网络空间安全对抗资讯速递
1、澳大利亚指责俄罗斯窝藏医疗保险黑客
澳大利亚联邦警察 (AFP) 指出俄罗斯是攻击者的所在地,他们入侵了当地的健康保险公司Medibank,访问了近1000万客户记录,并在最近几天将一些客户数据发布到了暗网。客户数据的发布——其中一些包含客户使用他们的保险获得的医疗服务的私密细节——是在 Medibank拒绝支付赎金以保护数据之后发布的,理由是这样做不能保证客户的安全。AFP专员Reece Kershaw在澳大利亚时间周五(11月11日)下午发表的一份声明中说:“我们认为,应对此次攻击行为负责的人在俄罗斯。”Kershaw补充说,这次攻击是由“一群关系松散的网络犯罪分子实施的,他们可能对过去在世界各国发生的重大攻击事件负责。”这种措辞符合臭名昭著的网络攻击组织REvil的描述。但Kershaw没有指出任何实体对这次袭击负责。“我们相信我们知道哪些人对此负责,但我不会点名,”他说。“我要说的是,我们将与俄罗斯执法部门就这些人进行会谈。”澳大利亚领导人谴责俄罗斯在该事件中的作用。在Kershaw发布这些言论之前,总理安东尼·阿尔巴尼斯(Anthony Albanese)表示,俄罗斯“也应该对……信息的发布负责,包括非常私人和个人的信息。”网络安全部长克莱尔奥尼尔将攻击者称为“网络暴徒”,他们的行为“令人作呕且在道德上应受谴责”。
2、网络战争和网络犯罪齐头并进
网络安全专业人士长期以来一直在讨论未来的冲突将不再仅仅在物理空间的战场上进行,而是在数字空间中进行。尽管最近的冲突表明物理战场不会很快消失,但我们也看到比以往任何时候都多的国家支持的网络攻击。因此,企业、个人和政府确保为攻击做好准备至关重要。在数字战场上,不仅仅是士兵成为目标——每个人都在火线上。从广义上讲,网络战行为是针对外国网络的任何国家支持的恶意在线活动。然而,与大多数地缘政治现象一样,网络战的现实例子要复杂得多。在国家支持的网络犯罪的阴暗世界中,并不总是政府情报机构直接进行攻击。相反,更常见的是来自与民族国家有联系的有组织的网络犯罪组织的攻击。这些组织被称为高级持续威胁 (APT) 组。2016 年入侵民主党全国委员会的臭名昭著的 APT-28,也称为 Fancy Bear,就是此类间谍活动的一个很好的例子。APT组织与国家情报机构之间的松散联系意味着国际间谍活动与更传统的网络犯罪之间的界限变得模糊。这使得确定特定攻击是否是“网络战行为”变得困难。因此,安全分析师通常只能假设攻击是否受到百分比和确定性程度的国家支持。这在某种程度上是恶意国家机构的完美掩护,这些机构希望瞄准和破坏关键基础设施,同时降低引发地缘政治危机或武装冲突的可能性。随着政府和私人组织继续采用智能和互联的 IT 网络,风险和潜在后果将继续增加。当今的威胁形势下,网络攻击不仅是一种潜在风险,而且是意料之中的。
3、网络钓鱼将IceXLoader恶意软件投放到数以千计的家用和企业设备上
正在进行的网络钓鱼活动已经投放了新版本的“IceXLoader”恶意软件,从而感染了数千名家庭和企业用户。IceXLoader是今年夏天首次在野外发现的恶意软件加载程序,其作者发布了3.3.3 版,增强了该工具的功能并引入了多阶段交付链。Fortinet于2022年6月发现了基于 Nim的恶意软件,当时IceXLoader的版本为 3.0,但加载程序缺少关键功能,并且通常看起来像是在进行中。Minerva Labs周二(8日)发布了一篇新帖子,警告说最新版本的IceXLoader标志着该项目的beta开发阶段结束。对于在地下网络犯罪中如此积极推广的恶意软件加载程序,任何此类开发都意义重大,并可能导致其部署突然增加。感染始于通过包含第一阶段提取器的网络钓鱼电子邮件。提取器在“C:\Users\<username>\AppData\Local\Temp”下创建一个新的隐藏文件夹 (.tmp),并删除下一阶段的可执行文件“STOREM~2.exe”。然后,根据操作员选择的提取设置,可能会重新启动受感染的系统,并在计算机重新启动时添加一个新的注册表项以删除临时文件夹。删除的可执行文件是一个下载器,它从硬编码的URL中获取PNG文件,并将其转换为经过混淆的DLL文件,即IceXLoader有效负载。解密有效载荷后,投放器会执行检查以确保它没有在模拟器中运行,并在执行恶意软件加载程序以逃避沙箱之前等待35秒。最后,IceXLoader使用进程空心注入到STREM~2.exe 进程中。为了确保重新启动之间的持久性,恶意软件加载程序还在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”处创建一个新的注册表启动项。为了规避检测,它使用AMSI.DLL中的内存修补方法,绕过 Windows Defender和其他安全产品使用的Microsoft Windows反恶意软件扫描接口。Minerva报告说,该活动背后的威胁参与者对保护被盗数据不感兴趣,因为保存被盗信息的 SQLite 数据库可以在 C2 地址中访问。暴露的数据库包含与数千名受害者相对应的记录,其中包含家庭PC和公司PC感染的混合。
4、白宫网络官员主张北约更灵活地应对数字威胁
白宫高级网络官员星期四(10日)在罗马举行的北约会议上发表了讲话。该官员召集盟国制定了快速应对民族国家黑客攻击和其他数字威胁的计划。在周四的会议之前,代表30个北约国家的官员6月承诺,将大幅加强北约作为一个联盟和在国家层面的网络防御。白宫负责网络和新兴技术的副国家安全顾问安妮•纽伯格(Anne Neuberger)表示:“正如北约准备应对我们的盟友面临的动态(战场)危机一样,我们也必须准备应对网络危机。”“作为一个联盟,我们必须更加灵活……在一个国家面临重大破坏性攻击时,提供直接、技术和必要的支持。”国务院首位负责网络空间和数字外交的无任大使内特·菲克(Nate Fick)也出席了会议。纽伯格在讲话中说,在与伊朗有关的黑客对阿尔巴尼亚多个政府网站发动一系列网络攻击后,北约7月代表阿尔巴尼亚政府进行了干预,这是令人钦佩的。不过,她表示,北约对网络攻击的技术回应是不够的。Neuberger今年2月访问布鲁塞尔和华沙,期间会见了来自北约、波兰和波罗的海国家的官员,讨论应对俄罗斯入侵乌克兰的网络威慑问题,赢得了盟友的称赞。俄罗斯在2月1日访问乌克兰几周后入侵了乌克兰。Neuberger周四表示,俄罗斯对乌克兰的网络攻击以及乌克兰抵御攻击的技巧提醒我们,为什么北约将从投资网络弹性中受益。“乌克兰在很多情况下都能够成功抵御复杂的网络攻击,这得益于在俄罗斯入侵之前所做的工作。”
5、欧盟网络防御政策加强了针对网络威胁的行动并增加了在国防方面的合作和投资
11月10日,欧盟委员会和高级代表提议就欧盟网络防御政策和军事机动2.0行动计划进行联合协商。欧盟网络防御政策致力于提高欧盟使用一切可用手段预防、发现、阻止和防御针对欧盟委员会及其成员国的网络攻击的能力。它还解决了俄罗斯入侵乌克兰后日益恶化的安全环境问题,并致力于提高欧盟保护其公民和基础设施的能力。欧盟网络防御政策旨在提高欧盟网络防御能力,加强军民网络社区之间的协调与合作。它将加强欧盟内部有效的网络危机管理,帮助减少对关键网络技术的战略依赖,同时加强欧洲国防技术工业基地(EDTIB)。促进网络人才的培养、吸引和留住,加强与网络防御领域合作伙伴的合作。欧盟网络防御政策主要围绕四个支柱构建,涵盖了将帮助欧盟和成员国的各种举措。这些支柱包括共同行动,加强欧盟网络防御,确保欧盟防御生态系统的安全,投资网络防御能力,同时合作应对共同挑战。该政策还与最近保护关键基础设施的工作相联系。针对欧盟军事和民用关键基础设施的网络攻击的数量和复杂性的增加,是欧盟网络防御政策需要紧急更新的主要原因之一。实体和数字基础设施之间的相互依赖性,以及可能破坏或破坏关键基础设施的重大网络安全事件表明,欧盟需要在网络空间进行密切的军民合作,以成为更强大的公民安全提供者。这一举措是上个月提出的《理事会建议》的核心内容,该建议建议欧盟采取协调一致的方式加强关键基础设施的抵御能力。由于武装部队在很大程度上依赖民用关键基础设施,无论是机动、通信还是能源,欧盟网络防御政策旨在使网络防御社区受益于更强大的民用和军事探测和态势感知能力。此外,该委员会还将提出进一步的行动,以加强整个欧盟的防范和应对行动。这将包括根据欧盟风险评估,对运营关键基础设施的关键实体进行潜在漏洞测试,逐步建立欧盟网络储备,并发展欧盟安全行动中心基础设施,为欧盟提供真正的网络盾牌。欧盟将加强国家和欧盟网络防御参与者之间的协调机制,加强信息交流与合作,进一步支持军事共同安全和防御政策(CSDP)任务和行动。它将创建一个欧盟网络防御协调中心(EUCDCC),以支持增强国防社区内的态势感知能力,并为milcert(军事计算机应急响应小组)建立一个作战网络,同时还将发展和加强欧盟网络指挥官会议。它还开发了一个新的框架项目CyDef-X,以支持欧盟网络防御演习,并致力于网络防御社区和其他网络社区之间的信息交换。
6、卡塔尔世界杯开赛在即网络防御模式急需升级
即将在卡塔尔举行的国际足联世界杯的组织机构和主要合作伙伴被警告要加强抵御潜在网络威胁的能力。威胁情报公司“数字阴影”(Digital Shadows)称,世界上最受关注的体育赛事将招致各种威胁行为者的审查。“骗局可以以多种形式出现。例如,出于经济动机的威胁行为者经常植入恶意url,欺骗这些事件到欺诈网站,希望最大限度地提高他们欺骗天真的互联网用户的机会,以快速获利。”与此同时,黑客组织可能会利用公众对这类事件的关注,以指数级增加其信息的传播范围。国家资助的先进持续威胁(APT)组织也可能决定针对全球体育赛事,如2022年卡塔尔世界杯,以实现主办国或更广泛的赛事社区的国家目标。”在收集了90天的事件威胁数据后,供应商强调了组织面临的主要风险如下:设计用来引诱用户进行网络钓鱼攻击的欺骗域名。Digital Shadows识别出174个假冒官方网页的恶意域名;假冒的移动应用程序被设计用来安装广告软件,窃取个人和财务数据,提取cookie和证书,并下载更多的有效载荷——研究人员发现了其中的53个;虚假的社交媒体页面用于传播骗局,如传销计划,或帮助进行社会工程攻击,如商业邮件妥协(BEC) -数字阴影说它发现了“几十个”这样的攻击;窃取的证书,可以用来劫持公司或客户账户;黑客活动分子利用DDoS,以乌克兰战争、伊朗参与甚至东道国的名义,摧毁关键的在线基础设施;勒索软件和初始访问代理(IABs)。Digital Shadows敦促组织在活动之前采取基于风险的网络安全方法,重点关注网络卫生最佳实践,如定期打补丁、多因素认证(MFA)和网络钓鱼意识。“基于风险的方法使您的组织能够通过考虑某种现象的潜在影响及其可能性,使其网络安全计划适应特定的需求和漏洞,”报告总结道。“因此,在观察主要威胁的同时,分析可能对您进行恶意活动的行为者的动机和能力也很重要。”
7、乌克兰网络警察破获2亿美元诈骗团伙
乌克兰警方在一场泛欧洲行动中发挥了自己的作用,挫败了一个主要的网络诈骗团伙,估计造成了2亿美元的损失。该国的网络警察部门、国家警察主要调查部门、总检察长办公室和欧洲刑警组织的代表都参与了这次行动。结果逮捕了五名嫌疑犯,他们都是乌克兰国民,并没收了500个移动设备和电脑设备。他们的家和该组织在基辅和伊万诺-弗兰科夫斯克的呼叫中心一起被搜查。与此同时,欧洲其他地区的警察突袭了其他疑似成员在阿尔巴尼亚、芬兰、格鲁吉亚、德国、拉脱维亚和西班牙的住所。骗子会引诱投资者将资金投入加密货币或交易股票、债券、期货和期权。据乌克兰网络警察称,尽管骗子告诉受害者,他们的投资正在以健康的速度增长,但受害者从未能够套现。为了延续其骗局,该集团在欧洲各地运营呼叫中心,其中乌克兰有三个,员工估计有2000人。据说被捕的五人是呼叫中心的经理。投资欺诈是网络罪犯最大的收入之一。尽管去年向FBI报告的案件只有2.05万起,但这些案件给受害者带来了近15亿美元的损失。乌克兰警方的这次突袭行动是在6月份的一次行动中进行的,在那次行动中,一个网络钓鱼团伙的9名成员被逮捕,他们涉嫌以欧盟财政支持的承诺引诱当地人赚取1亿格里夫尼亚(340万美元)。在两年的行动后被捕的人将根据乌克兰刑法第190条第3部分接受审判,这意味着他们可能面临8年的监禁。
8、LiteSpeed漏洞可能导致Web服务器完全接管
由Palo Alto Networks的研究人员发现的LiteSpeed Web Server漏洞可以被利用来完全控制目标服务器。这些安全漏洞是在对OpenLiteSpeed的审计中发现的,OpenLiteSpeed是LiteSpeed Technologies公司生产的专注于性能的web服务器的开源版本。这两个版本都受到漏洞的影响,它们已经在OpenLiteSpeed 1.7.16.1和LiteSpeed 6.0.12版本中进行了修补。LiteSpeed是一款很受欢迎的网络服务器,Palo Alto Networks的一项分析显示,LiteSpeed有2%的市场份额——其他人说它的市场份额要大得多——有190万个面向互联网的实例在使用它。安全公司的研究人员发现的漏洞可以被用来破坏目标web服务器,并以更高的权限执行任意代码。但是,没有身份验证就不能利用这些缺陷。攻击者必须首先使用暴力攻击或社会工程来获得web服务器仪表板的有效凭证。第一个漏洞被评级为“高严重性”,被跟踪为CVE-2022-0073,与一个允许用户指定服务器启动时要执行的命令的字段有关。第二个漏洞也被评为“高严重性”,被追踪为CVE-2022-0074,可以被利用前一个漏洞的攻击者利用,将特权从“nobody”升级到“root”。第三个漏洞为CVE-2022-0072,是一个目录遍历bug,可以被利用来绕过安全措施,访问被禁止的文件。该安全公司表示:“侵入服务器的攻击者可以创建一个秘密后门,并利用该漏洞访问它。”在Palo Alto Networks向LiteSpeed的开发者报告其发现后大约两周,补丁就发布了。
9、PDF文档阅读器Foxit修补了四个代码执行漏洞
流行的PDF文档阅读器Foxit reader已经更新,以解决多个可用于任意代码执行的免费后使用的安全漏洞。功能丰富的PDF阅读器为用户提供了广泛的功能,包括通过JavaScript支持支持多媒体文档和动态表单,这也扩展了应用程序的攻击面。本周,思科的Talos安全研究人员发布了Foxit Reader JavaScript引擎的四个漏洞信息,这些漏洞可能被用来实现任意代码执行。这些问题被追踪为CVE-2022-32774、CVE-2022-38097、CVE-2022-37332和CVE-2022-40129,其CVSS评分为8.8,被描述为自由后使用的漏洞。“一个特别制作的PDF文档可以触发重用之前释放的内存,这可能导致任意的代码执行,”思科解释道。想要利用这些漏洞的攻击者需要诱骗用户打开恶意文件。思科表示,如果启用了Foxit浏览器插件扩展,当用户导航到恶意网站时,漏洞就会被触发。思科在9月份向Foxit报告了安全缺陷。本周,Foxit发布了版本12.0.1.12430的PDF阅读器来解决所有问题。建议用户尽快更新到最新的软件迭代。
10、NSA发布关于防范软件内存安全问题的指南
美国国家安全局 (NSA) 于11月10日发布指南,以帮助软件开发人员和操作员预防和缓解软件内存安全问题,这些问题占可利用漏洞的很大一部分。
“软件内存安全”网络安全信息表强调了恶意网络行为者如何利用内存管理不善的问题来访问敏感信息、发布未经授权的代码执行并造成其他负面影响。内存管理问题已经被利用了几十年,今天仍然非常普遍,”网络安全技术总监Neal Ziring说。“在开发软件以消除恶意网络参与者的这些弱点时,我们必须始终使用内存安全语言和其他保护措施。”微软和谷歌都表示,软件内存安全问题是其漏洞的大约70%。糟糕的内存管理也会导致技术问题,例如不正确的程序结果、程序性能随着时间的推移而下降以及程序崩溃。NSA建议组织尽可能使用内存安全语言,并通过编译器选项、工具选项和操作系统配置等代码强化防御来加强保护。
