所有Linux发行版存在shim漏洞;多个国家黑客利用AI进行网络攻击;美国挫败俄方网络间谍活动网络 | 安全周报 0216
1. 美国政府挫败了与俄罗斯有关的从事网络间谍活动的僵尸网络
美国政府于星期四表示,他们成功挫败了一个由数百个小型办公室和家庭办公室(SOHO)路由器组成的僵尸网络。该网络被与俄罗斯有关的APT28组织利用,以掩盖其恶意活动。
美国司法部(DoJ)在一份声明中表示:“这些犯罪活动包括针对俄罗斯政府感兴趣的情报目标进行的大规模鱼叉式网络钓鱼和类似的凭证收集活动,例如美国和外国政府以及军事、安全和企业组织。”
APT28,也被称为BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard(前称Strontium)、FROZENLAKE、Iron Twilight、Pawn Storm、Sednit、Sofacy和TA422,据评估与俄罗斯总参谋部主要指挥部(GRU)的第26165部队有关联。该组织至少从2007年开始活跃。
法庭文件称,攻击者依靠基于Mirai的MooBot僵尸网络来开展网络间谍活动,该僵尸网络专门挑选由Ubiquiti制造的路由器,将它们共同纳入一个可以修改的设备网络中,以充当代理,在屏蔽其实际IP地址的同时中继恶意流量。
https://thehackernews.com/2024/02/us-government-disrupts-russian-linked.html
2. 俄罗斯Turla黑客使用新的TinyTurla-NG后门攻击波兰非政府组织
2023年12月,被称为Turla的与俄罗斯有关的威胁行为者被观察到使用一种新的后门,名为TinyTurla-NG,这是针对波兰非政府组织的长达三个月的攻击活动的一部分。
思科Talos在今天发布的一份技术报告中表示:“TinyTurla-NG就像TinyTurla一样,是一个小型的‘最后机会’后门,当所有其他未经授权的访问/后门机制在受感染的系统上失败或被检测到时,就会使用它。”
TinyTurla-NG之所以如此命名,是因为它与TinyTurla具有相似性,TinyTurla是敌对组织在至少自2020年以来针对美国、德国和阿富汗的入侵中使用的另一种植入物。网络安全公司首次记录TinyTurla是在2021年9月。
这表明,Turla黑客组织在不断演变其工具和技术,以逃避检测和保持对目标的持久访问。这种趋势强调了持续监测和更新安全防御措施的重要性,以应对新兴威胁和不断变化的攻击模式。
https://thehackernews.com/2024/02/russian-turla-hackers-target-polish.html
3. 微软和OpenAI警告:多个国家黑客利用AI进行网络攻击
与俄罗斯、朝鲜、伊朗和中国相关的国家行为者正在试验人工智能(AI)和大型语言模型(LLMs),以辅助他们正在进行的网络攻击行动。
这些发现来自微软与OpenAI合作发布的一份报告。两家公司均表示,他们通过终止其资产和账户,破坏了五个与国家有关联的行为者利用其AI服务进行恶意网络活动的努力。
微软在与The Hacker News分享的一份报告中表示:“语言支持是LLMs的一个自然特性,对于持续关注社会工程和其他依赖虚假、欺骗性通信技术的威胁行为者来说很有吸引力,这些通信技术是根据其目标的工作、专业网络和其他关系量身定制的。”
虽然迄今为止尚未检测到使用LLMs进行的任何重大或新型攻击,但对抗性AI技术的探索已经超越了攻击链的各个阶段,如侦察、编程辅助和恶意软件开发。
这家AI公司表示:“这些行为者通常试图利用OpenAI服务查询开源信息、进行翻译、查找编码错误以及运行基本的编码任务。”
https://thehackernews.com/2024/02/microsoft-openai-warn-of-nation-state.html
4. CISA和OpenSSF发布软件包存储库安全框架
美国网络安全和基础设施安全局(CISA)宣布,它正与开源安全基金会(OpenSSF)的软件存储库安全工作组合作,发布一个新的框架,以保护软件包存储库的安全。
该框架被称为“软件包存储库安全原则”,旨在为软件包管理器建立一套基本规则,并进一步加固开源软件生态系统。“软件包存储库在开源生态系统中处于关键位置,有助于预防或缓解此类攻击,”OpenSSF表示。
这一举措凸显了开源软件在全球范围内的重要性,以及确保其安全性和可靠性的必要性。通过发布这样的框架,CISA和OpenSSF希望能够为开源社区提供指导,帮助开发人员和维护人员更好地保护他们的软件包存储库,从而防止潜在的安全威胁和漏洞。
https://thehackernews.com/2024/02/cisa-and-openssf-release-framework-for.html
5. shim的关键引导加载程序漏洞影响几乎所有Linux发行版
shim的维护者已经发布了15.8版本,以修复六个安全漏洞,其中包括一个特定情况下可能导致远程代码执行的关键漏洞。
该漏洞被追踪为CVE-2023-40547(CVSS评分:9.8),可能被利用来实现安全启动的绕过。微软安全响应中心(MSRC)的Bill Demirkapi被发现并报告了这个漏洞。
使用shim的主要Linux发行版,如Debian、Red Hat、SUSE和Ubuntu,都已经针对这个安全漏洞发布了安全公告。
影响与修复建议:
- 影响范围:由于shim在Linux发行版中的广泛使用,这个漏洞的影响范围非常广。任何使用受影响的shim版本的Linux系统都可能面临风险。
- 攻击向量:远程攻击者可能会尝试利用这个漏洞来执行恶意代码或绕过系统的安全启动机制。
- 修复建议:系统管理员和最终用户应尽快更新他们的Linux系统和shim包到最新版本。这可以通过运行系统的包管理器(如apt、yum或zypper)并检查可用的更新来完成。此外,还应确保系统的BIOS/UEFI设置启用了安全启动功能,以提供额外的保护层。
- 安全策略:除了应用补丁外,组织还应考虑实施其他安全措施,如网络隔离、入侵检测和预防系统(IDS/IPS),以及定期的安全审计和漏洞评估,以降低潜在的安全风险。
https://thehackernews.com/2024/02/critical-bootloader-vulnerability-in.html