其他
20230817-5th域安全微讯早报-No.196
网络空间安全对抗资讯速递
2023年8月17日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-196 星期四
今日热点导读
1、美国高乐氏家用化学品制造商遭受勒索软件攻击
2、俄联邦关于运营搜索的新修正案扩大了执法机构在线监控的可能性
3、LinkedIn帐户在广泛的劫持活动中遭到黑客攻击
4、CISA披露了施耐德电气EcoStruxure和Modicon、罗克韦尔Armor PowerFlex中的安全漏洞
5、丰田叉车经销商上榜8Base勒索软件组织的受害者名单
6、黑客借尼日尔冲突瞄准了法国的旅游基础设施
7、美国一家知名能源组织遭遇二维码网络钓鱼攻击
8、生成人工智能意外数据泄露的风险正在增加
9、立法者敦促人工智能公司做出更多安全承诺
10、谷歌发布首个量子弹性FIDO2密钥实现
11、网络犯罪论坛的用户经常成为信息窃取者的受害者
12、俄罗斯再次面临VPN突然封锁
13、Raccoon Stealer恶意软件带着更新版本回归
14、CISA在遭受民族国家勒索软件攻击后发布远程监控工具计划
资讯详情
2、俄联邦关于运营搜索的新修正案扩大了执法机构在线监控的可能性根据1995年联邦法“关于作战搜索活动”(ORA) 的修正案,俄罗斯执法机构可以在作战搜索活动 (ORM) 的框架内获得增强的实时信息访问权。内务部并于8月14日在法律行为官方门户网站上发布。根据修正案,内政部和金融稳定委员会等执法机构将有新的机会调查“传输技术系统中包含的信息”,包括互联网。解释性说明称,ORD框架内的数据(包括文本消息)可以从数据中心的服务器、云存储和其他电子媒体接收。也就是说,我们正在谈论远程访问信息。据内政部称,2022年侦破此类犯罪案件超过52.2万起,占犯罪总数的22%。该法律之前的修正案于2021年6月通过,允许执法人员向订阅者请求地理定位数据。据代表们称,做出这些改变是为了方便寻找失踪人员。为了获取受秘密通信保护的公民的短信,内政部需要法院做出裁决。新的变化将简化这一程序并减少时间,但法院的许可仍然是必要的。市场专家表示,公民的物理设备、电信运营商、提供商和 IT 公司的数据都可以成为运营搜索活动的信息来源。此外,新修正案将消除与在境外存储俄罗斯公民数据相关的法律冲突。主要电信运营商拒绝对此事发表评论。专家和律师对执法机构可能滥用权力表示担忧。https://www.securitylab.ru/news/540930.php
3、LinkedIn帐户在广泛的劫持活动中遭到黑客攻击LinkedIn正成为一波帐户黑客攻击的目标,导致许多帐户出于安全原因被锁定或最终被攻击者劫持。据Cyberint报道,许多LinkedIn 用户一直在抱怨帐户被接管或锁定,以及无法通过LinkedIn支持解决问题。Cyberint的研究员Coral Tayar表示:“有些人甚至被迫支付赎金才能重新获得控制权,或者面临账户被永久删除的情况。”“虽然LinkedIn尚未发布正式公告,但他们的支持响应时间似乎已经延长,有报道称支持请求数量很大。”从BleepingComputer在Reddit、Twitter和Microsoft 论坛上看到的投诉来看,LinkedIn的支持并没有帮助恢复被泄露的帐户,用户只是因为缺乏回应而感到沮丧。Cyberin 表示,谷歌趋势中也反映出了突破的迹象,其中有关LinkedIn帐户被黑客攻击或恢复的搜索词在过去几个月中增长了5,000%。攻击者似乎正在使用泄露的凭据或暴力破解来尝试控制大量 LinkedIn帐户。当黑客成功接管保护不力的LinkedIn帐户时,他们会迅速将关联的电子邮件地址与“rambler.ru”服务中的电子邮件地址进行交换。https://www.bleepingcomputer.com/news/security/linkedin-accounts-hacked-in-widespread-hijacking-campaign/
4、CISA披露了施耐德电气EcoStruxure和Modicon、罗克韦尔Armor PowerFlex中的安全漏洞美国网络安全和基础设施安全局 (CISA) 8月15日发布了两份 ICS(工业控制系统)公告,及时提供有关ICS的当前安全问题、漏洞和漏洞利用的信息。该机构强调了施耐德电气EcoStruxure和Modicon以及罗克韦尔自动化Armor PowerFlex组件中存在的硬件漏洞。该网络安全机构披露,施耐德电气的 EcoStruxure Control Expert、EcoStruxure Process Expert、Modicon M340 CPU、Modicon M580 CPU、Modicon Momentum Unity M1E 处理器、Modicon MC80设备中存在可远程利用的“通过捕获重放绕过身份验证”漏洞。对于罗克韦尔自动化的Armor PowerFlex v1.003,CISA警告称存在“计算错误”漏洞,该漏洞可通过低攻击复杂性进行远程利用。Forescout Technologies的研究人员Jos Wetzels 和 Daniel dos Santos部署在关键的制造、能源和商业设施中,向施耐德电气报告了这些漏洞。罗克韦尔的漏洞是其自己的团队向CISA报告的。https://industrialcyber.co/cisa/cisa-discloses-security-vulnerabilities-in-schneider-electric-ecostruxure-and-modicon-rockwells-armor-powerflex/
5、丰田叉车经销商上榜8Base勒索软件组织的受害者名单8BASE勒索软件组织最近将一家授权的丰田叉车经销商列入其受害者名单。据称,该黑客组织拥有来自ToyotaLift Northeast网站的数据。该组织公开宣布了所谓的谈判失败以及支付赎金的最后期限。ToyotaLift Northeast的网络攻击尚未得到该公司的证实。ToyotaLift Northeast提供用于运载货物或叉车的装卸卡车。该公司在东海岸提供优质的全新和二手叉车。它的总部位于纽约,服务范围包括大费城、新泽西州、纽约州、特拉华州和马里兰州。8BASE声称他们与ToyotaLift Northeast团队进行了长时间的谈判,但结果并没有达到预期。暗网帖子中并未说明黑客索要的赎金金额。ToyotaLift Northeast的官方网站显示一条消息,称他们因“网站更新”而面临问题。不过,目前尚不清楚这是否与ToyotaLift Northeast网络攻击有关。该消息证实制造商的陈列室页面由于网站更新而遇到问题。不过,该网站没有提供恢复页面的预计时间。Cyber Express已联系该公司,请其就报道的 ToyotaLift Northeast 网络攻击和相关威胁发表评论。目前尚未收到回复。https://thecyberexpress.com/toyotalift-northeast-cyber-attack-8base/
6、黑客借尼日尔冲突瞄准了法国的旅游基础设施一个自称为“We are KILLNET”的威胁组织对法国发起了网络攻击,特别针对其旅行基础设施。此举是与西非尼日尔持续冲突有关的更广泛叙述的一部分,使局势更加复杂。此次针对法国的网络攻击最近的目标是标志性的法国地铁和法国火车站的负责人。这次攻击表明这是一种蓄意的策略,而不是随机的网络攻击。法国交通网络遭受的袭击尚未得到证实。Cyber Express 已联系所列组织以核实这些说法。目前尚未收到官方回应。此次针对法国的网络攻击的根本动机与法国在尼日尔持续冲突中所扮演的角色密切相关。尼日尔国家发生的一系列事态发展,其中包括2023年7月26日发生的政变,总统卫队推翻了总统穆罕默德·巴祖姆。这次政变是非洲萨赫勒地区继布基纳法索、几内亚和马里之后发生的第四次政变。新政权反对法国介入尼日尔事务的立场显而易见,他们取消了与法国的所有军事合作,从而驱逐了驻尼日尔的1500名法国士兵。此举是对法国历史上对尼日尔铀资源的开采的回应,为法国很大一部分电力提供动力。因此,针对法国的网络攻击可以被视为这种反法情绪的延伸。随着国际协议岌岌可危和地缘政治紧张局势升级,对法国的网络攻击凸显了网络战、政治动荡和全球安全之间错综复杂的相互作用。https://thecyberexpress.com/cyber-attack-on-france-niger-conflict-links/
7、美国一家知名能源组织遭遇二维码网络钓鱼攻击据观察,网络钓鱼活动主要针对美国一家著名能源公司,利用二维码将恶意电子邮件放入收件箱并绕过安全措施。此次攻击活动引发的 1,000封电子邮件中,大约有三分之一 (29%) 针对一家大型美国能源公司,而其余尝试针对的是制造业 (15%)、保险业 (9%)、技术 (7%)、和金融服务(6%)。据发现该活动的Cofense称,这是首次如此大规模地使用二维码,这表明更多的网络钓鱼行为者可能正在测试其作为攻击媒介的有效性。Cofense没有透露此次活动针对的能源公司的名称,但将其归类为一家“大型”美国公司。Cofense表示,攻击始于 一封网络钓鱼电子邮件,声称收件人必须采取行动更新其 Microsoft 365帐户设置。这些电子邮件带有带有二维码的PNG或PDF附件,系统会提示收件人扫描以验证其帐户。电子邮件还指出,目标必须在 2-3天内完成此步骤,以增加紧迫感。威胁行为者使用图像中嵌入的二维码来绕过扫描邮件中已知恶意链接的电子邮件安全工具,从而使网络钓鱼邮件能够到达目标的收件箱。为了规避安全,该活动中的二维码还使用Bing、Salesforce 和 Cloudflare 的Web3服务中的重定向,将目标重定向到Microsoft 365网络钓鱼页面。在二维码中隐藏重定向URL、滥用合法服务以及对网络钓鱼链接使用Base64编码都有助于逃避检测并通过电子邮件保护过滤器。https://www.bleepingcomputer.com/news/security/major-us-energy-org-targeted-in-qr-code-phishing-attack/
8、生成人工智能意外数据泄露的风险正在增加企业正在探索如何平衡人工智能的好处与相关风险。在此背景下,Netskope威胁实验室最近发布了最新版本的云和威胁报告, 重点关注“企业中的人工智能应用程序”。该报告研究了人工智能应用程序的风险,包括增加企业的攻击面以及意外共享敏感信息。鉴于媒体的大肆宣传和兴趣,报告发现企业中访问人工智能应用程序的用户数量呈指数级增长也就不足为奇了。与此同时,内部信息意外泄露的风险也越来越大。研究显示,2023年5月至6月期间,每天至少访问一款AI应用的企业用户比例每周增加2.4%,同期总计增加22.5%。ChatGPT是最受欢迎的企业人工智能应用程序,其每日活跃用户数量是任何其他人工智能应用程序的八倍多。用户超过1000名的组织平均每天使用3个不同的AI应用程序,而用户超过10,000名的组织平均每天使用5个AI应用程序。使用人工智能应用程序时,意外共享敏感信息或知识产权的风险是一个重大问题。研究发现,组织预计每 10,000名用户每天会收到大约660个ChatGPT提示,其中源代码是最常暴露的敏感数据类型。即使用户不是泄漏源,平台本身也不能免受安全漏洞的影响。https://www.infosecurity-magazine.com/blogs/accidental-data-exposure-gen-ai/
9、立法者敦促人工智能公司做出更多安全承诺参议院情报特别委员会主席、弗吉尼亚州民主党参议员马克·沃纳(Mark Warner)希望人工智能公司致力于将现有的自愿承诺扩展到其所有系统,并做出更多承诺来解决实时面部识别等高风险领域认出。上个月,白宫宣布了Inflection AI、Anthropic、谷歌、Meta、微软、OpenAI和亚马逊对人工智能安全、保障和透明度的一系列自愿承诺,并回应了华纳当时向白宫提出的要求。这些承诺包括为人工智能生成的内容开发水印系统;关于系统局限性和功能的公开报告;以及预发布、独立、内部和外部安全测试。华纳在今年早些时候给公司高管的一系列信中概述了他对人工智能安全的担忧。即使最近宣布了承诺,华纳仍断言,公司需要将此类承诺扩展到其全系列人工智能产品,包括“能力较差的模型”和已经向公众发布的开源模型。华纳特别指出“开发实践、许可条款和部署后监控实践,防止未经同意的亲密图像生成(包括儿童性虐待材料)、社会评分、实时面部识别(在不受现有法律保护的情况下)或正当程序保障措施),以及恶意网络活动或生物或化学制剂生产背景下的扩散活动。”他还给那些尚未做出任何自愿承诺的人工智能公司写了一系列信函——Scale AI、Apple、Stability AI、Midjourney、Databricks和Mistral AI。https://www.nextgov.com/artificial-intelligence/2023/08/lawmaker-pushes-ai-companies-more-safety-and-security-commitments/389478/
10、谷歌发布首个量子弹性FIDO2密钥实现谷歌宣布推出首个开源量子弹性FIDO2安全密钥实现,它使用与苏黎世联邦理工学院共同创建的独特ECC/Dilithium混合签名模式。FIDO2是快速身份在线身份验证标准的第二个主要版本,FIDO2密钥用于无口令身份验证并用作多重身份验证(MFA)元素。谷歌解释说,随着量子计算方法的出现和该领域的发展不断加速,实施抗量子FIDO2安全密钥是确保安全的关键一步。谷歌解释说:“随着实用量子计算机的进展不断加快,随着时间的推移,为它们的出现做好准备正成为一个更加紧迫的问题。”“特别是,旨在防范传统计算机的标准公钥密码术将无法抵御量子攻击。”随着量子计算机的积极开发,人们担心它们很快将被用来更有效、更快速地破解加密密钥,从而使政府、威胁行为者和研究人员能够访问加密信息。为了防御量子计算机,通过将已建立的ECDSA算法与Dilithium算法相结合,创建了一种新的混合算法。Dilithium是一种抗量子密码签名方案,NIST将其纳入 其后量子密码标准化提案中,称赞其强大的安全性和卓越的性能,使其适合在广泛的应用中使用。https://www.bleepingcomputer.com/news/security/google-released-first-quantum-resilient-fido2-key-implementation/
11、网络犯罪论坛的用户经常成为信息窃取者的受害者网络安全公司Hudson Rock的研究人员在分析了数百万台感染信息窃取恶意软件的计算机后表示,他们发现了12万台计算机中包含用于登录网络犯罪论坛的凭据。尽管很难说这些设备是否属于网络犯罪分子所有,但研究人员表示,他们能够通过设备上的其他凭据(例如电子邮件地址、用户名和电话号码)来识别一些黑客的真实身份。Hudson Rock首席技术官阿隆·加尔 (Alon Gal) 告诉Recorded Future News:“这些发现告诉我们,就像普通人成为信息窃取者感染的受害者一样,黑客也容易受到感染。”虽然网络犯罪论坛用户可能会攻击无知的受害者,但他们自己不一定精通技术。WithSecure 网络威胁情报主管蒂姆·韦斯特(Tim West)表示:“对于尚未充分理解或认识运营安全实践,甚至尚未开始全面实施犯罪行为的初出茅庐的网络犯罪分子来说尤其如此。”Hudson Rock分析了前100个网络犯罪论坛,发现Nulled.to的受感染用户数量最多—超过57,000名。其次是Cracked.io和Hackforums.net。网络安全公司Flashpoint的高级分析师玛丽莎·阿特金森(Marisa Atkinson)告诉Recorded Future News:“通常,这些免费共享的链接要么只是窃取程序或下载程序等恶意软件,要么是所谓的破解软件的后门或恶意修改版本。”研究人员还调查了受感染的网络论坛用户的密码,发现用户密码最“安全”的论坛是Breached.to,而密码最弱的论坛是俄罗斯网站Rf-cheats.ru。报告称,总体而言,网络犯罪论坛上的密码比许多其他领域的密码更安全。大多数信息窃取者感染归因于Redline窃取者,其次是Raccoon和Azorult。https://therecord.media/cybercrime-forum-users-infected-with-info-stealing-malware
12、俄罗斯再次面临VPN突然封锁2023年8月16日,俄罗斯互联网用户再次面临VPN协议OpenVPN、IPSec IKEv2和WireGuard的大规模故障。根据各个俄语互联网论坛评论汇总的数据,问题大约在8小时前开始出现。来自俄罗斯不同地区(从库兹巴斯到沃罗涅日和莫斯科)的用户报告使用OpenVPN UDP、IPSec IKEv2和WireGuard协议的服务器不可用。特别是乌拉尔地区MTS Kuzbass和PcheLine 等有线运营商的客户注意到他们的VPN连接已停止运行。还有报道称Yota、Tele2、Beeline、MTS、Megafon、Tele2、Tinkoff Mobile等移动运营商屏蔽了WireGuard和OpenVPN(UDP和TCP)。回想一下, 8月7日也发生过同样的情况,当时包括MTS、Beeline、Megafon、Tele2、Yota和Tinkoff Mobile在内的各移动运营商的用户都面临OpenVPN和WireGuard VPN服务不可用的情况。https://www.securitylab.ru/news/540947.php
13、Raccoon Stealer恶意软件带着更新版本回归臭名昭著的Raccoon恶意软件的操作者在一名管理员被捕后,在黑客论坛中断六个月后于本周宣布回归。他们在一份声明中表示:“我们很高兴带着新的力量和对我们错误的理解回归。”Raccoon是一种在暗网论坛上出售的非常流行的信息窃取恶意软件即服务。它因其简单性和可定制性而受到称赞。该恶意软件以流行的浏览器和桌面加密货币钱包为目标,窃取口令、cookie和信用卡号。它还可以在受害者的计算机上下载文件并捕获屏幕截图。去年10月,美国起诉了该恶意软件的“关键管理员”之一、乌克兰公民马克·索科洛夫斯基 (Mark Sokolovsky),并要求将他从荷兰引渡,他在荷兰被捕。荷兰官员可能会尽快满足这一请求,因为本周他们驳回了索科洛夫斯基不被引渡的上诉。根据Cyberint分析该恶意软件最新版本的报告,Raccoon管理员引入了一些功能,使该工具的使用更加简单、方便。其中一个功能可以检测可能来自帮助网络安全公司监控Raccoon流量的机器人的异常活动。如果Raccoon发现可疑行为,它会自动删除与这些活动相关的记录并更新每个客户端上的信息。据Cyberint称,这使得使用自动化和机器人的安全工具更难检测恶意软件。https://therecord.media/raccoon-malware-back-with-updated-version
14、CISA在遭受民族国家勒索软件攻击后发布远程监控工具计划美国CISA和私营公司之间的合作于周三(8月16日)发布了第一个利用远程监控和管理(RMM)工具解决安全问题的计划。RMM软件通常被全球大多数大型组织的IT部门用作远程访问计算机的方式,以帮助安装软件或员工所需的其他服务。近年来,黑客越来越多地利用这些工具(尤其是在政府网络中)作为绕过安全系统并建立对受害者网络的长期访问的简单方法。CISA在周三的一份声明中表示,作为联合网络防御协作组织(JCDC)的一部分,它与行业合作伙伴合作,制定“明确的路线图,以提高RMM生态系统的安全性和弹性”。CISA网络安全执行助理局长任Eric Goldstein表示,该组织与其他美国机构以及RMM公司合作制定了一项计划,重点关注四项主要任务:漏洞信息共享、行业协调、最终用户教育和咨询放大。Goldstein表示:“为制定该计划而建立的合作已经为RMM利益相关者和生态系统取得了多项成就。” “随着JCDC领导该计划的执行,我们相信RMM生态系统中的这种公私合作将进一步降低我们国家关键基础设施的风险。”“远程监控和管理网络防御计划”,将寻求扩大美国政府和RMM行业利益相关者之间网络威胁和漏洞信息的共享,同时实施社区机制,以“成熟规模化”安全工作。”https://therecord.media/cisa-jcdc-remote-monitoring-management-plan
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement