20230713-5th域安全微讯早报-NO.166
网络空间安全对抗资讯速递
2023年7月13日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-166 星期四
今日热点导读
资讯详情
1、美国参议院希望批准针对墨西哥卡特尔的军事网络行动
参议院一个小组希望明确授权五角大楼利用其网络力量打击来自墨西哥的非法活动。参议院军事委员会版本的2024财年国防授权法案中的一项条款将允许国防部长与其他联邦机构一起并与墨西哥政府协商,“在网络空间进行检测、监控和其他行动,以打击“从事跨越美国南部边境的各种活动的墨西哥跨国犯罪组织”。根据该法案,此类活动包括走私非法毒品和管制物质、人口贩运和武器贩运。该立法于六月底获得委员会批准,但该法案的全文直到周二(7月11日)才公布。该委员会正在根据现有授权开展这项活动,该授权将国防部作为美国唯一的主要机构,负责侦查和监测非法毒品通过空中和海上运输进入该国的情况,并拥有更广泛的权力来开展军事网络行动。该条款规定,该机构“可用于打击墨西哥跨国犯罪组织,包括美国缉毒局最新发布的国家毒品威胁评估中提到的实体。”参议员们还希望在法律颁布后60天内制定一项战略,在网络空间开展行动以打击此类活动,并每季度发布一次简报,向立法者通报此类行动的最新情况,其中包括开展行动的国家。除其他外,该战略应包括对先前描述的组织的网络存在和活动(包括信息行动)的描述,对国防部之前针对此类组织采取的任何网络行动的描述,以及与墨西哥政府对安全合作协议和工作的描述。
https://defensescoop.com/2023/07/12/senate-panel-wants-to-green-light-us-military-cyber-ops-against-mexican-cartels/
2、CISA警告危险的罗克韦尔工业漏洞被政府组织利用
网络安全和基础设施安全局(CISA)周三(7月12日)警告称,罗克韦尔自动化存在一个影响工业技术的漏洞,该漏洞正被政府黑客利用。作为全球最大的工业自动化和数字化转型技术提供商之一,罗克韦尔自动化在分析了归因于未具名APT组织的新型漏洞利用功能后,向CISA 告了CVE-2023-3595和CVE-2023-3596。CISA表示,第一个漏洞的CVSS评分为9.8分,而第二个漏洞的评分为7.5分。网络安全公司Dragos的专家表示,这些问题影响一系列通信模块,并允许黑客控制设备、窃取操作数据或操纵设备,从而“对 ControlLogix系统负责的工业过程造成破坏性。Dragos表示,在信息公开之前,它与罗克韦尔自动化合作评估了威胁,并敦促所有OT公司“尽快”将固件更新到最新版本。罗克韦尔自动化已发布所有受影响设备的更新。Dragos还表示:“利用这些漏洞的未发布的漏洞利用能力与一个未命名的APT(高级持续威胁)组织有关……截至2023年7月中旬,没有证据表明存在大规模利用这些漏洞的情况,目标受害者组织和垂直行业也未知。”罗克韦尔自动化没有回应置评请求,但发布了一份私人咨询报告,确认其与美国政府协调分析APT行为者的“新颖”利用能力。Dragos和网络安全公司Tenable的专家表示,罗克韦尔自动化产品通常由制造、电力、石油和天然气以及液化天然气行业的公司使用。
https://therecord.media/cisa-warns-of-bug-affecting-rockwell
3、阿尔巴尼亚总理抱怨美国没有向该国提供网络防御资金
阿尔巴尼亚总理埃迪·拉马周二(7月11日)表示,该国需要美国提供更多资金,以保护自己免受网络攻击,并抱怨国会“没有全力支持”提供资金。他发表此番言论之际,北约试图鼓励盟国履行《华盛顿条约》第三条规定的义务,该条强调盟国有责任保卫自己,作为联盟集体网络弹性的一部分。拉玛在与峰会同期举行的公共论坛活动上发表讲话时,被问及去年7月发生的一次扰乱全国政府服务的袭击事件以及该事件提供了哪些教训。“我们在网络方面受到了攻击,大规模的攻击。我们在数字服务方面非常先进——我们实际上在向公民提供在线服务方面名列欧洲顶尖国家之列——我们很脆弱,”总理说。美国和英国当局均将此次袭击归咎于伊朗政府,此次袭击与阿尔巴尼亚为主张推翻教权政权的圣战者联盟(MEK)成员提供庇护有关。拉马说:“为了加强我们的网络防御,我们需要国会和参议院提供更多资金。但是,你知道,当它不再出现在新闻中时,有时它就不再是问题了。所以问题仍然是我们。”据白宫称,美国今年已向欧洲防务计划拨款69亿美元,其中大部分重点用于乌克兰对抗俄罗斯。
https://therecord.media/albania-prime-minister-edi-rama-cyberdefense-assistance-congress
4、美国防部正在与业界合作解决人们生成式AI的担忧
国防部首席数字和人工智能办公室的一位高级领导人表示,五角大楼正在测试生成人工智能功能,以更好地了解它们的工作方式并制定有关其使用的指标,但仍然担心人工智能模型会产生错误的响应—或CDAO—在兰德公司周二(7月11日)主办的一次活动中说道。副首席数字和人工智能官Margie Palmieri表示,五角大楼使用生成式人工智能的方法“基于用例”,该部门将继续使用计算机视觉、自然语言处理和其他类型的机器学习算法来完成关键任务。但她补充说,“我们正在尝试不同的生成式人工智能模型。”作为帮助实施五角大楼联合全域指挥与控制(JADC2)战略的一部分,CDAO正在进行一系列实验,以支持该部门不断努力简化空中、陆地、海上和网络空间军事资产之间的通信。Palmieri表示,这些实验——被称为“全球信息主导实验”(Global Information Dominance Experiments,GIDE)——包括使用生成式人工智能,最新的 GIDE 使用了“大约五种不同的模型”。Palmieri表示,这些生成式人工智能工具在GIDE中使用“实际上只是为了测试”它们的工作方式,包括它们是否可以接受国防部数据的培训、用户如何与它们交互以及评估它们的使用所需的指标——她指出,这是一个令人担忧的问题,因为“生成式人工智能还没有真正好的评估指标,而国防部在技术领域的所有领域都对其运作效果有某种程度的了解。”尽管生成式人工智能前景广阔,帕尔米耶里警告说,“我们发现,人们对生成式人工智能的潜在缺点——特别是幻觉——没有给予足够的关注。” 当要求特定模型提供响应时,生成式人工智能幻觉就会出现,然后它会编造出完全错误或编造的答案,有时是由于数据不足或对问题的误解。
https://www.nextgov.com/artificial-intelligence/2023/07/dod-experimenting-generative-ai-even-potential-downsides-give-officials-pause/388426/
5、Chainaanalysis:勒索软件团伙2023上半年已勒索4.49亿美元
根据区块链研究公司Chainaanalysis的数据,今年前六个月勒索软件团伙的利润接近创纪录水平,向受害者勒索了超过4.49亿美元。与实际总数相比,这个数字可能相形见绌,因为该研究只关注该公司监控的加密货币钱包。如果这种趋势持续下去,勒索软件团伙预计将在2023年带来近9亿美元的收入,仅比2021年9.399亿美元的峰值低4,000万美元。Chainaanalysis网络犯罪研究负责人埃里克·贾丁(Eric Jardine)告诉Recorded Future News,导致勒索软件死灰复燃的因素有很多,而不是某个特定驱动因素,其中包括“大型游戏狩猎”的回归——勒索软件团伙以大公司为目标,希望获得勒索软件的资金。Jardine补充说,随着勒索软件团伙恢复到其典型的活动水平,俄罗斯-乌克兰战争的影响(专家认为这场战争导致2022年赎金收入相对下降)正在很大程度上消失。Chainaanalysis指出,像古巴勒索软件这样的组织被迫从以经济利益为目的的攻击转向涉及间谍活动和针对乌克兰的特定目标的其他攻击。与2021年相比,2022年勒索软件收入大幅下降,针对大型公司的大规模攻击减少。但这些团伙在2023年卷土重来,增加了对“财力雄厚的大型组织”以及小型公司的攻击次数。该公司还根据勒索软件组织跟踪支付金额,发现Dharma和Djvu等团伙的平均赎金支付金额分别为265美元和619美元。Clop、AlphV/Black Cat和Black Basta等团体的平均付款额徘徊在75万美元以上,甚至高达数百万美元。Clop以173万美元的平均支付金额和194万美元的中位数支付金额领先。Chainaanalysis的报告包含事件响应公司Kivu的评估,该评估证实了他们关于2023年支付规模增长的调查结果。
https://therecord.media/ransomware-gangs-extorted-record-amounts
6、黑客利用“RedDriver”浏览器劫持程序瞄准讲中文的微软用户
据网络安全研究人员称,黑客正在使用一种名为RedDriver的工具来针对讲中文的微软用户,该工具允许他们拦截网络浏览器流量。思科Talos团队的专家表示,他们已经发现了RedDriver的多个版本,他们认为这些版本至少从2021年起就已经在使用。研究人员表示: “RedDriver的作者似乎擅长驱动程序开发,并且对Windows操作系统有深入的了解。” 驱动程序帮助操作系统与打印机和显示器等硬件进行通信。“这种威胁似乎针对以中文为母语的人,因为它会搜索中文浏览器进行劫持。此外,作者本人很可能是说中文的,”研究人员说。思科Talos并未将RedDriver归咎于特定的网络威胁组织。研究人员表示,这次攻击始于一个名为DNFClient的恶意文件,该文件指的是在中国流行的《地下城与勇士》在线游戏。文件执行后,就会启动RedDriver的下载,思科将其称为“多阶段感染链的关键组件,最终劫持浏览器流量并将其重定向到本地主机”。RedDriver本质上是通过“利用被盗证书伪造签名时间戳,有效绕过Windows内的驱动程序签名强制策略”,使操作系统信任它不应该信任的东西。研究人员表示,他们在调查另一种工具时发现了该恶意软件。据Cisco Talos称,这次中断使黑客能够使用Windows过滤平台 (WFP)拦截浏览器流量,该公司表示,它认为目标受害者是中文母语,因为该恶意软件包含中文浏览器名称的目标列表以及谷歌浏览器和微软Edge。微软发言人承认该公司最近被告知“经微软Windows硬件开发者计划 (MWHDP)认证的驱动程序在后期处理中被恶意使用”
https://therecord.media/reddriver-microsoft-windows-malware-browser-hijacking
7、美国坦帕湾动物园遭受皇家勒索软件分支的网络攻击
美国最受欢迎的动物园之一遭受了网络攻击,涉及员工和供应商信息被盗,皇家勒索软件团伙的一个可能分支正在将功劳归咎于该组织。ZooTampa向Recorded Future News证实,它最近发现了一起影响其网络环境的事件。“在发现这一事件后,动物园迅速采取了行动,并立即聘请了第三方取证专家来协助我们保护网络环境并调查未经授权活动的程度。坦帕动物园还联系了联邦执法部门并正在与联邦执法部门合作,”一位发言人说。该组织通知了其信息可能被访问的员工和供应商,同时继续调查。“ZooTampa不会存储日常访客或会员的个人或财务信息,”他们说。该动物园一直位居全美前十名,由一家非营利组织运营,并被州政府指定为佛罗里达州野生动物保护和生物多样性中心。它正在为去年12月宣布的1.25亿美元的翻新工程筹集资金。该发言人没有回应有关此次袭击是否涉及勒索软件的进一步问题,但7月5日,BlackSuit勒索软件团伙声称袭击了动物园。Recorded Future勒索软件专家Allan Liska表示,该组织相对较新,于5月份首次出现,并已在其勒索网站上发布了三名受害者。据利斯卡称,该组织似乎与皇家勒索软件团伙有联系,该团伙对达拉斯市等地发动了引人注目的攻击。BlackSuit和Royal还与现已解散的Conti勒索软件组织有联系。Liska表示,虽然BlackSuit组织是新组织,但其操作者可能因与Conti和其他勒索软件菌株合作而经验丰富。
https://therecord.media/tampa-zoo-targeted-in-cyberattack
8、SonicWall警告管理员立即修补关键的身份验证绕过漏洞
SonicWall今天(7月12日)警告客户紧急修补多个影响该公司全球管理系统(GMS)防火墙管理和分析网络报告引擎软件套件的关键漏洞。这家美国网络安全公司7月12日总共解决了15个安全漏洞,其中包括那些可以让威胁行为者访问运行GMS 9.3.2-SP1或更早版本以及Analytics 2.5.0.4-R7 或更早版本的易受攻击的本地系统的绕过身份验证漏洞。SonicWall表示:“这套漏洞的责任已披露,其中包括四个CVSSv3评级为“严重”的漏洞(CVE-2023-34124、CVE-2023-34133、CVE-2023-34134、CVE-2023-34137),攻击者可以利用这些漏洞绕过身份验证,并可能导致敏感信息暴露给未经授权的行为者。”未经身份验证的威胁参与者可以在不需要用户交互的低复杂性攻击中远程利用它们。根据7月12日发布的安全公告,成功利用该漏洞可以实现对攻击者通常无法访问的数据进行未经授权的访问。此类数据可能包括属于其他用户的信息或受感染应用程序范围内的任何数据。受到攻击后,攻击者可以操纵或删除这些数据,从而导致被黑客攻击的应用程序的内容或功能发生“持久更改”。在漏洞披露和修补之前,SonicWall PSIRT不了解有关概念验证(PoC)漏洞利用代码的公开报告,也不知道在野外发生的主动利用此漏洞的情况。
https://www.bleepingcomputer.com/news/security/sonicwall-warns-admins-to-patch-critical-auth-bypass-bugs-immediately/
9、俄罗斯国家黑客利用宝马汽车广告引诱西方外交官
俄罗斯国家资助的黑客组织“APT29”(又名Nobelium、Cloaked Ursa)一直在使用汽车列表等非常规诱饵来引诱驻乌克兰的外交官点击传播恶意软件的恶意链接。APT29与俄罗斯政府的对外情报局(SVR)有联系,并负责针对全球高利益个人的众多网络间谍活动。过去两年,俄罗斯黑客主要针对北约、欧盟和乌克兰目标,利用网络钓鱼电子邮件和带有外交政策主题的文件以及虚假网站,通过隐形后门感染目标。Palo Alto Network的 Unit 42团队12日发布的一份报告解释说,APT29已经改进了其网络钓鱼策略,使用对网络钓鱼电子邮件收件人来说更加个性化的诱饵。在Unit 42于2023年5月观察到的最近一次APT29行动中,威胁行为者利用宝马汽车广告来针对乌克兰首都基辅的外交官。该销售传单被发送到外交官的电子邮件地址,模仿两周前准备离开乌克兰的波兰外交官散发的合法汽车销售。当收件人单击恶意文档中嵌入的“更多高质量照片”链接时,他们将被重定向到HTML页面,该页面通过HTML走私传递恶意ISO文件有效负载。使用此技术有助于逃避安全软件,因为恶意代码被混淆并且仅在浏览器中呈现时才被解码。当受害者打开任何冒充PNG图像的LNK文件时,他们会启动一个合法的可执行文件,该可执行文件使用 DLL侧面加载将shellcode注入内存中的当前进程。此次活动针对的是基辅80个外国使团中的至少22个,其中包括美国、加拿大、土耳其、西班牙、荷兰、希腊、爱沙尼亚和丹麦的使团。然而,感染率仍未知。
https://www.bleepingcomputer.com/news/security/russian-state-hackers-lure-western-diplomats-with-bmw-car-ads/
10、流行的Ghostscript开源PDF库中发现关键RCE漏洞
Ghostscript是Linux中广泛使用的PostScript语言和PDF文件的开源解释器,被发现容易受到严重程度的远程代码执行缺陷的影响。该缺陷被追踪为CVE-2023-3664,CVSS v3评级为9.8,影响10.01.2之前的所 Ghostscript版本,这是三周前发布的最新可用版本。Kroll的分析师G. Glass和D. Truman开发了针对该漏洞的概念验证(PoC),根据他们的说法,打开恶意的特制文件即可触发代码执行。考虑到许多Linux发行版中默认安装了Ghostscript,并被LibreOffice、GIMP、Inkscape、Scribus、ImageMagick和CUPS打印系统等软件使用,因此在大多数情况下触发CVE-2023-3664的机会很多。Kroll还评论说,这个问题也会影响Windows上的开源应用程序,如果这些应用程序使用Ghostscript的端口。CVE-2023-3664缺陷与操作系统管道相关,操作系统管道允许不同应用程序通过将一个应用程序的输出作为另一个应用程序的输入来交换数据。问题源自Ghostscript中的“gp_file_name_reduce()”函数,该函数似乎采用多个路径,并通过删除相对路径引用来组合和简化它们以提高效率。由于易受攻击的函数在第二个函数检查之前更改了位置详细信息,因此攻击者利用该漏洞并强制Ghostscript处理应禁止访问的位置中的文件是微不足道的。Kroll的分析师创建了一个PoC,通过使用Ghostscript在任何应用程序上打开EPS(嵌入式Postscript)文件来触发该 PoC。建议Linux用户使用其发行版的包管理器升级到最新版本的Ghostscript 10.01.2。
https://www.bleepingcomputer.com/news/security/critical-rce-found-in-popular-ghostscript-open-source-pdf-library/
11、基于Python的PyLoose无文件攻击针对加密货币挖掘的云工作负载
Wiz的新发现显示,一种名为PyLoose的新无文件攻击已观察到对云工作负载的攻击,其目标是提供加密货币挖矿程序。安全研究人员Avigayil Mechtinger、Oren Ofer和Itamar Gilad表示:“该攻击由Python代码组成,该代码使用memfd (一种已知的Linux无文件技术)将XMRig Miner直接加载到内存中。”“这是第一个公开记录的针对野外云工作负载的基于Python的无文件攻击。”该云安全公司表示,已发现近 200个使用该攻击方法进行加密货币挖掘的实例。除了威胁行为者拥有复杂的能力之外,目前尚不清楚他们的其他细节。在Wiz记录的感染链中,初始访问是通过利用可公开访问的Jupyter Notebook服务来实现的,该服务允许使用Python模块执行系统命令。PyLoose于2023年6月22日首次检测到,是一个Python脚本,只有9行代码,嵌入了压缩和编码的预编译XMRig挖矿程序。通过HTTPS GET请求将有效负载从Paste.c-net[.]org检索到Python运行时的内存中,而无需将文件写入磁盘。Python代码旨在解码和解压缩XMRig矿工,然后通过memfd内存文件描述符将其直接加载到内存中,该描述符用于访问内存驻留文件。Sysdig详细介绍了由SCARLETEEL发起的新攻击活动,该活动需要滥用 AWS 基础设施来窃取专有数据并进行非法加密货币挖掘。
https://thehackernews.com/2023/07/python-based-pyloose-fileless-attack.html
12、MOVEit漏洞攻击正在检验供应链安全的极限
自上个月末以来,俄罗斯网络勒索团伙一直在利用广泛使用的MOVEit软件中的缺陷。许多组织使用该程序来安全地传输数据和共享文件。与此同时,数百家商业企业(例如,BBC、壳牌、英国航空公司、Boots、Zellis)和政府机构(例如,美国能源部、路易斯安那州机动车辆管理局、俄勒冈州交通部、明尼苏达州教育部、新斯科舍省政府)确认受到此次袭击的影响。截止7月13日,受害者已达300个,遍布20多个国家和地区。正如网络安全和基础设施安全局(CISA)局长Jen Easterly指出的那样,与隐秘的SolarWinds黑客活动不同,MOVEit攻击相对表面,并且很快就被捕获。然而,它凸显了即使经过多年投资改善安全状况,组织仍然容易受到网络攻击。这就引出了一个问题:我们现有的网络安全实践是否真的针对当今的动态威胁形势进行了优化?MOVEit零日攻击似乎证实了白宫国家网络安全战略的呼吁,即将责任转移给未能采取合理预防措施来保护其软件的组织。拜登政府的国家网络安全战略不是行政命令,而是关于如何在国家层面制定更一致的网络安全方法的计划。该战略的执行需要获得国会的通过。鉴于当前严重的政治分歧,获得双方必要的支持将具有挑战性。这些雄心勃勃的计划最初可能会应用于政府有权管辖的关键行业。这可以通过在这些部门内制定标准并在适用的联邦机构之间执行特定的采购要求和安全标准来实现。但即使在这些情况下,这些规则也可能需要数年时间才能生效。必须承认,花钱进入安全状态的成本高昂,会产生错误的安全感,而且根本行不通。重要的是制定计划以减轻成功攻击发生时的影响,而不是专门将资源集中在防止攻击上。有远见的组织正在采用一种新的策略来应对当今日益增加的网络威胁,称为网络弹性。
https://www.securityweek.com/moveit-testing-the-limits-of-supply-chain-security/
13、北约盟国同意一系列新的网络安全承诺
在本周于立陶宛维尔纽斯举行的北约峰会上,盟国同意了一系列新的网络安全承诺。这些承诺的实质内容尚未详细说明——文件本身属于机密——但这是我们所知道的。维尔纽斯峰会公报的正式文本重申了联盟战略构想(2022)的立场,即“网络空间在任何时候都存在争议”,而不仅仅是北约在国际武装冲突情况下所关心的问题。它重申了北约的既定原则,即“一系列恶意网络活动的累积可能达到武装攻击的水平,并可能导致北大西洋理事会援引第五条”,这是一项关键承诺,即针对一个盟友的攻击应被视为针对所有盟友的攻击。但公报也宣布了新的立场。“今天,我们认可一个新概念,以增强网络防御对我们整体威慑和防御态势的贡献。它将进一步整合北约的三个网络防御层面——政治、军事和技术——确保在和平时期、危机和冲突期间始终保持军民合作,并酌情与私营部门接触。这样做将增强我们共同的态势感知。”驻维尔纽斯的盟国代表都赞同这一概念,正如一篇吸引人的标题的论文所阐述的那样:“增强网络对北约整体威慑和防御态势的长期贡献的概念。” 他们到底支持什么尚不完全清楚——这篇论文本身是保密的。公报指出:“我们决心利用全方位的能力来威慑、防御和反击全方位的网络威胁,包括考虑采取集体应对措施。”公报还确认,北约将于今年11月在柏林举行首次全面网络防御会议,“将政治、军事和技术层面的决策者聚集在一起”。
https://therecord.media/nato-new-cyber-pledges-remain-classified-here-is-what-we-know
14、Nozomi在BlueMark DroneScout ds230远程ID接收器中发现三个漏洞
Nozomi Networks Labs的研究人员周二(7月11日)披露了影响BlueMark DroneScout ds230设备的三个漏洞(严重、高风险和中风险)。其中两个漏洞可能允许攻击者欺骗远程ID信息,迫使DroneScout ds230丢弃由合法通信的无人机传输的远程ID信息。这样做的结果是攻击者能够注入与DroneScout检测到的合法无人机相关的虚假位置。研究人员补充说,发现的第三个漏洞展示了在DroneScout设备上安装恶意固件更新的能力。精心设计的更新可能包含任意文件,这些文件反过来可能导致攻击者获得底层Linux操作系统的管理权限。DroneScout ds230设备是一种(直接/广播)远程ID接收器,能够接收和解释无人机定期广播的遥测消息。“制造商BlueMark Innovations发现后已解决了固件版本20230605-1350中的漏洞。敦促ds230 户将设备升级到最新固件。”Nozomi Networks Labs团队在博客文章中写道。“其中两个被评为关键和高风险,可能会影响DroneScout设备提供的数据的可靠性以及资产所有者网络的安全。我们敦促BlueMark DroneScout ds230的所有者和使用该设备的系统集成商应用可用的固件升级,以防止对手利用所提出的漏洞。”Nozomi还指出,要求无人机定期广播遥测信息的远程ID政策和标准将在未来的航空业中发挥重要作用。“在空域安全和安全方面都是如此,因为它们允许低执法机构和关键基础设施当局等实体了解特定区域周围的无人机。如果不解决漏洞,越来越多的商用无人机可能会欺骗合法的遥测数据,这对远程ID策略和广播遥测信息的完整性构成潜在的危险风险。”CISA指出,将UAS(无人驾驶飞机系统)或无人机安全可靠地集成到国家空域系统和关键基础设施组织中,对于维护国家关键职能的安全性和弹性至关重要。
https://industrialcyber.co/vendor/nozomi-networks-detects-three-vulnerabilities-in-bluemark-dronescout-ds230-remote-id-receiver/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement