網絡空間安全對抗資訊速遞
1、俄羅斯政府批準了網絡安全文化發展的概念
俄羅斯總理米哈伊爾·米舒斯京簽署了一項關于批準俄羅斯信息安全文化形成和發展概念的法令。該文件發布在官方信息安全門戶網站上。該概念將信息安全威脅定義為信息泄露、未經授權訪問資源(從技術角度),以及數字空間中的欺凌、虛假和惡意內容的傳播(從心理學角度)。國家政策在提升信息安全文化方面的戰略目標是培養公民應對網絡威脅的技能,提高網絡素養的整體水平。根據該文件,計劃定期監測公民的文化水平,向他們傳達有關不遵守網絡衛生規則的可能后果的信息,并增強他們“對數字服務,包括公共服務”的信心。該概念特別關注與18歲以下和45歲以上的公民一起工作,作為“最脆弱的類別”。此外,它有望提高官員的網絡素養。該概念指出,在與官員合作時,應特別強調應對網絡威脅的實用技能。
2、FBI建議用戶安裝廣告攔截器
新年假期前夕,FBI發布了用戶指南,以幫助避免互聯網上的欺詐計劃。除其他外,該局的專家建議用戶安裝廣告攔截器。該部門網站上的消息中說明了這一點。專家稱,黑客利用廣告進行網絡釣魚以及竊取個人數據和銀行信息。詐騙者經常將他們的網站冒充為品牌制造商的門戶網站并加以利用。FBI建議個人采取以下預防措施:在點擊廣告之前,請檢查URL以確保該網站是真實的。惡意域名可能與預期的URL相似,但有拼寫錯誤或放錯了字母。與其搜索企業或金融機構,不如將企業的URL輸入互聯網瀏覽器的地址欄以直接訪問官方網站。執行互聯網搜索時使用廣告攔截擴展程序。大多數互聯網瀏覽器允許用戶添加擴展,包括阻止廣告的擴展。這些廣告攔截器可以在瀏覽器中打開和關閉,以允許某些網站上的廣告同時阻止其他網站上的廣告。FBI建議企業采取以下預防措施:使用域保護服務在注冊類似域時通知企業以防止域欺騙;向用戶宣傳欺騙性網站以及確認目標URL正確的重要性;教育用戶在哪里可以找到企業提供的程序的合法下載。
3、新的信息竊取惡意軟件通過虛假破解站點感染軟件盜版者
一種名為“RisePro”的新型信息竊取惡意軟件正在通過由PrivateLoader按安裝付費(PPI)惡意軟件分發服務運營的虛假破解站點進行分發。RisePro旨在幫助攻擊者從受感染的設備中竊取受害者的信用卡、口令和加密錢包。本周Flashpoint和Sekoia的分析師發現了該惡意軟件,兩家網絡安全公司都確認RisePro是一個以前未記錄的信息竊取程序,現在通過假軟件破解和密鑰生成器進行分發。Flashpoint報告稱,威脅行為者已經開始在俄羅斯暗網市場上出售數以千計的RisePro 志(從受感染設備竊取的數據包)。Sekoia現PrivateLoader 和RisePro之間存在廣泛的代碼相似性,這表明惡意軟件分發平臺現在可能正在傳播自己的信息竊取程序,無論是為自身還是作為服務。目前,RisePro可以通過Telegram購買,用戶還可以與開發者和受感染的主機(Telegram bot)進行交互。
4、視頻會議的擔憂與日俱增,中小型企業成為網絡攻擊的目標
鑒于視頻會議現在在企業如何與員工、客戶、客戶、供應商和其他人互動方面發揮著關鍵作用,這些平臺存在重大的潛在安全風險。組織使用視頻會議討論并購、法律、軍事、醫療保健、知識產權和其他主題,甚至企業戰略。丟失這些數據對公司、其員工、客戶和客戶來說可能是災難性的。Aite-Novarica Group最近一份關于視頻會議安全的報告顯示,93%的受訪IT專業人員承認他們的視頻會議解決方案存在安全漏洞和巨大風險。最相關的風險之一是缺乏對對話的受控訪問,這可能導致中斷、破壞、損害或敏感信息的泄露,而使用不安全、過時或未打補丁的視頻會議應用程序可能會暴露安全漏洞。遠程工作者使用視頻會議軟件很容易成為各種類型攻擊的目標。例如,在大流行期間的第一次在家工作浪潮之后, “Zoom-bombing”和其他攻擊脫穎而出。
5、英國網絡部隊招募IT和俄語專家
英國國家網絡部隊(NCF)正在招募專家對其他國家進行黑客攻擊。《泰晤士報》于12月21日援引情報部門副司令湯姆·科平格-西姆斯中將的話報道了這一消息。正如報道所寫,所有NCF計劃涉及大約3000名IT專家。了解Python、C++、Java、JavaScript、Rust等編程語言者優先。此外,特勤局還招募具有數學和精密科學知識并擁有“英語、俄語和阿拉伯語教育文憑”的思維奇特的人。國家網絡部隊于2020 年11月成立。NCF由武裝部隊、安全部門、政府通信中心(GCHQ)和國防科學技術實驗室(DSTL)組成,受單一指揮。NCF的主要傷是時任英國首相鮑里斯·約翰遜呼吁反對網絡領域的惡意行為。泰晤士報還指出,私人IT專家已經幫助英國擊退了對烏克蘭當局的網絡攻擊。該計劃的成本達635萬英鎊(770萬美元)。
6、HP報告稱隱藏在壓縮文檔中的惡意軟件居首位
HP Inc.發布了2022年第三季度的HP Wolf安全威脅洞察報告,該報告顯示ZIP和RAR文件等存檔文件格式是惡意軟件擴散的最常見文件類型。這是三年來它們的性能首次超過Office文件。報告的結果基于對真實網絡攻擊的分析。惠普如何幫助企業跟上網絡犯罪分子使用的最新攻擊技術。該研究基于來自數百萬運行HP Wolf Security的終端設備的匿名使用數據。它發現44%的惡意軟件包含在存檔文件中——比上一季度增加了11%。32%是通過Microsoft Word、Excel和PowerPoint等Office文件分發的。當前的報告確定了幾個將存檔文件的使用與新的HTML走私技術相結合的活動。在這里,網絡罪犯將惡意存檔文件嵌入到HTML文件中,并繞過電子郵件網關發起攻擊。
7、4億Twitter用戶數據待售
一個威脅行為者聲稱他們已經獲得了400,000,000名Twitter用戶的數據并將其出售。賣家聲稱該數據庫是私人的,他提供了1,000個帳戶的樣本作為證明,其中包括Donald Trump JR、Brian Krebs等知名用戶的私人信息。賣家是名為Ryushi的數據泄露論壇的成員,聲稱數據是通過漏洞抓取的,其中包括名人、政客、公司、普通用戶的電子郵件和電話號碼,以及大量OG和特殊用戶名。賣家還邀請Twitter和Elon Musk購買數據以避免GDPR訴訟。賣家還宣布此次銷售由Breached論壇管理員(pompompurin )提供的托管服務涵蓋。周五,愛爾蘭數據保護委員會就8月份的數據泄露事件對Twitter展開調查,據報道,該事件影響了540萬Twitter用戶。“數據越來越有可能是有效的,并且可能是從API漏洞中獲得的,使威脅行為者能夠查詢任何電子郵件/電話并檢索Twitter個人資料,這與我最初在2021年報告的Facebook 5.33億數據庫導致Meta被罰款2.75億美元。” 威脅情報公司Hudson Rock的聯合創始人Alon Gal解釋說。
8、專家在ZyXEL LTE3301 M209路由器中發現后門憑據
安全研究員ReSolver宣布在ZyXEL LTE3301-M209 LTE室內路由器中發現了硬編碼憑據(CVE-2022-40602)。在之前的研究中,專家在 D-Link DWR-921中發現了一個Telnet后門,該后門也存在于ZyXEL LTE3301-M209中。研究人員分析了Commander ELF,重點關注D-Link路由器中包含后門的amit*函數。“固件基本上是3個部分的組合,LZMA部分是內核,0x148CD6是root-fs,0x90BD36是www內容。” 專家寫道。“在最后一個Squashfs中,有一個[censored]文件,它在0x10處包含Zlib魔術字節。”盡管他沒有找到Telnet憑據,但他在 webUI中發現了一個看起來像后門的東西。“和以前一樣,解壓config.dat將包含telnet登錄密碼”專家說。“讓我們把事情放在一起:在ZyXEL LTE3301上,我們有兩種方式擁有該設備:webUI 憑據 –> 用戶名/WebUIFakePassword;telnet 憑據–>root/TelnetFakePassword。受影響設備的所有者必須盡快使用最新的固件版本對其進行升級。2022年11月22日:ZyXEL的安全公告發布。已發布固件修復程序。
9、黑客正在利用WordPress禮品卡插件中的漏洞
黑客正積極針對YITH WooCommerce Gift Cards Premium中的一個嚴重缺陷,這是一個在50,000多個網站上使用的WordPress插件。YITH WooCommerce禮品卡高級版是網站運營商在其在線商店中銷售禮品卡的插件。利用此漏洞,跟蹤為CVE-2022-45359 (CVSS v3:9.8),允許未經身份驗證的攻擊者將文件上傳到易受攻擊的站點,包括提供對該站點的完全訪問權限的Web shell。CVE-2022-45359于 2022年11月22 日向公眾披露,影響3.19.0 之前的所有插件版本。解決該問題的安全更新版本為3.20.0,而供應商目前已經發布了 3.21.0,這是推薦的升級目標。不幸的是,許多網站仍在使用舊的、易受攻擊的版本,并且黑客已經設計出有效的漏洞來攻擊它們。據 Wordfence的WordPress安全專家稱,野外利用正在大量進行,黑客利用該漏洞在網站上上傳后門,獲取遠程代碼執行,并進行接管攻擊。建議使用YITH WooCommerce Gift Cards Premium插件的用戶盡快升級到3.21版本。
