TOP5 | 头条：新加坡正式成立以网络为重点的数字和情报军

新加坡正式成立以网络为重点的“数字和情报军”；

标签：新加坡，数字和情报军

新加坡10月28日正式成立数字和情报军（DIS），旨在应对数字领域的现代威胁，并利用该领域的新兴技术。

DIS是继陆海空军之后的新加坡第四军种，DIS的建立标志着下一代新加坡武装部队转型的一个重要里程碑，其整合了新加坡武装部队现有的指挥、控制、通信、计算机和情报（C4I）和网络能力。DIS的使命是在数字领域进行防御并主导数字领域，保护新加坡免遭数字领域威胁，并使新加坡武装部队能够作为一支网络化和综合性部队更好地运作，从而加强和维护新加坡的和平与主权。DIS首任指挥官是李毅骏准将。新加坡总统哈莉玛·雅各布在新军种成立仪式上表示，“就像新加坡武装部队在空中、陆地和海上保卫新加坡一样，第四军种将为我们提供防御数字领域攻击的能力。”

DIS由数字和情报军长（CDI）领导，并由数字和情报参谋长（COS-DIS）和数字和情报首席专家（CXDI）提供支持。DIS包括一个军种总部（HQ）、相关联合和网络参谋部门、四个司令部和一个数字作战技术中心（DOTC）。其中，联合和网络参谋部门包括：联合情报部门（JID），负责通过研究和分析、条令、标准和最佳实践以及情报和行动的整合，支持新加坡武装部队的决策和行动；联合数字和C4部门（JDCD），负责引导新加坡武装部队的数字化，并推动和开发新加坡武装部队数字产品的技术标准和治理；网络参谋部门，负责领导和协调整个国防部门的网络安全。

DIS司令部和作战技术中心包括：联合情报司令部（JIC），负责支持新加坡武装部队的情报要求，由一个总部和图像支持大队（ISG）和反恐情报小组（CTIG）两个旅级部队组成；C4司令部/网络安全特遣部队，负责运行并保护新加坡国防部/武装部队的指挥、控制、通信和计算机（C4）能力，由C4作战大队（C4OG）和网络防御大队（CDG）两个旅级部队组成；数字防御司令部（DDC），负责发展新加坡武装部队电子保护和心理防御能力，由电子保护大队（EPG）和心理防御大队（PDG）组成；DIS训练司令部，负责DIS劳动力的发展，预计于2023年成立；数字作战技术中心（DOTC），负责配备快速反应部队以满足数字领域的需求，并培养精通数据科学和人工智能的核心人才。

信源：http://www.dsti.net/Information/News/128665

非洲数十个金融组织遭黑客攻击，损失巨大；

标签：非洲，金融组织，黑客攻击

一个被称为OPA1ER讲法语的威胁者于2018年至2022年期间针对非洲、亚洲和拉丁美洲的银行、金融服务和电信公司发起30多次成功的网络攻击。

据总部设在新加坡的网络安全公司Group-IB称，这些攻击导致了总额为1100万美元的失窃，实际损失估计高达3000万美元。

2021年和2021年的一些较近期的攻击事件，挑出了布基纳法索、贝宁、象牙海岸和塞内加尔的五家不同银行。据说，许多被确认的受害者已经被破坏了两次，他们的基础设施随后被武器化，以打击其他组织。

OPERA1ER，也被称为DESKTOP-GROUP、Common Raven和NXSMS，已知自2016年以来一直在活动，其运作目标是进行有经济动机的抢劫和渗出文件以进一步用于鱼叉式攻击。

“OPERA1ER经常在周末和公共假期运作，”Group-IB在一份与《黑客新闻》分享的报告中说，对手的 “整个武库是基于开源程序和木马，或在暗网上可以找到的免费发布的RAT。”

这包括现成的恶意软件，如Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon，等等。

攻击链从 “高质量的鱼叉式网络钓鱼邮件 “开始，其发票和交付主题的诱饵主要用法语编写，其次是英语。

这些邮件具有ZIP档案附件或链接到Google Drive、Discord服务器、受感染的合法网站和其他行为人控制的域，这导致了远程访问木马的部署。

在RAT执行成功后，下载并启动了Metasploit Meterpreter和Cobalt Strike Beacon等后开发框架，以建立持久的访问，收获证书，并渗出感兴趣的文件，并延长侦察期以了解后端操作。

以下事实证明了这一点：据观察，威胁者从最初入侵到进行欺诈性交易从自动取款机上取钱，需要花费3至12个月的时间。

攻击的最后阶段涉及闯入受害者的数字银行后台，使对手能够将资金从高价值账户转移到数百个流氓账户，并最终在事先雇用的运钞车网络的帮助下通过自动取款机将其兑现。

“Group-IB解释说：”在这里，攻击和盗取资金显然是可能的，因为不良行为者通过窃取不同运营商用户的登录凭证，设法积累了不同级别的系统访问权限。

在一个例子中，超过400个骡子用户账户被用来非法抽走资金，这表明 “攻击是非常复杂的，有组织的，协调的，并在很长一段时间内计划的。

与电信巨头Orange合作进行的调查发现，OPERA1ER仅依靠公开可用的恶意软件就成功完成了银行欺诈行动，这凸显了为研究组织的内部网络所做的努力。

该公司指出：”OPERA1ER的武器库中没有零日威胁，而且攻击经常使用三年前发现的漏洞的漏洞”。通过缓慢而谨慎地在目标系统中步步为营，这才使他们能够在不到三年的时间里在世界各地成功地进行了至少30次攻击。

信源：https://thehackernews.com/2022/11/researchers-detail-opera1er-apt-attacks.html

印度地铁智能卡被发现”免费充值”漏洞 黑客轻松零元充；

标签：印度，地铁智能卡，漏洞利用

印度的大众快速交通系统依赖通勤智能卡，而这些智能卡容易被利用，并允许任何人有效地免费旅行。安全研究员Nikhil Kumar Singh发现了一个影响德里地铁智能卡系统的漏洞。该研究人员表示，该漏洞利用了充值过程，允许任何人为地铁列车的智能卡充值，金额与次数不限。

Singh表示，他是在无意中使用德里地铁站的一个储值机为自己的地铁智能卡免费充值后发现这个漏洞的。

Singh说，这个错误的存在，是因为当旅客使用地铁站的储值机给他们的地铁智能卡充值时，地铁充值系统没有正确地验证付款。他说，缺乏检查意味着，即使储值机显示购买失败，智能卡也会被欺骗，以为它已经充值。在这种情况下，付款被标记为待定，随后被退回，使该人能够有效地免费乘坐地铁。

“我在德里地铁的系统上试了一下，能够获得免费的充值额度，”Singh表示。”我仍然需要通过使用PhonePe或Paytm支付来启动充值，但由于充值仍未完成，30天后会被退回。这就是为什么在技术上是免费的，”他说。

Singh分享了他在2月份录制的概念验证视频，展示了智能卡如何被骗到德里地铁卡上增值。在更好地了解该漏洞后，该研究人员在一天后联系了德里地铁公司（DMRC）。作为回应，DMRC要求Singh通过电子邮件分享该漏洞的细节，他这样做了，同时还提供了一份技术报告和演示该漏洞运行的日志文件。3月16日，Singh收到了一份模板式的回复，承认收到了他的邮件，但没有收到任何进一步的回复。

这个尚未修复的问题存在于智能卡本身。德里地铁依靠的是荷兰芯片制造商恩智浦半导体公司（NXP）生产的MiFare DESFire EV1智能卡。印度除了首都以外的其他地铁系统，包括班加罗尔，也使用同样的智能卡系统。如果其他州的地铁列车的技术基础设施是一样的，那么这个错误在那里也会起作用。

这不是安全研究人员第一次发现同一品牌的智能卡的问题。过去的研究发现类似的漏洞影响了德里地铁使用的相同的DESFire EV1智能卡，以及其他欧洲大众交通系统。2020年，MiFare推出了DESFire EV3作为其非接触式解决方案，具有更好的安全性。

Singh建议，如果地铁系统迁移到DESFire EV3卡，智能卡的错误可以得到修复。

DMRC的三位发言人没有回答多封寻求评论的电子邮件，恩智浦的发言人表示暂时无法提供评论。负责该市地铁服务的班加罗尔地铁公司也没有发表评论。

信源：https://www.toutiao.com/article/7161624205958578722/?log_from=39f4d88fc74f_1667544181155&wid=1667544282360

网络犯罪分子正在利用 Twitter 的收费身份验证机制行骗；

标签：Twitter，身份验证机制，网络行骗

如果有一件事是黑客们喜欢利用的，那就是最新的头条新闻。在埃隆-马斯克计划对Twitter的蓝标验证状态每月收费20美元的消息传出后，网络犯罪分子正在发送钓鱼欺诈邮件，声称这是新认证程序的一部分。

马斯克最近宣布，作为Twitter的新主人，他的首要任务之一是改革验证程序。据报道，这将涉及使Twitter Blue – 每月4.99美元的可选订阅为用户提供额外的功能现在变得更加昂贵，那些已经验证的用户将有90天的时间来订阅，否则将失去他们的验证身份。

据报道，这位世界首富给了从事该项目工作的Twitter工程师11月7日之前推出该项目。如果这个期限没有得到满足，这些员工将被解雇。

而网络骗徒则已经试图利用这一变化，向已验证的用户发送钓鱼邮件，声称他们将不必通过确认他们是一个”知名”人士而为他们的蓝色复选标记付费。

欺诈邮件其实并不算高明，多处纰漏暴露了它是钓鱼诈骗。除了不专业的措辞和风格外，它来自[email protected]的邮件地址甚至都不是Twitter的官方域名。不过，邮件发得多了无疑会有一些人上当受骗。

点击欺诈邮件当中的”提供信息”按钮会将人们带到一个Google文档页面，它包含一个Google网站的链接，该网站允许用户托管网络内容，它很可能是为了试图避开Google的网络钓鱼检测工具。这个页面包含一个来自另一个网站的嵌入式框架，用户被要求提交他们的账户用户名、密码和电话号码。

即使有人启用了双因素认证并避免了他们的账户被泄露，他们仍然泄露了个人数据，包括他们可能在其他网站重复使用的密码。

Google关闭了这个钓鱼网站。但是，随着马斯克继续在Twitter上实施改革，预计会看到更多这种类型的骗局重复出现。

信源：https://www.toutiao.com/article/7161037825914176011/

云存储公司Dropbox的源代码和个人信息被盗；

标签：Dropbox，源代码，用户信息泄露

Dropbox公司披露称数据遭泄露，恶意人员获得对员工和客户某些源代码和个人信息的访问权限。

该文件托管巨头表示，10月14日，GitHub 向其发出警报，从而发现该泄露事件。几周前，GitHub 提醒称，其某些用户遭假冒持续集成和持续交付平台 CirecleCI的钓鱼攻击，凭据和双因素认证代码遭窃取。

Dropbox也遭受类似攻击。黑客向多个员工发送钓鱼邮件，将员工定向到虚假的CircleCI网站，从而窃取了员工的凭据和多因素认证一次性密码。这起攻击获得成功，黑客设法访问了Dropbox 的一个GitHub 组织机构，从而复制了130个代码仓库。

Dropbox 公司提到，“这些仓库中包括我们稍作修改后使用的第三方库副本、内部原型和安全团队使用的一些工具和配置文件。不过很重要的一点是，其中并不包括核心应用或基础设施的代码。访问这些仓库的限制更大且控制更严格。”

Dropbox公司表示，虽然攻击者并未获得对Dropbox 账户的访问权限、用户密码或支付信息，但遭暴露的源代码中确实包含开发人员使用的某些凭据。另外，被暴露的文件中还包括Dropbox 员工、之前和当前客户、厂商和销售主管的“数千个”姓名和邮件地址。

Dropbox 公司表示，黑客钓鱼员工硬件认证密钥生成的一次性密码。一般而言，硬件认证密钥更安全，但该公司承认自己所使用的并非最好，目前正在采用更能防御钓鱼的MFA，即将WebAuthn 与硬件令牌或生物特征因素相结合的密钥。

针对大型企业的勒索攻击并不少见。就在几个月前，Twilio 和 Cloudflare 公司的员工遭钓鱼攻击，而这起攻击攻陷了130多家组织机构。

信源：https://www.securityweek.com/hackers-stole-source-code-personal-data-dropbox-following-phishing-attack