20230609-5th域安全微讯早报-NO.137

网络空间安全对抗资讯速递

2023年06月09日

最新热门网安资讯

Cyber-Intelligence  Brief Express

Vol-2023-137                        星期五

今日热点导读

资讯详情

1、CISA、FBI警告CL0P勒索软件组织正在利用利用MOVEit Transfer漏洞

美国机构在一份联合网络安全咨询(CSA )中披露，CL0P勒索软件团伙正在Progress Software的托管文件传输(MFT)解决方案MOVEit中利用以前未知的结构化查询语言(SQL)注入漏洞 (CVE-2023-34362)。CL0P勒索软件团伙也称为TA505。根据他们过去的活动，这些机构希望看到在私人和公共网络中广泛利用未打补丁的软件服务。“根据开源信息，从2023年5月27日开始，CL0P勒索软件团伙开始利用Progress Software的托管文件传输(MFT) 解决方案中以前未知的SQL注入漏洞，”联邦调查局(FBI)和美国网络安全与基础设施安全局(CISA)周三（7日）发布的公告称。“面向互联网的MOVEit Transfer Web应用程序感染了一个名为LEMURLOOT的 Web shell，然后它被用来从底层的MOVEit Transfer数据库中窃取数据，”该公告称。“在类似的大量活动中，TA505在2020年和2021年针对Accellion文件传输设备(FTA)设备进行了零日漏洞利用驱动的活动，并在2023年初针对Fortra/Linoma GoAnywhere MFT服务器进行了活动。”CISA-FBI的咨询报告称，TA505被认为是全球最大的网络钓鱼和恶意垃圾邮件分发者之一，据估计已经入侵了3,000多家美国组织和8,000多家全球组织。“TA505运营了一个RaaS，并作为其他RaaS运营的附属机构，作为初始访问代理(IAB)，出售对受损企业网络的访问权，作为其他IAB的客户，以及作为专门从事金融欺诈的大型僵尸网络运营商和网络钓鱼攻击，”它补充道。

https://industrialcyber.co/cisa/cisa-fbi-warn-organizations-that-cl0p-ransomware-group-exploits-moveit-transfer-vulnerability/

2、美国悬赏500万美元缉拿出售加密手机的瑞典逃犯

美国国务院悬赏500万美元缉拿一名40岁的瑞典人，此人是全球犯罪团伙使用的加密通信服务的管理员。马克西米利安·里夫金自2021年以来一直被美国当局通缉，当时联邦调查局、欧洲刑警组织和其他执法机构逮捕了数百名被控使用名为Anom的服务管理、使用和分发加密通信设备的人。Anom的设备是由美国和澳大利亚的执法机构秘密操作的，它们没有提供安全的通信，而是帮助当局监控使用这些设备的罪犯的活动。从2018年开始，向意大利黑手党、阿尔巴尼亚黑手党、毒品集团等有组织犯罪集团等300多个犯罪集团出售了1.2万多个Anom设备。“这些用户相信，他们的Anom设备有无法破解的加密保护，不会受到执法部门的打击，他们公开讨论隐藏毒品的方法、毒品的运输、洗钱，在某些群体中还讨论了暴力威胁，”起诉书称。里夫金是美国当局因涉嫌分发FBI设备而起诉的17名外国人之一。根据美国国务院周三发布的一份声明，里夫金在该平台上发送的信息将他与许多非法活动联系起来，包括涉嫌参与贩毒、洗钱、谋杀阴谋和绑架。美国官员说，目前还不清楚里夫金住在哪里，但可以通过他左膝和手指上的伤疤以及右臂上三只猴子的纹身来确定他的身份。Anom的设备被设计成运行Android操作系统的普通智能手机。然而，它们没有语音通话和互联网浏览等常见功能——它们的主要目的是为犯罪分子提供一个据称安全而隐蔽的交流平台。这款应用是通过口口相传和卧底特工推广的。执法机构控制着Anom的服务器基础设施，能够拦截和解密罪犯发送的信息。这使他们能够收集有关犯罪活动的宝贵情报，确定涉及的关键人物，并跟踪他们的行动。

https://therecord.media/maximilian-rivkin-fbi-europol-reward-anom-encrypted-phones

3、法国最大的艾克斯马赛大学遭到网络攻击

艾克斯-马赛大学是法国历史最悠久的大学之一，周三（7日）宣布该大学遭到网络攻击，员工因无法访问大学网络而被迫回家。该机构的管理层将这次攻击描述为“来自外国”，但表示其安全系统触发了警报，允许他们在造成“巨大破坏”之前使网络离线。据BFM Marseille援引的内部消息来源称，该大学网络已下线，以中断攻击并防止潜在的数据泄露。位于法国南部的艾克斯-马赛大学成立于1409年，目前拥有约80,000名学生，超过该国任何其他大学。攻击的性质尚未得到证实，也不知道是否有任何数据被盗，也不知道是否向该机构发送了勒索信。一位发言人表示，如果发现数据泄露，Aix-Marseille将通知执法部门。“我们服务的快速反应使得避免潜在的重大损害成为可能，”该大学的传播主任克拉拉布菲说。尽管该大学的网站在周三（7日）无法访问，但在周四（8日）早上又重新上线了。布菲说，该大学的业务恢复计划将从周四开始继续逐步恢复服务。她没有说明这个过程会持续多久。课程仍在继续，但学生和教职员工目前无法参与依赖大学网络工具访问的教育活动。

https://therecord.media/aix-marseille-university-cyberattack-france

4、Royal勒索软件团伙将BlackSuit加密器添加到他们的武器库中

皇家勒索软件团伙已开始测试一种名为BlackSuit的新型加密器，该加密器与该行动常用的加密器有许多相似之处。Royal于2023年1月推出，据信是臭名昭著的Conti业务的直接继承者，后者于2022年6月关闭。该组织是一个私人勒索软件组织，由渗透测试人员、“Conti Team 1”的分支机构以及他们从其他以企业为目标的勒索软件团伙招募的分支机构组成。自推出以来，Royal Ransomware已成为最活跃的活动之一，对企业发起了无数次攻击。自4月下旬以来，有传言称皇家勒索软件公司正准备以新名称进行品牌重塑。在他们袭击德克萨斯州达拉斯市后，他们开始感受到来自执法部门的压力。5月份发现了一种新的BlackSuit勒索软件操作，它使用了自己品牌的加密器和Tor协商站点。据信，这是皇家勒索软件集团将重新命名的勒索软件行动。然而，品牌重塑从未发生，Royal仍在积极攻击企业，同时在有限的攻击中使用BlackSuit。安全专家称，Royal是Conti的直接继承人，由来自Conti的“老卫士”或从各种精英勒索软件组织招募的60多名渗透测试人员组成。他们以4-5人的小团队运作。该组织使用Royal和BlackSuit，以Emotet和IcedID作为前体。他们优先考虑CobaltStrike的替代品，特别是Sliver，并开发定制的前体加载器。Royal可能只是在测试一个新的加密器，因为他们一直在测试该组织使用的其他工具，包括一个新的加载器、IcedID和Emotet的复兴。

https://www.bleepingcomputer.com/news/security/royal-ransomware-gang-adds-blacksuit-encryptor-to-their-arsenal/

5、Asylum Ambuscade黑客将网络犯罪与间谍活动相结合

在最近针对全球中小型公司的攻击中，观察到一个被追踪为“庇护伏击者”的黑客组织，将网络间谍活动与网络犯罪相结合。Proofpoint在2022年3月的一份报告中首次发现该特定威胁组织据信至少从2020年开始运作，该报告的重点是针对协助乌克兰难民运动的实体的网络钓鱼活动。ESET于8日发布了一份关于该威胁行为者的新报告，披露了有关去年Asylum Ambuscade行动的更多细节，并强调了其受害者学和工具集的更新。Asylum Ambuscade通常通过向目标发送鱼叉式网络钓鱼电子邮件来发起攻击，这些电子邮件携带运行恶意VBS代码的恶意文档附件，并在2022年6月之后利用 CVE-2022-30190 (Follina)。该漏洞会启动MSI安装程序的下载，该安装程序会部署该组织的Sunseed恶意软件，这是一个基于Lua的下载程序，还会在Windows启动文件夹中生成一个LNK文件以实现持久性。Sunseed从命令和控制服务器获取后续阶段的有效负载Akhbot，并继续ping服务器以接收和执行额外的Lua代码。Asylum Ambuscade在2023年保持了几乎令人困惑的广泛目标范围，主要是北美、欧洲和中亚的银行客户、加密货币交易商、政府实体以及各种中小企业。ESET已计算出4,500名受害者，相当于每月大约265名受害者。威胁行为者明确针对加密货币交易商和银行账户以获取利润，但SMB实体的攻击可能指向网络间谍活动。

https://www.bleepingcomputer.com/news/security/asylum-ambuscade-hackers-mix-cybercrime-with-espionage/

6、DeepMind使用其独特的数据排序算法更新了C++库

英国人工智能(AI)研发公司DeepMind以创建AlphaZero AI系统而闻名，该系统可以在没有人类指导的情况下学习下国际象棋、围棋和将棋等棋盘游戏。AlphaZero使用强化学习方法，其中AI系统从经验中学习，对其行为进行奖励或惩罚。现在，DeepMind已将这种方法应用于另一项任务——创建用于对数据进行排序的算法。排序是一项重要且常见的计算机科学任务，它是从数据库到搜索引擎等许多应用程序的基础。排序效率影响计算的性能和质量。尽管对排序算法的开发和优化进行了数十年的研究，但对于人类专家和计算方法而言，进一步的改进已被证明是遥不可及的。现在人工智能已经能够克服这个障碍并发现新的算法。在发表在《自然》杂志上的一篇论文中 ，来自DeepMind的一组科学家公布了一个名为AlphaDev的新人工智能系统。专家们以单人游戏的形式向AI提出挑战，要求AI必须生成汇编语言指令序列以对各种长度和数据类型的数组进行排序，从而找到最佳排序算法。游戏的目标是最小化算法在真实处理器上的执行时间。为了解决这个问题，AI采用了强化学习的方法，让你根据自己的经验和收到的奖励进行学习。人工智能不了解现有的排序算法或通用编程原理。他从随机指令开始，通过从处理器获得有关执行时间的反馈来逐步改进他的算法。AI还使用了候选生成和测试(GTC) 技术，可以有效搜索和评估正确和快速程序的空间。借助这些技术，AlphaDev创建了比人工算法快三倍的数据排序算法。这些算法已从汇编语言翻译成C++，并包含在流行的LLVM编译器套件使用的官方C++语言库中。这是该库中首次包含AI生成的算法。

https://www.securitylab.ru/news/538828.php

7、科学家们设法将能量从轨道卫星转移到地球上的探测器

一颗于1月发射入轨的卫星被称为太空太阳能演示器(SSPD-1)，是加州理工学院太空太阳能项目(SSPP)的第一个技术原型。SSPP成立于十年前，由房地产亿万富翁唐纳德布伦捐赠1亿美元，目标是从太空收集太阳能并将其传输到地球上的接收器。这颗卫星配备了MAPLE（用于低轨道能量传输实验的微波阵列）技术，这是一种由特殊电子芯片控制的灵活、轻便的微波功率发射器阵列，可将能量束引导到需要的地方。波束方向是通过各个发射器之间的建设性和破坏性干扰来实现的，这样整个电力系统组就可以改变它辐射的能量的焦点和方向。这类似于军用相控雷达系统在不移动天线的情况下扫描地平线的技术。MAPLE包括两个距离发射器约一英尺的接收器阵列以接收功率，然后用于点亮一些LED指示灯以显示系统运行。这不是一个非常大的测试，所以MAPLE在卫星上也有一个小窗口，阵列可以通过它辐射功率，这被用来成功地将测试转换传输到加利福尼亚理工学院校园实验室屋顶上的接收器。加州理工学院的科学家们希望他们的技术可以用于为偏远地区或军事基地提供清洁电力。他们还计划在2024年发射一颗更强大的SSPD-2卫星，以进一步测试这一概念。

https://www.securitylab.ru/news/538808.php

8、人工智能在预测乳腺癌方面超越医生

与使用自我报告和其他患者信息的标准临床风险模型相比，人工智能(AI)在预测五年乳腺癌风险方面显示出更好的结果。这是发表在放射学杂志上的 一项研究报告。研究人员使用了与2016年在北加州Kaiser Permanente进行的阴性（未显示出明显的癌症迹象）筛查乳房X线照片相关的数据。在2016年筛查的324,009名符合条件的女性中，随机选择了13,628名女性进行分析。此外，还研究了在2016年初始乳房X 检查后五年内被诊断出患有癌症的所有4,584名患者。所有女性都被观察到2021年。研究人员使用深度学习开发了人工智能算法，从乳房X线照片中提取成百上千个额外的乳房X线摄影特征，并用它们来预测患乳腺癌的风险。与BCSC临床风险模型相比，人工智能算法在预测五年内乳腺癌风险方面的准确性要高得多。“这是第一项在如此大的样本中显示人工智能优于临床风险模型的研究，”首席研究员Vignesh A. Arasu博士说，他是Kaiser Permanente Northern California的研究员和执业放射科医生。根据Arasu博士的说法，人工智能算法可以帮助个性化患者护理并提高预测性能。例如，它们可以帮助确定乳腺癌高危女性应该多久接受一次筛查，或者哪些额外的筛查测试可能会有帮助。“我们希望我们的AI算法将来能够融入临床实践，”他补充道。

https://www.securitylab.ru/news/538812.php

9、研究人员发布Windows系统中Win32k漏洞的PoC

研究人员发布了一个概念验证(PoC)漏洞利用程序，该漏洞利用程序已在2023年5月星期二补丁程序中修复，这是一个被积极利用的Windows本地特权升级漏洞。Win32k子系统（Win32k.sys 内核驱动程序）管理操作系统的窗口管理器、屏幕输出、输入和图形，并充当各种类型的输入硬件之间的接口。因此，利用这些类型的漏洞往往会提供更高的权限或代码执行。该漏洞被追踪为CVE-2023-29336，最初由网络安全公司Avast发现。它被指定为 7.8的CVSS v3.1严重等级，因为它允许低权限用户获得Windows SYSTEM权限，这是Windows中最高的用户模式权限。Avast表示，他们是在该漏洞被积极利用为零日攻击后发现的。然而，该公司拒绝与BleepingComputer分享更多细节，因此尚不清楚它是如何被滥用的。为了提高人们对被积极利用的漏洞的认识以及应用Windows安全更新的必要性，CISA还发布了一个警报并将其添加到其“已知被利用漏洞”目录中。在补丁可用一个月后，Web3 网络安全公司Numen的安全分析师现在发布了有关CVE-2023-29336漏洞和Windows Server 2016的PoC漏洞的完整技术细节。虽然该漏洞被积极利用，但微软表示它只影响旧版本的Windows，包括旧的Windows 10版本、Windows Server和Windows 8，而不会影响Windows 11。同步发布的演示视频表明，利用CVE-2023-29336并不是特别具有挑战性。

https://www.bleepingcomputer.com/news/security/poc-released-for-windows-win32k-bug-exploited-in-attacks/

10、AWS为最极端环境中的国防客户推出边缘设备

Amazon Web Services周三（7日）推出了迄今为止最极端的边缘计算产品——称为AWS Snowblade——通过最近授予的联合作战云能力合同专门为国防部和军事客户提供。该便携式硬件设备只有迷你冰箱那么大，但旨在为在地球上最偏远、极端环境（包括被拒绝、中断、间歇性）中运营的国防客户提供计算、存储和其他云计算和混合计算服务和有限的——或DDIL——环境。该设备包裹在防护罩中，重约80磅——它的每一侧都有两个手柄，可供一两个人携带——并且符合美国军用加固标准(MIL-STD-810H)，即使受到影响，客户也可以操作它冲击、振动和高达130度以上的温度。AWS 全球公共部门副总裁Max Peterson周三在该公司的华盛顿特区峰会上表示，AWS Snowblade“使我们的国防部客户能够在全球各地的边缘位置运行他们的业务并管理要求苛刻的工作负载，以应对极端的操作环境” AWS Snowblade与国防和情报机构中流行的其他AWS“Snow”系列产品兼容，并支持公共部门客户广泛使用的各种云服务。AWS Snow Family产品和解决方案负责人Ramesh Kumar表示，重要的是，这些设备在运送给客户时已为现场操作员提供了“尽可能易于使用”的完整配置。 AWS Snowblade边缘设备上的数据在传输时采用256位加密和2层加密来保护，并且该产品符合FedRAMP-High以及分类数据的IL5和IL6认证。加密密钥也不存储在设备本身上。如果该设备落入敌人手中，它基本上就是一个“80磅重的块”。多年来，国防部官员一直在寻求此类边缘计算功能，使战士和其他国防客户能够在互联网连接断断续续的偏远、严峻环境中继续作战。五角大楼的联合全域指挥与控制战略(JADC2) 概述了“实现从战略层面到战术边缘的快速相关决策制定”的需要。

https://www.nextgov.com/technology-news/2023/06/aws-unveils-edge-device-defense-customers-most-extreme-environments/387302/

11、投资不足、技能短缺、协作不力仍然是能源行业面临的主要挑战

新的挪威船级社（DNV）数据发现，能源行业更加意识到网络安全威胁，并正在增加投资以应对这些威胁。此举是在地缘政治紧张局势加剧、合规要求不断涌现以及数字连接基础设施加速采用的背景下进行的。该研究还发现，由于投资、技能短缺和协作不力仍然是整个行业面临的主要挑战，因此需要更加关注确保安全关键系统的安全。DNV报告称，十分之六的能源专业人士表示，他们的组织将在2023年增加网络安全支出，因为地缘政治紧张局势引发了人们对新兴威胁的意识增强。这是网络威胁意识的一步变化，能源行业敏锐地意识到对IT和OT（运营技术）系统的网络威胁日益增长。然而，行业专业人士警告说，预算仍然太低，无法保护安全关键系统，只有三分之一的人相信有足够的投资用于OT安全。“但对风险的认识并不仅限于立即攻击的威胁。我们今年的研究还强调了网络安全对能源行业日益增长的战略重要性。事实上，十分之九(89%) 的能源专业人士认为，网络安全是数字化转型计划的先决条件，这些计划使行业的未来成为可能，”DNV 在其题为“2023年能源网络优先级”的研究报告中表示：缩小意识和行动之间的差距。该研究基于对600名能源专业人士的调查，并辅以对来自不同能源行业公司的专家的深入访谈，这些公司包括Equinor、Dominion Energy、Vattenfall、Institute for Security and Safety、Skagerak Energi、SCADAfence和DNV。尽管在网络安全方面的意识、成熟度和投资有所提高，但只有不到一半（约42%）的能源专业人士表示他们的组织投资足够。只有三分之一（约36%）的人相信他们的组织已经为保护他们的OT进行了足够的投资。

https://industrialcyber.co/reports/dnv-reports-investment-skills-shortage-poor-collaboration-remain-major-challenges-across-energy-sector/

12、网络骗子窃取OpenAI API密钥以盗用GPT-4

6月8日，r/ChatGPT Discord频道的版主禁止了一个与数百名其他用户自由共享窃取的OpenAI API密钥的脚本小子。API密钥允许开发人员将 OpenAI的技术——尤其是其最新的语言模型GPT-4——集成到他们自己的应用程序中。然而，开发人员通常会忘记他们的代码中的密钥，只需点击几下鼠标即可窃取帐户。至少从3月开始，名为“Discodtehe”的用户一直在从发布到软件协作平台Replit的源代码中抓取API密钥。此人在r/ChimeraGPT上分享了对战利品的免费访问权，一个拥有800多名成员的社区开始对被盗账户收取使用费。在6月7日的Vice报道之后，Discord或Reddit上再也找不到Discodtehe。但故事还没有结束，专家强调：数以万计的暴露的API密钥仍然在野外。“这个故事的核心是：不要在你的源代码中放置凭据，”NCC Group的首席科学家Chris Anley说。“然后当然不要发布那个源代码。”OpenAI密钥无处不在，随着ChatGPT的流行，它的密钥开始在开放的Web上激增。在3月8日发布的State of the Secrets Sprawl 2023报告中，GitGuardian观察到公共存储库中有数千个暴露的 OpenAI密钥，与新发现的流行度ChatGPT成比例上升。在撰写本报道时，GitGuardian告诉Dark Reading，仅在GitHub上就有超过50,000个公开泄露的OpenAI密钥。这使得OpenAI开发者账户成为世界上第三大暴露账户，仅次于MongoDB和谷歌。

https://www.darkreading.com/application-security/cybercrooks-scrape-openai-keys-pirate-gpt-4

THE END

往期推荐

1. 5th域微讯晨报-Vol-2023-134

2. 5th域微讯晨报-Vol-2023-135

3. 5th域微讯晨报-Vol-2023-131

4. 5th域微讯晨报-Vol-2023-132

5. 5th域微讯晨报-Vol-2023-133

冷观网域风云激荡

智察数字安全博弈

THINK LIKE A HACKER

 ACT LIKE AN ENGINEER

Cyber Intelligence Insight

Digital Security Enhencement