20231023-5th域安全微讯早报-No.253
网络空间安全对抗资讯速递
2023年10月23日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-253 星期一
今日热点导读
资讯详情
1、国际刑事法院系统因网络间谍活动而遭到破坏
国际刑事法院在五周(10月20日)前提供了有关网络攻击的更多信息,称这是一次出于间谍目的的有针对性的行动。该政府间组织在检测到其信息系统存在异常活动几天后,于9月19日披露了此次泄露事件。作为一个国际法庭,国际刑事法院(ICC)设在荷兰海牙,其职责是调查犯有国际社会关注罪行的个人并追究其责任。在周五的一份声明中,国际刑事法院分享了有关网络攻击后采取的行动的新细节以及对该事件的法证分析的一些初步结果。ICC的声明称:“迄今为止现有的证据表明这是一次以间谍活动为目的的有针对性的复杂攻击。因此,这次袭击可以被解释为严重企图破坏法院的任务”。荷兰执法部门目前正在进行刑事调查。目前尚不清楚此次攻击的影响,目前还没有证据表明委托给法院的数据受到损害。一旦出现此类证据,法院将立即通过直接消息联系受影响的各方。国际刑事法院正在加强其风险管理框架,并为网络攻击的潜在影响做好准备,例如受害者和证人面临的安全风险。提高数字安全的步伐也加快了。
https://www.bleepingcomputer.com/news/security/international-criminal-court-systems-breached-for-cyber-espionage/
2、美国家庭保险公司确认IT中断是网络攻击造成的
保险巨头美国家庭保险公司(American Family Insurance)确认,在客户报告网站整周中断后,该公司确认遭受了网络攻击,并关闭了部分IT系统。美国家庭保险公司(AmFam)是一家专注于商业和个人财产、意外伤害、汽车和人寿保险,以及提供投资和退休计划的保险公司。该公司拥有13,000名员工,2022年收入为144亿美元。美国家庭保险公司在发给BleepingComputer的电子邮件中证实,他们检测到网络上存在异常活动,并关闭了IT系统以防止网络攻击的蔓延。AmFam发言人告诉BleepingComputer:“我们认识到系统中断正在影响客户、代理商和员工,我们感谢他们的耐心和理解。”“我们对这一活动的调查正在进行中,调查范围包括内部和第三方专家。迄今为止,我们尚未发现关键业务、客户数据处理或存储系统受到任何损害,并且我们企业的多个组件仍在不间断地运行。”该公司希望在继续调查此次违规行为并确定其安全的同时,让系统重新上线。
https://www.bleepingcomputer.com/news/security/american-family-insurance-confirms-cyberattack-is-behind-it-outages/
3、乌克兰网络联盟关闭勒索软件组织Trigona
乌克兰网络联盟已对勒索软件组织Trigona采取行动。声称他们能够通过安全漏洞渗透勒索软件组织的服务器基础设施,下载他们发现的数据,然后删除服务器。数据泄露网站从此焕然一新。根据其自己的信息,UCA能够通过 Confluence数据中心的一个关键漏洞(CVE-2023-22515)渗透到基础设施中,并在几天内没有被发现。安全软件制造商Malware-Hunter已对X表示确有此事。UCA是一个网络活动人士联盟,其目标是帮助乌克兰抵御俄罗斯的侵略战争。她现在声称拥有数百GB的Trigona数据。这不仅应该包括来自博客和数据泄露网站及其源代码的内容,还应该包括来自内部系统的内容。Trigona勒索软件组织的首次活动于2022年6月观察到。他们主要针对美国、印度、以色列、土耳其、巴西和意大利的科技、医疗保健和银行公司。Trigona的受害者包括软件制造商Leidos。
https://www.heise.de/news/Ukrainian-Cyber-Alliance-legt-Ransomware-Gruppierung-Trigona-lahm-9340550.html
4、以色列医院因担心网络攻击而被勒令断开互联网
以色列卫生部周六(10月21日)晚间宣布,由于担心遭受网络攻击,以色列卫生部指示多家医院暂时断开其系统与互联网的连接。卫生部声明称:“为了提高经济的弹性,国家网络管理局和卫生部正在采取行动,加强医院抵御攻击的能力,并正在审查每一个可疑之处。”“作为这项工作的一部分,我们正在采取自发行动,例如暂时切断互联网连接。现阶段,这不会影响医院的运作能力,患者会像往常一样接受治疗。”声明没有表明这些措施是为了应对当前的攻击或任何特定威胁。2021年以来,以色列医院遭遇一系列网络攻击,后果严重。这些事件包括勒索软件攻击、分布式拒绝服务(DDoS)攻击和数据泄露,所有这些事件的目的都是削弱医院的运营并泄露患者信息。国家审计长Matanyahu Englman五月份报告称,以色列的医疗保健部门很容易受到网络攻击。最近一次针对以色列医院的网络攻击发生在9月份,当时一个黑客组织公布了从位于Bnei Brak的以色列Mayanei Hayeshua医疗中心窃取的患者数据。
https://www.bignewsnetwork.com/news/274006892/israeli-hospitals-ordered-to-disconnect-internet-for-fear-of-cyberattacks?utm_source=feeds.bignewsnetwork.com&utm_medium=referral
5、北约成员国首次采用反无人机原则
北约计划采用其第一个反无人机学说,除其他外,该学说将就针对无人机的分层防御方法和一般操作员培训向成员国提供建议。北约新兴安全挑战高级顾问克劳迪奥·巴勒斯坦表示,提前计划在2023年底之前在军事联盟内制定反无人机条令。“创建这份文件的正式命令是在今年早些时候发布的,”他在接受《防务新闻》采访时表示。该条令的主要目的是向成员国提供在各种作战环境中组织和开展反无人机行动的最有效方法的建议。该报告将就打击无人机、分层解决方案的重要性以及为操作员建立通用培训标准提出建议。巴勒斯坦顾问表示,该文件将在未来几周内通过北约标准化办公室送交负责制定军事行动标准的北约委员会批准。一旦收到所有请求的变更,预计会获得批准。
https://www.securitylab.ru/news/542895.php
6、英国法庭和完全控制权问题:对Clearview AI的裁决
英国法庭10月20日裁定,美国自拍采集公司Clearview AI无需支付750万英镑(900万美元)的隐私罚款。该法庭表示,英国数据监管机构(ICO)无权对ClearView处以罚款,该公司从互联网上的开源数据收集图像来训练其人工智能产品。去年5月,ICO对该公司处以罚款,指控这家美国公司未能满足保护生物识别数据的高标准、没有收集生物识别数据的法律依据,也未能提供阻止无限期存储数据的程序,违反了英国的GDPR。然而,仲裁庭认为,考虑到英国的幅员及其对互联网和社交媒体的使用程度,可以合理地得出ClearView数据库中存在英国居民图像的结论。然而,有人认为ClearView的处理超出了《条例》的管辖范围,因此ICO无权发布通知。Clearview AI声称其服务是专门为外国(即非英国/欧盟)执法和国家安全机构提供的互联网搜索引擎。数据保护律师James Castro-Edwards表示:“Clearview只向外国执法或国家安全机构及其承包商提供服务。英国GDPR规定,外国的行为不在其范围之内。”最后,ICO发言人表示:“ICO将考虑今天的决定,并仔细考虑下一步行动。”
https://www.securitylab.ru/news/542867.php
7、哈马斯在线:谁在网络战争中提供帮助?
研究人员发现了巴勒斯坦军事组织哈马斯与历史悠久的一个阿拉伯语黑客组织之间可能存在合作的迹象。根据Recorded Future发布的一份报告,哈马斯可能已转向加沙以外的运营商和“第三方”,以保持与以色列战争期间运行的军事部门卡萨姆(al-Qassam)相关的新闻网站。哈马斯对以色列发动首次重大袭击几天后,哈马斯成员和支持者使用的Telegram 道宣布推出一款与Al-Qassam相关的应用程序。该应用程序的发布是为了传播哈马斯的信息。在加沙保持网站或应用程序运行很困难-以色列的空袭损坏了互联网基础设施并导致停电。该地区还经常受到出于政治动机的黑客的攻击,他们试图破坏其重要服务和网站。哈马斯应该通过与那些能够帮助维持其运行的人共享其基础设施来解决这个问题。通过分析该基础设施,研究人员发现了可疑的Al-Qassam网站重定向以及与该网站域和大约90个其他域相关的相同Google Analytics代码。第一组域名使用了与黑客组织TAG-63类似的注册方法,也称为AridViper和APT-C-23。它是一个国家支持的网络间谍组织,以中东地区讲阿拉伯语的人为目标而闻名。据信该组织代表哈马斯行事。第二组域名可能与伊朗有关。与伊朗相关的网页之一试图冒充世界反酷刑组织 (OMCT)。研究人员无法确认该网站是否被黑客用于网络钓鱼或社交工程。伊朗与哈马斯保持着密切联系,伊朗的圣城军是一支专门从事非常规战争和军事情报的部队,是唯一经过验证的伊朗实体,以对哈马斯和其他巴勒斯坦威胁组织提供网络支持而闻名。
https://www.securitylab.ru/news/542897.php
8、黑客一直在监听Jabber网络上的加密流量
2023年10月20日,jabber.ru(xmpp.ru)的管理员发现对XMPP(Jabber)即时消息协议的攻击,该攻击对jabber.ru服务器的TLS连接进行加密窃听(中间人攻击)来自德国托管提供商Hetzner和Linode的服务(也称为 xmpp.ru),项目服务器和辅助VPS环境位于德国。攻击者将流量重定向到使用STARTTLS扩展欺骗XMPP连接的TLS 证书的传输节点。未知攻击者创建了单独的SSL证书并代理到TCP:5222的连接。此次攻击是由于攻击者未续订 TLS证书的错误而被发现的。jabber.ru的管理员在尝试连接到该服务时遇到了与过期证书相关的错误。该伪造的 TLS证书是于2023年4月18日通过Let's Encrypt服务获得的。攻击者有能力拦截jabber.ru和xmpp.ru网站的流量。最初,人们担心项目服务器遭到破坏,但审计没有发现黑客攻击的痕迹。人们还发现,替换不仅发生在Hetzner提供商的网络中,而且还发生在Linode提供商的网络中。两个提供商网络中网络端口5222的流量均通过另一台主机重定向。这让我们有理由相信,攻击可能是由有权访问提供商基础设施的人组织的。调查开始并联系提供商的支持服务后,证书替换停止了。项目团队认为,此次攻击可能是在德国警方或情报部门控制下的提供商知情的情况下进行的。建议Jabber.ru用户更改其访问密码并检查其OMEMO和PGP密钥是否有可能的替换。
https://www.securitylab.ru/news/542890.php
9、思科零日漏洞已被利用在数千台设备上植入恶意Lua后门
思科警告称,IOS XE中存在新的零日漏洞,未知威胁者已积极利用该漏洞在易受影响的设备上部署基于Lua的恶意植入程序。该漏洞被追踪为CVE-2023-20273(CVSS评分:7.2),与Web UI功能中的权限升级缺陷有关,据说与 CVE-2023-20198(CVSS评分:10.0)一起使用,作为漏洞利用链。思科在周五发布的更新公告中表示:“攻击者首先利用CVE-2023-20198获得初始访问权限,并发出特权15命令来创建本地用户和口令组合。” “这允许用户以普通用户访问权限登录。”“攻击者随后利用了Web UI功能的另一个漏洞(CVE-2023-20273),利用新的本地用户提升root权限并将植入程序写入文件系统”。思科发言人告诉The Hacker News,已经确定了涵盖这两个漏洞的修复程序,并将于2023年10月22日开始向客户提供。在此期间,建议禁用HTTP服务器功能。成功利用这些漏洞可能使攻击者能够不受限制地远程访问路由器和交换机、监控网络流量、注入和重定向网络流量,并由于缺乏针对这些设备的保护解决方案而将其用作网络的持久滩头阵地。根据Censys和LeakIX的数据,估计有超过41,000台运行易受攻击的IOS XE软件的思科设备已被利用这两个安全漏洞的威胁者所破坏。该攻击面管理公司表示:“截至10月19日,受感染的思科设备数量已减少至36,541 台。” “该漏洞的主要目标不是大公司,而是较小的实体和个人。”
https://thehackernews.com/2023/10/cisco-zero-day-exploited-to-implant.html
10、KeePass骗局:恶意广告的受害者会面临什么后果?
安全公司Malwarebytes发现了一项Google Ads广告活动,该活动将用户引导至虚假的KeePass网站。为了掩饰他们的恶意行为,攻击者使用Punycode方法使他们的恶意域看起来像官方KeePass域名。谷歌长期以来一直在与此类欺诈性广告活动作斗争,其中威胁以广告形式出现在搜索结果上方。此外,Google Ads可用于在广告中显示合法的KeePass域,使得即使是经验丰富的用户也很难检测到威胁。攻击者使用Punycode,这是一种以ASCII格式表示Unicode字符的编码方法。此方法允许您转换非拉丁语(西里尔语、阿拉伯语、希腊语等)书写的域,以使DNS可以理解它们。在这种情况下,黑客使用了Punycode“xn-eepass-vbb.info”,它翻译为“ķeepass.info”——几乎与真实域名相同。如此小的视觉误差不太可能被用户注意到,但它是使用这种技术的明显标志。该虚假网站包含指向文件“KeePass-2.55-Setup.msix”的下载链接,该文件包含与恶意FakeBat下载程序关联的PowerShell脚本。尽管Google从Punycode中删除了原始广告,但仍发现与同一恶意活动相关的其他KeePass广告。至少自2022年11月起,FakeBat就曾与恶意软件分发广告活动相关。
https://www.securitylab.ru/news/542872.php
11、美国保守派越来越多地对国家最高网络机构(CISA)发起攻击
唐纳德·特朗普领导下成立的一个机构,旨在保护选举和美国关键基础设施免受外国黑客的攻击,目前正在抵御来自极右翼共和党人日益强烈的威胁,他们认为该机构做得太过分了,正在寻找控制方法。这些立法者坚称,网络安全和基础设施安全局在选举期间打击网络虚假信息的工作,孤立了保守派的声音,侵犯了言论自由权——该机构强烈否认这一指控,拜登政府正在法庭上提出抗辩。这些指控始于2020年大选之后,并在2024年之前愈演愈烈,议员们现在呼吁对该机构进行大幅削减。负责监督CISA的参议院国土安全委员会高级成员兰德·保罗(Rand Paul) 在一份声明中表示:“ CISA公然违反了第一修正案,并与大型科技公司勾结,审查普通美国人的言论。”围绕 CISA的斗争凸显了特朗普的选举舞弊指控对2024年产生影响的另一种方式。尽管今天的强硬右派没有足够的选票来取消对CISA的资助,但对其日益增长的强烈反对让支持者担心,极右派可能会阻碍美国的发展。该机构在未来几年不仅会破坏其确保未来选举的努力,还会保护美国和联邦关键网络免受重大黑客攻击。
https://www.politico.com/news/2023/10/22/conservatives-cyber-cisa-politics-00122794
12、NVIDIA机器人:从转动旋钮到诊断疾病
NVIDIA Research推出了Eureka ,这是一种基于GPT-4的人工智能可训练机器人,使用奖励算法执行各种任务。尤里卡(Eureka)最显著的成就之一是教会机械臂像人类一样执行手摇技巧,正如YouTube视频所示,甚至比许多人还要好。尤里卡还训练了四足机器人、灵巧机器人、辅助机器人等机器人执行近30种不同的任务,包括打开抽屉、使用剪刀、接球等。根据NVIDIA研究,Eureka的试错奖励程序比人类专家编写的程序有效80%。这使得机器人性能提高了50%以上。Eureka还根据学习成果进行自我评估,根据需要调整奖励功能。NVIDIA Research发布了Eureka算法库,邀请大家在NVIDIA Isaac Gym平台上进行测试 ,该平台专为强化学习领域的研究而设计。机器人教导其他机器人的想法正变得越来越流行。人工智能以老师的身份分享知识,并能够掌握102项技能中的每一项。麻省理工学院和布里斯托大学等机构的研究人员在利用人工智能教机器人操纵物体方面也取得了进展。
https://www.securitylab.ru/news/542899.php
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement