网络空间对抗资讯快报

1、国防巨头埃尔比特公司证实遭勒索软件团伙入侵

以色列国防巨头埃尔比特系统公司(Elbit Systems)的子公司美国埃尔比特系统公司(Elbit Systems of America)证实，该公司的数据遭到了泄露。几个月前，一个勒索软件团伙声称入侵了该公司的系统。这家总部位于得克萨斯州沃斯堡的公司在发给缅因州总检察长办公室的通知中说，黑客入侵发生在6月8日，当天就被发现了。只有369人受到影响。代表埃尔比特公司的一家律师事务所向受影响的客户发出通知称，该公司在注意到其网络上的异常活动后发现了漏洞。该网络立即被关闭，并采取措施保护了现场环境。在一家网络安全公司的协助下的调查显示，攻击者可能已经获得了属于某些员工的信息，包括姓名、地址、社保号、出生日期、直接存款信息和种族。该公司表示，受影响的个人已于7月收到通知，并提供12个月的免费身份保护和信用监控服务。美国埃尔比特系统公司提供国防、商业航空、国土安全、医疗仪器、执法以及维护和支持解决方案。Black Basta勒索软件团伙在6月底宣布对美国埃尔比特系统公司进行黑客攻击。该组织位于托尔的泄露网站显示，从埃尔比特公司窃取的所有文件都已公开，这表明该国防公司拒绝了支付黑客赎金的要求。

2、美参议员推动改革警方的手机追踪工具

民权律师和民主党参议员正在推动立法，限制美国执法机构购买手机追踪工具跟踪人们行踪的能力，包括追踪几年前的行踪，有时甚至是在没有搜查证的情况下。美联社(the Associated Press)在本月早些时候发表的一项调查中提出的有关警方使用名为“迷雾揭示”(Fog Reveal)工具的担忧，也在三周前的联邦贸易委员会(Federal Trade Commission)听证会上浮出水面。根据有关该公司的数千页记录，警方一直在使用该平台搜索从2.5亿台移动设备收集的数千亿记录，并收集人们的地理位置数据，以组合所谓的“生活模式”。Fog Reveal由总部位于弗吉尼亚州的Fog Data Science LLC出售，至少从2018年起就被用于刑事调查，从阿肯色州一名护士被谋杀，到追踪1月6日国会大厦暴动的潜在参与者的活动。在法庭记录中很少提及这种工具，辩护律师说，这使得他们更难在使用这种技术的案件中为当事人进行恰当的辩护。“美国人越来越意识到，他们的隐私正在他们眼前蒸发，现实世界的影响可能是毁灭性的。今天，我们都听说过的公司，以及我们完全不知道的公司，正在收集关于我们去哪里、做什么以及我们是谁的大量数据，”马萨诸塞州民主党参议员埃德·马基(Ed Markey)说。参加联邦贸易委员会听证会的小组成员和公众成员还对流行应用程序生成的数据如何被用于监视目的提出了担忧，或者“在某些情况下，被用于推测身份，对现实世界中的人造成直接伤害，并被重新用于执法和国家安全目的，如前面提到的，”隐私未来论坛(Future of Privacy Forum)美国项目高级主管斯泰西·格雷(Stacey Gray)说。联邦贸易委员会拒绝就Fog Reveal发表具体评论。

3、黑客使用PowerPoint文件进行“鼠标悬停”攻击投递恶意软件

据信为俄罗斯工作的黑客已经开始使用一种新的代码执行技术，该技术依赖于Microsoft PowerPoint演示文稿中的鼠标移动来触发恶意PowerShell脚本。恶意代码不需要恶意宏来执行和下载有效负载，从而进行更隐蔽的攻击。来自威胁情报公司Cluster25的一份报告称，俄罗斯GRU（俄罗斯总参谋部主要情报局）的威胁组织APT28（又名“Fancy Bear”）最近使用了这种新技术来传播Graphite恶意软件。威胁行为者使用PowerPoint (.PPT) 文件引诱目标，该文件据称与经济合作与发展组织 (OECD) 相关，该组织是一个致力于刺激全球经济进步和贸易的政府间组织。在PPT文件中有两张幻灯片，均以英文和法文提供了使用Zoom视频会议应用程序中的解释选项的说明。PPT文件包含一个超链接，用作使用S syncAppvPublishingServer实用程序启动恶意PowerShell脚本的触发器。自 2017年6月以来，该技术已被记录在案。多名研究人员当时解释了感染是如何在没有嵌套在Office文档中的恶意宏的情况下进行的。根据发现的元数据，Cluster25表示，攻击中使用的UR在8月和9月似乎很活跃。当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时，会激活恶意PowerShell脚本以从Microsoft OneDrive帐户下载 JPEG文件（“DSC0002.jpeg”）。该JPEG是一个加密DLL 的文件 ( lmapi2.dll )，它被解密并放在“C:\ProgramData\”目录中，稍后通过rundll32.exe执行。还为DLL 创建了一个用于持久性的注册表项。最终是生成的有效负载是可移植可执行 (PE)形式的Graphite恶意软件。

4、新的Erbium口令窃取恶意软件随着游戏破解、作弊而传播

新的“Erbium”信息窃取恶意软件正在作为流行视频游戏的虚假破解和作弊程序分发，以窃取受害者的凭据和加密货币钱包。Erbium是一种新的恶意软件即服务(MaaS)，它为订阅者提供了一种新的信息窃取恶意软件，由于其广泛的功能、客户支持和有竞争力的价格，该恶意软件在网络犯罪社区中越来越受欢迎。本月早些时候，Cluster25团队的研究人员率先报道了Erbium，但Cyfirma的一份新报告分享了有关口令窃取木马如何分发的更多信息。与该领域“事实上的”选择RedLine窃取器相比，Erbium的成本大约是三分之一，因此它旨在扰乱威胁参与者常用的恶意软件市场。与其他信息窃取恶意软件一样，Erbium将窃取存储在网络浏览器（基于Chromium或Gecko）中的数据，例如口令、cookie、信用卡和自动填充信息。该恶意软件还试图从作为扩展安装在网络浏览器上的大量加密货币钱包中窃取数据。Erbium还从Trezor口令管理器、EOS Authenticator、Authy 2FA和Authenticator 2FA窃取两因素验证码。虽然Erbium仍在进行中，但黑客论坛上的用户对作者的努力和倾听客户请求的意愿表示赞赏。Cluster25报告了全球范围内的Erbium感染迹象，包括美国、法国、哥伦比亚、西班牙、意大利、印度、越南和马来西亚。

5、全球公司每天处理51起安全事件

根据Trellix的一份新报告，安全运营(SecOps)团队每天都在努力应对数十起网络安全事件。这家安全供应商对来自 15个市场的500多名员工的组织的9000名安全决策者进行了调查，以编制其最新研究报告，即XDR：重新定义网络安全的未来。调查发现，平均SecOps团队每天必须管理51起事件，36%的受访者声称他们每天要处理50到200起事件。约一半(46%)同意他们“被永无止境的网络攻击所淹没”。该研究称，部分问题在于安全、检测和响应系统的孤立性质。大约60%的受访者认为，产品集成度差意味着团队无法高效工作，而三分之一(34%)的受访者承认他们存在盲点。因此，60% 的人承认他们无法跟上安全威胁的快速发展步伐，这也许不足为奇。这可能会对底线产生重大影响。Trellix采访的绝大多数(84%)安全决策者估计，他们的组织在过去一年因安全漏洞损失了高达10%的收入。中型企业（收入50至1亿美元）平均损失8%的收入，而营业额为100亿至250亿美元的大型企业则为5%。这可能意味着由于 SecOps不足，每年都会浪费数亿美元。单独的研究强调了这可能对SecOps分析师造成的身心伤害。趋势科技去年的一份报告称，70%的急救人员在工作之外感到压力很大，以至于他们无法关闭或放松，并且对朋友和家人感到烦躁。更糟糕的是，这种压力导致威胁检测和响应的结果不佳。在SOC或IT安全部门，许多受访者承认关闭警报(43%)、离开计算机(43%)、希望其他团队成员介入(50%)或完全忽略警报(40%)。

6、TikTok面临2700万英镑的英国监管罚款

英国隐私监管机构宣布有意对违反该国数据保护法的TikTok处以2700万英镑的罚款。信息专员办公室(ICO)向这家中国社交网络巨头发出了一份“意向通知”，解释说它认为TikTok在2018年至2020年期间违反了法律。ICO的临时调查结果表明，TikTok可能有：未经“适当”父母同意处理13岁以下儿童的数据；未能“以简洁、透明和易于理解的方式”向用户提供信息；在没有法律依据的情况下处理特殊类别数据——包括种族和种族、遗传、健康和生物特征数据等。信息专员约翰爱德华兹认为，TikTok没有履行保护其最年轻用户隐私的法律义务。“我很清楚，我们更好地保护在线儿童的工作涉及与组织合作，但也会在必要时涉及执法行动，”他补充道。“除此之外，我们目前正在调查 50多种不同的在线服务如何符合儿童守则，并正在进行六项调查，调查提供数字服务的公司，在我们最初的看法中，这些公司没有承担起儿童安全方面的责任。”然而，这里最大的警告是这些发现是临时的。TikTok现在有权向监管机构提出自己的陈述，之后将做出最终决定。从历史上看，万豪国际和英国航空公司等大型组织已经设法显着降低了类似“意向通知”文件中最初规定的罚款金额。评论员过去曾辩称，像ICO这样的GDPR监管机构经常被财力雄厚、律师更好和技术专业知识更多的公司击败，尤其是在科技领域。

7、NASA约翰逊航天中心专注于与行业合作以刺激创新

NASA约翰逊航天中心首席技术官称，美国宇航局约翰逊航天中心希望进一步加强与工业界的合作伙伴关系，并将早期新兴技术嵌入到阿尔忒弥斯等项目的载人太空探索工作中。在接受FedScoop采访时，Nick Skytland强调了他的团队为开发复杂的尖端技术所采取的方法，这些技术可能使在月球上着陆和可持续生活成为可能，并表示这同样适用于 IT。“有相当多的重叠，”同时也是该中心业务发展和技术集成办公室主任的Skytland说。“我们的想法是：IT如何全面实现使命？”Artemis计划旨在让第一位女性和有色人种登上月球，并为2024年的火星任务奠定基础，这不仅需要新的探索技术，还需要IT。与长期依赖政府支持创新的航空和国防等其他部门一样，航天局现在也考虑到其在培育商业航天产业方面的作用。与合作伙伴合作以确保为新型宇航服或高级软件或硬件提供多种选择可能被视为胜利。“我们不再仅仅通过NASA的预算来衡量我们的成功，而是通过总体空间经济及其增长来衡量我们的成功，” Skytland告诉FedScoop。

8、46%的勒索软件攻击发生在美国

根据网络安全公司NordLocker的最新研究，美国公司受勒索软件的影响最大，46%的勒索软件攻击都发生在那里。但究竟谁是目标？研究发现，在确定的18个行业中，建筑业占所有攻击的12%。接下来最有可能受到打击的是制造业（9.6%）、交通运输（8.2%）、医疗保健（7.8%）和科技/IT（7.6%）。“勒索软件团伙通常根据两个标准来决定他们的下一个目标是谁。第一个是目标公司付款的可能性有多大，这是通过查看公司在供应链中的重要性、机密信息的数量等变量来衡量的。它处理的，以及其他因素，在发生攻击的情况下，会给公司施加压力以恢复运营。第二个标准更直接，主要涉及公司财力的深度和网络的缺乏程度。保护他们的业务，”NordLocker的首席技术官Tomas Smalakys说。“当你通过这个镜头查看数据时，你就会明白为什么某些行业比其他行业受到的影响更大。”机构规模也很重要。在美国，微型和小型企业（最多200名员工）的风险最高，占所有攻击的近三分之二（65.8%）。员工人数在51-200人之间的公司是28.9%的攻击的受害者，而员工人数在11-50人之间的公司是22.4%的勒索软件黑客攻击的受害者，而员工人数在201-500人之间的公司是15.6%的攻击的受害者。在其他调查结果中，5.4%的勒索软件攻击针对公共部门机构，包括一个主要城市的警察局和几个县办事处。您居住的地方也可以有所作为，密歇根州受勒索软件的影响最大，而密苏里州受勒索软件的影响最小。

9、 英国公用事业服务提供商Fulcrum提醒市场注意网络事件

英国多功能基础设施和服务提供商Fulcrum在检测到未经授权的活动后，于9月27日向市场通报了其网络上的网络安全事件。7月，英国国家网络安全中心针对俄罗斯入侵乌克兰发出了更高的威胁警告，建议公司在加强系统安全时为“长期”做好准备。Fulcrum表示，在未经授权的事件期间，其大部分现场操作能够继续进行，但“管理和系统信息的访问和可见性受到限制，并且正在努力改善这一点并评估对业务的影响（如果有的话）。”在事件中没有数据被破坏或访问，事件已经停止并且该集团的IT系统安全地恢复了。没有关于违规来源的信息。“在得知这一活动后，Fulcrum立即实施了其事件响应计划，聘请了外部IT专家并采取了预防措施，包括启动IT基础设施中断，”它说。该公司表示，它知道最近发生了影响其他业务的类似网络安全事件，“董事会将在适当的时候提供进一步的更新。”Fulcrum总部位于谢菲尔德。它为工业和商业企业设计、建造、拥有和维护跨电力、天然气和水行业的公用事业基础设施，包括高达132 kV的高压电力基础设施、太阳能和风电场连接以及天然气基础设施。S&P Global Commodity Insights 数据显示，9月26日，Platts评估英国提前一个月基荷电力价格为276.70英镑/兆瓦时，自本月初以来下跌43%。S&P Global的能源安全哨兵显示，自乌克兰战争开始以来，冲突地区已发生46起安全事件和对能源和商品基础设施的袭击。

10、欧安组织驻波黑代表团关于最近波黑议会遭到网络攻击的声明

萨拉热窝，2022年9月27日——欧安组织驻波黑代表团发现，最近对波黑议会大会的网络攻击既说明了波黑关键ICT系统的脆弱性，也说明了解决网络安全漏洞的紧迫性。这种攻击已经危及立法工作的透明度和信息的可及性。随着选举的临近，提高网络弹性和制定内部战略以加强立法机关的网络安全对于PA即将完成的任务和改革工作至关重要。现在也是主管机构为波黑机构启用计算机应急响应小组(CERT)、为波黑联邦机构建立CERT并为波黑制定网络安全框架战略的时候了。如果没有这些早该进行的系统性改进，政府ICT系统将仍然很容易受到可能针对关键基础设施和关键服务提供商的网络攻击。