20231011-5th域安全微讯早报-No.243

网络空间安全对抗资讯速递

2023年10月11日

最新热门网安资讯

Cyber-Intelligence  Brief Express

Vol-2023-243                        星期三

今日热点导读

资讯详情

1、英国反对派领导人成为人工智能生成的虚假音频诽谤的目标

当地时间10月8日（周日）发布在社交媒体上的一段音频片段，据称显示英国反对党领袖凯尔·斯塔默(Keir Starmer)辱骂其员工，但经私营部门和英国政府分析，该音频片段已被揭穿为人工智能生成。周日早上，即利物浦工党会议开幕日，Keir Starmer的音频通过一个匿名帐户发布在X（以前的Twitter）上。该账户声称，这段目前已被观看超过140万次的剪辑是真实的，并且其真实性已得到音响工程师的证实。Reality Defender（一家深度造假检测公司）的联合创始人兼首席执行官本·科尔曼 (Ben Colman)在接受Recorded Future News采访时对这一评估提出了异议：“我们发现该音频有75%的可能性是根据一直流传的副本的副本进行操纵的。”尽管英国的政治环境竞争激烈，但该音频还是受到了两党的批评——民意调查普遍显示工党领先现任保守党17个百分点。保守党议员西蒙·克拉克(Simon Clarke)在社交媒体上警告说：“今天早上有一段关于凯尔·斯塔默(Keir Starmer)的深度虚假音频在流传——请忽略它。” 安全部长兼保守党议员汤姆·图根哈特 (Tom Tugendhat) 也对“虚假录音”发出警告，并恳求推特用户不要“转发以放大该录音”。

https://therecord.media/keir-starmer-labour-party-leader-audio-smear-social-media-deepfake

2、西班牙欧洲航空公司的在线支付系统遭受网络攻击

西班牙欧洲航空公司的在线支付系统遭受网络攻击后，于周二（10月9日）该公司建议其客户取消信用卡。该公司总部位于马略卡岛，没有宣布有多少客户受到影响，也没有宣布袭击发生的时间。在路透社报道的一份声明中，该航空公司表示：“没有证据表明此次泄露最终被用来实施欺诈。” 没有关于网络攻击的性质或来源的信息。航空公司和相关金融机构正在向受影响的客户发送电子邮件。客户被警告，任何用于在其网站上付款的银行卡都应被取消和更换，“以防止可能的欺诈性使用您的信息”。欧罗巴航空此前曾于2021年因对另一起数据泄露事件处理不当而被罚款，该事件可追溯到2018年，影响了489,000名客户。在那次事件中，该公司仅在事件发生41天后才报告了违规行为，远远超出了欧盟GDPR立法要求的72小时。

https://therecord.media/air-europa-cyberattack-payment-cards

3、英国电缆巨头Volex遭受网络攻击

英国电缆制造巨头Volex（AIM：VLX）成为网络攻击的目标，该攻击涉及未经授权访问该公司的部分IT系统和数据。在周一（9日）发布的一份声明中，这家电力和数据传输产品制造商表示，其所有工厂仍在运营，预计该事件不会造成重大财务影响。然而，它确实承认“全球生产水平受到了一些轻微的干扰”。“在意识到这一事件后，该集团颁布了既定的IT安全协议，并立即采取措施阻止未经授权的访问其系统和数据。专家、第三方顾问已参与调查事件的性质和程度，并实施事件响应计划，”Volex称。Volex尚未回应SecurityWeek提供更多信息的请求，但根据该公司对事件的简要描述，它可能是勒索软件攻击的目标，该攻击要么是早期发现的，要么不涉及部署文件加密恶意软件，而勒索软件攻击可能是勒索软件攻击的目标。通常会对组织造成重大破坏。SecurityWeek检查了几个主要勒索软件组织的泄密网站，但没有发现其中任何一个提及Volex。Volex提供电源线、插头、连接器、电动汽车充电解决方案、消费类线束、数据传输电缆和数据中心电源线。该公司拥有27个制造基地，在全球24个国家拥有超过11,500名员工。  

https://www.securityweek.com/cable-giant-volex-targeted-in-cyberattack/

4、新的“Grayling”APT组织针对台湾的组织

赛门铁克网络安全部门报告称，一个先前未知的高级持续威胁(APT)攻击者一直在针对台湾多个行业的组织。作为 2023年2月至5月期间开展的活动的一部分，赛门铁克追踪为Grayling的APT组织还针对亚太地区的一个政府实体以及美国和越南的组织，可能是为了收集情报。赛门铁克无法明确将该组织与特定地理位置联系起来，但指出“针对台湾组织的大量攻击确实表明他们可能在对台湾有战略利益的地区开展业务。”观察到的攻击可能利用面向Web 的资产进行初始访问，并采用独特的DLL旁加载技术来部署自定义恶意软件和公开可用的工具。在某些计算机上，威胁参与者在执行其他有效负载之前部署了Web shell。观察到的一些工具包括Havoc（后利用命令和控制框架）、Cobalt Strike、NetSpy（公开可用的间谍软件）、Mimikatz（凭证转储）、各种下载程序和未知的有效负载。此外，攻击者还利用CVE-2019-0803（Windows中的一个权限升级错误），当“Win32k 组件无法正确处理内存中的对象”时触发该错误，终止进程并执行Active Directory发现。赛门铁克还发现，该攻击组织显然有兴趣保持隐藏状态，因为为了防止检测而终止了进程，并且很可能希望从受感染的网络中收集情报。

https://www.securityweek.com/new-grayling-apt-targeting-organizations-in-taiwan-us/

5、D-Link WiFi范围扩展器容易受到命令注入攻击

流行的D-Link DAP-X1860 WiFi 6范围扩展器容易受到允许DoS（拒绝服务）攻击和远程命令注入的漏洞的影响。该产品目前已在D-Link网站上上市，并在亚马逊上有数千条评论，因此成为消费者的热门选择。发现该漏洞（编号为CVE-2023-45208）的德国研究人员团队(RedTeam)报告称，尽管他们多次尝试向D-Link发出警报，但供应商始终保持沉默，并且尚未发布任何修复程序。问题在于D-Link DAP-X1860的网络扫描功能，具体来说，无法解析名称中包含单个勾号 (') 的SSID，将其误解为命令终止符。从技术上讲，问题源于libcgifunc.so库中的“parsing_xml_stasurvey”函数，该函数包含用于执行的系统命令。然而，由于该产品缺乏SSID清理功能，攻击者可以轻松地滥用此功能进行恶意目的。扩展器范围内的攻击者可以建立一个WiFi网络，并欺骗性地将其命名为类似于目标熟悉的名称，但在名称中包含一个勾号。当设备尝试连接该SSID时，会产生“Error 500：Internal Server Error”，无法正常运行。

https://www.bleepingcomputer.com/news/security/d-link-wifi-range-extender-vulnerable-to-command-injection-attacks/

6、黑客组织IZ1H9组织上个月成功利用了13个漏洞

Fortinet的FortiGuard实验室部门已经确定了黑客组织IZ1H9的活动，该组织旨在利用Mirai僵尸网络感染物联网设备。9月份，攻击者大幅扩展了可利用的漏洞列表，用于攻击流行型号的路由器、IP摄像机和其他网络设备，包括TP-Link、D-Link、TOTOLINK、Zyxel、Netis等品牌。专家们总共统计了13个新漏洞。9月6日是袭击的高峰期。一天之内，黑客对世界各地的设备进行了数千次尝试。IZ1H9的目标是创建一个广泛的僵尸网络 - 一个受攻击者控制的受感染设备网络，可用于组织DDoS攻击或隐藏的加密货币挖矿。黑客攻击后，恶意脚本会被下载到设备上，安装恶意软件并删除日志以隐藏攻击者的入侵痕迹。大多数情况下，所谓的零日漏洞被用来传播恶意软件，而其补丁尚未发布。为避免成为此类攻击的受害者，建议用户定期检查其网络设备上的软件更新并及时安装。如果制造商已停止支持该设备，则值得将其更换为可接收安全更新的更现代的设备。最初将网络设备设置为更安全的口令时，确保更改默认口令也非常重要。这种方法绝对可以保护您免受大多数黑客攻击。

https://www.securitylab.ru/news/542589.php

7、越南在外交谈判中监视美国政客

越南特工试图在美国国会议员、政治专家和记者的手机上安装间谍软件。其中的目标包括国会大厦的两位有权势的人物——外交关系委员会主席迈克尔·麦考尔和参议员克里斯·墨菲。这次袭击发生之际，越南和美国外交官正在谈判一项旨在对抗中国在该地区日益增长的影响力的协议。美国亚洲问题专家和CNN记者也成为攻击目标，其中包括首席国家安全分析师Jim Sciutto和两名驻亚洲记者。国际特赦组织披露了该活动的规模，并与《华盛顿邮报》和14家国际媒体分享了调查结果 ，这些媒体的调查由欧洲调查合作组织(EIC)记者联盟协调。据国际特赦组织称，越南政府通过Intellexa组织的多个中间人获得了“Predator”。据悉2020年，越南与Intellexa联盟的一家公司达成协议，以560万欧元收购“感染解决方案”。越南特工使用社交网络 X 通过匿名帐户@Joseph_Gordon16发布导致安装Predator的链接。其目标是引诱政客和其他人访问托管间谍软件的网站。大多数推文在一两天内就被删除，以避免被发现。最近几周，在记者开始向Cytrox和Intellexa的负责人提问后，该帐户从社交网络上消失了。据国际特赦组织称，新的感染尝试是在越南机构与间谍软件制造商子公司之间进行了漫长的谈判和技术转让之后发生的。美国政府对针对国会议员的袭击表示严重关切。

https://www.securitylab.ru/news/542585.php

8、美国网络中立的反对者公开反对拜登政府的计划

美国国内对拜登政府恢复互联网服务网络中立性计划的反对声音有所增加。共和党参议员表示，这一政治化决定不会通过司法审查。上个月底，有人提出了恢复这项政策的提议，这项政策于2015年在奥巴马总统领导下通过 ，两年后被特朗普政府废除。美国联邦通信委员会（FCC）主席杰西卡·罗森沃塞尔表示打算就恢复网络中立性进行投票，有关其利弊的争论仍在继续。在一封致杰西卡·罗森沃塞尔的公开信中，43名共和党参议员呼吁重新考虑这一决定，认为恢复“强有力的监管规则”将是一个错误。参议员们认为，互联网的增长仍然是“美国伟大的成功故事”，强调与美国“受到严格监管的互联网提供商”相比，美国在推出5G和Wi-Fi 6E等下一代电信服务方面取得了进展。参议员们在信中辩称，联邦通信委员会恢复网络中立性的尝试不会通过司法审查。在欧洲，电信运营商正在推动对大型科技公司进行更严格的监管，迫使它们为维护网络做出更多贡献。20多家电信公司的负责人在 致欧盟委员会的公开信中呼吁那些从这一基础设施中受益最多的公司做出公平的贡献。

https://www.securitylab.ru/news/542575.php

9、网络安全“HTTP/2 快速重置”零日漏洞被利用发起历史上最大规模的DDoS攻击

Cloudflare、谷歌和AWS周二（10月10日）透露，恶意行为者已利用名为“HTTP/2 Rapid Reset”的新零日漏洞发起互联网历史上最大规模的分布式拒绝服务(DDoS)攻击。Cloudflare于8月下旬开始分析攻击方法和底层漏洞。该公司表示，一个未知的威胁参与者利用了广泛使用的HTTP/2协议中的一个弱点来发起“巨大的、超容量的”DDoS攻击。Cloudflare发现的其中一次攻击规模是该公司2月份报告的破纪录的每秒7100万次请求(RPS)攻击的三倍。具体来说，HTTP/2 Rapid Reset DDoS活动的峰值达到2.01亿RPS。以谷歌为例，该公司观察到一次 DDoS攻击，峰值可达3.98亿RPS，是这家互联网巨头此前遭遇的最大规模攻击的七倍多。新的攻击方法通过重复发送请求并立即取消它来滥用称为“流取消”的HTTP/2功能。Cloudflare解释道：“通过大规模自动化这种微不足道的‘请求、取消、请求、取消’模式，威胁参与者能够创建拒绝服务并摧毁任何运行HTTP/2标准实现的服务器或应用程序。”

https://www.securityweek.com/rapid-reset-zero-day-exploited-to-launch-largest-ddos-attacks-in-history/

10、纽约州审计长报告了可能导致关键基础设施系统关闭的网络攻击

纽约州审计长发布的新数据表明，网络攻击对美国的关键基础设施构成严重威胁，并可能对日常生活产生不利影响。2016年至2022年间，纽约的网络安全事件增加了53%，从2016年的16,426起事件跃升至2022年的25,112起，其中勒索软件和数据泄露事件在六年内位居全国第三。预计2022年纽约因网络攻击造成的损失总计超过7.75亿美元，而2022年全国范围内的损失总计达103亿美元，这一数字是2016年的七倍。州审计长托马斯·迪纳波利在一份媒体声明中表示。“收集大量个人信息的公司和机构的数据泄露使纽约人面临潜在的隐私侵犯、身份盗窃和欺诈风险。迪纳波利补充说，数据泄露使纽约人面临隐私侵犯、身份盗窃和其他类型欺诈的可能性。“更令人不安的是勒索软件或分布式拒绝服务攻击等事件，这些事件有可能导致我们赖以供水、供电、医疗保健和其他必需品的系统关闭。”该报告详细说明，从2016年到2022年，纽约州针对商业电子邮件泄露(BEC)攻击的投诉增长最多，达到91%。与其他州相比，2022年，纽约州的勒索软件攻击次数（135起）和企业数据泄露事件（238起）排名第三，勒索软件攻击数量仅次于加利福尼亚州和德克萨斯州，企业数据泄露数量仅次于加利福尼亚州和佛罗里达州。纽约州审计长报告披露，纽约遭受勒索软件和数据泄露攻击最严重的三个关键基础设施部门是医疗保健和公共卫生，共遭受 9次攻击。 

https://industrialcyber.co/critical-infrastructure/new-york-state-comptroller-reports-on-cyber-attacks-that-have-potential-to-shut-down-critical-infrastructure-systems/

11、乌克兰发布人工智能监管路线图

乌克兰政府表示将引入人工智能法规，此举在一定程度上被描述为与欧盟拉近关系的一种方式，欧盟的人工智能系统规则正处于批准的最后阶段。乌克兰数字化转型部周六（10月7日）表示，在贸易集团官员结束欧洲理事会和欧洲议会之间关于人工智能法案的谈判后，预计明年开始制定一项监管提案。该部表示，积极遵守规则和法规将使乌克兰能够进入全球市场并与欧盟更紧密地融合。根据三年监管路线图，乌克兰首先将通过自愿守则鼓励自我监管文化。它将随后通过一项类似于《人工智能法案》的法律，该法案要求对人工智能施加越来越严格的限制，以适应应用程序对社会的风险。可能面临大陆全面禁令的一项应用是基于面部图像或其他生物识别技术的公共场所实时识别，尽管欧洲理事会希望执法部门例外。新美国安全中心今年早些时候报道称，乌克兰已经在驱逐俄罗斯军队的斗争中使用人工智能，包括通过卫星图像发现目标并剔除来自开源的士兵行动等情报。

https://www.govinfosecurity.com/ukraine-publishes-road-map-for-ai-regulation-a-23277

12、波罗的海海底电缆和管道因可能的破坏行为而受损

芬兰政府周二（10日）表示，芬兰和爱沙尼亚之间邻近的海底电信电缆和天然气管道遭到破坏，这可能是故意行为。芬兰总统绍利·尼尼斯托办公室发表声明称，对损失的调查于周日开始，怀疑损失可能是“外部活动”造成的。全长77公里（48英里）的Balticconnector天然气管道于2020年才投入运营，连接爱沙尼亚和芬兰的天然气管网。周日凌晨2点左右，网络运营商检测到异常下降，导致该网络被关闭。由于该管道相对较新，芬兰网络运营商 Gasgrid Finland表示，管道中出现洞是压力下降的唯一合理预期。Gasgrid警告称，损坏可能需要数月或更长时间才能修复。北约秘书长延斯·斯托尔滕贝格表示，该联盟正在与两个联盟成员国分享有关损失的信息，芬兰于 4月加入北约，爱沙尼亚自2004年起成为北约成员国。芬兰总理佩特里·奥尔波称此次损失“令人担忧”，但强调芬兰的能源供应总体保持稳定，电信电缆的损坏不会影响该国的整体连通性。奥尔波在周二的新闻发布会上表示，尽管总统办公室指责“外部活动”，但“现在就谁或什么造成了损害得出结论还为时过早”。芬兰政府新闻稿称，管道受损点已经确定。小报《Iltalehti》的报道援引消息人士的话称，俄罗斯涉嫌袭击该管道。

https://therecord.media/undersea-cable-pipeline-damage-finland-estonia

13、美国安全机构专注于提高OT/ICS环境中开源软件的安全性

美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、国家安全局(NSA)和美国财政部周二（10月10日）发布了针对运营技术(OT)供应商的高级领导和运营人员的新指南。本情况说明书将有助于更好地管理OT产品中使用开源软件(OSS)带来的风险，并提高利用可用资源的弹性。该情况说明书的标题为“提高运营技术(OT)和工业控制系统(ICS)中开源软件(OSS)的安全性”，是通过联合网络防御协作组织(JCDC)与行业和政府合作伙伴合作开发的：这是2023年OSS规划举措的一部分。该指南将促进更好地理解并强调在OT/ICS环境中安全使用OSS的最佳实践和注意事项。“虽然本情况说明书中的一些资源和建议最适合供应商或关键基础设施所有者执行，但各方之间的协作将减少操作员工作流程的摩擦，并促进更安全、更可靠的系统和国家关键功能的提供， ”它补充道。JCDC OSS规划举措是2023年规划议程的一部分，该议程是一项前瞻性工作，旨在将政府和私营部门聚集在一起制定和执行网络防御计划，以实现特定的风险降低目标并实现更有针对性的协作。

https://industrialcyber.co/cisa/us-security-agencies-focus-on-improving-security-of-open-source-software-in-ot-ics-environments/

14、以色列与哈马斯战争如何影响网络安全行业

《安全周刊》正在要关注一个具体问题——这场战争对以色列网络安全公司的影响。这些公司对网络安全生态圈具有全球重要意义。许多较大的公司已将其业务总部迁至美国，有些甚至迁至欧洲。此类公司受到的直接影响较小，但许多公司仍将其研发中心保留在以色列。这些中心以及规模较小的新公司无疑将受到影响。据《安全周刊》消息人士透露，至少两家网络安全公司取消了原定于本周发布的融资公告，其人员配置受到以色列军队征召预备役人员的影响。人力枯竭是战争主要且最直接的影响之一。以色列科技行业，尤其是网络安全行业，是建立在以色列国防军校友的经验和专业知识之上的——这些人很快就自愿为国家提供服务。以色列的网络安全初创生态系统是建立在以色列国防和军事单位人员的基础上的，30万预备役军人的征召肯定会影响以色列安全公司的创始人和高级领导人。另一家主要投资特拉维夫安全初创公司的美国投资公司Merlin Ventures宣布取消原定于本周举行的以色列网络展示会，这进一步突显了战争对以色列新兴领域所产生的巨大影响。战争无疑会影响以色列境内的新公司和当前的研发。这可能会产生连锁反应。预计新产品开发将被推迟，初创公司的新融资将需要更长的时间。

https://www.securityweek.com/the-israel-hamas-war-and-its-effect-on-the-cybersecurity-industry/

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-239

2. 5th域安全微讯早报-Vol-2023-238

3. 5th域安全微讯早报-Vol-2023-242

4. 5th域安全微讯早报-Vol-2023-241

5. 5th域安全微讯早报-Vol-2023-240

冷观网域风云激荡

智察数字安全博弈

THINK LIKE A HACKER

 ACT LIKE AN ENGINEER

Cyber Intelligence Insight

Digital Security Enhencement