其他
20231010-5th域安全微讯早报-No.242
网络空间安全对抗资讯速递
2023年10月10日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-242 星期二
今日热点导读
3、菲律宾网络安全预算面临大幅削减引发资金争议和安全担忧4、HelloKitty勒索软件源代码在黑客论坛上泄露5、Google通过Chrome和Cloud CTF活动扩大Bug赏金计划6、curl工具中的两个缺陷就可能导致许多应用程序和服务失败7、美国运输公司Estes Express Lines系统因网络攻击而瘫痪8、人工智能如何揭示RNA的秘密9、针对未修补的NetScaler实例的凭据收集活动10、ALPHV勒索软件团伙声称袭击了佛罗里达州巡回法院
11、GNOME Linux系统遭受了通过文件下载的RCE攻击12、ConnectedIO路由器中的漏洞使黑客能够访问数千家公司13、黑客修改网上商店的404页面以窃取信用卡14、超过17,000个WordPress网站在Balada Injector攻击中遭黑
资讯详情
1、英国、澳大利亚、加拿大、日本和美国结成全球联盟以促进电信安全、弹性和创新英国已与澳大利亚、加拿大、日本和美国结盟,成为名为“全球电信联盟”(GCOT) 的新全球联盟的一部分,以加强电信安全、弹性和创新方面的协调。这些国家将利用该联盟来帮助确保通信网络在面临供应链中断和网络攻击等挑战时能够保持弹性和适应性,从而增强它们在最关键时刻保持联系的能力。GCOT旨在增强通信网络的弹性,并探索研发、信息共享和国际推广方面的合作。英国科学、创新和技术部;澳大利亚基础设施、交通、区域发展、通讯和艺术部;加拿大创新、科学和经济发展部;日本总务省;和美国国家电信和信息管理局(NTIA)已承诺建立GCOT来协调支持这些共同目标的多边举措。GCOT是迄今为止最广泛的国际组织,专注于其联合意向声明中概述的具体优先事项。GCOT合作伙伴希望重点关注的主题包括但不限于电信供应链多元化;6G和未来电信;电信安全和弹性;电信技能;以及协调一致的电信标准制定方法。https://industrialcyber.co/critical-infrastructure/uk-australia-canada-japan-us-align-in-global-coalition-to-boost-telecoms-security-resilience-innovation/
2、越南政权卷入全球网络攻击:揭露Predator间谍软件在数字安全变得与物理安全一样重要的时代,一个令人震惊的启示已经曝光。越南的独裁政权卷入了一系列针对全球知名个人和组织的网络攻击。迄今为止,许多人还不知道这些攻击是使用一种名为“Intellexa Predator”的强大间谍软件进行的。这些攻击的目标包括欧盟政界人士、美国参议员、柏林的一个新闻平台和一名德国外交官。有关这些网络攻击的信息是由欧洲调查合作组织(EIC)进行的一项调查公布的,该调查被称为“掠夺者档案”。此次调查的重点是Intellexa Alliance,这是一个由向多个国家提供Predator间谍软件的公司组成的联盟。人们发现,这种间谍软件已被广泛用于针对活动人士、记者和人权捍卫者。掠夺者档案不仅揭露了独裁政权的非法活动,还揭露了欧洲各国政府的共谋行为。独裁政权对此类技术的使用对民主和人权构成了重大威胁。它不仅压制异议,而且还向民众灌输恐惧和不安全感。https://bnn.network/tech/cybersecurity/vietnams-regime-implicated-in-global-cyber-attacks-unveiling-the-predator-spyware/
3、菲律宾网络安全预算面临大幅削减引发资金争议和安全担忧菲律宾信息和通信技术部(DICT)正在努力应对网络安全预算可能受到损害的削减,引发了对该部门资金需求和国家网络防御战略的激烈争论。作为该国网络防御的关键参与者,DICT面临着网络安全预算的大幅减少,该预算预计将从2021年的10亿比索骤降至2024年的仅3亿比索。这一削减对该部门来说是一个打击,该部秘书伊万·约翰·黄 (Ivan John Uy) 对此感到失望。黄先生表达了他的担忧,他认为该部门需要更大的预算来有效打击网络犯罪分子。他强调需要保密基金(一种特定类型的可自由支配基金)来支持他们的网络安全工作。然而,DICT对保密资金的立场遭到了ACT Teachers的反对,该组织认为该部门的需求在其他地方。对DICT资金需求的截然不同的看法凸显了一场更广泛的辩论,即菲律宾与世界上许多国家一样应如何投资其网络安全基础设施。这场辩论发生之际,网络威胁变得越来越复杂,对国家安全、经济和个人隐私构成了重大风险。https://bnn.network/tech/cybersecurity/debating-cybersecurity-philippine-dicts-funding-woes-amid-budget-cuts/
4、HelloKitty勒索软件源代码在黑客论坛上泄露一名威胁行为者在俄语黑客论坛上泄露了HelloKitty勒索软件第一版的完整源代码,声称正在开发一种新的、更强大的加密器。该漏洞首先由网络安全研究人员3xp0rt发现,他发现一个名为“kapuchin0”的威胁参与者发布了HelloKitty勒索软件加密器的“第一个分支”。虽然源代码是由名为“kapuchin0”的人发布的,但3xp0rt告诉BleepingComputer,威胁行为者还使用别名“Gookee”。3xp0rt认为kapuchin0/Gookee是HelloKitty勒索软件的开发者,他现在表示,“我们正在准备一款新产品,比Lockbit更有趣。”发布的hellokitty.zip存档包含一个Microsoft Visual Studio解决方案,该解决方案构建了HelloKitty加密器和解密器以及此版本的勒索软件用于加密文件的NTRUEncrypt库。勒索软件专家Michael Gillespie向BleepingComputer证实,这是2020年勒索软件操作首次启动时使用的HelloKitty的合法源代码。https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-source-code-leaked-on-hacking-forum/
5、Google通过Chrome和Cloud CTF活动扩大Bug赏金计划谷歌宣布扩大其漏洞奖励计划,举办了两项活动,重点关注Chrome的V8 JavaScript渲染引擎和基于内核的虚拟机(KVM)。v8CTF已经启动,安全研究人员可以通过成功利用在Google基础设施上运行的V8版本来获得金钱奖励 。该挑战赛旨在补充Google的VRP,允许识别JavaScript引擎中的漏洞的研究人员通过向v8CTF提交漏洞来获得额外奖励。然而,参与的研究人员也可以提交针对已知V8漏洞的利用。Google鼓励发现新漏洞的研究人员首先向 Chrome VRP报告。接下来,他们可以利用v8CTF中的漏洞从Google的基础设施中窃取该标志。根据该计划的规则,提交有效漏洞的安全研究人员有资格获得10,000美元的奖励。“这是对漏洞本身的任何现有奖励之外的奖励。例如,如果您在V8中发现一个漏洞,然后为其编写一个漏洞利用程序,那么它就可以符合Chrome VRP和v8CTF的资格,”Google解释道。kvmCTF将于今年晚些时候推出,将奖励针对KVM中零日和一日漏洞的研究人员,KVM是 Linux内核中的开源虚拟化模块,允许其充当虚拟机管理程序。https://www.securityweek.com/google-expands-bug-bounty-program-with-chrome-cloud-ctf-events/
6、curl工具中的两个缺陷就可能导致许多应用程序和服务失败流行的开源curl实用程序的开发人员发布了有关两个漏洞的警告,并将于下周正式披露。Curl(客户端URL)被开发人员和系统管理员广泛用于使用API、上传文件以及自动执行各种任务。该工具是许多重要网络协议的基础,例如SSL、TLS、HTTP、FTP和SMTP。根据GitHub平台的声明,将于10月11日发布更新,修复一个高严重性错误- CVE-2023-38545和一个小问题-CVE-2023-38546。第一个漏洞既影响curl本身,也影响在文件传输中发挥重要作用的libcurl库。第二个问题仅影响libcurl。一位开发人员将CVE-2023-38545描述为“可能是长期以来最严重的缺陷”。“我无法透露有关存在风险的版本范围的任何信息,因为这将帮助潜在的攻击者高精度地识别问题区域。我只能说,这些都是过去几年的版本。” 他说。根据网络安全专家Melissa Bishoping的说法,curl既是一个独立的实用程序,也是其他进程的一部分。组织应提前评估该工具在其基础设施中的使用程度,为升级做好准备。https://www.securitylab.ru/news/542544.php
7、美国运输公司Estes Express Lines系统因网络攻击而瘫痪总部位于美国弗吉尼亚州里士满市的运输公司Estes Express Lines最近披露了有关网络攻击导致其IT基础设施出现故障的信息。10月2日,该公司向客户通报了该问题,第二天就确认问题是由网络攻击引起的。Estes Express Lines对客户和供应商在这一困难时期的耐心表示感谢。该公司表示:“我们正在尽快解决这个问题并恢复正常的业务运营。”尽管Estes代表尚未发表详细声明,但他们表示,即使面对当前的网络事件,他们的终端和驱动程序仍继续有效运行。零担货物运输领域的专家Satish Jindel指出了此类事件对运输公司的严重性。攻击可能会限制公司运营的可见性,甚至停止其财务周转。对于依靠系统实时组织路线的零担承运商来说尤其如此。https://www.securitylab.ru/news/542538.php
8、人工智能如何揭示RNA的秘密纽约大学的一组科学家开发了一种神经网络,可以解释它是如何做出预测的。这项工作揭示了神经网络的运行原理,这是人工智能和机器学习的基础。主要研究方向与近年来积极应用的神经网络的具体应用相关——解决复杂的生物问题。其基础是对RNA剪接过程的研究,RNA剪接在信息从DNA到功能性RNA和蛋白质产物的传递中发挥着关键作用。纽约大学黑野数学科学研究所计算机科学教授Oded Regev表示:“许多神经网络仍然是黑匣子,因为它们无法解释它们的工作原理,这引发了人们对其可靠性的担忧。” 他补充说,由于一种提高机器训练数据数量和质量的新方法,一种可解释的神经网络已经开发出来,可以准确地预测复杂的结果并解释它是如何得出预测的。为了创建他们的模型,Regev和他的同事依赖于RNA剪接的现有数据。他们的模型在某些方面相当于高倍显微镜,使科学家能够监测和量化RNA剪接过程。研究者创建了一个神经网络模型,可以深入了解RNA剪接。当RNA分子形成发夹形状时,剪接过程停止,反之亦然,当这种结构被破坏时,剪接又恢复。https://www.securitylab.ru/news/542524.php
9、针对未修补的NetScaler实例的凭据收集活动IBM报告称,凭据收集活动针对的是尚未针对最新漏洞进行修补的Citrix NetScaler网关。该漏洞的编号为CVE-2023-3519(CVSS 评分为9.8),于7月披露,但自2023年6月以来一直被利用,其中一些攻击针对关键基础设施组织。到8月中旬,威胁行为者利用此漏洞作为自动化活动的一部分,为大约2,000个NetScaler实例设置后门。据Shadowserver基金会称,上周的扫描中至少出现了1,350个在之前的攻击中受到损害的NetScaler实例。9月,IBM观察到一场新的恶意活动,针对未打补丁的NetScaler设备,在身份验证页面上注入脚本并窃取用户凭据。作为观察到的攻击的一部分,威胁参与者正在利用CVE-2023-3519注入PHP Web shell,然后允许他们将自定义HTML代码附加到合法的“index.html”文件中,以加载托管在VPN身份验证页面上攻击者的基础设施。作为该活动的一部分,威胁行为者创建了许多域名并于8月注册,滥用Cloudflare来隐藏其托管位置。IBM表示,它已经识别出“至少600个托管修改后的NetScaler Gateway登录页面的唯一受害者 IP 地址”,其中大多数位于美国和欧洲。根据Shadowserver的扫描,至少有285个NetScaler实例在此次活动中受到损害。https://www.securityweek.com/credential-harvesting-campaign-targets-unpatched-netscaler-instances/
10、ALPHV勒索软件团伙声称袭击了佛罗里达州巡回法院ALPHV(BlackCat)勒索软件团伙声称上周发生了一次影响佛罗里达州西北部各州法院(第一司法巡回法院的一部分)的攻击。据称,威胁行为者获得了包括法官在内的员工的社会安全号码和简历等个人详细信息。此外,ALPHV声称拥有法院系统的全面网络地图,包括本地和远程服务凭证。勒索软件团伙通常威胁要在网上泄露被盗数据,以迫使受害者进行谈判或重新展开讨论。ALPHV网站上佛罗里达州第一司法巡回法院的数据泄露页面表明,法院要么没有与勒索软件运营商进行谈判,要么坚决拒绝满足该团伙的要求。州巡回法院上周透露,它正在调查10月2日即星期一早上发生的一起网络攻击,该攻击扰乱了法院的运作。法院网站上发布的一份声明称:“这一事件将严重影响整个巡回法院的运作,并在较长一段时间内影响埃斯坎比亚、奥卡卢萨、圣罗莎和沃尔顿县的法院。”在对袭击事件的持续调查中,四个县的法官一直在与诉讼当事人和律师就每周安排的听证会进行沟通。此外,法院当局确认所有设施均继续运行,没有中断。法院尚未核实ALPHV团伙提出的勒索软件攻击指控。https://www.bleepingcomputer.com/news/security/alphv-ransomware-gang-claims-attack-on-florida-circuit-court/
11、GNOME Linux系统遭受了通过文件下载的RCE攻击开源libcue库中的内存损坏漏洞可让攻击者在运行GNOME桌面环境的Linux系统上执行任意代码。libcue是一个专为解析提示表文件而设计的库,已集成到Tracker Miners文件元数据索引器中,默认情况下包含在最新的GNOME 版本中。提示表(或CUE文件)是纯文本文件,包含CD上音轨的布局,例如长度、歌曲名称和音乐家,并且通常也与FLAC音频文件格式配对。GNOME是一种在各种Linux发行版(例如Debian、Ubuntu、Fedora、Red Hat Enterprise和SUSE Linux Enterprise)中广泛使用的桌面环境。攻击者可以利用Tracker Miners自动索引所有下载文件来更新GNOME Linux设备上的搜索索引,从而成功利用相关缺陷(CVE-2023-43641) 来执行恶意代码。发现该漏洞的GitHub安全研究员Kevin Backhouse表示:“由于跟踪矿工的使用方式,libcue中的此漏洞成为一键式RCE。如果您使用GNOME,请立即更新。”https://www.bleepingcomputer.com/news/security/gnome-linux-systems-exposed-to-rce-attacks-via-file-downloads/
12、ConnectedIO路由器中的漏洞使黑客能够访问数千家公司ConnectedIO ER2000路由器和相关云管理平台中发现了多个高严重性漏洞。威胁允许攻击者执行恶意代码并获取敏感数据的访问权限。正如Claroty的Noam Moshe指出的那样,攻击者可以利用这些威胁彻底破坏云基础设施、远程执行代码并获取所有客户端和设备信息的访问权限。ConnectedIO品牌3G/4G路由器中的漏洞可能会使数千个内部网络面临风险,从而使黑客能够控制、拦截流量,甚至渗透先进的物联网(XIoT)。已确定的影响ConnectedIO平台 v2.1.0及更早版本的问题主要影响ER2000 4G路由器及其相关云服务。这些漏洞可以同时被利用,允许攻击者在云设备上执行任意代码,而无需直接访问它们。在设备和云之间的通信协议中使用硬编码凭据进行身份验证可用于在网络上注册盗版设备,并通过它访问来自其他网络设备的消息、Wi-Fi设置、SSID和口令。已识别威胁的严重性在于,攻击者不仅可以使用泄露的IMEI号码冒充他选择的任何设备,还可以强制这些设备执行任意命令。所有发现的漏洞的CVSS评分均为 8.6分。它们被分配了以下CVE标识符:CVE-2023-33375 、CVE-2023-33376 、CVE-2023-33377和CVE-2023-33378。https://www.securitylab.ru/news/542547.php
13、黑客修改网上商店的404页面以窃取信用卡一项新的Magecart卡盗取活动劫持在线零售商网站的404错误页面,隐藏恶意代码以窃取客户的信用卡信息。该技术是Akamai 全情报小组的研究人员观察到的三种变体之一,另外两种变体将代码隐藏在 HTML图像标签的“onerror”属性和图像二进制文件中,使其显示为Meta Pixel代码片段。Akamai表示,该活动主要针对Magento和WooCommerce网站,一些受害者与食品和零售行业的知名组织有联系。所有网站都具有404错误页面,当访问者访问不存在、已移动或链接失效/损坏的网页时,会向访问者显示这些页面。Magecart攻击者利用默认的“404 Not Found”页面来隐藏和加载恶意卡窃取代码,这在之前的活动中从未见过。Akamai的报告中写道:“这种隐藏技术具有高度创新性,是我们在之前的Magecart活动中从未见过的 。”“操纵目标网站的默认404错误页面的想法可以为Magecart参与者提供各种创造性的选择,以改进隐藏和逃避。”浏览器加载程序要么将自己伪装成元像素代码片段,要么隐藏在已存在于受感染的结账网页上的随机内联脚本中。https://www.bleepingcomputer.com/news/security/hackers-modify-online-stores-404-pages-to-steal-credit-cards/
14、超过17,000个WordPress网站在Balada Injector攻击中遭黑多个Balada Injector活动利用高级主题插件中的已知缺陷危害并感染了超过17,000个WordPress网站。Balada Injector是 Dr. Web于2022年12月发现的大规模操作,它一直利用已知WordPress插件和主题缺陷的各种漏洞来注入Linux后门。后门将受感染网站的访问者重定向到虚假技术支持页面、欺诈性彩票中奖和推送通知诈骗,因此它要么是诈骗活动的一部分,要么是出售给诈骗者的服务。2023年4月,Sucuri报告称,Balada Injector自2017年以来一直活跃,估计已危害近100万个WordPress网站。威胁行为者利用tagDiv Composer中的CVE-2023-3169跨站脚本(XSS)缺陷,tagDiv Composer是WordPress网站tagDiv Newspaper和Newsmag主题的配套工具。根据公开的EnvatoMarket 统计数据,Newspaper的销量为137,000,Newsmag的销量超过18,500,因此攻击面为155,500个网站,这还不包括盗版。这两个都是高级(付费)主题,通常被蓬勃发展的在线平台使用,以维持健康的运营并获得大量流量。针对CVE-2023-3169的最新活动于9月中旬开始,即在漏洞详细信息披露和PoC(概念验证漏洞)发布后不久。https://www.bleepingcomputer.com/news/security/over-17-000-wordpress-sites-hacked-in-balada-injector-attacks-last-month/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement