8月12日消息,美国联邦首席信息官委员会的机构间零信任领导指导小组正在集中精力确定联邦机构在实施零信任安全架构时面临的挑战。在ATARC零信任峰会上,可信互联网连接3.0计划经理肖恩·康纳利(Sean Connelly)分享说,该委员会正在研究各机构在获得零信任实施工作资金时如何向前发展。据FedScoop报道,自乔·拜登(Joe Biden)总统签署网络安全行政命令以来,资金一直是首席信息官和首席信息安全官关注的问题,其中包括要求各机构提交零信任架构实施计划。各机构正在考虑实施零信任的一些工具是技术现代化基金,网络安全和基础设施安全局的联邦高价值资产计划和TIC 3.0。联邦高价值资产计划帮助机构保护敏感数据,而 TIC 3.0 通过补充零信任的用例为 IT 环境提供安全架构。除了资金问题外,美国政府还在努力确保零信任实施问题得到解决。CISA正在与管理和预算办公室以及美国数字服务局合作,审查联邦机构的零信任实施计划,并确定他们需要在哪些方面开展工作。他们还在研究跨组织的网络安全相关挑战。从机构间工作中收集的信息与CISA主持的CyberStat工作组共享,这些工作组每月开会讨论零信任支柱的实施:身份,设备,网络,应用程序和工作负载以及数据。CISA加大力度打击选举虚假信息
8月12日消息,自2020年大选以来,虚假信息已成为选举官员面临的更大挑战,导致国土安全部网络安全和基础设施局加大力度打击可能破坏民主进程的谎言。CISA局长Jen Easterly于8月11日在拉斯维加斯举行的DEF CON 网络安全会议的新闻发布会上说,虚假信息的危险已经成为一个“非常困难的问题”。Easterly已采取若干具体措施来解决这个问题,包括将前国务卿怀曼带入CISA以支持其选举工作。伊斯特利指出,怀曼是共和党人,她特意从两党招募人员参与CISA的选举工作。“我们认识到这不是党派问题,”伊斯特利说,并补充说她在职业生涯早期曾为前总统乔治·W·布什工作。“我担心系统会以惊人的方式崩溃的地方是,如果CISA突然变成一个党派机构。”她说,自拜登总统在2020年击败前总统特朗普以来,威胁形势发生了很大变化。在2016年和2018年选举之后,国土安全部和CISA官员主要关注网络安全问题。她说,情况变了。“现在威胁形势要复杂得多,”伊斯特利说。“当然,我们仍然关注网络安全方面,但我们 [也] 关注内部威胁……我们专注于错误信息和虚假信息的威胁。”CISA的信息运营团队已经扩大,她指出她最近从哈佛大学聘请了 Maria Barsallo Lynch,她是该校贝尔弗中心捍卫数字民主项目的执行主任。最近,针对选举工作人员的人身暴力威胁激增,伊斯特利表示,她“非常关注”这个问题,并认为这是自 2020年以来最大的变化。她说,许多选举官员因为家人受到威胁而离职。美国选举基础设施面临的复杂和多方面的网络威胁让 Easterly 认为中期和 2024 年的选举“将是一个非常具有挑战性的时期”。macOS 上的软件补丁缺陷可能让黑客绕过所有安全级别
8月15 日消息, 与 macOS 如何处理系统上的软件更新有关的注入漏洞可能允许攻击者访问 Mac 设备上的所有文件。该消息来自 Mac 安全专家 Patrick Wardle,他在 Sector7博客文章中(以及在拉斯维加斯举行的黑帽会议上)展示了威胁行为者如何滥用该漏洞来接管设备。在部署初始攻击后,Alkemade 能够逃脱 macOS 沙箱(旨在将成功黑客攻击限制在一个应用程序的功能),然后绕过系统完整性保护 (SIP),从而有效地启用了非授权代码的部署。这位网络安全研究人员表示,他于 2020 年 12 月首次发现该漏洞,随后通过公司的漏洞赏金计划向苹果公司报告了该问题。Wardle 还解释说,虽然该漏洞在他向 Apple 发现后利用了多个漏洞,但该公司在 2021 年4 月解决了大部分漏洞,并在 2021 年10 月修补了一个漏洞。这两个更新都没有深入研究漏洞的技术细节,只是说该漏洞可能允许恶意应用程序泄露敏感的用户信息并提升攻击者的权限。“在当前 macOS 的安全架构中,进程注入是一种强大的技术,”Wardle 在他的博客文章中写道。“一个通用的进程注入漏洞可用于逃离沙箱、提升 root 权限并绕过 SIP 的文件系统限制。我们已经展示了我们如何在加载应用程序的保存状态时使用不安全的反序列化来注入任何 Cocoa 进程,”该咨询总结道。“Apple 在 macOS Monterey 更新中解决了这个问题。”该漏洞及其补丁的披露是在 ESET 的安全研究人员发现一个他们称为“CloudMensis”的 macOS 后门之后数周发布的,该后门被用于有针对性的攻击以窃取受害者的敏感信息。陆军为美国网络司令部试行新的进攻性网络课程
8月16日消息,陆军正在开发一个试点项目,以代表美国网络司令部更好地培训全军进攻性网络作战人员,以解决战备差距。所有军种的进攻性网络人员在第一天还没有准备好执行他们的工作,因此陆军作为高级网络工作角色课程开发的执行机构,正在为所有美国军事部门试行新课程和课程。这项新计划将采用分布式模式,在德克萨斯州、戈登堡、佐治亚州、米德堡、马里兰州和华盛顿的地点教授课程,从投入使用大约需要六个月到一年的时间,Paul Stanton 少将陆军网络卓越中心指挥官说:“这是一项共同努力,与美国网络司令部和其他军种协调,以培养准备成为其网络任务部队成员的服务成员,”他指出,该试点正在与网络司令部的培训理事会一起执行。CISA 警告黑客利用 Zimbra 协作套件中的多个漏洞
8月17日消息,网络安全和基础设施安全局 (CISA) 发布了新的咨询警告,警告攻击者积极利用 Zimbra 协作套件 (ZCS) 中的五个不同漏洞。该文件是与多国信息共享与分析中心 (MS-ISAC) 合作编写的,并解释了威胁行为者如何针对政府和私营部门网络中未修补的 ZCS 实例。第一个发现的漏洞(跟踪 CVE-2022-27924)是一个高严重性漏洞,使未经身份验证的威胁参与者能够将任意 memcache 命令注入 ZCS 实例并导致任意缓存条目被覆盖。“然后,攻击者可以在没有任何用户交互的情况下以明文形式窃取 ZCS 电子邮件帐户凭据,”该公告写道。文档中提到的第二个和第三个漏洞是链式的(分别为 CVE-2022-27925 和 CVE-2022-37042),前者允许经过身份验证的用户将任意文件上传到系统,后者是身份验证绕过漏洞.CISA 报告中提到的其余 Zimbra 漏洞是 CVE-2022-30333(Linux 和 UNIX 上的 RARLAB UnRAR 中的高严重性目录遍历漏洞)和 CVE-2022-24682(影响 ZCS 网络邮件客户端的中等严重性漏洞)。工业设施 USB 驱动器上 81% 的恶意软件会破坏 ICS
8月17日消息,根据霍尼韦尔本周发布的一份报告,去年在工业设施中使用的 USB 驱动器上发现的恶意软件中有很大一部分能够针对和破坏工业控制系统 (ICS)。这家工业巨头发布了其第四份年度报告,重点关注其专用安全产品之一在带入其客户工业环境的 USB 驱动器上发现的恶意软件。霍尼韦尔对数据的分析发现,工业特定恶意软件的百分比已经从2021 年报告的 30% 和2020 年报告的 11% 增加到 32% 。旨在通过 USB 传播或专门利用 USB 进行感染的恶意软件的百分比增加到 52%,显着高于 2021 年的 37%。可能导致运营技术 (OT) 系统中断的恶意软件也略有增加——这包括失去控制或失去视野。具体来说,霍尼韦尔产品在 USB 驱动器上检测到的恶意软件中有 81% 具有破坏性,高于 2021 年的 79%。恶意 PyPi 包将 Discord 变成密码窃取恶意软件
8月17 日消息,已发现十几个恶意 PyPi 软件包安装了恶意软件,这些恶意软件将 Discord 客户端修改为信息密封后门,并从 Web 浏览器和 Roblox 窃取数据。这 12 个包于 2022 年 8 月 1 日由名为“可怕的编码器”的用户上传到 Python 包索引 (PyPI),并由Snyk的研究人员发现。与常见的拼写错误方法相反,这些包使用自己的名称并承诺提供各种功能以向感兴趣的开发人员推销自己。Python 包伪装成 Roblox 工具、线程管理和基本黑客模块,但没有一个具有承诺的功能。相反,这些软件包会在开发人员的设备上安装窃取密码的恶意软件。不幸的是,在撰写本文时,这套恶意 PyPi Python 包尚未从开源包存储库中删除,因此软件开发人员仍处于危险之中。作为 Snyk 新报告的一部分,研究人员分析了其中一个名为“cyphers”的恶意 Python 包,显示了隐藏在“setup.py”文件中的恶意代码如何用于从 Discord CDN 服务器安装两个恶意软件可执行文件,即“ ZYXMN.exe”和“ZYRBX.exe”。除了“hackerfileloll”和“hackerfileloll”使用名为“Main.exe”的单个恶意可执行文件外,该集合中的所有包的行为都是相同的。第一个二进制文件 ZYXMN.exe 用于从 Google Chrome、Chromium、Microsoft Edge、Firefox 和 Opera 窃取信息,包括存储的密码、浏览器历史记录、cookie 和搜索历史记录。为了从浏览器中窃取信息,该恶意软件将解密 Web 浏览器的本地数据库主密钥,以检索受害者搜索历史、浏览历史、cookie、书签、存储密码和存储信用卡的明文数据。然后,此信息通过 Discord Webhook 上传给威胁参与者。然而,更有趣的是,该恶意软件会修改 Discord 客户端使用的实际 JavaScript 文件,以注入一个后门,该后门可以直接从您的 Discord 帐户中窃取信息。为了从 Discord 中窃取数据,恶意软件会修改“discord_desktop_core”文件夹下的 index.js 文件,以添加恶意 Discord-Injection 脚本。此注入的目标客户是 Discord、Discord Development、Discord Canary 和 Discord PTB(公共测试构建)。谷歌公司阻止迄今最大规模的HTTPS DDoS 攻击
8月18日消息 ,谷歌公司披露称,在今年6月1日,一位Google Cloud Armor 客户受到了基于HTTPS协议的分布式拒绝服务(DDoS)攻击,此次攻击持续了69分钟,其规模达到了每秒4600万次请求(RPS),这是有史以来此类攻击中规模最大的一次。此次攻击始于太平洋时间6月1日上午09:45开始,最初以10,000 RPS的速度攻击受害者的HTTP/S负载均衡器,8分钟内,攻击加剧到100000 RPS,谷歌公司的Cloud Armor Protection系统根据流量分析数据拉响了攻击警报。谷歌公司称,此次攻击的规模相当于在10秒内将所有日常请求都发送到维基百科。幸运的是,受到攻击的客户已经部署了Cloud Armor的推荐规则,因此其运行并未受到攻击的影响。谷歌公司表示,攻击流量仅来自分布在132个国家/地区的5256个IP地址,并利用了加密请求(HTTPS),这表明发送请求的设备具有相当强大的计算资源。该攻击的另一个特点是使用Tor出口节点来传递流量。尽管近22%或者说1169 个来源是通过Tor网络引导请求,但它们仅占攻击流量的3%。尽管如此,谷歌公司还是认为Tor出口节点可用于向网络应用程序和服务提供“大量不受欢迎的流量”。用于攻击的恶意软件尚未确定,但所用服务的地理分布指向DDoS僵尸网络Mēris。Mēris以使用不安全的代理发送不良流量而闻名,曾两次创下DDoS攻击的纪录。Mandaint公司披露伊朗黑客组织UNC3890的活动特征
8月18日消息,美国Mandiant公司发现,伊朗黑客组织UNC3890主要通过社会工程学引诱(可能还包括水坑攻击)的方式攻击以色列的航运、政府、能源和医疗保健组织。UNC3890使用至少两种独特的工具,其中一个是被命名为SUGARUSH的后门,另一个是被命名为SUGARDUMP的浏览器凭据窃取程序,UNC3890会这两件工具从Gmail、Yahoo和Yandex电子邮件服务窃取盗数据。此外UNC3890还使用了多种公开可用的工具,比如METASPLOIT框架和NorthStar C2。Mandiant还发现UNC3890运行着一个由命令和控制(C2)服务器组成的互连网络,这些服务器托管域和虚假登录页面,以用于欺骗Office 365等合法服务以及通过机器人程序在LinkedIn和Facebook等社交网络上发布虚假的工作机会和广告。Mandiant称UNC3890主要对以色列的政府、航运、能源和医疗保健组织开展网络间谍活动,但同时也攻击了一些全球性企业,尤其是航运企业。
