20231020-5th域安全微讯早报-No.251

网络空间安全对抗资讯速递

2023年10月20日

最新热门网安资讯

Cyber-Intelligence  Brief Express

Vol-2023-251                        星期五

今日热点导读

资讯详情

1、美国安全机构发布防止网络钓鱼入侵的指南并提供缓解策略

国网络安全和基础设施安全局(CISA)、国家安全局(NSA)、联邦调查局 (FBI) 和多州信息共享与分析中心(MS-ISAC) 推出指南，帮助组织了解恶意行为者是什么这样做，防御者可以采取适当的网络钓鱼缓解措施。该文档详细介绍了恶意行为者的技术，以及技术缓解措施和最佳实践，以帮助防止成功的网络钓鱼尝试。该联合指南的标题为“网络钓鱼指南，在第一阶段停止攻击周期”，旨在成为帮助组织保护其系统免受网络钓鱼威胁的一站式资源。它概述了恶意行为者常用的网络钓鱼技术，为网络防御者和软件制造商提供指导，并提供侧重于设计安全和默认策略和技术的建议。它还提供了有关技术缓解措施和最佳实践的详细见解，以帮助防止成功的网络钓鱼尝试。网络防御者指南适用于所有组织，但对于资源有限的组织可能不可行。因此，该指南包含一段针对中小型企业 (SMB) 的定制建议，这些企业可能没有资源聘请专门持续防御网络钓鱼威胁的 IT员工。通过查看该指南，这些运营商可以更好地了解不断发展的网络钓鱼技术，并实施量身定制的网络安全控制和最佳实践，以降低妥协风险。

https://industrialcyber.co/ransomware/us-security-agencies-issue-guidelines-for-preventing-phishing-intrusions-offer-mitigation-strategies/

2、GuidePoint最新数据揭示了勒索软件生态的惊人趋势

GuidePoint 研究与情报团队(GRIT)的研究人员发布了最新的季度勒索软件分析报告，强调勒索软件活动自第二季度以来增加了近15%。研究人员将其部分归因于勒索软件领域活动团体数量的增加，因为勒索软件的公众受害者数量与勒索软件受害者的数量直接相关。此外，这一增长是由于勒索软件团体数量增加所致，其中包括第三季度跟踪的10个新出现的团体，这是GRIT数据集中单季度观察到的新团体数量最多的一次。勒索软件生态系统的公开发布的受害者数量正逐年增加近一倍，尽管威胁行为者数量增幅较小。这表明我们正在跟踪的许多组织正在继续加快行动节奏，但也可能是许多组织不愿意支付赎金要求的结果。第三季度，GRIT踪了46个不同威胁组织声称的1,353名公开发布的勒索软件受害者。截至2023年前三季度，GRIT共追踪到3,385名公开发布的勒索软件受害者，这些受害者均由57个不同的威胁组织认领，同比增长83%。该报告基于从公开资源（包括威胁组织本身）获得的数据以及对勒索软件威胁形势的洞察。制造和技术行业是受勒索软件影响第一和第二大的行业，其次是零售和批发行业，排名第三。

https://industrialcyber.co/reports/guidepoint-latest-data-reveals-alarming-trends-across-industries-as-ransomware-activities-surge/

3、五角大楼：中国意识到在复杂电磁频谱环境中运行的不足

一位美国高级国防官员表示，中国军方认识到其在潜在复杂的电磁频谱环境中作战的能力存在缺陷，此外其整体联合武器能力也存在缺陷。这一评估来自五角大楼周四发布的关于中国军事力量的年度报告——国会授权对北京军事能力的评估。联合兵种是指融合各种战争学科和能力以实现单一目标的能力。五角大楼一名高级官员对记者表示：“我们还会在报告中指出并确实指出，中国仍然认为他们在实施联合兵种的能力方面存在一些尚未完全解决的缺陷”在介绍研究结果时要求匿名。“我们强调了他们仍然认为自己存在一些缺点的一些领域。他们谈论的一些事情是如何在他们所谓的复杂电磁环境中运作或需要做好更好的准备。”近年来，电磁频谱的战略重要性日益增强。中国和俄罗斯等国家已经观察到美军在精确制导弹药、导航和通信方面对它的依赖程度，并且它们已经寻求阻止其进入的能力。未来的战场预计将在频谱上竞争激烈，因为双方都会寻求干扰和拒绝对方进入。在新报告发布前向记者介绍情况的国防部官员表示，北京承认在指挥、控制和协调方面面临挑战。不过，这位官员确实指出，近年来中国人的能力取得了一些进步。

https://defensescoop.com/2023/10/19/china-perceives-shortfalls-operating-in-complex-electromagnetic-spectrum-environment-pentagon-report/

4、与哈马斯相关的应用程序提供了了解网络基础设施的窗口

安全公司Record Future的分析表明，一款旨在为哈马斯军事部门的支持者分享更新的Android应用程序与一个长期运行的与哈马斯有关联的网络间谍组织有关，该组织揭示了该组织如何试图传播其信息。战斗开始四天后，该应用程序被发布到与Izz al-Din al-Qassam Brigades相关的Telegram频道，并被配置为与该组织链接的新闻网站进行通信。在哈马斯和以色列之间的战斗中，该网站只是间歇性地可用。目前尚不清楚原因，但Recorded Future的分析师推测，这可能是提供商拒绝与该组织合作的结果，或者是来自各方的无情的针锋相对的分布式拒绝服务攻击的结果。该新闻网站的运营商一直在努力通过在几个不同的基础设施提供商之间转移该网站来保持其在线状态。分析这一运动揭示了几个具有共享Google Analytics代码的域集群，这些域显示出与名为TAG-63的Recorded Future轨迹组的连接迹象——否则追踪为APT-C-23、Desert Falcons、Arid Viper或Mantis——也许是最长的-公开的阿拉伯网络运营组织。

https://cyberscoop.com/hamas-app-telegram-iran/

5、朝鲜攻击者利用关键的CI/CD漏洞CVE-2023-42793

微软警告称，朝鲜威胁行为者正在积极利用软件开发中使用的持续集成/持续部署（CI/CD）应用程序中的一个关键漏洞。这家科技巨头表示，自 2023年10月初以来，它观察到两个朝鲜民族国家行为者——Diamond Sleet和Onyx Sleet——利用远程代码执行漏洞CVE-2023-42793。该漏洞的CVSS严重等级为9.8，影响组织用于DevOps和其他软件活动的多个版本的JetBrains TeamCity服务器。微软指出，Diamond Sleet和Onyx Sleet此前曾通过渗透构建环境成功实施软件供应链攻击。因此，它评估此活动对受影响的组织构成“极高的风险”。根据迄今为止受这些入侵影响的组织的概况，研究人员认为攻击者可能会趁机破坏易受攻击的服务器。“然而，两个攻击者都部署了恶意软件和工具，并利用了可能能够持续访问受害者环境的技术，”报告中写道。微软强调了两个朝鲜威胁行为者的不同焦点和方法。Diamond Sleet 主要针对世界各地的媒体、IT服务和国防相关实体，其目的是从事间谍活动、数据盗窃、经济利益和网络破坏。Onyx Sleet的主要目标是韩国、美国和印度的国防和IT服务组织。

https://www.infosecurity-magazine.com/news/north-korean-exploiting-critical/

6、黑客组织GhostSec推出新一代勒索软件植入程序

暗网监管机构SOCRadar透露，GhostSec是一个自称为“义务警员”的组织，最近转向以经济为动机的网络活动，该组织发布了一种名为 GhostLocker的新型勒索软件。GhostSec将GhostLocker作为一款改变游戏规则的锁定软件，包括运行时的军用级加密以及完全不可检测的承诺。此外，他们还提供管理因成功违规而产生的协商的服务，这允许用户通过构建器控制协商，使他们能够通过输入受害者的加密ID下载解密器。这使得GhostLocker在勒索软件即服务 (RaaS) 市场上的竞争对手中脱颖而出。GhostSec还发布了一段视频，展示了他们的定制恶意软件如何加密数据并逃避防病毒软件（包括 Malwarebytes等）的检测。SOCRadar在2023年10月18日发布的博客文章中写道：“这表明勒索软件操作日益复杂，并强调GhostLocker是网络威胁不断演变的典型例子。”GhostLocker在暗网上的售价为999美元。另一个与GhostSec关系密切的黑客组织Stormous已经宣布将使用GhostLocker。

https://www.infosecurity-magazine.com/news/hacker-ghostsec-unveils-new/

7、人工智能驱动的以色列“网络穹顶”防御行动正式启动

以色列正在迅速开发网络防御系统，以应对新出现的数字威胁并保护其关键基础设施。网络穹顶以以色列的铁穹防御防空系统为蓝本，已开发出包含生成式人工智能平台的产品，以帮助从该国每天解析的威胁情报和网络攻击声明的海洋中过滤掉真正的威胁。据媒体报道，该机构的人员将来自各个政府部门，包括以色列国防军（IDF）情报部门8200、以色列国防军的J6和网络防御局、摩萨德和辛贝特的网络部门以及以色列国防部。以色列国家网络局局长加比·波特诺伊 (Gaby Portnoy) 告诉《周刊》，各个部门将与以色列国家网络局合作，由后者负责“内部工作”。私营公司和研究机构也将参与其中。波特诺伊表示，该计划最初于2022年夏季宣布，但鉴于加沙冲突，网络穹顶的开发目前正在推进。目前尚未向公众提供有关网络防御系统的机制和工具的具体细节。

https://www.darkreading.com/dr-global/ai-powered-israeli-cyber-dome-defense-operation-comes-to-life

8、印度在全国范围内打击微软和亚马逊技术支持诈骗者

印度中央调查局 (CBI) 在全国范围内打击技术支持诈骗和加密货币欺诈背后的网络犯罪活动中突袭了76个地点。此次警方行动是“Chakra-II”行动的一部分，旨在瓦解网络金融犯罪团伙，是国际执法机构和微软、亚马逊等科技公司与印度联邦执法机构合作的共同努力。在横跨泰米尔纳德邦、旁遮普邦、比哈尔邦、德里和西孟加拉邦等印度多个邦的突袭中，中央调查局 (CBI) 没收了32部手机、48台笔记本电脑和硬盘以及33张SIM卡。此外，印度当局还采取行动，冻结了“众多”银行账户，并扣押了与15个账户相关的电子邮件，提供了有关涉嫌诈骗活动的关键信息。作为Chakra-II行动的结果，CBI发现了两个技术支持诈骗活动，该活动运行了至少五年，冒充为“两家知名跨国公司”工作的客户支持代理。这项行动得到了亚马逊和微软通过美国和印度联合起诉协议进行的联合犯罪移交的支持。技术支持诈骗团伙利用各种国际支付网关和渠道来促进从外国人（主要来自美国、英国和德国）非法获取的资金的流动。

https://www.bleepingcomputer.com/news/security/india-targets-microsoft-amazon-tech-support-scammers-in-nationwide-crackdown/

9、伊朗黑客潜伏中东政府网络8个月

据追踪，伊朗黑客组织OilRig (APT34) 入侵了至少12台属于中东政府网络的计算机，并在2023年2月至9月期间保持了八个月的访问权限。OilRig与伊朗情报和安全部 (MOIS) 有联系，该部因对美国、中东和阿尔巴尼亚发动攻击而闻名。博通旗下的赛门铁克威胁猎手团队观察到的攻击被用来窃取密码和数据，以及安装一个名为“ PowerExchange ”的PowerShell 门，该后门通过Microsoft Exchange接受执行命令。PowerExchange于2023年5月首次在Fortinet报告中被记录，该报告将后门归因于APT34，样本取自阿拉伯联合酋长国政府组织的受感染系统。在赛门铁克发现的攻击中 ，恶意软件使用提供的凭据登录Exchange Server，并监视传入电子邮件的主题行中是否有“@@”，这表明电子邮件包含带有执行命令的Base64编码附件。在执行通常涉及文件写入或渗漏操作的任意PowerShell命令后，恶意软件会将消息移动到“已删除项目”，以最大程度地降低检测到的可能性。然后，执行命令的输出将通过电子邮件发送回威胁行为者。Exchange作为这些攻击中的后门，使APT34活动能够融入典型的网络流量，并最大限度地减少引入的植入数量。击始于2023年2月1日，利用各种恶意软件、工具和恶意活动，持续了8个月。

10、卡西欧披露数据泄露影响了149个国家的客户

日本电子产品制造商卡西欧 (Casio) 披露，黑客侵入其ClassPad教育平台的服务器后，数据泄露，影响了来自149 国家/地区的客户。卡西欧于10月11日-星期三检测到该事件，原因是该公司开发环境中的ClassPad数据库发生故障。有证据表明，攻击者在一天后（即10月12 日）访问了客户的个人信息。暴露的数据包括客户姓名、电子邮件地址、居住国家、服务使用详细信息以及支付方式、许可证代码和订单详情等购买信息。卡西欧表示，信用卡信息并未存储在受损的数据库中。截至10月18日，攻击者获取了属于日本客户（包括个人和 1,108名教育机构客户）的91,921条记录，以及属于日本以外148个国家和地区客户的35,049条记录。该公司表示：“目前已确认，由于主管部门对系统操作失误以及运营管理不足，导致开发环境中的部分网络安全设置被禁用。”尽管受入侵的数据库目前“外部实体无法访问”，但ClassPad.net应用程序仍然可以运行。卡西欧澄清称，黑客并未渗透到开发环境中受损数据库以外的系统。

https://www.bleepingcomputer.com/news/security/casio-discloses-data-breach-impacting-customers-in-149-countries/

11、Ragnar Locker勒索软件网站被联邦调查局(FBI)和欧洲刑警组织(Europol) 摧毁

周四（10月19日），多产勒索软件团伙Ragnar Locker的泄露网站被美国联邦调查局(FBI)、欧洲刑警组织(Europol)和欧洲多个执法机构的删除通知所取代。欧洲刑警组织发言人在给Recorded Future News的一份声明中表示，他们无法发布有关此次行动的更多信息，因为“许多行动仍在进行中”。欧洲刑警组织副发言人克莱尔·乔治(Claire Georges) 表示：“我可以确认，欧洲刑警组织正在参与针对该勒索软件组织的持续行动。” “计划于明天下午进行一次沟通，届时所有行动都已完成。”联邦调查局发言人拒绝就此次行动发表评论。如果得到证实，这将是今年一系列勒索软件团伙被捣毁的最新一起——尤其是Hive组织的基础设施在一月份遭到破坏。FBI报告称，从 2020年4月到2022年3 月，Ragnar Locker勒索软件对10个关键基础设施部门的至少52个实体发起了攻击，其中包括涉及制造业、能源、金融服务、政府和信息技术部门的公司。多年来，该组织已造成多起引人注目的受害者事件，其中包括葡萄牙最大的航空公司、以色列一家大型医院、希腊国家天然气运营商以及最近的企业旅行管理公司Carlson Wagonlit Travel。Emsisoft 勒索软件专家Brett Callow 表 Ragnar Locker已经活跃多年，可能是运行时间最长的品牌之一。

https://therecord.media/ragnar-locker-ransomware-site-taken-down-fbi-europol

12、人工智能将如何帮助预防环境灾难？

DeepMind是谷歌旗下专门从事人工智能 (AI) 研究的公司，正在利用神经网络的力量来解决与气候变化相关的问题。DeepMind可持续发展专家Sims Witherspoon在接受采访时谈到了这一点 。据她介绍，人工智能可以通过三个主要方式提供帮助：1.气候变化预测与监测。例如，DeepMind模型最近学会了提前几个小时尽可能准确地预测降水量。这为建模更复杂的自然过程开辟了道路。2.优化现有系统和基础设施。人工智能可以用来提高基础设施的能源效率，而无需从头开始创建先进设备。该公司尝试在数据中心使用人工智能，并成功节省了30%的能源，这对于减少二氧化碳排放非常重要。3.加快绿色技术科技进步。作为其中一个项目的一部分，神经网络被用来控制真实热核反应堆中等离子体的形状。这是创造完美、环保能源的重要一步。同时，DeepMind意识到在如此规模上使用AI需要大量的能源，并且正在尝试优化算法以减少计算资源的使用量。该公司在公共领域发布研究成果。专家指出：神经网络是一种通用且可扩展的工具。如果使用得当，它们可以大大简化科学家的工作并产生令人印象深刻的结果。DeepMind正在尝试在本地解决问题，使其算法更加节能。专家们认为智能技术在能源、交通、碳捕获和储存、农业和重新造林等领域具有最大潜力。

https://www.securitylab.ru/news/542847.php

13、冷战新战线：人工智能改变美朝斗争的力量平衡

美国副国家安全顾问安妮·纽伯格透露 ，朝鲜正在利用人工智能（AI）的力量增强其网络能力，对世界各地的企业构成重大威胁。这是美国政府官员首次公开证实人工智能在网络战中的使用。纽伯格指出，美国国家安全局正在关注朝鲜和其他国家以及个人网络犯罪分子试图使用人工智能模型来加速恶意软件的创建并识别可利用的系统。该代表还强调，使用人工智能加速编写漏洞的过程可以显着增强朝鲜的网络攻击能力。在机器学习的帮助下，黑客可以更有效地发现和利用漏洞。朝鲜在实施重大网络攻击方面有着丰富的记录 ，这突显了该国网络活动对全球构成的威胁。将人工智能集成到此类操作中可能会增加此类攻击的速度、数量和有效性，使公司面临更大的风险。纽伯格强调，朝鲜的活动，包括在世界各地盗窃加密货币，是支持该国导弹计划的重要收入来源，这导致了过去几年发射次数的增加，这加剧了局势的严重性。Neuberger 还提到了DARPA人工智能网络挑战计划 ，该计划旨在保护基础设施。美国正在利用该计划来应对日益增长的网络威胁。

https://www.securitylab.ru/news/542842.php

14、朝鲜利用IT合同工为武器计划提供资金

美国和韩国机构称，数千名朝鲜IT工人隐藏身份，从海外公司赢得价值数亿美元的IT合同工作，并用这些钱资助该国的武器开发计划。其中一些资金帮助发展该政权的核武器。这些机构在周三（10月18日）的公开咨询中警告称，朝鲜IT工人隐瞒了自己的原籍国以及与朝鲜的任何联系，以破坏国际社会对金正恩政权的制裁。许多工人设立虚假招聘机构和求职网站，联系境外组织并招揽工作。美国司法部周二表示，已查获朝鲜IT员工用来诈骗美国和外国企业的17个网站。数千名此类工人移居国外，主要是中国和俄罗斯，并使用假名电子邮件、社交媒体、支付平台、在线求职网站账户、虚假网站和代理计算机来愚弄潜在雇主。这17个欺诈网站冒充美国合法IT服务公司的域名，但朝鲜IT工作人员实际上为中国一家网络技术有限公司和一家名为Volasys Silver Star的俄罗斯公司工作。韩国外交部表示，朝鲜的许多IT人员属于联合国安理会对朝制裁决议中指定的制裁对象组织，例如军工部和国防部。该部表示：“朝鲜IT人员赚取的资金中有很大一部分支付给了这些组织，以支持朝鲜的核和导弹发展。”

https://www.govinfosecurity.com/north-korea-taps-contract-workers-to-fund-weapons-program-a-23352

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-249

2. 5th域安全微讯早报-Vol-2023-248

3. 5th域安全微讯早报-Vol-2023-247

4. 5th域安全微讯早报-Vol-2023-246

5. 5th域安全微讯早报-Vol-2023-250

冷观网域风云激荡

智察数字安全博弈

THINK LIKE A HACKER

 ACT LIKE AN ENGINEER

Cyber Intelligence Insight

Digital Security Enhencement