网络空间对抗资讯快报

1、美国防部网络犯罪中心与网络司令部开展跨部门合作

国防部网络犯罪中心 (DC3) 运营支持局 (OED) 和美国网络司令部 (USCC) 正在建立跨部门合作伙伴关系，以加强支持与网络威胁情报相关的国家安全事务的努力。DC3正在为网络国家任务部队 (CNMF) 军事人员提供嵌入DC3网络分析师的轮岗计划任务——扩大他们在网络威胁情报和恶意软件分析方面的专业知识，同时仍为USCC、DC3利益相关者和情报界提供关键信息。“CNMF和DC3领导层认识到，这项工作肯定会加强联合任务协作和协调打击恶意网络活动，”OED主任Diana Kinker说。“OED领导层也将这一举措视为将CNMF和USCC与DC3和OED的服务和能力相结合的机会。”6 月，DC3举办了首届逆向恶意软件工程研讨会。来自DC3、USCC和国外同行的分析师都参加了这一开创性的活动。该活动是分析人员研究复杂恶意软件样本并分享最佳实践和信息以打击恶意网络行为者的交易的绝佳场所。OED负责人Peggy Wright表示：“这些持续的努力为DC3分享网络知识和扩大网络威胁情报方面的更广泛专业知识打开了大门，以促进网络事件报告、网络调查和恶意软件分析。”“DC3和美国网络司令部之间的合作清楚地表明了跨部门可操作性及其协同作用的重要性，”DC3 副主任Joshua Black说。“有许多机构和司令部致力于保护国防部信息网络和系统，当志同道合的人互动时，保护国防部免受网络威胁行为者侵害的手段必然会增加。”

2、纽约救护车服务遭遇勒索软件攻击和数据泄露

总部位于纽约的紧急响应和救护车服务提供商Empress EMS（紧急医疗服务）披露了一起泄露客户信息的数据泄露事件。该公司于2022年7月14日遭受勒索软件攻击。对该事件的调查显示，入侵者于2022年5月26日获得了Empress EMS系统的访问权限。大约一个半月后，即7月13日，黑客在实施了“一小部分文件”加密。“其中一些文件包含患者姓名、服务日期、保险信息，在某些情况下，还包含社会安全号码，” Empress EMS的披露中写道。该公司宣布：“Empress EMS正在向受影响的个人邮寄信件，并为符合条件的个人提供信用监控服务。”攻击的细节描述了一个标准的双重勒索勒索软件事件，网络犯罪分子窃取文件、加密系统，然后威胁受害者发布数据，除非支付赎金。尽管该公司没有提及对袭击负责的组织。然而，BleepingComputer发现Hive勒索软件团伙已于7月26日为Empress EMS数据泄露准备了一个非公开条目。勒索软件团伙已从他们的网站上删除了相关条目，但能够在检查网络情报公司KELA的历史暗网数据后验证Hive是否发布了数据。Empress告知美国卫生与公众服务部，受此事件影响的人数为318,55。然而，人们担心更多的人可能会受到影响。该通知解释说，即使那些没有收到信函但可以通过医疗保健声明确认他们使用Empress EMS服务的人，也应在2022年10月9日之前联系该公司，以从信用监控服务中受益。Empress EMS表示已加强其系统和协议的安全性，以防止未来发生类似事件。17日，美国消费者权益律师事务所 Cole & Van Note宣布对该事件进行调查，以代表受影响的个人探讨诉讼和赔偿的可能性。更新9/18：DataBreaches.net以威胁参与者和受害者之间的通信形式发布了更多指向 Hive 的证据。

https://www.bleepingcomputer.com/news/security/new-york-ambulance-service-discloses-data-breach-after-ransomware-attack/

3、Emotet僵尸网络现在推送Quantum和BlackCat勒索软件

在监控Emotet僵尸网络当前的活动时，安全研究人员发现Quantum和BlackCat勒索软件团伙现在正在使用该恶意软件来部署其有效载荷。这是一个有趣的发现，因为Conti网络犯罪集团是之前在6月关闭之前使用僵尸网络的集团。在国际执法行动于2021年初摧毁Emotet的基础设施后，Conti集团是11月策划复出的组织。情报公司AdvIntel的安全研究人员表示：“Emotet僵尸网络（也称为 SpmTools）已经为主要的网络犯罪集团提供了动力，将其作为许多持续攻击的初始攻击媒介或前兆。”“从2021年11月到2022年6月Conti解散，Emotet是Conti的独家勒索软件工具，但Emotet的感染链目前染指Quantum和BlackCat。”据AdvIntel称，该僵尸网络现在被用于在受感染系统上安装 Cobalt Strike信标作为第二阶段的有效载荷，允许攻击者横向移动并在受害者的网络中部署勒索软件有效载荷。这与Conti的攻击流程相匹配，其中包括Emotet在其复兴后，减去通过TrickBot僵尸网络的初始访问向量。自今年年初以来，Emotet已经造成了相当大的破坏，因为它已经跟踪了全球超过1,200,000个被Emotet感染的系统，活动高峰期在2月至3月之间。Agari在8月份还透露，僵尸网络在第二季度出现了大幅增长，在网络钓鱼活动中取代了 QBot，总共占登陆其客户收件箱的所有恶意软件的90%以上。这种情况可能会迅速改变并导致勒索软件攻击的快速部署，因此Emotet仍然是恶意软件防御者必须注意的。

4、《终结者》的剧情可以在现实生活中重演

在受人尊敬的AI杂志发表的最新文章之一中 ，研究人员解释了AI如何失控并对人类造成严重伤害。在他们看来，如果最成功的AI模型之一——GAN或生成对抗神经网络——控制了对人类至关重要的过程，它就可以尝试欺骗标准算法并制定一种尽可能快速有效地获得奖励的策略。此外，这种策略对人类来说可能是极其危险的。因此，失控的人工智能可以简单地消灭地球上的所有生命，吸收所有资源并采取危险的策略。“在我们概述的条件下，我们的假设变得比任何其他研究工作都更有分量——一场全球性的灾难不仅是可能的，而且很有可能， ”其中一位作者在他的推特上说。文章称，所有问题的出现都是由于人类和人工智能可以支配的资源的有限性。毕竟，如果资源是有限的，那么他们将不得不为它们而战。根据该文章的一位作者的说法，人们对抗人工智能的机会很小，人工智能很容易胜过一个人。由于在未来，人工智能将能够采取任何形式并实现各种结构，因此研究人员在文章中提出了几个场景，他们清楚地展示了人工智能如何在不达到目标的情况下尝试获得奖励。其中一个场景是一个人与人工智能竞争的游戏。然而，条件将远非平等，因为现代人将很难在没有电和种植粮食的情况下生活，尤其是当敌人是一个超现代的 AI时，它会使用所有方法和资源来消灭敌人并实现其目标。值得注意的是，谷歌表示，这篇文章不是其在DeepMind的员工工作的一部分，而是作为他在澳大利亚国立大学的职位的一部分进行的，这也是为什么它被错误地与DeepMind联系在一起的原因。

5、新加坡星巴克称客户数据遭遇数据泄露

星巴克表示，新加坡一些客户的个人数据已被泄露，包括姓名、生日和手机号码。虽然信用卡详细信息和密码口令尚未泄露，但它已建议客户更改口令。这家美国餐饮连锁店当地时间9月16日向多名客户发送了电子邮件，通知他们已检测到“未经授权的在线活动”以及“对客户详细信息的一些未经授权的访问”。这些包括姓名、出生日期、手机号码和居住地址（如果个人数据已提供给星巴克）。该公司表示，与奖励客户忠诚度计划相关的细节，例如储值和积分，不受影响。据星巴克称，信用卡数据也没有受到损害，因为它没有存储此类信息。该零售商表示已通知地方当局，并正在协助他们进行调查。它还指出，虽然口令没有泄露，但鼓励客户立即重置口令。星巴克在给客户的电子邮件中表示，它已经实施了额外的措施来保护客户信息，但没有提供有关这些措施的详细信息。ZDNET了解到，黑客已经在专门从事被盗数据库交易的在线论坛上兜售数据。在9月10日的一篇帖子中，黑客声称可以访问星巴克新加坡的“完整数据库”，其中包含超过553,000条记录，并提供了一个样本转储。ZDNET联系了星巴克以获取更多信息，包括受违规影响的客户数量、哪些系统遭到破坏、违规后采取的安全措施以及首次发现违规的时间。一位发言人在一封电子邮件回复中表示，该公司于9月13日（星期二）获悉数据泄露事件。但没有回答 ZDNET 关于受数据泄露影响的客户数量或涉及哪些系统的问题。 

6、白宫发布整体数字资产监管框架

拜登政府通过发布一个基于跨机构研究和投入的新国家框架，试图规范加密货币和数字资产市场，该框架旨在代表多元化的利益相关者。官员们证实，根据乔·拜登总统之前的行政命令，包括财政部、司法部和商务部在内的一系列联邦机构撰写的九份报告已提交给总统办公厅，以告知拜登的数字资产开发指南。报告中包含的一些主要指导包括指导美国证券交易委员会等金融监管机构调查数字资产市场中的欺诈和不当行为。消费者金融保护局的任务是监控消费者投诉和跟踪潜在的滥用行为，以及与执法部门合作解决加密领域的风险。一位政府官员15日表示：“我们正在对数字资产、风险和机遇进行深入分析，以提出政策建议，以便我们能够建立一个框架，利用潜在利益，同时果断地降低风险。” 白宫科技政策办公室的官员证实，新框架将检查加密采矿对环境的影响及其过度的化石燃料排放和电力消耗。能源部和环境保护署将负责对加密资产的环境影响进行研究。报告还强调需要进一步研究潜在的中央银行数字货币。政府官员称，为美国发行的 CBDC 奠定基础是拜登政府的“关键优先事项”。财政部长珍妮特耶伦15日也介绍了该框架，确认她的机构将发布三份关于在传统金融服务中运营的数字资产面临的挑战的报告，同时承认负责任市场的潜在好处。尽管在数字资产交易中保护消费者和加强监管一直是国会山的热门立法话题，但在新框架内没有建议制定规则或立法行动。该框架将向国会提供建议，以帮助规范数字资产领域，例如修改《银行保密法》以包括数字资产。 

7、白宫宣布为州和地方政府提供10亿美元的网络资金

拜登政府当地时间9月16日宣布启动一项10亿美元的网络安全拨款计划，以帮助州、地方和地区政府更好地防御网络威胁并加强其关键基础设施的安全性。去年11月总统签署成为法律的《基础设施投资和就业法案》中包含的州和地方网络安全拨款计划将由网络安全和基础设施安全局和联邦紧急事务管理局管理。国土安全部关于该计划资助机会的通知要求各州在11月15日之前提交其资助申请。在该计划的第一年，大约1.85亿美元的赠款总资金池将提供给各州，即从2022财年开始，为期四年。地方政府有资格作为其州和领地的次级受助人获得赠款资金。15日，白宫高级顾问兼基础设施协调员Mitch Landrieu在与记者的简报会上表示，每个州都有资格获得至少200万美元的资金，用于“制定全州网络安全计划、进行评估并开始其项目以增强其网络弹性。” 通过该计划获得资金的州必须将至少 80%的赠款分配给当地和农村社区，至少3%分配给部落政府。Landrieu说：“它旨在帮助城市、州、县和小社区组织起来，让他们了解网络安全的需求，并为他们提供资金来组织它。”国土安全部部长亚历杭德罗·马约卡斯（Alejandro Mayorkas）也参加了15日的新闻发布会，他强调了威胁行为者“利用漏洞和有限的从全国范围内的毁灭性网络攻击中恢复的能力”。“支持我们的州和地方政府合作伙伴对我们的国家网络安全至关重要，”Mayorkas 说。“这些赠款将为州、地方和地区政府提供急需的资源来解决网络安全问题，并采取措施防范网络安全风险，帮助他们加强社区，从而显着提高国家对网络威胁的抵御能力。”国土安全部的一位官员在新闻发布会上表示，州和地方政府可以利用这些拨款来加强其选举基础设施的安全性。

8、TeamTNT劫持服务器运行比特币加密求解器

自9月初以来，AquaSec的威胁分析师已经在他们的蜜罐上发现了TeamTNT活动的迹象，这使他们相信臭名昭著的黑客组织又开始行动了。TeamTNT宣布于2021年11月退出，事实上，从那时起，大多数相关观察都涉及过去感染的残余，如自动化脚本，但没有新的有效载荷。然而，最近的攻击带有与TeamTNT相关的各种特征，这表明威胁行为者很可能卷土重来。研究人员观察到据称新的TeamTNT使用了三种攻击类型，其中最有趣的一种是利用被劫持服务器的计算能力来运行比特币加密求解器。由于使用Pollard的Kangaroo WIF求解器，该攻击被命名为“袋鼠攻击”，该攻击扫描易受攻击的Docker守护程序，部署AlpineOS映像，删除脚本（“k.sh”），并最终从GitHub获取求解器。Pollard的袋鼠区间ECDLP（椭圆曲线离散对数问题）求解器算法试图破解比特币公钥密码学中使用的SECP256K1 加密。这种破解尝试用当前的机器实现它被认为是不可能的，但TeamTNT似乎愿意使用其他人的资源来尝试这个理论。威胁参与者只是在尝试新的攻击途径、有效载荷部署和规避检测，同时对捕获的系统执行密集操作，而袋鼠攻击则满足了所有要求。

9、越南黑客声称用弱口令漏洞攻击了英国洲际酒店（IHG）

几名黑客声称，他们对英国假日连锁酒店的所有者洲际酒店集团(IHG)进行了网络攻击，“只是为了好玩”，造成了大规模的预订中断。该公司在全球经营着6000家酒店，包括假日酒店、皇冠假日酒店和丽晶酒店等品牌。攻击发生后，自称“茶壶”(teapot)的黑客通过Telegram即时通讯应用联系了BBC，并提供了截屏作为他们实施攻击的证据。这对声称来自越南的夫妇告诉BBC，在实施勒索软件攻击被阻止后，他们删除了大量数据。“我们的攻击最初计划是用勒索软件，但在我们有机会部署它之前，该公司的IT团队一直在隔离服务器，所以我们想做一些有趣的事情。我们做了一个雨刷攻击，”其中一名黑客说。通过雨刷攻击，数据、文档和文件被不可逆转地破坏，而没有恢复它们的可能性。他们表示，他们之所以能够进入这家连锁酒店的数据库，是因为一个普遍存在的弱口令——Qwerty1234。上周一（9月12日），该公司的服务器遭到黑客攻击，此前有客户反映预订和登记服务普遍存在问题。该问题持续了24小时以上，随后洲际酒店集团在Twitter上发表回应称，该公司“正在进行系统维护”。周二下午晚些时候，该公司证实自己遭到了网络攻击。该公司在提交给伦敦证交所(LSE)的一份正式通知中表示:“自昨日以来，预订渠道和其他申请受到严重干扰。”

10、Rockstar游戏公司遭黑客攻击后其《侠盗猎车手6》的源代码和视频已被泄露

据称，一名黑客入侵了Rockstar游戏公司的Slack服务器和Confluence服务器，《侠盗猎车手6》的玩法视频和源代码被泄露。17日，这些视频和源代码首先在GTAForums上被泄露，一个名为“teapotuberhacker”的威胁行为者分享了一个RAR档案的链接，其中包含90个被盗视频。这些视频似乎是由开发者调试游戏中的各种功能而制作的，如摄像头角度、NPC跟踪和Vice City中的位置。此外，一些视频还包含了主角与其他npc之间的语音对话。黑客声称窃取了“gta5和gta6的源代码和资产，gta6测试构建”，但试图勒索Rockstar游戏公司。然而，威胁行为者说，他们正在接受出价超过10000美元的gtav源代码和资产，但不出售gta6源代码。在论坛成员对黑客攻击的真实性表示怀疑后，这名威胁行为者声称他是最近对优步的网络攻击的幕后黑手，并泄露了《侠盗猎车手5》和《侠盗猎车手6》的源代码截图作为进一步的证据。目前，Rockstar games还没有发布声明或回复我们的邮件。然而，彭博社的Jason Schreier在与Rockstar的消息人士交谈后证实了消息的真实性。这些泄露的视频被传到YouTube和Twitter上，Rockstar Games发布了违反DMCA的通知，并要求将视频下架。Rockstar Games的所有者Take 2 Interactive在一份版权声明中写道:“由于Take 2 Interactive的版权声明，本视频将不再播放。”这些下架要求进一步证明了泄露的gta6视频是真实的。然而，Rockstar Game的努力来得太晚了，因为威胁行动者已经创建了一个专门的Telegram频道，他们正在使用该频道泄露偷来的gta6视频和源代码。例如，威胁行动者今天泄露了一个gta6的源代码文件，长达9500行，似乎与执行各种游戏内动作的脚本有关。这名黑客没有透露他们是如何获得gta6视频和源代码的细节，只是声称是从Rockstar的Slack和Confluence服务器上盗取的。该威胁行为者还声称与最近对优步进行网络攻击的黑客“茶壶”是同一个人，但BleepingComputer无法确认这些说法是否属实。