20231018-5th域安全微讯早报-No.249
网络空间安全对抗资讯速递
2023年10月18日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-249 星期三
今日热点导读
3、智利政府在海关事件后警告Black Basta勒索软件攻击4、OpenSSF推出恶意软件包存储库5、针对Telegram、AWS和阿里云用户的供应链攻击6、Discord:针对关键基础设施的民族国家黑客的游乐场7、开源CasaOS云软件中发现的严重漏洞8、CERT-UA报告:11家乌克兰电信提供商遭受网络攻击9、专家警告Milesight路由器和Titan SFTP服务器存在严重缺陷10、超过10,000台思科设备处于IOS XE零日漏洞的威胁之下11、D-Link确认员工网络钓鱼攻击后数据泄露
12、阿联酋与美国合作加强金融服务网络安全13、麻省理工学院研究:神经网络以与我们思考的方式不同的方式看待世界14、以色列军队如何追踪加沙公民?
资讯详情
1、全球安全机构更新安全设计原则和技术提供商指南
美国网络安全和基础设施安全局 (CISA)与17个美国和国际合作伙伴合作,周一(10月16日)发布了更新的“设计安全”原则联合指南。该文件为技术提供商提供了扩展的原则和指南,以提高其在世界各地使用的产品的安全性,同时还提供了对基本原则和指南的更多见解,并得到了另外八个国际网络安全机构的认可。更新后的指南“改变网络安全风险的平衡:设计安全软件的原则和方法”敦促软件制造商采取必要的紧急措施来交付设计安全的产品,并修改其设计和开发计划,以仅允许设计安全将产品运送给客户。与 CISA、联邦调查局 (FBI)、国家安全局 (NSA) 以及澳大利亚、加拿大、英国、德国、荷兰和新西兰的网络安全机构 (CERT NZ、NCSC-NZ) 一起,共同开发了了最初的版本。更新后的指南得益于与捷克共和国、以色列、新加坡、韩国、挪威、OAS/CICTE CSIRTAmericas Network 和日本(JPCERT/CC 和 NISC)网络安全机构的见解和合作。
https://industrialcyber.co/cisa/global-security-agencies-update-secure-by-design-principles-and-guidance-for-technology-providers/
2、NIST将发布网络更新以引入新的安全控制
美国国家标准与技术研究所正在修改其安全控制措施的各个部分,这是旨在进一步加强美国网络安全态势的更大补丁发布的一部分。补丁是修复现有漏洞的推荐软件系统更新。在NIST定于11月初发布的最新补丁版本5.1.1中,该机构将增强特别出版物800-53中概述的两项现有控制措施,并引入新的安全控制措施。寻求用户社区反馈的公众评议期将于2023年10月31日开放。“NIST认识到我们指导中稳定性和敏捷性的重要性,”该机构在一份声明中表示。控制增强将有相应的评估程序,重点关注身份管理和服务器授权以及加密密钥的保护。NIST表示,它还将进行细微的语法调整和编辑,这不会影响任何安全控制程序或结果,但主要会改变控制的术语。作为一份出版物,SP 800-53充当帮助公共和私营部门用户管理威胁网络安全的网络风险的资源。NIST发言人告诉NextGov/FCW,更新后的新控制措施旨在弥补控制目录中的空白。与 NIST的其他产品一样,风险管理框架中的新控制措施不是强制性的。
https://www.nextgov.com/cybersecurity/2023/10/nist-issue-cyber-updates-introduce-new-security-controls/391242/
3、智利政府在海关事件后警告Black Basta勒索软件攻击
智利海关部门周二(10月17日)处理了一起事件后,智利政府就臭名昭著的黑客团伙发起的勒索软件攻击发出警告。智利国家服务局(负责外贸、进口等的政府部门)的官员周二下午表示,在发现这一事件后,他们能够阻止网络攻击的发展。他们在多个社交媒体网站上表示:“在我们的计算机团队中检测到安全事件后,我们已采取一切必要的预防措施,以免我们的计算机团队和系统面临潜在的漏洞。”“内政部和公共安全部计算机安全事件响应小组 (CSIRT) 制定的所有安全措施和协议均已到位。感谢我们 IT 团队的工作,这一事件不会影响服务的运行连续性,我们正在采取一切必要措施继续在该国不同控制点运行。”在后续消息中,该国计算机安全事件响应小组 (CSIRT)确认这是一次勒索软件攻击,并指出该事件涉及 Black Basta 勒索软件组织,该组织本周在其泄露网站上增加了数十名新受害者。
https://therecord.media/chile-black-basta-ransomware-attack-customs-department
4、OpenSSF推出恶意软件包存储库
为了应对恶意开源软件包日益增长的威胁,开源安全基金会( OpenSSF )推出了一项名为“恶意软件包存储库”的新计划。该存储库可能会成为打击恶意代码的主要参与者,旨在增强开源软件生态系统的安全性和完整性。恶意软件包存储库的推出正值利用恶意开源软件包的网络攻击不断增加之际。例如,臭名昭著的朝鲜国家支持的黑客实体Lazarus Group最近瞄准了区块链和加密货币领域,采用了包括欺骗性npm包在内的狡猾策略来渗透各种软件供应链。Immunefi的加密安全专家表示,2023年第三季度加密行业损失了6.85亿美元,其中30%的资金被Lazarus集团窃取。在这种情况下,共享情报的集中存储库可以充当预警系统,使国际社会能够更迅速地阻止此类攻击。恶意包是恶意软件的一种形式,它伪装成开源包,随后发布到PyPl和NPM等流行的包存储库。虽然易受攻击的代码具有可被利用的无意弱点,但恶意代码是精心设计的,目的是损害或危害其目标。这些恶意软件包用于攻击毫无戒心的开发人员或安装和运行它们的组织。
https://www.hackread.com/openssf-launches-malicious-packages-repository/
5、针对Telegram、AWS和阿里云用户的供应链攻击
网络安全公司Checkmarx发现了一种新的供应链攻击,他们认为该攻击是由一个低调的威胁发起者发起的,该攻击者被追踪为kohlersbtuh15。该活动于2023年9月开始活跃。最近这些恶意攻击的激增促使开源安全基金会 (OpenSSF)于上周推出了其最新举措——恶意软件包存储库。根据 Yehuda Gelb撰写的Checkmarx报告,攻击者使用Python编程软件存储库 (Pypi) 并使用Starjacking和Typosquatting 技术发起攻击。进一步调查显示,该攻击者正在利用Telegram、Amazon Web Services (AWS) 和阿里云弹性计算服务 (ECS) 等平台中的漏洞来攻击开发人员和用户。他们正在利用阿里云的服务,而这三个平台都是其中的一部分。攻击者将恶意代码注入这些平台用来危害用户设备并窃取敏感数据、财务和个人信息以及登录凭据的开源项目中。恶意代码被注入特定的软件功能中,这使得检测恶意行为并解决问题变得非常困难。据报道,kohlersbtuh15向PyPi包管理器启动了一系列针对开源社区的恶意包。
https://www.hackread.com/telegram-aws-alibaba-cloud-supply-chain-attack/
6、Discord:针对关键基础设施的民族国家黑客的游乐场
在威胁行为者滥用合法基础设施达到邪恶目的的最新演变中,新的调查结果表明,民族国家黑客组织已经加入了利用社交平台针对关键基础设施的竞争。近年来,Discord已成为一个利润丰厚的目标,它成为利用其内容交付网络 (CDN)托管恶意软件的沃土,并允许信息窃取者从应用程序中窃取敏感数据,并通过网络钩子促进数据泄露。Trellix研究人员Ernesto Fernández Provecho和David Pastor Sanz在周一(16日)的一份报告中表示:“Discord 的使用很大程度上仅限于任何人都可以从互联网上购买或下载的信息窃取程序和抓取程序。”但这种情况可能正在改变,因为这家网络安全公司表示,它发现了针对乌克兰关键基础设施的工件的证据。目前没有证据表明它与已知的威胁组织有关。研究人员指出:“利用Discord功能的APT恶意软件活动的潜在出现给威胁环境带来了新的复杂性。”Trellix的分析进一步显示,SmokeLoader、PrivateLoader和GuLoader等加载程序是最流行的恶意软件家族之一,它们利用Discord的CDN下载下一阶段的有效负载,包括RedLine、Vidar、Agent Tesla和Umbral等窃取程序。
https://thehackernews.com/2023/10/discord-playground-for-nation-state.html
7、开源CasaOS云软件中发现的严重漏洞
开源CasaOS个人云软件中发现的两个关键安全漏洞可能被攻击者成功利用来实现任意代码执行并接管易受攻击的系统。这些漏洞的编号为CVE-2023-37265和CVE-2023-37266,CVSS 评分均为9.8 分。发现这些漏洞的Sonar安全研究员Thomas Chauchefoin表示,这些漏洞“允许攻击者绕过身份验证要求并获得对CasaOS仪表板的完全访问权限”。更令人不安的是,CasaOS对第三方应用程序的支持可能会被武器化,在系统上运行任意命令,以获得对设备的持久访问或进入内部网络。继2023年7月3日负责任地披露后,这些缺陷在其维护者IceWhale 于2023年7月14日发布的0.4.4 版本中得到了解决。成功利用上述缺陷的结果可能使攻击者能够绕过身份验证限制并获得易受攻击的CasaOS 实例的管理权限。
https://thehackernews.com/2023/10/critical-vulnerabilities-uncovered-in.html
8、CERT-UA报告:11家乌克兰电信提供商遭受网络攻击
乌克兰计算机紧急响应小组 (CERT-UA) 透露,2023年5月至9月期间,威胁行为者“干扰”了该国至少 11 家电信服务提供商。该机构正在追踪名为UAC-0165的活动,并表示入侵导致客户服务中断。攻击的起点是侦察阶段,其中扫描电信公司的网络以识别暴露的RDP或SSH接口以及潜在的入口点。CERT-UA表示:“应该指出的是,侦察和利用活动是通过之前受到损害的服务器进行的,特别是位于乌克兰互联网段的服务器。”“为了通过这些节点路由流量,使用了Dante、SOCKS5和其他代理服务器。”这些攻击因使用名为POEMGATE和POSEIDON的两个专用程序而引人注目,这两个程序能够窃取凭据并远程控制受感染的主机。为了消除取证痕迹,执行名为WHITECAT的实用程序。此外,使用不受多重身份验证保护的常规VPN帐户可以实现对提供商基础设施的持续未经授权的访问。成功入侵后,会尝试禁用网络和服务器设备,特别是Mikrotik设备以及数据存储系统。CERT-UA表示,在2023年10月的第一周,观察到由UAC-0006组织追踪的黑客组织使用SmokeLoader 恶意软件发起了四次网络钓鱼浪潮。
https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html
9、专家警告Milesight路由器和Titan SFTP服务器存在严重缺陷
VulnCheck的新发现显示,影响Milesight工业蜂窝路由器的严重缺陷可能已在现实世界的攻击中被积极利用。该漏洞被追踪为CVE-2023-43261(CVSS 评分:7.5),被描述为影响35.3.0.7 版本之前的UR5X、UR32L、UR32、UR35和UR41路由器的信息泄露案例,可能使攻击者能够访问日志例如httpd.log以及其他敏感凭据。因此,这可能允许远程和未经身份验证的攻击者获得对Web界面的未经授权的访问,从而可以配置VPN服务器,甚至放弃防火墙保护。发现该问题的安全研究人员Bipin Jitiya本月早些时候表示:“由于某些路由器允许发送和接收短信,因此该漏洞变得更加严重。” “攻击者可以利用此功能进行欺诈活动,可能给路由器所有者造成经济损失。”现在,根据 VulnCheck 的Jacob Baines的说法,有证据表明该缺陷可能已在野外小规模被利用。用于实施攻击的凭据是从httpd.log中提取的,暗指CVE-2023-43261的武器化。尽管未知攻击者似乎检查了设置和状态页面,但没有任何进一步恶意行为的证据。据VulnCheck称,虽然大约有5,500个暴露在互联网上的Milesight路由器,但只有大约5%运行易受攻击的固件版本,因此容易受到该缺陷的影响。
https://thehackernews.com/2023/10/experts-warn-of-severe-flaws-affecting.html
10、超过10,000台思科设备处于IOS XE零日漏洞的威胁之下
美国东部时间10月17日16:40更新:添加了有关被破坏的Cisco IOS XE设备的新信息。攻击者利用最近披露的严重零日漏洞通过恶意植入来危害和感染超过10,000台Cisco IOS XE设备。运行Cisco IOS XE软件的产品列表包括企业交换机、汇聚和工业路由器、接入点、无线控制器等。据威胁情报公司VulnCheck称,最高严重性漏洞 (CVE-2023-20198) 已被广泛利用,针对启用了Web用户界面 (Web UI) 功能且还具有 HTTP或HTTPS服务器功能的Cisco IOS XE系统的攻击已打开。VulnCheck 扫描了面向互联网的 Cisco IOS XE Web 界面,发现了数千台受感染的主机。该公司还发布了一款扫描仪来检测受影响设备上的这些植入物。“思科掩盖了这一事实,没有提及数千个面向互联网的IOS XE系统已被植入。这是一个糟糕的情况,因为 IOS XE 上的特权访问可能允许攻击者监控网络流量、进入受保护的网络并执行任何数量的操作。中间人攻击”,VulnCheck首席技术官Jacob Baines说道。Shodan搜索启用了Web UI的思科设备(由Aves Netsec首席执行官Simo Kohonen分享)目前显示超过140,000个暴露在互联网上的设备。
https://www.bleepingcomputer.com/news/security/over-10-000-cisco-devices-hacked-in-ios-xe-zero-day-attacks/
11、D-Link确认员工网络钓鱼攻击后数据泄露
台湾网络设备制造商D-Link证实了一起数据泄露事件,该事件与从其网络中窃取的信息有关,并于本月早些时候在BreachForums上出售。攻击者声称窃取了D-Link的D-View网络管理软件的源代码,以及数百万个包含客户和员工个人信息的条目,其中包括该公司首席执行官的详细信息。据称,被盗数据包括姓名、电子邮件、地址、电话号码、帐户注册日期和用户的上次登录日期。威胁行为者提供了45条被盗记录的样本,时间戳在2012年至2013年之间,这促使该线程中的另一位参与者评论说这些数据看起来非常陈旧。“我攻破了台湾D-Link的内部网络,我拥有300万行客户信息,以及从系统中提取的D-View源代码,”攻击者说。“这确实包括台湾许多政府官员以及公司首席执行官和员工的信息。”自10月1日起,这些数据就可以在黑客论坛上购买,威胁行为者索要500美元来购买被盗的客户信息和所谓的D-View源代码。D-Link表示,此次安全漏洞的发生是由于一名员工成为网络钓鱼攻击的受害者,从而使攻击者能够访问该公司的网络。为了应对这一违规行为,该公司立即关闭了可能受影响的服务器,并禁用了调查期间使用的除两个用户帐户之外的所有用户帐户。
https://www.bleepingcomputer.com/news/security/d-link-confirms-data-breach-after-employee-phishing-attack/
12、阿联酋与美国合作加强金融服务网络安全
美国财政部和阿拉伯联合酋长国网络安全委员会已同意分享有关影响金融服务业的网络安全威胁和事件的更多信息。这种伙伴关系是财政部改善国际金融体系网络安全合作方法的一部分,包括公私伙伴关系以及与国际合作伙伴的密切关系。在迪拜举行的Gitex全球会议上,阿联酋政府网络安全负责人Mohamad Al Kuwaiti博士会见了美国财政部副助理部长Todd Conklin,并同意在多个领域开展合作:金融部门信息共享,包括有关事件和威胁的网络安全信息;人员培训和考察访问,促进网络安全合作;开展跨境网络安全演习等能力建设活动。此前,美国财政部于2021年11月访问了阿联酋,当时美国建立了双边伙伴关系,以保护金融领域的关键基础设施,并认识到加强网络安全合作以保护国际金融体系的重要性。
https://www.darkreading.com/dr-global/uae-and-us-partner-to-bolster-financial-services-security
13、麻省理工学院研究:神经网络以与我们思考的方式不同的方式看待世界
人类感官系统具有识别物体或文字的独特属性,无论它们如何呈现。这适用于物体的旋转和发音的声音的性质。现代深度神经网络(Deep Neural Network,DNN)能够模仿人类的能力,正确识别狗的图像或单词,无论皮毛的颜色或声音的音高如何。然而 ,麻省理工学院的新研究表明,DNN模型通常对与原始对象完全不同的刺激做出相同的反应。研究人员使用DNN生成图像或文字,其响应与特定输入(例如熊的照片)的响应类似。大多数网络创建的图像或声音是人类无法识别的。这表明模型形成了自己的“不变量”——对各种刺激的特定反应。这一发现提供了一种新方法来评估模型模仿人类感知组织的程度。近年来,人们开发了许多DNN,它们能够分析数百万个输入数据并识别共同特征,从而以类似人类的精度对目标声音或物体进行分类。然而,研究人员发现,DNN生成的大部分图像和声音对于人类来说是无法识别的。图像是随机像素的混乱,声音是难以理解的噪音。研究还发现,不同的视觉和听觉模型的效果相似,但每种模型都产生了自己独特的不变量。也就是说,DNN创建了自己独特的“不变量”,与人类创建的不同。值得注意的是,在测试过程中,一个模型的不变量对于另一个模型来说并不清楚。
https://www.securitylab.ru/news/542785.php
14、以色列军队如何追踪加沙公民?
在以色列南部的一个军事基地的控制中心,五名士兵在一个巨大的屏幕上监视着数十万加沙人的一举一动。屏幕上显示了加沙北部的实时地图,这是一个人口稠密的地区,约有110万居民,最近以色列军队建议他们为了自身安全而向南迁移。该地图主要利用从超过100万部手机收集的数据,使士兵能够实时估计有多少加沙人遵守了以色列的要求。以色列军队 与《纽约时报》分享了其数据跟踪系统的详细信息,显示士兵们正在努力尽可能减少平民伤亡。屏幕上,一些区域被涂上了不同的颜色:白色和红色表示大多数居民仍在家中;绿色和黄色表示该地区的大多数居民已经离开。值得注意的是,这些领域正变得越来越多。值得注意的是,截至10月16日,已有多达70万加沙人向南迁移,而约40万仍留在北部。许多巴勒斯坦人表示担心以色列的最终目标是将他们撤离到埃及。平民和援助人员表示,许多人缺乏向南迁移的交通工具,或者身体太虚弱而无法出行。随着越来越多的巴勒斯坦平民逃离加沙北部,他们在南部面临着由于住房、燃料、水、药品和食品短缺而面临的困难。
https://www.securitylab.ru/news/542789.php
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement