20230811-5th域安全微讯早报-No.191
网络空间安全对抗资讯速递
2023年8月11日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-191 星期五
今日热点导读
1、美国国家网络主任办公室希望软件提供商为他们所依赖的开源软件的安全做出贡献
2、众议院委员会要求FCC对物联网设备安全采取更多行动
3、CISA局长:美国在预测威胁和破坏方面有值得学习的教训
4、CISA警告组织.NET、Visual Studio的漏洞正在被利用
5、乌克兰官员吹捧该国战时网络情报工作
6、德国军事采购官员因涉嫌为俄罗斯从事间谍活动被捕
7、德国情报机构警告:伊朗网络间谍正瞄准持不同政见者
8、IIC、ISA更新物联网安全成熟度模型
9、新的SPARTA v1.4框架采用ISO 27001映射和D3FEND技术应对太空网络威胁
10、ESET揭露针对外国驻白俄罗斯大使馆的网络间谍组织
11、新的“Statc Stealer”将直接从您的浏览器中提取所有机密数据
12、Dell Compellent硬编码密钥暴露VMware vCenter管理员凭证
13、CISA:Barracuda ESG黑客攻击中使用了新的Whirlpool后门
14、复杂的攻击链使用合法的Freeze.rs工具植入XWorm和Remcos RAT木马
资讯详情
1、美国国家网络主任办公室希望软件提供商为他们所依赖的开源软件的安全做出贡献
国家网络主任办公室周四(8月10日)向网络安全和基础设施安全局以及其他联邦实体发出了信息请求,征求有关联邦政府支持安全开源软件开发的方式的反馈,同时加强软件供应链并减少广泛的安全漏洞。开源开发模式历来抵制传统的监管方法,因为它是分散的和分散的。RFI要求就政府试图加强整个开源领域的安全性时应开发和优先考虑哪些重点领域,以及应考虑哪些技术、政策和经济挑战提供见解。CISA网络安全执行助理局长Eric Goldstein和ONCD负责技术和生态系统安全的国家网络副主任Camille Stewart Gloster在一篇博客文章中表示,两个机构“设想一个生态系统,在其中创建安全的开源代码并定期评估安全性”现有开源代码的使用是常态,而不是额外的负担。”帖子中写道:“使用开源软件的软件制造商应该为他们所依赖的开源软件的安全做出贡献。”RFI还寻求有关采用内存安全编程语言的意见,这些语言可以减轻与内存相关的漏洞并减少重复出现编码问题的可能性。CISA表示,将在未来几个月发布开源安全战略,同时继续与ONCD合作开展开源软件安全工作,ONCD已成立了一个跨部门工作组来探索开源软件安全措施。对RFI的回复将于10月9日截止。
https://www.nextgov.com/cybersecurity/2023/08/white-house-looks-shore-open-source-software-security/389314/
2、众议院委员会要求FCC对物联网设备安全采取更多行动
众议院特别委员会希望更多地了解美国在日益互联的物联网世界中面临的安全风险,特别是围绕连接模块的安全风险。在周一(8月7日)发给联邦通信委员会的一封信中,特别委员会主席、威斯康星州共和党人、高级成员迈克·加拉格尔 (Mike Gallagher)表示。伊利诺伊州民主党人Raja Krishnamoorthi询问了中国公司移远通信和广和通制造的连接模块设备的安全性。这些在机器和网络之间传输数据的模块被用于美国的一系列关键行动,特别是构成无线物联网的“智能设备”,以及急救人员使用的无人机和随身摄像机。鉴于通过这些模块传输的数据的敏感性,立法者询问FCC主席杰西卡·罗森沃塞尔(Jessica Rosenworcel),该机构如何协调潜在的美国数据收集与中国相关模块的使用。最终,立法者建议对中国制造的蜂窝模块进行调查并可能禁止。信中写道:“与适当的国家安全机构协商后,解决中国的蜂窝物联网模块问题是 FCC 自然而然的下一步。” “首先,移远通信和广和通为其设备已列入FCC涵盖列表的公司提供服务。该清单上的设备对美国构成国家安全威胁,可能无法获得在美国进口或销售的授权”。众议院委员会成员就FCC或其他联邦机构在美国销售移远通信和广和通设备所带来的国家安全问题所采取的行动向Rosenworcel提出了具体质询。
https://www.nextgov.com/cybersecurity/2023/08/house-committee-asks-fcc-more-action-iot-device-security/389322/
3、CISA局长:美国在预测威胁和破坏方面有值得学习的教训
网络安全和基础设施安全局(CISA)局长Jen Easterly与乌克兰网络安全主管Viktor Zhora一起在黑帽网络安全会议上发表讲话,表示美国人需要效仿乌克兰在面对破坏性网络攻击时的恢复能力。“我们知道,考虑到当今的网络状况——连接性、相互依赖性、由于技术在设计上并不安全而持续存在的漏洞——我们很可能会看到造成巨大破坏的攻击,因此[我们]向您学习网络的弹性、网络的运营弹性,”伊斯特利在转向佐拉之前说道。她认为,乌克兰人以团结的光辉典范展示了如何继续战斗才能取得胜利。面对敌对国家的威胁,美国人确实需要坚定地坚持这一点。伊斯特利继续告诉人群,在如何应对潜在威胁方面,她认为美国人没有同等程度的韧性。她表示,人们“应该预见到威胁,我们应该预见到中断”,同时通过确定最重要的事情、提前进行演习并进行合作来努力建立弹性,以确保关键服务在面临中断时能够继续得到支持。她强调说,美国人必须团结起来,不仅要保持网络弹性,还要保持运营弹性和社会弹性,更多的人还必须以更长远的眼光来看待未来四到五年可能影响国家的因素。
https://therecord.media/cisa-jen-easterly-black-hat-cyberthreats-resilience
4、CISA警告组织.NET、Visual Studio的漏洞正在被利用
美国网络安全和基础设施安全局(CISA)已将影响Microsoft .NET和Visual Studio产品的零日漏洞添加到其已知利用漏洞目录中。该漏洞被追踪为CVE-2023-38180,已由Microsoft通过其2023年8月补丁星期二更新修复,该更新还解决了 CVE-2023-36884(俄罗斯威胁行为者利用的Office漏洞)。CVE-2023-38180可被利用进行拒绝服务(DoS)攻击,微软在其通报中指出,它已经意识到恶意利用的情况。目前还没有关于利用该漏洞进行攻击的详细信息。微软的通报显示,远程利用是可能的,不需要用户交互或特权。该漏洞已被指定为“重要”严重性评级,CVSS评分为7.5(高严重性)。据微软称,它影响Visual Studio 2022版本17.2、17.4和17.6,以及.NET 6.0和7.0以及ASP.NET Core 2.1。CISA已将CVE-2023-38180添加到其所谓的“必须补丁”列表中,指示政府组织根据《约束性操作指令 22-01》在8月30日之前应用补丁或缓解措施。CISA的目录还包括一些其他影响.NET 和/或Visual Studio的被利用漏洞。
https://www.securityweek.com/cisa-warns-organizations-of-exploited-vulnerability-in-net-visual-studio/
5、乌克兰官员吹捧该国战时网络情报工作
乌克兰最高网络和信息安全官员表示,在网络空间收集的情报正在帮助乌克兰了解俄罗斯的计划并阻止敌人实施这些计划。乌克兰安全局(SBU)网络安全负责人伊利亚·维提克(Illia Vitiuk)周四(8月10日)表示,黑客一直在侵入俄罗斯系统,以查明克里姆林宫的目标、敌人军队的行动方式以及俄罗斯如何避免西方制裁。例如,SBU最近获得了有关俄罗斯试图通过其他国家获取用于攻击乌克兰的伊朗Shahed无人机的数千个微芯片的情报。“在我们合作伙伴的帮助下,我们成功阻止了这批货物,”维蒂克在基辅举行的iForum会议上表示。在入侵敌方系统之前,乌克兰专家经常收集开源情报:Vitiuk表示,他们找出目标的基础设施、IP地址和操作系统,以了解如何利用漏洞并访问其设备。“网络情报帮助我们获取绝密的敌人文件,”维蒂克说。“过去,我们必须在敌国招募间谍才能获得这种材料,既危险又耗时。”维蒂克告诉记录未来新闻,泄露的俄罗斯文件在乌克兰的网络情报工作中也发挥着重要作用。
https://therecord.media/ukraine-cyber-intelligence-war-russia
6、德国军事采购官员因涉嫌为俄罗斯从事间谍活动被捕
德国检察官和司法部长周三(8月9日)宣布,德国武装部队联邦国防军采购机构的一名官员因涉嫌为俄罗斯从事间谍活动而被捕。这名男子名叫托马斯·H (Thomas H),是德国西部科布伦茨设备、信息技术和利用办公室(BAAINBw)的一名员工。他被指控自今年5月以来“主动”多次主动联系俄罗斯驻波恩领事馆和俄罗斯驻柏林大使馆,提供他作为其工作一部分而获得的敏感信息。检察官办公室表示:“有一次,他将在职业活动中获得的信息传递给俄罗斯情报部门。”BAAINBw负责德国军事装备采购,包括武器和IT系统。最近,该公司庆祝了批准采购发往乌克兰的18辆豹2 A6替换坦克所需的“创纪录的时间”。尽管官方声明并未明确被告是BAAINBw的文职雇员还是军官,但德国司法部长Marco Buschmann在2019年11月17 日确认他是“一名严重怀疑曾为外国特工部门工作的德国军官”。检察官没有透露该男子被指控向俄罗斯提供了哪些信息。除了采购工作外,BAAINBw还负责提供外国国防物资的技术分析,并为非北约国家提供装备援助。
https://therecord.media/german-military-procurement-officer-accused-spying-russia
7、德国情报机构警告:伊朗网络间谍正瞄准持不同政见者
德国国内情报部门周四(8月10日)发布网络间谍警告,称该国的伊朗持不同政见组织和个人正成为疑似国家支持的威胁组织的目标。该机构的正式名称为联邦宪法保护办公室(BfV),报告称它发现了名为“迷人小猫”的组织针对伊朗反对派和驻德国流亡者的具体企图。与英国国家网络安全中心一月份发出的警告类似,BfV 表示,黑客正在使用复杂的社会工程技术和为受害者量身定制的虚假个人信息,以建立融洽的关系并损害他们的目标。Charming Kitten被描述为由众多专业公司(包括谷歌、Recorded Future和Proofpoint)国家赞助的,其明显的目的是收集情报,而不是出于经济动机,尽管 BfV没有明确指责伊朗政权支持它。该德国机构的警告描述了社会工程活动的性质,旨在与受害者建立融洽的关系,然后经常发送指向伪装的凭据收集页面的在线聊天链接。去年12月,人权观察表示,Charming Kitten是一场资源充足、持续不断的国际网络间谍活动的幕后黑手,该活动的目标是其一名员工,让他们在黑客控制的网页中输入登录凭据。
https://therecord.media/charming-kitten-iran-targets-dissidents-in-germany
8、IIC、ISA更新物联网安全成熟度模型
工业物联网联盟(IIC)和国际自动化协会(ISA)周三(8月9日)宣布更新物联网安全成熟度模型(SMM):针对资产所有者、产品供应商和服务供应商的ISA/IEC 62443映射。这些更新还考虑了对工业自动化和控制系统(IACS)安全程序的62443-2-1标准的重大更新。将SMM与工业自动化和控制系统的IEC 62443要求框架进行映射有助于使62443要求与SMM目标设置和评估相关联。ISA/IEC 62443-2-1删除了有关信息安全管理计划(ISMS)的材料,允许利益相关者依靠ISO/IEC 27001进行信息安全计划,并依赖ISO/IEC 27002进行相关控制。ISA/IEC 62443-2-1保留了安全程序的OT特定要求。相应地,SMM 映射将SMM实践映射的新部分添加到ISA/IEC 62443-2-1第2版以及相关ISO/IEC 27001和27002要求。SMM:针对资产所有者、产品供应商和服务供应商的ISA/IEC 62443映射保留了第1版映射以及其他更正和澄清。SMM提供了一种设置成熟度目标和执行评估的方法,以更好地管理安全工作。62443标准提供了可用于实现特定SMM实践全面性级别的要求。两者一起使用提供了一种实现合适的安全方法的方法。
https://industrialcyber.co/isa-iec-62443/iic-isa-update-iot-security-maturity-model-guide-security-of-industrial-automation-and-control-systems/
9、新的SPARTA v1.4框架采用ISO 27001映射和D3FEND技术应对太空网络威胁
航空航天公司周四(8月10日)发布了太空攻击研究和战术分析(SPARTA)框架v1.4,进行了重大更新。最新版本将提供TTP 名义风险评分、ISO 27001映射、D3FEND技术和工件映射、其他参考以及DEF CON 31 SPARTA演示。5月,该机构发布了SPARTA框架v1.3 ,提供一般信息页面、SPARTA导航器和SPARTA矩阵更新。该版本还提供了14项新的对策(CM),并包括 SPARTA对策映射器。SPARTA旨在向太空专业人士提供有关如何使用网络和传统反太空手段损害航天器的非机密信息。该框架对导致航天器受损的常见活动进行了定义和分类。将SPARTA对策映射到NIST SP 800-53和ISO 27001等标准的目的是为 SPARTA用户提供安全原则的额外视角,以及SPARTA对策如何与此类机构发布的合规性/监管/最佳实践保持一致。此次更新建立在航空航天报告TOR-2021-01333-REV A中发布的先前工作的基础上,该报告详细介绍了通用威胁模型和风险评估方法,该方法考虑了对手能力的高级视图并将其分级。
https://industrialcyber.co/regulation-standards-and-compliance/new-sparta-v1-4-framework-features-iso-27001-mapping-and-d3fend-technique-for-space-cyber-threats/
10、ESET揭露针对外国驻白俄罗斯大使馆的网络间谍组织
在Black Hat USA期间披露的信息中,网络安全提供商ESET公布了发现一个新型威胁行为者,该威胁行为者正在针对白俄罗斯多个大使馆开展网络间谍活动。该网络安全公司于2018年开始跟踪该组织的活动,该组织被称为MoustachedBouncer,当时它发现网络间谍活动针对的是其客户之一,即白俄罗斯的欧洲大使馆。当时,MoustachedBouncer主要使用名为NightClub的恶意软件框架,因为它包含一个名为“nightclub”的C++类。NightClub从2014年的一个简单后门发展成为一个完全模块化的C++植入程序,使用电子邮件进行命令和控制(C&C)通信。具体来说,NightClub使用免费电子邮件服务来窃取数据,即捷克网络邮件服务Seznam.cz和俄罗斯Mail.ru网络邮件提供商。ESET认为攻击者创建了自己的电子邮件帐户,而不是破坏合法的电子邮件帐户。自2016年以来,可以通过电子邮件发送其他模块来扩展其间谍功能,包括录音、截取屏幕截图和记录击键。ESET研究员 Matthieu Faou估计,该组织很可能与白俄罗斯政权结盟,特别是自俄罗斯入侵乌克兰以来。Faou告诉Infosecurity:“我们在2020年失去了该组织的踪迹,然后它在2022年2月再次出现在我们的雷达上,当时它的目标是一个以某种方式卷入战争的欧洲国家的白俄罗斯大使馆,就在俄罗斯入侵乌克兰的四天前。”,Faou拒绝透露国家名称。ESET已确定至少5个国家的大使馆工作人员成为攻击目标,其中2个来自欧洲、1个来自南亚和1个来自非洲。
https://www.infosecurity-magazine.com/news/cyberthreat-moustachedbouncer-eset/
11、新的“Statc Stealer”将直接从您的浏览器中提取所有机密数据
Zscaler的研究人员在最近的报告中宣布发现了一种名为“Statc Stealer”的新恶意软件,该恶意软件会感染Windows设备以窃取受害者的敏感个人数据和支付信息。据专家称,Statc Stealer表现出广泛的数据盗窃能力,这使其成为非常严重的威胁。它能够从各种浏览器窃取个人信息,包括登录名、密码、cookie、加密货币钱包、各种网络数据和设置。研究人员还记录了从Telegram和其他通讯工具中截获的数据,这些通讯工具可能是通过浏览器在网络版本中启动的。该恶意软件是用C++编写的,当受害者点击看似无害的广告,然后下载并运行可执行文件时,该恶意软件就会进入受害者的计算机。在第一阶段,恶意软件会默默地安装一个引导加载程序来下载主要恶意软件。Statc Stealer使用复杂的方法来绕过沙箱和代码分析。它与C2服务器建立HTTPS连接以接收命令并发送窃取的数据。恶意软件的目标包括Chrome、Edge、Firefox、Brave、Opera和Yandex.Browser。研究人员表示,Statc Stealer能够从浏览器窃取敏感数据,因此特别容易遭受身份盗窃和财务欺诈。
https://www.securitylab.ru/news/540812.php
12、Dell Compellent硬编码密钥暴露VMware vCenter管理员凭证
戴尔Compellent Integration Tools for VMware (CITV)中存在未修复的硬编码加密密钥缺陷,攻击者可利用该缺陷解密存储的vCenter管理员凭据并检索明文密码。该漏洞编号为CVE-2023-39250,是由所有安装共享的静态AES加密密钥引起的,该密钥用于加密程序配置文件中存储的vCenter凭据。Dell Compellent是一系列企业存储系统,提供数据处理、实时卷、精简配置、数据快照和克隆以及集成管理等功能。LMG Security的研究员Tom Pohl在一次渗透练习中发现,Dell CITV包含一个静态AES加密密钥,该密钥对于所有安装的所有Dell客户来说都是相同的。此AES加密密钥用于加密包含程序设置(包括输入的vCenter管理员凭据)的CITV配置文件。戴尔正在与vCenter服务器进行交互,并将其凭据保存在加密的配置文件中,该文件应该完全无法被戴尔软件以外的任何人或任何人查看。但是,由于这个新发现的漏洞,攻击者可以提取戴尔软件用于保护该文件内容的加密密钥。
https://www.bleepingcomputer.com/news/security/dell-compellent-hardcoded-key-exposes-vmware-vcenter-admin-creds/
13、CISA:Barracuda ESG黑客攻击中使用了新的Whirlpool后门
美国网络安全和基础设施安全局(CISA)发现了一种名为“Whirlpool”的新后门恶意软件,用于攻击受损的梭子鱼电子邮件安全网关(ESG)设备。今年5月,梭子鱼透露,一个黑客组织(UNC4841)利用CVE-2023-2868零日漏洞 进行数据盗窃攻击,破坏了ESG(电子邮件安全网关)设备。CVE-2023-2868是一个严重程度极高(CVSS v3:9.8)的远程命令注入漏洞,影响Barracuda ESG版本 5.1.3.001至9.2.0.006。后来发现,这些攻击始于2022年10月 ,用于安装以前未知的 名为Saltwater和SeaSpy的恶意软件,以及名为SeaSide的恶意工具,用于建立反向shell,以便轻松进行远程访问。8月9日,CISA披露了另一个名为“Whirlpool”的后门恶意软件的发现,该恶意软件被发现用于攻击Barracuda ESG设备。Whirlpool的发现使其成为针对Barracuda ESG的攻击中使用的第三个不同的后门,再次说明了为什么该公司选择更换设备而不是用软件修复它们。CISA更新的梭子鱼ESG恶意软件报告称,“该工件是一个32位ELF文件,已被识别为名为“WHIRLPOOL”的恶意软件变种 。
https://www.bleepingcomputer.com/news/security/cisa-new-whirlpool-backdoor-used-in-barracuda-esg-hacks/
14、复杂的攻击链使用合法的Freeze.rs工具植入XWorm和Remcos RAT木马
网络犯罪分子发起了一个新的攻击链,使用合法的Rust注入器“Freeze.rs”部署“XWorm”和“Remcos RAT” 恶意软件。FortiGuard Labs于2023年7月13日发现了该恶意操作。攻击从包含恶意PDF文件的网络钓鱼电子邮件开始。专家解释说,一旦启动,该文件会将受害者重定向到HTML文件,并使用“search-ms”协议访问远程服务器上的LNK文件(实际上是带有指定启动参数的常规快捷方式)。当恶意快捷方式启动时,会执行PowerShell脚本,启动Freeze.rs和SYK Crypter注入器以进行进一步的恶意操作。Freeze.rs于今年5月发布,是一款合法的黑客工具,用于绕过安全功能并静默执行shellcode,可在GitHub上下载。SYK Crypter又用于分发各种恶意软件,例如AsyncRAT、NanoCore RAT、njRAT、QuasarRAT、RedLine Stealer和Warzone RAT(也称为Ave Maria)。SYK Crypter通过附加到伪装成无害采购订单的电子邮件的 .NET加载程序进行加载。最后一步,解密的shellcode执行XWorm远程访问木马并收集计算机信息、屏幕截图和击键等敏感数据,并远程控制受感染的设备。此外,与XWorm同时,显然是为了扩大恶意能力,在受害者的计算机上启动了另一个远程访问木马Remcos RAT。究人员表示:XWorm和Remcos RAT的结合产生了具有大量恶意功能的强大威胁。攻击者的C2服务器流量报告显示,欧洲和北美是此次恶意活动的主要目标。
https://www.securitylab.ru/news/540815.php
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement