網絡空間對抗資訊快報

1、美國防部網絡犯罪中心與網絡司令部開展跨部門合作

國防部網絡犯罪中心 (DC3) 運營支持局 (OED) 和美國網絡司令部 (USCC) 正在建立跨部門合作伙伴關系，以加強支持與網絡威脅情報相關的國家安全事務的努力。DC3正在為網絡國家任務部隊 (CNMF) 軍事人員提供嵌入DC3網絡分析師的輪崗計劃任務——擴大他們在網絡威脅情報和惡意軟件分析方面的專業知識，同時仍為USCC、DC3利益相關者和情報界提供關鍵信息。“CNMF和DC3領導層認識到，這項工作肯定會加強聯合任務協作和協調打擊惡意網絡活動，”OED主任Diana Kinker說。“OED領導層也將這一舉措視為將CNMF和USCC與DC3和OED的服務和能力相結合的機會。”6 月，DC3舉辦了首屆逆向惡意軟件工程研討會。來自DC3、USCC和國外同行的分析師都參加了這一開創性的活動。該活動是分析人員研究復雜惡意軟件樣本并分享最佳實踐和信息以打擊惡意網絡行為者的交易的絕佳場所。OED負責人Peggy Wright表示：“這些持續的努力為DC3分享網絡知識和擴大網絡威脅情報方面的更廣泛專業知識打開了大門，以促進網絡事件報告、網絡調查和惡意軟件分析。”“DC3和美國網絡司令部之間的合作清楚地表明了跨部門可操作性及其協同作用的重要性，”DC3 副主任Joshua Black說。“有許多機構和司令部致力于保護國防部信息網絡和系統，當志同道合的人互動時，保護國防部免受網絡威脅行為者侵害的手段必然會增加。”

2、紐約救護車服務遭遇勒索軟件攻擊和數據泄露

總部位于紐約的緊急響應和救護車服務提供商Empress EMS（緊急醫療服務）披露了一起泄露客戶信息的數據泄露事件。該公司于2022年7月14日遭受勒索軟件攻擊。對該事件的調查顯示，入侵者于2022年5月26日獲得了Empress EMS系統的訪問權限。大約一個半月后，即7月13日，黑客在實施了“一小部分文件”加密。“其中一些文件包含患者姓名、服務日期、保險信息，在某些情況下，還包含社會安全號碼，” Empress EMS的披露中寫道。該公司宣布：“Empress EMS正在向受影響的個人郵寄信件，并為符合條件的個人提供信用監控服務。”攻擊的細節描述了一個標準的雙重勒索勒索軟件事件，網絡犯罪分子竊取文件、加密系統，然后威脅受害者發布數據，除非支付贖金。盡管該公司沒有提及對襲擊負責的組織。然而，BleepingComputer發現Hive勒索軟件團伙已于7月26日為Empress EMS數據泄露準備了一個非公開條目。勒索軟件團伙已從他們的網站上刪除了相關條目，但能夠在檢查網絡情報公司KELA的歷史暗網數據后驗證Hive是否發布了數據。Empress告知美國衛生與公眾服務部，受此事件影響的人數為318,55。然而，人們擔心更多的人可能會受到影響。該通知解釋說，即使那些沒有收到信函但可以通過醫療保健聲明確認他們使用Empress EMS服務的人，也應在2022年10月9日之前聯系該公司，以從信用監控服務中受益。Empress EMS表示已加強其系統和協議的安全性，以防止未來發生類似事件。17日，美國消費者權益律師事務所 Cole & Van Note宣布對該事件進行調查，以代表受影響的個人探討訴訟和賠償的可能性。更新9/18：DataBreaches.net以威脅參與者和受害者之間的通信形式發布了更多指向 Hive 的證據。

https://www.bleepingcomputer.com/news/security/new-york-ambulance-service-discloses-data-breach-after-ransomware-attack/

3、Emotet僵尸網絡現在推送Quantum和BlackCat勒索軟件

在監控Emotet僵尸網絡當前的活動時，安全研究人員發現Quantum和BlackCat勒索軟件團伙現在正在使用該惡意軟件來部署其有效載荷。這是一個有趣的發現，因為Conti網絡犯罪集團是之前在6月關閉之前使用僵尸網絡的集團。在國際執法行動于2021年初摧毀Emotet的基礎設施后，Conti集團是11月策劃復出的組織。情報公司AdvIntel的安全研究人員表示：“Emotet僵尸網絡（也稱為 SpmTools）已經為主要的網絡犯罪集團提供了動力，將其作為許多持續攻擊的初始攻擊媒介或前兆。”“從2021年11月到2022年6月Conti解散，Emotet是Conti的獨家勒索軟件工具，但Emotet的感染鏈目前染指Quantum和BlackCat。”據AdvIntel稱，該僵尸網絡現在被用于在受感染系統上安裝 Cobalt Strike信標作為第二階段的有效載荷，允許攻擊者橫向移動并在受害者的網絡中部署勒索軟件有效載荷。這與Conti的攻擊流程相匹配，其中包括Emotet在其復興后，減去通過TrickBot僵尸網絡的初始訪問向量。自今年年初以來，Emotet已經造成了相當大的破壞，因為它已經跟蹤了全球超過1,200,000個被Emotet感染的系統，活動高峰期在2月至3月之間。Agari在8月份還透露，僵尸網絡在第二季度出現了大幅增長，在網絡釣魚活動中取代了 QBot，總共占登陸其客戶收件箱的所有惡意軟件的90%以上。這種情況可能會迅速改變并導致勒索軟件攻擊的快速部署，因此Emotet仍然是惡意軟件防御者必須注意的。

4、《終結者》的劇情可以在現實生活中重演

在受人尊敬的AI雜志發表的最新文章之一中 ，研究人員解釋了AI如何失控并對人類造成嚴重傷害。在他們看來，如果最成功的AI模型之一——GAN或生成對抗神經網絡——控制了對人類至關重要的過程，它就可以嘗試欺騙標準算法并制定一種盡可能快速有效地獲得獎勵的策略。此外，這種策略對人類來說可能是極其危險的。因此，失控的人工智能可以簡單地消滅地球上的所有生命，吸收所有資源并采取危險的策略。“在我們概述的條件下，我們的假設變得比任何其他研究工作都更有分量——一場全球性的災難不僅是可能的，而且很有可能， ”其中一位作者在他的推特上說。文章稱，所有問題的出現都是由于人類和人工智能可以支配的資源的有限性。畢竟，如果資源是有限的，那么他們將不得不為它們而戰。根據該文章的一位作者的說法，人們對抗人工智能的機會很小，人工智能很容易勝過一個人。由于在未來，人工智能將能夠采取任何形式并實現各種結構，因此研究人員在文章中提出了幾個場景，他們清楚地展示了人工智能如何在不達到目標的情況下嘗試獲得獎勵。其中一個場景是一個人與人工智能競爭的游戲。然而，條件將遠非平等，因為現代人將很難在沒有電和種植糧食的情況下生活，尤其是當敵人是一個超現代的 AI時，它會使用所有方法和資源來消滅敵人并實現其目標。值得注意的是，谷歌表示，這篇文章不是其在DeepMind的員工工作的一部分，而是作為他在澳大利亞國立大學的職位的一部分進行的，這也是為什么它被錯誤地與DeepMind聯系在一起的原因。

5、新加坡星巴克稱客戶數據遭遇數據泄露

星巴克表示，新加坡一些客戶的個人數據已被泄露，包括姓名、生日和手機號碼。雖然信用卡詳細信息和密碼口令尚未泄露，但它已建議客戶更改口令。這家美國餐飲連鎖店當地時間9月16日向多名客戶發送了電子郵件，通知他們已檢測到“未經授權的在線活動”以及“對客戶詳細信息的一些未經授權的訪問”。這些包括姓名、出生日期、手機號碼和居住地址（如果個人數據已提供給星巴克）。該公司表示，與獎勵客戶忠誠度計劃相關的細節，例如儲值和積分，不受影響。據星巴克稱，信用卡數據也沒有受到損害，因為它沒有存儲此類信息。該零售商表示已通知地方當局，并正在協助他們進行調查。它還指出，雖然口令沒有泄露，但鼓勵客戶立即重置口令。星巴克在給客戶的電子郵件中表示，它已經實施了額外的措施來保護客戶信息，但沒有提供有關這些措施的詳細信息。ZDNET了解到，黑客已經在專門從事被盜數據庫交易的在線論壇上兜售數據。在9月10日的一篇帖子中，黑客聲稱可以訪問星巴克新加坡的“完整數據庫”，其中包含超過553,000條記錄，并提供了一個樣本轉儲。ZDNET聯系了星巴克以獲取更多信息，包括受違規影響的客戶數量、哪些系統遭到破壞、違規后采取的安全措施以及首次發現違規的時間。一位發言人在一封電子郵件回復中表示，該公司于9月13日（星期二）獲悉數據泄露事件。但沒有回答 ZDNET 關于受數據泄露影響的客戶數量或涉及哪些系統的問題。 

6、白宮發布整體數字資產監管框架

拜登政府通過發布一個基于跨機構研究和投入的新國家框架，試圖規范加密貨幣和數字資產市場，該框架旨在代表多元化的利益相關者。官員們證實，根據喬·拜登總統之前的行政命令，包括財政部、司法部和商務部在內的一系列聯邦機構撰寫的九份報告已提交給總統辦公廳，以告知拜登的數字資產開發指南。報告中包含的一些主要指導包括指導美國證券交易委員會等金融監管機構調查數字資產市場中的欺詐和不當行為。消費者金融保護局的任務是監控消費者投訴和跟蹤潛在的濫用行為，以及與執法部門合作解決加密領域的風險。一位政府官員15日表示：“我們正在對數字資產、風險和機遇進行深入分析，以提出政策建議，以便我們能夠建立一個框架，利用潛在利益，同時果斷地降低風險。” 白宮科技政策辦公室的官員證實，新框架將檢查加密采礦對環境的影響及其過度的化石燃料排放和電力消耗。能源部和環境保護署將負責對加密資產的環境影響進行研究。報告還強調需要進一步研究潛在的中央銀行數字貨幣。政府官員稱，為美國發行的 CBDC 奠定基礎是拜登政府的“關鍵優先事項”。財政部長珍妮特耶倫15日也介紹了該框架，確認她的機構將發布三份關于在傳統金融服務中運營的數字資產面臨的挑戰的報告，同時承認負責任市場的潛在好處。盡管在數字資產交易中保護消費者和加強監管一直是國會山的熱門立法話題，但在新框架內沒有建議制定規則或立法行動。該框架將向國會提供建議，以幫助規范數字資產領域，例如修改《銀行保密法》以包括數字資產。 

7、白宮宣布為州和地方政府提供10億美元的網絡資金

拜登政府當地時間9月16日宣布啟動一項10億美元的網絡安全撥款計劃，以幫助州、地方和地區政府更好地防御網絡威脅并加強其關鍵基礎設施的安全性。去年11月總統簽署成為法律的《基礎設施投資和就業法案》中包含的州和地方網絡安全撥款計劃將由網絡安全和基礎設施安全局和聯邦緊急事務管理局管理。國土安全部關于該計劃資助機會的通知要求各州在11月15日之前提交其資助申請。在該計劃的第一年，大約1.85億美元的贈款總資金池將提供給各州，即從2022財年開始，為期四年。地方政府有資格作為其州和領地的次級受助人獲得贈款資金。15日，白宮高級顧問兼基礎設施協調員Mitch Landrieu在與記者的簡報會上表示，每個州都有資格獲得至少200萬美元的資金，用于“制定全州網絡安全計劃、進行評估并開始其項目以增強其網絡彈性。” 通過該計劃獲得資金的州必須將至少 80%的贈款分配給當地和農村社區，至少3%分配給部落政府。Landrieu說：“它旨在幫助城市、州、縣和小社區組織起來，讓他們了解網絡安全的需求，并為他們提供資金來組織它。”國土安全部部長亞歷杭德羅·馬約卡斯（Alejandro Mayorkas）也參加了15日的新聞發布會，他強調了威脅行為者“利用漏洞和有限的從全國范圍內的毀滅性網絡攻擊中恢復的能力”。“支持我們的州和地方政府合作伙伴對我們的國家網絡安全至關重要，”Mayorkas 說。“這些贈款將為州、地方和地區政府提供急需的資源來解決網絡安全問題，并采取措施防范網絡安全風險，幫助他們加強社區，從而顯著提高國家對網絡威脅的抵御能力。”國土安全部的一位官員在新聞發布會上表示，州和地方政府可以利用這些撥款來加強其選舉基礎設施的安全性。

8、TeamTNT劫持服務器運行比特幣加密求解器

自9月初以來，AquaSec的威脅分析師已經在他們的蜜罐上發現了TeamTNT活動的跡象，這使他們相信臭名昭著的黑客組織又開始行動了。TeamTNT宣布于2021年11月退出，事實上，從那時起，大多數相關觀察都涉及過去感染的殘余，如自動化腳本，但沒有新的有效載荷。然而，最近的攻擊帶有與TeamTNT相關的各種特征，這表明威脅行為者很可能卷土重來。研究人員觀察到據稱新的TeamTNT使用了三種攻擊類型，其中最有趣的一種是利用被劫持服務器的計算能力來運行比特幣加密求解器。由于使用Pollard的Kangaroo WIF求解器，該攻擊被命名為“袋鼠攻擊”，該攻擊掃描易受攻擊的Docker守護程序，部署AlpineOS映像，刪除腳本（“k.sh”），并最終從GitHub獲取求解器。Pollard的袋鼠區間ECDLP（橢圓曲線離散對數問題）求解器算法試圖破解比特幣公鑰密碼學中使用的SECP256K1 加密。這種破解嘗試用當前的機器實現它被認為是不可能的，但TeamTNT似乎愿意使用其他人的資源來嘗試這個理論。威脅參與者只是在嘗試新的攻擊途徑、有效載荷部署和規避檢測，同時對捕獲的系統執行密集操作，而袋鼠攻擊則滿足了所有要求。

9、越南黑客聲稱用弱口令漏洞攻擊了英國洲際酒店（IHG）

幾名黑客聲稱，他們對英國假日連鎖酒店的所有者洲際酒店集團(IHG)進行了網絡攻擊，“只是為了好玩”，造成了大規模的預訂中斷。該公司在全球經營著6000家酒店，包括假日酒店、皇冠假日酒店和麗晶酒店等品牌。攻擊發生后，自稱“茶壺”(teapot)的黑客通過Telegram即時通訊應用聯系了BBC，并提供了截屏作為他們實施攻擊的證據。這對聲稱來自越南的夫婦告訴BBC，在實施勒索軟件攻擊被阻止后，他們刪除了大量數據。“我們的攻擊最初計劃是用勒索軟件，但在我們有機會部署它之前，該公司的IT團隊一直在隔離服務器，所以我們想做一些有趣的事情。我們做了一個雨刷攻擊，”其中一名黑客說。通過雨刷攻擊，數據、文檔和文件被不可逆轉地破壞，而沒有恢復它們的可能性。他們表示，他們之所以能夠進入這家連鎖酒店的數據庫，是因為一個普遍存在的弱口令——Qwerty1234。上周一（9月12日），該公司的服務器遭到黑客攻擊，此前有客戶反映預訂和登記服務普遍存在問題。該問題持續了24小時以上，隨后洲際酒店集團在Twitter上發表回應稱，該公司“正在進行系統維護”。周二下午晚些時候，該公司證實自己遭到了網絡攻擊。該公司在提交給倫敦證交所(LSE)的一份正式通知中表示:“自昨日以來，預訂渠道和其他申請受到嚴重干擾。”

10、Rockstar游戲公司遭黑客攻擊后其《俠盜獵車手6》的源代碼和視頻已被泄露

據稱，一名黑客入侵了Rockstar游戲公司的Slack服務器和Confluence服務器，《俠盜獵車手6》的玩法視頻和源代碼被泄露。17日，這些視頻和源代碼首先在GTAForums上被泄露，一個名為“teapotuberhacker”的威脅行為者分享了一個RAR檔案的鏈接，其中包含90個被盜視頻。這些視頻似乎是由開發者調試游戲中的各種功能而制作的，如攝像頭角度、NPC跟蹤和Vice City中的位置。此外，一些視頻還包含了主角與其他npc之間的語音對話。黑客聲稱竊取了“gta5和gta6的源代碼和資產，gta6測試構建”，但試圖勒索Rockstar游戲公司。然而，威脅行為者說，他們正在接受出價超過10000美元的gtav源代碼和資產，但不出售gta6源代碼。在論壇成員對黑客攻擊的真實性表示懷疑后，這名威脅行為者聲稱他是最近對優步的網絡攻擊的幕后黑手，并泄露了《俠盜獵車手5》和《俠盜獵車手6》的源代碼截圖作為進一步的證據。目前，Rockstar games還沒有發布聲明或回復我們的郵件。然而，彭博社的Jason Schreier在與Rockstar的消息人士交談后證實了消息的真實性。這些泄露的視頻被傳到YouTube和Twitter上，Rockstar Games發布了違反DMCA的通知，并要求將視頻下架。Rockstar Games的所有者Take 2 Interactive在一份版權聲明中寫道:“由于Take 2 Interactive的版權聲明，本視頻將不再播放。”這些下架要求進一步證明了泄露的gta6視頻是真實的。然而，Rockstar Game的努力來得太晚了，因為威脅行動者已經創建了一個專門的Telegram頻道，他們正在使用該頻道泄露偷來的gta6視頻和源代碼。例如，威脅行動者今天泄露了一個gta6的源代碼文件，長達9500行，似乎與執行各種游戲內動作的腳本有關。這名黑客沒有透露他們是如何獲得gta6視頻和源代碼的細節，只是聲稱是從Rockstar的Slack和Confluence服務器上盜取的。該威脅行為者還聲稱與最近對優步進行網絡攻擊的黑客“茶壺”是同一個人，但BleepingComputer無法確認這些說法是否屬實。