20230928-5th域安全微讯早报-No.232
网络空间安全对抗资讯速递
2023年9月28日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-232 星期四
今日热点导读
1、国土安全部将主办拉丁美洲网络峰会
2、RICO针对H&R Block、谷歌、Meta提起数据隐私集体诉讼
3、新的GPU侧信道攻击允许恶意网站窃取数据
4、MITRE推出后量子密码学联盟以促进商业开源技术的采用
5、Nozomi研究人员发现Bently Nevada 3500机架模型漏洞
6、假冒Bitwarden网站推送新的ZenRAT口令窃取恶意软件
7、被盗的GitHub凭证用于推送虚假的Dependabot
8、配置错误的TeslaMate实例使特斯拉车主面临风险
9、英国监管机构提醒家庭暴力受害者个人数据泄露风险
10、中央情报局实施人工智能系统来分析开放数据
11、太空通信取得突破:BADGER天线成功通过首次测试
12、数字天空:无人机成为网络战新战场
13、网络中断使大众汽车陷入瘫痪
14、数以百万计的包含潜在敏感信息的文件在网上暴露
资讯详情
1、国土安全部将主办拉丁美洲网络峰会
美国国土安全部本周将与拉丁美洲领导人召开首次网络安全峰会,拉丁美洲已日益成为犯罪数字活动和中国影响力活动的温床。为期两天的“西半球网络会议”将于周三(27日)开幕,将有近二十几个国家参加,会议的灵感来自去年年底国土安全部部长亚历杭德罗·马约卡斯访问厄瓜多尔,他亲眼目睹了该国“正处于开发网络安全协议的非常形成阶段。”马约卡斯周二(26日)表示:“我会见了厄瓜多尔网络安全机构的负责人,这是一个非常新兴的机构,我回国后意识到,厄瓜多尔在满足加速网络安全工作的需要方面所经历的情况与其他拉丁美洲国家一样。”在与记者举行的虚拟网络研讨会上。此次会议召开之前,该地区遭受了重大网络攻击,尤其是在哥斯达黎加,臭名昭著的数字犯罪团伙Conti发起的勒索软件攻击导致该国的医疗、政府和商业系统瘫痪。
https://therecord.media/dhs-to-host-latin-american-cyber-summit
2、RICO针对H&R Block、谷歌、Meta提起数据隐私集体诉讼
周三(27日),一名获得对孟山都公司近9000万美元赔偿的庭审律师对H&R Block提起诉讼,指控这家税务准备公司与Meta和谷歌合作,在其网站上嵌入“间谍软件”,从抓取的纳税申报表数据中获利。集体诉讼称,这三家公司的联合行为应被视为一种“大规模”敲诈勒索行为。总部位于洛杉矶的Wisner Baum管理合伙人R. Brent Wisner根据《诈骗影响和腐败组织法案》(RICO) 提起诉讼,该法案通常适用于有组织犯罪。该公司表示,这是H&R Block案件中的第一起RICO集体诉讼。该诉讼向加州联邦法院提起,称税务师和科技巨头未能充分提醒消费者他们的数据正在被出售,并制定了一个“全面计划”来欺骗客户并分享他们的数据“以获取自己的经济利益,破坏了消费者的利益”。
https://therecord.media/rico-class-action-lawsuit-hr-block-google-meta
3、新的GPU侧信道攻击允许恶意网站窃取数据
来自美国多所大学的一组研究人员表示,几乎所有现代图形处理单元(GPU)都容易受到新型旁道攻击的影响,这种攻击可被用来获取敏感信息。这种名为GPU.zip的新攻击方法是由德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的代表发现并详细介绍的。GPU.zip攻击利用基于硬件的图形数据压缩,这是现代GPU的一种优化,旨在提高性能。“GPU.zip利用软件透明的压缩方式。这与之前的压缩侧通道形成对比,后者由于软件可见的压缩使用而泄漏,并且可以通过在软件中禁用压缩来缓解泄漏,”研究人员解释道。与最近披露的许多其他侧通道攻击不同,这些攻击需要对目标设备进行某种访问,GPU.zip可以通过引诱目标用户访问恶意网站来利用。通过这种攻击,攻击者的站点可以窃取受害者同时访问的其他网站的数据。
https://www.securityweek.com/new-gpu-side-channel-attack-allows-malicious-websites-to-steal-data/
4、MITRE推出后量子密码学联盟以促进商业开源技术的采用
非营利组织MITRE周二(26日)宣布成立后量子密码(PQC)联盟,以推动对PQC和美国国家科学技术研究院 (NIST)PQC算法的更广泛理解和公众采用。PQC联盟由技术专家、研究人员和专家从业者组成,其创始联盟成员包括IBM Quantum、微软、MITRE、PQShield、SandboxAQ和滑铁卢大学。PQC联盟将运用其集体技术专长和影响力,促进全球在商业和开源技术中采用PQC。联盟成员将贡献自己的专业知识,以推动和推进可互操作的标准和技术方法,并作为知识渊博的专家向前迈进,提供关键的外展和教育。MITRE补充说,将与NIST以及国家网络安全卓越中心的PQC迁移项目并行工作,使技术成熟并为后量子过渡做好生态系统准备。
https://industrialcyber.co/threat-landscape/mitre-launches-post-quantum-cryptography-coalition-to-boost-adoption-in-commercial-open-source-technologies/
5、Nozomi研究人员发现Bently Nevada 3500机架模型漏洞
Nozomi Networks实验室的研究人员发现Bently Nevada 3500机架模型中存在三个漏洞(CVE-2023-34437、CVE-2023-34441和CVE-2023-36857),攻击者可以利用这些缺陷绕过身份验证。其中一个漏洞可能允许攻击者绕过身份验证过程,并通过制作和发送恶意请求来获得对设备的完全访问权限。由于遗留限制,未计划开发补丁,因此自愿省略了技术细节。Bently Nevada 3500系统通常用于持续监控关键参数。例如用于预测和预防工业机械中的机械故障的振动、温度和速度指示器。这三个漏洞是在一项由 Baker Hughes制造的本特利内华达机械保护系统的研究项目中发现的,Baker Hughes是一家为能源和工业公司开发和部署技术解决方案的公司。
https://industrialcyber.co/news/nozomi-researchers-find-bently-nevada-3500-rack-model-vulnerabilities-allowing-authentication-bypass-by-hackers/
6、假冒Bitwarden网站推送新的ZenRAT口令窃取恶意软件
假冒Bitwarden网站正在推送据称是开源口令管理器的安装程序,该管理器携带一种新的口令窃取恶意软件,安全研究人员将其称为ZenRAT。该恶意软件通过模仿合法Bitwarden网站的网站分发给Windows用户,并依靠误植来愚弄潜在受害者。ZenRAT的目的是收集浏览器数据和凭据以及有关受感染主机的详细信息,这种行为与信息窃取者一致。网络犯罪分子可以使用这些详细信息创建受感染系统的指纹,该指纹可用于访问帐户,就像合法用户登录一样。网络安全公司Proofpoint的安全研究人员在8月份收到Malwarebytes威胁情报高级总监Jérôme Segura提供的恶意软件样本后发现了ZenRAT。在假冒的Bitwarden 装包中,Proofpoint研究人员发现了一个恶意 .NET可执行文件,它是一种远程访问木马 (RAT),具有信息窃取功能,他们现在将其跟踪为ZenRAT。
https://www.bleepingcomputer.com/news/security/fake-bitwarden-sites-push-new-zenrat-password-stealing-malware/
7、被盗的GitHub凭证用于推送虚假的Dependabot
应用安全公司Checkmarx报告称,据观察,威胁行为者将虚假的Dependabot贡献推送到数百个GitHub存储库,以注入恶意代码。该活动于7月被发现,它依靠被盗的GitHub个人访问令牌来访问存储库并推送代码,以窃取项目中的敏感信息和最终用户的口令。为了逃避检测,攻击者伪造提交消息,使它们看起来像是由Dependabot生成的,Dependabot是GitHub的免费自动化依赖关系管理工具,可帮助软件开发人员识别和解决代码中的漏洞。Dependabot持续扫描项目的依赖项,并在发现问题时生成拉取请求。然而,更新请求需要用户确认。作为观察到的活动的一部分,攻击者创建了一条提交消息“修复”,该消息似乎是由“dependabot[bot]”用户帐户贡献的,欺骗开发人员相信这些提交来自GitHub的工具。
https://www.securityweek.com/stolen-github-credentials-used-to-push-fake-dependabot-commits/
8、配置错误的TeslaMate实例使特斯拉车主面临风险
物联网安全情报公司Redinent报告称,配置错误的TeslaMate实例可能会在互联网上泄露大量数据,从而可能使特斯拉汽车及其驾驶员面临恶意攻击。TeslaMate是一款第三方数据记录应用程序,它依靠Tesla API来检索有关Tesla汽车的各种类型的信息,以便用户在计算机上使用这些信息。Redinent发现,虽然该应用程序是跟踪汽车数据的绝佳工具,但如果配置不当,也会带来重大风险。通过搜索带有“teslamate configure”标签的图像,可以在线找到有关该应用程序的各种类型的信息,但攻击者还可以使用专门的搜索引擎和特定查询来识别错误配置的 TeslaMate 实例并在未经授权的情况下访问信息。使用Censys的搜索服务,Redinent已识别出1,400多个配置错误的实例,这些实例允许在未经身份验证的情况下进行访问。该安全公司表示,攻击者可以执行此操作来访问汽车的实时位置,检查车辆是否锁好以及驾驶员是否在场,甚至使在线汽车进入睡眠状态。
https://www.securityweek.com/misconfigured-teslamate-instances-put-tesla-car-owners-at-risk/
9、英国监管机构提醒家庭暴力受害者个人数据泄露风险
英国信息专员办公室(ICO)作为该国的数据保护监管机构,已提醒处理个人身份信息(PII)的组织注意家庭暴力受害者个人数据泄露的风险。此类违法行为可能使人们的生命面临非常现实的风险。在过去14个月中,ICO谴责了7个违反机密信息的组织。其中包括律师事务所、住房协会、健康信托、国务院、地方议会和警察部门。在已发现的案例中:组织向被告披露受害者的安全地址的四种情况。在一个案例中,受影响的家庭必须立即搬迁。试图了解其伴侣信息的女性的身份被意外泄露给这些伴侣。向因强奸案而正在服刑的两名收养儿童的亲生父亲透露家庭住址。向母亲的前伴侣发送未经编辑的报告,其中包含有关处于危险中的儿童的机密信息。信息专员办公室声称,大多数案件是由于缺乏适当的工作人员培训和使用不可靠的数据处理程序造成的。
https://www.securitylab.ru/news/542212.php
10、中央情报局实施人工智能系统来分析开放数据
据彭博社报道,美国中央情报局(CIA)正准备推出一款类似ChatGPT的新人工智能工具,以简化开源数据的收集。这一步骤旨在提高分析师在研究开放情报数据过程中的效率。计划不仅向中央情报局雇员提供这一创新工具,还向其他美国情报机构提供。据报道,鉴于来自中国的竞争,人工智能工具计划是美国政府为利用人工智能的力量而采取的更广泛行动的一部分,中国的目标是到2030年成为该领域的全球领导者。中央情报局部门主管兰迪·尼克松表示,新的中央情报局工具将允许用户查看他们正在查看的信息的原始来源。“然后你可以进入下一个级别,开始与机器沟通并向机器提问,机器会给你答案,这些答案也是从[公开]来源获得的,”他补充道。没有具体说明新开发将采用哪种模型以及如何保护信息不进入开放互联网。不过,值得注意的是,中央情报局近年来一直在积极扩大与科技部门的合作伙伴关系。该工具将可供美国情报界的18个机构使用,包括联邦调查局和国家安全局。但是,它不会向政客或公众公开。
https://www.securitylab.ru/news/542206.php
11、太空通信取得突破:BADGER天线成功通过首次测试
弗吉尼亚州初创公司BlueHalo在测试新天线系统方面达到了一个重要里程碑,该系统旨在使美国太空部队老化的卫星控制网络(SCN)现代化。称为BADGER的相控天线系统有望成为SCN的关键升级。SpRCO战略能力快速采购办公室的Greg Hoffman上校表示,BADGER的首次演示测试于8月底进行,“标志着可操纵相控天线模块和软件的首次端到端测试”。负责管理该项目的独立太空快速能力办公室(SpRCO)负责人凯利·哈米特(Kelly Hammett)表示,第一台装置将于2025年春季交付。他还指出,鉴于SCN现代化的迫切需要,正在考虑加速部署新天线的可能性。SCN主要支持发射和早期卫星操作、跟踪和控制卫星,并为军方、NASA和国家海洋和大气管理局(NOAA)拥有的不稳定和丢失的卫星提供紧急支持。该网络包括分布在全球七个地点的19个天线和地面系统。相控天线可以同时联系多颗卫星。BADGER采用“多频段软件定义天线(MSDA)”技术,允许一次同时与10颗以上卫星联系。
https://www.securitylab.ru/news/542179.php
12、数字天空:无人机成为网络战新战场
Securonix威胁实验室的一份新报告详细介绍了StarkVortex网络攻击的机制。攻击者正在使用创新策略,使用无人机控制指令作为诱饵来传播MerlinAgent恶意软件。攻击从发送电子邮件开始,其中包含免费学习无人机飞行指南的邀请。诱饵文件是一个名为“军队无人机训练信息”的Microsoft帮助文件(CHM 文件)。通常,此文件格式 (.chm) 用于提供软件使用说明和建议。当用户打开文档时,攻击就会展开:嵌入HTML页面的恶意JavaScript代码块被激活,运行混淆的PowerShell代码。该代码反过来与远程命令和控制服务器(C2)通信,启动混淆的二进制数据的下载。然后,使用XOR对二进制文件进行混淆处理并进行解码,为MerlinAgent恶意软件创建信标有效负载。从与C2服务器建立连接的那一刻起,攻击者就获得了对受害者主机的完全控制。尽管攻击链看似简单,但其技术实现和混淆方法复杂,难以检测。研究人员指出:攻击中使用的文件和文档成功绕过了安全机制,并且任何防病毒扫描程序都没有检测到恶意.chm 文件。
https://www.securitylab.ru/news/542196.php
13、网络中断使大众汽车陷入瘫痪
德国媒体27日报道称,IT故障导致大众汽车集团的中央基础设施瘫痪。公司发言人证实,几家工厂的生产已陷入停滞。《商报》此前曾报道过。公司已召集危机小组。公司发言人晚间表示:“我们可以确认沃尔夫斯堡地点的网络组件出现IT故障。该故障自中午12点30分以来就已存在,目前正在分析中。” 这对汽车生产厂有影响。大众表示,根据目前的分析情况,外部攻击不太可能是系统故障的原因。目前还无法估计问题何时得到解决以及生产何时能够重新开始。根据公司信息,沃尔夫斯堡、埃姆登、奥斯纳布吕克和茨维考的主工厂目前生产处于停滞状态。卡塞尔、布伦瑞克和萨尔茨吉特的零部件工厂也受到影响。沃尔夫斯堡总部的办公室目前也没有任何动静。奥迪发言人晚间证实,大众子公司奥迪也受到了IT中断的影响。
14、数以百万计的包含潜在敏感信息的文件在网上暴露
Censys 的一项调查发现,有314,000个不同的互联网连接设备和Web服务器具有开放目录列表。9月27日发布的一项分析发现,数千台计算机和其他连接互联网的设备无意或有意地在互联网上暴露了数百万个包含潜在敏感数据的文件,使得这些数据可以通过多种方式被发现并可能被利用。Censys是一项对连接到互联网的设备及其正在运行的服务进行索引的服务,其研究人员最近通过开放目录列表和至少一个文件对近314,000个不同的互联网连接设备和Web服务器建立了索引。然后扫描仪记录下文件名、路径、文件大小和最后修改时间戳,创建该公司所谓的“互联网上所有开放目录的最全面的数据库之一”。例如,分析发现数百台设备包含数据库备份,以及“为数百万个具有常见电子表格文件扩展名的文件提供服务”的设备。对电子表格文件名的检查显示,有9,000多个文件名表明与财务数据相关,以及数千个其他文件,这些文件可能包含身份验证和凭据数据、网络数据包捕获文件等。Censys研究人员指出,他们没有查看文件的内容,只是做了足够的尝试来揭露问题的当前状态。
https://cyberscoop.com/open-directories-exposed-files/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement