朝鮮黑客使用Konni RAT惡意軟件攻擊歐盟目標 威脅分析
1、朝鮮黑客使用Konni RAT惡意軟件攻擊歐盟目標
威脅分析人員發現了一個新的攻擊活動,該活動歸因于朝鮮黑客組織APT37,針對捷克共和國、波蘭和其他歐洲國家的高價值組織。在此活動中,黑客使用稱為Konni的惡意軟件,這是一種遠程訪問木馬(RAT),能夠在主機上建立持久性并執行權限升級。自2014年以來,Konni一直與朝鮮網絡攻擊有關,最近,它出現在針對俄羅斯外交部的魚叉式網絡釣魚活動中。Securonix的研究人員觀察和分析了最新且仍在進行的活動 ,他們稱之為STIFF#BIZON,其類似于與APT(高級持續威脅)的操作復雜性相匹配的策略和方法。攻擊始于一封帶有包含Word文檔(missile.docx)和Windows快捷方式文件(_weapons.doc.lnk.lnk)的存檔附件的網絡釣魚電子郵件。雖然策略和工具集指向APT37,但Securonix強調了APT28(又名FancyBear)支持STIFF#BIZON活動的可能性。研究人員總結道:這次攻擊與其之前從FancyBear/APT2 看到的歷史數據之間似乎存在IP地址、托管服務提供商和主機名之間的直接關聯。國家支持的威脅組織經常試圖模仿其他熟練APT的TTP來掩蓋他們的蹤跡并誤導威脅分析師,因此在這種情況下,錯誤歸因的可能性很大。
2、黑客以3萬美元的價格出售540萬用戶的Twitter帳戶數據
在威脅行為者利用漏洞建立屬于540萬個賬戶(準確數字是5485636)的電話號碼和電子郵件地址數據庫后,Twitter遭受了數據泄露,這些數據現在在黑客論壇上以30,000美元的價格出售。7月21日,一個被稱為“魔鬼”的威脅行為者在被盜數據市場上表示,該數據庫包含有關各種帳戶的信息,包括名人、公司和隨機用戶。在與威脅行為者的對話中,BleepingComputer被告知他們在2021年12月使用漏洞收集數據。他們現在以30,000美元的價格出售這些數據,感興趣的買家已經與他們接洽。正如Restore Privacy首次報道的那樣,用于收集數據的漏洞與1 月1日通過HackerOne向Twitter披露并于1月13日修復的漏洞相同。“該漏洞允許任何未經任何身份驗證的一方通過提交電話號碼/電子郵件來獲取任何用戶的Twitter ID (這幾乎等于獲取帳戶的用戶名),即使用戶已在隱私設置中禁止此操作,”安全研究員zhirinovskiy的漏洞披露中說。但Devil告訴BleepingComputer,他們不隸屬于zhirinovskiy,也從未使用過HackerOne。此漏洞類似于威脅行為者在2021年抓取5.33億用戶的Facebook帳戶數據的方式。Twitter目前尚未確認數據泄露事件,并告訴BleepingComputer,他們正在調查這些說法的真實性。但是,BleepingComputer與黑客共享的一小部分數據樣本中列出的一些Twitter用戶驗證了私人信息(電子郵件地址和電話號碼)是準確的。盡管如此,也無法確定出售的540萬個賬戶是否全部有效。
3、CNN獨家報道:FBI指華為設備恐干擾美核武通訊
CNN于22日獨家報導披露,聯邦調查局(FBI)一項長達至少5年的調查顯示,中國多年來持續在美國重要基礎建設周圍購買土地,甚至還發現由中國華為(Huawei)的設備出現在軍事基地附近的手機信號塔上。調查指出,該項華為設備有能力捕捉和破壞美國國防部通信,范圍甚至涵蓋負責監督美國核武的戰略司令部(US Strategic Command)。《CNN》報導指出,中國在2017年提出將斥資1億美元在位于華府的國家植物園內打造一座「中國花園」,除了有多樣中式建筑外,還計畫建造一座高達70英尺(約21公尺)的「白色巨塔」,潛在的觀光收入也獲得當地不少官員的支持。不過,當美國反情報官員深入調查細節后,卻發現這項計劃內有許多危險信號。這座「白色巨塔」被戰略性地放在華府最高點之一,而且距離國會大廈僅短短2英里(約3.2公里),幾乎是搜集信號情報的最佳地點。最終,FBI官員在動工前便悄悄終止該項目,成為美方近年來積極反間諜行動的其中之一。FBI的調查還發現,華為設備竟然出現在美國中西部軍事基地附近的手機信號塔上。多名消息人士指出,FBI已經確定這些設備有能力捕捉和破壞受到高度保護的國防部通訊,范圍還涉及負責監督核武的美國戰略司令部。華為公司則表示,所有出口到美國的產品都經過FCC的檢測和認證,設備僅用于商業用途。
4、加拿大安大略省的小鎮圣瑪麗斯遭LockBit勒索
加拿大安大略省的小鎮圣瑪麗斯成為攻擊目標。攻擊背后的勒索軟件組織似乎是LockBit。不過,到目前為止,還沒有支付贖金。該鎮本身聲稱大多數城市功能仍在運作,工作人員仍在工作并獲得報酬。訪問該鎮的官方網站時,游客會看到一個包含以下報價的大紅框。“圣瑪麗鎮目前正在調查一起網絡安全事件,該事件鎖定了我們的內部服務器并加密了我們的數據。我們正在與網絡安全專家密切合作,調查事件的根源,恢復我們的備份數據,并評估對我們的影響我們的信息,如果有的話。”該鎮行政長官Al Strathdee在一份新聞稿中說,城鎮員工、網絡安全專家和法律顧問組成的技術嫻熟、知識淵博的團隊正在全天候工作,以解決與此事件相關的任何問題。圣瑪麗鎮盡管存在勒索軟件問題,但表示所有主要城市功能仍在正常運行,包括交通和水處理。根據LockBit暗網的說法,他們似乎在期待贖金,否則該鎮的數據將被泄露,其中可能包括該鎮公民的數據。
5、端點爆炸式增長與安全風險正相關
根據端點管理提供商Adaptiva贊助的Ponemon Institute的一份新報告,典型的企業管理著多達135,000臺端點設備。端點設備的爆炸式增長使 IT 部門和安全團隊更難獲得對這些設備的可見性和控制權。這些企業設備中幾乎有一半 (48%) 未被IT部門檢測到,或者設備的軟件已過時。無論哪種方式,這種情況都會產生巨大的風險。報告背后的調查“邊緣管理風險和成本”基于629名IT和IT安全從業人員的回應,發現缺乏可見性是63%的組織有效端點安全的最大障礙,比缺乏內部專業知識 (45%)、針對舊漏洞的攻擊 (44%) 以及團隊缺乏快速和大規模保護設備的能力 (42%)。受訪者認為,對其端點最嚴重的威脅包括勒索軟件 (48%)、零日攻擊 (45%)、DDoS (45%)、憑證盜竊 (39%) 和分發點蔓延 (34%)。成功的攻擊來自企業電子郵件 (41%)、API (36%)、軟件更新/補丁 (35%) 和網站 (21%)。報告發現,缺乏自動化和到達端點是端點修補面臨的最大挑戰。只有36%的受訪者表示他們在執行端點維護方面非常有效,而沒有明顯的停機時間和損失,只有35%的受訪者在維護端點法規遵從性方面非常有效。大多數受訪者認為他們的風險正在上升。在過去兩年中,63%的人表示檢測和預防針對其端點的攻擊比以往任何時候都更加重要,49%的人表示遠程工作趨勢使這種檢測和預防變得更加困難。
6、衛星通信提供商Inmarsat發布了關于提高海事行業網絡安全的指南
IMO 的 2021年網絡風險管理規范 (IMO 2021) 為網絡安全彈性設定了框架和基線,但 Inmarsat 主張超越簡單的監管合規性。隨著針對海事部門的網絡攻擊不斷增加,Inmarsat報告將統一威脅管理 (UTM) 推廣為管理網絡風險的基礎。UT 將防病毒程序、防火墻、入侵和檢測系統以及內容過濾器等一系列防御措施結合在一個軟件和硬件包中。Inmarsa 提供自己的Fleet Secure UTM,據稱它簡化了安全基礎設施的安裝和操作。Inmarsat表示,通過使安全性更易于配置和維護,UTM還使海事公司更容易獲得主動網絡安全。該報告指出,2021年對特定船隊中的100艘船只進行了滲透測試。在發送到船隊節點的292封電子郵件中,92%被打開,其中的一個鏈接被 90名海員點擊,其中44人繼續在網站上輸入敏感信息。如果不良行為者成功訪問系統,我們行業內的漏洞包括:橋梁系統、貨物處理和管理系統、推進和機械管理和電力控制系統、訪問控制系統、乘客服務和管理系統、面向乘客的公共網絡、行政和船員福利系統和通信系統。
7、美英數據訪問協議將于今年晚些時候生效
美國司法部21日表示,美國和英國將于10月正式“生效”一項跨境數據共享協議,該協議使兩國的執法調查人員能夠更輕松地訪問科技公司持有的電子信息。這項被稱為“數據訪問協議”的合作伙伴關系是國會于2018年通過的《澄清合法海外使用數據或云法案》的結果,該法案旨在改善外國和美國調查人員訪問電子數據的法律程序由位于任一國家/地區的公司持有的數據。美國司法部表示, CLOUD法案使美國能夠與“對隱私和公民自由有強有力保護的外國合作伙伴”簽訂雙邊數據共享協議。雖然司法互助條約允許政府對政府請求訪問電子數據以用于執法目的,但該過程可能非常耗時并妨礙對嚴重犯罪的調查。美英聯合聲明稱,基于CLOUD法案的協議將允許調查人員“更好地訪問重要數據,以符合我們共同的價值觀和保護公民和維護國家安全的使命的方式打擊嚴重犯罪。” 聲明補充說:“數據訪問協議將允許我們各國服務提供商持有的與嚴重犯罪的預防、偵查、調查或起訴有關的信息和證據比以往任何時候都更快地被訪問。” “例如,這將有助于我們的執法機構更有效地獲取將罪犯繩之以法所需的證據,包括恐怖分子和虐待兒童的罪犯,從而防止進一步的受害。”
8、網絡攻擊壓力激增,美國洛杉磯港求助FBI
洛杉磯港每月遭受大約4000萬次網絡攻擊,其中大部分來自歐洲和俄羅斯,包括前東歐集團國家。這是自 COVID19大流行開始以來攻擊次數的兩倍。港口已聯系聯邦調查局尋求幫助。“我們的情報顯示威脅來自俄羅斯和歐洲部分地區。我們必須領先于那些想要損害國際貿易的人,”洛杉磯港主管吉恩·塞羅卡在接受BBC采訪時說。“我們必須對潛在的網絡事件采取一切預防措施,尤其是那些可能威脅或擾亂貨物流動的事件。”洛杉磯港現在正與聯邦調查局的網絡犯罪小組合作,以防止攻擊并提高安全性。它還向與IBM建立的網絡彈性中心(CRC)投資了數百萬美元,用于研究網絡犯罪、防止攻擊并與FBI共享情報。新的網絡彈性中心充當港口的樞紐,接收、分析和與碼頭上的操作人員共享信息,例如貨物裝卸工和航運公司。通過這種方式,它增強了情報收集,并為海上供應鏈中的網絡威脅提供了更高的保護。這不是該港口打擊網絡犯罪的第一次嘗試。2014年,洛杉磯港建立了網絡安全運營中心,旨在幫助保護港口的內部網絡。新設計的CRC以該技術基礎設施為基礎,提高了港口利益相關者之間網絡信息共享的質量、數量和速度。
9、文件顯示谷歌向以色列出售的高級人工智能工具
THE INTERCEPT調查的培訓材料證實,谷歌正在通過其備受爭議的“Project Nimbus”合同向以色列政府提供先進的人工智能和機器學習能力。以色列財政部于2021年4月宣布了一項由谷歌和亞馬遜聯合建造的價值12億美元的云計算系統的合同。該部在公告中表示:“該項目旨在為政府、國防機構和其他機構提供全方位的云解決方案。”自從擔心他們的努力是否會無意中支持以色列對巴勒斯坦的持續軍事占領以來,谷歌工程師一直在花時間。2021年,人權觀察和國際特赦組織正式指控以色列通過維持針對巴勒斯坦人的種族隔離制度犯下了危害人類罪。雖然以色列的軍事和安全部門已經依賴于復雜的計算機監控系統,但谷歌數據分析產品的復雜性可能會加劇日益以數據為驅動的軍事占領。根據The Intercept通過面向Nimbus用戶的可公開訪問的教育門戶網站獲得的大量培訓 文件和視頻,谷歌正在向以色列政府提供可通過谷歌云平臺獲得的全套機器學習和人工智能工具。雖然他們沒有提供關于如何使用Nimbus的具體細節,但文件表明,新的云將為以色列提供面部檢測、自動圖像分類、對象跟蹤,甚至是聲稱評估圖片、語音的情感內容的情感分析的能力,和寫作。Nimbus材料引用了通過在線學習服務Coursera為政府人員提供的針對特定機構的培訓,并以國防部為例進行了說明。監督組織Tech Inquiry的主管Jack Poulson在發現以色列的合同文件中引用了該門戶網站的地址后,與The Intercept分享了該地址。The Intercept獲得的文件首次詳細介紹了通過Nimbus合同提供的Google Cloud功能。谷歌沒有回應置評請求。
10、拜登政府希望規范美國的網絡行動
一名高級網絡官員說,白宮正在審查一項關鍵的網絡行動政策,希望對其進行改進,以確保進攻性網絡能力得到適當使用,并在需要時做好準備。國家安全委員會負責網絡和新興技術的副國家安全顧問安妮·紐伯格(Anne Neuberger)表示,白宮需要對特朗普政府2018年實施的一項政策進行審查,該政策通常被稱為國家安全總統備忘錄13,以確保美國使用進攻性網絡能力“符合我們的外交政策目標”。紐伯格7月20日在阿斯彭安全論壇(Aspen Security Forum)上說,拜登政府目前正在重新制定該政策,該政策賦予美國網絡司令部更多的自由裁量權,以參與對時間敏感的網絡行動,確定網絡能力是否“有彈性、靈活,并隨時準備在需要時使用”,并檢查適當的流程和審查是否到位。
