網絡空間對抗資訊快報

1、國防巨頭埃爾比特公司證實遭勒索軟件團伙入侵

以色列國防巨頭埃爾比特系統公司(Elbit Systems)的子公司美國埃爾比特系統公司(Elbit Systems of America)證實，該公司的數據遭到了泄露。幾個月前，一個勒索軟件團伙聲稱入侵了該公司的系統。這家總部位于得克薩斯州沃斯堡的公司在發給緬因州總檢察長辦公室的通知中說，黑客入侵發生在6月8日，當天就被發現了。只有369人受到影響。代表埃爾比特公司的一家律師事務所向受影響的客戶發出通知稱，該公司在注意到其網絡上的異常活動后發現了漏洞。該網絡立即被關閉，并采取措施保護了現場環境。在一家網絡安全公司的協助下的調查顯示，攻擊者可能已經獲得了屬于某些員工的信息，包括姓名、地址、社保號、出生日期、直接存款信息和種族。該公司表示，受影響的個人已于7月收到通知，并提供12個月的免費身份保護和信用監控服務。美國埃爾比特系統公司提供國防、商業航空、國土安全、醫療儀器、執法以及維護和支持解決方案。Black Basta勒索軟件團伙在6月底宣布對美國埃爾比特系統公司進行黑客攻擊。該組織位于托爾的泄露網站顯示，從埃爾比特公司竊取的所有文件都已公開，這表明該國防公司拒絕了支付黑客贖金的要求。

2、美參議員推動改革警方的手機追蹤工具

民權律師和民主黨參議員正在推動立法，限制美國執法機構購買手機追蹤工具跟蹤人們行蹤的能力，包括追蹤幾年前的行蹤，有時甚至是在沒有搜查證的情況下。美聯社(the Associated Press)在本月早些時候發表的一項調查中提出的有關警方使用名為“迷霧揭示”(Fog Reveal)工具的擔憂，也在三周前的聯邦貿易委員會(Federal Trade Commission)聽證會上浮出水面。根據有關該公司的數千頁記錄，警方一直在使用該平臺搜索從2.5億臺移動設備收集的數千億記錄，并收集人們的地理位置數據，以組合所謂的“生活模式”。Fog Reveal由總部位于弗吉尼亞州的Fog Data Science LLC出售，至少從2018年起就被用于刑事調查，從阿肯色州一名護士被謀殺，到追蹤1月6日國會大廈暴動的潛在參與者的活動。在法庭記錄中很少提及這種工具，辯護律師說，這使得他們更難在使用這種技術的案件中為當事人進行恰當的辯護。“美國人越來越意識到，他們的隱私正在他們眼前蒸發，現實世界的影響可能是毀滅性的。今天，我們都聽說過的公司，以及我們完全不知道的公司，正在收集關于我們去哪里、做什么以及我們是誰的大量數據，”馬薩諸塞州民主黨參議員埃德·馬基(Ed Markey)說。參加聯邦貿易委員會聽證會的小組成員和公眾成員還對流行應用程序生成的數據如何被用于監視目的提出了擔憂，或者“在某些情況下，被用于推測身份，對現實世界中的人造成直接傷害，并被重新用于執法和國家安全目的，如前面提到的，”隱私未來論壇(Future of Privacy Forum)美國項目高級主管斯泰西·格雷(Stacey Gray)說。聯邦貿易委員會拒絕就Fog Reveal發表具體評論。

3、黑客使用PowerPoint文件進行“鼠標懸停”攻擊投遞惡意軟件

據信為俄羅斯工作的黑客已經開始使用一種新的代碼執行技術，該技術依賴于Microsoft PowerPoint演示文稿中的鼠標移動來觸發惡意PowerShell腳本。惡意代碼不需要惡意宏來執行和下載有效負載，從而進行更隱蔽的攻擊。來自威脅情報公司Cluster25的一份報告稱，俄羅斯GRU（俄羅斯總參謀部主要情報局）的威脅組織APT28（又名“Fancy Bear”）最近使用了這種新技術來傳播Graphite惡意軟件。威脅行為者使用PowerPoint (.PPT) 文件引誘目標，該文件據稱與經濟合作與發展組織 (OECD) 相關，該組織是一個致力于刺激全球經濟進步和貿易的政府間組織。在PPT文件中有兩張幻燈片，均以英文和法文提供了使用Zoom視頻會議應用程序中的解釋選項的說明。PPT文件包含一個超鏈接，用作使用S syncAppvPublishingServer實用程序啟動惡意PowerShell腳本的觸發器。自 2017年6月以來，該技術已被記錄在案。多名研究人員當時解釋了感染是如何在沒有嵌套在Office文檔中的惡意宏的情況下進行的。根據發現的元數據，Cluster25表示，攻擊中使用的UR在8月和9月似乎很活躍。當以演示模式打開誘餌文檔并且受害者將鼠標懸停在超鏈接上時，會激活惡意PowerShell腳本以從Microsoft OneDrive帳戶下載 JPEG文件（“DSC0002.jpeg”）。該JPEG是一個加密DLL 的文件 ( lmapi2.dll )，它被解密并放在“C:\ProgramData\”目錄中，稍后通過rundll32.exe執行。還為DLL 創建了一個用于持久性的注冊表項。最終是生成的有效負載是可移植可執行 (PE)形式的Graphite惡意軟件。

4、新的Erbium口令竊取惡意軟件隨著游戲破解、作弊而傳播

新的“Erbium”信息竊取惡意軟件正在作為流行視頻游戲的虛假破解和作弊程序分發，以竊取受害者的憑據和加密貨幣錢包。Erbium是一種新的惡意軟件即服務(MaaS)，它為訂閱者提供了一種新的信息竊取惡意軟件，由于其廣泛的功能、客戶支持和有競爭力的價格，該惡意軟件在網絡犯罪社區中越來越受歡迎。本月早些時候，Cluster25團隊的研究人員率先報道了Erbium，但Cyfirma的一份新報告分享了有關口令竊取木馬如何分發的更多信息。與該領域“事實上的”選擇RedLine竊取器相比，Erbium的成本大約是三分之一，因此它旨在擾亂威脅參與者常用的惡意軟件市場。與其他信息竊取惡意軟件一樣，Erbium將竊取存儲在網絡瀏覽器（基于Chromium或Gecko）中的數據，例如口令、cookie、信用卡和自動填充信息。該惡意軟件還試圖從作為擴展安裝在網絡瀏覽器上的大量加密貨幣錢包中竊取數據。Erbium還從Trezor口令管理器、EOS Authenticator、Authy 2FA和Authenticator 2FA竊取兩因素驗證碼。雖然Erbium仍在進行中，但黑客論壇上的用戶對作者的努力和傾聽客戶請求的意愿表示贊賞。Cluster25報告了全球范圍內的Erbium感染跡象，包括美國、法國、哥倫比亞、西班牙、意大利、印度、越南和馬來西亞。

5、全球公司每天處理51起安全事件

根據Trellix的一份新報告，安全運營(SecOps)團隊每天都在努力應對數十起網絡安全事件。這家安全供應商對來自 15個市場的500多名員工的組織的9000名安全決策者進行了調查，以編制其最新研究報告，即XDR：重新定義網絡安全的未來。調查發現，平均SecOps團隊每天必須管理51起事件，36%的受訪者聲稱他們每天要處理50到200起事件。約一半(46%)同意他們“被永無止境的網絡攻擊所淹沒”。該研究稱，部分問題在于安全、檢測和響應系統的孤立性質。大約60%的受訪者認為，產品集成度差意味著團隊無法高效工作，而三分之一(34%)的受訪者承認他們存在盲點。因此，60% 的人承認他們無法跟上安全威脅的快速發展步伐，這也許不足為奇。這可能會對底線產生重大影響。Trellix采訪的絕大多數(84%)安全決策者估計，他們的組織在過去一年因安全漏洞損失了高達10%的收入。中型企業（收入50至1億美元）平均損失8%的收入，而營業額為100億至250億美元的大型企業則為5%。這可能意味著由于 SecOps不足，每年都會浪費數億美元。單獨的研究強調了這可能對SecOps分析師造成的身心傷害。趨勢科技去年的一份報告稱，70%的急救人員在工作之外感到壓力很大，以至于他們無法關閉或放松，并且對朋友和家人感到煩躁。更糟糕的是，這種壓力導致威脅檢測和響應的結果不佳。在SOC或IT安全部門，許多受訪者承認關閉警報(43%)、離開計算機(43%)、希望其他團隊成員介入(50%)或完全忽略警報(40%)。

6、TikTok面臨2700萬英鎊的英國監管罰款

英國隱私監管機構宣布有意對違反該國數據保護法的TikTok處以2700萬英鎊的罰款。信息專員辦公室(ICO)向這家中國社交網絡巨頭發出了一份“意向通知”，解釋說它認為TikTok在2018年至2020年期間違反了法律。ICO的臨時調查結果表明，TikTok可能有：未經“適當”父母同意處理13歲以下兒童的數據；未能“以簡潔、透明和易于理解的方式”向用戶提供信息；在沒有法律依據的情況下處理特殊類別數據——包括種族和種族、遺傳、健康和生物特征數據等。信息專員約翰愛德華茲認為，TikTok沒有履行保護其最年輕用戶隱私的法律義務。“我很清楚，我們更好地保護在線兒童的工作涉及與組織合作，但也會在必要時涉及執法行動，”他補充道。“除此之外，我們目前正在調查 50多種不同的在線服務如何符合兒童守則，并正在進行六項調查，調查提供數字服務的公司，在我們最初的看法中，這些公司沒有承擔起兒童安全方面的責任。”然而，這里最大的警告是這些發現是臨時的。TikTok現在有權向監管機構提出自己的陳述，之后將做出最終決定。從歷史上看，萬豪國際和英國航空公司等大型組織已經設法顯著降低了類似“意向通知”文件中最初規定的罰款金額。評論員過去曾辯稱，像ICO這樣的GDPR監管機構經常被財力雄厚、律師更好和技術專業知識更多的公司擊敗，尤其是在科技領域。

7、NASA約翰遜航天中心專注于與行業合作以刺激創新

NASA約翰遜航天中心首席技術官稱，美國宇航局約翰遜航天中心希望進一步加強與工業界的合作伙伴關系，并將早期新興技術嵌入到阿爾忒彌斯等項目的載人太空探索工作中。在接受FedScoop采訪時，Nick Skytland強調了他的團隊為開發復雜的尖端技術所采取的方法，這些技術可能使在月球上著陸和可持續生活成為可能，并表示這同樣適用于 IT。“有相當多的重疊，”同時也是該中心業務發展和技術集成辦公室主任的Skytland說。“我們的想法是：IT如何全面實現使命？”Artemis計劃旨在讓第一位女性和有色人種登上月球，并為2024年的火星任務奠定基礎，這不僅需要新的探索技術，還需要IT。與長期依賴政府支持創新的航空和國防等其他部門一樣，航天局現在也考慮到其在培育商業航天產業方面的作用。與合作伙伴合作以確保為新型宇航服或高級軟件或硬件提供多種選擇可能被視為勝利。“我們不再僅僅通過NASA的預算來衡量我們的成功，而是通過總體空間經濟及其增長來衡量我們的成功，” Skytland告訴FedScoop。

8、46%的勒索軟件攻擊發生在美國

根據網絡安全公司NordLocker的最新研究，美國公司受勒索軟件的影響最大，46%的勒索軟件攻擊都發生在那里。但究竟誰是目標？研究發現，在確定的18個行業中，建筑業占所有攻擊的12%。接下來最有可能受到打擊的是制造業（9.6%）、交通運輸（8.2%）、醫療保健（7.8%）和科技/IT（7.6%）。“勒索軟件團伙通常根據兩個標準來決定他們的下一個目標是誰。第一個是目標公司付款的可能性有多大，這是通過查看公司在供應鏈中的重要性、機密信息的數量等變量來衡量的。它處理的，以及其他因素，在發生攻擊的情況下，會給公司施加壓力以恢復運營。第二個標準更直接，主要涉及公司財力的深度和網絡的缺乏程度。保護他們的業務，”NordLocker的首席技術官Tomas Smalakys說。“當你通過這個鏡頭查看數據時，你就會明白為什么某些行業比其他行業受到的影響更大。”機構規模也很重要。在美國，微型和小型企業（最多200名員工）的風險最高，占所有攻擊的近三分之二（65.8%）。員工人數在51-200人之間的公司是28.9%的攻擊的受害者，而員工人數在11-50人之間的公司是22.4%的勒索軟件黑客攻擊的受害者，而員工人數在201-500人之間的公司是15.6%的攻擊的受害者。在其他調查結果中，5.4%的勒索軟件攻擊針對公共部門機構，包括一個主要城市的警察局和幾個縣辦事處。您居住的地方也可以有所作為，密歇根州受勒索軟件的影響最大，而密蘇里州受勒索軟件的影響最小。

9、 英國公用事業服務提供商Fulcrum提醒市場注意網絡事件

英國多功能基礎設施和服務提供商Fulcrum在檢測到未經授權的活動后，于9月27日向市場通報了其網絡上的網絡安全事件。7月，英國國家網絡安全中心針對俄羅斯入侵烏克蘭發出了更高的威脅警告，建議公司在加強系統安全時為“長期”做好準備。Fulcrum表示，在未經授權的事件期間，其大部分現場操作能夠繼續進行，但“管理和系統信息的訪問和可見性受到限制，并且正在努力改善這一點并評估對業務的影響（如果有的話）。”在事件中沒有數據被破壞或訪問，事件已經停止并且該集團的IT系統安全地恢復了。沒有關于違規來源的信息。“在得知這一活動后，Fulcrum立即實施了其事件響應計劃，聘請了外部IT專家并采取了預防措施，包括啟動IT基礎設施中斷，”它說。該公司表示，它知道最近發生了影響其他業務的類似網絡安全事件，“董事會將在適當的時候提供進一步的更新。”Fulcrum總部位于謝菲爾德。它為工業和商業企業設計、建造、擁有和維護跨電力、天然氣和水行業的公用事業基礎設施，包括高達132 kV的高壓電力基礎設施、太陽能和風電場連接以及天然氣基礎設施。S&P Global Commodity Insights 數據顯示，9月26日，Platts評估英國提前一個月基荷電力價格為276.70英鎊/兆瓦時，自本月初以來下跌43%。S&P Global的能源安全哨兵顯示，自烏克蘭戰爭開始以來，沖突地區已發生46起安全事件和對能源和商品基礎設施的襲擊。

10、歐安組織駐波黑代表團關于最近波黑議會遭到網絡攻擊的聲明

薩拉熱窩，2022年9月27日——歐安組織駐波黑代表團發現，最近對波黑議會大會的網絡攻擊既說明了波黑關鍵ICT系統的脆弱性，也說明了解決網絡安全漏洞的緊迫性。這種攻擊已經危及立法工作的透明度和信息的可及性。隨著選舉的臨近，提高網絡彈性和制定內部戰略以加強立法機關的網絡安全對于PA即將完成的任務和改革工作至關重要。現在也是主管機構為波黑機構啟用計算機應急響應小組(CERT)、為波黑聯邦機構建立CERT并為波黑制定網絡安全框架戰略的時候了。如果沒有這些早該進行的系統性改進，政府ICT系統將仍然很容易受到可能針對關鍵基礎設施和關鍵服務提供商的網絡攻擊。