安全资讯报告
黑客在电子商务服务器上部署Linux恶意软件和网络浏览器
安全研究人员发现,攻击者在将信用卡窃取器注入在线商店的网站后,还在受感染的电子商务服务器上部署Linux后门。
PHP编码的网页浏览器(一种旨在窃取和泄露客户付款和个人信息的脚本)被添加并伪装为/app/design/frontend/文件夹中的.JPG图像文件。攻击者使用此脚本下载并在被黑客入侵的在线商店向客户显示的结账页面上注入虚假付款表格。
攻击者从自动化电子商务攻击探测开始,测试常见在线商店平台中的数十个弱点。一天半后,攻击者在商店的一个插件中发现了一个文件上传漏洞。他随后上传了一个webshell并修改了服务器代码以拦截客户数据。
新闻来源:
https://www.bleepingcomputer.com/news/security/hackers-deploy-linux-malware-web-skimmer-on-e-commerce-servers/
来自Netgear、Linksys、D-Link等的数百万台路由器面临恶意软件攻击的风险
一种新的恶意软件攻击的目标是数百万个流行的路由器。安全研究人员发现了名为BotenaGo的恶意软件,它具有强大的冲击力。
BotenaGo恶意软件旨在利用跨越不同路由器品牌和物联网设备的多达33个漏洞。
该恶意软件的工作原理是在路由器上创建后门并耐心等待攻击。它潜伏在黑暗的小巷中,当设备想要使用端口19412穿过小巷时,它会发起攻击。BotenaGo然后搭载在设备上以渗透网络并窃取个人信息。如果您的路由器或IoT设备感染了BotenaGo,犯罪分子可能会将它们用于针对网站的僵尸网络攻击或用作垃圾邮件的传送系统。恶意软件背后的网络犯罪分子可能会改变有效载荷,并在未来将BotenaGo用于其他恶意目的。
受影响的路由器包括:
- DrayTek Vigor2960
- D-Link DIR-645有线/无线路由器
- 网件WN604、WNAP210v2、WNAP320、WNDAP350、WNDAP360和WNDAP660
- 网件R6250和DGN2200
- GPON家用路由器
- Linksys X3000
- D-Link DIR-610
- Comtrend VR-3033
- AC15 AC1900
- 中兴F460和F660
AT&T的Alien Labs解释说,BotenaGo只是一个更大的“恶意软件套件”的一部分,只是感染机器的一个模块。针对这种恶意软件攻击的最佳防御措施是确保您的路由器已更新为最新固件。您还应确保设备的操作系统和应用程序已更新。
新闻来源:
https://www.komando.com/security-privacy/router-malware-attack/816140/
朝鲜支持的黑客据称正在修改恶意软件入侵美国、英国和其他国家
据称,一个由朝鲜支持的新黑客组织正在修改恶意软件以攻击美国和其他国家。安全公司Proofpoint是第一个识别出崛起的TA406网络犯罪集团恶意活动的公司。
该机构补充说,该网络攻击者与其他黑客有联系,特别是TA406、TA408和TA427。另一方面,Proofpoint最新的安全报告也提供了这些新兴黑客之间的差异。恶意软件正以不同的方式用于破坏各种政府机构和独立组织的系统。
根据Bleeping Computer的最新报告,新的T406恶意攻击者被认为是国家支持的网络攻击者,它使用定制的恶意软件工具针对英国、南非、印度、法国等国家,尤其是美国。TA406被认为涉及各种恶意活动,例如情报收集、区块链盗窃、网络钓鱼活动以及恶意软件分发。
新闻来源:
https://www.techtimes.com/articles/268203/20211118/north-korea-backed-hackers-allegedly-modify-malware-breach-uk-countries.htm
安全漏洞威胁
美国、英国和澳大利亚的网络安全机构敦促关键基础设施组织修补微软和Fortinet产品中的漏洞
“至少自2021年3月以来,FBI和CISA已经观察到这个由APT组织利用Fortinet漏洞和至少自2021年10月以来的Microsoft Exchange ProxyShell漏洞,以便在后续操作之前获得对系统的初始访问权限,包括部署勒索软件,”这些机构周三联合发布的一份咨询报告中写道。
此前,伊朗的网络活动与地区势力及其地缘政治目标的联系更为紧密。例如,在特朗普政府退出由巴拉克·奥巴马总统促成的核协议并暗杀一名伊朗高级将领后,官员们预计会有间谍活动,并准备迎接报复性袭击。但去年9月,FBI和CISA警告说,伊朗可能会开始利用他们的能力通过勒索软件操作来改善其财务状况。
随着拜登政府实施全球跨机构合作战略打击勒索软件,新的联合咨询也即将发布。而伊朗是上了议事日程最近一次财政部副部长沃利Adeyemo走上以色列为了实现这一目标过程中。
“APT攻击者正在积极针对美国多个关键基础设施部门的广泛受害者,包括运输部门、医疗保健和公共卫生部门,以及澳大利亚组织,”咨询中写道。“联邦调查局、中央情报局、澳大利亚网络安全中心和英国国家网络安全中心评估参与者专注于利用已知漏洞而不是针对特定部门。”
公告中标记的Fortinet和Microsoft Exchange漏洞都列在数百个正在被积极利用的已知漏洞的目录中。CISA正好在两周前发布了目录以及具有约束力的操作指令和修补它们的截止日期。
目录中列出的修复三个Fortinet漏洞的截止日期要到明年5月。修补Microsoft Exchange漏洞的截止日期是11月17日。
新闻来源:
https://www.nextgov.com/cybersecurity/2021/11/governments-warn-iran-targeting-microsoft-and-fortinet-flaws-plant-ransomware/186917/
APT组织利用FatPipe VPN中的0Day漏洞长达六个月
该漏洞允许使用设备固件中的文件上传功能并安装具有root访问权限的基于Web的shell。
美国联邦调查局发现一个APT组织利用FatPipe MPVPN网络设备中的零日漏洞来破坏公司的计算机系统并访问其内部网络。
至少自2021年5月以来,犯罪分子一直在利用FatPipe MPVPN中的漏洞。该漏洞允许一个未命名的黑客组织利用设备固件的文件上传功能安装一个有root权限的webshell。
攻击仅针对FatPipe MPVPN设备,但该漏洞也影响其他产品,包括IPVPN和WARP。它们是不同类型的VPN服务器,公司安装在其公司网络的外围,用于为员工提供通过Internet远程访问内部应用程序的权限,充当网络网关和防火墙之间的混合体。
正如FBI所指出的,发现的零日漏洞目前没有自己的CVE标识符。FatPipe已经发布了一个修补程序和有关该漏洞的附加信息。据专家介绍,0Day漏洞可用于覆盖受影响设备的配置文件,使攻击者能够完全控制未受保护的系统。
目前大约有800台FatPipe MPVPN设备连接到网络。
新闻来源:
https://www.securitylab.ru/news/526675.php
管理人工智能的网络安全漏洞
人工智能系统脆弱性的表现是显著的:在语音识别领域,研究表明可以生成听起来像机器学习算法的语音但对人类来说不是的音频。有多个示例使用人类无法察觉的扰动来欺骗图像识别系统以错误识别对象,包括在安全关键环境(例如道路标志)中。一组研究人员通过改变每个图像的一个像素来欺骗三个不同的深度神经网络。即使对手无法访问模型或用于训练它的数据,攻击也可能成功。也许最可怕的是:在一个AI模型上开发的漏洞可能适用于多个模型。
随着人工智能融入商业和政府职能,该技术脆弱性的后果是重大的。正如美国空军负责情报、监视、侦察和网络效应行动的副参谋长玛丽·奥布莱恩中将最近所说的那样,“如果我们的对手在基于人工智能的过程的任何部分注入了不确定性,我们对于我们希望AI为我们做的事情,我们有点不知所措。”
因此,改善网络安全的政策和计划应明确解决基于人工智能的系统的独特漏洞;人工智能治理的政策和结构应明确包含网络安全组件。
首先,与漏洞披露和管理相关的一组网络安全实践可以为人工智能安全做出贡献。漏洞披露是指研究人员(包括独立安全研究人员)发现产品中的网络安全漏洞并将其报告给产品开发商或供应商以及开发商或供应商接收此类漏洞报告的技术和政策。披露是漏洞管理的第一步:优先分析、验证和补救或缓解的过程。
虽然最初存在争议,但漏洞披露计划现在在私营部门普遍存在;在联邦政府内部,网络安全和基础设施安全局(CISA)发布了一项具有约束力的指令,强制执行这些指令。在整个网络安全领域,有一个充满活力的——有时是动荡的——白帽和灰帽黑客的生态系统;漏洞赏金计划服务提供商;负责任的披露框架和举措;软件和硬件供应商;学术研究人员;以及旨在漏洞披露和管理的政府举措。基于AI/ML的系统应作为该生态系统的一部分纳入主流。
在考虑如何将AI安全融入漏洞管理和更广泛的网络安全政策、计划和举措时,存在一个两难选择:一方面,AI漏洞应该已经融入这些实践和政策中。正如Grotto、Gregory Falco和Iliana Maifeld-Carucci在对美国国家标准与技术研究院(NIST)起草的人工智能风险管理框架的评论中所争论的那样,人工智能问题不应该被孤立到单独的垂直政策中。除非另有证明,否则人工智能风险应被视为与非人工智能数字技术相关的风险的延伸,应对人工智能相关挑战的措施应被视为管理其他数字风险的工作的延伸。
另一方面,长期以来,人工智能一直被视为不属于现有法律框架。如果在漏洞披露和管理计划以及其他网络安全活动中没有特别提及人工智能,许多人可能没有意识到它被包括在内。
为了克服这一困境,我们认为应该假设人工智能包含在现有的漏洞披露政策和制定网络安全措施中,但我们也建议,至少在短期内,对现有的网络安全政策和举措进行修改或解释,以明确涵盖基于人工智能的系统及其组件的漏洞。最终,政策制定者和IT开发人员都将AI模型视为另一种类型的软件,因为所有软件都存在漏洞,并且在网络安全工作中值得同等关注。然而,在我们到达那里之前,有必要在网络安全政策和举措中明确承认人工智能。
在改善网络安全的紧急联邦努力中,有许多与人工智能相关的动人部分。例如,CISA可以声明其关于漏洞披露的约束性指令包括基于人工智能的系统。拜登总统关于改善国家网络安全的行政命令指示NIST为联邦政府的软件供应链制定指南,并特别指出此类指南应包括有关漏洞披露的标准或标准。该指南也应参考人工智能,以及将根据政府采购软件行政命令第4(n)条制定的合同语言。同样,努力为软件材料清单(SBOM)开发基本元素,其中NIST在7月迈出了第一步,应该发展以解决AI系统问题。管理和预算办公室(OMB)应贯彻前总统特朗普于2020年12月发布的关于在联邦政府中推广使用值得信赖的人工智能的行政命令,该命令要求各机构识别和评估其对人工智能的使用,并取代、取消或停用任何现有的不安全和不可靠的人工智能应用程序。
人工智能在网络安全方面迟到了,但希望可以迅速弥补失地。
新闻来源:
https://www.lawfareblog.com/managing-cybersecurity-vulnerabilities-artificial-intelligence
