其他
20230610-5th域安全微讯早报-NO.138
网络空间安全对抗资讯速递
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-138 星期六
今日热点导读
2、美国将两中企列入实体清单
3、美日台拟共享无人侦察机实时军情数据
4、亲乌克兰黑客声称要关闭俄罗斯互联网提供商
5、曼彻斯特大学在网络攻击事件中遭受疑似数据泄露
6、澳大利亚法律巨头HWL Ebsworth拒绝向ALPHV/BlackCat勒索者支付赎金
7、诺基亚研究人员记录到针对电信网络的DDoS攻击空前增加
8、Roskomnadzor计划限制外国漏洞扫描器访问Runet
9、NCCoE根据优先任务目标发布LNG网络安全框架轮廓
10、谷歌推出保护生成人工智能的框架
11、司法部指控两名俄罗斯国民参与历史性的Mt. Gox黑客攻击
12、针对北非的网络间谍活动使用了Stealth Soldier后门
13、全新的安全漏洞影响所有MOVEit Transfer版本
14、BlackCat黑客解密了Google和Meta与情报机构的合作
资讯详情
英国政府周四(6月8日)宣布,新制裁将阻止白俄罗斯媒体组织通过在英国在线传播宣传来支持俄罗斯入侵乌克兰。在英国运营的社交媒体公司、应用程序商店和互联网服务提供商将有义务阻止指定的白俄罗斯组织接触该国的受众。去年4月,包括TV-Novosti和Rossiya Segodnya(RT和Sputnik 背后的国家资助实体)在内的俄罗斯媒体组织也遭到了类似的封锁,其中包括针对1,000多家其他个人和企业的制裁。该立法包括“禁止向指定人员或为指定人员的利益提供互联网服务”,并赋予通信监管机构Ofcom一项权力,可对不遵守制裁规定的公司处以最高100万英镑(126万美元)的罚款。外交部表示,新措施“使政府有能力阻止指定的白俄罗斯媒体公司在英国传播宣传。”根据新的指定标准,政府的制裁将针对“更广泛的支持[卢卡申科]政权的人”,包括“已经受到制裁的人的近亲”。早在2020年,英国就对白俄罗斯总统亚历山大·卢卡申科以及他的儿子和其他政府高级官员实施了制裁,因为外交部称这是一场被操纵的选举,并暴力镇压了随后要求卢卡申科下台的抗议活动。白俄罗斯国有广播公司Beteleladiocompany在播放了似乎是受折磨的政治犯为参与反政权抗议活动而道歉的图像后,于2021年被欧洲广播联盟排除在外。英国外交大臣詹姆斯·克莱弗利 (James Cleverly) 在宣布制裁时说:“这项新一揽子计划加大了卢卡申科及其政权的经济压力,积极促进俄罗斯的战争努力,无视乌克兰的领土完整。
https://therecord.media/belarus-internet-propaganda-united-kingdom-sanctions
2、美国将两中企列入实体清单(略)
3、美日台拟共享无人侦察机实时军情数据(略)
4、亲乌克兰黑客声称要关闭俄罗斯互联网提供商
亲乌克兰的黑客活动分子对一家主要由银行和在线商店使用的俄罗斯互联网和电信公司发起了“大规模”网络攻击。Infotel周四(6月8日)在其网站上发布了一份声明,确认网络行动已达到目标。“我们通知您,由于Infotel网络遭到大规模黑客攻击,部分网络设备遭到破坏,”该公司表示。“修复工作目前正在进行中。将宣布完成这项工作的其他截止日期。” 截至撰写本文时,其网站上列出的某些服务仍不可用。一群自称为“网络无政府状态小队”的亲乌克兰黑客活动分子声称对这次袭击负责。“我们已经完全摧毁了他们的基础设施。没有任何东西还活着。让他们现在尝试恢复它,但他们的机会与在俄罗斯找到轻松生活一样渺茫,”黑客在他们的Telegram频道上写道。这家总部位于莫斯科的公司为俄罗斯中央银行提供服务,并将其与当地银行、金融公司和网上商店联系起来。黑客表示,此次攻击可能会给俄罗斯企业访问银行系统和进行支付带来问题。除了破坏Infotel服务外,黑客还声称获得了某些情报,包括客户名单和他们的电子邮件通信。Infotel攻击从乌克兰黑客发起的许多小规模攻击活动引起关注,因为该公司的运营和客户都受到了明显的损害。乌克兰和俄罗斯之间正在进行的战争已经出现了针锋相对的网络攻击,最常见的网络攻击类型涉及分布式拒绝服务、污损和数据泄露——这些都不需要像更具破坏性的操作那样高超的技能。除了Infotel黑客攻击外,亲乌克兰的黑客活动家还将他们的努力转向了其他俄罗斯网站,例如在线商店和金融组织。在某些网站上,他们展示了一张乌克兰士兵的照片,并祈祷乌克兰成功反攻。
https://therecord.media/proukraine-hackers-claim-to-take-down-russian-isp
5、曼彻斯特大学在网络攻击事件中遭受疑似数据泄露
曼彻斯特大学在2023年6月9日发布的一份声明中证实,受到网络事件的袭击,该事件可能导致攻击者访问数据。在帖子中,曼彻斯特大学首席运营官帕特里克·哈克特 (Patrick Hackett) 证实,“我们的一些系统已被未经授权的一方访问,数据可能已被复制。”该攻击是在本周早些时候于6月6 日发现的。哈克特补充说,这所英国大学现在正在与内部专家和外部支持合作,以解决该事件并了解哪些数据已被访问。他还证实,该大学正在就此次攻击与相关机构联系,包括英国数据保护机构、信息专员办公室 (ICO)、国家网络安全中心(NCSC)和国家打击犯罪局。在调查继续进行的同时,已建议学生和教职工对潜在的网络钓鱼攻击保持警惕。曼彻斯特大学在声明中说:“我们知道这会引起我们社区成员的担忧,我们对此感到非常抱歉。我们的首要任务是解决这个问题,并尽快向受影响的人提供信息,我们正在集中所有可用资源。”近年来,大学和其他教育机构一直是勒索软件攻击的主要目标,从2022年开始的研究发现,每起事件的平均补救成本超过200万英镑。2022年5月,美国伊利诺伊州拥有157年历史的林肯学院在勒索 软件攻击导致学校无法获取用于留住学生、招生和筹款工作的关键数据后被迫关闭。威胁行为者Vice Society最近在攻击该部门方面尤为普遍,美国和欧洲的许多机构都受到了影响。Illumio关键基础设施解决方案主管Raghu Nandakumara在评论这次攻击时,赞扬了该大学在通知当局和与当局接触方面的透明度和积极主动的方法。他指出,大学持有的敏感和有价值的数据使它们成为恶意行为者的重要目标。“如果发现数据已被泄露,那么潜在的影响可能是巨大的。大学不仅拥有大量关于学生和教职员工的个人数据,而且他们还进行有价值的敏感研究,并将各种技术和设备连接到大学网络,这增加了攻击风险,”Nandakumara说。
https://www.infosecurity-magazine.com/news/uni-manchester-data-breach-incident/
6、澳大利亚法律巨头HWL Ebsworth拒绝向ALPHV/BlackCat勒索者支付赎金
澳大利亚律师事务所HWL Ebsworth向当地媒体证实,其内部网络已被入侵。这发生在ALPHV/BlackCat勒索软件团伙开始泄露他们声称从一家澳大利亚公司窃取的数据之后。HWL Ebsworth是澳大利亚最大的律师事务所之一,年收入达数亿美元。公司员工包括约2,000名,公司在全国设有九个办事处。8日晚,ALPHV/BlackCat勒索软件团伙发布了1.45TB的数据,其中包含据称于今年4月从HWL Ebsworth的系统中窃取的超过一百万份文件。现在,如果该公司不满足他们的要求,网络犯罪分子就会威胁该公司泄露更多信息。该公司发言人在美国广播公司表示,该公司不会与攻击者达成交易,即使这意味着该公司及其客户将不得不承受非常严重的数据泄露的后果。“我们非常重视对社会的伦理和道德责任。我们认为,我们有一项基本的公民义务,即不鼓励以任何方式进行犯罪勒索,”该公司的一位代表解释道。“我们的客户和员工数据的隐私和安全仍然至关重要。我们认识到并理解这可能产生的影响,并且我们与客户保持密切联系,”HWL Ebsworth总结道。由于该律师事务所自然与公共部门打交道,因此有人担心包含对国家重要的敏感或机密信息的文件外泄。HWL Ebsworth的现任和前任客户包括以下组织:南澳大利亚州政府、昆士兰州政府、澳大利亚首都领地政府、澳大利亚环境与公众服务部以及澳大利亚税务局和澳新银行银行团体。在这方面,尚不完全清楚为什么该公司在所有行业都有如此多的客户,却如此断然反对协助入侵者。即使HWL Ebsworth拒绝支付赎金,她的一些客户自己也可能想要联系黑客并就其数据的安全达成一致。这意味着这种勒索计划对攻击者来说比对大公司的单一攻击更有利可图。
https://www.securitylab.ru/news/538877.php
7、诺基亚研究人员记录到针对电信网络的DDoS攻击空前增加
根据诺基亚的《2023年威胁情报报告》,通过物联网僵尸网络对电信网络发起的DDoS攻击数量在过去一年中增加了五倍。据报道,出于经济动机的攻击者正在使用不安全的物联网设备进行攻击。去年2月首次注意到类似的网络攻击。从那时起,它们迅速蔓延到世界各地,威胁着不同国家的关键基础设施。此次恶意软件活动中使用的受损物联网设备数量已从去年的20万台增加到现在的约100万台,占所有DDoS流量的40%以上。该报告还强调了针对受害者个人银行信息的特洛伊木马移动应用程序的数量增加了一倍。此类攻击现在占感染总数的9%。有趣的结果与恶意软件感染的本地化有关。该报告指出家庭网络的感染率有所下降。在Covid-19大流行期间达到3%的峰值后,该数字现已降至1.5%,接近危机前1%的水平。这是因为针对远程工作人员的恶意软件分发活动数量有所减少。报告中的调查结果基于使用诺基亚专有的NetGuard Endpoint Security监控网络流量产品从全球2亿多台设备收集的数据。诺基亚业务应用高级副总裁Hamdi Farid在评论报告结果时强调,需要加强5G网络的安全措施。Farid指出了以电信行业为中心的威胁检测和响应以及在各级组织实施严格的安全和意识实践的重要性。包括服务提供商、制造商和监管机构。通过IoT僵尸网络进行的攻击的危险增加引起了整个全球电信行业的警觉。它还成为加强安全措施和密切合作以保护网络完整性和确保全球数百万用户安全的有效激励。
https://www.securitylab.ru/news/538872.php
8、Roskomnadzor计划限制外国漏洞扫描器访问Runet
根据在FSUE“GRChTs”现场举行的“俄罗斯系统和资源信息安全科学技术委员会”会议的结果,监管机构确定了三个主要工作领域区域。首先,监管机构谈到了应对网络攻击的措施。GRFC委员会的成员得出结论:“迫切需要建立一个全国性的措施系统来防止DDoS攻击。” 该系统应确保保护俄罗斯基础设施免受来自国外跨境过境点的各种此类攻击。此外,在年底之前,有必要在网络安全领域的俄罗斯最大公司之间组织有关攻击和保护方法的信息交流。其次,Roskomnadzor宣布计划扫描俄罗斯系统和服务中的漏洞。该部门希望在其CMU的基础上创建一个国内可信扫描系统,这将允许检测俄罗斯信息资源中的漏洞,并为它们提供及时纠正的机会。还计划采取措施限制外国服务对俄罗斯互联网部分的扫描。” 据RKN称,“超过10项服务在互联网的国外部分运行,不断扫描和识别漏洞,包括在Runet中。”网络安全工作的第三个改进领域是提供“有关IP地址来源国的可靠信息”。RKN表示,它将“在CMU的基础上创建一个俄罗斯可信系统,用于验证网络地址的来源国”,借口是该系统“将允许俄罗斯IT系统的所有者使用可信的信息源”并确保俄罗斯信息资源的正确运行和公民的访问。”Roskomsvoboda的一位技术专家认为,这样的提案是一种IP地址清单,目前还没有人做过,而且并不总是能够确定谁目前拥有IP地址。但与此同时,该倡议可以成为第二个方向工作的一部分。
https://www.securitylab.ru/news/538868.php
9、NCCoE根据优先任务目标发布LNG网络安全框架轮廓
NIST下属的国家网络安全卓越中心(NCCoE)周四(6月8日)发布了液化天然气 (LNG)行业和支持LNG总体液化过程、运输和分配的辅助功能的最终指南。LNG网络安全框架(CSF)轮廓旨在广泛审视LNG行业的基础设施,并与LNG行业的利益相关者合作,以确定他们的任务目标和优先事项。该件标题为“NIST机构间报告(NIST IR)8406,液化天然气网络安全框架轮廓”,提供了一种自愿的、基于风险的方法来管理网络安全活动并降低整个LNG过程的网络风险。该指南文件补充了液化天然气行业已经使用的当前网络安全标准、法规和行业指南。LNG CSF配置文件无意取代任何现有的网络安全指南或政策,而是通过帮助利益相关者优先考虑LNG组织提供的建议来补充现有的最佳实践。属于LNG行业的实体可以使用LNG CSF文件来解决和减轻与LNG 流程和系统相关的网络安全风险。它还可以帮助组织识别在LNG生命周期中管理网络安全风险的机会;为液化天然气行业利益相关者确定并优先考虑的液化天然气运营任务目标提供基线;并在已确定的任务目标的基础上制定CSF类别的优先列表。来自石油和天然气行业的参与者参加了在线研讨会,并确定了液化天然气行业的九个任务目标。任务目标包括维护安全可靠的操作;确保工厂系统和流程的操作完整性,控制操作和企业安全和访问,以及监控、检测和响应异常行为。它还包括保护环境、定义捕获/保护任务的政策和治理行动、保持合规性、通过建立基线和措施不断优化和维护当前的运营状态;验证和优化供应链。
https://industrialcyber.co/mining-oil-gas/nccoe-publishes-lng-cybersecurity-framework-profile-based-on-prioritized-mission-objectives/
10、谷歌推出保护生成人工智能的框架
生成式AI正在迅速发展,但人们发现恶意使用它的创造性方式也在迅速发展。许多政府正试图加快其监管计划,以降低人工智能滥用的风险。谷歌是生成式人工智能聊天机器人Bard的所有者,也是人工智能研究实验室DeepMind的母公司,于2023年6月8日推出了其安全人工智能框架(SAIF)。SAIF将成为“一个大胆而负责任的 [...] 概念框架,以帮助协作保护AI技术,”谷歌隐私、安全和保障工程副总裁Royal Hansen和谷歌云的首席信息安全官Phil Venables在一篇文章中写道。这项工作建立在谷歌开发网络安全模型的经验之上,例如软件工件协作供应链级别(SLSA)框架和许多组织使用的零信任架构BeyondCorp。具体来说,SAIF是“第一步”,旨在帮助减轻AI系统特有的风险,例如模型被盗、训练数据中毒、通过及时注入进行恶意输入以及在训练数据中提取机密信息。SAIF围绕六个核心原则建立:一是将强大的安全基础扩展到AI生态系统,包括利用默认安全的基础设施保护(例如SQL注入缓解技术);二是扩展检测和响应以将AI带入组织的威胁领域:监控生成AI系统的输入和输出以检测异常并使用威胁情报来预测攻击;三是自动化防御以跟上现有和新威胁的步伐;四是协调平台级控制以确保整个组织的一致安全性,首先是谷歌拥有的Vertex AI和Security AI Workbench,以及Perspective API;五是调整控制以调整缓解措施并为AI部署创建更快的反馈循环,包括基于事件和用户反馈的强化学习、更新训练数据集、微调模型以战略性地响应攻击和红队演习等技术;六是通过进行与组织如何部署AI相关的端到端风险评估,将AI系统风险与周围业务流程相关联。谷歌还致力于帮助制定有关人工智能安全的国际标准,例如美国NIST的人工智能风险管理框架和网络安全框架,以及ISO/IEC 42001人工智能管理体系和ISO /IEC 27001安全管理系统标准。
https://www.infosecurity-magazine.com/news/google-framework-secure-generative/
11、司法部指控两名俄罗斯国民参与历史性的Mt. Gox黑客攻击
美国司法部周五(6月9日)公布了对两名俄罗斯国民的指控,称他们洗钱了大约647,000比特币,这些比特币是十多年前在现已倒闭的加密货币交易所 Mt. Gox遭到黑客攻击时被盗的。43岁的Alexey Bilyuchenko和29岁的Aleksandr Verner据称在2011年未经授权访问了一台存放属于交易所钱包的服务器,并在2017年继续洗钱。当时,Mt. Gox是现存最大的加密货币交易所,处理全球大部分比特币交易。这起价值约4.5亿美元的盗窃案是当时加密货币行业遭受的最大一次盗窃,并导致Mt. Gox在2014年破产。“Alexey Bilyuchenko和Aleksandr Verner认为他们可以通过使用复杂的黑客技术窃取和清洗大量加密货币来超越法律,这在当时是一项新技术,但公开的指控表明我们有能力顽强地追捕这些被指控的罪犯,无论多么复杂他们的计划,直到他们被绳之以法,”美国纽约南区检察官达米安·威廉姆斯(Damian Williams)在一份声明中说。作为洗钱计划的一部分,检察官指控 Bilyuchenko和Verner与纽约南区的一家比特币经纪服务公司签订了一份欺诈性合同,将超过660万美元清算并转移到海外银行账户。检察官指控 Bilyuchenko使用Mt. Gox的收益与俄罗斯国民Alexander Vinnik合谋经营BTC-e,BTC-e是世界上最大的加密货币交易所之一,也是网络犯罪分子的主要洗钱中心。Vinnik于2017年在希腊因与BTC-e有关的21项指控而被捕,据称BTC-e帮助清洗了超过40亿美元的犯罪所得。
https://cyberscoop.com/doj-russian-nationals-mt-gox/
12、针对北非的网络间谍活动使用了Stealth Soldier后门
Check Point Research在北非发现了一系列针对性很强的间谍攻击,并将其与之前不为人知的Stealth Soldier模块化后门联系起来。根据安全研究人员的报告,该活动主要针对利比亚人民,重点是间谍活动和追踪。Stealth Soldier后门包括以下功能:文件外泄;屏幕和麦克风录音;击键记录(键盘记录);从浏览器窃取信息。Check Point Research团队强调,Stealth Soldier基础设施与之前战役(称为“尼罗河之眼”)中使用的基础设施有相似之处。尼罗河之眼行动于2019年以埃及民间社会为目标,但与Stealth Soldier的相似之处表明,攻击者在长期中断后可能会卷土重来。所有版本的Stealth Soldier的执行流程都从引导加载程序的启动开始,该引导加载程序执行感染链。虽然传送引导加载程序的机制目前未知,但专家推测引导加载程序是通过社会工程传送的。在感染过程中,恶意软件总共从C2服务器下载了6个文件。专家们发现了各种版本的后门,其中最新版本于2023年2月交付给目标设备。发现的最旧版本是在2022年10月编译的。值得注意的是,Stealth Soldier的C2服务器连接到一组更大的域,其中一些伪装成属于利比亚外交部的站点,这表明使用网络钓鱼活动对利比亚和埃及目标进行监视和间谍活动。安全研究人员补充说,分析结果强调了采取强有力的网络安全措施来应对有针对性的间谍软件攻击的重要性,尤其是在此类威胁普遍存在的地区。专家们得出结论,鉴于恶意软件的模块化和感染的多阶段使用,网络犯罪分子很可能会在不久的将来继续发展他们的策略并部署新版本的Stealth Soldier。
https://www.securitylab.ru/news/538857.php
13、全新的安全漏洞影响所有MOVEit Transfer版本
在Progress Software修补其 MOVEit Transfer应用程序中一个被广泛利用的零日漏洞几天后,该公司发布了第二个补丁程序以解决安全供应商在本周代码审查期间发现的其他SQL注入漏洞。这些漏洞存在于所有MOVEit Transfer版本中,可能允许未经身份验证的攻击者访问MOVEit Transfer 数据库并修改或窃取其中的数据。新漏洞尚未分配CVE,但很快就会获得。“调查正在进行中,但目前,我们还没有看到这些新发现的漏洞已被利用的迹象,”Progress说。在6月9日的公告中,Progress敦促客户立即安装新补丁,理由是威胁行为者有可能在更多攻击中利用这些漏洞。“这些新发现的漏洞与之前报告的2023年5月31日共享的漏洞不同,” Progress说。“所有MOVEit Transfer客户都必须应用2023年6月9日发布的新补丁。”Progress Software的新补丁发布之际,有报道称Cl0p勒索软件组织广泛利用MOVEit Transfer中的一个单独的零日漏洞 ( CVE-2023-34362 )。该威胁组织大约在两年前发现了这个漏洞,并一直在利用它从全球数千家组织中窃取数据。已知的受害者包括BBC、英国航空公司和新斯科舍省政府。美国网络安全和基础设施安全局(CISA) 已警告组织未来可能产生广泛影响。目前,尚未观察到围绕这个全新SQL注入漏洞的任何新利用——但必须警惕这种情况可能很快就会改变。
https://www.darkreading.com/vulnerabilities-threats/brand-new-security-bugs-affect-all-moveit-transfer-versions
14、BlackCat黑客解密了Google和Meta与情报机构的合作
ALPHV/BlackCat勒索软件团伙声称,对Casepoint合法平台的入侵证明了谷歌和Meta与情报机构的合作,并泄露了有关将工人偷渡到美国的绝密信息。在他们的泄漏站点上,网络犯罪分子声称窃取 2TB的敏感Casepoint数据,包括公司数据、律师文件和其他敏感信息。攻击者还提到,他们可以访问以色列数字取证公司Cellebrite 产品的内部运作。执法部门使用Cellebrite通用取证提取设备(UFED)工具从移动设备中提取数据。黑客网站上的消息首先被威胁情报平台FalconFeedsio注意到,正如它在其 Twitter上报道的那样。网络犯罪分子声称已经获得了“盛开的洋葱行动”的数据,这是一项由许多美国执法机构进行的人口贩运调查,揭示了农业组织如何将外国工人偷运到美国。ALPHV/BlackCat称,对被盗数据的分析还揭示了员工使用的加密硬盘。据攻击者称,安全设备使用不安全,Casepoint员工可以将解密的磁盘留在计算机上数天甚至数周。据称,该组织收到了极其敏感的数据,例如特工和主管的姓名,以及与洋葱开花行动相关的交易照片”。Casepoint没有回应关于Casepoint员工是否曾使用加密硬盘驱动器传输数据的评论请求。
https://www.securitylab.ru/news/538865.php
THE END
往期推荐
1. 5th域微讯晨报-Vol-2023-134
3. 5th域微讯晨报-Vol-2023-136
4. 5th域微讯晨报-Vol-2023-137
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement