20230613-5th域安全微讯早报-NO.140

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年6月13日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-140 星期二

今日热点导读

1、美国OMB发布了有关联邦机构从软件供应商处获得安全保证的新指南

2、瑞士担心政府数据在网络攻击中被盗3、乌克兰警方突击搜查被指控进行亲俄宣传的社交媒体机器人农场
4、英国通信监管机构Ofcom的机密数据在网络攻击中被下载5、对德国HS Kaiserslautern大学的网络攻击使“整个IT基础设施”脱机6、攻击者大规模伪造Visual Studio扩展的数字签名7、BatCloak恶意软件混淆引擎击败了80%的防病毒软件8、微软披露了新兴威胁组织Storm-1167的多阶段网络攻击9、阿根廷国家证券委员会(CNV)遭遇Medusa勒索攻击10、研究人员发现了Nvidia人工智能软件中的一个潜在漏洞可导致敏感信息泄露11、美国和英国已达成协议建立“数据桥梁”以实现两国的数据自由流动12、CISA局长指出政府的“购买力”是一种强制安全软件开发的工具13、Have I Been Pwned警告新的Zacks数据泄露影响800万客户14、伊朗军方声称成功开发第一个量子处理算法产品

资讯详情

1、美国OMB发布了有关联邦机构从软件供应商处获得安全保证的新指南

美国管理和预算办公室(OMB)发布了关于联邦机构何时以及如何从软件供应商处收集安全保证的新指南。基于拜登总统于2021年5月签署的网络安全行政命令，OMB去年发布了一份备忘录(M-22-18)，要求联邦机构从软件供应商处获得其提供的软件安全的保证。根据M-22-18，联邦机构必须为2022年 9月14日之后开发的所有软件获得证明，而且对于在该日期之前发布的软件，如果它收到重大更新或如果它被用作服务并收到不断更新。至少，此类保证应以自我证明的形式提供，但机构可能还需要软件材料清单(SBOM)和其他工件，或者可能要求供应商运行漏洞披露程序。联邦机构还需要清点所有受这些要求约束的软件，与供应商建立沟通渠道，并获得必要的证明。在周五（9日）发布的一份新备忘录(M-23-16)中，OMB强化了之前的要求并延长了机构获得证明的时间表。以前，联邦机构需要在270天内获得关键软件的认证，其他软件则需要在一年内获得认证。根据M-23-16，关键软件的证明应在网络安全和基础设施安全局(CISA)的M-22-18证明通用表格获得OMB根据《减少文书工作法》(PRA)批准后的三个月内获得。所有其他软件的证明应在OMB批准通用表格后的六个月内获得。在新的备忘录中，OMB明确表示联邦机构不需要获得第三方软件组件的证明，他们应该评估使用专有但免费获得和公开可用的软件（例如网络浏览器）的风险，并且该证明甚至对于由承包商代表该机构部署、配置或修改的软件也是必需的。

https://www.securityweek.com/us-government-provides-guidance-on-software-security-guarantee-requirements/

2、瑞士担心政府数据在网络攻击中被盗

瑞士8日表示，政府运营数据可能在针对为多个部门提供软件的技术公司的网络攻击中被盗。“瑞士政府软件供应商Xplain一直是勒索软件攻击的受害者。在被盗数据被加密并勒索公司后，攻击者将部分被盗数据发布在暗网上，”政府在一份声明中说。“与最初的调查结果相反，并且在最近的深入澄清之后……看来联邦政府的运营数据也可能受到影响。“深入分析仍在进行中。”瑞士军队和海关部门是Xplain的客户之一，Xplain为专门从事国土安全的机构提供软件。政府表示不相信Xplain系统可以直接访问联邦行政系统。Xplain指责Play勒索软件组织是此次攻击的幕后黑手。“我们没有与Play组织取得任何联系，我们也不会支付赎金，”Xplain的主管安德烈亚斯·洛温格(Andreas Loewinger) 周六（10日）告诉法新社。Xplain已通知瑞士国家网络安全中心和伯尔尼警方。与其他国家一样，针对公司、政府甚至大学的网络攻击在瑞士呈上升趋势。最近，两家媒体机构CHMedia 和NZZ成为了Play的攻击目标。

https://www.securityweek.com/swiss-fear-government-data-stolen-in-cyberattack/

3、乌克兰警方突击搜查被指控进行亲俄宣传的社交媒体机器人农场

乌克兰的网络警察关闭了一个机器人农场，该机器人农场据称在社交媒体上传播虚假信息，试图影响公众对俄罗斯在乌克兰的战争的看法。官方周一（12日）宣布，机器人农场管理员管理着4,000多个假装属于乌克兰公民的欺诈账户。警方表示，这些账户被用来“批评乌克兰武装部队，为俄罗斯入侵乌克兰辩护，并在该国制造政治紧张局势”。据称，参与经营机器人农场的人正在接受俄罗斯卢布的付款，这是乌克兰禁止使用的货币。总而言之，他们每月的收入约为13,500美元。为了将卢布转换成可用资金，犯罪者使用WebMoney和PerfectMoney等受制裁的支付系统将资金转换成加密货币并将其转移到银行卡上。乌克兰执法部门拘留了来自乌克兰中西部文尼察地区的三名嫌疑人。据称，他们每天在各种社交网络、电子商务平台和消息应用程序上注册大约500个虚假账户。如果罪名成立，他们最高可被判处15年监禁。该农场位于一个废弃的车库中。在搜查过程中，执法人员没收了计算机、手机、乌克兰和欧洲移动运营商提供的3,300多张SIM卡，以及用于接收俄罗斯客户付款的银行卡。这次逮捕突显了战争期间自动账户是如何被用来传播宣传和制造恐慌的。12月初，网络警察没收了超过100,000张SIM 卡，这些卡用于注册在各种社交媒体网站上传播亲俄言论的机器人账户。根据乌克兰刑法，未经授权干扰信息和电子通信网络的运作被视为犯罪，并会被判入狱。

https://therecord.media/ukraine-police-raid-social-media-bot-farm

4、英国通信监管机构Ofcom的机密数据在网络攻击中被下载

英国通信监管机构Ofcom周一（12日）宣布，黑客利用MOVEit文件传输工具中的漏洞下载了其所监管公司的机密信息。Ofcom的一位发言人告诉The Record，该监管机构是“受MOVEit网络攻击影响的众多组织之一”，这可能影响了全球数百个组织。“我们监管的某些公司的有限信息——其中一些是机密的——以及412名 Ofcom员工的个人数据在攻击期间被下载，”发言人说。微软最初警告勒索软件组织Clop是企图利用MOVEit的幕后黑手，上周发布了一份勒索通知，声称它利用该漏洞攻击了“数百家”企业。他警告说，这些受害者需要主动联系该团伙协商赎金，否则他们将在6月14日在该团伙的勒索网站上被点名。独立于Clop的说法，目前尚不清楚全球有多少公司受到黑客攻击活动的影响。上周四（8日），安全研究人员发现了2000多个暴露在公共互联网上的工具实例，其中大部分在美国。有128个来自英国的MOVEit Transfer实例暴露在互联网上，尽管受事件影响的公司数量可能要多得多。一家名为Zellis的薪资服务提供商的公司使用该工具的危害已经被指责为黑客危害了至少四家在英国和爱尔兰经营的企业，包括BBC、英国航空公司、Boots和Aer Lingus。Ofcom的发言人表示，监管机构“非常重视”商业机密和敏感个人信息的安全。“我们立即采取行动，防止进一步使用MOVEit服务，并实施建议的安全措施。我们还迅速向所有受影响的Ofcom监管公司发出警报，我们将继续为我们的同事提供支持和帮助，”该发言人补充道。开发流行的MOVEit工具的软件公司Progress上周宣布了影响该软件的另一个新漏洞，此前有更多的漏洞公告是由于该程序的问题造成的。

https://therecord.media/ofcom-cyberattack-uk-regulator-moveit-vulnerability

5、对德国HS Kaiserslautern大学的网络攻击使“整个IT基础设施”脱机

凯泽斯劳滕应用科学大学(HS Kaiserslautern)已成为最新一所遭受勒索软件攻击的德语大学，近几个月发生了至少六家类似机构的事件。该事件于周五（9日）得到证实，该大学使用紧急网站宣布其“整个IT基础设施”已离线，包括大学电子邮件帐户和电话系统。该机构6,200多名学生可以使用的几乎所有设施和服务都受到了影响。该大学表示，计算机池甚至图书馆将“保持关闭，直至另行通知”。学生和员工也被警告不要打开他们的任何工作计算机：“由于这是一种加密攻击，员工工作场所的工作站也可能受到影响，”HS Kaiserslautern网站警告说。目前尚不清楚肇事者是谁，也不清楚信息是否是在黑客试图加密之前从大学系统中窃取的，作为多方面勒索企图的一部分。HS Kaiserslautern是德国西部莱茵兰-普法尔茨州最大的应用科学大学之一，也是最近几个月成为网络犯罪分子目标的最新一所专注于应用科学的德语大学。3月，Vice Society勒索软件组织将汉堡应用科学大学 (HAW Hamburg) 添加到其泄漏站点，该机构表示去年年底发生了一次攻击。2月，瑞士最大的大学苏黎世大学宣布它成为“严重网络攻击”的目标，一位发言人向The Record 这是“当前针对教育和卫生机构的攻击的一部分”。一周前，位于萨克森-安哈尔特州的哈尔茨应用科学大学、西鲁尔大学和EU/FH 欧洲应用科学大学都宣布受到网络攻击的影响。早在1月份，Vice Society勒索软件组织就声称对2022年11月针对德国杜伊斯堡-埃森大学的攻击负责。

https://therecord.media/ransomware-attack-kaiserslautern-university-applied-sciences-germany

6、攻击者大规模伪造Visual Studio扩展的数字签名

Varonis网络安全研究人员在Microsoft Visual Studio的扩展安装程序中发现了一个“易于利用”的漏洞，攻击者可以利用该漏洞伪造发布者的数字签名并分发恶意扩展。Microsoft Visual Studio是适用于Windows上的.NET和C++开发人员的集成开发环境。它包括编译器、代码完成工具、图形编辑器和许多其他改进软件开发过程的功能。“攻击者可以冒充流行的发布者并发布恶意扩展来破坏目标系统。恶意扩展可用于窃取机密信息、秘密访问和更改代码，或完全控制系统，”Varonis研究员Dolev Thaler解释道。该漏洞被识别为CVE-2023-28299（CVSS评分：5.5），并在2023年 4月作为月度安全更新的一部分被微软修复，但仍被用于攻击。该公司将该漏洞描述为“欺骗”，但没有提供更多细节。Varonis研究人员已经确定该漏洞与Visual Studio用户界面有关。一个视觉错误允许您伪造发布者的数字签名。通过将Visual Studio扩展(VSIX)包作为ZIP文件打开，在扩展的产品名称属性中输入任何信息。事实证明，当向“extension.vsixmanifest”文件添加足够数量的换行符，以及在“数字签名”列中指定假文本时，开发人员将无法再看到有关缺席的通知的合法数字签名，因此他将信任并安装恶意扩展。在假设的攻击场景中，攻击者可以发送一封带有伪装成合法软件更新的伪造 VSIX 扩展的网络钓鱼电子邮件，一旦安装，就可以访问目标计算机。然后，未经授权的访问可以用作对受害者的系统和网络进行更深入控制的起点，以促进进一步窃取敏感信息。

https://www.securitylab.ru/news/538924.php

7、BatCloak恶意软件混淆引擎击败了80%的防病毒软件

趋势科技研究人员在最近的一份报告中指出，自2022年9月以来，攻击者一直在积极使用一种名为BatCloak的恶意软件混淆引擎，该引擎允许网络犯罪分子有效地从防病毒解决方案中隐藏恶意代码。据专家介绍，使用BatCloak，攻击者可以通过高度混淆的批处理文件轻松下载不同系列的恶意软件和漏洞。在研究人员发现的784个恶意软件中，几乎80%都没有被VirusTotal的任何防病毒引擎检测到。BatCloak是名为Jlaive的批处理文件构建工具的基础，它可以绕过反恶意软件扫描接口(AMSI)并压缩和加密主要有效负载以提高规避级别。Jlaive工具于2022年9月由化名ch2sh的开发者发布在GitHub和GitLab上，名称为“EXE to BAT crypter”。它已被复制、修改并移植到其他编程语言。最终的有效载荷是一个“三层加载器”——一个C#加载器、一个PowerShell加载器和一个批处理加载器。后者作为解码和解包每个阶段的起点，并最终启动隐藏的病毒。BatCloak自首次出现在野外(ITW)以来，已经出现了许多更新和改编。它的最新版本称为ScrubCrypt，在调查8220团伙的加密劫持操作期间被Fortinet专家隔离。ScrubCrypt开发人员做出的从开放框架转向封闭框架的决定，可以用Jlaive等先前项目的成就，以及希望通过项目获利并保护其免受未经授权的复制来解释， ”趋势科技专家建议道。此外，ScrubCrypt旨在与各种知名恶意软件系列兼容，例如Amadey、AsyncRAT、DarkCrystal RAT、Pure Miner、Quasar RAT、RedLine Stealer、Remcos RAT、SmokeLoader、VenomRAT和Warzone RAT。“BatCloak的演变突出了该引擎的灵活性和适应性，突出了批处理文件FUD混淆器的发演化，”研究人员总结道。

https://www.securitylab.ru/news/538920.php

8、微软披露了新兴威胁组织Storm-1167的多阶段网络攻击

Microsoft专家检测到针对银行和金融机构的多阶段中间对手（AiTM攻击）和企业电子邮件泄露(BEC)网络钓鱼攻击。微软将这次攻击归因于一个被追踪为 Storm-1167的新兴组织。攻击链始于一封网络钓鱼电子邮件，其中包含指向虚假Microsoft登录页面的链接。该页面旨在强制访问者输入他们的凭据和双因素身份验证(2FA)代码。然后，攻击者使用窃取的凭据和会话cookie通过重放攻击访问受害者的邮箱。窃取的数据还用于执行BEC攻击。Microsoft专家发现，网络犯罪分子首先破坏了与目标公司合作的受信任供应商，然后对多个组织进行AiTM攻击和后续的商业电子邮件妥协(BEC)攻击。在活动期间，攻击者在目标用户和用户从钓鱼邮件重定向到的钓鱼网站之间设置代理服务器。代理服务器允许攻击者访问流量并拦截密码和会话 cookie。当使用窃取的cookie登录时，诈骗者使用多重身份验证(MFA)策略来限制更新MFA身份验证方法而不提示身份验证。作为网络钓鱼活动第二阶段的一部分，黑客随后向受害者的联系人发送了16,000多封电子邮件，获得了更多潜在受害者和用户的个人数据。微软表示，受影响的组织应该撤销会话cookie并撤销攻击者在MFA 过程中所做的更改。

https://www.securitylab.ru/news/538912.php

9、阿根廷国家证券委员会(CNV)遭遇Medusa勒索攻击

阿根廷国家证券委员会(CNV)成为网络攻击的受害者，据称是美杜莎集团发起的。黑客要求在一周内支付500,000美元的赎金，并威胁要泄露1.5TB的 CNV文件和数据库。据报道，机密文件和记录有被泄露的风险，可能会动摇阿根廷的金融市场。CNV尚未发布有关黑客攻击的官方声明。该事件标志着美杜莎不断增长的网络攻击列表中的又一次重大攻击。值得注意的是，一个勒索软件组织最近声称对澳大利亚一家主要癌症中心的袭击负责，在此期间，黑客索要10万美元的赎金。Medusa是在线发布Microsoft Bing和Cortana源代码的组织。据专家称，泄露的数据量约为12GB，是Lapsus组织在 2022年窃取的37GB数据的一部分。微软没有对泄密事件发表任何评论，因此黑客言论的真实性还没有得到证实。

https://www.securitylab.ru/news/538918.php

10、研究人员发现了Nvidia人工智能软件中的一个潜在漏洞可导致敏感信息泄露

Nvidia开发了“NeMo 框架”，该系统旨在与作为聊天机器人等AI产品基础的大型语言模型一起工作。企业使用该系统将他们自己的公司数据与语言模型相结合以提供问题的答案，从而取代服务台代表的工作或提供简单的医疗保健建议。然而，总部位于旧金山的Robust Intelligence的研究人员发现，为安全使用人工智能而实施的安全限制很容易被规避。在使用Nvidia的系统分析数据数小时后，他们发现了这一点。在一项实验中，研究人员能够强制Nvidia的系统将字母“I”替换为“J”，这导致了数据库中个人身份信息的泄露。研究人员发现，他们可以通过其他方式绕过安全限制，例如让模型偏离它不应该偏离的地方。通过呼应Nvidia狭义讨论就业报告的例子，他们能够将该模型转化为好莱坞电影明星的健康状况和普法战争等话题——尽管有一些禁忌旨在防止AI逃避特定话题。研究人员轻松规避安全措施凸显了AI公司在尝试将近年来从硅谷涌现的最有前途的技术之一商业化时所面临的挑战。研究人员建议他们的客户避免使用Nvidia产品。Nvidia表示，它已经解决了分析师提到的问题的根本原因之一。

https://www.securitylab.ru/news/538927.php

11、美国和英国已达成协议建立“数据桥梁”以实现两国的数据自由流动

美国和英国已达成协议，建立“数据桥梁”，以实现两个地区之间的数据自由流动。“原则上的承诺”代表英国对欧盟和美国于2022年达成的数据隐私框架的扩展。这意味着获准加入该框架的美国公司将能够接收英国的个人数据。初步的数据隐私框架旨在修改美国和欧盟之间之前的隐私保护协议，该协议在2020年的Schrems II案中根据GDPR规则被裁定为非法。根据英国政府的一份声明，新的英美协议是在两国政府进行了两年的技术讨论之后，进一步的工作将在未来几个月内完成，“然后才能最终决定是否建立数据桥”。双方强调，该安排旨在促进经济增长并促进科学研究等领域的创新。英国科学、创新和技术大臣克洛伊·史密斯评论说：“数据桥不仅为国家间个人数据的安全传输提供了更简单的途径，而且还为各种规模的企业消除了繁文缛节，使他们能够进入新市场。“国际合作是我们实现科技超级大国雄心的关键，与美国等全球伙伴合作确保我们能够开辟新的机会来发展我们的创新经济，”她补充说。白宫在一份声明中说：“数据的可信和安全跨境流动是进一步创新努力的基础。为此，我们原则上承诺建立一个美英数据桥，以促进我们两国之间的数据流动，同时确保强有力和有效的隐私保护。我们正在努力尽快完成各自的评估，以实施该框架。”Hunton Andrews Kurth的合伙人Sarah Pearce在评论这一消息时说：“这是一个非常受欢迎的消息：它不仅促进了从英国到美国的转移，而且还表明英国和欧盟的立场一致。尊重向美国传输数据。“这个想法是，获准加入该框架的美国公司将能够接收个人数据，而无需当前所需的额外合同条款，”Pearce补充道。在品诚梅森律师事务所的一篇博文中，高级业务发展律师Rosie Nance对这一声明表示欢迎，并指出延长欧盟-美国协议的方法而不是单独的安排“可能是达成政治协议的最顺利方法”她补充说：“这也是最不可能对英国自身的欧盟充分地位造成问题的，因为英国的做法可能会与欧盟的做法保持一致。”

https://www.infosecurity-magazine.com/news/uk-us-deal-personal-data/

12、CISA局长指出政府的“购买力”是一种强制安全软件开发的工具

美国政府是世界上最大的商品和服务购买者。网络安全和基础设施安全局局长Jen Easterly认为，“购买力”可以用作一种工具，使科技行业转向开发更安全、更透明的软件。在讨论CISA最近向软件供应商发布的关于开发“设计安全和默认安全”代码的指南时，Easterly周一（12日）在华盛顿特区阿斯彭研究所的一次谈话中表示，“政府可以在激励和推动私营公司方面发挥重要作用”通过与那些做生意的人做生意来运用这些原则。“我认为，这将有助于推动很大一部分市场开始创造漏洞越来越少的产品，”伊斯特利说，他指的是拜登总统从2021年起发布的第14028号网络安全行政命令，该命令同样呼吁政府以其购买力引领市场转变。她说，那个EO“谈了很多关于如何利用政府的购买力来推动供应商创造更安全的产品，并确保你有内置的标准。”“我们正在经历联邦采购监管程序，这是非常拜占庭式和非常官僚主义的，但希望我们能做到这一点，”Easterly在谈到制定规则时说，这些规则可能要求联邦机构从拥有安全软件的供应商处购买-设计和-默认。CISA与白宫合作，目前正在接受对管理和预算办公室规则的评论，该规则将要求软件公司提供自我证明表格，说明他们已遵守“联邦政府指定的安全软件开发美国国家标准与技术研究院的安全软件开发框架中规定的实践”。Easterly解释说，将软件行业转变为对风险更加透明的转变并非易事，因为“我们正在处理数十年来错位的激励措施。”CISA呼吁供应商完全透明，并实际发布有关其产品安全性的信息。

https://fedscoop.com/cisas-easterly-points-to-governments-purchasing-power-as-a-tool-to-force-safer-software-development/

13、Have I Been Pwned警告新的Zacks数据泄露影响800万客户

据报道，Zacks Investment Research (Zacks)遭受了一次较早的、以前未公开的数据泄露，影响了880万客户，该数据库现在在黑客论坛上共享。该公司此前披露了一起发生在2021年11月至2022年8月之间的数据泄露事件，警告称未经授权的网络入侵者访问了约820,000名客户的个人和敏感信息。“我们没有理由相信任何客户信用卡信息、任何其他客户财务信息或任何其他客户个人信息都被访问过，” Zacks当时的通知提到。然而，数据泄露通知服务Have I Been Pwned (HIBP)在收到包含880万条用户记录的数据库后，本周末列出了另一个Zacks漏洞。HIBP的创建者Troy Hunt告诉 BleepingComputer，该数据库似乎在2020年5月10日左右被丢弃，早于Zacks的上一次违规。该数据库包含Zacks客户的电子邮件地址、用户名、未加验的SHA256密码、地址、电话号码、名字和姓氏以及其他数据。转储中不包括信用卡和银行账户详细信息等财务信息，而且黑客似乎也没有访问过此类数据。不幸的是，Zacks此前曾针对1月份披露的违规行为启动了密码重置程序，但可以假设，其余90%未被识别的违规账户未包括在该措施中，使他们面临账户劫持风险、凭据填充和SIM交换。虽然Zacks没有回应BleepingComputer的问题，但Hunt告诉我们Zacks计划通知受影响的用户，但没有确定何时完成。Have I Been Pwned用户现在可以在网站上输入他们的电子邮件地址，如果在新泄露的Zacks数据中发现它，就会收到通知。

https://www.bleepingcomputer.com/news/security/have-i-been-pwned-warns-of-new-zacks-data-breach-impacting-8-million/

14、伊朗军方声称成功开发第一个量子处理算法产品

伊朗军方表示，它已经从位于诺夫沙拉的伊玛目霍梅尼海军大学开发出“第一个量子处理算法产品”。在大学的一个仪式上，展示了一个密封在玻璃下的电子模块。原来是一块普通的开发板，网上很容易买到，600美元左右。据伊朗军方称，该计算机将帮助伊朗使用算法检测水面的干扰。伊朗海军少将Habibollah Sayyari在仪式上展示了该板，并介绍了伊朗在量子技术方面的最新进展。然而，所述量子设备竟然是Diligent公司生产的开发板。“ZedBoard”这个名字在照片中清晰可见。ZedBoard拥有新手开发人员开始使用Android、Linux和Windows所需的一切。该板没有构成量子计算机的任何高级量子位，专为“视频处理、可重构计算、电机控制、软件加速”等任务而设计。“我敢肯定，该板可能非常适合具有更高级 [现场可编程门阵列] 经验的人，可以说它也是适合初学者的好板，”Diligent网站上的一篇评论写道。对该板感兴趣的人可以在亚马逊上以589美元的价格购买。用于定位船只和在海上航行的量子设备确实存在。最近，皇家海军测试了这样一种使用超冷原子作为加速度计的装置。这与伊朗提出的完全不同。伊朗不太可能使用标准开发板来构建量子算法。真正的量子设备是实验硬件，看起来不像您可能在家用计算机中找到的电路板，尽管研究人员报告说能够在经典计算机上模拟某些量子过程。即使伊朗口头上声称该设备是使用量子算法创建的，但实际上它们可能没有用。归根结底，它仍然是任何人都可以购买的ZedBoard，并且没有明显的修改。这不是伊朗第一次展示来源不准确的技术。2020年，伊朗军队推出了一种他们说可以检测COVID 和AIDS的设备。该设备类似于之前作为流氓设备销售的另一种设备，声称能够检测炸弹。