其他
20230830-5th域安全微讯早报-No.207
网络空间安全对抗资讯速递
2023年8月30日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-207 星期三
今日热点导读
1、加拿大网络中心发布基线网络威胁评估
2、美国主导对僵尸网络基础设施的最大规模打击行动Duck Hunt
3、IARPA举办大型语言模型漏洞缓解工具活动
4、美国罕见地预览即将发射的间谍卫星
5、Citrix NetScaler警报:勒索软件黑客利用关键漏洞
6、微软对AiTM攻击发出警报:网络钓鱼即服务变得更加智能
7、西班牙建筑组织遭到LockBit Locker勒索软件攻击
8、开源提高性能:科学家利用AI加速Python
9、美国各地起诉现代和起亚缺乏基本硬件安全措施
10、特斯拉打开未来之门:改变游戏规则的超级计算机
11、俄罗斯人模仿《华盛顿邮报》和福克斯新闻报道反乌克兰故事
12、PDF中的MalDoc:在PDF文件中隐藏恶意Word文档
13、Juniper SRX防火墙最近发现了允许未经授权远程执行代码的漏洞
14、索马里命令ISP屏蔽Telegram和TikTok
资讯详情
2、美国主导对僵尸网络基础设施的最大规模打击行动Duck Hunt臭名昭著的Qakbot恶意软件是网络犯罪分子最喜欢的工具,其背后的基础设施已被联邦调查局在代号为“Duck Hunt”的行动中摧毁。据美国司法部(DoJ)称,官方修复人员还主动连接到受感染的计算机,以消除数万台受害计算机上的Qakbot 感染,并表示他们是在“合法访问”的情况下进行的。Qakbot通常用作第一阶段植入程序,在不知情的目标打开电子邮件中的恶意附件后感染计算机。一旦它危害了一台机器,它就会将其奴役于僵尸网络基础设施,然后等待进一步的指令。由此产生的持续感染网络可以根据需要传递额外的恶意软件。美国司法部和联邦调查局周二(8月29日)宣布,通过与法国、德国、荷兰、罗马尼亚、拉脱维亚和英国的联合行动,全球执法机构在全球范围内识别并访问了超过70万台受Qakbot感染的计算机,其中包括超过20万台位于美国的计算机。根据司法部的Qakbot取缔公告,“为了摧毁僵尸网络,FBI将Qakbot流量重定向到该局控制的服务器,指示受感染的计算机下载卸载程序文件”。根据Secureworks最近的研究,Qakbot感染往往对家庭用户和企业用户产生同样的影响。https://www.darkreading.com/threat-intelligence/sprawling-qakbot-malware-takedown-spans-700-000-infected-machines
3、IARPA举办大型语言模型漏洞缓解工具活动情报高级研究项目局正在制定一份新合同,以检查哪些工具可用于解决支持人工智能和机器学习工具的大型语言模型中的威胁和漏洞。该机构于8月25日发布了一份广泛的机构公告的预招标通知,详细介绍了其名为“偏见效应和显着的生成人工智能限制”(BENGAL)的研发采购计划,以及定于10月24日举行的提案者日活动。“BENGAL的目标是了解LLM威胁模式,对其进行量化并找到新的威胁模式。解决威胁和漏洞或弹性地处理不完美模型的方法,”该公告称。“IARPA寻求开发和整合新技术,以有效地探测大型语言模型,以检测和表征LLM威胁模式和漏洞。”本月早些时候,IARPA发布了一份信息请求,以更深入地了解LLM可能固有的威胁和漏洞。根据该通知,参与提案者日的利益相关者将关注多个主题领域,通过精心设计的分类法识别每个领域内的威胁模式,并开发工具“以有效地探索LLM模型,以检测、描述和减轻偏见、威胁或漏洞。”https://www.nextgov.com/artificial-intelligence/2023/08/iarpa-teases-event-large-language-model-vulnerability-mitigation-tools/389832/
4、美国罕见地预览即将发射的间谍卫星美国官员在关于国家侦察办公室即将执行的任务的新闻发布会上表示,周二(8月29日)的发射旨在将高度机密的物体跟踪卫星送入地球同步轨道。此次发射将使用联合发射联盟的Atlas 5火箭,是太空部队/NRO SILENTBARKER/NROL-107任务的一部分。NRO的任务通常保持高度机密,因为该办公室负责运营国防部的间谍卫星。然而,太空系统司令部负责人迈克尔·盖特兰中将表示,五角大楼现在对其威慑对手的任务更加开放,威慑的一个重要因素是对手能够知道我们能看到什么和不能看到什么,所以实际上希望美国的竞争对手知道美国在GEO上有眼睛,可以看到GEO中发生的事情。NRO主任(Chris Scolese表示,国防部正在努力使这项任务“更加透明”。斯科莱斯说:“我们想让人们在某种程度上知道我们的能力是什么,如果你仔细想想,这种能力除了国家安全之外还具有巨大的价值。”29日的发射将有“多个有效载荷”,但官员们没有透露具体有多少。斯科莱斯表示,他们预计SILENTBARKER任务总共会进行两次发射,但数量可能会增加。ILENTBARKER 将于2026年达到全面运营能力。https://www.nextgov.com/defense/2023/08/us-offers-rare-preview-upcoming-spy-satellite-launch/389825/
5、Citrix NetScaler警报:勒索软件黑客利用关键漏洞暴露在互联网上的未打补丁的Citrix NetScaler系统正成为未知威胁参与者的目标,疑似勒索软件攻击。网络安全公司 Sophos正在追踪名为STAC4663的活动集群。攻击链涉及CVE-2023-3519的利用,这是一个影响NetScaler ADC和网关服务器的关键代码注入漏洞,可能有助于未经身份验证的远程代码执行。在2023年8月中旬检测到的一次入侵中,据说该安全漏洞被用来进行全域攻击,包括将有效负载注入到合法的可执行文件中,例如Windows更新代理 (wuauclt.exe)和Windows Management Instrumentation Provider服务(wmiprvse.exe)。有效载荷的分析正在进行中。其他值得注意的方面包括混淆的PowerShell脚本、PHP Web shell的分发,以及使用名为BlueVPS的爱沙尼亚服务进行恶意软件暂存。Sophos表示,该作案手法与NCC Group Fox-IT本月早些时候披露的攻击活动“密切”一致,其中近2,000个Citrix NetScaler系统遭到破坏。https://thehackernews.com/2023/08/citrix-netscaler-alert-ransomware.html
6、微软对AiTM攻击发出警报:网络钓鱼即服务变得更加智能微软警告说,中间对手(AiTM) 网络钓鱼技术有所增加,这些技术正在作为网络钓鱼即服务(PhaaS)网络犯罪模型的一部分进行传播。除了支持AiTM的PhaaS平台有所增加之外,这家科技巨头还指出,PerSwaysion等现有的网络钓鱼服务正在整合AiTM功能。微软威胁情报团队在X(前身为Twitter)上发布的一系列帖子中表示:“PhaaS生态系统的这一发展使攻击者能够进行大量网络钓鱼活动,试图大规模规避MFA保护。”具有AiTM功能的网络钓鱼工具包以两种方式工作,其中一种涉及使用反向代理服务器(即网络钓鱼页面)来转发客户端和合法网站之间的流量,并秘密捕获用户凭据、双因素身份验证代码和会话cookie。第二种方法涉及同步中继服务器。通过同步中继服务器,目标会看到登录页面的副本或模仿,就像传统的网络钓鱼攻击一样。” “Storm-1295是Greatness PhaaS平台背后的参与者组织,为其他攻击者提供同步中继服务。”https://thehackernews.com/2023/08/phishing-as-service-gets-smarter.html
7、西班牙建筑组织遭到LockBit Locker勒索软件攻击 西班牙国家警察警告称,“LockBit Locker”勒索软件活动正在通过网络钓鱼电子邮件针对该国的建筑公司。警方在一份声明中表示:“尽管攻击者的行为可能会蔓延到其他部门,但已经发现了一波发给建筑公司的电子邮件。”警方表示,此次发现的活动非常复杂,因为在设备完全加密之前,受害者不会怀疑任何事情。恶意邮件列表中的许多电子邮件都是代表不存在的域“fotoprix.eu”发送的。袭击者假装是一家新开的照相馆,据称想向一家建筑公司订购装修计划。在几封信函建立信任后,勒索者提议召开一次会议,讨论建筑项目的预算和细节,同时发送一份文件档案,其中应包含建筑师计算和准备计划的准确规范为了即将到来的重建。西班牙警方强调这些攻击的“高度复杂性”,并指出一系列通信使受害者相信他们正在与真正有兴趣讨论建筑项目细节的真人进行互动。https://www.securitylab.ru/news/541293.php
8、开源提高性能:科学家利用AI加速Python由Emery Berger领导的马萨诸塞大学阿默斯特分校的科学家团队最近推出了一款名为Scalene的获奖Python分析器 。用 Python编写的程序因速度慢而臭名昭著,它们的速度可能比其他编程语言的代码慢60,000倍。Scalene旨在有效识别Python中的慢速部分,使开发人员能够优化其代码以获得更好的性能。曼宁信息与计算机科学学院计算机科学教授Berger表示,为了解决Python中的低效率问题,开发人员可以使用称为“分析器”的工具。现有的分析器对于Python程序员来说几乎没有什么帮助。他们只是指出某段代码速度很慢,让开发人员独自解决这个问题。Scalene是第一个分析器,不仅可以查明Python代码中的低效率问题,还可以使用人工智能来建议改进代码的方法。该分析器重点关注三个关键领域:CPU、GPU和内存使用情况。确定问题区域后,Scalene使用AI为特定行或代码块提出优化建议。https://www.securitylab.ru/news/541284.php
9、美国各地起诉现代和起亚缺乏基本硬件安全措施美国各地城市当局越来越多地起诉汽车制造商起亚和现代汽车,因为它们没有在汽车上安装基本的防盗技术。根据近几个月提起的诉讼,这导致汽车盗窃案激增,给警方带来了额外的压力。今年以来,西雅图、巴尔的摩、克利夫兰、纽约、芝加哥、圣路易斯和哥伦布等城市纷纷起诉起亚和现代,而这两家公司实际上属于同一家公司。原因是销售不带防盗装置的汽车,这是一种有助于降低盗窃率的硬件技术。虽然其他所有汽车制造商早已实施了防盗装置,但起亚和现代却没有及时采取行动。2015年,只有26%的车辆配备了这项技术,而其他制造商的这一比例为96%。起亚和现代汽车盗窃案在美国各城市急剧上升,而且尚未下降。尽管公司发布了使盗窃变得困难的更新 ,但这并不能解决物理上没有防盗器的问题。2022年,芝加哥有超过8,800辆起亚和现代汽车被盗,占该市所有盗窃案的41%。在西雅图,2022年7月现代和起亚的盗窃案比上年增加了620%。https://www.securitylab.ru/news/541286.php
10、特斯拉打开未来之门:改变游戏规则的超级计算机据@SawyerMerritt报道,特斯拉正准备推出其期待已久的基于Nvidia H100的超级计算机。新计算机将用于人工智能(AI)领域的各种任务,但其强大的功能使该机器能够用于解决高性能计算任务。凭借包括10,000个Nvidia H100显卡在内的新硬件,超级计算机的峰值性能将达到340 FP64 PFLOPS,这使得它甚至比世界第四快的超级计算机Leonardo还要强大。特斯拉的主要目标是加快其全自动驾驶(FSD)技术的学习曲线。然而,由于Nvidia H100显卡的需求量很大,该公司在供应方面遇到了困难。为此,特斯拉投资超过10亿美元来开发名为Dojo的超级计算机。除了加速FSD训练之外,Dojo还将处理来自整个Tesla车队的数据。马斯克最近宣布,特斯拉计划在2023年投资超过20亿美元用于人工智能培训,并在2024年另外投资20亿美元专门用于FSD培训计算。这证实了特斯拉致力于克服计算障碍并提供显着竞争优势的承诺。https://www.securitylab.ru/news/541292.php
11、俄罗斯人模仿《华盛顿邮报》和福克斯新闻报道反乌克兰故事根据Meta的最新威胁报告,俄罗斯虚假信息活动在网上传播了伪装成《华盛顿邮报》和福克斯新闻的合法报道的虚假文章,试图破坏西方对乌克兰的支持。这次针对美国媒体机构的相对较新的恶搞行动是在该活动之前集中针对德国、法国和乌克兰本身的基础上进行的。这家社交媒体巨头表示,此次行动背后的两家公司——Structura National Technology和Social Design Agency,在被Meta曝光后都曾受到欧盟的制裁——参与了“规模最大、最积极、最持久的秘密影响行动”。尽管受到Meta的多次干扰以及“平台和研究人员的持续审查”,这个名为Doppelganger的行动仍然坚持试图影响西方舆论。该影响力行动一直在欺骗新闻网站的域名,发布批评乌克兰总统弗拉基米尔·泽伦斯基或美国总统乔·拜登和白宫乌克兰政策的虚假故事,然后在社交媒体平台上发布这些故事的垃圾邮件链接。《华盛顿邮报》的一篇文章基于“一段伪造的俄语视频,该视频声称泽伦斯基总统承认他是中央情报局的傀儡。这篇文章和另一篇声称由福克斯新闻发表的文章使用了这些组织雇用的真实记者的署名。当《记录未来新闻》联系这些记者和他们的雇主时,他们拒绝就假冒事件发表评论。https://therecord.media/russians-fake-news-anti-ukraine
12、PDF中的MalDoc:在PDF文件中隐藏恶意Word文档日本计算机紧急响应小组(JPCERT)正在分享2023年7月检测到的新的“PDF 中的MalDoc”攻击,该攻击通过将恶意Word文件嵌入PDF来绕过检测。JPCERT采样的文件是一种多语言文件,被大多数扫描引擎和工具识别为PDF,但办公应用程序可以将其作为常规Word文档 (.doc)打开。多语言文件是包含两种不同文件格式的文件,这些文件格式可以解释为多种文件类型并执行,具体取决于读取/打开它们的应用程序。此活动中的恶意文档是PDF和Word档的组合,可以以任一文件格式打开。威胁行为者使用多语言来逃避检测 或迷惑分析工具,因为这些文件在一种格式中可能看起来无害,而在另一种格式中隐藏恶意代码。PDF文档包含一个带有VBS宏的Word文档,如果在Microsoft Office中以 .doc文件形式打开,则可以下载并安装MSI恶意软件文件。JPCERT并未透露恶意软件的任何细节。https://www.bleepingcomputer.com/news/security/maldoc-in-pdfs-hiding-malicious-word-docs-in-pdf-files/
13、Juniper SRX防火墙最近发现了允许未经授权远程执行代码的漏洞Juniper SRX防火墙最近发现了允许未经授权远程执行代码的漏洞。该威胁会影响在未更新的JunOS操作系统上运行的设备。两周前,瞻博网络披露了其EX系列交换机和SRX防火墙的四个中度严重缺陷。补丁已经发布来解决这些问题。在用PHP编写的J-Web界面中发现了漏洞。管理员使用它来管理和配置网络上的瞻博网络设备。由于身份验证过程和与文件系统交互中的缺陷,该接口变得容易受到攻击。watchTowr Labs的研究人员开发并发布了一个结合了两个关键漏洞的漏洞:关键功能缺乏身份验证 ( CVE-2023-36846 ) 和PHP外部变量修改中的错误 (CVE-2023-36845)。还发布了一份白皮书,详细介绍了问题分析和漏洞利用开发过程。到目前为止,还没有关于利用这些缺陷进行实际攻击的数据。然而,watchTowr Labs表示,攻击者可能很快就会侵入未更新的瞻博网络设备。https://www.securitylab.ru/news/541295.php
14、索马里命令ISP屏蔽Telegram和TikTok索马里政府最近宣布计划关闭一些社交媒体平台,包括TikTok和Telegram。通信与技术部长贾马·哈桑·哈利夫通过他的推特账户宣布,其目的是“维护我们社会的道德和文化”。该命令于8月20日(星期日)发布,该国的互联网服务提供商必须在8月24日-星期四之前遵守。哈利夫表示,在恐怖和极端主义团体使用Telegram进行安全通信的背景下,该禁令的出台是因为这些平台“对我们的年轻人产生了有害影响,并且近年来被滥用,伤害了许多人”。卡巴斯基研究人员表示,网络犯罪分子还使用Telegram进行活动,包括销售网络钓鱼工具包以及培训网络钓鱼者。路透社的一篇报道称,试图访问被屏蔽应用程序的用户会收到一份声明,其中写道:“您被指示关闭上述应用程序,恐怖分子和不道德团体利用这些应用程序向公众传播恐怖内容和错误信息。”哈利夫表示,封锁访问的意图是由于露骨内容的传播、敲诈勒索和赌博推广——据We Are Tech Africa报道,在线博彩应用1XBet也将被封锁。https://www.darkreading.com/dr-global/somalia-orders-isps-to-block-access-to-telegram-and-tiktok
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement