20230901-5th域安全微讯早报-No.209
网络空间安全对抗资讯速递
2023年9月01日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-209 星期五
今日热点导读
1、美国娱乐巨头派拉蒙全球公司披露数据泄露事件
2、微软解除了欧洲人对Edge浏览器的强制束缚
3、新的军事装备即将问世:五角大楼会选择哪一款?
4、伪装的艺术:幽灵文件如何成为攻击者手中的王牌
5、Airbnb:旅行者的天堂却是网络犯罪分子的磁石
6、俄罗斯APT在乌克兰反攻中加强网络间谍活动
7、ArubaOS交换机中的多个缺陷可让攻击者执行远程代码
8、五眼联盟详细介绍了针对乌克兰军事设备的GRU黑客工具
9、黑客修改开源“SapphireStealer”恶意软件导致多个变种
10、人工智能模型可能会通过欺骗人和彼此而退化
11、安全研究人员发布了针对Key Group勒索软件的解密器
12、新的人工智能解决方案将可靠地保护华盛顿免受空中威胁
13、开源并不能将人工智能从大公司的垄断中拯救出来
14、新的ISA立场文件敦促依靠相关标准和培训来推进工业网络安全
15、英国同意支持科威特网络安全中心
资讯详情
1、美国娱乐巨头派拉蒙全球公司披露数据泄露事件
派拉蒙全球公司 (Paramount Global) 披露了一起数据泄露事件,其系统遭到黑客攻击且攻击者获取了个人身份信息 (PII) 。派拉蒙在 Nickelodeon动画工作室执行副总裁Brian Keane 签署的发给受影响个人的违规通知信中表示,攻击者在2023年5月至6月期间访问了其系统。“根据我们的调查,个人信息可能包括您的姓名、出生日期、社会安全号码或其他政府颁发的身份证号码(例如驾驶执照号码或护照号码)以及与您与派拉蒙关系相关的信息, ”这家媒体巨头告诉受影响的人们。发现该事件后,该公司采取措施保护受影响的系统,并开始调查以确定违规的程度和范围。派拉蒙还聘请了一名网络安全专家来帮助调查此次攻击,并正在与执法人员合作作为调查的一部分。该公司表示,还将升级安全措施,以确保类似事件不会再次发生。据悉数据泄露影响不到 100人。派拉蒙是一家领先的娱乐和流媒体公司,其产品组合包括众多网络、工作室和流媒体品牌,例如CBS、Showtime Networks、派拉蒙、Nickelodeon、MTV、Comedy Central 和 Paramount+。它还拥有超过43亿用户,其服务遍布180多个国家。
https://www.bleepingcomputer.com/news/security/paramount-discloses-data-breach-following-security-incident/
2、微软解除了欧洲人对Edge浏览器的强制束缚
微软很快将允许欧盟、冰岛、列支敦士登和挪威的用户再次使用默认浏览器打开Windows中的所有链接,而不是被迫使用Edge浏览器。该公司近日宣布 ,随着 Windows 11 Insider Preview Build 23531向开发频道发布,Windows系统应用程序的链接将不再使用Microsoft Edge打开,而忽略用户选择的默认浏览器。但并非适用于所有国家。虽然对许多人来说这似乎没什么大不了的,但以牺牲默认浏览器为代价来强制推广 Edge 浏览器却让许多 Windows 用户感到烦恼。Windows 10和11包含许多显示Interne链接的功能。例如,系统设置和Windows应用程序中的帮助文章,与“开始”菜单中的搜索结果相同。当您单击这些嵌入链接时,Windows会强制它们在 Microsoft Edge中打开,无论您配置的默认浏览器是什么。今年早些时候,该公司还确认,来自Outlook电子邮件和Teams聊天的 Web 链接现在也可以在 Edge 中打开,“以改善和优化产品体验”。到目前为止,微软尚未解释为什么只允许欧洲用户使用默认浏览器打开所有链接,而其他人则必须继续忍受该公司备受争议的政策。
https://www.securitylab.ru/news/541355.php
3、新的军事装备即将问世:五角大楼会选择哪一款?
五角大楼将很快开始审查根据两年期快速防御实验储备(RDER)计划开发的项目,以确定其进一步的资助和实施。管理该项目的部门首席技术官表示了这一点。由所有军种代表组成的国防采办管理指导委员会(DMAG)将审查准备在不久的将来实施的“项目清单”。负责研究和工程的国防部副部长海蒂·肖向记者分享了这一信息,但没有具体说明将考虑哪些项目。一些RDER实验于今年 5月在阿特伯里营地进行,作为北缘夏季实验的一部分。Shew表示,有用的进展将在DMAG会议上公布。在一次国防工业协会会议上,她将这个过程比作在批发店购物:如果合并订单,可以获得更好的价格。在过去的两年里,Shew的团队一直在RDER内试验新技术,以更快地缩小技术差距。她还指出,未来的项目资金取决于当前的预算。五角大楼已为2024财年的RDER拨款 6.87亿美元,几乎是上一年的两倍。
https://www.securitylab.ru/news/541352.php
4、伪装的艺术:幽灵文件如何成为攻击者手中的王牌
在DEF CON上,网络安全专家Daniel Avinoam展示了他的研究,表明攻击者可以利用Windows容器架构中的漏洞来绕过端点安全。该技术基于使用包含所谓“幽灵文件”的预构建 Windows 容器,这些文件不存储真实数据,而是指向系统上的另一个卷。如果没有 Windows容器隔离FS驱动程序 (wcifs.sys),任何东西都无法工作,该驱动程序负责在虚拟容器和主机之间分离文件系统。简而言之,这个想法是在准备好的容器内运行特定的系统进程,并使用前面提到的驱动程序来处理 I/O请求,以便它可以创建、读取、写入和删除文件系统元素,而无需发出警报通过安全软件。对于潜在攻击者来说,此技术的缺点之一是必须具有管理员权限才能与wcifs.sys驱动程序交互。此外,该技术不允许覆盖主机系统上的文件。Deep Instinct此前已经演示了 一种基于滥用Windows过滤平台的类似绕过保护的方法。在此攻击过程中,攻击者可以获得系统权限并执行恶意代码。操作系统架构中的漏洞越来越多地被用来绕过恶意软件检测。公司需要密切监视诚实的研究人员和真正的攻击者的最新进展,以便保持最新的防御措施并使他们的系统更加安全。
https://www.securitylab.ru/news/541358.php
5、Airbnb:旅行者的天堂却是网络犯罪分子的磁石
Airbnb帐户已成为暗网攻击的热门目标。近几个月来,地下网上商店以一美元的价格出售了数千个服务帐户。SlashNext的一项研究表明, 网络犯罪分子正在使用网络钓鱼、恶意软件和窃取的cookie来未经授权访问Airbnb帐户。一旦他们获得了该账户的控制权,他们就会在不引起怀疑的情况下出售该账户或用它来预订住宿和其他活动。在一个流行的网络犯罪资源上发现了一个与 Airbnb相关的蓬勃发展的市场。其中包括“账户验证程序”——用于快速检查账户的自动化程序,以及提供 50% 折扣的住宿预订服务。研究人员指出,此类服务是有利可图的,其广告吸引了数万次观看和数百条评论。Airbnb在全球10万个活跃城市拥有超过 700 万个房源,为黑客寻找新的攻击目标提供了理想的机会。
https://www.securitylab.ru/news/541348.php
6、俄罗斯APT在乌克兰反攻中加强网络间谍活动
乌克兰国家安全与国防委员会的一份新报告称,俄罗斯APT组织Gamaredon在乌克兰反攻行动之前和期间加强了网络间谍活动。该政府机构表示,这个与俄罗斯有关联的组织自2013年以来一直以乌克兰为目标,目前正在加大对军事和政府实体的攻击力度,目的是窃取与其针对克里姆林宫军队的反攻行动有关的敏感数据。乌克兰战争已经到了关键时刻,基辅目前正在进行一场广为人知的反攻,旨在将俄罗斯军队赶出其领土。委员会注意到,2023年4月和5月期间,加马雷顿为反攻做准备的基础设施准备工作“显着激增”。它在此期间注册了大量域名和子域名,随后被用来对乌克兰军事和安全组织发起攻击。报告称,这种利用合法服务的动态基础设施使该组织能够快速轮换并混淆其活动,从而使检测和归因变得具有挑战性。在乌克兰的反攻过程中,该组织的网络钓鱼攻击有所升级。据称,这些活动之所以引人注目,是因为Gamaredon使用了从受感染实体窃取的合法文件。这些文档伪装成报告或官方通讯,增加了收件人下载恶意文件的机会。该报告补充说,该组织在网络钓鱼活动中使用了“强大”的恶意软件库,包括 GammaDrop、GammaLoad、GammaSteel和LakeFlash。
https://www.infosecurity-magazine.com/news/russian-apt-cyber-espionage/
7、ArubaOS交换机中的多个缺陷可让攻击者执行远程代码
ArubaOS-Switch交换机中已发现多个漏洞,特别是与存储跨站点脚本(存储 XSS)、拒绝服务 (DoS) 和内存损坏相关的漏洞。Aruba已采取措施缓解这些漏洞,并随后发布了安全公告。ArubaOS-Switch 归 Hewlett Packard Enterprise 子公司 Aruba Networks所有。这允许用户从集中位置管理他们的网络。Aruba Networks生产多种网络产品。第一个,CVE-2023-39266:未经身份验证的存储跨站点脚本。此漏洞存在于 ArubaOS-Switch 上的 Web 管理界面中,可能允许未经身份验证的威胁参与者利用存储型 XSS 攻击。这种攻击可以针对特定配置下的 Aruba Web 管理界面的用户进行。如果攻击者能够成功利用此漏洞,则可以允许威胁参与者在受影响的接口上执行任意脚本代码。该漏洞的 CVSS 评分为 8.3(高)。第二个,CVE-2023-39267:经过身份验证的拒绝服务漏洞,该漏洞的 CVSS 评分为 6.6(中)。第三个,CVE-2023-39268:内存损坏漏洞,攻击者可以通过向 ArubaOS 交换机发送特制数据包来利用此漏洞,从而导致未经身份验证的远程代码执行。该漏洞是ArubaOS-Switch 内存损坏漏洞的一部分。该漏洞的CVSS评分为 4.5(中)。受影响产品版本比较广泛。
https://gbhackers.com/multiple-flaws-arubaos-switches/
8、五眼联盟详细介绍了针对乌克兰军事设备的GRU黑客工具
西方情报和网络安全机构周四(8月31日)发布了一份报告,重点介绍了俄罗斯军事情报部门针对乌克兰武装部队运营的 Android设备使用的一系列黑客工具。该报告由英国国家网络安全中心(NCSC)以及组成五眼情报联盟的美国、加拿大、澳大利亚和新西兰机构发布,将该恶意软件命名为“Inknown Chisel”。它详细介绍了恶意软件如何使GRU在扫描文件、监控流量和定期窃取敏感信息之前获得对受感染设备的未经授权的访问。报告称,Inknown Chisel是一个组件集合,可以通过Tor 网络持续访问受感染的Android设备,并定期从受感染的设备中整理和泄露受害者信息,并引用了互联网流量匿名化技术。构成该恶意软件的组件“复杂程度较低到中等,而且开发时似乎很少考虑防御规避或隐藏恶意活动本月早些时候,乌克兰安全部门(SBU)首次公开披露了GRU的黑客活动,当时该机构宣布已阻止俄罗斯国家控制的黑客闯入乌克兰战场管理系统的企图。
https://therecord.media/ukraine-battlefield-tablets-malware-sandworm-gru-five-eyes-report
9、黑客修改开源“SapphireStealer”恶意软件导致多个变种
黑客正在修改流行恶意软件的开源代码,添加工具和功能,使窃取数据变得更容易。思科Talos的研究人员表示,他们一直在追踪多个威胁行为者使用的SapphireStealer恶意软件的多个变体。这些攻击通常会窃取敏感信息,包括企业凭证,然后将其转售给其他威胁行为者,“他们利用该访问权限进行其他攻击,包括与间谍活动或勒索软件/勒索相关的操作。”思科Talos威胁研究员Edmund Brumagin告诉Recorded Future News,自2022年12月首次公开发布以来,在公共恶意软件存储库中观察到SapphireStealer的频率不断增加。黑客正在改进和修改原始的SapphireStealer代码库,将其扩展以支持“导致创建多个变体的额外数据泄露机制”。黑客部署SapphireStealer作为多阶段感染过程的一部分。思科Talos在周四(8月31日)的一份报告中指出,近年来,信息窃取恶意软件在威胁行为者中变得非常流行,出现了几种新的恶意软件,并在犯罪论坛和市场上出售或出租。
https://therecord.media/saphirestealer-open-source-malware-modifications
10、人工智能模型可能会通过欺骗人和彼此而退化
来自牛津大学和剑桥大学的科学家发表了一篇关于传播人工智能创建的内容的风险的科学文章。研究表明,大型语言模型(LLM,Large Language Models)相互构成严重威胁。也许,随着时间的推移,他们将开始给出质量较低的答案,因为他们接受的是来自开放互联网资源的数据的培训。这意味着由其他神经网络生成的文本,而不是由人生成的文本。这种现象被命名为“模型崩溃”(model crash)。斯坦福大学和莱斯大学的其他专家将其称为 “Model Autography Disorder” (模型自记录障碍)。澳大利亚研究人员Jatan Sadowski也创造了自己的术语“哈布斯堡人工智能”。目前还没有确切的预测,但专家认为,由于“自我消耗”的LLM开发周期,识别学习信息来源将变得更加困难。Constellation Research首席执行官Ray Wang认为,开放互联网很快将面临黑暗时代。可用且可靠的来源可能会开始限制对其内容的访问,甚至达到付费订阅的程度。NewsGuard是一家检测假新闻的公司 ,最近在网上发现了452个不可靠的资源,其中包含人工智能生成的充满错误的新闻。许多专家证实,OpenAI的ZeroGPT和文本分类器等内容检测器不够可靠。随着神经网络生成越来越多的材料,事实核查可能很快就会成为我们更加困难的任务。
https://www.securitylab.ru/news/541379.php
11、安全研究人员发布了针对Key Group勒索软件的解密器
网络安全研究人员利用了Key Group勒索软件加密方案中的漏洞,开发了一种工具,可以让许多受害者完全免费地恢复他们的文件。该解密器由EclecticIQ的专家创建,可与今年8月初收集的Key Group恶意软件版本配合使用。攻击者此前声称他们的软件使用“军用级AES加密”。这可能是真的,但勒索软件错误地将静态盐应用于所有加密过程,这使得整个加密方案可预测且可逆。敲诈勒索组织Key Group于今年年初开始活动。她攻击了多个组织,从被黑的系统中窃取数据,然后使用封闭的Telegram频道来协商赎金。攻击者使用合法的Windows二进制文件(即所谓的LOLBins)来删除卷影副本,从而在不支付赎金的情况下阻止系统和数据恢复。此外,恶意软件还会更改受感染系统上运行的防病毒产品的主机地址,以阻止它们获取最新更新。EclecticIQ开发的密钥组解密器是一个常规的Python脚本 ,如果用户在Windows上安装了Python,则可以使用命令运行该脚本。解密器需要安装Python以及密码库。
https://www.securitylab.ru/news/541377.php
12、新的人工智能解决方案将可靠地保护华盛顿免受空中威胁
五角大楼正在利用计算机视觉技术升级华盛顿周围的空中监视系统,该技术能够识别和警告美国首都上空的可疑物体。该新系统由Teleidscope开发,使用传感器和机器学习算法来跟踪飞行物体。它将用于保护华盛顿领空。柯蒂斯·恩格尔森中校表示,此次升级将显着提高防空作战人员探测入侵者的能力。恩格尔森解释说:“这是一个先进的监视、识别和跟踪系统,可以监视华盛顿受保护的空域,作为首都地区综合防空系统的一部分。”这项新技术将取代2001年著名的双子塔事件后安装的过时空中监视系统。现代解决方案预计将显着加快对空中威胁的响应速度,特别是考虑到近年来无人机的激增。恩格尔森表示,该系统利用机器学习的最新进展来识别飞行物体。与以前的技术相比,它的效率将提高十倍。Teleidscope软件自动分析视频流,可以安装在各种设备上。五角大楼已经在探索直接在无人机上使用它的可能性,以实时灵活检测和应对威胁。美国国防部负责研究和工程的副部长海蒂·舒尔表示,使用此类技术可以快速响应作战需求,并节省时间和金钱。
https://www.securitylab.ru/news/541369.php
13、开源并不能将人工智能从大公司的垄断中拯救出来
《连线》杂志的页面上出现了一份出版物,致力于将开源代码用于语言模型的概念。该概念基于Meta和其他模型最近对Llama 2的研究 ,这些模型在某种程度上与“开放性”概念相关。卡内基梅隆大学、AI Now研究所和Signal基金会的研究人员表示,标榜“开放”的模型实际上并不完全遵守开源原则。他们强调,即使是最“开放”的人工智能系统本身也不能确保人工智能的民主获取或人工智能的良性竞争,开放本身并不能解决监督和控制问题。《连线》文章的作者Will Knight指出,从表面上看,多年来帮助软件访问民主化的开源理念可能会对人工智能领域产生类似的影响。一个例子是Meta最近推出的 Llama 2语言模型,它的定位是开放的。该模型可免费下载、修改和使用。但是,它不属于标准开源许可证的范围。Meta许可证禁止使用Llama 2来训练其他语言模型;如果开发人员在每月超过7亿用户的应用程序或服务中使用该模型,则需要特殊许可。研究人员表示,这种控制水平使Meta能够获得显着的技术和战略优势。研究人员得出的结论是,如果人工智能的趋势持续下去,过去几十年最重要的技术之一可能最终会被OpenAI、微软、Meta和谷歌等少数公司使用。
https://www.securitylab.ru/news/541365.php
14、新的ISA立场文件敦促依靠相关标准和培训来推进工业网络安全
国际自动化协会(ISA)发布了一份新的立场文件,其中就政策制定者和私营部门领导人如何有效解决加强关键基础设施网络安全的紧迫问题提供了建议。该白皮书于本周发布,采用了全球相关标准和一致性计划,并为致力于确保设施、流程和社区安全的工程师和自动化专业人员社区提供支持。这篇题为“推进工业网络安全”的论文,概述了网络入侵对银行、商业和政府网络以及数据库的影响已被广泛宣传并为公众所熟知。对所有现代经济体所依赖的庞大关键基础设施和制造业的网络和技术的网络攻击可能会对公共安全和福利造成破坏性影响,而这一点却很少被宣传和理解。立场文件称, 虽然某些备受瞩目的事件(例如TRISIS、NotPetya和STUXNET)已成为国际新闻,但事实上,控制系统网络事件的数量和影响力比大多数人意识到的要多。这一挑战的核心是识别控制系统事件和可报告的网络事件。了解控制系统设备的独特性质以及该设备的妥协对物理过程的影响需要对工程和自动化社区进行专业培训。ISA认为,许多组织需要的是一种文化转变,将网络安全与功能、效率和功能安全性并列作为工作场所的基本原则之一。
https://industrialcyber.co/isa-iec-62443/new-isa-position-paper-urges-reliance-on-relevant-standards-training-to-advance-industrial-cybersecurity/
15、英国同意支持科威特网络安全中心
英国和科威特政府已达成一项协议,英国将支持科威特国家网络安全中心的职能。在7月份的一份声明中,该中心负责人穆罕默德·布瓦拉基(Mohammad Bouaraki)少将表示,该中心的主要目标是建立一个国家保护伞,负责保障和保护信息网络、电信、信息系统的安全,并使用信息收集和交换信息操作。该协议由Bouaraki和国际贸易部英国国防和安全出口网络安全大使Juliet Wilcox签署,英国将为实现这些目标提供必要的支持,并为该中心提供保护自己免受威胁的系统和能力。此外,还将负责协调事件响应工作。科威特战略的主要目标包括发展国家信息共享伙伴关系,包括政府机构、私营部门和领先的网络安全公司。这包括与网络安全供应商建立关系、建设能力和提高处理网络安全问题的能力。该中心的成立意味着科威特拥有了建设必要的干部和能力的坚实基础。
https://www.darkreading.com/dr-global/uk-agrees-support-kuwait-cybersecurity-center
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement