其他
20231017-5th域安全微讯早报-No.248
网络空间安全对抗资讯速递
2023年10月17日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-248 星期二
今日热点导读
资讯详情
1、FBI-NCSC 联合公告显示俄罗斯情报部门继续对美国构成重大威胁美国联邦调查局(FBI)和国家反情报与安全中心(NCSC)发布联合公告,强调尽管乌克兰入侵后军事上遭遇重大挫折,但俄罗斯情报部门仍然对美国构成重大威胁。俄罗斯情报部门及其同伙持续关注通过间谍活动、影响力行动和网络活动瞄准美国,同时努力削弱美国及其盟国对乌克兰的支持。“他们的目标包括美国政府、商业和私营部门,以获取有关美国计划和意图、军事和技术进步的宝贵信息。他们还针对美国公众在我们的社会中散播异议,”NCSC在LinkedIn 的一篇帖子中详细介绍道。该出版物提供了一些步骤,“可以帮助您、您的组织和社区更加了解并更好地准备抵御俄罗斯情报活动。”公报称,近几个月来,美国政府对几名俄罗斯情报人员及其同伙实施了针对美国的活动的制裁,欧洲各国当局也逮捕并指控了一些涉嫌在本国从事俄罗斯间谍活动的人。于间谍活动,FBI-NCSC 公告指出,俄罗斯情报部门招募消息来源和特工来收集影响俄罗斯利益的经济、政治、安全和技术发展信息。 https://industrialcyber.co/critical-infrastructure/russian-intelligence-services-continue-to-pose-significant-threats-to-us-reveals-fbi-ncsc-joint-bulletin/
2、美国HC3警告NoEscape勒索软件组织持续攻击医疗保健行业美国卫生与公众服务部卫生部门网络安全协调中心(HC3)部门发布了一份分析报告,内容涉及NoEscape勒索软件,这是网络犯罪社区中相对较新的黑客和勒索软件组织。该说明提供了该组织的概述、与Avaddon威胁组织的可能联系、对NoEscape勒索软件攻击、其目标行业和受害者国家的分析、MITRE ATT&CK技术示例以及针对勒索软件的防御和缓解措施的建议。该说明指出,NoEscape勒索软件于今年5月出现,但据信是Avaddon的更名,Avaddon是一个现已解散的勒索软件组织,已于2021年关闭。此外,利用独特的功能和激进的多重勒索策略,在不到今年,该集团瞄准了多个行业,包括医疗保健和公共卫生 (HPH) 领域。由于NoEscape 作为RaaS运营,其目标因附属机构和买家而异。HC3认为,NoEscape可能是网络威胁领域的新事物,但在其短暂存在的时间内,它已被证明是一个强大的对手。https://industrialcyber.co/medical/hc3-warns-of-noescape-ransomware-group-targeting-healthcare-sector-linked-to-defunct-avaddon-group/
3、墨西哥的一座监视塔成为隐私倡导者不安的地标墨西哥奇瓦瓦州的一监控大楼已配备1,791个自动车牌读取器、3,065个云台变焦摄像机、74架无人机。来自附近企业和居民拥有的摄像头的实时直播。生物识别过滤器不断运行以支持面部识别。连接整个城市的基础设施。这些监控工具和许多其他工具将嵌入墨西哥的Torre Centinela(哨兵塔),这是一座耗资近2亿美元的20层监控巨塔,位于墨西哥奇瓦瓦州,沿着美国边境延伸。根据德克萨斯州州长格雷格·阿博特和奇瓦瓦州州长马鲁·坎波斯之间的谅解备忘录(MOU),据说这座塔代表了“我们作为边境国家关系的新时代”。虽然德克萨斯州参与的细节尚不清楚,但2022年4月,雅培和坎波斯出现在新闻发布会上,公布了谅解备忘录,坎波斯告诉记者,Centinela项目将使德克萨斯州当局“关注边境这边”。自2022年夏天以来,这座塔一直在臭名昭著的暴力华雷斯城建设,同时其潜在影响似乎还在扩大,吸引了边境两侧活动人士和隐私倡导者的注意。最近几周,奇瓦瓦州公安部部长吉尔伯托·洛亚(Gilberto Loya)宣布对该项目进行新的监控:加油站、企业、餐馆和普通公民将被要求将自己的摄像头输入系统。https://therecord.media/torre-centinela-sentinel-tower-chihuahua-ciudad-juarez-texas-surveillance
4、美国堪萨斯州法院电子系统因涉嫌勒索软件攻击而关闭在上周涉嫌勒索软件攻击后,堪萨斯州各地的法院面临着各种问题。托皮卡市周日宣布,其市法院以及缓刑和起诉部门将于周一(10月16日)不对公众开放,而堪萨斯州最高法院则完全使用纸质记录进行运作。堪萨斯州塞奇威克县法官Philip Journey告诉当地新闻媒体KAKE,此次服务中断是由于勒索软件攻击造成的。Journey办公室没有回应有关哪个组织发起攻击或是否已发放赎金的置评请求。堪萨斯州最高法院周四(12日)发布了一项行政命令,称截至10月15日-周日,法院书记员办公室将无法进行电子归档。该法院周一发布了一份新声明,称法院仍在开放,但仅使用纸质记录。周一(16日)联系堪萨斯州最高法院的一名书记员时表示,他们的电子邮件系统仍然处于关闭状态,但不会提供更多信息。首席大法官玛拉·卢克特已发布声明。他们不知道系统何时会恢复,但“正在与多个来源的专家合作,查明安全事件发生了什么、如何发生以及影响范围有多大。”最高法院表示,决定暂停电子归档,以“给司法部门时间来审查导致法院系统访问中断的安全事件”。https://therecord.media/kansas-courts-closed-ransomware-attack
5、黑客利用WordPress Royal Elementor插件的严重缺陷两个WordPress安全团队正在积极利用影响Royal Elementor插件和模板(最高版本为 1.3.78)的严重漏洞。由于该漏洞是在供应商发布补丁之前发现的,因此该漏洞被黑客用作零日漏洞。“WP Royal”的Royal Elementor插件和模板是一个网站构建工具包,无需编码知识即可快速创建Web元素。据WordPress.org称,它的活跃安装量超过200,000次。影响该附加组件的缺陷被追踪为CVE-2023-5360(CVSS v3.1:9.8“严重”),允许未经身份验证的攻击者在易受攻击的网站上执行任意文件上传。尽管该插件具有扩展验证功能,可将上传限制为仅允许特定的文件类型,但未经身份验证的用户可以操纵“允许列表”来绕过清理和检查。攻击者可能通过此文件上传步骤实现远程代码执行,从而导致网站完全受损。有关该缺陷的其他技术细节已被隐瞒,以防止广泛利用。WordPress安全公司Wordfence和WPScan (Automattic) 自 2023年8月30日起已将CVE-2023-5360标记为被积极利用,攻击量从2023年10月3日开始不断增加。https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-wordpress-royal-elementor-plugin/
6、Signal表示没有证据表明传闻中的零日漏洞是真实存在的Signal Messenger对周末网上流传的与“生成链接预览”功能相关的零日安全漏洞的谣言进行了调查,并表示没有证据表明该漏洞是真实的。在此声明发布之前,众多消息来源告诉BleepingComputer并在Twitter上报道称 ,一个新的零日漏洞允许完全接管设备。在昨晚(15日)联系Signal 零日漏洞后,Signal 在Twitter上发布了一份声明,表示他们已经调查了谣言,没有发现任何证据表明该缺陷是真实的。Twitter上的一份声明称:“PSA:我们已经看到了指控Signal 0day漏洞的模糊病毒报告。“经过负责任的调查*我们没有证据表明该漏洞是真实的*也没有通过我们的官方报告渠道分享任何其他信息。”“我们还与美国政府各个部门的人员进行了核实,因为复制粘贴报告声称美国政府是消息来源。我们采访过的人没有任何信息表明这是一个有效的说法,”BleepingComputer目前仍无法证实这些说法的有效性,尽管我们从许多声称具有相同来源的人那里听到了这些说法。虽然Signal表示他们没有新的零日漏洞的证据,但他们仍然要求那些拥有新的“真实”信息的人联系他们的安全团队。https://www.bleepingcomputer.com/news/security/signal-says-there-is-no-evidence-rumored-zero-day-bug-is-real/
7、以色列的假“RedAlert”火箭警报应用程序安装Android间谍软件以色列Android用户成为“RedAlert – Rocket Alerts”应用程序恶意版本的目标,该应用程序虽然提供了承诺的功能,但在后台充当间谍软件。RedAlert – Rocket Alerts是一款合法的开源应用程序,以色列公民使用它来接收针对该国的来袭火箭弹的通知。该应用程序非常受欢迎,在Google Play上的下载量超过一百万次。自从哈马斯恐怖分子上周在以色列南部发动袭击,使用数千枚火箭弹以来,随着人们寻求有关其地区即将发生的空袭的及时警告,对该应用程序的兴趣激增。据Cloudflare称,动机和来源不明的黑客正在利用人们对该应用程序日益浓厚的兴趣以及对攻击的恐惧来分发安装间谍软件的假版本。该恶意版本是从“redalerts[.]me”网站分发的,该网站创建于2023年10月12日,包含两个用于下载 iOS和 Android平台应用程序的按钮。iOS下载会将用户重定向到 Apple App Store上的合法项目页面,但Android按钮会直接下载要安装在设备上的APK文件。Cloudflare发现该应用程序向受害者请求额外权限。启动后,该应用程序会启动一个后台服务,该服务会滥用这些权限来收集数据,在CBC模式下使用AES对其进行加密,然后将其上传到硬编码的IP地址。https://www.bleepingcomputer.com/news/security/fake-redalert-rocket-alert-app-for-israel-installs-android-spyware/
8、亲俄罗斯黑客在新活动中利用最近的WinRAR漏洞亲俄罗斯黑客组织利用了WinRAR压缩归档实用程序中最近披露的安全漏洞,作为网络钓鱼活动的一部分,旨在从受感染的系统中获取凭据。Cluster25在上周发布的一份报告中表示:“这次攻击涉及使用恶意存档文件,这些文件利用了最近发现的影响WinRAR压缩软件6.23版本之前版本的漏洞,该漏洞被追踪为CVE-2023-38831。”该存档包含一个诱杀PDF文件,单击该文件会导致执行Windows批处理脚本,该脚本启动PowerShell命令以打开反向shell,使攻击者可以远程访问目标主机。还部署了一个PowerShell脚本,该脚本可从Google Chrome和Microsoft Edge浏览器窃取数据,包括登录凭据。捕获的信息通过合法的Web服务webhook[.] site泄露。CVE-2023-38831是指WinRAR 中的一个高严重性缺陷,该缺陷允许攻击者在尝试查看ZIP存档中的良性文件时执行任意代码。Group-IB于2023年8月的调查结果披露,自2023年4月以来,该漏洞已被武器化为零日漏洞,用于针对交易者的攻击。https://thehackernews.com/2023/10/pro-russian-hackers-exploiting-recent.html
9、SpyNote:记录音频和电话通话的Android木马被称为SpyNote的Android银行木马已被剖析,揭示了其多样化的信息收集功能。F-Secure表示,涉及间谍软件的攻击链通常通过短信网络钓鱼活动传播,诱骗潜在受害者通过单击嵌入的链接来安装应用程序。除了请求访问通话记录、摄像头、短信和外部存储的侵入性权限外,SpyNote还因在Android主屏幕和最近屏幕上隐藏其存在而闻名,以使其难以避免检测。F-Secure研究员Amit Tambe在上周发布的一份分析中表示:“SpyNote恶意软件应用程序可以通过外部触发器启动。” “收到意图后,恶意软件应用程序将启动主要活动。”但最重要的是,它寻求可访问权限,随后利用它授予自己额外的权限来录制音频和电话呼叫、记录击键以及通过MediaProjection API 捕获手机屏幕截图。Tambe说:“SpyNote样本是间谍软件,它会记录和窃取各种信息,包括击键、通话记录、已安装应用程序的信息等。” “它隐藏在受害者的设备上,很难被注意到。它也使得卸载变得极其棘手。”https://thehackernews.com/2023/10/spynote-beware-of-this-android-trojan.html
10、俄罗斯媒体和电信运营商正在为2025年网络攻击做准备从2025年起,俄罗斯媒体和电信运营商将必须遵守数字发展部制定的新信息安全 (IS) 要求。Vedomosti参考行业消息来源报道了这一点 。据该出版物称,这一要求将适用于第一和第二影院的所有电视频道,以及《俄罗斯报》、《俄塔社-塔斯社》和《MIA Rossiya Segodnya》。此外,从2025年1月1日起,同样的要求将适用于移动通信和卫星电视运营商。该要求的实质是俄罗斯媒体和运营商必须建立负责信息安全问题的内部结构单位,并且只能使用国内信息安全工具(IPS)。禁止使用来自不友好国家的信息安全服务。专家认为,满足新的要求将面临许多财务和技术方面的困难。一方面,创建信息安全部门需要企业额外投资。根据业务规模,新结构的投资将需要500万至5000万卢布/年。此外,信息安全架构的建立也需要时间——据专家介绍,此类单位的组建和员工培训需要两到五年的时间。另一方面,更换信息保护系统也需要额外的成本。电信运营商使用许多不同的安全措施,因为他们拥有非常庞大的基础设施。其中一些很难或不可能用国内解决方案替代。https://www.securitylab.ru/news/542759.php
11、美国海军为其不断变化的信息架构准备新的战略“蓝图”海军作战部副数据官内森·哈根 (Nathan Hagan) 周五(13日)证实,海军作战部长办公室的官员正在制定一个新的概念蓝图,该蓝图旨在反映其组织庞大的信息架构中许多经常变化的元素。在AFCEA NOVA海军IT日会议的小组讨论中,Hagan简要介绍了这一新的正在进行中的计划,他表示该计划的设计目的是为了将来不断更新。它的灵感来自2018年海军陆战队信息环境蓝图。Hagan介绍,他们采用了与海军陆战队之前的指导相同的方法。这个蓝图就是其战略文件。因为它随着新技术的引入而不断变化和发展。但它概述了企业架构视图的样子,对于首席数据官来说,真正的关键是定义总体架构 - 并由此定义需求,然后将其部署到各个系统并进行部署。海军陆战队蓝图大约在五年前制定,旨在帮助指导和通报海军陆战队远征军信息组(MIG)的能力。这些部队于2017年组建,支持各海军陆战队远征部队,并将电子战与情报、通信、军事信息支援行动、太空、网络和通信战略相结合,为海军陆战队远征部队指挥官提供信息优势。哈根指出,新蓝图正在起草,因为官员们正在“重构海军信息系统的整个架构”,同时他们也在努力对相关技术和企业基础数据进行更可持续和持久的投资基础设施。https://defensescoop.com/2023/10/16/navy-preps-new-strategic-blueprint-for-its-ever-changing-information-architecture/
12、美国陆军航空兵正在规划将自主化融入未来机队的路径随着陆军致力于实现军种航空组合的现代化,负责这项工作的官员热衷于在未来机队中以各种方式整合人工智能和自主性——尽管完全实现这种能力将需要一个过程。“有一条通往自治的道路。陆军航空兵分部负责人迈克尔·麦凯里少将在一次小组讨论中表示:“这并不是说我们不自主,然后(突然)我们实现了自主——这将是一个分级尺度,或者我将其设想为阶梯。” AUSA年度会议上的讨论。“我们知道,到 2030年,我们将能够比现在更加自主地完成更多工作,到2040年,我们将比2030年更加自主。”该军种目前正在改造其机队——从现代化有人驾驶直升机,如未来攻击侦察机FARA)和未来远程攻击机(FLRAA),到完全自主平台,如未来战术无人机系统(FTUAS)和更小型的平台。称为发射效应的系统。将自主化和人工智能集成到陆军机队中符合陆军对“人机集成”的新重视。陆军希望未来的地面和空中编队能够配备能够与对手进行首次接触的机器人。陆军未来司令部未来垂直升空跨职能团队主任凯恩·贝克将军表示,官员们正在寻求分两步将自主能力整合到未来舰队中。https://defensescoop.com/2023/10/16/army-aviation-autonomous-capabilities/
13、亲以色列黑客组织“掠夺性麻雀”再次出现一个名为“Predatory Sparrow”的亲以色列黑客组织在过去一周重新出现。上周,该组织以当前的加沙冲突为由,发布了该组织一年多以来的第一条推文,称:“你认为这很可怕吗?我们回来了。我们希望你关注加沙事件”关于美国派遣战斗机和军舰支持以色列的报告的链接。Predatory Sparrow是一种已知的威胁,研究人员认为这是一种相对复杂的以色列黑客行动。它在伊朗有破坏性袭击的历史,旨在让伊朗政府难堪。据Cyberscoop报道,2021年10月,伊朗 与国家燃油泵网络相连的支付系统遭到攻击,而2022年6月,钢铁设施遭到多次攻击,显然是为了回应未具体说明的“侵略”行为。谷歌云Mandiant Intelligence首席分析师约翰·胡尔特奎斯特 (John Hultquist)在上周的新闻发布会上表示,该组织在伊朗境内发动一系列袭击后,及时重新出现,使其“肯定值得关注”。https://www.darkreading.com/dr-global/pro-israeli-hacktivist-group-predatory-sparrow-reappears
14、未修补的关键思科零日漏洞正在被积极利用思科要求客户立即禁用所有面向互联网的IOS XE设备上的HTTPS服务器功能,以防止攻击者主动利用操作系统Web用户界面中的严重零日漏洞。Cisco IOS XE是思科用于其下一代企业网络设备的操作系统。该缺陷编号为 CVE-2023-20198,影响所有启用了Web UI功能的Cisco IOS XE设备。目前还没有针对该缺陷的补丁或其他解决方法,思科将其描述为可实现完全设备接管的权限升级问题。思科已根据CVSS等级为该漏洞指定最高可能的严重性评级为10分。思科在10月16日关于新的零日漏洞的公告中表示:“该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有15级访问权限的帐户。” “然后攻击者可以使用该帐户来控制受影响的系统。” Cisco IOS系统上的权限级别15基本上意味着可以完全访问所有命令,包括重新加载系统和进行配置更改的命令。一名未知攻击者一直在利用该漏洞访问思科面向互联网的 IOS XE设备,并植入Lua语言植入程序,以便在受影响的系统上执行任意命令。https://www.darkreading.com/vulnerabilities-threats/critical-unpatched-cisco-zero-day-bug-active-exploit
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement