其他
20230719-5th域安全微讯早报-NO.171
网络空间安全对抗资讯速递
2023年7月19日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-171 星期三
今日热点导读
4、德国新任网络主管将“加强并集中”制定欧洲规则的工作5、又有两家外国间谍软件公司被美国列入黑名单6、俄罗斯医学实验室因勒索软件攻击暂停部分服务7、FIN8网络犯罪组织在转向勒索软件的过程中使用更新的后门8、欧洲尚未准备好迎接量子灾难:一份新报告揭示了欧盟的所有弱点9、美国科学家证明人工智能可以看到科学的未来
10、网络安全公司Sophos被新的SophosEncrypt勒索软件冒充11、乌克兰警方捣毁了另一个被指控亲俄宣传和网络欺诈的机器人农场12、有害的Rootkit对威胁格局造成日益严重的损害13、自食其果:黑客被自己的信息窃取者感染并挫败14、在轨CTF大赛:RUVDS和Positive Technologies引诱黑客进入太空
资讯详情
2、白宫推出智能设备网络安全标签计划拜登-哈里斯政府今天(18日)宣布了一项新的网络计划,为那些被认为可以安全使用且不易受到攻击的智能设备贴上标签。作为新网络安全标签计划的一部分,新的“美国网络信任标志”盾牌徽标将应用于符合特定网络安全标准的产品。该计划由美国联邦通信委员会(FCC)主席Jessica Rosenworcel提出,旨在提高智能设备的网络安全,包括智能消费产品和电子产品、气候控制系统等。“按照提议,该计划将利用利益相关者主导的努力,根据美国国家标准与技术研究院(NIST)发布的具体网络安全标准,对产品进行认证和标签,例如,需要独特且强大的默认密码、数据保护、软件更新和事件检测能力,”白宫宣布。同时,该计划旨在帮助消费者就他们打算购买的产品的安全性做出明智的决定。自愿网络安全标签计划预计将于2024年实施,已得到主要电子、电器和消费品制造商和零售商的支持,包括亚马逊、百思买、思科、谷歌、英飞凌、LG Electronics USA、罗技、高通、三星电子、耶鲁大学和August US。FCC正在注册一个用于产品的国家商标,并将就该计划的实施征求公众意见。网络安全和基础设施安全局 (CISA) 将支持 FCC 教育消费者寻找新标识,并鼓励零售商优先考虑贴有标签的产品。消费者可以通过二维码访问经过认证的设备的国家注册表,这将使他们能够更多地了解这些智能产品的网络安全。此外,到2023年底,NIST将定义消费级路由器的网络安全要求。美国能源部将与国家实验室和行业成员合作,制定电源逆变器和智能电表的网络安全标签要求,而国务院将支持FCC与国际合作伙伴合作开展类似的标签工作。“这项新的标签计划将有助于为美国人提供他们在日常生活中使用和依赖的产品的网络安全的更大保证。这对企业也有好处,因为它将有助于区分市场上值得信赖的产品”。https://www.securityweek.com/white-house-unveils-cybersecurity-labeling-program-for-smart-devices/
3、美国情报领导人要求各机构要认真对待数据美国国家情报总监办公室在其新的三年数据战略中表示,现在是认真对待数据的时候了——人类和机器如何收集、管理和利用数据,以免国家失去情报优势。“迄今为止,我们还没有将数据作为战略和运营[情报社区]资产来优先考虑。核心挑战仍然是情报部门没有按照保持我们的决策和情报优势所需的速度和规模部署数据、分析和人工智能(AI)支持的能力,”该文件称。为了解决这个问题,IC希望微调“从IC数据的收集和获取到传输、摄取、管理、利用、传播和处置的数据流生命周期”。该战略概述了四个主要目标:改善数据管理,通过新服务和工具确保数据为人类和人工智能做好准备,直接与私营部门和学术界合作,以及培养精通数据运作方式的情报官员。ODNI的战略要求自动化来准备和标记数据,以将吸收数据集所需的时间从几天缩短到几分钟。此外,每次收集或购买数据时,情报机构都必须制定如何传输、摄取、策划、利用、传播和处置数据,“考虑到其道德和适当使用,符合法律和政策, ”根据战略。这种类型的数据管理将有助于巩固“IC数据的使用、保护、传播、互操作性和生成的最低通用标准”。加强合作伙伴关系是该战略的另一个关键支柱,这可能有助于解决数据劳动力不足的问题。“数据敏锐度必须成为每个员工的核心技能,而不仅仅是数据专业人员的核心技能。员工和支持承包商需要了解、理解和重视数据利用和共享,以实现任务价值和洞察力。”该文件称。https://www.nextgov.com/analytics-data/2023/07/get-serious-about-data-us-intelligence-leaders-tell-agencies/388614/
4、德国新任网络主管将“加强并集中”制定欧洲规则的工作德国联邦信息安全局(BSI)新任局长克劳迪娅·普拉特纳 (Claudia Plattner) 告诉记者,她的目标是“加强和集中”该机构的工作,利用欧盟的杠杆来改善德国和整个国家的网络安全。“我坚信,尝试在一个国家内开展网络活动是没有意义的。这有点像试图让水留在湖的一侧,这是永远行不通的,”普拉特纳周一(17日)在波恩举行的正式就职典礼上说道。普拉特纳是一位训练有素的数学家,在7月初加入BSI之前,曾担任欧洲央行信息系统总监。她说,尽管该机构与多个国家建立了双边关系,但“欧洲层面”是“你拥有可以改变事情的真正杠杆的地方”。将该机构提升到对欧洲立法具有更重大影响力的同时,内政部也试图巩固BSI在德国的地位,德国有许多具有类似职能的国家办事处。内政部国务秘书兼联邦信息技术专员马库斯·里克特(Markus Richter)表示,政府希望授权BSI不仅成为向联邦机构提供网络安全建议的实体,而且还推动各州之间的网络安全改进。但Richter表示,目前还没有将BSI的工作与德国联邦刑事警察局(BKA)的工作结合起来,后者在全国范围内负责打击网络犯罪,并表示BKA将继续负责该问题。与此同时,在前总统离职丑闻之后,网络安全局也在努力确认其政治独立性,此前有投诉称他与一家与俄罗斯情报部门有关的企业有关联(但没有得到证实)。欧洲其他地方也在采取类似的措施来维护网络安全办公室的独立性,这些机构提供专家技术建议的努力可能会导致它们与其他政府部门甚至政治领导人发生冲突。BSI与英国国家网络安全中心(NCSC)或意大利国家网络安全局 (ACN)不同,不隶属于该国情报和执法机构,而是一个传统的政府部门,这意味着其运营独立性可能会受到影响。https://therecord.media/germany-bsi-cybersecurity-europe-claudia-plattner
5、又有两家外国间谍软件公司被美国列入黑名单美国商务部周二(18日)宣布,已将两家间谍软件制造商列入黑名单,其中包括Predator背后的公司,该公司曾被用来监视记者、政客甚至 Meta员工。该机构的工业和安全局(BIS)将总部位于希腊和爱尔兰的Intellexa以及总部位于匈牙利和北马其顿的Cytrox AD添加到其实体名单中,该名单列出了被认为威胁国家安全或外国安全的公司和其他组织或个人。美国商务部在一份新闻稿中表示,Intellexa和Predator的生产商Cytrox被列入名单是因为它们“贩运用于获取信息系统的网络漏洞,威胁到全世界个人和组织的隐私和安全”。一旦列入实体名单,希望在美国开展业务的公司必须遵守严格的许可要求和其他规则,以确保对其运营进行更好的监督。该机构在一份新闻稿中表示,Intellexa和Cytrox 现在将难以获取帮助他们开发监控工具的商品、软件和技术。据《纽约时报》报道,2021年,应希腊国家情报机构的要求,针对Meta安全政策经理Artemis Seaford部署了Predator 。据《泰晤士报》报道,西福德在Meta的工作重点是网络安全政策问题,她经常与欧洲政治官员接触。以色列间谍软件公司NSO Group和Candiru此前于2021年11月被添加到美国商务部的实体名单中。“我们仍然专注于阻止用于镇压的数字工具的扩散,”负责工业和安全的商务部副部长艾伦·埃斯特维兹在一份准备好的声明中表示。“考虑到监视工具和其他技术对国际人权的影响,我很高兴地宣布将这些内容添加到我们的实体名单中。”美国商务部指出,商业监控工具已被用来镇压持不同政见者并助长侵犯人权行为。例如,阿拉伯联合酋长国于2017年监禁了人权活动家艾哈迈德·曼苏尔,并对其进行隔离。2016年,就在曼苏尔入狱之前,他的手机上检测到了 NSO 生产的Pegasus间谍软件。https://therecord.media/spyware-companies-commerce-department-entity-list-intellexa-cytrox
6、俄罗斯医学实验室因勒索软件攻击暂停部分服务由于上周末“严重”网络攻击导致俄罗斯Helix医学实验室的系统瘫痪,该公司的客户已经连续几天无法收到检测结果。根据该实验室周一(17日)发布的一份声明,黑客试图用勒索软件感染该公司的系统。该公司告诉俄罗斯国有通讯社塔斯社,其技术团队在未支付赎金的情况下部分恢复了其网站、移动应用程序和其他电子医疗服务的功能。Helix表示,此次黑客攻击并未泄露客户个人数据,但由于服务中断,该公司无法按时向客户提供医疗检测结果。截至周二,一些客户已经收到了测试结果,但许多其他客户在该公司的官方Telegram频道上抱怨说,他们还没有收到结果并寻求退款。一些评论者表示,他们在住院之前需要检测结果,或者正在寻求COVID-19检测。该公司表示,为了防止未来发生类似的网络攻击,该公司已重置所有客户密码并加强其安全协议。Helix信息安全部门负责人Aleksandr Luganskiy告诉塔斯社,将根据调查结果确定是否需要执法机构参与。截至本文发表时,Helix尚未回应置评请求。目前尚不清楚哪个组织对网络攻击负责,也不清楚黑客是否出于经济或政治动机。5月初,一群亲乌克兰黑客表示,他们从俄罗斯医学实验室连锁Citilab窃取了14TB的数据。该组织公布了约50万人的个人信息,包括姓名、出生日期、电话号码和电子邮件地址,据称是为了对该公司发出警告。据专门从事数据智能的公司DLBI称,公布的数据是真实的。目前尚不清楚花旗银行是否就数据泄露事件与黑客进行过任何接触。https://therecord.media/russian-medical-lab-suspends-some-services-after-ransomware-attack
7、FIN8网络犯罪组织在转向勒索软件的过程中使用更新的后门FIN8网络犯罪组织在其网络攻击中使用了更新的后门,其中越来越多地涉及勒索软件。赛门铁克的威胁追踪团队表示,它观察到该组织在发送名为Black Cat或AlphV的勒索软件之前部署了Sardonic后门的变体。两年前,Bitdefender的研究人员对Sardonic后门进行了检查,专家表示,它的功能非常强大,因为它“具有广泛的功能,可以帮助威胁行为者在不更新组件的情况下即时利用新的恶意软件”。赛门铁克在最近看到的版本中表示,“后门的大部分功能都已更改,以赋予其新外观。”研究人员表示:“此外,一些修改看起来不自然,这表明威胁行为者的主要目标可能是避免与之前披露的细节相似。”“例如,当通过网络发送消息时,指定如何解释消息的操作代码已移至消息的变量部分之后,这一更改给后门逻辑增加了一些复杂性。看来这个目标仅限于后门本身,因为仍然使用已知的[FIN8]技术。”该组织使用的策略与Bitdefender之前报道的策略类似,但主要区别在于使用勒索软件和重新设计的后门。该后门能够“收集系统信息并执行命令,并具有旨在加载和执行其他恶意软件有效负载的插件系统”。赛门铁克和Bitdefender均指出,FIN8因在攻击活动之间进行长时间休息以改进其策略和技术而闻名。研究人员表示,该组织于2016年1月左右成立,最初以针对酒店、零售、娱乐、保险、技术、化学品和金融行业组织的销售点终端而闻名。赛门铁克表示,该组织通常使用社会工程和鱼叉式网络钓鱼作为其首选的初步妥协方法,然后再“滥用合法服务来掩盖其活动”。自2021年以来,FIN8已转向部署勒索软件,最初使用Ragnar Locker勒索软件攻击美国的金融服务公司。到2022年1月,研究人员发现了FIN8和White Rabbit勒索软件之间的联系,赛门铁克表示,它在12月看到该组织在攻击中部署了AlphV。https://therecord.media/fin8-backdoor-ransomware-cybercrime
8、欧洲尚未准备好迎接量子灾难:一份新报告揭示了欧盟的所有弱点一份新的讨论文件为欧盟提出了如何利用量子技术保护成员国免受网络攻击的建议。题为“欧洲的量子网络安全”的报告由欧洲政策中心首席数字政策分析师Andrea G. Rodriguez撰写。它强调需要制定一项新的协调一致的欧盟行动计划,以便在所谓的“量子日”之前引入量子安全技术,即量子计算机可以打破现有密码算法的时刻。专家认为,这种情况将在未来5-10年内发生,可能会危及当前加密协议的所有数字信息。罗德里格斯在演讲中表示,欧盟政策层面“基本上没有讨论”量子计算的影响。因此,这导致缺乏应对“数据挖掘攻击”等短期威胁的策略,以及长期来看网络犯罪分子在等待“量子日”时的完全无助。尽管一些欧盟国家已经提交了关于如何解决“量子日”问题的提案,但罗德里格斯指出,在欧盟正式提出这一问题进行公众讨论之前,无法指望制定出真正高质量和可行的战略。罗德里格斯的报告正式承认美国目前在向后量子网络安全的过渡中处于领先地位。美国国家标准与技术研究院(NIST)正在积极致力于后量子密码学(PQC) 标准的开发,并在一年前选择了一组可以抵御量子计算机攻击的加密工具。2022年12月,美国总统乔·拜登签署了《量子计算安全准备法案》,该法案规定了联邦机构准备向量子安全加密过渡的一系列义务。罗德里格斯认为,如果欧盟采取负责任的行动,它可以在成员国之间“共享信息、转让最佳实践以及达成量子过渡的共同方法”方面发挥关键作用。为此,报告对欧盟量子网络安全提出六项建议。“因此,在快速发展的地缘政治环境中,量子网络安全议程对于欧洲的经济安全至关重要。欧洲必须立即采取行动,”分析师总结道。https://www.securitylab.ru/news/540123.php
9、美国科学家证明人工智能可以看到科学的未来新研究提出了利用人工智能(AI)扩展和加速科学发现的新方法。作者开发的模型不仅可以预测未来的科学发现,还可以生成人类科学家在不久的将来可能不会考虑的假设。作者解释说,提高人工智能的预测能力可以加快科学进步的步伐。此外,专家认为人工智能可以识别并绕过人类理解的“盲点”,使我们能够超越当前的科学前沿。研究人员根据已发表的科学发现训练人工智能模型,这不仅使他们能够将未来发现的预测提高 400%,而且能够以超过 40% 的准确度预测将做出这些发现的真正科学家。这种方法允许您创建科学系统的“数字孪生”,可用于模拟未来的研究。该方法可以发现当前教育和科学体系的弱点和缺点,这些弱点和缺点阻碍了发现新思想和方法的过程。该研究的作者之一埃文斯教授坚持认为,人工智能应该服务于改进和扩展的目的,而不是简单地复制人类的智力能力。埃文斯呼吁将人工智能视为从根本上提高人类智能的一种手段,而不是创造人工智能。埃文斯认为这是扩展和提高人类探索未知科学领域的能力的一种方式。在他看来,人工智能应该是人类思维的补充,而不是替代人类思维。这样的补充可能会导致科学领域的重大集体进步。https://www.securitylab.ru/news/540111.php
10、网络安全公司Sophos被新的SophosEncrypt勒索软件冒充网络安全供应商Sophos被一种名为SophosEncrypt的新勒索软件即服务冒充,威胁行为者使用该公司名称进行操作。MalwareHunterTeam于17日发现了该勒索软件,最初被认为是Sophos红队演习的一部分。然而,Sophos X-Ops团队在推特上表示,他们没有创建加密器,他们正在调查其发布。“我们早些时候在VT上发现了这一点,并一直在调查。我们的初步调查结果表明Sophos InterceptX可以防御这些勒索软件样本,” Sophos在推特上写道。此外,ID Ransomware显示了受感染受害者提交的一份报告,表明该勒索软件即服务操作处于活动状态。虽然人们对 RaaS的操作及其推广方式知之甚少,但MalwareHunterTeam发现了加密器的样本,使我们能够快速了解其操作方式。勒索软件加密器是用Rust 编写的,并使用“C:\Users\Dubinin\”路径作为其包。在内部,该勒索软件被命名为“sophos_encrypt”,因此它被称为SophosEncrypt,检测已添加到ID Ransomware中。执行时,加密器会提示附属机构输入与受害者相关的令牌,该令牌可能首先从勒索软件管理面板中检索到。输入令牌后,加密器将连接到179.43.154.137:21119并验证令牌是否有效。勒索软件专家Michael Gillespie发现可以通过禁用网卡来绕过此验证,从而有效地离线运行加密器。输入有效令牌后,加密器将提示勒索软件附属公司提供加密设备时要使用的其他信息。这些信息包括联系电子邮件、jabber地址和32个字符的密码,Gillespie表示这些密码被用作加密算法的一部分。研究人员仍在分析SophosEncrypt,看看是否有任何弱点可以免费恢复文件。https://www.bleepingcomputer.com/news/security/cybersecurity-firm-sophos-impersonated-by-new-sophosencrypt-ransomware/
11、乌克兰警方捣毁了另一个被指控亲俄宣传和网络欺诈的机器人农场乌克兰网络警察关闭了另一家机器人农场,据报道该农场在社交媒体上传播有关乌克兰战争的虚假信息,而就在一个月前,乌克兰中西部地区也发生了类似的非法活动。新发现的机器人农场比以前的机器人农场更大,有来自乌克兰各地的100多人参与。当局称,僵尸农场管理员使用来自不同移动运营商的约15万张SIM卡在各种社交媒体平台上创建虚假账户。乌克兰官员周一(17日)宣布,这些机器人代表俄罗斯进行信息和心理操作,包括为俄罗斯士兵在乌克兰的行为辩护并传播非法内容。乌克兰网络警察还指控机器人农场管理员进行网络欺诈,包括非法共享乌克兰公民的个人数据以及传播有关所谓安全威胁的虚假信息。调查期间,执法部门进行了21次搜查,没收了电脑设备、手机和SIM卡。俄罗斯在战争期间利用机器人农场进行宣传并制造恐慌。参与运营机器人农场的人通常会收到俄罗斯卢布付款,俄罗斯卢布在乌克兰是违禁货币。为了将卢布转换为可用资金,犯罪者大多使用WebMoney和PerfectMoney等受认可的支付系统将资金转换为加密货币并将其转移到银行卡上。管理员通常在自己的家中或废弃的建筑物中建立机器人农场,在那里他们使用服务器和SIM卡来创建和运行虚假帐户。根据乌克兰刑法,未经授权干扰信息和电子通信网络的运行被视为犯罪,并可能导致入狱。https://therecord.media/ukraine-police-bust-another-bot-farm-spreading-pro-russia-propaganda
12、有害的Rootkit对威胁格局造成日益严重的损害最近几周,攻击者利用变通办法签署恶意内核驱动程序,对Windows系统、Windows硬件质量实验室测试完整性以及专门为缓解此类威胁而设计的端点防御构成多管齐下的威胁。趋势科技高级威胁研究经理Jamz Yaneza表示,这种新兴威胁凸显了攻击者如何不断开发技术来获得对目标系统的持久性,无论是通过签名的二进制文件和Rootkit,还是在防御者犯错时通过更简单的手段。他说:“攻击者不断探测各种入口点,以便将恶意手段预先加载到操作系统和框架中。” “这本质上是一种供应链攻击,威胁行为者能够以某种方式滥用系统并获取有效的证书,然后将其应用于内核驱动程序,从而有效地绕过大多数[防御]的任何监控。”此类攻击试图利用其他操作系统,例如苹果iOS移动设备和Mac OS计算机的应用程序,但在严格控制的生态系统中收效甚微。趋势科技最近的调查显示,FiveSys Rootkit背后的组织继续在代码签名控制方面取得成功,最近找到了通过恶意签名驱动程序安装新分析的Rootkit的方法 ,以用作通用下载器。根据趋势科技本月早些时候发布的一份分析报告,分析中包含的几乎所有威胁样本(96%)都涉及签名尚未撤销的签名驱动程序,2022年发现了数十万个样本。这项研究是识别隐藏在Windows系统签名恶意驱动程序中的rootkit的最新研究。2021年10月,网络安全公司Bitdefender宣布检测到一个名为FiveSys的Microsoft签名rootkit,该rootkit会通过代理重定向来自受感染系统的流量。2022年,至少一个反恶意软件引擎检测到的签名恶意软件样本数量激增。绕过代码签名并不是最近的唯一伎俩。在去年年底的另一起事件中,一名恶意软件开发人员宣布他们创建了一个绕过Windows安全启动的Rootkit(BlackLotus),网络安全公司ESET当月晚些时候证实了这一说法。https://www.darkreading.com/endpoint/researchers-battle-pernicious-rootkits
13、自食其果:黑客被自己的信息窃取者感染并挫败恶意行为者“La_Citrix”通过访问组织的Citrix远程桌面协议(RDP) VPN服务器并将其在俄语暗网论坛上出售给最高出价者而建立了声誉。威胁行为者在可追溯至2020年的活动中使用信息窃取者窃取凭证,直到La_Citrix意外地用恶意软件感染了自己的计算机,并出售了自己的数据以及其他被盗数据的缓存,以利用Hudson Rock威胁研究人员他们潜伏在暗网上收集威胁情报。报告解释说,第一个线索表明出现了异常情况,Hudson Rock的API在被盗数据中检测到一名用户,该用户似乎是近300家不同公司的员工。Hudson Rock的报告指出:“令人惊讶的是,我们发现这名威胁行为者使用他的个人计算机精心策划了所有黑客事件,并且该计算机上安装的浏览器存储了用于各种黑客攻击的公司凭据。”经过进一步挖掘,Hudson Rock的团队很快就确定了威胁行为者的身份、地址、电话以及其恶意活动的证据。报告补充说:“Hudson Rock将把数据转发给相关执法机构。”https://www.darkreading.com/remote-workforce/hacker-infected-foiled-by-own-infostealer
14、在轨CTF大赛:RUVDS和Positive Technologies引诱黑客进入太空7月18日,Positive Technologies和国际云提供商RuVDS的体育黑客比赛拉开了帷幕。比赛以流行的CTF(夺旗)形式举行,本月发射进入地球轨道的RuVDS卫星服务器发挥了关键作用。航天器将向地球发送需要解码的信号,以便成功完成所有阶段。黑客竞赛为参与者提供了七项任务,为此你需要展示出在信息安全领域的高水平知识。其中一项有趣的测试是破解基于ChatGPT语言模型的人工智能系统。据RuVDS创始人兼首席执行官Nikita Tsaplin介绍,比赛将持续约90小时。“参加黑客马拉松不需要注册,但黑客马拉松本身会出人意料地开始:参赛者必须在我们的社交网络中找到他们的第一个任务。另外,我注意到这些任务的制定方式是为了团结不同受众的兴趣——从无线电业余爱好者到此类比赛的资深人士,”Nikita Tsaplin说道。这并不是Positive Technologies第一次参加CTF竞赛。“太空竞赛”的任务是根据对峙网络战的经验制定的。“CTF经验是Positive Technologies的DNA。公司的很多专家,包括我,都是从学校参加的。我确信这种不寻常的太空CTF方式将吸引大量不同的研究人员。”Standoff 365产品总监Yaroslav Babin说道。RuVDS服务器卫星于6月27日由联盟号2.1b运载火箭送入轨道。7月初,与托管的连接测试成功。明年,这颗卫星将为教育、研究和其他项目提供服务。https://www.securitylab.ru/news/540134.php
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement