网络空间安全对抗资讯速递
1、美国能源部斥资3300万美元资助人工智能在离子体和热核聚变研究中的应用
美国能源部(DoE)将向能够在核聚变行业使用人工智能和机器学习的研究人员提供3300万美元的资助。该项目的目的是迫使人工智能加速美国能源部多个实验中使用的聚变能和等离子体物理学的分析和模拟。原子能机构正在寻求在这个方向上应用AI/ML的建议,特别关注可以在未来几十年内支持试点聚变设施开发的方法。DOE科学家认为,AI/ML可以通过从这些实验生成的大型数据集中提取以前被忽视的信息并改进聚变系统模型,从而彻底改变该领域。在接下来的3年中,能源部每年为这些研究投资1100万美元。美国能源部计划资助6到10个项目,并将资金上限限制在100到250万美元。该机构指出,根据授予的经费数量,实际金额可能要少得多。提交初步拨款申请的截止日期为1 月31日,正式申请必须在3月1 日之前提交。
2、高级恶意软件下载器GuLoader实现了新的规避技术
CrowdStrike研究人员详细介绍了由名为GuLoader(又名CloudEyE)的高级恶意软件下载器实施的多种规避技术。GuLoader使用多态shellcode加载器来避免传统的安全解决方案,专家们为恶意代码使用的每个API映射了所有嵌入的DJB2哈希值。该恶意软件使用反分析技术来避免在虚拟化环境中执行。研究人员称,“在剖析GuLoader的shellcode时,CrowdStrike揭示了一种新的反分析技术,旨在通过扫描整个进程内存中任何与虚拟机(VM)相关的字符串来检测恶意软件是否在恶意环境中运行。”“新的冗余代码注入机制意味着通过使用内联汇编绕过安全解决方案的用户模式挂钩来确保代码执行。”GuLoader于2019年首次出现在威胁领域,威胁参与者使用它下载多个远程访问木马(RAT),例如AgentTesla、FormBook、Nanocore、NETWIRE和Parallax RAT。
3、严重的Linux内核漏洞影响启用了ksmbd的SMB服务器
一个严重的Linux内核漏洞(CVE-2022-47939,CVSS得分为10)使启用了ksmbd的SMB服务器暴露给黑客攻击。KSMBD是一个Linux内核服务器,它在内核空间实现SMB3协议,用于通过网络共享文件。未经身份验证的远程攻击者可以在易受攻击的Linux内核安装上执行任意代码。此漏洞允许远程攻击者在受影响的Linux内核安装上执行任意代码。利用此漏洞不需要身份验证,但只有启用了ksmbd的系统才容易受到攻击。特定缺陷存在于SMB2_TREE_DISCONNECT命令的处理过程中。Thales Group的Thalium团队的研究人员Arnaud Gatignol、Quentin Minster、Florent Saudel和Guillaume Teissier于2022年7月26日发现了该漏洞。2022年12月22日该漏洞公开披露。
4、已发现了4个基于解密的Conti源代码的新勒索软件
Cyble Research and Intelligence Labs(CRIL)发现了新的勒索软件Putin Team、ScareCrow、BlueSky和Meow,它们基于今年泄露的Conti勒索软件的源代码。Putin Team使用ChaCha20加密算法,由于加密过程快,被勒索软件团伙广泛使用。文件加密后,将添加“.PUTIN”扩展名。赎金记录通常位于每个文件夹的“README.txt”文件中,其中包含指向Telegram 的链接、受害者的ID以及解密文件的进一步说明。目前已经确定了两名受害者。ScareCrow以类似的方式工作:它加密文件并添加“.CROW”作为扩展名。他们的赎金记录包含黑客的3个Telegram 联系人,受害者可以通过这些联系人联系网络罪犯。BlueSky于2022年下半年开始运营,与勒索软件Conti和Babuk大致相同。加密文件的扩展名为“.BLUESKY”。该组织使用洋葱网站与受害者进行进一步谈判。Meow是最近的一个。她在加密文件中添加了“.MEOW”扩展名,勒索信中包含4个电子邮件地址和2个用于联系黑客的Telegram联系人。研究人员建议进行定期备份,启用自动软件更新,并避免任何不受信任的链接。
5、新的信息窃取程序通过虚假的PrivateLoader网站感染设备
新的RisePro信息窃取程序正在通过PPI服务(按安装付费)PrivateLoader管理的虚假站点进行传播 。RisePro窃取受害者的信用卡、密码和加密钱包。该恶意软件是由Flashpoint和Sekoia的分析师发现的 ,两家公司都确认RisePro是一种以前未记录的信息窃取工具,现在通过伪造的破解程序和密钥生成器传播。Flashpoint报告称,攻击者已经开始在俄罗斯暗网市场上出售数千份RisePro日志。RisePro目前可以通过Telegram购买,用户还可以通过Telegram与开发者和受感染的主机进行交互。
6、以色列执法人员放任攻击者控制监控摄像头
当地媒体指责以色列官员不作为。据记者称,情报机构知道Moses Staff组织控制了数十台摄像机,但没有采取任何行动,而攻击者在他们的Telegram上发布了以色列国防承包商Rafael在海法的工厂周围的视频片段,以及来自整个耶路撒冷和特拉维夫的摄像机。上个月,攻击者公布了在耶路撒冷发生的一起造成两人死亡的恐怖袭击事件的镜头。这一事件被一个大型安全组织的监控摄像头拍摄了下来。长期以来,黑客已经完全控制了摄像头。即使是现在,也不知道相机是否受到保护。执法人员否认所有指控,称该组织发布的所有视频都是用民用摄像机拍摄的。
7、英国推数据改革法案试图取代GDPR
英国正在寻求摆脱2018年5月生效的欧盟通用数据保护条例(GDPR)。2022年5月,英国政府提出了一项新法案,以彻底改革现行制度,借鉴应用2018年数据保护法、GDPR和欧盟电子隐私指令、隐私和电子通信条例(PECR)。拟议的法案,正式命名为数据保护和数字信息法案,并被称为“数据改革法案”(DRB),在7月和9月在下议院进行了一读,然后在修改中。如果通过,DRB将对当前的英国GDPR进行一些更改。其中包括对个人数据范围的限制;为合法利益调整个人数据的使用,以简化科学研究和公共部门的数据使用和共享;将数据保护影响评估 (DPIA)重新定义为“高风险处理评估”;将当前拒绝主题访问请求(SAR)或收取合理费用的门槛从“明显没有根据或过度”更改为“无理取闹或过度”。任命一名数据保护官(DPO 的要求也将被任命一名合适的高级负责人(SRI)的要求所取代,以负责其组织内的数据保护风险或将该任务委托给具有适当技能的个人。政府预计这些变化将在10年内为企业节省超过10亿英镑。
8、美国Comcast电信公司发生客户数据泄露
几天前,Comcast因大幅提高服务价格而登上新闻头条,以至于其许多客户根本没有准备好接受惊喜。现在,有报道称,这家位于宾夕法尼亚州的数字服务提供商的数据库遭到网络攻击,导致数据泄露,从而将详细信息泄露给黑客。据报道,这次攻击发生在2022年12月9日(可能),当时大多数IT员工都在休长假或即将享受节日假期。从细节上看,Xfinity电子邮件用户开始收到他们的帐户信息已更改的电子邮件警报。当他们试图访问该帐户时,由于密码已更改,他们的尝试失败了。在向工作人员报告事件后,用户发现在他们不知情的情况下,一个辅助电子邮件地址链接到了他们的账户。互联网服务提供商的安全分析师表示,攻击可能是通过凭据填充发生的,截至目前,康卡斯特的业务子公司Xfinity已确认凭据已被泄露。
9、俄罗斯数据泄露的罚款金额最高可达5亿卢布
据生意人报了解,数字发展部法律草案规定的个人数据泄露营业额罚款上限为5亿卢布,下限为500万卢布。专家认为,罚款将促使企业增加安全措施,但市场参与者警告说,该举措可能导致俄罗斯企业“分裂”,例如,为了减少应税收入而分成区域部门。消息人士告诉生意人报,数字发展部已经敲定了一项针对公司泄露个人数据的营业额罚款的法案。熟悉文件最终版本的Kommersant的对话者澄清说,该法案当前版本的罚款金额在500万至5亿卢布之间。他解释说,如果公司在法律生效后再次泄露数据并违反多项监管要求,例如试图隐瞒事件,则提供“上限”。Kommersant的对话者说,在这个范围内,罚款将根据发现事件的前一年的公司收入金额计算。如果获得通过,该倡议应于2023年9月生效。数字发展部没有回答“生意人报”的置评。
