国家情报总监艾薇儿·海恩斯 (Avril Haines) 今天发布了一项新战略,为情报界 (IC) 提供未来四年国家情报发展方向的指导。
2023 年国家情报战略( NIS) 概述了反映当前国家情报格局的六个目标:
海恩斯在一份新闻稿中表示:“国家情报战略阐明了情报界未来需要培养的有效能力。 ” “随着我们对未来有效所需的信息、技术和关系类型的理解不断加深,国家情报战略中概述的六个目标应运而生。”
她解释说,IC 成功实现这些目标的能力在很大程度上取决于它是否能够适应、提高弹性,并持续专注于克服快速变化的环境的挑战。
目标一:全球战略竞争
根据该战略,情报委员会必须深化和扩展其专业知识,加强其收集和分析能力,并拥抱新的合作伙伴关系和外部视角,以满足决策者在竞争更加激烈的环境中的需求,特别是面对中国和俄罗斯日益增长的实力。
根据这一目标,IC 将投资于开发创新方法和培育新来源,并与全球公共和私营部门的盟友和合作伙伴更系统地合作,以促进对技术风险和进步以及如何解决这些风险和进步的共同理解。此外,NIS 呼吁 IC 建立方法和系统,以促进传统和不同地理和功能区域之间更大的互操作性和理解。
目标 2:多元化、团结的员工队伍
招聘、培养和留住一支才华横溢、多元化的员工队伍对于 IC 未来的成功至关重要。在接下来的四年里,国家情报院呼吁 IC 实现招聘、聘用和审查流程现代化,以确保 IC 能够有竞争力地、快速地招募和培养多元化、值得信赖、灵活且专业的 IC 员工队伍。
目标 3:提供可互操作的创新解决方案
NIS 表示,提升 IC 的技术和工艺竞争力及创新需要持续投资并快速大规模调整可互操作的解决方案。
为了大规模提供这些可互操作的创新解决方案,IC 需要通过建立统一的 IC 采购机构、集中招标系统和社区范围的合同系统来消除障碍,所有这些都由自动化工具支持。
目标 4:牢固的伙伴关系
国家情报院呼吁情报委员会采取新的方法,充分利用情报委员会履行其使命所必需的非国家行为者的专业知识和见解;特别是那些能够检测和防御关键基础设施网络威胁的非国家行为者。
因此,情报委员会必须与非国家行为体建立新的并重组现有的合作机制,并找到方法以维护国家安全的方式加强与这些行为体之间的信息流动。
目标 5:应对共同的全球挑战
国家情报院认为,日益加剧的全球挑战是国家和国际安全的核心。IC 必须跨组织边界开展工作,并与其他政府机构(联邦和地方)合作,以更好地整合研究、专业知识和数据,并建立建模和预测气候变化和健康安全等全球挑战的潜在连锁效应的能力。
目标 6 有弹性的新兴技术、供应链和经济管理
在日益复杂的国家和全球环境中,IC 必须扩大其在了解供应链威胁和脆弱性以及帮助减轻对政府和行业合作伙伴基础设施的威胁方面的作用。因此,NIS 指示 IC 提高联邦、州、地方、部落和地区政府的透明度;非国家行为者;以及在国家关键基础设施中拥有利益的盟友。
IC 领导者反思 2023 年 NIS
海恩斯还解释说,国家情报院在追求国家情报“体现美国价值观的情报局愿景”时,为情报局提供了如何驾驭信息和技术优势、广泛的合作伙伴关系以及才华横溢且多元化的员工队伍的战略方向。
海恩斯表示:“这还凸显了情报委员会在支持我们国家关键基础设施以及我们的盟友和合作伙伴的弹性方面发挥着不断扩大的作用。”他补充说,国家信息系统反映了情报委员会 18 个部门领导人的意见。
“国家情报战略阐述了我们必须如何应对不断变化的世界,通过强调投资于伙伴关系、技术创新、多元化人才和专业知识的重要性,以解决从与中国竞争到气候变化和全球粮食等问题,提供所需的及时见解。不安全,”中央情报局局长比尔伯恩斯说。
“国家情报院认识到民主国家和独裁国家之间的竞争日益激烈。竞争激发创新、新思维,并在必要时激发行动。国家安全局确定了六个优先目标,这些目标不仅将在未来保护我们的国家,而且还将保护我们的合作伙伴。”国家安全局局长保罗·中曾根将军说。
“联邦调查局和我们的情报界合作伙伴正在不断努力预测对我们国家安全的新威胁以及如何应对这些挑战。新的国家情报战略是情报委员会所有成员的重要指南,”联邦调查局局长克里斯·雷说。
虽然一些勒索软件行动声称不以医院为目标,但一个名为 Rhysida 的相对较新的勒索软件团伙似乎并不在意。
Rhysida 于 2023 年 5 月推出,由于对医院、企业甚至政府机构进行不分青红皂白的攻击,它很快就声名鹊起。
该组织在攻击智利军队(Ejército de Chile) 并泄露被盗数据后首次声名狼藉。
现在,该勒索软件团伙因其针对医疗保健的目标而成为头条新闻,据信该组织是对 Prospect Medical Group 的攻击的幕后黑手,影响了美国各地的 17 家医院和 166 家诊所。
这导致美国卫生与公众服务部、趋势科技、思科 Talos和Check Point Research发布了一系列报告。
我们还看到了有关TargetCompany勒索软件、影响 RaaS 生态系统的代码泄漏以及使用Yashma 勒索软件定制版本的新威胁行为者的其他报告。
在其他新闻中,我们继续看到 Clop 的 MOVEit 数据盗窃攻击的后果,密苏里州社会服务部警告称,IBM MOVEit 服务器的数据被盗。
最后,欧洲刑警组织和美国司法部宣布取缔 LOLEKHosted 防弹托管提供商,称其中一名被捕的管理员通过为该团伙托管存储服务器,为Netwalker 勒索软件攻击提供了便利。
本周提供新勒索软件信息和故事的贡献者和人员包括:@Seifreed、@struppigel、@Ionut_Ilascu、@serghei、@LawrenceAbrams、@malwrhunterteam、@billtoulas、@demonslay335、@BleepinComputer、@HHSGov、@TrendMicro、@TalosSecurity、@_CPResearch_、@IRS_CI和@pcrisk。
Talos 高度确信该威胁行为者的目标是英语国家、保加利亚、中国和越南的受害者,因为该行为者的 GitHub 帐户“nguyenvietphat”有用这些国家的语言编写的勒索软件注释。英文版本的存在可能表明演员打算针对广泛的地理区域。
正如我们在 2022 年回顾中所强调的那样,勒索软件团伙不断重塑品牌或与其他组织合并,或者这些犯罪分子同时为多个勒索软件即服务 (RaaS) 机构工作,并且新的组织不断涌现。
今年早些时候,我们发现了远程访问木马 (RAT) Remcos 和 TargetCompany 勒索软件相结合的活跃活动部署。我们将这些部署与之前的示例进行了比较,发现这些部署正在对其二进制文件实施完全不可检测 (FUD) 的加壳器。通过结合遥测数据和外部威胁搜寻源,我们能够收集开发中的早期样本。最近,我们发现了一个受害者,该技术被部署并专门针对该受害者。
PCrisk发现了新的 STOP 勒索软件变种,附加了.yyza和.yytw扩展名。
PCrisk 发现了一个新的 Dharma 变体,它附加了.GPT扩展名。
Rhysida 勒索软件组织于今年 5 月首次被曝光,此后与数起有影响力的入侵事件有关,其中包括对智利军队的攻击。最近,该组织还参与了对 Prospect Medical Holdings 的攻击,影响了美国各地的 17 家医院和 166 家诊所。此次攻击后,美国卫生与公众服务部将 Rhysida 定义为对医疗保健行业的重大威胁。
思科 Talos 注意到美国卫生与公众服务部 (HHS) 最近发布的公告,警告医疗保健行业有关 Rhysida 勒索软件活动。
PCrisk 发现了一个新的 Xorist 勒索软件变体,该变体附加.ProOToN扩展名并删除名为HOW TO DECRYPT FILES.txt的勒索信息。
密苏里州社会服务部警告称,在 IBM 遭受 MOVEit 数据盗窃攻击后,受保护的医疗补助医疗保健信息在数据泄露中暴露。
在针对医疗机构的一波攻击迫使政府机构和网络安全公司更加密切地关注其运作之后,Rhysida 勒索软件行动正名声大噪。
2023 年 8 月 4 日,HHS 卫生部门网络安全协调中心 (HC3) 发布了关于一种名为 Rhysida 的相对较新的勒索软件(检测为 Ransom.PS1.RHYSIDA.SM)的安全警报,该软件自 2023 年 5 月以来一直处于活动状态。在博客文章中,我们将提供有关 Rhysida 的详细信息,包括其目标以及我们对其感染链的了解。
PCrisk 发现了一个新的勒索软件变种,该变种附加了.harward扩展名。
警方已经取缔了 Lolek 防弹托管提供商,逮捕了五名个人并没收了涉嫌为 Netwalker 勒索软件攻击和其他恶意活动提供便利的服务器。
PCrisk 发现了一个新的勒索软件变种,该变种附加了.alock扩展名。
在最近中国黑客入侵美国政府机构使用的 Microsoft Exchange 帐户后,国土安全部网络安全审查委员会 (CSRB) 宣布计划对云安全实践进行深入审查。
CSRB 是公共和私营部门的合作组织,成立的目的是进行深入调查,以更好地了解关键事件、找出根本原因并就网络安全提出明智的建议。
在这种情况下, CSRB 将探索 政府、行业和云服务提供商 (CSP) 如何加强云中的身份管理和身份验证,并为所有利益相关者制定可行的网络安全建议。
这些建议将转发给 CISA 和现任美国政府,由他们决定必须采取哪些行动来保护政府系统和账户。
美国国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 表示:“各类组织越来越依赖云计算为美国人民提供服务,这使得我们必须了解该技术的漏洞”
“云安全是我们一些最关键系统的支柱,从我们的电子商务平台到我们的通信工具再到我们的关键基础设施。”
2023 年 7 月中旬, 微软报告 称,一个被追踪为“Storm-0558”的中国黑客组织使用窃取的微软消费者签名密钥中的伪造身份验证令牌,入侵了包括美国和西欧政府机构在内的 25 个组织的电子邮件帐户。
使用这个被盗的密钥,中国威胁行为者利用 Exchange Online (OWA) 中 Outlook Web Access 的 GetAccessTokenForResource API 函数中的零日漏洞来伪造授权令牌。
这些令牌允许威胁行为者冒充 Azure 帐户并访问众多政府机构和组织的电子邮件帐户,以监控和窃取电子邮件。
在这些攻击之后,微软因没有免费向微软客户提供足够的日志记录而面临很多批评。相反,微软要求客户购买额外的许可证来获取有助于检测这些攻击的日志数据。
在与 CISA 合作确定检测攻击所需的关键日志数据后, Microsoft 宣布 他们现在免费向所有 Microsoft 客户提供该数据。
微软撤销了被盗的签名密钥并修复了 API 缺陷,以防止进一步滥用。尽管如此,他们对该事件的调查 未能准确揭示 黑客最初是如何获取密钥的。
在最初发现漏洞两周后,Wiz 研究人员报告称,Storm-0558 的访问范围比微软之前报道的要广泛得多,包括与微软 OpenID v2.0 一起运行的 Azure AD 应用程序。
Wiz透露 ,中国黑客可能使用泄露的密钥来访问各种微软应用程序以及任何支持微软帐户身份验证的客户应用程序,因此该事件可能不仅限于访问和窃取来自Exchange服务器的电子邮件。
考虑到违规行为的严重性、所需的广泛调查工作以及迄今为止尚无定论的调查结果,美国政府已责成 CSRB 对此案进行全面审查,希望它能够提供见解,为用户、维护者和维护者提供支持。服务提供商应对未来的威胁。
CSRB 过去的审查包括 2021 年Log4j 软件中的一系列影响广泛的 漏洞 以及 Lapsus$ 的活动,Lapsus$ 是一个黑客组织,擅长使用 SIM 交换和社会工程等简单而高效的技术入侵财富 500 强公司。
23 年 8 月 11 日更新:更新了 DOJ 有关涉嫌 Netwalker 勒索软件参与的信息。
警方已经取缔了 Lolek 防弹托管提供商,逮捕了五名个人并没收了涉嫌为 Netwalker 勒索软件攻击和其他恶意活动提供便利的服务器。
防弹托管提供商是一家对其服务器上的犯罪活动或托管受版权保护材料的报告视而不见的托管公司。
与传统公司相比,网络犯罪分子更喜欢这些类型的托管提供商,因为他们可以发起网络犯罪活动,而不必担心在报告恶意活动后他们会被关闭。
周二,28u.cc获悉该平台的 lolekhosted[.]net 网站已被查封,现在显示一条消息,表明波兰和美国之间的国际执法行动查封了该网站。
Lolek 扣押消息中写道:“该域名已被联邦调查局和国税局 – 刑事调查局扣押,作为针对 LOLEK HOSTED 采取的协调执法行动的一部分。”
Lolek 将自己宣传为“100% 隐私托管”服务,并实行无日志政策,这意味着他们不会在其服务器或路由器上记录任何可能用于指控客户的活动。
28u.cc看到的该服务的客户评论称,托管提供商几乎允许任何活动,并且该平台接受 PayPal 和加密货币付款。
虽然联邦调查局和美国国税局本周早些时候拒绝就调查发表评论,但欧洲刑警组织和司法部今天宣布扣押洛莱克并逮捕波兰的五名管理人员。
“本周,波兰中央网络犯罪局 (Centralne Biuro Zwalczania Cyberprzestępczości) 在卡托维兹地区检察官办公室 (Prokuratura Regionalna w Katowicach) 的监督下对 LolekHosted.net 采取了行动,这是犯罪分子用来发动网络攻击的防弹托管服务世界各地,”欧洲刑警组织的 公告中写道。
“五名管理员被捕,所有服务器被查封,导致 LolekHosted.net 不再可用。”
欧洲刑警组织表示,Lolek 被抓获是因为网络犯罪分子利用其服务器发起 DDoS 攻击、分发信息窃取恶意软件、托管命令和控制服务器、托管虚假在线商店以及开展垃圾邮件活动。
然而,美国司法部的一份声明进一步阐明了警方的行动,称一名名叫 Artur Karol Grabowski 的波兰公民昨天因运营 LolekHosted 受到指控。
虽然尚不清楚 Grabowski 是否是在波兰被捕的管理员之一,但司法部表示,他允许客户使用假名注册、频繁更改服务器 IP 地址以及通知客户进行法律调查,从而促进了网络犯罪。
美国司法部还表示,Grabowski 据称通过租赁用于 50 多次攻击的服务器来破坏网络并存储被盗数据和黑客工具,从而协助现已中断的勒索软件操作Netwalker 。
DOJ 声明中写道:“LolekHosted 客户使用其服务对世界各地的受害者执行了大约 50 起 NetWalker 勒索软件攻击,其中包括佛罗里达州中部地区。”
“具体来说,客户在未经授权访问受害者网络时使用 LolekHosted 的服务器作为中介,并存储从受害者那里窃取的黑客工具和数据。”
执法部门于 8 月 8 日在 FBI 和 IRS 牵头的行动中扣押了这家防弹托管提供商的服务器,欧洲刑警组织提供支持,将可用数据与欧盟境内外的各种刑事案件联系起来,并追踪加密货币交易。
格拉博夫斯基现在面临共谋计算机欺诈、共谋电信欺诈和国际洗钱的指控,如果全部罪名成立,可能会被判处 45 年监禁。
随着防弹托管提供商已成为恶意软件传播和网络犯罪的重要组成部分,执法部门一直在积极针对这些平台。
2018 年, 荷兰警方因托管 DDoS 僵尸网络、网络间谍、恶意广告、垃圾邮件和恶意软件操作而查封了 MaxiDed 。从那时起,已有许多人因参与 BPH 服务而被捕[ 1 , 2 ]。
全球工业环境中使用的数百万个 PLC(可编程逻辑控制器)面临 CODESYS V3 软件开发套件中 15 个漏洞的风险,这些漏洞允许远程代码执行 (RCE) 和拒绝服务 (DoS) 攻击。
超过 500 家设备制造商使用 CODESYS V3 SDK 根据 IEC 61131-3 标准对 1,000 多种 PLC 型号进行编程,从而允许用户开发自定义自动化序列。
该 SDK 还提供 Windows 管理界面和模拟器,允许用户在将其部署到生产中之前测试其 PLC 配置和编程。
Microsoft 研究人员发现了CODESYS V3 SDK 中的 15 个缺陷 ,并于 2022 年 9 月向 CODESYS 报告了这些缺陷。该供应商于 2023 年 4 月发布了安全更新来解决已发现的问题。
由于这些设备的性质,它们不会经常更新来解决安全问题,因此微软的安全团队昨天发布了一篇详细的帖子,以提高人们对风险的认识并帮助加快修补速度。
Microsoft 检查了 Schnieder Electric 和 WAGO 的两个使用 CODESYS V3 的 PLC,发现了 15 个高严重性漏洞(CVSS v3:7.5 – 8.8)。
这些缺陷包括:CVE-2022-47378、CVE-2022-47379、CVE-2022-47380、CVE-2022-47381、CVE-2022-47382、CVE-2022-47383、CVE-2022-47384、CVE-2022- 47385、CVE-2022-47386、CVE-2022-47387、CVE 2022-47388、CVE-2022-47389、CVE-2022-47390、CVE-2022-47392、CVE-2022-47393。
主要问题在于 SDK 的标签解码机制,特别是标签在没有验证其大小的情况下被复制到设备缓冲区中,从而为攻击者提供了缓冲区溢出的机会。
这些标签是数据或数据结构的载体,为 PLC 的功能提供关键指令。
缓冲区溢出问题并不是孤立的,微软在 15 个 CODESYS V3 SDK 组件中发现了该问题,包括 CMPTraceMgr、CMPapp、CMPDevice、CMPApp、CMPAppBP、CMPAppForce 和 CMPFileTransfer。
尽管这些缺陷需要身份验证才能利用,但微软表示可以通过使用 CVE-2019-9013来绕过这一要求,CVE-2019-9013 是影响 CODESYS V3 的另一个缺陷,它在传输过程中以明文形式暴露用户凭据,如下所示。
在 15 个案例中的 12 个案例中,微软的分析师能够利用该缺陷在 PLC 上获得远程代码执行。
CODESYS 的 安全公告 列出了以下产品,如果它们运行 3.5.19.0 之前的版本,则无论硬件和操作系统配置如何,它们都会受到影响:
除上述产品外,以下产品在 4.8.0.0 之前的版本中也受到影响:
建议管理员尽快升级到 CODESYS V3 v3.5.19.0,同时微软还建议断开 PLC 和其他关键工业设备与互联网的连接。
正如 28u.cc最先报道的那样,在开源项目 Moq 因悄悄添加数据收集功能而受到严厉批评后,亚马逊 AWS 撤回了与该项目的合作关系。
Moq 是NuGet 软件注册表上广泛分布的库,被发现正在收集其安装的计算机上的开发人员电子邮件地址的哈希值。这始于上周,当时 Moq 的开发人员在没有通知的情况下将其有争议的 SponsorLink 依赖项捆绑在项目中。
Moq 项目的维护者包括 Daniel Cazzulino (kzu) ,本周 Cazzulino 在未事先通知的情况下推出了包含他的 SponsorLink 软件包的4.20 版本后,遭到了严重的抵制 。
包含闭源 SponsorLink 包导致 Moq 从本地 Git 配置中获取开发人员电子邮件地址的 SHA-256 哈希值,并将 其上传到 SponsorLink 的 CDN。
作为回应,一些开发人员要么停止使用 Moq [ 1 , 2 ],转而采用替代方案,要么 建议构建能够检测 和阻止任何运行 SponsorLink 的项目的工具。
有些人更进一步,表示他们将 抵制使用 SponsorLink 的项目 ,甚至将 SponsorLink 作为“恶意软件”向 NuGet 注册表报告 [ 1 , 2 ]。
SponsorLink 之前以混淆的 DLL 形式在 NuGet 上发布,在开源软件用户中引起了强烈反对,他们表示公开该项目的源代码“对于透明度和信任非常重要”。
除了 Moq 或 SponsorLink 是否违反了开源生态系统的预期之外,用户迫切关心的是数据收集是否违反了隐私立法,例如 GDPR [1 , 2 ]。德国法院 此前裁定SHA-256 哈希不足以实现数据匿名化。
开发人员已经回滚了 Moq v4.20.2 中的有争议的更改,称它“破坏了 MacOS 恢复”——这是其他人再次 嘲笑的原因。
尽管开发人员做出了这些修改,但用户仍然怀疑未来的 Moq 版本 可能会重新引入 类似的“功能”。
与许多公司一样,亚马逊 AWS 已与 Moq 保持距离,并停止支持该开源项目。
“我们承认我们过去曾赞助过,”鲍文写道。
“但是,添加 SponsorLink 意味着我们将不再使用此工具,并且不希望在自述文件中突出显示我们的暗示认可。谢谢。”
Moq 开发人员 Cazzulino 对这一请求表示欢迎,并从该项目的自述文件中删除了亚马逊的 AWS 名称:
“正确删除#1383中的整个部分 。应该会自动合并一点,”开发人员回应道。
事实上,根据拉取请求,开发人员已将整个手动编写的“赞助商”列表替换为“自动更新”列表。
我们已联系亚马逊AWS征求意见。本周,当我们联系 BleepingComputer 就此事发表评论时,Cazzulino 没有做出回应。
与此相关的是,根据用户群的持续反馈,开发人员现已将 SponsorLink 项目 开源。
“SponsorLink 的完整 OSS(包括客户端和后端)现在位于src文件夹下的同一存储库中,”Cazzulino 写道。
BleepingComputer 验证了昨天某个时候 SponsorLink 的 GitHub 存储库上提供了“ src ”(源代码)目录:
SponsorLink 的 .NET 实现之前保持闭源背后的原因也得到了修改。
开发人员承认,“提供源代码可能只会让规避这一功能变得微不足道”,该功能将确保用户收到赞助状态通知。
尽管开发人员对 Moq 和 SponsorLink 进行了迫切要求的修改,但这些项目可能需要一段时间才能重新获得开源资深人士的用户信任。
更新,美国东部时间 8 月 11 日中午 12:17:更新了标题并声明亚马逊已与该项目保持距离。
美国政府在分析了 Lapsus$ 勒索组织利用 SIM 交换等简单技术破坏数十个安全态势良好的组织后发布了一份报告。
去年12 月, 在 Lapsus$ 泄露了所谓受害者的专有数据后,发生了一系列归因于或由 Lapsus$ 声称的事件后,对该组织的运作进行了审查 。
受 Lapsus$ 影响的知名公司包括 微软、 思科、 Okta、 Nvidia、 T-Mobile、 三星、 Uber、 沃达丰、 育碧和 Globant。
Lapsus$ 被描述为一个组织松散的团体,主要由青少年组成,成员来自英国和巴西,他们在 2021 年至 2022 年间从事活动,目的是为了恶名、经济利益或娱乐。然而,他们还将各种复杂的技术与“创造力的闪光”结合起来。
美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 完成了分析,并在一份报告中描述了该组织的策略和技术,其中还包括对行业的建议。
“Lapsus$ 采用了其他威胁行为者众所周知且可用的低成本技术,揭示了我们网络基础设施中可能容易受到未来攻击的弱点”——国土安全部网络安全审查委员会。
该组织利用 SIM 卡交换来访问目标公司的内部网络,并窃取源代码、专有技术详细信息或业务和客户相关文档等机密信息。
在 SIM 交换攻击中,威胁行为者通过将受害者的电话号码移植到攻击者拥有的 SIM 卡来窃取受害者的电话号码。该伎俩依赖于社会工程或受害者移动运营商的内部人员。
通过控制受害者的电话号码,攻击者可以接收基于短信的临时代码,以进行登录各种企业服务或破坏企业网络所需的双因素身份验证 (2FA)。
就 Lapsus$ 而言,一些欺诈性 SIM 交换是在劫持员工和承包商的账户后直接通过电信提供商的客户管理工具进行的。
为了获取有关受害者的机密信息(姓名、电话号码、客户专有网络信息),该组织的成员有时会使用欺诈性的 紧急披露请求 (EDR)。
攻击者可以通过冒充合法请求者(例如执法人员)或通过在请求中应用官方徽标来创建虚假 EDR。
Lapsus$ 还依赖目标公司、员工或承包商的内部人员来获取凭据、批准多重身份验证 (MFA) 请求或使用内部访问来帮助威胁行为者。
“在执行欺诈性 SIM 交换后,Lapsus$ 通过登录和帐户恢复工作流程接管了在线帐户,这些工作流程通过短信或语音通话发送一次性链接或 MFA 密码”——国土安全部网络安全审查委员会。
在一个案例中,Lapsus$ 利用对电信提供商的未经授权的访问来尝试破坏与 FBI 和国防部人员相关的手机帐户。
由于对这些帐户实施了额外的安全措施,该尝试未成功。
根据 CSRB 的研究结果,该组织每周支付高达 20,000 美元的费用来访问电信提供商的平台并进行 SIM 卡交换。
尽管 FBI 并不知道 Lapsus$ 出售了他们窃取的数据,也没有发现受害者向该组织支付赎金的证据,但 CSRB 表示,一些安全专家“观察到 Lapsus$ 向组织勒索了一些赎金”。
根据 CSRB 的调查结果,该组织还利用 Microsoft Active Directory 中未修补的漏洞来增加其在受害者网络上的权限。
据估计,Lapsus$ 在高达 60% 的攻击中利用了 Active Directory 安全问题,这表明该组织的成员拥有在网络内部移动的技术技能。
虽然 Lapsus$ 的特点是高效、速度、创造力和大胆,但该组织的攻击并不总是成功。它在实施应用程序或基于令牌的多重身份验证 (MFA) 的环境中失败。
此外,强大的网络入侵检测系统和标记可疑帐户活动可以防止 Lapsus$ 攻击。CSRB 在报告中表示,如果遵循事件响应程序,影响就会“显着减轻” 。
尽管安全研究人员和专家多年来一直谴责使用基于短信的身份验证不安全,但国土安全部的网络安全审查委员会强调,“大多数组织没有准备好阻止”来自 Lapsus$ 或其他采用类似策略的组织的攻击。
委员会关于防止其他行为者未经授权访问内部网络的建议包括:
Lapsus$ 自 2022 年 9 月以来一直保持沉默,可能是由于执法调查导致该组织的几名成员被捕。
去年 3 月,伦敦市警方宣布逮捕了 与 Lapsus$ 有关的 7 名个人。几天后,即 4 月 1 日, 又有两人被捕,一名 16 岁和一名 17 岁。
10 月,在“暗云行动”期间, 巴西联邦警察逮捕了 一名涉嫌 Lapsus$ 勒索组织成员的个人,罪名是破坏该国卫生部的系统。
Fortinet 已发出警报,称 Gafgyt 僵尸网络恶意软件正在积极尝试利用已报废的 Zyxel P660HN-T1A 路由器中的漏洞进行数千次日常攻击。
该恶意软件针对的是 CVE-2017-18368,这是设备远程系统日志转发功能中的一个严重严重性(CVSS v3:9.8)未经身份验证的命令注入漏洞,Zyxel 于 2017 年修复了该漏洞。
合勤科技此前 在 2019 年强调了当时新的 Gafgyt 变种的威胁,敦促仍在使用过时固件版本的用户升级到最新版本,以保护他们的设备免遭接管。
然而,自 2023 年 7 月以来,Fortinet 平均每天仍遭受 7,100 次攻击,并且今天的攻击量仍在持续。
今天发布的新Fortinet 爆发警报中写道:“截至 2023 年 8 月 7 日,FortiGuard 实验室继续发现针对 2017 年漏洞的攻击尝试,并在上个月阻止了数千个独特 IPS 设备的攻击尝试。 ”
目前尚不清楚观察到的攻击尝试中哪些部分导致了成功的感染。然而,自 7 月份以来,活动量一直保持稳定。
CISA 本周还就 CVE-2017-18368 的活跃利用发出警告,并将该缺陷添加到其已知被利用漏洞的目录中。
该网络安全机构现在要求联邦机构在 2023 年 8 月 28 日之前修补 Zyxel 漏洞。
为了应对漏洞利用爆发,Zyxel 更新了安全公告,提醒客户 CVE-2017-18363 仅影响运行固件版本 7.3.15.0 v001/3.40(ULM.0)b31 或更早版本的设备。
运行 2017 年发布的用于修复该缺陷的最新固件版本 3.40(BYF.11) 的 P660HN-T1A 路由器不受这些攻击的影响。
然而,供应商强调该设备已达到使用寿命,不再受支持,因此切换到更新的型号将是明智的选择。
路由器上僵尸网络感染的常见迹象包括连接不稳定、设备过热、配置突然更改、无响应、非典型网络流量、打开新端口以及意外重启。
如果您怀疑受到僵尸网络恶意软件的危害,请执行恢复出厂设置、将设备固件更新到最新版本,并更改默认管理员用户凭据。
此外,它建议您禁用远程管理面板并仅管理来自内部网络的设备。
微软发现 Microsoft Exchange Server 的 8 月份安全更新在非英语安装上会破坏 Exchange,因此已将其从 Windows Update 中撤下。
8 月 8 日,微软在2023 年 8 月补丁星期二期间发布了新的 Exchange Server 安全更新 。
这些安全更新修复了六个漏洞,包括四个远程代码执行漏洞、一个特权提升漏洞以及一个可用于进行 NTLM 中继攻击的欺骗漏洞。
然而,当 Microsoft Exchange 管理员开始在非英语服务器上安装新更新后,他们发现 Exchange Windows 服务不再启动。
IT 架构师 Frank Zoechling 警告说: “显然,该更新无法成功安装在德语操作系统和 Exchange 服务器上。 ”
“安装失败,错误代码为 1603,并留下错误的 Exchange 安装。因此,使用德语的 Exchange 服务器和操作系统的用户暂时不应安装更新。”
此后,微软更新了 2023 年 8 月 Exchange Server 安全更新公告,警告管理员在调查问题时暂时从 Windows 和 Microsoft Update 中删除了该更新。
“我们意识到非英语服务器上的安装问题,并已暂时从 Windows/Microsoft 更新中删除 August SU,” Microsoft解释道。
“如果您使用非英语服务器,我们建议您等待 August SU 的部署,直到我们提供更多信息。”
一篇专门的 支持文章 进一步阐明了该问题,指出该问题是由“Exchange Server 2023 年 8 月 SU 安装程序中的本地化问题”引起的。
微软表示,当你在非英语操作系统上安装 Microsoft Exchange Server 2019 或 2016 安全更新时,安装程序将停止并回滚更改,使 Exchange Server Windows 服务处于禁用状态。
New-ADUser -Name “Network Service” -SurName “Network” -GivenName “Service” -DisplayName “Network Service” -Description “Dummy user to work around the Exchange August SU issues” -UserPrincipalName “网络 服务@$((Get-ADForest).RootDomain) ”
$acl = Get-Acl -Path “HKLM:\SOFTWARE\Microsoft\MSIPC\Server”
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System. Security.Principal.SecurityIdentifier(“S-1-5-20”)), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path “HKLM:\SOFTWARE\Microsoft\MSIPC\Server ” -AclObject $acl
完成这些步骤并重新启动 Exchange 服务器后,Windows 服务应再次正确启动,并且 Exchange 将恢复并运行。
对于运行英语本地化 Windows 的用户,仍然建议下载并安装更新,以免受已公开漏洞的影响。
据观察,一个名为“MoustachedBouncer”的网络间谍组织对 ISP 使用中间对手 (AitM) 攻击来入侵白俄罗斯的外国大使馆。
根据今天发布的 ESET 报告,研究人员观察到了五次不同的活动,据信威胁行为者至少自 2014 年以来就一直活跃,自 2020 年以来在白俄罗斯 ISP 中使用 AitM。
MoustachedBouncer 在此期间使用的两个签名恶意软件框架是自 2014 年以来的“NightClub”和 2020 年推出的“Disco”,用于支持数据盗窃、捕获屏幕截图、录制音频等。
最近用于破坏网络的方法是在 ISP 级别使用中间对手 (AitM) 攻击来欺骗目标 Windows 10 安装,使其假设它位于强制门户后面。
MoustachedBouncer 确认使用的 ISP 是 Beltelecom(国有独资)和 Unitary Enterprise AI(最大的私营)。
ESET 认为,威胁行为者通过破坏 ISP 基础设施或与有权访问白俄罗斯网络服务提供商的实体合作来操纵流量来实现这一目标。
ESET 的报告解释说:“对于 MoustachedBouncer 所针对的 IP 范围,网络流量在 ISP 级别被篡改,后者 URL 重定向到看似合法但虚假的 Windows 更新 URL“updates.microsoft[.]com” 。
“因此,假冒的 Windows 更新页面将在网络连接时向潜在受害者显示。”
当目标 Windows 10 设备连接到网络时,它会将强制门户检查(用于检查设备是否连接到互联网)重定向到虚假的 Windows 更新 HTML 页面。
此页面使用 JavaScript 显示“获取更新”按钮,单击该按钮后会下载虚假的操作系统更新 ZIP 文件。
这个ZIP文件包含一个基于Go的恶意软件,它创建一个每分钟执行一次的计划任务,从看似谷歌云IP地址但很可能只是为了掩护的地方获取另一个可执行文件,即恶意软件加载程序。
MoustachedBouncer 自 2014 年以来使用的恶意软件负载是“NightClub”和“Disco”恶意软件工具包的各个版本,每个新版本都展示了显着的演变。
早期版本以文件监控和 SMTP(电子邮件)渗透以及命令和控制服务器通信为特色,而其作者后来添加了持久性机制和键盘记录器,
黑客在 2020 年至 2022 年期间使用的 NightClub 最新版本具有用于截取屏幕截图、录制音频、键盘记录以及为 C2 通信设置 DNS 隧道后门的新模块。
DNS 后门执行附加命令,为恶意软件提供文件、目录创建、读取和搜索功能以及进程操作功能。
此外,最新的 NightClub 使用硬编码的私有 RSA-2048 密钥来加密其字符串,而其配置存储在外部文件中,使其更具隐蔽性和多功能性。
ESET 无法确定 MoustachedBouncer 用于 NightClub 的感染渠道,因此该方面仍然未知。
Disco 是一种较新的恶意软件框架,通过之前描述的基于 AitM 的攻击链到达受害者,MoustachedBouncer 于 2020 年开始使用该攻击链。
Disco 使用多个基于 Go 的插件来扩展其功能,从而允许恶意软件:
Disco 还使用 SMB(服务器消息块)共享进行数据泄露,该协议主要用于共享访问文件、打印机和串行端口,因此不会直接传输到 C2 服务器。
MoustchedBouncer 的 C2 基础设施无法直接从公共互联网访问,这有效地将其隐藏起来,不让安全研究人员发现,并保护其免遭攻击。
ESET 建议驻白俄罗斯的外交官和大使馆员工在访问互联网时使用端到端加密 VPN 隧道来阻止 AiTM 攻击。
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
