20231006-5th域安全微讯早报-No.239
网络空间安全对抗资讯速递
2023年10月6日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-239 星期五
今日热点导读
3、欧盟委员会呼吁成立欧盟空间信息共享与分析中心(ISAC)4、“战争没有规则”:黑客活动人士蔑视红十字会的新指导方针5、Qakbot黑客现在正在推销Cyclops/Ransom Knight勒索软件6、马达加斯加在水坑袭击中向公民投放掠夺者间谍软件7、比利时情报部门正在监控阿里巴巴运营的物流中心8、索尼确认最近两次黑客攻击中数据被盗9、GitHub通过扩展令牌有效性检查改进秘密扫描功能10、端点安全黑莓将拆分网络安全和物联网业务部门11、思科发布紧急补丁以修复紧急响应系统中的严重缺陷12、Group-IB:“GoldDigger”银行木马针对越南组织
资讯详情
1、美国国土安全部将发布关键基础设施的人工智能指南
美国国土安全部为帮助保护美国关键基础设施制定最佳网络安全实践所做的努力已扩大到涵盖新兴技术,并即将发布有关如何利用人工智能技术的指南。美国国土安全部政策办公室副部长罗伯特·西尔弗斯(Robert Silvers)在关键基础设施技术研究所的AI DC 2023简报会上讨论了人工智能和机器学习系统可为国家安全带来的好处,并承认护栏有限的新兴技术所伴随的风险。Silvers表示,国土安全部的首要任务是充当“先锋”,建立监管框架,以确保该机构内外安全、合乎道德地使用人工智能。“[人工智能]可以是一件美妙的事情,但你还可以做更多的工作来确保它为美国人民负责任和安全地完成,”他说。“这就是我们采取的方法。”为了促进这一目标,西尔弗斯表示,国土安全部正在努力为关键基础设施公司制定有关如何在其运营中安全部署人工智能解决方案的指南。即将发布的指南的范围将解决如何成功审核前端和后端系统、何时将人员纳入自动化流程以及如何缓解广泛的严重系统故障。
https://www.nextgov.com/artificial-intelligence/2023/10/dhs-release-ai-guidance-critical-infrastructure/390979/
2、NSA-CISA报告提供IAM指导,解决威胁关键基础设施、国家安全系统的风险
美国国家安全局(NSA)与网络安全和基础设施安全局(CISA)以及行业合作伙伴合作,于周三(10月4日)发布了一份网络安全技术报告(CTR)。NSA-CISA文档为多重身份验证(MFA)和单点登录(SSO)技术的开发人员和供应商提供身份和访问管理(IAM)指南,并提供可操作的建议,以应对其产品中的关键挑战。CTR概述了各种挑战,包括MFA术语的模糊性;安全属性不明确;MFA依赖于用户自行注册和“一次性注册代码流”,以及SSO功能和复杂性之间的权衡。它还涵盖了整个身份生态系统标准的必要改进;用于现有架构和遗留应用程序之间集成的知识库;SSO功能通常与高端企业功能捆绑在一起,导致中小型企业无法使用它们。新的NSA-CISA报告“身份和访问管理的开发人员和供应商挑战”指出,为了加强身份验证过程,MFA要求用户提供不同类别或“因素”中的多个元素,作为身份验证尝试的一部分。“这些因素是你所拥有的东西、你所知道的东西以及你所是的东西。”
https://industrialcyber.co/identity-and-access-management-iam/nsa-cisa-report-offers-iam-guidance-addresses-risks-that-threaten-critical-infrastructure-national-security-systems/
3、欧盟委员会呼吁成立欧盟空间信息共享与分析中心(ISAC)
欧盟委员会在欧盟空间计划署(EUSPA)的支持下于周四(10月5日)发起了一项征集活动,征集建立和参与欧盟空间信息共享与分析中心(ISAC)的兴趣。该提案旨在通过欧盟太空ISAC提高其成员(包括大型工业集团)的意识和能力,加强欧盟太空部门的安全和复原力。还欢迎与欧盟航天部门相关的公共实体支持欧盟航天ISAC的创建。正如2023年3月在欧盟太空安全与防御战略(EUSSSD)中宣布的那样,还呼吁与欧盟太空部门相关的公共实体支持欧盟太空ISAC的创建。除其他活动外,它将充当信息共享中心,成员可以在此交换与安全事件和弹性措施相关的信息和最佳实践。EU Space ISAC将补充其他欧盟部门ISAC的网络,征集截止日期为2025年10月31日。欧盟委员会国防工业和航天总局的太空防御部门(创新和新航天部门)负责人纪尧姆·德拉布罗斯(Guillaume de La Brosse)表示,网络安全和弹性在欧洲航天公司的议程上越来越重要,太空基础设施越来越数字化,因此更容易受到网络安全事件的影响。此举也是欧盟太空安全与防御战略的明确表示。
https://industrialcyber.co/critical-infrastructure/european-commission-initiates-call-to-set-up-eu-space-isac-to-strengthen-security-resilience-of-space-sector/
4、“战争没有规则”:黑客活动人士蔑视红十字会的新指导方针
本周,红十字会发布了针对参与武装冲突的平民黑客的道德准则,引发了乌克兰和俄罗斯黑客活动分子的嘲笑。周三,亲乌克兰黑客组织Hdr0破坏了红十字会俄罗斯分会的网站,用自己的信息替换了主页内容。该消息在发布时已被删除,但黑客将其存档并分享。“战争中没有规则。红十字会沾满了我们被囚禁的士兵的鲜血和我们孩子的眼泪,无权提出任何建议或建立任何东西,”黑客在Telegram上的一份声明中表示。“我们将利用一切机会,使用一切可用手段对敌人造成最大伤害。”其他乌克兰黑客也有同样的感受。“红十字?我不在乎他们的要求,我什至不会考虑他们,”亲乌克兰黑客组织Cyber Anarchy Squad在Telegram 写道。“如果我想搞砸关键基础设施,我会尽一切努力搞砸它。”红十字会的指导方针包括八项“基于人道主义法的规则”,例如威胁平民或针对某些基础设施。
https://therecord.media/hacktivists-respond-to-red-cross-rules-with-ridicule
5、Qakbot黑客现在正在推销Cyclops/Ransom Knight勒索软件
据安全研究人员称,Qakbot恶意软件背后的黑客已将注意力转向分发勒索软件。就在这份报告发布几周前,美国、法国、德国、荷兰、英国、罗马尼亚和拉脱维亚的执法机构联手取缔了Qakbot——数量最多、运行时间最长的僵尸网络之一。这些机构不仅关闭了Qakbot的计算机基础设施,还主动从受感染的设备中删除了恶意软件。周四(10月5日),思科Talos的研究人员表示,尽管Qakbot恶意软件基础设施已被拆除,但其背后的黑客仍能够保持其分发工具完好无损,现在利用它们来传播Cyclops/Ransom Knight勒索软件的变体以及后门恶意软件。研究人员表示,恶意文件的名称表明勒索软件正在使用网络钓鱼电子邮件进行分发,这与过去Qakbot活动中使用的策略相匹配。一些文件名是用意大利语编写的,据此思科Talos研究人员认为欧洲人成为了攻击目标。他们表示:“Qakbot恶意软件背后的威胁行为者自2023年8月初以来一直在开展活动,通过网络钓鱼电子邮件分发Ransom Knight勒索软件和Remcos后门。”Talos评估Qakbot运营者仍然在持续工作,他们有可能选择重建 Qakbot基础设施。
https://therecord.media/qakbot-shift-ransomware-cyclops-ransom-knight
6、马达加斯加在水坑袭击中向公民投放掠夺者间谍软件
马达加斯加的政府部门(例如警察或国内情报部门)显然已购买并利用Predator在11月份总统选举之前进行国内政治监视。根据安全公司Sekoia的研究,这一行为是一次水坑攻击:下载间谍软件的链接被添加到包含取自马达加斯加报纸Midi Madagasikara的真实文章的WordPress博客中。该公司表示,任何寻找合法故事的人都可能会进入恶意页面并继续下载间谍软件。恶意链接已被URL缩短程序掩盖。该公司的其他评估显示,中东、非洲及其他地区的国家一直在使用Predator间谍软件来监视公民。特别是,它确定安哥拉政府部门使用了Predator,而哈萨克斯坦情报部门也购买并使用了该间谍软件。Sekoia表示,对与间谍软件相关的基础设施集群的主动检查发现,总共有121个活跃域名,包括安哥拉、埃及和波斯湾。Predator间谍软件由欧洲公司Cytrox开发,用于针对Android和Apple iOS操作系统。最近,人们发现它被用于针对埃及目标的零点击攻击。
https://www.darkreading.com/dr-global/madagascar-predator-spyware-citizens-watering-hole-attack
7、比利时情报部门正在监控阿里巴巴运营的物流中心
据报道,比利时情报部门正在监控中国科技巨头阿里巴巴运营的物流中心的运营,因为担心该公司可能使用软件收集敏感经济数据。据英国《金融时报》首先报道,该国国家安全局(VSSE)表示,它正在试图“侦查并打击可能进行的间谍活动和/或干扰活动”。阿里巴巴否认对英国《金融时报》有任何不当行为,并于2018年在列日货运机场(欧洲最大的此类机场之一)开设了物流中心,并已向该地区经济投资超过1亿欧元(1.05亿美元)。VSSE的声明警告说,阿里巴巴的存在构成了“关注点”。VSSE表示:“中国有意愿、也有能力将这些数据用于非商业目的。”据英国《金融时报》报道,阿里巴巴的电子世界贸易平台(EWTP)有关可能被利用,该软件可能被用来为中国提供有关西方供应链和漏洞的见解。
https://therecord.media/alibaba-china-alleged-spying-belgium-airport-logistics
8、索尼确认最近两次黑客攻击中数据被盗
索尼本周分享了有关最近两起无关的黑客攻击影响的信息,据信这些攻击是由几个已知的网络犯罪组织发起的。其中一起事件与索尼最近发起的调查有关,此前一个名为RansomedVC的相对较新的勒索软件组织声称已经破坏了该公司的所有系统并提出出售被盗数据。黑客最初公开展示其主张的屏幕截图似乎表明他们获得了源代码、索尼应用程序的访问权限和机密文件。然而,大多数内容似乎与索尼的Creators Cloud媒体制作解决方案有关,这表明他们的说法被夸大了。在周三更新的声明中,索尼告诉《安全周刊》,它一直在第三方取证专家的帮助下调查这些指控,并发现位于日本的一台服务器上存在未经授权的活动。被黑的服务器已用于该公司娱乐、技术和服务(ET&S)业务的内部测试。第二起事件与Cl0p勒索软件组织利用Progress Software的MOVEit托管文件传输(MFT)软件中的零日漏洞来访问数百个使用该产品的组织的文件的活动有关。索尼是第一批在Cl0p泄密网站上被列为MOVEit 黑客攻击受害者的大公司之一。该公司本周通知缅因州总检察长,近6,800人受到MOVEit攻击的影响。
https://www.securityweek.com/sony-confirms-data-stolen-in-two-recent-hacker-attacks/
9、GitHub通过扩展令牌有效性检查改进秘密扫描功能
软件开发巨头GitHub周三(10月4日)宣布增强其秘密扫描功能,现在允许用户检查主要云服务暴露凭证的有效性。秘密扫描功能自2023年3月起全面推出,旨在帮助组织和开发人员识别其存储库中可能暴露的秘密并立即采取行动。该功能得到了GitHub合作伙伴计划中大量服务提供商的支持,在检测到暴露的自托管密钥时向开发人员发送警报,并通知GitHub合作伙伴公共存储库中泄露的机密。开发人员和管理员可以对其所有存储库启用秘密扫描,以便在代码提交中无意中包含秘密时立即收到通知。为了帮助组织和开发人员更快地对警报进行分类并修复暴露的代币,GitHub在今年早些时候引入了对其自己的代币的有效性检查,从而无需检查每个暴露的代币是否处于活动状态。GitHub表示,现在代码托管平台正在将功能扩展到AWS、谷歌、微软和Slack代币。
https://www.securityweek.com/github-improves-secret-scanning-feature-with-expanded-token-validity-checks/
10、端点安全黑莓将拆分网络安全和物联网业务部门
加拿大科技巨头黑莓宣布计划拆分其网络安全和物联网业务,并于明年初进行物联网部门的首次公开募股。黑莓表示,两个业务部门的拆分为网络安全业务推行自己的战略铺平了道路,以与微软、CrowdStrike和Sentinel One 等重量级企业竞争。该公司表示,分拆的主要目标是在下一财年上半年实现物联网业务的首次公开募股。该公司表示:“黑莓相信,独立交易的物联网子公司将使股东能够更清晰地评估黑莓主要业务的业绩和未来潜力,同时允许每个业务追求自己独特的战略和资本配置政策。”“这一新提议的结构将进一步提高他们的运营灵活性和专注于为客户提供卓越解决方案的能力。”在此消息发布之前,最近有传言称私募股权公司Veritas Capital就收购黑莓进行了讨论。黑莓是一家历史悠久的设备制造商,以14亿美元收购了Cylance,并将自己重塑为网络安全供应商。黑莓最新的季度收益报告(Q2-FY24)预计网络安全收入为7900 美元,网络安全ARR为2.79亿美元。
https://www.securityweek.com/blackberry-to-split-cybersecurity-iot-business-units/
11、思科发布紧急补丁以修复紧急响应系统中的严重缺陷
思科已发布更新,以解决影响紧急响应程序的严重安全漏洞,该漏洞允许未经身份验证的远程攻击者使用硬编码凭据登录易受影响的系统。该漏洞的编号为CVE-2023-20101(CVSS评分:9.8),是由于根帐户存在静态用户凭据造成的,该公司表示,该帐户通常保留在开发过程中使用。思科在一份公告中表示:“攻击者可以通过使用该帐户登录受影响的系统来利用此漏洞。”“成功的利用可能允许攻击者登录受影响的系统并以根用户身份执行任意命令。”该问题影响思科紧急响应程序版本12.5(1)SU4,并已在版本12.5(1)SU5中得到解决。该产品的其他版本不受影响。该公司表示,他们在内部安全测试期间发现了该问题,并且不知道有任何恶意利用该漏洞的情况。不到一周前,思科警告称,有人试图利用其IOS软件和IOS XE软件中的安全漏洞(CVE-2023-20109,CVSS评分:6.6),该漏洞可能允许经过身份验证的远程攻击者在受影响的系统。
https://thehackernews.com/2023/10/cisco-releases-urgent-patch-to-fix.html
12、Group-IB:“GoldDigger”银行木马针对越南组织
Group-IB在8月份发现了一个针对越南50多家金融组织的Android木马,该木马被称为GoldDigger。该木马自6月份以来一直很活跃,当时Group-IB的情报部门发现了10多个冒充Google Play商店页面的虚假网站。GoldDigger 的主要目标是窃取银行凭证。首次安装和启动时,它会滥用辅助服务来窃取个人信息并拦截短信。该恶意软件通过将自己伪装成虚假的Android应用程序来避免检测,通过至少两种不同的变体冒充越南政府门户网站和能源公司。GoldDigger使用Virbox Protector,这使得恶意软件能够逃避检测并使其难以分析。这些针对银行信息的木马使用Virbox的趋势呈上升趋势,亚太地区另外两个活跃的Android木马也使用相同的方法。Group-IB联系了越南计算机应急响应小组,告知他们调查结果,包括技术信息和妥协指标。Group-IB越南业务开发经理Anh Le表示:“Group-IB的威胁情报团队发现,除了越南语之外,该恶意软件还包括西班牙语和繁体中文的语言翻译。网络犯罪分子可能计划在不久的将来将GoldDigger的影响范围进一步扩大到西班牙语和中文国家。”
https://www.darkreading.com/threat-intelligence/group-ib-golddigger-banking-trojan-targeting-vietnamese-organizations
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement