20230816-5th域安全微讯早报-NO.195

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年8月16日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-195 星期三

今日热点导读

1、Rust如何改变Linux内核的面貌：网络套接字达到新的水平

2、Intel对Linux下处理器微码更新进行改进

3、俄罗斯电子控股公司推出适用于 Android和Aurora操作系统的安全信使Impulse和Hummingbird

4、北爱尔兰警察局 (PSNI)证实10,000名警察和工作人员敏感信息泄露

5、英国警方发现数据泄露导致犯罪受害者信息暴露

6、空军研究实验室在国际量子技术军备竞赛中开设新的“极限计算”设施

7、美国房地产软件供应商拉帕托尼公司遭网络攻击导致房地产市场瘫痪

8、Mac电脑容易受到另一种恶意软件AdLoad的攻击

9、FBI警告：移动Beta测试应用程序是主要安全风险

10、甲骨文的云网络获得情报机构的绝密批准

11、印度数字化改革：总统德鲁帕迪·穆尔穆批准新的网络安全法

12、Monti和Conti：网络勒索领域的新明星夫妇还是只是巧合？

13、新的CVE-2023-3519扫描器可检测被黑的Citrix ADC和NetScaler网关设备

14、针对北约国家的PDF诱饵疑是有俄罗斯身影

资讯详情

1、Rust如何改变Linux内核的面貌：网络套接字达到新的水平

最近版本的Linux内核继续积极集成Rust编程语言。自版本6.1以来，Rust的初始基础设施已作为创建新内核模块的替代语言添加，到版本6.5，添加了新的抽象并添加了对其他子系统的支持。然而，用Rust编写的主要驱动程序尚未实现。各种驱动程序正在开发中，包括支持Apple Silicon硬件上的图形的驱动程序。最新的系列补丁致力于为网络套接字和其他基本网络组件添加Rust抽象。一系列七个补丁提供了套接字处理所需的代码，包括TCP和UDP的特定抽象。当前形式的代码被视为“征求意见”，以进一步完善功能并确保为开发人员提供适当的抽象接口质量。那些对将Rust继续集成到Linux内核感兴趣的人可以在内核邮件列表上找到套接字抽象补丁系列。

https://www.securitylab.ru/news/540888.php

2、Intel对Linux下处理器微码更新进行改进

英特尔工程师正在致力于改进Linux系统上x86_64 CPU的微码更新过程，重点是优化后期微码加载器。这些变化主要针对英特尔服务器和企业用户。tip.git存储库中的x86/microcode分支引入了Linux内核中x86微码的第一批改进。这些更改删除了一些不必要的互斥体，删除了旧的调试代码，并使基于x86的系统始终启用CPU微代码加载支持。现在此选项始终启用。至少，这些改进包含在TIP中，并且应该成为即将到来的Linux 6.6周期的一部分。此外，Thomas Gleixner还领导了改进Intel Linux系统上微代码后期加载的工作。他在他的系列补丁中解释说，企业用户希望延迟加载微代码，但这是有问题的，因为它需要详细了解更改并分析其对已使用的内核组件的影响。英特尔最近在微码标头中添加了一个新字段，其中包含安全启动的最低固件版本。延迟加载微代码允许您在系统已启动并运行时更新CPU微代码，这对于希望在不停机的情况下快速实施更新的大型组织和云提供商特别有用。目前尚不清楚改进的英特尔微代码延迟加载功能是否会在v6.6内核发布时完成，但这项改进工作已经在进行中。

https://www.securitylab.ru/news/540889.php

3、俄罗斯电子控股公司推出适用于 Android和Aurora操作系统的安全信使Impulse和Hummingbird

Rostec集团旗下的俄罗斯电子控股公司在Army-2023论坛框架内展示了适用于Android和Aurora操作系统的Impulse和Hummingbird安全信使的工作版本。创建者声称这些应用程序提供了用户之间安全的信息交换，并降低了个人和服务数据泄露的风险。Impulse和Hummingbird拥有语音、文本、文件和语音数据传输等安全通信工具，并且具有群组对话功能。“Hummingbird”是专门为“Aurora 4.0”创建的，而“Impulse”是为Android 创建的。这两个程序都是由奔萨电工研究所 (PNEII) 的专业人员创建的，该研究所是Rus electronics的一部分。这些信使是集成解决方案的一部分，该解决方案包括服务器应用程序和用于安装基于国内加密算法的安全VPN通道的设备。“Hummingbird”和“Impulse”可以以两种模式运行：使用硬件加密保护“Portal-10”和没有其参与。这些信使为企业用户提供了与服务器平台上的各种WEB服务（例如电子邮件、云存储和视频会议）建立安全远程连接的机会。

https://www.securitylab.ru/news/540886.php

4、北爱尔兰警察局 (PSNI)证实10,000名警察和工作人员敏感信息泄露

PSNI局长西蒙·伯恩 (Simon Byrne) 8月14日表示，上周意外泄露的数据将被持不同政见的共和党团体用来恐吓或针对警察和工作人员。伯恩补充说，PSNI“正在全天候工作，评估风险并采取措施减轻风险。”据英国广播公司报道，西贝尔法斯特的墙上张贴了一份据称显示被泄露信息的文件，并附有一条威胁信息。代表该地区普通警官的北爱尔兰警察联合会（PFNI）主席利亚姆·凯利（Liam Kelly）敦促所有北爱尔兰警察和工作人员在警察局长发布最新消息后保持高度警惕。“自从这次重大数据泄露和随后的泄露以来，PSNI的运作假设是，所有警察和工作人员的信息最终都会落入持不同政见者和有组织犯罪分子的手中。“因此，警察局长的宣布并不令人意外。然而，这使得每一位同事都更加必须保持最大限度的警惕。我们必须尽一切努力阻止和防止针对我们的同事及其家人的袭击，”他评论道。该数据于8月8日错误地发布在信息自由 (FoI) 网站上，泄露了该部门现任员工的姓氏和姓名首字母、他们的军衔或级别以及他们工作的地点和部门。这包括监视和情报等高度敏感领域，引发人们对警察及其家人安全的担忧。

https://www.infosecurity-magazine.com/news/psni-leaked-data-target-police/

5、英国警方发现数据泄露导致犯罪受害者信息暴露

英国诺福克和萨福克警方已证实，包括犯罪受害者在内的1000多人的个人数据被意外泄露。该披露发生在执法机构发布的信息自由 (FOI) 回复中。根据东安格利亚警察局的一份联合声明，“技术问题”导致 2021年4月至2022年3月期间分发的信息自由回复中“极小比例”包含原始犯罪报告数据。诺福克和萨福克警方在一份官方声明中写道：“技术问题导致一些属于警察的原始数据被包含在为响应有关信息自由请求而生成的文件中。” “这些数据对任何打开文件的人都是隐藏的，但它不应该被包含在内。”此次事件是继8月8日北爱尔兰警察局无意中泄露了大约 10,000名警官和工作人员的敏感信息之后，英国发生的最新一起涉及警方回应信息自由请求的数据泄露事件。诺福克和萨福克泄露事件中受损的数据包括存储在专门警察系统内的信息，包括犯罪报告数据、受害者、证人和嫌疑人的详细信息以及犯罪行为的描述。犯罪范围包括家庭事件、性犯罪、袭击、盗窃和仇恨犯罪。为了应对此次泄露，当局立即进行了详尽的分析，并且正在向受影响的个人通报其数据可能受到泄露的情况。沟通过程预计将于九月底结束。该事件引起了负责监督数据保护的监管机构信息专员办公室（ICO）的关注。

https://www.infosecurity-magazine.com/news/uk-police-breach-exposes-victim/

6、空军研究实验室在国际量子技术军备竞赛中开设新的“极限计算”设施

空军和太空部队主要研究部门的信息局开设了一个新中心，旨在提高该部门的量子能力。根据空军研究实验室周一（14日）发布的新闻稿，位于纽约罗马的极限计算设施的剪彩仪式于 8 月8日举行。AFRL多年来一直从事量子工作。但其信息局副局长迈克尔·海杜克表示，这一最先进设施的启用标志着美国军方加速先进计算技术的开发、集成和部署的“新时代”。据新闻稿称，他表示：“最先进的可信计算、机器学习、神经形态和纳米计算以及量子网络实验室将提高我们在极限计算方面的竞争优势。”“量子计算可以提供前所未有的计算速度，并帮助解决该部门最困难的分析问题。量子传感器有望提供前所未有的位置、导航和授时精度。从更准确的信息到更快的决策，再到更强大的加密功能，量子科学有望提供尖端技术，”国防部首席技术官网站称。根据周一发布的消息，AFRL在纽约的新计算设施设有两个实验室，用于量子计算、网络和安全方面的基础研究，以及两个神经拟态计算实验室，用于“近似人类神经认知”的机器学习模型基础研究。AFRL信息局局长Fred Garcia上校表示，来自行业和其他政府机构的合作者将能够利用极限计算设施的科学技术能力。

https://defensescoop.com/2023/08/14/air-force-research-lab-opens-new-extreme-computing-facility-amid-international-arms-race-for-quantum-tech/

7、美国房地产软件供应商拉帕托尼公司遭网络攻击导致房地产市场瘫痪

这次网络攻击始于上周三（9日），影响了总部位于加利福尼亚州的Rapattoni公司，该公司是美国房地产上市软件和服务 (MLS) 的主要提供商。通过多重列表系统，公司可以访问各州的房地产列表，但由于拉帕托尼的系统出现故障，全国各地的买家、卖家、房地产经纪人和列表网站无法访问有关哪些房屋已挂牌的信息待售，已收到购买报价且交易已完成。拉帕托尼上周表示，该公司的生产网络遭到网络攻击，专家们正在全天候工作，以尽快恢复所有系统。几天前，该公司还在推特上发布称，仍在调查此次网络攻击，而拉帕托尼的所有技术资源都用于解决该问题。同时，还没有具体的恢复时间表。尽管拉帕托尼称所发生的事件为常规网络攻击，但媒体广泛将这些事件报道为勒索软件攻击，因为该公司花了太长时间才消除其后果。最有可能的是，公司的计算机/服务器被加密，需要花费大量的人力和时间来重新配置网络。不过，该公司尚未正式披露有关攻击性质的详细信息，也没有报告是否有任何个人数据遭到泄露。目前尚不清楚Rapattoni服务何时全面恢复。如果未来几天不恢复挂牌操作，这种大规模的干扰对代理商、买家、租户和卖家造成的损失可能会大幅增加。

https://www.securitylab.ru/news/540920.php

8、Mac电脑容易受到另一种恶意软件AdLoad的攻击

AdLoad是一种恶意软件，五年多来一直在攻击Mac系统。它安装恶意网络代理来拦截流量并显示有针对性的广告。AdLoad还充当其他下载的端口：广告软件、浏览器扩展和代理应用程序。AT&T外星人实验室的研究人员于2023年7月发现了该程序的新版本。启动后，它会收集有关系统的信息，包括 UUID ，并将其报告给管理服务器。然后，AdLoad下载恶意模块、禁用保护并在后台运行代理。vpnservices[.]live 和upgrader[.]live域通常用于软件下载。根据对150多个样本的分析，许多设备已经被感染。“Alien Labs每周发现超过10,000个访问代理服务器的IP地址，这些地址有可能成为退出节点。目前尚不清楚所有这些系统是否都被感染或自愿提供自己作为代理，但这可能表明全球范围内存在更大规模的感染。”专家将服务器域追溯到一家销售代理服务的公司。据他们称，该僵尸网络被用来发送垃圾邮件，但其潜在意图尚不清楚。该僵尸网络还发现了受感染的Windows设备。随着macOS品牌越来越受欢迎，攻击者越来越多地攻击该品牌。2022-2023年，针对macOS的活动显着增长。新的工具、漏洞和勒索软件已经出现。AdLoad使用复杂的方法来躲避防病毒软件。它已被用于DDoS攻击和数据盗窃。

https://www.securitylab.ru/news/540918.php

9、FBI警告：移动Beta测试应用程序是主要安全风险

美国联邦调查局警告消费者不要下载标记为Beta测试模式的应用程序，因为它们可能涉及旨在窃取加密货币和其他资产的诈骗。美联储在昨天的公共服务公告（PSA）中表示，这些应用程序通常用于加密货币投资诈骗，受害者被引导通过其他诈骗方式下载它们。PSA写道：“恶意应用程序可以窃取个人身份信息 (PII)、财务账户访问权限或设备接管。”“这些应用程序可能通过使用与流行应用程序类似的名称、图像或描述来显得合法。网络犯罪分子经常使用网络钓鱼或浪漫诈骗与受害者建立通信，然后引导受害者下载移动Beta测试应用程序环境中的移动 Beta 测试应用程序，并承诺提供大额经济支出等激励措施。”报告称，这些骗局很有效，因为对于测试版应用程序来说，移动操作系统的安全检查是有限的，这意味着它们的恶意代码经常被遗漏。FBI列出了一些表明应用程序可能是恶意的迹象。其中包括电池消耗速度比平时更快、处理速度较慢、持续弹出窗口以及与所描述的功能不匹配的权限请求。

https://www.infosecurity-magazine.com/news/fbi-mobile-betatesting-apps/

10、甲骨文的云网络获得情报机构的绝密批准

高管们周二（8月15日）在一份声明中表示，甲骨文的云基础设施网络已获得国家情报机构处理机密数据的授权。通过获得为其Oracle云基础设施运营绝密/敏感隔离信息的授权，该公司现在可以在其网络上向统称为情报界的18个美国情报机构提供一系列云服务。这些服务将托管在甲骨文国家安全区域，这是由该公司维护的高度安全的云网络运营中心，仅连接到美国政府机密网络。国防部此前于2022年2月授予Oracle运营认证权限，以处理空军的TS/SCI和特殊访问计划任务。Oracle 政府国防和情报执行副总裁Kim Lynch在一份声明中表示，这项最新授权强化了Oracle对加速国家的决策优势以保护和促进国家的承诺。Oracle是两项与国家安全相关的大型企业云合同的获奖者之一：国防部的联合作战云能力和中央情报局的商业云企业。两者都是无限期交付/无限数量合同，使甲骨文能够与包括微软Azure、亚马逊网络服务和谷歌在内的其他获奖者竞争云服务的任务订单，C2E合同还包括IBM。通过获得情报界的ATO，该公司可以提供更多服务来竞争这些任务订单，并为其他情报机构提供服务。根据公司声明，甲骨文目前计划提供50项云服务，并将通过持续认证流程添加其他服务。

https://www.nextgov.com/modernization/2023/08/oracles-cloud-network-gains-top-secret-approval-intelligence-agencies/389437/

11、印度数字化改革：总统德鲁帕迪·穆尔穆批准新的网络安全法

印度总统德鲁帕迪·穆尔穆已批准《数字隐私法》。该法律上周获得议会两院一致通过。该法律条款适用于在线和离线收集的数据。他们要求只有在用户同意且有充分理由的情况下才能处理信息。公司应仅保留实现既定目的所需的信息，并在达到目的后将其删除。政府表示：“法律规定了数字个人数据的处理方式，既承认个人的个人保护权利，也承认出于合法目的进行处理的需要。”征得用户明确同意的请求必须附有收集原因的通知。“个人数据”是指可以识别个人身份的任何信息。该法律设立了信息保护委员会，负责审议公民有关泄密的投诉。它将能够调查事件并处以最高25亿卢比（1220万卢布）的罚款。信息技术部长拉吉夫·钱德拉塞卡(Rajeev Chandrasekhar)表示：“如果发生泄密事件，公民只需访问该委员会的网站，详细说明该事件，然后该委员会就会启动调查，对有罪的平台实施制裁。”电子和信息技术部于2022年11 月公布草案后，该法律的出台成为可能。该文档的开发历时五年多，于2018年发布了第一个版本。

https://www.securitylab.ru/news/540924.php

12、Monti和Conti：网络勒索领域的新明星夫妇还是只是巧合？

Monti勒索软件于2022年6月发现，由于与著名的Conti软件相似，引起了网络安全专家的关注。相似之处不仅体现在名称上，还体现在攻击者所使用的策略上。该组织以“Monti”为笔名，积极使用与Conti类似的策略和工具。犯罪分子甚至在他们的程序中利用了泄露的Conti源代码，这引起了网络安全专家的合理担忧。近日，黑客发布了更新，政府和法律机构成为他们的新目标。这进一步加剧了焦虑程度。Linux版Monti的新版本与旧版本的相似度仅为29%。相比之下，早期版本的相似度高达99%。更新后的勒索软件接受新命令并包含修改后的勒索软件。创新可能旨在躲避安全系统和防病毒软件。新版本Monti的一个功能是感染标记，用于标记受感染的文件。该软件向对象添加“MONTI”标签以及与加密密钥关联的附加 256字节。根据分析，该程序使用了AES-256-CTR加密，而不是之前使用的Salsa20。所有受感染的文件都会收到 .monti 扩展名。此外，每个目录中还保留有一张勒索信。专家在分析样本时发现了解密代码。这可能表明攻击者在发布之前测试了他们的产品。尽管发生了这些变化，Monti仍然使用部分Conti源代码。

https://www.securitylab.ru/news/540929.php

13、新的CVE-2023-3519扫描器可检测被黑的Citrix ADC和NetScaler网关设备

Mandiant发布了一款扫描器，用于检查Citrix NetScaler应用程序交付控制器(ADC)或NetScaler Gateway设备是否在利用CVE-2023-3519漏洞的广泛攻击中受到损害。关键的CVE-2023-3519 Citrix漏洞于2023年7月中旬作为零日漏洞被发现，黑客积极利用该漏洞远程执行代码，而无需在易受攻击的设备上进行身份验证。Citrix进行安全更新以解决该问题一周后，Shadowserver报告称仍有15,000台暴露在互联网上的设备尚未应用补丁。然而，即使对于安装了安全更新的组织来说，被攻击的风险仍然存在，因为该补丁不会删除攻击者在攻击后阶段植入的恶意软件、后门和Webshell。15日，Mandiant发布了一款扫描仪，使组织能够检查其Citrix ADC和Citrix Gateway设备是否存在受损迹象和利用后活动。Mandiant的帖子中写道：“该工具旨在尽最大努力识别现有的妥协。”Mandiant Ctrix IOC扫描程序必须直接在设备或已安装的取证映像上运行，因为它将扫描本地文件系统和配置文件以查找是否存在各种IOC。

https://www.bleepingcomputer.com/news/security/new-cve-2023-3519-scanner-detects-hacked-citrix-adc-gateway-devices/

14、针对北约国家的PDF诱饵疑是有俄罗斯身影

最新研究表明，黑客对北约国家政府机构进行间谍活动的最新尝试包括与俄罗斯相关的Duke恶意软件的变种。根据荷兰网络安全公司EclecticIQ的一份报告，最近的一次攻击活动利用两个恶意PDF文件针对北约联盟政府的外交部。其中一份PDF 提供了Duke的一种变体，该恶意软件与俄罗斯国家资助的APT29网络间谍活动（也称为Nobelium、Cozy Bear和The Dukes）有关。另一个文件可能用于测试或侦察，因为它不包含有效负载，但如果受害者打开电子邮件附件，则会通知威胁行为者。研究人员表示，这些PDF伪装成德国大使馆的外交邀请，似乎是针对全球外交使团的更广泛活动的一部分。该报告并未直接将德国大使馆的诱饵归因于APT29，但确实指出了其他研究人员在该组织的活动中发现的一些操作细节。恶意PDF中的电子邮件地址引用了真实的Web域bahamas.gov.bs。在7月中旬的一份报告中，网络安全公司Lab52注意到，黑客利用同一域名冒充挪威大使馆，通过邀请诱饵攻击外交实体。EclecticIQ研究人员“高度确信”冒充德国大使馆的PDF文件很可能是由同一威胁行为者制作的。自乌克兰战争爆发以来，莫斯科在欧洲的网络间谍活动不断升级。距离基辅最近的国家，如波兰、立陶宛和拉脱维亚，受到的影响最大。

https://therecord.media/pdf-germany-embassy-lures-russia-linked-malware-duke

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-194