網絡空間對抗資訊快報

1、土耳其黑客使用Yandex和Google投遞惡意軟件長達三年

Check Point研究人員將講突厥語的組織Nitrokod歸因于一項活躍的加密貨幣挖礦活動，其中包括自2019年以來使用虛假桌面投放應用程序感染11個國家/地區的111,000多名受害者。Check Point研究副總裁Maya Horowitz表示 ，任何人都可以使用惡意工具。它們可以通過搜索Internet找到，從鏈接下載，并通過雙擊安裝。該運動影響了以下國家的受害者：英國、美國、斯里蘭卡、希臘、以色列、德國、土耳其、塞浦路斯、澳大利亞、蒙古和波蘭。惡意軟件通過托管在Softpedia和Uptodown等流行網站上的免費軟件進行分發。值得注意的是，該惡意軟件會將其執行延遲數周，并將其惡意活動與下載的假軟件分開以避免被發現。一旦安裝了受感染的程序，更新可執行文件就會被部署到磁盤上，這會啟動一個4階段的攻擊序列，其中每個dropper準備下一個，直到惡意軟件在第七階段被刪除。一旦惡意軟件啟動，就會與遠程命令和控制(C&C)服務器建立連接，以獲取配置文件以啟動加密劫持。Nitrokod 活動的顯著特點是假軟件針對沒有官方桌面版本的服務：Yandex翻譯器；谷歌翻譯;微軟翻譯；YouTube音樂；MP3 下載管理器；電腦自動關機。此外，惡意軟件在初始感染后近一個月被刪除，此時取證線索被刪除。這使得分析攻擊并將其追溯到安裝程序變得困難。Horowitz表示，黑客可以輕松更改攻擊的最終有效載荷，將其從加密礦工更改為勒索軟件或銀行木馬。

2、在ICS黑客競賽中利用的OPC UA漏洞的詳細信息現在披露

軟件開發和安全解決方案提供商JFrog披露了影響OPC UA協議的多個漏洞的詳細信息，包括其員工在今年早些時候的黑客競賽中利用的漏洞。OPC UA（開放平臺通信聯合架構）是一種機器對機器通信協議，許多工業解決方案提供商使用它來確保各種類型的工業控制系統(ICS)之間的互操作性。JFrog的研究人員在OPC UA中發現了幾個漏洞，并在4月的Pwn2Own Miami 2022比賽中披露了其中一些漏洞，參賽者因入侵ICS獲得了總計400,000美元的獎金。在 Pwn2Own的OPC UA服務器類別中，最高獎金為40,000美元，用于繞過受信任的應用程序檢查，參與者可以因遠程代碼執行缺陷而獲得20,000美元。JFrog研究人員通過針對OPC UA .NET標準服務器、GitHub上數百個其他存儲庫使用的開源服務器和統一自動化OPC UA C++演示服務器的兩次拒絕服務(DoS)攻擊，每人賺取了5,000美元。Pwn2Own 中提出的兩個漏洞可用于使OPC UA服務器崩潰。DoS缺陷可能會在ICS的情況下產生重大影響，因為它們可能導致關鍵流程的中斷。JFrog在上周發表的一篇博文中披露了它的發現。此外，JFrog研究人員還向Unified Automation 報告了其他8個漏洞。這些問題是在基于Unified Automation C++的OPC UA服務器SDK 發現的，并且在SDK的1.7.7版本中得到了修復。其中兩個漏洞可以允許具有提升權限的攻擊者在服務器上實現遠程代碼執行。由于時間和穩定性限制，這些安全漏洞不符合Pwn2Own的條件，但上周JFrog在另一篇博客文章中披露了它們的詳細信息。

3、研究人員在25,000個WordPress網站上發現了惡意插件

治亞理工學院的研究人員已經在數以萬計的WordPress網站上發現了惡意插件。對超過400,000個唯一網絡服務器的夜間備份的分析顯示，在近25,000個唯一的WordPress網站上安裝了超過47,000個惡意插件。這些插件中的94%以上（超過44,000個）今天仍在使用。超過3,600個已識別的惡意插件是從CodeCanyon、Easy Digital Downloads 和ThemeForest等合法市場購買的。學者們在一篇研究論文中說，這些插件中的大多數都沒有使用混淆來隱藏它們的惡意行為。用于研究的數據集跨越了2012年7月至2020年7月之間的八年時間，顯示安裝的惡意插件數量穩步增加，活動在2020年3月達到峰值。據研究人員稱，攻擊者購買流行的免費插件的代碼庫，然后添加惡意代碼并等待用戶應用自動更新。還觀察到攻擊者冒充良性插件作者通過盜版插件分發惡意軟件。學者們說：“雖然網站所有者信任插件生態系統，并且僅在我們數據集中的插件上花費了730萬美元，但我們發現這種信任經常因攻擊者的金錢收益而被打破。”為了進行分析，研究人員構建了一個名為YODA的惡意插件檢測和跟蹤自動化框架，該框架針對屬于網站備份提供商CodeGuard客戶的 00,000個Web服務器的數據集進行部署。在已識別的惡意插件中，超過10,000個使用了webshell和代碼混淆。研究人員還發現了插件到插件感染的案例，其中惡意插件感染同一Web服務器上的其他插件，復制其行為。總體而言，超過40,000個插件實例在部署后受到感染。在許多情況下，攻擊者濫用基礎設施將惡意插件注入網站，然后試圖保持對Web服務器的訪問。已識別的惡意插件中的一些行為在2012年底很流行，而另一些則是最近才引入的。然而，無論新舊與否，這些行為在當今的惡意插件中仍然很普遍。

4、LockBit勒索軟件團伙實施三重勒索策略

LockBit勒索軟件團伙宣布，它正在改進對分布式拒絕服務(DDoS)攻擊的防御，并努力將該行動提高到三重勒索水平。該團伙最近遭受了DDoS攻擊，據稱代表數字安全巨頭Entrust，該攻擊阻止了對其公司泄密網站上發布的數據的訪問。據BleepingComputer消息人士稱，來自Entrust的數據在6月18日的一次攻擊中被LockBit勒索軟件竊取。該 公司證實了這一事件 ，并且數據已被盜。Entrust沒有支付贖金，LockBit宣布將在8月19日公布所有被盜數據。但這并沒有發生，因為該團伙的泄密站點遭到 據信與Entrust相關的DDoS攻擊。LockBit勒索軟件操作的面向公眾的人物LockBitSupp宣布，該組織已重新開展業務，擁有更大的基礎設施，可以訪問不受DDoS攻擊影響的泄漏。上周末的DDoS攻擊暫時阻止了Entrust數據的泄露，這被視為探索三重勒索策略以向受害者施加更大壓力以支付贖金的機會。LockBitSupp表示，勒索軟件運營商現在正在尋求將DDoS作為一種勒索策略，以加密和泄露數據。“我正在團隊中尋找dudosers [DDoSers]，現在我們很可能會攻擊目標并提供三重勒索、加密 + 日期泄露 + dudos，因為我已經感受到了dudos的力量，以及它如何讓生活變得更加有趣， ” LockBitSupp在一個黑客論壇的帖子中寫道。該團伙還承諾分享從Entrust竊取的超過300GB的洪流數據，以便“全世界都知道你的秘密”。LockBit的發言人表示，他們將與任何聯系他們的人私下分享Entrust數據泄漏，然后再通過洪流提供。LockBit似乎信守承諾，并在本周末發布了一個名為“entrust.com”的種子文件，其中包含343GB的文件。

5、德國下令禁用數字廣告以節省汽油

德國已下令在夜間關閉不需要的數字標牌，以節省天然氣儲備用于更重要的用途。與許多歐洲國家一樣，德國依賴從俄羅斯進口天然氣。而且由于俄羅斯在烏克蘭的特殊軍事行動，這種氣體目前供不應求。因此，歐盟制定了節能計劃。德國的一種策略是在晚上10點至早上6點之間關閉商店櫥窗和其他非必要場所的數字標牌。德國還將停止一些公共建筑的戶外照明，并采取許多其他節能措施。要求關閉的文件于8月12日發布，執行截止日期為9月1日。但根據德文版Invidis的說法，該裁決極為模糊。例如，更新后的條例似乎犯了一個簡單的錯誤，將06:00改為16:00。因此，數字標牌只能在16:00到22:00之間工作。Invidis還指出，公交車站和火車站的標牌現在將具有顯示廣告和時間表信息的雙重功能。據報道，像這樣的錯誤和模棱兩可讓電子牌所有者對他們需要做什么感到困惑，并擔心他們可能會錯過最后期限。更復雜的事情是完全關閉屏幕而不是讓它們空白的要求。數字標牌很少被關閉，零售員工必須學習如何遵守這些要求。他們中的許多人使用計算機——一些在Android上運行，另一些使用計算模塊、英特爾 NUC甚至Raspberry Pi。因此，管理員將不得不應對額外的重新啟動。此外，內容更新也存在問題，通常會在一夜之間進行。

6、Karakurt勒索軟件組織專門攻擊醫療衛生機構

美國衛生與公眾服務部衛生部門網絡安全協調中心(HC3)指出，自6月以來，Karakurt勒索軟件組織發起了至少四次攻擊，影響了美國的醫療保健和公共衛生部門。“觀察到的攻擊影響了一家輔助生活設施、一家牙科公司、一家醫療保健提供者和一家醫院，”HC3在一份分析師報告中表示。“根據開源報告，Karakurt通常會在大約兩個月的時間內對其目標進行掃描、偵察和收集。威脅參與者可以訪問包含患者姓名、地址、社會安全號碼、出生日期、病史信息、醫療診斷信息、治療信息、病歷編號和健康保險信息的文件。然后威脅行為者威脅要發布信息，除非支付贖金，“它補充道。本月早些時候，醫療物聯網安全公司Cynerio也在一份報告中披露，網絡攻擊越來越多地針對醫療機構，攻擊范圍廣泛且反復發生，經濟損失達數百萬，并且經常未能采取基本的網絡安全措施。盡管落后的安全實踐助長了網絡攻擊，但失敗的衡量標準是死亡人數而不是財政損失。Karakurt勒索軟件組織，也稱為Karakurt團隊和Karakurt Lair，是一個相對較新的網絡犯罪組織，研究人員報告其在去年年底首次出現。HC3公告稱，Karakurt攻擊者聲稱竊取數據，然后威脅將其拍賣或向公眾發布，除非他們收到要求的贖金，已知贖金在25,000美元至13,000,000美元的比特幣之間，與付款截止日期通常會在與受害者第一次接觸后的一周內到期。HC3 說明指出，一旦獲得對受感染系統的訪問權限，Karakurt勒索軟件組就會部署Cobalt Strike 標來枚舉網絡，安裝 Mimikatz以提取純文本憑據，使用AnyDesk獲得持久遠程控制，并利用其他情況 -用于提升權限并在網絡內橫向移動的相關工具。

7、對愛沙尼亞媒體的網絡攻擊是一貫行動的一部分  

愛沙尼亞IT和外貿部長Kristjan J?rvan (Isamaa)上周晚些時候表示，26日對愛沙尼亞主要私人媒體機構的網絡攻擊是此類事件長期持續浪潮的一部分。他補充說，國家網站和服務比私營部門更容易受到黑客的保護，盡管國家也向后者提供了支持，以加強他們的網絡衛生。J?rvan說：“從政府決定開始更積極地處理‘紅色’紀念碑的那一刻起，我們無疑看到了[襲擊]的增加。從更大的角度來看，這仍然是俄羅斯反對西方的整個戰爭的一部分。”J?rvan還強調，雖然私營媒體公司受到影響，26日早上網站關閉了幾個小時，但公共廣播公司ERR沒有。“ERR受到國家措施的保護，恰恰是那些在緊急情況下獲得額外資金的措施。這在攻擊上升的情況下充分證明了自己，”J?rvan繼續說道。得益于專門的國家網絡安全機構RIA CERT-EE團隊，關鍵的國家服務也得到了很好的保護。雖然一個國家機構，鐵路運營商Eesti Raudtee上周五（26日）也受到了網絡攻擊的一些負面影響，暗示仍然需要做更多的工作，但基本的在線服務仍然完好無損。Ekspress Grupp的技術人員不斷與國家信息系統局(RIA，類似于NSA或GCHQ)就網絡攻擊保持了良好的溝通協調。受攻擊的Ekspress Grupp出版兩個周刊，Eesti Ekspress 和Maaleht，日報Eesti P?evaleht，所有這些周刊都有網站和印刷版本，以及門戶網站Delfi和其他一些出版物。

8、美國NSA和CyberCOM將捍衛中期選舉網絡安全

距離中期選舉還有75天，國防部與跨部門合作伙伴一起全力保護美國選舉制度免受外國干涉和外國影響。

“對于美國網絡司令部和國家安全局來說，這是一項持久的、不失敗的任務，他們為整個政府的努力帶來了獨特的見解和行動，”美國網絡司令部司令、NSA局長Paul M.Nakasone說。“我們齊心協力，以速度和統一的努力打擊任何可能試圖破壞我們民主制度的外國對手。”美國網絡司令部-美國國家安全局聯合選舉安全小組于2022年初再次成立，協調兩個組織的努力，以擾亂、阻止和削弱外國對手干預和影響美國公民投票方式和計票方式的能力。該小組帶頭國防部的工作，并由美國空軍準將共同領導。美國網絡司令部聯合負責人兼網絡國家任務部隊副指揮官維克多·馬西亞斯將軍和美國國家安全局高級執行官兼選舉安全聯合負責人安娜·霍里根女士。“ESG團隊由該領域的一些最優秀和最聰明的人組成，”Horrigan說。“我們在之前的成功基礎上再接再厲，同時最大限度地發揮我們牢固的關系并經常同步——使美國能夠迅速應對選舉威脅。”ESG的主要目標是深入了解可能干預或影響選舉的外國對手，通過與跨機構、行業和盟國合作伙伴共享信息來加強國內防御，并對尋求破壞民主進程的外國行為者施加成本。與之前的選舉周期一樣，美國網絡司令部和國家安全局在政府和行業中密切合作，是整個政府努力的關鍵組成部分。該組織直接支持國土安全部和聯邦調查局等合作伙伴收集、解密和共享有關外國對手的重要信息，以支持國內在選舉安全方面的努力。

9、 C、C++代碼漏洞查找工具Galois現在開源

Galois是一家專門研究和開發新技術的公司，它開源了一套工具，用于識別C 和 C++代碼中的漏洞。這些工具被稱為MATE，是美國空軍和國防高級研究計劃局(DARPA)支持的合作成果。現在可在BSD 3條款許可下使用，MATE依賴于代碼屬性圖(cpg)來進行靜態程序分析，并可以識別依賴于實現細節和高級語義的特定于應用程序的bug。CPG包括目標的抽象語法樹(AST)、調用圖(CG)、控制流圖(CFG)、過程間控制流圖(ICFG)、過程間數據流圖(DFG)、控制依賴圖(CDG)、內存布局和DWARF類型圖、點到圖(PTG)以及源代碼到機器代碼的映射。該套件包括在CPG基礎之上構建的多個應用程序，包括Flowfinder、MATE Notebooks、MATE POI和Mantiserve。Flowfinder提供了一個基于瀏覽器的用戶界面，有助于探索程序的代碼屬性圖，用于數據流的過程間分析。它支持擴展和收縮代碼和數據的語義表示，以及創建和操作組件之間流的可視化。MATE Notebooks，MATE使用Python API來查詢CPG，并提供對交互式Jupyter notebook的訪問以編寫整個程序查詢。該套件還帶有幾個用于漏洞檢測的自動分析，稱為興趣點 (POI)，它們是用相同的Python API編寫的。可以在Flowfinder中查看潛在漏洞。Mantiserve 旨在將 CPG 與 Manticore 符號執行工具集成，從而能夠分析低級問題，包括內存損壞。Manticore可以在兩種模式下使用，即“探索”（用于在傳統的符號執行期間發現內存損壞）和“欠約束的符號執行”（從程序中的任意函數開始）。Galois解釋說，MATE的欠約束功能使用戶能夠分析對于使用傳統符號執行進行分析來說太大或復雜的程序部分，同時還允許他們提供約束以消除誤報。除了幫助研究人員尋找C 和 C++應用程序中的錯誤外，MATE還旨在幫助將CPG 和相應的Python API集成到其他程序中。

10、領先的圖書館服務公司Baker&Taylor遭勒索軟件攻擊

Baker&Taylor自稱是全球最大的圖書館圖書分銷商，29日證實，在一周多前遭到勒索軟件攻擊后，它仍在努力恢復系統。正如Baker&Taylor在8月23日所說 ，在一次影響公司電話系統、辦公室和服務中心的服務中斷后，其服務器停機。一天后，這家圖書館服務提供商透露 ，該事件導致其關鍵業務系統的中斷將持續一周，而技術團隊正在努力恢復受影響的服務器。公司聲明稱，“網絡攻擊對所有公司的威脅越來越大，不幸的是，我們和其他人一樣成為黑客攻擊的受害者。我們的IT團隊和外部專家正在不停地工作以恢復我們的系統。”“我們將繼續提供更新，并期待盡快恢復正常運營。”目前，沒有關于攻擊背后是什么勒索軟件組織或附屬機構的信息。盡管如此，根據該公司表示正在努力恢復受影響的服務器的聲明，可以肯定地說Baker & Taylor不會支付贖金要求。Baker& aylor是一家成立于190多年前的私營公司，是美國和全球領先的圖書館內容和軟件供應商。它位于北卡羅來納州夏洛特，目前為 5,000多個公共和學術圖書館提供服務。