20230710-5th域安全微讯早报-NO.163

网络空间安全对抗资讯速递

2023年7月10日

最新热门网安资讯

Cyber-Intelligence  Brief Express

Vol-2023-163                        星期一

今日热点导读

资讯详情

1、电力基础设施信息物理跨域攻击防御关键技术获突破

科技日报讯7月10日报道，记者日前从国网智能电网研究院获悉，由该院牵头的“电力基础设施信息物理跨域攻击防御关键技术及应用”技术成果荣获2022年度中国电子学会科技进步奖一等奖。浙江大学、南京南瑞信息通信科技有限公司、广州大学、国家工业信息安全发展研究中心、国网辽宁省电力有限公司等单位联合参与该项成果的技术攻关。据介绍，历时多年攻关，该项目团队在信息物理跨域攻击的感知、识别、抑制等方面取得技术突破，发明电力终端跨域攻击感知与自主防御方法，研制了国内最高安全等级四级的工控实时安全操作系统，系统最大中断响应实时性大幅提升至10微秒，攻击自主感知率达到95.2%；攻克了公专融合网络下跨域攻击识别及指令级保护技术，国际上率先实现IEC61850等电力调控规约安全增强及工程化应用，研制了电力专用高性能安全接入网关，安全交互传输吞吐量提升近10倍，交互时延小于180微秒；突破跨域攻击行为实时阻断及连锁故障抑制技术瓶颈，研制了电力信息物理跨域攻击感知与协同防御平台，有效解决电力信息物理跨域攻击实时主动预警及抑制难题。

https://finance.sina.com.cn/tech/roll/2023-07-10/doc-imzacnqi1591795.shtml

2、孟加拉国政府网站泄露公民个人数据

孟加拉国政府网站泄露了公民的个人信息，包括全名、电话号码、电子邮件地址和身份证号码。Bitcrack Cyber Security的研究员Viktor Markopoulos表示，他于6月27日意外发现了此次泄露，并在不久后联系了孟加拉国电子政务计算机事件响应小组 (CERT)。他说，泄露的数据包括数百万孟加拉国公民的数据。TechCrunch通过使用部分数据查询受影响政府网站上的公共搜索工具，能够验证泄露的数据是否合法。通过这样做，该网站返回了泄露数据库中包含的其他数据，例如申请注册的人的姓名，以及（在某些情况下）其父母的姓名。TechCrunch尝试了10组不同的数据，所有数据都返回了正确的数据。据Markopoulos称，TechCrunch没有透露具体政府网站的名称，因为这些数据仍然可以在线获取，而且我们还没有收到任何孟加拉国政府组织的回复，我们通过电子邮件发送了请求评论和数据泄露警报的信息。在孟加拉国，每个18岁及以上的公民都会获得一张国民身份证，为每个公民分配一个唯一的ID。该卡是强制性的，公民可以使用该卡获得多项服务，例如获得驾驶执照、护照、买卖土地、开设银行账户等。孟加拉国计算机紧急响应小组 (CERT)、政府新闻办公室、驻华盛顿大使馆和驻纽约领事馆均未回应置评请求。马科普洛斯表示，找到这些数据“太容易了”。

https://yro.slashdot.org/story/23/07/07/211258/bangladesh-government-website-leaks-citizens-personal-data?utm_source=rss1.0mainlinkanon&utm_medium=feed

3、Hackrate发布道德黑客监控平台HackGATE

道德黑客和漏洞赏金公司Hackrate宣布发布HackGATE，这是一个专门为道德黑客项目设计的新监控平台。该公司在一份新闻稿中表示，HackGATE现在作为一项独立服务提供，旨在帮助组织更好地管理和监督安全测试和渗透测试计划，提供增强的项目控制和网络安全。它补充说，其功能使企业能够获得更高的透明度、项目分析以及对道德黑客活动的主动监控。道德黑客攻击和笔测试通过以安全且受控的方式规避或破解安全保护，对于发现系统漏洞和潜在数据泄露来源非常有用。然而，有效监控道德黑客项目并确定测试结果的清晰度对于许多企业来说可能是一个重大挑战，而保持透明度是公司可能面临的另一个问题。HackGATE与SIEM 系统集成，将道德活动与真实攻击分开。Hackrate声称，HackGATE用“先进技术”，并与领先的安全信息和事件管理（SIEM）系统集成，以确保全面的项目分析。它补充说，其功能包括识别攻击类型、记录安全数据以及以可点击的 PDF 格式生成单独的渗透测试报告。Hackrate首席执行官兼联合创始人在博客中写道，该解决方案还通过在授予道德黑客访问IT系统之前强制执行强大的身份验证方法来区分渗透测试人员和现实攻击者的活动。

https://www.csoonline.com/article/644922/hackrate-releases-ethical-hacking-monitoring-platform-hackgate.html

4、语音钓鱼攻击平台LetsCall：毁灭性的三重攻击

最近ThreatFabric的研究人员发现了一种新的、高度先进的语音钓鱼操作，称为 LetsCall。它是一个随时可用的平台，任何攻击者都可以使用，因为它类似于欺诈性特许经营权，其中包含详细的说明和实施恶意行为的所有必要工具。LetsCall 背后的犯罪分子采用三步策略来剥夺受害者获得退款的机会。攻击首先从假冒的Google Play网站下载恶意下载应用程序。研究人员无法弄清楚攻击者到底是如何鼓励受害者访问此页面的。然而，一旦安装，引导加载程序就会请求所有必要的权限来启动下一阶段的攻击。第二阶段是下载功能强大的间谍应用程序，从下载器应用程序在后台执行。当尝试访问某些银行资源时，间谍能够将用户重定向到网络钓鱼页面，允许黑客从受害者的设备窃取数据，还将受感染的设备连接到攻击者使用的P2P -VoIP网络。正是在这个阶段，黑客可以拦截受害者用于登录在线银行服务的凭据，这要归功于模仿合法银行网站设计的网络犯罪钓鱼页面。在第三阶段，受害者的设备上安装了另一个附加应用程序，扩展了上述间谍的功能。该应用程序支持拨打电话的功能，以及将受害者设备的拨出电话直接重定向到攻击者的呼叫中心的能力。呼叫拦截阶段有自己的一组可定制命令。其中一些与地址簿操作有关，例如在电话簿中创建和删除联系人。其他命令涉及创建、修改和删除过滤器，这些过滤器确定应用程序应拦截哪些调用以及应忽略哪些调用。此外，第三阶段的恶意软件还包含模仿银行服务分配答录机的预先录制的音频消息。LetsCall攻击者群体由专门从事基于语音的社交工程攻击的Android 发人员、设计师、前端和后端开发人员以及呼叫中心运营商组成。LetsCall与其他形式的语音网络钓鱼的不同之处在于它使用了先进的规避技术。操作过程中安装的所有三个恶意APK文件都使用了各种混淆方法，受害者设备上安装的防病毒程序对此没有响应。目前，LetsCall正在被用来攻击韩国境内的人，但专家尚未发现将该活动传播到其他国家的任何技术限制。由于攻击工具包已全部转移给付费访问者，因此本地攻击者只需将其改编为在自己的国家/地区使用，并找到几个“呼叫中心运营商”来进一步处理受害者即可。这种先进而复杂的网络钓鱼形式凸显了犯罪策略的不断演变以及攻击者利用任何技术达到自己目的的能力。LetsCall 背后的团队展示了 Android安全和语音路由技术的丰富知识。

https://www.securitylab.ru/news/539792.php

5、专家分析俄罗斯RuNet与互联网“断线”测试的细节

专家们了解了RKN于7月4日至5晚上进行的将 Runet与国际互联网断开的演习的细节。网络安全专家表示，此次检查仅涉及中央联邦区的移动网络，持续了大约40分钟，而不是据称的两个小时。该测试的目的是确定俄罗斯服务对外部资源的依赖程度。演习期间，流量减少，影响了俄罗斯联邦的两家移动运营商。RKN封锁了部分国际流量，以确定RuNet的稳定性。移动公司的消息人士证实，此次演习是由ILV发起的。他们报告说，他们选择了用户活动最少的时间，并收到了少量投诉。演习仅在凌晨三点至五点在中央联邦区的移动通信网络上进行。莫斯科和莫斯科地区的Rostelecom和Tele2用户在测试过程中遇到了互联网访问问题，测试持续了大约40分钟。MTS、VimpelCom、Rostelecom、Tele2和数字发展部拒绝对此事发表评论。Megafon和Roskomnadzor没有回应媒体询问。RKN代表回顾说，《Runet稳定性法》规定每年至少进行一次演习。他表示演习很成功，但没有具体说明为组织者设定了哪些任务。圣彼得堡政府还证实，正在该市测试主权互联网，但不会中断网络。他们解释说，为了确保Runet在与国际网络隔离的情况下的稳定性，使用了重复的域名注册机构和DNS服务器自治系统。俄罗斯不是第一个也不是最后一个关心其数字主权的国家。世界上有很多国家限制对国际互联网的访问或创建自己的国家网络的例子。例如伊朗、朝鲜等。这是因为互联网不仅是信息来源，而且还是影响、宣传和破坏稳定的工具。

https://www.securitylab.ru/news/539800.php

6、Yandex.Music流媒体平台推出基于AI的新型音乐内容审核系统

Yandex.Music流媒体平台与音乐产业协会(AMI)合作，推出了新的音乐内容审核系统。将使用机器学习技术和随后的人工审核来分析作品中的不当或成人内容。据该公司称，该系统将能够高精度地识别和标记成人内容，并带有“Explicit”标记，从而在儿童模式下保护儿童。正在实施的系统还将确保识别可能引起听众不适的敏感主题内容。AMI首席执行官Valery Drobysh表示：“音乐流媒体平台内容政策的存在是全球的普遍做法。在听众的兴趣和舒适度与艺术家自我表达的可能性之间取得平衡非常重要。”新系统也受到政界人士的积极欢迎。国家杜马信息委员会主席亚历山大·辛施泰因(Alexander Khinshtein)表示，希望混合审核有助于避免不当内容的事件。国家杜马代表安东·戈尔金（Anton Gorelkin）称这是市场自律的成功范例，企业无需等待用户投诉，就独立努力创造安全舒适的互联网环境。SecurityLab.ru主编Alexander Antipov表达了他对Yandex.Music创新的担忧：尽管Yandex和音乐产业协会为听众创造更安全空间的倡议乍一看似乎很高尚，但值得仔细审视。审查制度虽然在人工智能的主持下，但仍然是审查制度。基于机器学习的系统很可能会犯错误，并对许多作品进行错误分类。最终，这可能会导致无辜曲目被屏蔽或贴错标签，从而侵犯创作自由和艺术家的权利。重要的是要记住，我们正在处理艺术，就其本质而言，艺术并不意味着绝对的分类。艺术应该唤起情感、问题，有时甚至是不适，因为这就是它让我们成长和发展的方式。如果我们开始用算法和代码限制这种魔力，我们就会危及艺术的本质。也许我们应该问自己这样一个问题：为了保护我们的耳朵免受潜在不便内容的影响，是否值得牺牲艺术无缝表达人类经验的能力？”

https://www.securitylab.ru/news/539799.php

7、新的“Big Head”勒索软件显示虚假的Windows更新警报

安全研究人员剖析了最近出现的一种名为“Big Head”的勒索软件病毒，该病毒可能通过推销虚假Windows更新和Microsoft Word安装程序的恶意广告进行传播。网络安全公司Fortinet之前曾分析过该恶意软件的两个样本，该公司研究了感染向量以及恶意软件的执行方式。8日，趋势科技发布了一份有关Big Head的技术报告 ，声称这两个变体以及他们采样的第三个变体均来自同一操作员，该操作员可能正在尝试不同的方法来优化其攻击。“Big Head”勒索软件是一种 .NET二进制文件，它在目标系统上安装三个AES加密的文件：一个用于传播恶意软件，另一个用于Telegram机器人通信，第三个对文件进行加密，还可以向用户显示虚假文件Windows更新。执行时，勒索软件还会执行一些操作，例如创建注册表自动运行项、根据需要覆盖现有文件、设置系统文件属性以及禁用任务管理器。每个受害者都会被分配一个唯一的ID，该ID可以从%appdata%\ID目录中检索，也可以使用随机的 40个字符的字符串生成。勒索软件会删除卷影副本，以防止系统轻松恢复，然后再加密目标文件并在其文件名中添加“.poop”扩展名。Windows、回收站、Program Files、Temp、Program Data、Microsoft和App Data目录将被跳过加密，以避免导致系统无法使用。Big Head并不是一种复杂的勒索软件，其加密方法相当标准，其规避技术也很容易检测。已发现的多种变体表明，Big Head的创建者正在不断开发和完善该恶意软件，尝试各种方法，看看哪种方法最有效。

https://www.bleepingcomputer.com/news/security/new-big-head-ransomware-displays-fake-windows-update-alert/

8、梭子鱼（Barracuda）正在修复持续存在的电子邮件网关登录问题

电子邮件和网络安全公司Barracuda正在努力解决一个持续存在的问题，该问题会触发无效登录错误并阻止Email Gateway Defense用户登录其帐户。登录问题显示“登录链接无效”错误的根本原因已经确定，该公司表示，根据当前预计的时间表，这一已知问题将在下周五（14日）之前得到解决。梭子鱼表示：“我们正在调查用户发现的登录问题，并已确定问题所在。我们正在努力解决该问题，暂定修复时间将在7月14日或之前发布。”“我们感谢您在我们解决此问题时的理解和支持，并对由此可能造成的任何不便表示诚挚的歉意。”该公司尚未透露导致这些登录问题的原因及其广泛程度的详细信息。早些时候，BleepingComputer联系到梭子鱼发言人时，并未立即发表评。此事件发生之前发生了一系列数据盗窃攻击，其中Mandiant追踪到的疑似黑客组织UNC4841使用现已修补的零日漏洞(CVE-2023-2868)破坏了Barracuda ESG（电子邮件安全网关）设备。5月19日，梭子鱼透露该漏洞正在被积极利用。作为预防措施，CISA还向美国联邦机构发出警报，命令他们保护其网络免受攻击。至少自2022年10月起，CVE-2023-2868就被利用  来删除以前未知的恶意软件并从被黑的设备中窃取数据。上个月早些时候，梭子鱼采取了一项相当非传统的举措，免费为受影响的客户提供了更换设备，而不仅仅是在警告所有被黑的ESG设备必须立即更换后，用新固件重新镜像现有设备。

https://www.bleepingcomputer.com/news/security/barracuda-working-on-fix-for-ongoing-email-gateway-login-issues/

9、加拿大永明人寿 (Sun Life)的供应商遭网络攻击致部分美国客户的个人数据泄露

加拿大领先的保险提供商之一永明人寿(Sun Life)表示，其供应商之一在6月份受到全球网络攻击的影响后，部分美国客户的个人数据遭到泄露。虽然Sun Life US不使用MOVEit（此次攻击的目标文件传输软件），但其供应商之一Pension Benefit Information(PBI)表示，一些会员的个人信息在事件期间被未经授权的第三方访问。永明人寿表示，它与PBI共享某些信息，以支持业务运营，例如及时支付人寿保险和相关福利。此外，PBI使用MOVEit在内部和各方之间传输文件。黑客能够访问某些会员和帐户持有人的姓名、社会安全号码、保单和帐号和/或出生日期等信息。然而，根据美国永明金融的通知，账户价值或医疗索赔等财务信息并未被曝光。该公司向其成员保证，他们“非常重视”信息安全，并正在与PBI进行调查。到目前为止，没有迹象表明与该事件有关的身份盗窃或欺诈行为。针对信息泄露事件，永明金融表示，他们正在“与PBI合作确认所涉及的会员数据”，并将相应通知会员。他们还将提供信用监控和身份保护服务。永明金融补充说，鼓励会员亲自监控他们的账户和信用记录，以发现“未经授权的活动迹象”，并更改他们的账户密码——即使后者没有在泄露事件中暴露。该公司还建议客户向Equifax、Experian和TransUnion等信用机构发出信用卡冻结或欺诈警报，以提供额外的保护，防止个人信息被滥用。 

https://www.ctvnews.ca/business/global-cyberattack-affected-some-sun-life-members-information-company-says-1.6472126

10、美国联邦检察官对涉嫌一水处理厂的网络攻击者提出指控

美国检察官办公室称，一名3 岁的男子因涉嫌在两年多前袭击愉景湾水处理厂的计算机系统而面临联邦刑事指控。检察官援引6月 27日提交并于周四（7月6日）启封的起诉书称，Rambler Gallo是马萨诸塞州一家私营公司的全职员工，该公司与愉景湾签订了运营该镇水处理厂的合同。该工厂为该镇15,000名居民的供水和废水系统提供处理服务。检察官称，2016年7月至2020年12月期间，加洛担任该公司的“仪表和控制技术人员”，负责维护工厂用于管理机电流程的仪表和计算机系统。检察官称，在此期间，加洛据称在他的个人电脑和公司的专用网络上安装了软件，使他能够远程访问工厂的网络。加洛于2021年1月从公司辞职。当月晚些时候，据称他远程访问了工厂的计算机系统，并卸载了作为工厂网络主要枢纽、保护整个水处理系统（包括水压、过滤和化学水平）的软件，关闭了水处理厂的主要运营和监控系统，然后关闭了运行这些系统的服务器，对公众健康和安全构成威胁，据检察官称。加洛被指控传输程序、信息、代码和命令以对受保护的计算机造成损坏。如果罪名成立，他将面临最高10年监禁和25万美元罚款的法定处罚。加洛周四（6日）首次出庭。他的下一次露面定于7月20日。

https://www.siliconvalley.com/2023/07/06/charges-filed-in-cyber-attack-on-east-bay-water-treatment-plant/

11、严重的TootRoot漏洞可让攻击者劫持社交网络平台Mastodon的服务器

Mastodon是免费开源的去中心化社交网络平台，已修复了四个漏洞，其中一个漏洞非常严重，允许黑客使用特制的媒体文件在服务器上创建任意文件。Mastodon拥有约880万用户，分布在由志愿者托管的13,000个独立服务器（实例）中，以支持不同但相互连接（联合）的社区。所有修复的四个问题都是由Cure53的独立审计员发现的，Cure53是一家为在线服务提供渗透测试的公司。审计人员应Mozilla的要求检查了Mastodon的代码。最严重的漏洞被追踪为CVE-2023-36460，并被命名为TootRoot。它为攻击者提供了一种特别简单的方法来破坏目标服务器。CVE-2023-36460是Mastodon媒体处理代码中的一个问题，它允许在toots（相当于推文）上使用媒体文件，从而导致一系列问题，从拒绝服务(DoS)到任意远程代码执行。尽管Mastodon的安全公告很简洁，但安全研究员Kevin Beaumont强调了与TootRoot相关的风险，称可用于在向Mastodon用户提供内容的服务器上植入后门。第二个严重缺陷是CVE-2023-36459，这是Mastodon中使用的oEmbed预览卡上的跨站点脚本(XSS)，允许绕过目标浏览器上的HTML清理。利用此缺陷的攻击可用于帐户劫持、用户模拟或访问敏感数据。Mastodon解决的另外两个漏洞是CVE-2023-36461和CVE-2023-36462，前者是通过缓慢的HTTP响应造成的高严重性DoS缺陷，后者也被评为高严重性，可让攻击者以欺骗性方式格式化经过验证的个人资料链接。可用于网络钓鱼的方式。

https://www.bleepingcomputer.com/news/security/critical-tootroot-bug-lets-attackers-hijack-mastodon-servers/

12、乌克兰通过定制人工智能俄乌战争中获得优势

乌克兰在最严格的条件下 开发并实施了自己的人工智能（AI）平台，以创造出西方军队认为不可能的东西。“乌克兰人正在做很多事情，”驻乌克兰的福克斯新闻撰稿人布雷特·维利科维奇告诉福克斯新闻数字媒体。“我的意思是，战场上的这种创新现在是绝无仅有的。而且，老实说，美国政府、西方政府并不知道正在发生的创新。人工智能悄然发挥了重要作用，帮助乌克兰在对抗俄罗斯这个规模更大、看似更强大的对手时表现得如此出色，为这个较小的国家提供了原本可能没有的广泛优势。《国防》杂志称乌克兰战争是“前所未有的人工智能试验场”，“双方现在都普遍使用无人机和徘徊弹药”，“人工智能增强了飞行、瞄准和射击的自主能力”。乌克兰数字化转型部副部长乔治·杜宾斯基 (George Dubynskiy)告诉福克斯新闻数字频道，部分关键在于该国决定创建自己的人工智能平台，该平台允许工程师根据特定用途进行定制。一位自称“马克斯”的乌克兰工程师专家与杜宾斯基一起发言，讨论了该国庞大的闭路电视摄像机网络和其他监控基础设施，这些基础设施使军队能够广泛使用计算机视觉。人工智能的报道主要集中在大型语言模型和生成式人工智能平台上，但计算机视觉专注于通过人工智能平台解释和分析视觉数据，已经为广泛的行业带来了巨大的好处和任务。比如，由于无人机和无人机的广泛使用，它帮助军方追查在俄罗斯入侵和部队调动期间涉嫌战争罪的人员。通过捕获的镜头，人工智能可以为用户识别和分类各个元素。乌克兰通过人工智能开发所取得的最令人印象深刻的成就是，工程师们用美国公司使用的预算的一小部分完成了所有这一切。 

https://www.foxnews.com/world/ukraine-gained-advantage-war-putin-custom-built-ai-unprecedented-testing-ground

13、量子突破：超导量子比特的使用寿命延长了10倍

超导量子技术长期以来一直有望弥合现有电子设备与其背后微妙的量子世界之间的差距。不幸的是，过去十年来，确保关键流程稳定性方面的进展陷入停滞。马里兰大学的研究人员创造了超导量子位，其使用寿命比以前长10倍，该研究发表在《物理评论快报》上。量子位在计算中非常有用，因为它们的量子特性以数学上方便的方式纠缠在一起，可以解决某些复杂的算法，在瞬间解决选定的问题，而其他技术需要数十年或更长时间。研究人员已经构建了所谓的Fluxonian量子位，可以存储信息1.43毫秒。这似乎是一个很短的时间，但它比之前的记录提高了10倍。构建量子位的方法有多种，每种方法都有其支持者。Fluxium是一种基于超导电路关键节点操作的量子位。使用超导系统测量电子量子特性的一大优势是它们已经基于电子电路——我们在这方面拥有大量的制造经验。这就是Fluxonian量子位在理论上更适合大型系统和减少错误的原因之一。但到目前为止，相干时间（可以记录数据的时间）太短，无法发挥作用。这一最新进展将Fluxium量子位带回到了Transmon量子位的游戏中，Transmon量子位是目前 Google和IBM等公司在其量子计算机中青睐的超导量子位类型。研究人员在发表的论文中写道：“值得注意的是，即使在毫秒范围内，相干时间也会受到材料吸收的限制，并且可以通过更严格的制造来进一步改善。”“我们的演示可能有助于下一代量子处理器的错误抑制。”换句话说，研究人员相信Fluxium量子比特在相干性和稳定性方面可以走得更远。当科学家寻求使用各种指标来扩展他们的量子计算系统时，这将非常重要。这里改进的关键是调整工作频率和电路参数，这增加了量子位的弛豫时间：其可能状态之间所需的时间，在此期间可以记录数据。显然，要使量子位在实践中可用，还有很多工作要做——例如，大多数时候它们仍然需要超低温才能工作——但如果我们每项新研究都向前推进10倍，我们的量子计算未来可能来得比我们想象的更快。

https://www.securitylab.ru/news/539788.php

14、人工智能是万事达卡打击网络欺诈者的新武器

万事达卡推出了人工智能系统来打击银行欺诈。消费者欺诈风险（CFR）系统实时检测异常客户行为并阻止可疑转账。该公司开始在英国银行实施该技术。已经使用或计划使用CFR的银行包括劳埃德银行(Lloyds Bank)、哈利法克斯银行(Halifax)、苏格兰银行(Bank of Scotland)、NatWest、Monzo和TSB。后者对该系统进行了为期四个月的试用，并表示，如果所有银行都连接到万事达卡的人工智能系统，英国可以从欺诈中节省1亿英镑。万事达卡则表示，英国其他银行将在2023年底前转向CFR。该公司还致力于在世界各地传播该技术。万事达卡表示，该技术将帮助银行和支付处理商减少欺诈损失，增强客户信心并改善用户体验。

https://www.securitylab.ru/news/539801.php

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-162

2. 5th域安全微讯早报-Vol-2023-161

3. 5th域安全微讯早报-Vol-2023-160

4. 5th域安全微讯早报-Vol-2023-159

5. 5th域安全微讯早报-Vol-2023-158

冷观网域风云激荡

智察数字安全博弈

THINK LIKE A HACKER

 ACT LIKE AN ENGINEER

Cyber Intelligence Insight

Digital Security Enhencement