其他
20230525-5th域安全微讯晨报-NO.124
网络空间安全对抗资讯速递
2023年05月25日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-124 星期四
今日热点导读
1、美国安全机构更新勒索软件、数据勒索预防最佳实践
2、微软推出基于人工智能的内容审核服务
3、俄罗斯国家通信监管机构(Roskomnadzor)警告咨询服务的风险
4、法国前国防部长长期被以色列间谍软件Pegasus窃听
5、Google Play中下载量达50,000次的屏幕录制软件变成了间谍软件
6、警方捣毁了欧洲最大的已知非法IPTV运营
7、SuperMailer滥用绕过电子邮件安全进行超大凭据盗窃
8、英国政府和SANS研究所宣布2023年网络技能提升培训计划
9、PikaBot:一种可以摧毁您公司的新型恶意软件
10、GitLab“强烈建议”尽快修补最严重的路径遍历漏洞
11、伊朗黑客组织Agrius部署针对以色列组织的新勒索软件Moneybird
12、霍尼韦尔推出新的OT网络安全解决方案以助力识别漏洞和威胁
资讯详情
1、美国安全机构更新勒索软件、数据勒索预防最佳实践
美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、国家安全局(NSA)和MS-ISAC周二(23日)发布了一份综合指南,其中包括有关勒索软件和数据勒索预防最佳实践的资源以及一份响应清单. 它还提供了有关威胁搜寻、防止常见的初始感染媒介以及如何解决云备份和零信任架构的技巧。该文档是对CISA和MS-ISAC发布的2020年勒索软件指南的更新。“#StopRansomware Guide”网络安全信息表由美国联合勒索软件特别工作组(JRTF)开发,包括两个主要资源——“勒索软件和数据勒索预防最佳实践”和“勒索软件和数据勒索响应清单”。该报告是CISA发起的#StopRansomware工作的一部分。相关地,今年2月,美国国家安全局和几个合作伙伴与韩国政府合作,强调恶意网络参与者使用勒索软件攻击关键基础设施。自2020年9月首次发布勒索软件指南以来,勒索软件参与者加快了他们的策略和技术。对指南所做的一些改动是为了保持相关性、增加观点并最大限度地提高本指南的功效,包括根据FBI和NSA的贡献和操作洞察力将其添加为合著者。它还在标题中加入了“#StopRansomware”的努力。新指南还包括用于防止常见初始感染媒介的附加建议,包括受损凭据和高级形式的社会工程。它还提供了解决云备份和零信任架构(ZTA)的更新建议,通过用于检测和分析的威胁搜寻技巧扩展了勒索软件响应清单;并包括针对CISA跨部门网络安全绩效目标(CPG)的映射建议。
https://industrialcyber.co/cisa/us-security-agencies-update-ransomware-data-extortion-prevention-best-practices-and-response-checklist/
2、微软推出基于人工智能的内容审核服务
微软宣布了一项新服务Azure AI内容安全,旨在为在线社区提供安全性和舒适性。该服务使用经过训练的神经网络模型来识别图像和文本中的“不当”内容。模型可以处理八种语言的文本,包括俄语,并根据违规程度给它们打分,向版主指示哪些内容需要干预。“两年多来,微软一直致力于开发解决方案来打击在线社区中的恶意内容。我们意识到现有系统不是上下文敏感的,或者不能跨语言工作,”微软发言人通过电子邮件说。“新的 [AI] 模型可以更好地理解内容和文化背景。他们从一开始就使用多种语言……他们提供清晰合理的解释,让用户理解内容被标记或删除的原因。”在一年一度的Build大会上,微软责任人工智能负责人Sarah Bird表示,Azure AI内容安全是用于Bing聊天机器人和GitHub人工智能代码生成服务Copilot的安全系统的产品版本。“现在我们将其作为第三方客户可以使用的产品推出,”伯德说。值得注意的是,Azure AI内容安全背后的技术不止一次让微软失望。Bing上的聊天机器人散布有关疫苗的虚假信息,并代表阿道夫·希特勒撰写攻击性文本。此外,几个月前,微软解雇了其人工智能部门的道德与社会团队。这使得公司没有专门的团队来确保人工智能的原则与产品设计紧密相关。据微软称,Azure AI内容安全可以防止带有偏见、性别歧视、种族主义、仇恨、暴力和自我毁灭的内容。该服务与Azure OpenAI服务相集成,Azure OpenAI服务是一种面向企业客户的产品,可提供对OpenAI技术的访问以及额外的治理和合规性功能。但Azure AI Content Safety也可以应用于非AI系统,例如在线社区和游戏平台。服务的价格为1000张图片1.50美元,1000条文本条目0.75美元。Azure AI Content Safety类似于其他基于AI的毒性检测服务,例如Google的Perspective和Jigsaw。它是Microsoft自己的Content Moderator工具的继承者。但有理由对这项技术持怀疑态度。除了Bing的聊天机器人问题和微软裁员之外,研究表明,基于AI的毒性检测技术仍然面临挑战,包括对某些用户群体的偏见。
https://www.securitylab.ru/news/538391.php
3、俄罗斯国家通信监管机构(Roskomnadzor)警告咨询服务的风险
隶属于Roskomnadzor的联邦国家单一制企业“主要射频中心”(GRFC)就开发推荐服务的风险发出警告。它们可能导致社会的政治两极分化、假新闻和仇恨言论的泛滥,该组织准备了一份分析说明。“推荐服务的立法监管是必要的,以保护消费者免受不透明的内容选择算法的影响,这些算法可能会扭曲真实情况并导致可怕的后果,甚至对人类健康和心理造成真正的伤害,”该文件说。推荐服务的工作基于人工智能技术,“因此,可以肯定地说,人工智能是流行社交网络的关键组成部分,”该说明说。人工智能“通常优先考虑有争议的、仇恨的言论和错误信息,因为正是这种内容吸引了更多的用户注意力,并导致平台参与度和参与度增加。” 该说明的作者说,因此,社交媒体可能会引发政治两极分化并传播虚假信息。例如,该文件的作者引用了美国的数据:Facebook上极端主义团体(由Meta拥有,在俄罗斯被认定为极端主义并被禁止)的所有新订阅者中有64%是通过推荐找到他们的。还提到了共和党人在2020年美国总统大选前夕用来分析网络推荐的搜索结果监控系统。根据这些数据,研究人员注意到谷歌搜索结果明显偏向民主党。俄罗斯咨询服务在GRFC中的工作示例未在说明中给出。GRFC分发推荐服务的另一个风险是,它们向用户提供的信息与他之前观看的内容完全相似。当用户被剥夺了具有替代观点的推荐时,这导致出现“回音室”效应。GRFC提议对算法进行审计,向用户发送一条消息,解释算法的工作原理,以及同意和撤回对个人数据处理的同意的能力。
https://www.securitylab.ru/news/538411.php
4、法国前国防部长长期被以色列间谍软件Pegasus窃听
法国调查人员报告称,法国前国防部长(2017-2022年)佛罗伦萨·帕利 (Florence Parly)受到使用NSO集团开发的以色列Pegasus间谍软件的监视。这是5月16日在线杂志Mediapart报道的。调查人员在公开宣布前一周将他们的发现告知 Parley。证据并未指向此次间谍活动背后的特定国家,也未显示前部长的设备何时被感染,尽管有人暗示监视背后是某个特定国家。法国至少有23名公众人物曾多次成为Pegasus黑客攻击的目标,其中包括总统埃马纽埃尔·马克龙和前总理爱德华·菲利普。据报道,摩洛哥政府可能使用该恶意软件来收集情报。最近确定的其他Pegasus受害者包括以下法国政客:Sébastien Lecornu,现任法国国防部长;Jean-Michel Blanquet,前教育部长;Jacqueline Gouraud,前领土发展和领土社区关系部长;Julien Denormandie,前农业部长;Emmanuel Vargon,前环境部长。Pegasus软件允许对移动设备进行有针对性的黑客攻击。一旦被感染,该恶意软件就会提供对存储在智能手机上的个人数据的访问权限,并将其变成理想的监控设备。Pegasus的开发商NSO Group向世界各地的任何客户提供其产品,并声称该服务旨在打击有组织的犯罪和恐怖主义。然而,批评人士认为,该恶意软件已被多次用于监视记者、持不同政见者和外国官员。据报道,2021年被NSO Group客户标记为泄露的电话号码列表有50,000多个条目。同年,由于其在侵犯人权方面的作用被广泛揭露,该公司受到美国的制裁。
https://www.securitylab.ru/news/538403.php
5、Google Play中下载量达50,000次的屏幕录制软件变成了间谍软件
网络安全公司ESET报告称,一款在Google Play中获得超过50,000次下载的屏幕录制应用程序在去年通过更新被木马化。该应用程序“iRecorder –Screen Recorder”最初于2021年9月在Google Play上发布,没有恶意功能。去年8月更新到1.3.8版本时,应用程序被注入了基于AhMyth的名为AhRat的远程访问木马。根据ESET的说法,AhRat特洛伊木马尚未在其他地方被发现,它可以使用麦克风录制音频并从受感染的设备中泄露录音和其他文件,这表明它被用于间谍活动。AhMyth是APT36之前使用的跨平台RAT ,APT36是巴基斯坦有关联的国家支持的威胁行为者,也称为透明部落和神话豹,但在此事件中观察到的AhRat无法与任何已知的高级持续威胁(APT) 相关联。然而,第一个恶意版本的iRecorder包含AhMyth RAT恶意代码的未修改部分。ESET表示,第二个版本包含定制的AhRat代码。与AhMyth RAT相比,这两个版本仅包含一组有限的恶意功能,它可以泄露通话记录、联系人和消息、发送消息、跟踪设备位置、获取设备上的文件列表、录音和拍照。因为它提供了视频录制功能,iRecorder拥有在设备上录制音频和访问文件的必要权限,从而使恶意软件能够毫无问题地运行。根据从其命令与控制(C&C)服务器收到的命令,该恶意软件可以泄露音频和视频文件、文档、网页和存档文件。“虽然应用程序开发人员可能打算在通过更新破坏他们的Android设备之前建立用户群,或者恶意行为者在应用程序中引入了此更改;到目前为止,我们没有任何证据支持这两种假设,”ESET总结道。
https://www.securityweek.com/android-app-with-50000-downloads-in-google-play-turned-into-spyware-via-update/
6、警方捣毁了欧洲最大的已知非法IPTV运营
欧洲刑警组织和荷兰当局取缔了最大的非法IPTV(互联网协议电视)服务之一,该服务为全欧洲超过一百万的用户提供服务。阿姆斯特丹,2023年5月24日——欧洲刑警组织与荷兰财政信息和调查局(FIOD)联手打击了非法流媒体世界,打击了一项面向超过100万人的庞大非法IPTV(互联网协议电视)服务整个欧洲的用户。2023年5月23日,Eoropol在一份新闻稿中透露,作为全面打击非法流媒体业务的一部分,在荷兰各地进行了一系列精心策划的突袭。FIOD官员在全国多个地点进行了彻底搜查,发现了可能打倒这家非法企业的证据。该行动导致逮捕了几名涉嫌在促进非法流媒体优质内容方面发挥关键作用的人。这些人被认为使订阅者能够访问超过10,000个直播电视频道,以及拥有15,000部电影和电视节目的庞大图书馆。欧洲刑警组织通过其欧洲金融和经济犯罪中心为调查提供分析支持,帮助确定关键目标及其在欧洲的非法活动。据荷兰当地媒体报道,FIOD还突击搜查了位于登海尔德市的一个数据中心(Globe数据中心),涉嫌为现已查封的IPTV基础设施提供服务。看看Globe数据中心的网站就会发现,它从昨天开始就一直处于离线状态,无法访问。近年来,非法流媒体已成为一个猖獗的问题,困扰着娱乐业并造成重大经济损失。这些犯罪网络不仅破坏合法业务,还剥夺内容创作者和版权所有者的合法收入。欧洲刑警组织对打击这种形式的有组织犯罪的持续承诺凸显了国际合作和协调努力的必要性,以应对非法IPTV服务带来的复杂挑战。通过拆除这个主要网络,欧洲刑警组织和FIOD对那些从盗版中获利并保护合法内容提供商利益的人进行了沉重打击。
https://www.hackread.com/europes-largest-illegal-iptv-operation-dismantled/
7、SuperMailer滥用绕过电子邮件安全进行超大凭据盗窃
大量凭据收集活动正在使用名为SuperMailer的合法电子邮件通讯程序来发送大量旨在逃避安全电子邮件网关(SEG)保护的网络钓鱼电子邮件。根据Cofense公司5月23日的一份报告,该活动已经滚雪球式增长,以至于SuperMailer创建的电子邮件在5月份迄今为止公司遥测中占所有凭据网络钓鱼的5%。威胁似乎呈指数级增长:在过去四个月中的三个月中,月度总体活动量增加了一倍多——即使在凭据网络钓鱼总体增长的情况下也是值得注意的。“将SuperMailer的定制功能和发送功能与规避策略相结合,该活动背后的威胁参与者已向各个行业的收件箱发送了量身定制的、看似合法的电子邮件,”Cofense网络威胁情报分析师兼该研究的作者Brad Haas解释道。事实上,Cofense报告称,该活动背后的威胁行为者正在广泛撒网,希望将受害者拉入各行各业,包括建筑、消费品、能源、金融服务、食品服务、政府、医疗保健、信息和分析、保险、制造、媒体、采矿、专业服务、零售、技术、运输和公用事业。“SuperMailer是一种桌面软件,可以从许多可能与开发人员完全无关的站点免费或以象征性的费用下载,”他说。“SuperMailer的免费版本于2019年在CNET上发布,自那时以来已经有大约1,700次下载。与许多流行的软件下载相比,这个数字较低,但我们没有关于合法组织用户数量的任何其他信息”。SuperMailer没有立即回应Dark Reading的置评请求。
https://www.darkreading.com/endpoint/supermailer-abuse-email-security-super-sized-credential-theft
8、英国政府和SANS研究所宣布2023年网络技能提升培训计划
英国科学、创新和技术部(DSIT)和SANS研究所宣布了第二次网络技能提升计划,以帮助英国专业人士转行到网络安全领域。该计划持续14周,提供免费培训和建议,以支持希望从事网络安全职业的英国工人。据SANS Institute称,该项目于去年首次启动,已经培训了200多名非网络背景的学生,其中许多人在成功完成培训后获得了有保障的工作面试。SANS Institute最近的研究发现,虽然44%的英国劳动力在去年考虑过职业转变,但只有6%的人对从事网络安全职业感兴趣。根据最新的(ISC)2网络安全劳动力研究,尽管英国网络安全人才短缺估计超过56,000人,但情况仍然如此。本月早些时候,谷歌宣布了一项新的入门级网络安全证书,以教授学习者如何识别常见风险、威胁和漏洞,以及缓解它们的技术。谷歌网络安全证书由谷歌的网络安全专家设计和教授,旨在让学习者在不到六个月的时间内为网络安全的入门级工作做好准备,而无需任何经验,为世界各地的人们创造更多机会,并帮助填补越来越多的开放网络角色。Upskill in Cyber毕业生获得两项安全认证。网络技能提升计划包括两个SANS网络安全培训课程,SEC275:基础:计算机、技术和安全;SEC401:安全要点:网络、端点和云。SANS Institute表示,学习者将被要求为每门课程投入60多个小时的学习时间,并参加软技能开发课程和雇主参与。要获得Upskill in Cyber计划的资格,候选人必须年满18岁,是英国国民或在过去三年内一直居住在英国,并且目前(或以前)未受雇于网络安全职位。他们也不得目前正在攻读或已经获得专业网络安全相关认证,或者目前正在攻读或已经获得本科或更高级别的网络安全相关课程。Upskill in Cyber毕业生将获得两项证明其实践能力和知识的认证:GIAC基础网络安全技术(GFACT) 和GIAC安全基础认证(GSEC)。英国正在迅速确立自己在网络安全领域的世界领先地位,确保人们拥有获得该行业工作所需的技能是巩固和扩大这一声誉的关键,科学、创新和技术部长Viscount Camrose表示。“网络技能提升计划让我们能够做到这一点——为有抱负的网络安全专业人员消除知识和技能障碍,并支持他们进入激动人心的新职业,从而推动创新、推动增长并保护我们的经济。”
https://www.csoonline.com/article/3696940/uk-government-sans-institute-announce-upskill-in-cyber-training-programme-for-2023.html
9、PikaBot:一种可以摧毁您公司的新型恶意软件
卡巴斯基实验室发现了企业用户之间的全球恶意软件分发活动,包括在俄罗斯。攻击者使用一种独特的攻击技术:他们发送的信件看起来像是与受害者的合作伙伴或同事的真实业务往来的延续。这些电子邮件提到了真实的项目、会议或音频会议,并附加了指向恶意文件的链接。如果用户点击该链接,下载器Trojan PikaBot就会安装在他们的设备上。攻击始于5月中旬,并在15日至18日之间达到顶峰。在此期间,大约有5000封这样的信件被发现。PikaBot是一个新的恶意软件家族,与著名的银行木马Qbot有相似之处。PikaBot可以在受感染的设备上安装其他恶意软件或执行远程命令。据该公司专家称,PikaBot会分析系统的语言设置,如果检测到俄语、白俄罗斯语、塔吉克语、斯洛文尼亚语、格鲁吉亚语、哈萨克语或乌兹别克语,就会停止攻击。这可能会给俄罗斯用户留下没有危险的错误印象,但该国已经报告了许多攻击事件,而且情况随时可能发生变化。该公司补充说,可能会安装更多危险的恶意软件而不是PikaBot。“近年来,网络犯罪分子越来越多地将恶意软件和网络钓鱼电子邮件伪装成商业信函——来自真实电子邮件的文本有助于使此类消息更具说服力。有时诈骗者会在发件人字段中添加真实收件人的姓名,但细心的用户会注意到发送信件的电子邮件地址不同。这些消息通常指的是几年前结束的通信,”卡巴斯基实验室警告说。为了防止使用真实公司电子邮件的攻击,卡巴斯基实验室建议用户:仔细检查发件人的地址,不要在未经验证的情况下将信件转发给第三方;提高数字素养。鼓励公司:对员工进行网络安全培训,教他们认识社会工程技术。安装可靠的防病毒解决方案,自动阻止此类电子邮件。
https://www.securitylab.ru/news/538415.php
10、GitLab“强烈建议”尽快修补最严重的路径遍历漏洞
GitLab发布了紧急安全更新版本16.0.1,以解决被跟踪为CVE-2023-2825的最高严重性CVSS v3.1分数:10.0)路径遍历漏洞。GitLab是一个基于Web的Git存储库,面向需要远程管理代码的开发团队,拥有大约3000万注册用户和100万付费客户。最新更新中解决的漏洞是由一位名为“ pwnie ”的安全研究人员发现的,他在该项目的HackOne漏洞赏金计划中报告了该漏洞。它影响GitLab社区版(CE)和企业版(EE)版本16.0.0,但所有早于此的版本均不受影响。该缺陷源于路径遍历问题,当嵌套在至少五个组中的公共项目中存在附件时,该问题允许未经身份验证的攻击者读取服务器上的任意文件。利用CVE-2023-2825可能会暴露敏感数据,包括专有软件代码、用户凭据、令牌、文件和其他私人信息。此先决条件表明该问题与GitLab如何管理或解析嵌套在多个级别的组层次结构中的附加文件的路径有关。但由于问题的严重性和发现的新鲜度,厂商此次并未透露太多细节。相反,GitLab强调了立即应用最新安全更新的重要性。“我们强烈建议所有运行受下述问题影响的版本的安装尽快升级到最新版本,” GitLab的安全公告中写道。“当没有提到产品的特定部署类型(综合、源代码、掌舵图等)时,这意味着所有类型都会受到影响。”一个缓解因素是该漏洞只能在特定条件下触发,即当公共项目中的附件嵌套在至少五个组中时,这不是所有GitHub项目都遵循的结构。尽管如此,建议GitLab 16.0.0的所有用户尽快更新到版本16.0.1以降低风险。不幸的是,目前没有可用的缓解方法。GitHub网站上发布了相应的更新指南。
https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/
11、伊朗黑客组织Agrius部署针对以色列组织的新勒索软件Moneybird
研究人员发现,一个与伊朗有关的高级持续威胁组织正在使用新的勒索软件,同时瞄准中东的一个熟悉的对手。Check Point的事件响应小组调查了针对以色列组织的勒索软件部署,并被一个自称为Moneybird的组织吸引。研究人员发现它具有Agrius的特征,Agrius是一个自2020年以来一直存在的黑客组织,并试图用BlackShadow等别名伪装自己。该组织以在2020年底和2021年以勒索软件攻击以色列保险公司Shirbit以及以部署擦除器攻击而闻名。据Check Point调查人员称,Moneybird是该组织的新产品。它之前的大部分攻击都是使用名为Apostle的勒索软件进行的。“使用C++编写的新勒索软件值得注意,”他们写道,“因为它展示了该组织不断扩展的能力和在开发新工具方面的持续努力。”研究人员没有详细说明目标组织的类型,但表示,尽管有新的有效载荷,但所使用的技术带有Agrius的印记。与之前的攻击一样,威胁行为者通过面向公众的 Web服务器和部署“ASPXSPY的独特变体”——他们隐藏在“证书”文本文件中的恶意脚本——获得了访问权。然后他们在网络内横向移动,进行侦察和窃取数据。Check Point表示,该组织使用“目标路径”对勒索软件进行编程,以忽略目标网络上的大多数文件。研究人员表示:“与许多其他勒索软件一样,Moneybird严峻地提醒人们注意良好的网络卫生的重要性,因为活动的重要部分本可以在早期阻止。”Microsoft Threat Intelligence最近的一份报告发现,伊朗政府越来越关注将影响力行动与网络攻击相结合。
https://therecord.media/iran-hackers-agrius-deploying-new-ransomware
12、霍尼韦尔推出新的OT网络安全解决方案以助力识别漏洞和威胁
霍尼韦尔周二(23日)宣布推出新的OT网络安全解决方案,旨在帮助组织识别其设施中的漏洞和威胁。作为其Forge网络安全产品的一部分,新的Cyber Insights解决方案从霍尼韦尔产品和各种现有的第三方安全解决方案收集数据,包括有关漏洞、安全事件、潜在威胁和合规性问题的数据。生成的数据可用于OT特定的威胁搜寻和进行调查。本地解决方案包括安装在OT环境中的订阅软件、一次性部署服务和技术支持服务。Cyber Insights提供精选的近实时和历史信息,可供现场工作人员使用。或者,组织可以将日志数据转发到异地SOC或托管安全服务提供商,例如霍尼韦尔。霍尼韦尔指出,由于新解决方案是专门为OT系统设计的,它会检查系统负载,并在专用服务器上而不是OT资产本身上完成收集数据的分析和关联,以避免造成任何中断。在合规性方面,Cyber Insights旨在根据用户定义的策略、CIS基准和NIST 800-53要求监控资产。霍尼韦尔OT网络安全创新副总裁兼总经理Michael Ruiz表示:“组织应利用技术解决员工短缺问题,同时清楚地了解其OT设施的网络安全状况,以帮助他们更快地做出决策并降低网络风险。”“Cyber Insights 是一种旨在为客户提供检测和洞察力的工具,以便网络安全领导者能够更好地了解和监控他们当时的安全状况,同时还能够检测和缓解最新的威胁,”Ruiz补充道。
https://www.securityweek.com/new-honeywell-ot-cybersecurity-solution-helps-identify-vulnerabilities-threats/
THE END
往期推荐
1. 5th域微讯晨报-Vol-2023-119
3. 5th域微讯晨报-Vol-2023-121
4. 5th域微讯晨报-Vol-2023-122
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement