其他
20230603-5th域安全微讯早报-NO.132
网络空间安全对抗资讯速递
2023年06月03日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-132 星期六
今日热点导读
2、美国和韩国机构警告国家支持的鱼叉式网络钓鱼
3、CISA发现Advantech、HID Global硬件存在安全漏洞
4、Forescout预测人工智能辅助攻击将很快针对OT和非托管设备
5、OpenAI推出数百万美元的网络安全资助计划
6、250万人的信息在马萨诸塞州健康保险公司的勒索软件攻击中被盗
7、美国财政部制裁伊朗云提供商ArvanCloud
8、俄罗斯推出200万部搭载国产Aurora OS的手机供官员使用
9、技嘉发布了针对带有危险后门的主板的紧急更新
10、“PostalFurious”短信攻击以阿联酋公民为目标以窃取数据
11、CrowdStrike CEO称AI为“军备竞赛”
12、LockBit声称攻击了全球拉链巨头YKK并设定14天付款期限
资讯详情
美国国防部是周五(6月2日)正式发布临时规则,禁止在与政府系统连接的设备上“存在或使用”社交网络应用程序TikTok,包括那些由外部承包商拥有的设备。多年来,五角大楼一直明确敦促人员不要在政府和个人设备上下载和访问TikTok。联邦领导人一再提出对网络安全和间谍威胁的担忧,国会也警告说,通过社交媒体应用程序获取的用户数据可能会威胁国家安全。今年2月——在去年底通过《禁止在政府设备上使用TikTok法案》之后——拜登政府向联邦机构发布了指导意见,要求他们确保在接下来的30天内不再在联邦硬件上访问TikTok。国防部以及美国总务管理局和美国国家航空航天局于周五(2日)发布的新临时规定更进一步,将其也强加给承包商,在这些机构从6月2日起发布的任何合同招标中实施该法规。任何在6月2日之前发布但在6月2日之后授予的招标书必须在7月3日之前重新发布和修改以符合此临时规则。该禁令适用于,无论该设备是否归政府、承包商或承包商的员工所有”官员们在联邦公报上发表的新规定摘要中写道。根据临时规则本身,它“修订了联邦采购条例(FAR),以实施禁止拥有或使用社交网络服务TikTok或由ByteDance Limited或字节跳动有限公司拥有的实体。”在多项内容中,该规则指示承包商更新其内部工作场所技术政策以纳入新要求。
https://defensescoop.com/2023/06/02/pentagon-proposes-rule-to-ban-tiktok-on-all-dod-connected-devices-including-for-contractors/
2、美国和韩国机构警告国家支持的鱼叉式网络钓鱼
周五(6月2日)早上,一个双边安全机构联盟发布了一份新的网络安全咨询,警告朝鲜国家支持的行为者构成新的社会工程黑客威胁。美国和韩国的执法机构——包括联邦调查局、美国国务院、大韩民国国家情报局和外交部——警告说,被确定为Kimsuky的朝鲜网络组织以研究中心和智库、学术机构和新闻媒体机构。Kimsuky黑客旨在主要通过社会工程学从这些实体收集情报,社会工程学是指使用欺骗来操纵和利用人为错误。该公告指出,鱼叉式网络钓鱼是Kimsuky最常用的策略之一,尤其是以导致网络安全受损的恶意电子邮件形式出现。“朝鲜严重依赖通过妥协政策分析师获得的情报,”咨询中写道。“十多年来,Kimsuky攻击者不断改进他们的社会工程技术,并使他们的鱼叉式网络钓鱼活动越来越难以辨认。”Kimsuky使用的一个值得注意的策略是通过模仿的电子邮件地址冒充受欢迎的记者和新闻媒体。从那里,恶意行为者往往会发送一个链接,谎称是一篇文章或新闻报道,其中包含帮助黑客避开防病毒软件的受密码保护的文档。该公告提供了Kimsuky已知使用的特定模板,并推荐了几种网络安全实践来避免成功的鱼叉式网络钓鱼尝试。其中包括限制对内部网络的访问、评估风险、确保正确的设备配置和更新防病毒软件。
https://www.nextgov.com/cybersecurity/2023/06/us-south-korean-agencies-warn-state-sponsored-spearphishing/387067/
3、CISA发现Advantech、HID Global硬件存在安全漏洞
美国网络安全和基础设施安全局(CISA)周四(6月1日)发布了五份ICS(工业控制系统)公告,警告工业利益相关者注意Advantech和HID Global设备中的硬件漏洞。该机构还更新了之前关于台达电子、三菱电机和日立能源硬件安全漏洞的公告。这些通知及时提供有关ICS设备的当前安全问题、漏洞和漏洞利用的信息。CISA透露,研华的WebAccess Node设备包含可以使用低攻击复杂性远程利用的漏洞。这些漏洞包括对代码生成(代码注入)的不当控制,以及“无限制上传危险类型的文件”。“成功利用这些漏洞可能允许攻击者任意覆盖文件,从而导致远程代码执行,”CISA公告称。CISA补充称,Advantech WebAccess/SCADA v9.1.3及之前版本存在任意文件覆盖漏洞,攻击者可以覆盖操作系统中的任意文件(包括系统文件),向XLS文件注入代码,修改文件扩展名,这可能导致任意代码执行。这类设备通常用于关键制造、能源、水和废水系统,研华建议WebAccess/SCADA用户升级到v9.1.4。CISA在另一份公告中透露,HID Global的SAFE设备中存在“假定不可变数据的修改”漏洞。“成功利用此漏洞可能会导致个人数据泄露或造成拒绝服务的情况,”它补充说。CISA内部研究报告称,该漏洞已在全球范围内部署在政府设施、交通运输、商业设施和医疗保健部门中。外部访客管理功能与HID SAFE核心软件分开获得许可和部署。不使用此功能的用户不受影响。据HID Global称,受影响的系统数量有限,所有受影响的系统都已打上补丁。
https://industrialcyber.co/critical-infrastructure/cisa-finds-security-flaws-in-advantech-hid-global-hardware-updates-earlier-notices-for-delta-electronics-mitsubishi-electric-hitachi-energy/
4、Forescout预测人工智能辅助攻击将很快针对OT和非托管设备
Forescout Technologies概述了人工智能辅助攻击如何以OT(运营技术)和非托管设备为目标。这种转变发生在黑客利用公开可用的概念验证(PoC) 的同时,增加了现有恶意代码的多功能性和潜在的破坏性,尽管这仍然需要威胁行为者花费一些时间和精力。这些发展展示了生成式AI如何用于提高生产力,同时也被用于邪恶目的。Forescout Vedere Labs的研究人员Amine Amri和Daniel dos Santos在周三(5月31日)的博客文章中写道:“如今,恶意代码并不难找到,即使对于OT、IoT和其他嵌入式和非托管设备也是如此。” “针对IP摄像头漏洞的公共漏洞利用概念验证(PoC)经常被APT组织使用,流行的楼宇自动化设备成为黑客行动主义者的目标,而未打补丁的路由器被用于间谍活动。”他们补充说,黑客通常通过添加有效负载、将它们打包到恶意软件模块中或重写它们以在其他执行环境中运行,将这些PoC移植到更有用或不易检测到的东西中。“他们也可能会稍微改变它们,以躲避依赖于哈希、API函数、程序模块和库等签名的检测工具。”研究人员还考虑了AI的最新发展,包括大型语言模型(LLM),例如OpenAI的ChatGPT和谷歌的PaLM 2。Forescout研究人员评估,人工智能将很快发挥重要作用,帮助研究人员和攻击者直接在源代码中或通过补丁差异发现漏洞、从头开始编写漏洞利用程序,甚至设计查询以在线查找易受攻击的设备以进行利用。
https://industrialcyber.co/ai/forescout-predicts-that-ai-assisted-attacks-will-soon-target-ot-unmanaged-devices/
5、OpenAI推出数百万美元的网络安全资助计划
人工智能技术初创公司OpenAI启动了一项100万美元的网络安全资助计划,旨在促进以防御者为中心的研究、能力和测量。OpenAI是广受欢迎的ChatGPT机器人应用程序的制造商,它计划以API积分或直接资助的形式,以10,000美元的增量拨款,用于支持生成AI技术的防御用例的项目。该公司在一份声明中表示:“我们的目标是与全球的网安防御者合作,通过人工智能的应用和志同道合的个人为我们的集体安全工作而进行协调,从而改变网络安全的力量动态。”OpenAI计划旨在推动开发人员创建有利于防御者的尖端AI功能,并开发用于量化AI模型的网络安全功能的方法。OpenAI表示,范围内的项目包括那些从网络防御者那里收集和标记数据以培训防御性网络安全代理的项目;检测和缓解社会工程策略;自动化事件分类,并识别源代码中的安全问题。该公司还寻求资助协助网络或设备取证、自动修补漏洞和优化补丁管理流程的项目,以改进安全更新的优先级排序、调度和部署。OpenAI表示,它将在滚动的基础上评估和接受资金或其他支持的申请,并指出将强烈优先考虑人工智能在防御性网络安全(工具、方法、流程)中的实际应用。“目前不会考虑资助攻击性安全项目,”该公司表示,并指出所有提交的内容都应获得许可或分发,以实现最大的公共利益和共享。
https://www.securityweek.com/openai-unveils-million-dollar-cybersecurity-grant-program/
6、250万人的信息在马萨诸塞州健康保险公司的勒索软件攻击中被盗
Point32Health是马萨诸塞州第二大健康保险公司,正在通知超过250万人他们的个人和受保护健康信息在最近的勒索软件攻击中被盗。该攻击于4月17日被发现,最初于4月20日披露,影响了与Point32Health的Harvard Pilgrim Health Care相关的系统,并导致与当前和以前的健康计划订户和家属有关的数据外泄。Harvard Pilgrim表示,在3月28日至4月17日期间,攻击者窃取了包含姓名、地址、电话号码、出生日期、社会安全号码、健康保险账户信息、纳税人识别号码和临床信息(包括病史、诊断和诊断)的文件。治疗细节。该公司表示,勒索软件攻击影响了支持其Harvard Pilgrim Health Care Commercial和Medicare Advantage Stride计划 (HMO/HMO-POS)的系统,这些计划尚未完全恢复。“在我们恢复正常业务运营之前,我们将继续积极调查并进行广泛的系统审查和分析,”该公司在其网站上的事件通知中写道。该公司告知美国卫生与公众服务部,超过 255万人的信息在勒索软件攻击中遭到泄露。据Harvard Pilgrim称,该事件影响了2012年3月28日以前和现在的客户,以及目前的签约供应商。2020 年6月至今Health Plans Inc.的现任和前任成员也可能受到影响。该公司表示:“Harvard Pilgrim仍在调查此事件,如果调查确定有更多人可能受到影响,他们将提供最新消息。”目前该公司不知道被盗信息被滥用的情况。虽然对此次攻击的调查仍在继续,但它的目标是在6月15日之前开始向受影响的个人发送书面通知。SecurityWeek并不知道有任何勒索软件团伙声称对此次攻击负责。
https://www.securityweek.com/information-of-2-5m-people-stolen-in-ransomware-attack-at-massachusetts-health-insurer/
7、美国财政部制裁伊朗云提供商ArvanCloud
美国政府周五(6月2日)对一家被指控“协助”德黑兰互联网审查的伊朗云技术提供商以及一家附属公司和两名员工实施制裁。财政部外国资产控制办公室(OFAC)制裁了ArvanCloud,它称其为伊朗政权建立国家信息网络的“关键合作伙伴”,该网络是该国境内的平行内联网,使政府能够更轻松地控制访问到网上资料。“Arvan Cloud与伊朗情报部门关系密切,包括情报和安全部(MOIS),Arvan Cloud高管与伊朗政府高级官员有广泛联系,”OFAC的一份声明称。“伊朗政府经常使用互联网限制和互联网速度的限制来压制异议,监视和惩罚伊朗人在线和离线行使言论和集会自由,并限制向国际社会传播关于令人震惊的人类的可靠信息侵犯权利。”该行动还针对该公司的联合创始人Farhad Fatemi和Pouya Pirhosseinloo,以及位于迪拜的附属公司Arvancloud Global Technologies LLC。欧盟去年11月对ArvanCloud实施制裁,称该公司是“伊朗政府项目的主要合作伙伴,特别是伊朗信息和通信技术部长,以建立一个独立的伊朗互联网版本。”ArvanCloud在一份在线声明中否认了这些指控,称它将继续发展成为一家国际云技术提供商。“这些虚假指控在没有确凿证据的情况下通过社交媒体和新闻媒体重复出现,成为这种不公正制裁的基础。令人失望的是,欧盟如何受到这些片面和毫无根据的指控的影响并追随这些指控。”根据OFAC的制裁,在美国的所有财产和财产权益将被冻结,并禁止与公司和个人进行业务往来。该决定确实允许与ArvanCloud的现有协议在7月6日之前“结束”。
https://therecord.media/arvancloud-sanctions-iran-internet-us-treasury-department
8、俄罗斯推出200万部搭载国产Aurora OS的手机供官员使用
俄罗斯电信巨头Rostelecom计划向政府官员提供运行Aurora操作系统的手机——这是西方软件的国产替代品。Rostelecom的高级副总裁Kirill Menshov周四(6月1日)告诉俄罗斯国有新闻机构RIA Novosti ,俄罗斯政府正在与该公司就未来三年内可能收购多达200万台运行Aurora OS的移动设备进行谈判。他发表声明的同一天,俄罗斯联邦安全局(FSB)指责美国情报部门侵入“数千部苹果手机”以监视俄罗斯外交官。俄罗斯长期以来一直指责美国进行“全球监视”。据俄罗斯媒体报道,俄罗斯总统政府在3月份指示其员工将iPhone更换为具有不同操作系统的其他品牌的智能手机。据报道,克里姆林宫当时还宣布将为员工购买新的安全手机,以缓解从美国技术的过渡。去年,政府还建议其员工停止使用Zoom和WhatsApp等外国服务进行官方通讯。相反,他们被建议切换到国内平台,例如用于消息传递的VK和用于视频会议的TrueConf。俄罗斯基于Linux的Aurora操作系统由 Rostelecom于2016年开发,主要用于商业和政府用途。2020年,普京指示将其用途扩大到医疗保健和教育设施。正如其网站上所述,Aurora使客户能够完全控制数据处理并遵守俄罗斯政府的安全准则。然Aurora“完全独立于任何外国影响,并准备好扩大规模。据Rostelecom称,Aurora系统目前正在被俄罗斯政府以及各种与国家相关的企业使用,包括国家邮政服务、国有铁路公司以及能源公司。
https://therecord.media/russia-wants-phones-with-aurora-os
9、技嘉发布了针对带有危险后门的主板的紧急更新
技嘉为其主板发布了一个新的测试版固件,以解决最近发现的一个影响超过250种技嘉主板型号的漏洞。6月2日,用户可以在技嘉官方网站上 为基于英特尔和AMD芯片组的主板下载更新的固件。该漏洞由Eclypsium公司的研究人员发现,据称每次重启带有技嘉主板的计算机时,固件中的代码都会启动一个隐藏的更新机制,该机制在操作系统中运行,并从技嘉服务器下载额外的可执行文件或来自本地网络存储(NAS)。技嘉没有提供有关新固件的详细信息。但是,制造商似乎在系统启动期间加强了安全控制。据技嘉称,改进的安全机制将检测并防止启动期间的恶意活动。技嘉还对远程服务器的工作方式进行了一些重大更改。例如,某制造商改进了从公司服务器下载的文件的签名验证过程。此外,文件完整性检查现在更加彻底,以防止黑客渗透他们的恶意代码并用恶意软件感染系统。更重要的是,技嘉已经包含了远程服务器证书的标准加密验证。该检查应有助于改进权限访问限制。为什么技嘉以前没有使用过这个功能对我们来说是个谜。基于AMD 500和400系列芯片组以及Intel 600和700系列芯片组的主板用户将率先获得新固件。Intel 400系列、500系列主板和AMD 600系列主板的适当固件更新将于2日天晚些时候在其各自的产品页面上提供。技嘉希望向旧主板的所有者保证,该公司并没有忘记它们。该公司已为之前发布的主板准备了新固件,将于2日晚些时候上市。
https://www.securitylab.ru/news/538659.php
10、“PostalFurious”短信攻击以阿联酋公民为目标以窃取数据
阿拉伯联合酋长国的居民已成为旨在窃取付款和个人详细信息的短信活动的目标。该活动之前针对亚太地区的用户,因冒充邮政服务而被命名为 PostalFurious。Group-IB的调查将这两个活动归因于一个名为PostalFurious的网络钓鱼组织。该组织至少从2021年开始活跃,并且能够快速建立大型网络基础设施,他们也经常更改这些基础设施以避免被安全工具检测,并利用访问控制技术来避免自动检测和阻止。有证据表明,他们在全球开展业务,超出了这一中东倡议的范围。在此活动中,通过诈骗短信收集付款详细信息,要求收件人支付通行费和送货费。文本中的URL指向伪造的品牌支付页面,要求提供个人详细信息,例如姓名、地址和信用卡信息。网络钓鱼页面还使用了被冒充的邮政服务提供商的官方名称和徽标,并且只能从阿联酋的IP地址访问。这些短信包含一个短URL,其中包含一个假冒的品牌支付页面,并且至少从今年4月15日开始活跃;发起时,该活动冒充阿联酋收费运营商,但4月29日推出了新版本,其中包含阿联酋邮政服务欺骗。在这两种情况下,相同的服务器用于网络钓鱼域,而SMS消息是从在马来西亚和泰国注册的电话号码发送的,以及通过iMessage通过电子邮件地址发送的。PostalFurious的运营者之前以新加坡和澳大利亚的用户为目标,他们还制作了冒充邮政服务和收费运营商的虚假网站。
https://www.darkreading.com/dr-global/postalfurious-sms-attacks-target-uae-citizens-data-theft
11、CrowdStrike CEO称AI为“军备竞赛”
CrowdStrike首席执行官乔治库尔茨表示,他的公司已准备好对抗“敌对人工智能”——使用人工智能技术入侵系统的外国对手。库尔茨强调,他的公司长期以来一直在与这些对手作斗争。他说,政府黑客正在使用生成式人工智能来绕过检测并闯入目标系统。“所以这是你需要更好的人工智能的领域之一,你必须有一个我们认为是人类注释信息的更好的数据集,这样我们才能训练我们的生成人工智能算法。人工智能是一场军备竞赛,我们认为我们处于有利地位,”库尔茨说。CrowdStrike还宣布它已获得美国国防部(DOD)的IL5(影响级别5)安全级别,这使该公司能够访问一些高度敏感的网络安全材料。根据Kurtz的说法,这种访问将使“处理数百万端点和工作负载”变得更加容易。
https://www.securitylab.ru/news/538661.php
12、LockBit声称攻击了全球拉链巨头YKK并设定14天付款期限
LockBit勒索软件组织声称袭击了全球最大的拉链制造商YKK集团,并给该公司两周的期限来满足他们的要求。黑客集体对YKK勒索软件攻击负责,在他们的泄密网站上列出了这家日本制造公司。但是,他们没有分享所谓的YKK数据泄露事件的细节。Cyber Express已联系YKK集团,以确认所谓的 YKK勒索软件攻击。安全研究员Dominic Alvieri发布了黑客组织声称的YKK勒索软件攻击的屏幕截图,并配文写道:“据称,世界上最大的日本拉链制造商YKK集团已被LockBit攻破。”目前尚不清楚LockBit勒索软件组织泄露了多少数据,也不清楚所谓的对YKK集团的网络攻击是如何进行的。LockBit是今年最活跃、攻击性最强的勒索软件集团。在所谓的YKK勒索软件攻击之前,LockBit一直以数家教育机构为目标,包括纽约的圣弗朗西斯预科天主教高中。他们还瞄准了提供高级社区管理和咨询服务的Affinity Health Services。今以来,LOCKBIT声称攻击大幅增加,并且仍然是最活跃和背信弃义的勒索软件组织,仅在2023年第一季度就破坏了近300个实体的网络完整性。
https://thecyberexpress.com/lockbit-claims-ykk-ransomware-attack-deadline/
THE END
往期推荐
1. 5th域微讯晨报-Vol-2023-129
3. 5th域微讯晨报-Vol-2023-131
4. 5th域微讯晨报-Vol-2023-127
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement