20230912-5th域安全微讯早报-No.218

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年9月12日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-218 星期二

今日热点导读

1、2023年向英国政府报告的针对关键IT基础设施的网络攻击数量创历史新高

2、英国NCSC和NCA表示不要关注勒索软件变体

3、ChatGPT-有用的人工智能助手还是隐藏的政治操纵者？

4、俄罗斯IT复兴：80%的外国软件已经拥有国产替代品

5、国际刑事法院将网络攻击等同于战争罪

6、Meta vs OpenAI：谁将赢得世界上最好的聊天机器人之战？

7、神经形态奇迹：物理学帮助人工智能节省能源

8、俄罗斯正在招募古巴雇佣兵前往乌克兰作战

9、破解数据传输困境：欧盟-美国数据隐私框架

10、勒索软件攻击抹去了斯里兰卡政府四个月的数据

11、新的Steal-It数据盗窃活动使用定制的PowerShell脚本窃取NTLMv2哈希值

12、越南黑客通过Facebook Messenger部署基于Python的窃取程序

13、米高梅度假村在网络攻击后使系统离线

14、Dumpforums黑客在线泄露3.5TB的Datadvance数据

15、CISA警告政府机构保护iPhone免受间谍软件攻击

16、新的WiKI-Eve攻击可通过WiFi窃取数字密码

资讯详情

1、2023年向英国政府报告的针对关键IT基础设施的网络攻击数量创历史新高

根据《信息自由法》获得的数据，在2023年前六个月内，英国运营关键IT基础设施服务的组织向政府当局报告的网络攻击严重扰乱其运营的事件比以往任何一年都要多。虽然攻击总数可能看起来很低——只有13起影响运营关键技术服务的组织（例如国家互联网交换点或回程运营商）的攻击，但这一数字比2022年和2021年该行业记录的4次中断有了显著增加。英国各地的基本服务提供商——从发电厂到运输和医疗保健行业的企业，以及IT基础设施公司——根据英国《网络和信息系统条例》（NIS条例），法律要求向特定行业主管部门报告破坏性网络事件。）还为其计算机网络制定了最低安全标准。这些网络攻击造成的破坏必须达到一定的阈值。例如，配电网络的NIS事件必须涉及至少50,000个客户的意外供电中断超过三分钟。影响全国重要DNS解析器的事件将导致服务带宽下降超过25%，持续15分钟或更长时间。负责接收数字基础设施提供商报告的Ofcom和负责涵盖云计算服务等数字服务提供商的信息专员办公室(ICO)——总共今年上半年收到的报告比往年任何一年都多。

https://therecord.media/uk-critical-it-infrastructure-attacks-reports-to-nis

2、英国NCSC和NCA表示不要关注勒索软件变体

英国国家网络安全中心(NCSC)和国家犯罪局(NCA)周一（9月11日）发布了一份联合报告，详细介绍了勒索软件生态系统如何日益专业化，以提高效率并实现利润最大化。两个机构正在对他们所说的如何处理个别勒索软件变体的常见挑战进行反击。这些机构认为，这样做类似于治疗疾病的症状，而非治疗疾病的根本。报告研究了网络犯罪系统的整个攻击路径，从最初的访问向量到利用该访问，然后部署勒索软件，再到尝试将其货币化，然后将加密货币支付转换为现金。NCSC首席执行官Lindy Cameron 表示：“我们的联合报告揭示了网络犯罪生态系统的复杂性，包括不同的平台、附属机构、支持服务和分销商，这些都导致了勒索软件攻击对英国组织造成的破坏性后果。她认为，勒索软件攻击的部署依赖于复杂的供应链，专注于特定的勒索软件菌株往好里说可能会令人困惑，严重了说可能毫无帮助。

https://therecord.media/ransomware-ecosystem-white-paper-uk-ncsc-nca

3、ChatGPT-有用的人工智能助手还是隐藏的政治操纵者？

东安格利亚大学-UEA最近的研究发现，ChatGPT人工智能响应中存在显着的系统性左翼政治偏见。该平台倾向于支持美国民主党、英国工党和巴西总统卢拉·达席尔瓦。来自英国和巴西的一组研究人员使用一种新方法来估计神经模型的政治偏见。该方法包括对60多个意识形态问题进行的独特的ChatGPT调查，研究人员在调查期间以各种政治组织和个人的身份出现。使用人工智能平台搜索信息和创建新内容的快速增长凸显了这项研究的重要性。“政治偏见的存在会影响用户的观点，并对政治和选举进程产生潜在影响，”该研究的主要作者Fabio Motoki博士说。为了增加结论的可靠性，每个问题被询问不少于100次。然后使用“引导”方法处理收到的响应，该方法用于对原始数据进行重新采样。研究合著者Victor Rodriguez表示：“由于模型的随机性，即使在模拟民主党人时，ChatGPT的反应有时也会偏右。”

https://www.securitylab.ru/news/541685.php

4、俄罗斯IT复兴：80%的外国软件已经拥有国产替代品

俄罗斯副总理德米特里·切尔尼申科告诉《共青团真理报》，大约80%的外国软件都有国产版本。而且，其中超过50%处于开发中期或已准备好发布。切尔尼申科强调，俄罗斯继续走向技术自主，这是国家主权的关键。尽管受到外部制裁，中国仍积极推进数字化，在航空、冶金、石化等多个行业成功实施了包括12个“特别重大”项目在内的重要项目。切尔尼申科还提到了一项新的俄罗斯服务，该服务结合了政府雇员的各种功能，包括邮件、文件存储和在线会议工具。俄罗斯也是公共行政数字化排名前十的国家之一。此外，切尔尼申科指出，根据总统令，所有州和地区IT系统都将过渡到GosTech平台。这是实现俄罗斯数字主权的关键项目。该平台保证了数字服务开发的安全性、速度和质量，节省预算资金。一些政府系统已经成功迁移到GosTech，计划到2025年大多数系统将迁移到该平台。

https://www.securitylab.ru/news/541686.php

5、国际刑事法院将网络攻击等同于战争罪

位于海牙的国际刑事法院（ICC）将把违反国际法的网络犯罪与传统的战争罪等同起来，即对肇事者进行同样严厉的审判和惩罚。这是由国际刑事法院首席检察官卡里姆·汗宣布的。在季刊《外交政策分析》上发表的一篇文章中，汗强调，他将负责对可能被视为违反《罗马规约》的网络事件的调查。“网络战不是一个惯例。她真正影响了人们的生活，”汗写道。“对医疗设施或电力系统等关键基础设施的攻击可能会影响许多人，尤其是最脆弱的公民。”检察官办公室发言人证实了法院的官方立场：“我们认为，在某些条件下，网络犯罪可以被视为战争罪、反人类罪和种族灭绝罪。”去年，加州大学人权中心向检察官办公室发出正式请求，要求对“沙虫”组织的非法行为进行审查。国际安全与法律中心主任鲍比·切斯尼称检察官的决定“具有开创性，但并不令人意外”。他认为，这扩大了法律框架，是打击国际网络犯罪的重要一步。

https://www.securitylab.ru/news/541687.php

6、Meta vs OpenAI：谁将赢得世界上最好的聊天机器人之战？

Meta公司正在积极拓展其在人工智能领域的能力。据了解，该公司计划于明年初启动新语言模型的培训。这项任务的规模雄心勃勃：目标是创建一个可以与OpenAI流行的GPT-4竞争的聊天机器人。为了实现这一目标，Meta已经购买了额外的Nvidia H100芯片，并正在积极升级自己的基础设施。与之前的项目不同，该公司决定不依赖Microsoft Azure等第三方云平台，而是利用自己的资源来训练模型。该项目的有趣领域之一是开发能够模拟人类情感的智能系统。据报道，该公司正在测试具有30种不同性格的Instagram聊天机器人，暗示即将推出的产品将采用创新方法。Meta面临着人工智能领域的激烈竞争和研究人员流动的问题。尽管OpenAI宣布暂停其下一版本模型的工作，但苹果、谷歌和微软等其他科技巨头正在积极投资自己的项目。Meta首席执行官马克·扎克伯格强调，关键目标是创建一个对人工智能工具开发人员免费的模型。总体而言，人工智能领域的霸主之争正在以新的活力白热化，而Meta打算成为其中的领先者之一。

https://www.securitylab.ru/news/541695.php

7、神经形态奇迹：物理学帮助人工智能节省能源

现代人工智能尽管具有令人印象深刻的性能，但也产生了巨大的能源需求。训练的任务越复杂，消耗的能量就越多。来自德国埃尔兰根马克斯·普朗克光科学研究所的科学家们提出了一种方法，可以更有效地训练人工智能。新方法基于物理过程而不是现有的数字人工神经网络。该成果发表在《Physical Review X》杂志上。据统计公司Statista称，训练GPT-3需要1000兆瓦时，相当于200个德国家庭每年的用电量。为了降低人工智能领域的功耗，科学家们正在探索一种称为神经形态计算的新数据处理概念。与在传统数字计算机上运行的人工神经网络不同，神经形态计算类似于人脑的运作方式。在人脑中，许多过程是并行发生的，而不是顺序发生的。该研究的作者之一弗洛里安·马夸特指出，现代神经网络中处理器和内存之间传输数据会消耗大量能量。Marquardt与Lopez-Pastor合作，开发了一种基于自学习物理机器的神经形态计算机的有效训练方法。他们希望在三年内推出第一台此类机器。因此，神经形态计算机在人工智能的进一步发展中具有巨大的潜力，它将比现有的解决方案更加高效和经济。

https://www.securitylab.ru/news/541660.php

8、俄罗斯正在招募古巴雇佣兵前往乌克兰作战

被称为“网络抵抗”的乌克兰黑客组织获得了俄罗斯正在招募古巴公民在乌克兰作战的证据。该组织入侵了西部军区一名参与招募外国军事人员的俄罗斯军官安东·瓦连廷诺维奇·佩列沃奇科夫 (Anton Valentinovich Perevozchikov) 的个人电子邮件帐户。被盗文件的缓存包含近200个古巴国民的护照扫描件和图像。除一名哥伦比亚公民外，所有人都是古巴公民。数据转储还包含与总部位于图拉市的俄罗斯武装部队部分的一系列西班牙语入伍合同（调查问卷、工资申请表、带附件的合同）。文件显示，古巴人将获得全额福利待遇，俄罗斯承包商士兵也能享受到这一福利，例如签订一年或一年以上合同时一次性支付195,000卢布，每月支付204,000卢布。“特种军事行动”领域（取决于军衔、职位和服役年限）和其他福利。该组织的泄密事件是在古巴政府宣布捣毁一个招募古巴公民参加俄罗斯在乌克兰战争中的人口贩运活动之后发生的。

https://www.cybersecurity-help.cz/blog/3486.html

9、破解数据传输困境：欧盟-美国数据隐私框架

在欧盟和美国之间进行数据传输是一项复杂且具有挑战性的任务，要求企业在跨大西洋数据流的商业必要性与欧洲数据保护的基本权利之间取得平衡。近年来，欧洲法院（ECJ）的两项判决毫不客气地迫使企业重新考虑其数据传输策略，往往让企业面临不可调和的困境：如何在符合欧盟数据保护的情况下将个人数据传输到美国法律。随着欧盟-美国数据隐私框架(DPF)的推出，数据传输传奇的最新一期发生在2023年7月。DPF是一项自我认证计划，适用于受美国联邦贸易委员会 (FTC) 管辖的公司（因此不包括银行等公司）。想要从中受益的公司必须遵守七项“DPF 原则”，这些原则在一系列随附的常见问题解答中进行了详细阐述，并通过在线门户向美国商务部自我证明其遵守DPF。尽管未来仍然不确定，而且DPF肯定会面临非政府组织的法律审查，但有充分的理由相信它可以经受住考验。

https://www.infosecurity-magazine.com/opinions/data-transfer-dilemma-eu-us-data/

10、勒索软件攻击抹去了斯里兰卡政府四个月的数据

对影响斯里兰卡政府云系统兰卡政府云(LGC)的大规模勒索软件攻击的调查已经开始。调查由斯里兰卡计算机应急准备小组和协调中心(CERT|CC)进行。斯里兰卡信息和通信技术局(ICTA)于2023年9月11日向多家当地新闻媒体证实了这起袭击事件。此次攻击可能始于2023年8月26日，当时一名gov[dot]lk域用户表示，他们在过去几周内收到了可疑链接，并且可能有人点击了其中一个。LGC服务和备份系统很快就被加密。ICTA首席执行官Mahesh Perera估计，使用“gov[dot]lk”电子邮件域的所有5000个电子邮件地址（包括内阁办公室使用的电子邮件地址）都受到了影响。系统和备份在攻击发生后12 小时内恢复。然而，由于系统没有对2023年5月17日至8月26日期间的数据进行任何备份，因此所有受影响的账户都永久丢失了该期间的数据。Perera告诉媒体，LGC于2007年推出，最初使用的是Microsoft Exchange Version 2003，但在2014年更新为Microsoft Exchange Version 2013。攻击发生后，ICTA已开始采取措施增强安全性，包括启动每日离线备份例程以及将相关电子邮件应用程序升级到最新版本。

https://www.infosecurity-magazine.com/news/ransomware-sri-lanka-government/

11、新的Steal-It数据盗窃活动使用定制的PowerShell脚本窃取NTLMv2哈希值

Zscaler ThreatLabz的安全研究人员发现了一种新的信息窃取活动，他们将其称为“Steal-IT”，该活动使用自定义的 PowerShell脚本从受感染的Windows系统中窃取NTLMv2哈希值。该活动主要针对澳大利亚、波兰和比利时，据信是由名为 APT28、Strontium或Fancy Bear的俄罗斯军事黑客组织精心策划的。Zscaler指出，Steal-IT活动与2023年5月针对乌克兰政府实体的攻击有相似之处，CERT -UA威胁响应团队将其归因于APT28。最近观察到威胁行为者使用Nishang框架中的自定义脚本以及通过执行系统命令来窃取和窃取系统信息。一旦捕获，数据就会通过模拟API泄露到Mockbin。Mockbin 是一个在线自定义端点生成器，它允许用户生成自定义端点来测试、模拟和跟踪API之间的HTTP请求和响应。Nishang是一个框架以及脚本和有效负载的集合，允许在渗透测试期间使用PowerShell进行攻击性安全和后期利用。感染链始于诱饵，旨在诱骗受害者打开看似无害的 .zip存档，其中隐藏了恶意快捷方式文件。.lnk文件下载并执行渗透测试PowerShell脚本的自定义版本-Nishang 的 Start-CaptureServer.ps1 -旨在捕获用于Windows环境中身份验证的NTLMv2哈希值。

https://www.cybersecurity-help.cz/blog/3487.html

12、越南黑客通过Facebook Messenger部署基于Python的窃取程序

一种新的网络钓鱼攻击利用Facebook Messenger传播来自“一群虚假和被劫持的个人帐户”的带有恶意附件的消息，最终目标是接管目标帐户。Guardio Labs研究员Oleg Zaytsev表示：“该活动再次源自越南的一个组织，它使用一个微小的压缩文件附件，其中包含一个强大的基于Python的窃取程序，该窃取程序通过一个充满简单而有效的混淆方法的多阶段过程进行投放。”在这些被称为MrTonyScam的攻击中，潜在受害者会收到消息，诱使他们点击RAR和ZIP存档附件，从而导致部署一个从GitHub或GitLab存储库获取下一阶段的植入程序。此有效负载是另一个包含CMD文件的存档文件，该文件又包含一个基于Python的混淆窃取程序，用于将所有cookie和登录凭据从不同的Web浏览器泄露到参与者控制的Telegram或Discord API端点。

https://thehackernews.com/2023/09/vietnamese-hackers-deploy-python-based.html

13、米高梅度假村在网络攻击后使系统离线

当地时间9月11日下午米高梅度假村发现网络攻击，之后关闭了部分在线系统。该公司没有回应置评请求，但几位消息人士称，该公司位于拉斯维加斯的赌场的老虎机和自动取款机无法运行。该公司的网站已关闭，临时页面为客户提供底特律、拉斯维加斯、纽约和其他城市办事处的电话号码。“米高梅度假村最近发现了一个影响公司部分系统的网络安全问题。发现问题后，我们在领先的外部网络安全专家的协助下迅速开始调查，”该公司在Twitter上的一份声明中表示。“我们还通知了执法部门，并立即采取行动保护我们的系统和数据，包括关闭某些系统。我们的调查正在进行中，我们正在努力确定此事的性质和范围。”拉斯维加斯当地新闻媒体报道称，米高梅旗下酒店（包括贝拉吉奥酒店）的计算机系统也出现故障，无法接受信用卡。拉斯维加斯以外酒店的客人在社交媒体上报告了类似的问题。这并不是米高梅第一次处理黑客事件。

https://therecord.media/mgm-resorts-offline-after-cyberattack

14、Dumpforums黑客在线泄露3.5TB的Datadvance数据

一个流行的暗网论坛的Telegram频道上9月11日出现了一条消息，称黑客已经侵入了Datadvance的基础设施及其pSeven 平台，该平台开发和销售用于数据分析和流程优化的软件。根据公布的数据，攻击者掌握了3.5TB的信息，包括来自内部云的文件、公司数据库、脚本和软件源代码。泄漏的描述指出，该事件是有针对性的攻击的结果，因此攻击者设法在该组织的基础设施中站稳脚跟，并在那里停留了一年。攻击者向一位名叫Evgeniy的Datadvance信息安全员工打招呼，并以6.3GB存档的形式发布了提取的信息片段。黑客声称已经完全访问该公司网络一年多了。该档案的发布引起了人们的兴趣；迄今为止，已有数百人下载了它。该档案本身是一个文件夹集合，其中许多文件夹以据信是Datadvance客户的公司命名，其中包含与GitLab的合同文本、保密协议、脚本和项目。

https://www.securitylab.ru/news/541703.php

15、CISA警告政府机构保护iPhone免受间谍软件攻击

美国网络安全和基础设施安全局(CISA)11日命令联邦机构修补两个安全漏洞（CVE-2023-41064和CVE-2023-41061），这些漏洞是零点击iMessage漏洞利用链的一部分，利用NSO Group的Pegasus间谍软件感染iPhone。在发出此警告之前，Citizen Lab披露称，这两个缺陷被用来破坏属于华盛顿特区民间社会组织的已完全修补的iPhone，使用名为BLASTPASS的漏洞利用链，该漏洞利用链通过包含恶意图像的PassKit附件起作用。公民实验室还警告苹果客户立即应用上周四发布的紧急更新，并敦促因身份或职业而容易受到针对性攻击的个人启用锁定模式。CISA将这两个安全漏洞添加到其已知被利用的漏洞目录中，将它们标记为“恶意网络行为者的频繁攻击媒介”，并给“联邦企业带来重大风险”。CISA要求联邦机构必须在2023年10月2日之前保护其网络上所有易受攻击的iOS、iPadOS和macOS设备免受两个漏洞的影响。

https://www.bleepingcomputer.com/news/security/cisa-warns-govt-agencies-to-secure-iphones-against-spyware-attacks/

16、新的WiKI-Eve攻击可通过WiFi窃取数字密码

一种名为“WiKI-Eve”的新攻击可以拦截连接到现代WiFi路由器的智能手机的明文传输，并以高达90%的准确率推断出单个数字击键，从而使数字口令被窃取。WiKI-Eve利用BFI（波束成形反馈信息），这是2013年随WiFi 5 (802.11ac) 引入的一项功能，它允许设备向路由器发送有关其位置的反馈，以便后者可以更准确地引导其信号。BFI的问题在于，信息交换包含明文形式的数据，这意味着这些数据可以被拦截并轻松使用，而无需硬件黑客攻击或破解加密密钥。这个安全漏洞是由中国和新加坡的一组大学研究人员发现的，他们测试了从这些传输中检索潜在秘密的过程。该团队发现，90%的情况下识别数字击键相当容易，破译6位数字口令的准确度为85%，计算出复杂的应用程序口令的准确度约为66%。WiKI-Eve攻击旨在在口令输入期间拦截WiFi信号，因此它是一种实时攻击，必须在目标主动使用智能手机并尝试访问特定应用程序时执行。

https://www.bleepingcomputer.com/news/security/new-wiki-eve-attack-can-steal-numerical-passwords-over-wifi/

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-214