MITRE 宣布嵌入式设备 EMB3D 网络宁静威胁模型

首页 > 宁静研究 > 宁静通报 > 宁静简讯

MITRE 宣布嵌入式设备 EMB3D 网络宁静威胁模型

宣布时间 2024-05-15

1. MITRE 宣布嵌入式设备 EMB3D 网络宁静威胁模型

5月14日，MITRE 与 Red Balloon Security、Narf Industries 和 Niyo Little Thunder Pearson (ONEGas, Inc.) 合作推出了 EMB3D，这是一种全面的威胁模型，旨在解决要害基础设施领域嵌入式设备面临的日益增长的网络宁静风险。嵌入式设备广泛应用于石油和天然气、电力、水管理、汽车、医疗、卫星、自主系统和无人机系统等行业，但往往缺乏适当的宁静控制，而且没有对漏洞进行充实的测试。随着庞大的网络对手越来越多地针对这些设备，EMB3D 旨在提供对所组成威胁的配合理解以及缓解这些威胁所需的宁静机制。EMB3D 与常见弱点枚举 (CWE)、MITRE ATT&CK?以及常见漏洞和袒露 (CVE) 等现有模型保持一致并进行扩展，但特别关注嵌入式设备。该框架提供了嵌入式设备网络威胁的富厚知识库，包罗在现场环境中视察到的、通过看法验证证明的或从理论研究中得出的威胁。

https://gbhackers.com/emb3d-cybersecurity-threat-model/

2. 研究团队发现Sliver瞄准macOS并安装后门

5月13日，Sliver 是一款跨平台（Windows、macOS、Linux）开源反抗框架测试套件，专为“红队”操作而设计，在测试网络防御时模拟对手的行为。其主要功效包罗自界说植入生成、命令和控制 (C2) 功效、后利用工具/脚本以及富厚的攻击模拟选项。在 Phylum 发现的最新攻击中，攻击始于一个名为“requests-darwin-lite”的 macOS 恶意 Python 包，它是流行的“requests”库的良性分支。该包托管在 PyPI 上，在带有 Requests 徽标的 17MB PNG 图像文件中包罗 Sliver 的二进制文件。在 macOS 系统上安装期间，会执行 PyInstall 类来解码 Base64 编码的字符串，以运行检索系统的 UUID（通用唯一标识符）的命令 (ioreg)。UUID 用于验证包是否安装在实际目标上，并将其与预界说的 UUID 进行比力。当存在匹配时，会从文件偏移处的特定部门读取并提取 PNG 文件内的 Go 二进制文件。Sliver 二进制文件被写入当地文件并修改文件权限以使其可执行，并最终在后台启动。

https://www.bleepingcomputer.com/news/security/pypi-package-backdoors-macs-using-the-sliver-pen-testing-suite/

3. INC 勒索软件源代码在黑客论坛上售价 30 万美元

5月13日，一名名为“salfetka”的网络犯罪分子声称正在出售 INC Ransom 的源代码，INC Ransom 是一项于 2023 年 8 月推出的勒索软件即服务 (RaaS) 。INC 此前的目标是施乐商业解决方案公司 (XBS) 的美国分部、菲律宾雅马哈汽车公司，以及最近的苏格兰国家医疗服务体系 (NHS)。在涉嫌出售的同时，INC 赎金业务正在发生变化，这可能表明其核心团队成员之间存在裂痕，或者计划进入涉及使用新加密器的新篇章。威胁行为者宣布在 Exploit 和 XSS 黑客论坛上出售 INC 的 Windows 和 Linux/ESXi 版本，要价 30 万美元，并将潜在买家数量限制为三个。凭据发现此次销售的 KELA威胁情报专家向 BleepingComputer 提供的信息，论坛帖子中提到的技术细节，例如在 CTR 模式下使用 AES-128 和 Curve25519 Donna 算法，与 INC Ransom 的果然分析一致样品。

https://www.bleepingcomputer.com/news/security/inc-ransomware-source-code-selling-on-hacking-forums-for-300-000/

4. 谷歌意外删除了价值1250亿美元的养老基金账户

5月13日，谷歌最近犯了一个大错误。该公司不小心删除了价值 1250 亿美元的澳大利亚养老基金 UniSuper 的私人 Google Cloud 账户。结果是：据《卫报》上周报道，凌驾 50 万 UniSuper 基金会员在约莫一周的时间里无法访问自己的账户。UniSuper在另一家云提供商有一个备份帐户，服务于5月2日恢复。虽然谷歌体现，这种错误以前从未在云上发生过，但泛起故障和中断的可能性引起了越来越多地将数据转移到云软件提供商的公司和政府的担忧。该公司今年体现，全球 1000 家最大公司中约60% 的公司和 90% 的生成型人工智能独角兽公司都是该公司的客户。全球近 50 万家公司使用 Google Cloud 作为“平台即服务”或面向客户的工具，其中包罗公共汽车和加拿大皇家银行。

https://qz.com/google-cloud-pension-fund-unisuper-1851472990

5. LockBit Black 勒索攻击活动已发送数百万封电子邮件

5月13日，自 4 月份以来，已通过 Phorpiex 僵尸网络发送了数百万封钓鱼电子邮件，以开展大规模的 LockBit Black 勒索软件活动。正如新泽西州网络宁静和通信集成小组 (NJCCIC) 周五警告的那样，攻击者使用包罗部署 LockBit Black 有效负载的可执行文件的 ZIP 附件，该有效负载一旦启动就会对接收者的系统进行加密。这些攻击中部署的 LockBit Black 加密器很可能是使用一名心怀不满的开发人员于 2022 年 9 月在 Twitter 上泄露的 LockBit 3.0 构建器构建的。不外，据信该活动与实际的 LockBit 勒索软件操作没有任何关系。这些网络钓鱼电子邮件带有“您的文档”和“您的照片？？？”主题行使用“Jenny Brown”或“Jenny Green”别名从全球 1,500 多个唯一 IP 地址发送，其中包罗哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯和中国。当收件人打开恶意 ZIP 存档附件并执行其中的二进制文件时，攻击链就开始了。

https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/

6. 黑客利用 DNS 隧道进行网络扫描和跟踪受害者

5月14日，威胁行为者正在使用域名系统 (DNS) 隧道来跟踪其目标何时打开网络钓鱼电子邮件并单击恶意链接，并扫描网络以查找潜在漏洞。DNS 隧道是对通过 DNS 查询发送和检索的数据或命令进行编码，本质上是将 DNS（基本网络通信组件）转变为隐蔽的通信通道。威胁行为者以种种方式对数据进行编码，例如 Base16 或 Base64 或自界说文本编码算法，因此可以在查询 DNS 记录（例如 TXT、MX、CNAME 和地址记录）时返回它们。黑客通常使用 DNS 隧道来绕过网络防火墙和过滤器，利用该技术进行命令和控制 (C2) 以及虚拟专用网络 (VPN) 操作�；褂泻戏ǖ� DNS 隧道应用法式，例如用于绕过审查制度。最近发现的两个攻击活动分别是TrkCdn和SecShow。

https://www.bleepingcomputer.com/news/security/hackers-use-dns-tunneling-for-network-scanning-tracking-victims/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究