20230906-5th域安全微讯早报-No.213
网络空间安全对抗资讯速递
2023年9月06日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-213 星期三
今日热点导读
1、美国和荷兰之间的合作预计将超越后量子密码学
2、西班牙蓬勃发展的量子技术领域
3、CISA、MITRE通过对手仿真平台支撑运营技术网络
4、乌克兰称一座能源设施阻止了花式熊(Fancy Bear)的入侵
5、美国国家安全局局长/网军司令表示最近完成了有关人工智能使用的研究
6、诺福克南方铁路公司称是软件缺陷(而非黑客)迫使其本周停放火车
7、SEL电源系统管理产品中的9个漏洞已修复
8、华硕路由器爆出严重的远程代码执行漏洞
9、加密货币赌场Stake.com因热钱包黑客损失4100万美元
10、Chaes恶意软件现在使用Google Chrome DevTools协议来窃取数据
11、研究人员发现PHPFusion CMS中的严重漏洞
12、朝鲜Andariel黑客使用基于Golang开发的网络攻击工具
13、黑客通过澳大利亚ISP网络秘密攻击非洲人
14、ShinyHunters黑客窃取了澳大利亚必胜客100万顾客的数据
15、俄罗斯独狼DDoS攻击组织-NoName057(16)
资讯详情
1、美国和荷兰之间的合作预计将超越后量子密码学
美国与荷兰的合作是近期量子科学领域的众多国际合作伙伴关系之一,它推动了后量子密码学和标准讨论的进展。荷兰在过去几年里一直努力将自己打造为量子领域的领导者。国际合作伙伴关系和协议随着量子信息科学领域的进步而扩大,其中地缘政治与科学进步紧密相连。在美国众多的跨大西洋伙伴关系中,与荷兰盟友的合作最为突出。继与法国、澳大利亚和瑞士签署了几项类似协议后,两国于今年二月正式签署了量子合作伙伴关系。荷兰制定了一项特别强大的国家量子研究计划。它始于该国经济部向Quantum Delta授予公共资金,以执行政府的国家量子技术议程。荷兰因此成为世界上第一个将其国家量子研究计划的执行委托给政府以外的实体(在本例中为非营利组织)的国家。美国已经从这种做法中受益。2022年,美国国家标准与技术研究院选出了四种算法作为其后量子密码学实施计划的成功入围者。其中三个得到了荷兰研究人员的大力帮助。荷兰和美国研究人员之间的合作预计将超越后量子密码学。然而,持续的跨大西洋合作可以帮助各国在未来的标准制定中受益。
https://www.nextgov.com/emerging-tech/2023/09/how-us-going-dutch-quantum-research/389956/
2、西班牙蓬勃发展的量子技术领域
在量子科学全球创新竞赛中争夺领导地位的国家中,领先者通常是美国、中国、荷兰、澳大利亚和德国等。另一个欧洲国家西班牙正致力于加入领跑者行列,为南欧的技术进步开启新篇章。西班牙已经拥有强大的超级计算网络,并以充足的国家公共研究资金为基础。虽然国家实验室的衍生业务历来被证明是技术商业化最成功的途径,但新的政府资助努力和国际公司推动的不断增长的创业文化可能会改变该国量子技术创新的方向。西班牙通往量子科学领导地位的道路始于公共研究层面。其中一个分支是“量子西班牙”,这是该国的国内研发投资计划,由经济部负责管理。其预算为2200万欧元,预计到2025年分配,其目标是在国内促进强大的QIST环境,从而转化为更强大的经济和科学领导力。第一个支柱:安装政府运行的量子计算机。西班牙政府越来越注重为量子科学探索创造良好的环境。西班牙目前的初创企业融资模式优先考虑公共机构的科学研究。比如,西班牙北部地区之一正在采取措施,通过公共资金启动更强大的量子产业生态系统。在圣塞巴斯蒂安的所在地巴斯克地区,一项政府计划正在努力在公众的帮助下培育自己的量子信息研究和技术中心。
https://www.nextgov.com/emerging-tech/2023/09/inside-spains-burgeoning-quantum-tech-landscape/389962/
3、CISA、MITRE通过对手仿真平台支撑运营技术网络
网络安全和基础设施安全局(CISA)与非营利组织MITRE合作开发专门针对运营技术(OT)网络的网络攻击仿真平台。该项目是MITRE Caldera的延伸,MITRE Caldera是一款开源工具,旨在帮助网络安全官员减少日常网络安全测试所需的时间和资源。Caldera 帮助网络安全团队模拟对手、测试平台如何响应攻击等。OT扩展平台是国土安全系统工程与开发研究所 (HSSEDI)(一个联邦资助的研发中心,由MITRE为国土安全部(DHS)管理和运营)和CISA合作开发的。努力提高关键基础设施的弹性。该工具现已作为原始Caldera平台的扩展公开提供。MITRE Cybersecurity首席工程师Nick Tsamis告诉 Recorded Future News,网络团队仍然面临着在OT系统的独特限制下舒适工作的重大挑战。系统安装和可用工具都是高度专业化的。“我们关注的关键挑战之一是为负责保护关键基础设施的人员提供易于使用和可扩展的功能。通过Caldera for OT,我们寻求让运营利益相关者能够有效地开发并与更大的OT网络安全社区分享知识、经验和教训。”
https://therecord.media/cisa-creates-adversary-emulation-platform
4、乌克兰称一座能源设施阻止了花式熊(Fancy Bear)的入侵
根据乌克兰计算机应急响应小组(CERT-UA)的报告,为目标组织工作的一名网络安全专家挫败了针对一个重要能源设施攻击。该机构将这一事件归咎于克里姆林宫控制的名为Fancy Bear或APT28的黑客。CERT-UA表示,该组织针对乌克兰的一个未指明的能源设施,使用网络钓鱼电子邮件来获得对目标系统的初步访问权限。恶意电子邮件的内容不寻常。在过去的攻击中,俄罗斯黑客通常会伪造政府文件,或者在Fancy Bear事件中分发虚假的软件更新建议。这一次,CERT-UA分享的电子邮件包含三张图片和以下消息:“嗨!我和三个女孩谈过,她们同意了。她们的照片在档案中;我建议在网站上查看。”除了这些图像之外,存档还包含BAT格式的文件。当受害者运行此文件时,它会打开一些看似无辜的虚假网页,但它会在目标设备上执行有害脚本。研究人员表示,攻击者还在受害者的计算机上安装了Tor。
https://therecord.media/ukraine-energy-facility-cyberattack-fancy-bear-email
5、美国国家安全局局长/网军司令表示最近完成了有关人工智能使用的研究
国家安全局和美国网络司令部的领导人周二(9月5日)表示,美国国家安全局和网络司令部最近都完成了对未来如何使用人工智能的各自检查。陆军上将保罗·中曾根 (Paul Nakasone) 在华盛顿特区举行的比灵顿网络安全峰会上表示:“我们已经这样做很长时间了……人工智能是我们熟悉的东西。”The Record的母公司Recorded Future是该活动的赞助商。最近,联邦政府乃至白宫都越来越担心人工智能可能会增加美国的安全问题。今年7月,顶级人工智能公司签署了自愿承诺,表示将在开发技术时优先考虑安全性。Nakasone表示,就NSA而言,它最近完成了一项为期60天的研究,该研究描绘了生成式人工智能对其的影响。他表示,该间谍机构已经将该技术应用于其信号情报任务,但正在寻求将其扩展到网络安全以及会计和合规等“业务功能”。中曾根还指出,国会在最近的一项国防政策法案中要求网络司令部制定一项五年计划,说明数字作战部队如何在未来的网络空间作战中利用人工智能。
https://therecord.media/nsa-cyber-command-wrapped-ai-studies
6、诺福克南方铁路公司称是软件缺陷(而非黑客)迫使其本周停放火车
诺福克南方铁路公司认为,软件缺陷(而不是黑客)是导致本周早些时候大范围计算机中断的原因,迫使铁路公司在一天的大部分时间里停放了所有列车。该铁路公司周五(9月1日)表示,已将周一的问题追溯到其供应商之一用于对其数据存储系统进行维护的软件存在缺陷。铁路的主系统和备用系统同时变得无响应。对一个系统进行更新,然后自动复制到另一系统,从而导致缺陷蔓延。诺福克南方铁路公司没有透露具体供应商的名称,只是称其为“全球领先的技术提供商”。总部位于亚特兰大的铁路公司重申,没有发现任何证据表明停电是由“未经授权的网络安全事件”引起的。诺福克南方铁路公司表示,该公司在清理美国东部近2万英里轨道网络关闭期间积累的积压列车方面一直在取得进展。该铁路一直在努力向客户通报货物的最新情况,但该公司表示,停运的影响可能会持续几周。
https://www.securityweek.com/norfolk-southern-says-a-software-defect-not-a-hacker-forced-it-to-park-its-trains-this-week/
7、SEL电源系统管理产品中的9个漏洞已修复
Schweitzer Engineering Laboratories(SEL)生产的几个电力管理产品最近修复了九个漏洞,其中包括潜在的严重缺陷。SEL是一家总部位于美国的公司,为电力行业提供广泛的产品和服务,包括控制系统、发电机和输电保护以及配电自动化。工业网络安全公司Nozomi Networks的研究人员分析了该公司的SEL-5030 acSELerator QuickSet和SEL-5037 Grid Configurator,这些软件产品旨在让工程师和技术人员配置和管理电力系统保护、控制、计量和监控设备,并创建并部署 SEL电源系统设备的设置。Nozomi研究人员总共发现了9个漏洞,其中4个被评为“高严重性”,其余5个为“中等严重性”。最严重的是CVE-2023-31171,它允许目标用户从特制文件导入设备配置。该漏洞可与CVE-2023-31175关联,允许攻击者提升权限。另一个严重的问题可能允许执行任意命令并更改设备的配置,方法是让目标用户单击链接,或者设置受害者可能访问的水坑。5月份,Nozomi公司报告称,在运行该供应商实时自动化控制器 (RTAC) 套件的 SEL 计算平台中发现了19 个安全漏洞。
https://www.securityweek.com/9-vulnerabilities-patched-in-sel-power-system-management-products/
8、华硕路由器爆出严重的远程代码执行漏洞
三个严重程度的远程代码执行漏洞影响华硕RT-AX55、RT-AX56U_V2和RT-AC86U路由器,如果未安装安全更新,可能会允许威胁行为者劫持设备。这三款WiFi路由器是消费网络市场流行的高端型号,目前在华硕网站上有售,深受游戏玩家和对性能需求较高的用户的青睐。这些漏洞的CVSS v3.1 得分均为9.8分,属于格式字符串漏洞,无需身份验证即可远程利用,可能允许远程代码执行、服务中断以及在设备上执行任意操作。攻击者使用发送到易受攻击设备的特制输入来利用这些缺陷。对于华硕路由器,它们将针对设备上的某些管理API功能。三个由台湾CERT披露,分别是CVE-2023-39238、CVE-2023-39239和CVE-2023-39240。华硕分别于2023年8月上旬针对RT-AX55、2023年5月针对AX56U_V2以及2023年7月针对 RT-AC86U发布了修复这三个缺陷的补丁。由于许多消费者路由器缺陷针对Web管理控制台,强烈建议关闭远程管理(WAN Web 访问)功能以防止从互联网进行访问。
https://www.bleepingcomputer.com/news/security/asus-routers-vulnerable-to-critical-remote-code-execution-flaws/
9、加密货币赌场Stake.com因热钱包黑客损失4100万美元
在线加密货币赌场Stake.com宣布其ETH/BSC热钱包遭到入侵,可以执行未经授权的交易,据报道超过4000万美元的加密货币被盗。该平台立即向用户保证,他们的资金是安全的,所有其他未直接受到攻击影响的钱包,包括持有BTC、LTC、XRP、EOS和TRX的钱包,仍保持全面运行。在此期间,一些用户在X上报告说 ,他们受到了这种情况的影响,无法在 Stake.com上存款或取款。9月5日,Stake.com通知其社区,其服务已恢复,用户现在可以再次以所有货币进行存取款。跟踪资金追踪的区块链调查员PeckShield和ZachXBT报告称,黑客在以太坊中窃取了15,700,000美元,在币安智能链 (BSC) 和Polygon中窃取了25,600,000美元。这使得此次黑客攻击造成的损失总额达到41,300,000美元,成为2023年迄今为止收益最高的加密货币盗窃案之一。从位于库拉索岛的博彩平台窃取的金额足以怀疑国家资助的威胁行为者,尽管目前还没有证据表明这个方向,而且调查人员得出安全结论还为时过早。
https://www.bleepingcomputer.com/news/security/crypto-casino-stakecom-loses-41-million-to-hot-wallet-hackers/
10、Chaes恶意软件现在使用Google Chrome DevTools协议来窃取数据
Chaes恶意软件以一种新的、更高级的变体形式回归,其中包括Google DevTools协议的自定义实现,用于直接访问受害者的浏览器功能,从而允许其使用WebSocket窃取数据。该恶意软件于2020年11月首次出现,目标是拉丁美洲的电子商务客户。到2021年底,Avast观察到它使用800个受感染的WordPress网站来传播恶意软件,其业务显着扩大。感染后,Chaes会在受害者的Chrome浏览器中安装恶意扩展程序以建立持久性、捕获屏幕截图、窃取保存的密码和信用卡、泄露 cookie并拦截在线银行凭据。Morphisec于2023年1月发现了新的Chaes版本,主要针对Mercado Libre、Mercado Pago、WhatsApp Web、Itau Bank、Caixa Bank、MetaMask等平台以及WordPress和Joomla等许多CMS服务。最新活动中的感染链与过去看到的相同,涉及欺骗性MSI安装程序,该安装程序触发使用七个执行各种功能的不同模块的多步骤感染。最新的Chaes变体进行了全面改进,使恶意软件的功能更加隐蔽、更加有效。
https://www.bleepingcomputer.com/news/security/chaes-malware-now-uses-google-chrome-devtools-protocol-to-steal-data/#google_vignette
11、研究人员发现PHPFusion CMS中的严重漏洞
安全研究人员在相对广泛使用的PHPFusion开源内容管理系统(CMS)中发现了他们所说的严重漏洞。经过身份验证的本地文件包含缺陷(标识为CVE-2023-2453)如果攻击者可以将恶意制作的“.php”文件上传到目标系统上的已知路径,则允许远程执行代码。这是Synopsys研究人员最近在PHPFusion中发现的两个漏洞之一。另一个缺陷(编号为CVE-2023-4480)是CMS中的一个中等严重性错误,它使攻击者能够读取受影响系统上的文件内容,并将文件写入该系统上的任意位置。该漏洞存在于PHPFusion 9.10.30及更早版本中。目前还没有针对这两个缺陷的补丁。Synopsys表示,它曾多次尝试联系 PHPFusion的管理员,首先是通过电子邮件,然后是通过漏洞披露流程,然后是GitHub,最后是通过社区论坛,然后在本周进行了披露。PHPFusion是一款自2003年推出以来的开源CMS。尽管它不像WordPress、Drupal和Joomla等其他内容管理系统那样出名,但根据该项目网站,目前全球约有1500万个网站在使用它。两个漏洞目前尚无补丁。
https://www.darkreading.com/application-security/researchers-discover-critical-vulnerability-in-phpfusion-cms
12、朝鲜Andariel黑客使用基于Golang开发的网络攻击工具
朝鲜黑客组织Andariel(Nicket Hyatt、Silent Chollima)继续对韩国的企业和组织进行网络攻击。根据安实验室安全应急响应中心(ASEC)的一项研究,2023年,黑客积极使用以Golang(Go)编程语言开发的恶意软件。Andariel是拉撒路集团的一个子集团。该组织的主要目标包括金融机构、国防承包商、政府机构、大学、信息安全公司和能源公司。袭击的目的既是间谍活动,也是为国家活动提供资金。黑客使用多种初始感染方法,包括鱼叉式网络钓鱼、水坑攻击以及针对软件供应商的攻击。成功渗透系统后,攻击者会部署各种类型的恶意软件。Andariel组织因使用DTrack恶意软件和Maui 勒索软件而闻名 。Andariel于2022年中期首次受到关注。利用Log4Shell漏洞,Andariel向目标设备传播了各种恶意软件系列 ,包括YamaBot和MagicRat ,以及NukeSped和DTrack的更新版本。Cisco Talos最近记录了 一种新的QuiteRAT 木马的使用情况,该木马利用了Zoho ManageEngine ServiceDesk Plus中的漏洞。此外,Andariel还分发了1th Troy后门,该后门是用Golang编写的。1th Troy支持命令执行、进程终止和自毁功能。Black RAT和Goat RAT均使用Golang编写。
https://www.securitylab.ru/news/541495.php
13、黑客通过澳大利亚ISP网络秘密攻击非洲人
公民实验室的研究人员最近发现,Digicel Pacific是一家在太平洋岛屿运营的澳大利亚电信公司,很可能被私人间谍公司用来监视和窃取世界各地的人们的数据。专家分析了移动监控器的数据 ,发现未知攻击者(可能是私人间谍)利用 Digicel Pacific网络资源攻击非洲的手机。此类攻击此前曾被雇佣间谍公司和政府行为者使用过。攻击者使用Digicel Pacific拥有的Global Titles向世界各地的手机发送请求。这些请求可用于确定手机的位置、拦截消息和呼叫。过去12 个月的数据分析发现,使用来自5个国家的Digicel Pacific全球标题的超过21,000个可疑查询:斐济、巴布亚新几内亚、萨摩亚、汤加和瓦努阿图。经过短暂的平静后,近几个月来袭击数量再次急剧上升。尽管黑客使用了Digicel的全局标头,但攻击却绕过了该公司的网络。租用它们可以让攻击者隐藏自己的身份。全局标头滥用问题并非Digicel所独有。如果攻击者泄露或未经授权出租其资源,任何电信运营商都可能面临类似的攻击。
https://www.securitylab.ru/news/541497.php
14、ShinyHunters黑客窃取了澳大利亚必胜客100万顾客的数据
黑客组织ShinyHunters最近声称获得了澳大利亚超过100万必胜客顾客的数据。据攻击者称,他们在1-2个月前利用AWS服务中的漏洞入侵了系统,窃取了超过3000万行机密信息。黑客发布的数据样本包含订单信息,包括客户的姓名、地址、电话号码和加密的银行卡信息。专家核实证实了被盗数据的真实性。ShinyHunters黑客索要30万美元才能删除被盗信息。此前,该组织已经公开了拒绝支付赎金的公司的数据。截至目前,澳大利亚必胜客尚未对此次事件公开发表评论,也未对袭击者的要求做出回应。到目前为止,该公司的官方网站及其社交网络上还没有有关黑客攻击的信息或向客户发出的通知。当地媒体向必胜客管理层发送的有关数据盗窃的问题至今也没有得到答复。今年三月份对澳大利亚纬度集团的攻击实际上 使该公司破产,只是奇迹般地没有摧毁其整个业务,这在很大程度上要归功于称职的管理层和众多减轻攻击后果的措施。此类事件表明大公司容易受到黑客协会的攻击,并强调确保公司内部数据、客户、合作伙伴和员工的机密信息得到可靠保护的重要性。盗窃数百万人的个人数据是一种严重犯罪,会给任何企业带来巨大的声誉和财务风险。
https://www.securitylab.ru/news/541503.php
15、俄罗斯独狼DDoS攻击组织-NoName057(16)
每天早上大约同一时间,一个名为NoName057(16)的俄罗斯黑客组织会对欧洲金融机构、政府网站或运输服务发起分布式拒绝服务(DDoS)攻击。上周,该组织声称对破坏捷克共和国和波兰多家银行和金融机构的网站负责,该组织认为这些国家因支持乌克兰而对俄罗斯政府怀有敌意。与其他亲克里姆林宫的黑客活动团伙(包括Killnet或俄罗斯网络军)一样,NoName057(16)在数百名志愿者的帮助下精心策划了相对简单且短暂的DDoS事件。其目标是扰乱日常生活,哪怕是几分钟。但研究人员表示,有些事情使这个群体与众不同。网络安全公司Radware网络威胁情报总监Pascal Geenens表示,在俄罗斯网络犯罪领域,NoName057(16)是一头“独狼”。该组织不与其他黑客结盟,主要依靠定制的DDoSia工具包来实施攻击。NoName057(16)不那么情绪化和不稳定。它在行动中一直保持着类似军队的纪律。该组织每天选择5到15个目标,并研究他们的网站,以找到最重要的部分,以产生更大的影响。吉恩斯说,其他黑客组织在发动攻击之前通常不会进行侦察。为了庆祝其成功,NoName057(16) 在Check Host网站上发布了一份报告,该报告评估了不同国家/地区网站服务器的可用性和性能。DDoSia等工具使那些不是专业黑客但想要在舒适的家中赚钱或参与网络战的个人更容易遭受DDoS攻击。DDoSia 项目的Telegram频道目前拥有12,000名订阅者。目前没有证据表明俄罗斯政府赞助了该组织。
https://therecord.media/noname-hacking-group-targets-ukraine-and-allies
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement