其他
20231026-5th域安全微讯早报-No.256
网络空间安全对抗资讯速递
2023年10月26日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-256 星期四
今日热点导读
3、美国联邦政府准备好迎接FIDO了吗?4、间谍组织利用网络邮件服务器零日攻击来欧洲政府5、俄罗斯艺术家的Spotify账户被亲乌克兰黑客破坏6、哈萨克斯坦黑客正在针对独立国家联合体开展网络间谍活动7、日本Seiko表示勒索软件攻击导致60,000项个人数据泄露8、Grammarly、Video和Bukalapak平台中发现的关键OAuth缺陷9、黑客在2023年多伦多Pwn2Own第一天就赚了40万美元10、新项目旨在通过对每个供应商的有用文件和功能进行编目以实现PLC安全编码11、与以色列-哈马斯战斗相关的网络行动势头强劲12、巴西WhatsApp用户正在集体损失积蓄:GoPIX恶意软件的秘密13、人工智能如何重新定义机器人技术的边界14、Citrix Bleed漏洞允许黑客劫持NetScaler账户15、全球紧张局势加剧可能预示着破坏性黑客攻击的到来
资讯详情
1、欧洲机构报告量子计算和量子技术以确定网络安全影响欧盟委员会联合研究中心(JRC)、欧洲刑警组织欧洲网络犯罪中心(EC3)和欧洲刑警组织创新实验室本周发布了一份联合报告,深入研究了量子计算和量子技术对执法的影响。它评估了可以采取哪些措施来确保安全可靠地过渡到量子计算和量子技术。该观察站的报告题为“第二次量子革命:量子计算和量子技术对执法的影响”,旨在让决策者、政策制定者和从业者了解量子计算和量子技术带来的好处和威胁。它提供了当前状况的最新信息,并提供了具体建议,以便更好地为未来做好准备。在以量子技术的进攻和防御为特征的现代安全格局中,该报告变得意义重大。它提供了全面的概述,最终提出指导未来战略和行动的具体建议。欧盟委员会JRC部门总干事斯蒂芬·奎斯特 (Stephen Quest)称,量子计算无疑将影响密码学领域,进而影响网络安全。随着量子计算机在解决复杂数学问题方面将达到令人印象深刻的速度,今天对许多敏感信息的保护在未来将变得脆弱。这种增强的计算能力既会给执法活动带来挑战,也会有利于执法活动。奎斯特进一步指出,预测、在不同科学和政策领域之间建立联系以及衡量量子技术科学发展的影响变得至关重要。https://industrialcyber.co/reports/european-agencies-report-on-quantum-computing-and-quantum-technologies-identify-cybersecurity-impact/
2、CISA和HHS希望帮助卫生部门加强网络卫生网络安全和基础设施安全局与美国卫生与公众服务部合作发布了一套新指南,旨在保护医疗保健部门免受网络攻击。该网络安全工具包于周三(10月25日)宣布,可作为医疗保健实体访问各种网络安全资源的单一门户。一些产品包括网络卫生概述、如何解决资源限制以及如何自愿共享有关潜在违规的信息。该资源旨在解决医疗保健等关键基础设施实体因日益先进的网络攻击而面临的长期挑战。美国卫生与公众服务部副部长安德里亚·帕尔姆(Andrea Palm)表示:“过去几年,我们发现针对医院和卫生系统的网络攻击的数量和严重程度显着上升。” “这些攻击暴露了我们医疗保健系统的漏洞,降低了患者的信任度,最终危及患者的安全。”Palm补充说,她的机构正在与CISA和行业合作伙伴“密切合作”,继续为医疗保健组织传播有用的指导,特别是那些缺乏资源来保护数字网络中敏感个人信息的组织。CISA副局长Nitin Natarajan 表示:“鉴于医疗保健组织拥有个人身份信息、财务信息、健康记录和无数医疗设备,它们本质上是对手的一站式商店。”CISA和HHS的工具包遵循拜登政府2021年5月网络安全行政命令中概述的任务,该命令要求联邦机构改进网络事件共享。 https://www.nextgov.com/cybersecurity/2023/10/cisa-and-hhs-look-help-health-sector-ramp-cyber-hygiene/391522/
3、美国联邦政府准备好迎接FIDO了吗?2022年,网络安全和基础设施安全局局长Jen Easterly敦促商界领袖使用FIDO联盟开发的防网络钓鱼身份验证标准,称其为多因素身份验证的“黄金标准”和“唯一广泛使用的网络钓鱼”抵抗认证。” 使用FIDO依赖于附加到设备的物理令牌或嵌入笔记本电脑或移动设备的“平台身份验证器”。身份验证标准背后的行业协会FIDO联盟表示,与依赖口令和易受网络钓鱼攻击的第二种身份验证形式的多因素身份验证相比,这些协议提供了更高的安全性和更简单的用户体验。数十家制造商的产品和服务已获得FIDO认证。10月13日发布的白皮书解释了随着政府转向零信任架构,联邦机构如何在内部采用 FIDO 凭证,零信任架构是一种安全策略,要求人们在访问政府系统和网络时持续验证用户、设备、应用程序和交易。根据2022年零信任实施备忘录,各机构必须对员工、承包商和合作伙伴使用防网络钓鱼的多因素身份验证。不过,联邦政府不应指望很快就会放弃个人身份验证或通用访问卡——将其作为已存在近二十年的智能卡的补充,而不是替代。https://www.nextgov.com/digital-government/2023/10/are-feds-ready-fido/391509/
4、间谍组织利用网络邮件服务器零日攻击来欧洲政府一个通常支持俄罗斯和白俄罗斯的著名间谍组织被发现利用影响欧洲各国政府使用的流行网络邮件服务的零日漏洞。安全公司ESET的研究人员表示,他们一直在追踪Winter Vivern发起的一项新活动,该组织是一个高级持续威胁(APT)组织,此前曾参与对波兰、乌克兰和印度政府的网络攻击。最新的活动涉及利用一个先前未知的错误,影响免费开源的 Roundcube Webmail软件。ESET表示,在10月12日发现该漏洞后,已向Roundcube通报了该漏洞(编号为CVE-2023-5631),并于10月14日发布了补丁。ESET研究员Matthieu Faou解释说,该活动针对的是属于政府实体和智库的Roundcube服务器,这些服务器均位于欧洲。该漏洞之所以引人注目,是因为它不需要手动交互,只需在网络浏览器中查看恶意电子邮件即可。黑客可以利用该问题窃取电子邮件。Faou表示:“Winter Vivern 对欧洲各国政府构成威胁,因为它持续存在、持续不断地进行网络钓鱼活动,而且尽管已知存在漏洞,但大量面向互联网的应用程序并未定期更新。”Faou指出,这次攻击很新颖,因为相关电子邮件似乎并不恶意。https://therecord.media/winter-vivern-hackers-roundcube-webmail-zero-day
5、俄罗斯艺术家的Spotify账户被亲乌克兰黑客破坏一群亲乌克兰黑客最近入侵了几位著名俄罗斯音乐家的Spotify帐户,将他们的个人资料照片替换为乌克兰国旗和乌克兰说唱歌手的图像,以及阻止俄罗斯在乌克兰发动战争的信息。上周开始的袭击针对的是一些最知名的俄罗斯艺术家,他们此前曾表达过对克里姆林宫和乌克兰战争的支持,其中包括尼古拉·巴斯科夫、格里戈里·莱普斯、奥列格·加兹马诺夫和摇滚乐队列宁格勒。黑客将艺术家的个人资料图片更改为黄色和蓝色横幅(代表乌克兰国旗),并附上“停止乌克兰战争”等信息。他们还上传了乌克兰说唱歌手Clonnex的照片,以及在线游戏Roblox的屏幕截图,其中的头像的用户名显然可能与参与袭击的人有关。Spotify发言人向Recorded Future News 证实,他们已意识到这一事件,并已“立即修复”。黑客在Telegram频道上发布了他们的预期目标清单和成功攻击的报告,Clonnex录制了一段TikTok风格的视频,对俄罗斯媒体报道Spotify黑客事件的方式做出反应。Clonnex没有回复对这些攻击发表评论的请求。https://therecord.media/ukraine-hackers-deface-russian-artists-spotify-pages
6、哈萨克斯坦黑客正在针对独立国家联合体开展网络间谍活动最新研究表明,据信总部位于哈萨克斯坦的黑客正在针对独立国家联合体的其他成员开展广泛的间谍活动。思科的Talos小组花了数月时间跟踪YoroTrooper,这是一个于2022年6月首次出现的专注于间谍活动的黑客组织。研究人员表示,该组织的目标、使用哈萨克斯坦货币以及流利的哈萨克语和俄语是导致他们相信黑客的部分原因。总部设在哈萨克斯坦。YoroTrooper似乎采取了防御行动来保护哈萨克斯坦国有电子邮件服务,并且只攻击过哈萨克斯坦政府的反腐败机构。思科Talos威胁研究员Asheer Malhotra告诉 Recorded Future News,该组织积极试图掩盖其行动,使攻击看起来像是来自阿塞拜疆,试图“生成虚假标记并误导归因”。“就他们的作案手法而言,他们的战术和工具并不是很复杂,但是,由于他们的侵略性尝试,过去两年来,YoroTrooper仍然在独联体国家的目标上取得了巨大的成功。Cisco Talos追踪了涉及阿塞拜疆、塔吉克斯坦、吉尔吉斯斯坦、乌兹别克斯坦的机构和官员的攻击,这些攻击使用VPN服务使其看起来像是来自阿塞拜疆的黑客攻击。2023年5月至2023年8月期间,黑客入侵了多个国有网站和属于政府官员的账户。大多数攻击都是从网络钓鱼电子邮件开始,并部署定制的恶意软件,使该组织能够窃取数据和凭据。https://therecord.media/kazakhstan-hackers-target-governments-commonwealth-of-independent-states-yorotrooper-cisco
7、日本Seiko表示勒索软件攻击导致60,000项个人数据泄露日本钟表制造商Seiko周三(25日)宣布,今年夏天最初报道的勒索软件事件导致客户、员工、业务合作伙伴和求职者的约60,000条个人数据被泄露。该公司表示,已与外部网络安全专家完成了对此次违规行为的全面审查。泄露的数据由 Seiko Group Corporation (SGC)、Seiko Watch Corporation (SWC)和Seiko Instruments Inc.(SII)等业务部门存储。Seiko表示:“我们已经开始单独联系每个受影响的各方,如果发现任何进一步的泄漏,我们将尽最大努力继续对每个受影响的各方做出单独的回应。”8月,黑猫网络犯罪组织(也称为AlphV)声称对此次事件负责,不久之后 Seiko确认这是一次勒索软件攻击。精工表示,正在继续审查勒索软件攻击,同时加强其政策和系统,“以防止此类事件再次发生”。另一家拥有大型制表业务的日本公司卡西欧上周表示,其一家软件子公司在10月初发生了数据泄露事件。https://therecord.media/seiko-ransomware-attack-leaked-60000-pieces-of-data
8、Grammarly、Video和Bukalapak平台中发现的关键OAuth缺陷Grammarly、Vidio和Bukalapak等流行在线服务的开放授权(OAuth)实施中已披露了严重的安全缺陷,这些缺陷建立在Booking[.]com和Expo之前发现的缺陷之上。在2023年2月至4月期间负责任地披露后,这些漏洞现已由各自公司解决,这些漏洞可能允许恶意行为者获取访问令牌并可能劫持用户帐户。OAuth是一种通常用作跨应用程序访问机制的标准,允许网站或应用程序访问其在其他网站(例如 Facebook)上的信息,但不提供口令。“当OAuth用于提供服务身份验证时,其中的任何安全漏洞都可能导致身份盗窃、财务欺诈以及访问各种个人信息,包括信用卡号、私人消息、健康记录等,具体取决于所使用的具体服务。遭到攻击,”盐安全研究员阿维亚德·卡梅尔说。Vidio中发现的问题源于缺乏令牌验证,这意味着攻击者可以使用为另一个App ID生成的访问令牌,这是Facebook为在其开发者门户中注册的每个应用程序或网站创建的随机标识符。在潜在的攻击场景中,威胁行为者可能会创建一个流氓网站,通过Facebook提供登录选项来收集访问令牌,然后将其用于攻击Vidio.com(其应用ID为 92356),从而允许完全接管帐户。API安全公司表示,它还发现 Bukalapak.com通过Facebook登录进行令牌验证存在类似问题,可能会导致未经授权的帐户访问。https://thehackernews.com/2023/10/critical-oauth-flaws-uncovered-in.html
9、黑客在2023年多伦多Pwn2Own第一天就赚了40万美元Pwn2Own多伦多2023黑客大赛24日拉开帷幕,参赛者成功入侵NAS、打印机、手机等各类设备,首日总收入超过40万美元。当天的最高奖励颁给了Sea Security的Orca团队,他们针对Sonos Era 100扬声器执行了两个漏洞利用链(越界读取和释放后使用),获得了60,000美元。Pentest Limited团队因针对三星Galaxy S23手机的不当输入验证漏洞而获得了当日第二高奖励,奖金为50,000美元。该团队还因两个漏洞利用链(拒绝服务和服务器端请求伪造)而获得了40,000美元的奖励,该漏洞利用链导致了Western Digital的My Cloud Pro系列PR4100网络附加存储(NAS)产品受到攻击。另外两项40,000美元的奖励是针对小米13 Pro手机(Viettel团队 - 单错误漏洞利用)和QNAP TS-464 NAS设备(ECQ团队 - 涉及服务器端请求伪造和攻击的三错误漏洞利用链)获得的。Synology BC500 IP摄像机中的漏洞也在比赛第一天被利用,黑客利用这些漏洞获得了大约50,000美元的收入。针对小米13 Pro和三星Galaxy S23的其他漏洞也得到了展示,并为黑客团队赢得了超过40,000美元的奖励。https://www.securityweek.com/hackers-earn-400k-on-first-day-at-pwn2own-toronto-2023/
10、新项目旨在通过对每个供应商的有用文件和功能进行编目以实现PLC安全编码SECURITYWEEK 2023 ICS网络安全会议——一个新项目旨在通过分析和编目每个 PLC 供应商的有用文件和功能,让PLC程序员更轻松地实施安全编码实践。Fortiphyd Logic 的首席执行官兼首席技术官David Formby于周二(24日)在亚特兰大举行的SecurityWeek ICS网络安全会议上介绍了这个新项目,Fortiphyd Logic是一家专门从事可编程逻辑控制器 (PLC)和虚拟工业控制系统(ICS)安全培训实验室端点检测的公司。该项目建立在“前20名安全PLC编码实践”的基础上,其目标是为PLC程序员提供提高安全性的指南。其中一些做法适用于所有PLC,无论供应商如何。这包括模块化代码、将操作逻辑直接留在PLC中、按功能分配寄存器、使用相关性和输入合理性检查、监控PLC正常运行时间、捕获误报、限制第三方数据接口、定义安全启动状态重新启动,并验证计时器、配对输入/输出和间接。然而,每个供应商的一些安全PLC编码实践都不同,并且可能很难识别相关文档。Fortiphyd Logic项目的目标是以易于理解的格式提供特定于供应商的实践所需的信息。该信息以表格格式提供,包括产品名称和型号、是否支持所需的功能以及允许访问所需数据的文件或功能。 https://www.securityweek.com/new-project-analyzes-and-catalogs-vendor-support-for-secure-plc-coding/
11、与以色列-哈马斯战斗相关的网络行动势头强劲马斯对以色列发动致命袭击大约11天后,新创建的Telegram频道上发布的一条消息声称,以色列内瓦蒂姆空军基地的计算机系统遭到破坏。一个似乎亲巴勒斯坦的组织声称收集了有关该设施飞行员、其他人员及其家人的信息。该消息包括据称从基地附近的安全摄像头拍摄的屏幕截图和视频。其中一张图片上的标题写道:“你不会安全。”在以色列和哈马斯之间持续两周多的战斗之后,随着黑客活动组织加大行动力度,诸如此类未经证实的说法变得越来越普遍。针对Nevatim的攻击是否真的发生尚不清楚,但专家警告说,随着冲突的持续,一系列微不足道的攻击 - 以及声称更为严重的攻击 - 可能预示着更重要的网络行动。在过去的两周里,黑客行动主义者的角色主要集中在旨在扩大其影响力和塑造战争观点的行动上,专家预计这些活动将会加强。SentinelLabs首席威胁研究员汤姆·黑格尔(Tom Hegel)告诉CyberScoop:“我们可以预见,人们对旨在影响全球对冲突看法的信息行动的依赖会不断升级,特别是在该地区复杂的地缘政治背景下。” “我们应该期望国家支持的威胁行为者通过各种手段加强其信息行动,包括操纵社交媒体平台、创建虚构的黑客组织以及实施旨在影响全球媒体的战略活动。”https://cyberscoop.com/cyber-israel-hamas-gaza/
12、巴西WhatsApp用户正在集体损失积蓄:GoPIX恶意软件的秘密巴西即时支付系统PIX的迅速普及引起了网络犯罪分子的注意,他们开始使用新的“GoPIX”恶意软件来获取非法利润。卡巴斯基实验室自2022年12月以来一直在跟踪相关恶意软件活动,报告称,这些攻击是通过向在搜索引擎中搜索“WhatsApp Web”的用户展示的恶意广告发生的。当点击此类广告时,用户会被重定向到带有恶意软件的页面。正如在其他广告活动中多次看到的那样,点击网络钓鱼广告的用户会通过一项伪装服务进行重定向,该服务旨在过滤掉沙箱、机器人和其他符合真正受害者标准的人。有趣的是,恶意软件可以同时从两个不同的URL下载,具体取决于用户计算机上的端口27275是否打开。“该端口由Avast Safe Banking 软件使用。当检测到该软件时,它会下载一个ZIP 件,其中包含嵌入了复杂PowerShell脚本的LNK文件,该脚本可下载下一阶段的感染。”如果关闭端口,则下载NSIS安装包。这表明额外的保护已明确配置为绕过安全软件并传播恶意软件。安装程序的主要目的是使用称为Process Hollowing 的技术提取并激活GoPIX恶意软件。黑客启动处于挂起状态的系统进程“svchost.exe”,并向其中注入恶意代码。GoPIX充当恶意软件,从剪贴板窃取数据。它拦截PIX支付请求并用攻击者控制的数据替换它们。值得注意的是,卡巴斯基实验室审查的该活动远非唯一针对在搜索引擎中搜索网页版WhatsApp或Telegram Messenger的用户的活动。https://www.securitylab.ru/news/543025.php
13、人工智能如何重新定义机器人技术的边界近几个月来,机器人领域发生了巨大的变化,这在很大程度上要归功于生成式人工智能的快速发展。主要科技公司和研究实验室正在使用生成式人工智能模型来解决机器人技术的关键问题。VentureBeat强调了生成式人工智能帮助推进机器人研究的一些创新方式。(1)弥合模拟与现实之间的差距。在现实环境中训练机器人面临着许多挑战:成本昂贵、速度缓慢,并且受到各种环境访问的限制。作为回应,研究人员使用模拟。然而,创建详细的虚拟环境需要大量的资源和金钱。它还存在“模拟与现实差距”的问题,即在虚拟环境中训练的模型无法应对现实世界的条件。(2)改善机器人与人之间的互动。改善人类和机器人之间的沟通仍然是一个重要的挑战。一个引人注目的例子是Google PaLM-E语言模型。该模型结合了语言模型和视觉转换器,共同学习理解图像和文本之间的相关性。(3)异构数据集集成。不同机器人的大量数据需要将它们组合起来。例如,DeepMind与33个研究机构的联合项 RT-X,综合了22个机器人和20个机构的数据。该数据集包含500项技能和150,000项任务。(4)创建更好的奖励模型。生成模型在编码中得到了广泛的应用,有趣的是,它们还可以生成用于机器人训练的代码。Nvidia最新的Eureka使用生成式人工智能来开发奖励模型,这是用于训练机器人的强化学习系统中众所周知的复杂组件。https://www.securitylab.ru/news/543021.php
14、Citrix Bleed漏洞允许黑客劫持NetScaler账户针对“Citrix Bleed”漏洞的概念验证(PoC)漏洞被发布,跟踪为CVE-2023-4966,该漏洞允许攻击者从易受攻击的Citrix NetScaler ADC和NetScaler Gateway设备中检索身份验证会话cookie。CVE-2023-4966是Citrix在10月10日修复的一个严重程度的远程利用信息泄露漏洞,但没有提供更多细节。10月17日,Mandiant透露,自2023年8月下旬以来,该漏洞在有限的攻击中被滥用为零日漏洞。本周一,思杰向NetScaler ADC和Gateway设备的管理员发出了后续警告,敦促他们立即修补漏洞,因为漏洞利用的速度已经开始上升。25日,Assetnote的研究人员分享了更多关于CVE-2023-4966利用方法的细节,并在GitHub上发布了一个PoC漏洞,以展示他们的发现,并帮助那些想要测试暴露的人。CVE-2023-4966 Citrix Bleed漏洞是一个未经认证的缓冲区相关漏洞,主要影响Citrix NetScaler ADC和NetScaler Gateway,以及用于负载均衡、防火墙实现、流量管理、VPN和用户认证的网络设备。https://www.bleepingcomputer.com/news/security/citrix-bleed-exploit-lets-hackers-hijack-netscaler-accounts/
15、全球紧张局势加剧可能预示着破坏性黑客攻击的到来美国网络安全和基础设施安全局的一位高级官员周三(25日)表示,在一系列不断升级的全球冲突中,美国政府机构和私营部门组织应对针对关键基础设施和关键部门的破坏性网络攻击“保持高度警惕”。最近的政府分析,包括美国情报界最新的年度全球威胁评估表明,如果中国与台湾发生冲突,网络犯罪分子和外国对手可能会对美国的关键基础设施发动破坏性攻击。CISA执行助理局长埃里克·戈尔茨坦 (Eric Goldstein)表示,美国已经面临重大国际危机——俄罗斯入侵乌克兰以及以色列与哈马斯之间的战争——这对政府机构、关键基础设施运营商和私营部门构成了“网络安全方面的巨大挑战”。戈德斯坦在智库R Street Institute主办的一次活动中表示:“俄罗斯网络攻击者的能力仍然很强。” 围绕乌克兰战争的俄罗斯网络活动的未来轨迹存在“巨大的不确定性”。戈尔茨坦补充道:“我们必须对如何看待俄罗斯未来针对美国及其盟友的网络活动的可能性保持高度警惕。”CISA局长Jen Easterly在8月份的一篇博客文章中表示,在俄罗斯 2022年2月入侵之前,乌克兰私营部门与国际网络安全合作伙伴进行了合作,这一努力在增强该国的网络弹性方面发挥了重要作用。https://www.govinfosecurity.com/rising-global-tensions-could-portend-destructive-hacks-a-23394
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement