网络空间对抗资讯快报

1、土耳其黑客使用Yandex和Google投递恶意软件长达三年

Check Point研究人员将讲突厥语的组织Nitrokod归因于一项活跃的加密货币挖矿活动，其中包括自2019年以来使用虚假桌面投放应用程序感染11个国家/地区的111,000多名受害者。Check Point研究副总裁Maya Horowitz表示 ，任何人都可以使用恶意工具。它们可以通过搜索Internet找到，从链接下载，并通过双击安装。该运动影响了以下国家的受害者：英国、美国、斯里兰卡、希腊、以色列、德国、土耳其、塞浦路斯、澳大利亚、蒙古和波兰。恶意软件通过托管在Softpedia和Uptodown等流行网站上的免费软件进行分发。值得注意的是，该恶意软件会将其执行延迟数周，并将其恶意活动与下载的假软件分开以避免被发现。一旦安装了受感染的程序，更新可执行文件就会被部署到磁盘上，这会启动一个4阶段的攻击序列，其中每个dropper准备下一个，直到恶意软件在第七阶段被删除。一旦恶意软件启动，就会与远程命令和控制(C&C)服务器建立连接，以获取配置文件以启动加密劫持。Nitrokod 活动的显着特点是假软件针对没有官方桌面版本的服务：Yandex翻译器；谷歌翻译;微软翻译；YouTube音乐；MP3 下载管理器；电脑自动关机。此外，恶意软件在初始感染后近一个月被删除，此时取证线索被删除。这使得分析攻击并将其追溯到安装程序变得困难。Horowitz表示，黑客可以轻松更改攻击的最终有效载荷，将其从加密矿工更改为勒索软件或银行木马。

2、在ICS黑客竞赛中利用的OPC UA漏洞的详细信息现在披露

软件开发和安全解决方案提供商JFrog披露了影响OPC UA协议的多个漏洞的详细信息，包括其员工在今年早些时候的黑客竞赛中利用的漏洞。OPC UA（开放平台通信联合架构）是一种机器对机器通信协议，许多工业解决方案提供商使用它来确保各种类型的工业控制系统(ICS)之间的互操作性。JFrog的研究人员在OPC UA中发现了几个漏洞，并在4月的Pwn2Own Miami 2022比赛中披露了其中一些漏洞，参赛者因入侵ICS获得了总计400,000美元的奖金。在 Pwn2Own的OPC UA服务器类别中，最高奖金为40,000美元，用于绕过受信任的应用程序检查，参与者可以因远程代码执行缺陷而获得20,000美元。JFrog研究人员通过针对OPC UA .NET标准服务器、GitHub上数百个其他存储库使用的开源服务器和统一自动化OPC UA C++演示服务器的两次拒绝服务(DoS)攻击，每人赚取了5,000美元。Pwn2Own 中提出的两个漏洞可用于使OPC UA服务器崩溃。DoS缺陷可能会在ICS的情况下产生重大影响，因为它们可能导致关键流程的中断。JFrog在上周发表的一篇博文中披露了它的发现。此外，JFrog研究人员还向Unified Automation 报告了其他8个漏洞。这些问题是在基于Unified Automation C++的OPC UA服务器SDK 发现的，并且在SDK的1.7.7版本中得到了修复。其中两个漏洞可以允许具有提升权限的攻击者在服务器上实现远程代码执行。由于时间和稳定性限制，这些安全漏洞不符合Pwn2Own的条件，但上周JFrog在另一篇博客文章中披露了它们的详细信息。

3、研究人员在25,000个WordPress网站上发现了恶意插件

治亚理工学院的研究人员已经在数以万计的WordPress网站上发现了恶意插件。对超过400,000个唯一网络服务器的夜间备份的分析显示，在近25,000个唯一的WordPress网站上安装了超过47,000个恶意插件。这些插件中的94%以上（超过44,000个）今天仍在使用。超过3,600个已识别的恶意插件是从CodeCanyon、Easy Digital Downloads 和ThemeForest等合法市场购买的。学者们在一篇研究论文中说，这些插件中的大多数都没有使用混淆来隐藏它们的恶意行为。用于研究的数据集跨越了2012年7月至2020年7月之间的八年时间，显示安装的恶意插件数量稳步增加，活动在2020年3月达到峰值。据研究人员称，攻击者购买流行的免费插件的代码库，然后添加恶意代码并等待用户应用自动更新。还观察到攻击者冒充良性插件作者通过盗版插件分发恶意软件。学者们说：“虽然网站所有者信任插件生态系统，并且仅在我们数据集中的插件上花费了730万美元，但我们发现这种信任经常因攻击者的金钱收益而被打破。”为了进行分析，研究人员构建了一个名为YODA的恶意插件检测和跟踪自动化框架，该框架针对属于网站备份提供商CodeGuard客户的 00,000个Web服务器的数据集进行部署。在已识别的恶意插件中，超过10,000个使用了webshell和代码混淆。研究人员还发现了插件到插件感染的案例，其中恶意插件感染同一Web服务器上的其他插件，复制其行为。总体而言，超过40,000个插件实例在部署后受到感染。在许多情况下，攻击者滥用基础设施将恶意插件注入网站，然后试图保持对Web服务器的访问。已识别的恶意插件中的一些行为在2012年底很流行，而另一些则是最近才引入的。然而，无论新旧与否，这些行为在当今的恶意插件中仍然很普遍。

4、LockBit勒索软件团伙实施三重勒索策略

LockBit勒索软件团伙宣布，它正在改进对分布式拒绝服务(DDoS)攻击的防御，并努力将该行动提高到三重勒索水平。该团伙最近遭受了DDoS攻击，据称代表数字安全巨头Entrust，该攻击阻止了对其公司泄密网站上发布的数据的访问。据BleepingComputer消息人士称，来自Entrust的数据在6月18日的一次攻击中被LockBit勒索软件窃取。该 公司证实了这一事件 ，并且数据已被盗。Entrust没有支付赎金，LockBit宣布将在8月19日公布所有被盗数据。但这并没有发生，因为该团伙的泄密站点遭到 据信与Entrust相关的DDoS攻击。LockBit勒索软件操作的面向公众的人物LockBitSupp宣布，该组织已重新开展业务，拥有更大的基础设施，可以访问不受DDoS攻击影响的泄漏。上周末的DDoS攻击暂时阻止了Entrust数据的泄露，这被视为探索三重勒索策略以向受害者施加更大压力以支付赎金的机会。LockBitSupp表示，勒索软件运营商现在正在寻求将DDoS作为一种勒索策略，以加密和泄露数据。“我正在团队中寻找dudosers [DDoSers]，现在我们很可能会攻击目标并提供三重勒索、加密 + 日期泄露 + dudos，因为我已经感受到了dudos的力量，以及它如何让生活变得更加有趣， ” LockBitSupp在一个黑客论坛的帖子中写道。该团伙还承诺分享从Entrust窃取的超过300GB的洪流数据，以便“全世界都知道你的秘密”。LockBit的发言人表示，他们将与任何联系他们的人私下分享Entrust数据泄漏，然后再通过洪流提供。LockBit似乎信守承诺，并在本周末发布了一个名为“entrust.com”的种子文件，其中包含343GB的文件。

5、德国下令禁用数字广告以节省汽油

德国已下令在夜间关闭不需要的数字标牌，以节省天然气储备用于更重要的用途。与许多欧洲国家一样，德国依赖从俄罗斯进口天然气。而且由于俄罗斯在乌克兰的特殊军事行动，这种气体目前供不应求。因此，欧盟制定了节能计划。德国的一种策略是在晚上10点至早上6点之间关闭商店橱窗和其他非必要场所的数字标牌。德国还将停止一些公共建筑的户外照明，并采取许多其他节能措施。要求关闭的文件于8月12日发布，执行截止日期为9月1日。但根据德文版Invidis的说法，该裁决极为模糊。例如，更新后的条例似乎犯了一个简单的错误，将06:00改为16:00。因此，数字标牌只能在16:00到22:00之间工作。Invidis还指出，公交车站和火车站的标牌现在将具有显示广告和时间表信息的双重功能。据报道，像这样的错误和模棱两可让电子牌所有者对他们需要做什么感到困惑，并担心他们可能会错过最后期限。更复杂的事情是完全关闭屏幕而不是让它们空白的要求。数字标牌很少被关闭，零售员工必须学习如何遵守这些要求。他们中的许多人使用计算机——一些在Android上运行，另一些使用计算模块、英特尔 NUC甚至Raspberry Pi。因此，管理员将不得不应对额外的重新启动。此外，内容更新也存在问题，通常会在一夜之间进行。

6、Karakurt勒索软件组织专门攻击医疗卫生机构

美国卫生与公众服务部卫生部门网络安全协调中心(HC3)指出，自6月以来，Karakurt勒索软件组织发起了至少四次攻击，影响了美国的医疗保健和公共卫生部门。“观察到的攻击影响了一家辅助生活设施、一家牙科公司、一家医疗保健提供者和一家医院，”HC3在一份分析师报告中表示。“根据开源报告，Karakurt通常会在大约两个月的时间内对其目标进行扫描、侦察和收集。威胁参与者可以访问包含患者姓名、地址、社会安全号码、出生日期、病史信息、医疗诊断信息、治疗信息、病历编号和健康保险信息的文件。然后威胁行为者威胁要发布信息，除非支付赎金，“它补充道。本月早些时候，医疗物联网安全公司Cynerio也在一份报告中披露，网络攻击越来越多地针对医疗机构，攻击范围广泛且反复发生，经济损失达数百万，并且经常未能采取基本的网络安全措施。尽管落后的安全实践助长了网络攻击，但失败的衡量标准是死亡人数而不是财政损失。Karakurt勒索软件组织，也称为Karakurt团队和Karakurt Lair，是一个相对较新的网络犯罪组织，研究人员报告其在去年年底首次出现。HC3公告称，Karakurt攻击者声称窃取数据，然后威胁将其拍卖或向公众发布，除非他们收到要求的赎金，已知赎金在25,000美元至13,000,000美元的比特币之间，与付款截止日期通常会在与受害者第一次接触后的一周内到期。HC3 说明指出，一旦获得对受感染系统的访问权限，Karakurt勒索软件组就会部署Cobalt Strike 标来枚举网络，安装 Mimikatz以提取纯文本凭据，使用AnyDesk获得持久远程控制，并利用其他情况 -用于提升权限并在网络内横向移动的相关工具。

7、对爱沙尼亚媒体的网络攻击是一贯行动的一部分  

爱沙尼亚IT和外贸部长Kristjan Järvan (Isamaa)上周晚些时候表示，26日对爱沙尼亚主要私人媒体机构的网络攻击是此类事件长期持续浪潮的一部分。他补充说，国家网站和服务比私营部门更容易受到黑客的保护，尽管国家也向后者提供了支持，以加强他们的网络卫生。Järvan说：“从政府决定开始更积极地处理‘红色’纪念碑的那一刻起，我们无疑看到了[袭击]的增加。从更大的角度来看，这仍然是俄罗斯反对西方的整个战争的一部分。”Järvan还强调，虽然私营媒体公司受到影响，26日早上网站关闭了几个小时，但公共广播公司ERR没有。“ERR受到国家措施的保护，恰恰是那些在紧急情况下获得额外资金的措施。这在攻击上升的情况下充分证明了自己，”Järvan继续说道。得益于专门的国家网络安全机构RIA CERT-EE团队，关键的国家服务也得到了很好的保护。虽然一个国家机构，铁路运营商Eesti Raudtee上周五（26日）也受到了网络攻击的一些负面影响，暗示仍然需要做更多的工作，但基本的在线服务仍然完好无损。Ekspress Grupp的技术人员不断与国家信息系统局(RIA，类似于NSA或GCHQ)就网络攻击保持了良好的沟通协调。受攻击的Ekspress Grupp出版两个周刊，Eesti Ekspress 和Maaleht，日报Eesti Päevaleht，所有这些周刊都有网站和印刷版本，以及门户网站Delfi和其他一些出版物。

8、美国NSA和CyberCOM将捍卫中期选举网络安全

距离中期选举还有75天，国防部与跨部门合作伙伴一起全力保护美国选举制度免受外国干涉和外国影响。

“对于美国网络司令部和国家安全局来说，这是一项持久的、不失败的任务，他们为整个政府的努力带来了独特的见解和行动，”美国网络司令部司令、NSA局长Paul M.Nakasone说。“我们齐心协力，以速度和统一的努力打击任何可能试图破坏我们民主制度的外国对手。”美国网络司令部-美国国家安全局联合选举安全小组于2022年初再次成立，协调两个组织的努力，以扰乱、阻止和削弱外国对手干预和影响美国公民投票方式和计票方式的能力。该小组带头国防部的工作，并由美国空军准将共同领导。美国网络司令部联合负责人兼网络国家任务部队副指挥官维克多·马西亚斯将军和美国国家安全局高级执行官兼选举安全联合负责人安娜·霍里根女士。“ESG团队由该领域的一些最优秀和最聪明的人组成，”Horrigan说。“我们在之前的成功基础上再接再厉，同时最大限度地发挥我们牢固的关系并经常同步——使美国能够迅速应对选举威胁。”ESG的主要目标是深入了解可能干预或影响选举的外国对手，通过与跨机构、行业和盟国合作伙伴共享信息来加强国内防御，并对寻求破坏民主进程的外国行为者施加成本。与之前的选举周期一样，美国网络司令部和国家安全局在政府和行业中密切合作，是整个政府努力的关键组成部分。该组织直接支持国土安全部和联邦调查局等合作伙伴收集、解密和共享有关外国对手的重要信息，以支持国内在选举安全方面的努力。

9、 C、C++代码漏洞查找工具Galois现在开源

Galois是一家专门研究和开发新技术的公司，它开源了一套工具，用于识别C 和 C++代码中的漏洞。这些工具被称为MATE，是美国空军和国防高级研究计划局(DARPA)支持的合作成果。现在可在BSD 3条款许可下使用，MATE依赖于代码属性图(cpg)来进行静态程序分析，并可以识别依赖于实现细节和高级语义的特定于应用程序的bug。CPG包括目标的抽象语法树(AST)、调用图(CG)、控制流图(CFG)、过程间控制流图(ICFG)、过程间数据流图(DFG)、控制依赖图(CDG)、内存布局和DWARF类型图、点到图(PTG)以及源代码到机器代码的映射。该套件包括在CPG基础之上构建的多个应用程序，包括Flowfinder、MATE Notebooks、MATE POI和Mantiserve。Flowfinder提供了一个基于浏览器的用户界面，有助于探索程序的代码属性图，用于数据流的过程间分析。它支持扩展和收缩代码和数据的语义表示，以及创建和操作组件之间流的可视化。MATE Notebooks，MATE使用Python API来查询CPG，并提供对交互式Jupyter notebook的访问以编写整个程序查询。该套件还带有几个用于漏洞检测的自动分析，称为兴趣点 (POI)，它们是用相同的Python API编写的。可以在Flowfinder中查看潜在漏洞。Mantiserve 旨在将 CPG 与 Manticore 符号执行工具集成，从而能够分析低级问题，包括内存损坏。Manticore可以在两种模式下使用，即“探索”（用于在传统的符号执行期间发现内存损坏）和“欠约束的符号执行”（从程序中的任意函数开始）。Galois解释说，MATE的欠约束功能使用户能够分析对于使用传统符号执行进行分析来说太大或复杂的程序部分，同时还允许他们提供约束以消除误报。除了帮助研究人员寻找C 和 C++应用程序中的错误外，MATE还旨在帮助将CPG 和相应的Python API集成到其他程序中。

10、领先的图书馆服务公司Baker&Taylor遭勒索软件攻击

Baker&Taylor自称是全球最大的图书馆图书分销商，29日证实，在一周多前遭到勒索软件攻击后，它仍在努力恢复系统。正如Baker&Taylor在8月23日所说 ，在一次影响公司电话系统、办公室和服务中心的服务中断后，其服务器停机。一天后，这家图书馆服务提供商透露 ，该事件导致其关键业务系统的中断将持续一周，而技术团队正在努力恢复受影响的服务器。公司声明称，“网络攻击对所有公司的威胁越来越大，不幸的是，我们和其他人一样成为黑客攻击的受害者。我们的IT团队和外部专家正在不停地工作以恢复我们的系统。”“我们将继续提供更新，并期待尽快恢复正常运营。”目前，没有关于攻击背后是什么勒索软件组织或附属机构的信息。尽管如此，根据该公司表示正在努力恢复受影响的服务器的声明，可以肯定地说Baker & Taylor不会支付赎金要求。Baker& aylor是一家成立于190多年前的私营公司，是美国和全球领先的图书馆内容和软件供应商。它位于北卡罗来纳州夏洛特，目前为 5,000多个公共和学术图书馆提供服务。