首頁 > 安全研究 > 安全通報 > 安全簡訊

MITRE 發布嵌入式設備 EMB3D 網絡安全威脅模型

發布時間 2024-05-15
1. MITRE 發布嵌入式設備 EMB3D 網絡安全威脅模型


5月14日,MITRE 與 Red Balloon Security、Narf Industries 和 Niyo Little Thunder Pearson (ONEGas, Inc.) 合作推出了 EMB3D,這是一種全面的威脅模型,旨在解決關鍵基礎設施領域嵌入式設備面臨的日益增長的網絡安全風險。嵌入式設備廣泛應用于石油和天然氣、電力、水管理、汽車、醫療、衛星、自主系統和無人機系統等行業,但往往缺乏適當的安全控制,并且沒有對漏洞進行充分的測試。隨著復雜的網絡對手越來越多地針對這些設備,EMB3D 旨在提供對所構成威脅的共同理解以及緩解這些威脅所需的安全機制。EMB3D 與常見弱點枚舉 (CWE)、MITRE ATT&CK?以及常見漏洞和暴露 (CVE) 等現有模型保持一致并進行擴展,但特別關注嵌入式設備。該框架提供了嵌入式設備網絡威脅的豐富知識庫,包括在現場環境中觀察到的、通過概念驗證證明的或從理論研究中得出的威脅。


https://gbhackers.com/emb3d-cybersecurity-threat-model/


2. 研究團隊發現Sliver瞄準macOS并安裝后門


5月13日,Sliver 是一款跨平臺(Windows、macOS、Linux) 開源對抗框架測試套件,專為“紅隊”操作而設計,在測試網絡防御時模擬對手的行為。其主要功能包括自定義植入生成、命令和控制 (C2) 功能、后利用工具/腳本以及豐富的攻擊模擬選項。在 Phylum 發現的最新攻擊中,攻擊始于一個名為“requests-darwin-lite”的 macOS 惡意 Python 包,它是流行的“requests”庫的良性分支。該包托管在 PyPI 上,在帶有 Requests 徽標的 17MB PNG 圖像文件中包含 Sliver 的二進制文件。在 macOS 系統上安裝期間,會執行 PyInstall 類來解碼 Base64 編碼的字符串,以運行檢索系統的 UUID(通用唯一標識符)的命令 (ioreg)。UUID 用于驗證包是否安裝在實際目標上,并將其與預定義的 UUID 進行比較。當存在匹配時,會從文件偏移處的特定部分讀取并提取 PNG 文件內的 Go 二進制文件。Sliver 二進制文件被寫入本地文件并修改文件權限以使其可執行,并最終在后臺啟動。


https://www.bleepingcomputer.com/news/security/pypi-package-backdoors-macs-using-the-sliver-pen-testing-suite/


3. INC 勒索軟件源代碼在黑客論壇上售價 30 萬美元


5月13日,一名名為“salfetka”的網絡犯罪分子聲稱正在出售 INC Ransom 的源代碼,INC Ransom 是一項于 2023 年 8 月推出的勒索軟件即服務 (RaaS) 。INC 此前的目標是施樂商業解決方案公司 (XBS) 的美國分部 、菲律賓雅馬哈汽車公司,以及最近的蘇格蘭 國家醫療服務體系 (NHS)。在涉嫌出售的同時,INC 贖金業務正在發生變化,這可能表明其核心團隊成員之間存在裂痕,或者計劃進入涉及使用新加密器的新篇章。威脅行為者宣布在 Exploit 和 XSS 黑客論壇上出售 INC 的 Windows 和 Linux/ESXi 版本,要價 30 萬美元,并將潛在買家數量限制為三個。根據發現此次銷售的 KELA威脅情報專家向 BleepingComputer 提供的信息,論壇帖子中提到的技術細節,例如在 CTR 模式下使用 AES-128 和 Curve25519 Donna 算法,與  INC Ransom 的公開分析一致樣品。


https://www.bleepingcomputer.com/news/security/inc-ransomware-source-code-selling-on-hacking-forums-for-300-000/


4. 谷歌意外刪除了價值1250億美元的養老基金賬戶


5月13日,谷歌最近犯了一個大錯誤。該公司不小心刪除了價值 1250 億美元的澳大利亞養老基金 UniSuper 的私人 Google Cloud 賬戶。結果是:據《衛報》上周報道,超過 50 萬 UniSuper 基金會員在大約一周的時間里無法訪問自己的賬戶。UniSuper在另一家云提供商有一個備份帳戶,服務于5月2日恢復。雖然谷歌表示,這種錯誤以前從未在云上發生過,但出現故障和中斷的可能性引起了越來越多地將數據轉移到云軟件提供商的公司和政府的擔憂。該公司今年表示,全球 1000 家最大公司中約60% 的公司和 90% 的生成型人工智能獨角獸公司都是該公司的客戶。全球近 50 萬家公司使用 Google Cloud 作為“平臺即服務”或面向客戶的工具,其中包括大眾汽車和加拿大皇家銀行。


https://qz.com/google-cloud-pension-fund-unisuper-1851472990


5. LockBit Black 勒索攻擊活動已發送數百萬封電子郵件


5月13日,自 4 月份以來,已通過 Phorpiex 僵尸網絡發送了數百萬封釣魚電子郵件,以開展大規模的 LockBit Black 勒索軟件活動。正如新澤西州網絡安全和通信集成小組 (NJCCIC) 周五警告的那樣,攻擊者使用包含部署 LockBit Black 有效負載的可執行文件的 ZIP 附件,該有效負載一旦啟動就會對接收者的系統進行加密。這些攻擊中部署的 LockBit Black 加密器很可能是使用一名心懷不滿的開發人員于 2022 年 9 月在 Twitter 上泄露的 LockBit 3.0 構建器構建的。不過,據信該活動與實際的 LockBit 勒索軟件操作沒有任何關系。這些網絡釣魚電子郵件帶有“您的文檔”和“您的照片???”主題行使用“Jenny Brown”或“Jenny Green”別名從全球 1,500 多個唯一 IP 地址發送,其中包括哈薩克斯坦、烏茲別克斯坦、伊朗、俄羅斯和中國。當收件人打開惡意 ZIP 存檔附件并執行其中的二進制文件時,攻擊鏈就開始了。


https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/


6. 黑客利用 DNS 隧道進行網絡掃描和跟蹤受害者


5月14日,威脅行為者正在使用域名系統 (DNS) 隧道來跟蹤其目標何時打開網絡釣魚電子郵件并單擊惡意鏈接,并掃描網絡以查找潛在漏洞。DNS 隧道是對通過 DNS 查詢發送和檢索的數據或命令進行編碼,本質上是將 DNS(基本網絡通信組件)轉變為隱蔽的通信通道。威脅行為者以各種方式對數據進行編碼,例如 Base16 或 Base64 或自定義文本編碼算法,因此可以在查詢 DNS 記錄(例如 TXT、MX、CNAME 和地址記錄)時返回它們。黑客通常使用 DNS 隧道來繞過網絡防火墻和過濾器,利用該技術進行命令和控制 (C2) 以及虛擬專用網絡 (VPN) 操作。還有合法的 DNS 隧道應用程序,例如用于繞過審查制度。最近發現的兩個攻擊活動分別是TrkCdn和SecShow。


https://www.bleepingcomputer.com/news/security/hackers-use-dns-tunneling-for-network-scanning-tracking-victims/

上一篇 下一篇