網路安全再迎新規、英美警告APT駭客攻擊|11月18日全球網路安全熱點

騰訊安全發表於2021-11-18
APT

圖片



安全資訊報告


網路資料安全管理將迎來新規

 

人臉作為敏感個人資訊,一旦洩露容易對個人的人身和財產安全造成極大危害,甚至還可能威脅公共安全。但此前,一些小區物業、經營場所將人臉識別作為出入的唯一驗證方式;一些手機APP等因使用者不同意提供非必要個人資訊,而拒絕使用者使用其基本功能……這些問題有望得到規制。

 

近日,國家網際網路資訊辦公室就《網路資料安全管理條例(徵求意見稿)》(以下簡稱《意見稿》)向社會公開徵求意見,意見反饋截止時間為2021年12月13日。

 

《意見稿》提出,資料處理者利用生物特徵進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特徵資訊。

 

新聞來源: 

http://news.youth.cn/gn/202111/t20211118_13314900.htm

 

CISA釋出政府網路安全事件和漏洞響應手冊

 

網路安全基礎設施和安全域性週二為聯邦民事機構推出了兩本手冊,用於規劃和實施網路安全漏洞和事件響應。

 

這份長達40頁的聯邦政府網路安全事件和漏洞響應手冊源於拜登總統5月關於改善國家網路安全的行政命令中的一項指令。該命令是在聯邦系統和美國關鍵基礎設施發生一系列引人注目的違規行為之後釋出的。

 

根據CISA,這些手冊適用於聯邦民事機構以及承包商或代表聯邦民事機構的其他組織使用的資訊系統。CISA在宣佈這些手冊時表示,聯邦民事機構“應該使用這些手冊來塑造他們的整體防禦網路行動。”手冊為聯邦民事機構提供了一套標準程式,以識別、協調、補救、恢復和跟蹤影響聯邦民事系統、資料和網路的事件和漏洞的成功緩解措施。

 

手冊概述了若干標準化流程和程式,包括促進受影響組織之間更好的協調和響應;能夠跟蹤跨組織的成功行動;允許對事件進行編目以更好地管理未來事件並指導分析和發現。各機構應使用這些手冊來幫助塑造整體防禦性網路行動,以確保一致有效的響應和響應活動的協調溝通。

 

這些劇本還涉及由聯邦民事機構發起的響應活動——例如檢測可疑的惡意活動或漏洞——以及由CISA或其他第三方(包括情報機構、執法或商業組織和承包商)發起的響應活動。

 

新聞來源: 

https://www.nextgov.com/cybersecurity/2021/11/cisa-launches-government-cybersecurity-incident-and-vulnerability-response-playbooks/186869/

 

部分APT組織正在轉向勒索軟體活動

 

微軟詳細介紹了六個APT駭客組織的活動。微軟在報告裡稱,部分APT組織對勒索軟體表現出越來越大的興趣,駭客組織正在使用勒索軟體來收集資金或破壞他們的目標。

 

微軟跟蹤的Phosphorus(其他人稱之為APT35),過去兩年,微軟一直在與該集團玩貓捉老鼠的遊戲。雖然最初以網路間諜活動而聞名,但微軟詳細介紹了該組織在目標網路上部署勒索軟體的策略,通常使用微軟的Windows磁碟加密工具BitLocker來加密受害者檔案。

 

其他網路安全公司去年檢測到APT組織使用已知的Microsoft Exchange漏洞在電子郵件伺服器和Thanos勒索軟體上安裝永續性網路外殼的勒索軟體有所增加。據微軟稱,Phosphorus還針對未打補丁的本地Exchange伺服器和Fortinet的FortiOS SSL VPN,以部署勒索軟體。

 

2021年下半年,該組織開始掃描被稱為ProxyShell的四個Exchange漏洞,微軟在4月份釋出了針對CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065的補丁。ProxyLogon是構成ProxyShell的幾個漏洞之一。

 

安全專家報告指出Phosphorus在伺服器上使用BitLocker,在PC上使用DiskCryptor。他們的活動之所以引人注目,是因為它不依賴在網路犯罪分子中流行的勒索軟體即服務產品,也沒有建立自定義加密器。微軟威脅情報中心(MSTIC)在一篇博文中指出:“在破壞初始伺服器(透過易受攻擊的VPN或Exchange伺服器)後,攻擊者橫向移動到受害網路上的不同系統,以獲得對更高價值資源的訪問。”

 

新聞來源: 

https://www.zdnet.com/article/now-irans-state-backed-hackers-are-turning-to-ransomware/


安全漏洞威脅

 

美國和英國警告APT駭客利用Microsoft Exchange和Fortinet漏洞

 

美國、英國和澳大利亞的網路安全機構今天警告稱,與中東某國有關聯的APT組織利用了Microsoft Exchange ProxyShell和Fortinet漏洞。

 

該警告是作為網路安全和基礎設施安全域性(CISA)、聯邦調查局(FBI)、澳大利亞網路安全中心(ACSC)和英國國家網路安全中心(NCSC)釋出的聯合諮詢釋出的。

 

“FBI和CISA觀察到,這個APT組織至少自2021年3月起就利用Fortinet漏洞,至少自2021年10月起利用Microsoft Exchange ProxyShell漏洞,以便在後續操作(包括部署勒索軟體)之前獲得對系統的初始訪問許可權,”CISA說。

 

攻擊重點是美國關鍵基礎設施部門(例如,交通、醫療保健)和澳大利亞組織。他們的目標是從關鍵部門獲得對目標的初步訪問權,這些目標後來可能被用於其他惡意目的,包括資料洩露、勒索軟體部署和勒索。

 

CISA和FBI還分享了有關攻擊例項,包括:

  • 2021年3月,FBI和CISA觀察到這些APT參與者在埠4443、8443和10443上掃描Fortinet FortiOS漏洞;

  • CVE-2018-13379的裝置,並列舉FortiOS漏洞CVE-2020-12812和CVE-2019-5591;

  • 2021年5月,這些APT攻擊者利用Fortigate裝置訪問託管美國市政府域的網路伺服器。攻擊者可能使用使用者名稱elie建立了一個帳戶,以進一步啟用惡意活動;

  • 2021年6月,這些APT攻擊者利用Fortigate裝置訪問與一家專門從事兒童醫療保健的美國醫院相關的環境控制網路。APT攻擊者從IP地址154.16.192[.]70訪問了醫院的已知使用者帳戶;

  • 截至2021年10月,這些APT攻擊者利用Microsoft Exchange ProxyShell漏洞(CVE-2021-34473)在後續操作之前獲得對系統的初始訪問許可權。

 

新聞來源: 

https://www.bleepingcomputer.com/news/security/us-uk-warn-of-iranian-hackers-exploiting-microsoft-exchange-fortinet/



相關文章