其他
20230530-5th域安全微讯早报-NO.128
网络空间安全对抗资讯速递
2023年05月30日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-128 星期二
今日热点导读
1、澳大利亚关键基础设施风险管理计划(CIRMP)规则现已生效
2、俄监管机构Roskomnadzor将控制互联网上的推荐算法
3、.zip域名的出现催生了一种新的攻击技术的产生——“浏览器中的归档器”
4、LockBit勒索软件窃取并发布了MCNA Dental近900万医疗患者的数据
5、斯科尔科沃成为“乌克兰网络战线”黑客攻击的目标
6、AceCryptor:网络犯罪分子绕过检测和逆向工程的有力武器
7、日本CERT发现一种新的远程访问木马GobRAT
8、对Jimbos协议的闪电贷攻击窃取了超过750万美元
9、Facebook从英国医院秘密收集患者数据
10、俄罗斯要求到2030年用户设备应满足密码保护标准
11、NVIDIA推出全新基于以太网的AI云加速平台
12、印度计算机应急响应小组(CERT-In)就两个高危iTunes漏洞发出警报
资讯详情
1、澳大利亚关键基础设施风险管理计划(CIRMP)规则现已生效
澳大利亚网络和基础设施安全中心(CISC)周五(26日)宣布,其关键基础设施风险管理计划(CIRMP)要求现已生效。这些CIRMP规则帮助所有者和运营商将这些领域的风险概念化,使他们能够采取行动降低其系统、资产和业务持续运营的风险。“CIRMP是《2018年关键基础设施安全法》最近修正案中规定的三项积极安全义务中的第三项也是最后一项——另外两项是强制性网络事件报告和关键基础设施资产登记要求,”根据CISC的说法。通过共同努力,这些义务提升了澳大利亚关键基础设施的安全性和弹性,进一步保护了所有澳大利亚人所依赖的基本服务。CISC表示,现在规则已经生效,责任实体有六个月的过渡期来采用书面CIRMP。“如果责任实体的资产在规则生效后成为CI资产,则责任实体必须在资产成为CI资产之日起六个月内满足CIRMP要求。”CISC表示,经过长时间的磋商,内政部长克莱尔·奥尼尔(Clare O'Neil)在今年2月“启用”了CIRMP 规则。通过这个咨询过程,部长能够整合来自关键基础设施利益相关者的反馈,最终使规则更简单、更容易实施。CISC情况说明书概述了在规则生效后到2023年8月17日,组织有六个月的宽限期。CIRMP采用并遵守网络和信息安全危害框架的最后一天将是2024年8月17日,即自指南开始之日起18个月。
https://industrialcyber.co/news/australia-cirmp-rules-now-live-set-to-uplift-core-security-practices-of-certain-critical-infrastructure-assets/
2、俄监管机构Roskomnadzor将控制互联网上的推荐算法
国家杜马正在讨论该法案的更新版本,该版本规定创建一种使用推荐算法来监管服务的新机制。立法倡议的作者是信息政策委员会副主席Anton Gorelkin。据Vedomosti报道,该法案的修订版可能会在春季会议结束前提交给国家杜马。根据该法案,Roskomnadzor将有权获得信息,以评估推荐技术的使用是否符合法律规范。正如Gorelkin解释的那样,这并不意味着Roskomnadzor “有义务向特定资源的所有者询问有关其咨询服务工作的信息。” 该代表保证,该法案不会规定监管机构通过API连接到特定平台的服务。“但在信息资源方面,确实引入了一些义务,其中主要是告知用户该资源使用推荐算法,同时尊重公民的权利和合法利益,”Gorelkin总结道。Roskomnadzor的代表没有对该法案的内容发表评论,并指出监管机构“已准备好并将在该法律通过并制定必要的监管框架后开始实施该法律。”根据该法案的修订版,公司将被要求准确声明其推荐算法的工作原理。另一方面,Roskomnadzor有机会请求有关算法运行的信息,但该请求的格式未在文档中定义。据称该法案是关于“推荐算法的软件和硬件”。他解释说,这意味着该部门将有权请求访问具有推荐算法的服务器托管系统。专家们批判性地评估了当前形式的法案。他们认为,它威胁到投资数百万卢布开发推荐算法并使其成为竞争优势的公司的知识产权。他们还担心敏感信息泄露以及可能因不遵守Roskomnadzor指示而被罚款和封锁。他们指出,“软件和硬件”这个术语非常宽泛,可以涵盖服务的整个架构,从软件到基础设施。
https://www.securitylab.ru/news/538527.php
3、.zip域名的出现催生了一种新的攻击技术的产生——“浏览器中的归档器”
新的“浏览器中的文件存档器”网络钓鱼工具包 通过在浏览器中显示伪造的WinRAR或Windows资源管理器窗口来滥用ZIP域来诱骗用户运行恶意文件。5月初,Google开始提供注册“ZIP”顶级域(TLD)以托管网站或电子邮件地址的功能。该域的主要问题是某些站点会自动将以“.zip”结尾的字符串(例如“setup.zip”)转换为可用于传递恶意软件或网络钓鱼攻击的可点击链接。安全研究员“mr.d0x”开发了一个聪明的网络钓鱼工具包,允许您创建出现在ZIP域上的假WinRar浏览器窗口和Windows资源管理器窗口,以诱使用户认为他们打开了.zip文件。该技术类似于“浏览器中的浏览器”(BITB)攻击——一种窃取登录凭据的方法,它模仿谷歌、微软和其他要求用户名和口令的身份验证服务提供商的浏览器弹出窗口。据专家称,通过网络钓鱼攻击,您可以在浏览器中模仿文件归档软件(如WinRAR),并使用“.zip”域来提高其可信度。在演示中,当打开“.zip”域时,该工具箱可用于将伪造的WinRar窗口直接嵌入到浏览器中,使用户看起来好像已经打开了ZIP存档,现在可以看到其中的文件。mr.d0x还创建了另一种变体,它以打开ZIP文件为幌子在浏览器中显示伪造的Windows资源管理器。该模板更多的是一个正在进行的工作,因此有一些缺失的元素。网络钓鱼工具包可用于窃取凭据和传送恶意软件。
https://www.securitylab.ru/news/538534.php
4、LockBit勒索软件窃取并发布了MCNA Dental近900万医疗患者的数据
MCNA Dental是美国最大的低收入牙科护理和保险(医疗补助和CHIP)提供商之一,已针对近900万患者发布安全事件通知。在周五(26日)发布的通知中 ,MCNA表示,它在2023年3月6日检测到未经授权访问其计算机系统。根据调查结果,原来黑客于今年2月26日首次侵入了MCNA网络。在此期间,攻击者从近900万MCNA Dental客户那里窃取了包含以下信息的数据:全名;地址;出生日期;电话;电子邮件;社会安全号码;驾照号码;州身份证号码;健康保险;牙科或牙套护理(就诊、牙医姓名、医生姓名、治疗史、X 光片、照片、治疗预约);账单和保险索赔。向缅因州总检察长办公室提交的通知称 ,黑客攻击影响了8,923,662人,包括患者、父母、监护人或担保人。MCNA表示,它已经采取了所有必要措施来解决这种情况并提高其系统的安全性,以防止将来发生类似事件。该公司还向执法部门求助,以防止滥用被盗信息。公司向受影响的个人发送的通知包含有关如何通过IDX服务获得12个月的免费身份盗用保护和信用监控的说明。LockBit勒索软件组织声称在2023年3月7日对MCNA 发起了攻击,当时它公布了从一家医疗机构窃取的第一批数据样本。该组织威胁要公布他们据称从MCNA网络窃取的700GB敏感和机密信息,除非他们得到1000万美元的报酬。显然,赎金并没有转移给网络犯罪分子,因为早在4月7日,该组织就在其泄露网站上发布了所有数据,任何人都可以下载。
https://www.securitylab.ru/news/538526.php
5、斯科尔科沃成为“乌克兰网络战线”黑客攻击的目标
支持俄罗斯创新项目的斯科尔科沃基金会在5月28日至29日晚上遭到黑客攻击。攻击者获得了该基金部分信息系统和网络资源的访问权限,包括该基金物理设施中被黑客入侵的文件共享服务。一个自称为“乌克兰网络战线”的组织声称对这次袭击负责。黑客还公开了基金会内部资源和部分文件的截图。由于受到攻击,该基金的公共信息资源,如sk.ru网站和在线服务暂时停止工作。目前,该基金的工程师正在努力恢复基础设施的工作能力。预计将在一天内恢复主要部分功能。执法部门已介入事件调查。斯科尔科沃基金会成立于2010年,旨在发展斯科尔科沃创新中心,该中心设有研究中心、初创企业和教育机构。该基金会为生物医学、能源、信息技术和太空等各个领域的创新者和企业家提供资金和组织支持。
https://www.securitylab.ru/news/538525.php
6、AceCryptor:网络犯罪分子绕过检测和逆向工程的有力武器
斯洛伐克公司ESET 最近的一份报告中表示,自2016年以来,一种名为AceCryptor的加密器已被各种攻击者使用。该工具允许黑客隐藏他们的恶意软件,以免被专门软件检测和专家分析。Cryptors(勒索软件)是一种恶意软件,它加密和混淆其他恶意软件的代码,使其更难检测和逆向工程。据ESET称,仅在2021年和2022年,就发现了超过240,000起使用AceCryptor的案例。每月使用次数超过10,000次。同时,在同一时期内发现了超过80,000个该加密器的独特样本,内部布局具有7,000种独特变体。在使用AceCryptor打包的恶意软件中,有SmokeLoader、RedLine Stealer、RanumBot、Raccoon Stealer、Stop和Amadey等流行的恶意软件。秘鲁、埃及、泰国、印度尼西亚、土耳其、巴西、墨西哥、南非、波兰和印度记录了此类加密恶意软件感染数量最多的国家。AceCryptor于2022年8月首次被Avast提及。当时,该工具用于分发 Stop勒索软件和RedLine信息窃取程序。AceCryptor打包的恶意软件通常使用伪造的盗版软件安装程序、带有恶意附件的垃圾邮件或其他已经危害目标系统的恶意软件传送到受害者的计算机。AceCryptor也被认为是作为服务(CaaS) 提供给网络犯罪分子的,因为该工具被各种黑客组织用来分发各种恶意软件系列。加密器本身通常被严重混淆,并包括一个三层架构,用于逐步解密和解压缩每个感染阶段。并且还包括对虚拟机的防护、调试和分析的方法。
https://www.securitylab.ru/news/538523.php
7、日本CERT发现一种新的远程访问木马GobRAT
在日本,使用Go语言编写的新型远程访问木马GobRAT对Linux路由器的攻击已被记录下来。JPCERT计算机响应协调中心在今天发布的一份报告中宣布了这一点。攻击者以具有向公众开放的Web shell的路由器为目标,并利用漏洞执行脚本并感染GobRAT。一旦路由器受到威胁,攻击者就会部署一个加载程序脚本来传送GobRAT并将其作为Apache进程运行以避免检测。加载程序脚本还能够禁用防火墙,通过cron作业调度程序建立持久性,并在“.ssh/authorized_keys”文件中注册SSH公钥以进行远程访问。反过来,GobRAT使用TLS协议与远程服务器通信,并可以接收要在目标设备上执行的各种加密命令。研究人员审查的恶意软件总共支持22条命令,例如:获取有关设备的信息;启动反向shell;读写文件;新的 C2 服务器配置;启动SOCKS5代理;执行“/zone/frpc”目录中的文件;尝试登录其他设备上运行的sshd、Telnet、Redis、MySQL、PostgreSQL服务;发起有针对性的DDoS攻击。GobRAT是少数使用“gob”数据序列化协议进行通信的Go语言编写的远程访问木马之一。GobRAT 与UPX版本4一起打包,支持ARM、MIPS、x86和x86-64等各种架构。JPCERT还在GitHub上发布了GobRAT C2服务器仿真工具,可以帮助其他安全研究人员自行分析恶意软件。
https://www.securitylab.ru/news/538516.php
8、对Jimbos协议的闪电贷攻击窃取了超过750万美元
基于Arbitrum的DeFi项目Jimbos Protocol遭受闪电贷攻击,导致超过4000个ETH代币丢失,目前价值超过7,500,000美元。该公司28日在 Twitter上披露了此次攻击事件,称已通知执法部门,并正在与安全专业人员合作进行补救。攻击发生在该平台启动其V2协议仅三天后,当时许多人刚刚投资其“jimbo”代币,犯罪者设法窃取了4,090个ETH代币。jimbo代币具有由资产支持的半稳定底价,而该平台实施了税收和激励等机制来帮助维持稳定的价值。不过,在黑客入侵之后,jimbo的价格迅速暴跌,在撰写本文时从0.238美元跌至0.0001美元。据PeckShield的区块链安全专家称,Jimbos协议是利用平台缺乏滑点控制的闪贷攻击的受害者。闪电贷是指用户借入大量代币并期望在同一笔交易中(立即)偿还的行为。如果攻击者利用DeFi平台的缺陷,或者他们在收到贷款和偿还贷款之间的极短时间内操纵代币的价格,他们可以以贷方为代价保留差额。已经在理论上安全可靠且经过全面审计的贷款协议中多次看到这种情况。最近一个值得注意的例子是袭击Euler Finance闪贷攻击,导致1.97 亿美元的巨额损失。
https://www.bleepingcomputer.com/news/security/flash-loan-attack-on-jimbos-protocol-steals-over-75-million/
9、Facebook从英国医院秘密收集患者数据
20家英国国家医疗服务体系(NHS)医院 的网站侵犯了患者隐私,未经患者同意就在Facebook上共享有关患者健康、预约和治疗的详细信息。根据Observer的一项调查,NHS网站安装了一个名为Meta Pixel的隐藏用户跟踪工具,该工具多年来一直在收集和传输有关查看的页面、按下的键和输入到Facebook的关键字的数据。该数据与用户的IP地址及其Facebook帐户的详细信息相关联。从Meta Pixel中提取的信息可能会被 Meta用于其自身的商业目的,包括改进其定向广告服务。信息是从访问NHS页面的患者那里收集的,这些页面涉及HIV、自残、变性服务、性健康、癌症、儿童保育等。这些信息还包括有关用户何时单击按钮进行预约、订购重复处方、请求转介或完成在线咨询的详细信息。数百万患者可能受到影响。使用Meta Pixel的20家NHS医院中有17家已确认他们已从其网站上删除了跟踪工具。8家医院向患者道歉。几家医院表示,他们最初设置Meta Pixel是为了监控招聘或慈善活动,并不知道他们正在将患者数据发送到Facebook。信息专员(ICO)正在调查。在大多数情况下,在Observer测试期间发送到Facebook的信息是在网站加载时自动传输的——在用户选择“接受”或“拒绝”cookie之前——并且没有明确同意。20家医院中只有3家在其隐私政策中提到了Facebook。几家医院此前已向患者承诺,他们的信息不会被共享或用于营销。Meta 发言人联系了医院,提醒他们防止组织向公司发送健康数据的政策。该发言人补充说,网站所有者有责任遵守数据保护法并在提交数据前获得同意。美国医疗保健公司此前已 通知他们的患者,使用Pixel的医院网站无意中与Facebook共享了患者数据。
https://www.securitylab.ru/news/538532.php
10、俄罗斯要求到2030年用户设备应满足密码保护标准
信息安全工作组提议在《2024-2035年俄罗斯联邦通信业发展战略》中纳入到2030年将俄罗斯密码保护标准引入用户设备架构的要求。生意人报援引网络安全市场的消息来源报道了这一消息。据该出版物的对话者称,该倡议应在政府数字发展委员会的下一届战略会议上审议,该委员会负责监督该战略的制定。数字发展部确认已收到该倡议并“需要讨论”。现在,俄国内密码标准主要用于国家信息系统,由于俄罗斯的发展没有体现在电信协议的国际标准中,因此阻碍了它们的广泛传播。即使将外国设备替换为俄语,也无法达到通信网络所需的授权程度,因为“只有软件组件是本地化的,而不是硬件中嵌入的工作逻辑。” 此外,没有足够的人力和技术资源来全面更换设备。该出版物采访的电信运营商未对工作组的提议发表评论。在该战略的初步文本中,已经提到将使用俄罗斯加密标准的“数字SIM ”引入消费设备和工业设备的想法。早在2020年,Rossvyaz就下令测试在eSIM虚拟SIM卡中使用俄罗斯加密算法。自2013年以来,一直在开展使用俄罗斯密码创建物理SIM卡的工作,现在数字发展部希望加快实施速度。该策略的作者很可能想到了根据GOST在移动浏览器和应用程序中引入加密,这不需要对设备进行硬件更改,他们在F+ tech Group中说:“这对俄罗斯人来说已经足够了,应用程序开发人员只需添加此类支持,并且完全集成只能在俄罗斯操作系统集上获得。
https://www.securitylab.ru/news/538521.php
11、NVIDIA推出全新基于以太网的AI云加速平台
NVIDIA于29日宣布推出新的NVIDIA Spectrum-X平台,该平台旨在提高由人工智能(AI)提供支持的基于以太网的云解决方案的性能和效率,实现了近一倍的整体性能和AI能效,以及在多用户环境中稳定且可预测的体验。NVIDIA Spectrum-X平台支持以太网标准,并与现有的以太网堆栈兼容。可应用于生成语言模型(GPT和BERT)、分布式学习和并行处理、自然语言处理(NLP)、计算机视觉、高性能建模(NVIDIA Omniverse和NVIDIA OVX)、数据分析等各种人工智能应用。平台从Spectrum-4交换机开始,这是第一款专门为AI网络构建的以太网交换机。它具有51Tbps的带宽,可以连接128个400Gbps端口或64个800Gbps端口。该交换机与处理数据传输和排序的BlueField-3 DPU以及创建AI优化的LinkX光学收发器协同工作。NVIDIA Spectrum-X平台还通过性能隔离改善了多用户体验,确保AI任务在不同客户端之间以最佳和一致的方式运行。它可以识别性能瓶颈并进行自动网络健康检查,以更好地了解AI性能。为了加速NVIDIA Spectrum-X平台,使用了NVIDIA软件和开发人员套件(SDK),例如Cumulus Linux、pure SONiC、NetQ和DOCA。它们使平台能够实现极致性能。作为NVIDIA Spectrum-X参考设计的参考和测试平台,NVIDIA正在构建Israel-1超大规模生成AI超级计算机,该超级计算机将部署在其以色列数据中心的Dell PowerEdge XE9680服务器上,该服务器基于带DPU的八 GPU NVIDIA HGX H100平台BlueField-3和Spectrum-4交换机。提供基于NVIDIA Spectrum-X的解决方案的公司包括Dell Technologies、Lenovo和Supermicro。NVIDIA Spectrum-X是构建下一代软件定义人工智能数据中心战略的一部分。
https://www.securitylab.ru/news/538515.php
12、印度计算机应急响应小组(CERT-In)就两个高危iTunes漏洞发出警报
印度计算机应急响应小组(CERT-In)发布了一份公告,解决了两个Apple iTunes漏洞。这些漏洞是在适用于Windows的12.12.9之前的Apple iTunes 版本中发现的。编号是CVE-2023-32353和CVE-2023-32351。Apple iTunes的两个高危漏洞可让黑客获得更高的权限,从而对受感染的系统进行意外更改。这些漏洞的存在是由于允许被黑系统执行意外行为的逻辑问题。Apple公告中提到了缓解方法。到目前为止,关于Apple iTunes漏洞的信息还不多。Cyber Express已联系CERT-IN团队和Apple,了解有关Apple iTunes漏洞的更多详细信息。苹果漏洞频发,通常是安全新闻中漏洞披露的头条,APPLE公司最近还解决了两个据报道在野外被利用的零日漏洞。这两个Apple漏洞存在于iPhone、iPad和Mac中。CVE-2023-28206是一个高危漏洞,基本得分为8.6。而且,CVE-2023-28205也是一个高危Apple漏洞,基本评分为8.8。
https://thecyberexpress.com/apple-high-severity-itunes-vulnerabilities/
THE END
往期推荐
1. 5th域微讯晨报-Vol-2023-124
3. 5th域微讯晨报-Vol-2023-126
4. 5th域微讯晨报-Vol-2023-127
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement