網絡空間對抗資訊快報 - 網安 - 專業的網絡安全產業、社區、知識平臺

1、烏克蘭黑客對俄MIR支付系統進行了大規模DDoS攻擊

攻擊的目標是在一些國家拒絕與俄羅斯支付系統合作的背景下，服務卡可能出現故障。據媒體報道，黑客通過瀏覽器或原始DDoS工具向所需方向生成流量。結果，用戶在支付通道和終端操作中遇到中斷。專家解釋說，黑客正試圖使支付系統超載，以導致服務卡和支付失敗。特別是，它們使用瀏覽器和原始DDoS工具為系統生成流量。此外，此類攻擊也是尋找漏洞的一種方式。如果黑客找到它們，他們以后可以將它們用于大規模數據泄露。“在目前的情況下，我們可以預期攻擊者將能夠在對Mir支付系統的DDoS攻擊中取得一些成功，風險遠不止于此，”該報在一家專業公司的對話者說。這次攻擊可能會導致卡獲取完全失敗長達數小時。Qrator Labs首席執行官Alexander Lyamin還提醒該出版物，黑客成功地攻擊了支付系統，特別是2010年的Visa和MasterCard。美國財政部外國資產控制辦公室（OFAC）于9月15日向外國金融機構發出了與俄羅斯支付系統MIR合作的風險警告。美國強調，如果華盛頓在這種合作中看到俄羅斯有助于規避對其實施的制裁，它保留實施封鎖制裁的權利。網絡安全市場的消息來源證實了此類網絡攻擊的事實，俄羅斯銀行沒有對此作出回應，NSPK拒絕對此信息發表評論，俄羅斯聯邦數字發展部明確表示，此問題屬于國家計算機事件協調中心和中央銀行的權限。

2、四國誓言互相協助打擊惡意網絡活動

印度、美國、日本和澳大利亞的領導人集體Quad于周六（9月24日）呼吁，將相互協助，確保區域網絡基礎設施的安全性和彈性。四國領導人在紐約聯合國大會期間舉行會晤后，就此事發表了聯合聲明。該聲明由澳大利亞外交部長、印度外長、日本外相和美國國務卿發表，呼吁各國采取合理措施，應對來自其境內的勒索軟件操作。由印度、美國、日本和澳大利亞組成的四方或四方安全對話于2017 年成立，旨在應對中國在印太地區的侵略行為。聲明說，領導人認為，加強印太國家網絡能力的重點舉措將確保區域網絡基礎設施的安全性和彈性。“勒索軟件的跨國性質可能會對我們的國家安全、金融部門和企業、關鍵基礎設施以及個人數據的保護產生不利影響。我們贊賞支持美國領導的反勒索軟件倡議的36個國家所取得的進展，以及經常性的、在印太地區開展以實用為導向的打擊網絡犯罪的磋商，”他們說。部長們強調，印太伙伴之間在打擊勒索軟件方面的務實合作將導致該地區勒索軟件行為者無法獲得安全避風港。回顧今年2月11日舉行的最后一次四方外長會議，部長們表示，他們致力于解決勒索軟件的全球威脅，該威脅一直是印太地區經濟發展和安全的障礙。

3、Ragnar Locker泄露了包含葡萄牙TAP航空乘客在內的超過600萬條個人數據

最近，Ragnar Locker組織公布了一組6,114,735條記錄的個人數據，其中包含葡萄牙最大航空公司TAP客戶的個人數據。據了解，該公司在8月25日遭受了網絡攻擊，但表示沒有任何東西威脅到用戶數據。然而，在其最新聲明中，TAP宣布了一個不幸的消息：攻擊者掌握了客戶的姓名、出生日期、電子郵件地址，郵件、電話號碼、住址、忠誠度計劃中的號碼，以及注冊日期和上次活動日期（從2016年10月18日至2022年4月22日）。盡管TAP沒有提供有關這次攻擊的任何額外細節，但DarkFeed表示，Ragnar Locker組織是這次事件的幕后黑手。初步數據顯示，超過150萬航空公司客戶的數據被盜。TAP黑客事件是震驚葡萄牙的第二次網絡攻擊。最近，由于對葡萄牙武裝部隊總參謀部的前所未有的黑客攻擊，數百份北約機密文件進入網絡并被出售。

4、NSA和CyberCOM的“雙重帽子”結構再受審查

The Record媒體9月22日報道稱，前參謀長聯席會議主席小約瑟夫·鄧福德（Joseph F. Dunford Jr.）已被拜登政府任命，以指導對美國網絡司令部和國家安全局的領導安排進行審查，這項審查可能對該國的數字和情報產生持久影響操作。據三位知情人士透露，政府已經組建了一個小型研究小組，以審查自2009年網絡司令部成立以來一直存在的“雙帽”領導結構的利弊。小組的另外三個人分別是，陸軍的首席網絡顧問Michael Sulmeyer、前NSA律師Lawfare網站前執行編輯Susan Hennessey和聯合參謀部負責戰略穩定的副副主任奧斯汀朗。政府選擇了鄧福德——他在擔任國家最高軍事官員時的深思熟慮的做法在國家安全界廣受尊重——表明了對評估的重視。網絡司令部和國家安全局一直由同一名軍官掌管，目前該職位由陸軍上將Paul Nakasone擔任。這種做法已被寫入法律，但也激怒了一些秘密社區，他們認為國家安全局（美國最大的情報機構，負責電子間諜活動）有一名穿制服的負責人是不合適的。這一安排也引起了國會山的緊張局勢，一些立法者認為每個角色的責任已經變得如此巨大，以至于需要兩個人，特別是因為網絡司令部已經擴大了其任務，包括選舉安全和打擊勒索軟件。五角大樓的一名高級官員今年早些時候作證說，領導計劃將被重新審視。消息人士告訴The Record，該小組希望在未來兩三個月內完成工作。這些人說，它的結論很可能不會公開分享。國家情報總監辦公室發言人沒有立即回應置評請求。

5、微軟SQL服務器遭受新一波勒索軟件攻擊

AhnLab安全應急響應中心(ASEC)的信息安全專家聲稱，FARGO和GlobeImposter是最流行的用于攻擊MS-SQL服務器的勒索軟件之一。以前，此惡意軟件有兩個其他名稱：Mallox-因為勒索軟件在文件中添加了“.mallox”擴展名；

TargetCompany就是Avast研究人員在他們2月份的報告中所稱的惡意軟件。根據ID Ransomware平臺，FARGO勒索軟件家族目前相當活躍。據研究人員稱，感染鏈始于MS-SQL進程使用cmd.exe和powershell.exe下載 .NET文件。下載的文件會加載其他惡意軟件，然后生成并執行禁用某些進程和服務的BAT文件。之后，惡意軟件將自身注入AppLaunch.exe并嘗試刪除Raccine實用程序的注冊表項，該實用程序用于殺死任何嘗試使用vssadmin.exe刪除 Windows 的卷影副本的進程。此外，惡意軟件會禁用恢復并終止與數據庫相關的所有進程，以使其內容可用于加密。但是，該惡意軟件不會對某些程序和目錄進行加密，以免使系統完全無法運行。可以加密的文件獲得擴展名“.Fargo3”，之后FARGO創建一個贖金記錄（“RECOVERY FILES.txt”）。如果受害者不支付贖金，他們將面臨在勒索軟件運營者的Telegram頻道上傾倒被盜文件的威脅。專家警告說，數據庫最常受到字典和暴力攻擊的危害，即口令較弱的帳戶存在風險。此外，攻擊者利用可能未修補的已知漏洞。因此，建議MS-SQL服務器管理員安裝 MS-SQL的所有最新安全更新，并使用更強的口令。

6、澳大利亞在電信公司Optus網絡攻擊事件后擬宣布新的網安措施

據澳大利亞廣播公司（ABC）報道，在Optus大規模數據泄露事件發生后，多達980萬澳大利亞人的個人信息被黑客竊取，預計內政部長很快將宣布幾項新的安全措施。9月24日，克萊爾·奧尼爾和她的幾位聯邦部長同事會見了澳大利亞信號局和網絡安全中心，討論了這次破壞性網絡攻擊的后果。根據將在未來幾天宣布的變化，當Optus等公司發生數據泄露時，銀行和其他機構將更快地得到通知，因此個人數據無法用于訪問賬戶。ABC被告知，第一步將是指示Optus將客戶數據移交給銀行，這樣金融機構就可以升級安全措施，并監控個人信息被盜的客戶。目前的隱私保護措施防止銀行被立即告知與其客戶相關的網絡入侵。周六，奧尼爾女士在推特上回應了這起事件，稱澳大利亞公司需要改變保護客戶數據的方式。在澳大利亞的整個電信行業，聯邦政府對該行業的監管越來越令人失望，其中包括元數據保留法，許多人指責這些法規導致了隱私泄露。“讓我惱火的是，人們認為Optus和其他公司想要這些數據——這是元數據法的必要條件——但我們不需要，”一位長期任職的電信業內人士告訴ABC。“人們假裝數據是金子——其實不然;這是鈾——如果使用得當，它非常有用，但如果隨便放著，它就會非常危險。”一位不愿透露姓名的資深業內人士對ABC表示:“(我們)正在以不可能的時間表滿足監管要求，實際上，我們的網絡是在上世紀90年代建成的。”“我們甚至還沒有一個公開可核實的Optus入侵事件發生的時間順序，調查還沒有完成，但我們卻在匆忙制定法律——這不是一個偉大的計劃。

7、歐洲國家建議歐盟禁止使用俄卡巴斯基實驗室的產品

幾個歐盟國家正推動擴大對莫斯科的制裁，原因是俄羅斯入侵烏克蘭。歐盟正努力就限制俄羅斯石油價格達成協議。彭博社和知情人士看到的一份文件顯示，波蘭、愛爾蘭和三個波羅的海國家希望歐盟擴大對俄羅斯能源的制裁，包括禁止進口液化石油氣(LPG)產品和限制核能合作。這些提議包括從俄羅斯天然氣工業銀行(Gazprombank)開始，將更多銀行從國際支付系統SWIFT中剔除。到目前為止，這家俄羅斯銀行一直沒有受到歐盟的大部分制裁，因為歐洲公司用它來支付天然氣輸送費用。根據該文件，拉脫維亞、立陶宛、愛沙尼亞、愛爾蘭和波蘭也希望看到對保險服務和向俄羅斯轉移美元鈔票的禁令，以及對涉及加密資產的交易的更嚴格限制。英國《金融時報》周五（23日）早些時候報道了這些提議。歐盟成員國和歐盟執行機構歐盟委員會(European Commission)正在進行談判，準備一套新的制裁措施，其中可能包括更多的貿易限制、個別上市，以及爭取就俄羅斯石油的價格上限達成一致。這五個國家還提議禁止在歐盟使用俄羅斯網絡安全公司卡巴斯基實驗室(Kaspersky Lab)的產品，加強對技術出口的現有限制，并在禁止的科技產品清單上增加更多產品，包括數據處理機器、存儲設備和幾種電子產品。這此協家希望，擴大對進入歐盟港口的俄羅斯船只、向俄羅斯提供商業服務的限制范圍，并禁止向俄羅斯提供IT服務，包括軟件和網絡安全服務；禁止進口原產于俄羅斯的鉆石，擴大對鋼鐵的進口限制，以及禁止向非歐盟居民的俄羅斯公司和公民出售房地產；制裁更多的俄羅斯宣傳機構，禁止在歐盟注冊的實體從與俄羅斯政府有關聯的組織獲得資金。

8、影響數百萬設備的新固件漏洞可使攻擊者獲得持久訪問

固件安全公司Binarly發現了另一輪潛在的嚴重固件漏洞，攻擊者可以獲得對數百萬受影響設備中的任何一臺的持久訪問。該公司的研究人員已經在Insyde Software提供的InsydeH2O UEFI固件中發現了7個新的安全漏洞。受影響的代碼被其他幾十家公司使用，包括惠普、戴爾、英特爾、微軟、富士通、Framework和西門子等主要供應商。利用這些新漏洞需要本地特權操作系統訪問權限，但其中許多漏洞仍然被指定為“高嚴重性”評級。這些漏洞與系統管理模式(SMM)有關，可能導致信息泄露或任意代碼執行。Binarly的首席執行官Alex Matrosov告訴《安全周刊》:“這些漏洞可以被用作攻擊鏈的第二或第三階段，為市場上大多數可用的安全解決方案提供不可見的長期持久性。”“植入固件是攻擊者維持持久性的最終目標。攻擊者可以在固件的不同級別上安裝惡意植入程序，可以作為修改過的合法模塊，也可以作為獨立的驅動程序。這種惡意代碼可以通過設計繞過安全引導，影響后續的引導階段，”他補充說。Binarly公開了針對每個漏洞的技術細節的個別建議。供應商已經發布了補丁，并針對新發現的漏洞發布了建議。CVE標識符已經分配給了這七個bug中的每一個。雖然Insyde已經開發了補丁，但Matrosov指出，修復程序將需要很長時間才能到達設備。他說:“就供應鏈影響而言，根據我們的數據，設備制造商至少需要6-9個月的時間才能在所有企業設備上修補漏洞。”這不是Binarly第一次在InsydeH2O固件中發現嚴重漏洞。今年早些時候，該公司披露了近24個問題，影響數百萬使用受影響代碼的企業設備。就在幾周前，Binarly報告發現了十幾個影響英特爾和惠普設備的類似漏洞。

9、微軟針對允許橫向移動、勒索軟件攻擊的漏洞發布帶外補丁

微軟本周發布了針對其端點配置管理器解決方案的帶外安全更新，以修補一個漏洞，該漏洞可能對惡意行為者在目標組織的網絡中移動很有用。該漏洞被追蹤為CVE-2022-37972，微軟將其描述為中等嚴重程度的欺騙問題。這家科技巨頭感謝Trimarc Security公司的布蘭登·科利報告了這一漏洞。微軟在其報告中表示，沒有證據表明該漏洞被利用，但該漏洞已被公開披露。Prajwal Desai已經發表了一篇簡短的博客文章來描述這個補丁，但是Colley告訴《安全周刊》，他還沒有公開任何信息，并指出他一直在與微軟協調披露。這位研究人員認為，微軟的顧問說，這個問題已經被公開披露，因為科技巨頭知道他將在本周末的BSidesKC會議上談論這個問題。研究人員預計一篇詳細介紹CVE-2022-37972的博客文章只會在11月發表。然而，他指出，這與7月份的一篇博客文章中描述的一個問題有關，該文章關注的是微軟系統中心配置管理器(SCCM)客戶端推送帳戶的攻擊面。SCCM是Microsoft Endpoint Configuration Manager (MECM)的前身，MECM是一種桌面、服務器和筆記本電腦的本地管理解決方案，允許用戶部署更新、應用程序和操作系統。將所需的客戶機應用程序部署到端點的一種方法是客戶機推送安裝，它使管理員能夠輕松、自動地將客戶機推送到新設備。在7月的博客文章中，Colley展示了在一個端點上擁有管理權限的攻擊者如何濫用客戶端推送安裝設計缺陷，獲取所有配置的推送賬戶的散列憑證。他警告說，由于其中一些賬戶可能在企業的幾臺機器上擁有域管理或高級特權，威脅行為者可以利用它們進行橫向移動，甚至作為破壞性勒索軟件攻擊的一部分。攻擊是可能的，部分原因是一個設置允許連接退回到不太安全的NTLM身份驗證協議。微軟本周通過帶外更新修補了MECM漏洞，這與使用NTLM身份驗證有關。研究人員解釋說，在微軟修復該漏洞之前，可以強制對客戶端推送帳戶進行NTLM身份驗證。

10、新的“Wolfi”Linux發行版專注于軟件供應鏈安全

本周發布了Wolfi，一個精簡的Linux操作系統發行版，旨在提高軟件供應鏈的安全性。這個Linux發行版可以在GitHub上使用，它是專門為容器和本地云應用程序創建的，并且支持Chainguard鏡像。Wolfi(以吸星侏儒章魚命名，它是已知最小的章魚)依靠環境內核(而不是自己的)來廣泛適應環境，并為glibc和musl帶來了支持。根據軟件供應鏈安全公司的說法，Wolfi為所有包交付構建時軟件材料清單(SBOM)，有一個聲明性和可重復的構建系統，并使用apk包格式。在Wolfi中，包是顆粒狀和獨立的，提供了對最小映像的支持。Chainguard說，Wolfi旨在幫助開發人員從一個不受任何已知漏洞影響的默認安全基礎開始，從而提高生產力，同時也使組織能夠控制大多數現代供應鏈威脅。“Wolfi直接從源代碼構建所有包，允許我們修復漏洞或應用定制，以改善從編譯器到語言包管理器的供應鏈安全狀況，”Chainguard解釋道。新的Linux發行版現在支持所有Chainguard映像，這是一組經過簽名的、最小的依賴關系，旨在顯著減少攻擊面，同時簡化審計和更新。這些映像每天都會重新構建，以確保它們擁有所有最新的補丁。