20230805-5th域安全微讯早报-NO.186

网空闲话网空闲话plus

2024-08-30

络空间安全对抗资讯速递

2023年8月5日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-186 星期六

今日热点导读

1、美国防部公布2023-2027年CWF战略实施计划，解决人才缺口培养未来网络劳动力

2、FBI正在调查导致4个州医院瘫痪的勒索软件攻击

3、美国天文学家因黑客攻击“失明”

4、英国政府：网络攻击可能造成数千人死亡或致残

5、法国国防巨头泰雷兹在网络安全上大举押注

6、国际刑警组织严厉打击有关儿童性虐待材料的传播

7、阴暗市场为苹果电脑提供了轻松的黑客攻击机会

8、GitHub Copilot推出新的代码链接功能

9、Citrix服务器面临的威胁正在全球蔓延

10、黑客活动分子使用常见的网络犯罪策略为其行动提供资金

11、新的Microsoft Azure AD CTS功能可被滥用于横向移动

12、科学家赋予机器人近乎完美的夜视能力

13、晒登机牌将开启网络欺诈世界之激动人心的旅程

14、谷歌发布关于Play商店中恶意应用程序的最新报告

15、废弃医疗设备被发现含有大量有关医疗机构的信息

16、CISA公布衡量网络安全成功与否的计划

资讯详情

1、美国防部公布2023-2027年CWF战略实施计划，解决人才缺口培养未来网络劳动力

美国国防部 (DoD)本周发布了2023-2027年网络劳动力(CWF)战略实施计划，该计划直接解决国防部的网络人才缺口问题，并采取必要的举措来培养未来的网络劳动力。CWF战略实施计划文件将协助该部门推进人才管理举措，以打造更加多样化和有效的网络劳动力。CWF战略实施计划将协助该部门推进旨在培养敏捷、灵活和反应灵敏的网络劳动力的人才管理举措。该实施计划为该部门如何执行与CWF战略的四个目标相一致的22个目标和38项举措奠定了基础。实施计划旨在敏捷、灵活和响应迅速，使该部门能够适应和满足不断发展的网络领域的任务要求。该实施计划文件是对CWF战略的补充，有效期至 2027年。国防部首席信息官约翰·谢尔曼在一份媒体声明中表示：“维持一支高技能的网络劳动力队伍对于保护我们的国家免受全球网络威胁至关重要。” “该实施计划涵盖了该部门将如何采取渐进措施来培养一支在不断变化的网络领域中灵活且反应灵敏的员工队伍。”CWF战略和实施计划将使国防部能够招募、培养和留住世界上最有能力和最具统治力的网络劳动力。

https://industrialcyber.co/training-development/dod-unveils-2023-2027-cwf-strategy-implementation-plan-addresses-talent-gap-fosters-future-cyber-workforce/

2、FBI正在调查导致4个州医院瘫痪的勒索软件攻击

一家在多个州设有分支机构的大型医院网络正在处理因网络攻击而造成的大范围网络中断，联邦调查局确认这是勒索软件。Prospect Medical Holdings在加利福尼亚州、康涅狄格州、宾夕法尼亚州和罗德岛州运营着16家医院，以及由166个门诊诊所和中心组成的网络。周四（8月3日），该网络开始在全国范围内的医院面临问题，其中一些医院不得不将患者转移到其他机构并停止运营。在给Recorded Future News的一份声明中，联邦调查局表示正在调查勒索软件攻击，但表示他们无法提供更多信息，因为调查仍在进行中。没有勒索软件团伙声称对此次袭击负责。Prospect的发言人证实，该医院“最近经历了一次数据安全事件，扰乱了我们的运营。”“得知此事后，我们使系统离线以保护它们，并在第三方网络安全专家的帮助下展开调查。在我们继续调查的同时，我们将致力于解决患者的迫切需求，并努力尽快恢复正常运营。”宾夕法尼亚州和康涅狄格州的几家当地新闻媒体报道称，联邦调查局正在与医院直接合作以应对这一事件。美联社报道称，曼彻斯特纪念医院和罗克维尔总医院（均为康涅狄格州东部健康网络的一部分）的急诊科已于周四关闭。加利福尼亚州、康涅狄格州、宾夕法尼亚州和罗德岛州的当地新闻媒体追踪到，从周四开始，多家医院急诊室被迫转移病人或关门。一些医院在Facebook页面上发布了有关停电的信息。Prospect没有回应有关这是否是勒索软件事件的后续问题，但宾夕法尼亚州特拉华县 Crozer Health 的官员告诉《费城问询报》，他们正在处理勒索软件攻击。

https://therecord.media/hospital-network-facing-cyberattack

3、美国天文学家因黑客攻击“失明”

双子座北天文台是美国国家光学和红外天文学科学实验室 (NOIRLab) 的一部分，本周遭到网络攻击。这一事件迫使科学家暂时停止所有天文观测，NOIRLab本身也在 8月1日在其官方网站上宣布。双子座北天文台位于夏威夷莫纳克亚山，是双子座天文台的两座望远镜之一。第二个望远镜称为南双子座望远镜，位于智利。观测小组和NOIRLab网络安全小组的迅速行动避免了观测站遭到破坏。然而，作为预防措施，决定完全关闭Gemini计算机系统，将其与外部网络隔离。也就是说，在IT团队调查事件并制定恢复计划期间，两台望远镜都暂时停止服务。NOIRLab没有具体说明这次攻击是否是勒索软件。除了双子座北站和双子座南站外，该事件并未影响其他中心和天文台的基础设施。该实验室声明还表示，双子座天文台的网站和应用工具目前无法使用。同时，NOIRLab本身的网站仍然可用。实验室专家继续评估事件的规模，并与美国国家科学基金会的专家密切合作制定系统恢复计划。过去一年来，黑客多次袭击了各个科学中心和实验室。2022年底，智利的ALMA天文台遭到攻击，迫使研究人员暂停工作整整一个月。今年四月，美国气象学会成为勒索软件病毒的受害者。攻击者成功窃取了员工的个人数据，包括姓名、地址和出生日期。此类事件凸显了网络安全对于存储宝贵数据并完全依赖昂贵设备运行的科学组织所发挥的关键作用。

https://www.securitylab.ru/news/540660.php

4、英国政府：网络攻击可能造成数千人死亡或致残

政府警告称，未来两年内，英国关键基础设施遭受严重网络攻击的可能性为5%至25%。这些调查结果来自新的《2023年国家风险登记册》报告，该报告基于政府内部、机密的国家安全风险评估，并考虑了恐怖主义和网络攻击等恶意风险以及恶劣天气事件等非恶意风险。它列出了一些与网络相关的风险，包括针对以下方面的攻击：天然气基础设施；电力基础设施；民用核设施；燃料供应基础设施；政府；健康和社会保健系统；交通运输部门；电信系统；英国金融基础设施（由国家行为者）；一家英国零售银行（由国家行为者）。在大多数情况下，预测的攻击涉及“加密、窃取或破坏关键系统所依赖的数据或破坏操作系统”，尽管在政府攻击的情况下，还存在失去公众信任和/或干扰选举的风险。该评估将未来两年内发生此类攻击的可能性分为“4”，等级范围为 1-5，其中5是最有可能的。尽管从技术上讲，这意味着它们“极不可能”发生，而且影响被认为是“中等”，但这仍然意味着数十亿英镑（而不是数百亿英镑）的经济损失，最多造成1000人死亡和最多1000人伤亡。该报告还强调人工智能（AI）是一种“慢性风险”，即带来“侵蚀我们的经济、社区、生活方式和/或国家安全的持续挑战”。

https://www.infosecurity-magazine.com/news/uk-government-cyberattacks-kill/

5、法国国防巨头泰雷兹在网络安全上大举押注

法国国防和航空航天巨头泰雷兹以36亿美元从Thoma Bravo手中收购Imperva后，坚定地在网络安全领域扎根。从财务角度来看，预计到2024年，泰雷兹的网络安全业务总收入将超过24亿欧元（26亿美元）。显然，泰雷兹目前正朝着成为“世界级的全球网络安全领导者”的目标迈进。泰雷兹云保护和许可高级副总裁Sebastien Cano在接受Infosecurity采访时强调，自2014年以来，泰雷兹已在数字安全领域进行了九次收购。其中包括Excellium Services、S21sec和Tesserent。“Imperva对我们来说是一项重要的战略收购，使我们能够显着扩大我们的目标市场，”他说。Flint Capital合伙人谢尔盖·格里博夫 (Sergey Gribov)在接受Infosecurity采访时解释道：“由于可用的不同产品种类繁多，这种方法在网络安全市场上很有意义。这意味着首席信息安全官 (CISO)难以管理过多的产品。他们更容易采用已经拥有良好集成产品的平台，这意味着此类平台具有很大的潜力。”通过此次收购，泰雷兹将在未来12-18个月内围绕身份、数据安全和应用程序安全三个产品领域创建世界一流的全球网络安全产品组合。

https://www.infosecurity-magazine.com/news-features/thales-betting-big-on-cybersecurity/

6、国际刑警组织严厉打击有关儿童性虐待材料的传播

国际警察组织国际刑警组织完成了一项代号为“纳西尔”(Narsil) 的为期两年的全球行动，旨在关闭一个通过传播儿童性虐待材料 (CSAM) 获利的网站网络。国际刑警组织秘书长于尔根·斯托克表示：“识别和删除这些网站会降低网上虐待儿童材料的可用性和潜在的正常化，最重要的是，降低已受虐待儿童再次受害的风险。”这对三十出头的阿根廷兄弟姐妹“十多年来一直创建、维护儿童性虐待网站和相关广告活动并从中获利”。执法部门从他们家中没收了十四件电子设备以及现金和信用卡。国际刑警组织称，由于侦查恶棍的技术困难，犯罪活动长期以来一直逍遥法外。警方分别在保加利亚、泰国和俄罗斯发现并逮捕了涉案的四名男子。国际刑警组织的成功联合行动再次证明，在虚拟空间犯下的罪行并非逍遥法外。由于国际社会和各国警察部门的协调努力，才得以对这种建立在儿童痛苦基础上的愤世嫉俗的行为给予沉重打击。这是清除互联网上危险和非法内容的斗争的重大胜利。

https://www.securitylab.ru/news/540647.php

7、阴暗市场为苹果电脑提供了轻松的黑客攻击机会

网络安全公司Guardz发现了一款正在出售的HVNC工具，该工具旨在破解Mac计算机。此类软件的主要目的是窃取机密信息和用户帐户。Guardz表示，HVNC（隐藏虚拟网络计算机）正在影子市场中蔓延。作为对所声明功能的确认，开发商在托管账户上存入了10万美元的担保费。专家表示，该恶意软件的目标是寻求访问中小型企业使用的设备的攻击者。大量员工的个人数据可能是一个很好的工具，例如用于勒索。HVNC是标准VNC远程控制工具的修改版。Mac和Windows系统的技术支持都需要此类程序。它们允许您控制其他人的计算机，但需要获得所有者的许可并且能够查看专家的操作。HVNC本身允许远程攻击者完全访问受害者的设备，同时谨慎行事，无需征求许可。事实上，创建了一个完全隐藏的并行用户会话。Guardz表示，该工具相当复杂。它以隐身模式运行，大多数Apple保护措施无法检测到。重新启动系统后，恶意软件仍然存在。10万美元的托管可以帮助其他网络犯罪分子确保开发者值得信赖，因为这些资金作为一种“保险”保存在论坛的管理帐户中。虽然HVNC针对的是企业，但它对于个人计算机也同样有效。

https://www.securitylab.ru/news/540646.php

8、GitHub Copilot推出新的代码链接功能

2022年初，GitHub引入了代码链接功能，该功能可阻止与公共存储库匹配的自动代码建议。8月3日，该公司宣布推出一项新功能的封闭测试版，为开发人员提供更多控制和选择。启用后，新功能不会阻止与公共存储库匹配的生成代码，而是将其显示在侧边栏中，允许开发人员决定如何处理它：使用它、拒绝它，或者让Copilot 重写它，以便它可以执行与原始代码不符。稍后，该功能将在Copilot Chat中提供。此更新将允许开发人员探索各种库并提交代码更改请求，而不是生成公共领域中已存在的代码。新功能的一个基本要素是快速搜索引擎，可以搜索相关代码及其许可证。未来，GitHub计划添加一个选项，用于按存储库许可证、提交日期等对找到的代码进行排序。新的更新旨在使编码过程更加灵活和直观，为开发人员提供更多控制和探索空间。

https://www.securitylab.ru/news/540648.php

9、Citrix服务器面临的威胁正在全球蔓延

据Shadowserver基金会称，数百台Citrix NetScaler ADC和网关服务器已被黑客攻击以部署Web shell。该非营利组织表示，这些攻击利用了关键代码注入漏洞 CVE-2023-3519 (CVSS 9.8)，导致未经身份验证的远程代码执行 (RCE)。该漏洞早在7月份就已为人所知，当时Citrix向 NetScaler ADC和NetScaler Gateway 的企业用户报告了该漏洞。受影响的IP地址数量最多的是德国、法国、瑞士、意大利、瑞典、西班牙、日本、中国、奥地利和巴西。发现并报告该漏洞的Assetnote 已将其追溯到一个更简单版本的padding oracle攻击，该攻击会暴露加密密钥。Citrix没有透露有关此漏洞的更多详细信息。然而，现在可靠地知道，CVE-2023-3519的成功运行需要将设备配置为网关（虚拟VPN服务器、ICA代理、CVPN、RDP代理）或虚拟授权和计费服务器 (AAA)。

https://www.securitylab.ru/news/540645.php

10、黑客活动分子使用常见的网络犯罪策略为其行动提供资金

出于政治或意识形态动机运作的黑客活动团体采用广泛的资助方法来支持其行动。以色列网络情报公司KELA指出，尽管黑客行动主义似乎是通过DDoS攻击造成服务中断或通过数据泄露造成声誉损害，但这些威胁组织的作案手法涵盖更广泛的活动范围，包括常见的网络犯罪策略。这些策略包括窃取和出售数据、出售恶意软件和僵尸网络许可证、向受害者索要赎金，甚至针对没有政治意义的目标提供黑客出租服务。KELA表示，从亲俄罗斯组织Killnet开始，黑客活动分子于2021年11月推广了一个僵尸网络供雇佣，但他们的盈利方式在2023年大幅扩展。Killnet于2023年3月设立了一项黑客雇佣服务，于2023年7月宣布了一项新的DDoS雇佣服务，并于2023年 5月推出了“黑暗学校”培训计划，向感兴趣的黑客出售九门黑客课程。同样是在5月，随着该组织在Telegram上的关注人数不断增加，Killnet宣布推出一个加密货币交易平台，收取3-4%的服务费。另一个亲克里姆林宫的黑客组织Anonymous Russia也展示了除针对欧洲国家的出于政治动机的DDoS攻击之外的货币化活动。其它采用了替代的货币化方法的黑客组织还有不少。KELA认为，这些黑客组织将其行动货币化，主要是为了保持活跃并继续对其目标发起强大的攻击。然而，无论他们的资金如何，这并不能降低他们对互联网用户和组织的危险。

https://www.bleepingcomputer.com/news/security/hacktivists-fund-their-operations-using-common-cybercrime-tactics/

11、新的Microsoft Azure AD CTS功能可被滥用于横向移动

Microsoft 于2023年6月推出的新Azure Active Directory跨租户同步 (CTS) 功能创建了一个新的潜在攻击面，可能使威胁行为者更容易横向传播到其他 Azure 租户。Microsoft租户是Azure Active Directory中的客户端组织或子组织，它们配置有自己的策略、用户和设置。然而，由于大型组织可能出于组织目的而分为多个租户，因此有时允许用户在同一实体控制的授权租户之间进行同步可能更容易。6月，微软推出了新的跨租户同步 (CTS)功能，允许管理员跨多个租户和租户资源同步用户和组，从而提供无缝协作、自动化B2B项目的生命周期管理等。配置CTS时，Azure“源”租户将与“目标”租户同步，其中源用户可以自动同步到目标租户。同步用户时，仅从源推送用户，而不从目标拉取用户，这是一种单方面的同步。然而，如果配置不当，已经危害租户并获得提升权限的攻击者可能会利用新功能横向移动到其他连接的租户，然后部署恶意CTS配置以在这些网络上建立持久性。Invictus之前曾描述过此攻击面，其报告主要侧重于检测滥用此功能的威胁行为者。网络安全公司Vectra最近的插详细说明了威胁行为者如何滥用此功能横向传播到链接的租户，甚至使用此功能进行持久化。该公司还警告说，滥用此功能需要威胁行为者首先危害特权帐户或在被破坏的微软云环境中获得权限升级。

https://www.bleepingcomputer.com/news/security/new-microsoft-azure-ad-cts-feature-can-be-abused-for-lateral-movement/

12、科学家赋予机器人近乎完美的夜视能力

普渡大学的Zubin Jacob教授领导的研究团队开发了革命性的机器视觉技术HADAR（热探测和测距）。它使机器人即使在完全黑暗的情况下也能识别纹理和深度。根据发表在《自然》杂志上的一篇科学文章的作者的说法，到2030年，十分之一的汽车将实现自动驾驶，2000万个机器人将成为我们做家务和工作的助手。此类系统的效率直接取决于计算机视觉的质量。激光雷达或雷达等传统技术很难应对恶劣的照明条件。普通摄像机在黑暗中完全“失明”。热成像仪虽然在夜间也能看到，但给出的图像却是模糊的、无纹理的。HADAR结合信息论、热物理和机器学习的成果来解决这些问题。该机制允许您从热辐射中提取最大数据，恢复物体的清晰度和纹理。完全没有光所带来的信息并不比白天少。关键元件是多光谱红外相机。它可以同时捕获多个红外辐射范围内的图像。这使您可以将热信号“分解”为多个组成部分 - 温度、发射率和纹理。然后应用机器学习算法甚至可以从噪声信号中恢复图像。HADAR能够识别人眼无法看到的最细微的细节——水面上的涟漪、树皮上的皱纹、草丛中的结构。同时，图像质量就像白天一样。该传感器在不同的天气条件下工作——雾天、雨天、背光。这一发展为未来汽车的设计以及机器人技术（导航系统和图像识别）开辟了新的视角。它可用于农业以监测夜间作物状况。在医学领域，该技术将扩大热成像的可能性。

https://www.securitylab.ru/news/540637.php

13、晒登机牌将开启网络欺诈世界之激动人心的旅程

旅行前用护照和登机牌自拍是一种常见的趋势。人们在社交网络上分享照片来取悦他们的朋友和关注者。事实上，这是让自己成为网络诈骗者目标的好方法。NordVPN数字主管Robinson Jardin警告说：“当你经常上网谈论假期时，被黑客攻击的风险就会大大增加。” 主要的危险是优惠券上的条形码。任何使用公共程序的人都可以扫描它们。Jardin表示，条形码或二维码充满了黑客的数据宝库——从个人信息到普通航空公司客户的数字号码。有些条形码甚至包含护照和驾驶执照号码。此类信息在影子市场中具有很高的价值，并被用于黑客攻击、操纵信用卡以及代表受害者进行购买。通过这种方式，您甚至可以取消乘客的回程航班或更改航线 - 只是为了好玩。就连像澳大利亚前总理托尼·阿博特这样的知名人士也谈到了这一点。这位政客在Instagram上发布了一张澳洲航空登机牌的照片后不久，他的账户在短短一个小时内就遭到了黑客攻击。幸运的是，这名黑客后来被证明是值得尊敬的，只是警告了阿博特存在风险。最为常见的动机是获得忠诚度计划积分。贾丁表示，被盗的“里程”可以兑换成价值数千美元的礼品卡，从而有效地洗钱。想要拿回积分几乎是不可能的。社会工程学也被使用。攻击者冒充航空公司员工，要求确认信用卡详细信息，表面上是为了回程航班。或者代表客户致电航空公司，使用条形码中的信息来获取信息。

https://www.securitylab.ru/news/540653.php

14、谷歌发布关于Play商店中恶意应用程序的最新报告

攻击者越来越多地使用一种称为版本控制的技术来逃避Google Play恶意软件检测并接触毫无戒心的Android用户。根据谷歌网络安全行动团队 (GCAT)最近的一份报告，“使用版本控制的活动通常针对用户凭证、身份和财务” 。尽管版本控制并不是一项新技术，但它相当阴险，因为它极难检测。要使用此方法，Android开发人员首先将应用程序的无害版本上传到Play市场，该版本可以轻松通过所有必要的Google检查。然而，该版本后来进行了更新，并从攻击者的服务器接收了恶意组件，从而有效地将应用程序变成了后门。2023年5月，我们报告了恶意应用程序“iRecorder”，该应用程序在 Play Market 上发布近一年后一直保持无害。然后秘密对其进行恶意更改以监视用户。另一个例子是著名的银行木马SharkBot，它以防病毒和各种系统实用程序为幌子反复渗透到 Play市场。专家表示，用户在安装更新时应该保持警惕和小心，因为它们可能会将以前安全的应用程序变成攻击者的后门。

https://www.securitylab.ru/news/540639.php

15、废弃医疗设备被发现含有大量有关医疗机构的信息

研究人员发现，在eBay等二级市场上出售的输液泵仍然带有大量有关曾经拥有它们的医院的敏感信息。Rapid7首席安全研究员Deral Heiland和其他几位研究人员检查了13个输液泵设备品牌，例如Alaris、Baxter和Hospira，找到了其先前所有者的访问凭据和身份验证数据。这些机器是位于医院病床旁边的重要设备，可将液体、药物或营养物质输送到患者的循环系统中。此次检查揭示了医疗设备领域中一个长期存在的问题：输液泵设备上残留的关键存储数据在取消采集之前没有得到适当的清除。当医院升级或更换新型号时，这些设备通常会在二级市场上出售。在接受检查的13台设备中，有8台保存了敏感信息——Heiland表示，这证明有些设备在eBay等网站上出售之前确实已正确清除数据。大多数设备上留下的信息会向某人提供WiFi口令，这些口令很可能在美国的医疗机构中仍然有效。输液泵长期以来一直是网络安全专家和供应商关注的焦点，他们花了十多年的时间试图提高其安全性。美国联邦调查局(FBI)去年9月份警告称，这些设备中的漏洞为网络攻击留下了余地。网络安全公司Tanium的高级总监兼医疗保健策略师Shawn Surber表示，医疗保健机构“应该像处理生物材料一样严格处理设备”。内部无线网络凭证和密钥的暴露很容易导致攻击者获得网络的内部访问权限并利用该网络上的其他易受攻击的设备。Rapid7报告中提到的几家输液泵制造商没有回应置评请求。

https://therecord.media/discarded-medical-devices-have-data

16、CISA公布衡量网络安全成功与否的计划

网络安全和基础设施安全局正在优先考虑解决眼前的威胁、强化数字地形和大规模实施安全，以及该机构新的网络安全战略计划中概述的其他九个目标。该计划于周五（8月4日）发布，标志着CISA未来三年的路线图，该机构将与拜登政府合作，保护美国的数字网络免受日益严重的恶意网络攻击。“现在是我们国家面临选择的时刻：投资于合作成为默认而非例外的未来；防御和复原力方面的创新大大超过那些试图伤害我们的人；网络安全的负担被分配给那些最有能力承担的人，”报告的执行摘要写道。“网络事件给太多美国组织造成了太大伤害。通过共同努力，我们可以改变这一进程。”支持该战略的九个目标及其三个总体目标包括优先考虑协调威胁披露、主动漏洞分析和实施网络安全投资等。该计划将侧重于为致力于降低网络安全风险的机构采取基于结果的措施。其中一些指标以减少事件响应时间为中心，特别是对于联邦机构和关键基础设施合作伙伴而言。其他指标侧重于战略增长。在衡量机构合作的有效性时，CISA重点分析相关信息量的增加，以及更具体的可操作计划和事件后报告。值得注意的是，该战略还侧重于实施联邦政府支持的“设计安全”概念。人工智能软件和量子计算被强调为威胁当前网络安全协议的潜在风险技术，特别是随着可操作量子计算机的出现。

https://www.nextgov.com/cybersecurity/2023/08/cisa-unveils-plan-measure-cybersecurity-success/389156/

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-184