网络盾牌 | 0317-乌克兰计划将其志愿黑客军队合法化-航空公司Safran Group泄露敏感数据-微软安全功能遭绕过

乌克兰计划将其志愿黑客军队合法化；

标签：乌克兰，黑客军队，合法化

在去年2月的事件开始后不久，来自全球不同地区的许多黑客，无论是独立的还是小团体的，开始对俄罗斯各个行业的组织进行网络攻击，据称是为了利益乌克兰。但由于为了任何人的利益而采取此类行动是违法的，乌克兰政府想出了一个优雅的出路。乌克兰当局积极推动的新法案将使黑客和其他恶意活动合法化，以维护国家利益。

任何在乌克兰本土和其他国家领土上活动的志愿黑客团体都计划正式纳入乌克兰武装部队，并进行结构化和合法化。乌克兰国家网络安全协调中心秘书Natalia Tkachuk表示：“应尽快通过关于在乌克兰国防部内建立和运作网络单位的法律。”Tkachuk还补充说，新法律将成为“建设国家网络防御能力、吸引网络志愿者参与这项活动并建立网络储备的基础”——一支由军方培训的民间网络专家分队，他们可以成为动员起来确保国家安全。乌克兰计划借鉴爱沙尼亚的经验，建立有效的网络军事基础设施——培养人员，其技术适用性将在义务兵役期间确定，然后接受额外培训。此外，据美国匿名消息人士透露，乌克兰还计划争取美国政府黑客的密切支持，进一步壮大其在该领域的势力。然而，根据同一消息来源，到目前为止，各部门无法就此类合作的条款达成共识。该法案的通过和实施的具体条款没有透露。而且即使近期通过，如此大规模的重组也不太可能迅速实施。

信源:

https://www.bleepingcomputer.com/news/security/cybercriminals-exploit-svb-collapse-to-steal-money-and-data/

顶级航空公司Safran Group正在泄露敏感数据；

标签：航空公司，Safran Group，敏感数据

Cyber news 研究团队最近发现，这家总部位于法国的跨国航空公司是全球第八大航空航天供应商，由于其系统配置错误，正在泄露敏感数据。该漏洞使公司在很长一段时间内面临网络攻击的风险。

根据自己的估计，赛峰集团2022年的收入将超过190亿欧元。它与仅次于波音的全球第二大航空航天公司空中客车公司合作制造航空航天设备。赛峰集团还参与开发航空以外的尖端技术，例如目前在世界上最大的太空光学望远镜詹姆斯韦伯望远镜中使用的模块。此外，该公司还生产地对空防御系统和导弹。

Cybernews 就研究人员发现的泄漏问题联系了 Safran Group，在撰写本文时，错误配置已得到修复。

信源：https://cybernews.com/security/key-aerospace-player-leaks-sensitive-data/

新的加密货币 Dero 挖矿活动，正以 Kubernetes 集群为目标进行；

标签：Dero，挖矿活动，Kubernetes

CrowdStrike在一份新报告中说：新的Dero加密货币开采活动集中定位在Kubernetes集群，该集群在Kubernetes API上启用了匿名访问，并在可从互联网访问的非标准端口上进行监听。

这一发展标志着从Monero的一个明显转变，Monero是此类活动中普遍使用的加密货币。这可能与Dero 提供更大的奖励和更好的匿名功能有关。

这些攻击是由一个不知名的攻击者进行的，首先是扫描Kubernetes集群，认证设置为–anonymous-auth=true，这允许匿名请求服务器，从三个不同的美国IP地址投放初始有效载荷。

这包括部署一个名为 “proxy-api “的Kubernetes DaemonSet，反过来，它被用来在Kubernetes集群的每个节点上投放一个恶意的pod，以启动采矿活动。

同时，DaemonSet的YAML文件被安排运行一个Docker镜像，其中包含一个 “暂停 “二进制文件，这实际上是Dero币的矿工。

该公司指出：在合法的Kubernetes部署中，pause容器被Kubernetes用来启动一个pod。攻击者可能使用相同的名字来混入，以避免常规的检测。

这家网络安全公司说，它发现了一个平行的Monero挖矿活动，也针对暴露的Kubernetes集群，试图删除与Dero活动相关的现有 “proxy-api “DaemonSet。

这表明加密劫持团体之间正在进行角力，他们争夺云资源，以获取并保留对机器的控制权，并消耗其所有资源。这两个活动都在试图寻找未被发现的Kubernetes攻击面，并正在进行争夺。

信源：https://thehackernews.com/2023/03/new-cryptojacking-operation-targeting.html

谷歌爆料！微软安全功能遭绕过，对勒索软件放行；

标签：谷歌，微软，勒索软件

一份最新报告显示，有黑客正出于经济动机利用微软SmartScreen安全功能中的零日漏洞，用以传播Magniber勒索软件。

谷歌威胁分析小组（TAG，下文简称谷歌小组）的研究人员表示，自2022年12月以来，恶意黑客就已经能够利用SmartScreen中的零日漏洞。谷歌小组在2月15日向微软报告了相关发现及勒索软件团伙的利用行为。微软在3月14日（3月补丁日）发布针对该漏洞（CVE-2023-24880）的修复补丁。SmartScreen旨在捕捉网络钓鱼企图和恶意软件，属于Windows 10/11以及微软Edge网络浏览器的组成部分。微软公司发言人表示，客户只要安装最新补丁即可获得保护。谷歌小组指出，自2023年1月以来，他们发现勒索软件活动中使用的恶意msi文件已被下载超10万次，其中80%的下载量来自欧洲用户。msi文件类似于我们熟悉的.exe文件，二者都可用于安装和启动Windows程序。

研究人员提到，Magniber勒索软件常被用于针对韩国和中国台湾地区的组织。大约六年前，就有网络安全企业对其展开跟踪。谷歌小组的发现，是Magniber恶意黑客在过去半年里，第二次利用零日漏洞规避SmartScreen检测，并诱导计算机用户从受感染的网站处下载经过伪装的勒索软件。谷歌小组的这次研究建立在此前惠普安全专家的工作上。

2022年10月，惠普公司发现Magniber在攻击中利用CVE-2022-44698漏洞，这是另一个影响SmartScreen的独立漏洞。并且在2022年12月微软为该漏洞发布补丁之前，还有其他黑客曾经利用这个漏洞。当时，Magniber恶意黑客使用带有错误签名的JScript文件强制令SmartScreen返回错误，最终允许黑客绕过安全警告并传播恶意软件。在微软封锁这条路径后，Magniber团伙又找到了另一种类似方法来破坏SmartScreen。谷歌小组发现，受感染的MSI文件会致使SmartScreen出现与之前使用JScript文件时相同的反应：Microsoft功能返回错误，允许攻击者绕过安全警告。新方法针对的是SmartScreen中的一个对话框，它会在文件运行与Mark-of-the-Web（MOtW）发生冲突时弹出，属于浏览器中的恶意文件防范功能。微软频繁发补丁，但修复一直不完全谷歌小组指出，“由于SmartScreen安全绕过背后的根本原因没有得到解决，所以恶意黑客能够迅速发现原始漏洞的不同变体。”微软应该“正确且全面地”解决这类问题。“此前Project Zero就已经发现，这类安全绕过正成为网络攻击的新趋势。厂商虽然频繁发布针对性补丁，但由于修复范围不足，导致恶意黑客仍有机会迭代并发现新的攻击变种。在安全修复当中，狭义层面的可靠修复与问题根本原因难以彻底解决之间已经形成了尖锐矛盾。”Magniber勒索软件于2018年底被首次发现，在韩国活跃多年，后又蔓延至中国台湾。此前，Magniber恶意团伙还曾利用其他几个微软漏洞开展攻击，包括CVE_2022-41091（同样属于MotW漏洞）以及臭名昭著的PrintNightmare漏洞CVE-2021-34527。至少自2018年起，Magniber团伙就已经在使用Magnitude漏洞利用工具包（可通过浏览器漏洞感染用户Web应用程序）来分发恶意载荷。

信源：https://mp.weixin.qq.com/s/NHYkI6AIGJrqbPLYwGXI6g

美国医疗设备商ZOLL遭网络攻击，100万人敏感信息被泄露；

标签：美国医疗设备商，ZOLL

在提供给缅因州总检察长的文件中，ZOLL表示事件始于1月28日，当时他们在其内部网络上“检测到异常活动”。该公司补充到，信息是在2月2日被访问的，对该事件的调查正在进行中。

“可能已泄露的信息包括您的姓名、地址、出生日期和社会安全号码。也可能会推断您使用或被考虑使用ZOLL产品。”该公司告诉受害者，“我们咨询了第三方网络安全专家，以协助我们对事件做出响应和补救，并根据法律要求通知了执法部门以及联邦和州监管机构。”

ZOLL为受害者提供为期两年的 Experian 身份盗窃保护服务。Databreaches.net是第一个报告这些通知的人。该公司于周五开始发送违规通知函。

ZOLL总部位于马萨诸塞州，在加利福尼亚州、科罗拉多州、明尼苏达州、新泽西州、宾夕法尼亚州、罗德岛州和威斯康星州开发产品，产品销往140多个国家/地区。

其主要生产一系列设备，包括除颤和监测工具，以及用于循环和心肺复苏反馈、数据管理、治疗温度管理和通气的设备。这些产品通常销往诊所、医院、紧急医疗服务、军队和消防站。

此前，ZOLL曾在2018年、2019年两次宣布数据泄露。

2018年，ZOLL声称供应商负责在服务器迁移过程中暴露电子邮件服务器，服务器被暴露了七周，在此期间黑客访问了它并查看了数据。该漏洞影响了近300,000人，并泄露了医疗信息和社会安全号码，最终导致他们在一年后起诉IT供应商梭子鱼网络。

2019年，ZOLL由第三方存档的电子邮件在供应商的服务器迁移过程中暴露。该公司发布了一份详细说明数据曝光的新闻稿，暴露的信息包括患者姓名、地址、出生日期和部分医疗信息，一些患者的身份证信息也被暴露。发现泄露事件后，ZOLL立即启动了内部审查，277,319名患者受到此事件影响。

信源：E安全