20230821-5th域安全微讯早报-No.199

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年8月21日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-199 星期一

今日热点导读

1、古巴勒索软件利用Veeam攻击美国关键组织

2、WinRAR漏洞陷可让黑客在用户打开RAR存档时运行程序

3、美国联邦调查局和空军警告对航天工业进行网络攻击

4、太空时代谷歌VS苹果：Android14引入卫星通信改写通信规则

5、手部植入RFID：技术突破还是通向不安全未来的大门？

6、Twitch向巨魔宣战：被禁止的观众将无法再观看直播

7、智能手机黑客公司Cellebrite如何平衡在黑客世界中的权力和责任

8、科技巨头面临高达年收入6%的罚款威胁

9、新的瞻博网络Junos OS缺陷使设备面临远程攻击

10、如何利用分子语言创造新技术

11、WoofLocker工具包隐藏图像中的恶意代码以运行技术支持诈骗

12、瑞士伯尔尼警察部队的联系方式遭黑客窃取

资讯详情

1、古巴勒索软件利用Veeam攻击美国关键组织古巴勒索软件团伙结合使用新旧工具对美国关键基础设施组织和拉丁美洲IT公司发起攻击。黑莓的威胁研究和情报团队于 2023年6月上旬发现了最新的活动，报告称古巴现在利用CVE-2023-27532从配置文件中窃取凭据。该特定缺陷影响Veeam Backup& Replication (VBR)产品，自2023年3月起就已出现针对该缺陷的漏洞利用。此前，WithSecure曾报道称FIN7 正在积极利用CVE-2023-27532，该组织与各种勒索软件操作有多个已确认的关系。黑莓报告称，古巴勒索的初始访问向量似乎是通过RDP泄露的管理员凭据，而不涉及暴力破解。Cuba利用现在广泛使用的BYOVD（自带易受攻击的驱动程序）技术来关闭端点保护工具。此外，它还使用“BurntCigar”工具来终止与安全产品相关的内核进程。除了相对较新的Veeam缺陷之外，Cuba还利用了CVE-2020-1472（“Zerologon”），这是Microsoft NetLogon协议中的一个漏洞，该漏洞使他们能够针对AD域控制器进行权限升级。https://www.bleepingcomputer.com/news/security/cuba-ransomware-uses-veeam-exploit-against-critical-us-organizations/
2、WinRAR漏洞陷可让黑客在用户打开RAR存档时运行程序WinRAR是数百万人使用的流行Windows文件存档实用程序，只需打开存档即可在计算机上执行命令，该漏洞已修复。该漏洞被追踪为CVE-2023-40477，在打开特制的RAR文件后，远程攻击者可以在目标系统上执行任意代码。该漏洞由零日计划的研究人员“goodbyeselene”发现，并于2023年6月8日向供应商RARLAB报告了该漏洞。ZDI网站上发布的安全公告中写道：“恢复卷处理过程中存在特定缺陷。”“该问题是由于缺乏对用户提供的数据进行适当验证而导致的，这可能会导致内存访问超出已分配缓冲区的末尾。”由于目标需要诱骗受害者打开存档，因此根据CVSS，该漏洞的严重性评级降至7.8。从实际角度来看，欺骗用户执行所需的操作不应过于具有挑战性，并且鉴于WinRAR的用户群规模庞大，攻击者有充足的机会成功利用该漏洞。RARLAB于2023年8月2日发布了WinRAR版本6.23，有效解决了CVE-2023-40477。https://www.bleepingcomputer.com/news/security/winrar-flaw-lets-hackers-run-programs-when-you-open-rar-archives/
3、美国联邦调查局和空军警告对航天工业进行网络攻击美国联邦调查局(FBI)、国家反情报与安全中心(NCSC)和空军特别调查办公室(AFOSI)8月18日五发布了一份长达两页的咨询报告，警告航天工业因对全球经济的重要性日益增加而受到网络攻击。这些机构表示：“外国情报实体（FIE）认识到商业航天工业对美国经济和国家安全的重要性，包括关键基础设施对天基资产的日益依赖。”“他们将美国与太空相关的创新和资产视为潜在威胁以及获取重要技术和专业知识的宝贵机会。外商投资企业利用网络攻击、战略投资（包括合资和收购）、瞄准关键供应链节点以及其他技术来进入美国航天工业。”自从俄罗斯在莫斯科入侵乌克兰之初对卫星公司Viasat 发起攻击以破坏通信以来，对该行业的担忧不断加剧。根据该咨询报告，针对美国航天工业的网络攻击企图主要集中在窃取专有数据，其中一些案例与滥用知识产权有关。与其他政府有联系的黑客也表现出了对从卫星收集数据、破坏美国卫星通信并“降低美国在紧急情况下提供关键服务的能力”的兴趣。https://therecord.media/fbi-warns-of-space-cyberattacks
4、太空时代谷歌VS苹果：Android14引入卫星通信改写通信规则谷歌正在积极致力于将卫星通信集成到Android 14操作系统中，根据发现的界面，新功能将允许用户即使在常规移动通信不可用的情况下也可以通过卫星发送消息。该公司已经为实现这一功能奠定了软件基础，高通公司还宣布将在其Snapdragon芯片中提供必要的专用硬件。此外，谷歌正在其消息应用程序中开发一个新界面，用于通过卫星进行紧急求救呼叫。该应用程序的这一部分是由著名举报者@neil_rahmouni发现的。它看起来像一个常规的短信线程，但带有“卫星消息”标签。还会出现一个计数器，指示可以在消息中输入多少个字符。在提供的屏幕截图中，该功能似乎已损坏，显示“-1”，但卫星消息预计将受到字符限制。此类技术可能比苹果为具有紧急SOS功能的iPhone 14提供的解决方案先进得多，在后者中，用户只能看到一些预设消息。随着新硬件的推出，卫星通信的功能也将扩展。也许谷歌和其他制造商将能够更新现有的调制解调器软件以支持新技术。最有可能的是，该功能很快就会出现在Pixel智能手机上。在卫星通信完全集成之前，用户可以利用临时解决方案，例如摩托罗拉的Defy卫星蓝牙适配器。https://www.securitylab.ru/news/541018.php
5、手部植入RFID：技术突破还是通向不安全未来的大门？程序员Miana Windall在她的皮下植入了25个植入物，包括磁铁和RFID技术。她说这些植入物几乎是看不见的，并且在 DEF CON会议上分享了她对这些植入物进行编程以供个人使用的经验。生物黑客和植入公司Dangerous Things的创始人 Amal Graafstra强调，芯片植入并不神奇，只有在与读者非常密切的接触下才能发挥作用。RFID植入物的使用非常具体，在大多数情况下，用户会根据自己的需求进行调整。Dangerous Things提供现成的解决方案，例如可让您启动汽车的 Tesla钥匙植入装置。芯片的用户必须能够独立地将必要的关键配置传输给它。Windall建议在与植入者会面之前评估所有可能性，否则芯片可能仍然无效。“在进行手术之前进行深入研究并确定你的目标，”工程师强调说。温德尔的皮肤下已经有许多未激活的植入物。然而，公司正在研究使用RFID植入物作为安全工具的方法。温德尔强调，有人在你不知情的情况下扫描你的凭证的可能性并不高：“你不能偷走你的手，至少不能用砍刀。”更重要的是，植入物可以用来验证身份，而不是双因素身份验证。您的访问密钥可以加载到可以验证您身份的芯片植入物中。https://www.securitylab.ru/news/541019.php
6、Twitch向巨魔宣战：被禁止的观众将无法再观看直播Twitch计划在未来几周内推出一款新工具来打击不受欢迎的观看者，这将补充现有的聊天拦截工具。在该公司每月产品展示的最新一集《补丁说明》中，Twitch宣布频道所有者将能够阻止被阻止或禁止的用户观看流媒体。如果版主或主播激活此功能，被屏蔽的用户不仅会被排除在聊天之外，还会被排除在直播本身之外。新的反骚扰工具将成为Twitch屏蔽工具的一部分，被屏蔽的用户将被自动禁止观看直播。“老实说，多年来我们收到了很多反馈，人们希望更积极地禁止他们的频道，”Twitch高级产品经理Trevor Fisher说。新选项仅适用于已登录的被阻止或禁止的用户。Twitch还不会通过IP进行阻止，并且没有其他方法来跟踪已注销的用户。此外，该功能不会阻止不需要的观看者观看流媒体录制、精彩片段和剪辑，尽管Twitch计划在未来添加此功能。“这是我们必须逐步推进的事情，”费舍尔强调。https://www.securitylab.ru/news/541013.php
7、智能手机黑客公司Cellebrite如何平衡在黑客世界中的权力和责任Cellebrite是一家以其智能手机黑客技术而闻名的公司，它敦促各国政府和安全机构对其产品的使用保密。据TechCrunch报道。该公司与政府机构达成协议，要求他们不得披露公司黑客技术的使用情况。这种做法引起了律师们的担忧，他们认为强大的黑客技术的使用应该受到公众的监督。在一段泄露的执法培训视频中，Cellebrite的一名高级官员敦促客户隐藏数据的获取方式：“你最终提取了数据，这是解决犯罪的数据，你是怎么做到的，让我们尽量保密尽可能”。法律专家认为此类要求很危险，因为它们可能会使整个过程变得困难，而这需要司法批准。斯坦福大学互联网观测站研究员Riana Pfefferkorn表示：“被告应该能够充分理解Cellebrite设备的工作原理，检查它们并确定它们是否正常工作。”此外，刑事辩护律师Hanni Fakhoury强调了披露此类信息对于辩方确定证据合法性的重要性。Cellebrite发言人表示，该公司致力于遵守道德原则并合法使用其工具。然而，电子前沿基金会高级研究员Saira Hussain和高级技术专家Cooper Quintin报告称，“Cellebrite帮助创造了一个独裁国家、犯罪集团和网络雇佣兵也可以使用易受攻击的设备实施犯罪、压制反对意见并侵犯人们隐私的世界。”Cellebrite并不是第一家要求客户保守技术秘密的公司。https://www.securitylab.ru/news/541025.php
8、科技巨头面临高达年收入6%的罚款威胁8月25日，欧盟立法生效，以应对社交媒体对儿童和青少年的潜在有害影响。新规则是《数字服务法》(DSA)的一部分，要求TikTok、Facebook和YouTube等主要平台向欧盟委员会开放其系统，接受欧盟委员会的审查，并证明公司正在尽一切可能确保其产品不被滥用以避免对儿童造成伤害。对不遵守新规定的制裁最高可达企业全球年收入的6%。这一决定是在各国已经采取的措施之后作出的。最引人注目的例子是中国，它对儿童和青少年使用互联网和社交网络施加了限制。此外，法国于7月通过了一项新法律，要求TikTok等平台验证用户年龄，并获得家长同意才能为15岁以下的任何人进行注册。DSA的主要目的是让欧盟监管机构有能力监控大型互联网平台，并引入更严格的机制来删除“假新闻”和“攻击性内容”。同时，科技巨头将对非法内容的检测和使用的删除算法负责，并且必须遵守与透明度相关的某些要求。社交媒体使用与青少年心理健康之间的关系仍然存在争议。一方面，美国的研究表明，青少年的负面心理结果有所增加，例如焦虑、抑郁和自尊问题。这种趋势在青春期女孩中尤其明显。另一方面，有观点认为科技只是影响年轻一代心理健康的因素之一。https://www.securitylab.ru/news/541030.php
9、新的瞻博网络Junos OS缺陷使设备面临远程攻击网络硬件公司Juniper Networks发布了一个“周期外”安全更新，以解决Junos OS的J-Web组件中的多个缺陷，这些缺陷可以组合起来在易受影响的安装上实现远程代码执行。这四个漏洞的累积CVSS评级为9.8，严重程度为“严重”。它们影响 SRX和EX系列上所有版本的Junos OS。该公司在2023年8月17日发布的公告中表示：“通过串联利用这些漏洞，未经身份验证的网络攻击者可能能够在设备上远程执行代码。”J-Web界面允许用户配置、管理和监控Junos OS设备。缺陷的简要描述如下——CVE-2023-36844和CVE-2023-36845（CVSS 分数：5.3）。CVE-2023-36846和CVE-2023-36847（CVSS 分数：5.3）。威胁行为者可以发送特制请求来修改某些PHP环境变量或通过J-Web上传任意文件，无需任何身份验证即可成功利用上述问题。作为一种解决方法，瞻博网络建议用户禁用J-Web或仅限制对受信任主机的访问。https://thehackernews.com/2023/08/new-juniper-junos-os-flaws-expose.html
10、如何利用分子语言创造新技术蒙特利尔大学的加拿大科学家成功地重新创建并在数学上验证了生命背后的两种分子语言。这些突破性的发现发表在《美国化学会杂志》上，为纳米技术的进步铺平了道路，并可能在生物传感器、药物输送和分子成像等领域找到应用。领导这项研究的UdeM生物工程教授Alexis Valle-Belize表示：“生命起源的关键在于分子语言的发展，这些语言允许生物体内的分子相互作用以执行特定任务。”一种著名的分子语言是变构。这种语言的机制是“锁和钥匙”：一个分子结合并修改另一个分子的结构，指导它启动或停止活动。另一种不太为人所知的分子语言是多价，也称为螯合效应。它的工作原理就像一个谜题：当一个分子与另一个分子结合时，只需增加其结合表面，就会使第三个分子更容易（或不）结合。尽管这两种语言在所有生物体的所有分子系统中都被观察到，但直到最近，科学家们才开始了解它们的规则和原理，并因此使用这些语言来设计和编程新的人工纳米技术。为了研究这两种语言，研究生Dominic Lauzon创建了一个可以在两种语言中运行的基于DNA的分子系统。“DNA就像纳米工程师的乐高积木，”劳宗说。研究人员发现，简单的数学方程可以描述这两种语言，从而揭示了纳米系统中分子通信编程的参数和规则。https://www.securitylab.ru/news/541020.php
11、WoofLocker工具包隐藏图像中的恶意代码以运行技术支持诈骗网络安全研究人员详细介绍了名为WoofLocker的高级指纹识别和重定向工具包的更新版本，该工具包旨在进行技术支持诈骗。Malwarebytes于2020年1月首次记录了这种复杂的流量重定向方案，该方案利用嵌入在受感染网站中的JavaScript 来执行反机器人和Web流量过滤检查，以服务下一阶段的JavaScript，将用户重定向到浏览器锁定器（又名browlock）。反过来，这种重定向机制利用隐写技巧将JavaScript代码隐藏在仅在验证阶段成功时才提供的PNG图像中。如果用户被检测为机器人或不感兴趣的流量，则会使用不含恶意代码的诱饵PNG文件。WoofLocker也称为404Browlock，因为在没有适当的重定向或一次性会话令牌的情况下直接访问browlock URL会导致404错误页面。该网络安全公司的最新分析显示，该活动仍在继续。大多数加载WoofLocker的网站都是成人网站，其基础设施使用保加利亚和乌克兰的托管提供商，为威胁行为者提供更强大的保护，防止被删除。https://thehackernews.com/2023/08/wooflocker-toolkit-hides-malicious.html
12、瑞士伯尔尼警察部队的联系方式遭黑客窃取瑞士国家网络安全中心(NCSC)于7月21日向伯尔尼州警方通报，警察员工智能手机上安装的MobileIron应用程序存在先前未知的安全漏洞。该应用程序由IT软件公司Ivanti提供，在全球范围内使用，以确保智能手机或笔记本电脑与公司总部的服务器之间的连接。伯尔尼州警察局媒体发言人Flurina Schenk在接受瑞士公共电视台SRF采访时证实，安全漏洞很快被弥补，但数据已经泄露。被盗的信息，包括警察的姓名和电话号码，被认为是敏感信息，因为它可以用来针对警察。据伯尔尼州警方称，目前尚不清楚是谁窃取了这些数据。到目前为止，没有证据表明这些数据已在网上发布。调查已经展开。MobileIron安全漏洞的受害者不止这些。瑞士最近面临网络攻击激增的情况。今年6月，黑客利用托管公司服务器上的漏洞，在暗网上公布了联邦警察局(Fedpol)和联邦海关与边境安全局的数据。瑞士联邦铁路、瑞士媒体集团、国防承包商 RUAG、红十字国际委员会(ICRC)以及联邦政府的多个网站也面临攻击。https://www.swissinfo.ch/eng/business/hacker-steals-contact-details-of-bern-police-force/48747522

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-194