20230920-5th域安全微讯早报-No.225
网络空间安全对抗资讯速递
2023年9月20日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-225 星期三
今日热点导读
1、联邦调查局局长敦促加强公私合作打击网络犯罪
2、CISA称Owl Labs存在需要近距离物理范围的漏洞
3、黑客对话:Bugcrowd的黑客和指挥大师Casey Elli
4、GhostSec黑客攻击了莫斯科交易所
5、APT36国家黑客使用YouTube应用克隆感染Android设备
6、SpaceX公司近几个月超过200颗星链卫星失效
7、趋势科技修复了端点安全产品中的零日漏洞
8、国际刑警组织vs博彩公司黑手党:30秒如何帮助诈骗者通过体育博彩致富
9、下一代电子战:美国陆军押注于便携式设备
10、威胁行为者USDoD声称TransUnion发生重大数据泄露
11、新的ShroudedSnooper威胁者通过新型植入物瞄准中东电信公司
12、阿塞拜疆成为新的基于Rust的恶意软件活动的目标
13、国际刑事法院(ICC)披露其遭到网络攻击
14、GitLab敦促用户安装针对关键管道缺陷的安全更新
资讯详情
1、联邦调查局局长敦促加强公私合作打击网络犯罪
“我是来招募你的。” 当FBI局长Christopher Wray说他参加Mandiant mWISE会议的原因是为FBI招聘人员时,他真的是在开玩笑吗?在9月18日的开幕主题演讲中,雷解释了与私营部门的合作如何改变了FBI打击网络犯罪的方法。他说,9/11恐怖袭击导致该局向其他各方更多地开放,首先是反恐任务,然后是包括网络空间在内的其他领域。“今天,我们的战略取决于我们所处的位置,即网络生态系统的中心,该生态系统从防御方延伸到私营部门,也包括美国网络安全和基础设施安全局(CISA)等机构,一直延伸到防御方。在进攻方面,中央情报局、国家安全局和我们的外国合作伙伴,”雷补充道。过去几年,FBI在网络空间开展了多次联合调查和执法行动,合作伙伴数量不断增加,其中包括来自盟友国家的外国网络安全机构和私人组织。最近的执法行动,例如Hive勒索软件或QakBot恶意软件加载程序的取缔行动,包括Zscaler等合作伙伴协助调查。FBI局长强调的此类公私合作的典型例子是2022年摧毁了据称由俄罗斯军事机构(GRU)建立的Cyclops Blink僵尸网络。私人合作伙伴WatchGuard直接参与了此次活动。
https://www.infosecurity-magazine.com/news/mwise-fbi-private-public/
2、CISA称Owl Labs存在需要近距离物理范围的漏洞
美国网络安全机构CISA表示,去年在Owl Labs视频会议设备中发现的四个漏洞(这些漏洞要求攻击者必须靠近目标)已在攻击中被利用。CISA周一(9月18日)在其已知利用漏洞(KEV)目录中添加了8个新漏洞。其中两个安全漏洞影响 Realtek(CVE-2014-8361)和Zyxel(CVE-2017-6884)产品,并且已知它们已被僵尸网络利用。CISA添加到其目录中的另一个漏洞是CVE-2021-3129,这是一个Laravel漏洞,该漏洞2021年首次出现利用尝试。第四个漏洞是CVE-2022-22265,这是一个三星Android漏洞,谷歌称该漏洞已在野外被利用。威胁情报公司GreyNoise已确认Realtek、Zyxel和Laravel漏洞仍成为攻击目标。CISA添加到其KEV列表中的其余四个漏洞影响Owl Labs的Meeting Owl视频会议产品。Owl漏洞是瑞士网络安全公司Modzero的研究人员去年发现的。其中包括加密不足、缺少身份验证、硬编码凭据和不正确的身份验证问题。
https://www.securityweek.com/cisa-says-owl-labs-vulnerabilities-requiring-close-physical-range-exploited-in-attacks/
3、黑客对话:Bugcrowd的黑客和指挥大师Casey Elli
SecurityWeek采访了Bugcrowd创始人、董事长兼首席技术官兼黑客Casey Ellis。Bugcrowd提供了一个众包道德黑客网络安全平台,该平台因代表各个组织运营错误赏金计划而闻名。埃利斯说,“黑客是对系统做出假设并颠倒过来看看会出现什么结果的人。黑客将了解一个系统是如何工作的,他们可以操纵它来做一些最初从未打算做的事情。” 这种愿望几乎是默认条件。“当我看到一项新技术时,我经常做的第一件事就是尝试让它表现错误。”最重要的是,黑客行为是不道德的;它是由好奇心驱动的,而不是做坏事的欲望。正是出于道德或不道德的目的对这些结果的使用,迫使我们将黑客分为两个阵营:道德黑客(白帽)和恶意黑客(黑帽)。道德黑客会找到可以操纵系统的方法,以便开发人员可以防止恶意黑客为了自己的利益(通常是经济或政治)而发现和滥用相同的操纵行为。两个流派的黑客都拥有相同的技能。
https://www.securityweek.com/hacker-conversations-casey-ellis-hacker-and-ringmaster-at-bugcrowd/
4、GhostSec黑客攻击了莫斯科交易所
自称“超级恶棍”的黑客组织GhostSec宣布了新案件——入侵莫斯科交易所(moex.com)。他们在Telegram帖子中声称,由于一名员工的疏忽,他们获得了对交易所其中一台FTP服务器的访问权限,该员工的账户中的积分几乎处于开放状态。该数据档案大小超过2.8GB,三天内下载次数已超过300次。莫斯科交易所尚未证实黑客攻击的事实,也没有对此事发表评论。目前尚不清楚黑客发布的数据有多可靠,以及可能对交易所的运营及其声誉产生什么影响。前,GhostSec宣布对 RTU工业路由器进行了首例勒索软件攻击 。研究人员证实了该团队对此类路由器进行加密的能力,展示了SCADA功能并支持RS-232和RS-485工业串行接口。2022年9月,GhostSec声称已经破坏了以色列组织使用的55个Berghof可编程逻辑控制器(PLC) 。GhostSec黑客发布了一段视频,显示成功登录管理面板,并表示他们可以使用它来改变水中的氯含量和 pH值。
https://www.securitylab.ru/news/541940.php
5、APT36国家黑客使用YouTube应用克隆感染Android设备
据观察,APT36黑客组织(又名“透明部落”)使用至少三个模仿YouTube的Android应用程序,通过其签名远程访问木马 (RAT)“CapraRAT”感染设备。一旦恶意软件安装在受害者的设备上,它就可以收集数据、记录音频和视频或访问敏感通信信息,本质上就像间谍软件工具一样运行。APT36是一个与巴基斯坦结盟的威胁行为者,以使用恶意或带有恶意的 Android应用程序攻击印度国防和政府实体、处理克什米尔地区事务的机构以及巴基斯坦的人权活动人士而闻名。SentinelLabs发现了这一最新活动,该活动警告与印度和巴基斯坦军事或外交相关的个人和组织对第三方网站上托管的 YouTube Android应用保持高度警惕。恶意APK在Android官方应用商店Google Play之外分发,因此受害者很可能是通过社交工程下载并安装它们的。这些APK于2023年4月、7月和8月上传到 VirusTotal,其中两个被称为“YouTube”,一个被称为“Piya Sharma”,与可能用于浪漫策略的角色的频道相关。
https://www.bleepingcomputer.com/news/security/apt36-state-hackers-infect-android-devices-using-youtube-app-clones/#google_vignette
6、SpaceX公司近几个月超过200颗星链卫星失效
根据通过Satellitemap.space资源收集的数据,今年7月18日至9月18日期间,太空公司SpaceX丢失了其Starlink项目的212颗卫星。过去三年来,被烧毁的卫星数量一直在稳步增加,但自今年七月以来,数量出现了显著的跳跃。目前尚不清楚这些损失是计划中的卫星退役过程还是故障造成的。星链卫星通常设计为在其生命周期(大约五年)结束时在地球大气层中燃烧殆尽。星链项目由SpaceX于2019年启动,此后已向近地轨道发射了5,000多颗卫星,其中4,500颗目前被认为处于活动状态。卫星也面临电磁风暴的威胁。随着太阳进入活动增加的时期,夏季期间记录到了强烈的太阳耀斑。例如,去年2月,SpaceX甚至宣布,40颗新卫星在发射后不久将因强烈电磁风暴而无法使用。考虑到发射每颗卫星的成本,该公司因此类事件造成的潜在损失估计约为1亿美元。这些损失是精心策划的计划还是公司另一次失败的结果?
https://www.securitylab.ru/news/541919.php
7、趋势科技修复了端点安全产品中的零日漏洞
趋势科技周二(19日)发布了一份公告,警告客户,影响Apex One和其他端点安全产品的一个关键漏洞已被利用。该零日漏洞(编号为CVE-2023-41179)影响Apex One、Apex One SaaS和无忧企业安全产品。该漏洞与产品卸载第三方安全软件的能力有关,可被利用执行任意代码。“要利用此漏洞,攻击者需要能够登录产品的管理控制台。由于攻击者需要提前窃取产品的管理控制台身份验证信息,因此他们无法仅利用此漏洞渗透目标网络。”趋势科技在日语通报中指出。它补充说:“趋势科技已确认该漏洞已被用于实际攻击。我们建议尽快更新到最新版本。”每个受影响的产品都已发布补丁。趋势科技通常不会共享有关利用其产品中发现的漏洞进行攻击的信息。过去几年,趋势科技的多个产品漏洞已在攻击中被利用。CISA 目前在其已知被利用的漏洞目录中列出了9个此类缺陷。最新的零日漏洞尚未添加。
https://www.securityweek.com/trend-micro-patches-exploited-zero-day-vulnerability-in-endpoint-security-products/
8、国际刑警组织vs博彩公司黑手党:30秒如何帮助诈骗者通过体育博彩致富
国际刑警组织、欧洲刑警组织和西班牙警方联合开展了一项重大国际行动 ,消灭了一个有组织的犯罪集团。专门从事非法体育博彩和操纵比赛结果。了解体育场赛事转播与电视屏幕上出现赛事之间的时间延迟有助于骗子成功实施诈骗。这 20-30 秒使得根据当前账户进行有利可图的投注成为可能。“有组织的犯罪结构不会错过利用系统中哪怕是最小的弱点的机会。在本案中,我们谈论的是20-30秒的优势,这给犯罪分子带来了巨大的好处。”国际刑警组织秘书长于尔根·斯托克强调说。行动中,执法人员搜查了四处住宅。两处房产、两个大型卫星天线、三辆豪华轿车被没收,47个银行账户被冻结。此外,还查获了80部手机以及价值约13,000欧元的现金和假钞。调查于2020年开始。卫星技术用于获取比赛进展数据的事实稍后才为人所知。最初,警方认为所有诈骗都是针对乒乓球项目。后来发现,近年来几乎所有重大体育赛事都受到了投注,包括南美和亚洲足球联赛、欧洲国家联赛、德甲联赛、2022年卡塔尔世界杯以及ITF和ATP网球锦标赛。为了避免引起别人的注意,犯罪分子聘请中间人下注并收取奖金。他们还与一家主要博彩公司的一名员工达成协议。
https://www.securitylab.ru/news/541932.php
9、下一代电子战:美国陆军押注于便携式设备
美国陆军已将一份合同授予CACI International下属的一家公司,以开发便携式干扰设备原型。该设备将使士兵能够在徒步行动期间监控电子信号。据陆军情报、电子战和传感器执行办公室称,与Mastodon Design的协议价值150万美元,为期9个月。该设备名为TLS-BCT Manpack,旨在为军事人员提供地面电子战和信号侦察。这是TLS-BCT设备的紧凑型版本,设计用于安装在Stryker战车上,而更大的TLS-Echelons Below Brigade设备则用于大型军事编队。近年来,美国陆军一直积极投入电子战的发展。TLS系列设备开发合同总价值已达数千万美元。该设备的便携式版本预计将于2024年开始量产。请注意,Mastodon Design于2019年被CACI Corporation以2.25亿美元收购。据《防务新闻》报道,2022年,CACI的国防合同收入为43亿美元,跻身全球最大国防承包商“100 强”之列。
https://www.securitylab.ru/news/541941.php
10、威胁行为者USDoD声称TransUnion发生重大数据泄露
研究人员声称,与之前的重大违规事件有关的臭名昭著的威胁行为者已经泄露了从信用机构TransUnion窃取的数GB个人数据。据Vx-underground称,一名绰号为“USDoD”的个人发布了一个3GB的数据库,其中包含58,505名个人的个人身份信息(PII)。尽管没有关于这些人是客户还是员工的信息,但考虑到该公司的规模,至少部分所获取的PII似乎来自客户。“该数据库似乎于2022年3月2日遭到泄露。这个泄露的数据库包含全球各地个人的信息,包括美洲(南北美洲)以及欧洲,”Vx-underground在X(以前称为Twitter)上的一篇帖子中表示。显然,所获取的PII包括名字和姓氏、TransUnion内部标识符、护照信息(包括出生地点和日期)、婚姻状况、年龄、雇主信息、信用评分和贷款信息。对于网络钓鱼攻击者来说,这是一个重要的宝库,可以用来对受害者进行后续欺诈攻击。Emsisoft威胁分析师Brett Callow 在X上发表的另一篇文章显示,USDoD在BreachForums上发布了该转储,上周他们曾在该网站上共享从3200家空客供应商窃取的个人信息。
https://www.infosecurity-magazine.com/news/threat-actor-transunion-customer/
11、新的ShroudedSnooper威胁者通过新型植入物瞄准中东电信公司
Cisco Talos最近发现了一个新的恶意软件家族,研究者称之为“HTTPSnoop”,该家族正在针对中东的电信提供商进行部署。HTTPSnoop是一个简单但有效的后门,它包含与Windows HTTP内核驱动程序和设备交互的新技术,以侦听特定 HTTP(S) URL的传入请求并在受感染端点上执行该内容。研究者还发现了“HTTPSnoop”的姐妹植入程序,将其命名为“PipeSnoop”,它可以接受来自命名管道的任意shellcode并在受感染的端点上执行它。研究者发现了基于DLL和EXE的植入程序版本,这些版本伪装成合法的安全软件组件,特别是扩展检测和响应(XDR)代理,使其难以检测。非常有信心地评估这两个植入程序都属于我们称之为“ShroudedSnooper”的新入侵集。根据植入程序中使用的HTTP URL模式(例如模仿Microsoft Exchange Web Services (EWS)平台的模式),研究者评估该威胁参与者可能会利用面向互联网的服务器并部署HTTPSnoop来获得初始访问权限。这项活动是过去几年一直在监测的趋势的延续,即老练的攻击者经常以电信为目标。根据思科Talos事件响应数据,该行业一直是2022年最受关注的垂直行业。ShroudedSnooper活动突显了电信实体面临的最新威胁。
https://blog.talosintelligence.com/introducing-shrouded-snooper/
12、阿塞拜疆成为新的基于Rust的恶意软件活动的目标
于阿塞拜疆的目标已被挑选为新活动的一部分,该活动旨在在受感染的系统上部署基于Rust的恶意软件。网络安全公司 Deep Instinct正在以“生锈旗帜行动”的名义追踪此次行动。它尚未与任何已知的威胁行为者或组织相关联。安全研究人员西蒙·凯宁等人在上周发表的一份分析中表示:“该操作至少有两个不同的初始访问向量。” “这次行动中使用的诱饵之一是Storm-0978 组织使用的一份修改过的文件。这可能是故意的‘假旗’。”攻击链利用名为1.KARABAKH.jpg.lnk的LNK文件作为启动板来检索托管在Dropbox上的第二阶段有效负载(MSI安装程序)。安装程序文件本身会释放一个用Rust编写的植入程序、一个用于执行植入程序的计划任务的XML文件,以及一个带有阿塞拜疆国防部标志水印的诱饵图像文件。另一个感染媒介是Microsoft Office文档,该文档利用CVE-2017-11882(Microsoft Office公式编辑器中存在六年的内存损坏漏洞)。使用值得注意的是,Storm-0978(又名RomCom、Tropical Scorpius、UNC2596和Void Rabisu)在最近针对乌克兰的网络攻击中利用了具有相同文件名的诱饵,这些攻击利用了 Office远程代码执行缺陷(CVE-2023-36884)。研究人员表示:“Rust在恶意软件作者中越来越受欢迎。” “安全产品尚未准确检测Rust恶意软件,并且逆向工程过程更加复杂。”
https://thehackernews.com/2023/09/operation-rusty-flag-azerbaijan.html
13、国际刑事法院(ICC)披露其遭到网络攻击
国际刑事法院ICC)周发现其系统遭到破坏后,于周二(9月19日)披露了一起网络攻击事件。国际刑事法院表示:“上周末,国际刑事法院的服务部门检测到影响其信息系统的异常活动。”“我们立即采取措施应对这一网络安全事件并减轻其影响。”该机构表示,由于荷兰是国际刑事法院的东道国,目前正在荷兰当局的协助下调查这一事件。国际刑事法院表示:“法院感谢东道国就这一事件提供的出色合作以及立即反应和支持。”ICC还概述了加大力度加强网络安全防御的计划,包括加快云技术的采用。目前,还没有关于网络攻击的性质和对国际刑事法院系统的影响程度的信息,也没有关于犯罪者是否设法从其网络访问或窃取任何数据或文件的信息。法院仅透露,它“继续分析和减轻这一事件的影响”,重点是“确保法院的核心工作继续进行”。发言人Fadi El-Adballah告诉BleepingComputer,国际刑事法院无法提供更多细节或信息。国际刑事法院是一个国际法庭,负责调查和起诉影响国际社会的最严重罪行,包括战争罪、种族灭绝罪和反人类罪。
https://www.bleepingcomputer.com/news/security/hackers-breached-international-criminal-courts-systems-last-week/#google_vignette
14、GitLab敦促用户安装针对关键管道缺陷的安全更新
GitLab发布了安全更新,以解决一个严重严重的漏洞,该漏洞允许攻击者通过计划的安全扫描策略以其他用户的身份运行管道。GitLab是一个流行的基于网络的开源软件项目管理和工作跟踪平台,提供免费和商业版本。该缺陷被指定为 CVE-2023-4998(CVSSv3.1评分:9.6),影响 GitLab社区版(CE)和企业版(EE)版本13.12至16.2.7以及版本16.3至 16.3.4。该问题是由安全研究员兼bug猎人Johan Carlsson发现的,GitLab称该问题是对CVE-2023-3932中严重问题的绕过,该问题已于8月修复。研究人员发现了一种克服已实施的保护措施的方法,并展示了将缺陷的严重程度提高到严重程度的额外影响。在用户不知情或没有权限的情况下冒充用户来运行管道任务(一系列自动化任务)可能会导致攻击者访问敏感信息或滥用被冒充用户的权限来运行代码、修改数据或触发GitLab系统内的特定事件。考虑到GitLab是用来管理代码的,这种妥协可能会导致知识产权丢失、破坏性数据泄露、供应链攻击和其他高风险场景。GitLab的公告强调了该漏洞的严重性,敦促用户立即应用可用的安全更新。
https://www.bleepingcomputer.com/news/security/gitlab-urges-users-to-install-security-updates-for-critical-pipeline-flaw/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement