20230913-5th域安全微讯早报-No.219

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年9月13日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-219 星期三

今日热点导读

1、欧洲委员会报告称多个国家使用Pegasus间谍软件可能违法

2、美国网络司令部完成对立陶宛的第二次“前出狩猎”任务

3、CISA及其合作伙伴发布了有关水务公司免费网络漏洞扫描计划

4、Cybellum的工业设备安全报告揭示了制造商缺乏成熟度

5、新Sponsor恶意软件的黑客目标是谁？

6、微软、Meta和OpenAI被挂在耻辱墙上：人工智能如何加速全球变暖？

7、日本登陆月球的这个不寻常机器人隐藏着什么秘密？

8、勒索软件BianLian窃取了人权活动人士救助儿童会的数据

9、芬兰初创公司利用监狱劳工来训练人工智能

10、古巴勒索软件组织释放无法检测的恶意软件

11、荷兰足协向网络勒索者支付100万欧元

12、ChatGPT越狱论坛在暗网社区中激增

13、Adobe警告关键的Acrobat和Reader零日漏洞可能被利用

14、新的“MetaStealer”恶意软件攻击基于Intel的macOS系统

资讯详情

1、欧洲委员会报告称多个国家使用Pegasus间谍软件可能违法

根据欧洲委员会议会大会(PACE)9月8日发布的一份报告，一些已知已获取或部署强大的外国商业监控工具的欧洲国家可能会非法使用这些工具。制作该报告的PACE法律事务和人权委员会要求至少14个购买或使用该工具的欧盟国家，包括荷兰、德国、比利时和卢森堡，“澄清其使用框架和适用范围”，并在三个月内建立监督机制”。此外，该报告还特别指出波兰、匈牙利、西班牙、希腊和阿塞拜疆，这些国家已经经历了与使用NSO集团的Pegasus间谍软件和类似工具相关的公共丑闻，将对所有已确认的和涉嫌滥用间谍软件的案件进行调查。报告称，所有欧洲委员会成员国都必须规范执法和情报机构获取和使用间谍软件的行为，“将Pegasus型间谍软件的使用限制在特殊情况下，作为最后的手段。”

https://therecord.media/council-of-europe-report-pegasus-spyware

2、美国网络司令部完成对立陶宛的第二次“前出狩猎”任务

美国网络司令部9月12日宣布，它完成了第二次“向前搜寻”任务，以发现立陶宛网络中的漏洞。此次行动是该精英数字作战组织自2018年以来开展的数十次行动之一，其目的是帮助美国政府了解外国系统的弱点或恶意活动以及它们如何影响国内网络。这是自去年俄罗斯入侵乌克兰以来涉及东欧国家的最新任务。该司令部网络国家任务部队（CNMF）的成员与立陶宛信息技术和通信部（立陶宛内政部的一部分）的专家一起工作了数月。网络司令部没有具体说明这些团队搜索了哪些网络，只是说这些网络是由东道国政府选择的。“我们需要发展能力并增强抵御网络攻击的能力。乌克兰战争表明，网络攻击是现代战争的强大工具，因此做好准备并确保我们网络的安全极其重要。”内政部副部长阿诺达斯·阿布拉马维丘斯 (Arnoldas Abramavičius) 在一份声明中表示。网络司令部此前直接因为莫斯科入侵而向前苏联卫星国立陶宛部署人员。

https://therecord.media/cyber-command-lithuania-hunt-forward-second-mission

3、CISA及其合作伙伴发布了有关水务公司免费网络漏洞扫描计划

美国网络安全和基础设施安全局(CISA)与环境保护局(EPA)、水部门协调委员会(WSCC)和州饮用水管理员协会(ASDWA)合作开发了免费的水网络漏洞扫描服务公用事业情况说明书。该文档解释了注册 CISA免费漏洞扫描计划的流程和好处，旨在分享注册漏洞扫描服务的好处和步骤。CISA的漏洞扫描可以帮助该公用事业公司识别和解决攻击者可能用来影响其系统的网络安全漏洞。该服务的好处包括识别可通过互联网访问的资产以及识别连接到互联网的公用事业资产中的漏洞，包括已知的可利用漏洞 (KEV) 以及威胁行为者和一些勒索软件团伙通常用于初始访问的互联网公开服务。该服务还提供有关扫描状态的每周报告以及缓解已识别漏洞的建议；通过持续扫描新漏洞进行持续检测和报告，在扫描新注册水务公司的头几个月内，显着减少已识别的漏洞。

https://industrialcyber.co/cisa/cisa-and-partners-publish-a-fact-sheet-on-free-cyber-vulnerability-scanning-for-water-utilities/

4、Cybellum的工业设备安全报告揭示了制造商缺乏成熟度

工业网络安全公司Cybellum发布的新数据显示，在工业设备制造商领域，设备安全计划或产品安全计划在很大程度上还不成熟。调查结果还显示，效率成为首要的设备安全挑战，在不断发展的技术中持续管理产品安全是一项重大挑战，而提高法规合规性则成为首要任务。它还披露了对软件供应链安全的关注有限，而制造商尽管认识到了挑战，但仍犹豫是否增加产品安全预算。Cybellum在其题为“2023年工业设备安全调查”的报告中指出，绝大多数受访者(98%)认识到设备安全对于OT（操作技术）网络安全的重要性。“他们认为强大的OT网络安全依赖于强大的产品安全措施。值得注意的是，在那些认识到设备安全对于OT网络安全重要性的人中，相当一部分人(81%)与上一年相比，在2023年增加了设备安全预算。”该调查突显了安全专业人士清楚地认识到设备安全在整个工业网络安全中发挥着至关重要的作用。它表明愿意投入财政资源来增强设备安全措施。

https://industrialcyber.co/news/cybellum-report-on-industrial-device-security-reveals-lack-of-maturity-budget-reluctance-among-manufacturers/

5、新Sponsor恶意软件的黑客目标是谁？

ESET的研究人员发现了黑客组织Charming Kitten（Phosphorus、TA453、APT35、APT42）发起的新活动。该活动从2021年3月持续到2022年6月，在不同国家有34个组织遭到攻击。黑客使用了以前未知的名为“Sponsor”的恶意软件。Sponsor是一个用C++编写的后门，一旦执行，就会创建一个由配置文件控制的服务。该文件包含C2服务器的加密地址、与它们的通信间隔以及解密 RC4 的密钥。一项值得注意的功能是赞助商能够将其配置文件隐藏在受害者的驱动器上，从而使其能够成功逃避检测。主要目标包括政府、医疗保健、金融服务、工程、制造、技术、法律和电信领域的组织。最活跃的攻击组织位于以色列、巴西和阿联酋。为了获得对目标网络的初始访问权限，黑客利用了Microsoft Exchange中的CVE-2021-26855漏洞。随后，各种开源工具被用来进一步渗透和泄露数据，以促进数据盗窃、系统监控和网络渗透，并帮助攻击者保持对受感染计算机的访问。

https://www.securitylab.ru/news/541714.php

6、微软、Meta和OpenAI被挂在耻辱墙上：人工智能如何加速全球变暖？

一个由环境、技术和反仇恨组织组成的联盟致信参议员查克·舒默（D-USA），要求立法解决人工智能对气候变化的影响。这封信由超过12个组织签署，包括亚马逊气候正义员工组织、美国绿色和平组织和忧思科学家联盟。信中称，应要求公司披露有关开发能源密集型人工智能模型对环境影响的信息。它还建议纳入利用人工智能防止气候变化错误信息传播的措施。该联盟主要关注的是大型语言模型 (LLM)，例如OpenAI的ChatGPT。签署方表示，此类模型的能耗应透明并经过仔细验证。这将使消费者和立法者能够更好地理解与使用此类技术相关的权衡。2022年分析发现，2022年，AI在谷歌3年多的能源消耗中占比近15% ，相当于亚特兰大市所有家庭一年的能源消耗量。该联盟认为，企业应该公开报告其人工智能模型生命周期各个阶段的能源消耗和温室气体排放，甚至包括用户搜索查询对环境的影响。这封信还引发了人们对人工智能工具可能加剧虚假信息活动的担忧。

https://www.securitylab.ru/news/541730.php

7、日本登陆月球的这个不寻常机器人隐藏着什么秘密？

日本宇宙航空研究开发机构(JAXA) 的首个软月球着陆器与XRISM空间束光谱仪于9月6日成功发射。该任务名为SLIM（月球研究智能着陆器），旨在探索月球表面。然而，该机构计划将最近接地的飞行器送回天空并进入月球轨道，这一旅程将需要长达四个月的时间。此后，该装置将再花大约一个月的时间直接从轨道探索肖利陨石坑的着陆点。一旦这一阶段的太空任务完成，SLIM将把另一辆名为月球游览车2 (LEV-2)的飞行器（商业上也称为SORA-Q）降落到月球表面。该设备是一个球形机器人，直径约8厘米，质量约250克，配备两个摄像头，可以改变形状沿着月球表面移动。日本空间研究创新中心高级研究员平野大地表示，这款不寻常的机器人是与儿童玩具制造商TOMY以及科技公司索尼合作开发的，TOMY为机器人提供了“可持续且安全的设计”，索尼为机器人提供了“可持续且安全的设计”。最新的视频录制。如果任务成功，日本宇宙航空研究开发机构的工程师希望将月球软着陆技术应用于更大的飞行器，包括载人飞行器。

https://www.securitylab.ru/news/541734.php

8、勒索软件BianLian窃取了人权活动人士救助儿童会的数据

黑客组织变脸宣布，它已经入侵了世界领先的非营利组织之一的IT系统。VX-Underground和Emsisoft的网络安全分析师根据变联网站上对该组织的描述判断，认为国际慈善机构救助儿童会是此次攻击的受害者。黑客报告称窃取了6.8TB的数据，其中包括800GB的财务记录、国际人力资源文件、个人数据、电子邮件甚至医疗信息，以及员工和国际业务数据。该受害组织在116个国家开展业务，收入达28亿美元。如果不满足赎金要求，变脸很可能会发布或出售被盗信息。救助儿童会尚未对此事发表评论。反过来，分析人士认为，必须尽快停止变脸组织的行动。目前尚不清楚调查是否正在进行中，攻击细节只能在调查完成后才能披露。该组织和执法机构的下一步行动仍然是个谜。此前，变联黑客公开了法国医院CHU的300GB数据。被盗数据包括个人数据、财务文件和医院医务人员的信息。此外，安全公司Avast还曾发布了BianLian勒索软件的免费解密器。

https://www.securitylab.ru/news/541732.php

9、芬兰初创公司利用监狱劳工来训练人工智能

芬兰监狱中的一名妇女每三个小时轮班在笔记本电脑上阅读房地产文本并回答问题。她为此每小时获得1.54欧元的收入。这项工作看似单调，但却在芬兰初创公司Metroc的人工智能训练中发挥着关键作用。Metroc为建筑公司开发了一个搜索引擎，帮助寻找新的建筑项目。为此，初创公司需要人员帮助模型理解新闻文章和市政文件中的信息。这就是囚犯的服务派上用场的地方。通常，这项工作是由来自低工资国家的“clickworkers”完成的。然而，对于Metroc来说，员工讲芬兰语非常重要。因此，公司决定使用监狱劳工。这一做法在芬兰得到了广泛支持。然而，一些人认为该项目具有创新性，对囚犯的康复有用，而另一些人则认为该项目具有潜在的剥削性，特别是此类活动可能为其他拘留条件可能不太人道的国家使用囚犯树立先例。然而，对于许多囚犯来说，此类工作代表着赚钱和感觉有用的机会。

https://www.securitylab.ru/news/541722.php

10、古巴勒索软件组织释放无法检测的恶意软件

卡巴斯基安全研究人员公布了对臭名昭著的勒索软件组织Cuba活动的研究。根据卡巴斯基12日早些时候发布的一份新报告，这个臭名昭著的网络犯罪团伙一直以世界各地各行业的组织为目标。技术文章显示，2022年12月，卡巴斯基在客户系统上检测到可疑事件。发现了三个神秘文件，这些文件导致komar65库（也称为BUGHATCH）被激活。BUGHATCH是一个复杂的后门，在进程内存中运行，连接到命令与控制(C2)服务器以接收指令。该恶意软件可以下载Cobalt Strike Beacon和Metasploit等软件，其利用Veeamp备份软件中的漏洞强烈表明古巴参与其中。卡巴斯基的调查还揭示了该组织内存在讲俄语的成员，这一点可以从“komar”文件夹的引用中看出，该文件夹在俄语中意为“蚊子”。该组织通过附加模块进一步增强了恶意软件的功能，其中包括负责通过HTTP POST请求收集系统信息并将其发送到服务器的模块。此外，卡巴斯基在VirusTotal上发现了源自古巴的新恶意软件样本，其中一些样本逃避了其他安全供应商的检测。这些样本代表BURNTCIGAR恶意软件的更新版本，包含加密数据以避免防病毒检测。

https://www.infosecurity-magazine.com/news/cuba-ransomware-undetectable/

11、荷兰足协向网络勒索者支付100万欧元

荷兰皇家足球联合会(KNVB)决定向网络犯罪分子支付赎金，以防止其会员的个人数据泄露。这一决定引起了专家的担忧，他们警告大公司面临的网络攻击威胁日益增长。值得注意的是，KNVB可能支付了超过100万欧元来防止被黑客窃取的数据被公开，其中包括职业足球运动员的护照数据、家庭住址和工资信息。对KNVB的攻击是由网络犯罪组织Lockbit在2023年4月发起的。技术法专家Lisette Meij 表示，KNVB支付赎金的决定是正确的，因为真正的受害者是数据被泄露的人。该专家指出，Lockbit 的黑客有一定的行动算法：如果受害者不支付数据解密费用，他们就会开始威胁公开，通常会在暗网上发布一小部分数据。KNVB警告受害者，他们的数据可能被滥用，并强调，对于联邦来说，防止数据泄露比不屈服于敲诈勒索的原则更重要。一些专家批评KNVB的决定，认为这样的行为只会鼓励犯罪分子。然而，一些专家认为，在暗网上进一步发布数据的可能性很小，因为这可能会破坏犯罪分子的收入计划。KNVB官员拒绝就支付的赎金的具体金额发表评论。然而，据RTL Nieuws报道，勒索者索要超过100万欧元。

https://www.securitylab.ru/news/541740.php

12、ChatGPT越狱论坛在暗网社区中激增

每个人都在等待的像ChatGPT这样的生成式人工智能工具的武器化正在慢慢地开始形成。在在线社区中，好奇的猫正在合作研究破解ChatGPT道德规则的新方法，通常称为“越狱”，而黑客正在开发一个新工具网络，以利用或创建大型语言模型(LLM 来达到恶意目的。正如它在地面上一样，ChatGPT似乎也激起了地下论坛的狂热。黑客一直在寻找新的、有创意的提示来操纵 ChatGPT和开源LLM，他们可以将其重新用于恶意目的。根据SlashNext的一篇新博客，其结果是一个仍处于萌芽状态但蓬勃发展的LLM黑客社区，拥有大量巧妙的提示，但很少有值得三思的人工智能恶意软件。即时工程涉及巧妙地向ChatGPT等聊天机器人询问旨在操纵它们的问题，使它们违反编程规则，例如在模型不知情的情况下创建恶意软件。越狱社区的成员互相帮助，让ChatGPT被破解，并完成开发者想要阻止它做的事情。

https://www.darkreading.com/application-security/chatgpt-jailbreaking-forums-dark-web-communities

13、Adobe警告关键的Acrobat和Reader零日漏洞可能被利用

Adobe已发布安全更新，以修补Acrobat和Reader中标记为攻击中利用的零日漏洞。尽管有关攻击的更多信息尚未披露，但已知零日漏洞会影响Windows和macOS系统。该公司在12日发布的安全公告中表示：“Adobe意识到CVE-2023-26369已在针对Adobe Acrobat和Reader的有限攻击中被广泛利用。”CVE-2023-26369可以让攻击者在成功利用越界写入漏洞后获得代码执行权。根据其CVSS v3.1 评分，虽然威胁行为者可以在低复杂性攻击中利用该漏洞，而无需特权，但该漏洞只能由本地攻击者利用，并且还需要用户交互。Addobe对CVE-2023-26369进行了最高优先级评级，该公司强烈建议管理员尽快安装更新，最好在72小时内安装。修复的另外几个漏洞是Connect（CVE-2023-29305和CVE-2023-29306）和Experience Manager（CVE-2023-38214和CVE-2023-38215）错误都可用于发起反射跨站点脚本（XSS）攻击。它们可被用来访问cookie、会话令牌或目标Web浏览器存储的其他敏感信息。

https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-acrobat-and-reader-zero-day-exploited-in-attacks/

14、新的“MetaStealer”恶意软件攻击基于Intel的macOS系统

一种名为“MetaStealer”的新型信息窃取恶意软件已经出现，可以从基于Intel的macOS计算机中窃取各种敏感信息。MetaStealer（不要与去年流行的“META”信息窃取程序混淆）是一种基于Go的恶意软件，能够逃避Apple内置防病毒技术XProtect，目标是商业用户。SentinelOne报告称，过去几个月它一直在跟踪该恶意软件，发现其分发过程中异常涉及社会工程。尽管该恶意软件与Atomic Stealer（另一个基于Go的macOS目标信息窃取程序）有一些相似之处，但代码重叠有限，并且传递方法不同。因此，SentinelOne 得出结论，MetaStealer是一个单独的操作。SentinelOne在VirusTotal上发现了一个恶意软件样本，其中有一条评论称MetaStealer威胁行为者正在联系企业并冒充该公司的客户来传播恶意软件。网络钓鱼电子邮件中附带有磁盘映像文件，当安装到文件系统上时，这些文件包含具有欺骗性名称的可执行文件，这些可执行文件显示为PDF文件，以诱骗受害者打开它们。

https://www.bleepingcomputer.com/news/security/new-metastealer-malware-targets-intel-based-macos-systems/

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-214