20230825-5th域安全微讯早报-No.203

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年8月25日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-203 星期五

今日热点导读

1、美国国家科学基金会（NSF）投资2900万美元用于量子传感研究

2、美国众议院法案要求联邦承包商实施漏洞披露政策

3、MITRE两项新计划将助力网络防御工作和全球网络能力建设

4、NCCoE发布有关实施零信任架构的SP 1800-35D

5、英国圣海伦斯市议会在涉嫌勒索软件攻击后向居民发出警告

6、针对个人和小公司的勒索软件生态系统仍然强劲

7、神秘恶意软件使用Wi-Fi扫描来获取受感染设备的位置

8、ICS/OTRockwell ThinManager漏洞可能使工业HMI遭受攻击

9、FBI：最近Barracuda ESG零日漏洞的补丁无效

10、谷歌新的安全策略对抗黑客、网络钓鱼者和其他邪灵

11、Lazarus网络战革命：从MagicRAT到CollectionRAT

12、Jupiter X Core WordPress插件可能会让黑客劫持网站

13、勒索软件黑客停留时间降至5天，RDP仍广泛使用

14、俄数字发展部教导政府机构落实事件报告、进口替代和漏洞赏金以保护自己免受网络攻击

资讯详情

1、美国国家科学基金会（NSF）投资2900万美元用于量子传感研究

美国国家科学基金会正在投资2900万美元，用于推进新的量子信息科学研究，以帮助推动基于量子力学的技术的新迭代。NSF周二（8月22日）宣布，将把这笔资金分配给美国大学的18个研究团队，每个团队在四年内获得约100万至200万美元的资助。每个项目的研究主题都是量子传感技术的创新，其灵敏度可以对亚原子粒子的温度、运动、方向和其他特性的变化进行先进而精确的测量。受助者的具体重点领域包括建造一台以纠缠光子运行的量子增强望远镜，开发便携式原子钟以更好地测量不同高度的地球引力场的变化，以及研究活细胞内部可视化的新技术以寻求先进的医学治疗。NSF主任Sethuraman Panchanathan在一份新闻稿中表示：“几十年来，量子尺度的科学探索对我们的宇宙如何运作产生了令人惊讶的发现，并为量子技术带来了诱人的可能性。“我们现在正在通过这些项目和其他项目在量子研究方面迈出下一步，这些项目将基础研究与潜在应用结合起来，这些应用可以对我们的生活、经济繁荣和国家竞争力产生积极影响。”

https://www.nextgov.com/emerging-tech/2023/08/nsf-invests-29-million-quantum-sensing-research/389663/

2、美国众议院法案要求联邦承包商实施漏洞披露政策

来自南卡罗来纳州的共和党众议员、网络安全、信息技术和政府创新监督小组委员会主席南希·梅斯提出了一项新法案。该立法要求联邦承包商实施漏洞披露政策（VDP），以帮助他们识别软件漏洞，以便在不良行为者利用它们之前修复这些漏洞。“联邦网络安全漏洞减少法案”将要求联邦承包商按照美国国家标准与技术研究院(NIST)的指导方针实施VDP。这项立法举措扩展了2020年9月要求所有联邦机构实施VDP的要求，对于保持政府系统和信息的安全至关重要。该要求由美国网络安全和基础设施安全局(CISA)在其具有约束力的操作指令20-01 “制定和发布漏洞披露政策”中发布。该安全机构当时概述说，VDP是有效企业漏洞管理计划的基本要素，对于可通过互联网访问的联邦信息系统的安全至关重要。该指令要求每个机构制定和发布VDP并维护支持处理程序。《联邦网络安全漏洞减少法案》将要求所有联邦承包商实施 VDP，以更好地保护其信息系统，从而增强公共和私营部门的安全。

https://industrialcyber.co/threats-attacks/house-bill-mandates-federal-contractors-to-implement-vulnerability-disclosure-policies/

3、MITRE两项新计划将助力网络防御工作和全球网络能力建设

非营利组织MITRE宣布了两项旨在加强美国国际合作伙伴和盟友之间网络防御的计划。这些计划不仅仅是挫败对手的威胁，还旨在促进美国的安全与稳定，同时为合作努力奠定基础。保护全球公民、部门和网络。MITRE 的首席撰稿人兼编辑丹尼斯·斯齐亚沃尼透露，MITRE的全国性方法包括加强全球网络能力的两项努力。“我们的国际网络能力建设（ICCB）计划通过美国国务院开展工作，帮助发展中伙伴国家（包括哥斯达黎加和阿尔巴尼亚）提高其战略网络能力。我们的主动防御能力集（ADCS）提供培训、技术和技术指导，以支持美国国防部的目标，以提高我们的国防盟友的网络能力。”这两项工作都借鉴了MITRE开发的开放框架和标准，例如美国国家标准与技术研究所(NIST) 出版物、ATT&CK和CALDERA。他们还关注使这些工具有效所需的政策、流程和技能，从而形成一个能够“应对今天和明天的威胁”的全球网络社区。

https://industrialcyber.co/threat-landscape/two-new-mitre-programs-central-to-strengthening-cyber-defense-work-on-building-global-cyber-capacity/

4、NCCoE发布有关实施零信任架构的SP 1800-35D

国家网络安全卓越中心(NCCoE)发布了NIST网络安全实践指南SP 1800-35第3卷初稿。“实施零信任架构”，该草案将于 2023年10月9日之前公开征求意见。SP 1800-35D指南总结了NCCoE及其合作者如何使用商用技术来构建可互操作的开放标准基于零信任架构(ZTA)的示例实现符合NIST特别出版物(SP) 800-207“零信任架构”中的概念和原则。该指南包含五卷：NIST SP 1800-35A：执行摘要，说明编写该指南的原因、它解决的挑战、为什么它对组织很重要以及解决此挑战的方法。NIST SP 1800-35B：关于构建内容和原因的方法、架构和安全特征。NIST SP 1800-35C：操作指南，包含构建示例实施的说明，包括允许复制全部或部分项目的安全相关详细信息。NIST SP 1800-35D：功能演示以及已定义的用例，用于展示ZTA安全功能以及在受控实验室环境中通过每个示例实现演示这些功能的结果。NIST SP 1800-35E：风险与合规管理，涵盖风险分析以及ZTA安全特性与网络安全标准和推荐实践的映射。

https://industrialcyber.co/nist/nccoe-publishes-sp-1800-35d-on-implementing-a-zero-trust-architecture-calls-for-feedback-by-oct-9/

5、英国圣海伦斯市议会在涉嫌勒索软件攻击后向居民发出警告

位于英格兰西北部利物浦和曼彻斯特之间的圣海伦斯自治市议会已成为疑似勒索软件攻击的目标。该委员会网站上的初步声明称，它“目前正在调查潜在的网络事件”，并“与专业网络安全团队合作，以维持对在线服务的访问”。一位发言人证实，周一（8月21日）首次发现了“该委员会IT系统和网络上疑似勒索软件事件”。该委员会是该地区约18万居民的地方政府机构。该发言人补充说，“由于我们为防止进一步影响而采取的行动，并且正在进行全面调查”，内部系统受到了影响。目前尚不清楚该地区居民的哪些数据（如果有的话）被盗，该委员会也没有准确解释哪些服务受到了影响。该委员会警告居民“对从圣海伦斯自治市议会收到的任何电子邮件保持警惕”。当地人被告知要留意自称来自银行的网络钓鱼电子邮件，通知他们已经建立了新的直接借记卡，并带有一个确认其详细信息的链接 - 事实上，该链接允许犯罪分子从受害者那里获取这些详细信息。

https://therecord.media/st-helens-council-suspected-ransomware-attack-england

6、针对个人和小公司的勒索软件生态系统仍然强劲

针对大公司和大型政府组织的勒索软件攻击占据了2023年的头条新闻，但多家公司的研究人员警告称，针对个人和小型企业的小规模攻击也会造成重大伤害和损失。Netenrich的研究人员检查了Adhubllka勒索软件，该软件至少从2020年1月起就针对普通人和小型企业，勒索金额从800美元到1,600美元不等。Netenrich高级威胁分析师Rakesh Krishnan表示，勒索软件团伙通常会避开更大的目标，转而攻击受害者，因为他们知道受害者不具备处理事件的技术知识。克里希南解释说，许多团伙从Conti或LockBit等知名品牌的泄露版本中窃取勒索软件。这类勒索者可能没有足够的资源从头开始开发一些东西。或者他们有一个简单的勒索软件，研究人员和那些可以免费获得解密密钥的人可以对其进行解码。所以他们的目标是把他们的项目保密，这样就没有人会发现它。因此，与该行业的大鱼相比，被赎金的金额很小。Chainaanalysis在上个月的一份报告中指出了这一趋势比如Dharma、Phobos和Stop/Djvu等组织的活动也显著增长，这些组织要求赎金1,700美元。

https://therecord.media/ransomware-targeting-small-business-individuals-remains-robust

7、神秘恶意软件使用Wi-Fi扫描来获取受感染设备的位置

Secureworks的研究人员发现了一种神秘的恶意软件，它会扫描附近的Wi-Fi接入点，以获取受感染设备的位置。该恶意软件名为Whiffy Recon，针对Windows，旨在每60秒进行一次Wi-Fi扫描。收集到的数据被输入到Google的地理定位API，该API通过基于Wi-Fi接入点和移动网络数据对位置进行三角测量来返回地理坐标。Whiffy Recon由广泛使用的Smoke Loader恶意软件下载器提供，但尚不清楚它的用途。Secureworks指出，威胁行为者可以使用这些数据来跟踪受损的系统，可能会用它来恐吓受害者或迫使他们遵守自己的要求。目前其运作的动机尚不清楚。谁或什么对受感染设备的实际位置感兴趣？犯罪分子很少使用这种活动。这里的未知数令人担忧，而现实是它可以被用来支持任何数量的邪恶动机。担心其系统可能已感染 Whiffy Recon的组织或个人可以检查Windows中的启动文件夹中是否有名为“wlan.lnk”的文件，该文件用于持久性，确保每当设备启动时都会启动恶意软件。史密斯补充说，从启动文件夹中删除该文件可确保恶意软件在启动时不再运行，但无法知道已经收集了多少位置数据。

https://www.securityweek.com/mysterious-malware-uses-wi-fi-scanning-to-get-location-of-infected-device/

8、ICS/OTRockwell ThinManager漏洞可能使工业HMI遭受攻击

研究人员在罗克韦尔自动化的ThinManager ThinServer产品中发现的漏洞可用于针对工业控制系统(ICS)的攻击。网络安全公司Tenable的研究人员在ThinManager ThinServer（罗克韦尔提供的一款瘦客户端和RDP服务器管理软件）中发现了一个严重漏洞和两个高严重性漏洞。这些缺陷被追踪为CVE-2023-2914、CVE-2023-2915和CVE-2023-2917。这些安全漏洞被描述为不正确的输入验证问题，可能导致整数溢出或路径遍历。远程攻击者可以通过发送特制的同步协议消息来利用这些缺陷，而无需事先进行身份验证。利用这些漏洞可能会导致拒绝服务 (DoS) 情况、使用系统权限删除任意文件以及将任意文件上传到安装ThinServer.exe的驱动器上的任何文件夹。这些漏洞于5月份向供应商报告，Tenable于8月17日发布了技术细节，同一天罗克韦尔自动化向客户通报了补丁的可用性（针对注册用户的建议）。Tenable还开发了概念验证(PoC)漏洞，但尚未公开。利用该漏洞的唯一要求是访问托管易受攻击的服务器的网络。

https://www.securityweek.com/rockwell-thinmanager-vulnerabilities-could-expose-industrial-hmis-to-attacks/

9、FBI：最近Barracuda ESG零日漏洞的补丁无效

美国联邦调查局表示，针对最近的梭子鱼电子邮件安全网关（ESG）漏洞发布的补丁并不有效，建议组织“立即删除所有 ESG设备”。该安全缺陷（编号为 CVE-2023-2868）影响Barracuda ESG版本5.1.3.001至9.2.0.006，至少自2022年10 月起就已被用作零日漏洞，并继续成为攻击的目标。Barracuda于2023年5月下旬发布了针对该错误的补丁。6月，Mandiant将针对CVE-2023-2868的攻击归咎于国家支持的网络间谍组织（编号为UNC4841）。从7月开始，CISA发布了几份分析报告，详细介绍了攻击中使用的有效负载和恶意软件系列。现在，美国联邦调查局(FBI)警告，该漏洞仍然在野地中成为攻击目标，即使运行Barracuda发布的补丁的ESG设备“仍然面临着网络攻击者利用该漏洞持续危害计算机网络的风险” 。FBI强烈建议立即隔离和更换所有受影响的ESG设备，并立即扫描所有网络以查找与所提供的妥协指标列表的连接。

https://www.securityweek.com/fbi-patches-for-recent-barracuda-esg-zero-day-ineffective/

10、谷歌新的安全策略对抗黑客、网络钓鱼者和其他邪灵

谷歌为其Workspace云服务推出了一套更新的安全工具。这些工具旨在打击网络钓鱼和未经授权的用户帐户访问。主要创新之一是为试图更改重要安全设置的个人提供多因素身份验证。管理员调整系统设置需要另一位管理员的确认。谷歌专家Andy Wen表示，即使具有扩展权限的帐户受到损害，这也可以防止攻击者。对于普通Workspace用户的保护措施也将得到加强。例如，基于人工智能的模型将自动检测并阻止可疑活动。新机制将在早期阶段防止有针对性的攻击，而不会造成后果。正如谷歌所强调的那样，开发人员考虑了所有可能的场景和威胁类型。该公司简化了活动日志从Workspace到特殊 Chronicle存储的传输。Chronicle是Google自行开发的基于云的信息安全事件分析服务。它的工作原理是SIEM系统（安全信息和事件管理）。这意味着事件调查将花费更少的时间。到目前为止，只有部分功能在测试模式下可用。预计将在未来几个月内全面推出。

https://www.securitylab.ru/news/541190.php

11、Lazarus网络战革命：从MagicRAT到CollectionRAT

朝鲜黑客组织Lazarus正在积极利用Zoho ManageEngine软件中的一个关键漏洞来攻击来自世界各地的多家公司。该恶意操作始于今年早些时候，旨在危害美国和英国的组织，以安装QuiteRAT恶意软件和新的CollectionRAT木马。有关CollectionRAT的信息是在研究人员分析了用于活动的基础设施后得出的，攻击者将其用于其他攻击。“2023年初，我们看到Lazarus Group成功入侵了英国一家互联网骨干基础设施提供商，并成功部署了QuiteRAT。攻击者使用ManageEngine ServiceDesk的易受攻击的实例来获得初始访问权限，”Cisco Talos研究人员说。Lazarus首次部署了CVE-2022-47966的PoC漏洞，这是一个预身份验证远程代码执行漏洞，距离Horizon3研究团队发布该漏洞仅5天。2022 年下半年，攻击者在攻击中使用了MagicRat恶意软件。当时，美国、加拿大和日本的能源供应商受到了非常明显的损害。然后，在2023年2月，研究人员发现了QuiteRAT恶意软件。它被描述为一种简单但功能强大的远程访问木马，似乎是对 MagicRAT的重大改进。24日，思科Talos在另一份报告中报道了一种名为CollectionRAT的新木马，Lazarus黑客在最近的攻击中使用了该木马。它与EarlyRAT系列相关，具有非常广泛的功能。CollectionRAT 的功能包括执行任意命令、操作文件、收集系统信息、创建反向 shell、创建新进程、获取和运行新的有效负载，以及最后的自我删除。

https://www.securitylab.ru/news/541185.php

12、Jupiter X Core WordPress插件可能会让黑客劫持网站

Jupiter X Core（用于设置 WordPress和WooCommerce网站的高级插件）的某些版本存在两个漏洞，允许劫持帐户并在未经身份验证的情况下上传文件。Jupiter X Core是一款易于使用且功能强大的可视化编辑器，是Jupiter X主题的一部分，已在超过172,000个网站中使用。WordPress安全公司Patchstack的分析师Rafie Muhammad发现了这两个严重漏洞，并将其报告给Jupiter X Core的开发者ArtBee，后者于本月初解决了这些问题。第一个漏洞被识别为CVE-2023-38388，允许在未经身份验证的情况下上传文件，这可能导致在服务器上执行任意代码。第二个漏洞CVE-2023-38389允许未经身份验证的攻击者在知道电子邮件地址的情况下控制任何WordPress用户帐户。它的严重严重程度为9.8，影响从3.3.8及以下版本开始的所有Jupiter X Core版本。建议JupiterX Core插件的用户尽快升级到3.4.3版本，以减轻这两个漏洞带来的严重风险。

https://www.bleepingcomputer.com/news/security/jupiter-x-core-wordpress-plugin-could-let-hackers-hijack-sites/

13、勒索软件黑客停留时间降至5天，RDP仍广泛使用

在安全解决方案发出警报之前，勒索软件威胁行为者在受感染的网络上花费的时间越来越少。上半年，黑客的中位停留时间从2022年的9天降至5天。网络安全公司Sophos的统计数据显示，今年上半年所有网络攻击的总体中位停留时间为8天，低于2022年的10天。该公司指出，勒索软件攻击占Sophos今年记录的所有网络攻击的68.75%。Sophos 报告称，今年非勒索软件事件的中位停留时间从11天增加到13天。这表明，虽然勒索软件威胁行为者的行动速度更快，但其他实施网络入侵的网络犯罪分子“往往会徘徊”并等待机会。所有案例的平均停留时间为15-16天，而今年观察到的最长停留时间超过三个月。Sophos观察到43.42%的案例中发生了数据泄露，比去年增加了1.3%。数据盗窃似乎变得越来越普遍，因为该公司发现的此类攻击越来越少，从2022年的42.76%下降到2023年上半年的31.58%。支持这一趋势的是确认没有数据被泄露的事件增加（上升）从1.32%到9.21%）。在查看有关日期和时间的Sophos数据时，还出现了有趣的模式，这表明包括勒索软件运营商在内的威胁行为者更喜欢在周二、周三和周四攻击组织。统计数据显示，95%的入侵都使用了RDP。

https://www.bleepingcomputer.com/news/security/ransomware-hackers-dwell-time-drops-to-5-days-rdp-still-widely-used/

14、俄数字发展部教导政府机构落实事件报告、进口替代和漏洞赏金以保护自己免受网络攻击

数字发展部告诉《生意人报》，联邦和地区执行机构将开始报告其IT系统的网络安全情况。该机构澄清，信息安全指标已纳入7月份的数字化转型评级中，并将按月计算。它包括建立确保信息安全的结构单元、网络安全领域的进口替代、评估系统安全水平的措施（包括Bug Bounty——测试IT系统是否被白黑客渗透）等标准。2022年，数字发展部提议将Bug Bounty的概念引入俄罗斯立法，承认白帽子黑客活动的合法性。然而，政府消息人士告诉《生意人报》，该项目没有得到执法机构的支持，执法机构担心未经授权访问重要数据的风险。因此，数字发展部本身“鼓励公共部门掌握测试机制，特别是通过信息安全报告”。一些地区已经开始准备此类报告。例如，在下诺夫哥罗德地区，数字发展和通信部长亚历山大·西内洛博夫告诉《生意人报》，该地区已经在准备信息安全报告。在克里米亚，《生意人报》获悉，在一些部委和市政府，“公务员正在尝试以新的形式进行工作”，“大多数人暂时认为引入此类报告是必要的一步”。然而，并非所有地区都为此类创新做好了准备。

https://www.securitylab.ru/news/541166.php

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-199