网络空间对抗资讯快报

1、乌克兰黑客对俄MIR支付系统进行了大规模DDoS攻击

攻击的目标是在一些国家拒绝与俄罗斯支付系统合作的背景下，服务卡可能出现故障。据媒体报道，黑客通过浏览器或原始DDoS工具向所需方向生成流量。结果，用户在支付通道和终端操作中遇到中断。专家解释说，黑客正试图使支付系统超载，以导致服务卡和支付失败。特别是，它们使用浏览器和原始DDoS工具为系统生成流量。此外，此类攻击也是寻找漏洞的一种方式。如果黑客找到它们，他们以后可以将它们用于大规模数据泄露。“在目前的情况下，我们可以预期攻击者将能够在对Mir支付系统的DDoS攻击中取得一些成功，风险远不止于此，”该报在一家专业公司的对话者说。这次攻击可能会导致卡获取完全失败长达数小时。Qrator Labs首席执行官Alexander Lyamin还提醒该出版物，黑客成功地攻击了支付系统，特别是2010年的Visa和MasterCard。美国财政部外国资产控制办公室（OFAC）于9月15日向外国金融机构发出了与俄罗斯支付系统MIR合作的风险警告。美国强调，如果华盛顿在这种合作中看到俄罗斯有助于规避对其实施的制裁，它保留实施封锁制裁的权利。网络安全市场的消息来源证实了此类网络攻击的事实，俄罗斯银行没有对此作出回应，NSPK拒绝对此信息发表评论，俄罗斯联邦数字发展部明确表示，此问题属于国家计算机事件协调中心和中央银行的权限。

2、四国誓言互相协助打击恶意网络活动

印度、美国、日本和澳大利亚的领导人集体Quad于周六（9月24日）呼吁，将相互协助，确保区域网络基础设施的安全性和弹性。四国领导人在纽约联合国大会期间举行会晤后，就此事发表了联合声明。该声明由澳大利亚外交部长、印度外长、日本外相和美国国务卿发表，呼吁各国采取合理措施，应对来自其境内的勒索软件操作。由印度、美国、日本和澳大利亚组成的四方或四方安全对话于2017 年成立，旨在应对中国在印太地区的侵略行为。声明说，领导人认为，加强印太国家网络能力的重点举措将确保区域网络基础设施的安全性和弹性。“勒索软件的跨国性质可能会对我们的国家安全、金融部门和企业、关键基础设施以及个人数据的保护产生不利影响。我们赞赏支持美国领导的反勒索软件倡议的36个国家所取得的进展，以及经常性的、在印太地区开展以实用为导向的打击网络犯罪的磋商，”他们说。部长们强调，印太伙伴之间在打击勒索软件方面的务实合作将导致该地区勒索软件行为者无法获得安全避风港。回顾今年2月11日举行的最后一次四方外长会议，部长们表示，他们致力于解决勒索软件的全球威胁，该威胁一直是印太地区经济发展和安全的障碍。

3、Ragnar Locker泄露了包含葡萄牙TAP航空乘客在内的超过600万条个人数据

最近，Ragnar Locker组织公布了一组6,114,735条记录的个人数据，其中包含葡萄牙最大航空公司TAP客户的个人数据。据了解，该公司在8月25日遭受了网络攻击，但表示没有任何东西威胁到用户数据。然而，在其最新声明中，TAP宣布了一个不幸的消息：攻击者掌握了客户的姓名、出生日期、电子邮件地址，邮件、电话号码、住址、忠诚度计划中的号码，以及注册日期和上次活动日期（从2016年10月18日至2022年4月22日）。尽管TAP没有提供有关这次攻击的任何额外细节，但DarkFeed表示，Ragnar Locker组织是这次事件的幕后黑手。初步数据显示，超过150万航空公司客户的数据被盗。TAP黑客事件是震惊葡萄牙的第二次网络攻击。最近，由于对葡萄牙武装部队总参谋部的前所未有的黑客攻击，数百份北约机密文件进入网络并被出售。

4、NSA和CyberCOM的“双重帽子”结构再受审查

The Record媒体9月22日报道称，前参谋长联席会议主席小约瑟夫·邓福德（Joseph F. Dunford Jr.）已被拜登政府任命，以指导对美国网络司令部和国家安全局的领导安排进行审查，这项审查可能对该国的数字和情报产生持久影响操作。据三位知情人士透露，政府已经组建了一个小型研究小组，以审查自2009年网络司令部成立以来一直存在的“双帽”领导结构的利弊。小组的另外三个人分别是，陆军的首席网络顾问Michael Sulmeyer、前NSA律师Lawfare网站前执行编辑Susan Hennessey和联合参谋部负责战略稳定的副副主任奥斯汀朗。政府选择了邓福德——他在担任国家最高军事官员时的深思熟虑的做法在国家安全界广受尊重——表明了对评估的重视。网络司令部和国家安全局一直由同一名军官掌管，目前该职位由陆军上将Paul Nakasone担任。这种做法已被写入法律，但也激怒了一些秘密社区，他们认为国家安全局（美国最大的情报机构，负责电子间谍活动）有一名穿制服的负责人是不合适的。这一安排也引起了国会山的紧张局势，一些立法者认为每个角色的责任已经变得如此巨大，以至于需要两个人，特别是因为网络司令部已经扩大了其任务，包括选举安全和打击勒索软件。五角大楼的一名高级官员今年早些时候作证说，领导计划将被重新审视。消息人士告诉The Record，该小组希望在未来两三个月内完成工作。这些人说，它的结论很可能不会公开分享。国家情报总监办公室发言人没有立即回应置评请求。

5、微软SQL服务器遭受新一波勒索软件攻击

AhnLab安全应急响应中心(ASEC)的信息安全专家声称，FARGO和GlobeImposter是最流行的用于攻击MS-SQL服务器的勒索软件之一。以前，此恶意软件有两个其他名称：Mallox-因为 勒索软件在文件中添加了“.mallox”扩展名；

TargetCompany就是Avast研究人员在他们2月份的报告中所称的恶意软件。根据ID Ransomware平台，FARGO勒索软件家族目前相当活跃。据研究人员称，感染链始于MS-SQL进程使用cmd.exe和powershell.exe下载 .NET文件。下载的文件会加载其他恶意软件，然后生成并执行禁用某些进程和服务的BAT文件。之后，恶意软件将自身注入AppLaunch.exe并尝试删除Raccine实用程序的注册表项，该实用程序用于杀死任何尝试使用vssadmin.exe删除 Windows 的卷影副本的进程。此外，恶意软件会禁用恢复并终止与数据库相关的所有进程，以使其内容可用于加密。但是，该恶意软件不会对某些程序和目录进行加密，以免使系统完全无法运行。可以加密的文件获得扩展名“.Fargo3”，之后FARGO创建一个赎金记录（“RECOVERY FILES.txt”）。如果受害者不支付赎金，他们将面临在勒索软件运营者的Telegram频道上倾倒被盗文件的威胁。专家警告说，数据库最常受到字典和暴力攻击的危害，即口令较弱的帐户存在风险。此外，攻击者利用可能未修补的已知漏洞。因此，建议MS-SQL服务器管理员安装 MS-SQL的所有最新安全更新，并使用更强的口令。

6、澳大利亚在电信公司Optus网络攻击事件后拟宣布新的网安措施

据澳大利亚广播公司（ABC）报道，在Optus大规模数据泄露事件发生后，多达980万澳大利亚人的个人信息被黑客窃取，预计内政部长很快将宣布几项新的安全措施。9月24日，克莱尔·奥尼尔和她的几位联邦部长同事会见了澳大利亚信号局和网络安全中心，讨论了这次破坏性网络攻击的后果。根据将在未来几天宣布的变化，当Optus等公司发生数据泄露时，银行和其他机构将更快地得到通知，因此个人数据无法用于访问账户。ABC被告知，第一步将是指示Optus将客户数据移交给银行，这样金融机构就可以升级安全措施，并监控个人信息被盗的客户。目前的隐私保护措施防止银行被立即告知与其客户相关的网络入侵。周六，奥尼尔女士在推特上回应了这起事件，称澳大利亚公司需要改变保护客户数据的方式。在澳大利亚的整个电信行业，联邦政府对该行业的监管越来越令人失望，其中包括元数据保留法，许多人指责这些法规导致了隐私泄露。“让我恼火的是，人们认为Optus和其他公司想要这些数据——这是元数据法的必要条件——但我们不需要，”一位长期任职的电信业内人士告诉ABC。“人们假装数据是金子——其实不然;这是铀——如果使用得当，它非常有用，但如果随便放着，它就会非常危险。”一位不愿透露姓名的资深业内人士对ABC表示:“(我们)正在以不可能的时间表满足监管要求，实际上，我们的网络是在上世纪90年代建成的。”“我们甚至还没有一个公开可核实的Optus入侵事件发生的时间顺序，调查还没有完成，但我们却在匆忙制定法律——这不是一个伟大的计划。

7、欧洲国家建议欧盟禁止使用俄卡巴斯基实验室的产品

几个欧盟国家正推动扩大对莫斯科的制裁，原因是俄罗斯入侵乌克兰。欧盟正努力就限制俄罗斯石油价格达成协议。彭博社和知情人士看到的一份文件显示，波兰、爱尔兰和三个波罗的海国家希望欧盟扩大对俄罗斯能源的制裁，包括禁止进口液化石油气(LPG)产品和限制核能合作。这些提议包括从俄罗斯天然气工业银行(Gazprombank)开始，将更多银行从国际支付系统SWIFT中剔除。到目前为止，这家俄罗斯银行一直没有受到欧盟的大部分制裁，因为欧洲公司用它来支付天然气输送费用。根据该文件，拉脱维亚、立陶宛、爱沙尼亚、爱尔兰和波兰也希望看到对保险服务和向俄罗斯转移美元钞票的禁令，以及对涉及加密资产的交易的更严格限制。英国《金融时报》周五（23日）早些时候报道了这些提议。欧盟成员国和欧盟执行机构欧盟委员会(European Commission)正在进行谈判，准备一套新的制裁措施，其中可能包括更多的贸易限制、个别上市，以及争取就俄罗斯石油的价格上限达成一致。这五个国家还提议禁止在欧盟使用俄罗斯网络安全公司卡巴斯基实验室(Kaspersky Lab)的产品，加强对技术出口的现有限制，并在禁止的科技产品清单上增加更多产品，包括数据处理机器、存储设备和几种电子产品。这此协家希望，扩大对进入欧盟港口的俄罗斯船只、向俄罗斯提供商业服务的限制范围，并禁止向俄罗斯提供IT服务，包括软件和网络安全服务；禁止进口原产于俄罗斯的钻石，扩大对钢铁的进口限制，以及禁止向非欧盟居民的俄罗斯公司和公民出售房地产；制裁更多的俄罗斯宣传机构，禁止在欧盟注册的实体从与俄罗斯政府有关联的组织获得资金。

8、影响数百万设备的新固件漏洞可使攻击者获得持久访问

固件安全公司Binarly发现了另一轮潜在的严重固件漏洞，攻击者可以获得对数百万受影响设备中的任何一台的持久访问。该公司的研究人员已经在Insyde Software提供的InsydeH2O UEFI固件中发现了7个新的安全漏洞。受影响的代码被其他几十家公司使用，包括惠普、戴尔、英特尔、微软、富士通、Framework和西门子等主要供应商。利用这些新漏洞需要本地特权操作系统访问权限，但其中许多漏洞仍然被指定为“高严重性”评级。这些漏洞与系统管理模式(SMM)有关，可能导致信息泄露或任意代码执行。Binarly的首席执行官Alex Matrosov告诉《安全周刊》:“这些漏洞可以被用作攻击链的第二或第三阶段，为市场上大多数可用的安全解决方案提供不可见的长期持久性。”“植入固件是攻击者维持持久性的最终目标。攻击者可以在固件的不同级别上安装恶意植入程序，可以作为修改过的合法模块，也可以作为独立的驱动程序。这种恶意代码可以通过设计绕过安全引导，影响后续的引导阶段，”他补充说。Binarly公开了针对每个漏洞的技术细节的个别建议。供应商已经发布了补丁，并针对新发现的漏洞发布了建议。CVE标识符已经分配给了这七个bug中的每一个。虽然Insyde已经开发了补丁，但Matrosov指出，修复程序将需要很长时间才能到达设备。他说:“就供应链影响而言，根据我们的数据，设备制造商至少需要6-9个月的时间才能在所有企业设备上修补漏洞。”这不是Binarly第一次在InsydeH2O固件中发现严重漏洞。今年早些时候，该公司披露了近24个问题，影响数百万使用受影响代码的企业设备。就在几周前，Binarly报告发现了十几个影响英特尔和惠普设备的类似漏洞。

9、微软针对允许横向移动、勒索软件攻击的漏洞发布带外补丁

微软本周发布了针对其端点配置管理器解决方案的带外安全更新，以修补一个漏洞，该漏洞可能对恶意行为者在目标组织的网络中移动很有用。该漏洞被追踪为CVE-2022-37972，微软将其描述为中等严重程度的欺骗问题。这家科技巨头感谢Trimarc Security公司的布兰登·科利报告了这一漏洞。微软在其报告中表示，没有证据表明该漏洞被利用，但该漏洞已被公开披露。Prajwal Desai已经发表了一篇简短的博客文章来描述这个补丁，但是Colley告诉《安全周刊》，他还没有公开任何信息，并指出他一直在与微软协调披露。这位研究人员认为，微软的顾问说，这个问题已经被公开披露，因为科技巨头知道他将在本周末的BSidesKC会议上谈论这个问题。研究人员预计一篇详细介绍CVE-2022-37972的博客文章只会在11月发表。然而，他指出，这与7月份的一篇博客文章中描述的一个问题有关，该文章关注的是微软系统中心配置管理器(SCCM)客户端推送帐户的攻击面。SCCM是Microsoft Endpoint Configuration Manager (MECM)的前身，MECM是一种桌面、服务器和笔记本电脑的本地管理解决方案，允许用户部署更新、应用程序和操作系统。将所需的客户机应用程序部署到端点的一种方法是客户机推送安装，它使管理员能够轻松、自动地将客户机推送到新设备。在7月的博客文章中，Colley展示了在一个端点上拥有管理权限的攻击者如何滥用客户端推送安装设计缺陷，获取所有配置的推送账户的散列凭证。他警告说，由于其中一些账户可能在企业的几台机器上拥有域管理或高级特权，威胁行为者可以利用它们进行横向移动，甚至作为破坏性勒索软件攻击的一部分。攻击是可能的，部分原因是一个设置允许连接退回到不太安全的NTLM身份验证协议。微软本周通过带外更新修补了MECM漏洞，这与使用NTLM身份验证有关。研究人员解释说，在微软修复该漏洞之前，可以强制对客户端推送帐户进行NTLM身份验证。

10、新的“Wolfi”Linux发行版专注于软件供应链安全

本周发布了Wolfi，一个精简的Linux操作系统发行版，旨在提高软件供应链的安全性。这个Linux发行版可以在GitHub上使用，它是专门为容器和本地云应用程序创建的，并且支持Chainguard镜像。Wolfi(以吸星侏儒章鱼命名，它是已知最小的章鱼)依靠环境内核(而不是自己的)来广泛适应环境，并为glibc和musl带来了支持。根据软件供应链安全公司的说法，Wolfi为所有包交付构建时软件材料清单(SBOM)，有一个声明性和可重复的构建系统，并使用apk包格式。在Wolfi中，包是颗粒状和独立的，提供了对最小映像的支持。Chainguard说，Wolfi旨在帮助开发人员从一个不受任何已知漏洞影响的默认安全基础开始，从而提高生产力，同时也使组织能够控制大多数现代供应链威胁。“Wolfi直接从源代码构建所有包，允许我们修复漏洞或应用定制，以改善从编译器到语言包管理器的供应链安全状况，”Chainguard解释道。新的Linux发行版现在支持所有Chainguard映像，这是一组经过签名的、最小的依赖关系，旨在显著减少攻击面，同时简化审计和更新。这些映像每天都会重新构建，以确保它们拥有所有最新的补丁。