朝鲜黑客使用Konni RAT恶意软件攻击欧盟目标 威胁分析

1、朝鲜黑客使用Konni RAT恶意软件攻击欧盟目标

威胁分析人员发现了一个新的攻击活动，该活动归因于朝鲜黑客组织APT37，针对捷克共和国、波兰和其他欧洲国家的高价值组织。在此活动中，黑客使用称为Konni的恶意软件，这是一种远程访问木马(RAT)，能够在主机上建立持久性并执行权限升级。自2014年以来，Konni一直与朝鲜网络攻击有关，最近，它出现在针对俄罗斯外交部的鱼叉式网络钓鱼活动中。Securonix的研究人员观察和分析了最新且仍在进行的活动 ，他们称之为STIFF#BIZON，其类似于与APT（高级持续威胁）的操作复杂性相匹配的策略和方法。攻击始于一封带有包含Word文档(missile.docx)和Windows快捷方式文件(_weapons.doc.lnk.lnk)的存档附件的网络钓鱼电子邮件。虽然策略和工具集指向APT37，但Securonix强调了APT28（又名FancyBear）支持STIFF#BIZON活动的可能性。研究人员总结道：这次攻击与其之前从FancyBear/APT2 看到的历史数据之间似乎存在IP地址、托管服务提供商和主机名之间的直接关联。国家支持的威胁组织经常试图模仿其他熟练APT的TTP来掩盖他们的踪迹并误导威胁分析师，因此在这种情况下，错误归因的可能性很大。

2、黑客以3万美元的价格出售540万用户的Twitter帐户数据

在威胁行为者利用漏洞建立属于540万个账户（准确数字是5485636）的电话号码和电子邮件地址数据库后，Twitter遭受了数据泄露，这些数据现在在黑客论坛上以30,000美元的价格出售。7月21日，一个被称为“魔鬼”的威胁行为者在被盗数据市场上表示，该数据库包含有关各种帐户的信息，包括名人、公司和随机用户。在与威胁行为者的对话中，BleepingComputer被告知他们在2021年12月使用漏洞收集数据。他们现在以30,000美元的价格出售这些数据，感兴趣的买家已经与他们接洽。正如Restore Privacy首次报道的那样，用于收集数据的漏洞与1 月1日通过HackerOne向Twitter披露并于1月13日修复的漏洞相同。“该漏洞允许任何未经任何身份验证的一方通过提交电话号码/电子邮件来获取任何用户的Twitter ID （这几乎等于获取帐户的用户名），即使用户已在隐私设置中禁止此操作，”安全研究员zhirinovskiy的漏洞披露中说。但Devil告诉BleepingComputer，他们不隶属于zhirinovskiy，也从未使用过HackerOne。此漏洞类似于威胁行为者在2021年抓取5.33亿用户的Facebook帐户数据的方式。Twitter目前尚未确认数据泄露事件，并告诉BleepingComputer，他们正在调查这些说法的真实性。但是，BleepingComputer与黑客共享的一小部分数据样本中列出的一些Twitter用户验证了私人信息（电子邮件地址和电话号码）是准确的。尽管如此，也无法确定出售的540万个账户是否全部有效。

3、CNN独家报道：FBI指华为设备恐干扰美核武通讯

CNN于22日独家报导披露，联邦调查局（FBI）一项长达至少5年的调查显示，中国多年来持续在美国重要基础建设周围购买土地，甚至还发现由中国华为（Huawei）的设备出现在军事基地附近的手机信号塔上。调查指出，该项华为设备有能力捕捉和破坏美国国防部通信，范围甚至涵盖负责监督美国核武的战略司令部（US Strategic Command）。《CNN》报导指出，中国在2017年提出将斥资1亿美元在位于华府的国家植物园内打造一座「中国花园」，除了有多样中式建筑外，还计画建造一座高达70英尺（约21公尺）的「白色巨塔」，潜在的观光收入也获得当地不少官员的支持。不过，当美国反情报官员深入调查细节后，却发现这项计划内有许多危险信号。这座「白色巨塔」被战略性地放在华府最高点之一，而且距离国会大厦仅短短2英里（约3.2公里），几乎是搜集信号情报的最佳地点。最终，FBI官员在动工前便悄悄终止该项目，成为美方近年来积极反间谍行动的其中之一。FBI的调查还发现，华为设备竟然出现在美国中西部军事基地附近的手机信号塔上。多名消息人士指出，FBI已经确定这些设备有能力捕捉和破坏受到高度保护的国防部通讯，范围还涉及负责监督核武的美国战略司令部。华为公司则表示，所有出口到美国的产品都经过FCC的检测和认证，设备仅用于商业用途。

4、加拿大安大略省的小镇圣玛丽斯遭LockBit勒索

加拿大安大略省的小镇圣玛丽斯成为攻击目标。攻击背后的勒索软件组织似乎是LockBit。不过，到目前为止，还没有支付赎金。该镇本身声称大多数城市功能仍在运作，工作人员仍在工作并获得报酬。访问该镇的官方网站时，游客会看到一个包含以下报价的大红框。“圣玛丽镇目前正在调查一起网络安全事件，该事件锁定了我们的内部服务器并加密了我们的数据。我们正在与网络安全专家密切合作，调查事件的根源，恢复我们的备份数据，并评估对我们的影响我们的信息，如果有的话。”该镇行政长官Al Strathdee在一份新闻稿中说，城镇员工、网络安全专家和法律顾问组成的技术娴熟、知识渊博的团队正在全天候工作，以解决与此事件相关的任何问题。圣玛丽镇尽管存在勒索软件问题，但表示所有主要城市功能仍在正常运行，包括交通和水处理。根据LockBit暗网的说法，他们似乎在期待赎金，否则该镇的数据将被泄露，其中可能包括该镇公民的数据。

5、端点爆炸式增长与安全风险正相关

根据端点管理提供商Adaptiva赞助的Ponemon Institute的一份新报告，典型的企业管理着多达135,000台端点设备。端点设备的爆炸式增长使 IT 部门和安全团队更难获得对这些设备的可见性和控制权。这些企业设备中几乎有一半 (48%) 未被IT部门检测到，或者设备的软件已过时。无论哪种方式，这种情况都会产生巨大的风险。报告背后的调查“边缘管理风险和成本”基于629名IT和IT安全从业人员的回应，发现缺乏可见性是63%的组织有效端点安全的最大障碍，比缺乏内部专业知识 (45%)、针对旧漏洞的攻击 (44%) 以及团队缺乏快速和大规模保护设备的能力 (42%)。受访者认为，对其端点最严重的威胁包括勒索软件 (48%)、零日攻击 (45%)、DDoS (45%)、凭证盗窃 (39%) 和分发点蔓延 (34%)。成功的攻击来自企业电子邮件 (41%)、API (36%)、软件更新/补丁 (35%) 和网站 (21%)。报告发现，缺乏自动化和到达端点是端点修补面临的最大挑战。只有36%的受访者表示他们在执行端点维护方面非常有效，而没有明显的停机时间和损失，只有35%的受访者在维护端点法规遵从性方面非常有效。大多数受访者认为他们的风险正在上升。在过去两年中，63%的人表示检测和预防针对其端点的攻击比以往任何时候都更加重要，49%的人表示远程工作趋势使这种检测和预防变得更加困难。

6、卫星通信提供商Inmarsat发布了关于提高海事行业网络安全的指南

IMO 的 2021年网络风险管理规范 (IMO 2021) 为网络安全弹性设定了框架和基线，但 Inmarsat 主张超越简单的监管合规性。随着针对海事部门的网络攻击不断增加，Inmarsat报告将统一威胁管理 (UTM) 推广为管理网络风险的基础。UT 将防病毒程序、防火墙、入侵和检测系统以及内容过滤器等一系列防御措施结合在一个软件和硬件包中。Inmarsa 提供自己的Fleet Secure UTM，据称它简化了安全基础设施的安装和操作。Inmarsat表示，通过使安全性更易于配置和维护，UTM还使海事公司更容易获得主动网络安全。该报告指出，2021年对特定船队中的100艘船只进行了渗透测试。在发送到船队节点的292封电子邮件中，92%被打开，其中的一个链接被 90名海员点击，其中44人继续在网站上输入敏感信息。如果不良行为者成功访问系统，我们行业内的漏洞包括：桥梁系统、货物处理和管理系统、推进和机械管理和电力控制系统、访问控制系统、乘客服务和管理系统、面向乘客的公共网络、行政和船员福利系统和通信系统。

7、美英数据访问协议将于今年晚些时候生效

美国司法部21日表示，美国和英国将于10月正式“生效”一项跨境数据共享协议，该协议使两国的执法调查人员能够更轻松地访问科技公司持有的电子信息。这项被称为“数据访问协议”的合作伙伴关系是国会于2018年通过的《澄清合法海外使用数据或云法案》的结果，该法案旨在改善外国和美国调查人员访问电子数据的法律程序由位于任一国家/地区的公司持有的数据。美国司法部表示， CLOUD法案使美国能够与“对隐私和公民自由有强有力保护的外国合作伙伴”签订双边数据共享协议。虽然司法互助条约允许政府对政府请求访问电子数据以用于执法目的，但该过程可能非常耗时并妨碍对严重犯罪的调查。美英联合声明称，基于CLOUD法案的协议将允许调查人员“更好地访问重要数据，以符合我们共同的价值观和保护公民和维护国家安全的使命的方式打击严重犯罪。” 声明补充说：“数据访问协议将允许我们各国服务提供商持有的与严重犯罪的预防、侦查、调查或起诉有关的信息和证据比以往任何时候都更快地被访问。” “例如，这将有助于我们的执法机构更有效地获取将罪犯绳之以法所需的证据，包括恐怖分子和虐待儿童的罪犯，从而防止进一步的受害。”

8、网络攻击压力激增，美国洛杉矶港求助FBI

洛杉矶港每月遭受大约4000万次网络攻击，其中大部分来自欧洲和俄罗斯，包括前东欧集团国家。这是自 COVID19大流行开始以来攻击次数的两倍。港口已联系联邦调查局寻求帮助。“我们的情报显示威胁来自俄罗斯和欧洲部分地区。我们必须领先于那些想要损害国际贸易的人，”洛杉矶港主管吉恩·塞罗卡在接受BBC采访时说。“我们必须对潜在的网络事件采取一切预防措施，尤其是那些可能威胁或扰乱货物流动的事件。”洛杉矶港现在正与联邦调查局的网络犯罪小组合作，以防止攻击并提高安全性。它还向与IBM建立的网络弹性中心(CRC)投资了数百万美元，用于研究网络犯罪、防止攻击并与FBI共享情报。新的网络弹性中心充当港口的枢纽，接收、分析和与码头上的操作人员共享信息，例如货物装卸工和航运公司。通过这种方式，它增强了情报收集，并为海上供应链中的网络威胁提供了更高的保护。这不是该港口打击网络犯罪的第一次尝试。2014年，洛杉矶港建立了网络安全运营中心，旨在帮助保护港口的内部网络。新设计的CRC以该技术基础设施为基础，提高了港口利益相关者之间网络信息共享的质量、数量和速度。

9、文件显示谷歌向以色列出售的高级人工智能工具

THE INTERCEPT调查的培训材料证实，谷歌正在通过其备受争议的“Project Nimbus”合同向以色列政府提供先进的人工智能和机器学习能力。以色列财政部于2021年4月宣布了一项由谷歌和亚马逊联合建造的价值12亿美元的云计算系统的合同。该部在公告中表示：“该项目旨在为政府、国防机构和其他机构提供全方位的云解决方案。”自从担心他们的努力是否会无意中支持以色列对巴勒斯坦的持续军事占领以来，谷歌工程师一直在花时间。2021年，人权观察和国际特赦组织正式指控以色列通过维持针对巴勒斯坦人的种族隔离制度犯下了危害人类罪。虽然以色列的军事和安全部门已经依赖于复杂的计算机监控系统，但谷歌数据分析产品的复杂性可能会加剧日益以数据为驱动的军事占领。根据The Intercept通过面向Nimbus用户的可公开访问的教育门户网站获得的大量培训 文件和视频，谷歌正在向以色列政府提供可通过谷歌云平台获得的全套机器学习和人工智能工具。虽然他们没有提供关于如何使用Nimbus的具体细节，但文件表明，新的云将为以色列提供面部检测、自动图像分类、对象跟踪，甚至是声称评估图片、语音的情感内容的情感分析的能力，和写作。Nimbus材料引用了通过在线学习服务Coursera为政府人员提供的针对特定机构的培训，并以国防部为例进行了说明。监督组织Tech Inquiry的主管Jack Poulson在发现以色列的合同文件中引用了该门户网站的地址后，与The Intercept分享了该地址。The Intercept获得的文件首次详细介绍了通过Nimbus合同提供的Google Cloud功能。谷歌没有回应置评请求。

10、拜登政府希望规范美国的网络行动

一名高级网络官员说，白宫正在审查一项关键的网络行动政策，希望对其进行改进，以确保进攻性网络能力得到适当使用，并在需要时做好准备。国家安全委员会负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)表示，白宫需要对特朗普政府2018年实施的一项政策进行审查，该政策通常被称为国家安全总统备忘录13，以确保美国使用进攻性网络能力“符合我们的外交政策目标”。纽伯格7月20日在阿斯彭安全论坛(Aspen Security Forum)上说，拜登政府目前正在重新制定该政策，该政策赋予美国网络司令部更多的自由裁量权，以参与对时间敏感的网络行动，确定网络能力是否“有弹性、灵活，并随时准备在需要时使用”，并检查适当的流程和审查是否到位。