網絡空間安全對抗資訊速遞

1、澳大利亞指責俄羅斯窩藏醫療保險黑客

澳大利亞聯邦警察 (AFP) 指出俄羅斯是攻擊者的所在地，他們入侵了當地的健康保險公司Medibank，訪問了近1000萬客戶記錄，并在最近幾天將一些客戶數據發布到了暗網。客戶數據的發布——其中一些包含客戶使用他們的保險獲得的醫療服務的私密細節——是在 Medibank拒絕支付贖金以保護數據之后發布的，理由是這樣做不能保證客戶的安全。AFP專員Reece Kershaw在澳大利亞時間周五（11月11日）下午發表的一份聲明中說：“我們認為，應對此次攻擊行為負責的人在俄羅斯。”Kershaw補充說，這次攻擊是由“一群關系松散的網絡犯罪分子實施的，他們可能對過去在世界各國發生的重大攻擊事件負責。”這種措辭符合臭名昭著的網絡攻擊組織REvil的描述。但Kershaw沒有指出任何實體對這次襲擊負責。“我們相信我們知道哪些人對此負責，但我不會點名，”他說。“我要說的是，我們將與俄羅斯執法部門就這些人進行會談。”澳大利亞領導人譴責俄羅斯在該事件中的作用。在Kershaw發布這些言論之前，總理安東尼·阿爾巴尼斯（Anthony Albanese）表示，俄羅斯“也應該對……信息的發布負責，包括非常私人和個人的信息。”網絡安全部長克萊爾奧尼爾將攻擊者稱為“網絡暴徒”，他們的行為“令人作嘔且在道德上應受譴責”。

2、網絡戰爭和網絡犯罪齊頭并進

網絡安全專業人士長期以來一直在討論未來的沖突將不再僅僅在物理空間的戰場上進行，而是在數字空間中進行。盡管最近的沖突表明物理戰場不會很快消失，但我們也看到比以往任何時候都多的國家支持的網絡攻擊。因此，企業、個人和政府確保為攻擊做好準備至關重要。在數字戰場上，不僅僅是士兵成為目標——每個人都在火線上。從廣義上講，網絡戰行為是針對外國網絡的任何國家支持的惡意在線活動。然而，與大多數地緣政治現象一樣，網絡戰的現實例子要復雜得多。在國家支持的網絡犯罪的陰暗世界中，并不總是政府情報機構直接進行攻擊。相反，更常見的是來自與民族國家有聯系的有組織的網絡犯罪組織的攻擊。這些組織被稱為高級持續威脅 (APT) 組。2016 年入侵民主黨全國委員會的臭名昭著的 APT-28，也稱為 Fancy Bear，就是此類間諜活動的一個很好的例子。APT組織與國家情報機構之間的松散聯系意味著國際間諜活動與更傳統的網絡犯罪之間的界限變得模糊。這使得確定特定攻擊是否是“網絡戰行為”變得困難。因此，安全分析師通常只能假設攻擊是否受到百分比和確定性程度的國家支持。這在某種程度上是惡意國家機構的完美掩護，這些機構希望瞄準和破壞關鍵基礎設施，同時降低引發地緣政治危機或武裝沖突的可能性。隨著政府和私人組織繼續采用智能和互聯的 IT 網絡，風險和潛在后果將繼續增加。當今的威脅形勢下，網絡攻擊不僅是一種潛在風險，而且是意料之中的。

3、網絡釣魚將IceXLoader惡意軟件投放到數以千計的家用和企業設備上

正在進行的網絡釣魚活動已經投放了新版本的“IceXLoader”惡意軟件，從而感染了數千名家庭和企業用戶。IceXLoader是今年夏天首次在野外發現的惡意軟件加載程序，其作者發布了3.3.3 版，增強了該工具的功能并引入了多階段交付鏈。Fortinet于2022年6月發現了基于 Nim的惡意軟件，當時IceXLoader的版本為 3.0，但加載程序缺少關鍵功能，并且通常看起來像是在進行中。Minerva Labs周二（8日）發布了一篇新帖子，警告說最新版本的IceXLoader標志著該項目的beta開發階段結束。對于在地下網絡犯罪中如此積極推廣的惡意軟件加載程序，任何此類開發都意義重大，并可能導致其部署突然增加。感染始于通過包含第一階段提取器的網絡釣魚電子郵件。提取器在“C:\Users\<username>\AppData\Local\Temp”下創建一個新的隱藏文件夾 (.tmp)，并刪除下一階段的可執行文件“STOREM~2.exe”。然后，根據操作員選擇的提取設置，可能會重新啟動受感染的系統，并在計算機重新啟動時添加一個新的注冊表項以刪除臨時文件夾。刪除的可執行文件是一個下載器，它從硬編碼的URL中獲取PNG文件，并將其轉換為經過混淆的DLL文件，即IceXLoader有效負載。解密有效載荷后，投放器會執行檢查以確保它沒有在模擬器中運行，并在執行惡意軟件加載程序以逃避沙箱之前等待35秒。最后，IceXLoader使用進程空心注入到STREM~2.exe 進程中。為了確保重新啟動之間的持久性，惡意軟件加載程序還在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”處創建一個新的注冊表啟動項。為了規避檢測，它使用AMSI.DLL中的內存修補方法，繞過 Windows Defender和其他安全產品使用的Microsoft Windows反惡意軟件掃描接口。Minerva報告說，該活動背后的威脅參與者對保護被盜數據不感興趣，因為保存被盜信息的 SQLite 數據庫可以在 C2 地址中訪問。暴露的數據庫包含與數千名受害者相對應的記錄，其中包含家庭PC和公司PC感染的混合。

4、白宮網絡官員主張北約更靈活地應對數字威脅

白宮高級網絡官員星期四（10日）在羅馬舉行的北約會議上發表了講話。該官員召集盟國制定了快速應對民族國家黑客攻擊和其他數字威脅的計劃。在周四的會議之前，代表30個北約國家的官員6月承諾，將大幅加強北約作為一個聯盟和在國家層面的網絡防御。白宮負責網絡和新興技術的副國家安全顧問安妮?紐伯格(Anne Neuberger)表示:“正如北約準備應對我們的盟友面臨的動態(戰場)危機一樣，我們也必須準備應對網絡危機。”“作為一個聯盟，我們必須更加靈活……在一個國家面臨重大破壞性攻擊時，提供直接、技術和必要的支持。”國務院首位負責網絡空間和數字外交的無任大使內特·菲克(Nate Fick)也出席了會議。紐伯格在講話中說，在與伊朗有關的黑客對阿爾巴尼亞多個政府網站發動一系列網絡攻擊后，北約7月代表阿爾巴尼亞政府進行了干預，這是令人欽佩的。不過，她表示，北約對網絡攻擊的技術回應是不夠的。Neuberger今年2月訪問布魯塞爾和華沙，期間會見了來自北約、波蘭和波羅的海國家的官員，討論應對俄羅斯入侵烏克蘭的網絡威懾問題，贏得了盟友的稱贊。俄羅斯在2月1日訪問烏克蘭幾周后入侵了烏克蘭。Neuberger周四表示，俄羅斯對烏克蘭的網絡攻擊以及烏克蘭抵御攻擊的技巧提醒我們，為什么北約將從投資網絡彈性中受益。“烏克蘭在很多情況下都能夠成功抵御復雜的網絡攻擊，這得益于在俄羅斯入侵之前所做的工作。”

5、歐盟網絡防御政策加強了針對網絡威脅的行動并增加了在國防方面的合作和投資

11月10日，歐盟委員會和高級代表提議就歐盟網絡防御政策和軍事機動2.0行動計劃進行聯合協商。歐盟網絡防御政策致力于提高歐盟使用一切可用手段預防、發現、阻止和防御針對歐盟委員會及其成員國的網絡攻擊的能力。它還解決了俄羅斯入侵烏克蘭后日益惡化的安全環境問題，并致力于提高歐盟保護其公民和基礎設施的能力。歐盟網絡防御政策旨在提高歐盟網絡防御能力，加強軍民網絡社區之間的協調與合作。它將加強歐盟內部有效的網絡危機管理，幫助減少對關鍵網絡技術的戰略依賴，同時加強歐洲國防技術工業基地(EDTIB)。促進網絡人才的培養、吸引和留住，加強與網絡防御領域合作伙伴的合作。歐盟網絡防御政策主要圍繞四個支柱構建，涵蓋了將幫助歐盟和成員國的各種舉措。這些支柱包括共同行動，加強歐盟網絡防御，確保歐盟防御生態系統的安全，投資網絡防御能力，同時合作應對共同挑戰。該政策還與最近保護關鍵基礎設施的工作相聯系。針對歐盟軍事和民用關鍵基礎設施的網絡攻擊的數量和復雜性的增加，是歐盟網絡防御政策需要緊急更新的主要原因之一。實體和數字基礎設施之間的相互依賴性，以及可能破壞或破壞關鍵基礎設施的重大網絡安全事件表明，歐盟需要在網絡空間進行密切的軍民合作，以成為更強大的公民安全提供者。這一舉措是上個月提出的《理事會建議》的核心內容，該建議建議歐盟采取協調一致的方式加強關鍵基礎設施的抵御能力。由于武裝部隊在很大程度上依賴民用關鍵基礎設施，無論是機動、通信還是能源，歐盟網絡防御政策旨在使網絡防御社區受益于更強大的民用和軍事探測和態勢感知能力。此外，該委員會還將提出進一步的行動，以加強整個歐盟的防范和應對行動。這將包括根據歐盟風險評估，對運營關鍵基礎設施的關鍵實體進行潛在漏洞測試，逐步建立歐盟網絡儲備，并發展歐盟安全行動中心基礎設施，為歐盟提供真正的網絡盾牌。歐盟將加強國家和歐盟網絡防御參與者之間的協調機制，加強信息交流與合作，進一步支持軍事共同安全和防御政策(CSDP)任務和行動。它將創建一個歐盟網絡防御協調中心(EUCDCC)，以支持增強國防社區內的態勢感知能力，并為milcert(軍事計算機應急響應小組)建立一個作戰網絡，同時還將發展和加強歐盟網絡指揮官會議。它還開發了一個新的框架項目CyDef-X，以支持歐盟網絡防御演習，并致力于網絡防御社區和其他網絡社區之間的信息交換。

6、卡塔爾世界杯開賽在即網絡防御模式急需升級

即將在卡塔爾舉行的國際足聯世界杯的組織機構和主要合作伙伴被警告要加強抵御潛在網絡威脅的能力。威脅情報公司“數字陰影”(Digital Shadows)稱，世界上最受關注的體育賽事將招致各種威脅行為者的審查。“騙局可以以多種形式出現。例如，出于經濟動機的威脅行為者經常植入惡意url，欺騙這些事件到欺詐網站，希望最大限度地提高他們欺騙天真的互聯網用戶的機會，以快速獲利。”與此同時，黑客組織可能會利用公眾對這類事件的關注，以指數級增加其信息的傳播范圍。國家資助的先進持續威脅(APT)組織也可能決定針對全球體育賽事，如2022年卡塔爾世界杯，以實現主辦國或更廣泛的賽事社區的國家目標。”在收集了90天的事件威脅數據后，供應商強調了組織面臨的主要風險如下:設計用來引誘用戶進行網絡釣魚攻擊的欺騙域名。Digital Shadows識別出174個假冒官方網頁的惡意域名；假冒的移動應用程序被設計用來安裝廣告軟件，竊取個人和財務數據，提取cookie和證書，并下載更多的有效載荷——研究人員發現了其中的53個；虛假的社交媒體頁面用于傳播騙局，如傳銷計劃，或幫助進行社會工程攻擊，如商業郵件妥協(BEC) -數字陰影說它發現了“幾十個”這樣的攻擊；竊取的證書，可以用來劫持公司或客戶賬戶；黑客活動分子利用DDoS，以烏克蘭戰爭、伊朗參與甚至東道國的名義，摧毀關鍵的在線基礎設施；勒索軟件和初始訪問代理(IABs)。Digital Shadows敦促組織在活動之前采取基于風險的網絡安全方法，重點關注網絡衛生最佳實踐，如定期打補丁、多因素認證(MFA)和網絡釣魚意識。“基于風險的方法使您的組織能夠通過考慮某種現象的潛在影響及其可能性，使其網絡安全計劃適應特定的需求和漏洞，”報告總結道。“因此，在觀察主要威脅的同時，分析可能對您進行惡意活動的行為者的動機和能力也很重要。”

7、烏克蘭網絡警察破獲2億美元詐騙團伙

烏克蘭警方在一場泛歐洲行動中發揮了自己的作用，挫敗了一個主要的網絡詐騙團伙，估計造成了2億美元的損失。該國的網絡警察部門、國家警察主要調查部門、總檢察長辦公室和歐洲刑警組織的代表都參與了這次行動。結果逮捕了五名嫌疑犯，他們都是烏克蘭國民，并沒收了500個移動設備和電腦設備。他們的家和該組織在基輔和伊萬諾-弗蘭科夫斯克的呼叫中心一起被搜查。與此同時，歐洲其他地區的警察突襲了其他疑似成員在阿爾巴尼亞、芬蘭、格魯吉亞、德國、拉脫維亞和西班牙的住所。騙子會引誘投資者將資金投入加密貨幣或交易股票、債券、期貨和期權。據烏克蘭網絡警察稱，盡管騙子告訴受害者，他們的投資正在以健康的速度增長，但受害者從未能夠套現。為了延續其騙局，該集團在歐洲各地運營呼叫中心，其中烏克蘭有三個，員工估計有2000人。據說被捕的五人是呼叫中心的經理。投資欺詐是網絡罪犯最大的收入之一。盡管去年向FBI報告的案件只有2.05萬起，但這些案件給受害者帶來了近15億美元的損失。烏克蘭警方的這次突襲行動是在6月份的一次行動中進行的，在那次行動中，一個網絡釣魚團伙的9名成員被逮捕，他們涉嫌以歐盟財政支持的承諾引誘當地人賺取1億格里夫尼亞(340萬美元)。在兩年的行動后被捕的人將根據烏克蘭刑法第190條第3部分接受審判，這意味著他們可能面臨8年的監禁。

8、LiteSpeed漏洞可能導致Web服務器完全接管

由Palo Alto Networks的研究人員發現的LiteSpeed Web Server漏洞可以被利用來完全控制目標服務器。這些安全漏洞是在對OpenLiteSpeed的審計中發現的，OpenLiteSpeed是LiteSpeed Technologies公司生產的專注于性能的web服務器的開源版本。這兩個版本都受到漏洞的影響，它們已經在OpenLiteSpeed 1.7.16.1和LiteSpeed 6.0.12版本中進行了修補。LiteSpeed是一款很受歡迎的網絡服務器，Palo Alto Networks的一項分析顯示，LiteSpeed有2%的市場份額——其他人說它的市場份額要大得多——有190萬個面向互聯網的實例在使用它。安全公司的研究人員發現的漏洞可以被用來破壞目標web服務器，并以更高的權限執行任意代碼。但是，沒有身份驗證就不能利用這些缺陷。攻擊者必須首先使用暴力攻擊或社會工程來獲得web服務器儀表板的有效憑證。第一個漏洞被評級為“高嚴重性”，被跟蹤為CVE-2022-0073，與一個允許用戶指定服務器啟動時要執行的命令的字段有關。第二個漏洞也被評為“高嚴重性”，被追蹤為CVE-2022-0074，可以被利用前一個漏洞的攻擊者利用，將特權從“nobody”升級到“root”。第三個漏洞為CVE-2022-0072，是一個目錄遍歷bug，可以被利用來繞過安全措施，訪問被禁止的文件。該安全公司表示:“侵入服務器的攻擊者可以創建一個秘密后門，并利用該漏洞訪問它。”在Palo Alto Networks向LiteSpeed的開發者報告其發現后大約兩周，補丁就發布了。

9、PDF文檔閱讀器Foxit修補了四個代碼執行漏洞

流行的PDF文檔閱讀器Foxit reader已經更新，以解決多個可用于任意代碼執行的免費后使用的安全漏洞。功能豐富的PDF閱讀器為用戶提供了廣泛的功能，包括通過JavaScript支持支持多媒體文檔和動態表單，這也擴展了應用程序的攻擊面。本周，思科的Talos安全研究人員發布了Foxit Reader JavaScript引擎的四個漏洞信息，這些漏洞可能被用來實現任意代碼執行。這些問題被追蹤為CVE-2022-32774、CVE-2022-38097、CVE-2022-37332和CVE-2022-40129，其CVSS評分為8.8，被描述為自由后使用的漏洞。“一個特別制作的PDF文檔可以觸發重用之前釋放的內存，這可能導致任意的代碼執行，”思科解釋道。想要利用這些漏洞的攻擊者需要誘騙用戶打開惡意文件。思科表示，如果啟用了Foxit瀏覽器插件擴展，當用戶導航到惡意網站時，漏洞就會被觸發。思科在9月份向Foxit報告了安全缺陷。本周，Foxit發布了版本12.0.1.12430的PDF閱讀器來解決所有問題。建議用戶盡快更新到最新的軟件迭代。

10、NSA發布關于防范軟件內存安全問題的指南

 美國國家安全局 (NSA) 于11月10日發布指南，以幫助軟件開發人員和操作員預防和緩解軟件內存安全問題，這些問題占可利用漏洞的很大一部分。

“軟件內存安全”網絡安全信息表強調了惡意網絡行為者如何利用內存管理不善的問題來訪問敏感信息、發布未經授權的代碼執行并造成其他負面影響。內存管理問題已經被利用了幾十年，今天仍然非常普遍，”網絡安全技術總監Neal Ziring說。“在開發軟件以消除惡意網絡參與者的這些弱點時，我們必須始終使用內存安全語言和其他保護措施。”微軟和谷歌都表示，軟件內存安全問題是其漏洞的大約70%。糟糕的內存管理也會導致技術問題，例如不正確的程序結果、程序性能隨著時間的推移而下降以及程序崩潰。NSA建議組織盡可能使用內存安全語言，并通過編譯器選項、工具選項和操作系統配置等代碼強化防御來加強保護。