其他
20230902-5th域安全微讯早报-No.210
网络空间安全对抗资讯速递
2023年9月02日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-210 星期六
今日热点导读
1、联邦法官阻止德克萨斯州和阿肯色州的儿童在线安全法
2、美国能源部拨款3900万美元用于电网现代化项目,其中包括网络安全
3、高尔夫球杆制造商卡拉威称100万人受到数据泄露影响
4、黑客通过被入侵的应用程序向数百万人推送反伊朗政府信息
5、新Pwn2Own汽车黑客大赛奖金超过100万美元
6、Sourcegraph披露一起因访问令牌泄露导致的数据泄露
7、五角大楼正式宣布启动Replicator计划
8、Interlabs的研究人员发现了一种新的远程访问木马SuperBear
9、美国政府否认阻止向中东销售人工智能芯片
10、MSSQL数据库遭受FreeWorld勒索软件攻击
11、Nozomi发现工程工作站中使用的SEL软件应用程序存在漏洞
12、美国卫生服务机构Cigna Health数据泄露:170亿条记录曝光
13、标准普尔全球报告全球网络保险市场的盈利回报
14、中国用户蜂拥而至尝试百度的AI机器人文心一言(Ernie Bot)
资讯详情
2、美国能源部拨款3900万美元用于电网现代化项目,其中包括网络安全美国能源部(DOE)宣布为其国家实验室的项目提供高达3900万美元的资金,以帮助实现电网现代化。这些资金来自2023年电网现代化计划(GMI)实验室呼吁,旨在支持测量、分析、预测、保护和控制未来电网所需的概念、工具和技术的开发和部署,同时纳入公平性以及现有的最好的气候科学。现代化工作还将侧重于加强网络安全态势。该项目得到了爱达荷国家实验室、洛斯阿拉莫斯国家实验室、劳伦斯利弗莫尔国家实验室、国家能源技术实验室以及数十个公共和私营部门合作伙伴的支持。它与公共和私人合作伙伴合作开发测量、分析、预测、保护和控制未来电网所需的概念、工具和技术。以网络安全为重点的项目包括分布式能源(DER)网络安全标准的评估和协调、能源系统通信架构(ACAES)的评估以及电动汽车供电设备(EVSE)网络安全标准的评估和协调。该项目还将与美国政府的关键和新兴技术国家标准战略相协调,以增强安全可靠的分布式能源系统,在全国范围内提供清洁电力。https://industrialcyber.co/utilities-energy-power-water-waste/doe-allocates-39-million-for-grid-modernization-projects-cybersecurity-included/
3、高尔夫球杆制造商卡拉威称100万人受到数据泄露影响销售Callaway品牌高尔夫球装备的公司报告了一起数据泄露事件,影响了超过100万人。Topgolf Callaway Brands Corp.已通知客户,其电子商务网站的部分用户在8月1日开始的“IT系统事件”中暴露了信息。该公司表示,此次违规行为影响了“Callaway、Odyssey、Ogio 和/或Callaway Golf二手网站”的客户。暴露的信息包括帐户口令和安全问题的答案,以及姓名、邮寄地址、电子邮件地址、电话号码和订单历史记录。该公司表示:“获悉这一事件后,Topgolf Callaway在外部顾问的协助下发起了调查,并通知了执法部门。” 根据缅因州总检察长办公室的清单,该泄露事件于8月16日被发现,Topgolf Callaway表示,支付卡号或社会保障号没有受到影响。该公司强制客户重置密码,并表示“已采取一些额外措施来进一步保护其数据,包括在其数据周围添加保护性安全层、改进管理系统访问的安全协议,以及继续与外部合作”。专家来增强其系统的安全性。”https://therecord.media/topgolf-callaway-says-one-million-affected-by-breach
4、黑客通过被入侵的应用程序向数百万人推送反伊朗政府信息一个名为Black Reward的专注于伊朗的黑客组织曾在周四(8月31日)晚间对伊朗政府发起新的攻击,这次攻击的目标是数百万伊朗人用于数字交易的金融服务应用程序。根据该组织在网上发布的屏幕截图的谷歌翻译,这些消息是“哈梅内伊之死”。“我们回到街头,因为革命仍在继续。对于女性来说,生命、自由”,这条信息连同话题标签“#MahsaAmini”。据翻译称,“众所周知,革命之火可能会平静下来,但它永远不会熄灭”。“Blackreward黑客组织属于人民,并将与人民同在直到胜利。”据该应用程序的开发者称,该消息是通过780应用程序推送的,该应用程序促进了网上购物、账单支付、银行余额信息等金融交易。该公司声称拥有超过600万用户。周四晚间和周五,许多人在推特上分享了警报视频并对这些消息发表了评论。Black Reward于2022年9月25日在Telegram上出现。2022年10月,该组织公布了据称是伊朗政府与国际原子能机构的私人信件。伊朗政府将这次黑客攻击归咎于“来自特定外国的未经授权的访问”,但没有更具体地归因。https://cyberscoop.com/iranian-hacking-group-hacked-app/
5、新Pwn2Own汽车黑客大赛奖金超过100万美元零日计划(ZDI)本周宣布将在Pwn2Own Automotive上提供超过100万美元的现金和奖品,这是首届专注于汽车系统的 Pwn2Own黑客竞赛。该竞赛将在定于2024年1月24日至26日在日本东京举行的汽车世界会议上举办。ZDI宣布,感兴趣的安全研究人员必须在1月18日之前注册参加竞赛并提交参赛作品,其中包括“完整解释您的漏洞利用链的详细白皮书以及如何运行参赛作品的说明” 。与其他类似活动一样,ZDI允许远程参与Pwn2Own Automotive,但并非所有研究人员都能参加会议。“如果您计划远程参与,则需要更早联系我们,以确保我们为您提供成功的最佳位置。我们建议最迟在截止日期前两周。”ZDI表示。首届Pwn2Own Automotive将分为四个类别,分别是特斯拉、车载信息娱乐系统(IVI)、电动汽车充电器和操作系统。https://www.securityweek.com/over-1-million-offered-at-new-pwn2own-automotive-hacking-contest/
6、Sourcegraph披露一起因访问令牌泄露导致的数据泄露代码搜索和导航平台Sourcegraph周四(8月31日)宣布,在一名工程师意外泄露管理员访问令牌后,该公司遭遇了数据泄露。该事件于8月30日发现,当时该平台的API使用量大幅增加,促使立即展开调查。据该平台称,攻击中使用的管理员访问令牌是在7月14日通过内部代码分析工具的一次提交中泄露的。该代币“拥有查看和修改 Sourcegraph.com上帐户信息的广泛权限”。8月30日,一名用户提升了最近创建的Sourcegraph帐户的权限,从而获得了对管理仪表板的未经授权的访问权限。该代理应用程序迅速受到众多希望免费访问Sourcegraph API的人的关注,开始用于创建新帐户,从而导致API使用量激增。具有管理员权限的恶意用户可以访问许可证密钥接收者的姓名和电子邮件地址、部分客户的Sourcegraph许可证密钥以及Sourcegraph社区用户的电子邮件地址。https://www.securityweek.com/sourcegraph-discloses-data-breach-following-access-token-leak/
7、五角大楼正式宣布启动Replicator计划美国国防部正式宣布启动Replicator计划,旨在在未来两年内生产和部署数千台自主作战机器人。正如美国现任国防部副部长凯瑟琳·希克斯所说,这一举措对于应对中国日益增长的军事力量和其他全球威胁是必要的。能够进行一定程度自主作战的军事系统已经存在了大约十年。现在美国政府的行动,包括启动单独的计划,表明自主作战机器人的时代已经真正到来。乐观者认为,即使是战斗机器人也可以经过仔细编程以遵守战争规则,因此不会对平民造成伤害。与此同时,怀疑论者确信并非所有情况都是可预测的,因此任何处于新条件下的自主作战部队都可能错误地攻击无辜目标。然而,希克斯承诺美国陆军将“对人工智能和自主系统采取负责任和道德的方法”。显然,这意味着能够消除标记目标的系统仍然需要人手动批准此操作。美国可能成为第一个部署如此大规模自主系统用于作战行动的国家,但其他国家可能很快就会效仿,这可能会在未来创造某些不利的先例。https://www.securitylab.ru/news/541395.php
8、Interlabs的研究人员发现了一种新的远程访问木马SuperBearInterlabs的研究人员发现了一种据称针对韩国民间社会团体的新网络钓鱼攻击,从而发现了一种新的远程访问木马 SuperBear。上个月末,一位不愿透露姓名的韩国公民活动家通过电子邮件收到了恶意的“.lnk”快捷方式文件。发件人是同一活动组织的成员之一,因此受害人并没有怀疑任何事情。该恶意快捷方式在执行时会启动PowerShell脚本,从被黑但合法的WordPress网站下载其他恶意组件。有效负载包括AutoIt脚本和二进制文件,该脚本和二进制文件使用Process Hollowing技术将恶意代码注入Explorer.exe 进程。这整个行动链导致在受感染的计算机上安装了一种名为SuperBear的以前未知的远程访问恶意软件。启动后不久,它就与攻击者的远程C2服务器建立了通信,以窃取数据、下载其他库并执行命令。https://www.securitylab.ru/news/541408.php
9、美国政府否认阻止向中东销售人工智能芯片美国政府否认禁止Nvidia和AMD向中东国家销售人工智能(AI)芯片。据报道 ,本周早些时候,美国政府已开始限制芯片制造商的A100和H100产品的出口,以实施许可要求的形式,以便能够在一些中东国家销售这些产品。但路透社援引美国商务部发言人的话说,否认芯片销售已被彻底阻止。英伟达在最近的一份监管文件中指出,从2024年第二季度开始,它必须申请特殊许可才能在中东一些国家销售A100和H100 芯片产品的子集(它没有具体说明这些国家是哪些国家)。一位知情人士告诉路透社,AMD也收到了美国商务部的一封信函,内容相同。A100和H100芯片支持图像和语音识别功能。据Exit称, A100旨在通过以更高的速度执行矩阵运算来加速人工智能工作负载,而H100使用户能够快速轻松地扩展其计算性能,使其成为大规模机器学习和深度学习工作负载的理想解决方案技术。因此,它们可用于大规模的军事级黑客行动和网络间谍活动。https://www.darkreading.com/dr-global/us-government-denies-blocking-chip-sales-middle-east
10、MSSQL数据库遭受FreeWorld勒索软件攻击已发现网络攻击活动损害了暴露的Microsoft SQL Server (MSSQL) 数据库,使用暴力攻击来传递勒索软件和Cobalt Strike有效负载。根据Securonix的调查,该活动观察到的典型攻击序列首先是暴力破解暴露的MSSQL数据库。经过初步渗透后,攻击者在目标系统内扩大立足点,并使用MSSQL作为滩头阵地,启动多种不同的有效负载,包括远程访问木马 (RAT) 和名为“FreeWorld”的新Mimic勒索软件变种,该变种因包含二进制文件名中的单词“FreeWorld”、名为 FreeWorld-Contact.txt的勒索指令文件以及勒索软件扩展名“.FreeWorldEncryption”。攻击者还建立一个远程SMB 共享来安装存放其工具的目录,其中包括Cobalt Strike命令和控制代理(srv.exe)和AnyDesk;并且,他们部署了网络端口扫描器和Mimikatz,用于凭证转储并在网络内横向移动。最后,威胁行为者还进行了配置更改,从用户创建和修改到注册表更改,以削弱防御能力。https://www.darkreading.com/attacks-breaches/mssql-databases-under-fire-from-freeworld-ransomware
11、Nozomi发现工程工作站中使用的SEL软件应用程序存在漏洞Nozomi Networks Labs团队的研究和分析发现了九个漏洞,影响了Schweitzer Engineering Laboratories (SEL)开发的两个主要软件应用程序:SEL-5030 acSELeratorQuickSet和SEL-5037 GridConfigurator。这些应用程序通常安装在Windows工作站上,供工程师或技术人员用来调试、配置和监控SEL设备。研究人员在8月31日的博客文章中写道:“这9个漏洞中最严重的一个将允许威胁行为者在工程工作站上进行远程代码执行 (RCE)。” “由于这两种SEL软件产品都包含广泛的功能,可以帮助资产所有者和系统运营商有效地监督和管理复杂的基础设施,因此威胁行为者可以利用它们来改变由任一软件应用程序控制的所有SEL设备的逻辑。”最严重的漏洞之一CVE-2023-31171位于该软件从外部DMX文件导入设备配置的过程中。攻击者可以制作一个包,如果导入该包,将导致具有网络服务权限的工程工作站上的RCE。https://industrialcyber.co/vulnerabilities/nozomi-finds-vulnerabilities-in-sel-software-applications-used-in-engineering-workstations/
12、美国卫生服务机构Cigna Health数据泄露:170亿条记录曝光网络安全研究员Jeremiah Fowler发现了一起令人担忧的事件,涉及一个包含超过170亿条记录的无密码保护数据库。大量记录可追溯到健康保险行业的主要参与者Cigna Health。据福勒透露,该公司提高透明度的努力无意中导致了大规模数据泄露。泄露的记录总计达6.35TB,主要包括医疗保健提供者信息。详细信息包括医院和医生的名称、地点地址、联系电话以及各种身份号码,例如国家提供者标识符(NPI)。重要的是,这些记录还披露了医疗程序的协商费率。然而,有必要澄清的是,暴露的数据不包含客户或患者信息。福勒的发现促使Cigna迅速做出反应,承认存在安全漏洞,并立即采取措施确保易受攻击的数据库不被公众访问。Cigna通过引用其覆盖范围透明度计划来捍卫自己的立场,该计划遵守自2022年以来实施的联邦法规。https://www.hackread.com/cigna-health-data-leak-17-billion-records-exposed/
13、标准普尔全球报告全球网络保险市场的盈利回报标准普尔全球公司在最近的一份出版物中概述,经过两年的加息和收紧条款和条件,全球网络保险市场已恢复盈利。到2022年底,年保费达到约120亿美元,并且每年可能增加25%至30%,到2025年达到约230亿美元。报告还详细说明,再保险公司对于网络市场的增长至关重要,而再保险公司利率将继续上升。周发布的研究表明:“网络保险在很大程度上依赖于再保险保护,我们相信再保险公司对于市场的可持续增长仍然至关重要。” “再保险公司和保险公司(再保险公司)的机遇是显而易见的,但网络带来的承保风险有多大?为了找到答案,我们调查了全球多险种保险公司 (GMI)、大型主保险公司和承保网络再/保险的再保险公司,以评估市场增长、盈利能力、风险偏好以及所提供的再保险类型。”S&P Global称,再保险公司在承保和建模方面的专业知识也有助于开发市场。再保险公司仍将是发展可持续、有效的网络保险市场的重要支柱。https://industrialcyber.co/reports/sp-global-reports-profitability-return-in-global-cyber-insurance-market-as-reinsurers-emerge-crucial-for-growth/
14、中国用户蜂拥而至尝试百度的AI机器人文心一言(Ernie Bot)受到严格审查的Ernie Bot在向中国公众推出的第一天就回复了超过3,300万条查询,即每分钟23,000个用户问题。互联网和人工智能(AI)巨头百度称,自其聊天机器人公开发布后的24小时内,已有超过100万用户与其聊天机器人进行了交谈。8月31日的公开发布使百度在香港上市的股价上涨了3%,这与3月份聊天机器人向部分测试版用户发布后下跌10%形成鲜明对比。Ernie Bot在全面推出当天也跃居中国苹果应用商店榜首,反映出人们对这项技术的进一步兴趣。OpenAI的ChatGPT或谷歌的Bard等国外模型被屏蔽。据百度介绍,全球用户都可以通过浏览器访问Ernie Bot,该聊天机器人是免费使用的,但需要中国号码才能注册。另外两家中国公司百川和智普人工智能在获得当局批准后也于31日推出了聊天机器人。此前,中国通过了一套管理人工智能服务的规则,类似聊天机器人生成的内容必须经过严格审查。尽管百度最近声称 Ernie Bot在几个关键领域比ChatGPT更好,但一些中国网民也对聊天机器人频繁犯下的事实错误感到沮丧。https://cybernews.com/tech/baidu-chatgpt-rival-ernie/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement