20230919-5th域安全微讯早报-No.224
网络空间安全对抗资讯速递
2023年9月19日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-224 星期二
今日热点导读
1、微软AI研究人员泄露38TB数据包括密钥、口令和内部消息
2、报告称Metaverse给用户带来严重的隐私风险
3、国土安全部警告:民族国家行为者正在利用人工智能进行不和和攻击
4、卡巴斯基研究表明ICS计算机在2023年上半年面临不断变化的网络安全威胁
5、HC3警告Akira勒索软件组织以复古主题策略发起攻击
6、白宫努力协调复杂的网络安全规则
7、“分散蜘蛛”组织发起勒索软件攻击
8、用于网络间谍攻击的新型SprySOCKS Linux恶意软件
9、Bumblebee恶意软件在滥用WebDAV文件夹的新攻击中卷土重来
10、数千台瞻博网络设备容易受到未经身份验证的RCE缺陷的影响
11、俄罗斯-乌克兰冲突迫使国防部修改有关网络在战争中影响的假设
12、ICS安全公司Dragos在D轮扩展中筹集了7400万美元
资讯详情
1、微软AI研究人员泄露38TB数据包括密钥、口令和内部消息
微软周一(9月18日)证实,一个错误导致38TB的数据泄露,其中包括数百名员工的私钥、口令和Microsoft Teams内部消息。这些泄露的数据是由安全公司Wiz的研究人员发现的,并于6月22日通知了微软。该发言人表示:“这个问题是根据协调的漏洞披露负责任地报告的,并且已经得到解决。” “我们已经确认没有客户数据被泄露,也没有其他内部服务面临风险。”该发言人向Recorded Future News推荐了一篇关于该问题的博客文章,该文章解释了一名Microsoft员工如何在公共GitHub存储库中共享URL,同时为开源AI学习模型做出贡献。“此URL包含一个过于宽松的内部存储帐户共享访问签名(SAS)令牌。Wiz的安全研究人员随后能够使用该令牌访问存储帐户中的信息。”微软官员表示。“该存储帐户中暴露的数据包括两名前员工工作站配置文件的备份以及这两名员工及其同事的内部Microsoft Teams消息。”Microsoft和Wiz均将问题归咎于SAS令牌,SAS令牌是一项Azure功能,允许用户从Azure存储帐户共享数据。微软表示,这些令牌提供了一种限制数据访问的机制,同时允许某些客户端连接到指定的Azure存储资源。
https://therecord.media/microsoft-exposed-terabytes-of-data
2、报告称Metaverse给用户带来严重的隐私风险
纽约大学的一份新报告认为,除非采取重大措施来改进和规范该技术捕获和存储个人数据的方式,否则被称为虚拟世界的沉浸式互联网体验将侵蚀用户的隐私。虚拟宇宙依赖于扩展现实(XR)技术,该技术是指增强现实、虚拟现实和混合现实的总称。纽约大学斯特恩商业与人权中心的报告警告说,由于如果不收集和处理大量个人和身体数据,这项技术就无法发挥作用,因此它带来了重大的隐私风险。报告称,仅凭身体数据就可以推断出个人的行为和心理信息。报告称:“传统的 XR硬件配备的传感器可以连续跟踪至少三种类型的用户数据:头部运动、眼球运动和物理环境的空间地图。”报告认为,随着时间的推移,这些数据可以揭示有关用户的“高度敏感信息”,包括他们的身体和精神状况,这些信息可以用来获取商业或政治利益。对元宇宙技术有着浓厚兴趣的公司包括Meta和Microsoft等科技巨头、 Nvidia等硬件制造商、Epic Games等游戏开发商以及Unity等软件平台。
https://therecord.media/metaverse-privacy-risks-report-nyu-stern-center
3、国土安全部警告:民族国家行为者正在利用人工智能进行不和和攻击
美国国土安全部9月15日发布的一份报告警告说,民族国家行为者和网络犯罪分子越来越多地利用生成人工智能等新的网络工具在美国煽动不和、利用漏洞并攻击关键基础设施部门。DHS 2024年国土威胁评估报告将出于经济动机的网络攻击确定为国内经济安全的主要威胁,并表示新兴技术使对手能够实施“更大规模、快速、高效和更具规避性的网络攻击”。报告称:“易于使用的人工智能工具的激增可能会增强我们对手的战术。” “寻求破坏对我们政府机构、社会凝聚力和民主进程的信任的民族国家正在利用人工智能制造更可信的错误、虚假和恶意信息活动。”国土安全部表示,生成式人工智能是指能够快速生成文本、图像和视频内容的人工智能系统,它为威胁行为者提供了前所未有的能力来开展实时恶意信息活动。
https://www.nextgov.com/cybersecurity/2023/09/nation-state-actors-are-exploiting-ai-discord-and-attacks-dhs-warns/390376/
4、卡巴斯基研究表明ICS计算机在2023年上半年面临不断变化的网络安全威胁
卡巴斯基ICS CERT团队研究人员公布的数据显示,今年上半年,全球范围内ICS(工业控制系统)计算机上被阻止的恶意对象的比例较2022年下半年仅下降了0.3个百分点,为34%。此外,第一季度遭受攻击的ICS计算机的百分比有所下降。但随后第二季度再次上涨,达到2022年以来的最高季度数字26.8%。春季(3月至5月),被阻止恶意对象的ICS计算机的百分比仍然高于其他三个月。卡巴斯基在上周发布的研究数据中指出,“不同国家的ICS计算机被阻止恶意对象的比例各不相同,从埃塞俄比亚的53.3%到卢森堡的7.4%”。它补充说:“不同地区阻止恶意活动的计算机比例各不相同,从非洲的40.3%到北欧的14.7%。” 卡巴斯基表示:“2023年上半年,工程和ICS集成(增加2个百分点)、制造(增加1.9个百分点)和能源(增加1.5个百分点)领域被阻止恶意对象的ICS计算机百分比有所增加。” “楼宇自动化仍然是受审查行业中的领先者。自2021年以来,能源、石油和天然气领域的ICS计算机被阻止恶意对象的百分比呈现出相反的趋势。”
https://industrialcyber.co/threat-landscape/kaspersky-research-reveals-that-ics-computers-face-evolving-cybersecurity-threats-in-first-half-of-2023/
5、HC3警告Akira勒索软件组织以复古主题策略发起攻击
美国卫生与公众服务部卫生部门网络安全协调中心(HC3)就Akira的出现向医疗保健行业发出警告,Akira是一个勒索软件即服务(RaaS)组织,于3月份开始活动。自发现以来,该组织已造成60多名受害者,其中受害者通常是中小型企业。HC3在上周的行业警报中表示:“Akira之所以引起关注,有几个原因,例如其复古1980年代主题网站,以及要求支付20万至 400万美元赎金的大量要求。” “据观察,Akira通过多种方法获取初始恶意软件传播,例如利用受损的凭据和利用虚拟专用网络(VPN)中的弱点,通常在不使用多重身份验证(MFA)的情况下。” 与许多勒索软件组织一样,HC3补充说,他们通过在加密之前泄露数据来针对受害者采用双重勒索技术。“人们还认为,由于观察到代码和加密货币钱包存在重叠,该组织可能与Conti有一定的联系。该集团瞄准了多个行业,包括金融、房地产、制造和医疗保健。”HC3披露,2023年8月22日,报告显示Akira已开始针对Cisco VPN产品来访问企业网络。该组织新的TTP包括SQL数据库操纵、禁用防火墙和禁用LSA保护。
https://industrialcyber.co/medical/hc3-warns-of-akira-ransomware-group-strikes-with-retro-themed-tactics-targets-cisco-vpns/
6、白宫努力协调复杂的网络安全规则
最近几周,白宫开始执行一项令人眼花缭乱的任务:试图协调企业和关键基础设施运营商必须遵守的行业制定的极其广泛的网络安全相关法规和技术标准。这项艰巨的任务可能会持续数年,甚至可能持续数届政府。其成果有可能从根本上重塑 16个关键基础设施部门的网络政策和法规。最初的目标是为单一任务创建一个框架,以便关键基础设施所有者和运营商能够跨标准实现“互惠”。这意味着,从理论上讲,在一个领域遵守一组标准将导致另一个领域的合规性,并降低合规成本。分布在多个部门的大公司将在网络防御上花费更多,而目前无法跟上安全支出的小公司可能会分配更多的预算用于防御。在协调法规的任务中,针对关键基础设施组织的网络攻击只增不减。协调法规是国家网络安全战略实施计划中的任务1.1.1,该任务要求国家网络主任办公室和管理和预算办公室牵头。最近向 ONCD索取信息的请求提供了对该办公室的方法和任务范围的了解。该请求不仅询问哪些联邦法规是重复的,而且还寻求有关许多行业(无论是否受监管)遵守的州法规、国际法规和行业主导标准的信息。
https://cyberscoop.com/cybersecurity-strategy-harmonization-critical-infrastructure/
7、“分散蜘蛛”组织发起勒索软件攻击
与研究人员所熟知的名为“Sccatered Spider”、“0ktapus”和UNC3944等组织有关的黑客已经不再针对电信公司和科技公司,而是针对酒店、零售、媒体和金融服务进行攻击。该组织上周因涉嫌参与针对米高梅度假村的勒索软件攻击而引起轩然大波,这次攻击在拉斯维加斯的几家酒店造成了混乱,不仅引起了联邦执法机构的注意,甚至还引起了白宫的注意。在上周晚些时候的一份报告中,网络安全公司和谷歌子公司 Mandiant的安全专家重点介绍了该组织从针对大型科技公司的相对漫无目的地但引人注目的数据盗窃事件到针对各行各业的复杂勒索软件攻击的演变。研究人员将该组织称为UNC3944,他们表示,自2022年以来,黑客的名片一直是“基于电话的社交工程和短信网络钓鱼活动(短信钓鱼),以获取凭证来获取和升级对受害者组织的访问权限”。他们最初专注于可能支持二次犯罪活动的SIM交换攻击。然而到2023年中期,该组织开始在受害者环境中部署勒索软件,“标志着该组织货币化策略的扩张。”
https://therecord.media/scattered-spider-ransomware-attacks-hospitality-retail
8、用于网络间谍攻击的新型SprySOCKS Linux恶意软件
据观察,一名被追踪为“Earth Lusca”的黑客利用名为“SprySOCKS”的新Linu 后门针对多个国家的政府机构。趋势科技对新型后门的分析表明,它源自Trochilus开源Windows恶意软件,其许多功能被移植到Linux系统上。然而,该恶意软件似乎是多种恶意软件的混合物,因为SprySOCKS的命令和控制服务器(C2)通信协议类似于Windows后门RedLeaves。相比之下,交互式shell的实现似乎源自Linux恶意软件Derusbi。地球卢斯卡在今年上半年仍然活跃,目标是东南亚、中亚、巴尔干地区和世界各地专注于外交事务、技术和电信的主要政府实体。趋势科技报告称,在2019年至2022年间发现了多个N-day未经身份验证的远程代码执行缺陷的利用尝试,影响了互联网公开的端点。
https://www.bleepingcomputer.com/news/security/new-sprysocks-linux-malware-used-in-cyber-espionage-attacks/
9、Bumblebee恶意软件在滥用WebDAV文件夹的新攻击中卷土重来
恶意软件加载程序“Bumblebee”打破了两个月的假期,发起了一场新的活动,该活动采用了滥用4shared WebDAV服务的新分发技术。WebDAV(Web分布式创作和版本控制)是HTTP协议的扩展,使客户端能够执行远程创作操作,例如创建、访问、更新和删除Web服务器内容。Intel471的研究人员报告称,Bumblebee于2023年9月7日开始的最新活动滥用4shared WebDAV服务来分发加载程序、容纳攻击链并执行多项感染后操作。滥用合法且知名的文件托管服务提供商 4shared平台可帮助Bumblebee运营商规避黑名单并享受高基础设施可用性。同时,WebDAV协议为他们提供了多种绕过行为检测系统的方法,并具有简化分发、轻松负载切换等附加优势。
https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/
10、数千台瞻博网络设备容易受到未经身份验证的RCE缺陷的影响
估计有12,000个瞻博网络SRX防火墙和EX交换机容易受到无文件远程代码执行漏洞的攻击,攻击者无需身份验证即可利用该漏洞。8月,Juniper披露了许多“PHP环境变体操纵”(CVE-2023-36844/CVE-2023-36845) 和“关键功能缺少身份验证”(CVE-2023-36846/CVE-2023-36847) 漏洞,这些漏洞本身仅具有“中等”严重程度评级5.3。然而,当这些漏洞链接在一起时,它们就成为严重的远程代码执行缺陷,评级为9.8。在后来的技术报告中,watchTowr Labs发布了一个 PoC,将CVE-2023-36845和CVE-2023-36846缺陷链接起来,允许研究人员通过将两个文件上传到易受攻击的设备来远程执行代码。18日,VulnCheck漏洞研究员Jacob Baines发布了另一个PoC漏洞,该漏洞仅利用CVE-2023-36845,绕过了上传文件的需要,同时仍然实现了远程代码执行。作为Baines报告的一部分,研究人员在GitHub上分享了一个免费扫描仪, 以帮助识别易受攻击的部署,显示互联网上暴露的数千个易受攻击的设备。
https://www.bleepingcomputer.com/news/security/thousands-of-juniper-devices-vulnerable-to-unauthenticated-rce-flaw/
11、俄罗斯-乌克兰冲突迫使国防部修改有关网络在战争中影响的假设
俄罗斯于2022年2月入侵乌克兰,以及随后一年半的战斗,让五角大楼重新思考网络在战争中的作用,即不会立即产生效果。尽管许多政府官员和网络安全专家都承认俄罗斯在战争中的失误和有缺陷的假设——包括他们在冲突中的网络应用表现不佳——但国防部观察到,网络行动不会发挥之前想象的作用。“网络在冲突中发挥着重要作用,但这并不是我们在俄罗斯-乌克兰冲突开始时所期望的那样。但我们确实预计网络将在冲突中发挥重要作用,但它本身并不是网络,”负责网络政策的国防部副助理部长Mieke Eoyang周五(15日)在国防作家小组会议上对记者表示。“我们在这里学到的一件事是,动态冲突与我们预期网络本身会发生的事情不同。”上周公布的国防部2023年网络战略指出,网络能力本身不太可能阻止对手。相反,它们最好与其他国家权力工具一起使用。国防部多年来一直认为网络将成为冲突的一部分,并致力于创建机制和组织,将数字作战与传统战争领域一起纳入规划周期。事实上,Eoyang过去曾表示,俄罗斯与乌克兰的冲突迫使该部门对网络问题进行不同的思考。
https://defensescoop.com/2023/09/18/russia-ukraine-conflict-forces-dod-to-revise-assumptions-about-cybers-impact-in-war/
12、ICS安全公司Dragos在D轮扩展中筹集了7400万美元
Dragos是一家专门保护工业控制系统(ICS)和其他运营技术(OT)免受网络威胁的公司,9月18日宣布筹集7400万美元,作为D轮延期融资的一部分。Dragos在2021年10月宣布了最初的D轮融资,当时它以17亿美元的独角兽估值筹集了2亿美元。由WestCap领投的最新一轮融资使D轮融资达到2.74亿美元,Dragos筹集的资金总额约为4.4亿美元。该公司表示,新投资将用于额外的市场推广计划,加速其在北美、欧洲、中东和亚太地区的扩张,以及在各个行业的扩张。Dragos开发了一个ICS/OT安全平台,提供资产可视性和库存、漏洞管理、威胁检测和事件响应功能。该公司还提供威胁情报以及评估、渗透测试、事件响应、桌面演习和威胁搜寻服务。首席执行官兼联合创始人Robert M. Lee表示,“对OT网络安全的需求持续强劲,这种扩展使我们能够扩大规模。真正令人兴奋的是,WestCap作为主要投资者,是我们成功的合作伙伴,并与我们一样致力于建立集体防御,以保护工业组织及其所服务的社区。”工业网络安全市场预计在未来十年将飙升。
https://www.securityweek.com/ics-security-firm-dragos-raises-74-million-in-series-d-extension/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement