安全資訊報告

駭客在電子商務伺服器上部署Linux惡意軟體和網路瀏覽器

安全研究人員發現，攻擊者在將信用卡竊取器注入線上商店的網站後，還在受感染的電子商務伺服器上部署Linux後門。

PHP編碼的網頁瀏覽器（一種旨在竊取和洩露客戶付款和個人資訊的指令碼）被新增並偽裝為/app/design/frontend/資料夾中的.JPG影像檔案。攻擊者使用此指令碼下載並在被駭客入侵的線上商店向客戶顯示的結賬頁面上注入虛假付款表格。

攻擊者從自動化電子商務攻擊探測開始，測試常見線上商店平臺中的數十個弱點。一天半後，攻擊者在商店的一個外掛中發現了一個檔案上傳漏洞。他隨後上傳了一個webshell並修改了伺服器程式碼以攔截客戶資料。

新聞來源： 

https://www.bleepingcomputer.com/news/security/hackers-deploy-linux-malware-web-skimmer-on-e-commerce-servers/

來自Netgear、Linksys、D-Link等的數百萬臺路由器面臨惡意軟體攻擊的風險

一種新的惡意軟體攻擊的目標是數百萬個流行的路由器。安全研究人員發現了名為BotenaGo的惡意軟體，它具有強大的衝擊力。

BotenaGo惡意軟體旨在利用跨越不同路由器品牌和物聯網裝置的多達33個漏洞。

該惡意軟體的工作原理是在路由器上建立後門並耐心等待攻擊。它潛伏在黑暗的小巷中，當裝置想要使用埠19412穿過小巷時，它會發起攻擊。BotenaGo然後搭載在裝置上以滲透網路並竊取個人資訊。如果您的路由器或IoT裝置感染了BotenaGo，犯罪分子可能會將它們用於針對網站的殭屍網路攻擊或用作垃圾郵件的傳送系統。惡意軟體背後的網路犯罪分子可能會改變有效載荷，並在未來將BotenaGo用於其他惡意目的。

受影響的路由器包括：

• DrayTek Vigor2960

• D-Link DIR-645有線/無線路由器

• 網件WN604、WNAP210v2、WNAP320、WNDAP350、WNDAP360和WNDAP660

• 網件R6250和DGN2200

• GPON家用路由器

• Linksys X3000

• D-Link DIR-610

• Comtrend VR-3033

• AC15 AC1900

• 中興F460和F660

AT&T的Alien Labs解釋說，BotenaGo只是一個更大的“惡意軟體套件”的一部分，只是感染機器的一個模組。針對這種惡意軟體攻擊的最佳防禦措施是確保您的路由器已更新為最新韌體。您還應確保裝置的作業系統和應用程式已更新。

新聞來源： 

https://www.komando.com/security-privacy/router-malware-attack/816140/

朝鮮支援的駭客據稱正在修改惡意軟體入侵美國、英國和其他國家

據稱，一個由朝鮮支援的新駭客組織正在修改惡意軟體以攻擊美國和其他國家。安全公司Proofpoint是第一個識別出崛起的TA406網路犯罪集團惡意活動的公司。

該機構補充說，該網路攻擊者與其他駭客有聯絡，特別是TA406、TA408和TA427。另一方面，Proofpoint最新的安全報告也提供了這些新興駭客之間的差異。惡意軟體正以不同的方式用於破壞各種政府機構和獨立組織的系統。

根據Bleeping Computer的最新報告，新的T406惡意攻擊者被認為是國家支援的網路攻擊者，它使用定製的惡意軟體工具針對英國、南非、印度、法國等國家，尤其是美國。TA406被認為涉及各種惡意活動，例如情報收集、區塊鏈盜竊、網路釣魚活動以及惡意軟體分發。

新聞來源： 

https://www.techtimes.com/articles/268203/20211118/north-korea-backed-hackers-allegedly-modify-malware-breach-uk-countries.htm

安全漏洞威脅

美國、英國和澳大利亞的網路安全機構敦促關鍵基礎設施組織修補微軟和Fortinet產品中的漏洞

“至少自2021年3月以來，FBI和CISA已經觀察到這個由APT組織利用Fortinet漏洞和至少自2021年10月以來的Microsoft Exchange  ProxyShell漏洞，以便在後續操作之前獲得對系統的初始訪問許可權，包括部署勒索軟體，”這些機構週三聯合釋出的一份諮詢報告中寫道。

此前，伊朗的網路活動與地區勢力及其地緣政治目標的聯絡更為緊密。例如，在川普政府退出由巴拉克·奧巴馬總統促成的核協議並暗殺一名伊朗高階將領後，官員們預計會有間諜活動，並準備迎接報復性襲擊。但去年9月，FBI和CISA警告說，伊朗可能會開始利用他們的能力透過勒索軟體操作來改善其財務狀況。

隨著拜登政府實施全球跨機構合作戰略打擊勒索軟體，新的聯合諮詢也即將釋出。而伊朗是上了議事日程最近一次財政部副部長沃利Adeyemo走上以色列為了實現這一目標過程中。

“APT攻擊者正在積極針對美國多個關鍵基礎設施部門的廣泛受害者，包括運輸部門、醫療保健和公共衛生部門，以及澳大利亞組織，”諮詢中寫道。“聯邦調查局、中央情報局、澳大利亞網路安全中心和英國國家網路安全中心評估參與者專注於利用已知漏洞而不是針對特定部門。”

公告中標記的Fortinet和Microsoft Exchange漏洞都列在數百個正在被積極利用的已知漏洞的目錄中。CISA正好在兩週前釋出了目錄以及具有約束力的操作指令和修補它們的截止日期。

目錄中列出的修復三個Fortinet漏洞的截止日期要到明年5月。修補Microsoft Exchange漏洞的截止日期是11月17日。

新聞來源： 

https://www.nextgov.com/cybersecurity/2021/11/governments-warn-iran-targeting-microsoft-and-fortinet-flaws-plant-ransomware/186917/

APT組織利用FatPipe VPN中的0Day漏洞長達六個月

該漏洞允許使用裝置韌體中的檔案上傳功能並安裝具有root訪問許可權的基於Web的shell。

美國聯邦調查局發現一個APT組織利用FatPipe MPVPN網路裝置中的零日漏洞來破壞公司的計算機系統並訪問其內部網路。

至少自2021年5月以來，犯罪分子一直在利用FatPipe MPVPN中的漏洞。該漏洞允許一個未命名的駭客組織利用裝置韌體的檔案上傳功能安裝一個有root許可權的webshell。

攻擊僅針對FatPipe MPVPN裝置，但該漏洞也影響其他產品，包括IPVPN和WARP。它們是不同型別的VPN伺服器，公司安裝在其公司網路的外圍，用於為員工提供透過Internet遠端訪問內部應用程式的許可權，充當網路閘道器和防火牆之間的混合體。

正如FBI所指出的，發現的零日漏洞目前沒有自己的CVE識別符號。FatPipe已經發布了一個修補程式和有關該漏洞的附加資訊。據專家介紹，0Day漏洞可用於覆蓋受影響裝置的配置檔案，使攻擊者能夠完全控制未受保護的系統。

目前大約有800臺FatPipe MPVPN裝置連線到網路。

新聞來源： 

https://www.securitylab.ru/news/526675.php

管理人工智慧的網路安全漏洞

人工智慧系統脆弱性的表現是顯著的：在語音識別領域，研究表明可以生成聽起來像機器學習演算法的語音但對人類來說不是的音訊。有多個示例使用人類無法察覺的擾動來欺騙影像識別系統以錯誤識別物件，包括在安全關鍵環境（例如道路標誌）中。一組研究人員透過改變每個影像的一個畫素來欺騙三個不同的深度神經網路。即使對手無法訪問模型或用於訓練它的資料，攻擊也可能成功。也許最可怕的是：在一個AI模型上開發的漏洞可能適用於多個模型。

隨著人工智慧融入商業和政府職能，該技術脆弱性的後果是重大的。正如美國空軍負責情報、監視、偵察和網路效應行動的副參謀長瑪麗·奧布萊恩中將最近所說的那樣，“如果我們的對手在基於人工智慧的過程的任何部分注入了不確定性，我們對於我們希望AI為我們做的事情，我們有點不知所措。”

因此，改善網路安全的政策和計劃應明確解決基於人工智慧的系統的獨特漏洞；人工智慧治理的政策和結構應明確包含網路安全元件。

首先，與漏洞披露和管理相關的一組網路安全實踐可以為人工智慧安全做出貢獻。漏洞披露是指研究人員（包括獨立安全研究人員）發現產品中的網路安全漏洞並將其報告給產品開發商或供應商以及開發商或供應商接收此類漏洞報告的技術和政策。披露是漏洞管理的第一步：優先分析、驗證和補救或緩解的過程。

雖然最初存在爭議，但漏洞披露計劃現在在私營部門普遍存在；在聯邦政府內部，網路安全和基礎設施安全域性(CISA)釋出了一項具有約束力的指令，強制執行這些指令。在整個網路安全領域，有一個充滿活力的——有時是動盪的——白帽和灰帽駭客的生態系統；漏洞賞金計劃服務提供商；負責任的披露框架和舉措；軟體和硬體供應商；學術研究人員；以及旨在漏洞披露和管理的政府舉措。基於AI/ML的系統應作為該生態系統的一部分納入主流。

在考慮如何將AI安全融入漏洞管理和更廣泛的網路安全政策、計劃和舉措時，存在一個兩難選擇：一方面，AI漏洞應該已經融入這些實踐和政策中。正如Grotto、Gregory Falco和Iliana Maifeld-Carucci在對美國國家標準與技術研究院(NIST)起草的人工智慧風險管理框架的評論中所爭論的那樣，人工智慧問題不應該被孤立到單獨的垂直政策中。除非另有證明，否則人工智慧風險應被視為與非人工智慧數字技術相關的風險的延伸，應對人工智慧相關挑戰的措施應被視為管理其他數字風險的工作的延伸。

另一方面，長期以來，人工智慧一直被視為不屬於現有法律框架。如果在漏洞披露和管理計劃以及其他網路安全活動中沒有特別提及人工智慧，許多人可能沒有意識到它被包括在內。

為了克服這一困境，我們認為應該假設人工智慧包含在現有的漏洞披露政策和制定網路安全措施中，但我們也建議，至少在短期內，對現有的網路安全政策和舉措進行修改或解釋，以明確涵蓋基於人工智慧的系統及其元件的漏洞。最終，政策制定者和IT開發人員都將AI模型視為另一種型別的軟體，因為所有軟體都存在漏洞，並且在網路安全工作中值得同等關注。然而，在我們到達那裡之前，有必要在網路安全政策和舉措中明確承認人工智慧。

在改善網路安全的緊急聯邦努力中，有許多與人工智慧相關的動人部分。例如，CISA可以宣告其關於漏洞披露的約束性指令包括基於人工智慧的系統。拜登總統關於改善國家網路安全的行政命令指示NIST為聯邦政府的軟體供應鏈制定指南，並特別指出此類指南應包括有關漏洞披露的標準或標準。該指南也應參考人工智慧，以及將根據政府採購軟體行政命令第4(n)條制定的合同語言。同樣，努力為軟體材料清單(SBOM)開發基本元素，其中NIST在7月邁出了第一步，應該發展以解決AI系統問題。管理和預算辦公室(OMB)應貫徹前總統川普於2020年12月釋出的關於在聯邦政府中推廣使用值得信賴的人工智慧的行政命令，該命令要求各機構識別和評估其對人工智慧的使用，並取代、取消或停用任何現有的不安全和不可靠的人工智慧應用程式。

人工智慧在網路安全方面遲到了，但希望可以迅速彌補失地。

新聞來源： 

https://www.lawfareblog.com/managing-cybersecurity-vulnerabilities-artificial-intelligence