其他
20231007-5th域安全微讯早报-No.240
网络空间安全对抗资讯速递
2023年10月7日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-240 星期六
今日热点导读
资讯详情
1、英国监管机构对Snap AI聊天机器人处理儿童数据的方式进行审查英国数据隐私机构周五(10月6日)宣布对美国相机和社交媒体公司Snap Inc.发出初步执法通知,原因是其可能未能充分评估其应用程序中嵌入的生成人工智能聊天机器人“My AI”所构成的隐私威胁。同时帮助执行欧盟《通用数据保护条例》(GDPR)的信息专员办公室(ICO)指出,由于“My AI”处理13岁至17岁儿童数据的方式,Snap 的数据保护风险尤其重大。初步通知提醒公司ICO将根据其回应采取哪些行动。据权威机构新闻稿称,如果最终执行通知被采纳,ICO可能会要求Snap停止处理与英国“My AI”相关的数据。Snap发言人说,“MY AI”在公开之前经历了“严格的法律和隐私审查程序”。该产品于4月份向整个Snapchat用户群开放。该功能依赖于OpenAI的 GPT技术。新闻稿称,截至5月,Snapchat在英国的月活跃用户已超过2100万。https://therecord.media/snap-ai-chatbot-uk-ico-privacy-watchdog-enforcement
2、乌克兰、以色列和韩国位列网络攻击目标国家名单之首微软的一份新报告显示,去年有120多个国家/地区面临网络攻击,其中乌克兰、以色列、韩国位居最受攻击国家的榜首。这些调查结果是微软《2023年数字防御报告》的一部分,该报告利用该公司的大量数据来跟踪 2022年7月至2023年6月期间的网络安全趋势。该报告详细分析了来自俄罗斯、伊朗和朝鲜等国家政府的民族国家攻击。较小的部分专门针对巴勒斯坦领土上的黑客和其他国家雇佣的雇佣黑客。这些事件的范围从破坏性网络攻击到涉及间谍活动、信息盗窃或传播错误和虚假信息的攻击。微软研究人员表示,转向间谍活动通常可以让民族国家黑客实现长期目标。微软表示,俄罗斯继续对乌克兰进行破坏性网络攻击,但也重新将重点放在扩大间谍活动上。https://therecord.media/microsoft-2023-report-countries-most-targeted-cyberattacks
3、葡萄牙和多米尼加共和国政府遭到了Rhysida勒索软件团伙攻击一个臭名昭著的勒索软件团伙本周声称对两个政府机构发动了攻击,这两个机构都证实他们因这些事件而面临一系列问题。距离葡萄牙波尔图市约20分钟路程的郊区贡多马尔市9月27日表示,该市成为网络攻击的目标,迫使官员下线系统并联系该国国家网络安全中心和国家数据保护委员会和当地执法部门。政府表示,一些市政服务将受到干扰,而专家们正在努力解决这一问题。10月2日,官员们澄清说,政府提供的所有在线服务将在本周停止运行,但居民可以亲自前来支付账单、获得许可并采取其他行动。截至周五(10月6日),市政府报告称,其电子邮件系统仍然处于瘫痪状态,导致与当地居民的联系变得困难。他们再次敦促居民如有任何需要,请亲自前往他们的办公室。他们没有回应有关服务何时恢复正常或居民数据是否被盗的置评请求。该组织还宣布对负责该国移民系统的多米尼加共和国移民局发动另一次袭击。该机构周三(4日)证实了这一事件,并发表声明称黑客窃取了数据。网络安全专家Dominic Alvieri表示, Rhysida勒索软件团伙声称是周四(5日)晚间袭击的幕后黑手。他们在泄密网站上分享了据称从市政府窃取的护照和其他财务文件的样本。https://therecord.media/rhysida-ransomware-gang-attacks-on-portugal-dominican-republic-governments
4、基因检测公司23andMe遭数据泄露致130万德系和华裔用户受影响基因检测巨头23andMe证实,一次数据抓取事件导致黑客获取敏感用户信息并将其在暗网上出售。本周,近700万 23andMe用户的信息在网络犯罪论坛上被出售。这些信息包括起源估计、表型、健康信息、照片、识别数据等。23andMe 处理客户提交的唾液样本以确定他们的血统。当被问及该帖子时,该公司最初否认该信息是合法的,并在给Recorded Future News的一份声明中称其为“误导性声明”。该公司后来表示,它知道某些23andMe客户资料信息是通过未经授权访问注册了DNA相对功能的个人帐户而编制的,该功能允许用户选择该公司向他们显示亲属的潜在匹配项。23andMe发言人称,“目前我们没有任何迹象表明我们的系统内发生了数据安全事件。相反,这项调查的初步结果表明,这些访问尝试中使用的登录凭据可能是威胁行为者从涉及其他在线平台的事件中泄露的数据中收集的,在这些平台上,用户回收了登录凭据。”该公司不认为威胁行为者能够访问所有帐户,而是未经授权访问了数量少得多的23andMe帐户并从他们的DNA相对匹配中抓取数据。该发言人拒绝证实受影响的客户账户的具体数量。https://therecord.media/scraping-incident-genetic-testing-site
5、米高梅度假村确认网络攻击造成1亿美元损失拉斯维加米高梅公司周四(10月5日)在一份监管文件中表示,最近的一次网络攻击使米高梅度假村损失了约1亿美元。在向美国证券交易委员会(SEC)提交的文件中,该公司还承认,从社会安全号码到护照数据等客户信息在攻击期间被盗。该公司没有回应有关有多少人受到影响的置评请求。该公司向缅因州监管机构提交了违规通知文件,但将与受影响人数相关的部分留空。9月11日发现攻击事件后,米高梅度假村关闭了所有系统,以使黑客无法访问客户信息,从而破坏了他们的几处房产。他们表示,集体损失造成了约1亿美元的损失。尽管公司做出了努力,黑客仍然设法访问客户信息,窃取大量未公开的个人数据,如姓名、地址、电话号码、驾驶执照号码、社会安全号码、护照号码等。该公司重申,没有信用卡信息被访问。只有一家酒店幸免于难——拉斯维加斯大都会酒店。文件称,据称黑客无法进入该酒店的系统。米高梅度假村表示,预计10月份拉斯维加斯的入住率将达到93%,并在11月份之前全面恢复。除了1亿美元的损失外,他们在咨询服务、法律费用和与网络攻击相关的其他费用上花费了“不到 1000万美元”。https://therecord.media/mgm-resorts-cyberattack-cost-millions
6、以色列总统的Telegram账户遭到犯罪团伙入侵一个与犯罪相关的实体最近获得了以色列总统艾萨克·赫尔佐格的Telegram帐户的访问权限。虽然没有确认谁访问了该账户,但总统官邸的一份声明称,此次黑客攻击本质上是犯罪行为,与网络诈骗有关,表明这既不是敌对国家或组织所为,也不是由敌对国家或组织实施的。与以色列-巴勒斯坦冲突有关。以色列时报在总统办公室发表的一份声明称,违规行为已被关闭,“该账户已恢复正常运行”。据《巴伦周刊》报道,赫尔佐格的一位发言人表示,对该频道的访问“非常迅速”地恢复了,并且“初步检查表明没有人担心信息被获取” 。以色列内部安全部门辛贝特正在调查这一事件。以色列并未跻身该应用程序的顶级国家用户之列。然而,对加密选项的访问正在慢慢受到限制,一些国家因担心极端主义团体使用Telegram而阻止访问。https://www.darkreading.com/dr-global/suspected-crime-gang-hacks-israeli-president-telegram-account
7、美国CIA正在构建自己的类似Chat-GPT的工具来管理情报数据中央情报局首席网络政策顾问Dan Richard表示,中央情报局正在开发自己的类似Chat-GPT的工具,但该机构仍在努力管理其数据并快速采用商业可用的解决方案。“我们正在努力解决的问题之一是数据管理。我们收集和审查大量数据信息,并不断寻找能够更有效地分析、综合并向私营部门提供我们可以从这些信息中获得的见解的方法,”中央情报局首席网络官丹·理查德政策顾问周四在比林顿网络安全虚拟活动中表示。“我们一直在寻找更好的方法来管理我们的数据,更好的方法让我们更高效、更有效地使用我们所拥有的数据,从而更快、更有效地将数据传送到需要的地方。”改善数据管理的需要植根于中央情报局如何收集和整合其他机构用来向政策制定者和私营公司提供信息的情报数据。中央情报局还努力快速采用商业技术解决方案(例如应用程序),而不是花时间在内部开发它们。“我们可能需要几个月的时间才能组装出应用解决方案”理查德说。“我们希望做的是利用这些解决方案来更快地解决我们目前面临的一些问题。”中央情报局并不是唯一一个努力管理其数据的机构。今年早些时候,国家情报总监发布了一项多年战略,以数据和人工智能为中心,以改善情报界完成其任务的方式。 https://www.nextgov.com/artificial-intelligence/2023/10/cias-data-challenged-ai-imperative/391007/
8、朝鲜拉撒路集团完成了9亿美元加密货币的洗钱活动多达70亿美元的加密货币通过跨链犯罪被非法洗钱,与朝鲜有联系的Lazarus Group在2022年7月至今年7月期间盗窃了其中约9亿美元的收益。区块链分析公司Elliptic在本周发布的一份新报告中表示:“随着混合器等传统实体继续受到查封和制裁审查,向链式或资产跳跃类型转移的加密犯罪也在增加。”跨链犯罪是指将加密资产从一种代币或区块链转换为另一种代币或区块链,通常是快速连续的,试图混淆其来源,使其成为一种利润丰厚的加密货币盗窃洗钱方法,也是Acc方法的替代方案搅拌机。根据Elliptic收集的数据,Lazarus集团对跨链桥的使用贡献了通过此类服务发送的资金比例增加111%。自2023年6月以来,朝鲜黑客组织对Atomic Wallet(1亿美元)、CoinsPaid(3730万美元)、Alphapo(6000 美元)、Stake.com(4100万美元)进行了一系列攻击,估计已窃取近2.4亿美元的加密货币)和 CoinEx(3100万美元)。Elliptic表示:“资产多次出现在同一个区块链上就证明了这一点,这些交易除了混淆其来源之外没有合法的商业目的。” “为了混淆目的而来回桥接——即‘跳链’——现在是一种公认的洗钱类型。”https://thehackernews.com/2023/10/north-koreas-lazarus-group-launders-900.html
9、美国学校发现带有后门固件的Android设备根据网络安全供应商Human Security的警告,数以万计的带有后门固件的Android设备已被发送给最终用户。作为名为BadBox的全球网络犯罪行动的一部分,Human Security发现威胁行为者依靠供应链妥协,用Triada恶意软件感染了70,000多部Android智能手机、CTV盒子和平板电脑设备的固件。受感染的设备至少来自一家大国制造商,但在交付给经销商、实体零售店和电子商务仓库之前,其固件中被注入了后门。“在美国各地的公立学校网络中都发现了已知包含后门的产品,”Human说。Triada于2016年被发现,是一种驻留在设备RAM中的模块化木马,依靠Zygote进程来挂钩Android上的所有应用程序,主动使用root权限来替换系统文件。随着时间的推移,该恶意软件经历了各种迭代,并至少两次被发现预装在低成本Android设备上。作为Human Security发现的BadBox操作的一部分,受感染的低成本Android设备允许威胁行为者实施各种广告欺诈计划,其中包括名为PeachPit的计划。Human还警告说,受BadBox感染的设备无法被最终用户清理,因为后门驻留在固件分区中。https://www.securityweek.com/android-devices-with-backdoored-firmware-found-in-us-schools/
10、CISA已从其KEV目录中删除了5个Owl Labs视频会议漏洞在《SecurityWeek》私下对Owl Labs的决定提出质疑后,美国网络安全机构CISA已从其已知利用漏洞(KEV)目录中删除了多个Owl Labs产品缺陷。9月中旬,CISA在其KEV目录中添加了四个漏洞,影响Owl Labs的Meeting Owl智能视频会议产品,该产品形状像猫头鹰,配有360°会议摄像头、麦克风和扬声器。另一个Meeting Owl缺陷之前已添加到KEV列表中。瑞士网络安全公司Modzero的研究人员去年发现的Meeting Owl漏洞包括加密不足、硬编码凭据、缺少身份验证和不正确的身份验证问题。CISA本周宣布已删除Meeting Owl漏洞,理由是利用证据不足。CISA称其已得出结论,没有足够的证据将 [五个Meeting Owl] CVE保留在目录中,决定将其删除。当这些漏洞被添加到KEV列表中时,SecurityWeek联系了CISA和供应商,以确认是否存在恶意利用,因为没有关于利用的公开报告,而且威胁行为者似乎不太可能认为这些漏洞有用,因为他们要求攻击者处于蓝牙范围内。据我们所知,恶意黑客通过蓝牙利用漏洞是闻所未闻的。 https://www.securityweek.com/cisa-reverses-course-on-malicious-exploitation-of-video-conferencing-device-flaws/
11、流行应用程序的0day漏洞价格已上涨数百万美元由于安全机制和缓解措施的改进,入侵运行iOS和Android的手机已成为一项昂贵的工作。TechCrunch了解到,这就是为什么WhatsApp等应用程序的黑客技术现在价值数百万美元。上周,一家购买零日漏洞(受影响产品的开发人员不知道的软件缺陷)的俄罗斯公司愿意出价2000万美元购买一系列漏洞,这些漏洞将允许其客户,该公司称这些客户是“俄罗斯私人和政府组织”,来远程破坏运行iOS和Android的手机。但即使在俄罗斯以外的市场,包括特定应用程序中的错误,价格也上涨了。TechCrunch看到的泄露文件显示,截至2021年,允许用户入侵目标 Android版WhatsApp并读取消息内容的零日漏洞可能会造成高至800万美元的损失。WhatsApp一直是政府黑客的热门目标,这类组织更有可能使用零日漏洞。根据一份泄露的文件,2021年,一家公司在WhatsApp中以约170万美元的价格出售“零点击RCE”。该文件称,该漏洞适用于2020年发布的Android版本9至11,并且利用了“图像渲染库”中的缺陷。0day漏洞利用经纪人对新漏洞感兴趣,情报人员和执法机构也对利用新漏洞感兴趣。有时,单个漏洞足以进行监视,但在某些情况下,黑客会利用一系列漏洞来闯入系统。https://techcrunch.com/2023/10/05/zero-days-for-hacking-whatsapp-are-now-worth-millions-of-dollars/
12、BYOD——网络攻击时代的便利还是威胁?Microsoft的一项研究发现,过去一年中80%到90%的勒索软件攻击都是由不受组织控制的设备发起的。该数据发布在微软最新的《2023年数字防御报告》中。实行自带设备(BYOD)策略的组织将其网络置于遭受攻击的风险中。员工从家里带来的个人设备通常没有必要的安全措施,并且往往是妥协的切入点。一些专家认为,BYOD永远无法提供与组织本身提供的完全控制设备相同级别的安全性。因此,在许多人看来,最可靠的解决方案是平庸地拒绝这种工作方式。与此同时,英国网络安全中心(NCSC)就如何正确实施BYOD政策提供建议 ,同时考虑到其所有好处,例如易用性和为公司节省成本。而微软本身也坚持在组织中正确整合BYOD,而不是完全禁止它。然而,使用员工个人设备进行攻击的成功率可能会重新引发有关现代组织中BYOD可行性的讨论。今年勒索软件攻击总体急剧增加,加剧了BYOD的威胁。据微软称,自2022年9月以来,使用人为控制的勒索软件进行的攻击数量增加了200%以上。过去一年勒索软件犯罪活动中观察到的一个主要趋势是勒索软件运营商使用的远程加密方法“急剧增加”。https://www.securitylab.ru/news/542487.php
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement