20230922-5th域安全微讯早报-No.227
网络空间安全对抗资讯速递
2023年9月22日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-227 星期五
今日热点导读
1、乌克兰黑客疑似“免费下载管理器”恶意软件攻击幕后黑手
2、FBI、CISA对“Snatch”勒索软件即服务发出联合警告
3、机器人攻击每年造成的损失翻倍至8600万美元
4、网络组织“Gold Melody”向勒索软件攻击者出售受损的访问权限
5、T-Mobile应用程序故障让用户查看其他人的帐户信息
6、人工智能正在改变全球劳动力市场
7、“印度硅谷”深陷网络犯罪泥潭
8、新能源革命:中国电池可能改变军事冲突进程
9、勒索软件的网络保险索赔创历史新高
10、人工智能编码已可供更多开发人员使用
11、苹果应对威胁:三个新零日漏洞的紧急补丁
12、罗克韦尔报告关键基础设施网络攻击激增
13、爱沙尼亚Elron铁路票务系统因网络攻击而瘫痪
14、新的“Sandman”APT组织利用罕见的LuaJIT恶意软件攻击电信公司
15、思科将以280亿美元收购Splunk
资讯详情
1、乌克兰黑客疑似“免费下载管理器”恶意软件攻击幕后黑手
Free Download Manager (FDM)的维护者承认发生了一次可追溯至2020年的安全事件,导致其网站被用来分发恶意Linux软件。该公司在上周的警报中表示:“我们网站上的一个特定网页似乎已被乌克兰黑客组织破坏,并利用该网页传播恶意软件。” “只有一小部分用户,特别是那些在2020年至2022年间尝试下载Linux版FDM的用户,可能会受到影响。”据估计,只有不到 0.1% 的访问者遇到过这个问题,这可能就是这个问题至今未被发现的原因。在此披露之际,卡巴斯基透露该项目的网站在2020年的某个时候被渗透,将试图下载该软件的特定Linux用户重定向到托管Debian软件包的恶意网站。该软件包进一步配置为部署基于DNS的后门,并最终为能够从受感染系统收集敏感数据的Bash窃取恶意软件提供服务。FDM表示,其调查发现其网站上的一个脚本存在漏洞,黑客利用该漏洞篡改下载页面,并将网站访问者引导至托管恶意.deb文件的虚假域名deb.fdmpkg[.]org。
https://thehackernews.com/2023/09/ukrainian-hacker-suspected-to-be-behind.html
2、FBI、CISA对“Snatch”勒索软件即服务发出联合警告
美国联邦调查局 (FBI)和美国网络安全与基础设施安全局(CISA)的网络安全咨询通常很好地表明,某个特定威胁值得目标组织优先关注。“Snatch”就是这种情况,这是一种勒索软件即服务(RaaS)操作,至少自2018年以来一直活跃,并且是这两个机构本周发出警报的主题。该警报警告称,威胁行为者针对广泛的关键基础设施部门,包括IT部门、美国国防工业基地以及粮食和农业垂直领域,最近的攻击发生在6月份。该咨询指出:“自2021年中期以来,Snatch威胁行为者不断发展其策略,以利用网络犯罪领域的当前趋势,并利用其他勒索软件变体操作的成功。” “据观察,Snatch威胁行为者从其他勒索软件变种购买了之前被盗的数据,试图进一步利用受害者支付赎金,以避免他们的数据在Snatch的勒索博客上发布。”Snatch是一种恶意软件,值得注意的是它如何在攻击链中途强制Windows系统重新启动到安全模式,从而可以在不被防病毒工具(通常不在安全模式下运行)检测到的情况下加密文件。
https://www.darkreading.com/attacks-breaches/fbi-cisa-issue-joint-warning-on-snatch-ransomware-as-a-service
3、机器人攻击每年造成的损失翻倍至8600万美元
根据Netacea的一份新报告,美国和英国的典型企业每年都会因恶意机器人攻击而损失超过4%的在线收入。该公司的《十亿机器人之死》报告是根据对美国和英国旅游、娱乐、电子商务、金融服务和电信行业440家平均在线收入为19亿美元的企业的调查而编制的。研究发现,平均公司每年因机器人攻击损失8560万美元,而2020年每家企业损失3330万美元。Netacea认为,这远远高于平均赎金或 GDPR罚款。大多数(53%)攻击来自俄罗斯或瓷国,近一半 (48%) 的受访者还看到来自越南端点的攻击,尽管这些威胁的来源可能是其他国家的攻击者。大多数 (65%) 针对移动设备,其次是网站(63%)和 API(40%)。威胁似乎越来越严重:99%检测到自动攻击的公司表示,他们发现攻击量有所增加,其中13%的公司声称增长“显著”。同样常见的还有帐户检查器攻击 (45%)、抓取机器人(33%)、礼品卡破解器(30%) 和黄牛机器人 (29%)。不幸的是,这些攻击通常会持续数月才被发现。Netace 计算出的平均“停留时间”为四个月,几乎所有 (97%) 的受访者表示,需要一个多月的时间才能响应恶意自动攻击。
https://www.infosecurity-magazine.com/news/bot-attack-costs-double-to-86m/
4、网络组织“Gold Melody”向勒索软件攻击者出售受损的访问权限
出于经济动机的威胁行为者已被揭露为初始访问经纪人(IAB),该经纪人向其他对手出售受感染组织的访问权限,以实施勒索软件等后续攻击。SecureWorks反威胁单位(CTU)将该电子犯罪组织称为Gold Melody,该组织也被称为Prophet Spider (CrowdStrike)和UNC961(Mandiant)。这家网络安全公司表示:“这个出于经济动机的组织至少从2017年起就一直活跃,通过利用未修补的面向互联网的服务器中的漏洞来危害组织。”“受害者学表明,这是为了经济利益而进行的机会主义攻击,而不是由国家支持的威胁组织进行的旨在从事间谍活动、破坏或破坏的有针对性的活动。”Gold Melody此前 曾与 JBoss Messaging (CVE-2017-7504)、Citrix ADC (CVE-2019-19781)、Oracle WebLogic(CVE-2020-14750 和 CVE-2020-14882)、GitLab(CVE-2020-14882)中的安全漏洞的攻击有关。CVE-2021-22205)、Citrix ShareFile Storage Zones Controller (CVE-2021-22941)、Atlassian Confluence (CVE-2021-26084)、ForgeRock AM (CVE-2021-35464 和Apache Log4j (CVE-2021-44228)服务器。据观察,截至2020年中期,该网络犯罪组织的受害者足迹已扩大到北美、北欧和西亚的零售、医疗保健、能源、金融交易和高科技组织。Mandian 在2023年3月发布的一份分析中表示,“在多个情况下,UNC961入侵活动先于不同后续行为者部署 Maze 和勒索软件。”
https://thehackernews.com/2023/09/cyber-group-gold-melody-selling.html
5、T-Mobile应用程序故障让用户查看其他人的帐户信息
9月21日,T-Mobile客户表示,他们在登录该公司的官方移动应用程序后可以看到其他人的帐户和账单信息。根据社交媒体上的用户报告,暴露的信息包括客户的姓名、电话号码、地址、账户余额以及信用卡详细信息,例如到期日期和最后四位数字。正如The Verge首次报道的那样,一些受此问题影响的客户在登录自己的帐户时可能会看到其他多 个人的敏感信息。虽然今天早些时候Reddit和Twitter 上开始出现大量报告,但一些T-Mobile 客户也声称他们在过去两周内一直遇到这种情况。两周前,当这个问题首次出现在Reddit上时,我就报告了这个问题,并将对方信息的照片发送给他们的安全团队。没有回应,但是哇,哇,”一位客户说道。另一位用户补充道:“我过去曾向T-Mobile代表提出过这个问题,以及当我的电话服务暂停时被转至地铁激活线路的问题。”T-Mobile 表示,此次事件并非网络攻击造成,其系统也没有遭到破坏。T-Mobile 表示该事件的影响有限,仅影响不到 100 人。
https://www.bleepingcomputer.com/news/security/t-mobile-app-glitch-let-users-see-other-peoples-account-info/
6、人工智能正在改变全球劳动力市场
世界经济论坛WEF的最新报告引起公众对全球劳动力市场急剧变化的关注。由于人工智能和其他相关技术的进步,预计未来五年全球23%的工作岗位将发生变化。大型语言模型(LLM)聊天机器人,例如ChatGPT,可以将某些工作的工作时间减少高达62%。这尤其会影响金融、IT、工程和媒体领域的专家。如果他们的职业没有完全消失,他们将会在人工智能的帮助下得到“改善”,或者雇主会开始要求他们的下属做更多的工作。世界经济论坛强调,虽然人工智能正在创造新的就业机会并扩大现有就业机会,但并不能绝对确定是否会在这方面创造新的就业机会。然而,“最安全”的工作预计是那些需要与人进行高度面对面互动的工作,例如教师或医护人员。不涉及语言任务的工作也不太可能受到人工智能快速发展的影响。世界经济论坛提供了一个矩阵,可以帮助专业人士评估他们的职业在未来五年内将如何应对人工智能的采用。该分析显示了哪些工作预计会减少或增长,以及语言模型引入的自动化或增强的水平。
https://www.securitylab.ru/news/542009.php
7、“印度硅谷”深陷网络犯罪泥潭
根据未来网络犯罪研究基金会 (FCRF)最近的一份报告 ,印度的网络犯罪已经持续三年半的时间上升 。详细分析显示,印度IT产业主要中心班加罗尔和古尔冈等城市也成为网络攻击的最大受害者。FCRF确定了印度最容易发生网络犯罪的10个地区。脆弱性因素包括靠近大城市、网络安全不足、社会经济问题和人口数字素养较低。古尔冈被誉为企业和IT中心,占印度所有网络犯罪的8.1%,考虑到其数百个城市,这一数字相当高。专家将高犯罪率归因于该城市的地位,这使其成为网络诈骗者的有吸引力的目标。班加罗尔被称为“印度硅谷”,被描述为新兴的网络犯罪热点。该市是许多IT公司的所在地。印度几乎一半的网络犯罪都涉及通过当地支付系统UPI进行的欺诈。排在第二位的是银行卡和SIM卡替代欺诈。此外,出于经济动机的犯罪占所有事件的 77%。
https://www.securitylab.ru/news/542022.php
8、新能源革命:中国电池可能改变军事冲突进程
根据《军事工程科学大学学报》9月份发表的一项研究,中国已经开发出世界上最强大的高能武器电池,可以在该国的许多锂离子电池工厂进行批量生产。科学家表示,这一突破是在中国蓬勃发展的汽车工业的直接参与下实现的,并推动了下一代武器的开发,提高了中国军队的能力。40165电池可能是世界上第一个能够像超级电容器一样快速释放能量的电池。该项目由电子科技大学杨家伟副研究员领导,并得到了美国政府的认可。中国是最大的电动汽车制造商,在锂离子电池技术方面处于世界领先地位。中国品牌在全球电动汽车供应链中占据主导地位,全球超过四分之三的电池产能位于中国。该电池采用革命性的设计,实现了以前认为不可能的破纪录的功率水平。大多数市售锂离子电池的功率输出有限,并且需要至少一个小时才能释放所有存储的能量。然而,科学家声称40165电池可以在12-36秒内释放全部能量,充满电只需三分钟。该电池利用现有生产设备和成熟的原材料供应链开发,适合以相对较低的成本进行批量生产。它将成为需要高功率武器的轻型紧凑动力源。中国已经在建造此类未来武器,包括世界上最强大的军舰雷达,能够探测4500多公里以外的导弹。
https://www.securitylab.ru/news/542000.php
9、勒索软件的网络保险索赔创历史新高
网络保险提供商Coalition的一份新报告显示,由于勒索软件和资金转移欺诈 (FTF) 显著激增,今年前六个月网络索赔增加了12%。收入超过1亿美元的公司的索赔数量增幅最大 (20%),攻击造成的损失也更大,与 2022年下半年相比,索赔严重程度增加了72%。Coalition事件响应负责人克里斯·亨德里克斯 (Chris Hendricks) 表示:“网络威胁形势变得更加不稳定,因此,我们发现索赔比以往任何时候都更加昂贵和普遍。” “为了帮助防止这些代价高昂的破坏性事件,组织需要在改善安全防御方面发挥积极作用,并将风险管理作为重中之重。幸运的是,他们不需要单独做到这一点:与 Coalition这样的合作伙伴一起,组织可以获得在事件发生之前、期间和之后提供支持。”2023年上半年勒索软件索赔比2022年下半年增长了27%。索赔严重程度也创历史新高,比上半年增加61%,比去年增加117%。网络犯罪分子的赎金要求也有所增加,平均赎金要求为162万美元,比前六个月增加了44%,比去年增加了74%。除其他发现外,2023年上半年FTF索赔频率增加了15%,FTF严重程度增加了39%,平均损失超过297,000美元。
https://betanews.com/2023/09/21/cyber-insurance-claims-for-ransomware-reach-record-high/
10、人工智能编码已可供更多开发人员使用
微软旗下的GitHub已开始向越来越多的用户提供其人工智能编程聊天机器人Copilot 。该工具于7月份针对企业用户推出了公测版,就在20日,GitHub宣布在Visual Studio和VSCode中针对个人用户推出Copilot的公测版。GitHub Copilot 允许用户在编写代码时向AI助手寻求帮助。GitHub博客称,“团队和个人现在可以使用GitHub Copilot学习新语言或框架、修复错误或用简单、自然的语言回答编码问题——所有这些都无需离开IDE 。”对于那些还不是订阅者并想尝试此功能的人来说,Copilot在GitHub上的个人用户计划的费用为每月10美元或每年100美元。近几个月来,帮助编程的人工智能聊天机器人变得非常流行。例如,谷歌在5月份为Android开发人员推出了自己的聊天机器人,亚马逊也提供了名为CodeWhisperer的类似工具。
https://www.securitylab.ru/news/542006.php
11、苹果应对威胁:三个新零日漏洞的紧急补丁
Apple发布了紧急安全更新,以解决用于攻击iPhone和Mac用户的三个新的零日漏洞。今年该公司已经修复了16个此类漏洞。在WebKit浏览器引擎(CVE-2023-41993)和安全框架(CVE-2023-41991)中发现了两个漏洞 。这些漏洞允许攻击者使用恶意应用程序绕过签名验证或通过特制网页执行任意代码。第三个漏洞是在内核框架中发现的,该框架提供API以及对内核扩展和设备驱动程序的支持。本地攻击者可以利用此缺陷(CVE-2023-41992)来升级权限。Apple已解决macOS 12.7/13.6、iOS 16.7/17.0.1、iPadOS 16.7/17.0.1和watchOS 9.6.3/10.0.1中的所有三个漏洞,解决了证书验证问题并引入了改进的检查。这三个漏洞均由多伦多大学公民实验室的Bill Marczak和Google 威胁分析小组的 Maddie Stone发现并报告。公民实验室和谷歌威胁分析小组此前披露了用于对高风险个人(包括记者、反对派政客和持不同政见者)进行有针对性的间谍攻击的零日漏洞。公民实验室还披露了苹果在本月早些时候的紧急安全更新中解决的另外两个漏洞(CVE-2023-41061和CVE-2023-41064)。
https://www.securitylab.ru/news/542045.php
12、罗克韦尔报告关键基础设施网络攻击激增
罗克韦尔自动化发布的新研究发现,工业领域约60%的网络攻击是由国家附属实体策划的,约33%的情况是内部人员无意间促成了这些攻击。初步研究报告的结果表明,40%的网络攻击导致未经授权的访问或数据泄露。该研究与之前的行业研究一致,这些研究表明OT/ICS安全事件的数量和频率呈上升趋势,特别是针对能源生产商等重要基础设施。罗克韦尔的研究题为“工业运营中100多起网络安全事件剖析”,揭示过去三年的OT/ICS网络安全事件已经超过1991年至2000年期间报告的总数。黑客最集中在能源行业(占攻击的39%),是第二个最常受攻击的垂直行业、关键制造行业(11%)和运输行业(10%)的三倍多。罗克韦尔透露:“正如充分报道的那样,巨大影响力的潜力为勒索软件支付和敌对民族国家目标创造了更多机会。在大多数报告的事件中,能源、关键制造、水处理和核设施属于受到攻击的关键基础设施行业。
https://industrialcyber.co/reports/rockwell-reports-surge-in-cyberattacks-on-critical-infrastructure-intense-focus-on-energy-sector/
13、爱沙尼亚Elron铁路票务系统因网络攻击而瘫痪
当地时间周三(9月20日)下午,国家铁路公司Elron的火车票销售因网络攻击而中断。Elron发言人Kristo Mäe当时表示:“在情况得到解决之前,由于技术原因,在火车上仍然无法购票,乘客可以免费乘车”,并补充说,携带现金的乘客可以使用这意味着在车上时向列车乘务员购买。“埃尔隆对给乘客带来的不便表示歉意,”梅补充道。火车终点站、火车本身以及埃尔隆在线环境内的销售都受到干扰。票务系统由一家名为Rindago的公司提供,截至周三下午,该公司正在努力解决这一问题。Ridango的系统遭受了分布式拒绝服务(DDoS)攻击,攻击期间有人试图阻止我们的应用程序并使服务器超载,从而导致外部服务无法访问。直到周四中午才恢复正常。爱沙尼亚信息系统管理局(RIA)事件响应(CERT-EE)部门负责人Tõnu Tammer表示,除了运输公司外,地方当局也成为目标。据称亲俄黑客组织可能是事件的幕后黑手。
https://news.err.ee/1609108433/ria-on-elron-cyberattack-it-is-likely-that-it-will-happen-again
14、新的“Sandman”APT组织利用罕见的LuaJIT恶意软件攻击电信公司
根据SentinelLabs和QGroup GmbH的联合调查,发现一个新的神秘APT组织以欧洲和亚洲的电信服务提供商为目标,这似乎是网络间谍活动的一部分。SentinelLabs研究员Aleksandar Milenkoski表示,影子APT组织正在使用基于Lua的复杂模块化后门,Lua是一种轻量级跨平台编程语言,主要为应用程序中的嵌入式使用而设计。Milenkoski表示:“Sandman利用LuaJIT平台部署了一种新颖的模块化后门,这在威胁环境中相对罕见。”他指出,整个行动的特点是谨慎和深思熟虑的方法:受感染网络内的最小化和战略性移动,以及更大的目标是尽量减少检测风险。这个被标记为“Sandman”的高级威胁攻击者已将目标瞄准了中东、西欧和南亚次大陆的电信提供商。在LABScon安全会议上的演讲中,Milenkoski解释说,该组织正在使用一种名为LuaDream的恶意软件,该恶意软件能够窃取系统和用户信息,为额外的精确攻击铺平道路。目前很难确定APT组织的身份。
https://www.securityweek.com/new-sandman-apt-group-hitting-telcos-with-rare-luajit-malware/
15、思科将以280亿美元收购Splunk
思科周四(21日)宣布,已达成最终协议,收购数据分析、安全和可观测性解决方案提供商Splunk(纳斯达克股票代码:SPLK),交易价值280亿美元。这家网络巨头准备以每股157美元的现金收购Splunk,收购预计将在2024年第三季度末完成。思科表示,这笔交易将有助于加速收入增长和毛利率扩张。收购完成后,Splunk总裁兼首席执行官加里·斯蒂尔 (Gary Steele)将加入思科的执行团队,并向思科首席执行官兼董事长查克·罗宾斯 (Chuck Robbins)汇报。Splunk的人工智能、安全性和可观察性功能补充了思科的产品。“与思科的联合代表了Splunk发展历程的下一阶段,加速了我们帮助全球组织变得更有弹性的使命,同时为我们的股东提供直接且引人注目的价值,”斯蒂尔说。Robbins评论道:“我们很高兴能够将Cisco和Splunk结合在一起。我们的综合能力将推动下一代人工智能安全性和可观察性。从威胁检测和响应到威胁预测和预防,我们将帮助各种规模的组织变得更加安全和有弹性。”
https://www.securityweek.com/cisco-boosts-cybersecurity-capabilities-with-28-billion-splunk-acquisition/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement