20230803-5th域安全微讯早报-NO.184

网络空间安全对抗资讯速递

2023年8月3日

最新热门网安资讯

Cyber-Intelligence  Brief Express

Vol-2023-184                        星期四

今日热点导读

1、日本公司启动试验以提高通信领域的网络安全

2、民族国家、犯罪分子、黑客威胁着OT和物联网环境

3、俄罗斯黑客在Microsoft Teams网络钓鱼攻击中针对政府组织

4、Tenable首席执行官指责微软在解决安全漏洞方面疏忽

5、美国科技官员对公共部门人工智能应用中的数据安全提出警告

6、超过640台Citrix服务器在持续的攻击中被植入Web shell后门

7、新的 Collide+Power侧信道攻击几乎影响所有CPU

8、印度黑客组织Bahamut使用SafeChat攻击即时通讯工具

9、密码学突破：SCARF将永久关闭黑客通过侧通道的路径

10、海洋业巨头Brunswick Corporation首席执行官证实因网络攻击损失了8500万美元

11、空军用Valkyrie无人机飞行测试人工智能代理

12、Instagram标记人工智能生成的内容

13、威胁行为者使用AWS SSM代理作为远程访问木马

14、伊朗APT34对阿联酋供应链发起攻击

15、Ivanti披露了MobileIron Core中新的严重身份验证绕过漏洞

资讯详情

1、日本公司启动试验以提高通信领域的网络安全

日本 KDDI公司、KDDI研究公司、富士通有限公司、NEC公司和三菱综合研究所 (MRI)周二（8月1日宣布，他们将开始一系列试验，探索引入软件物料清单 (SBOM) ，涵盖包含软件的程序列表，涉及通信领域，包括5G和LTE网络设备。该项目旨在帮助加强网络安全。此外，这些公司计划建立一个框架来管理该项目，并启动一项调查，以解决围绕SBOM使用的不同技术和操作问题。最新项目是在日本总务省于2023年5月11日决定委托KDDI进行“关于2023财年在通信领域引入SBOM的调查”之后进行的。该试验于8月1日进行。KDDI将负责该项目的总体管理，MRI将调查国内外趋势并研究在通信领域引入SBOM的指南草案。富士通和NEC将负责创建通信设备的SBOM并调查任何相关问题。另一方面，KDDI和KDDI Research将负责评估通信设备SBOM的准确性。在这一举措下，公司将利用SBOM来掌握软件供应链并快速响应漏洞。为加强通信领域网络安全，调查国内外趋势，研究通信领域引入SBOM指南草案。

https://industrialcyber.co/news/japanese-companies-launch-trials-to-boost-cybersecurity-across-communications-field/

2、民族国家、犯罪分子、黑客威胁着OT和物联网环境

根据Nozomi Networks发布的最新研究数据，随着民族国家、犯罪集团和黑客活动分子继续瞄准医疗保健、能源和制造业， OT和物联网环境中的恶意软件活动和有害应用程序的警报急剧增加。世界各地流程自动化程度的提高给OT环境带来了新的挑战，特别是在OT系统安全可见性有限且越来越期望能够与现有企业IT系统实现互操作的情况下，同时增加了新的物联网部署、各种传感功能、瞬态设备、附加网络和业务集成也增加了新的攻击媒介并扩大了传统的威胁格局。Nozomi在题为“OT和物联网安全报告：利用独特的遥测数据揭示威胁格局”的报告中透露，勒索软件继续困扰着全球各种规模和行业的企业。

https://industrialcyber.co/reports/malware-activity-surges-threatening-ot-and-iot-environments-with-nation-states-criminals-hackers/

3、俄罗斯黑客在Microsoft Teams网络钓鱼攻击中针对政府组织

微软表示，一个被追踪为APT29并与俄罗斯对外情报局(SVR)有联系的黑客组织在Microsoft Teams网络钓鱼攻击中针对包括政府机构在内的全球数十个组织。微软8月2日透露：“我们目前的调查表明，该活动影响了近40个全球组织。”“此次活动的目标组织可能表明了Midnight Blizzard针对政府、非政府组织(NGO)、IT服务、技术、离散制造和媒体部门的特定间谍目标。”威胁行为者利用受损的Microsoft 365租户创建新的技术支持主题域并发送技术支持诱饵，试图使用社会工程策略欺骗目标组织的用户。他们的目的是操纵用户批准多因素身份验证 (MFA) 提示，最终目的是窃取他们的凭据。攻击者使用受感染的Microsoft 365租户和技术支持主题创建新域名。

https://www.bleepingcomputer.com/news/security/russian-hackers-target-govt-orgs-in-microsoft-teams-phishing-attacks/

4、Tenable首席执行官指责微软在解决安全漏洞方面疏忽

资深网络安全高管Amit Yoran周三（8月2日）指责微软在修复影响其Azure平台的关键漏洞方面拖延，并表示这家科技巨头的缓慢反应说明了其在安全方面的疏忽。他对微软进行了严厉的公开批评——这对于网络安全领域知名企业人物来说是相对罕见的——此前，最近因微软安全漏洞而影响美国政府官员的网络攻击引发了立法者和研究人员的批评。作为Tenable的首席执行官，Yoran表示，他每年与数百家公司合作，披露和修补漏洞。他表示，微软始终未能主动、专业地解决其产品中的漏洞。“就微软而言，你有一种否认漏洞严重性的文化，”Yoran在接受CyberScoop采访时表示。美国国土安全部前国家网络安全主管约兰 (Yoran) 在周三发表的一篇博客文章中详细阐述了他对微软解决漏洞的方法的担忧。此前，他的公司的研究人员发现了 Microsoft Azure产品中的一个关键漏洞，并将该漏洞告知了微软，然后徒劳地等待技术来解决这个问题。Yoran将微软解决该问题的方法描述为“即使不是公然疏忽，也是非常不负责任的”。

https://cyberscoop.com/tenable-microsoft-negligence-security-flaw/

5、美国科技官员对公共部门人工智能应用中的数据安全提出警告

美国国务院、商务部和国防部的官员在周三（2日）由先进技术学术研究中心主办的一次活动中预览了各机构正在研究的一些人工智能用例。正在讨论的应用程序多种多样，但一个共同的主题是使用人工智能算法来促进预测分析，同时仍然确保数据隐私。商务部首席信息官安德烈·门德斯 (André Mendes) 和商务部人工智能卓越中心的数据科学家奥拉·奥鲁德-阿弗拉比 (Ola Olude-Afolabi) 强调了美国国家海洋和大气管理局一段时间以来如何使用预测性人工智能功能来预测天气状况，但他指出人工智能系统的快速进步带来了新的机遇。门德斯说：“从现在到世界末日，预测分析将成为我们生活中每一件事的一部分。” “行善的潜力是巨大的，作恶的潜力也同样巨大，所以我们需要确保我们采取适当的做法。”在国务院内部，官员们正在寻求部署预测人工智能来加快各种护照和签证流程。在国防部，人工智能系统目前正在帮助预测所需的维护和维修以及其他后勤工作，但随着官员们希望在国防部范围内扩展技术，更多的预测分析用例将发挥作用。几位官员提到了预测算法需要分析大型数据集以精确学习和运行的复杂性。门德斯表示，考虑到收集和使用的数据量巨大，确保人工智能模型中良好的数据隐私实践可能令人畏惧。

https://www.nextgov.com/artificial-intelligence/2023/08/tech-officials-caution-data-security-public-sector-ai-applications/389077/

6、超过640台Citrix服务器在持续的攻击中被植入Web shell后门

数百台Citrix Netscaler ADC和网关服务器已在针对CVE-2023-3519的关键远程代码执行 (RCE)漏洞的一系列攻击中遭到破坏并被设置后门。该漏洞此前曾被用作零日漏洞，用于破坏美国关键基础设施组织的网络。Shadowserver基金会（一家致力于增强互联网安全的非营利组织）的安全研究人员现在透露，在这些攻击中，攻击者在至少 640台Citrix服务器上部署了Web shell。Shadowserver首席执行官Piotr Kijewski告诉BleepingComputer：“我们不想透露更多信息。不幸的是，我可以说我们检测到的数量远低于我们认为的数量” 。在其公共邮件列表中表示：“我们报告了您的网络中带有Webshell的受感染设备（2023年7月30日有640个）。我们已经意识到7月20日已经发生了广泛的漏洞利用攻击。”

https://www.bleepingcomputer.com/news/security/over-640-citrix-servers-backdoored-with-web-shells-in-ongoing-attacks/

7、新的 Collide+Power侧信道攻击几乎影响所有CPU

研究人员发现了一种名为“Collide+Power”的新的基于软件的电源旁道攻击，该攻击几乎影响所有 CPU，并可能导致数据泄露。然而，研究人员警告说，该缺陷风险较低，很可能不会用于对最终用户的攻击。该漏洞由格拉茨科技大学的研究人员发现，并利用CPU硬件的弱点来泄露潜在的敏感数据。尽管发现的漏洞（CVE-2023-20583）具有研究意义，但在大多数现实情况下利用它实际上非常具有挑战性；因此它的严重程度较低。Collide+Power的主要概念是，当攻击者的数据集与其他应用程序发送的数据在CPU缓存内存中发生数据“冲突”以覆盖前者时，从测量的CPU功耗值中泄漏数据。Collide+Power包含两种变体，它们会在CPU缓存内用户的敏感数据和攻击者的数据之间造成数据冲突。第一种方法需要启用超线程，并且受害者才能访问目标秘密，例如解密密钥。第二种变体滥用操作系统中的“预取小工具”，将目标数据加载到 CPU 缓存中，并与攻击者的数据发生冲突，而不会涉及受害者。Collide+Power还可以增强其他基于软件的电力侧信道攻击，例如 PLATYPUS和Hertzbleed。

https://www.bleepingcomputer.com/news/security/new-collide-pluspower-side-channel-attack-impacts-almost-all-cpus/

8、印度黑客组织Bahamut使用SafeChat攻击即时通讯工具

印度黑客组织Bahamut使用名为SafeChat的假冒Android应用程序来传播间谍软件。该恶意软件会窃取移动设备上的通话记录、短信和位置数据。据CYFIRMA研究人员称，该间谍软件被认为是“Coverlm”的变种。该程序还能够从Telegram、Signal、WhatsApp、Viber和Facebook* Messenger等通讯软件窃取信息。Bahamut主要使用WhatsApp网络钓鱼消息来传播恶意软件。与此同时，黑客主要针对南亚居民。CYFIRMA专家还指出，Bahamut的工作方法与DoNot APT（APT-C-35）黑客组织相似，该组织以利用假间谍信使感染 Google Play而闻名。“SafeChat”应用程序有一个欺骗性的界面，给人一种真正的信使的印象，而且用户注册过程似乎完全合法。这赋予了应用程序可信度，并为恶意软件提供了良好的掩护。感染过程中的关键步骤之一是获取使用辅助服务的权限，然后利用这些权限自动向间谍软件授予额外的权限。被盗数据通过端口2053从设备传输到攻击者的服务器，并使用RSA、ECB和OAEPPadding进行加密。同时，黑客还使用“letsencrypt”证书来绕过任何拦截网络数据的尝试。

https://www.securitylab.ru/news/540582.php

9、密码学突破：SCARF将永久关闭黑客通过侧通道的路径

一个国际研究团队通过开发一种用于缓存随机化的新型高性能密码，在计算机安全方面取得了突破。该创新方法由日本东北电信研究所的Ray Ueno副教授开发，可应对侧缓存通道攻击的威胁，提供增强的安全性和卓越的性能。旁道攻击对现代计算机系统构成重大威胁，因为它们可以从毫无戒心的受害者那里秘密提取敏感信息，包括密钥和密码。我们今天确实写了其中一次攻击 。此类攻击利用了现代计算机的基本漏洞，使得应对它们变得极其困难。缓存随机化是一种很有前景的对策，但为此目的找到可靠且高效的数学函数仍然是一个未解决的问题。为了克服这个限制，上野和他的同事创建了SCARF。该方法基于通过缓存通道的攻击的综合数学公式和建模，可提供可靠的保护。此外，SCARF表现出了卓越的性能，完成随机化过程的延迟仅为现有加密方法的一半。新密码的实用性和性能已经通过严格的硬件评估和系统级模拟进行了广泛的测试。负责开发SCARF的团队，除了前面提到的Ray Ueno等东北大学成员外，还包括波鸿鲁尔大学CASA部门的成员以及日本电报电话公司NTT社会信息学实验室的研究人员。SCARF的潜在影响超出了个人计算机的范畴，因为它的实施有助于建立一个更安全的信息社会。通过缓存通道缓解攻击漏洞，SCARF在保护敏感数据和用户隐私方面迈出了重要一步。

https://www.securitylab.ru/news/540581.php

10、海洋业巨头Brunswick Corporation首席执行官证实因网络攻击损失了8500万美元

Brunswick Corporation首席执行官上周告诉投资者，一次网络安全事件将使该公司损失高达8500万美元。这家价值数十亿美元的船舶制造公司于6月13日宣布遭受网络攻击，影响了他们的系统和部分设施。该公司2021年收入近60亿美元，业务遍及24个国家。不伦瑞克官员并未证实该事件是勒索软件攻击，但表示他们被迫停止在某些地点的行动，同时专家和执法部门正在处理该事件。在公司上周的财报电话会议上，首席执行官戴夫·福克斯告诉投资者和董事会成员，这次袭击对公司第二季度的财务前景产生了毁灭性影响。福克斯解释说，“IT安全事件”导致“第二季度财务业绩低于最初预期”。在宣布这一事件后，该公司花了九天的时间才恢复正常运行，对于像 Brunswick这样规模的制造公司来说，这是一个关键的时间损失。他估计，此次攻击将使第二季度的收入减少8500万美元，全年收入将减少60至7000万美元。首席财务官Ryan Gwillim表示，网络攻击对Brunswick于2021年收购的船舶电子公司Navico产生了重大影响。没有黑客组织或勒索软件团伙承认对布伦瑞克的袭击负责。执法机构是Brunswick最大的客户群之一，但该公司还提供商业用途的发动机和小型船只。这次网络攻击是黑客和勒索软件团体针对制造公司的更大趋势的一部分。

https://therecord.media/marine-industry-giant-brunswick-lost-millions

11、空军用Valkyrie无人机飞行测试人工智能代理

空军研究实验室周三（8月2日）宣布，空军上周对由算法控制的XQ-58A Valkyrie无人机进行了三小时的飞行测试，这是对空军“协作战斗机”计划具有重大影响的里程碑。该活动于7月25日在佛罗里达州埃格林测试和训练中心附近举行。据一份新闻稿称，驾驶这架无人驾驶飞机的人工智能代理是由AFRL的自主空战作战团队开发的。作为Skyborg计划的一部分，AFRL近年来一直在研究这些类型的技术。最近的测试是在空军正在为该军种的协作战斗机（CCA）计划开发由人工智能和机器学习支持的新一代无人机时进行的。这些自主系统预计将充当下一代空中优势（NGAD）战斗机和其他有人驾驶飞机的机器人僚机，并自行执行其他任务。空军目前正在计划购买1,000架CCA无人机，并希望在本十年末之前开始部署。它计划在未来五年内在该计划及相关项目上花费超过60亿美元。美国空军人工智能测试和运营主管塔克·汉密尔顿上校表示，上周的测试具有重大意义，测试期间，第96测试联队第40飞行测试中队的一架F-15E攻击鹰与一架XQ-58A编队飞行。

https://defensescoop.com/2023/08/02/air-force-flight-tests-ai-agents-with-valkyrie-drone/

12、Instagram标记人工智能生成的内容

Instagram似乎正在实施一项功能，将ChatGPT和其他人工智能创建的社交媒体帖子标记为“人工智能生成的内容”。安全研究人员表示，此举是让网络更安全的重要一步。应用研究员Alessandro Paluzzi最近发现了该功能，紧接着Instagram母公司Meta和其他六家大型科技公司在白宫举行会议，宣布自愿承诺保护人工智能安全。这些承诺包括实施水印来标记源自“合成”用户的内容。Veridas首席执行官爱德华多·阿赞扎 (Eduardo Azanza) 通过电子邮件表示：“我们已经看到，网上流传的深度伪造图像和视频的滥用行为急剧增加。” “随着人工智能的进步，区分真实媒体和人工生成的媒体将变得越来越具有挑战性。如果没有某种标签，公众只能依靠个人直觉。”目前安全工具对人工智能生成的内容进行检测的成功率相当高，但研究人员警告说，网络犯罪分子越来越擅长逃避这些保护。

https://www.darkreading.com/application-security/instagram-flags-ai-generated-content

13、威胁行为者使用AWS SSM代理作为远程访问木马

据观察，威胁参与者在Linux和Windows计算机上使用Amazon Web Services (AWS)的系统管理器 (SSM)代理作为远程访问木马 (RAT)。根据Mitiga今天发布的一份新安全报告，攻击后利用技术允许攻击者使用单独的、恶意拥有的AWS帐户来控制代理，从而可能使他们能够进行各种恶意活动。AWS Systems Manager是一款功能强大的工具，旨在自动执行操作任务和管理AWS资源。SSM代理是一个促进Systems Manager服务与EC2（弹性计算云）实例或本地服务器之间通信的组件。研究人员 Ariel Szarf和Or Aspir在报告中表示，SSM代理的受欢迎程度和信任度导致攻击者滥用它来谋取利益。由于亚马逊对SSM代理二进制文件进行了签名，因此它通常会绕过传统的防病毒和端点检测系统，从而使检测恶意活动变得更加困难。此外，攻击者可以通过其AWS账户控制代理，使通信显得合法，从而进一步逃避检测。Mitiga的研究展示了两种潜在的攻击场景。第一种情况涉及劫持原始SSM代理进程并将其注册到不同的AWS账户。然后，攻击者可以完全控制受感染的端点，使代理充当合法的SSM代理。

https://www.infosecurity-magazine.com/news/threat-actors-use-aws-ssm-agent-rat/

14、伊朗APT34对阿联酋供应链发起攻击

与伊朗有关的高级持续威胁APT34再次出现，这一次发动供应链攻击，最终目标是获取阿拉伯联合酋长国 (UAE) 境内政府目标的访问权限。卡巴斯基EEMEA研究中心首席安全研究员Maher Yamout表示，攻击者使用恶意IT职位招聘表作为诱饵。APT34（又名 OilRig 和 MuddyWater）创建了一个虚假网站，伪装成阿联酋的一家IT公司，将招聘表格发送给目标IT公司，当受害者打开恶意文档以申请广告中的IT职位时，信息-窃取恶意软件被执行。Yamout表示，该恶意软件收集了敏感信息和凭据，允许APT34访问IT公司客户的网络。他解释说，攻击者随后专门针对政府客户，利用受害者IT组织的电子邮件基础设施进行命令与控制 (C2) 通信和数据泄露。由于下游能见度有限，卡巴斯基无法验证政府的攻击是否成功，但亚穆特表示，考虑到该组织典型的成功率，“我们评估其可信度为中高”。根据卡巴斯基的研究，阿联酋活动中使用的恶意软件样本与之前约旦 APT34供应链入侵中使用的恶意软件样本类似，使用了类似的策略、技术和程序 (TTP)，包括针对政府实体。在这种情况下，亚穆特表示，他怀疑LinkedIn被用来提供工作表格，同时冒充IT公司的招聘工作。招聘人员的策略是多年来许多网络攻击组织使用的一种策略，其中包括朝鲜的 Lazarus 组织 不止一次使用的策略，以及自称是军事招聘人员的网络攻击者。 

https://www.darkreading.com/dr-global/iran-apt34-uae-supply-chain-attack

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-178

2. 5th域安全微讯早报-Vol-2023-183

3. 5th域安全微讯早报-Vol-2023-182

4. 5th域安全微讯早报-Vol-2023-180

5. 5th域安全微讯早报-Vol-2023-179

冷观网域风云激荡

智察数字安全博弈

THINK LIKE A HACKER

 ACT LIKE AN ENGINEER

Cyber Intelligence Insight

Digital Security Enhencement