20230809-5th域安全微讯早报-NO.189

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年8月9日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-189 星期三

今日热点导读

1、美国国家标准与技术研究所正在寻求公众对其修改后的网络安全框架的反馈

2、DHS拨款3.75亿美元用于州和地方政府的网络弹性工作

3、标准普尔预计新的和正在出现的立法措施将提高网络弹性

4、白宫就困扰美国公立学校的勒索软件危机举行首次峰会

5、乌克兰表示挫败了破坏军用平板电脑的攻击企图

6、乌克兰国家机构遭受开源恶意软件MerlinAgent攻击

7、以色列一家医院在勒索软件攻击后重新安排新患者

8、黑客准备在DEF CON上攻击卫星

9、研究人员发现了一个针对英语国家以及保加利亚、中国和越南的新勒索软件团伙

10、国际刑警组织取缔16shop网络钓鱼即服务平台

11、针对英特尔CPU的新Downfall攻击窃取加密密钥和数据

12、新的Inception攻击泄露了所有AMD Zen CPU的敏感数据

13、英国选举委员会数据泄露暴露8年选民数据

14、微软2023年8月补丁星期二警告2个零日漏洞并更新87个漏洞

15、周二ICS补丁日：西门子修复了Ruggedcom产品中的7个漏洞

资讯详情

1、美国国家标准与技术研究所正在寻求公众对其修改后的网络安全框架的反馈

美国国家标准与技术研究所发布了网络安全框架2.0的初稿，其范围和指南发生了重大变化，强调灵活的建议实施。NIST在该框架推荐的网络安全计划中添加了第六个支柱。除了之前的五个（仍然是“恢复”、“识别”、“响应”、“检测”和“保护”）之外，更新后的框架还包括针对所有组织内部网络安全态势的“治理”组件。这一新功能旨在推广新的框架集成方法，并将流程重新聚焦于组织网络安全风险管理态势中个人的角色和责任。“通过这次更新，我们试图反映网络安全框架的当前使用情况，并预测未来的使用情况，”该框架的首席开发人员Cherilyn Pascoe在新闻稿中表示。“CSF是为银行和能源行业等关键基础设施而开发的，但事实证明，从学校、小型企业到地方和外国政府，它在任何地方都很有用。我们希望确保它是一个对所有部门都有用的工具，而不仅仅是那些被指定为关键部门的部门。”该框架1.1版本的其他主要更新旨在阐明如何评估和衡量组织数字系统中的网络安全改进，这一变化与网络安全和基础设施安全局上周公布的网络安全战略计划相呼应。NIST的新框架还促进将其他指导文件集成到实体的网络安全态势中，例如人工智能风险管理框架和安全软件开发框架。网络安全框架2.0仍然是一套自愿的最佳实践，任何规模和行业的组织都可以采用，而不是监管制度。

https://www.nextgov.com/cybersecurity/2023/08/updated-nist-cyber-framework-focuses-governance/389225/

2、DHS拨款3.75亿美元用于州和地方政府的网络弹性工作

美国国土安全部(DHS)周一（8月7日）宣布，将向州和地方政府财政注入近3.75亿美元，以提高近几个月遭受勒索软件攻击的行业的网络弹性。州和地方网络安全拨款计划(SLCGP)现已进入第二个年头，这是一项10亿美元的基金，拨款期限为四年，专门针对州、地方和地区政府的网络弹性工作。国土安全部新闻稿称，潜在受资助者必须在10月6日之前提交新一轮资金的申请。除两个州和领地外，所有州和领地都申请削减第一年1.85亿美元的拨款，这表明了这个问题的紧迫性。该计划由网络安全和基础设施局(CISA)和联邦紧急事务管理局(FEMA)管理，旨在帮助州和地方政府防御勒索软件和其他已成为常态的网络攻击。“在当今的威胁环境中，任何地方都容易受到针对医院、学校、供水或其他系统的毁灭性网络攻击，”国土安全部部长亚历杭德罗·N·马约卡斯在一份准备好的声明中表示。他称这些赠款是当地社区为应对威胁做好准备的一种方式，“无论规模、资金或资源如何”。根据国土安全部发布的消息，CISA将提供专业知识来指导整个过程，FEMA将管理赠款并监督分配过程。新闻稿称，这些资金可用于一系列网络弹性投资，包括所谓的“规划和演习”，以及招聘具有网络专业知识的人员并为其支付报酬。

https://therecord.media/dhs-grants-millions-to-local-governments

3、标准普尔预计新的和正在出现的立法措施将提高网络弹性

标准普尔发布了有关新兴立法的数据，这些立法规定了与网络相关的披露和治理标准，这可能会增加处罚的可能性并要求投资达到最低标准，从而影响发行人的财务风险状况。它认为，更严格的披露要求还将揭示网络准备情况的差异，并可能成为标准普尔全球评级风险和治理评估的一个差异化因素，这有助于其对发行人信用度的看法。欧盟和美国率先制定和执行网络法规，其做法正在影响其他地区的法律制定。这些政府已证明愿意对违规者实施监管和处以罚款。随着各国将收紧监管并实施新规则，它们的领先地位可能会影响未来几年其他地区监管的制定和执行。数据显示，“构成大多数网络攻击的网络犯罪活动正在增长，并且在策略和技术方面都日益复杂。”各国政府通过越来越多的立法来应对日益严重的网络威胁，这些立法旨在保护关键基础设施和消费者数据，迫使组织加强网络防御，并确保更多地披露网络事件和网络风险因素。标准普尔表示，加强网络监管，再加上更强有力的执法，可能会对网络问题造成的潜在损害增加新的罚款和其他制裁，从而加剧网络风险的负面偏见。新规则还可能需要对系统和技术进行进一步投资。

https://industrialcyber.co/critical-infrastructure/sp-global-expects-new-and-emerging-legislative-measures-to-increase-cyber-resilience-though-at-a-cost/

4、白宫就困扰美国公立学校的勒索软件危机举行首次峰会

白宫周二（8月8日）就困扰美国学校的勒索软件攻击举行了有史以来的首次网络安全“峰会”，其中包括黑客泄露医疗记录、精神病评估和学生性侵犯报告等敏感学生数据。“如果我们想保护孩子的未来，我们就必须保护他们的个人数据，”身为教师的第一夫人吉尔·拜登在会上表示。“每个学生都应该有机会在遇到困难时见到学校辅导员，而不用担心这些对话会与全世界分享。”根据网络安全公司Emsisoft的数据，今年至少有48个地区报告了勒索软件攻击，比2022年全年多了三个。该公司报告称，受害者当中，仅有10家没有数据被盗，其余所有公司的数据均被盗。联邦监督机构政府问责办公室 2022年10月的一份报告发现，仅2020年就有超过120万名学生受到影响，学习损失从三天到三周不等。根据联邦政府资助的非营利组织互联网安全中心的一项调查，到2021年底，美国近三分之一的地区已遭到入侵。国土安全部部长亚历杭德罗·马约卡斯在峰会期间表示：“不要低估那些想要伤害我们的人的残忍程度。”他指出，甚至有关自杀未遂的报告也被犯罪勒索者在网上传播，并敦促教育工作者利用现有的联邦资源。教育技术专家称赞拜登政府提高了人们的意识，但遗憾的是，目前他们用于解决资金短缺的学区无力有效应对这一祸害的联邦资金有限。峰会上宣布的措施包括：网络安全和基础设施安全局将加强对K-12部门的培训，包括Amazon Web Services和Cloudflare在内的技术提供商将提供赠款和免费软件。

https://www.securityweek.com/white-house-holds-first-ever-summit-on-the-ransomware-crisis-plaguing-the-nations-public-schools/

5、乌克兰表示挫败了破坏军用平板电脑的攻击企图

乌克兰安全部门表示，他们阻止了俄罗斯国家控制的黑客闯入乌克兰军方使用的战场管理系统的企图。根据周二（8月8日）发布的一份技术报告，俄罗斯黑客试图用至少七种新的定制恶意软件变种感染乌克兰军事网络。乌克兰安全部门SBU将此次攻击归咎于代表俄罗斯军事情报机构的臭名昭著的黑客组织Sandworm 。SBU表示，自战争爆发以来，Sandworm一直不断地利用各种恶意软件菌株瞄准乌克兰，主要目的是破坏关键网络。然而，SBU表示，最近的攻击旨在获取与乌克兰军方行动、行踪、装备和动向相关的敏感信息。报道称，俄罗斯黑客最初试图夺取乌克兰军方在战场上用于计划和执行作战任务的 Android平板电脑。黑客希望通过这些平板电脑访问其他联网设备并用恶意软件感染它们。乌克兰安全部门表示，俄罗斯为这次网络行动所做的准备是“彻底而长期的”。特别是，黑客已经创建了至少七种新的信息窃取恶意软件菌株来感染 Android 备，包括用于执行内部情报的NETD、用于远程访问设备的TOR和DROPBEAR，以及用于从Android设备窃取数据的 DEBLIND。另一种名为STL的恶意软件可以访问连接到Starlink卫星互联网的设备。

https://therecord.media/ukraine-military-tablets-sandworm-hacking-attempt

6、乌克兰国家机构遭受开源恶意软件MerlinAgent攻击

最新研究表明，黑客利用名为MerlinAgent的开源程序针对乌克兰政府机构开展网络钓鱼活动。8月初，一个被追踪为UAC-0154的身份不明的威胁参与者向其目标发送了恶意电子邮件，据称其中包含乌克兰计算机紧急响应小组(CERT-UA)的安全提示。这些电子邮件包含恶意附件，这些附件通过MerlinAgent工具感染了受害者的计算机。使用该工具，攻击者可以远程访问受害者的系统、执行命令以及下载或删除文件。据CERT-UA称，7月初，MerlinAgent已被用来对乌克兰政府机构发动攻击。该工具的开源代码由昵称Russel Van Tuyl的用户发布在GitHub上。Merlin是一种远程访问工具(RAT)，允许用户通常通过互联网远程控制和访问目标计算机。Russel Van Tuyl表示，Merlin是他学习Golang编程语言的第一次尝试。根据开发人员的说明，该工具仅在研究和授权测试期间使用。然而，在乌克兰和俄罗斯之间正在进行的网络战争中，两国的黑客都使用网络钓鱼和开源攻击性安全工具等简单技术作为攻击的一部分。

https://therecord.media/ukrainian-agencies-targeted-with-merlin

7、以色列一家医院在勒索软件攻击后重新安排新患者

特拉维夫市附近的一家以色列医院周二（8月8日）遭到一群身份不明的网络犯罪分子的黑客攻击，导致该医院停止接收新患者并将患者转移到附近的医院。对Mayanei Hayeshua医疗中心的勒索软件攻击导致其管理计算机系统关闭，但并未影响医疗设备。据以色列媒体报道，已经在医院接受治疗的患者仍在接受治疗，但建议新患者和需要紧急护理的患者前往其他医疗中心。该医疗中心在推特上写道：“我们一直在医院忙着做一切需要做的事情，以保证正常运行并保护所有数据。”截至发稿时，该医院的网站可以访问，但该公司没有回应置评请求。此次网络攻击尚未与特定黑客组织联系起来，也没有任何人对此承担责任。然而，近年来，该国已成为许多出于政治和经济动机的团体的目标。以色列因支持乌克兰而成为亲俄罗斯黑客的攻击目标。例如，去年，与克里姆林宫有联系的黑客组织XakNet对以色列议会网站发起了分布式拒绝服务(DDoS)攻击，以报复以色列向乌克兰提供有关伊朗无人机的情报信息。

https://therecord.media/israeli-hospital-ransomware-attack-disruptions

8、黑客准备在DEF CON上攻击卫星

一颗小型卫星飞越地球高空，下周将成为今年DEF CON会议上五个黑客团队的第一目标。一年一度的Hack-A-Sat夺旗(CTF)竞赛在拉斯维加斯举行的年度DEF CON黑客会议期间在航空村举行，这是第一次由在轨卫星测试参赛者的勇气，同时将通常不会的黑客聚集在一起从事空间系统方面的工作。6月，SpaceX火箭发射了一颗名为“Moonlighter”的小型方形卫星，黑客将试图侵入该卫星。立方体卫星配备了一些称为“标志”的代码，这些代码被锁定在沙箱环境中，以确保黑客无法逃脱竞赛的限制。今年的挑战者是：Krautsat、mhackeroni、SpaceBitsRUs、Poland Can Into Space和jmp fs:[rcx]。空军研究实验室的项目经理雷切尔·曼 (Rachel Mann)表示，这场竞赛实际上是为了“弥合太空人与网络人之间的差距”，目前人们越来越认识到卫星非常容易受到网络攻击，尽管卫星非常容易受到网络攻击。重要性日益增强。曼恩说，这项竞赛的目的“不仅是弥合差距，而且实际上是在这些社区中产生冲突，让所有必要的人齐聚一堂，解决我们每天面临的问题。”夺旗活动的运作方式如下：五支队伍将聚集在DEF CON和世界各地，试图找到只能通过完成多项挑战才能获得的代码行或“旗帜”。最终得分最多的球队获胜。奖金价值100,000美元，第一名奖金50,000美元，第二名奖金30,000美元，第三名奖金20,000美元。

https://cyberscoop.com/hack-a-sat-moonlighter-def-con/

9、研究人员发现了一个针对英语国家以及保加利亚、中国和越南的新勒索软件团伙

思科Talos的网络安全研究人员发现了一个在越南运作的新勒索软件团伙，这是东南亚日益拥挤的网络犯罪领域的最新成员。该团伙针对英语国家以及保加利亚、中国和越南的受害者，使用Yashma勒索软件变体，从代码共享平台Github上名为“nguyenvietphat”的帐户下载勒索软件注释，从而逃避一些端点检测和防病毒软件。该未透露姓名的组织至少自6月4日起就一直活跃，是越来越多在越南境外活动或针对该国的网络犯罪团伙和其他黑客组织之一。新组织的曝光是在勒索软件活动总体增加的背景下发生的。在周一（7日）发布的一份报告中，Akamai的研究人员发现，零日和单日漏洞的使用增加导致 2023年第一季度勒索软件受害者数量较去年同期增加了143%年。思科Talos研究人员表示，他们“有一定的信心”认为勒索软件攻击者是越南人。勒索软件注释中的Github帐户名和电子邮件联系方式模仿了合法的越南组织，并且运营商要求联系的时区与越南的时区重叠。勒索者要求以比特币支付，并威胁如果受害者在三天内不支付，赎金将翻倍。勒索信还表示，如果 7 天内没有付款，受害者将无法恢复任何文件。

https://cyberscoop.com/vietnam-ransomware-group-wannacry/

10、国际刑警组织取缔16shop网络钓鱼即服务平台

国际刑警组织和网络安全公司之间的联合行动逮捕并关闭了臭名昭著的16shop网络钓鱼即服务(PhaaS)平台。网络钓鱼即服务平台为网络犯罪分子提供了进行网络钓鱼攻击的一站式服务。这些平台通常包含您需要的一切，包括电子邮件分发、知名品牌的现成网络钓鱼工具包、托管、数据代理、受害者概览仪表板以及其他有助于提高运营成功率的工具。这些平台存在重大风险，因为它们降低了缺乏经验的网络犯罪分子的进入门槛，为他们提供了一种简单且经济高效的方式，只需点击几下即可发起网络钓鱼攻击。协助国际刑警组织开展取缔行动的Group-IB报告称，16shop平台提供了针对Apple、PayPal、美国运通、亚马逊和Cash App账户等的网络钓鱼工具包。Group-IB的遥测数据显示，16shop创建了15万个钓鱼页面，主要针对来自德国、日本、法国、美国和英国的用户。国际刑警组织的公告提到，来自43个国家的至少70,000名用户受到通过16shop创建的网络钓鱼页面的危害。这些攻击中被盗的数据包括个人详细信息、帐户电子邮件和密码、身份证、信用卡号和电话号码。

https://www.bleepingcomputer.com/news/security/interpol-takes-down-16shop-phishing-as-a-service-platform/#google_vignette

11、针对英特尔CPU的新Downfall攻击窃取加密密钥和数据

谷歌的一位高级研究科学家设计了新的CPU攻击，以利用名为Downfall的漏洞，该漏洞影响多个英特尔微处理器系列，并允许从共享同一台计算机的用户窃取密码、加密密钥和私人数据，例如电子邮件、消息或银行信息。该缺陷被追踪为CVE-2022-40982，是一个瞬态执行侧通道问题，会影响基于Intel微架构Skylake到Ice Lake的所有处理器。利用该安全问题的威胁行为者可以提取受Software Guard eXtensions(SGX)保护的敏感信息，SGX是英特尔基于硬件的内存加密，可将内存代码和数据与系统上的软件分开。SGX目前仅在服务器中央处理单元上受支持，并为甚至操作系统都无法访问的软件提供可信的隔离环境。发现该漏洞并向英特尔负责报告的谷歌研究员Daniel Moghimi表示，他的Downfall攻击技术利用了“ 在推测执行期间泄漏内部向量寄存器文件的内容”的收集指令。Gather是Intel处理器内存优化的一部分，用于加速访问内存中分散的数据。Moghimi开发了两种Downfall攻击技术：收集数据采样(GDS)（这也是英特尔用来指代该问题的名称）和收集价值注入(GVI)——它将GDS与2020年披露的加载值注入(LVI)技术相结合。

https://www.bleepingcomputer.com/news/security/new-downfall-attacks-on-intel-cpus-steal-encryption-keys-data/

12、新的Inception攻击泄露了所有AMD Zen CPU的敏感数据

研究人员发现了一种名为“Inception”的新型强大瞬态执行攻击，该攻击可以使用所有AMD Zen CPU（包括最新型号）上的非特权进程泄露特权秘密和数据。瞬态执行攻击利用了所有现代处理器上都存在的一项名为推测执行的功能，该功能通过猜测在较慢的操作完成之前接下来将执行的内容来显著提高CPU的性能。如果猜测正确，CPU会通过不等待操作完成来提高性能；如果猜测错误，它会简单地回滚更改并使用新结果继续操作。推测执行的问题在于，它可能会留下攻击者可以观察或分析的痕迹，以检索本应受到保护的有价值的数据。苏黎世联邦理工学院的研究人员现在将一种名为“幻影推测”(CVE-2022-23825)的旧技术与一种名为“瞬态执行训练”(TTE)的新瞬态执行攻击相结合，创建了一种更强大的“初始” 攻击。幻象推测允许攻击者触发错误预测，而无需在错误预测源处进行任何分支，即在任意XOR指令处创建推测执行周期（“瞬态窗口”）。TTE是通过将新的预测注入分支预测器来创建可利用的推测执行来操纵未来的错误预测。Inception攻击（所利用的漏洞编号为CVE-2023-20569）是一种新颖的攻击，结合了上述概念，攻击者可以让CPU相信XOR指令（简单的二进制运算）是递归调用指令。这会导致攻击者控制的目标地址溢出返回堆栈缓冲区，从而允许他们从任何AMD Zen CPU 上运行的非特权进程泄漏任意数据。

https://www.bleepingcomputer.com/news/security/new-inception-attack-leaks-sensitive-data-from-all-amd-zen-cpus/

13、英国选举委员会数据泄露暴露8年选民数据

英国选举委员会披露了一起大规模数据泄露事件，泄露了2014年至2022年间在英国登记投票的任何人的个人信息。此次披露是在委员会首次发现违规行为十个月后，也是在最初违规行为发生两年后，引发了人们的疑问：为什么花了这么长时间才向公众报告这一事件。在“网络攻击公开通知”中，委员会表示，他们在2022年10月首次检测到此次攻击，但此后得知威胁行为者在2021年8月就入侵了他们的系统。作为此次网络攻击的一部分，威胁行为者访问了政府机构保存电子邮件、控制系统和选举登记册副本的服务器。数据泄露通知警告说：“他们能够访问委员会出于研究目的而持有的选举登记册的参考副本，并对政治捐款进行许可性检查。”“网络攻击时持有的登记册包括2014年至2022年间在英国登记投票的任何人的姓名和地址，以及登记为海外选民的姓名。”然而，被曝光的选举登记册并不包含匿名登记者的个人信息。该机构淡化了这次攻击，称选民登记没有被修改。

https://www.bleepingcomputer.com/news/security/uk-electoral-commission-data-breach-exposes-8-years-of-voter-data/

14、微软2023年8月补丁星期二警告2个零日漏洞并更新87个漏洞

8月8日是微软2023年8月补丁星期二，针对87个漏洞进行了安全更新，其中包括两个被主动利用的漏洞和23个远程代码执行漏洞。虽然修复了23个RCE错误，但微软仅将其中6个评为“严重”。下面列出了每个漏洞类别中的错误数量：18个特权提升漏洞；3个安全功能绕过漏洞；23个远程代码执行漏洞；10个信息泄露漏洞；8个拒绝服务漏洞；12个欺骗漏洞；这些计数不包括本月早些时候修复的12个 Microsoft Edge (Chromium) 漏洞。本月的补丁星期二修复了两个零日漏洞，这两个漏洞都在攻击中被利用，其中一个已被公开披露。它们是CVE-2023-36884和CVE-2023-38180。上个月，微软采取了一项不同寻常的举措，警告熟练的攻击者正在使用特制的Office文档发起有针对性的代码执行攻击。Office补丁和缓解措施是繁忙的补丁星期二的头条新闻，它修复了Microsoft Windows生态系统中大约75个安全缺陷。

https://www.securityweek.com/patch-tuesday-microsoft-finally-patches-exploited-office-zero-days/

15、周二ICS补丁日：西门子修复了Ruggedcom产品中的7个漏洞

西门子在周二的补丁中发布了十几份公告，涵盖了30多个漏洞，但施耐德电气仅发布了一份公告来告知客户一个缺陷。西门子发布了三份公告，描述了其Ruggedcom产品中已修补的严重漏洞。一份通报涵盖了Ruggedcom Crossbow服务器应用程序中的五个漏洞，其中包括四个被评为“严重”和“高严重性”的漏洞。西门子还向客户通报了Ruggedcom ROS设备中存在的严重镜像端口隔离漏洞。西门子解释道，“攻击者可以利用这种行为将恶意数据包传输到镜像网络中的系统，可能会影响它们的配置和运行时行为。”ROS设备还受到高严重性DoS漏洞的影响，西门子已在单独的公告中介绍了该漏洞。这家工业巨头向客户通报了几个可以使用特制文件利用的高严重性漏洞。受影响的产品包括Sicam Toolbox II、Parasolid、Teamcenter Visualization、JT2Go、JT Open、JT Utilities、Solid Edge和西门子软件中心(SSC)。施耐德电气仅在周二补丁日发布了一项新公告，告知客户存在影响Pro-face GP-Pro EX HMI屏幕编辑器和逻辑编程软件的中度内存损坏问题。

https://www.securityweek.com/ics-patch-tuesday-siemens-fixes-7-vulnerabilities-in-ruggedcom-products/

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-184