#本周热读 微软安全研究人员表示，他们发现了一起由中国政府支持的针对美国关键基础设施的黑客攻击行动。

#本周热读 微软安全研究人员表示，他们发现了一起由中国政府支持的针对美国关键基础设施的黑客攻击行动。 这次攻击是由Volt Typhoon领导的，这是一个总部设在中国的组织，通常专注于间谍活动和信息收集。

#本周热读 中国军方东部战区公布了其发言人施毅大校的表态，他表示，东部战区正在台湾岛周边海空域组织联合战备巡逻和实战化演练，以回

#本周热读 中国军方东部战区公布了其发言人施毅大校的表态，他表示，东部战区正在台湾岛周边海空域组织联合战备巡逻和实战化演练，以回应这次访问。施毅说，这是针对美台继续玩弄政治把戏、破坏台海和平稳定的严正震慑。

安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构

安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构 具体来说，黑客已经入侵了 48 个政府组织，其中 10 个是外交部门，另外 49 个政府机构也成为了黑客的攻击目标。受害者（红色）和目标（黄色）地图（趋势科技）攻击者利用易受攻击的面向互联网的服务器，使用鱼叉式网络钓鱼电子邮件部署定制的网络间谍活动后门。Earth Krahang 滥用其在被攻破的政府基础设施上的存在来攻击其他政府，在被攻破的系统上建立 VPN 服务器，并执行暴力破解以破解重要电子邮件账户的密码。攻击概述威胁行为者利用开源工具扫描面向公众的服务器，查找特定漏洞，如 CVE-2023-32315（Openfire）和 CVE-2022-21587（Oracle Web Apps）。通过利用这些漏洞，他们部署 webhell 来获取未经授权的访问权限，并在受害者网络中建立持久性。或者，他们使用鱼叉式网络钓鱼作为初始访问载体，围绕地缘政治主题发送信息，诱使收件人打开附件或点击链接。一旦进入网络，Earth Krahang 就会利用被入侵的基础设施托管恶意有效载荷、代理攻击流量，并使用被黑客入侵的政府电子邮件账户向其同事或其他政府发送鱼叉式网络钓鱼电子邮件。趋势科技在报告中写道："我们注意到，Earth Krahang 在侦察阶段会从目标处获取数百个电子邮件地址。在一个案例中，行为者利用一个政府实体的受损邮箱向属于同一实体的 796 个电子邮件地址发送恶意附件"。用于从被入侵账户发送电子邮件的脚本（已删节）（趋势科技）这些电子邮件包含恶意附件，可将后门植入受害者的计算机，传播感染并在检测和清理时实现冗余。攻击者使用被入侵的 Outlook 账户来强行获取 Exchange 凭据，同时还发现了专门从 Zimbra 服务器中渗入电子邮件的 Python 脚本。用于收集电子邮件数据的 Python 脚本（趋势科技）该威胁组织还利用 SoftEtherVPN 在被入侵的面向公众的服务器上建立 VPN 服务器，以建立对受害者私人网络的访问，并进一步提高他们在这些网络中横向移动的能力。Eath Krahang 在网络上建立存在后，会部署 Cobalt Strike、RESHELL 和 XDealer 等恶意软件和工具，提供命令执行和数据收集功能。XDealer 是这两种后门程序中更复杂、更精密的一种，因为它支持 Linux 和 Windows，可以截屏、记录键盘输入和截取剪贴板数据。攻击链概述（趋势科技）趋势科技称，根据指挥和控制（C2）的重叠，它最初发现 Earth Krahang 与中国附属行为者 Earth Lusca 之间存在联系，但确定这是一个独立的集群。这两个威胁组织可能都在中国公司I-Soon 旗下运作，作为专门针对政府实体进行网络间谍活动的特遣部队。此外，RESHELL 以前与"Gallium"组织有关，而 XDealer 则与"Luoyu"黑客有关。然而，趋势科技的洞察力表明，这些工具很可能是威胁行为者之间共享的，每个工具都使用不同的加密密钥。本次的"Earth Krahang"指标清单在此单独发布。 ... PC版： 手机版：

研究人员发现一种新的攻击可以破除任何主要浏览器上的用户匿名

研究人员发现一种新的攻击可以破除任何主要浏览器上的用户匿名 新泽西理工学院的研究人员本周警告说，攻击者可以使用一种新技术来消除网站访问者的匿名性，并有可能将目标数字生活的许多部分联系起来。 新泽西理工学院的研究人员将在下个月于波士顿举行的Usenix安全研讨会上介绍这一发现，该研究表明，攻击者如果诱使某人加载一个恶意网站，就可以确定该访问者是否控制着一个特定的公共标识符，如电子邮件地址或社交媒体账户，从而将该访问者与一段潜在的个人数据联系起来。 当你访问一个网站时，页面可以捕捉到你的IP地址，但这并不一定给网站所有者足够的信息来单独识别你。相反，黑客会分析潜在目标的浏览器活动的细微特征，以确定他们是否登录了一系列服务的账户，从YouTube和Dropbox到Twitter、Facebook、TikTok等等。此外，这些攻击对所有主要的浏览器都有效，包括以匿名为重点的Tor浏览器。 “如果你是一个普通的互联网用户，当你访问一个随机的网站时，你可能不会过多地考虑你的隐私，”研究作者之一、新泽西州立大学计算机科学教授Reza Curtmola说。“但有某些类别的互联网用户可能会受到更明显的影响，比如组织和参与政治抗议的人，记者，以及与他们的少数群体同伴联网的人。而使这些类型的攻击变得危险的是它们非常隐蔽。你只是访问了网站，你不知道你已经暴露了。”

俄罗斯支持的黑客组织"沙虫"涉嫌攻击美国供水系统

俄罗斯支持的黑客组织"沙虫"涉嫌攻击美国供水系统 今年 1 月，德克萨斯州北部小镇 Muleshoe 的一位居民发现水塔溢水。数万加仑的水流进了街道和下水道，当局认定这是由于供水控制系统被黑客攻击所致。据《华盛顿邮报》报道，黑客在 Telegram 上发布了一段视频，展示了他们如何黑进该镇的水控系统和附近一个小镇的水控系统，并重新设置了控制。攻击者自称是"俄罗斯重生网络军"（CARR）。视频标题用俄语写道："我们开始对美国进行另一次突袭"。Muleshoe 的城市经理拉蒙-桑切斯（Ramon Sanchez）说，黑客强行破解了系统控制系统界面的密码，该界面由一家供应商运行。该密码十多年来从未更改过。该地区至少还有两个遭受黑客攻击的城镇使用的是同一家供应商。Google旗下的网络安全公司 Mandiant称，俄罗斯政府支持的"沙虫"组织很可能是这次攻击的幕后黑手。该组织被怀疑是俄罗斯 GRU 间谍机构的一部分，一直在支持俄罗斯在乌克兰的军事行动。沙虫至少三次破坏了乌克兰的能源网（甚至在俄罗斯入侵该国之前），在 2018 年入侵了韩国奥运会，开展了旨在破坏 2017 年法国大选的鱼叉式网络钓鱼活动，并在 2017 年推出了臭名昭著的NotPetya勒索软件，造成了全球混乱。沙虫事件年表（图片来源：Mandiant）Mandiant 称，有人利用与 Sandworm 相关的服务器在 YouTube 上为 CARR 创建了社交媒体账户。它还发现 CARR 发布了沙虫黑客从乌克兰政府窃取的数据。美国在 2020 年指控了六名据信是"沙虫"组织成员的俄罗斯情报人员，指控他们犯下了各种罪行，包括制造"网络病毒"（NetPetya）和破坏 2016 年美国总统选举。这并不是外国对手对美国供水设施的唯一一次攻击。11 月，宾夕法尼亚州的一家水厂遭到网络攻击，美国官员将其归咎于伊朗。这次攻击利用了某些操作技术上未更改的制造商默认密码。这些事件导致国家安全顾问杰克-沙利文（Jake Sullivan）呼吁全国 15 万个公共供水系统加强对黑客的防御。 ... PC版： 手机版：

在间谍软件供应商的推动下 2023年被恶意利用的0day漏洞猛增50%

在间谍软件供应商的推动下 2023年被恶意利用的0day漏洞猛增50% 在 97 个0day漏洞中，研究人员能够确定其中 58 个漏洞的威胁者动机。其中 48 个漏洞归因于间谍行为，其余 10 个归因于出于经济动机的黑客。FIN11 利用了三个0day，Nokoyawa、Akira、LockBit和Magniber四个勒索软件团伙分别利用了另外四个0day。报告指出，FIN11 是影响Accellion 传统文件传输设备的2021 0day的幕后黑手，该设备被用于攻击数十家知名机构。研究人员说："FIN11 高度关注文件传输应用，这些应用提供了对受害者敏感数据的高效访问，无需横向网络移动，简化了外流和货币化的步骤。随后，大规模勒索或勒索软件活动带来的巨额收入很可能会助长这些组织对新漏洞的额外投资"。其中值得注意的是，与中国有关联、专注于间谍活动的黑客制造了 12 起0day事件，高于 2022 年的 7 起。研究人员广泛报道了几起源自中国的活动，包括明确针对梭子鱼（Barracuda）电子邮件安全网关的活动，黑客的目标是东盟成员国外交部的电子邮件域和用户，以及台湾和香港的外贸办事处和学术研究机构的个人。Google指出，其中一个0day漏洞与Winter Vivern有关，这是一个由白俄罗斯国家赞助的网络组织，曾多次攻击乌克兰和其他欧洲国家。Google说，这是已知的第一个与白俄罗斯有关联的间谍组织在其活动中利用0day漏洞的实例，这表明该组织"日益复杂"。就目标产品而言，研究人员发现，威胁行为者寻求"产品或组件中的漏洞，这些产品或组件提供了对多个目标的广泛访问"。研究人员说，梭子鱼电子邮件安全网关、思科自适应安全设备、Ivanti Endpoint Manager Mobile and Sentry和趋势科技 Apex One等企业专用技术多次成为攻击目标，并补充说，这些产品通常提供广泛的访问权限和高级权限。商业间谍软件供应商的参与2023 年企业专用技术开发量的增长主要受安全软件和设备开发量的推动。商业监控供应商（CSV）是浏览器和移动设备漏洞利用的罪魁祸首，在 2023 年针对Google产品和Android生态系统设备的已知0day漏洞中，Google占 75%（17 个漏洞中的 13 个）。TAG 公司的研究人员 Maddie Stone 说，Google的0day发现最令人震惊的是，大量漏洞被 CSV 在野外利用，而且缺乏针对该行业的全球规范。她说："我们已经广泛记录了 CSV 造成的危害，但它们仍占针对最终用户的0day漏洞的大多数。"这家科技巨头再次警告说，商业监控行业继续向世界各国政府出售尖端技术，这些技术利用消费设备和应用程序中的漏洞，"在个人设备上偷偷安装间谍软件"。私营公司参与发现和销售漏洞已有多年，但我们注意到，在过去几年中，由这些行为者驱动的漏洞利用明显增加。Google今年 2 月表示，它正在追踪至少 40 家参与制造间谍软件和其他黑客工具的公司，这些间谍软件和黑客工具被出售给政府，并被用来对付"高风险"用户，包括记者、人权活动家和持不同政见者。浏览器内部攻击Google还指出，第三方组件和库中的漏洞是"一个主要的攻击面，因为它们往往会影响多个产品"。2023 年，Google发现这种针对浏览器的攻击有所增加。他们发现有三个浏览器0day漏洞被第三方组件利用，影响了不止一个浏览器。报告指出，影响 Chrome 浏览器的 CVE-2023-4863 和影响 Safari 浏览器的 CVE-2023-41064"实际上是同一个漏洞"，并补充说它还影响了Android和Firefox浏览器。他们还引用了 CVE-2023-5217 - 一个去年出现的影响 libvpx 的头条漏洞。去年还有其他几个浏览器内部工具也被利用。令人惊讶的是，去年没有发现针对 macOS 的野外0day漏洞。Google解释说，虽然发现的一些 iOS 漏洞由于共享组件也会影响 macOS，但发现的漏洞只针对 iPhone。"2023年，有8个被利用的0day针对Chrome浏览器，11个针对Safari浏览器。"研究人员说："跟踪到的 Safari 浏览器0day程序被用于针对 iPhone 的链中，而除了一个 Chrome 浏览器0day程序外，其他所有0day程序都被用于针对 Android 设备链中。"Google警告说，随着越来越多的黑客投入巨资进行研究，被利用的零漏洞数量很可能会继续增加。0day漏洞利用"不再仅仅是少数行为者可以利用的利基能力，我们预计，随着供应商继续减少其他入侵途径，以及威胁行为者将越来越多的资源集中在0day漏洞利用上，我们在过去几年中看到的增长可能会继续下去"。TAG 的斯通告诉 Recorded Future News，报告中最有希望的发现是Google的 MiraclePtr 和苹果的 Lockdown 模式等供应商的缓解措施，这两种措施都成功地阻止了对许多野外使用的漏洞链的利用。她补充说："这表明了供应商在安全方面的投资如何能够产生明显的影响，使攻击者更难利用0day利用用户。" ... PC版： 手机版：