其他
20230819-5th域安全微讯早报-No.198
网络空间安全对抗资讯速递
2023年8月19日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-198 星期六
今日热点导读
资讯详情
https://www.nextgov.com/cybersecurity/2023/08/cisa-conducts-largest-annual-election-security-drills-amid-threats-targeting-voting-systems/389544/
2、以色列和美国将投资400万美元用于关键基础设施安全项目以色列和美国政府机构已宣布计划投资385万美元用于旨在提高两国关键基础设施安全的项目。该投资是通过BIRD网络计划进行的,该计划依托以色列国家网络管理局(INCD)、以色列-美国两国工业研究与发展(BIRD)基金会和美国国土安全部(DHS) 科学技术部的联合倡议理事会(科学与技术)。作为该计划的一部分,四笔赠款将用于针对海事部门、机场和空中交通以及工业控制系统(ICS)的安全项目。Rescana和趋势科技将致力于为海事部门开发威胁情报功能;Salvador Technologies和Bastazo将构建用于ICS漏洞管理、监控和恢复的解决方案;Cyber 2.0和辛辛那提/北肯塔基国际机场将开发网络可见性、监控和数据流量检测解决方案。第四个项目将侧重于创建覆盖机场整个攻击面的网络保护解决方案。这些项目是为了响应第一次BIRD Cyber 征集而提交的,经过DHS S&T、INCD和 BIRD基金会的严格审查后获得批准。通过私营部门的资助,这些项目的总价值将增至约1000万美元。国土安全部科技总监梅根·马勒 (Megan Mahle)表示:“BIRD网络计划第一年产生的项目将为美国和以色列面临的紧迫网络安全挑战提供尖端解决方案。
https://www.securityweek.com/israel-us-to-invest-4-million-in-critical-infrastructure-security-projects/
3、GSA正在进行研究以检验面部识别技术中的种族偏见美国总务管理局正在开展一项研究,以测试和验证面部识别技术系统中潜在的种族偏见。作为调查的一部分,该机构将研究美国公众在获得联邦福利时可能使用的某些远程身份验证技术的公平性。GSA计划于2024年在同行评审出版物上发布一份包含研究结果的报告。这项研究是在5月份的一份监管机构报告中提出的几个问题之一,即对公平性的主要担忧之一,该报告强调了GSA的Login.gov面部识别平台的开发失败。根据该报告,这些担忧是推迟向某些政府客户推出系统的主要原因。在LinkedIn上宣布这项研究的说明中,GSA联邦采购服务专员Sonny Hashmi表示:“这是一项重要的研究和举措,旨在测试和验证面部识别以及匹配算法和技术,以识别跨人口群体的障碍。” 这项研究的成果果不仅将为政府的未来战略提供信息,还将降低更多美国人与政府进行数字互动时的障碍。近年来,政府监管机构和独立非营利组织长期以来一直对联邦机构使用面部识别技术编码种族偏见的潜力表示担忧。2019年,美国政府问责局 呼吁执法机构 进一步研究面部识别技术对公平的影响。
https://fedscoop.com/gsa-studying-racial-bias-in-facial-recognition-tech/
4、美国太空军第7三角洲中队8月11日启用美国创建了历史上第一支太空部队,专门收集卫星、地面太空基础设施和“打击目标”方面的情报。这 是由专注于军事和国防主题的互联网门户网站DVIDS报道的。我们说的是第75情报、监视和侦察中队(75th Intelligence, Surveillance and Reconnaissance Squadron),它隶属于美国太空军第7三角洲中队(Space Delta 7 - Intelligence, Surveillance and Reconnaissance)。新部队的启用仪式于8月11日在科罗拉多州彼得森空军基地举行。中队长特拉维斯·安德森中校(Lt. Col. Travis Anderson)指出,创建这个单位是许多美国空军情报官员长期以来的梦想。DVIDS 援引他的话说:“建立这个单位的想法四年前就出现在纸上,而且可能在几位美国空军情报官员的脑海中已经存在了更长时间。”该中队的主要任务是“分析潜在目标、捕获目标以及打击目标”。该部队的任务是准备和传输有关目标的情报,包括有关“卫星、地面站或两者之间的信号”的信息。据中队作战主任Desiree Cabrera军士长介绍,该部队是第一个也是唯一一个旨在支持美国太空军及其任务的目标编队。
https://www.securitylab.ru/news/540994.php
5、美国能源部发布价值470万美元的制造业网络安全创新RFP美国能源部(DOE)与网络安全制造创新研究所(CyManII)合作,于17日发布了一项高达470万美元的新提案请求(RFP)。此举旨在增强美国制造业的网络安全格局。RFP正在征集三个关键行业用例(IUC)内的项目,包括工业控制系统(ICS)、安全的工业数字化和工业增材制造。该RFP的联邦资金将需要受援者分担20%的成本,因此潜在投资总额为590万美元。本RFP 的提案必须在2023年9月29日之前提交。RFP还将支持节能网络安全制造,与先进材料和制造技术办公室(AMMTO)和EERE的使命保持一致,即推动美国制造业并支持集体推动竞争性、清洁和脱碳经济。EERE(能源效率和可再生能源办公室)是美国能源部的一个办公室,投资于早期研究和开发、示范和部署技术,这些技术展示了实现EERE五个计划优先事项的可行途径。该项目将探索ICS生产和供应链的行业相关安全控制。此举将有助于确保数字完整性、供应链可追溯性和网络事件的恢复能力。
https://industrialcyber.co/manufacturing/us-doe-collaborates-with-cymanii-issues-rfp-for-4-7-million-manufacturing-cybersecurity-innovation/
6、国际警察密切协作在“非洲网络激增”行动中逮捕了14人在非洲开展的为期四个月的国际打击犯罪行动抓获14人,并拆除了整个非洲大陆网络犯罪分子使用的基础设施。“非洲网络激增行动二期”由国际刑警组织、非洲刑警组织以及网络安全公司Group-IB和Uppsala Security开展,并提供现场支持。国际刑警组织在周五(18日)发布的一份新闻稿中概述了该行动的成就,其中包括在喀麦隆逮捕了三名涉嫌参与价值 85万美元艺术品欺诈销售网络诈骗的人员。喀麦隆的两个暗网站点也被关闭。在西非小国冈比亚,“185个与恶意活动相关的互联网协议”被删除,在肯尼亚,615个恶意软件托管商被关闭。在毛里求斯岛,当局逮捕了两名涉嫌与消息平台诈骗有关的钱骡。据国际刑警组织称,此次行动发现了20,000多个“可疑网络”,造成的损失超过4000万美元。该行动横跨非洲大陆25个国家,大部分行动都得到了信息共享的支持,Group-IB、趋势科技、卡巴斯基和Coinbase都向执法机构传递情报。总共发现了超过3,700个用于恶意活动的命令和控制服务器、939个恶意IP地址以及1,415个网络钓鱼链接和域。Afripol代理执行主任Jalel Chelba表示:“像Cyber Surge这样的协调行动对于破坏犯罪网络并建立个人、组织和全社会层面的保护是必要的。”此次行动是在2022年开展的类似举措之后进行的。
https://therecord.media/africa-cyber-surge-14-arrests-interpol
7、朝鲜黑客今年已在加密货币盗窃中获得了2亿美元的资金TRM Labs报告称,迄今为止,极权主义政权部署的黑客今年已窃取了2亿美元的加密货币,远低于该国加密货币盗窃的标志性年份2022年,也远低于2018年和2020年的总数。这家区块链情报公司表示,这种下降并不是因为缺乏尝试:该国的攻击规模是其他攻击者的10倍。即使在糟糕的一年,朝鲜加密货币黑客攻击也占加密货币犯罪活动的很大一部分。TRM表示,朝鲜黑客窃取的金额占今年迄今为止全球被盗加密货币总量的20%以上。对朝鲜去年到底偷了多少钱的估计各不相同。TRM表示金额为8亿美元,而Chainaanalysis评估总额为17亿美元。TRM实验室全球政策和政府事务主管阿里·雷德博德 (Ari Redbord) 表示,朝鲜的攻击尤其大胆。“其他黑客往往担心被抓获或被起诉。但朝鲜网络犯罪分子几乎完全在朝鲜境外活动,他们明目张胆地试图尽可能多地窃取资金,并将被盗资金迅速转移到出口,”他告诉信息安全媒体团体。过去五年,朝鲜窃取了价值高达30亿美元的加密货币。朝鲜作为一个贱民国家被孤立了几十年,历史上一直通过非法活动注入硬通货来维持其经济运转并为大规模杀伤性武器的发展提供资金。
https://www.govinfosecurity.com/north-korea-nabs-200m-in-crypto-theft-so-far-in-2023-a-22872
8、NoFilter:一种新的攻击技术如何让黑客完全控制Windows设备在最近的Def Con网络安全会议上, Deep Instinct专家提交了一份关于一种名为“NoFilter”的以前未知的Windows系统攻击方法的报告。该方法滥用Windows过滤平台,允许攻击者获得提升的权限,从而为攻击提供了进一步的机会。正如安全专家Ron Ben Izhak在演讲中解释的那样,如果您拥有本地管理员权限,这种方法可以为攻击者提供SYSTEM级别的完全访问权限,但管理员权限将不再足以影响LSASS 。NoFilter基于对Windows过滤平台(WFP)功能的滥用,这是一组负责过滤Windows操作系统中网络流量的API和系统服务。特别是,该方法使用WFP的“BfeRpcOpenToken”函数,该函数可用于访问正在运行的进程的访问令牌,然后复制它们以将权限升级到系统级别。根据Deep Instinct专家的说法,NoFilter方法允许您绕过各种安全工具的监控,因为它最少涉及WinAPI代码,而防病毒和其他安全解决方案通常依赖于WinAPI代码。此外,这种攻击方法在安全日志中几乎没有留下任何痕迹,使得检测和分析后果变得更加困难。据专家称,NoFilter清楚地表明,对Windows内置组件进行彻底分析可以识别新的、以前未知的攻击媒介。
https://www.securitylab.ru/news/540997.php
9、勒索软件导致金融巨头Latitude集团蒙受巨额损失澳大利亚消费金融公司Latitude Group公布2023年上半年净亏损9820万澳元。原因是3月份的网络攻击 ,攻击者窃取了近800万份驾驶执照和数百万份其他机密客户文件。这一结果与去年同期3000万美元的净利润形成鲜明对比。与此同时,Latitude与网络攻击直接相关的成本约为7600万美元。由于网络攻击,发放新贷款和追收旧贷款的业务完全暂停了5周。这对Latitude的经营业绩产生了直接影响。澳大利亚和新西兰现金贷款部分的贷款量大幅下降 - 下降了19%。除了网络攻击之外,业绩还受到高通胀、消费者收入下降和零售销售放缓的影响。与去年的结果相比,即使没有发生任何事件,该公司也可能会陷入亏损,但黑客极大地加剧了这种情况。首席执行官Bob Belan表示,Latitude将继续致力于加强网络安全并改善客户服务,重点关注贷款和汇款等核心领域。Latitude Group遭受的网络攻击清楚地表明了企业面对日益增长的网络威胁时的脆弱性。黑客成功获取了数百万客户的机密数据,给公司造成了巨大损失。
https://www.securitylab.ru/news/540998.php
10、针对Zimbra协作账户持有人的网络钓鱼狂潮ESET的网络安全研究人员揭露了一项持续大规模传播的网络钓鱼活动,该活动明确针对Zimbra Collaboration电子邮件服务器用户。该活动至少自2023年4月起就一直活跃,旨在获取Zimbra账户持有者的凭证。ESET在17日早些时候发布的一份咨询报告中表示,其遥测数据表明,该活动主要针对中小企业(SME)和政府实体,受害者主要集中在波兰,其次是厄瓜多尔和意大利。网络钓鱼活动涉及多个步骤。最初,目标会收到一封包含附加HTML文件的电子邮件。该电子邮件通常伪装成服务器管理员,诱使收件人相信电子邮件服务器迫切需要更新或其帐户有被停用的风险。当打开附件时,受害者会看到一个欺骗性的 Zimbra 登录页面,该页面非常模仿合法版本,并包含预先填写的用户名字段。一旦受害者输入登录凭据,恶意HTML表单就会收集信息并通过HTTPS POST 请求将其发送到攻击者控制的服务器。该活动的独特之处在于其进一步传播的能力:ESET已记录了从先前受感染的Zimbra帐户发送的后续网络钓鱼电子邮件浪潮的实例。攻击者似乎获得了管理员帐户的访问权限并创建新邮箱以向其他潜在目标发送网络钓鱼电子邮件。ESET警告说,尽管这种网络钓鱼活动依赖于社会工程和用户交互,但其广泛的分布和成功率凸显了Zimbra用户需要持续保持警惕。
https://www.infosecurity-magazine.com/news/phishing-spree-targets-zimbra/
11、新的BlackCat勒索软件变种采用先进的Impacket和RemCom工具微软周四(8月17日)透露,它发现了BlackCat勒索软件(又名ALPHV和Noberus)的新版本,该勒索软件嵌入了Impacket 和RemCom等工具,以促进横向移动和远程代码执行。该公司的威胁情报团队在X(前身为Twitter)上发布的一系列帖子中表示:“ Impacket工具具有凭证转储和远程服务执行模块,可用于在目标环境中广泛部署BlackCat勒索软件。”“这个BlackCat版本还在可执行文件中嵌入了RemCom黑客工具,用于远程执行代码。该文件还包含硬编码的受损目标凭据,攻击者可使用这些凭据进行横向移动和进一步的勒索软件部署。”RemCom被宣传为PsExec的开源替代品,过去曾被Dalbit和Chafer(又名Remix Kitten)等民族国家威胁行为者用来在受害者环境中移动。两个月前,IBM Security X-Force披露了名为Sphynx的BlackCat更新版本的详细信息,该版本于2023年2月首次出现,提高了加密速度和隐蔽性,表明威胁行为者不断努力改进和重组勒索软件。
https://thehackernews.com/2023/08/new-blackcat-ransomware-variant-adopts.html
12、西门子医疗对LockBit勒索软件团伙涉嫌数据盗窃的行为做出回应医疗保健技术巨头西门子Healthineers表示,在LockBit勒索软件组织声称遭受攻击后,该公司正在调查其一家子公司可能发生的勒索软件事件。上周,LockBit添加了其泄露网站Varian——一家放射肿瘤治疗和软件制造商,两年前被西门子 Healthineers收购。西门子Healthineers发言人承认了LockBit的说法,但没有确认数据被盗,并表示该公司“已采取全面措施来减轻网络安全风险”。“我们知道数据已发布在LockBit网站上。它声称这些数据与西门子医疗的瓦里安业务部门有关,”该发言人告诉未来新闻记录。西门子医疗本身于2017年从同名德国企业集团中分拆出来,后者保留75%的股份。该发言人表示,“我们已经启动了事件响应协议,并成立了专门的工作组来调查该事件”,其中包括“内部和外部专家”。目前尚不清楚LockBit寻求多少赎金。据称对瓦里安的袭击是最近发生的一系列涉及美国医疗机构的事件之一。8月17日,该团伙将联合医疗中心添加到其泄密网站。这家位于美国和墨西哥边境的德克萨斯州西南部的医疗机构没有回应置评请求,但两周前宣布其网络存在问题。
https://therecord.media/siemens-healthineers-alleged-ransomware-incident-lockbit
13、德国国家律师协会调查勒索软件攻击代表德国全国律师的律师协会正在调查其布鲁塞尔办公室遭受的网络攻击。德国联邦律师协会(BRAK)于8月2日发现了这起袭击事件。该组织是一个伞式组织,负责监管德国28家地区律师事务所,代表国内外约166,000名律师。周一(8月14日),NoEscape勒索软件组织声称在BRAK上周宣布正在调查网络攻击后,该组织发起了攻击。BRAK没有回应有关最新情况的请求,而是将“未来新闻记录”提及上周的新闻稿。他们在声明中表示,他们正在与一家取证公司合作调查8月2日在其布鲁塞尔办事处发现的勒索软件攻击事件。他们已经能够恢复对电子邮件系统的访问,并计划联系在事件期间访问过数据的任何人。“BRAK目前正在与IT安全外部服务提供商合作,对IT系统进行取证分析,以澄清事件并修复损坏……BRAK向联邦数据保护专员报告了该事件,并正在与比利时警察、柏林国家刑事警察局和比利时网络安全中心的网络紧急响应小组,”他们补充道。黑客对BRAK的邮件服务器进行了加密,并窃取了160GB的数据。该组织仍在试图弄清楚有多少信息被窃取,其中涉及与布鲁塞尔办事处联系的人员的通信。该组织是在此类信息已泄露的假设下运作的。该组织为律师提供特殊的电子邮件服务,但表示该邮箱位于一个完全独立的系统上。官员们表示,勒索软件团伙威胁要泄露其窃取的信息,并被告知要联系网络犯罪分子以获取更多信息。
https://therecord.media/german-national-bar-association-investigating-cyberattack
14、Jenkins修补多个插件中的高严重性漏洞开源软件开发自动化服务器Jenkins本周宣布了针对影响多个插件的高和中严重漏洞的补丁。这些补丁解决了文件夹、Flaky Test Handler和Shortcut Job插件中的三个高严重性跨站点请求伪造(CSRF)和跨站点脚本(XSS)问题。第一个错误被追踪为CVE-2023-40336,其存在是因为在版本6.846.v23698686f0f6及更早版本的文件夹插件中,HTTP端点不需要 POST请求,从而导致CSRF。第二个高严重性错误CVE-2023-40342影响Flaky Test Handler插件版本1.2.2及更早版本,这些版本在Jenkins UI中显示时不会转义JUnit测试内容,从而允许攻击者执行XSS攻击。第三个漏洞为CVE-2023-40346,是Shortcut Job插件版本0.4及更早版本不会转义快捷方式重定向URL而导致的XSS缺陷。Docker Swarm插件版本1.11 及更早版本中发现了另一个高严重性XSS 缺陷,该缺陷在插入Docker Swarm仪表板视图之前不会转义从Docker返回的值。然而,没有针对这个错误发布补丁。此外,Jenkins警告称,尚未针对Maven Artifact ChoiceListProvider (Nexus)、Gogs和favorite View插件中的三个中等严重性缺陷发布补丁,这些缺陷可能导致凭证暴露、信息泄露和CSRF 攻击。
https://www.securityweek.com/jenkins-patches-high-severity-vulnerabilities-in-multiple-plugins/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement