本周精选

1、EDPB通过了执法领域面部识别指南

2、新发现的 RA Group 利用泄露的 Babuk 源代码危害了美国和韩国的公司

3、600万患者的数据恐怕从PharMerica被盗

4、乌克兰、爱尔兰、日本和冰岛加入北约合作网络防御卓越中心（CCDCOE）

5、Active Directory 聚焦：攻击 Microsoft 的配置管理器 (SCCM/MECM)

政策法规动态

1、EDPB通过了执法领域面部识别指南

Tag：EDPB、指南

2023年5月17日，欧洲数据保护委员会（EDPB）通过了其执法领域面部识别技术指南的最终版本（“指南”）。该指南针对欧盟和欧盟成员国一级的立法者，以及实施和使用面部识别技术的执法当局及其官员。

https://www.huntonprivacyblog.com/2023/05/18/edpb-adopts-guidelines-on-facial-recognition-in-the-area-of-law-enforcement/

2、支持“我的身体，我的数据”法案

Tag：数据隐私、法案

EFF 支持众议员 Sara Jacobs 的“我的身体，我的数据”法案，该法案将保护寻求生殖健康护理的人们的隐私和安全。该法案于本周重新提出。

https://www.eff.org/deeplinks/2023/05/eff-supports-my-body-my-data

3、佛罗里达州的数字权利法案迎来曙光

Tag：儿童隐私、州法案

2023 年 5 月 4 日，佛罗里达州的“数字权利法案”( SB 262 ) 通过了州立法机构的批准，现在正前往州长的办公桌前等待签署。SB 262 与《华盛顿隐私法》及其后续版本（特别是《德克萨斯数据隐私和安全法》）有许多相似之处。然而，SB 262 是独一无二的，因为它受监管的业务范围狭窄，并且与美国各州隐私立法的当前趋势有其他重大偏差，并且它包含了适龄设计规范(AADC) 法规风格的部分，但范围更广比法案的“综合”部分更适用。

https://fpf.org/blog/shining-a-light-on-the-florida-digital-bill-of-rights/

重点漏洞情报

1、用友NC反序列化漏洞

Tag：用友NC、反序列化

用友NC反序列化漏洞远程未授权攻击者可向目标服务器发送恶意请求包，最终实现任意代码执行。

https://security.yonyou.com/#/patchList

2、泛微 E-Cology身份认证绕过漏洞

Tag：泛微 E-Cology

在泛微E-Cology9部分版本中硬编码第三方登录密钥，攻击者可以利用该密钥计算出特定参数值，从而伪造任意用户接管泛微E-Cology。

https://www.weaver.com.cn/cs/securityDownload.asp#

3、Linux Kernel 权限提升漏洞

Tag：CVE-2023-32233

Linux Kernel 权限提升漏洞(CVE-2023-32233)，Linux Kernel 的 Netfilter nf_tables子系统存在释放后重用漏洞，在处理 Netfilter nf_tables 基本操作请求时，由于匿名集处理不当，导致可以任意读写内核内存，拥有低权限的本地攻击者可以利用该漏洞将权限提升至ROOT权限。

https://ubuntu.com/security/CVE-2023-32233

4、Cisco Small Business 系列交换机缓冲区溢出漏洞

Tag：Cisco、缓冲区溢出

某些 Cisco Small Business 系列交换机基于 Web 的用户界面中存在多个漏洞，可能允许未经身份验证的远程攻击者造成拒绝服务 (DoS) 情况或在受影响的设备上以 root 权限执行任意代码。这些漏洞是由于对发送到 Web 界面的请求的验证不正确造成的。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv

恶意代码情报

1、新发现的 RA Group 利用泄露的 Babuk 源代码危害了美国和韩国的公司

Tag：RA Group、Babuk

思科 Talos 最近发现了一个名为 RA Group 的新勒索软件攻击者，该攻击者至少从 2023 年 4 月 22 日开始运行。该演员正在迅速扩大其业务。迄今为止，该组织已经入侵了美国的三个组织和韩国的一个组织，涉及多个垂直行业，包括制造业、财富管理、保险提供商和制药业。

https://blog.talosintelligence.com/ra-group-ransomware/

2、重生恶意软件在 PyPI 上持续存在

Tag：PyPI

GitHub 上的坏人在他的存储库中植入了用 Python 编写并托管在 PyPI 上的恶意软件。在他的恶意软件从 PyPI 中删除几分钟后，相同的恶意软件以略有不同的名称在 PyPI 上重新生成。然后他立即更新他的所有存储库以指向这个新包。他的大多数 GitHub 项目都是机器人或某种窃取者。

https://blog.phylum.io/respawning-malware-persists-on-pypi/

3、Lancefly: 集团使用自定义后门攻击政府、航空和其他部门的组织

Tag：Lancefly

Lancefly 高级持续威胁 (APT) 组织在针对南亚和东南亚组织的攻击中使用自定义编写的后门，该活动已持续数年。Lancefly 的自定义恶意软件，我们称之为 Merdoor，是一个强大的后门。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lancefly-merdoor-zxshell-custom-backdoor

4、俄罗斯附属的 CheckMate 勒索软件悄悄瞄准流行的文件共享协议

Tag：CheckMate

CheckMate 勒索软件运营商一直以用于文件共享的服务器消息块 (SMB) 通信协议为目标，以危害受害者的网络。

https://cybernews.com/security/checkmate-ransomware-victims/

数据安全情报

1、600万患者的数据恐怕从PharMerica被盗

Tag：PharMerica、个人和医疗保健数据

美国最大的药房服务提供商之一PharMerica透露其IT系统被破坏——它担心入侵者窃取了属于580多万过去客户的个人和医疗保健数据。

https://www.theregister.com/2023/05/18/pharmerica_data_breach/

2、美国运输部违规泄露了237,000名员工的数据

Tag： 美国运输部、数据泄露

美国交通部（USDOT）最近透露，威胁行为者在网络攻击中破坏了其系统。数据泄露泄露了大约23.7万名现任和前任机构员工的个人信息。

https://heimdalsecurity.com/blog/usdot-data-breach/

3、印第安纳大学公开了敏感的学生数据

Tag：印第安纳大学、学生数据

Cybernews研究小组发现，参与调查的机构之一印第安纳大学未能保护BCSSE调查数据。我们的研究人员偶然发现了两个不受保护的Azure Storage博客，其中暴露了超过130万个文件。

https://cybernews.com/security/indiana-university-student-survey-leak/

4、丰田披露了长达十年的数据泄露，暴露了215万客户的数据

Tag：丰田、客户记录、暴露

丰田透露，10多年来，配置错误的云桶留下了超过215万条客户记录暴露在开放的互联网上。

https://www.darkreading.com/cloud/toyota-discloses-decade-long-data-leak-exposing-2-15m-customers-data

热点安全事件

1、乌克兰、爱尔兰、日本和冰岛加入北约合作网络防御卓越中心（CCDCOE）

Tag：CCDCOE、北约

北约合作网络防御卓越中心（CCDCOE）是一个多国组织，旨在增强网络防御能力，促进北约成员国和伙伴国家之间的合作。公告称：“在其成立15周年之际，北约合作网络防御卓越中心（CCDCOE）在塔林总部升起了冰岛、爱尔兰、日本和乌克兰的旗帜，欢迎四个新成员国加入CCDCOE网络防御大家庭。”

https://securityaffairs.com/146372/cyber-warfare-2/nato-ccdcoe.html

2、苹果修复了用来入侵iPhone、Mac三个新的零日

Tag：苹果、0day

苹果已经解决了在攻击中利用的三个新的零日漏洞，以入侵iPhone、Mac和iPad。该公司在描述缺陷的安全公告中透露，苹果知道有一份报告称，这个问题可能已被积极利用。安全漏洞都在多平台WebKit浏览器引擎中发现，并被跟踪为CVE-2023-32409、CVE-2023-28204和CVE-2023-32373。

https://www.bleepingcomputer.com/news/apple/apple-fixes-three-new-zero-days-exploited-to-hack-iphones-macs/

3、经过五年的攻击后，隐秘的MerDoor恶意软件被发现

Tag：MerDoor、赛门铁克

经过五年的攻击后，隐秘的MerDoor恶意软件被发现。

https://www.bleepingcomputer.com/news/security/stealthy-merdoor-malware-uncovered-after-five-years-of-attacks/

4、18 岁黑客被指控入侵 60,000 个 DraftKings 投注账户

Tag：黑客攻击、DraftKings

司法部今天透露，一名来自威斯康星州的18岁男子Joseph Garrison被指控在2022年11月侵入DraftKings体育博彩网站约6万名用户的帐户。

https://www.bleepingcomputer.com/news/security/18-year-old-charged-with-hacking-60-000-draftkings-betting-accounts/

热点安全技术

1、Active Directory 聚焦：攻击 Microsoft 的配置管理器 (SCCM/MECM)

Tag：SCCM、MECM

Microsoft Configuration Manager (ConfigMgr) 是一种本地软件管理解决方案，用于部署、配置和更新托管端点。它是攻击性操作的高特权 - 因此非常有吸引力 - 目标，在大多数环境中应被视为TIER-0系统。

https://www.securesystems.de/blog/active-directory-spotlight-attacking-the-microsoft-configuration-manager/

2、人工智能黑客游戏（越狱 CTF）

Tag：人工智能

通过夺旗挑战来学习，了解 LLM 工作原理的最好方法莫过于玩越狱 CTF 并了解提示如何操纵 AI 聊天机器人（例如 ChatGPT 或 GPT4）响应。

https://securitycafe.ro/2023/05/15/ai-hacking-games-jailbreak-ctfs/

3、介绍 CS2BR pt. I – 我们如何让 Brute Ratel Badgers 运行 Cobalt Strike BOF

Tag：Brute Ratel C4、Cobalt Strike

有许多可用的开源 BOF，例如 TrustedSec 的CS-Situational-Awareness，可以轻松地用于 CS 和sliver等各种 C2 。几乎所有这些 BOF 都使用 Cobalt Strike 事实上的 BOF API 标准——它与 Brute Ratel 的 BOF API 不兼容。在这篇博文中，我们提出了一种解决此问题的方法，使 Brute Ratel 的植入物（“獾”）能够运行为 Cobalt Strike 编写的 BOF。

https://blog.nviso.eu/2023/05/15/introducing-cs2br-pt-i-how-we-enabled-brute-ratel-badgers-to-run-cobalt-strike-bofs/

4、不太安全的引导: 远程绕过终端安全解决方案 (AV/EDR/…) 和防篡改机制

Tag：Not-Too-Safe Boot

在本文中，我们深入分析了Not-Too-Safe Boot技术，该技术旨在远程绕过端点安全解决方案，如防病毒 (AV)、端点检测和响应 (EDR) 以及防篡改机制。

https://zerodayzone.com/2023/05/12/not-too-safe-boot-remotely-bypassing-endpoint-security-solutions-av-edr-and-anti-tampering-mechanisms/

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。