黑客组织利用CrowdStrike蓝屏问题发起网络钓鱼攻击；Polyfill供应链攻击的实际危害或远超预期 | 牛览

点击蓝字·关注我们 / aqniu

新闻速览

•公安机关严厉打击非法控制计算机信息系统犯罪活动

•不法分子利用深度伪造的马斯克形象和声音攻击巴黎奥运会

•40万个网站面临风险，Polyfill供应链攻击的实际危害或远超预期

•黑客组织利用CrowdStrike蓝屏问题发起网络钓鱼攻击

•攻击者利用合法的URL保护服务隐藏其网络钓鱼地址

•Oracle WebLogic Server被曝存在严重缺陷 可被用于绕过身份验证

•VPN网络在处理网络连接追踪时或存在安全缺陷

•HPE修复3PAR 服务处理器中的一个关键缺陷

•云盾智慧发布新一代网页防篡改系统

特别关注

公安机关严厉打击非法控制计算机信息系统犯罪活动

近日，辽宁阜新网安支队成功打掉一个非法控制计算机信息系统犯罪团伙，斩断一条研发网约车外挂销售非法获利的犯罪链。

经工作得知，阜新市居民李某在多个司机群以“外挂”软件能实现虚拟定位、优先抢单、随意变换计费路程等名义，发布出售“朱雀”、“猪猪侠”、“钵钵鸡”等多款网约车外挂非法获利。警方立即对该线索进行梳理，涉嫌非法控制计算机信息系统罪，作案团伙人数众多，分工明确，有的专门负责编写外挂软件，有的负责寻找下线代理人员，有的负责销售。

阜新网安支队抽调分局警力成立专案组，奔赴多个省市，开展大量走访摸排工作，充分固定证据后，组成5个抓捕组，出动40余名警力，分赴四省多地将李某等5名销售外挂软件嫌疑人抓获。根据李某等提供的线索顺藤摸瓜，警方终于锁定以吴某为首的犯罪团伙位置。

专案组连夜奔赴广州、深圳、盐城、扬州、南京等市，经过十多个小时的集中收网，成功将另外12名犯罪嫌疑人抓获，封停网约车外挂账号22万余个，涉案金额高达800余万元。目前犯罪嫌疑人已被采取强制措施，案件正在进一步侦办中。

https://mp.weixin.qq.com/s/SZ7Fady2ZKFxTgNCeu65kA

热点观察

不法分子利用深度伪造的马斯克形象和声音攻击巴黎奥运会

近日，安全厂商迈克菲的研究人员发现，不法分子将特斯拉创始人埃隆·马斯克的形象和声音作为核心元素，利用深度伪造技术制作了一个抹黑即将开始的巴黎奥运会领导层的虚假视频系列，在网络上进行传播。视频发布后一周内，吸引了超过15万名观众。

研究人员发现，这个由三个部分组成的虚假视频系列名为《奥运已倒下II：托马斯·巴赫的终结》，托管在亚马逊Prime上，通过Telegram消息服务进行分发。为了增加可信度，制作者还伪造了来自知名出版商的背书和评论，进一步增强他们的社会工程学企图。

该视频用马斯克的形象和声音进行旁白，使用了声音克隆、图像扩散和唇形同步技术等AI技术。研究人员指出，这些表面上看起来非常专业，但深入分析后可以发现它们利用AI技术制作的蛛丝马迹。制作者从《华尔街日报》对马斯克的采访中获取了原始视频，并对其进行了修改。

作为深度伪造和其他AI生成内容中最常被模仿的人物之一，马斯克的形象和声音过去曾多次被用于加密货币骗局中。美国联邦通信委员会（FCC）和管理咨询公司德勤都警告了深度伪造技术在诈骗和信息传播中的潜在威胁。

https://securityboulevard.com/2024/07/musks-voice-likeness-used-in-deepfake-scam-targeting-the-olympics/

网络攻击

40万个网站面临风险，Polyfill供应链威胁影响远超预期

研究人员近日发现，Polyfill.io域名和服务被Funnull收购后，已被攻击者利用在供应链攻击中修改脚本，向网站引入恶意代码，这可能会导致近40万个网站面临风险，远远超过业界之前的预期。

多年来，托管在polyfill[.]com上的JavaScript代码是一个广受欢迎的免费开源项目。通过链接到该网站，可以确保用户即便使用旧版浏览器，网站内容也能以新的格式呈现出来。但这很容易被不法分子用来进行供应链攻击。

安全公司Sansec的研究人员近日发布报告称，大量托管在polyfill域名上的代码已被更改，将用户重定向到以成人和赌博为主题的网站。不仅如此，他们还发现，目前仍有384,773个网站与该服务存在链接，4倍于之前所预计的数量。

https://securityboulevard.com/2024/07/polyfill-supply-chain-richixb/

黑客组织利用CrowdStrike蓝屏问题发起网络钓鱼攻击

因安全软件CrowdStrike更新缺陷导致的大范围Windows“蓝屏”事件后续影响仍在不断发酵。研究人员最新发现，一些网络犯罪分子正在快速利用此事件的热度发起攻击，他们通过发送钓鱼邮件、冒充CrowdStrike员工回访客户等方式，对CrowdStrike客户开展社会工程攻击。此外，CrowdStrike还发现了几个冒充其品牌的非法网络钓鱼域名。

研究人员介绍，攻击者会利用以上攻击方法，尝试向CrowdStrike客户的Windows系统中植入恶意文件，如上传名为“crowdstrike - hotfix.zip”的恶意ZIP存档文件。该ZIP存档文件包含一个名为HijackLoader的恶意载荷，执行该载荷将加载RemCos。用户被提示运行Setup.exe，之后它会通过DLL搜索顺序劫持缺陷加载HijackLoader。一旦加载成功，HijackLoader就会使用名为maidenhair.cfg的配置文件执行最终的RemCos负载，进而实施各种恶意行为。

安全专家建议，组织应通过官方渠道与CrowdStrike进行沟通，并在问题修复中严格遵循CrowdStrike支持团队提供的技术指导。

https://cybersecuritynews.com/threat-actor-exploits-crowdstrike-falcon-sensor-issues/

攻击者利用合法的URL保护服务隐藏其网络钓鱼地址

近日，研究人员观察到，钓鱼攻击者利用了多种不同的URL保护服务来隐藏其钓鱼网址，而这些服务是由可信赖的品牌所提供的，使得用户更加难以识别和防范这些攻击。目前，这些攻击已经影响数百家甚至更多的公司。

网络安全厂商Barracuda在其报告中表示，URL保护服务通常是电子邮件安全供应商用来对电子邮件中的链接进行即时的声誉检查。它们会修改电子邮件中现有的链接，将其指向供应商所控制的域名和服务，以待服务器进行检查，确定链接是否指向已知的钓鱼或恶意软件网站，并根据结果采取阻止对其的访问等措施，确保用户不会访问恶意网站。但是这种做法会破坏加密电子邮件签名，且重写后的链接会混淆真实目的地。

目前尚不清楚Barracuda观察到的钓鱼活动攻击者是如何生成指向其伪造网站的重写URL的。但研究人员推测，攻击者很可能入侵了使用这些服务的组织的内部电子邮件帐户，通过这些帐户发送带有重写URL的电子邮件，以进行强制URL重写。

https://cybersecuritynews.com/threat-actor-exploits-crowdstrike-falcon-sensor-issues/

漏洞预警

Oracle WebLogic Server被曝存在严重缺陷 可被用于绕过身份验证

研究人员近日在Oracle WebLogic Server上发现了一个严重缺陷CVE-2024-21181。该缺陷允许未经身份验证的攻击者通过T3和IIOP协议获得网络访问权限，进而完全控制服务器，造成未经授权的访问、数据泄露，还可能对业务运营造成严重破坏。

Oracle WebLogic Server是一款被广泛用于构建和部署企业Java EE应用程序的应用服务器。CVE-2024-21181影响了多个版本的Oracle WebLogic Server。

该缺陷的CVSS 3.1基础评分达到9.8分（满分为10分），需要紧急进行修补。目前，Oracle已发布了安全更新来修复这个缺陷，强烈建议IT管理员尽快应用这些补丁，同时实施网络分割、监控网络流量，并加强访问控制。此外，作为临时解决方案，也可以限制T3协议访问，并禁用IIOP协议。

https://securityboulevard.com/2024/07/polyfill-supply-chain-richixb/

VPN网络在处理网络连接追踪时或存在安全缺陷

近日，由Citizen Lab、密歇根大学、亚利桑那州立大学和新墨西哥大学的研究人员组成的联合研究小组合作发现了VPN在处理网络连接追踪服务时存在的安全缺陷。这个缺陷被称为“Port Shadow”，攻击者可以利用它生成中间人攻击条件，用来拦截、去匿名化和解密VPN流量。

VPN在处理网络连接跟踪时所采用的方法能够在系统内有效地管理各种内核线程和过程的连接，其中会引入共享状态概念。如果对共享状态进行管理不当，可能会对依赖于该框架的任何应用程序带来潜在的安全风险。如果VPN平台没有正确地隔离这些连接，攻击者就有可能操纵连接跟踪表，将其他用户的流量重新定向到自己的设备上。

研究人员指出，与以前对VPN的攻击不同的是，通过这个缺陷，攻击者不再需要完全接管VPN本身或已经处于中间人接入状态，而只要使用用户级别的帐户即可进行攻击。而且这个缺陷存在于支持VPN操作的底层系统中，而不是某个具体的VPN协议本身，因此普遍存在。

https://www.scmagazine.com/news/researchers-find-port-shadow-flaws-in-vpn-platforms

产业动态

HPE修复3PAR 服务处理器中的一个关键缺陷

HPE日前修复了其3PAR服务处理器软件中的一个关键缺陷，这将显著改善用户使用HPE 3PAR Store Serve rv存储系统时的安全态势。该缺陷被识别为CVE-2024-22442，可能允许攻击者绕过身份验证措施，在未经授权的情况下访问3PAR服务处理器。这种访问可能导致数据泄露、未经授权的修改，甚至中断存储操作。此类攻击的后果往往非常严重，会影响存储在3PAR StoreServ系统中的数据的完整性、保密性和可用性。

研究人员提醒，依赖HPE 3PAR StoreServ存储系统的组织必须立即采取行动，升级到最新的更新版本，保护其数据免受潜在的利用。

https://cybersecuritynews.com/hpe-critical-3par-processor-flaw/

云盾智慧发布新一代网页防篡改系统

随着网络技术的飞速发展，网页篡改事件频发，给个人信息安全、企业品牌声誉以及社会稳定带来了极大的威胁。因此，网页防篡改技术的研发与应用显得尤为重要。

日前，云盾智慧发布了新一代慧御网页防篡改系统，该系统专为Web应用提供全方位的防护，采用了先进的驱动级文件保护技术，基于事件触发检测机制，高效实现网页监测功能，可以确保网站内容的完整性和真实性，有效防范各类网络攻击和恶意篡改。同时，系统还可以针对网页应用中的漏洞获取权限，非法篡改Web应用中的内容、植入暗链等恶意传播信息进行安全防护。

云盾智慧公司表示，该系统可广泛适用于政府、运营商、金融、教育、医疗等各个行业，保障互联网和内部Web业务的正常运营，维护政府和企业的形象不受破坏。

https://mp.weixin.qq.com/s/vlVvyLPCsBF7hazowcBcmg

合作电话：18311333376

合作微信：aqniu001