網絡空間對抗資訊快報

白宮網絡備忘錄強制供應商證明軟件符合安全標準

白宮當地時間9月14日發布的一份新備忘錄（https://www.whitehouse.gov/wp-content/uploads/2022/09/M-22-18.pdf），聯邦機構在將其軟件部署到政府系統之前，必須獲得軟件提供商的自我認證。根據該指南，聯邦部門必須確保部署的所有第三方IT軟件都符合美國國家標準與技術研究院供應鏈安全要求，并從供應商處獲得符合性證明。這份備忘錄代表了白宮最新的政策舉措，因為行政部門正在努力迅速提高聯邦機構的網絡安全標準。FedScoop此前報道了即將發布的指南的細節，這引起了科技行業領導者的關注。自2021年5月發布網絡安全行政命令以來，拜登政府推出了一系列新措施，以確保各機構實現網絡防御現代化并實施零信任架構。今年6月，FedScoop調查的行業高管表示強烈希望白宮遵循五角大樓陷入困境的網絡安全成熟度模型認證的要求，而不是第三方驗證程序。根據管理和預算辦公室的新備忘錄，聯邦機構必須在90天內清點所有軟件，并為關鍵軟件創建單獨的清單。在備忘錄發布的120天內，各機構還必須制定一致的流程來傳達相關要求并收集軟件供應商的證明信。OMB將執行新指南并管理實施時間范圍內的延期請求。它還將與網絡安全和基礎設施安全局以及總務管理局合作，為軟件證明和工件的中央存儲庫建立要求。

伊朗黑客網絡釣魚攻擊新套路-多角色模擬

一個與伊朗結盟的黑客組織使用一種新的、精心設計的網絡釣魚技術，他們使用多個角色和電子郵件帳戶來誘使目標認為這是一個真實的電子郵件對話。攻擊者向目標發送一封電子郵件，同時抄送他們控制的另一個電子郵件地址，然后從該電子郵件中回復，進行虛假對話。Proofpoint的研究人員首次注意到它，將其命名為“多角色模擬”（MPI），該技術利用“社會證明”的心理學原理來掩蓋邏輯思維，并為網絡釣魚線程添加可信度元素。TA453是一個伊朗威脅組織，據信在IRGC（伊斯蘭革命衛隊）內部開展活動，此前曾有人看到該組織冒充記者以針對中東的學者和政策專家。TA453的新策略需要他們付出更多努力才能進行網絡釣魚攻擊，因為每個目標都需要陷入由假人物或襪子木偶進行的精心制作的真實對話中。然而，額外的努力得到了回報，因為它創建了一個看起來逼真的電子郵件交流，這使得對話看起來合法。Proofpoint報告中共享的一個示例 可追溯到2022年6月，發件人偽裝成FRPI的研究主任，電子郵件發送給目標，并抄送了PEW研究中心的全球態度研究主任。第二天，冒充的PEW主任回答了FRPI主任發來的問題，制造了一種誠實對話的虛假感覺，會誘使目標點擊或下載。惡意載荷通過OneDrive鏈接下載，下載文件受口令保護，通過嵌入文件中的宏來引導執行。

Bishop Fox公司發布開源云黑客工具“CloudFox”

網絡安全公司Bishop Fox宣布發布CloudFox，這是一種開源工具，旨在幫助在云基礎設施中找到可利用的攻擊路徑。該命令行工具是為滲透測試人員和其他攻擊性安全專業人員創建的。CloudFox提供了一組枚舉命令，即使對于云滲透測試相對較新的人來說也很容易使用。截至目前，它僅適用于AWS，但Bishop Fox還計劃增加對Microsoft Azure、谷歌云平臺和Kubernetes的支持。“CloudFox旨在由具有有限只讀權限的主體執行，但其目的是幫助您找到可在模擬妥協場景（即基于目標的滲透測試）中利用的攻擊路徑，”Bishop Fox解釋說。該工具可以識別AWS賬戶使用的區域以及公共服務中的資源數量、EC2用戶數據中的機密、委托人的權限、暴露的端點或IP，以及可以從 VPC內的受損資源掛載的文件系統。“有很多工具可以幫助您分析云環境，但其中許多更關注安全基線合規性，而不是攻擊路徑。我們希望您發現CloudFox可以自動化這些無聊的東西，并幫助您更快、更全面地識別和利用潛在的攻擊路徑，”Bishop Fox的首席安全顧問Seth Art說。CloudFox源代碼可在GitHub（https://github.com/BishopFox/cloudfox）上獲得。其他技術細節和演示視頻可以在Bishop Fox發布的博客文章（https://bishopfox.com/blog/introducing-cloudfox）中找到。

比特幣可能存在“嚴重的代碼錯誤”

在最近的一條推文中，Ripple首席技術官David Schwartz聲稱，在比特幣源代碼的至少一個主要實現中“極有可能”存在嚴重錯誤。該漏洞可能允許創建更多數量的硬幣，超過2100萬個限制。如果被利用，該漏洞可能會破壞對比特幣的信任并導致交易遭受巨大挫折。他的宣布是在Wave的前工程關系主管馬特·漢密爾頓 (Matt Hamilton) 分析了2010年發生的價值洪流如何幾乎扼殺了最大的數字貨幣之后發布的。當時，一位神秘的程序員利用比特幣源代碼的一個重大弱點，創造了1840億個新幣。長期比特幣開發者Jeff Garzik發現了該漏洞。該漏洞的修復涉及部署軟分叉。在修復兩年后的9月，在比特幣的實施中發現了另一個漏洞，該漏洞可能允許攻擊者從閃電組織竊取資金。Schwartz承認，這些基本漏洞可能“非常有趣”，因為它們尚未被發現和利用，盡管發現它們的動機非常巨大。

TeamTNT通過惡意云鏡像攻擊15萬個Docker容器

TeamTNT威脅組織成員明顯的操作安全失誤暴露了它用來利用配置不當的Docker服務器的一些策略。來自趨勢科技的安全研究人員最近建立了一個帶有暴露的Docker REST API的蜜罐，以嘗試了解攻擊者通常如何利用廣泛使用的云容器平臺中的漏洞和錯誤配置。他們發現了TeamTNT——一個以其特定于云的活動而聞名的組織 ——至少進行了 3次嘗試來利用其Docker蜜罐。趨勢科技威脅研究工程師Nitesh Surana說：“在我們的一個蜜罐中，我們故意暴露了一個帶有Docker守護進程的服務器，該Docker守護進程通過REST API暴露出來。” “威脅行為者發現了錯誤配置，并從位于德國的IP中三次利用它，他們在那里登錄到他們的DockerHub注冊表，”Surana說。“根據我們的觀察，攻擊者的動機是利用Docker REST API并破壞底層服務器以執行加密劫持。”安全供應商對該活動的分析最終揭示了TeamTNT控制的至少兩個DockerHub帳戶的憑據（該組織濫用DockerHub免費的Container Registry服務）并用于分發各種惡意負載，包括硬幣礦工。其中一個賬戶（名為“alpineos”）托管了一個惡意容器映像，其中包含 rootkit、Docker 容器逃逸工具包、XMRig Monero硬幣礦工、憑證竊取器和Kubernetes漏洞利用工具包。趨勢科技發現惡意鏡像已被下載超過150,000次，這可能轉化為大量感染。另一個賬戶(sandeep078)托管了一個類似的惡意容器鏡像，但與前者相比，“拉取”次數要少得多——只有大約200次。

布宜諾斯艾利斯立法機構宣布遭勒索軟件攻擊

阿根廷首都的立法機關本周宣布遭到勒索軟件攻擊，稱其內部操作系統遭到破壞，WiFi連接中斷。在幾條推文中，布宜諾斯艾利斯立法機構的賬戶表示，襲擊于周日（9月11日）開始，并破壞了大樓的WiFi網絡以及其他系統。他們寫道：“迅速采取了必要措施以確保工作的連續性，而不是中斷議會工作。” 13日，他們說，他們計劃恢復WiFi網絡，并慢慢讓其他系統重新上線。立法機關說：“我們正在與相關領域和該領域的專家合作，以盡快使所有流程恢復正常。”該事件已報告給阿根廷的幾個執法機構。13日Wi-Fi網絡將投入使用，其余系統將逐步啟用。我們正在與相關領域和該領域的專家合作，以盡快恢復所有流程的正常狀態。至美國東部時間周二（9月13日）下午，立法機關的網站仍處于關閉狀態。受影響的政府機構沒有回應有關恢復工作狀態的評論請求。沒有勒索軟件組織對此事件負責。但在過去一年中，有幾個團伙針對中美洲和南美洲的政府進行了攻擊。阿根廷科爾多瓦司法機構上個月遭到勒索軟件組織的攻擊，而就在兩周前，智利的網絡安全事件響應小組表示，一個未具名的政府機構正在處理針對該組織的微軟工具和 VMware ESXi服務器的勒索軟件攻擊。

CISA的2023-2025戰略計劃側重于降低風險和增加網絡彈性

美國網絡安全和基礎設施安全局（CISA）9月13日推出了初步的綜合行動計劃，重點關注并指導該機構未來三年的工作。戰略計劃傳達了該機構的使命和愿景，促進了機構和合作伙伴之間的努力，并定義了CISA作為一個機構的成功。它還描述了“我們必須執行的利益相關者、政策和運營環境，并介紹了CISA將做出的戰略變革，以更好地執行我們在未來三年內的重要使命。” CISA 2023-2025戰略計劃代表了一種前瞻性、統一的方法來實現該機構的愿景，即為美國人民確保安全和有彈性的關鍵基礎設施。該文件以國土安全部(DHS)2020-2024財年戰略計劃為基礎并與之保持一致。CISA將通過該機構的部門和辦公室級年度運營計劃(AOP)實施該戰略計劃。在此期間，該機構將帶頭全國努力確保網絡空間的防御和彈性；降低美國關鍵基礎設施的風險并增強其彈性；加強全國范圍的業務協作和信息共享；并通過集成的功能、能力和勞動力統一為“一個CISA”。CISA降低風險和復原力展望的目標包括擴大基礎設施、系統和網絡風險的可見性，同時提高該機構的風險分析能力和方法。它還提高了CISA的安全和風險緩解指導和影響，增強了利益相關者在基礎設施和網絡安全性和彈性方面的能力，并提高了CISA應對威脅和事件的能力。 

美國政府制裁十名與勒索軟件攻擊有關的伊朗人

美國財政部外國資產控制辦公室(OFAC)當地時間14日宣布對10名個人和兩個隸屬于伊朗伊斯蘭革命衛隊(IRGC)的實體實施制裁，理由是他們參與了勒索軟件攻擊。在過去的兩年中，這些威脅參與者與勒索軟件事件有關，他們破壞了屬于美國和全球組織的網絡。他們的惡意活動與網絡安全供應商以不同名稱跟蹤的國家資助的黑客組織的活動重疊，包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。財政部表示，幾家網絡安全公司已確定這些入侵集與伊朗政府有關，并已確定它們進行了各種惡意網絡活動，包括勒索軟件和網絡間諜活動。這些攻擊組織針對全球的組織和官員發起了廣泛的運動，特別是針對美國和中東的國防、外交和政府人員，以及包括媒體、能源、商業服務和電信在內的私營行業。IRGC附屬集團組織由總部位于伊朗的Najee Technology Hooshmand Fater LLC (Najee Technology)和Afkar System Yazd Company (Afkar System) 的員工和員工組成：Mansour Ahmadi：Najee Technology的所有者、董事總經理和董事會主席；Ahmad Khatibi Aghda：Afkar System董事總經理兼董事會成員；其他員工和同事：Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo'in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini和Mohammad Shakeri-Ashtijeh。美國財政部還制裁了與Net Peygard Samavat公司有關的個人，因為他們在2019年與IRGC和伊朗情報與安全部(MOIS)合作。美國國務院還提供1000萬美元以提供有關 Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari這三名受制裁的伊朗人的信息，他們今天也因參與針對美國的勒索軟件攻擊而被司法部指控。

黑客利用伊麗莎白二世女王去世事件實施釣魚攻擊以竊取微軟憑據

威脅行為者正在網絡釣魚攻擊中利用伊麗莎白二世女王的死亡來引誘他們的目標訪問旨在竊取其Microsoft帳戶憑據的惡意網站。除了Microsoft帳戶詳細信息外，攻擊者還試圖竊取受害者的多因素身份驗證(MFA)代碼來接管他們的帳戶。Proofpoint的 Threat Insight團隊14日透露：“據稱來自微軟的消息并邀請收件人到一個‘人工技術中心’以紀念她 。”在Proofpoint發現的這一行動中，網絡釣魚演員冒充“微軟團隊”，試圖引誘收件人將他們的備忘錄添加到在線記憶板上，以“紀念女王伊麗莎白二世陛下”。在點擊釣魚郵件內的一個按鈕后，目標被發送到一個釣魚登陸頁面，在那里他們被要求首先輸入他們的微軟證書。Proofpoint補充說:“郵件中包含一個指向重定向憑證收集頁面的鏈接，該頁面針對微軟電子郵件憑證，包括MFA收集。”攻擊者使用一種新的反向代理網絡釣魚即服務(PaaS)平臺，即在clearnet和暗網黑客論壇上推廣的EvilProxy，該平臺允許低技能的威脅者竊取身份驗證令牌來繞過MFA。英國國家網絡安全中心當地時間13日警告稱，網絡犯罪分子利用女王之死進行網絡釣魚和其他詐騙活動牟利的風險正在增加。NCSC表示:“雖然隸屬于GCHQ的NCSC還沒有看到這方面的大量證據，但你應該意識到這是有可能的，并注意有關女王陛下去世和葬禮安排的電子郵件、短信和其他通信。”雖然這種惡意活動似乎是有限的，但NCSC已經看到了這種網絡釣魚攻擊，目前正在進行調查。

新的聯想BIOS更新修復了數百款機型的安全漏洞

中國計算機制造商聯想已發布安全公告，警告多個嚴重程度較高的BIOS漏洞，這些漏洞影響各種型號（Desktop、All in One、IdeaCentre、Legion、ThinkCentre、ThinkPad、ThinkAgile、ThinkStation、ThinkSystem）的數百臺設備。利用這些漏洞可能會導致信息泄露、權限提升、拒絕服務，并且在某些情況下會導致任意代碼執行。安全公告中的漏洞如下：

CVE-2021-28216：修復了TianoCore EDK II BIOS（UEFI 的參考實現）中的指針缺陷，允許攻擊者提升權限并執行任意代碼。

CVE-2022-40134：SMI Set Bios Password SMI處理程序中的信息泄漏漏洞，允許攻擊者讀取SMM內存。

CVE-2022-40135：智能USB保護SMI處理程序中的信息泄漏漏洞，允許攻擊者讀取SMM內存。

CVE-2022-40136：SMI處理程序中的信息泄漏漏洞，用于通過WMI配置平臺設置，使攻擊者能夠讀取SMM內存。

CVE-2022-40137：WMI SMI處理程序中的緩沖區溢出，使攻擊者能夠執行任意代碼。

American Megatrends 安全增強（無CVE）。

SMM(Ring-2)是UEFI固件的一部分，它提供系統范圍的功能，如低級硬件控制和電源管理。對SMM的訪問可以擴展到操作系統和RAM以及存儲資源；這就是為什么AMD和Intel都開發了SMM隔離機制來保護用戶數據免受低級威脅的影響。預計將在9月底和10月底之前發布更多補丁，而一小部分型號將在明年收到更新。安全公告中包含受影響計算機型號和解決每個漏洞的 BIOS 固件版本的完整列表，以及每個型號的下載門戶的鏈接。或者，聯想電腦所有者可以導航到“驅動程序和軟件”門戶，按名稱搜索他們的產品，選擇“手動更新”，然后下載最新的可用BIOS固件版本。

白宮指南建議聯邦機構使用SBOM

白宮14日發布了一項新的網絡安全行政命令，概述了軟件供應鏈安全的指導方針，包括建議聯邦機構CIO開始要求提供安全開發和軟件材料清單(SBOM)的文檔。在發送給行政部門和機構負責人的備忘錄中，白宮管理和預算辦公室概述了美國國家標準與技術研究院(NIST)建立的供應鏈網絡安全最佳實踐，該機構將建議進行全面的軟件庫存評估，收集每個外部軟件供應商聲明其產品符合NIST 供應鏈安全框架，以及購買新軟件時對SBOM的要求。“隨著機構制定包括使用新軟件的要求，他們必須要求確認軟件生產商使用安全軟件開發實踐，”OMB備忘錄說。“這可以通過在征求建議書(RFP)或其他招標文件中指定這些要求來實現，但無論該機構如何確保合規，該機構都必須確保公司實施并證明使用安全軟件開發實踐在整個軟件開發生命周期中與NIST指南一致。”