其他
20231024-5th域安全微讯早报-No.254
网络空间安全对抗资讯速递
2023年10月24日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-254 星期二
今日热点导读
4、5G缺陷可能导致关键行业瘫痪5、ExelaStealer通过冒充PDF文档窃取大量数据6、更多在线隐私:Chrome引入IP保护7、CISA正在制定更新的国家网络事件响应计划8、乌克兰安全部门参与俄罗斯最大私人银行的黑客攻击9、华盛顿选举委员会表示全部选民名册因数据泄露而受到影响10、芬兰勒索者因泄露数万精神秘密而等待惩罚11、台湾威联通(QNAP)专家如何击退网络攻击并禁用黑客的C2服务器12、DoNot Team利用新Firebird后门攻击巴基斯坦和阿富汗13、北极战略实施计划呼吁加强军事通信、传感和PNT
14、罗克韦尔自动化将收购ICS/OT安全公司Verve Industrial
资讯详情
1、五角大楼警告中国称霸人工智能的野心美国国防部在最近的一份报告中警告称,中国的目标是在人工智能领域处于领先地位,以了解敌人的弱点并推广“智能战争”的概念 。报告称,中国在面部识别和自然语言处理等某些人工智能应用领域已经处于全球领先地位,中国企业正在成功向世界销售国产人工智能芯片。五角大楼表示:“虽然中国继续依赖某些外国组件来生产人工智能硬件,但中国研究人员仍在继续探索下一代半导体的新材料和设计概念。”报告还指出,中国已将人工智能列为国家科技发展的优先领域。据美国情报机构称,北京认为人工智能的进步是“智能战争”的关键,“智能战争”是中国未来军事对抗的概念。这并不是美国政府第一次对潜在军事对手使用人工智能技术表示担忧。因此,中央情报局人工智能局长拉克希米·拉曼 最近表示 ,该机构正在密切监视中国的人工智能计划,并对此类技术在实践中的可能应用感到担忧。https://www.securitylab.ru/news/542920.php
2、物联网设备会削弱美国的国家安全吗?美国家庭和基础设施越来越多地配备了容易受到黑客攻击的联网智能设备(物联网、IoT )。立法者表示,需要加强安全标准来应对来自网络犯罪分子和敌对国家的威胁。《纽约邮报》 对此进行了报道。继2021年殖民管道和肉类加工商JBS遭受攻击,以及美国能源电网受到来自国外的攻击的警告之后,公众对网络安全的担忧有所增加。众议院中国问题特别委员会主席、共和党人迈克·加拉格尔(Mike Gallagher)表达了对物联网设备的担忧。政策示例范围从智能电视、可穿戴健身追踪器、视频对讲机和恒温器到工厂和发电厂的控制系统。这位国会议员表示,令人担忧的主要原因是中国制造的蜂窝模块的使用迅速增加,这些模块允许设备连接到互联网。值得注意的是,8月,加拉格尔和众议员拉贾·克里希那穆蒂 (Raja Krishnamurthy) 要求联邦通信委员会 ( FCC ) 考虑使用中国蜂窝模块。9月,美国联邦机构按照立法者的要求,审查移远通信和广和通组件的使用是否构成国家安全威胁。移远通信代表表示,该公司的物联网模块不会对美国国家安全或数据隐私构成风险。https://www.securitylab.ru/news/542914.php
3、德国正在互联网提供商层面打击色情网站德国正在积极考虑引入一项要求,要求成人网站的用户提供身份证明文件号码才能访问色情内容。早些时候已经在美国路易斯安那州看到了类似的情况,该州的用户现在被要求提供个人信息,以便直接在PornHub网站上验证年龄。然而,在德国,这一过程将直接移交给电信提供商,因为许多色情网站运营商拒绝实施此类控制措施。据悉,德国地区之一的北莱茵-威斯特法伦州监管机构已经开始与该国热门电信运营商进行谈判,以期推出这样的控制措施,用他们的话说,专门旨在保护年轻人。听证会程序已经开始,但互联网提供商也表达了不满,并且迄今为止拒绝阻止或针对有争议的网站实施任何其他措施,直到法院正式裁决发布。德国的立法斗争正在逐渐影响到消费者。因此,全球流行的视频游戏平台Steam已经应当地监管机构的要求向德国玩家隐藏了许多色情游戏。值得注意的是,在德国,提供色情内容仍然是允许的,前提是遵守保护年轻人的必要措施。据报道,这一切都取决于适当的年龄验证,对于好奇的青少年来说,绕过这一点将非常困难。如果实施此类“保护”措施时没有充分考虑安全性,迟早可能会导致敏感信息的泄露。https://www.securitylab.ru/news/542921.php
4、5G缺陷可能导致关键行业瘫痪第五代 ( 5G ) 和专用5G网络为各个行业提供增强的功能,提供高速连接和更好的安全性。该技术吸引了许多新的解决方案提供商,包括5G核心的解决方案。然而,与任何新技术一样,5G也有其自身的漏洞,可能会给使用该技术的组织带来严重问题。趋势科技研究人员发现了下一代应用协议 (NGAP) 实施中的漏洞,该协议用于在基站(gNodeB 或 gNB)和5G核心之间传输控制消息。协议中的消息解码问题可能会导致网络功能失败,进而中断网络通信。特别值得关注的是DoS漏洞 CVE-2022-43677 (CVSS:5.5),该漏洞允许黑客通过用户设备在控制平面造成拒绝服务。该问题于2023年5月得到部分解决,但趋势科技发现了与用户消息路由相关的其他问题。对核心的成功DoS攻击会严重破坏整个网络的连接,这可能会给国防、警察、采矿和交通控制等关键部门带来灾难性后果。由于网络的控制平面和用户平面(Control and User Planes)分离不充分,攻击是通过用户设备进行的。专家表示,ASN.1接口不够健壮,用于解析控制平面消息的控制协议容易受到格式错误的消息的影响。该漏洞是在最流行的开源 5G 核心实现之一(称为 free5GC)中发现的,该实现被主要5G核心供应商用于商业解决方案。利用现有漏洞可能会导致运营严重中断、财务和声誉损失,甚至使使用5G技术的行业的重要基础设施瘫痪。https://www.securitylab.ru/news/542915.php
5、ExelaStealer通过冒充PDF文档窃取大量数据新的数据窃贼ExelaStealer最近加入了黑客队伍,旨在从受感染的Windows系统中窃取敏感信息。据FortiGuard 实验室研究员James Slaughter 称,ExelaStealer是一款开源信息软件,具有由活跃网络犯罪组织支持的付费选项。该程序用Python编写,支持JavaScript,能够窃取密码、Discord令牌、信用卡、cookie 和会话数据、击键、剪贴板内容以及截取正在运行的应用程序的屏幕截图。ExelaStealer 在网络犯罪论坛和专门的Telegram渠道 上出售。其创建者使用笔名 quicaxd。付费版本一个月20 美元,三个月45美元,永久许可证120美元。该程序的低成本使其成为黑客领域初学者的绝佳工具,从而降低了恶意攻击的进入门槛。有证据表明ExelaStealer通过伪装成PDF文档的可执行文件到达受害者的计算机,但恶意软件不太可能仅限于这种传递方法研究人员发现,当他们运行检查的假 PDF 文件时,前台会显示一份文档(Dacia Duster 的土耳其注册证书),而 infostyler在后台运行。“数据已成为一种有价值的货币,因此,收集数据的努力不可能永远停止,”斯劳特解释道。尽管数据盗窃软件多种多样,ExelaStealer 表明市场上仍然有空间让新玩家开拓自己的利基市场。https://www.securitylab.ru/news/542918.php
6、更多在线隐私:Chrome引入IP保护谷歌正准备在一些Chrome浏览器用户中测试新的IP保护选项。该功能旨在通过使用代理服务器隐藏用户的IP地址来确保用户的隐私和安全。IP Protection是一个名为IP Protection (Gnatcatcher) 的大型项目的一部分,该项目 由Google开发人员在GitHub上发布。IP保护功能将通过谷歌的代理服务器路由来自某些域的第三方流量,从而帮助阻止网站和在线服务跟踪用户。该工具使用户的IP 地址对这些域不可见。谷歌代表强调:“Chrome正在提出测试一项保护用户免受通过IP地址进行跨站点跟踪的提案。该产品是一种隐私代理,可以匿名用户的IP地址以限制流量。”该公司计划逐步测试和实施知识产权保护选项。初始阶段称为阶段 0,将使用 Google 拥有的单个代理服务器,该服务器仅将请求转发到公司本身拥有的域。这将允许您测试基础设施并优化将重定向的域列表。为了防止可能滥用新选项,由 Google 管理的身份验证服务器将根据每个用户的配额颁发代理访问令牌。在下一个测试阶段(第一阶段),访问IP保护选项的用户数量将增加。谷歌还计划使用两跳代理系统来进一步增强隐私。第二个代理将由外部 CDN 启动,Google将启动第一跳。这可确保代理服务器无法同时看到客户端的IP地址和目的地。随着生态系统的发展,Google 将通过调整代理服务器设置并在重定向流量列表中包含其他域来扩展 IP 保护选项的功能。https://www.securitylab.ru/news/542919.php
7、CISA正在制定更新的国家网络事件响应计划网络安全和基础设施安全局(CISA)正在与行业利益相关者和政府机构合作制定新版本的国家网络事件响应计划 (NCIRP),该框架概述了国家对重大网络事件的响应。更新后的计划在2023年国家网络安全战略中得到授权,CISA目前正在与国家网络主任办公室(ONCD)合作,协调监管机构、关键基础设施组织等的意见。CISA网络安全执行助理总监埃里克·戈尔茨坦 (Eric Goldstein)在周五(10月20日)的一份声明中表示,自七年前首次发布该计划以来,需要制定新版本的计划。该计划首次发布时,CISA和ONCD都不存在,这些机构指出,网络安全形势已经发生了巨大变化,各种私营部门组织在威胁形势下使用了更成熟的事件响应计划,现在包括毁灭性的勒索软件攻击。联邦首席信息安全官兼国家网络副主任克里斯托弗·德鲁沙(Christopher DeRusha)解释说,该计划对于政府变得更加“协作、敏捷和对不断变化的威胁形势做出响应”的工作至关重要。CISA于9月开始与利益相关者会面,并将在11月继续举行听证会。12月,他们将开始撰写该文件,然后向公众开放以征求意见。根据该机构分享的情况说明书,他们预计更新后的计划将在2024年底之前获得批准和发布。https://therecord.media/cisa-working-on-national-incident-response-plan
8、乌克兰安全部门参与俄罗斯最大私人银行的黑客攻击乌克兰黑客与该国安全部门SBU合作,入侵了俄罗斯最大的私人银行,该部门的一位消息人士向Recorded Future News证实。据报道,上周两个亲乌克兰黑客组织KibOrg和NLB侵入了Alfa-Bank,并声称获得了超过3000万客户的数据,包括他们的姓名、出生日期、账号和电话号码。他们的官方网站上有一个帖子。去年俄罗斯入侵乌克兰后,阿尔法银行受到美国制裁。该银行的所有者是俄罗斯裔以色列亿万富翁米哈伊尔·弗里德曼(Mikhail Fridman),他被美国和欧洲列入黑名单,这是对俄罗斯经济及其最富有的商人实施限制的一部分。黑客在网上发布了一些数据,包括有关弗里德曼父子、亲俄博主阿特米·列别杰夫以及俄罗斯说唱歌手蒂马蒂和巴斯塔的信息。据俄罗斯通讯社塔斯社报道,阿尔法银行否认了有关泄密的报道。乌克兰安全部门的一位消息人士因无权公开谈论这一事件而要求匿名,他向记录未来新闻证实乌克兰机构参与了此次行动,但没有提供进一步的细节。这并不是乌克兰情报部门第一次与黑客活动分子合作。乌克兰安全局网络安全负责人伊利亚·维提乌克此前曾表示,乌克兰黑客泄露的文件在该国的网络情报工作中发挥着重要作用。https://therecord.media/sbu-involved-in-alfa-bank-hack
9、华盛顿选举委员会表示全部选民名册因数据泄露而受到影响哥伦比亚特区选举委员会(DCBOE)周五(10月20日)宣布,其完整选民名单可能在最近第三方服务提供商的数据泄露事件中被获取。该事件最初于10月6日披露,当时该机构表示,一名威胁行为者在破坏向DCBOE提供网站托管服务的DataNet后访问了60万行美国选民数据。10月20日,DCBOE在其初始通知的更新中透露,攻击者可能已经访问了所有注册选民的信息。“DataNet Systems遭到破坏的数据库服务器确实包含DCBOE选民名册的副本,”该机构表示。“DataNet Systems证实,不良行为者可能已经获得了完整的选民名册,其中包括个人身份信息(PII),其中包括部分社会安全号码、驾驶执照号码、出生日期以及电话号码和电子邮件地址等联系信息。” DCBOE补充道。据该机构称,DataNet尚未确定完整选民名册是否确实被访问、何时可能发生以及有多少人可能受到影响。DCBOE表示,将联系所有登记选民,告知他们这一事件,并将与谷歌的网络安全部门Mandiant合作调查数据泄露事件。该机构的数据库和服务器没有直接受到损害,但DCBOE在攻击后扫描了其系统是否存在漏洞,并关闭了其网站,用维护页面取而代之。10月初,勒索软件组织RansomedVC声称对此次事件负责,称其计划将数据出售给单个买家。https://www.securityweek.com/dc-board-of-elections-says-full-voter-roll-compromised-in-data-breach/
10、芬兰勒索者因泄露数万精神秘密而等待惩罚芬兰正在接受该国历史上最臭名昭著的网络犯罪之一的审判。26岁的Aleksanteri Kivimäki,原名Julius Kivimäki,被指控侵犯赫尔辛基私人心理治疗中心患者的隐私。检察官办公室表示,这名年轻人不仅侵入了诊所的客户数据库,而且还企图敲诈勒索,将严重加重处罚。如果罪名成立,基维迈基将面临最高七年的监禁。据了解,早在2018年,一名黑客就侵入了Vastaamo公司的系统,该公司在全国管理着数十个心理治疗中心。他窃取了约 33,000名患者的机密医疗记录。超过21,000名受害者随后联系了警方。Kivimäki向Vastaamo索要38万美元的比特币,但该公司不愿意合作,所以他试图从另一边过来。黑客开始向客户发送信件,要求支付200至500欧元不等的金额,并承诺不会透露他们与心理学家会面的细节。当Vastaamo管理层最终拒绝支付赎金时,Kivimäki在暗网上发布了部分被盗信息。受损的文件包含患者的社会安全号码、电话号码、电子邮件地址,以及专家的咨询录音和笔记。芬兰媒体指出,即将举行的听证会规模将“非常大”,约有500名受害者表示希望参与这一过程。青少年时期,Aleksanteri Kivimäki是Lizard Squad组织的成员,该组织在2014年底变得最为活跃。当时,黑客被指控组织对 PlayStation 和 Xbox 游戏服务进行 DDoS 攻击,并威胁要炸毁一架载有索尼在线娱乐公司总裁的飞机。2015 年,Kivimäki已被判犯有50,000多起计算机犯罪案。https://www.securitylab.ru/news/542927.php
11、台湾威联通(QNAP)专家如何击退网络攻击并禁用黑客的C2服务器台湾网络设备制造商威联通(QNAP)最近成功抵御了一次针对网络附加存储(NAS)系统的网络攻击,该系统具有可在互联网上公开访问的弱口令。10月14日晚,该公司检测到一系列攻击,并在云提供商DigitalOcean的支持下禁用了攻击者的命令和控制服务器(C2服务器),该服务器控制着数百个受感染系统的僵尸网络。QNAP产品安全事件响应团队(QNAP PSIRT)使用专有的QuFirewall软件在7小时内封锁了数百个僵尸网络,保护许多QNAP NAS设备免受进一步的攻击。该公司表示:“在48小时内,我们还成功识别了C2服务器的来源,并与云提供商DigitalOcean一起采取行动阻止它。”QNAP代表对他们的行动表示赞赏。他们表示,这不仅帮助QNAP NAS用户避免了损失,也保护了其他网络存储用户免受这波攻击。尽管成功击退了攻击,但攻击者很少坐视不理,因此威联通敦促客户独立加强对设备的保护:更改标准访问端口、停用路由器上的端口转发和NAS上的UPnP、应用安全口令策略并禁用端点上的帐户管理员。最受近针对QNAP设备的攻击包括使用DeadBolt 、Checkmate和eCh0raix勒索软件的活动。https://www.securitylab.ru/news/542931.php
12、DoNot Team利用新Firebird后门攻击巴基斯坦和阿富汗名为DoNot Team 威胁参与者与使用名为Firebird的新型基于 .NET的后门有关,该后门针对的是巴基斯坦和阿富汗的少数受害者。网络安全公司卡巴斯基在其2023年第三季度APT趋势报告中披露了这一发现,该公司表示,攻击链还被配置为提供名为CSVtyrei的下载器,因其与Vtyrei相似而得名。“示例中的一些代码似乎不起作用,暗示正在进行的开发工作,”这家俄罗斯公司表示。Vtyrei(又名BREEZESUGAR)指的是第一阶段有效负载和下载器菌株,之前被对手用来提供称为RTY的恶意软件框架。DoNot Team 被称为APT-C-35、Origami Elephant和SECTOR02,疑似源自印度,其攻击利用鱼叉式网络钓鱼电子邮件和流氓Android应用程序来传播恶意软件。卡巴斯基的最新评估基于对威胁行为者2023年4月部署Agent K11和RTY框架的双重攻击序列的分析。此前,Zscaler ThreatLabz还发现巴基斯坦透明部落(又名APT36)攻击者使用更新的恶意软件库针对印度政府部门开展了新的恶意活动,其中包括以前未记录的名为ElizaRAT的Windows木马。安全研究员Sudeep Singh上个月指出:“ElizaRAT以 .NET二进制文件形式提供,并通过Telegram建立C2通信通道,使威胁行为者能够完全控制目标端点。”透明部落自2013年以来一直活跃,利用凭证收集和恶意软件分发攻击,经常分发Kavach多因素身份验证等印度政府应用程序的木马安装程序,并将开源命令与控制(C2)框架(例如Mythic)武器化。https://thehackernews.com/2023/10/donot-teams-new-firebird-backdoor-hits.html
13、北极战略实施计划呼吁加强军事通信、传感和PNT白宫当地时间10月23日公布了其十年北极战略的实施计划,其中包括为国防部加强安全并阻止对手在该地区活动的新指令。该文件是在拜登-哈里斯政府于2022年发布的战略之后发布的,该战略概述了与北极新兴问题相关的四大支柱,其中之一呼吁五角大楼发展加强军事行动的能力。其他三个重点关注气候变化、经济发展和国际伙伴关系的长期影响。该计划现在列出了与战略安全相关的广泛目标——增进对北极作战环境的了解、增加在该地区的存在以及与相关盟友和伙伴合作——其中还包括国防部和其他联邦机构采取的具体行动遏制该地区的侵略行为。最初的战略指出了俄罗斯增强的军事态势和中国计划扩大其在该地区影响力的计划,该地区是国家安全关注的领域。为了密切关注对手并跟踪潜在威胁,新计划要求改进域感知能力。这包括投资更换和升级过时的系统和基础设施、扩大北极的覆盖范围以及纳入新兴技术。根据该文件,五角大楼将与北极国家合作,针对该地区的行动进行量身定制的研发,特别是与加拿大合作,以“现代化、改进和更好地整合”北美防空司令部(NORAD)的能力。实施计划还呼吁五角大楼和美国宇航局“通过开发能够在北纬地区运行的通信和数据网络来提高通信和定位、导航和授时(PNT)能力。https://defensescoop.com/2023/10/23/arctic-strategy-implementation-plan/
14、罗克韦尔自动化将收购ICS/OT安全公司Verve Industrial工业巨头罗克韦尔自动化周一(10月23日)宣布,已签署收购Verve Industrial Protection的最终协议,Verve Industrial Protection是一家专门从事工业控制系统(ICS)和运营技术(OT)的网络安全公司。Verve的托管OT/ICS安全平台提供资产库存、漏洞管理、补丁管理、配置管理、SIEM、事件响应以及备份和恢复功能。此外,该公司还提供网络分段、漏洞评估、系统强化、自动化工程和咨询服务。该交易使罗克韦尔自动化能够扩大和加强其产品范围。财务细节尚未披露。此次收购预计将在罗克韦尔2024财年第一季度完成。交易完成后,Verve将成为罗克韦尔生命周期服务部门的一部分。罗克韦尔生命周期服务高级副总裁Matt Fordenwalt表示:“通过收购Verve,我们的客户可以快速评估其资产、确定风险优先级并采取对策来缓解漏洞,所有这些都在一个平台内完成。” “将Verve添加到我们的解决方案套件中,使客户能够进一步增强弹性并不断提高其运营的安全性和可用性。”根据SecurityWeek并购跟踪器的数据,2022年宣布的六起并购交易涉及工业网络安全公司。2023年迄今为止宣布的交易中只有几笔涉及ICS安全解决方案提供商。 https://www.securityweek.com/rockwell-automation-acquires-ics-ot-security-firm-verve-industrial/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement