20230614-5th域安全微讯早报-NO.141

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年6月14日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-141 星期三

今日热点导读

1、CISA命令联邦机构保护暴露在互联网上的网络设备2、两党法案旨在加强农村供水系统以抵御网络攻击3、瑞士和美国加强网络安全和技术合作4、法国指责俄罗斯人冒充法国政府和媒体散布虚假信息5、南非国有银行确认“Akira”勒索软件攻击6、研究人员报告首例自动化SaaS勒索软件勒索事件7、Nature已正式禁止在发表的文章中使用生成的图像和视频8、BlackCat Group攻击十字转门制造商并泄露NATO和Aibaba数据9、新的DoubleFinger下载器在PNG文件中隐藏了GreetingGhoul窃取器10、以色列军队打算显着加强人工智能在反击敌人攻击中的作用11、研究表明CosmicEnergy恶意软件不是对ICS的“直接威胁”12、ALPHV/BlackCat勒索软件组织声称对澳大利亚FIIG证券的网络攻击负责13、俄联邦通过法律将允许没收因网络犯罪而获得的金钱和财产14、360公司发现了一个与“三角行动”相关的新APT-C-63活动

资讯详情

1、CISA命令联邦机构保护暴露在互联网上的网络设备

CISA在今年发布了第一个具有约束力的操作指令(BOD)，命令联邦民间机构在发现后14天内保护配置错误或暴露在互联网上的网络设备。网络安全机构的约束性操作指令23-02适用于具有暴露于Internet的管理接口（例如，路由器、防火墙、代理和负载平衡器）的联网设备，这些接口授予授权用户执行网络管理职责所需的访问权限。“该指令要求联邦民用行政部门(FCEB)机构采取措施减少由某些类别设备的不安全或配置错误的管理界面造成的攻击面，”CISA说。该机构补充说：“各机构必须做好准备，将已识别的网络管理接口从互联网中移除，或使用实施与接口本身分开的策略执行点的零信任功能来保护它们。”如BOD 23-02中所述，联邦机构有14天的时间从收到CISA的通知或独立发现属于该指令范围内的网络管理界面来采取以下行动之一：一是限制对网络设备与内部网络接口的访问，CISA建议使用隔离的管理网络；二是实施零信任措施，通过与接口本身分开的策略实施点（首选操作过程）来实施对接口的访问控制。CISA表示，它将进行扫描以识别属于该指令范围内的设备和接口，并将其调查结果通知相关机构。为了促进补救过程，CISA将在需要或要求时向联邦机构提供技术专长，以审查特定设备的状态并提供有关保护设备的指导。

https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-secure-internet-exposed-network-devices/

2、两党法案旨在加强农村供水系统以抵御网络攻击

新的两党立法已提交美国众议院，重点保护农村社区免受网络攻击，这些攻击有可能切断爱荷华州、商业实体和农场的供水。该计划更新并扩展了美国农业部(USDA)的Circuit Rider计划，以包括针对农村供水系统的强大网络培训和技术专长。这将为国家农村供水和废水循环骑手计划提供网络安全技术援助。由Zach Nunn和Don Davis提出的题为“2023年农村供水系统网络安全法案”的法案指示美国农业部扩大Circuit Rider Program以提供技术网络安全援助，并授权资金雇用额外的50名网络安全骑手。这些专家将提供关键服务，以确保农村供水系统免受网络威胁，协助小型水务公司制定行动计划以保护和防止网络攻击，并制定和报告全美农村供水系统的网络安全。美国农业部和全国农村供水协会(NRWA)于1980年启动了巡回骑手计划，为农村供水系统提供培训和技术援助；目前，只有不到150名巡回骑手为49个州农村供水协会服务，其中包括波多黎各，只有四名巡回骑手为爱荷华州服务。此外，电路骑手没有能力提供特定于网络安全的支持来帮助小型供水和污水处理组织加强防御。该法案的条款概述了它应包括为服务人数少于10,000人的农村供水系统提供网络安全技术援助，以评估系统在抵御网络威胁方面的有效性；实施网络安全计划、程序和技术以防范网络威胁。CISA报告称，该国80%的地区由153,000个公共饮用水系统和16,000个公有污水处理系统提供服务。目前，只有20%的供水系统具有基本级别的网络保护。

https://industrialcyber.co/regulation-standards-and-compliance/bipartisan-bill-to-fortify-rural-water-systems-against-cyber-attacks-introduced/

3、瑞士和美国加强网络安全和技术合作

由Benedikt Wechsler率领的瑞士代表团由来自各部门的代表组成，与美国同行就推进双边合作以及促进网络和数字空间的安全与稳定进行了讨论。在对话期间，双方代表团确定了中期应加强合作的众多领域。值得注意的主题包括打击勒索软件攻击和维护互联网自由。讨论还包括在瑞士和美国牵头的多边机构和双边倡议中的承诺与合作。与数字商务相关的问题将继续通过瑞士-美国联合经济委员会解决。该代表团包括联邦外交部(FDFA)成员、联邦通信办公室、国家网络安全中心、FEDPOL以及联邦国防部、民防和体育部。在美国方面，代表团由多个机构的代表组成，以国务院于2022年成立的网络空间和数字政策局为首。广泛的利益相关者的参与反映了问题的多维性。瑞士政府于2022年4月宣布，计划在未来几年投资24亿瑞士法郎（26 亿美元）用于网络能力建设，包括培训7,000名民兵士兵以满足其当前需求。根据GlobalData的瑞士国防市场2022-2027报告，瑞士成为北约合作网络防御卓越中心的成员，该中心为瑞士军方提供了获得更多能力以及研究和培训机会的机会。随着数字化继续影响日常生活的各个方面，瑞士在实施其数字外交政策战略时优先考虑部门间和国际合作。随着瑞士和美国加强在网络安全和数字技术方面的对话与合作，他们仍然致力于自由、开放和安全的数字空间。这些双边努力旨在应对新出现的挑战，促进国际法的遵守，并确保关键数字基础设施的保护和稳定。

https://www.airforce-technology.com/news/switzerland-and-us-strengthen-co-operation-in-cybersecurity-and-tech/

4、法国指责俄罗斯人冒充法国政府和媒体散布虚假信息

法国官员周二（6月13日）指责俄罗斯演员在俄罗斯国家实体的协助下发起了“针对法国的数字信息操纵运动”。当局表示，他们已经监控了一年多的这场运动，涉及创建冒充法国政府部门和国家媒体机构的虚假网站，以及虚假的社交媒体账户。法国外交部指责俄罗斯大使馆和文化中心“积极参与扩大这场运动”。该部表示，俄罗斯正在破坏“和平民主辩论的条件，从而破坏我们的民主制度”。法国针对外国数字干扰的警戒和保护服务局（也称为VIGINUM）详细介绍了该活动，该机构成立于2021年7月。它涉及广泛使用域名仿冒来冒充合法网站域以及创建新媒体网站。这似乎是Meta去年确定的一项行动的一部分，其中俄罗斯行为者还冒充了其他西方新闻媒体，包括卫报和明镜周刊，以及意大利的ANSA通讯社。VIGINUM隶属于法国国防和国家安全总秘书处(SGDSN)。其在SGDSN网站上发布的关于影响行动的官方报告警告说，该运动试图推动一些旨在破坏法国对乌克兰支持的虚假叙述。这些叙述表明，针对俄罗斯的制裁对欧洲国家无效且有害；西方国家是俄罗斯恐惧症；乌克兰武装部队野蛮并与新纳粹分子有联系；并且欢迎乌克兰难民对东道国产生了负面影响。该活动冒充法国最受欢迎的四家日报——《20分钟》、《世界报》、《巴黎人报》和《费加罗报》——在虚假网站上发表“至少58篇文章”来宣传这些虚假叙述。在Meta揭露的一则假新闻故事中，俄罗斯行为者根据《卫报》关于乌克兰城市布查屠杀平民的原始报道报道称，乌克兰策划了这场屠杀。联合国人权事务高级专员记录了俄罗斯武装部队对布哈平民的大规模屠杀。

https://therecord.media/france-accuses-russians-of-impersonating-french-government-media-misinformation

5、南非国有银行确认“Akira”勒索软件攻击

南部非洲开发银行周一（12日）表示，它遭到勒索软件攻击，并补充说服务器、日志文件和文件上个月被Akira团伙加密。这家国有银行在一份声明中表示，攻击始于5月21日左右，该团伙威胁说，如果不支付未披露的赎金，他们将公布窃取的信息。该银行是一家发展金融机构，投资于基础设施项目和教育工作。它的年净收入约为1.22亿美元，拥有600多名员工。“在得知该事件后，DBSA立即进行了调查，并确定“包括公司名称、董事和股东姓名、地址、身份证明文件以及包括电话号码和电子邮件地址在内的联系信息”的信息可能已被非法访问或被威胁行为者收购，”该银行表示。许多文件还包含与DBSA的商业或雇佣关系的详细信息以及利益相关者的财务信息。该银行正在对该事件进行调查，但它警告称，黑客可能“试图使用泄露的个人信息冒充利益相关者”。南非新闻机构DispatchLive报道称，该银行周一向所有员工发送了一封电子邮件，确认员工信息与数据泄露有关。几个南非执法机构和监管机构参与了调查，该银行聘请了一名取证调查员来监控暗网上出现的泄露信息。它说，自攻击发生以来，该公司已经能够恢复其 IT环境并从其系统中删除勒索软件组。该银行表示，发出赎金的Akira勒索软件团伙位于俄罗斯。自3月份出现以来，该团伙袭击了数十家企业和学校，索要20万至数百万美元的赎金。如果攻击涉及数据盗窃（而非加密），Akira还向受害者提供较低的赎金。

https://therecord.media/development-bank-of-southern-africa-akira-ransomware-attack

6、研究人员报告首例自动化SaaS勒索软件勒索事件

0mega勒索软件组已成功发起针对公司SharePoint Online环境的勒索攻击，而无需使用受感染的端点，而这正是这些攻击通常展开的方式。相反，威胁组织似乎使用了一个安全性较弱的管理员帐户来渗透未具名公司的环境、提升权限，并最终从受害者的SharePoint库中泄露敏感数据。这些数据被用来勒索受害者支付赎金。可能是同类攻击中的第一个。此类攻击值得关注，因为大多数企业应对勒索软件威胁的努力都倾向于关注端点保护机制，发现此次攻击的安全公司Obsidian的联合创始人兼首席产品官Glenn Chisholm说。“公司一直在尝试完全通过端点安全投资来防止或减轻勒索软件组攻击，”Chisholm说。“这次攻击表明端点安全性还不够，因为许多公司现在都在SaaS应用程序中存储和访问数据。”Obsidian观察到的攻击始于0mega组织参与者获取属于受害组织的Microsoft全球管理员之一的安全性较差的服务帐户凭证。被破坏的帐户不仅可以从公共Internet访问，而且也没有启用多因素身份验证(MFA)——大多数安全专家认为这是基本的安全必需品，尤其是对于特权帐户。在Obsidian分析的攻击中，0mega威胁行为者使用受损的管理员凭据在两小时内删除了大约200个管理员帐户。凭借自行分配的权限，威胁行为者随后从该组织的SharePoint Online库中获取了数百个文件，并将它们发送到与俄罗斯一家Web托管公司相关联的虚拟专用服务器(VPS)主机。据称这种无须攻陷端点的方法，是第一个公开记录的自动化SaaS 勒索软件勒索事件案例。

https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion

7、Nature已正式禁止在发表的文章中使用生成的图像和视频

上周三，6月7日，《自然》杂志正式宣布将不会发表包含使用人工智能生成工具创建的图像或视频的文章和研究。该禁令出台之际，该出版物对研究诚信、透明度、可信度和知识产权保护表示担忧。Nature成立于1869年11月，主要发表科学和技术领域的各个学科的同行评审研究。它是世界上被引用最多和最具影响力的科学期刊之一。在ChatGPT和Midjourney等生成工具的日益流行和不断扩展的功能的推动下，经过数月的激烈讨论和咨询，Nature最近决定发布AI作品的规则。“除了与AI相关的文章外，Nature不会发表任何全部或部分使用生成式AI创建的照片、视频或插图的内容，至少在可预见的未来是这样，”该出版物称。Nature认为，这个问题符合该期刊关于已发表作品的完整性和透明度的道德原则，其中还包括引用所用图像来源的能力。因此，对于出版物中使用的每种视觉材料，必须提供证据证明该材料不是在生成人工智能的帮助下生成或增强的。AI生成的艺术作品的归因极其困难或几乎不可能，因为生成的图像通常是对加载到AI模型中的数百万其他图像进行处理的结果。这一事实也导致了有关同意的问题，尤其是那些与身份或知识产权有关的问题。在这里，Nature还提到生成式AI经常使用受版权保护的作品进行学习。此外，有时已发表的作品可能会无意或故意提及deepfakes，这可能导致彻头彻尾的虚假信息传播。与此同时，即使在Nature大声声明禁止将ChatGPT指定为合著者之后，仍然允许在已发表的文章中生成文本。

https://www.securitylab.ru/news/538942.php

8、BlackCat Group攻击十字转门制造商并泄露NATO和Aibaba数据

ALPHV/BlackCat组织声称对法国企业集团Bolloré的子公司Automatic Systems的攻击负责。该团伙在暗网泄密网站上的帖子包括一百多个被盗数据样本，从保密协议(NDA)到护照复印件。Automatic Systems证实了这次攻击，并表示黑客攻击发生在6月3日，当时攻击者针对“公司的部分服务器”。Automatic Systems采取了保护措施来阻止勒索软件的传播，并求助于与公司IT团队全天候工作的外部安全专家。此外，该公司还联系了比利时执法部门。ALPHV/BlackCat于6月12日宣布了此次攻击。据黑客称，他们窃取了公司合作伙伴和客户的个人数据、财务数据、合作伙伴和客户的护照数据以及其他机密信息。该组织还表示，被盗数据包括与北约合作和为军事公司采购设备的机密文件，以及此类设备安装和使用的详细图表。攻击者还添加了许多被盗数据样本。该出版物还介绍了受害者与中国零售商阿里巴巴之间的保密协议，以及该公司与法国国防承包商Thales签署的文件。2022年11月，法国国防和科技公司Thales证实LockBit 3.0最近泄露的数据并非虚假，但否认其系统遭到黑客攻击。但问题是黑客究竟如何在不侵入其系统的情况下获取该公司的数据保持开放。最近，ALPHV/BlackCat勒索软件团伙声称，对Casepoint合法平台的黑客攻击证明了Google和Meta与情报机构合作，并泄露了有关将工人偷渡到美国的绝密信息。

https://www.securitylab.ru/news/538954.php

9、新的DoubleFinger下载器在PNG文件中隐藏了GreetingGhoul窃取器

卡巴斯基实验室的专家发现了一种新的DoubleFinger多阶段下载器，可以将GreetingGhoul窃取程序传送到欧洲、美国和拉丁美洲用户的计算机。攻击始于受害者打开电子邮件中的恶意PIF附件，触发DoubleFinger下载程序的第一阶段。第一阶段是经过修改的espexe.exe（Microsoft Windows 经济服务提供商应用程序），它执行负责从Imgur下载PNG图像的恶意shellcode。该图像使用隐写术来隐藏加密的有效负载，从而引发四步妥协链，导致GreetingGhoul在受感染的主机上运行。GreetingGhoul使用Microsoft Edge WebView2在合法的加密货币钱包之上创建伪造的覆盖层，以窃取毫无戒心的用户输入的凭据。此外，DoubleFinger还提供Remcos RAT，这是一种商业木马，近几个月来已被网络犯罪分子广泛用于攻击欧洲和乌克兰的组织。对DoubleFinger和GreetingGhoul恶意软件的研究表明其创建者具有高水平的技术专长，他们能够开发出可与APT威胁相媲美的强大恶意软件。使用shellcode和隐写术的分层加载器，使用Windows COM接口进行隐身执行，并使用Process Doppelgänging集成到远程进程中，展示了攻击的高度复杂性和复杂性。此外，使用Microsoft WebView2运行时为加密货币钱包创建虚假界面是此次攻击中使用的高级策略的另一个迹象。

https://www.securitylab.ru/news/538967.php

10、以色列军队打算显着加强人工智能在反击敌人攻击中的作用

上个月在加沙地带与巴勒斯坦的最新武装对抗中，以色列指挥官首次使用名为“知识井”的人工智能机器人，及时提供巴勒斯坦火箭发射的详细信息：发射地点、速度和射程等。对于下一次交锋，以色列军队数据和应用程序运营负责人Eli Birenbaum上校计划更多地利用人工智能的力量来预测敌人的齐射。“这是我们必须迈出的有趣的一步。我想去我能最好地利用信息的地方，以确保我们的部队在战场上的优势，”比伦鲍姆说。据这位上校称，到2028年，以色列几乎每一位军事技术专家都将参与人工智能工作。这将标志着自2016年开始的自动防御系统的一个新里程碑，当时Birenbaum 领导开发了一个机器学习平台，用于高级检测对关键系统的黑客攻击。据介绍，目前以色列武装部队中有数百名员工从事与人工智能相关的广泛项目。这些员工约占所有军事技术人员的20%。并计划在五年内使他们的人数达到数千人。然而，从零开始培养这样的专家意味着你需要有条件地招收一名 18岁的高中毕业生，并以某种方式激励他在大学学习六年，然后在军队学习六年，以便随后提供新的为专家提供的薪水比他在任何甚至稍大的IT公司中以同样的知识获得的薪水都低得多。“在人工智能发展的背景下，各国军队越来越多地思考军备竞赛的道德后果。对于以色列而言，借助人工智能发现和标记潜在目标的能力并不意味着会自动摧毁这些目标。”

https://www.securitylab.ru/news/538944.php

11、研究表明CosmicEnergy恶意软件不是对ICS的“直接威胁”

工业网络安全公司Dragos的威胁情报团队透露，CosmicEnergy并不是对操作技术(OT)的直接威胁，因为CosmicEnerg 的整体代码库缺乏成熟度，包含错误并且远不是像Industroyer2或CrashOverride那样的成熟攻击能力。它补充说，没有证据表明CosmicEnergy正在野外部署，分析表明该工具可能是训练演习的一部分或用于检测开发。在Mandiant上个月披露后，Dragos在一篇博客文章中表示，“这种旨在针对IEC 104设备的恶意软件利用了连接到远程终端单元(RTU)的现有Microsoft SQL (MS SQL)服务器。Dragos Threat Intelligence独立分析了恶意软件，并与媒体头条声称的电力中断或电网瘫痪能力相反，得出的结论是CosmicEnergy不是对运营技术的直接威胁。”Dragos还表示，运营商应该联系供应商，看看软件包中是否包含MS SQL。此外，操作员应确保他们有适当的网络监控，注意“xp cmdshell”警报，并且出于谨慎考虑，审计他们的MS SQL Server。它的发现暗示了一种趋势，在Pipedream中也有体现，即开发人员利用已知的标准ICS协议来实现效果，并结合“lib60870-C”等开源项目来实现他们的工具。

https://industrialcyber.co/news/dragos-says-cosmicenergy-malware-is-not-immediate-threat-to-ics-provides-recommendations/

12、ALPHV/BlackCat勒索软件组织声称对澳大利亚FIIG证券的网络攻击负责

FIIG Securities是澳大利亚最大的固定收益专家，拥有超过6,000名投资者和50亿美元的建议基金，在未经授权的第三方成功破坏其IT系统后成为网络攻击的受害者。臭名昭著的勒索软件组织ALPHV/Black Cat已声称对FIIG证券的网络攻击负责。在暗网上的一篇帖子中，威胁者透露他们从 FIIG Securities的主服务器窃取了大约385GB的数据。ALPHV警告FIIG，称他们有三天的时间建立联系并就公司IT部门犯下的这一“遗憾错误”的后果做出决定。澳大利亚当局已迅速对FIIG Securities攻击事件做出回应，与专业的第三方网络安全专业人员合作启动了网络响应策略，并隔离了受影响的系统。对FIIG Securities的网络攻击导致大规模数据泄露，涉及范围广泛的敏感信息，包括员工的个人数据，如简历、驾驶执照、身份证件、社会安全号码、财务报告、会计数据、贷款数据、保险记录和协议。被破坏的数据库还包含客户的文件，包括驾驶执照、身份证件、社会安全号码、财务数据、信用卡信息、贷款数据、协议和其他机密详细信息。泄露的内容包括项目文件、计划和其他商业敏感信息。涉及FIIG Securities的事件曝光时，一名员工报告说他们的电子邮件帐户被锁定，密码重置未能解决问题。进一步的调查显示，攻击者还加密了文件并擦除了组织的备份。FIIG Securities发言人强调了该公司与相关当局合作的积极方法，以确保遵守所有必要要求并保护受损数据的安全和隐私。

https://thecyberexpress.com/cyber-attack-on-fiig-alphv-blackcat-ransomware/

13、俄联邦通过法律将允许没收因网络犯罪而获得的金钱和财产

2023年6月13日，俄罗斯总统弗拉基米尔·普京签署了第214-FZ号联邦法律，其中规定没收因网络犯罪而获得的金钱和财产。它补充了俄罗斯联邦刑法典的一项规定，扩大了可没收财产的犯罪清单。现在，此类犯罪包括恶意计算机程序的创建、使用和分发，对俄罗斯联邦关键信息基础设施的非法影响，以及违反受保护计算机信息或信息的存储、处理或传输操作规则和电信网络和终端设备，违反信息和电信网络接入规则，导致计算机信息遭到破坏、屏蔽、修改或者复制，造成严重后果或者产生发生威胁的。如果犯罪造成重大损害，是出于私利，由事先达成协议的一群人、有组织的团体或利用其公职的人实施的，则非法访问计算机信息也将被没收。没收财产和金钱也将威胁到所犯罪行的严重后果或发生犯罪的威胁。该法律的起草者在2022年的解释性说明中指出，最近“网络犯罪正在积极发展并影响信息技术和电信”，金融部门的欺诈行为数量正在增加。结果，许多人受苦，尤其是老年人。“没收网络犯罪分子非法获得的财产和金钱将有助于恢复正义，并将这些资金用于补偿受害者，”国家杜马安全与反腐败委员会主席、修正案的起草人瓦西里·皮斯卡列夫(Vasily Piskarev)说。法律自正式公布之日起生效。

https://www.securitylab.ru/news/538966.php

14、360公司发现了一个与“三角行动”相关的新APT-C-63活动

中国360公司高级威胁研究院（360netlab）监测发现黑客组织APT-C-63（也称为“Shaheen”或“Sand Eagle”）的活动，该APT专门从事复杂的有针对性的网络攻击。该组织于2022年首次被发现，至今仍引起研究人员的密切关注。然而，其活动的许多细节仍未公开。近日，卡巴斯基实验室的专家披露了代号为“三角行动”的攻击细节。作为此操作的一部分，攻击者通过对移动设备执行复杂的网络攻击来利用Apple设备保护方面的弱点。中国专家警告称，此活动与APT-C-63组织有关。研究人员表示，不仅仅是Apple的iOS设备成为攻击目标。他们还注意到Windows系统上存在复杂的攻击。为了检测黑客攻击，该公司的专家为Windows开发了一个程序，可以帮助用户和信息安全专家识别和消除系统感染。Windows自检工具可自由下载，但在某些国家/地区可能无法下载。建议iOS用户按照卡巴斯基的说明，备份设备上的数据，然后下载并应用triangle_check工具来检测针对iOS移动设备的攻击。“三角测量行动” 是卡巴斯基实验室专家于2023年5月发现的针对苹果移动设备的针对性攻击活动的名称。受害者中有公司员工，以及参与网络威胁研究的其他个人。名称相似的还有一个来自南美洲的APT组织，可能来自委内瑞拉，APT-C-36（盲鹰）该组织专门从事网络间谍活动和使用各种类型的恶意软件（例如Imminent Monitor RAT、LimeRAT、AsyncRAT 和 Ave Maria）进行有针对性的攻击。