20230915-5th域安全微讯早报-No.221

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年9月15日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-221 星期五

今日热点导读

1、美国赌场凯撒娱乐向勒索者支付巨额赎金

2、CISA小组提出国家网络安全警报系统的想法

3、伊朗国家黑客组织Peach Sandstorm攻击全球卫星和国防组织

4、加州颁布了首个针对数据经纪人的法案

5、梦想卖家：数百万人的数据如何成为Twitter的商品？

6、新的Windows 11可阻止针对SMB的基于NTLM的攻击

7、软件错误跟踪公司Rollbar披露数据泄露事件

8、大曼彻斯特警方陷入勒索软件黑客攻击

9、美国联邦机构敦促关键基础设施公司注意合成媒体威胁

10、与拉斯维加斯网络攻击有关的组织是多产的犯罪黑客团伙

11、国土安全部警告人工智能对关键基础设施的恶意使用

12、非机密太空战略概述了国防部将如何保护在轨卫星

13、微软发现ncurses库中影响Linux和macOS系统的缺陷

14、CISA和Mozilla敦促用户修补Firefox安全漏洞

资讯详情

1、美国赌场凯撒娱乐向勒索者支付巨额赎金

凯撒娱乐公司已向入侵该公司系统并威胁要公布敏感客户数据的黑客支付了“数千万美元”。据报道，凯撒娱乐计划在即将提交的监管文件中披露有关网络攻击的更多细节。值得注意的是，这些事件发生的背景是拉斯维加斯娱乐业的另一巨头——米高梅国际酒店集团也遭受了类似的攻击。据消息人士透露，名为“Scattered Spider”或“UNC3944”的黑客组织是此次攻击的幕后黑手。网络安全专家指出，该组织的成员精通社会工程技术，可以访问企业网络。在凯撒娱乐公司的案例中，据称黑客首先入侵了外部IT提供商以获取对该公司网络的访问权限。8月27日出现黑客攻击凯撒娱乐的信息。据研究人员称，负责此次黑客攻击的黑客组织成员是19岁及以上的年轻人，居住在美国和英国。勒索软件组织经常要求以加密货币形式支付赎金。通常，网络安全专家不建议公司向黑客支付赎金，因为后者可能根本不遵守诺言，仍然会将有价值的数据泄露给第三方。

https://www.securitylab.ru/news/541796.php

2、CISA小组提出国家网络安全警报系统的想法

为CISA提供咨询的一个小组表示，美国需要一个国家网络安全警报系统，该系统可以提供有关威胁和风险的可操作信息。在没有具体说明这样的系统是什么样子或它将如何运行的情况下，专家组发现“确实需要一个国家网络安全警报系统，以例行化 24/7 考虑和提供网络警报。”由前国家网络主管克里斯·英格利斯领导的网络安全咨询委员会(CSAC)在3月份成立了一个小组委员会，以调查国家网络安全警报系统的前景。该小组9月13日在CSAC今年的第三次虚拟会议上公布了调查结果。CISA希望Inglis和他的团队了解对能够传达当前国家网络安全风险严重程度的系统的需求——无论是通过数字评分系统还是颜色编码方法，类似于在9/11 袭击。英格利斯表示，目前的一系列报告“不具有权威性，不一定是连贯的，而且它们并不是随着时间的推移以某种单一的方式策划的。” 作为工作的一部分，该小组与以色列和加拿大以及几个美国机构的网络安全官员进行了交谈。小组委员会认为CISA是创建警报系统的合适组织，但该机构在此过程中将面临挑战。

https://therecord.media/national-cybersecurity-alert-system-idea-cisa-panel

3、伊朗国家黑客组织Peach Sandstorm攻击全球卫星和国防组织

最新研究表明，作为间谍活动的一部分，与伊朗政府有关的黑客针对卫星、国防和制药行业的数千个组织进行了攻击。根据微软周四（9月14日）发布的一份报告，此次攻击背后的黑客组织被微软追踪为Peach Sandstorm，成功入侵了一些目标组织并窃取了他们的数据。微软没有透露哪些国家是目标。最近与伊朗有关的袭击主要集中在以色列、美国、巴西和阿拉伯联合酋长国。微软表示，在2月至7 月进行的新活动中，Peach Sandstorm使用公开可用和自定义工具的组合来破坏其目标并收集“支持伊朗国家利益”的情报。为了闯入受害者的帐户，黑客使用了一种称为“口令喷射”的技术，他们尝试使用单个口令或常用口令列表来获得对目标设备的未经授权的访问。微软表示，虽然听起来很简单，但这种技术可以让攻击者增加成功的机会，并降低触发自动帐户锁定的风险。Peach Sandstorm（之前被追踪为Holmium）在之前的攻击中也使用了口令喷射，其中包括针对航空航天、国防、化学品和采矿等行业。

https://therecord.media/iranian-hackers-target-satellite-defense-orgs

4、加州颁布了首个针对数据经纪人的法案

加州立法者周三（9月13日）晚间颁布了史无前例的立法，允许该州居民按下按钮即可迫使数据经纪人删除他们的个人信息。隐私倡导者密切关注这项名为《删除法案》的立法，并认为这项首创的法案意义重大。他们表示，这可能会推动其他州通过类似的法律。尽管来自数据经纪人和广告行业的激烈游说，新法还是通过了。根据该法律，加州居民将能够访问一个网站，要求该州500多家注册数据经纪人从庞大的数据库中删除他们的个人信息，并在今后每45天继续删除这些居民的数据。加州隐私保护局将负责建立一个网站，居民可以快速、轻松地迫使公司删除他们的数据，而不必联系除了该州注册的数据经纪人以外他们曾经访问过的每个网站。业界为阻止该法案进行了如此激烈的斗争，这一事实凸显了其重要性。这项法案提供了一项真正有意义的消费者权利，但许多数据经纪人不想提供，因为他们知道这将打击他们业务的核心。据Transparency Market Research称，数据经纪行业预计在 2022年至2031年间将增长6.8%，到2031年市场价值将达到4624亿美元。

https://therecord.media/california-enacts-first-of-its-kind-bill-targeting-data-brokers

5、梦想卖家：数百万人的数据如何成为Twitter的商品？

荷兰非营利数据保护组织Stichting Data Bescherming Nederland (SDBN) 已对X Corp提起法律诉讼。(Twitter) 和MoPub（移动广告管理和交换平台MoPub），在2022年1月1日之前由X Corp所有。这些公司被指控非法交易数百万移动应用用户的个人数据。该诉讼代表荷兰约 1000万成年人和100万儿童提起，据称他们使用了约30,000个内置 MoPub跟踪器的应用程序，例如游戏、经期跟踪应用程序、约会应用程序等。该案文件称，用户数据在用户不知情或未同意的情况下被收集和共享，违反了《通用数据保护条例》( GDPR )。原告还希望删除非法收集的数据。SDBN新闻稿称，2013年10月至2021年12月期间，即使用户从未发过推文，免费应用程序也允许X和MoPub收集和共享他们的个人数据和其他数据，包括性取向信息、儿童愿望或宗教信仰。收集到的数据随后被出售给数千个团体。如果诉讼胜诉，罚款可能高达数十亿欧元。不过，预计该案的最终裁决要到2026年才会做出。

https://www.securitylab.ru/news/541786.php

6、新的Windows 11可阻止针对SMB的基于NTLM的攻击

Microsoft在Windows 11中添加了一项新的安全功能，允许管理员通过SMB阻止NTLM，以防止哈希传递、NTLM中继或密码破解攻击。这将修改传统方法，其中Kerberos和NTLM（即LM、NTLM和NTLMv2）与目标服务器的身份验证协商将由Windows SPNEGO提供支持。连接到远程SMB共享时，Windows将尝试通过执行NTLM质询响应来与远程计算机协商身份验证。此NTLM质询响应将包含尝试打开SMB共享的登录用户的哈希口令，然后托管该共享的服务器可以捕获该口令。然后可以破解这些哈希值以检索明文密码或在 NTLM 中继和传递哈希值攻击中使用以作为用户登录。这项新功能允许管理员阻止通过SMB出站NTLM，防止用户的散列口令发送到远程服务器，从而有效防止此类攻击。此附加安全层无需完全关闭操作系统内的NTLM使用。

https://www.bleepingcomputer.com/news/security/new-windows-11-feature-blocks-ntlm-based-attacks-over-smb/

7、软件错误跟踪公司Rollbar披露数据泄露事件

软件错误跟踪公司Rollbar在8月初未知攻击者入侵其系统并获得客户访问令牌后，披露了一次数据泄露事件。Rollbar于9月6日在检查数据仓库日志时发现了这一安全违规，该日志显示服务帐户被用来登录基于云的错误监控平台。一旦进入Rollbar的系统，威胁行为者就会在该公司的数据中搜索云凭证和比特币钱包。Rollbar在Have I Been Pwned创作者Troy Hunt分享的数据泄露通知信中表示：“当我们意识到这种访问时，我们禁用了该服务帐户，并开始分析未经授权的一方采取了哪些行动。”“该方首先尝试启动计算资源，但由于缺乏许可而失败，他们访问了数据仓库并进行了搜索，结果表明他们对比特币钱包或其他云凭证感兴趣。”Rollbar的后续调查发现，攻击者在2023年8月9日至8月11日的三天内访问了其系统。在Rollbar的服务器内部，他们访问了敏感的客户信息，包括用户名和电子邮件地址、帐户名称以及项目信息，例如环境名称和服务链接配置。

https://www.bleepingcomputer.com/news/security/rollbar-discloses-data-breach-after-hackers-stole-access-tokens/

8、大曼彻斯特警方陷入勒索软件黑客攻击

黑客在一场席卷英国最大执法机构之一的勒索软件攻击中窃取了数千名英国警察和工作人员的个人信息。大曼彻斯特警方周四（9月14日）称此次袭击针对的是多个组织的第三方供应商，其中包括GMP。该机构负责巡逻北部城市及其郊区卫星城市，该城市面积500平方英里，居住着约280万人。大曼彻斯特警察局助理局长科林·麦克法兰表示：“现阶段，据信这些数据不包含财务信息。” “这件事正在被极其严肃地对待。”据《曼彻斯特晚报》报道，周三致员工的一封信称，调查显示，黑客可能窃取了包括姓名、军衔、照片和序列号在内的徽章。照片的子集包含嵌入其中的地理位置数据。该机构已通知英国信息专员办公室。国家网络安全中心在一份电子邮件声明中表示，目前正在与其他执法机构合作“了解网络事件的影响”。周四的黑客攻击是导致英国执法部门个人数据泄露的一系列事件中的最新一起。八月下旬，伦敦大都会警察局面临着与北方警察局类似的情况，承认第三方的安全漏洞导致警官和工作人员的姓名、军衔、照片、审查级别和工资数字被泄露。警方表示已加强安全措施。

https://www.govinfosecurity.com/greater-manchester-police-caught-up-in-ransomware-hack-a-23080

9、美国联邦机构敦促关键基础设施公司注意合成媒体威胁

美国三个安全机构联合发布了网络安全信息表(CSI)，概述了合成媒体威胁、技术和趋势。报告指出，深度伪造等此类威胁呈指数级增长，这给现代技术和通信用户带来了越来越大的挑战，包括国家安全系统(NSS)、国防部(DoD)、国防工业基地(DIB) ，以及国家关键基础设施所有者和运营商。CSI由网络安全和基础设施安全局(CISA)、国家安全局(NSA) 和联邦调查局(FBI)网络部门发布，标题为“深度伪造对组织的威胁”，指出与许多技术一样，合成媒体技术可用于积极目的和恶意目的。“虽然有有限的迹象表明国家资助的恶意行为者大量使用合成媒体技术，但对于能力较弱的恶意网络行为者来说，合成媒体技术的可用性和效率不断提高，表明这些类型的技术可能会增加频率和复杂性，”它补充道。该文件概述了深度伪造是一种特别令人担忧的合成媒体类型，它利用人工智能/机器学习(AI/ML)创建可信且高度真实的媒体。CSI敦促组织采取各种措施来识别、防御和应对深度造假威胁。

https://industrialcyber.co/ai/us-federal-agencies-urge-critical-infrastructure-firms-to-take-note-of-synthetic-media-threats-techniques-trends/

10、与拉斯维加斯网络攻击有关的组织是多产的犯罪黑客团伙

最近几周，两个犯罪黑客组织与拉斯维加斯两家著名酒店和赌场运营商遭受的袭击有关，这导致其中一个组织难以恢复运营，并据报道促使另一个组织支付了数百万美元的赎金。据《华尔街日报》报道，对米高梅度假村和凯撒娱乐公司的袭击导致米高梅酒店大范围中断，迫使凯撒公司支付3000万美元赎金要求中的大约一半。到底谁是这些攻击的幕后黑手尚不清楚，但两个黑客组织与这些漏洞有关：ALPHV和Scattered Spider。一名自称是后者成员的人士告诉CyberScoop，他们的组织对米高梅的攻击负有责任，但否认对凯撒的入侵负责。本周早些时候，著名在线恶意软件研究存储库VX-Underground在社交媒体平台X上写道，一名ALPHV代表表示，他们是米高梅黑客事件的幕后黑手。周四（9月14日）晚，ALPHV在其网站上发表声明，声称对米高梅袭击事件负责。目前尚不清楚Scattered Spider声称对米高梅违规行为负责的说法是否属实，也不清楚这两个组织之间的重叠是否意味着两个黑客组织的成员都参与了米高梅的违规行为。与CyberScoop交谈的分散蜘蛛成员将他们的组织描述为ALPHV的知名附属机构。凯撒和米高梅均未回应多项置评请求。联邦调查局承认周四正在调查这些事件，但拒绝进一步置评。

https://cyberscoop.com/las-vegas-mgm-caesars-cyber-attack/

11、国土安全部警告人工智能对关键基础设施的恶意使用

美国国土安全部的国土威胁评估警告不良行为者可能利用人工智能通过选举影响活动或针对工业系统来破坏关键基础设施。这份年度报告概述了明年的主要问题，指出对手越来越关注并学习如何利用人工智能等新兴技术瞄准关键基础设施，如能源、即将到来的2024年选举、交通、管道和其他重要服务。国土安全部表示，国家支持的黑客也在利用人工智能来参与影响力活动或更好地开发用于大规模攻击的恶意软件。“我们关注的一个关键领域是针对关键基础设施，因为它提供了构成我们国家支柱的商品和服务，我们认为许多对手确实了解我们关键基础设施的相互关联性及其影响有，”一位国土安全部官员在周四（9月14日）的媒体吹风会上表示。尽管针对特定行业的恶意软件很少见，但报告警告称，黑客正在寻求或正在开发恶意代码，旨在破坏能源、交通、医疗保健和选举领域的工业控制系统。被安全研究人员称为“pipedream”的恶意软件就是专门针对工业设备的恶意软件的一个例子。该报告特别指出了运输部门，包括铁路和管道，但也表示其他关键基础设施部门也可能成为目标。

https://cyberscoop.com/dhs-homeland-threat-assessment/

12、非机密太空战略概述了国防部将如何保护在轨卫星

国防部太空政策办公室发布了一份新文件，定义了对美国太空资产构成的威胁以及五角大楼计划如何使它们免受伤害。国会授权的报告于周四（9月14日）发布，是国防部绝密太空战略的非机密版本。周三在报告发布前与记者通话时，负责太空政策的助理国防部长约翰·普拉姆称该文件“是我们保护太空国家安全利益的方法迄今为止最清晰、最全面的非机密表述。”非机密版本是为了响应国会的两项单独指令——一项是在《2022年国防授权法案》中进行非机密太空政策审查，另一项是在《2023 年国防授权法案》中呼吁五角大楼和国家情报总监办公室进行非保密太空政策审查发布一份非机密的太空防御战略。普拉姆说：“将这两种应对措施结合在一起是最有意义的，因为我们如何保护和捍卫我们的卫星以及我们在太空的利益确实与我们的政策密不可分。”他强调，向公众发布该战略的目的是帮助国防部和立法者宣传五角大楼与太空相关的任务和采购，并使该领域作为一个操作环境正常化。他说，作为太空政策负责人，他主张反对对项目进行过度保密，并正在推动对解密政策的持续审查。该战略详细阐述了国防部捍卫太空国家安全资产的三大努力方向——任务保证、太空领域意识和保护联合部队免受敌对行动的影响。

https://defensescoop.com/2023/09/14/unclassified-space-policy/

13、微软发现ncurses库中影响Linux和macOS系统的缺陷

在ncurses（新的curses的缩写）编程库中发现了一组内存损坏缺陷，威胁者可以利用这些缺陷在易受攻击的Linux和macOS系统上运行恶意代码。微软威胁情报研究人员Jonathan Bar Or、Emanuele Cozzi和Michael Pearse在14日发布的一份技术报告中表示：“利用环境变量中毒，攻击者可以串联这些漏洞来提升权限并在目标程序的上下文中运行代码或执行其他恶意操作。”这些漏洞统称为CVE-2023-29491（CVSS评分为7.8），已于2023年4月得到解决。微软表示，它还与苹果合作解决与这些缺陷相关的macOS特定问题。环境变量是用户定义的值，可以由系统上的多个程序使用，并且可以影响它们在系统上的行为方式。操纵变量可能会导致应用程序执行未经授权的操作。微软的代码审计和模糊测试发现，ncurses库会搜索多个环境变量，其中包括TERMINFO，这些变量可能会中毒，并与已识别的缺陷结合起来实现权限提升。Terminfo是一个数据库，使程序能够以与设备无关的方式使用显示终端。

https://thehackernews.com/2023/09/microsoft-uncovers-flaws-in-ncurses.html

14、CISA和Mozilla敦促用户修补Firefox安全漏洞

Mozilla本周发布了一份公告，警告用户存在一个影响其流行网络浏览器和电子邮件客户端的漏洞。网络安全和基础设施安全局（CISA）的官员在自己的通知中表示，利用该漏洞将使黑客能够控制受影响的系统。据Mozilla称，该漏洞被标记为CVE-2023-4863，由Apple安全工程与架构(SEAR)和多伦多大学公民实验室发现。Mozilla将该漏洞评为“严重”，并表示已意识到该漏洞已在其他产品中被利用。该公司在其Firefox、Firefox ESR和Thunderbird产品的补丁中解决了这个问题。该问题与多个浏览器和图像编辑器使用的WebP代码库有关。谷歌发布了解决Chrome浏览器漏洞的补丁，并表示它也意识到CVE-2023-4863的漏洞存在。微软发布了自己的相关公告，指出它会影响Microsoft Edge浏览器。关于它如何被利用的信息很少，但CISA于周三将该漏洞添加到了其已知的被利用漏洞列表中，并要求联邦民事机构在10月4日之前修复该漏洞。Menlo Security联合创始人Poornima DeBolle表示，该问题影响所有主要浏览器，这也说明了为什么影响浏览器的漏洞往往会成为“安全团队的打地鼠游戏”。几位专家表示，公民实验室发现该漏洞的事实表明，它可能与上周披露的两个名为“ BlastPass ”的零点击漏洞有关。

https://therecord.media/mozilla-cisa-urge-users-to-patch-firefox-vulnerability

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-219