首页
社区
课程
招聘
[推荐]【每日资讯】 | 微软曝光Nimbuspwn漏洞组合 可在Linux本地提权部署恶意软件 | 2022年4月29日 星期五
发表于: 2022-4-6 09:44 6581

[推荐]【每日资讯】 | 微软曝光Nimbuspwn漏洞组合 可在Linux本地提权部署恶意软件 | 2022年4月29日 星期五

2022-4-6 09:44
6581

2022年4月29日 星期五

今日资讯速览:

1、微软曝光Nimbuspwn漏洞组合 可在Linux本地提权部署恶意软件


2、今天上午北京健康宝遭受境外网络攻击 源头来自境外 已有效处置


3、一图读懂国家标准GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》



1、微软曝光Nimbuspwn漏洞组合 可在Linux本地提权部署恶意软件


近日名为 Nimbuspwn 的漏洞组合被曝光,可以让本地攻击者在 Linux 系统上提升权限,部署从后门到勒索软件等恶意软件。微软的安全研究人员在今天的一份报告中披露了这些问题,并指出它们可以被串联起来,在一个脆弱的系统上获得 root 权限。

Nimbuspwn 存在于 networkd-dispatcher 组件,该组件用于在 Linux 设备上发送连接状态变化,目前已经以 CVE-2022-29799 和 CVE-2022-29800 进行追踪。

发现这些漏洞是从“监听系统总线上的消息”开始的,这促使研究人员审查 networkd-dispatcher 的代码流。微软研究员Jonathan Bar Or在报告中解释说,Nimbuspwn 的安全缺陷是指目录穿越、符号链接竞赛和检查时间-使用时间(TOCTOU)竞赛条件问题。


一个引起兴趣的观察结果是,networkd-dispatcher守护进程在启动时以系统的根权限运行。研究人员注意到,该守护进程使用了一种名为"_run_hooks_for_state"的方法,根据检测到的网络状态发现并运行脚本。

它使用名为 subprocess.Popen 的进程运行上述位置的每个脚本,同时提供自定义环境变量。微软的报告解释说,"_run_hooks_for_state"有多个安全问题。

● 目录遍历(CVE-2022-29799):流程中没有一个函数对OperationalState或AdministrativeState进行消毒。这些状态被用来建立脚本路径,因此一个状态可能包含目录遍历模式(例如".../.../"),以逃离"/etc/networkd-dispatcher"基本目录。

● 符号链接竞赛:脚本发现和subprocess.Popen都遵循符号链接。

● 检查时间-使用时间(TOCTOU)竞赛条件(CVE-2022-29800):脚本被发现和它们被运行之间有一定时间。攻击者可以滥用这个漏洞,将networkd-dispatcher认为由root拥有的脚本替换成不属于root的脚本。

【阅读原文】



2、今天上午北京健康宝遭受境外网络攻击 源头来自境外 已有效处置


4月28日,北京市第318场新冠病毒肺炎疫情防控工作新闻发布会召开。北京青年报记者在会上获悉,北京市委宣传部对外新闻处副处长隗斌表示,4月28日,北京健康宝使用高峰期遭受网络攻击,经初步分析,网络攻击源头来自境外,北京健康宝保障团队进行及时有效应对,受攻击期间,北京健康宝相关服务未受影响。


在北京冬奥会冬残奥会期间,北京健康宝也遭受过类似网络攻击,均得到有效处置。本市将做好网络安全服务,保障首都防疫工作大局。

【阅读原文】



3、一图读懂国家标准GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》


图片

【阅读原文】



2022年4月28日 星期四

今日资讯速览:

1、受勒索软件攻击激增影响 2021年磁带存储销售大涨41%


2、2021年勒索软件攻击次数激增至新高 受害者更广泛且损失更大


3、2021物联网安全形势报告:去年有十亿级智能电子设备遭到攻击



1、受勒索软件攻击激增影响 2021年磁带存储销售大涨41%



几十年前,硬盘驱动器(HDD)凭借较快的速度优势,逐渐取代了传统的磁带机。然后近些年,固态存储器(SSD)又以同样的原因逐步取代了 HDD 。即便如此,1990 年代问世的开放式线性磁带(LTO)设备并未淡出市场。甚至一定程度上,随着勒索软件攻击事件的激增,磁带存储的销量反而迎来了一波上涨。

3.jpg

资料图(来自:IBM)


当今 LTO 驱动器主要被用于数据的冷备份,毕竟其随机 I/O 速率实在太慢(单盘容量和顺序存取还是相当吸引人的)。


一个典型的工作场景,就是在每日工作结束时开始备份,然后数小时 / 一夜间就能够顺利完成存档。

Commodore 64J.jpg

(图自:Vegar Jansen / Tek.no)


需要指出的是,这些 LTO 磁带与古老的 Commodore 设备并无关联。最新一代的 LTO 9,其容量甚至高达 45 TB 。去年,惠普、IBM 和 Quantum 等公司报告称,其已售出超过 148 EB 的磁带。

1.png

Sweclockers 指出,2021 年磁带销量较 2020 年大涨 41%,并且较 2019 年的 114 EB 纪录高出了 30% 。


这家瑞典媒体认为,磁带存储的销量增长,部分归功于勒索软件攻击的激增。


由于 LTO 磁带机的使用窗口,会强制设备脱机隔离,因而能够有效地规避恶意攻击(且数据能够有效保管多年)。

2.png

换言之,攻击者想要染指这些冷数据,唯一方法就是物理侵入存放 LTO 磁带的仓库。


不过就算是想要复制或删除破坏数据,攻击者也得耗费相当长的时间和旁门左道才能实现。


对于组织机构来说,还可结合异地灾备等手段,以进一步提升系统的总体数据安全。

【阅读原文】



2、2021年勒索软件攻击次数激增至新高 受害者更广泛且损失更大



勒索软件攻击越来越频繁,越来越容易得逞,受害者支付的代价也越来越昂贵。在Sophos为其年度勒索软件状况报告进行的调查中,66%的组织承认他们去年受到勒索软件攻击,高于2020年的37%。其中65%的攻击成功加密了受害者的数据,高于前一年的54%。

Ransomware-in-2022.png

总部设在英国的这家网络安全公司表示,企业为其最重要的勒索软件攻击支付的平均赎金增长了近五倍,略高于80万美元,而支付100万美元或以上赎金的企业数量增加了两倍,达到11%。在其年度报告中,Sophos调查了来自31个国家的5600个组织。共有965名受访者分享了他们的勒索软件攻击细节。


这些数字并不令人惊讶,因为在过去一年中,勒索软件攻击令美国主要的石油管道再到最大的肉类加工厂都深受其害。虽然Colonial Pipeline和JBS US Holdings都支付了数百万的赎金,但这些攻击使他们的业务暂停了很久,足以引发恐慌性购买,使物资供应的价格上升。


这些攻击和其他攻击促使白宫在10月召开了一次国际反勒索软件协调会议,汇集了来自30多个国家的代表,包括英国、加拿大和日本等美国盟友。该小组承诺分享信息,共同追踪和起诉勒索软件攻击背后的网络犯罪分子。

March-Ransomware-Industry-2022-800x283.pngMarch-Ransomware-2022-800x521.png

值得注意的是,俄罗斯没有参加(与乌克兰开战以后则更是不可能),美国和其他国家指责俄罗斯窝藏并可能鼓励这些攻击背后的团体。现在,随着世界上大部分国家积极反对俄罗斯入侵乌克兰,专家们担心俄罗斯会发动政府支持下的勒索软件攻击,作为针对乌克兰及其支持者的网络战争的一部分。


无论攻击者的动机如何,勒索软件仍然是网络犯罪分子的一个有利可图的工具。Sophos的首席研究科学家Chester Wisniewski说,勒索软件的成本不仅继续上升,而且越来越多的受害者被迫选择支付赎金,即使他们有其他选择。


在报告他们的数据被攻击锁定的受访者中,46%的人说他们支付了赎金以取回他们的数据,26%的人说他们支付了赎金,尽管他们可以通过备份自己恢复数据。

Wisniewski说,这可能有几个原因,包括不完整的备份,或希望让公司的数据不被公布在网上。此外,在发生勒索软件攻击事件后,往往有很大的压力要尽快恢复运行,而从备份中恢复往往是困难和耗时的。但是,尽管向网络犯罪分子支付解密密钥可能是一个诱人的想法,它也是一个危险的想法。


Wisniewski在一份声明中说:"企业不知道攻击者可能做了什么,例如添加后门、复制密码等等。如果组织不彻底清理恢复的数据,他们最终会在他们的网络中留下潜在的弱点,并有可能暴露在重复的攻击之下。"

【阅读原文】



3、2021物联网安全形势报告:去年有十亿级智能电子设备遭到攻击



随着“智能”终端设备的激增,越来越多的攻击者也开始盯上了这一薄弱环节。SAM Seamless Network 在本月早些时候发布的一份新报告中指出,去年有十亿级 IoT 设备遭到了攻击。在 2021 年发生的 10 亿次与安全相关的攻击中,物联网设备就占据了超过九成。

(来自:SecuringSAM)


显然,有组织的黑客团伙,并没有忽视互联网设备使用率的飞速增长。大约一半攻击发生在家庭和小微企业的网络上,直面外网的路由器首当其冲。


攻击类型包括一些可疑的网络流量行为,且通常涉及分布式拒绝服务(DDoS)、暴力攻击、网络钓鱼、以及基于 DPI 策略的攻击。


报告中提到的“小型路由器”,尤其常见于家庭、咖啡店和其它非工业场所,但它们正越来越容易受到攻击。


其它受到攻击的设备还包括 Wi-Fi 域展 / Mesh 组网终端、网络接入点(AP)、网络附加存储(NAS)、VoIP、联网摄像头,以及此外的小型智能家居设备。


由于安全性较弱和配置不当,大多数针对 IoT 设备的攻击是很容易得逞的。遗憾的是,SOHO 用户普遍缺乏对相关设备的安全性、及其在互联网生态系统中的重要性的理解。


此外操作系统与软件版本的多样性,也会导致升级维护工作变得更加碎片化(难以编译和部署安全更新),更何况某些 IoT 设备制造商根本不会定期推送安全更新(如果有的话)。


与此同时,攻击者正在开发复杂的僵尸网络来爬取互联网、寻找脆弱和易受攻击的设备。而自 2016 年以来,Mirai / Mozi 等僵尸网络就一直在针对家庭路由器等物联网设备发起攻击。


随着时间的推移,这些网络爬虫恶意软件也在不断获得增强功能和逃避检测的手段。更让人不放心的是,物联网设备很少收到无人值守的更新,这一事实使之更易成为攻击目标。


最后,SAM Seamless Network 的《2021 物联网安全形势》报告,是在分析了来自 1.32 亿个活跃物联网设备和 73 万个安全网络的匿名数据后编制得出的。

【阅读原文】




2022年4月27日 星期三

今日资讯速览:

1、赶紧卸载:国家计算机病毒应急处理中心监测发现 17 款违法移动应用


2、网信办:2022 年 3 月微博、抖音等主要商业平台受理网络侵权举报达 37.3 万件


3、黑客入侵BAYC官方Instagram账户并诈取价值数百万美元的NFT



1、赶紧卸载:国家计算机病毒应急处理中心监测发现 17 款违法移动应用



IT之家 4 月 24 日消息,据新华社报道,国家计算机病毒应急处理中心近期通过互联网监测发现 17 款移动 App 存在隐私不合规行为,违反网络安全法、个人信息保护法等相关规定,涉嫌超范围采集个人隐私信息。


1、未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及 16 款 App 如下:

  • 《优顾炒股》(版本 6.6.73,360 手机助手)

  • 《牛股王股票》(版本 6.2.7,360 手机助手)

  • 《广发易淘金》(版本 10.1.0.0,百度手机助手)

  • 《西部证券》(版本 4.0.3,华为应用市场)

  • 《e 海通财》(版本 8.75,乐商店)

  • 《国联证券尊宝》(版本 6.01.031,乐商店)

  • 《大智慧》(版本 9.47,豌豆荚)

  • 《中国银河证券》(版本 6.0.5,豌豆荚)

  • 《阿牛智投》(版本 6.2.7,豌豆荚)

  • 《万和手机证券软件》(版本 9.00.26,豌豆荚)

  • 《汇通启富》(版本 6.6.4.0,豌豆荚)

  • 《新时代证券》(版本 6.0.1.0,小米应用商店)

  • 《中邮证券》(版本 7.1.2.0,小米应用商店)

  • 《中山证券》(版本 6.3.3,小米应用商店)

  • 《东亚前海悦涨》(版本 4.2.0,小米应用商店)

  • 《国元智富》(版本 8.89,小米应用商店)

2、App 在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。涉及 1 款 App 如下:

  • 《财通证券》(版本 9.9.3,豌豆荚)

3、未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及 9 款 App 如下:

  • 《广发易淘金》(版本 10.1.0.0,百度手机助手)

  • 《西部证券》(版本 4.0.3,华为应用市场)

  • 《e 海通财》(版本 8.75,乐商店)

  • 《国联证券尊宝》(版本 6.01.031,乐商店)

  • 《万和手机证券软件》(版本 9.00.26,豌豆荚)

  • 《汇通启富》(版本 6.6.4.0,豌豆荚)

  • 《新时代证券》(版本 6.0.1.0,小米应用商店)

  • 《中邮证券》(版本 7.1.2.0,小米应用商店)

  • 《东亚前海悦涨》(版本 4.2.0,小米应用商店)

4、未建立、公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及 1 款 App 如下:

  • 《中邮证券》(版本 7.1.2.0,小米应用商店)

IT之家了解到,针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动 App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。

【阅读原文】



2、网信办:2022 年 3 月微博、抖音等主要商业平台受理网络侵权举报达 37.3 万件



IT之家 4 月 23 日消息,中央网信办举报中心今日发布了主要商业网站平台 2022 年 3 月份网络侵权举报受理处置情况。

2022 年 3 月,微博、抖音、百度、腾讯等主要商业网站平台重点受理泄露他人隐私、造谣诽谤、侮辱谩骂等网络侵权举报达 37.3 万件。


其中,抖音共受理用户有效侵权举报 15361 件,百度共受理侵权类有效举报 12847 件,腾讯共受理侵权投诉举报 11293 条,哔哩哔哩共受理侵犯他人权益类投诉 5993 条,豆瓣共受理网络侵权投诉 455 件。


微博有效处理用户侵权纠纷 316626 件,知乎核查处理侵权类违规信息 7542 件,小红书处理用户投诉侵权类信息 2688 件。


IT之家此前报道,2022 年 3 月,全国各级网络举报部门受理举报 1258.6 万件,环比增长 2.1%、同比增长 16.5%。在全国主要网站受理的举报中,主要商业网站受理量占 60.9%,达 692.8 万件。

【阅读原文】



3、黑客入侵BAYC官方Instagram账户并诈取价值数百万美元的NFT



作为非同质化代币(NFT)领域的佼佼者,Yuga Labs 旗下的“无聊猿游艇俱乐部”(简称 BAYC)也难免树大招风。周一上午 10 点前,BAYC 官方 Twitter 账户披露了一起黑客入侵事件,可惜警告来得太晚了些。在这之前,黑客已经利用该账户发布的网络钓鱼链接,从受害者的加密钱包中窃取了价值数百万美元的 NFT 。

1.png

从网友们晒出的欺诈信息来看,黑客假称点击 MetaMask 钱包链接(前提是先链接自己的账户),便可获得所谓的“空投”奖励。

然而通过特殊的技术手段,黑客顺利地从诸多受害者账户中窃取了价值数百万美元的 NFT 资产。

2.png

鉴于 NFT 的去中心化性质,可知黑客的这场攻击战果相当丰厚。OpenSea 账户页面显示,欺诈链接从 Bored Ape、Mutant Ape 和 Bored Ape Kennel Club 项目“接收”了十几个 NFT 。


欣慰的是,OpenSea 通信负责人 Allie Mack 在接受 TheVerge 采访时称 —— 该黑客的账户已被平台禁用,因为 OpenSea 的服务条款禁止以欺诈方式获利、或以其它未经授权的方式得利。

3.png

参考最近的市价,即使受损失最少的 Ape #7203,其在四个月前的成交价就高达 47.9 ETH(相当于那时的 13.8 万美元)。

Ape #6778、Ape #6178 和 Ape #6623 的上一次成交价为 88.88 / 90 / 123 ETH(相当于那时的 25.62 / 25.94 / 35.45 万美元)。

5.png

目前尚不清楚黑客是如何入侵 BAYC 官方 Instagram 账户的,Yuga Labs 在声明中称 —— 攻击发生时,他们明明已经遵从平台方的最佳安全实践、并且启用了双因素身份验证。

4.png

目前 Yuga Labs 团队正积极与受影响的人们取得联系,此外对于广大冲浪的用户们来说,还请不要随意点击未知链接,否则手机钱包里的资产很可能被攻击者洗劫一空。

【阅读原文】



2022年4月26日 星期二

今日资讯速览:

1、继谷歌清理长期不更新的僵尸应用后 苹果也宣布下架旧的不兼容的应用


2、继萨尔瓦多后中非共和国宣布将比特币作为法定货币以振兴经济


3、Windows 11引入多项Auto HDR新功能 为玩家带来更好游戏体验



1、继谷歌清理长期不更新的僵尸应用后 苹果也宣布下架旧的不兼容的应用


【阅读原文】



2、继萨尔瓦多后中非共和国宣布将比特币作为法定货币以振兴经济


【阅读原文】



3、Windows 11引入多项Auto HDR新功能 为玩家带来更好游戏体验


Windows 11 系统今天获得多项 Auto HDR 新功能,部分功能可配合 Xbox Game Bar 获得更好的游戏体验。早在 2021 年推出的 Windows 10 预览版中,微软就引入了 Automatic High Dynamic Range(Auto HDR)功能,但遗憾的是目前这项新功能仅限于 Windows 11 平台上使用。


Auto HDR 新功能包括支持 NVIDIA 的 SLI 和 AMD 的 CrossFire,不过目前仅限于 Beta 和 Dev 频道的 Windows 11 预览版。完整更新日志如下:

Game Bar Auto HDR Intensity Slider


从 Microsoft Store 下载最新版 Xbox Game Bar 的 Windows 11 用户现可使用该功能。


Auto HDR Intensity Slider 可以根据你的偏好,控制游戏中颜色在 Auto HDR 模式下的生动和明亮程度。在色彩极其鲜艳或暗淡的游戏中,你可以根据自己的喜好调整滑块,以便获得最佳的 Auto HDR 体验。

如果你把滑块一直拖到左边,你就有最小的强度,这相当于把 Auto HDR 关闭,如果你把滑块一直拖到右边,你就有自动 HDR 的全部强度。


你可以使用快捷方式 Win+G 来打开 Xbox Game Bar。要使用 Intensity Slider,导航到 Xbox  Game Bar,然后点击设置按钮。在设置中,点击游戏功能部分。在该部分,你会看到一个按钮,上面写着"调整HDR强度"。当你点击该按钮时,将出现一个带有强度滑块的弹出窗口。如果你想让它留在你的游戏栏叠加中,你可以按右上方的钉子按钮将其固定。这可以让你控制你的游戏中的颜色强度。


注意,Intensity Slider 只适用于有 Auto HDR 的游戏,而不是现有的原生 HDR 的游戏。强度水平是按游戏保存的,这意味着你可以为某一特定游戏设置 Auto HDR 的某一强度水平,它不会影响其他游戏的任何自动 HDR 设置。下次你玩同一个游戏时,Auto HDR Intensity Slider 会记住你以前的设置。


下面是一个在 Minecraft Dungeons 中调整游戏中 Auto HDR Intensity Slider 的例子。注意油布的红色是如何改变强度的。

ezgif.com-gif-maker.webp

Game Bar Auto HDR Checkbox


从 Microsoft Store 下载最新版 Xbox Game Bar 的 Windows 11 用户现可使用该功能。


除了 Windows 设置应用程序外,你现在还可以通过访问游戏中的 Xbox Game Bar 来打开或关闭 Auto HDR。导航到 Xbox Game Bar,然后点击设置按钮。在设置中,点击游戏功能部分。在该部分,你会看到一个复选框,上面写着在支持的游戏中使用 Auto HDR。

如果你想使用 Auto HDR,请确保它被选中,如果你不想使用自动HDR,请不要选中。为了使你的改变生效,你将需要重新启动游戏。要访问这些新的 Xbox Game Bar 功能,你需要有一个 5.721 更新及以上的 Xbox Game Bar 的版本。你可以通过 Microsoft Store 下载最新版本的 Xbox Game Bar。


多 GPU 交火兼容性


可供所有 Windows Insider 用户使用。


去年,微软在 DirectX12 游戏中对多独显设置增加了自动HDR支持,如 NVIDIA 的 Scalable Link Interface(SLI)和 AMD 的 CrossFire。换句话说,如果你有使用多张显卡,你现在可以在更多游戏中使用自动HDR。


这项功能目前在最新的Windows Insider Program build中的Dev和Beta通道中可用。


自定义 Auto HDR 通知


可供所有 Windows Insider 用户使用。


微软听到了用户对过度的自动HDR通知的反馈。如果你发现自动HDR的通知分散了你玩游戏的注意力,你可以在设置中关闭这些通知。

打开Windows设置应用程序,然后导航到系统,再到通知。在那里你会看到一个来自应用程序和其他发送者的通知列表。找到"自动HDR",如果你想关闭通知,就把开关调到"关闭"。


微软还提供了改变设置的选项,使通知保持开启,但不播放声音或显示通知横幅。这项功能目前在最新的Windows Insider Program build中的Dev和Beta通道中可用。

【阅读原文】



2022年4月25日 星期一

今日资讯速览:

1、币安宣布封禁俄罗斯公民和实体交易权限 需在90天内将资产全部提现


2、一张谷歌地图掀开的俄乌冲突太空情报战:太空数据身价暴涨


3、10项网络安全国家标准获批发布



1、币安宣布封禁俄罗斯公民和实体交易权限 需在90天内将资产全部提现



全球最大的加密货币交易所币安日前宣布,基于欧盟对俄罗斯的制裁,币安将履行相关制裁措施封禁俄用户。


受影响的包括俄罗斯公民、在俄罗斯注册成立的实体、在俄罗斯居住的自然人,不含旅居在外的俄罗斯公民。


也就是非俄罗斯公民长期居住在俄罗斯的也受制裁影响,而俄罗斯公民长期居住在俄罗斯境外的则不受影响。


另外制裁相关措施保留门槛:账户资产10000欧元为界 ,  低于10000欧元不受影响 ,  高于10000欧元需提现。


币安宣布封禁俄罗斯公民和实体交易权限 需在90天内将资产全部提现


欧盟希望以此避免俄罗斯规避制裁:


欧盟新发布的制裁措施中就包含加密货币相关的,欧盟担心俄罗斯通过加密货币绕过国际金融系统规避制裁。


所以要求加密货币交易所也严格执行相关制裁措施,主要是针对那些在加密货币交易所持有大量资产的用户。


对加密资产不多的俄罗斯用户来说基本没有太大影响,毕竟俄罗斯要是准备规避制裁措施的话资产会是天量。


币安创始人赵长鹏此前倒是呼吁过区块链领域不应进行此类制裁,但基于法律要求现在币安也只能遵守规定。


对于资产超限的俄罗斯用户必须在 90 天内将所有资产提现 ,包括衍生品平仓和账户余额提现否则会被冻结。


其他交易所应该也会陆续跟进:


币安在公告中表示虽然这些措施可能会对普通俄罗斯用户造成限制,但币安必须引领行业实施这些制裁措施。


币安称其他交易所应该很快也会跟进制裁措施,对币安来说说是引领行业但主要还是欧盟法律规定必须遵守。


如果其他交易所不跟进的话惹怒欧盟那后果可能非常严重,所以币安的这番话更像是呼吁其他同行赶紧执行。


目前在欧盟境内已经有部分成员国因为各种原因禁止币安提供相关服务,显然币安这时候不可能再违反规定。

【阅读原文】



2、一张谷歌地图掀开的俄乌冲突太空情报战:太空数据身价暴涨



【阅读原文】



3、10项网络安全国家标准获批发布



根据2022年4月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第6号),全国信息安全标准化技术委员会归口的10项国家标准正式发布。具体清单如下:

图片

【阅读原文】



2022年4月24日 星期日

今日资讯速览:

1、荷兰白帽黑客轻松攻破电网控制系统 捧走其第四座Pwn2Own奖杯


2、Lapsus$黑客入侵T-Mobile的系统并窃取其源代码


3、哥斯达黎加政府部分网络系统因遭黑客攻击 仍处于关闭状态



1、荷兰白帽黑客轻松攻破电网控制系统 捧走其第四座Pwn2Own奖杯



在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上,两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家,Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下过佳绩。

1.jpg

本次挑战期间,俩人将目标瞄向了名为“OPC UA”的工业控制软件。其采用的开源通信协议,被广泛应用于连接全球电网和其它关键基础设施等工业系统。

尽管攻破 OPC UA 已经让外人感到相当不安,Keuper 和 Alkemade 仍声称这是他们能够搞定的“最简单”的系统。


Keuper 在接受 MIT 科技评论采访时称:“在工业控制系统中,仍有许多隐患可被轻松利用,该领域的安防已经严重落后于现实世界”。


Alkemade 补充道,在工控环境中的操作相当容易得逞。事实上,俩人还攻击了其它几套基础设施系统,但仅耗时两天就攻破了 OPC UA 。

2.jpg

Daan Keuper 和 Thijs Alkemade 收到了 Master of Pwn 奖杯与夹克


Keuper 指出:“OPC UA 被用于连接世界各地的基础设施,作为典型的工业网络核心组件,我们可绕过通常需要读取或修改任何内容的身份验证”。


正因如此,他们才花了几天时间就找到了突破口,并最终成功入侵了被世人认为相当重要的工控系统。


联想到俄乌冲突期间发生的针对能源、水利、以及核基础设施系统的网络攻击,相关行业显然需要打起十二分精神去巩固安全措施。


最后,虽然报道未提及开发者是否已经修补了 OPC UA 漏洞,但考虑到 Pwn2Own 赛事主办方 Zero Day Initiative 的“私下披露奖励政策”,目前暂可推定它是安全的。

【阅读原文】




2、Lapsus$黑客入侵T-Mobile的系统并窃取其源代码



Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说"被访问的系统不包含客户或政府信息或其他类似的敏感信息"。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。


在网上购买了员工的凭证后,这些成员可以使用公司的内部工具--如T-Mobile的客户管理系统Atlas来进行SIM卡交换攻击。这种类型的攻击涉及劫持目标的移动电话,将其号码转移到攻击者拥有的设备上。从那里,攻击者可以获得该人的手机号码所收到的短信或电话,包括为多因素认证而发送的任何信息。

iqor-ftw.pngparentsknowisimswap.png

lowerlevelsource.pnglapsus-school.png

edrtooapple.png

Lapsus$黑客还试图破解联邦调查局和美国国防部的T-Mobile账户。他们最终无法做到这一点,因为需要额外的验证措施。


"几周前,我们的监控工具检测到一个有害行为者使用偷来的凭证进入内部系统,并在这些系统里操作工具软件,我们的系统和程序按照设计工作,入侵被迅速关闭和封闭,所使用的受损凭证也被淘汰了。"T-Mobile事后这样回复。


多年来,T-Mobile已经成为数次网络攻击的受害者。虽然这次特定的黑客攻击没有影响客户的数据,但过去的事件却影响过客户的数据。2021年8月,一个漏洞暴露了属于4700多万客户的个人信息,而就在几个月后发生的另一次攻击暴露了"少量"的客户账户信息。

amtraxdox.png

t-mobsourcedl.pngt-mob-bitbucket.pngatlas-dod.pngsamsungtmob.png

Lapsus$作为一个主要针对微软、三星和NVIDIA等大型科技公司源代码的黑客组织,已经声名鹊起。据报道,该组织由一名十几岁的主谋领导,还针对育碧公司、苹果健康合作伙伴Globant和认证公司Okta。

【阅读原文】



3、哥斯达黎加政府部分网络系统因遭黑客攻击 仍处于关闭状态



截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。


图片.png

当地时间18日,哥斯达黎加财政部的网络系统就遭到黑客攻击,政府随即采取预防性措施,关闭了部分系统。该国养老金、公共系统薪酬支付以及税收、进出口系统均受到不同程度影响。


据当地媒体报道,目前已有包括社会保障、劳工部等在内的至少6个政府部门的网络系统遭到了黑客攻击。

【阅读原文】



2022年4月22日 星期五

今日资讯速览:

1、一款家用新冠检测电子试剂盒存在漏洞 可让用户伪造结果


2、欧盟将公布新法律 迫使大型科技公司对非法内容进行监管


3、卡巴斯基发布“阎罗王”勒索软件的免费解密工具



1、一款家用新冠检测电子试剂盒存在漏洞 可让用户伪造结果


【阅读原文】



2、欧盟将公布新法律 迫使大型科技公司对非法内容进行监管



欧盟准备在周五公布一项具有里程碑意义的法律,该法律将迫使大型科技公司更积极地监管其平台的非法内容,这是监管机构遏制大型科技集团权力的最新举措。


据四位知情人士透露,《数字服务法》(DSA)将禁止根据用户的宗教信仰、性别或性取向对用户进行分类和内容定位。DSA是一个立法方案,首次为大型科技公司如何保证用户的网络安全制定了规则。它是在欧盟通过《数字市场法》一个月后出台的,因为欧盟正在推进20多年来对管理世界上最大技术公司的法律进行最大改革。

f07c9ab1dfd7505.jpg

根据《数字市场法》,导致人们不情愿地点击互联网上的内容的操纵性技术,即所谓的黑暗模式,也将面临禁止。欧盟负责数字政策的执行副主席玛格丽特-维斯塔格说,她希望在周五取得突破。她补充说,DSA将使监管机构能够采取行动,使用户能够"安全上网,购买产品和表达自我"。


作为成员国、欧盟委员会和欧洲议会在布鲁塞尔达成的协议的一部分,儿童将受到新的保障措施的约束,这意味着YouTube或TikTok等在线平台将需要以未成年人能够理解的方式解释其条款和条件。根据新规则,Facebook母公司Meta等公司将不能以未成年人为目标进行广告宣传。


DSA表明,网络平台不能为所欲为,它们不能单方面设定用户可以或不能看到的条款。监管机构还将包括一个紧急机制,迫使平台披露他们在Covid-19和乌克兰战争中采取了哪些措施来处理错误信息或宣传。


中型平台可能会有一个宽限期,直到它们能够完全遵守新规则,而Google和亚马逊等大型平台将在规则颁布后必须遵守。大型平台的定义是在集团内至少有4500万用户,每年将支付2000万至3000万欧元的监督费用。那些违反规则的公司将面临高达6%全球营业额的罚金。


搜索引擎也将受到新规则的约束,这意味着当涉及到用户在其搜索平台上传播虚假信息时,Google等公司将不得不评估和减少风险。虽然监管机构预计将在周五达成协议,但一些人警告说,最终协议可能在最后一刻发生变化。

【阅读原文】



3、卡巴斯基发布“阎罗王”勒索软件的免费解密工具



虽然这家俄罗斯安全公司近几个月来已经失宠,但卡巴斯基宣布它已经成功破解了Yanluowang勒索软件(没错,它真的叫阎罗王,字面上Yanluowang。)这一充满了东方文化气息的恶意软件是去年由赛门铁克公司首次发现的,现在,卡巴斯基已经发现了它使用的加密算法中的一个漏洞。这使得该公司能够开发一个免费的解密工具,赎金软件的受害者可以用它来取回他们的数据,而不需要支付一分钱。


据了解,Yanluowang已经在包括美国、巴西和土耳其在内的多个国家发动袭击。已经开发的解密器显然将受到受害者的欢迎,但卡巴斯基提示说,至少需要一个被加密的原始文件才能发挥作用。

Yanlouwang_ransomware_04.png

卡巴斯基在关于发布该免费工具的帖子中说:

卡巴斯基专家对该勒索软件进行了分析,发现了一个漏洞,可以通过已知文本攻击解密受影响用户的文件。这所需的一切都被添加到Rannoh解密工具中。

要解密一个文件,你应该至少有一个原始文件。如前所述,阎罗王勒索软件将文件沿着3千兆字节的阈值分为大文件和小文件。这就产生了一些必须满足的条件,以便解密某些文件。


- 要解密小文件(小于或等于3GB),你需要一对大小为1024字节以上的文件。这足以解密所有其他小文件。

- 要解密大文件(超过3GB),你需要一对大小不低于3GB的文件(加密的和原始的)。这将足以解密大文件和小文件。

Yanlouwang_ransomware_01.png

根据以上几点,如果原始文件大于3GB,就有可能解密受感染系统上的所有文件,包括大文件和小文件。但如果有一个小于3GB的原始文件,那么只有小文件可以被解密。


更多信息请见卡巴斯基的《如何恢复被阎罗王加密的文件》一文:

https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/106332/


【阅读原文】



2022年4月21日 星期四

今日资讯速览:

1、Project Zero报告:2021年共发现58个已被黑客利用的零日漏洞


2、黑客正利用虚假Windows 11升级引诱受害者上钩


3、北约在俄乌战争期间举行大型网络攻防演习



1、Project Zero报告:2021年共发现58个已被黑客利用的零日漏洞



Project Zero 是由 Google 专家和分析师组成的内部团队,负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二,该团队发布公告称,在 2021 年共发现了 58 个已被黑客利用的漏洞,刷新了历史记录。

零日漏洞是指开发人员刚刚意识到的安全缺陷,因此,他们有“零天”时间来修复或“打补丁”。如果不被发现,这种缺陷可能导致数据泄露和勒索软件攻击。去年,微软警告用户 Windows 10 和其他软件的零日漏洞,包括 Microsoft Exchange和Microsoft Office,然后及时为100多个潜在风险发布了安全更新补丁。

自 2014 年成立以来,Project Zero 检测和披露的零日漏洞的最高数量出现在 2015 年,共有 28 个,不到2021年检测的一半。同比之下,反差更大,2020年仅有20个零日漏洞被检测和披露。


这一峰值可能表明网络攻击的增长趋势,在正在进行的COVID-19大流行和加密货币的日益普及期间,网络攻击已经上升,但Project Zero表示,可能的罪魁祸首是检测和报告零日发生的改进。


该报告指出,绝大多数零日漏洞的使用"与以前的[和]公开的漏洞类似",只有两个事件因其"技术复杂性"或逻辑而脱颖而出。因此,尽管检测到的零日漏洞有所增加,你的在线安全似乎并不比前几年更危险,至少在涉及零日漏洞时是这样。

【阅读原文】



2、黑客正利用虚假Windows 11升级引诱受害者上钩



Bleeping Computer 报道称,已有黑客在利用伪造的 Windows 11 升级安装包,来引诱毫无戒心的受害者上钩。为了将戏演得更真一些,当前正在活跃的恶意软件活动甚至会利用中毒后的搜索结果,来推送一个模仿微软 Windows 11 促销页面的网站。若不幸入套,或被恶意软件窃取浏览器数据和加密货币钱包中的资产。

1.jpg

假冒 Windows 11 升级网页


在推广 Windows 11 操作系统的同时,微软也为新平台制定了更加严格的安全标准。


如果你用过兼容性检查工具,就会知道最容易被拦在门外的因素是缺乏 TPM 2.0 可信平台模块,几乎将四年前的老设备都拦在了门外。

然而并不是所有人都知晓这一硬性要求,且黑客也很快盯上了这部分想要升级至 Windows 11 的普通用户。

2.jpg

攻击部署流程(图自:CloudSEK)


截止 Bleeping Computer 发稿时,上文提到的假冒 Windows 11 升级网站仍未被有关部门拿下,可知其精心模仿了微软官方徽标、网站图标、以及诱人的“立即下载”按钮。


粗心的访问者可以通过恶意链接获得一个 ISO 文件,但该文件格式只是为可执行的恶意文件提供了庇护 —— 攻击者相当奸诈地利用了 Inno Setup Windows Windows 安装器。


CloudSEK 安全研究人员将之命名为 Inno Stealer,可知这款新型恶意软件与目前流通的其它信息窃取程序没有任何代码上的相似之处,且 CloudSEC 未找到它有被上传到 Virus Total 扫描平台的证据。

3.jpg

Inno Stealer 感染链


基于 Delphi 的加载程序文件,是 ISO 中包含的“Windows 11 setup”可执行文件。它会在启动时转储一个名为 is-PN131.tmp 的临时文件、并创建另一个 .TMP 文件。


加载程序会在其中写入 3078KB 的数据,然后利用 CreateProcess Windows API 生成一个新的进程,实现持久驻留并植入四个恶意文件。


具体说来是,攻击者选择了通过在 Startup 目录中添加一个 .LNK(快捷方式)文件,并将 icacls.exe 设置隐藏属性以实现长期隐蔽。

4.jpg

被 Inno Stealer 盯上的浏览器列表


四个被删除的文件中,有两个是 Windows 命令脚本 —— 分别用于禁用注册表安全防护、添加 Defender 排除项、卸载安全产品、以及移除影子卷。


此外研究人员指出,该恶意软件还会铲掉 EMSIsoft 和 ESET 的安全解决方案 —— 推测是因为这两款反病毒软件的检出能力更强。


第三个文件是一个以最高系统权限运行的命令执行工具,第四个文件则是运行 dfl.cmd 命令行所需的 VBA 脚本。

5.jpg

被 Inno Stealer 盯上的加密货币钱包


在感染的第二阶段,恶意软件会通过一个 .SCR 屏保文件,将自身放入受感染系统的 C:\Users\\AppData\Roaming\Windows11InstallationAssistant 路径。


它会解包出信息窃取器,并生成一个名为“Windows11InstallationAssistant.scr”的新克隆进程来执行相关代理。


不过这款恶意软件的功能,倒是没有玩出其它新的花样 —— 包括收集 Web 浏览器的 cookie 和已保存的凭据、加密货币钱包、以及文件系统中的数据。

6.jpg

恶意软件与命令和控制服务器的通讯记录截图


最后可知 Inno Stealer 恶意软件的攻击目标相当广泛,其中包括了 Chrome、Edge、Brave、Opera、Vivaldi、360 Browser 和 Comodo 等浏览器。


所有被盗数据会被通过 PowerShell 命令复制到受感染设备上的临时目录并加密处理,然后发送到被攻击者所控制的 C2 服务器上(windows-server031.com)。


更鸡贼的是,攻击者还会只在夜间执行额外的操作,以利用受害者不在计算机身旁的时间段来巩固自身的长期隐蔽驻留。


综上所述,如果你的设备被微软官方兼容性检查工具认定不符合 Windows 11 操作系统升级要求,还请不要盲目绕过限制,否则会带来一系列缺陷和严重的安全风险。

【阅读原文】



3、北约在俄乌战争期间举行大型网络攻防演习



编者按


北约合作网络防御卓越中心(CCDCOE)将于4月19日至22日组织2022年度“锁盾”网络演习。


该演习是世界上年度规模最大、最复杂的国际实弹网络防御演习,将汇集来自北约联盟国家和乌克兰的技术专家。根据演习情景,虚构岛国“贝里利亚”正在经历不断恶化的安全局势,众多敌对事件与针对该国主要军事和民用IT系统的协同网络攻击同时发生。演习将采取红蓝对抗方式:蓝队作为国家网络团队运作,被部署来报告网络攻击事件并实时处理事件影响,以保护虚构国家民用和军用IT系统和关键基础设施;红队由来自北约网络安全中心、盟国和行业专家提供资源,负责针对目标开展多次复杂网络攻击。


演习提供了在危机情况下在民间和军事单位以及公共和私营部门间开展合作的机会,有助于各国网络防御者就针对共用技术产品的攻击进行交流。北约联盟团队包括来自不同北约机构和成员国的约30名网络防御者,其专长包括通信、数字取证、法律专业知识和恢复遭攻击系统。


爱沙尼亚国防部网络政策部门国际政策顾问安内特·努马表示,此次演习对参演国家意义重大,因为各国网络防御部门自俄乌战争爆发以来一直处于高度戒备状态;志同道合的国家必须共同努力保护自身,乌克兰和爱沙尼亚专家将在同一团队中工作;演习未利用乌克兰最近发生的网络攻击元素,但整体上纳入了发生在真实网络攻击中的场景。


奇安网情局编译有关情况,供读者参考。


在俄罗斯对乌克兰开展军事行动近两个月后,北约合作网络防御卓越中心(CCDCOE)将于4月19日至22日组织2022年度锁盾演习(Exercise Locked Shields 2022)。该演习是世界上年度规模最大、最复杂的国际实弹网络防御演习,将汇集来自联盟国家和乌克兰的技术专家。


此次年度实时网络防御演习为参演人员提供了一个独特的机会来实践保护国家民用和军用IT系统和关键基础设施。演习在巨大压力的条件下开展,团队将对抗一系列复杂的网络攻击。演习提供了在危机情况下在民间和军事单位以及公共和私营部门间进行合作的机会,因为在发生大规模网络攻击时,这些战术和战略决策者必须共同努力。


根据演习情景,虚构的岛国贝里利亚正在经历不断恶化的安全局势。许多敌对事件与针对贝里利亚主要军事和民用IT系统的协同网络攻击同时发生。演习计划者利用当前的地缘政治形势来制定现实且具有挑战性的场景,上述场景考虑到在当前安全环境中网络事件不太可能孤立地发生,并被用作更广泛的地缘政治战略的一部分。


锁盾演习是红队与蓝队对抗的技术演习。蓝队作为国家网络团队运作,被部署来保卫虚构国家,对抗试图执行大规模网络攻击的红队。网络防御者将练习防御网络系统和关键基础设施(如发电厂、供水和电信),这些基础设施正面临严重网络攻击的压力。今年,蓝队还必须保护一家医疗机构和一家金融机构。


该演习在国家、学术界、国际组织和行业合作伙伴间合作的范围和深度方面也是独一无二的。演习由CCDCOE在塔林与北约、西门子、TalTech、Clarified Security、Arctic Security和CR14合作组织。该中心还感谢了微软、金融服务信息共享和分析中心(FS ISAC)、SpaceIT、Fortinet为此次演习添加的独特元素。


爱沙尼亚国防部网络政策部门国际政策顾问安内特·努马表示,今年的竞争对参演国家来说意义重大,因为各国的网络防御部门自乌克兰战争爆发以来一直处于高度戒备状态。努马称,“志同道合的国家必须共同努力保护自己”,乌克兰和爱沙尼亚专家将在同一个团队中工作。


北约官员一直在讨论该联盟可以帮助乌克兰抵御网络攻击的各种方式,并在1月份允许乌克兰访问其恶意软件信息共享平台。2月,美国负责网络和新兴技术的国家安全副顾问安妮·纽伯格前往布鲁塞尔和华沙,与来自北约、欧盟、波兰和波罗的海国家的官员讨论俄罗斯的网络威胁。


北约网络安全中心负责人伊恩·韦斯特表示,北约联盟团队包括来自不同北约机构和成员国的大约30名网络防御者,他们的专长包括通信、数字取证、法律专业知识和恢复因攻击而受损的系统。北约网络安全中心保护北约网络,并且是北约通信和信息机构的一部分。



参与人员将报告事件并减轻事件影响,以保护虚构国家民用和军用IT系统和关键基础设施。该团队将被要求实时适应并处理由来自北约网络安全中心、盟国和行业专家提供资源的红队开展的多次复杂网络攻击。


韦斯特表示,此次演习有助于来自不同国家的网络防御者就针对多个政府所用相同技术产品的攻击进行交流。他称,“我们都使用商业现成系统。我们都在使用相同的技术,正如我们所知,许多这些技术进入市场,不幸的是它们很容易受到攻击。”


北约CCDCOE未公开模拟网络攻击的细节。其在一份声明中表示,今年的演习将集中在“国家IT系统之间的相互依赖关系”上。安内特·努马表示,此次兵棋推演没有利用乌克兰最近发生的网络攻击元素,因为上述攻击都太近了,但演习整体上确实纳入了发生在真实网络攻击中的场景。

【阅读原文】



2022年4月20日 星期三

今日资讯速览:

1、中情局主战网络攻击武器曝光:世界各地重要信息基础设施已成美国“情报站”


2、俄罗斯对加密货币采取围堵方式 意在提升数字卢布地位


3、安全专家发现新型恶意Windows 11网站:镜像内含恶意文件



1、中情局主战网络攻击武器曝光:世界各地重要信息基础设施已成美国“情报站”



【环球时报-环球网报道 特约记者袁宏】近日,美国通过网络对全球进行监控窃密的又一主战装备曝光,这一主战装备即为美国中央情报局(CIA)专用的“蜂巢”恶意代码攻击控制武器平台(以下简称“蜂巢平台”)。国家计算机病毒应急处理中心的研究人员在接受采访时对《环球时报》记者表示,全球互联网和世界各地的重要信息基础设施已经成为美国情治部门的“情报站”,从技术细节分析,现有国际互联网的骨干网设备和世界各地的重要信息基础设施中,只要包含美国互联网公司提供的硬件、操作系统和应用软件,就极有可能成为美国情治机构的攻击窃密目标,全球互联网上的全部活动、存储的全部数据或都“如实”展现在美国情治机构面前。

近一段时间以来,中国网络安全机构连续揭开美国国家安全局(NSA)“电幕行动”“APT-C-40”“NOPEN”“量子”网络攻击武器的真面目。相较而言,此次曝光的“蜂巢”平台有哪些新的特点?对全球网络用户有哪些新提示?国家计算机病毒应急处理中心研究人员接受《环球时报》独家专访做出进一步解释。

根据介绍,“蜂巢”平台由CIA下属部门和美国著名军工企业诺斯罗普·格鲁曼(NOC)旗下公司联合研发,系CIA专用的网络攻击武器装备,该装备具有五大特点。


首先,“蜂巢”平台智能化程度高。该武器是典型的美国军工产品,模块化、标准化程度高,扩展性好,表明美国已实现网络武器的“产学研一体化”。这些武器可根据目标网络的硬件、软件配置和存在后门、漏洞情况自主确定攻击方式并发起网络攻击,可依托人工智能技术自动提高权限、自动窃密、自动隐藏痕迹、自动回传数据,实现对攻击目标的全自动控制。其强大的系统功能、先进的设计理念和超前的作战思想充分体现了CIA在网络攻击领域的能力。其网络武器涵盖远程扫描、漏洞利用、隐蔽植入、嗅探窃密、文件提取、内网渗透、系统破坏等网络攻击活动的全链条,具备统一指挥操控能力,已基本实现人工智能化。这同时也可以证明,CIA对他国发动网络黑客攻击的武器系统已经实现体系化、规模化、无痕化和人工智能化。


其次,“蜂巢”平台隐蔽性强。该平台采用C/S架构,主要由主控端、远程控制平台、生成器、受控端程序等4部分组成。CIA攻击人员利用生成器生成定制化的受控端恶意代码程序,服务器端恶意代码程序被植入目标系统并正常运行后,会处于静默潜伏状态,实时监听受控信息系统网络通讯流量中具有触发器特征的数据包,等待被 “唤醒”。CIA攻击人员可以使用客户端向服务器端发送“暗语”,以“唤醒”潜伏的恶意代码程序并执行相关指令,之后CIA攻击人员利用名为“割喉”的控制台程序对客户端进行操控(如图1所示)。为躲避入侵检测,发送“暗语”唤醒受控端恶意代码程序后,会根据目标环境情况临时建立加密通信信道,以迷惑网络监测人员、规避技术监测手段。


此外,为进一步提高网络间谍行动的隐蔽性,CIA在全球范围内精心部署了蜂巢平台相关网络基础设施。从已经监测到的数据分析,CIA在主控端和被控端之间设置了多层动态跳板服务器和VPN通道,这些服务器广泛分布于加拿大、法国、德国、马来西亚和土耳其等国,有效隐藏自身行踪,受害者即使发现遭受“蜂巢”平台的网络攻击,也极难进行技术分析和追踪溯源。

图1 “割喉”(cutthroat)主要命令行参数说明

图1 “割喉”(cutthroat)主要命令行参数说明


主控端与被控端建立连接后可执行相应控制命令(如图2所示):

图2 远程命令控制

图2 远程命令控制


为躲避入侵检测,主控端通过发送“暗语”唤醒受控端恶意代码程序,随后模仿HTTP over TLS建立加密通信信道,以迷惑网络监测人员、规避技术监测手段(如图3所示)。

图3 唤醒并建立加密通信信道

图3 唤醒并建立加密通信信道


第三,“蜂巢”平台攻击涉及面广。CIA为了满足针对多平台目标的攻击需求,针对不同CPU架构和操作系统分别开发了功能相近的“蜂巢”平台适配版本。根据目前掌握的情况,“蜂巢”平台可支持现有主流的CPU架构,覆盖Windows、Unix、Linux、Solaris等通用操作系统,以及网络设备专用操作系统等。


第四,“蜂巢”平台设定有重点攻击对象。从攻击目标类型上看,CIA特别关注MikroTik系列网络设备。MikroTik公司的路由器等网络设备在全球范围内具有较高流行度,特别是其自研的RouterOS操作系统,被很多第三方路由器厂商所采用,因此CIA对这种操作系统的攻击能力带来的潜在风险难以估量。CIA特别开发了一个名为“Chimay-Red”的MikroTik路由器漏洞利用工具,并编制了详细的使用说明。该漏洞利用工具利用存在于MikroTik RouterOS 6.38.4及以下版本操作系统中的栈冲突远程代码执行漏洞,实现对目标系统的远程控制。


第五,“蜂巢”平台突防能力强,应引起全球互联网用户警惕。“蜂巢”平台属于“轻量化”网络武器,其战术目的是在目标网络中建立隐蔽立足点,秘密定向投放恶意代码程序,利用该平台对多种恶意代码程序进行集中控制,为后续持续投送“重型”网络攻击武器创造条件。“蜂巢”平台作为CIA攻击武器中的“先锋官”和“突击队”,承担了突破目标防线的重要职能,其广泛的适应性和强大的突防能力向全球互联网用户发出了重大警告。


这位研究人员指出,与此前NSA被曝光的美国网络攻击武器一样,CIA对全球范围的高价值目标实施无差别的攻击控制和间谍窃密。CIA的黑客攻击和网络间谍活动目标涉及世界各国政府、政党、非政府组织、国际组织和重要军事目标,各国政要、公众人物、社会名人和技术专家,教育、科研、通讯、医疗机构,大量窃取受害国的秘密信息,大量获取受害国重要信息基础设施的控制权,大量掌握世界各国的公民个人隐私,服务于美国维持霸权地位。而且,全球互联网和世界各地的重要信息基础设施已经成为美国情治部门的“情报站”。“从技术细节分析,现有国际互联网的骨干网设备和世界各地的重要信息基础设施中(服务器、交换设备、传输设备和上网终端),只要包含美国互联网公司提供的硬件、操作系统和应用软件,就极有可能包含零日(0day)或各类后门程序(Backdoor),就极有可能成为美国情治机构的攻击窃密目标,全球互联网上的全部活动、存储的全部数据或都‘如实’展现在美国情治机构面前,成为其对全球目标实施攻击破坏的 ‘把柄’和 ‘素材’。”


针对“蜂巢”平台高度智能化、高度隐蔽性的特点,互联网使用者该如何发现和应对“蜂巢”平台的威胁。国家计算机病毒应急处理中心提醒广大互联网用户,美国情治部门的网络攻击是迫在眉睫的现实威胁,针对带有美国“基因”的计算机软硬设备的攻击窃密如影随形。现阶段避免遭受美国政府黑客攻击的权宜之计是采用自主可控的国产化设备。此外,该中心的研究人员也建议互联网使用者及时更新网络设备、上网终端的操作系统,并及时打好补丁,同时关闭不必要的网络服务和端口,按照《中华人民共和国网络安全法》、《网络安全等级保护条例》等法律法规的要求做好网络安全防护工作。

【阅读原文】



2、俄罗斯对加密货币采取围堵方式 意在提升数字卢布地位



鉴于俄罗斯在乌克兰的无端侵略以及随之而来的西方对其金融系统的制裁,比特币和其他加密货币在俄罗斯相当受欢迎,这一点并不奇怪。事实上,俄罗斯总理Mikhail Mishustin最近声称,大约1000万俄罗斯年轻人已经打开了加密货币钱包。这相当于该国人口的7%左右。


上周开始有报道称,俄罗斯财政部正在制定一项提案,以使比特币和其他加密货币的支付合法化。然而,根据我们的理解,俄罗斯财政部正在设计一个全面的战略来监管比特币和其他数字资产。鉴于加密资产在该国的高渗透率,俄罗斯大概不希望通过直接禁止这些资产来进一步激怒其民众。然而,总体战略仍然是通过实施严格的监管制度来限制采用率的进一步增长。

putinbitcoin.jpg

相关文件规定了与数字货币相关的术语,其流通和发行的法律框架,以及其他一些方面内容。它引入了大量的识别、会计和认证要求。拟议的法案为加密货币交易所制定了严格的监管要求。


例如,建立一个独立的结构单元,编制年度报告,对管理机构的要求,对内部控制和审计的要求,以及其他。运营商必须被纳入一个专门的登记册,被定义为反洗钱/反恐怖主义实体,他们的活动将由一个授权机构许可和控制,该机构将由俄罗斯政府确定。他们还必须保持数字货币所有者的登记册,以及存储和每日备份交易信息。


鉴于这种严厉的监管,预计从现在开始,比特币和其他加密资产的吸收将保持相对沉默。当然,这与俄罗斯推出数字卢布的目标非常吻合。俄罗斯中央银行目前正在进行数字卢布倡议的试点测试,在这个阶段已经有三家银行加入。银行应用程序是目前访问俄罗斯主权货币电子版的唯一途径。


鉴于一个国家通过实施数字法定货币可以对其公民的生活进行细微的控制,包括加强监测和监控,俄罗斯和其他许多国家,包括中国、欧盟,甚至美国,正在朝着这个方向发展,远离比特币,这并不令人惊讶。不过对俄罗斯来说,风险要大得多。例如,国家杜马部长谢尔盖-米罗诺夫最近敦促联邦政府和中央银行将数字卢布作为俄罗斯官方外汇储备的一部分来对抗制裁。

【阅读原文】



3、安全专家发现新型恶意Windows 11网站:镜像内含恶意文件



自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。


网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站。由于使用了 Inno Setup Windows 安装程序,它分发的文件包含研究人员所说的“Inno Stealer”恶意软件。


恶意网站的URL是“windows11-upgrade11[.com]”,看来 Inno Stealer 活动的威胁者从几个月前的另一个类似的恶意软件活动中吸取了经验,该活动使用同样的伎俩来欺骗潜在的受害者。

CloudSEK说,在下载受感染的ISO后,多个进程在后台运行,以中和受感染用户的系统。它创建了Windows命令脚本,以禁用注册表安全,添加 Defender 例外,卸载安全产品,并删除阴影卷。

最后,一个.SCR文件被创建,这是一个实际传递恶意有效载荷的文件,在这种情况下,新颖的 Inno Stealer 恶意软件在被感染系统的以下目录中。恶意软件有效载荷文件的名称是"Windows11InstallationAssistant.scr"。

【阅读原文】



2022年4月19日 星期二

今日资讯速览:

1、流行的压缩管理器7-Zip出现安全漏洞 但用户自己就可以快速修复漏洞


2、揭秘:Fodcha恶意软件在互联网上掀起的“狂风暴雨”


3、中国科学院停用知网数据库 原因是续费价格连年上涨已接近千万元



1、流行的压缩管理器7-Zip出现安全漏洞 但用户自己就可以快速修复漏洞



流行的开源压缩管理器7-Zip当前版本和部分早期版本存在安全漏洞,这枚漏洞编号是CVE-2022-29072,黑客利用该漏洞可以进行权限提升。


目前7-Zip尚未发布安全更新解决这个漏洞,也就是说当前所有版本~21.07都存在漏洞。好消息是要修复这个漏洞炒鸡煎蛋~ 用户只需要删除7-Zip安装目录里的7-zip.chm文件即可,删除后黑客便无法再利用漏洞进行提权。


操作方法:找到7-Zip安装目录然后将7-zip.chm文件删除,还有个解决办法是将7-Zip设置为仅读取和执行权限,即没有写入权限。


基于7-Zip的第三方软件情况具体不同,例如NanaZip就没有包含7-zip.chm因此都不需要进行任何操作。


漏洞是怎么来的:


受影响的主要是Windows版7-Zip,黑客可以将扩展为为.7z的文件拖到帮助、内容区域然后进行提权,所以这是个本地权限提升漏洞。


漏洞源于7z.dll的错误配置和堆栈溢出。帮助的内容区域通过Windows HTML Helper进行工作,如果进行命令注入则7zFM.exe下会出现子进程,由于7z.dll文件存在内存交互,调出的cmd.exe子进程会被授予管理员模式。


具体什么时候发布新版本进行修复还不清楚,不过注重安全的用户可以自己操作删除文件修复这个漏洞。

【阅读原文】



2、揭秘:Fodcha恶意软件在互联网上掀起的“狂风暴雨”


近日,在互联网上发现了一个快速传播的DDoS僵尸网络。由奇360Netlab的研究人员命名为“Fodcha”。


据估计,这种新发现的恶意软件每天有超过100人成为 DDoS攻击的目标,该恶意软件在互联网上掠夺内容如下:

·路由器

·硬盘录像机

·服务器


而在3月29日至4月10日期间,Fodcha僵尸网络传播了超过62000台设备,仅在中国就有超过10000个每日活跃僵尸程序(IP),可见全球感染规模相当大。

图片

由于最初使用C2域名folded[.]in并使用chacha算法对网络流量进行加密,因此该僵尸网络被称为Fodcha。


在这里,大多数Fodcha机器人主要使用两种中文服务:

·联通 (59.9%)

·电信 (39.4%)

传播方法


Fodcha使用在许多不同设备中利用n天漏洞的漏洞攻击新设备,并使用名为Crazyfia的蛮力破解工具来接管这些设备。


以下是Fodcha僵尸网络所针对的所有设备和服务:

·Android:Android ADB调试服务器RCE

·GitLab:CVE-2021-22205

·Realtek Jungle SDK:CVE-2021-35394

·MVPower DVR:JAWS Webserver未经身份验证的shell命令执行

·LILIN DVR:LILIN DVR RCE

·TOTOLINK 路由器:TOTOLINK路由器后门

·ZHONE 路由器:ZHONE路由器Web RCE


Fodcha的运营商利用Crazyfia的扫描结果将恶意软件有效负载部署给用户。在获得了易受攻击的互联网暴露消费设备样本的访问权限后,他们能够有效地使用它们来执行各种攻击。


已经确定攻击者针对多个CPU架构,我们在下面提到了关键架构:MIPS,MPSL,ARM,x86。


Fodcha样本可以分为两个不同的类别,它们的主要功能几乎相同。在下图中,您可以看到两个不同的类别及其插图:


在正在进行的操作中,Fodcha操作员会尽力隐藏他们的C2s、C2之间的负载均衡和解密密钥配置。


从2022年1月到2022年3月19日,Fodcha僵尸网络背后的威胁行为者在命令和控制 (C2) 域中使用了 fold[.]。

图片


此外,为了确保其关键配置(例如C2数据)的安全性,Fodcha采用了多异或加密方法。


图片


一旦解密完成,我们将获得Fodcha的C2:-fridgexperts.cc。


图片

新的C2映射到十几个IP,分布在包括美国、韩国、日本和印度在内的多个国家,它涉及更多的云提供商,如 Amazon、DediPath、DigitalOcean、Linode 等。

【阅读原文】



3、中国科学院停用知网数据库 原因是续费价格连年上涨已接近千万元


【阅读原文】



2022年4月18日 星期一

今日资讯速览:

1、警惕!我国电信设施曾遭网络窃密,部分数据传至境外


2、GitHub透露:攻击者利用偷来的OAuth令牌入侵了几十个组织


3、超过半数的美国人希望设法从互联网上隐藏自己 18%认为网络不应该存在



1、警惕!我国电信设施曾遭网络窃密,部分数据传至境外


4月15日是第七个全民国家安全教育日。随着我国前所未有地走近世界舞台中央,国家安全的内涵和外延越来越丰富,时空领域更加宽广,网络安全、数据安全等非传统安全领域的风险日益显现,一些以互联网新生事物为掩护从事危害传统安全的行为也屡见不鲜。面对传统安全和非传统安全交织叠加的新形势,国家安全机关坚持统筹兼顾、综合施策,依法防范、制止、惩治各类危害国家安全行为,有效防范化解了国家安全各领域风险挑战。近日,国家安全机关公布多起典型案件,呼吁全社会提高国家安全意识,共同筑牢维护国家安全的坚固防线。


关键信息基础设施领域遭网络攻击窃密


2020年以来,国家安全机关工作发现,我国有关电信运营商、航空公司等单位内网和信息系统先后多次出现越权登录、数据外传等异常网络行为,疑似遭受网络攻击。国家安全机关依法开展技术检查,确认部分骨干网络节点设备、核心业务系统服务器等被植入特种木马程序,已有部分数据被发送至境外。通过进一步深入调查证实,相关攻击活动是由某境外间谍情报机关精心策划、秘密实施的。该机构调集强力网络攻击力量,使用全球多地网络资源和先进网络武器,妄图实现对我国关键信息基础设施战略控制的目的。


针对上述案情,国家安全机关指导相关单位,立即采取有效措施,清除特种木马程序,堵塞技术漏洞,调整安全策略,加固网络防护,及时制止了危害蔓延。同时,对该境外间谍情报机关后续对我国实施的网络攻击行为,进行全天候跟踪监测和定向打击,及时发布预警信息,有效阻断通信链路,清除危害源头,成功粉碎其对我国“停服断网”图谋。


12339举报电话受理多条自首线索


近年来,国家安全机关持续加大国家安全法律法规和12339举报受理电话宣传力度。随着宣传教育的不断深入,公民自觉主动举报危害国家安全线索显著增多,其中有一些是悬崖勒马、主动自首的情况。在我国某重要军事基地周边,2021年1月至6月间,先后有4人主动向国家安全机关自首。其中2人是被他人“引荐”给境外间谍情报机关,另外2人是在使用某知名网络交友软件时被境外间谍情报机关实施了网络勾连。


吴某某,被朋友“引荐”给境外间谍情报机关后,按对方要求搜集了当地公告、交通管制信息等情况,并获取了对方给予的报酬。后来,因对方提出需要他想办法搜集“红头文件”,他才意识到对方可能是间谍,于2021年1月拨打12339自首。沈某某,是一名退役军人,退役后以开私家车载客为兼职。一名受雇于境外间谍情报机关,在我国境内开展工作的人员搭乘其私家车进行观测时,将沈某某“引荐”了给境外间谍。对方认为沈某某具备观测军事目标的条件,于是对他实施了勾连,并部署搜集情报的任务。后来,沈某某发觉对方要求拍照的地点都是敏感的军事基地周边,意识到对方可能是境外间谍,于2021年5月主动向国家安全机关自首。


陈某某,在使用某网络交友软件时被境外间谍勾连。他执行了对方布置的观测任务并收受了报酬,后在家人劝说下,于2021年1月拨打12339自首。孙某某,同样在使用该交友软件时,被境外间谍网络勾连。对方要求他查看当地部队发布的道路管制公告、录制军事目标视频。孙某某认为对方的行为与新闻报道中的间谍行为很吻合,于2021年6月向国家安全机关自首。


鉴于4人主动向国家安全机关自首,且未造成实质性危害,当地国家安全机关依法免于处罚,没收其违法所得,并进行了教育训诫。


故意泄露国家安全机关工作秘密


2021年3月,因工作需要,国家安全机关多次前往北京市西城区某餐厅开展工作,依法要求该餐厅副经理黄某某配合调查,同时告知其保守秘密的义务。不久后,国家安全机关工作发现,该餐厅配合调查的情况疑似被其他人员知悉掌握,给后续工作开展带来了严重不利影响。国家安全机关随即对这一情况进行了深入调查。通过进一步调查取证,证实了黄某某涉嫌泄露有关反间谍工作的国家秘密。


经鉴定,黄某某泄露内容系秘密级国家秘密。在确凿的证据面前,黄某某如实交代,其在明确被告知应保守国家秘密的前提下,先后两次故意对外泄露国家安全机关依法开展工作的情况。此外,在国家安全机关此前依法要求黄某某配合调查时,他还对办案人员故意隐瞒了其所知悉的情况。针对以上违法事实,根据《中华人民共和国反间谍法》第三十一条之规定,2021年6月17日,国家安全机关对黄某某处以行政拘留十五日的处罚。


《中华人民共和国国家安全法》第七十七条规定,公民和组织应当履行下列维护国家安全的义务:一是遵守宪法、法律法规关于国家安全的有关规定;二是及时报告危害国家安全活动的线索;三是如实提供所知悉的涉及危害国家安全活动的证据;四是为国家安全工作提供便利条件或者其他协助;五是向国家安全机关、公安机关和有关军事机关提供必要的支持和协助;六是保守所知悉的国家秘密;七是法律、行政法规规定的其他义务。


国家安全机关提醒,维护国家安全没有“局外人”,每个人都应该参与其中,贡献一份力量。国家越安全,人民就越有安全感;人民越有安全意识,国家安全也就越有依靠。

【阅读原文】



2、GitHub透露:攻击者利用偷来的OAuth令牌入侵了几十个组织



GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。

GitHub_headpic.webp

"这些集成商维护的应用程序被GitHub用户使用,包括GitHub本身,"GitHub的首席安全官(CSO)Mike Hanley今天透露。"我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的,因为GitHub没有以原始的可用格式存储这些令牌。我们对威胁行为者的其他行为的分析表明,行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容,以寻找可用于渗透其他基础设施的秘密。"


根据Hanley的说法,受影响的OAuth应用程序的列表包括:

Heroku Dashboard(ID:145909)

Heroku Dashboard (ID: 628778)

Heroku Dashboard - Preview (ID: 313468)

Heroku Dashboard - Classic (ID: 363831)

Travis CI (ID: 9216)

GitHub安全部门在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问,因为攻击者使用了一个被泄露的AWS API密钥。攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。


"在4月13日晚上发现非GitHub或npm存储的第三方OAuth令牌被更广泛地窃取后,我们立即采取行动,通过撤销与GitHub和npm内部使用这些受损应用程序有关的令牌来保护GitHub和npm,"Hanley补充说。对npm组织的影响包括未经授权访问GitHub.com的私有存储库和"潜在访问"AWS S3存储上的npm包。


GitHub的私人存储库未受影响


虽然攻击者能够从被攻击的存储库中窃取数据,但GitHub认为,在这次事件中,没有一个软件包被修改,也没有用户账户数据或凭证被访问。


Hanley说:"npm使用与GitHub.com完全不同的基础设施;GitHub在这次原始攻击中没有受到影响。虽然调查仍在继续,但我们没有发现任何证据表明其他GitHub拥有的私有仓库被攻击者使用窃取的第三方OAuth令牌克隆。"

图片.png

GitHub正在努力通知所有受影响的用户和组织,因为他们被确认了更多信息。


作为GitHub的成员,您应该应该审查您和您的组织的审计日志和用户账户的安全日志,看看是否有异常的、潜在的恶意活动。


您可以在周五发布的安全警报中找到更多关于GitHub如何应对以保护其用户以及客户和组织需要知道的信息。

【阅读原文】



3、超过半数的美国人希望设法从互联网上隐藏自己 18%认为网络不应该存在



互联网现在已经深入社会,对于我们这些当时在身边的人来说,很难记得在它覆盖世界之前的生活是什么样的。但是,虽然网络提供了许多好处,但很多人希望他们能够消除他们的数字足迹。根据一项新的调查,如果可以的话,55%的美国人愿意从网络上删除自己。

2022-04-15-image-p.webp

NordVPN对美国的互联网用户进行了一项调查,其中涵盖了大约90%的人口。有趣的是,在1002名消费者中,超过一半的人说他们会设法从网上删除自己的踪迹,其中47%的参与者给出的理由是他们不信任网络。


人们希望自己从网络上删除的第二大原因是担心有人会用技术手段黑掉他们,有42%的受访者同意。可以理解为什么有些人担心他们的网络存在会被利用,但令人惊讶的是,18%的受访者说他们希望根本没有互联网,8%的人说他们从不使用互联网。


有关人们希望删除哪些具体的在线数据,超过一半的人说是财务信息,26%的人说是被记录下来的尴尬的时刻,26%的人说是旧的约会/社交媒体资料,24%的人说是不好看的照片/视频,23%的人说是以前的就业史。

2022-04-15-image-3-p.webp

调查还询问了人们希望了解他们认识的人的哪些个人信息。犯罪记录是最受欢迎的答案,其次是社交媒体账户,以及具有讽刺意味的财务信息(己所不欲却施于人)。


人们似乎也愿意支付不少钱来实现完全匿名的在线。31%的人说他们愿意支付100美元,12%愿意支付101-500美元,8%愿意支付500-1000美元,3%愿意支付1000美元以上。


NordVPN表示,这些结果并不表明人们害怕互联网,而是意识到保持安全所需的良好做法,例如使用代理访问,在网上少分享个人信息(特别是通过社交媒体),以及使用强大、独特的密码,最好是通过安全的密码管理器。

【阅读原文】



2022年4月15日 星期五

今日资讯速览:

1、多名欧盟高官遭以色列间谍软件监控,国际政要安全风险凸显


2、测速仪应用开发商面临英国司机的辱骂


3、CISA发布AA22-103A新警报:警惕针对ICS/SCADA设备的APT网络攻击



1、多名欧盟高官遭以色列间谍软件监控,国际政要安全风险凸显


据欧盟官员透露,欧洲司法专员 Didier Reynders 等多位欧委会官员遭到以色列 NSO 集团间谍软件监控;


欧盟官员称,在去年底苹果公司发布警告后,欧委会才发现相关官员已经被间谍软件监控的情况;


此前,美国、中国、印度等多国官员都曾爆出遭 NSO 间谍软件监控的消息,国际政要是间谍软件的主要监控目标,如何保护政府官员的数据安全成为当前难题。


根据两位欧盟官员的证实以及路透社审查的文件显示,去年欧盟委员会多位高级官员已经成为以色列监控公司开发的间谍软件的攻击目标。


其中一份文件显示,比利时政治家 Didier Reynders 就是监控目标之一。自 2019 年以来,他一直担任欧洲司法专员。根据文件说明及知情人士透露,至少还有四名欧盟委员会工作人员同样沦为监控目标。上述两位欧盟官员表示,情况已经证实,但并未提供更多细节。


经苹果警告后调查发现情况

两位欧盟官员表示,在苹果公司去年 11 月向数千名 iPhone 用户推送消息,发出 “已被国家支持的攻击者盯上” 警告后,欧盟委员会终于意识到了这一问题。这是苹果第一次大规模向用户发送警报,告知对方已经处于国家黑客的监控下。


两位官员称,这些警告引发了欧盟委员会的直接关注。在 11 月 26 日的一封邮件中,一名欧盟高级技术人员向具有以色列黑客工具背景的同事发出消息,要求对方留意苹果公司的其他警告。


路透社看到的邮件内容显示,“鉴于你的工作职责性质,你很可能成为潜在监控目标。”


路透社无法确定,是谁在使用以色列间谍软件对 Didier Reynders 和他在布鲁塞尔的其他同事开展监控,监控是否成功,也不清楚如果成功、黑客能够从中获得什么。


Didier Reynders 和他的发言人 David Marechal 未对此做出回复。欧盟委员会发言人 Johannes Bahrke 与苹果公司同样拒绝就此事发表评论。


间谍软件为以色列 NSO 集团开发

安全研究人员表示,此次收到警报的用户曾经在 2021 年 2 月至 9 月期间遭到 ForcedEntry 间谍软件的攻击。这是以色列网络监控供应商 NSO Group 开发的高级软件,可供外国间谍机构悄悄远程控制目标 iPhone。据此前报道,一家名为 QuaDream 的小型以色列间谍软件供应商,也曾经向政府客户出售过功能定位几乎相同的工具。


NSO 在一份声明中表示,他们不会对黑客的攻击企图负责,并称路透社描述的目标 “本不该被 NSO 开发的工具盯上”。


但这家公司之前就面临着多起重合诉讼,最近还因涉嫌侵犯人权而被美国政府列入黑名单。NSO 公司表示支持对目标开展调查,并呼吁建立全球规则来管理间谍软件产业。


一直保持低调的 QuaDream 则没有回复我们的反复求证。


据两位不愿透露姓名的欧盟消息人士称,IT 专家已经检查了部分官员的智能手机,观察其中是否存在入侵迹象,目前尚未公布结果。无法确定欧盟委员会的这项调查工作是否仍在进行。


欧盟对间谍软件开展严格审查

此次消息曝光之际,欧盟正在开始效仿美国,对 NSO 等间谍软件供应商开展更为严格的审查。


欧盟议员 Sophie in’t Veld 表示,欧盟委员会将于 4 月 19 日成立调查委员会,负责调查欧洲各成员国的监控软件使用情况。Veld 议员本人也对新委员会的成立表达了支持。


在接受路透社的采访中,in’t Veld 议员称她一直不清楚欧盟委员会官员已经成为监控目标,并称这是个 “爆炸性新闻”。


她表示,“我们一定得追查到底。”


欧盟之所以下定决心成立新的委员会,是因为之前有报道称,波兰多位反对派政客的手机遭到以色列间谍软件入侵,匈牙利也有著名批评家及调查记者成为锁定目标。


多名波兰官员及某匈牙利执政党议员都承认,他们的政府确实购买了 NSO 间谍软件,但两国均否认曾经利用这些软件在国内实施不当监控活动。


荷兰克林根达尔国际关系研究所研究员 Kenneth Lasoen 表示,目前重要的是不要匆忙下结论,断定谁应该对此负责。


Lasoen 说,欧盟 “是众多行动者非常引人注目的目标”。“布鲁塞尔是一个真正的间谍巢穴。”


————————————————

原文作者:一颗小胡椒

转自链接:https://www.wangan.com/p/7fy7f48ea6870f9d

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。



2、测速仪应用开发商面临英国司机的辱骂


一款利用人工智能来估计过往车辆速度的新应用开发者说,由于司机的恶性反应,他们被迫匿名。

这款名为"Speedcam Anywhere"的应用程序是一个由具有硅谷公司和英国顶尖大学背景的人工智能科学家组成的团队产物。它的创造者希望它能鼓励警察更认真地对待超速行为,并使居民、行人和骑自行车的人能够记录他们地区的交通犯罪。


但是,自3月推出以来,对该团队的谩骂声让他们害怕分享他们的真实身份。但是开发者认为,如果有速度限制,那么司机就应该遵守法律,而且执法者应该执行法律。这不是对任何人的个人恩怨,减少这些伤害的方法是对超速行驶形成威慑。


该应用程序面临着困难。Google拒绝允许该团队在Play Store上发布它,说不可能仅用人工智能来估计过往车辆的速度,但是该公司提供该技术的演示时,证明这一说法是错误的。iOS版本也已经开发完成,但苹果公司尚未批准其发布,也没有给出延迟的原因。开发者表示,他们不知道为什么Google和苹果会阻止一项有用的技术,一项可以拯救人们生命的技术。


几年来,警察部队已经接受了用户上传的交通犯罪录像。这使得一些公民能够提交证据,导致数百起不安全驾驶的起诉。目前该应用程序不能导致司机收到超速罚单。由于Speedcam Anywhere的算法没有经过英国内政部的审查,它在法律上不是一个测速相机,不能为警察部队提供足够的证据,以发出超速的起诉。

开发者现在希望该应用程序的广泛使用将提醒警方注意超速热点,并鼓励他们采取更多行动来防止危险驾驶。

【阅读原文】



3、CISA发布AA22-103A新警报:警惕针对ICS/SCADA设备的APT网络攻击


【阅读原文】



2022年4月14日 星期四

今日资讯速览:

1、在ESET和微软帮助下 乌克兰成功阻止针对能源设施的网络攻击


2、微软Windows受到Hafnium恶意软件"Tarrask"的集团化攻击


3、新加坡针对网络安全服务商实施严格许可证制度



1、在ESET和微软帮助下 乌克兰成功阻止针对能源设施的网络攻击



在 ESET 和微软研究人员的帮助下,乌克兰官员表示成功阻止了一起针对能源设施的网络攻击。在本次阻止攻击过程中,它们发现了 Industroyer 的新变种,它是一个臭名昭著的恶意软件,在 2016 年被 Sandworm APT 组织用来切断乌克兰的电力。

QQ截图20220413104640.jpg

乌克兰政府计算机应急小组(CERT-UA)表示,该攻击使用 Industroyer 变体尝试对“几个基础设施”发起攻击,包括高压变电站、设施的计算机、网络设备和运行 Linux 操作系统的服务器设备。


CERT-UA 解释说:“受害组织遭受了两波攻击。最初的妥协发生在 2022 年 2 月之前。变电站的断电和公司基础设施的退役被安排在2022年4月8日星期五晚上进行。同时,到目前为止,恶意计划的实施已经被阻止了”。


ESET在关于这一情况的解释中说,它还看到攻击者使用了其他几个破坏性的恶意软件家族,包括CaddyWiper、ORCSHRED、SOLOSHRED和AWFULSHRED。

ESET说,它不确定攻击者是如何入侵最初的受害者的,也不确定他们如何设法从IT网络转移到工业控制系统(ICS)网络。但CERT-UA说,攻击者能够"通过创建SSH隧道链"在不同网段之间横向移动。

【阅读原文】



2、微软Windows受到Hafnium恶意软件"Tarrask"的集团化攻击



对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用"Tarrask"恶意软件来瞄准并不断削弱Windows操作系统的防御能力。

Fig1_Tarrask-malware-creates-new-registry-keys-along-with-the-creation-of-new-scheduled-tasks.png

微软检测和响应小组(DART)在一篇博文中解释说,Hafnium集团正在利用Tarrask这种"防御规避恶意软件"来规避Windows的防御,并确保被破坏的环境保持脆弱。


随着微软继续追踪高优先级的国家支持的威胁行为者HAFNIUM,我们发现了新的活动,利用未修补的零日漏洞作为初始载体。进一步的调查显示了使用Impacket工具执行取证,并发现了一个名为Tarrask的防御规避恶意软件,它创建了"隐藏"的计划任务,并随后采取行动删除任务属性,以掩盖计划任务的传统识别手段。


微软正在积极跟踪Hafnium的活动,并意识到该组织正在利用Windows子系统内的新的漏洞。该组织显然是利用了一个以前未知的Windows漏洞,将恶意软件隐藏在"schtasks /query"和任务调度程序中。

Fig2_XML-file-matches-name-of-the-task.pngFig3_Extensionless-XML-file.pngFig4_Deletion-of-the-security-descriptor-SD-value.pngFig5_Successful-deletion-of-SD-in-Command-Prompt.png

该恶意软件通过删除相关的安全描述符注册表值成功地逃避了检测。简单地说,一个尚未打补丁的Windows任务调度程序错误正在帮助恶意软件清理其踪迹,并确保其磁盘上的恶意软件有效残余尽可能地不显示出相关性,展示出潜伏能力与迷惑性。其结果是,该组织似乎正在使用"隐藏的"计划任务,即使在多次重启后也能保留对被入侵设备的访问。与任何恶意软件一样,即使是Tarrask也会重新建立与指挥和控制(C2)基础设施的中断连接。


微软的DART不仅发出了警告,而且还建议在Microsoft-Windows-TaskScheduler/Operational Task Scheduler日志中启用"TaskOperational"的日志。这有助于管理员从关键的资产中寻找可疑的出站连接。

【阅读原文】



3、新加坡针对网络安全服务商实施严格许可证制度



4月11日,新加坡网络安全局 (CSA) 宣布根据网络安全法 (CS Act) 第5部分启动网络安全服务提供商的许可框架。许可框架已于2022年4月11日生效。CS法案第5部分和CS法案第二附表将在同一天生效。据此,在该国提供两类网络安全服务的供应商必须申请许可证才能继续提供此类服务。如果他们不希望面临入狱或罚款的可能性,他们最多有六个月的宽限时间。即提供渗透测试和托管安全运营中心 (SOC) 监控服务的公司需要获得许可证才能在新加坡提供这些服务。新加坡网络安全局 (CSA) 称,其中包括直接从事此类服务的公司和个人、支持这些公司的第三方供应商以及可许可网络安全服务的经销商。


目前从事其中一种或两种服务类别的现有供应商必须在2022年10月11日之前申请许可证。未能按时取得许可证者将不得不停止提供服务,直到获得许可证为止。



许可证制度的背景


该框架旨在更好地维护消费者利益,解决消费者与网络安全服务提供商之间的信息不对称问题。同时,监管制度也有望提高服务提供商的标准和地位。首先,CSA将许可两类网络安全服务提供商,即提供渗透测试和托管安全运营中心监控服务的提供商。这两项服务被优先考虑是因为执行此类服务的服务提供商可以大量访问其客户的计算机系统和敏感信息。如果访问被滥用,客户的操作可能会中断。此外,这些服务已经在市场上广泛使用和采用,因此有可能对整体网络安全格局产生重大影响。


CSA通过2021年9月20日至10月18日为期4周的咨询过程,就拟议的许可条件和附属立法草案征求行业反馈。共收到来自本地和外国行业参与者、行业协会、以及公众成员。在最终确定许可框架时考虑并考虑了反馈。


在六个月内提交许可申请的服务提供商将被允许继续提供可许可服务,直到对申请做出决定为止。


任何在2022年10月11日之后未经许可提供许可服务的人,将面临不超过 50,000新加坡元(36,673美元)的罚款或最高两年的监禁,或两者兼施。


个人必须支付500新元才能获得执照,而企业则必须支付1,000新元。每个许可证有效期为两年。 CSA表示,对于在2023 年4月11日之前的第一年内提交的申请,将一次性免收50%的费用。


已经成立了网络安全服务监管办公室 (CSRO),以管理许可框架并促进行业与更广泛的公众之间就所有与许可相关的问题进行沟通。其职责包括执行和管理许可流程,以及与公众共享可许可网络安全服务的资源,例如提供被许可人名单。


在评论未来可能获得许可的其他网络安全服务时,CSA表示,它将“继续监控国际和行业趋势”,并在必要时让该行业参与评估是否应包括新的服务类别。

CSA 表示,它已收到了来自本地和国际市场参与者以及行业协会和公众的29份回复。


漏洞赏金计划是否受影响?


ZDNet询问参与漏洞赏金的全球社区的个人是否需要在新加坡获得许可证。CSA 发言人表示,这些白帽黑客或道德黑客旨在发现系统漏洞,这些漏洞是漏洞赏金计划的一部分。然后将这些情况报告给组织进行补救。 发言人说,组织漏洞赏金计划的企业和参与此类计划的个人白帽黑客被排除在许可框架之外,除非他们还从事提供渗透测试或托管SOC服务的业务。


CSA告诉ZDNet:“漏洞赏金计划补充了传统的漏洞评估和渗透测试方法,使参与该计划的参与者能够针对全球和当地的研究人员和白帽社区对其防御进行基准测试。”


申请者需要提供的信息


其中一项反馈涉及应要求提供的信息,以促进监管机构对诸如被许可人的违规行为或与被许可人的持续资格相关的事项进行调查。有人建议收紧提议的许可条件的语言,因此请求不会过于笼统,并且对可能请求的信息类型更加清晰。


CSA表示,它已经修改了许可条件的语言,以减少被许可人的不确定性,并且对此类信息的请求将仅限于调查所需的信息。


当被要求提供许可证申请人的信息示例时,CSA发言人告诉ZDNet,其中包括申请人的资格和经验。


此外,还需要提供“相关”信息以供发牌官员考虑申请人是否“合适和适当”,例如申请人是否在新加坡或其他地方被定罪涉及欺诈、不诚实或道德败坏的罪行,发言人解释道。


关于是否会询问申请人的国籍或与目前受到相关制裁的国家的业务联系,CSA发言人表示,作为许可证申请流程的一部分,申请人将被要求提供其国籍。不过,同样的要求将适用于所有服务提供商,只要他们在渗透测试或托管 SOC监控服务中向新加坡客户提供许可服务。


发言人说:“可能还需要许可官员评估申请人是否合适和适当所需的其他信息。”

【阅读原文】



2022年4月13日 星期三

今日资讯速览:

1、CISA:5款D-Link淘汰型号存在安全风险 推荐用户尽快升级


2、研究人员发现医院用自动机器人有被远程劫持的风险


3、欧盟高级官员成为以色列间谍软件的目标



1、CISA:5款D-Link淘汰型号存在安全风险 推荐用户尽快升级



路由器是网络中必不可少的网络设备,但也往往被我们所忽略。只要路由器能够满足我们的上网需求,即便是停止支持我们也会继续使用。但我们也忽略了这些路由器存在的安全隐患,网络安全和基础设施机构(CISA)正在提醒 D-Link 的客户:近期又有 5 个 D-Link 型号被添加到该机构的脆弱设备名单中。

当路由器达到其使用寿命时(如受此漏洞影响的设备),漏洞变得更加严重。制造商有责任用新的补丁来解决这些问题,但他们一般不会为报废设备推送更新(只有少数罕见的例外)。


CISA 报告称 D-Link DIR-810L、DIR-820L/LW、DIR-826L、DIR-830L 和 DIR-836L 这 5 款型号的路由器存在“远程代码执行”漏洞。据 Malwarebytes 实验室称,攻击者可以利用“诊断钩子”(diagnostic hooks),在没有适当认证的情况下进行动态 DNS 调用,使他们能够控制受影响的路由器。


值得注意的是,Github 用户 doudoudedi表示针对这一漏洞的概念证明黑客已经存在于野外。因此,D-Link 建议尽快更换你可能拥有的任何受影响的路由器。产生更多的电子垃圾总是令人遗憾的,但在这种情况下,它是两害相权取其轻。

【阅读原文】



2、研究人员发现医院用自动机器人有被远程劫持的风险



十年前,安全研究员巴纳比-杰克(Barnaby Jack)在舞台上当着数百人的面无线入侵了医院的胰岛素泵,以证明它是多么容易被入侵以提供致命剂量的药物。在过去的几年里,医疗设备的安全性已经得到了改善,尽管偶尔会有一些引人注目的小插曲。但是,研究人员现在发现较新的医院技术存在漏洞,而这些漏洞在十年前还不那么普遍。


进入医院的机器人,可以在医院园区内运送药物、床单、食物、药品和实验室标本。这些机器人配备了运输关键货物的空间,可以进入医院限制区域和乘坐电梯的安全通道,同时削减了劳动力成本。

QQ图片20220412224633.png

但是,专注于保护医院和医疗系统安全的网络安全初创公司Cynerio的研究人员在Aethon机器人中发现了一组五个从未见过的漏洞,他们说这些漏洞允许恶意黑客远程劫持和控制这些自动行驶的机器人,而且在某些情况下是通过互联网进行控制。


这五个漏洞,Cynerio统称为JekyllBot:5,并不在机器人本身,而是在用于与医院和酒店走廊上的机器人通信和控制的基础服务器。这些漏洞包括允许黑客创建具有高级权限的新用户,然后登录并远程控制机器人和进入限制区域,使用机器人内置的摄像头窥探病人或客人,或以其他方式造成混乱。


基础服务器有一个网络界面,可以从医院的网络内部访问,允许"客人"用户查看实时的机器人摄像机画面以及他们即将到来的日程安排和当天的任务,而不需要密码。但是,尽管机器人的功能受到"管理员"账户的保护,研究人员说,网络界面漏洞可能允许黑客与机器人互动,而不需要管理员密码来登录。


研究人员说,这五个漏洞中的一个暴露了机器人使用网络界面中的操纵杆式控制器进行远程控制,而利用另一个漏洞可以与门锁互动,呼叫和乘坐电梯,以及打开和关闭药物抽屉。在大多数情况下,如果对机器人基础服务器的访问被限制在本地网络内,只限制登录的员工访问,那么潜在的风险是有限的。


研究人员说,对于医院、酒店或任何其他使用这些机器人的地方来说,风险要大得多,这些机器人的基础服务器连接到互联网,因为这些漏洞可以从互联网的任何地方触发。Cynerio表示,他们在医院以及为退伍军人提供护理的设施中发现了暴露于互联网的机器人的证据。Aethon公司在全球数百家医院兜售其机器人,其中许多在美国,大约有数千台机器人。


在Cynerio提醒Aethon公司注意这些问题后,Aethon公司发布的一批软件和固件更新中修复了这些漏洞。据称,Aethon已经限制了暴露在互联网上的服务器,使机器人免受潜在的远程攻击,并修复了影响基站的其他网络相关漏洞。

【阅读原文】



3、欧盟高级官员成为以色列软件的目标


【阅读原文】



2022年4月12日 星期二

今日资讯速览:

1、加密货币在某些国家非常流行


2、奢侈品巨头LVMH被指非法收集顾客面部数据


3、从微软、Okta和HubSpot的3起泄密事件,看平台安全防护



1、加密货币在某些国家非常流行


【阅读原文】



2、奢侈品巨头LVMH被指非法收集顾客面部数据


鞭牛士 4月11日消息,据报道,奢侈品巨头LVMH的北美分部在一项新诉讼中,被指控非法收集顾客的生物特征识别数据,消费者可以使用其网站上的在线工具虚拟试戴太阳镜和镜框产品。


据诉讼称,该公司收集了“详细且敏感的生物特征识别标识符和信息,包括完整的面部扫描”。


image.png

【阅读原文】



3、从微软、Okta和HubSpot的3起泄密事件,看平台安全防护


【阅读原文】



2022年4月11日 星期一

今日资讯速览:

1、黑客利用Conti泄露的勒索软件攻击俄罗斯公司


2、网络犯罪组织FIN7一名成员被判处五年徒刑


3、欧洲正在建立一个庞大的国际面部识别系统



1、黑客利用Conti泄露的勒索软件攻击俄罗斯公司


一个黑客组织利用Conti恶意软件集团泄露的勒索软件源代码创建了他们自己的勒索软件,然后用于对俄罗斯组织进行网络攻击。虽然经常听到勒索软件攻击公司并加密数据,但我们很少听到位于俄罗斯的黑客组织受到类似的攻击。这种缺乏攻击的情况是由于俄罗斯黑客普遍认为,如果他们不影响俄罗斯的利益,那么该国的执法部门将对攻击其他国家的行为视而不见。


然而,现在情况发生了变化,一个被称为NB65的黑客组织现在专门以俄罗斯组织为目标进行勒索软件攻击。


过去一个月,一个名为NB65的黑客组织一直在入侵俄罗斯实体,窃取他们的数据,并将其泄露到网上,并警告说这些攻击是由于俄罗斯入侵乌克兰。

图片.png

据称被该黑客组织攻击的俄罗斯实体包括文件管理运营商Tensor,俄罗斯航天局,以及国有的俄罗斯电视和广播公司VGTRK。


对VGTRK的攻击尤其重要,它导致了据称786.2GB的数据被盗,其中包括90万封电子邮件和4000个文件,这些数据被公布在DDoS Secrets网站上。

图片.png

最近,NB65黑客转向了一种新的战术--自3月底以来以俄罗斯组织为目标进行勒索软件攻击。


更有趣的是,该黑客组织使用泄露的Conti勒索软件操作的源代码创建了他们定制版本的勒索软件,这些来自俄罗斯的网络安全威胁行为始作俑者通常禁止其成员攻击俄罗斯的实体。


Conti的源代码是在他们在攻击乌克兰的问题上与俄罗斯站在一起之后泄露的,一位安全研究员泄露了17万条内部聊天信息和他们行动的源代码。


BleepingComputer首先通过威胁分析师Tom Malka了解到NB65的攻击,但我们找不到勒索软件的样本,而且该黑客组织也不愿意分享它。


然而,这种情况在昨天发生了变化,NB65修改过的Conti勒索软件可执行文件的样本被上传到VirusTotal,让我们得以一窥它的运作方式。

encrypted-files.webp

几乎所有的杀毒软件供应商都将VirusTotal上的这个样本检测为Conti,Intezer Analyze还确定它使用的代码与通常的Conti勒索软件样本有66%相同。


BleepingComputer给NB65的勒索软件做了一个测试,当加密文件时,它会在被加密文件的名称后加上.NB65的扩展名。


该勒索软件还将在整个加密设备中创建名为R3ADM3.txt的勒索信文本,威胁者将网络攻击归咎于总统弗拉基米尔·普京入侵乌克兰。


"我们正在密切关注。 你们的总统不应该犯下战争罪。"NB65勒索软件显示的说明中写道。


NB65黑客组织的一名代表表示,他们的加密器是基于第一个Conti源代码的泄漏,但因为改变了算法,所以现有的解密器将无法工作。


"它被修改后,所有版本的Conti解密器都无法工作。每次部署都会根据我们为每个目标改变的几个变量产生一个随机的密钥。如果不与我们联系,真的没有办法解密。"


目前,NB65还没有收到他们的受害者的任何通信,并告诉我们他们不期待任何通信。

ransom-note.webp

至于NB65攻击俄罗斯组织的原因:


"在布查屠杀事件后之后,我们选择了针对某些公司,这些公司可能看上去是服务于民用市场的,但仍然会对俄罗斯的正常运作能力产生影响。 俄罗斯民众对普京的战争罪行的支持是压倒性的。 从一开始我们就明确表示。 我们在支持乌克兰。 我们将兑现我们的承诺。 当俄罗斯停止在乌克兰的所有敌对行动并结束这场荒谬的战争时,NB65将停止攻击俄罗斯互联网上的资产和公司。"


"我们将不会攻击俄罗斯以外的任何目标。 像Conti和Sandworm这样的组织,以及其他俄罗斯APT多年来一直通过勒索软件、供应链攻击(Solarwinds或国防承包商)来打击西方。我们认为现在是他们自己处理这个问题的时候了。"

【阅读原文】



2、网络犯罪组织FIN7一名成员被判处五年徒刑


【阅读原文】



3、欧洲正在建立一个庞大的国际面部识别系统


【阅读原文】



2022年4月8日 星期五

今日资讯速览:

1、谷歌云声称:政府办公依赖微软容易导致黑客攻击


2、Twitter对俄政府账号采取行动以限制其发布的内容


3、租用的微软 365 邮箱系统被入侵,A 股上市公司子公司遭遇电信诈骗,被骗约 2275 万元



1、谷歌云声称:政府办公依赖微软容易导致黑客攻击


【阅读原文】



2、Twitter对俄政府账号采取行动以限制其发布的内容


【阅读原文】



3、租用的微软 365 邮箱系统被入侵,A 股上市公司子公司遭遇电信诈骗,被骗约 2275 万元


【阅读原文】



2022年4月7日 星期四

今日资讯速览:

1、美国国务院完成370亿美元的预算申请为网络空间和数字政策局增员


2、三星手机被曝重大漏洞 运行Android 9至12的所有机型均受影响


3、苹果尚未修补macOS Big Sur与Catalina的关键漏洞



1、美国国务院完成370亿美元的预算申请为网络空间和数字政策局增员



从今天起,美国国务院将为其网络空间和数字政策局配备多达100名新人员。横跨两届政府,11年之间,网络协调办公室终于首次亮相,预计也得到了组建和运营所需的相应的资金,今天的公告伴随着拜登政府提出的370亿美元的要求,以使其成立和运作。


新的网络局将以其目前的60名工作人员为基础,重点提高对网络外交的认识,以应对乌克兰战争、大量的勒索软件攻击,包括2021年的微软Exchange服务器数据泄露、最近的Lapsus$黑客攻击以及对Colonial Pipeline油气管道的攻击等。


 

国务卿安东尼·布林肯这样谈及新的网络局不断扩大的重点和责任范围:""民主国家必须共同回答这样一个问题:普遍权利和民主价值是否将成为我们数字生活的中心--以及数字技术是否在人们的生活中带来真正的好处。要做到这一点,我们需要美国的外交官引领方向。这就是为什么网络空间和数字政策局的工作将是如此重要。"


至于更棘手的细节,曾领导美国驻捷克共和国大使馆的珍妮弗·巴克斯将暂时领导这项行动,同时参议院就一个更永久的领导职位举行确认听证会。


网络局的开幕任务将伴随着进口电信设备的外交谈判,讨论企业部门的勒索软件的扩散和互联网治理问题。其正式推出还有助于企业在发生勒索软件或国家支持的网络攻击问题时,以更有组织和快速的方式进行对接,例如发生在SolarWinds遭受大面积勒索软件攻击的情况。


虽然目标是在该局内配备最多100人,但理想情况下,来自Google、微软、IBM和其他公司的外部帮助将有助于加强其未来的努力。

【阅读原文】



2、三星手机被曝重大漏洞 运行Android 9至12的所有机型均受影响



4月6日消息,安全公司Kryptowire警告说,三星的各种设备都容易受到重大安全漏洞的影响,该漏洞允许黑客接管设备。Kryptowire制作移动应用安全测试(MAST),这是一种扫描漏洞以及安全和隐私问题的工具。


据该公司称,它发现了一个漏洞(CVE-2022-22292),该漏洞可能允许黑客采取一系列行动,包括拨打电话、安装/卸载应用程序、通过安装未经验证的证书来削弱HTTPS 安全性、在背景,甚至恢复出厂设置。


由于预装的手机应用程序具有“不安全组件”,该漏洞似乎影响了几乎所有运行Android 9至12的三星智能手机。因为电话应用程序以系统权限运行,这为不良行为者打开了攻击媒介。恶意应用程序可以利用电话漏洞来“模仿系统级活动”并访问本应受到保护的功能。


Kryptowire于2021年11月首次发现该漏洞并通知了三星。该公司于2022年2月发布了修复程序,鼓励所有三星用户立即更新以确保他们的手机安全。


了解更多:


https://www.kryptowire.com/blog/start-arbitrary-activity-app-components-as-the-system-user-vulnerability-affecting-samsung-android-devices/

【阅读原文】



3、苹果尚未修补macOS Big Sur与Catalina的关键漏洞



尽管发布了一个更新来解决macOS Monterey中的两个零日漏洞,但苹果还没有将其应用于最后两个macOS版本,这可能会让多达40%正在使用的Mac计算机处于危险之中。

Finder-icon-macOS-Big-Sur-sad-face-300x300.png

苹果在2022年3月31日对macOS Monterey的更新中解决了这些关键的漏洞。然而,到目前为止,它还没有更新macOS Big Sur和macOS Catalina。但苹果公司传统上会支持当前和之前两个版本的macOS的安全更新。

macos-big-sur-era-intel-graphics-driver-vulnerabilities.pngactively-exploited-macos-monterey-vulnerabilities-20220404.png

两个被积极利用的漏洞中,有一个仍然专门针对Big Sur,那就是漏洞CVE-2022-22675,涉及AppleAVD,用于音频和视频解码的框架。


第二个漏洞CVE-2022-22674是在英特尔图形驱动程序中出现的,迄今为止仍然能够影响到Big Sur和Catalina。安全人员预计,这两个漏洞同时存在于老版本的macOS,意味着35%到40%的活跃的Mac电脑都有漏洞。


安全警报的的发布者Intego说,它有"高度的信心,CVE-2022-22674可能影响到macOS Big Sur和macOS Catalina"。它的部分依据是,它说,"英特尔图形驱动程序中的几乎所有漏洞"都影响了所有版本的macOS。

approximate-macos-version-market-share-20220404.jpgmacos-big-sur-era-actively-exploited-vulnerabilities-chart.jpg

苹果公司还没有发表评论。不过,它已经发布了iOS和iPadOS的更新,据说对iPhone和iPad的AppleAVD漏洞进行了修补。


了解更多:

https://www.intego.com/mac-security-blog/apple-neglects-to-patch-zero-day-wild-vulnerabilities-for-macos-big-sur-catalina/

【阅读原文】



2022年4月6日 星期三

今日资讯速览:

1、德国当局捣毁俄罗斯地下市场 缴获价值2500万美元比特币


2、俄罗斯外卖应用的泄露数据中包含GRU特勤人员的用餐习惯


3、英媒:澳大利亚将出台最严格网络安全法



1、德国当局捣毁俄罗斯地下市场 缴获价值2500万美元比特币


德国当局称他们已经关闭了来自俄罗斯的世界上最大的地下市场之一Hydra Market,在查封该市场时还没收了其价值2500万美元的比特币(BTC)。根据联邦警察周二的一份声明,法兰克福检察院的网络犯罪办公室和联邦刑事警察在"保护"该网站的服务器时没收了543个比特币。


联邦警察发现了1700万客户和19000个卖家账户。根据该声明,Hydra Market可能是世界上非法市场中营业额最高的。警方说,在2020年,该市场有12.3亿欧元(13.5亿美元)的收入。


警方声明说,这个以俄语为主的市场中还有一个内置的比特币隐私混淆程序,这使得追踪交易变得复杂。


Hydra Market自2015年以来一直在运营,可以通过Tor浏览器访问。该网站目前已被从互联网上删除。


区块链取证公司Ciphertrace表示,该市场主要用于销售麻醉品,目标市场主要为俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦、阿塞拜疆、亚美尼亚、吉尔吉斯斯坦、乌兹别克斯坦、塔吉克斯坦和摩尔多瓦。


警方表示,这项调查始于2021年8月,也涉及美国当局的执法合作。

【阅读原文】



2、俄罗斯外卖应用的泄露数据中包含GRU特勤人员的用餐习惯


据The Verge报道,根据Bellingcat的调查结果,俄罗斯外卖平台Yandex Food的一次大规模数据泄漏暴露了属于那些与俄罗斯秘密警察有关的递送地址、电话号码、姓名和配送指示。

600px-Yandex.Eats.jpg

Yandex Food是俄罗斯大型互联网公司Yandex的子公司,于3月1日首次报告了数据泄漏事件,将其归咎于其一名员工的“不诚实行为”,并指出该泄漏不包括用户的登录信息。俄罗斯通信监管机构Roskomnadzor此后威胁要对该公司的泄漏行为处以最高10万卢布(约合人民币7652元)的罚款,路透社称该事件暴露了约58000名用户的信息。Roskomnadzor还阻止了对包含这些数据的在线地图的访问--试图掩盖普通公民以及与俄罗斯军队和安全部门有联系的人的信息。

Bellingcat的研究人员获得了进入信息库的机会,在其中筛选出任何感兴趣的人的线索,例如与俄罗斯反对派领导人阿列克谢·纳瓦尔尼中毒事件有关的个人。通过搜索数据库中作为先前调查的一部分而收集的电话号码,Bellingcat发现了与俄罗斯联邦安全局(FSB)联系以策划纳瓦尔尼中毒事件的人的名字。Bellingcat说,这个人还用他的工作电子邮件地址在Yandex Food公司注册,使研究人员能够进一步确定他的身份。

4.png

研究人员还检查了泄露的信息中属于与俄罗斯军事情报局(GRU)或该国外国军事情报机构有关的个人的电话号码。他们发现了其中一个特工的名字, Yevgeny,并能够将他与俄罗斯外交部联系起来,找到他的车辆登记信息。

5.png

Bellingcat通过搜索数据库中的具体地址也发现了一些有价值的信息。当研究人员寻找莫斯科的GRU总部时,他们发现只有四个结果--这是一个潜在的迹象,表明工作人员不使用外卖应用程序,或选择从步行距离内的餐馆订购。然而,当Bellingcat搜索FSB在莫斯科郊区的特别行动中心时,它产生了20个结果。有几个结果包含有趣的配送指示,警告司机,送货地点实际上是一个军事基地。一位用户告诉他们的司机:“到蓝色亭子附近的三个吊杆障碍物上打电话。在110路公交车的站台后上到终点,”而另一个人说 “封闭的领土。上去到检查站。在你到达前十分钟拨打(号码)”!

6.png

俄罗斯政治家和纳瓦尔尼的支持者柳博夫·索博尔在一条翻译的推文中说,泄露的信息甚至导致了关于俄罗斯总统普京的所谓"秘密"女儿和前情妇的额外信息。索博尔说:“由于泄露的Yandex数据库,普京的前情妇斯维特兰娜·克里沃诺吉赫的另一个公寓被发现。那是他们的女儿Luiza Rozova订餐的地方。该公寓面积为400平方米,价值约1.7亿卢布!”

The Verge指出,如果研究人员能够根据一个送餐应用程序的数据发现这么多信息,那么想想Uber Eats、DoorDash、Grubhub和其他公司拥有的用户信息量,就有点让人不安。2019年,DoorDash的数据泄露事件暴露了490万人的姓名、电子邮件地址、电话号码、外卖订单详情、送货地址等--这个数字比Yandex Food泄露事件中受影响的人要多得多。

【阅读原文】



3、英媒:澳大利亚将出台最严格网络安全法


参考消息网3月31日报道 据英国《金融时报》网站3月30日报道,澳大利亚将出台世界上最严格的网络安全法之一,以加强对外国势力针对其关键基础设施发动袭击的防御体系。


报道称,堪培拉方面正在准备出台更严格的法律,以保护国家基础设施资产免受网络攻击,范围涉及电信网络、电网、供水和排污企业等11个领域。金融服务、国防、研究、医疗和教育等领域的企业也将遵守该法。


报道还称,去年年底在议会通过的立法允许澳大利亚政府在发生灾难性网络攻击时介入并接管网络。企业还必须告知政府它们是否遭到了袭击。


报道指出,这些企业现在必须遵守更严格的规定和监督制度,缓解对所谓“外国干涉”的担忧。


议会情报和安全联合委员会主席詹姆斯·帕特森称,澳大利亚的许多重要基础设施仍被对手视为“薄弱目标”。


帕特森周三说:“数字领域是新的战场,我们都可以尽一份力,为现实构成的挑战做好准备。令人遗憾的是,行业就算做出最大的努力也不足以阻止供应链和服务的一连串崩溃,这种崩溃可能会造成经济的瘫痪。”


澳大利亚网络安全中心称,去年在澳大利亚遭受的所有网络攻击中,有四分之一是针对关键基础设施的。

【阅读原文】



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-4-29 10:33 被Editor编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (2)
雪    币: 29182
活跃值: (63621)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2
2022-4-20 10:10
0
雪    币: 295
活跃值: (506)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
2022-4-29 13:33
0
游客
登录 | 注册 方可回帖
返回
//