系統(tǒng)和總局政務(wù)信息系統(tǒng)建設(shè)、運維及技術(shù)保障工作；承擔(dān)市場監(jiān)管行業(yè)標(biāo)準(zhǔn)組織協(xié)調(diào)工作，承擔(dān)全國統(tǒng)一的市場監(jiān)管信息化標(biāo)準(zhǔn)體系的建立完善工作；負(fù)責(zé)市場監(jiān)管大數(shù)據(jù)中心建設(shè)、管理和運行維護工作，支撐智慧監(jiān)管建設(shè)；受委托承擔(dān)市場監(jiān)測技術(shù)支撐工作；開展網(wǎng)絡(luò)安全認(rèn)證、市場監(jiān)管信息化與大數(shù)據(jù)分析應(yīng)用、智慧監(jiān)管等領(lǐng)域的國際合作與交流。

信息來源：國家市場監(jiān)管管理總局  https://www.samr.gov.cn/xw/mtjj/art/2023/art_1fab5d24ca86491bbf8195edb9241d95.html

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——大型互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)安全評估指南（征求意見稿）》發(fā)布

近幾十年互聯(lián)網(wǎng)快速發(fā)展，特別是移動互聯(lián)網(wǎng)的迅速普及，“培養(yǎng)”了許多大型互聯(lián)網(wǎng)平臺，這些企業(yè)組織既是企業(yè)的重要商業(yè)平臺，承擔(dān)起了社會經(jīng)濟發(fā)展的歷史重任，同時也是普通網(wǎng)民生活、工作的公共空間，掌握了關(guān)系國計民生的大量資源。因此，大型互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)安全風(fēng)險很容易傳導(dǎo)影響社會穩(wěn)定、公共利益的內(nèi)容。

為幫助大型互聯(lián)網(wǎng)平臺在網(wǎng)絡(luò)安全合規(guī)基礎(chǔ)上，進一步評估發(fā)現(xiàn)和防范可能影響社會穩(wěn)定、公共利益的網(wǎng)絡(luò)安全風(fēng)險，指導(dǎo)大型互聯(lián)網(wǎng)平臺評估發(fā)現(xiàn)和防范可能影響社會穩(wěn)定、公共利益的網(wǎng)絡(luò)安全風(fēng)險，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處根據(jù)《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會<網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南>管理辦法（暫行）》的相關(guān)要求，組織編制了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——大型互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)安全評估指南（征求意見稿）》，現(xiàn)面向社會公開征求意見。

需要獲取征求意見稿群請在評論區(qū)留言“征求意見稿”，小銘哥會第一時間為您提供相關(guān)資料。

信息來源：全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會  https://www.tc260.org.cn/front/postDetail.html?id=20231223120722

業(yè)內(nèi)新聞速覽

網(wǎng)絡(luò)安全公司Resecurity發(fā)布《2024年網(wǎng)絡(luò)威脅形勢預(yù)測報告

近日，為全球財富 100 強企業(yè)和政府機構(gòu)提供保護的網(wǎng)絡(luò)安全公司Resecurity發(fā)布了《2024 年網(wǎng)絡(luò)威脅形勢預(yù)測報告》，報告中提到了2024年即將面臨的威脅和新的安全挑戰(zhàn)。這些預(yù)測源于對暗網(wǎng)地下經(jīng)濟發(fā)展的深入分析，以及對針對企業(yè)和政府的重大網(wǎng)絡(luò)安全事件的全面研究。

需要獲取報告請在評論區(qū)留言“報告”，小銘哥會第一時間為您提供相關(guān)資料。

消息來源：Security Affairs安全事務(wù)  https://securityaffairs.com/156405/reports/2024-cyber-threat-landscape-forecast.html

巔峰對抗：卡巴斯基曝光疑遭NSA利用的蘋果處理器“神秘后門” 

卡巴斯基在年關(guān)時分披露了蘋果處理器后門漏洞，為連載半年多的三角定位間諜軟件行動收官；CVE-2023-38606濫用蘋果預(yù)留未公開的隱蔽硬件特性，繞過了系統(tǒng)保護措施，攻擊者利用該漏洞對卡巴斯基、駐俄中國大使館等多個組織實施了攻擊；俄羅斯官方認(rèn)為，美國NSA使用蘋果提供的硬件后門發(fā)起了這次攻擊，但尚無坐實這些指控的明確證據(jù)。

安全內(nèi)參12月28日消息，據(jù)卡巴斯基公司披露，自2019年以來，“三角定位行動”（Operation Triangulation）間諜軟件持續(xù)對iPhone設(shè)備進行攻擊。該軟件利用蘋果芯片中未記錄的特性繞過基于硬件的安全保護措施。

卡巴斯基分析師在2023年6月首次發(fā)現(xiàn)了上述攻擊活動。隨后，他們對這條復(fù)雜的攻擊鏈進行了逆向工程，試圖挖掘所有細(xì)節(jié)。

分析師發(fā)現(xiàn)了一些預(yù)留用于調(diào)試和出廠測試的隱蔽硬件特性，可以利用它們對iPhone用戶發(fā)動間諜軟件攻擊。這表明發(fā)動攻擊的威脅行為者水平相當(dāng)高。

這也充分說明，依賴于隱蔽和保密的硬件設(shè)計或測試，并不能確保安全性。

三角定位行動：三角定位行動是一起針對蘋果iPhone設(shè)備的間諜軟件行動，利用了四個零日漏洞。這些漏洞被鏈接在一起，組合成一個零點擊漏洞利用鏈，允許攻擊者提升權(quán)限并執(zhí)行遠(yuǎn)程代碼。這個高度復(fù)雜的漏洞鏈包括四個漏洞，能夠影響iOS 16.2之前的所有iOS版本。它們分別是：

• CVE-2023-41990：ADJUST TrueType字體指令中的一個漏洞，允許通過惡意iMessage附件執(zhí)行遠(yuǎn)程代碼。
• CVE-2023-32434：XNU內(nèi)存映射系統(tǒng)調(diào)用中的整數(shù)溢出問題，授予攻擊者對設(shè)備物理內(nèi)存的廣泛讀寫訪問權(quán)限。
• CVE-2023-32435：Safari瀏覽器漏洞，可以用來執(zhí)行shellcode，作為多階段攻擊的一部分。
• CVE-2023-38606：利用硬件內(nèi)存映射輸入/輸出（MMIO）寄存器繞過頁面保護層（PPL），超越基于硬件的安全保護措施。

攻擊者首先向目標(biāo)發(fā)送惡意iMessage附件，整條攻擊鏈?zhǔn)橇泓c擊的，也就是不需要用戶交互，不會留下任何可察覺的跡象或痕跡。卡巴斯基在內(nèi)部網(wǎng)絡(luò)中發(fā)現(xiàn)了這次攻擊。俄羅斯情報機構(gòu)聯(lián)邦安全局當(dāng)時指責(zé)，蘋果向美國國家安全局提供了針對俄羅斯政府和大使館人員的后門。

到目前為止，攻擊來源仍然未知，且沒有證據(jù)證明這些指控。

蘋果于2023年6月21日修復(fù)了當(dāng)時被確認(rèn)的兩個零日漏洞（CVE-2023-32434和CVE-2023-32435），發(fā)布了iOS/iPadOS 16.5.1和iOS/iPadOS 15.7.7版本。

高度復(fù)雜的攻擊：

在這些漏洞中，卡巴斯基分析師對CVE-2023-38606最感興趣。蘋果于2023年7月24日發(fā)布了iOS/iPadOS 16.6版本，修補這一漏洞。

通過另一個漏洞CVE-2023-32434，攻擊者可以獲得對內(nèi)核內(nèi)存的讀寫訪問權(quán)限。此時，蘋果芯片自帶的硬件保護措施將阻止攻擊者完全控制設(shè)備。然而，CVE-2023-38606漏洞可以幫助攻擊者繞過這種保護措施。

卡巴斯基詳細(xì)解釋了相關(guān)技術(shù)。CVE-2023-38606針對的是蘋果A12-A16 系列仿生處理器中未知的MMIO寄存器。這些寄存器未在設(shè)備樹（DeviceTree）中列出，可能與芯片的GPU協(xié)處理器相關(guān)。

三角定位攻擊利用這些寄存器操縱硬件特性，并在攻擊過程中控制直接內(nèi)存訪問?？ò退够趫蟾嬷薪忉屨f：“總體來說，這個特性和利用方法如下：攻擊者能夠向特定的物理地址寫入數(shù)據(jù)，同時向未被固件使用的芯片中的未知硬件寄存器寫入數(shù)據(jù)、目標(biāo)地址和數(shù)據(jù)散列，以繞過基于硬件的內(nèi)存保護措施。”卡巴斯基推測，這個未記錄的硬件特性之所以包含在最終供消費者使用的iPhone版本中，可能是出于錯誤，或者是為了方便蘋果工程師進行調(diào)試和測試。蘋果通過更新設(shè)備樹限制物理地址映射修復(fù)了這個漏洞。然而，仍然不清楚攻擊者最初是如何發(fā)現(xiàn)這種如此隱蔽的可利用機制。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/62251

R星又雙叒遭非法“登陸”，GTA 5 完整源代碼被公開泄露

據(jù) GTA Focal 報道，《GTA 5》的源代碼在圣誕節(jié)前夕遭泄露，該文件包大小約為 4GB，包含大量 RAGE 引擎文件、概念和參考圖像，還有《GTA5》圣安地列斯的早期地圖。游戲源代碼鏈接被黑客分發(fā)到了Discord、某暗網(wǎng)網(wǎng)站和一個 Telegram 頻道等多個渠道。這次泄露事件距離 Lapsus$ 威脅行為者曾入侵 Rockstar 游戲公司并竊取公司數(shù)據(jù)已經(jīng)過去了一年。在 Telegram 上的《俠盜獵車手》泄密頻道中，名為 "Phil "的頻道所有者發(fā)布了源代碼的鏈接，并分享了其中一個文件夾的截圖。

Phil還向 Lapsus$ 黑客 Arion Kurtaj 致敬，他曾以 "teapotuberhacker "的名義泄露過《俠盜獵車手 6》的預(yù)發(fā)布視頻。

2022 年，Rockstar Games 遭遇臭名昭著的 Lapsus$ 黑客組織攻擊，他們?nèi)肭至嗽摴镜?Slack 服務(wù)器和 Confluence 維基。

黑客當(dāng)時聲稱竊取了《GTA 5》和《GTA 6》的源代碼以及《GTA 6》的測試版，并在論壇和 Telegram 上分享了《GTA 5》源代碼樣本，以證明他們竊取了數(shù)據(jù)。

安全研究組織 vx-underground 相關(guān)人員在 Discord 上與泄密者進行了交談，后者表示源代碼的泄露比預(yù)期的要早。他們稱在 2023 年 8 月收到了源代碼，此次泄露的動機是打擊《GTA V》MOD 界的詐騙行為，據(jù)稱很多人都被聲稱擁有《GTA V》源代碼的人騙了。雖然此次泄露的源代碼看起來是合法的《GTA 5》源代碼，但其真實性未得到驗證。截止目前， Rockstar并未做出回應(yīng)。
Lapsus$ 黑客擅長社工攻擊&SIM 卡交換攻擊：一直以來，Lapsus$ 黑客組織都十分擅長使用社交工程和 SIM 卡交換攻擊來入侵企業(yè)網(wǎng)絡(luò)。該組織曾對包括 Uber、微軟、Rockstar Games、Okta、Nvidia、Mercado Libre、T-Mobile、育碧、沃達(dá)豐和三星等在內(nèi)的知名企業(yè)發(fā)起過攻擊。作為攻擊的一部分，黑客還會以竊取到的源代碼和客戶數(shù)據(jù)來勒索這些公司支付贖金。美國國土安全部（DHS）網(wǎng)絡(luò)安全審查委員會對其戰(zhàn)術(shù)進行了分析，并分享了預(yù)防此類攻擊的建議。雖然 Lapsus$ 組織在成員被捕后活動不再像之前那樣頻繁了，但據(jù)最新消息，其中個別成員最近開始在名為 Scattered Spider 的松散黑客組織中有些小動作。Scattered Spider 組織采用的是與 Lapsus$ 類似的策略，主要通過利用社交工程、網(wǎng)絡(luò)釣魚、MFA 疲勞和 SIM 卡交換攻擊來獲取大型組織的初始網(wǎng)絡(luò)訪問權(quán)。

消息來源：FREEBUF  https://www.freebuf.com/news/387698.html

公開100GB數(shù)據(jù)，日產(chǎn)汽車遭勒索組織“撕票”  

Bleeping Computer 網(wǎng)站消息，Akira 勒索軟件團伙聲稱成功入侵了日本汽車制造商日產(chǎn)汽車澳大利亞分公司的內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

12 月 22 日，Akira 勒索軟件團伙在其泄漏博客上添加了一個新的“受害者”，并表示其成員從日產(chǎn)汽車制造商的內(nèi)部網(wǎng)絡(luò)系統(tǒng)中竊取了約 100GB 的文件資料。值得一提的是，威脅攻擊者還宣稱鑒于日產(chǎn)汽車公司拒絕支付贖金，接下來會陸續(xù)把盜取的敏感業(yè)務(wù)和客戶數(shù)據(jù)泄露到網(wǎng)上。勒索軟件組織宣言如下：

日產(chǎn)汽車似乎對被盜數(shù)據(jù)不是很感興趣，所以接下來我們會在幾天內(nèi)上傳被盜數(shù)據(jù)，你會在檔案中發(fā)現(xiàn)包含其員工個人信息的文檔，以及許多其他感興趣的東西，如 NDA、項目、客戶和合作伙伴信息等。

2023 年 3 月，Akira 勒索軟件團伙首次浮出水面，再迅速“積累”了大量來自不同行業(yè)的受害者后引起了人們的廣泛關(guān)注。2023 年 6 月，Akira 勒索軟件運營商開始部署其加密程序的 Linux 變種，據(jù)悉該變種專門針對企業(yè)環(huán)境中廣泛使用的 VMware ESXi 虛擬機。

從 Bleeping Computer 此前發(fā)布的信息來看，一旦成功實施網(wǎng)絡(luò)攻擊活動，Akira 勒索軟件組織要求受害者支付的贖金從 20 萬美元到數(shù)百萬美元不等，具體取決于被入侵組織的規(guī)模。此外，五年前互聯(lián)網(wǎng)江湖中出現(xiàn)過另一個名為 "Akira "的勒索軟件變種，但這兩個勒索軟件之間不太可能有關(guān)聯(lián)。

日產(chǎn)汽車仍在努力恢復(fù)系統(tǒng)：

數(shù)據(jù)泄露事件發(fā)生后，日產(chǎn)公司在其網(wǎng)站上添加了一個新的更新，確認(rèn)了威脅攻擊者已經(jīng)成功侵入了其在澳大利亞和新西蘭的一些網(wǎng)絡(luò)系統(tǒng)，但尚未對披露的網(wǎng)絡(luò)攻擊事件進行歸因。

日產(chǎn)汽車方面表示，目前公司仍在調(diào)查事件的影響以及個人信息是否被訪問，雖然暫時無法確認(rèn)網(wǎng)絡(luò)事件的嚴(yán)重程度，但已經(jīng)在積極組織安全專家團隊，努力恢復(fù)受攻擊影響的系統(tǒng)（這一過程在事件披露后的 12 月 5 日就開始了），公司也已經(jīng)同步通知了澳大利亞和新西蘭網(wǎng)絡(luò)安全中心以及相關(guān)的隱私監(jiān)管機構(gòu)和執(zhí)法機構(gòu)。

日產(chǎn)還強調(diào)，一些汽車經(jīng)銷商的網(wǎng)絡(luò)系統(tǒng)系統(tǒng)會受到數(shù)據(jù)泄露事件的影響，請直接與當(dāng)?shù)氐娜债a(chǎn)經(jīng)銷商聯(lián)系，協(xié)助處理所有車輛和服務(wù)查詢。此外，被入侵系統(tǒng)中可能存儲的一些數(shù)據(jù)存在被訪問或竊取的風(fēng)險，日產(chǎn)汽車警告客戶 "對任何異常或可疑的在線活動保持警惕"。

消息來源：FREEBUF  https://www.freebuf.com/articles/387640.html

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！