其他
20230802-5th域安全微讯早报-NO.183
网络空间安全对抗资讯速递
2023年8月2日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-183 星期三
今日热点导读
1、美众议院立法者提出两党法案,将空间指定为关键基础设施
2、美国互联网托管公司似乎助长了全球网络犯?罪
3、美国防部高级官员称乌克兰是军事人工智能的“非凡实验室”
4、美陆军获得微软增强现实耳机的新原型
5、维基百科已成为伪装新恶意下载器WikiLoader的工具
6、英国智库:没有必要担心网络保险会促进勒索赎金的支付
7、变脸勒索组织如何公开法国CHU医院数据
8、澳大利亚立法者建议对政府设备实施微信禁令
9、伊朗黑客冒充以色列人发起有针对性的LinkedIn网络钓鱼攻击
10、Dragos:勒索软件将持续使用各种技术扰乱工业运营
11、美国能源部结果驱动型网络知情工程(CCE)方法受到更多OT网络安全公司的支持
12、CISA针对主动利用的 Ivanti MobileIron漏洞发布新警告
13、基于GPT的“DarkBERT”恶意软件在整个暗网上进行攻击
14、针对俄罗斯和塞尔维亚的网络间谍组织-太空海盗(Space Pirates)
资讯详情
2、美国互联网托管公司似乎助长了全球网络犯罪研究人员8月1日称,一家鲜为人知的美国互联网托管公司似乎部分助长了“广泛”的网络犯罪、民族国家黑客和受制裁的间谍软件供应商。此外,根据网络安全公司 Halcyon的调查,该公司知道Cloudzy“几乎肯定是一家在德黑兰运营的公司的切入点”。Halcyon的分析得出的结论是,托管公司 Cloudzy有意或无意地为与伊朗、朝鲜、俄罗斯、印度、巴基斯坦和越南有关的非法数字活动提供了平台。此外,研究人员表示,Cloudzy的基础设施已与Candiru有关,Candiru是一家以色列间谍软件供应商,于 2021年11月受到美国政府制裁。Halcyon指出,Cloudzy是一系列被犯罪分子和国家支持的黑客滥用并在世界各地开展业务的网络基础设施公司之一。但与所谓的防弹托管提供商不同的是,Cloudzy更进一步,当它似乎试图隐藏其联系时,它却表现得像一家正常公司。https://cyberscoop.com/internet-hosting-company-global-cybercrime-cloudzy/
3、美国防部高级官员称乌克兰是军事人工智能的“非凡实验室”五角大楼一名高级官员周二(1日)对记者表示,尽管俄罗斯持续入侵乌克兰是一件“可怕的事情”,但它让美国军方学到了人工智能军事应用的宝贵经验。具有一定半自主能力的无人机在冲突中发挥了重要作用。正如最近的新闻报道所述,乌克兰人越来越多地将人工智能集成到他们的系统中。“有一个非凡的实验室可以用来了解俄罗斯无端侵略乌克兰的战争性质的变化。现在,要明确的是,这是一件可怕的事情。也就是说,这种情况正在发生,我们必须努力从中学习……我可以告诉你,整个部门确实做出了强有力的努力,以确保我们弄清楚我们正在学习什么、如何学习以及在什么内容中学习。它如何影响我们如何理解战争不断变化的特征?我们也知道其他国家也在学习……我认为无人机和人工智能的作用绝对是其中的一部分,”玛拉·卡林(Mara Karlin)一直担任负责战略、计划和能力的助理国防部长,最近接任在国防作家小组会议上告诉记者,负责政策的代理国防部副部长的角色。她指出,相对低成本的无人系统曾出现在之前的冲突中,包括2021年开始的亚美尼亚和阿塞拜疆之间的战争。随着美国军方寻求自己的算法和人工智能平台,包括无人机和其他工具,五角大楼正在听取乌克兰的意见。国防部还与该领域的国际合作伙伴进行合作。https://defensescoop.com/2023/08/01/ukraine-is-extraordinary-laboratory-for-military-ai-senior-dod-official-says/
4、美陆军获得微软增强现实耳机的新原型美国陆军上周宣布,已收到最新款增强现实耳机的原型,并计划本月某个时候开始测试。根据五角大楼国防视觉信息分发服务处 7月28日发布的消息,陆军官员于上周二(7月25日)收到了 20个集成视觉增强系统(IVAS)1.2版本的原型 。陆军表示,增强现实耳机配备平视显示器,集成了“下一代态势感知工具和高分辨率模拟,可为士兵在战斗环境中提供更高的机动性和杀伤力”。该军种表示,计划在本月的用户评估中展示最新的耳机原型,其中“两个小队的士兵将使用 IVAS 1.2 来测量系统的性能,并确保工程工作按计划进行并达到设计目标。”陆军于2021年3月宣布与微软签订了一份为期10年的合同,价值高达218.8亿美元,以开发基于微软 HoloLens 耳机的设备。在测试该系统的1.0原型后,陆军于2022年12月向微软授予了一项任务订单,以开发该设备的 1.2版本。IVAS 1.2原型机的交付正值陆军开发增强现实耳机的努力面临延迟以及国防部官员对该设备可用性的审查。报告还指出,“大多数士兵在使用 IVAS 1.0 耳机时报告了至少一种身体损伤症状,包括迷失方向、头晕、眼睛疲劳、头痛、晕动病和恶心、颈部劳损和视野狭窄”。https://www.nextgov.com/defense/2023/08/army-gets-new-prototypes-microsofts-augmented-reality-headsets/389037/
5、维基百科已成为伪装新恶意下载器WikiLoader的工具Proofpoint的网络安全研究人员发现了一种新的恶意软件WikiLoader,它是一种正在积极开发的加载程序,并使用多种机制来避免检测。据专家称,自2022年12月以来,WikiLoader已在多个活动中得到修复。而意大利组织则成为这些恶意行动的主要目标。WikiLoader通过各种载体进行分发,包括带有宏的文档、包含用JavaScript编写的有效负载链接的PDF文件以及带有嵌入式可执行文件的OneNote附件。WikiLoader的主要任务是加载第二阶段的payload。据专家称,感染的第二阶段通常会带来Ursnif恶意软件的变种之一。该加载程序称为 WikiLoader,因为它向“wikipedia.com”发送HTTPS请求并检查响应是否包含字符串“The Free”。根据 Proofpoint的说法,这个技巧是用来逃避自动化分析环境的。然而,这只是旨在将恶意软件隐藏起来的众多功能之一。https://www.securitylab.ru/news/540528.php
6、英国智库:没有必要担心网络保险会促进勒索赎金的支付英国智囊团的一项研究得出结论,担心网络保险会促使公司更容易支付勒索软件的要求,这似乎是没有根据的,该研究表明保险公司应该采取更多措施来制定公司纪律。皇家联合军种研究所周一(7月31日)发表的这项研究还得出结论,英国政府“在赎金支付问题上的黑白分明的立场”——反对支付——在赎金谈判和赎金最佳实践方面造成了真空。网络保险一直受到道德风险的指责,特别是保险公司为了应对过去十年不断增长的需求,经常放弃对客户维持可验证的最低安全水平的要求。过去几年勒索软件的爆发加剧了这些担忧,尤其是因为勒索软件黑客自己在受害者网络中搜索网络保险单,以获取影响力。这项由英国国家网络安全中心资助的研究得出结论,“没有确凿的证据”表明,有保险的受害者比没有保险的受害者更有可能支付费用。学者们采访了保险网络安全行业的65名专家以及律师事务所和政府官员。研究指出:“大多数保险公司不会建议受害者支付或不支付赎金,也不会在没有进行尽职调查的情况下授权支付赎金。”https://www.govinfosecurity.com/study-downplays-cyber-insurance-as-incentive-to-pay-ransom-a-22703
7、变脸勒索组织如何公开法国CHU医院数据根据一名黑客在社交媒体上发布的帖子,来自法国雷恩大学临床中心 (CHU) 的数据据称已在网上发布。CHU员工于7月29日收到一封可疑电子邮件。由于存在欺诈风险,医院敦促其工作人员和患者在未来几天保持谨慎。白帽黑客SAXX在社交媒体上 声称 ,网络犯罪组织变联已开始释放 300GB数据。被盗数据包括个人数据、财务文件和医院医务人员的信息。SAXX对肇事者的行为表示惊讶。黑客表示,这样的泄密可能表明与医院的谈判尚未成功。SAXX还补充说,必须小心,因为患者的医疗数据可能会被共享。一个月前,CHU遭遇网络攻击,个人数据被盗。医院尚无法确切确定哪些数据被泄露,但怀疑其中可能包括来自牙科护理中心 (CSD)、心脏病技术室和 CHU实验室的患者数据。此外,调查显示,CHU员工也可能是数据泄露的受害者。https://www.securitylab.ru/news/540526.php
8、澳大利亚立法者建议对政府设备实施个别社交媒体禁令9、伊朗黑客冒充以色列人发起有针对性的LinkedIn网络钓鱼攻击伊朗和以色列之间正在进行的网络战争再次成为头条新闻,以色列内部情报机构辛贝特(Shin Bet)成功挫败了针对以色列用户,特别是来自各个组织的研究人员和公务员的复杂鱼叉式网络钓鱼攻击。这次攻击显然是由来自伊朗的国家支持的黑客发起的,他们利用虚假的LinkedIn个人资料和复杂的社会工程技术来未经授权地访问以色列公民的计算机并窃取敏感信息。Shin Bet援引i24news透露,伊朗黑客的作案手法包括创建虚假个人资料、冒充真正的以色列公民,并在LinkedIn上发起对话,然后通过电子邮件继续通信。这种方法使黑客能够建立信任和可信度,从而更容易说服目标打开附件或单击链接。在对话过程中,恶意行为者会发送看似无害的附件,例如会议邀请或与目标职业兴趣相关的文件,例如研究或文章。https://www.hackread.com/iran-hackers-israel-linkedin-phishing-attack/
10、Dragos:勒索软件将持续使用各种技术扰乱工业运营工业网络安全供应商Dragos透露,今年第二季度是勒索软件组织异常活跃的时期,对工业组织和基础设施构成了重大威胁。数据显示,北美地区的事故数量比上一季度增加了 27%,对关键基础设施构成了重大威胁。“针对工业目标的勒索软件攻击的增加及其随之而来的影响凸显了勒索软件生态系统的快速增长以及这些组织为实现其目标而采用不同的策略、技术和程序 (TTP),”高级威胁猎人 Abdulrahman H. Alamri在7月31日是的博客文章中写道。Dragos公司再次透露,它预计勒索软件将持续使用各种技术扰乱工业运营,无论是通过将运营技术 (OT) 杀伤流程集成到勒索软件菌株中,还是通过扁平化网络允许勒索软件传播到 OT环境中,或操作员预防性关闭生产,以防止勒索软件传播到工业控制系统 (ICS)。Alamri透露,第二季度,“Dragos观察到,在我们监控的 66 个组织中,有 33个继续影响工业组织。这些组织继续采用以前有效的策略,包括利用零日漏洞、利用社会工程、针对面向公众的服务以及损害IT服务提供商。”今年第二季度,Dragos发现了253起勒索软件事件,与上一季度相比增加了18%。https://industrialcyber.co/vendors/dragos-analysis-shows-industrial-ransomware-will-continue-to-disrupt-operations-as-overlaps-in-victim-profiles-observed/
11、美国能源部结果驱动型网络知情工程(CCE)方法受到更多OT网络安全公司的支持OT网络安全公司Mission Secure周二(8月1日)宣布,它已与美国能源部国家实验室爱达荷国家实验室合作。该联盟将扩大结果驱动型网络知情工程(CCE)方法的采用,以保护关键基础设施免受网络威胁。通过与爱达荷国家实验室的合作,Mission Secure将应用CCE方法来帮助客户识别关键网络风险,并实施工程变更和网络安全控制来减轻这些风险。CCE技术可应用于现有设施以及仍处于设计阶段的新建设施。Mission Secure将应用CCE方法以多种方式协助关键基础设施运营商,包括进行网络风险评估、开发安全 OT(运营技术)网络设计以及优化公司流程感知OT网络安全平台的部署。CCE方法由爱达荷国家实验室开发,旨在降低针对关键基础设施系统的潜在灾难性网络攻击的风险。该方法旨在为对手设计机会,对电网、石油和天然气设施、供水系统、运输系统和其他关键资产造成现实破坏。公司的CEO表示,CCE将在未来十年改变工业网络安全,很高兴能够走在这一转型的前沿。另一家工业网络安全公司1898 & Co.021年8月与爱达荷国家实验室合作推进CCE方法。https://industrialcyber.co/news/mission-secure-partners-with-idaho-national-laboratory-to-secure-critical-infrastructure/
12、CISA针对主动利用的 Ivanti MobileIron漏洞发布新警告美国网络安全和基础设施安全局 (CISA)1日警告说,自4月份以来,国家黑客正在利用 Ivanti 的 Endpoint Manager Mobile (EPMM)(以前称为 MobileIron Core)中的两个缺陷。“至少从2023年4月到2023年7月,高级持续威胁 (APT)攻击者利用 CVE-2023-35078作为零日漏洞,从多个挪威组织收集信息,以及访问和破坏挪威政府机构的网络。” CISA周二(8月1日)表示。“移动设备管理 (MDM)系统对于威胁参与者来说是有吸引力的目标,因为它们提供了对数千个移动设备的更高访问权限,并且APT参与者已经利用了之前的 MobileIron漏洞。CISA和NCSC-NO担心政府和私营部门网络中广泛利用的可能性。据Shodan查询,目前有超过2,300个可访问的 MobileIron用户门户暴露在互联网上,其中包括十多个与美国地方和州政府机构相关的门户。该警告是在与挪威国家网络安全中心 (NCSC-NO)合作发布的联合咨询中发布的,此前还发布了一项命令, 要求美国联邦机构在 8月15日之前修补 这两个被积极利用的漏洞之一。https://www.bleepingcomputer.com/news/security/cisa-issues-new-warning-on-actively-exploited-ivanti-mobileiron-bugs/
13、基于GPT的“DarkBERT”恶意软件在整个暗网上进行攻击FraudGPT恶意聊天机器人背后的开发人员正在准备基于生成式AI和Google Bard技术的更复杂的对抗工具,其中之一将利用大型语言模型 (LLM),该模型使用整个暗网本身作为其知识库。据SlashNext报道,一名道德黑客已经发现了另一种基于人工智能的黑客工具WormGPT,他向研究人员透露,FraudGPT的发明者(在黑客论坛上被称为“CanadianKingpin12”)正在开发更多基于人工智能的恶意聊天机器人。SlashNext称,即将推出的机器人(被称为DarkBART和DarkBERT)将为威胁行为者提供类似 ChatGPT的AI功能,这些功能比现有的网络犯罪genAI产品更进一步。在8月1日发布的博客文章中,该公司警告称,人工智能可能会降低潜在网络犯罪分子的进入门槛,以开发复杂的商业电子邮件泄露(BEC)网络钓鱼活动、查找和利用零日漏洞、探测关键漏洞基础设施弱点、创建和分发恶意软件等等。SlashNext研究员 Daniel Kelley在帖子中写道:“不到一个月的时间,从WormGPT到FraudGPT,再到现在的‘DarkBERT’,突显了恶意人工智能对网络安全和网络犯罪格局的重大影响。”https://www.darkreading.com/application-security/gpt-based-malware-trains-dark-web
14、针对俄罗斯和塞尔维亚的网络间谍组织-太空海盗(Space Pirates)自2019年底以来,太空海盗网络犯罪组织将其工作重点放在间谍活动和数据盗窃上。但最近几个月,研究人员注意到方法论的变化,表明该小组已经解锁了新技术知识的宝库。Positive Technologies的研究人员警告说,近几个月来,太空海盗不仅发起了越来越多的攻击,而且还使用了新的非常规恶意软件和技术。研究人员在最新报告中表示,曾经几乎完全依赖后门的盗版者最近开始使用Deed RAT对俄罗斯公司进行大幅加强的攻击。报告称:“太空海盗组织使用大量公开可用的工具来导航网络。” “黑客还使用Acunetix来侦察其目标基础设施。与此同时,该组织的策略几乎没有改变。”Positive Technologies表示,过去一年,至少有17个组织成为Space Pirates对关键基础设施进行网络攻击的受害者,其中包括俄罗斯和塞尔维亚政府、国防、教育、农业、能源和信息安全机构。Positive Technologies在报告中表示:“网络犯罪分子的主要目标仍然是间谍活动和窃取机密信息,但该组织已经扩大了其利益和攻击范围。”https://www.darkreading.com/threat-intelligence/space-pirates-train-cyber-sabers-on-russian-serbian-organizations
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement