网络空间安全对抗资讯速递
1、俄罗斯政府批准了网络安全文化发展的概念
俄罗斯总理米哈伊尔·米舒斯京签署了一项关于批准俄罗斯信息安全文化形成和发展概念的法令。该文件发布在官方信息安全门户网站上。该概念将信息安全威胁定义为信息泄露、未经授权访问资源(从技术角度),以及数字空间中的欺凌、虚假和恶意内容的传播(从心理学角度)。国家政策在提升信息安全文化方面的战略目标是培养公民应对网络威胁的技能,提高网络素养的整体水平。根据该文件,计划定期监测公民的文化水平,向他们传达有关不遵守网络卫生规则的可能后果的信息,并增强他们“对数字服务,包括公共服务”的信心。该概念特别关注与18岁以下和45岁以上的公民一起工作,作为“最脆弱的类别”。此外,它有望提高官员的网络素养。该概念指出,在与官员合作时,应特别强调应对网络威胁的实用技能。
2、FBI建议用户安装广告拦截器
新年假期前夕,FBI发布了用户指南,以帮助避免互联网上的欺诈计划。除其他外,该局的专家建议用户安装广告拦截器。该部门网站上的消息中说明了这一点。专家称,黑客利用广告进行网络钓鱼以及窃取个人数据和银行信息。诈骗者经常将他们的网站冒充为品牌制造商的门户网站并加以利用。FBI建议个人采取以下预防措施:在点击广告之前,请检查URL以确保该网站是真实的。恶意域名可能与预期的URL相似,但有拼写错误或放错了字母。与其搜索企业或金融机构,不如将企业的URL输入互联网浏览器的地址栏以直接访问官方网站。执行互联网搜索时使用广告拦截扩展程序。大多数互联网浏览器允许用户添加扩展,包括阻止广告的扩展。这些广告拦截器可以在浏览器中打开和关闭,以允许某些网站上的广告同时阻止其他网站上的广告。FBI建议企业采取以下预防措施:使用域保护服务在注册类似域时通知企业以防止域欺骗;向用户宣传欺骗性网站以及确认目标URL正确的重要性;教育用户在哪里可以找到企业提供的程序的合法下载。
3、新的信息窃取恶意软件通过虚假破解站点感染软件盗版者
一种名为“RisePro”的新型信息窃取恶意软件正在通过由PrivateLoader按安装付费(PPI)恶意软件分发服务运营的虚假破解站点进行分发。RisePro旨在帮助攻击者从受感染的设备中窃取受害者的信用卡、口令和加密钱包。本周Flashpoint和Sekoia的分析师发现了该恶意软件,两家网络安全公司都确认RisePro是一个以前未记录的信息窃取程序,现在通过假软件破解和密钥生成器进行分发。Flashpoint报告称,威胁行为者已经开始在俄罗斯暗网市场上出售数以千计的RisePro 志(从受感染设备窃取的数据包)。Sekoia现PrivateLoader 和RisePro之间存在广泛的代码相似性,这表明恶意软件分发平台现在可能正在传播自己的信息窃取程序,无论是为自身还是作为服务。目前,RisePro可以通过Telegram购买,用户还可以与开发者和受感染的主机(Telegram bot)进行交互。
4、视频会议的担忧与日俱增,中小型企业成为网络攻击的目标
鉴于视频会议现在在企业如何与员工、客户、客户、供应商和其他人互动方面发挥着关键作用,这些平台存在重大的潜在安全风险。组织使用视频会议讨论并购、法律、军事、医疗保健、知识产权和其他主题,甚至企业战略。丢失这些数据对公司、其员工、客户和客户来说可能是灾难性的。Aite-Novarica Group最近一份关于视频会议安全的报告显示,93%的受访IT专业人员承认他们的视频会议解决方案存在安全漏洞和巨大风险。最相关的风险之一是缺乏对对话的受控访问,这可能导致中断、破坏、损害或敏感信息的泄露,而使用不安全、过时或未打补丁的视频会议应用程序可能会暴露安全漏洞。远程工作者使用视频会议软件很容易成为各种类型攻击的目标。例如,在大流行期间的第一次在家工作浪潮之后, “Zoom-bombing”和其他攻击脱颖而出。
5、英国网络部队招募IT和俄语专家
英国国家网络部队(NCF)正在招募专家对其他国家进行黑客攻击。《泰晤士报》于12月21日援引情报部门副司令汤姆·科平格-西姆斯中将的话报道了这一消息。正如报道所写,所有NCF计划涉及大约3000名IT专家。了解Python、C++、Java、JavaScript、Rust等编程语言者优先。此外,特勤局还招募具有数学和精密科学知识并拥有“英语、俄语和阿拉伯语教育文凭”的思维奇特的人。国家网络部队于2020 年11月成立。NCF由武装部队、安全部门、政府通信中心(GCHQ)和国防科学技术实验室(DSTL)组成,受单一指挥。NCF的主要伤是时任英国首相鲍里斯·约翰逊呼吁反对网络领域的恶意行为。泰晤士报还指出,私人IT专家已经帮助英国击退了对乌克兰当局的网络攻击。该计划的成本达635万英镑(770万美元)。
6、HP报告称隐藏在压缩文档中的恶意软件居首位
HP Inc.发布了2022年第三季度的HP Wolf安全威胁洞察报告,该报告显示ZIP和RAR文件等存档文件格式是恶意软件扩散的最常见文件类型。这是三年来它们的性能首次超过Office文件。报告的结果基于对真实网络攻击的分析。惠普如何帮助企业跟上网络犯罪分子使用的最新攻击技术。该研究基于来自数百万运行HP Wolf Security的终端设备的匿名使用数据。它发现44%的恶意软件包含在存档文件中——比上一季度增加了11%。32%是通过Microsoft Word、Excel和PowerPoint等Office文件分发的。当前的报告确定了几个将存档文件的使用与新的HTML走私技术相结合的活动。在这里,网络罪犯将恶意存档文件嵌入到HTML文件中,并绕过电子邮件网关发起攻击。
7、4亿Twitter用户数据待售
一个威胁行为者声称他们已经获得了400,000,000名Twitter用户的数据并将其出售。卖家声称该数据库是私人的,他提供了1,000个帐户的样本作为证明,其中包括Donald Trump JR、Brian Krebs等知名用户的私人信息。卖家是名为Ryushi的数据泄露论坛的成员,声称数据是通过漏洞抓取的,其中包括名人、政客、公司、普通用户的电子邮件和电话号码,以及大量OG和特殊用户名。卖家还邀请Twitter和Elon Musk购买数据以避免GDPR诉讼。卖家还宣布此次销售由Breached论坛管理员(pompompurin )提供的托管服务涵盖。周五,爱尔兰数据保护委员会就8月份的数据泄露事件对Twitter展开调查,据报道,该事件影响了540万Twitter用户。“数据越来越有可能是有效的,并且可能是从API漏洞中获得的,使威胁行为者能够查询任何电子邮件/电话并检索Twitter个人资料,这与我最初在2021年报告的Facebook 5.33亿数据库导致Meta被罚款2.75亿美元。” 威胁情报公司Hudson Rock的联合创始人Alon Gal解释说。
8、专家在ZyXEL LTE3301 M209路由器中发现后门凭据
安全研究员ReSolver宣布在ZyXEL LTE3301-M209 LTE室内路由器中发现了硬编码凭据(CVE-2022-40602)。在之前的研究中,专家在 D-Link DWR-921中发现了一个Telnet后门,该后门也存在于ZyXEL LTE3301-M209中。研究人员分析了Commander ELF,重点关注D-Link路由器中包含后门的amit*函数。“固件基本上是3个部分的组合,LZMA部分是内核,0x148CD6是root-fs,0x90BD36是www内容。” 专家写道。“在最后一个Squashfs中,有一个[censored]文件,它在0x10处包含Zlib魔术字节。”尽管他没有找到Telnet凭据,但他在 webUI中发现了一个看起来像后门的东西。“和以前一样,解压config.dat将包含telnet登录密码”专家说。“让我们把事情放在一起:在ZyXEL LTE3301上,我们有两种方式拥有该设备:webUI 凭据 –> 用户名/WebUIFakePassword;telnet 凭据–>root/TelnetFakePassword。受影响设备的所有者必须尽快使用最新的固件版本对其进行升级。2022年11月22日:ZyXEL的安全公告发布。已发布固件修复程序。
9、黑客正在利用WordPress礼品卡插件中的漏洞
黑客正积极针对YITH WooCommerce Gift Cards Premium中的一个严重缺陷,这是一个在50,000多个网站上使用的WordPress插件。YITH WooCommerce礼品卡高级版是网站运营商在其在线商店中销售礼品卡的插件。利用此漏洞,跟踪为CVE-2022-45359 (CVSS v3:9.8),允许未经身份验证的攻击者将文件上传到易受攻击的站点,包括提供对该站点的完全访问权限的Web shell。CVE-2022-45359于 2022年11月22 日向公众披露,影响3.19.0 之前的所有插件版本。解决该问题的安全更新版本为3.20.0,而供应商目前已经发布了 3.21.0,这是推荐的升级目标。不幸的是,许多网站仍在使用旧的、易受攻击的版本,并且黑客已经设计出有效的漏洞来攻击它们。据 Wordfence的WordPress安全专家称,野外利用正在大量进行,黑客利用该漏洞在网站上上传后门,获取远程代码执行,并进行接管攻击。建议使用YITH WooCommerce Gift Cards Premium插件的用户尽快升级到3.21版本。
