20230620-5th域安全微讯早报-No.146

络空间安全对抗资讯速递

2023年6月20日

最新热门网安资讯

Cyber-Intelligence  Brief Express

Vol-2023-146                        星期二

今日热点导读

9、底板管理控制器BMC是黑客攻击的弱点

资讯详情

1、英国承诺向乌克兰提供数百万网络防御援助

英国政府已宣布向乌克兰额外提供1600万英镑的资金，以帮助保护该国的关键国家基础设施(CNI)免受俄罗斯的攻击。18日宣布，这笔钱将在外交大臣去年宣布为英国的乌克兰网络计划(UCP)拨款635万英镑之后再拨。UCP旨在提供公共和私营部门的网络安全专业知识，以帮助保护乌克兰CNI和关键公共服务免受俄罗斯网络攻击。“俄罗斯对乌克兰的骇人听闻的攻击不仅限于他们野蛮的土地入侵，还涉及攻击他们提供重要服务的网络基础设施的令人作呕的企图，从银行到能源供应，再到无辜的乌克兰人民，”总理Rishi Sunak在一份声明。“这笔资金对于阻止这些攻击、加强乌克兰的网络防御以及提高该国检测和禁用针对他们的恶意软件的能力至关重要。”希望未具名的“国际盟友”额外捐助900万英镑，这将使一揽子计划总额达到 2500万英镑。预计苏纳克本周还将通过投资饱受战争蹂躏的乌克兰来鼓励私营部门发挥更积极的作用。英国正在将其对网络专业知识的财政承诺与对更多常规军事资源的资助相匹配。它已向乌克兰国际基金(IFU 一揽子计划捐款2.5亿英镑，这笔资金将用于防空——包括雷达、枪支和弹药——以帮助保护乌克兰城市免受俄罗斯炸弹的袭击。英国最近还向基辅交付了其备受推崇的风暴暗影远程导弹系统，以增强其反击能力。然而，周末有消息称，乌克兰军方领导人可能暂停了几天前才开始的备受期待的反攻，以评估他们的选择。目前还没有关于英国将提供何种网络安全支持的更多信息，但乌克兰一再受到破坏性恶意软件、网络间谍攻击和旨在削弱公众对其领导人信心的信息战活动的打击。

https://www.infosecurity-magazine.com/news/uk-pledges-millions-cyberdefense/

2、英国首席黑客将接管国家犯罪局的经济和有组织犯罪局

英国国家网络部队(NCF)负责人詹姆斯·巴贝奇(James Babbage)将于本月晚些时候辞去指挥国家精英黑客能力的职务，接管国家犯罪局(NCA)的经济和有组织犯罪威胁局。此前并没有关于巴贝奇加入NCA的报道。他的任命是在该机构的运营总干事史蒂夫·罗德豪斯(Steve Rodhouse)被降职之后发生的，原因是罗德豪斯在调查一名已被定罪的恶作剧者提出的虐待儿童的虚假指控中所扮演的角色。NCA负责经济和有组织犯罪威胁的董事会的现任临时负责人罗伯·琼斯(Rob Jones)将接替罗德豪斯的职位。巴贝奇也将以临时身份担任该职位，自2021年以来，内政部一直无法完成该职位的正式招聘程序。在英国网络和信号情报机构GCHQ工作近30年后，巴贝奇加入了NCA。今年早些时候，NCF发表了一篇论文，解释了该国关于进攻性网络作战的学说，他的身份得到了公开。作为 NCF 的指挥官，他实际上拥有相当于少将的两星军衔，自2020年成立以来一直领导这支部队，当时这支部队的成立是为了巩固以前分散在英国军队和情报机构的网络能力。尽管NCF目前正在运作并且“每天都在开展行动”——包括针对一些相同的勒索软件参与者，这些参与者将归入NCA的Babbage投资组合——但由于英国军队的技能短缺，它尚未配备齐全的人员和情报界以及整个社会。最终，NCF预计将“由来自国防部和情报机构的人员比例大致相等”。GCHQ的一位发言人告诉Recorded Future News，正在任命巴贝奇的继任者。

https://therecord.media/gchq-babbage-to-take-over-uk-national-crime-agency-economic-and-organized-crime-directorate

3、美国阿肯色州费耶特维尔市应对破坏性网络攻击

阿肯色州费耶特维尔市正处于“疑似网络事件”之中，迫使官员将大部分数字市政服务下线。该市市长和市议会没有回应置评请求，但政府上周在其网站上的一条消息中证实了网络攻击。费耶特维尔是阿肯色州第二大城市。“费耶特维尔市经历了一起疑似网络事件，作为一项主动措施，大多数在线/基于网络的市政服务已下线。这包括电子邮件、在线支付、检查安排和网络应用程序，”该市表示。“警察、消防和911紧急服务不受此问题影响。该市的信息技术部门已动用所有可用资源，并正在处理这个问题。预计在线服务至少会在几天内不可用。”市政府官员补充说，如果费耶特维尔警察局的非紧急电话线路无法使用，他们可以联系其他几个号码。州政府官员没有回应置评请求，但在6月12日的更新中，该市表示其电子邮件系统仍处于离线状态。水电费需要亲自支付，并且只能用现金或支票支付——但在城市处理网络中断期间，没有人会中断他们的公用事业。通常在网上举行的公共会议在处理中断时将没有虚拟出席选项，因为该市的Zoom系统已因中断而被禁用。费耶特维尔IT主管基思马塞多周二（6月13日）告诉当地新闻媒体4029新闻，该市已经聘请了三个独立的网络安全公司来帮助应对这一事件。费耶特维尔是最新一个因网络攻击或勒索软件事件而面临服务中断的城市。今年，美国的几个主要城市都处理了严重的事件，这些事件限制了紧急服务并导致居民信息被盗。

https://therecord.media/fayetteville-arkansas-dealing-with-debilitating-cyber-incident

4、微软解决了“危险的”新Azure漏洞

微软最近修复了影响两个Azure相关工具的两个漏洞，这些漏洞允许黑客访问受害者的数据并对他们的虚拟环境进行更改。Orca Security的研究人员表示，他们在Azure Bastion和Azure Container Registry中发现了两个“危险”漏洞，这些漏洞可能允许攻击者实现跨站点脚本(XSS)——黑客将恶意脚本注入受信任网站的过程。这些类型的漏洞可能导致未经授权的访问、数据窃取，甚至是受影响系统的完全破坏。Orca Security的Lidor Ben Shitrit表示，他们发现的漏洞“充当了攻击者利用XSS漏洞的切入点”，并可能“导致严重后果，包括未经授权的数据访问、未经授权的修改以及Azure服务iframe的中断。”Azure Bastion允许用户访问Azure云环境中的虚拟机，而Azure容器注册表为用户提供了一个集中位置来存储容器映像——包含在IT基础设施上运行的代码的基础文件。微软告诉Recorded Future News，除了Orca研究人员提供的概念验证之外，它不知道有任何利用这些漏洞的行为。微软和Orca Security均表示，Azure Bastion问题已于4月1日报告给微软安全响应中心，Azure容器注册表问题已于5月3日报告。微软在一份声明中证实，利用这些漏洞可能会让黑客获得对受感染Azure服务中目标会话的访问权限，从而导致“数据篡改或资源修改”。“根据我们的安全部署实践开发和部署了一系列修复程序，并于2023年5月24日完成，之后这两个服务的问题被认为有所缓解。客户无需采取进一步行动来保持安全。”微软发言人表示，利用这些漏洞需要目标用户访问攻击者控制的页面，而在Azure Bastion中，该漏洞源于Azure Network Watcher连接故障排除程序。为了防止未来发生XSS 等问题，微软安全工程师更新了内部规则，以改进对Microsoft所有产品和服务中此类错误的扫描。

https://therecord.media/microsoft-azure-bastion-container-registry-vulnerabilities-resolved

5、黑客使用假的OnlyFans图片来植入窃取信息的恶意软件

恶意软件活动使用虚假的OnlyFans内容和成人诱饵来安装称为“DcRAT”的远程访问木马，允许威胁行为者窃取数据和凭据或在受感染的设备上部署勒索软件。OnlyFans是一项内容订阅服务，付费订阅者可以访问成人模特、名人和社交媒体名人的私人照片、视频和帖子。它是一个广泛使用的网站和一个知名度很高的名称，因此它可以吸引那些希望免费访问付费内容的人们。这不是威胁行为者第一次利用OnlyFans来实现其恶意目标，因为在 2023年1月，攻击者滥用了英国国家网站上的开放重定向，将访问者引导至虚假的OnlyFans网站。eSentire发现的新活动自2023年1月以来一直在进行，传播包含VBScript加载程序的ZIP文件，受害者被诱骗手动执行，以为他们将要访问高级OnlyFans集合。感染链未知，但可能是恶意论坛帖子、即时消息、恶意广告，甚至是在特定搜索词中排名靠前的黑色SEO网站。Eclypsium分享的样本伪装成前成人电影女演员米娅·哈利法(Mia Khalifa) 的裸照。VBScript加载程序是在Splunk发现的，其2021年活动中观察到的脚本的最低限度修改和混淆版本，这是一个略微修改的Windows打印脚本。启动后，它会使用WMI检查操作系统架构并根据以下步骤的需要生成32位进程，提取嵌入式DLL文件（“dynwrapx.dll”），并使用Regsvr32.exe 命令注册DLL。这使恶意软件可以访问DynamicWrapperX，这是一种可以从Windows API或其他DL 文件调用函数的工具。最终，名为“BinaryData”的有效负载被加载到内存中并注入“RegAsm.exe”进程，这是 .NET Framework的合法部分，不太可能被AV工具标记。

https://www.bleepingcomputer.com/news/security/hackers-use-fake-onlyfans-pics-to-drop-info-stealing-malware/

6、华硕敦促客户修补关键路由器漏洞

华硕发布了具有累积安全更新的新固件，解决了多个路由器型号中的漏洞，警告客户立即更新他们的设备或限制WAN访问，直到他们得到保护。新发布的固件包含九个安全漏洞的修复程序，包括高危和严重漏洞。其中最严重的被追踪为CVE-2022-26376和CVE-2018-1160。第一个是华硕路由器 Asuswrt固件中的严重内存损坏漏洞，攻击者可能会触发拒绝服务状态或获得代码执行。另一个关键补丁是针对一个将近五年的CVE-2018-1160错误，该错误由越界写入Netatalk弱点引起，该弱点也可被利用在未打补丁的设备上获得任意代码执行。“请注意，如果您选择不安装这个新固件版本，我们强烈建议禁用从WAN端访问的服务，以避免潜在的不必要的入侵。这些服务包括从WAN远程访问、端口转发、DDNS、VPN服务器、DMZ、端口触发器，”华硕在19日发布的安全公告中警告说。“我们强烈建议您定期检查您的设备和安全程序，因为这将确保您得到更好的保护。”受影响的设备列表包括以下型号：GT6、GT-AXE16000、GT-AX11000 PRO、GT-AX6000、GT-AX11000、GS-AX5400、GS-AX3000、XT9、XT8、XT8 V2、RT-AX86U PRO、RT -AX86U、RT-AX86S、RT-AX82U、RT-AX58U、RT-AX3000、TUF-AX6000和TUF-AX5400。华硕警告受影响路由器的用户尽快将它们更新到最新固件。

https://www.bleepingcomputer.com/news/security/asus-urges-customers-to-patch-critical-router-vulnerabilities/

7、印度黑客将Android间谍软件伪装成VPN和Google Play上的聊天应用程序

国家支持的威胁行为者使用Google Play上的三个Android应用程序从目标设备收集情报，例如位置数据和联系人列表。这些恶意Android应用程序是由Cyfirma发现的 ，他以中等可信度将此操作归因于印度黑客组织“DoNot”，该组织也被追踪为APT-C-35，该组织至少从2018年开始就以东南亚的知名组织为目标。2021年，国际特赦组织的一份报告 将威胁组织与一家印度网络安全公司联系起来，并强调了一项同样依赖于虚假聊天应用程序的间谍软件分发活动。DoNot最新活动中使用的应用程序执行基本信息收集，为更危险的恶意软件感染做好准备，这似乎是威胁组织攻击的第一阶段。Cyfirma在Google Play上发现的可疑应用程序是nSure Chat和iKHfaa VPN，它们都是从“SecurITY Industry”上传的。根据Cyfirma的说法，这两款应用程序和来自同一发行商的第三款应用程序似乎没有恶意，但仍可在Google Play上使用。SecurITY Industry的所有应用程序的下载量都很低，表明它们被选择性地用于特定目标。这两个应用程序在安装期间请求风险权限，例如访问用户的联系人列表 (READ_CONTACTS) 和精确位置数据 (ACCESS_FINE_LOCATION)，以将此信息泄露给威胁参与者。VPN应用程序的C2 是“https[:]ikhfaavpn[.]com”。就nSure Chat而言，观察到的服务器地址是去年在Cobalt Strike操作中看到的。Cyfirma的分析师发现，黑客VPN应用程序的代码库直接取自合法的Liberty VPN产品。Cyfirma 将此活动归因于DoNot威胁组织是基于加密字符串的具体使用，这些加密字符串利用AES/CBC/PKCS5PADDING 算法和Proguard混淆，这两种技术都与印度黑客有关。

https://www.bleepingcomputer.com/news/security/android-spyware-camouflaged-as-vpn-chat-apps-on-google-play/

8、SeroXen恶意软件部署BatCloak防御规避工具

安全研究人员警告说，恶意软件开发人员正在采用一种易于使用的混淆工具，该工具可以使恶意软件绕过防病毒软件。称为BatCloak的批处理文件混淆引擎需要最少的编程技能才能使用。它最近的成功之一是最近被称为SeroXen的远程访问木马，来自多家公司的研究人员表示，它可以抵抗防病毒和端点检测和响应工具的检测。AT&T在5月份分析的一个SeroXen样本在VirusTotal上引起了零检测。Trend Micro本月早些时候发布的对从公共存储库中获取的数百个受感染批处理文件样本的分析得出的结论是，BatCloak屏蔽了80%的文件，使其免受安全软件的检测。批处理文件通常带有.bat扩展名，是带有命令行解释器脚本的纯文本文件。SeroXen于2022年底出现，零售价为每月30美元或直接零售价60美元。据AT&T报道，它是成熟的Quasar RAT的变体。SeroXen背后的黑客显然使用了一个仍然活跃的网站seroxen.net来分发木马，尽管该网站目前表示“截至目前”已暂停销售。该网站将恶意软件宣传为“完全无法检测”或“FUD”。TrendMicro周四（15日）发布的分析表明，BatCloak用来隐藏SeroXen免于检测的技术之一是复杂的字符串操作，它混淆了恶意软件使用Windows命令提示符界面通过命令指定环境变量的过程set。SeroXen将变量连接在一起以执行命令——恶意软件编码人员用来防止检测到恶意命令的一种方法。它最终使用混淆的PowerShell命令来解密和交付.net加载程序。趋势科技表示，最新版本的 BatCloak 擎正在作为“ScrubCrypt”出售。它的开发人员决定出售访问权限而不是首次推出新的开源工具，这可能是由于Jlaive的成功“以及希望通过该项目获利并保护它免受未经授权的复制。”

https://www.govinfosecurity.com/seroxen-malware-latest-to-deploy-batcloak-evasion-tool-a-22324

9、底板管理控制器BMC是黑客攻击的弱点

美国网络安全机构CISA和NSA在最近的联合指南中表示 ，底板管理控制器(BMC) 是关键基础设施系统中的薄弱环节，攻击者可以利用它来获取网络和数据的访问权限。BMC使远程管理和控制计算机和服务器成为可能，即使系统处于关闭状态。然而，由于它们的高级别特权和网络可访问性，这些设备经常吸引攻击者的注意，攻击者可以将它们用作各种网络攻击的切入点。CISA和NSA 南包含针对BMC漏洞的建议和缓解措施，例如凭证保护、固件升级、VLAN分离和完整性监控。此外，机构建议将高度敏感的生产数据转移到安全设备，并定期使用固件扫描工具并将未使用的BMC视为潜在的安全风险。“通过遵循这些指南，组织可以显着提高其BMC的安全性并降低潜在网络威胁的风险，”该文件称。几周前，英国国家网络安全中心(NCSC)和其他国际安全机构发布了新的警告， 警告公众不要针对美国关键的国家基础设施网络开展中国网络活动。“我们鼓励所有服务器管理组织实施本指南中推荐的操作，”CISA局长Jennifer Esterly说。

https://www.securitylab.ru/news/539133.php

10、澳大利亚咨询巨头普华永道清理针对MOVEit Transfer的网络攻击

普华永道澳大利亚不幸成为臭名昭著的黑客组织Clop最近对MOVEit Transfer MFT平台发起的网络攻击的众多受害者之一。“我们知道MOVEit Transfer平台经历了一次网络安全事件，影响了包括普华永道在内的数百家组织，”公司发言人说。据报道，一旦黑客事件曝光，普华永道就停止使用MOVEit Transfer。显然，该公司决定不向肇事者支付赎金，因为该公司的负责员工立即对事件展开调查，并及时联系了档案被泄露的客户。调查表明公司自己的IT网络没有受到损害，公司代表自豪地宣布。尽管如此，MOVEit Transfer事件并没有影响任何受害组织的内部系统，因为它直接指向了MFT平台。尽管Progress Software的开发人员在漏洞公开后的前48小时内消除了黑客利用的漏洞，但公司不太可能从中得到任何好处。此外，在安全审计期间，Progress专家还发现了流行平台中的其他漏洞。根据Clop黑客自己的说法，他们拥有数百家公司的数据，他们每个人都可以自由决定是否为他们的数据向攻击者支付赎金。本月早些时候所知，勒索软件长期以来一直在测试对MOVEit Transfer的攻击。此外，他们背后还有另外两个针对类似服务的成功攻击——Accellion FTA和Fortra GoAnywhere 。专家将Clop攻击者描述为技术娴熟且有条不紊。

https://www.securitylab.ru/news/539140.php

11、Red Hat开发人员在运行近300,000次实验后修复了Linux内核中的一个罕见错误

Red Hat的Linux开发人员Richard Jones做了一项艰巨的工作：他发现并修复了Linux 6.4内核中的一个罕见错误，该错误导致系统在启动时随机挂起。在使用虚拟机程序时，琼斯注意到Linux系统有时无法完全启动。经过几天的仔细分析，他发现原因是系统日志中显示时间的功能。为了验证他的假设的正确性，琼斯应用了一种可以比作大海捞针的技术。他使用了一种叫做guestfish的工具。通过监视进程自动启动和停止Linux。这个实验以天文数字的形式重复了292,612次，只用了21个小时。此错误的一个特点是它在使用AMD处理器的计算机上比在Intel上更频繁地出现。不过多亏了琼斯的毅力和耐心，这个问题才顺利解决。这个案例说明了努力工作和对细节的关注如何能够解决最复杂的问题。一个我们大多数人永远不会注意到的错误已经被发现并修复，使Linux对于所有用户来说更加可靠。

https://www.securitylab.ru/news/539144.php

12、Yandex因拒绝向FSB提供“Yandex.Services”用户数据而被罚款200万卢布

莫斯科世界法院对Yandex公司处以200万卢布的行政罚款，认定其多次未能向俄罗斯FSB提供有关Yandex.Services服务用户的信息，这是该服务“搜索”所必需的信息为了人民或确保国家的安全。”据TASS称 ，Yandex根据Art第4部分被判违规。与Yandex相关的俄罗斯联邦行政违法法典第13.31 条（该公司多次不遵守其设备和程序的要求，以进行国家机构的搜查或组织国家安全）”。法院表示，此前对罚款提出上诉，现已生效。“Yandex”的代表在法庭上承认违规，但要求不处以最高罚款。俄罗斯联邦行政违法法典第13.31条分为4个部分，规定罚款200万至600万卢布。2022年，Yandex已被莫斯科Meshchansky地方法院判定犯有类似罪行（俄罗斯联邦行政违法法典第13.31条第3部分）并处以40万卢布罚款。然后，在法庭上，该公司的辩护人确认了违规行为，但要求免除Yandex的责任，因为由于受到制裁，该公司没有机会购买、安装和配置遵守法律所必需的外国制造的硬件和软件。

https://www.securitylab.ru/news/539135.php

13、报告发现资产可见性差距危及英国NHS信托机构的安全合规性

医疗保健中连接设备的使用正在推动创新，提供了帮助医务人员的新方法。然而，物联网(IoT)的采用扩大了医疗保健行业IT决策者必须应对的攻击面。Armis的一份新报告发现，英国国家卫生服务(NHS)信托机构的许多网络安全领导者都面临着缺乏连接资产可见性的问题，这对满足安全要求构成了挑战。虽然35%的NHS Trusts表示拥有一个自动化系统来跟踪所有连接的资产，59%表示他们会在发生变化时更新所有资产的信息，但物联网仍然存在许多盲点。例如，三分之一的受调查信托承认没有跟踪物联网设备的方法，10%的人表示他们使用手动流程或电子表格来这样做。此外，15%的信托机构承认他们没有跟踪联网医疗设备(IoMT)，五分之一的信托机构表示他们使用手动流程或电子表格来跟踪这些资产。另有19%的受访者承认，他们库存系统中有关联网医疗设备的信息要么根本不更新，要么仅每年更新一次。这种可见性不足的主要原因是缺乏资源，38%的Trusts IT决策者承认他们没有足够的员工来满足他们的需求，23%的人承认他们没有足够的资源来处理更换遗留或不受支持的医疗设备。受访者告诉Armis，这些技术差距使得NHS Trusts 难以在规定的两周内进行数据安全保护工具包(DSPT) 估或修复网络安全问题时收集证据。Armis首席解决方案架构师Mohammad Waqas在一份公开声明中表示：“它可能会产生重大后果，不仅会影响合规性，还会导致更多网络安全事件甚至安全故障。”信任的环境，甚至是第三方资产，是建立弹性安全策略和主动减少攻击面的关键。[…] 特别是对于难以保持更新的联网医疗设备(IoMT)，能够实时监控它们并了解它们的行为和风险是确保安全和遵守最新法规的关键。”

https://www.infosecurity-magazine.com/news/uk-nhs-trusts-asset-visibility/

14、黑吃黑--BreachForums论坛遭到竞争对黑客攻击致数据泄露

在持续的黑客战争显着升级的情况下，由ShinyHunters运营的黑客论坛BreachForums已成为毁灭性数据泄露的受害者。报告表明，一个竞争对手的黑客论坛成功地破坏了BreachForums的安全措施，并公开泄露了一个包含大约 4,700名成员个人信息的数据库。据报道，臭名昭著的网络犯罪论坛 Exposed面临由其激烈的竞争对手BreachForums精心策划的黑客攻击和污损事件。最近因泄露另一个被破坏的数据论坛RaidForums的详细信息而出现在网络安全新闻中。BreachForums所谓的黑客行为背后的动机仍不确定。当竞争对手的黑客论坛将被盗的数据库放到网上，让公众可以访问时，对 BreachForums的攻击才曝光。详细信息发布在另一个名为BlackForums的暗网论坛上。网络安全公司Hudson Rock的联合创始人兼首席技术官Alon Gal证实了被入侵数据库的真实性，并对这些黑客冲突的加剧表示担忧。“我验证了数据库的真实性，它是合法的。这些黑客战争正变得非常激烈，”加尔周一（19日）在LinkedIn上发帖称。泄露和随后的数据转储引发了严重的隐私和安全问题，因为受损的数据库可能包含有关BreachForums成员的敏感信息。Alon Gal告诉The Cyber Express ，尽管数据已发布在BlackForums上，但尚未确认他们是肇事者。人们担心暴露的数据可能会被网络犯罪分子用于各种非法活动，包括身份盗用、网络钓鱼企图和有针对性的攻击。在最新事件发生的前几天，BreachForums在其竞争对手网络犯罪论坛Exposed上开展了黑客攻击和污损活动。据报道，因泄露RaidForums细节而登上网络安全新闻的网络犯罪论坛Exposed攻击事件发生在6月15日。当 Alon Gal在LinkedIn上曝光了此事。据称BreachForums渗透了Exposed.vc的服务器并留下了一条旨在类似于执法扣押通知的嘲弄消息。

https://thecyberexpress.com/breachforums-hacked-exposed-shinyhunters/

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-145

2. 5th域安全微讯早报-Vol-2023-144

3. 5th域安全微讯早报-Vol-2023-143

4. 5th域安全微讯早报-Vol-2023-142

5. 5th域安全微讯早报-Vol-2023-141

冷观网域风云激荡

智察数字安全博弈

THINK LIKE A HACKER

 ACT LIKE AN ENGINEER

Cyber Intelligence Insight

Digital Security Enhencement