20231025-5th域安全微讯早报-No.255
网络空间安全对抗资讯速递
2023年10月25日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-255 星期三
今日热点导读
13、2023年9月成为勒索软件攻击的创纪录月份14、美国网络司令部设立防御活动,旨在改进概念和协调
资讯详情
1、美国TSA更新客运和货运铁路网络安全法规
美国运输安全管理局(TSA)更新了客运和货运铁路公司的网络安全指令,旧指令将于周二(10月24日)到期。这些规则分为三个单独的指令,要求运营商每年测试部分网络安全事件响应计划,向TSA提交年度更新的网络安全评估计划,并报告工作的有效性。运营商必须制定网络分段策略和控制措施,将运营技术(OT)系统与通用IT系统分开,以防受到威胁。该指令还命令运营商制定访问控制措施,制定网络威胁检测策略,并及时为操作系统、应用程序、驱动程序和固件实施修补或更新流程。TSA局长David Pekoske表示:“为了确保国家铁路系统免受网络威胁,更新是正确的做法,这些更新维持了铁路行业现有的强有力的网络安全措施。”他指出,该机构与运输安全管理局合作与网络安全和基础设施安全局(CISA)以及联邦铁路管理局就这些文件进行合作。这些规则于2021年10月首次发布,此前Colonial Pipeline勒索软件攻击使网络安全成为联邦政府的首要任务,并于去年10月与几项新措施一起更新。周一(10月23日)发布的最新更新将所有规则再延长一年。
https://therecord.media/tsa-renews-cybersecurity-regulations-passenger-freight-railroads
2、副国家安全顾问纽伯格:新的全球举措将包括信息共享、勒索软件支付跟踪
白宫高级官员周二(10月24日)表示,全球政府网络安全领导人联盟下周在华盛顿召开会议时,将宣布努力加强有关数字威胁的信息共享,并打击邪恶的加密货币支付。负责网络和新兴技术的副国家安全顾问安妮·纽伯格 (Anne Neuberger)在一次会议上表示,拜登政府将于下周接待来自50个国家的官员参加其国际反勒索软件倡议 (CRI),参与者将公布一些“可交付成果”。这是外交关系委员会在华盛顿举行的活动。Recorded Future News上个月首次报道称,预计白宫将敦促与会各国政府发布联合政策承诺,宣布不会向网络犯罪分子支付赎金。“我们还没有完全做到这一点,因为当你有50个国家时,就到了最后的关键时刻,”纽伯格说。“如今并没有一个全球规范,‘网络攻击期间是否应该支付赎金?’”她补充道。纽伯格表示,除了承诺之外,立陶宛和以色列还将宣布他们正在建立“信息共享平台,各国可以承诺在发生重大事件后迅速共享信息”。参与者还将推出新的步骤来揭开加密货币的透明度面纱。纽伯格表示:“我们之前没有分享过不良钱包以及区块链上正在转移与勒索软件相关的非法资金的钱包的信息。”她补充说,这些数据将与世界各地的财政部共享,“希望运营虚拟货币的国家资产服务提供商可以阻止这种情况。”
https://therecord.media/whiteh-house-global-initiatives-information-sharing-ransomware-tracking
3、乌克兰网络官员警告称,针对金融和政府实体的Smokeloader攻击“激增”
据乌克兰网络安全官员称,俄罗斯网络犯罪嫌疑人增加了使用Smokeloader恶意软件对乌克兰金融和政府组织的攻击。乌克兰国家网络安全协调中心(NCSСС)周二(24日)发布的研究显示,自今年5月以来,恶意软件运营商针对乌克兰组织发起了强烈的网络钓鱼攻击,主要试图渗透其系统并窃取敏感信息。Smokeloader是一种高度复杂的恶意软件,主要充当加载程序,它将更隐蔽或更有效的恶意软件下载到系统中。然而,由于其模块化设计,Smokeloader可以执行多种功能,包括窃取凭据、执行分布式拒绝服务(DDoS)攻击以及拦截击键。该恶意工具包的价格各不相同,从基本机器人的400美元到完整包的1,650美元(包含所有可用插件和功能)不等。研究人员并未将此次活动归因于特定的黑客组织,但他们指出,俄罗斯域名注册商的普遍存在表明与俄罗斯网络犯罪活动存在潜在联系。早在5月份,乌克兰计算机紧急响应小组(CERT-UA)将Smokeloader活动与他们识别为UAC-0006的威胁行为者联系起来。CERT-UA将其描述为一种出于经济动机的行动,旨在窃取凭证并执行未经授权的资金转移。
https://therecord.media/surge-in-smokeloader-malware-attacks-targeting-ukrainian-financial-gov-orgs
4、挪威在“重要企业”受到思科零日漏洞影响后发出安全警告
挪威国家安全局(NSM)负责人周一(10月23日)警告称,利用最近披露的两个思科漏洞已导致该国的“重要企业”遭到黑客攻击。NSM负责人Sofie Nystrøm在接受挪威报纸Dagens Næringsliv采访时表示,她的机构正在协调国家应对措施,以应对影响Cisco IOS XE的两个零日漏洞。尼斯特罗姆拒绝透露受影响的企业名称,只是将其描述为重要的企业并表示其中一些企业提供社区服务。她的机构没有提供该国有多少组织遭到黑客攻击的数量,也没有提供其中是否有公共部门的数据。尼斯特罗姆表示,情况“非常严重”,然后称这次攻击比今年夏天影响挪威政府支持机构DSS的事件“更严重” ,那次事件导致黑客访问了十几个政府部门的数据。在最近的两份安全公告(首次发布于10月16日)中,网络技术巨头思科透露,攻击者正在积极利用两个漏洞(CVE-2023-20198和CVE-2023-20273),其中第一个漏洞在10/10的通用漏洞评分系统。该公司的Talos Intelligence团队表示,他们观察到威胁行为者使用CVE-2023-20198 访问客户的系统,并随后部署植入程序。发现多达40,000台在线设备似乎受到了威胁。NSM副主任Gullik Gundersen表示,NSM已经意识到该漏洞“有一段时间了”。Gundersen表示:“由于该漏洞的严重性被评为严重,因此利用该漏洞造成的损害范围很大。攻击者可以创建一个用户来实现对受影响系统的完全控制。”他表示,使用Cisco IOS XE的企业应立即更新其系统。
https://therecord.media/norway-advisory-cisco-zero-days-important-businesses
5、前国家安全局雇员承认向俄罗斯泄露机密数据
美国国家安全局(NSA)的一名前雇员承认了指控他试图向俄罗斯传输机密国防信息的指控。Jareh Sebastian Dalke,31 岁,于2022年6月6日至2022年7月1日期间担任美国国家安全局信息系统安全设计师,拥有绝密许可可以访问敏感文件。最新进展发生在他被捕一年多后。“达尔克承认,在2022年8月至9月期间,为了证明他的‘合法访问和分享意愿’,他使用加密的电子邮件帐户将三份机密文件的摘录传输给他认为是俄罗斯特工的个人,”美国司法部(DoJ)在周一(10月23日)的新闻稿中表示。事实上,这名特工是一名为美国联邦调查局(FBI) 工作的网络秘密雇员。据称,达尔克还要求支付85,000美元,以换取分享他所掌握的信息,他声称这些信息对俄罗斯很有价值,并承诺将来会分享更多文件。文件传输是通过笔记本电脑在科罗拉多州丹佛市中心的联合车站进行的,包括五个文件,其中四个包含绝密国防信息(NDI)。2022年9月28日,文件传输后不久,达尔克被当局逮捕。
https://thehackernews.com/2023/10/ex-nsa-employee-pleads-guilty-to.html
6、iOS零日攻击:专家揭示了三角测量操作的更深入见解
用于针对Apple iOS设备的TriangleDB植入程序包含至少四个不同的模块,用于记录麦克风、提取iCloud钥匙串、从各种应用程序使用的SQLite数据库中窃取数据以及估计受害者的位置。调查结果来自卡巴斯基,该公司详细介绍了这场名为“三角测量行动”的活动背后的对手,在秘密从受感染设备中窃取敏感信息的同时,竭尽全力隐藏和掩盖其踪迹。这种复杂的攻击于2023年6月首次曝光,当时iOS已成为利用iMessage平台的零点击漏洞武器化零日安全漏洞(CVE-2023-32434和CVE-2023-32435)的目标,攻击者可以完全控制设备和用户数据。尽管卡巴斯基本身在今年年初成为目标之一,促使其调查其在功能齐全的高级持续威胁(APT)中所说内容的各个组成部分,但威胁行为者的规模和身份目前尚不清楚平台。该攻击框架的核心是一个名为TriangleDB的后门,攻击者利用CVE-2023-32434(一个可被滥用执行任意代码的内核漏洞)获得目标iOS设备的root权限后部署该后门。现在,根据俄罗斯网络安全公司的说法,植入程序的部署之前有两个验证器阶段,即JavaScript验证器和二进制验证器,执行这些阶段以确定目标设备是否与研究环境无关。卡巴斯基研究人员Georgy Kucherin、Leonid Bezvershenko和Valentin Pashkov在10月23日发布的一份技术报告中披露了细节。
https://thehackernews.com/2023/10/operation-triangulation-experts-uncover.html
7、谷歌应以色列军方要求关闭加沙地带交通拥堵显示
谷歌暂时禁止其地图和位智应用程序查看以色列和有争议的加沙地带的实时交通状况。这是应以色列军队的要求,鉴于最近与巴勒斯坦的公开对抗而做出的。谷歌发言人表示:“正如我们在之前的冲突中所做的那样,为了应对该地区不断变化的局势,出于对当地社区安全的担忧,我们暂时禁用了查看实时交通状况和交通信息的能力。”据知情人士透露,做出这一决定是因为实时交通数据可以揭示以色列军队的动向。去年,谷歌已经针对另一场众所周知的冲突采取了类似的措施。虽然实时交通显示被禁用,但使用导航系统的驾驶员仍会收到基于当前情况的预计到达时间,但带有路线彩色部分的交通可视化将不可用。以色列科技网站GeekTime最先报道了这一进展,称苹果的地图应用程序也遵守了以色列军队的要求。苹果和以色列国防军的代表尚未对此事发表评论。
https://www.securitylab.ru/news/542979.php
8、俄罗斯数十家组织遭受大规模网络攻击:黑客使用新后门
俄罗斯政府和工业部门机构已成为卡巴斯基实验室发现的大规模网络攻击的受害者 。攻击者使用附有恶意存档的网络钓鱼电子邮件,在受感染的设备上启动了新的后门。攻击的目标是窃取屏幕截图、文档、浏览器密码和剪贴板信息等数据。这次攻击从2023年6月开始,一直持续到8月中旬。攻击者模仿监管机构的官方信息发送信件,其中包含PDF格式的虚假文档和恶意存档。如果受害者打开存档,[NSIS].nsi脚本就会在他们的设备上启动,该脚本会在隐藏窗口中安装后门。同时,下载恶意软件的网站名称模仿了官方部门的网站。启动后,恶意软件会检查互联网访问并尝试连接到合法的网络资源(外国媒体)。然后,它会检查受感染设备是否有可以检测其存在的软件和工具,例如沙箱或虚拟环境。如果至少有一个,后门就会停止活动。当所有检查都通过后,恶意软件会连接到攻击者的服务器并加载模块,使其能够从剪贴板窃取信息、截取屏幕截图并在流行扩展名中查找用户文档(例如doc、.docx、.pdf、. xls、.xlsx)。所有数据均传输至控制服务器。8月中旬,攻击者更新了他们的后门,添加了一个用于从浏览器窃取密码的新模块,并增加了对环境的检查次数。感染链保持不变。
https://www.securitylab.ru/news/542977.php
9、网络犯罪分子在巴以冲突中成功愚弄慈善家
诈骗者积极利用以色列和巴勒斯坦之间的冲突,冒充慈善组织来吸引捐款。在X(以前称为Twitter)、Telegram和Instagram等平台上,您现在可以找到许多帖子,其中诈骗者发布可疑的加密货币钱包地址以引诱容易受骗的捐助者。BleepingComputer的记者发现了500多封自称代表慈善机构的个人发送的电子邮件,以及直接出现在Google搜索结果中的许多钓鱼网站和社交网络上的虚假页面。引起研究人员注意的一个例子是平台X上的“加沙救济援助”帐户。与该帐户关联的域名于10月15日注册,尽管声称并非如此,但并未得到官方慈善机构的认可。此外,该组织的网站复制了伊斯兰救济组织官方网站的内容。有趣的是,虽然该网站包含“新闻稿”和武装冲突受害者的图片,但没有有关其幕后人员、组织本身、联系方式或实际地址的信息。为了避免诈骗,研究人员强烈建议在捐款之前仔细查看慈善组织的页面,因为遇到高质量假货的风险很高。这一建议不仅适用于巴以冲突。
https://www.securitylab.ru/news/542970.php
10、费城市电子邮件黑客窃取了个人信息
费城当局透露,某些个人的信息在今年早些时候的一次网络攻击中被盗。该市在其网站上的事件通知(PDF)中表示,该恶意活动最初于5月24日被发现,涉及其电子邮件环境。据该市称,对此事的调查显示,未经授权的一方在5月26日至7月28日期间访问了某些城市电子邮件帐户,并且这些帐户中的信息也被访问。费城当局表示:“此外,我们于2023年8月22日意识到,有问题的电子邮件帐户包括可能包含受保护的健康信息的电子邮件帐户。”对事件的调查正在进行中,该市正在手动审查可能受影响的信息,以确定事件的严重程度。迄今为止,调查显示个人信息(包括姓名、地址、出生日期、社会安全号码)、健康信息(诊断和其他治疗相关信息)以及财务信息可能在攻击中受到损害。该市表示已将此次攻击通知美国卫生与公众服务部,并已采取措施提高其网络和电子邮件系统的安全性。费城尚未透露受影响人数的详细信息,以及该事件是否还暴露了其他类型的数据。
https://www.securityweek.com/personal-information-stolen-in-city-of-philadelphia-email-hack/
11、罗克韦尔自动化就影响Stratix交换机的思科零日漏洞向客户发出警告
罗克韦尔自动化已就其Stratix工业交换机上的Cisco IOS XE零日漏洞被积极利用的影响向客户发出警告。身份不明的黑客利用两个编号为CVE-2023-20198和CVE-2023-20273的Cisco IOS XE零日漏洞在受影响的设备上创建高权限帐户,并部署基于Lua的植入程序,从而使他们能够完全控制系统。在思科披露第一个零日漏洞的存在后不久,网络安全社区就发现了数以万计的受感染系统。罗克韦尔上周通知客户,其使用Cisco IOS XE操作系统的 Stratix 5800和5200托管工业以太网交换机受到CVE-2023-20198的影响。仅当启用IOS XE Web UI功能时,设备才会受到影响。由于它是在发现第二个零日漏洞之前发布的,罗克韦尔的安全公告没有提及任何有关CVE-2023-20273的内容,攻击者一直在使用CVE-2023-20273来传播植入程序。然而,这个缺陷也会影响IOS XE软件,这意味着它也可能会影响罗克韦尔的交换机。罗克韦尔的公告称没有可用的补丁,但思科在公告发布后确实发布了修复程序。这家工业自动化巨头承诺随着更多信息的出现而分享更新,但指出它并不知道针对其产品的攻击。
https://www.securityweek.com/rockwell-automation-warns-customers-of-cisco-zero-day-affecting-stratix-switches/
12、法国ASVEL职业篮球队在勒索软件攻击后证实数据泄露
法国职业篮球队LDLC ASVEL(ASVEL)证实,在NoEscape勒索软件团伙声称攻击该俱乐部后,数据被盗。ASVEL是法国里昂维勒班的一支职业篮球队,由前NBA球星托尼·帕克率领。该俱乐部被认为是该国最成功的俱乐部,赢得了21次全国冠军和10次杯赛冠军。ASVEL表示,在他们于2023年10月9日加入NoEscape勒索软件的勒索门户后,他们于10月12日通过媒体收到了潜在漏洞的警报。“LDLC ASVEL在10月12日通过媒体发出警报,并立即联系了专门从事网络安全领域的公司,不幸的是,今天能够确认它确实是其计算机系统被入侵的受害者,数据泄露,”ASVEL在一份新闻声明中说。攻击者声称窃取了32GB的数据,包括球员的个人数据、护照和身份证,以及许多与金融、税收和法律事务有关的文件。保密协议,合同,保密信件。据称,与球员的合同协议也包含在被盗数据集中。NoEscape勒索软件团伙利用这些被盗数据作为筹码,威胁要在2023年10月20日之前公布这些数据,除非ASVEL联系他们协商赎金。ASVEL表示,他们聘请了网络安全专家,这些专家于2023年10月18日证实,攻击者入侵了俱乐部的系统并窃取了数据。虽然该事件并未影响俱乐部的运营,但俱乐部正在评估此次事件中暴露的数据对第三方的伤害。
https://www.bleepingcomputer.com/news/security/asvel-basketball-team-confirms-data-breach-after-ransomware-attack/#google_vignette
13、2023年9月成为勒索软件攻击的创纪录月份
勒索软件活动在8月份相对平静之后,9月份达到了前所未有的水平,但仍远高于夏季的常规标准。根据NCC Group的数据,勒索软件组织在9月份发起了514次攻击。这超过了2023年3月的459次攻击,并且受到Clop的MOVEit Transfer数据盗窃攻击的严重影响。Clop在9月份几乎没有任何活动,这可能表明这个复杂的勒索软件团伙正在为下一次大规模攻击做准备。然而,其他威胁组织也创造了这一记录,包括LockBit 3.0(79次攻击)、LostTrust(53次)和BlackCat(47次)。LostTrust是榜单上一个新的威胁参与者,直接跃居第二。由于大量的代码重叠,LostTrust被认为是MetaEncryptor的重塑,它已经加密了许多组织的网络,其中一些组织也经历了数据泄露。RansomedVC是利用GDPR报告威胁进行勒索攻击的新来者,以44次攻击排在NCC的第四位。但是,应当指出的是,后来发现“赎金”所声称的一些攻击是夸大的。这意味着9月份大约五分之一的攻击来自新的勒索软件操作,突显了它们的攻击性和规模能力。就目标地区而言,北美以50%的份额占据最大份额,欧洲以30%的份额紧随其后,亚洲以9%的份额位居第三。最受攻击的行业是“工业”(建筑、工程、商业服务),有169次攻击,“消费周期”(零售、媒体、酒店)有94次攻击,技术(软件和IT服务、网络、电信)有52次攻击,医疗保健有38次攻击。NCC的报告强调,从2023年1月到2023年9月,它记录了近3500次攻击,现在很可能到今年年底,最终数字将接近4000次。
https://www.bleepingcomputer.com/news/security/september-was-a-record-month-for-ransomware-attacks-in-2023/
14、美国网络司令部设立防御活动,旨在改进概念和协调
美国网络司令部计划利用全球活动来改进其执行防御行动以及与合作伙伴合作的方式。网络司令部发言人表示,该司令部所称的国际协调网络安全活动(INCCA)是一项防御性工作,参与者将在国防部网络和系统上搜索已知的恶意软件。这不是一次指定的行动,因此不需要新的协议或授权来开展以内部为重点的防御行动。根据周一(23日)发布的新闻稿,该活动定于“十月份”举行。该版本没有提供更具体的开始日期或结束日期。该发言人表示,虽然防御行动是Cybercom的常规活动,也是INCCA下的类似活动,但这项活动涉及与其他合作伙伴实时共享从内部防御网络工作中收集的信息和见解。“关于INCCA,最重要的一点是,这些活动以内部为重点,使CYBERCOM能够在我们与国防部主要利益相关者和更广泛的合作伙伴合作和分享最佳实践时完善我们的流程。这项活动增强了与我们现有和未来合作伙伴的互操作性和实时信息共享,以应对针对和损害国家安全利益的网络威胁。”各种网络保护团队(网络司令部的防御型单位,负责搜寻国防部网络上的恶意活动)参与了这项活动,搜索、拦截和阻止针对五角大楼网络和系统的网络威胁和恶意活动。但该司令部拒绝提供有关谁参与的更多细节,只承认它正在与作战司令部、各军种、国防部机构、现场活动和“更广泛的合作伙伴”合作。由于网络空间和网络威胁的快速变化,进攻方和防守方都在不断更新战术。“网络空间是一个日益动态的环境,恶意网络行为者试图利用联合部队所依赖的网络、数据和关键基础设施,”网络司令部J3运营总监Ryan Janovic少将在一份声明中表示。该司令部称,该活动的目的是改进流程、准备情况以及与合作伙伴的协调。
https://defensescoop.com/2023/10/24/us-cyber-command-sets-up-defensive-activity-aimed-at-improving-concepts-and-coordination/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement