其他
20230602-5th域安全微讯早报-NO.131
网络空间安全对抗资讯速递
2023年06月02日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-131 星期五
今日热点导读
2、俄罗斯FSB证实美国入侵数千台苹果设备以监视外交官
3、卡巴斯基发现了一种利用零点击漏洞攻击iOS设备的新间谍软件
4、攻击者正在积极利用MOVEit Transfer程序中的零日漏洞
5、敦促总检察长办公室对苹果员工监视俄罗斯人提起刑事诉讼
6、红鹿行动:疑是巴基斯坦网络间谍组织攻击以色列组织
7、研究人员发现流行的ReportLab PDF库中的一个RCE漏洞
8、 谷歌将Chrome沙盒转义链漏洞利用奖励提高三倍
9、BlackCat勒索软件组织提高了攻击行动的隐蔽性、速度和渗透力
10、朝鲜ScarCruft黑客利用LNK文件传播RokRAT远控木马
11、美国贸易委员会(FTC)指控家庭安全摄像头公司Ring无视客户数据安全
12、五角大楼与SpaceX的Starlink签订合同为乌克兰提供卫星通信能力
资讯详情
行业专家几乎在周四(6月1日)齐聚罗马,希望能回答一个长期以来一直困扰着担心保护外层空间的人们的问题:如何将网络安全设计到从地面站到到达更远距离的卫星的复杂空间系统中。在控制复杂空间系统的软件和网络中建立安全性绝非易事。但由于担心一次成功的网络攻击可能会造成灾难性后果,美国政府和世界上许多其他国家正在投入更多资源来保护GPS、天基成像和在全球范围内提供互联网服务的卫星等空间系统。针对Viasat等卫星通信系统的网络攻击,黑客在乌克兰战争开始时对其进行了攻击,这让人们认识到了在太空系统中建立更多安全性的重要性。攻击和入侵仍在继续;去年,网络安全和基础设施安全局发现俄罗斯黑客在美国卫星网络内部嗅探。“由于新的太空时代,我们有独特的机会可以从头开始建造它。有许多其他行业我们可以做到这一点。但在太空中,我们现在正在建设所有基础设施,所以让我们做对吧,”康奈尔大学教授、太空系统网络安全标准工作组主席Gregory Falco说。“我们需要为空间系统的不同组件创建安全设计规范。”此外,该工作组正值航天工业的转折点,该工业已从主要由政府机构和军工综合体运营的产业转变为私人风险投资和SpaceX等硅谷公司。Falco说,正在进行的转型意味着现成的太空产品有更大的市场,这会带来更多的网络安全风险,他还指出,大多数太空系统设备都是在海外生产的。
https://cyberscoop.com/space-secure-by-design/
2、俄罗斯FSB证实美国入侵数千台苹果设备以监视外交官
俄罗斯联邦安全局(FSB)指责美国情报机构入侵“数千部苹果手机”以监视俄罗斯外交官。根据FSB周四(6月1日)发布的声明,美国使用了以前未知的恶意软件来攻击iOS设备。俄罗斯网络安全公司卡巴斯基周四(6月1日)也发布了一份关于来源不明的iOS恶意软件的报告。卡巴斯基的一位女发言人最初告诉The Record,该公司无法验证这两次攻击是否有关联,但一小时后发送了一条更新的评论,称俄罗斯的计算机安全机构已经公开表示,两份报告中的妥协指标是相同的。卡巴斯基发言人表示,“由于缺乏他们报告的技术细节”,卡巴斯基无法证实FSB的所有调查结果。FSB表示,除了影响国内用户外,该恶意软件还针对使用在俄罗斯外交使团和大使馆注册的SIM卡的外国号码和无线用户。该名单包括来自北约集团、后苏联地区以及以色列、叙利亚和中国的国家。俄罗斯情报部门称,调查显示苹果正在与美国国家安全局(NSA)合作。FSB表示:“这证明苹果承诺保护用户数据隐私的承诺实际上具有误导性。”美国国家安全局拒绝置评。苹果公司向记者发表声明称,它不会与政府合作在其产品中安装后门程序。战略研究中心外交政策与安全专家奥列格·沙基洛夫(Oleg Shakirov) 表示,这种类型的指控——他称之为“准归因”——对俄罗斯当局来说并不罕见。
https://therecord.media/russia-accusses-us-of-hacking-apple-devices-to-spy-on-diplomats
3、卡巴斯基发现了一种利用零点击漏洞攻击iOS设备的新间谍软件
卡巴斯基实验室专家发现的新iOS间谍软件通过隐藏的iMessages传播,其漏洞不需要任何用户交互。这是代号为Operation Triangulation的APT活动的一部分 。一旦被感染,该软件就可以完全访问受害者的设备和个人数据。攻击者的目的是收集各种信息用于间谍活动。由于KUMA系统分析了来自卡巴斯基实验室公司Wi-Fi网络的网络流量,所以检测到了这次攻击。公司员工的数十台iOS设备遭到攻击。根据调查结果,公司的数据、产品和关键流程均未受到影响。调查正在进行中。受害者收到带有包含零点击漏洞的附件的iMessage 。这意味着只需接收一条消息即可安装软件。该漏洞利用提升的代码执行漏洞。这就是攻击者如何完全控制受感染的设备及其上的所有数据。之后,导致感染的iMessage信息会自行删除。安装的软件秘密地将信息从受害者的设备发送到远程服务器。攻击者对麦克风的录音、即时通讯的照片、地理定位和所有者的其他行为感兴趣。除了卡巴斯基实验室的员工之外,还有谁是这次攻击的目标还有待观察。恶意工具集不支持持久性,很可能是由于操作系统的限制。多台设备的时间线表明它们可能在重启后再次感染。我们发现的最古老的感染痕迹发生在2019年。截至撰写本文时的2023年6月,攻击仍在继续,成功瞄准的最新版本设备是iOS 15.7。最终有效载荷的分析尚未完成。该代码以root权限运行,实现了一组用于收集系统和用户信息的命令,并且可以运行从C&C服务器作为插件模块下载的任意代码。
https://www.securitylab.ru/news/538630.phphttps://securelist.com/operation-triangulation/109842/
4、攻击者正在积极利用MOVEit Transfer程序中的零日漏洞
MOVEit Transfer是美国Progress Software Corporation子公司Ipswitch开发的合作伙伴与客户之间的安全文件传输软件。该软件的客户包括 Chase、Disney、GEICO和MLB等知名公司。总共有170家软件公司和350万开发人员使用MOVEit Transfer。5月31日,Progress Software发布了 安全警报 ,宣布MOVEit Transfer中存在一个“严重”漏洞,该漏洞可能导致权限提升和潜在的未经授权访问环境。6月1日,众所周知,攻击者确实利用此漏洞从组织的数据库中批量下载数据。目前尚不清楚利用何时开始,以及这次攻击的幕后黑手究竟是谁。“如果您是MOVEit Transfer客户,那么在我们的团队创建补丁的同时,立即采取以下步骤来帮助保护您的MOVEit Transfer环境非常重要,”Progress Software的安全警报中写道。由于该补丁尚不可用且正在测试中,Progress Software提出了缓解措施,MOVEit管理员可以使用这些措施来保护他们的安装。为防止恶意利用该漏洞,开发人员建议管理员在MOVEit服务器的80和443端口上阻止外部流量。开发人员还建议管理员检查“C:\MOVEit Transfer\wwwroot”文件夹中是否存在可疑文件,包括备份或大型上传文件。它们可能表明攻击者窃取了数据或正在窃取数据。尚未发布有关该漏洞的更多详细信息。但是,根据被封锁的端口和检查可疑文件的指定位置,可以假设这是一个网页界面漏洞。
https://www.securitylab.ru/news/538637.php
5、敦促总检察长办公室对苹果员工监视俄罗斯人提起刑事诉讼
检察长办公室收到一项要求,要求对Apple员工提起刑事诉讼,指控他们为美国情报部门从事间谍活动。发起者是联邦安全和反腐败项目负责人维塔利·鲍罗丁。这是由BAZA出版物在其Telegram频道中报道的。鲍罗丁认为 ,苹果和美国情报部门应根据三条条款追究责任:非法获取计算机信息、病毒传播和间谍活动。6月1日早些时候,FSB宣布 它发现了“美国情报机构的情报行动”使用iPhone。据该机构称,数以千计的俄罗斯用户智能手机,以及在俄罗斯外交使团和大使馆注册的带有外国SIM卡的设备,包括北约国家和后苏联国家,以及以色列、特别行政区和中国,都感染了病毒。俄罗斯情报机构认为,这证明了美国苹果公司与美国国家情报界的密切合作,驳斥了该公司关于保护苹果设备用户个人数据隐私的说法。FSB的报告与卡巴斯基实验室的报告在同一天发布,该公司的专家在报告中表示,他们 发现了一种新的间谍软件 ,该软件通过隐藏的iMessages传播,其漏洞不需要任何用户交互(零点击)。这是代号为Operation Triangulation的APT活动的一部分。一旦被感染,该软件就可以完全访问受害者的设备和个人数据。攻击者的目的是收集各种信息用于间谍活动。事实证明,卡巴斯基实验室员工的数十台iOS设备感染了恶意软件。根据调查结果,公司的数据、产品和关键流程均未受到影响。调查正在进行中。正如SecurityLab.ru的主编Alexander Antipov所说,为间谍目的而恶意留下的程序中的书签即使对于大公司来说也并不少见。
https://www.securitylab.ru/news/538633.php
6、红鹿行动:疑是巴基斯坦网络间谍组织攻击以色列组织
Perception Point专家 发现了一场针对以色列各行各业组织的网络钓鱼活动,攻击者在此期间部署了RAT木马AsyncRAT。红鹿行动之所以得名,是因为黑客伪造了以色列邮政的电子邮件地址,而以色列邮政的标志是一头红鹿。攻击始于一封声称是Israel Post的网络钓鱼电子邮件,其中包含一个HTML附件,打开后会下载一个ISO 映像(HTML走私)。值得注意的是,HTML文件是根据Israel Post样式定制的。ISO映像包含一个混淆的VBS脚本,该脚本执行3losh RAT,这是一种远程管理木马AsyncRAT恶意软件的修改版本。根据TTP和感染链,专家推测红鹿行动是来自巴基斯坦的Aggah组织。Aggah擅长攻击美国和欧洲的政府和企业网站。黑客还从事勒索、勒索和数据盗窃。Aggah于2020年由Killnet和DarkSide等其他黑客组织的成员组成。AsyncRAT木马是一种远程访问木马(RAT),允许攻击者远程控制受感染网络上的计算机。AsyncRAT具有许多功能,例如:按键记录;音频/视频录制;数据泄露;远程桌面管理;找回密码;启动远程shell;有效载荷交付。AsyncRAT过去曾用于各种恶意软件活动和黑客组织。
https://www.securitylab.ru/news/538612.php
7、研究人员发现流行的ReportLab PDF库中的一个RCE漏洞
一名研究人员发布了一个远程代码执行(RCE)漏洞的有效利用,该漏洞影响ReportLab Toolkit,这是一个流行的Python库,被许多项目用来从HTML 输入生成PDF文件。5月31日在GitHub上发布了针对该漏洞的概念验证(PoC)利用,该漏洞被跟踪为CVE-2023-33733,同时还发布了一篇提供有关该漏洞技术细节的文章,从而增加了被攻击的可能性。ReportLab Toolkit被多个项目用作PDF库,每月在PyPI(Python包索引)上的下载量约为350万次。问题源于能够绕过“rl_safe_eval”的沙箱限制,其作用是防止恶意代码执行,导致攻击者访问具有潜在危险的Python内置函数。引入“rl_safe_eval”函数是为了防止2019年发现的类似远程代码执行问题;因此,研究人员专注于绕过它。所呈现的PoC检索内置的“类型”函数,该函数有助于创建一个名为“Word”的新类,该类继承自“str”类,可以绕过安全检查并提供对“代码”等敏感属性的访问权限。该库的广泛使用和公开的漏洞利用使许多用户处于危险之中。使用该库的软件供应商可以通过应用可用的安全更新来解决由此产生的供应链风险。研究人员告诉BleepingComputer,该问题在发现后已报告给ReportLab的开发人员,并在2023年4月27日发布的3.6.13 版本中进行了修复。
https://www.bleepingcomputer.com/news/security/exploit-released-for-rce-flaw-in-popular-reportlab-pdf-library/
8、 谷歌将Chrome沙盒转义链漏洞利用奖励提高三倍
谷歌6月1日宣布,在2023年12月1日之前,报告针对其Chrome网络浏览器的沙盒逃生链漏洞的漏洞赏金猎人现在有资格获得标准奖励的三倍。该公司的举措旨在鼓励安全研究人员识别和报告可能有助于威胁行为者破坏Chrome浏览器安全机制的漏洞,最终帮助增强软件抵御攻击的整体弹性。Chrome 漏洞奖励计划奖金从6月1日开始生效,并且仅适用于第一个功能性全链漏洞利用。“完整的链式攻击必须导致Chrome浏览器沙箱逃逸,并在沙箱外演示攻击者控制/代码执行。攻击场景必须完全远程,并且攻击能够被远程攻击者使用,”谷歌解释说。“符合条件的全链漏洞利用必须在初始错误报告时针对Chrome的扩展稳定版、稳定版或Beta版工作。如果在解决错误后提供漏洞利用,则只需要针对生产版本的Chrome发货在最初报告的时候。”后续通过Chrome VRP提交的全链exploit也将获得比常规奖励翻倍的丰厚奖励。通过提交完整的链漏洞利用,参与者可以获得高达180,000美元的奖励,并有可能进一步增加其他奖金,并且在六个月提交窗口的剩余时间内收到的其他漏洞利用最高可达120,000美元。Chrome安全团队高级技术项目Amy Ressler表示:“这些漏洞利用为我们提供了对利用Chrome的潜在攻击向量的宝贵见解,并使我们能够确定更好地强化特定Chrome功能的策略和未来大规模缓解策略的想法。
https://www.bleepingcomputer.com/news/google/google-triples-rewards-for-chrome-sandbox-escape-chain-exploits/
9、BlackCat勒索软件组织提高了攻击行动的隐蔽性、速度和渗透力
新的IBM Security Intelligence数据发现,BlackCat(ALPHV)勒索软件今年继续在全球范围内对组织造成严重破坏。该黑客组织的勒索软件附属机构最近发起的攻击针对的是医疗保健、政府、教育、制造和酒店行业的组织。据报道,其中几起事件导致该组织将敏感数据发布到他们的泄漏站点,包括从受害组织窃取的财务和医疗信息。IBM Security X-Force研究人员在5月30日发表的一篇博客文章中写道:“像BlackCat这样的勒索软件组织能够改变他们的工具和交易技巧,使他们的操作更快、更隐蔽,更有可能延长他们的生命周期。” “X-Force观察到BlackCat分支机构继续磨练他们的运营,以增加成功影响的可能性,即数据盗窃和加密。攻击者使用ExMatter自动化操作的数据泄露部分,ExMatter是一种能够“融化”(自我删除)的自定义恶意软件。此外,BlackCat组织最近发布了他们勒索软件的新版本,称为Sphynx,具有旨在挫败防御措施的升级功能。”该博文补充说,虽然不断发展的延迟或防止检测和逃避分析的策略带来了新的挑战,但了解攻击者最有可能采用哪些策略、技术和程序(TTP)可以帮助防御者寻求破坏和击败勒索软件攻击。该博客详细介绍了BlackCat和其他勒索软件组织部署的策略,以及组织如何通过了解在其环境中寻找什么来最好地保护自己。
https://industrialcyber.co/analysis/blackcat-ransomware-group-increases-stealth-speed-exfiltration-capabilities-against-organizations/
10、朝鲜ScarCruft黑客利用LNK文件传播RokRAT远控木马
网络安全研究人员仔细研究了朝鲜政府资助的名为ScarCruft的演员所使用的RokRAT远程访问木马。“RokRAT是一种复杂的远程访问木马(RAT),已被视为攻击链中的关键组件,使威胁行为者能够获得未经授权的访问、泄露敏感信息,并可能保持对受感染系统的持久控制,”ThreatMon说。ScarCruft至少从2012年开始活跃,是一个代表朝鲜政府开展活动的网络间谍组织,专门针对朝鲜南部的目标。该组织被认为是朝鲜国家安全部(MSS) 的下属组织。该组织安装的攻击链严重依赖社会工程学来鱼叉式网络钓鱼受害者并将有效载荷传送到目标网络。这包括利用Hancom的Hangul文字处理器(HWP)中的漏洞,这是一种被韩国公共和私人组织广泛使用的生产力软件,以传播其名为RokRAT的签名恶意软件。Windows后门,也称为DOGCALL,正在积极开发和维护,并已移植到其他操作系统,如macOS和Android系统。AhnLab安全应急响应中心(ASEC)和Check Point证明,最近的鱼叉式网络钓鱼攻击使用LNK文件触发多阶段感染序列,最终导致部署RokRAT恶意软件。ASEC披露了一项ScarCruft攻击,该攻击利用伪装成韩文文档的Windows可执行文件投放配置为每60分钟联系一次外部URL的恶意软件。
https://thehackernews.com/2023/06/n-korean-scarcruft-hackers-exploit.html
11、美国贸易委员会(FTC)指控家庭安全摄像头公司Ring无视客户数据安全
家庭安全摄像头公司Ring 再次受到联邦的关注,因为联邦贸易委员会周三(5月31日)宣布对该公司提出指控,罪名是损害其客户的数据隐私。FTC 在拟议的禁令中详细说明,称这家亚马逊旗下公司允许任何员工或承包商访问消费者的私人视频,原因是缺乏基本的安全和隐私保护。这种威胁还扩展到了黑客,他们利用类似的安全漏洞来控制客户的帐户和设备,而这一切都没有经过用户同意。“Ring对隐私和安全的漠视使消费者受到监视和骚扰,”美国联邦贸易委员会消费者保护局局长塞缪尔莱文说。“联邦贸易委员会的命令清楚地表明,将利润置于隐私之上是不划算的。”2017年、2018年和2019年记录了对Ring数据的网络攻击。美国联邦贸易委员会表示,尽管发生了多起黑客事件,但该公司未能采取基本的预防性安全措施,例如实施多因素身份验证。大约55,000名美国客户受到Ring安全漏洞的影响,其中一些攻击甚至劫持Ring摄像头以非法监视和口头骚扰客户。“Ring对额外安全措施的草率实施阻碍了它们的有效性,”FTC指出。该命令要求Ring支付580万美元的客户退款,并要求Ring在提交订单后30天内删除或销毁所有2018年3月之前的客户记录,并销毁或删除任何产品——如算法或其他公司模型——并在90天内摆脱这些黑客攻击。FTC还命令Ring在命令下达后的180天内制定全面的数据隐私计划,并实施20年。数据隐私计划中要求的具体细节包括员工培训、漏洞测试和实施充分的身份验证或登录技术。委员会以3比0的投票结果批准了该申诉,并提交给位于华盛顿特区的美国地方法院。
https://fcw.com/security/2023/06/ftc-charges-ring-over-disregard-customer-data-security/386995/
12、五角大楼与SpaceX的Starlink签订合同为乌克兰提供卫星通信能力
DefenseScoop获悉,五角大楼正在从SpaceX的Starlink购买卫星通信能力,以帮助乌克兰军方与俄罗斯作战。五角大楼此前曾透露,“卫星通信终端和服务”已包含在美国安全援助计划中,但尚未确定提供这些服务的公司。然而,一名国防官员周四(6月1日)透露,该部门正在与Starlink签订合同。“我们继续与一系列全球合作伙伴合作,以确保乌克兰拥有他们所需的弹性卫星和通信能力。卫星通信构成了乌克兰整体通信网络的重要支撑层,该部门与Starlink签订了此类服务合同。然而,出于操作安全原因以及这些系统的关键性质,我们目前无法提供有关特定功能、合同或合作伙伴的额外信息,”这位国防官员在不愿透露姓名的情况下向DefenseScoop发表声明说。商业太空技术对乌克兰-俄罗斯战争产生了重大影响。去年战争爆发后,SpaceX一直在自费和非国防部资金来源向乌克兰提供Starlink能力。然而,有人担心乌克兰在某个时候可能会因资金问题或其他并发症而无法使用Starlink,据报道,该公司在秋天试图向五角大楼施压,要求其开始买单。Starlink卫星互联网终端和相关功能使乌克兰军队即使在与俄罗斯的冲突期间通常的通信网络受阻时也能保持联系。Starlink已经能够快速更新其系统以对抗俄罗斯的干扰企图。SpaceX的一名通讯主管没有立即回应就Starlink与国防部签订的合同发表评论的请求。
https://defensescoop.com/2023/06/01/pentagon-contracting-with-spacexs-starlink-to-provide-satellite-communication-capabilities-for-ukraine/
THE END
往期推荐
1. 5th域微讯晨报-Vol-2023-129
3. 5th域微讯晨报-Vol-2023-126
4. 5th域微讯晨报-Vol-2023-127
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement