20230831-5th域安全微讯早报-No.208

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年8月31日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-208 星期四

今日热点导读

1、FBI如何从受感染Windows PC 中消Qakbot恶意软件

2、CISA、DHS敦促国会重新授权CFATS计划

3、DreamBus恶意软件利用RocketMQ缺陷感染服务器

4、新的Android MMRat恶意软件使用Protobuf协议窃取您的数据

5、以色列内斗：部长们指责警察进行网络间谍活动

6、热门Notepad++编辑器一次发现4个漏洞

7、FreeBSD vs. Linux：一行代码结束速度之战

8、韩国人制造自毁机器人开创了网络安全的新时代

9、英国NCSC警告人工智能技术存在潜在的根本缺陷

10、新的Ransomed勒索者威胁受害者要么接受GDPR罚款要么支付赎金

11、印度证券交易委员会（SEBI）强调了强制暗网监控的迫切需要

12、蒙特利尔电力组织成为LockBit勒索软件狂潮的最新受害者

13、Netgear发布针对两个高严重性漏洞的补丁

14、纽约地铁安全漏洞使得追踪乘客的行程成为可能

资讯详情

1、FBI如何从受感染 Windows PC中消 Qakbot恶意软件

FBI当地时间8月29日宣布在一项国际执法行动中破坏了Qakbot僵尸网络，该行动不仅夺取了基础设施，还从受感染的设备中卸载了恶意软件。在控制僵尸网络后，FBI设计了一种从受害者计算机上卸载恶意软件的方法，有效地拆除了僵尸网络的基础设施，从受害者的PC到恶意软件操作者自己的计算机。FBI特别强调，该Qakbot删除工具已获得法官授权，其范围非常有限，只能从受感染的设备中删除恶意软件。此外，由于恶意软件仅从内存中运行，因此删除工具不会在硬盘驱动器上读取或写入任何内容。据悉，FBI控制的超级节点模块使用了Qakbot操作员不知道的不同加密密钥。SecureWorks表示，他们第一次看到这个自定义模块是在美国东部时间 8月25日晚上7:27推送到受感染的设备。目前，FBI不确定以这种方式清理的设备总数，但随着该过程在周末开始，他们预计当更多设备连接回被劫持的Qakbot基础设施时，将会清理更多设备。FBI还与Have I Been Pwned和荷兰国家警察共享了一个数据库，其中包含Qakbot恶意软件窃取的凭据。这并不是联邦调查局第一次使用法院批准的扣押令来删除受感染设备中的恶意软件。

https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/

2、CISA、DHS敦促国会重新授权CFATS计划

美国网络安全和基础设施安全局(CISA)呼吁国会采取行动，重新授权专门针对高风险化学设施安全的监管计划。该机构补充说，它正在提供设施资源和工具来帮助这些化学设施增强安全性，但这一自愿计划并不能替代化学设施反恐安全（CFATS）计划。此前，美国参议院上个月未能在CFATS计划到期日（2023年7月27日）之前通过重新授权CFATS计划的立法。在《华盛顿邮报》周一发表的一篇评论文章中，CISA局长Jen Easterly概述说，由于缺乏CFATS授权，“我们无法确保化学设施能够减少恐怖分子对化学品的利用。我们无法平均每天审查300个新名字，以确定寻求获取危险化学品的个人是否与恐怖主义有联系。我们无法处理设施提交的新材料，以确定它们是否低于CFATS危险化学品阈值，这意味着CISA和当地急救人员不知道危险化学品的位置和数量，这使得场所容易受到恐怖分子威胁。”Easterly周二（8月29日）在正在进行的2023年化学品安全峰会上发表讲话，她在会上提请人们注意“该机构对于确保我们的社区免受化学恐怖主义威胁至关重要，确保每个州 3200 多个高风险化学设施的安全免受网络威胁和物理威胁。

https://www.bleepingcomputer.com/news/security/dreambus-malware-exploits-rocketmq-flaw-to-infect-servers/

3、DreamBus恶意软件利用RocketMQ缺陷感染服务器

新版本的DreamBus僵尸网络恶意软件利用RocketMQ服务器中的严重远程代码执行漏洞来感染设备。被利用的缺陷被追踪为CVE-2023-33246，是一个权限验证问题，影响RocketMQ 5.1.0及更早版本，允许攻击者在某些条件下执行远程命令。瞻博网络威胁实验室的研究人员发现了最近利用该缺陷的DreamBus攻击，他们报告称该活动在2023年6月中旬出现激增。Juniper Threat Labs报告称，在2023年6月上旬发现了首次利用CVE-2023-33246的 DreamBus 攻击，目标是RocketMQ的默认10911端口和其他七个端口。攻击者使用“interactsh”开源侦察工具来确定在互联网暴露的服务器上运行的软件版本，并推断出潜在的可利用漏洞。该恶意软件还包含使用ansible、knife、salt和pssh等工具的横向传播机制，以及扫描外部和内部IP范围以查找可发现漏洞的扫描模块。

https://industrialcyber.co/cisa/cisa-dhs-urge-congress-to-reauthorize-cfats-program-highlighting-chemical-sector-risks/

4、新的Android MMRat恶意软件使用Protobuf协议窃取您的数据

一种名为MMRat的新型Android银行恶意软件利用很少使用的通信方法（protobuf 数据序列化）来更有效地从受感染的设备窃取数据。MMRat于2023年6月下旬首次被趋势科技发现，主要针对东南亚用户，并且在VirusTotal等防病毒扫描服务中仍未被发现。虽然研究人员不知道恶意软件最初是如何传播给受害者的，但他们发现MMRat是通过伪装成官方应用商店的网站分发的。受害者下载并安装携带 MMRat 的恶意应用程序，通常模仿官方政府或约会应用程序，并在安装过程中授予风险权限，例如访问 Android 的辅助功能服务。该恶意软件会自动滥用辅助功能来授予自己额外的权限，使其能够在受感染的设备上执行各种恶意操作。MMRat使用基于协议缓冲区 (Protobuf) 的独特命令和控制 (C2) 服务器协议来实现高效数据传输，这在Android木马中并不常见。

https://www.bleepingcomputer.com/news/security/new-android-mmrat-malware-uses-protobuf-protocol-to-steal-your-data/

5、以色列内斗：部长们指责警察进行网络间谍活动

以色列政府委员会将开始调查警方是否在针对总理本杰明·内塔尼亚胡的案件中实际使用了间谍软件。该委员会的成立经内阁会议批准。她将研究黑客个人设备的程序，包括NSO集团的产品。该研究不仅涉及内塔尼亚胡案，还涉及整个当局的网络间谍活动。在内阁投票之前，司法部长加利·巴哈拉夫-米亚拉对这一项目可能产生的后果表示担忧。据她称，该委员会的行动可能会导致以色列安全部门使用的情报收集方法被公开。在这些事件的背景下，该国政治和司法系统之间的紧张关系加剧。人们开始讨论以色列司法机构的作用及其独立性。以色列媒体多次报道称，警方利用NSO集团的程序来达到自己的目的。警方在没有法院命令的情况下侵入了公民的手机。司法部长亚里夫·莱文 (Yariv Levin) 表示，该委员会将制定有关如何在刑事案件中使用尖端技术的法律指南。他还表示，希望在媒体的指控后，公众对警方的信心能够逐渐恢复。NSO集团拒绝就该委员会的成立发表评论。以色列警方也没有对此事发表官方评论。

https://www.securitylab.ru/news/541323.php

6、热门Notepad++编辑器一次发现4个漏洞

网络安全专家在流行的文本编辑器Notepad++ 中发现了几个危险的漏洞。这些漏洞基于缓冲区溢出，攻击者可以利用它们在受害者的计算机上执行任意代码。这些漏洞是由GitLab 的一名研究人员报告的。根据他最近的报告，Notepad++ 包含以下严重漏洞：

CVE-2023-40031 ( CVSS 7.8) - 转换 UTF 编码函数中的缓冲区溢出；

CVE-2023-40036 (CVSS 5.5) - 字符解析模块中的全局缓冲区溢出。

CVE-2023-40164 (CVSS 7.8) - uchardet 库中的全局缓冲区溢出。

CVE-2023-40166 (CVSS 7.8) - 确定正在打开的文件的语言时出现缓冲区溢出。

这些漏洞允许攻击者在受害者打开常规文本文件（提前专门准备）时获得对易受攻击的系统的完全控制。截至本新闻发布时，Notepad++ 开发人员尚未发布消除上述安全漏洞的更新。Notepad++ 是一种用 C++ 编写的流行的开源跨平台文本编辑器。它支持在一个窗口中方便地处理多个选项卡和文件。Notepad++ 被全球数百万开发人员和 IT 专业人士使用。这些漏洞是由GitLab专家对编辑器源代码进行安全审核后发现的。根据他们的报告，这些问题与执行多个函数时缓冲区处理不正确有关。

https://www.securitylab.ru/news/541317.php

7、FreeBSD vs. Linux：一行代码结束速度之战

改变FreeBSD内核中的排序算法可以将其加载速度提高100倍甚至更多。尽管这一变化最初是针对微型虚拟机的，但所有用户都将从中受益。过去五年来，微型虚拟机在技术领域得到了积极的应用。这个想法的本质是创建旨在作为另一个操作系统下的来宾系统工作的操作系统。这种方法允许您减少虚拟机管理程序和在其中运行的操作系统，从而允许您使用更少的资源并减少虚拟机的启动时间。这种方法的主要商业目标是提供“无服务器”计算能力，实际上服务器仍然存在于某处，但用户在不了解基础设施的情况下工作。AWS通过Lambda提供此模型，该模型在 Amazon自己的Firecracker虚拟机管理程序上运行。FreeBSD 内核开发人员 Colin Percival 决定在Firecracker上运行FreeBSD。他表示，最新的性能改进令人印象深刻：通过替换排序算法，他将FreeBSD内核启动过程加快了一百倍，将内核启动时间缩短至25毫秒。Percival 说道：“在同一环境中，Linux启动时间为75-80毫秒，而我在25毫秒内加载了FreeBSD。” 他补充说，以前加载内核需要10秒，现在加载速度提高了约400倍。

https://www.securitylab.ru/news/541313.php

Подробнее: https://www.securitylab.ru/news/541313.php

8、韩国人制造自毁机器人开创了网络安全的新时代

韩国研究人员宣布创造出一种能够自毁的机器人，启动自毁后两个小时内机器人只留下一个油污的水坑。研究小组致力于研究软机器人——由柔性材料制成的设备，可以像生物体一样移动、再生和生长——该团队花了两年时间开发出足够坚固的材料，足以容纳成熟的机器人，但当嵌入的物质相互作用时，它们会崩溃。这种设备可以确保用于监视、侦察和运输的机器人的敏感数据不会落入敌人或其他未经授权的来源手中。这些机器人还可用于危险场所或环境不利地区的搜索任务。韩国科学家在硅树脂中应用了一种物质，该物质在暴露于紫外线时会释放氟离子。当操作员激活内置紫外线LED时，机器人开始解体，在不到两个小时内变成油腻的水坑。“我们创造了一种高度可变形且完全可分解的机器人，并在勘探条件下进行了演示，”Oh说。“在某些需要解体的情况下，例如完成任务、被敌人发现或被处置，机器人可能会暴露在紫外线下并分解成无法识别的形状。”自毁机制在技术领域并不新鲜，但韩国科学家的发展在网络安全和远程控制领域开辟了新视野。

https://www.securitylab.ru/news/541315.php

9、英国NCSC警告人工智能技术存在潜在的根本缺陷

英国国家网络安全中心(NCSC)警告称，一个明显的根本性安全缺陷会影响大型语言模型(LLM)，即ChatGPT用于进行类人对话的人工智能类型。自去年11月推出ChatGPT以来，对该技术的大部分安全担忧都集中在其自动产生类人语音的能力上。如今，犯罪分子正在积极部署自己的版本来生成“非常有说服力”的欺诈电子邮件。但是，除了正确使用LLM软件进行恶意目的之外，其使用和与其他系统的集成还存在直接产生的潜在漏洞，特别是当该技术用于与数据库或产品的其他组件进行交互时。这被称为“即时注入”攻击，NCSC表示这个问题可能是根本性的。该机构警告说：“研究表明，LLM本质上无法区分指令和为帮助完成指令而提供的数据。”在NCSC提供的另一个示例中，安全研究人员能够从MathGPT模型中提取敏感的 API密钥。除了即时注入攻击之外，该机构还警告数据中毒——本质上是破坏这些模型所训练的数据。

https://therecord.media/prompt-injection-uk-ncsc-artificial-intelligence-warning

10、新的Ransomed勒索者威胁受害者要么接受GDPR罚款要么支付赎金

根据网络安全公司Flashpoint的一份新报告，名为Ransomed的勒索团伙通过博客运作，告诉受害者，如果他们不付费保护被盗文件，他们将根据欧盟GDPR等数据保护法面临罚款。研究人员称，该组织将其赎金要求标记为“数字和平税”，就像勒索软件组织LockBit将其业务称为“后付费渗透测试服务”一样。Flashpoint表示，Ransomed仍在试图建立其作为犯罪威胁的可信度，目前尚不清楚该组织是否真的在部署勒索软件，或者只是声称数据被盗。报道称，Ransomed于8月15日推出了其网站，并在Telegram上进行了推广。与许多其他勒索软件博客一样，它列出了所谓受害者的姓名，并威胁要公开数据，除非支付赎金。Ransomed背后的黑客可能与BreachForums和Exposed等其他数据泄露网站有联系。该组织的赎金要求从50,000欧元到200,000欧元（54,000美元到218,000美元）不等，低于实际的GDPR罚款。截至8月28日，Ransomed在博客上列出了多家公司，其中包括位于华盛顿的私人俱乐部Metropolitan Club；TransUnion，美国信用机构；以及美国保险公司State Farm。这些组织尚未报告任何最近的数据泄露事件。

https://therecord.media/ransomed-cybercrime-group-extortion-gdpr

11、印度证券交易委员会（SEBI）强调了强制暗网监控的迫切需要

为了积极应对不断变化的威胁形势并认识到系统中的相互关联性，印度证券交易委员会(SEBI)公布了针对市场基础设施机构(MII)的新准则，包括证券交易所、清算公司和托管机构。这些准则的核心是引入强制性暗网监控，以阻止品牌滥用和潜在的数据泄露。SEBI强调了强制暗网监控的迫切需要，并强调当今市场系统的复杂性和综合性如何使机构面临其受控网络和整个生态系统内的威胁。对此类措施（尤其是强制性暗网监控）的迫切需求不仅限于MII。以数字依赖性为标志的当代商业环境要求企业进行暗网监控，以先发制人地检测和解决威胁，确保它们领先网络对手几步。SEBI强调定期参与暗网监控服务，是因为需要密切关注可能损害印度企业诚信和安全的潜在品牌滥用或数据泄露行为。鉴于监管机构的网络安全综合战略的广泛性，这一举措标志着该国市场基础设施网络安全范式的关键转变。

https://thecyberexpress.com/mandatory-dark-web-monitoring-sebi/

12、蒙特利尔电力组织成为LockBit勒索软件狂潮的最新受害者

LockBit勒索软件团伙继续占据新闻头条，并因对关键组织、政府和企业发起一系列攻击而引起网络安全专家的担忧。周三（8月30日），该团伙声称对蒙特利尔电力服务委员会(CSEM)进行了攻击，该委员会是一个拥有100年历史的市政组织，负责管理蒙特利尔市的电力基础设施。CSEM周二证实了这一事件，并在一份声明中写道，该组织于8月3日遭到勒索软件攻击，但拒绝支付赎金。它联系了魁北克省的国家当局和执法部门，同时尽一切努力恢复其系统。CSEM表示，其IT基础设施已经重建。“参与此案的犯罪团伙今天公开了一些被盗数据。CSEM谴责这种非法行为，同时指出，所披露的数据对于公众安全和CSEM开展的业务来说风险较低。”“应该指出的是，所有CSEM项目都是公共文件的主题。因此，所有这些计划——工程、施工和管理——已经通过魁北克省的官方流程办公室公开发布。”LockBit周三（30日）威胁要泄露数据，同一天它声称对此次攻击负责。

https://therecord.media/montreal-electricity-organization-lockbit-victim

13、Netgear发布针对两个高严重性漏洞的补丁

网络硬件巨头Netgear发现了两个漏洞，影响其一款路由器型号及其网络管理软件。其中一个漏洞（编号为CVE-2023-41183）允许黑客访问Netgear的Orbi 760路由器并在无需身份验证的情况下利用它们。根据零日计划，问题在于简单对象访问协议(SOAP) API的设置，该协议允许不同的软件应用程序进行通信。他们表示，在授予某人使用某些SOAP功能的权限之前，没有适当的流程来确认某人的身份。该漏洞在通用漏洞评分系统(CVSS)上的得分为8.8。Netgear 已经发布了补丁。该公司的公告称：“Netgear强烈建议您尽快下载最新固件。”并补充说，如果客户未能遵循其安全建议，该公司对由此产生的后果不承担任何责任。另一个漏洞（编号为CVE-2023-41182）影响该公司的网络管理系统ProSAFE。该缺陷允许黑客在ProSAFE系统上控制和运行自己的代码。零日计划表示，尽管利用此漏洞需要进行身份验证，但现有的身份验证机制可以被绕过。该漏洞的CVSS评分为7.2，并已在最新版本的ProSAFE中修复。目前还没有任何有关该漏洞被大规模利用的报告。

https://therecord.media/netgear-releases-patches-for-two-bugs

14、纽约地铁安全漏洞使得追踪乘客的行程成为可能

纽约市地铁的非接触式支付系统存在安全漏洞。任何有权访问某人信用卡号的人都可以看到他们在过去7天内进入城市地铁的时间和地点。问题出在OMNY网站上的一个“功能”，OMNY是大都会交通管理局(MTA)的触碰支付系统，它允许您仅使用信用卡信息查看最近的乘车历史记录。此外，使用Apple Pay（它为商家提供虚拟号码而不是真实号码）购买的地铁门票仍然以某种方式链接到您的实际信用卡号码。MTA的宽松实施可能会让跟踪者、虐待前任或任何侵入或在线购买某人信用卡信息的人了解他们通常进入地铁的时间和地点。404 Media的Joseph Cox最初报道了这个故事，详细描述了他如何（在乘客同意的情况下）跟踪他们进入的车站以及相应的时间。考克斯写道：“如果我一直监视这个人，我就能找出他们经常从哪个地铁站开始旅程，该站就在他们住的地方附近。” “我还想知道这个人每天具体什么时间去地铁。”“这是给滥用者的礼物，”电子前沿基金会网络安全总监伊娃·加尔佩林(Eva Galperin)告诉Engadget。

https://www.engadget.com/nyc-subway-security-flaw-makes-it-possible-to-track-riders-journeys-195600685.html?_fsig=pFqfL2mQUx6lGVOoMH6WXg--%7EA

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-204