20231013-5th域安全微讯早报-No.245
网络空间安全对抗资讯速递
2023年10月13日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-245 星期五
今日热点导读
12、勒索软件攻击现在针对未修补的WS_FTP服务器
13、CISA发布新资源,识别与勒索软件相关的已知被利用漏洞和错误配置14、DarkGate运营商使用Skype、Teams Messages分发恶意软件
资讯详情
1、美国网络机构与以色列“非常密切接触”
以色列网络防御机构的一位高级官员周四(12日)表示,哈马斯周末对以色列发动前所未有的攻击后,网络安全和基础设施安全局与以色列国家网络局保持“非常密切的联系”。CISA执行局长布兰登·威尔士表示,自上周六以色列与哈马斯冲突升级以来,该机构正在与以色列网络部队“合作”,以阻止和减轻低级别网络攻击,当时哈马斯武装分子空降以色列南部并屠杀了数百名以色列平民。威尔士在《华盛顿邮报》主办的一次活动中表示:“我们很幸运,以色列在政府和私营部门都拥有非常复杂的网络安全运作。” “我们对他们的能力很有信心。”美国国家安全局网络安全主管罗布·乔伊斯周一表示,美国情报部门尚未发现袭击发生后针对以色列的重大网络活动,尽管有几份报告表明黑客组织和网络犯罪分子越来越多地针对以色列,并将注意力从俄罗斯转向以色列。入侵乌克兰到以色列-哈马斯战争。多年来,美国网络机构与以色列网络行动密切合作,从威胁情报和信息共享举措到政策和战略协调。以色列的网络行动经常被誉为世界上最先进的网络行动之一。虽然以色列最近几天没有看到网络攻击大幅升级,但威尔士表示,以色列国家网络管理局观察到拒绝服务攻击和网络篡改“这在不太成熟的攻击者中相当常见”。
https://www.nextgov.com/cybersecurity/2023/10/us-cyber-agencies-very-close-contact-israel-after-unprecedented-hamas-attacks/391156/
2、立法者要求社交媒体公司在虚假信息泛滥中采取行动
能源和商业委员会的高级成员呼吁X(前Twitter)、Meta、YouTube和其他社交媒体平台“立即采取行动”,以遏制哈马斯袭击以色列后暴力内容和虚假信息在其平台上的传播。“目前,令人不安的内容和故意的虚假信息正在社交媒体上像野火一样蔓延。必须阻止它。社交媒体公司决不能允许其平台成为恐怖主义宣传和暴力的代理人,”民主党众议员弗兰克·帕隆 (Frank Pallone) 表示。“现在必须认真对待这一威胁,以便社交媒体平台不被用来传播或广播暴力和恐怖主义的图形行为。“帕隆进一步呼吁社交媒体公司“大力执行其服务条款,立即删除违反这些条款的内容”,并禁止试图传播或广播“恐怖、暴力或极端主义行为”的用户。在此警告之前,许多媒体报道称,尽管Meta和TikTok等公司加大了内部努力和资源来处理误导性内容,但网上虚假信息仍在猖獗。周二(10日),欧盟委员蒂埃里·布雷顿警告X所有者埃隆·马斯克(Elon Musk),该平台“被用来在欧盟传播非法内容和虚假信息”,包括“重新利用不相关武装冲突的旧图像或实际上源自电子游戏的军事镜头。”即使是总统也可能成为此类虚假信息的受害者。
https://www.nextgov.com/digital-government/2023/10/lawmaker-demands-action-social-media-companies-amid-disinformation-deluge/391163/
3、爱沙尼亚太空政策负责人表示,地缘政治紧张局势推动了对太空经济的兴趣和投资飙升
爱沙尼亚太空政策负责人保罗·利亚斯表示,对卫星通信连接和地球观测数据的需求激增,加上乌克兰持续冲突和国际地缘政治紧张局势不断升级,引发了人们对太空经济的兴趣和大量投资。这种兴趣导致了网络安全对于天基应用、系统和硬件的商业和运营重要性。爱沙尼亚经济事务和通信部空间主管Liias在今年的软件定义空间会议(SDSC)之前发表讲话时在一份电子邮件声明中指出,天基系统和技术在经济和发展中发挥着越来越重要的作用。人们的日常生活 - 无论是通过卫星提供的通信、数据或内容服务:为陆地、海上或空中的车辆提供导航:或收集准确的科学数据以改善天气和环境监测的目的。“监管为企业提供了法律确定性,但过度监管可能会减慢创新速度,”利亚斯继续说道。“监管面临的挑战是让它有意义但不具有限制性。创新的快速发展使得人们很难预测未来几年太空经济将会发生什么。各国政府和欧盟等国际机构应与私营部门合作,制定鼓励增长并指导航天工业方向的政策,但这些政策也必须足够灵活,以适应不断变化的情况。”本月早些时候,欧盟委员会在欧盟空间计划署(EUSPA)的支持下,发起了一项征集活动,征集建立和参与欧盟空间信息共享与分析中心(ISAC)的兴趣。
https://industrialcyber.co/critical-infrastructure/estonias-space-policy-chief-flags-soaring-interest-investment-in-space-economy-driven-by-geopolitical-tensions/
4、Progress Software公司面临数十起集体诉讼和SEC调查
继5月份利用一个严重漏洞后,流行文件传输工具背后的公司面临着数十起诉讼和多家美国机构的调查。拥有MOVEit文件传输工具的Progress Software本周报告了其季度收益,并提供了与影响MOVEit的网络安全事件相关的成本的详细明细,以及该公司目前面临的诉讼。全球数百个关键组织报告称,Clop广泛盗窃了数据,Clop 是一个讲俄语的勒索软件团伙,拥有利用文件传输软件漏洞的良好记录。根据本周提交的监管文件,Progress Software表示已收到23个MOVEit客户的正式信件,要求赔偿,产品所有者将承担诉讼带来的财务费用。还有一家未具名的保险公司寻求赔偿因MOVEit漏洞造成的所有费用。该公司向美国证券交易委员会表示:“我们是58起集体诉讼的当事人,这些诉讼的当事人声称受到了MOVEit Transfer客户环境中数据泄露的影响。”并指出,上周一个司法小组下令这些诉讼应合并并在马萨诸塞州的美国地方法院审理。安全公司Emsisoft估计超过6200万人和 2000个组织受到MOVEit漏洞的影响。针对Progress Software提起集体诉讼的一名律师此前曾对Recorded Future News表示,此次泄露事件是一场“规模惊人的网络安全灾难”。
https://therecord.media/progress-facing-lawsuits-sec-action
5、芬兰情报机构警告俄罗斯将芬兰视为“敌对国家”
芬兰安全和情报局(Supo)周四(10月12日)在涉嫌针对该国海上基础设施的破坏行为后警告称,“芬兰和俄罗斯之间的关系已严重恶化”。苏波在一份国家安全概述中表示:“虽然针对关键基础设施的情报威胁和影响行动有所增加,但在不久的将来对芬兰基础设施运营造成严重影响的可能性仍然不大。”苏波说,克里姆林宫“目前将芬兰视为敌对国家”。该声明是在上周日凌晨可能发生的破坏行为之后发表的,破坏了芬兰和爱沙尼亚之间邻近的海底电信电缆和天然气管道。芬兰当局尚未将这起事件归咎于任何人,不过芬兰总统绍利·尼尼斯托(Sauli Niinistö)的办公室表示,当局怀疑此次损害可能是“外部活动”造成的。小报《Iltalehti》的报道援引消息人士的话称,俄罗斯涉嫌袭击该管道。当该国总理佩特里·奥尔波被问及俄罗斯的潜在罪责时,他说:“重要的是,对此事进行彻底调查,现阶段不要做出太过分的结论。”周四,Supo 主任安蒂·佩尔塔里 (Antti Pelttari) 表示:“俄罗斯目前仍然关注乌克兰战争和缓解国际孤立,但这并不意味着俄罗斯情报的威胁和对芬兰的影响力已经消失。”该情报机构警告说,芬兰的海洋基础设施仍然“比陆地设施更脆弱”,尽管它评估该国已做好应对此类威胁的充分准备。
https://therecord.media/finland-russia-supo-statement-pipeline-undersea-cable
6、DARPA担心战场混合现实容易受到“认知攻击”
DARPA正在启动一项计划,以阻止混合现实耳机的“认知攻击”,理论上,混合现实耳机部署后可能会削弱未来的作战人员的能力。即将推出的内在认知安全(ICS)项目已于本周进行招标,同时还有10月20日的投标人日。当天,DARPA官员将让投标人知道他们到底想要从ICS系统中获得什么,以防止针对目标的攻击士兵的感觉。根据DARPA的通知,认知攻击被定义为“利用用户和MR设备之间的密切联系”的任何对抗行为。此类攻击与典型的网络攻击有很多共同点,例如通过信息洪流强制延迟、注入虚拟数据或破坏个人区域网络。认知攻击不仅仅会破坏MR耳机,还可能包括植入现实世界的物体来淹没显示器、使用物理物体引起误报以及使用眼动仪来评估佩戴者正在做什么等行为。最终的结果是,一名士兵戴着耳机,要么向他们发送错误信息,要么硬件变得非常滞后,导致他们感到恶心并且无法工作。DARPA在招标公告中表示:“该计划的核心技术假设是,可以通过认知保证和模型来扩展正式方法,以保护混合现实用户免受认知攻击。”
https://www.theregister.com/2023/10/12/darpa_worried_battlefield_mixed_reality/
7、欧洲考虑开源TETRA应急服务加密算法
在今年夏天发现的安全漏洞引起公众强烈反对后,欧洲电信标准协会(ETSI)可能会开源用于保护紧急无线电通信的专有加密算法。“负责TETRA算法的ETSI技术委员会正在讨论是否将其公开,”欧洲标准机构发言人Claire Boyer告诉The Register。她表示,委员会将在10月26日举行的下次会议上讨论该问题,并补充道:“如果未能达成共识,将进行投票。”TETRA是地面集群无线电协议,在欧洲、英国和其他国家/地区使用,以确保政府机构、执法机构、军事和紧急服务组织使用的无线电通信的安全。今年7月,荷兰一家安全公司发现了TETRA中的五个漏洞,其中两个被认为是严重漏洞,这些漏洞可能允许犯罪分子解密通信(包括实时解密)、注入消息、对用户进行去匿名化或将会话密钥设置为零以进行上行链路拦截。Midnight Blue研究人员将这些影响所有TETRA网络的漏洞称为TETRA:BURST。当时ETSI淡化了这些缺陷,并表示该缺陷已于去年10月修复,并指出“它不知道运营网络有任何积极的利用”。然而,它确实面临安全界对其对漏洞的反应以及加密算法的专有性质的批评,这使得对紧急网络系统进行适当的渗透测试变得更加困难。
https://www.theregister.com/2023/10/12/etsi_tetra_open_source/
8、安全研究发现人工智能安全护栏很容易被破坏
事实证明,为防止OpenAI的GPT-3.5 Turbo等大型语言模型(LLM)喷出有毒内容而创建的“护栏”非常脆弱。来自普林斯顿大学、弗吉尼亚理工大学、IBM研究中心和斯坦福大学的一组计算机科学家对这些法学硕士进行了测试,看看所谓的安全措施是否能够抵御旁路尝试。他们发现,适度的微调(模型定制的额外培训)可以抵消旨在防止聊天机器人提出自杀策略、有害食谱或其他类型有问题内容的人工智能安全努力。例如,有人可以通过API注册使用GPT-3.5 Turbo或云中的其他一些LLM,对其进行一些微调以避开LLM制造商所采取的任何保护措施,并将其用于恶作剧和严重破坏。还可以采用Meta的Llama 2(一种可以在本地运行的模型)之类的东西,并对其进行微调以使其脱离轨道,尽管我们认为这总是有可能的。API路线对我们来说似乎更危险,因为我们想象云托管模型周围有更实质性的护栏,这些护栏可能会通过微调而被打破。研究人员——Xiangyu Qi、Yi Zeng、Tinghao Xie、Pin-Yu Chen、Ruoxi Jia、Prateek Mittal和Peter Henderson——在最近的预印本论文《微调对齐语言模型会损害安全性,即使用户这样做》中描述了他们的工作无意!”作者在论文中解释道:“我们的红队研究发现,LLM的安全一致性可能会因仅使用少数对抗性设计的训练示例进行微调而受到损害。”
https://www.theregister.com/2023/10/12/chatbot_defenses_dissolve/?td=rt-3a
9、ShellBot僵尸网络使用十六进制IP地址来逃避检测
ShellBot僵尸网络背后的攻击者使用十六进制转换的IP地址渗透易受攻击的Linux SSH服务器并部署恶意软件以发起DDoS攻击。AhnLab Security (ASEC)12日发布的一份新报告指出:“整体黑客行为保持不变,但攻击者用于安装ShellBot的下载URL已从常规IP地址更改为十六进制值。”ShellBot,也称为PerlBot,通过字典攻击危害SSH数据较弱的服务器的安全。该恶意代码用于发起DDoS攻击并交付加密货币矿工。该僵尸网络的 恶意代码是用Perl开发的,使用IRC协议与C2命令和控制服务器进行通信。最近观察到的ShellBot攻击使用十六进制IP地址安装恶意软件。例如,为IP地址“hxxp://0x2763da4e/”创建通信通道,其对应地址“hxxp://39.99.218.78”。这种连接方法工作正常,不会引起检测,由此我们可以得出结论,黑客故意想出这样的伎俩来绕过基于URL的检测。该恶意软件的发展表明ShellBot继续被积极用于Linux系统的网络攻击。由于ShellBot可用于安装其他恶意软件或从受感染的服务器发起各种类型的攻击,因此建议使用强口令并定期更改。
https://www.securitylab.ru/news/542670.php
10、黑客利用证书滥用来分发LummaC2和RecordBreaker
最近,网络犯罪分子一直在使用一种非常复杂的新方法来滥用证书来传播恶意软件。其主要目标是窃取凭证和其他机密信息。在某些情况下,黑客的目标也可能是窃取加密货币。该活动利用SEO中毒来提供搜索结果,从而导致提供被黑客攻击的软件的恶意页面。韩国ASEC的研究人员在10月10日的一份报告中指出,虽然非法“破解”在网站前台进行广告宣传,但名为LummaC2 和 RecordBreaker(又名Raccoon Stealer V2)的远程访问木马会在后台传送到受害者的计算机上。除了通过含有非法软件的网站进行传播外,研究人员还注意到RecordBreaker还通过 YouTube和其他恶意软件进行传播。需要注意的是,该恶意软件使用非标准证书,这些证书在“主题名称”和“颁发者名称”字段中包含异常长的字符串,使得它们对Windows系统不可见。字幕包括阿拉伯语、日语和英语以外的其他语言,以及特殊字符。研究人员检查的真实攻击中使用的最新恶意软件实例包含一行旨在下载和执行PowerShell命令的恶意代码。LummaC2和Raccoon Stealer在安全专业人士中广为人知。一旦被感染,它们就可以传输敏感信息,例如存储在浏览器中的凭据、文档、加密货币钱包文件等。
https://www.securitylab.ru/news/542668.php
11、ToddyCat黑客使用“一次性”恶意软件瞄准亚洲电信公司
自2021年以来,一项新发现的名为“Stayin' Alive”的活动一直针对亚洲各地的政府组织和电信服务提供商,使用各种“一次性”恶意软件来逃避检测。网络安全公司Check Point发现该活动的大部分目标都位于哈萨克斯坦、乌兹别克斯坦、巴基斯坦和越南,而该活动仍在进行中。这些攻击似乎源自名为“ToddyCat”的间谍活动,该活动依靠携带恶意附件的鱼叉式网络钓鱼消息来加载各种恶意软件加载程序和后门。研究人员解释说,威胁行为者使用许多不同类型的自定义工具,他们认为这些工具是一次性的,可以帮助逃避检测并防止相互关联的攻击。“本报告中描述的各种工具都是定制的,并且可能很容易一次性使用。因此,它们与任何已知的工具集都没有明显的代码重叠,甚至相互之间也没有重叠,”Check Point解释道。攻击首先是针对关键组织中的特定个人发送的鱼叉式网络钓鱼电子邮件,敦促他们打开随附的ZIP文件。该存档包含一个数字签名的可执行文件,其名称与电子邮件上下文相匹配,以及一个恶意DLL,该DLL利用Audinate的Dante Discovery软件中的漏洞(CVE-2022-23748)在系统上旁加载“CurKeep”恶意软件。
https://www.bleepingcomputer.com/news/security/toddycat-hackers-use-disposable-malware-to-target-asian-telecoms/
12、勒索软件攻击现在针对未修补的WS_FTP服务器
未针对最高严重漏洞修补的暴露于互联网的WS_FTP服务器现在成为勒索软件攻击的目标。正如Sophos X-Ops事件响应人员最近观察到的那样,自称为Reichsadler网络犯罪组织的威胁参与者试图部署使用2022年9月被盗的LockBit 3.0构建器创建的勒索软件有效负载,但未成功。Sophos X-Ops表示:“勒索软件攻击者很快就利用了最近报告的WS_FTP服务器软件中的漏洞( CVE-2023-40044)。”“尽管Progress Software于2023年9月发布了针对此漏洞的修复程序,但并非所有服务器都已修补。Sophos X-Ops观察到通过未修补的服务部署勒索软件的尝试未成功。”攻击者尝试使用开源GodPotato工具进行权限升级,该工具允许跨Windows客户端(Windows 8到Windows 11)和服务器(Windows Server 2012到Windows Server 2022)平台将权限升级到“NT AUTHORITY\SYSTEM”。幸运的是,他们在受害者系统上部署勒索软件有效负载的尝试遭到挫败,从而阻止了攻击者加密目标数据。尽管他们未能加密文件,威胁行为者仍然要求支付500美元的赎金,并在莫斯科标准时间10月15日之前支付。低赎金要求暗示暴露在互联网上且易受攻击的WS_FTP服务器可能成为大规模自动攻击或缺乏经验的勒索软件操作的目标。
https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/
13、CISA发布新资源,识别与勒索软件相关的已知被利用漏洞和错误配置
10月12日,作为勒索软件漏洞警告试点(RVWP)的一部分,CISA推出了两项新资源来打击勒索软件活动:KEV目录中的“已知用于勒索软件活动”列,用于标识与勒索软件活动相关的KEV。StopRansomware.gov上的“勒索软件活动中已知的错误配置和弱点”表识别了与勒索软件活动相关的错误配置和弱点。该表有一列标识了针对每个错误配置或弱点的网络性能目标(CPG)操作。这两个新资源将通过提供针对特定KEV、错误配置和与勒索软件相关的弱点的缓解措施,帮助组织提高网络安全性。CISA鼓励所有组织查看有关RVWP工作的博客、新的KEV目录 专栏和更新的StopRansomware.gov网站 ,并立即实施适用的缓解措施。
https://www.cisa.gov/news-events/alerts/2023/10/12/cisa-releases-new-resources-identifying-known-exploited-vulnerabilities-and-misconfigurations-linked
14、DarkGate运营商使用Skype、Teams Messages分发恶意软件
威胁行为者正在使用受损的Skype和Microsoft Teams帐户来分发DarkGate,这是一种与多种恶意活动相关的麻烦加载程序,包括信息盗窃、键盘记录、加密货币挖掘程序和Black Basta等勒索软件。据跟踪该活动的趋势科技研究人员称,该活动似乎于8月份开始,其中41%的目标是美洲的组织。在本周的一份报告中,趋势科技还表示,其研究人员观察到DarkGate的开发商开始在地下论坛上宣传该恶意软件,并以恶意软件即服务的方式将其出租给附属威胁行为者。经过多年的单独行动,这次转变导致DarkGate活动在相对平静之后最近激增。趋势科技目前正在跟踪的DarkGate活动的运营商正在使用Skype和Teams来分发恶意软件。攻击者基本上使用受损的Skype帐户劫持现有消息线程并发送一条看似包含PDF文件但实际上是恶意VBS脚本的消息。当接收者执行该文件时,它会启动一系列步骤来下载并在目标计算机上安装DarkGate。
https://www.darkreading.com/attacks-breaches/darkgate-operator-skype-teams-messages-distribute-malware
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement