网络空间对抗资讯快报

白宫网络备忘录强制供应商证明软件符合安全标准

白宫当地时间9月14日发布的一份新备忘录（https://www.whitehouse.gov/wp-content/uploads/2022/09/M-22-18.pdf），联邦机构在将其软件部署到政府系统之前，必须获得软件提供商的自我认证。根据该指南，联邦部门必须确保部署的所有第三方IT软件都符合美国国家标准与技术研究院供应链安全要求，并从供应商处获得符合性证明。这份备忘录代表了白宫最新的政策举措，因为行政部门正在努力迅速提高联邦机构的网络安全标准。FedScoop此前报道了即将发布的指南的细节，这引起了科技行业领导者的关注。自2021年5月发布网络安全行政命令以来，拜登政府推出了一系列新措施，以确保各机构实现网络防御现代化并实施零信任架构。今年6月，FedScoop调查的行业高管表示强烈希望白宫遵循五角大楼陷入困境的网络安全成熟度模型认证的要求，而不是第三方验证程序。根据管理和预算办公室的新备忘录，联邦机构必须在90天内清点所有软件，并为关键软件创建单独的清单。在备忘录发布的120天内，各机构还必须制定一致的流程来传达相关要求并收集软件供应商的证明信。OMB将执行新指南并管理实施时间范围内的延期请求。它还将与网络安全和基础设施安全局以及总务管理局合作，为软件证明和工件的中央存储库建立要求。

伊朗黑客网络钓鱼攻击新套路-多角色模拟

一个与伊朗结盟的黑客组织使用一种新的、精心设计的网络钓鱼技术，他们使用多个角色和电子邮件帐户来诱使目标认为这是一个真实的电子邮件对话。攻击者向目标发送一封电子邮件，同时抄送他们控制的另一个电子邮件地址，然后从该电子邮件中回复，进行虚假对话。Proofpoint的研究人员首次注意到它，将其命名为“多角色模拟”（MPI），该技术利用“社会证明”的心理学原理来掩盖逻辑思维，并为网络钓鱼线程添加可信度元素。TA453是一个伊朗威胁组织，据信在IRGC（伊斯兰革命卫队）内部开展活动，此前曾有人看到该组织冒充记者以针对中东的学者和政策专家。TA453的新策略需要他们付出更多努力才能进行网络钓鱼攻击，因为每个目标都需要陷入由假人物或袜子木偶进行的精心制作的真实对话中。然而，额外的努力得到了回报，因为它创建了一个看起来逼真的电子邮件交流，这使得对话看起来合法。Proofpoint报告中共享的一个示例 可追溯到2022年6月，发件人伪装成FRPI的研究主任，电子邮件发送给目标，并抄送了PEW研究中心的全球态度研究主任。第二天，冒充的PEW主任回答了FRPI主任发来的问题，制造了一种诚实对话的虚假感觉，会诱使目标点击或下载。恶意载荷通过OneDrive链接下载，下载文件受口令保护，通过嵌入文件中的宏来引导执行。

Bishop Fox公司发布开源云黑客工具“CloudFox”

网络安全公司Bishop Fox宣布发布CloudFox，这是一种开源工具，旨在帮助在云基础设施中找到可利用的攻击路径。该命令行工具是为渗透测试人员和其他攻击性安全专业人员创建的。CloudFox提供了一组枚举命令，即使对于云渗透测试相对较新的人来说也很容易使用。截至目前，它仅适用于AWS，但Bishop Fox还计划增加对Microsoft Azure、谷歌云平台和Kubernetes的支持。“CloudFox旨在由具有有限只读权限的主体执行，但其目的是帮助您找到可在模拟妥协场景（即基于目标的渗透测试）中利用的攻击路径，”Bishop Fox解释说。该工具可以识别AWS账户使用的区域以及公共服务中的资源数量、EC2用户数据中的机密、委托人的权限、暴露的端点或IP，以及可以从 VPC内的受损资源挂载的文件系统。“有很多工具可以帮助您分析云环境，但其中许多更关注安全基线合规性，而不是攻击路径。我们希望您发现CloudFox可以自动化这些无聊的东西，并帮助您更快、更全面地识别和利用潜在的攻击路径，”Bishop Fox的首席安全顾问Seth Art说。CloudFox源代码可在GitHub（https://github.com/BishopFox/cloudfox）上获得。其他技术细节和演示视频可以在Bishop Fox发布的博客文章（https://bishopfox.com/blog/introducing-cloudfox）中找到。

比特币可能存在“严重的代码错误”

在最近的一条推文中，Ripple首席技术官David Schwartz声称，在比特币源代码的至少一个主要实现中“极有可能”存在严重错误。该漏洞可能允许创建更多数量的硬币，超过2100万个限制。如果被利用，该漏洞可能会破坏对比特币的信任并导致交易遭受巨大挫折。他的宣布是在Wave的前工程关系主管马特·汉密尔顿 (Matt Hamilton) 分析了2010年发生的价值洪流如何几乎扼杀了最大的数字货币之后发布的。当时，一位神秘的程序员利用比特币源代码的一个重大弱点，创造了1840亿个新币。长期比特币开发者Jeff Garzik发现了该漏洞。该漏洞的修复涉及部署软分叉。在修复两年后的9月，在比特币的实施中发现了另一个漏洞，该漏洞可能允许攻击者从闪电组织窃取资金。Schwartz承认，这些基本漏洞可能“非常有趣”，因为它们尚未被发现和利用，尽管发现它们的动机非常巨大。

TeamTNT通过恶意云镜像攻击15万个Docker容器

TeamTNT威胁组织成员明显的操作安全失误暴露了它用来利用配置不当的Docker服务器的一些策略。来自趋势科技的安全研究人员最近建立了一个带有暴露的Docker REST API的蜜罐，以尝试了解攻击者通常如何利用广泛使用的云容器平台中的漏洞和错误配置。他们发现了TeamTNT——一个以其特定于云的活动而闻名的组织 ——至少进行了 3次尝试来利用其Docker蜜罐。趋势科技威胁研究工程师Nitesh Surana说：“在我们的一个蜜罐中，我们故意暴露了一个带有Docker守护进程的服务器，该Docker守护进程通过REST API暴露出来。” “威胁行为者发现了错误配置，并从位于德国的IP中三次利用它，他们在那里登录到他们的DockerHub注册表，”Surana说。“根据我们的观察，攻击者的动机是利用Docker REST API并破坏底层服务器以执行加密劫持。”安全供应商对该活动的分析最终揭示了TeamTNT控制的至少两个DockerHub帐户的凭据（该组织滥用DockerHub免费的Container Registry服务）并用于分发各种恶意负载，包括硬币矿工。其中一个账户（名为“alpineos”）托管了一个恶意容器映像，其中包含 rootkit、Docker 容器逃逸工具包、XMRig Monero硬币矿工、凭证窃取器和Kubernetes漏洞利用工具包。趋势科技发现恶意镜像已被下载超过150,000次，这可能转化为大量感染。另一个账户(sandeep078)托管了一个类似的恶意容器镜像，但与前者相比，“拉取”次数要少得多——只有大约200次。

布宜诺斯艾利斯立法机构宣布遭勒索软件攻击

阿根廷首都的立法机关本周宣布遭到勒索软件攻击，称其内部操作系统遭到破坏，WiFi连接中断。在几条推文中，布宜诺斯艾利斯立法机构的账户表示，袭击于周日（9月11日）开始，并破坏了大楼的WiFi网络以及其他系统。他们写道：“迅速采取了必要措施以确保工作的连续性，而不是中断议会工作。” 13日，他们说，他们计划恢复WiFi网络，并慢慢让其他系统重新上线。立法机关说：“我们正在与相关领域和该领域的专家合作，以尽快使所有流程恢复正常。”该事件已报告给阿根廷的几个执法机构。13日Wi-Fi网络将投入使用，其余系统将逐步启用。我们正在与相关领域和该领域的专家合作，以尽快恢复所有流程的正常状态。至美国东部时间周二（9月13日）下午，立法机关的网站仍处于关闭状态。受影响的政府机构没有回应有关恢复工作状态的评论请求。没有勒索软件组织对此事件负责。但在过去一年中，有几个团伙针对中美洲和南美洲的政府进行了攻击。阿根廷科尔多瓦司法机构上个月遭到勒索软件组织的攻击，而就在两周前，智利的网络安全事件响应小组表示，一个未具名的政府机构正在处理针对该组织的微软工具和 VMware ESXi服务器的勒索软件攻击。

CISA的2023-2025战略计划侧重于降低风险和增加网络弹性

美国网络安全和基础设施安全局（CISA）9月13日推出了初步的综合行动计划，重点关注并指导该机构未来三年的工作。战略计划传达了该机构的使命和愿景，促进了机构和合作伙伴之间的努力，并定义了CISA作为一个机构的成功。它还描述了“我们必须执行的利益相关者、政策和运营环境，并介绍了CISA将做出的战略变革，以更好地执行我们在未来三年内的重要使命。” CISA 2023-2025战略计划代表了一种前瞻性、统一的方法来实现该机构的愿景，即为美国人民确保安全和有弹性的关键基础设施。该文件以国土安全部(DHS)2020-2024财年战略计划为基础并与之保持一致。CISA将通过该机构的部门和办公室级年度运营计划(AOP)实施该战略计划。在此期间，该机构将带头全国努力确保网络空间的防御和弹性；降低美国关键基础设施的风险并增强其弹性；加强全国范围的业务协作和信息共享；并通过集成的功能、能力和劳动力统一为“一个CISA”。CISA降低风险和复原力展望的目标包括扩大基础设施、系统和网络风险的可见性，同时提高该机构的风险分析能力和方法。它还提高了CISA的安全和风险缓解指导和影响，增强了利益相关者在基础设施和网络安全性和弹性方面的能力，并提高了CISA应对威胁和事件的能力。 

美国政府制裁十名与勒索软件攻击有关的伊朗人

美国财政部外国资产控制办公室(OFAC)当地时间14日宣布对10名个人和两个隶属于伊朗伊斯兰革命卫队(IRGC)的实体实施制裁，理由是他们参与了勒索软件攻击。在过去的两年中，这些威胁参与者与勒索软件事件有关，他们破坏了属于美国和全球组织的网络。他们的恶意活动与网络安全供应商以不同名称跟踪的国家资助的黑客组织的活动重叠，包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。财政部表示，几家网络安全公司已确定这些入侵集与伊朗政府有关，并已确定它们进行了各种恶意网络活动，包括勒索软件和网络间谍活动。这些攻击组织针对全球的组织和官员发起了广泛的运动，特别是针对美国和中东的国防、外交和政府人员，以及包括媒体、能源、商业服务和电信在内的私营行业。IRGC附属集团组织由总部位于伊朗的Najee Technology Hooshmand Fater LLC (Najee Technology)和Afkar System Yazd Company (Afkar System) 的员工和员工组成：Mansour Ahmadi：Najee Technology的所有者、董事总经理和董事会主席；Ahmad Khatibi Aghda：Afkar System董事总经理兼董事会成员；其他员工和同事：Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo'in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini和Mohammad Shakeri-Ashtijeh。美国财政部还制裁了与Net Peygard Samavat公司有关的个人，因为他们在2019年与IRGC和伊朗情报与安全部(MOIS)合作。美国国务院还提供1000万美元以提供有关 Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari这三名受制裁的伊朗人的信息，他们今天也因参与针对美国的勒索软件攻击而被司法部指控。

黑客利用伊丽莎白二世女王去世事件实施钓鱼攻击以窃取微软凭据

威胁行为者正在网络钓鱼攻击中利用伊丽莎白二世女王的死亡来引诱他们的目标访问旨在窃取其Microsoft帐户凭据的恶意网站。除了Microsoft帐户详细信息外，攻击者还试图窃取受害者的多因素身份验证(MFA)代码来接管他们的帐户。Proofpoint的 Threat Insight团队14日透露：“据称来自微软的消息并邀请收件人到一个‘人工技术中心’以纪念她 。”在Proofpoint发现的这一行动中，网络钓鱼演员冒充“微软团队”，试图引诱收件人将他们的备忘录添加到在线记忆板上，以“纪念女王伊丽莎白二世陛下”。在点击钓鱼邮件内的一个按钮后，目标被发送到一个钓鱼登陆页面，在那里他们被要求首先输入他们的微软证书。Proofpoint补充说:“邮件中包含一个指向重定向凭证收集页面的链接，该页面针对微软电子邮件凭证，包括MFA收集。”攻击者使用一种新的反向代理网络钓鱼即服务(PaaS)平台，即在clearnet和暗网黑客论坛上推广的EvilProxy，该平台允许低技能的威胁者窃取身份验证令牌来绕过MFA。英国国家网络安全中心当地时间13日警告称，网络犯罪分子利用女王之死进行网络钓鱼和其他诈骗活动牟利的风险正在增加。NCSC表示:“虽然隶属于GCHQ的NCSC还没有看到这方面的大量证据，但你应该意识到这是有可能的，并注意有关女王陛下去世和葬礼安排的电子邮件、短信和其他通信。”虽然这种恶意活动似乎是有限的，但NCSC已经看到了这种网络钓鱼攻击，目前正在进行调查。

新的联想BIOS更新修复了数百款机型的安全漏洞

中国计算机制造商联想已发布安全公告，警告多个严重程度较高的BIOS漏洞，这些漏洞影响各种型号（Desktop、All in One、IdeaCentre、Legion、ThinkCentre、ThinkPad、ThinkAgile、ThinkStation、ThinkSystem）的数百台设备。利用这些漏洞可能会导致信息泄露、权限提升、拒绝服务，并且在某些情况下会导致任意代码执行。安全公告中的漏洞如下：

CVE-2021-28216：修复了TianoCore EDK II BIOS（UEFI 的参考实现）中的指针缺陷，允许攻击者提升权限并执行任意代码。

CVE-2022-40134：SMI Set Bios Password SMI处理程序中的信息泄漏漏洞，允许攻击者读取SMM内存。

CVE-2022-40135：智能USB保护SMI处理程序中的信息泄漏漏洞，允许攻击者读取SMM内存。

CVE-2022-40136：SMI处理程序中的信息泄漏漏洞，用于通过WMI配置平台设置，使攻击者能够读取SMM内存。

CVE-2022-40137：WMI SMI处理程序中的缓冲区溢出，使攻击者能够执行任意代码。

American Megatrends 安全增强（无CVE）。

SMM(Ring-2)是UEFI固件的一部分，它提供系统范围的功能，如低级硬件控制和电源管理。对SMM的访问可以扩展到操作系统和RAM以及存储资源；这就是为什么AMD和Intel都开发了SMM隔离机制来保护用户数据免受低级威胁的影响。预计将在9月底和10月底之前发布更多补丁，而一小部分型号将在明年收到更新。安全公告中包含受影响计算机型号和解决每个漏洞的 BIOS 固件版本的完整列表，以及每个型号的下载门户的链接。或者，联想电脑所有者可以导航到“驱动程序和软件”门户，按名称搜索他们的产品，选择“手动更新”，然后下载最新的可用BIOS固件版本。

白宫指南建议联邦机构使用SBOM

白宫14日发布了一项新的网络安全行政命令，概述了软件供应链安全的指导方针，包括建议联邦机构CIO开始要求提供安全开发和软件材料清单(SBOM)的文档。在发送给行政部门和机构负责人的备忘录中，白宫管理和预算办公室概述了美国国家标准与技术研究院(NIST)建立的供应链网络安全最佳实践，该机构将建议进行全面的软件库存评估，收集每个外部软件供应商声明其产品符合NIST 供应链安全框架，以及购买新软件时对SBOM的要求。“随着机构制定包括使用新软件的要求，他们必须要求确认软件生产商使用安全软件开发实践，”OMB备忘录说。“这可以通过在征求建议书(RFP)或其他招标文件中指定这些要求来实现，但无论该机构如何确保合规，该机构都必须确保公司实施并证明使用安全软件开发实践在整个软件开发生命周期中与NIST指南一致。”