当前位置: 首页 > 行业资讯 > 网络安全日报 2024年09月30日

网络安全日报 2024年09月30日

发表于:2024-09-30 08:17 作者: 合天网安实验室 阅读数(1595人)

1、攻击者利用HTML Smuggling手段传播DCRat

https://www.netskope.com/blog/dcrat-targets-users-with-html-smuggling

研究人员近期发现,攻击者正在利用HTML Smuggling手段传播DCRat。DCRat是一种远控木马,该远控木马使用C#编写,提供了击键记录、文件外传、命令执行和凭证盗窃等功能。在此次攻击活动中,攻击者将HTML文件伪装成俄语应用程序,如TrueConf和VK Messenger,表明可能是针对俄语用户的攻击活动。一旦受害者打开该HTML文件,它会自动下载一个受密码保护的ZIP文件,使用的密码是2024。该ZIP文件中包含一个自解压RAR文件,其中包含一个批处理脚本和另一个受密码保护的压缩包。一旦执行,批处理脚本会对该压缩包进行解密并执行最终的远控木马DCRat。

2、WooCommerce愿望清单插件中存在安全漏洞

https://securityonline.info/cve-2024-43917-cvss-9-3-unpatched-sqli-flaw-in-ti-woocommerce-wishlist-threatens-100000-sites/

WordPress插件TI WooCommerce Wishlist中存在一个安全漏洞,可能使超过10万个网站面临威胁。该漏洞被标识为CVE-2024-43917,CVSS评分为9.3,允许未经身份验证的用户执行任意SQL查询,可能使他们完全控制受影响的网站。该漏洞源于插件代码中的SQL注入问题。攻击者可以利用此漏洞绕过安全措施并操纵网站的数据库,导致数据泄露、篡改甚至完全接管网站。目前该漏洞尚未得到修复,使用该插件的用户需暂时停用并删除该插件。

3、备受争议的Windows Recall AI 搜索工具重新回归

https://www.securityweek.com/microsofts-controversial-recall-returns-with-proof-of-presence-encryption-data-isolation-opt-in-model/

之前由于公众的强烈反对,微软撤下了备受争议的 Windows Recall 功能的预览版三个月后,微软表示已彻底改革了安全架构,包括存在证明加密、防篡改和 DLP 检查,以及在主操作系统之外的安全区域中管理屏幕截图数据。该功能利用人工智能创建可搜索的数字记忆,记录用户在 Windows 电脑上执行的所有操作,该功能也将默认关闭,并配备工具将其从 Windows 操作系统中永久删除。

4、 以明文形式存储数亿个密码,Meta被罚1亿美元

https://www.freebuf.com/articles/412005.html

因意外将6 亿 Facebook 用户的密码以明文形式存储,当地时间9月27日,爱尔兰数据保护委员会(DPC)宣布对Facebook母公司Meta处以9100万欧元(约合1.01亿美元)罚款。

5、黑产伙同通信公司员工注册倒卖微信号牟利,涉案上千万!

https://www.freebuf.com/news/412017.html

2024年9月24日,据检察日报报道:注册微信账号必须用实名制的手机号码,通过系统发送短信进行验证等程序,才能注册成功。某通信集团贵州有限公司员工刘某为获取非法利益,在公司行业网关系统内搭建特殊通道,伙同他人让大量未实名注册且未投入使用的电话号码(以下简称“空号”)通过短信验证,从而成功注册微信账号。牵出了3个犯罪集团,28人获刑。

6、《工业和信息化领域数据安全合规指引》公开征求意见

https://www.secrss.com/articles/70772

为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规要求,中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会、中国建筑材料联合会、中国机械工业联合会、中国汽车工业协会、中国纺织工业联合会、中国轻工业联合会、中国电子信息行业联合会、中国计算机行业协会、中国通信标准化协会、中国通信企业协会、中国互联网协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等十七家行业组织共同编制《工业和信息化领域数据安全合规指引(征求意见稿)》,充分发挥行业自律作用,引导工业和信息化领域数据处理者合法合规开展数据处理活动,准确全面履行数据安全保护责任义务。

7、 “三只羊”录音门言论系AI伪造

https://secrss.com/articles/70747

合肥警方9月26日通报,网传“三只羊”卢某某的酒后言论系AI工具伪造。南都记者了解到,涉案嫌疑人用以伪造卢某某言论的AI声音克隆平台为“Reecho睿声”。

8、谷歌工作空间AI助手易受间接提示注入攻击

https://cybersecuritynews.com/gemini-workspace-prompt-injection/

最近的一项调查显示,谷歌的 Gemini for Workspace(一款集成在谷歌各种产品中的多功能人工智能助手)容易受到间接提示注入攻击。

9、多款办公自动化系统遭受SQL注入攻击

https://sectoday.tencent.com/event/wD-VLpIBcIs5GCTMz5HC

近期,多个办公自动化(OA)系统被曝出严重的SQL注入漏洞,涉及WanhooOA-ezOFFICE、用友U8CRM等知名产品。这些漏洞使黑客能够轻易地操纵数据库,窃取企业机密信息甚至破坏整个系统架构。

10、韩国将视观看或持有深度伪造色情作品为犯罪

https://www.reuters.com/world/asia-pacific/south-korea-criminalise-watching-or-possessing-sexually-explicit-deepfakes-2024-09-26/

首尔 9 月 26 日(路透社)——韩国议员周四通过了一项法案,将拥有或观看色情深度伪造图像和视频定为犯罪,处罚包括监禁和罚款。根据该法案,任何购买、保存或观看此类材料的人都可能面临最高三年的监禁或最高 3000 万韩元(22,600 美元)的罚款。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。