美司法部前网络安全咨询顾问被捕,或面临20年监禁;盛邦安全拟收购天御云安不低于60%股权 | 网安牛览
日期:2024年05月06日 阅:81
新闻速览
ㆍ NASA面临航天器网络安全不一致的问题
ㆍ 美国逮捕司法部前网络安全咨询顾问
ㆍ 勒索赎金恢复成本达到273万美元
ㆍ 以色列私家侦探涉嫌黑客攻击在伦敦被捕
ㆍ CISA警告:GitLab关键缺陷或导致账户劫持风险增加
ㆍ Dropbox Sign遭黑客攻击暴露用户数据,引发电子签名行业安全担忧
ㆍ 攻击者可利用Microsoft Graph API逃避常规安全检测
ㆍ FBI警告新的Kimsuky网络钓鱼攻击
ㆍ OpenVPN存在严重安全缺陷,或影响全球数百万个端点
ㆍ 盛邦安全拟收购天御云安不低于60%股权
ㆍ Mimic推出新的反勒索软件防御平台
ㆍ 微软和谷歌拟扩大Passkey支持范围
热点观察
NASA面临航天器网络安全不一致的问题
近日,美国政府审计署(GAO)对美国国家航空航天局(NASA)的网络安全措施进行了审查。审查结果显示,多项网络安全政策和标准仍然存在不一致的问题,存在较大的网络安全风险隐患。
本次审查重点涵盖了三个NASA项目:Gateway电源和推进元件、Orion多用途载人飞船以及宇宙历史探测项目(SPHEREx)。尽管与这些项目相关的合同明确要求了承包商需要解决网络安全问题,但自2019年发布《空间系统保护标准》以来,NASA长期没有更新相关政策和执行标准。
GAO建议NASA制定一个带有时间框架的计划来更新其网络安全策略。NASA表示将积极推进改进政策和标准计划,但指出航天器的多样性和工程约束使得安全实施先进的网络安全能力非常困难。相关安全专家表示,在解决工程约束和安全可靠性之间找到平衡至关重要,以应对对NASA最宝贵系统构成的威胁。
原文链接:
美国逮捕司法部前网络安全咨询顾问
日前,据BleepingComputer报道,美国司法部宣布逮捕了前网络安全咨询顾问文森特·坎纳迪(Vincent Cannady),他被指控从一家纽约的跨国IT基础设施服务提供商勒索150万美元。据称,坎纳迪曾被一家人力资源公司分配到该IT公司,处理可能存在的网络安全问题。司法部表示,在被解雇后,坎纳迪使用公司发放的笔记本电脑下载了该IT公司的商业机密、架构图和其他机密和专有信息,随后要求该公司支付150万美元作为雇佣歧视的赔偿。随后,坎纳迪提出了更高的要求,他在试图通过监管文件和媒体披露窃取的信息时,取消了人力资源公司对其笔记本电脑的访问权限。如果被判勒索罪名成立,坎纳迪最高可能被判处20年监禁。
原文链接:
https://www.scmagazine.com/brief/us-arrests-ex-cyber-consultant-accused-of-it-firm-extortion
勒索赎金恢复成本达到273万美元
根据Sophos的数据,过去一年内平均勒索赎金支付金额增长了500%。支付赎金的组织报告称,平均支付金额达到200万美元,较2023年的40万美元增加了一倍。然而,赎金仅是成本的一部分。除去赎金,调查发现恢复的平均成本达到273万美元,较Sophos在2023年报告的182万美元增加了近100万美元。调查还发现,勒索软件攻击的频率略有下降,但仍有59%的组织受到了攻击。大多数攻击是通过漏洞利用、被攻击凭证和恶意电子邮件进行的。付赎金的组织中,24%支付了要求的全额赎金,44%支付了低于要求的金额。
原文链接:
以色列私家侦探涉嫌黑客攻击在伦敦被捕
据报道,以色列一名私人侦探阿米特·福利特被指控代表一家美国公关公司进行网络间谍活动,并在伦敦被捕。然而,由于法律技术性问题,美国的首次引渡请求威斯敏斯特马格里斯特法院被驳回。美国律师艾米·拉布拉姆告诉法庭,福利特被控参与了一项雇佣黑客的计划。美国的指控包括称一家总部位于华盛顿的公关和游说公司支付给福利特的公司1600万英镑(约合2000万美元),以获取与阿根廷债务危机相关的情报。福利特在美国面临三项指控,包括共谋进行计算机黑客行为、共谋进行电信诈骗和电信诈骗。此外,福利特还面临来自航空高管法哈德·阿齐玛的计算机黑客指控,在2020年的伦敦审判中,阿齐玛的电子邮件被盗并被用于对付他。福利特此前承认获取了阿齐玛的电子邮件,但否认进行了黑客攻击,称是在网络上无意间发现了这些信息。
原文链接:
网络攻击
CISA警告:GitLab关键缺陷或导致账户劫持风险增加
美国国家信息安全局(CISA)日前发出警告,软件开发平台GitLab上一个关键安全缺陷正在被攻击者利用。该缺陷允许攻击者向任意电子邮件地址发送重置密码的请求,从而劫持用户账户。据安全专家指出,攻击者利用该缺陷可以完全控制被入侵的GitLab账户。此外,他们还能更改关联的电子邮件地址,阻止合法账户所有者登录或使用密码恢复功能。该缺陷目前已被CISA列为已知被利用漏洞(KEV,CVE-2023-7028),被评定为最高严重性,CVSS漏洞严重性评分为10。CISA要求联邦民用行政部门修复受到活动威胁的FCEB网络。
安全专家强调,GitLab存储了源代码和专有数据,因此该缺陷对组织的风险极高。攻击者可能通过注入恶意代码到软件供应链中进行攻击。建议自行管理GitLab部署的组织应制定升级计划,尽快修补漏洞。如果无法立即升级,应采取缓解措施,如定期更改密码或使用独立的身份验证提供商。
原文链接:
https://www.darkreading.com/application-security/critical-gitlab-bug-exploit-account-takeover-cisa
Dropbox Sign遭黑客攻击暴露用户数据,引发电子签名行业安全担忧
日前,海外云服务提供商Dropbox昨日向美国证券交易委员会(SEC)通报,旗下电子签名平台DropboxSign(原名HelloSign)遭到黑客入侵,大量用户的密钥/MFA验证信息遭到泄露。经过调查,Dropbox发现黑客已经侵入服务器,获取了大量用户的邮箱、用户名、电话号码、(经过哈希加密过的)密码、API密钥、OAuth令牌、MFA验证信息等内容。
据悉,本次安全事故影响到所有曾经使用过Dropbox Sign的用户(即使用户没有Dropbox账号),只要用户使用Dropbox Sign签署过文件,那么他们的电子邮箱和用户名就已经遭到泄露。Dropbox表示,根据目前调查结果,没有证据显示用户账号下的文件、合同、模板、支付信息等遭到黑客获取。相关安全事故波及范围仅限于Dropbox Sign的基础架构,并不影响Dropbox其他产品的运营环境。不过Dropbox并未说明究竟多少用户受到本次安全事故影响,也没有披露黑客究竟通过什么手段侵入了服务器。
原文链接:
攻击者可利用Microsoft Graph API逃避常规安全检测
据赛门铁克的研究人员发现,攻击者正在利用Microsoft Graph API规避检测,该API是开发者用于访问Microsoft云服务资源的接口。攻击者选择Graph API的原因是它在已知实体上执行活动时不太容易引起怀疑,而且作为基本账户的Microsoft OneDrive等服务是免费的、便宜且安全的基础设施来源。这种技术已在真实的间谍行动中被曝光,并在乌克兰的一家组织中发现新恶意软件使用了Microsoft Graph API,利用 Microsoft OneDrive 进行命令和控制 (C2)目的。专家表示,Graph API的使用使得攻击活动看起来像是合法的流量,从而使传统安全工具难以检测。
原文链接:
https://www.scmagazine.com/news/attackers-evade-detection-by-leveraging-microsoft-graph-api
FBI警告新的Kimsuky网络钓鱼攻击
据Nextgov报道,美国国务院、国家安全局和联邦调查局(FBI)联合发布了一份警报,警告全国各组织,尤其是教育机构、非营利组织和智库,提高警惕,黑客组织Kimsuky(也被称为APT43、Emerald Sleet和Velvet Chollima)正在利用越来越先进的网络钓鱼技术进行攻击。联合警报指出,Kimsuky利用域基础消息认证、报告和合规(DMARC)协议的配置不当,侵入组织的电子邮件域并冒充合法用户。警报呼吁组织在仔细检查传入电子邮件的同时,通过实施DMARC策略变更,包括重新编码以限制某些消息,来防御此类入侵。
原文链接:
https://www.scmagazine.com/brief/feds-warn-of-new-kimsuky-phishing-attack-techniques
OpenVPN存在严重安全缺陷,或影响全球数百万个端点
近期,安全研究人员在流行VPN解决方案OpenVPN中发现了4个严重安全缺陷。这些缺陷可对全球数百万台网络设备构成重大安全威胁。这些缺陷的内部代号为OVPNX,影响多种操作系统,包括Windows、iOS、macOS、Android和BSD,影响了全球数千家公司。OpenVPN中发现的安全缺陷技术性很强,并且利用了软件的复杂性。它可以跨各种权限级别运行,并与操作系统API紧密集成。根据BlackHat报告,研究团队的方法包括对OpenVPN的代码库进行仔细检查,利用逆向工程技术在位和字节级别剖析软件。其中一个关键漏洞始于针对OpenVPN插件机制的远程代码执行(RCE)攻击。通过利用OpenVPN系统服务中的堆栈溢出,攻击者可以使NT系统服务崩溃。此崩溃会触发创建命名管道实例的竞争条件,从而使攻击者能够夺取 OpenVPN命名管道资源的控制权。
该缺陷使攻击者能够冒充特权用户,并通过采用称为BYOVD(带来易受攻击的驱动程序)的技术利用易受攻击的签名驱动程序,在内核级别执行任意代码。这些缺陷或使数百万个端点面临潜在的数据泄露、未经授权的访问和系统接管的风险,这可能会给受影响的组织带来严重的运营中断和财务损失。
原文链接:
https://cybersecuritynews.com/openvpn-zero-day-flaws/
产业动态
盛邦安全拟收购天御云安不低于60%股权
据北京商报报道,盛邦安全(688651)5月5日披露公告称,公司拟使用自有资金不超过3000万元持有北京天御云安科技有限公司(以下简称“天御云安”)不低于60%的股权,并与天御云安签署了《投资意向书》。
公告显示,标的天御云安在卫星通信安全领域积累了多项核心技术,形成了一整套卫星通信安全解决方案,包含卫星通信中心站加密机、卫星小站加密机、卫星通信密管系统、卫星通信配置管理系统等;同时标的公司围绕密码产业,也形成了密码芯片相关产品,包含高速链路密码机、高密度大算力密码资源池、加密加速传输系统、密码教学平台以及商用密码系列产品等。
原文链接:
https://baijiahao.baidu.com/s?id=1798212490356779479&wfr=spider&for=pc
Mimic推出新的反勒索软件防御平台
Mimic是一家反勒索软件防御公司,为组织提供了一种检测、遏制和恢复勒索软件攻击的的解决方案。近日,该公司表示,最新推出的反勒索软件平台能够在24小时内将组织的环境和数据恢复到未受感染的状态,而无需支付赎金。Mimic的平台与客户现有的安全控制“协同工作”,Mimic首席执行官Derek Smith在一份声明中表示。Smith曾是Shape Security的首席执行官,该公司是一家Web和移动应用安全公司,于2019年以10亿美元被F5收购。作为发布的一部分,Mimic从Ballistic Ventures、Menlo Ventures、Team8、Wing Venture Capital和Shield Capital筹集了2700万美元的种子资金。该公司表示,金融服务提供商Apex Group目前正在使用该平台。
原文链接:
https://www.darkreading.com/endpoint-security/mimic-launches-with-new-ransomeware-defense-platform
微软和谷歌拟扩大Passkey支持范围
在2024年世界密码日到来之际,微软和谷歌均宣布将扩大Passkey支持范围,以提供更多的身份验证选择。根据FIDO联盟的调查,越来越多的人开始启用Passkey,并认为它们比传统密码更为便捷和安全。微软将为消费者帐户提供Passkey支持,并在其Authenticator移动应用程序中添加设备绑定Passkey的功能。谷歌已经在去年为Google帐户、Google Workspace和Google Cloud帐户引入了Passkey支持,并计划将Passkey用于其Advanced Protection Program,以帮助受到有针对性攻击风险的用户。其他公司如Bitwarden也推出了相关的Passkey服务,为其用户启用了密钥管理。根据FIDO联盟的数据,passkey现在得到了全球前100个网站的20%和前250个网站的12%的支持。
原文链接: