Aggregator

In this Help Net Security, Erica Banks, VP and a leader in Booz Allen’s civilian services business, discusses the Federal Cybersecurity Strategy’s role in safeguarding national assets. Banks outlines key areas for improvement, including funding, talent retention, and leveraging AI for enhanced cyber defense. The Federal Cybersecurity Strategy is a crucial part of protecting national assets. How effective do you think the current strategy is in mitigating cyber threats, and what areas need more attention … More →

The post Top priorities for federal cybersecurity: Infrastructure, zero trust, and AI-driven defense appeared first on Help Net Security.

六年来，卡巴斯基全球研究与分析团队 GReAT 一直在分享有关高级持续性威胁 (APT) 的季度更新。

这些摘要基于我们的威胁情报研究，为我们在私人 APT 报告中发布和讨论更详细的内容提供了代表性概述。在最新一期中，将重点关注在 2024 年第二季度观察到的活动。

最新发现

3 月，人们在 XZ 中发现了一个后门，XZ 是一个集成在许多流行的 Linux 发行版中的压缩实用程序。OpenSSH 服务器进程 sshd 使用后门库 liblzma。OpenSSH 已修补以使用许多基于 systemd 的发行版（包括 Ubuntu、Debian 和 RedHat/Fedora Linux）上的 systemd 功能，因此依赖于此库（Arch Linux 和 Gentoo 不受影响）。

该代码是在 2024 年 2 月和 3 月插入的，主要由 Jia Cheong Tan（可能是虚构身份）插入。

攻击的可能目标是通过针对 XZ 构建过程将独占的远程代码执行功能引入 sshd 进程，然后将后门代码推送到主要的 Linux 发行版，作为大规模供应链攻击的一部分。攻击者使用社会工程学来获得对源代码/开发环境的长期访问权限，并通过伪造明显的人类交互来扩展该访问权限，以建立引入恶意代码的可信度。

liblzma 库中的后门是在两个层面引入的。生成最终软件包的构建基础架构的源代码经过了轻微调整（通过添加一个额外的文件 build-to-host.m4），以提取隐藏在测试用例文件 ( bad-3-corrupt_lzma2.xz ) 中的下一阶段脚本。

然后，该脚本从另一个测试用例文件 ( good-large_compressed.lzma ) 中提取了一个恶意二进制组件，该文件在编译过程中与合法库链接，并被发送到 Linux 存储库。

一些大型供应商最终在测试版和实验版中发布了恶意组件，却没有意识到这一点。XZ Utils 的入侵被赋予了标识符 CVE-2024-3094，最高严重性评分为 10。

攻击者的最初目标是成功挂钩与 RSA 密钥操作相关的函数之一。在对挂钩过程的分析中，我们重点关注了后门在 OpenSSH 中的行为，特别是 OpenSSH 便携版本 9.7p1（最新版本）。我们的分析揭示了有关后门功能的许多有趣细节。

·攻击者设置了防重放功能，以确保后门通信不会被捕获或劫持。

·作者使用自定义隐写技术将后门解密的公钥隐藏在 x86 代码中。

·后门挂钩日志记录功能，以隐藏其对 SSH 服务器的未经授权连接的日志。

·该后门钩住了密码认证功能，使得攻击者可以使用任意用户名/密码登录受感染的服务器，而无需进行任何进一步的检查。对于公钥认证，它也做同样的事情。

·该后门具有远程代码执行功能，这意味着攻击者可以在受感染的服务器上运行任何系统命令。

PcExter

在之前关于 ToddyCat 的报告中，我们描述了用于收集和泄露此 APT 威胁者感兴趣的文件的各种工具。其中一种工具是 PcExter，它最初仅用于泄露以前借助其他工具（例如 FileScan）收集的数据。然而，我们最近发现了一个新版本 PcExter 2.0，它已完全重新设计并用 .NET 重写，能够收集数据本身，并使用改进的文件搜索机制。我们发现了此工具的几个版本以及一组特殊的加载器。

2021 年，我们发布了一份私人报告，描述了 QSC 的技术细节，QSC 是一个在调查针对南亚电信行业的攻击时发现的框架。

虽然我们的研究没有揭示该框架是如何部署的，也没有揭示其背后的威胁组织，但我们继续监控我们的遥测数据，以进一步检测 QSC 框架。2023 年 10 月，我们在西亚地区多次检测到针对 ISP 的 QSC 框架文件。调查显示，目标机器自 2022 年以来就已感染了 Quarian 后门版本 3（又名 Turian），并且相同的攻击者从 2023 年 10 月 10 日开始使用此访问权限部署 QSC 框架。除了 QSC 框架之外，攻击者还部署了一个用 Golang 编写的新后门，我们将其命名为“GoClient”，且在 2023 年 10 月 17 日首次看到了此 GoClient 后门的部署。在分析了此活动中的所有工件后，我们中等程度地评估 CloudComputating 威胁分子是 QSC 框架和 GoClient 后门部署的幕后黑手。

2023 年初，当该威胁者使用受监控的恶意 IIS 模块 Owowa 的修改版本时，发现了 GOFFEE 的活动。从那时起，GOFFEE 停止使用 Owowa 以及 PowerShell RCE 植入物 VisualTaskel；然而，它继续利用威胁分子之前基于 HTA 的感染链 PowerTaskel 进行入侵，并在其武器库中添加了一个伪装成合法文档并通过电子邮件分发的新加载程序。

我们最近发现了一种新的远程访问工具 (RAT)，检测率较低，名为 SalmonQT。引起我们注意的是，该样本使用 GitHub 的 REST API 接受指令和上传数据，从而充当 C2（命令和控制）服务器。

乍一看，GitHub 存储库的路径似乎已被删除，但仔细检查后发现，存储库已设置为私有，并且只有使用正确的令牌才能访问 REST API。

中东

Gaza Cybergang 至少从 2012 年开始活跃，主要针对中东和北非。

当我们首次开始跟踪该组织时，其攻击性质相对简单，通常依赖于公开可用的恶意软件家族，例如 QuasarRAT。尽管如此，该组织仍展示了我们至今仍能看到的特定 TTP – 每次活动仅针对少数目标。

今年年初，我们发现了几起涉及 Gaza Cybergang 的案例，威胁者对其 TTP 进行了轻微调整。该组织不再使用 tabcal.exe 作为侧载其初始访问下载程序 IronWind 的工具，而是改用另一个合法的 Windows Media Utility 文件 setup_wm.exe。诱饵也更改为更通用的主题，而不是专注于特定的地缘政治局势。

东南亚及朝鲜半岛

2023 年，我们在调查使用一组恶意软件家族的攻击时发现了神秘大象，这些恶意软件家族之前与其他已知威胁者（如 SideWinder 和 Confucius）有关。

在分析基础设施时，我们意识到这些攻击实际上不是由任何先前已知的威胁者发起的，而是由我们称为神秘大象的新威胁者发起的。自那时以来，该威胁者一直很活跃，自我们首次报告以来已发动了多次攻击。

我们发现了神秘大象在最近的攻击中开发和使用的大量新恶意软件家族，以及最近创建的基础设施和更新的工具——主要是后门和加载程序，以最大限度地减少攻击早期阶段的检测。在我们的报告中，我们描述了该威胁者发起的最新攻击，并分析了新发现的恶意软件样本和相关基础设施。

黑客行动主义

随着 2022 年 2 月俄乌冲突的爆发，双方出现了数百个不同的黑客组织。其中一个组织是 -=Twelve=-。该组织在信息领域宣称自己已经入侵了俄罗斯联邦的各个政府和工业企业。其中一些目标已在该组织自己平台上的官方频道上发布，而其他目标则仍处于暗中。

虽然互联网上有来自各种 CTI（网络威胁情报）供应商的关于 Twelve 组织的多份报告，试图描述该组织的活动，但我们没有看到任何详细介绍攻击中使用的工具和技术的报告。我们关于 Twelve 的报告详细概述了该组织使用的 TTP 以及与其基础设施的连接。

今年 2 月，阿尔巴尼亚地理统计研究所 (INSTAT) 遭到攻击。这次攻击是国土正义组织所为，该组织自称是一个黑客行动主义组织，但被怀疑是受政府支持的组织。三年多来，该组织一直在无情地攻击阿尔巴尼亚目标，尤其是政府部门。攻击者能够获取超过 100TB 的数据，并破坏组织的官方网站和电子邮件服务，并清除数据库服务器和备份。

袭击的主要原因之一是阿尔巴尼亚境内有圣战者组织 (MEK) 难民营：国土正义组织认为该组织是恐怖组织，并认为阿尔巴尼亚政府的特定部门和某些公司为他们提供支持和资金。

威胁者持续进行网络行动，旨在传达其反 MEK 的政治信息。他们试图在阿尔巴尼亚人民中获得支持，让政府放弃 MEK——他们的行动属于所谓的心理战 (PsyOps) 活动。

我们分析了该组织的活动历史，该组织近三年来一直在进行网络攻击，旨在对阿尔巴尼亚政府和民众施加长期压力。在报告中，我们介绍了该组织的主要活动，包括与具有相同目标的盟友组织合作的复杂行动，以及机会性攻击。

还描述了该组织使用的主要技术，包括利用面向互联网的服务器进行初始访问、横向移动活动、扩大攻击面，以及在网络行动的最后破坏阶段使用自定义擦除恶意软件和勒索软件。此外，我们还研究了该组织的说服机制，例如通过社交网络和新闻媒体扩大消息范围、分享被盗数据以获得恶名并倡导变革，以及不断威胁未来发动攻击以使其目标保持永久警惕状态。

其他发现

安全研究人员在东非的一个系统上发现了一个新的模块化恶意软件框架，我们将其命名为“Aniseed Vodka”：该系统于 2018 年被感染。该框架由一个主模块、一个 JSON 格式的配置文件和一组插件组成。

该框架具有高度可配置性，允许其操作员指定插件的操作参数，并按特定间隔安排插件任务（例如屏幕捕获、网络摄像头捕获和数据泄露）。该框架采用反检测和反取证技术，使其能够隐蔽地运行。它使用非传统通信渠道来逃避网络检测，使用 Google Chat 作为 C2 渠道，使用 Gmail 发送警报，使用 Google Drive 作为泄露渠道。据我们所知，我们在报告中介绍的框架并不为公众所知。我们无法将此框架与现有的威胁者联系起来。

我们之前关于 DinodasRAT 的报告显示，Linux 后门版本与 Windows 版本在功能上存在大量重叠，并且还具有其他特定于 Linux 的功能，例如通过 systemd 或 SystemV 实现持久性。

近几个月来，我们收集了更多相关样本，从而对 Linux 变体有了更深入的了解。有迹象表明，早在 2021 年，它就已在攻击活动中使用。

此前，ESET 披露了一项正在进行的 APT 活动，该活动使用了该威胁的 Windows 版本，该活动名为“Operation Jacana”，该活动之前被识别为 XDealer。据 Trend Micro 描述，DinodasRAT 也被用于最近的 APT 活动，该活动包括 Windows 和 Linux 版本。在我们关于 DinodasRAT Linux 变体的最新报告中，重点关注了与 C2 的网络通信以及恶意软件在受感染机器上执行的操作，而不仅仅是建立持久性和等待 C2 命令。

2024 年 5 月，我们发现了一个针对俄罗斯政府实体的新 APT。CloudSorcerer 恶意软件是一种复杂的网络间谍工具，用于通过 Microsoft、Yandex 和 Dropbox 云基础设施进行隐身监控、数据收集和泄露。该恶意软件使用云资源作为其 C2 服务器，通过使用身份验证令牌的 API 访问它们。

此外，CloudSorcerer 使用 GitHub 作为其初始 C2 服务器。CloudSorcerer 的作案手法让人想起了我们在 2023 年报道过的 CloudWizard APT。然而，恶意软件代码完全不同。我们认为 CloudSorcerer 是一个新的威胁者，它采用了类似的方法与公共云服务进行交互。

4 月，我们发现了一项此前未知的活动，该活动使用 Telemos 后门针对俄罗斯的组织（包括政府部门）。该恶意软件以 ZIP 文件的形式通过鱼叉式网络钓鱼电子邮件发送，其中包含两种类型的植入程序之一 - 带有 .SCR 扩展名的 PE64 可执行文件或带有 .WSF 扩展名的 Windows 脚本文件。它们会植入并执行具有后门功能的基于 PowerShell 的脚本。我们发现了与这些攻击相关的几个恶意样本，并能够恢复原始源代码。

此威胁的主要目的是间谍活动——从浏览器中收集数据，例如登录凭据、cookie 和浏览历史记录，以及从受影响系统上的可用驱动器收集感兴趣的文件。目前无法将该操作与已知的威胁者联系起来。

写在最后

虽然一些威胁者的 TTP 保持不变，例如严重依赖社会工程学进入目标组织或入侵个人设备，但其他威胁者已更新其工具集并扩大其活动范围。我们定期的季度报告旨在重点介绍与 APT 团体相关的最重要发展。

以下是我们在 2024 年第二季度看到的主要趋势：

·本季度的重点亮点是集成到许多流行 Linux 发行版中的 XZ 压缩实用程序的后门 - 特别是使用社会工程学来获取对开发环境的持续访问权限。

·本季度，我们发现 APT 活动集中在欧洲、美洲、亚洲、中东和非洲，针对的是政府、军事、电信和司法系统等多个领域。

·大多数 APT 活动的目的是进行网络间谍活动，尽管有些活动是为了获取经济利益。

·黑客攻击也是本季度威胁形势的一个特点。并非所有这些攻击都集中在公开冲突地区，正如国土正义组织对阿尔巴尼亚实体的攻击所示。

需要强调的是，报告是我们对威胁形势的洞察的产物。然而，重要的是要记住，虽然我们在不断改进，但总有可能存在其他可能被忽视的复杂攻击。

值得一提的是，当提到 APT 组织使用俄语、或其他语言时，我们指的是这些组织使用的各种工具（例如恶意软件调试字符串、脚本中的注释等）中包含这些语言的单词，这些工具是基于我们直接获得的信息或以其他方式公开和广泛报道的信息。使用某些语言并不一定表示特定的地理关系，而是指向这些 APT 工具背后的开发人员使用的语言。

AI has become a key player in protecting valuable organizational insights from threats. Thanks to AI-enabled data protection practices such as behavior monitoring, enterprises no longer have to be reactive to a cyberattack but can be proactive before a potential threat arises. In this Help Net Security video, Andrew Riddell, Principal Cybersecurity Architect, Logicalis US, explains the benefits and best practices of leveraging AI for cybersecurity.

The post Benefits and best practices of leveraging AI for cybersecurity appeared first on Help Net Security.

近日，中关村网络安全与信息化产业联盟（以下简称“联盟”）秘书长邹冬携国家信息技术安全研究中心原科研部长石峰、北京市科技项目评审专家/中国国防工业企业协会自主可控工作专家委员/中国国防工业关键技术军事观察站观察员郭守祥、中国智能终端操作系统产业联盟秘书长曹冬等专家到访梆梆安全。

梆梆安全高级副总裁方宁、安全服务中心总监黄潇、营销中心市场营销总监句雅楠作为公司代表出席本次活动，并对联盟专家团到访表示热烈欢迎。

联盟秘书长邹冬

会议伊始，联盟秘书长邹冬表示此次走访目的旨在提升联盟服务内容和能级，加强与会员企业的有效沟通，全面掌握会员企业发展状况，倾听会员企业的困难及诉求，促进会员之间的合作与共赢，充分发挥社会组织和行业平台应有的职能与作用。

梆梆安全高级副总裁方宁

梆梆安全高级副总裁方宁对联盟到访表示欢迎和感谢，随后对公司业务范围、核心竞争力、技术创新、市场布局、现有产品及业务能力体系等情况进行详细介绍。梆梆安全开创、繁荣了移动应用安全蓝海市场，建立了全面的移动应用安全防护生态体系，并在业务上形成了以移动安全为主体，联动安全服务和物联网安全的“一体两翼”业务体系，以及由技术、产品、解决方案和咨询服务构成的“四位一体”产研体系。勇担“保护您的软件”使命，始终以客户为中心，通过专业的安全产品和服务为政府、企业、开发者和消费者打造安全稳固可信的网络空间生态环境。

安全服务中心总监黄潇

安全服务中心总监黄潇就专家团产生极大兴趣的梆梆全栈自研纯血鸿蒙安全产品以及车联网相关产品服务与专家团交流探讨。在鸿蒙业务方向，作为华为生态合作伙伴，梆梆安全以安全标准为参考依据，以安全引擎为技术核心，构建了完整的泛应用安全保护体系。基于自身多年的泛应用安全保护技术、漏洞风险测评技术、攻击风险安全监测技术和隐私合规检测技术，建立了一体化的纯血鸿蒙系统“系统-设备-应用-运行环境”的闭环验证流程，确保从应用开发到用户使用的全生命周期安全。目前，全栈自研纯血鸿蒙安全产品已实现HarmonyOS Next的完全适配，可持续为鸿蒙原生应用生态打造安全基座。在车联网方向，梆梆安全作为全球最早一批开展车联网信息安全研究及服务的企业，于2016年成立安全研究院，深度钻研信息安全管理对汽车产业的重要价值，致力于车联网行业领域的前沿探索与实践研究，专注智能网联车辆的网络安全和数据安全能力的研究与实践应用，广泛参与国内外车联网信息安全相关的标准法规的制定和解读。2021年，联合国欧洲经济委员会（UNECE ）R155法规、R156法规等法规生效，梆梆安全已成功为多家汽车和零部件供应商提供基于合规的车联网安全测试服务。2023年，梆梆安全正式成立“泰防实验室”，专业的车联网技术研究团队，围绕汽车安全检测、渗透测试、创新技术攻关等，为智能网联汽车产业提供强有力的全业务支撑。

营销中心市场营销总监句雅楠

随后，营销中心市场营销总监句雅楠对未来与联盟的合作方向表示，一方面，希望联盟能够组织网络安全领域的政策宣讲学习活动，有利于企业了解国家对网络安全行业的发展指引；另一方面，也希望能够通过联盟促进专业人才的培养和输送，合作开展网络安全领域的专业培训等活动。

莅临到访的专家团在认真听取梆梆安全的业务发展与市场方向后，纷纷就各自感兴趣的内容展开深入探讨，并提出建设性意见，为梆梆安全未来的业务拓展提供支持。最后，联盟秘书长邹冬在总结讲话中表示，走访活动的开展是深入企业一线，倾听企业声音，了解企业实际需求，积极为企业提供政策指导、技术支持和市场对接等服务。梆梆安全也期冀通过与联盟探索合作方式的更多可能，助力企业取得更大的业务突破和发展。

Torrance, United States / California, 12th September 2024, CyberNewsWire

The post Criminal IP Teams Up with IPLocation.io to Deliver Unmatched IP Solutions to Global Audiences appeared first on Security Boulevard.

2024年9月7日至12日，一年一度的国家网络安全宣传周（广州主会场）拉开帷幕。本次网安周以“网络安全为人民，网络安全靠人民”为主题，举办开幕式、网络安全技术高峰论坛主论坛暨粤港澳大湾区网络安全大会、网络安全博览会，集中发布一系列网络安全领域重要成果。同时举行校园日、电信日、法治日、金融日、青少年日、个人信息保护日等系列主题日活动。

作为移动应用安全的引领者，梆梆安全（3B06展位）展出了包括全栈自研移动应用加固产品、移动应用合规平台以及端到端&全渠道移动安全解决方案在内的多项拳头产品，获得各界嘉宾广泛关注。

梆梆安全以安全标准为参考依据，以安全引擎为技术核心，构建了完整的泛应用安全保护体系。此次广州网安周期间，特别展出了适用于华为HarmonyOS操作系统的纯血鸿蒙安全产品。目前，全栈自研纯血鸿蒙安全产品已实现HarmonyOS Next的完全适配，可持续为鸿蒙原生应用生态打造安全基座。

随着数字经济时代下API爆发式增长，API接口管理不当造成的数据安全风险、业务安全风险和连续性风险，给企业的安全能力带来了新的挑战。

梆梆安全基于“端到端的全渠道风险防护”技术理念，结合业务终端安全接入具体需求，推出“动静结合、横向端到端联动+实时防御、纵向全渠道联动”的移动应用安全解决方案，帮助企业实时感知客户端风险，实现端到端的安全协同，开展多样化的全业务渠道实时防御，各渠道联防联控，全方位构建移动终端的数据保护安全能力，打造“安全合规、架构稳定、产品易用”的移动终端安全环境。

与此同时，梆梆安全不仅在广州主会场精彩亮相，还在河南、西安、广西、安徽等多个省份同步参与了网安周的相关活动。

梆梆安全诚挚邀请各位莅临参观交流，共同探讨移动安全领域的最新趋势和技术发展。我们期待着与您一起，在保障国家数字安全的道路上携手前行。