MITRE 颁布嵌入式设备 EMB3D 网络安全威胁模型

首页 > 安全钻研 > 安全传递 > 安全简讯

MITRE 颁布嵌入式设备 EMB3D 网络安全威胁模型

颁布功夫 2024-05-15

1. MITRE 颁布嵌入式设备 EMB3D 网络安全威胁模型

5月14日，MITRE 与 Red Balloon Security、Narf Industries 和 Niyo Little Thunder Pearson (ONEGas, Inc.) 合作推出了 EMB3D，这是一种全面的威胁模型，旨在解决关键基础设施领域嵌入式设备面对的日益增长的网络安全风险。嵌入式设备宽泛利用于石油和天然气、电力、水治理、汽车、医疗、卫星、自主系统和无人机系统等行业，但往往不足适当的安全节造，并且没有对缝隙进行充分的测试。随着复杂的网络敌手越来越多地针对这些设备，EMB3D 旨在提供对所组成威胁的共同理解以及缓解这些威胁所需的安全机造。EMB3D 与常见弱点枚举 (CWE)、MITRE ATT&CK?以及常见缝隙和露出 (CVE) 等现有模型维持一致并进行扩大，但出格关注嵌入式设备。该框架提供了嵌入式设备网络威胁的丰硕知识库，蕴含在现场环境中观察到的、通过概想验证证明的或从理论钻研中得出的威胁。

https://gbhackers.com/emb3d-cybersecurity-threat-model/

2. 钻研团队发现Sliver对准macOS并装置后门

5月13日，Sliver 是一款跨平台（Windows、macOS、Linux）开源匹敌框架测试套件，专为“红队”操作而设计，在测试网络防御时仿照敌手的行为。其重要职能蕴含自界说植入天生、号令和节造 (C2) 职能、后利用工具/剧本以及丰硕的攻击仿照选项。在 Phylum 发现的最新攻击中，攻击始于一个名为“requests-darwin-lite”的 macOS 恶意 Python 包，它是盛行的“requests”库的良性分支。该包托管在 PyPI 上，在带有 Requests 徽标的 17MB PNG 图像文件中蕴含 Sliver 的二进造文件。在 macOS 系统上装置期间，会执行 PyInstall 类来解码 Base64 编码的字符串，以运行检索系统的 UUID（通用唯一标识符）的号令 (ioreg)。UUID 用于验证包是否装置在现实指标上，并将其与预约义的 UUID 进行比力。当存在匹配时，会从文件偏移处的特定部门读取并提取 PNG 文件内的 Go 二进造文件。Sliver 二进造文件被写入本地文件并批改文件权限以使其可执行，并最终在后盾启动。

https://www.bleepingcomputer.com/news/security/pypi-package-backdoors-macs-using-the-sliver-pen-testing-suite/

3. INC 勒索软件源代码在黑客论坛上售价 30 万美元

5月13日，一名名为“salfetka”的网络犯罪分子宣称在销售 INC Ransom 的源代码，INC Ransom 是一项于 2023 年 8 月推出的勒索软件即服务 (RaaS) 。INC 此前的指标是施乐贸易解决规划公司 (XBS) 的美国分部、菲律宾雅马哈汽车公司，以及最近的苏格兰国度医疗服务系统 (NHS)。在涉嫌销售的同时，INC 赎金业务在产生变动，这可能批注其主题团队成员之间存在裂缝，或者打算进入涉及使用新加密器的新篇章。威胁行为者颁发在 Exploit 和 XSS 黑客论坛上销售 INC 的 Windows 和 Linux/ESXi 版本，要价 30 万美元，并将潜在买家数量限度为三个。凭据发现这次销售的 KELA威胁谍报专家向 BleepingComputer 提供的信息，论坛帖子中提到的技术细节，例如在 CTR 模式下使用 AES-128 和 Curve25519 Donna 算法，与 INC Ransom 的公开分析一致样品。

https://www.bleepingcomputer.com/news/security/inc-ransomware-source-code-selling-on-hacking-forums-for-300-000/

4. 谷歌意表删除了价值1250亿美元的养老基金账户

5月13日，谷歌最近犯了一个大谬误。该公司不幼心删除了价值 1250 亿美元的澳大利亚养老基金 UniSuper 的个人 Google Cloud 账户。了局是：据《卫报》上周报路，超过 50 万 UniSuper 基金会员在约莫一周的功夫里无法接见自己的账户。UniSuper在另一家云提供商有一个备份帐户，服务于5月2日复原。固然谷歌暗示，这种谬误以前从未在云上产生过，但出现故障和中断的可能性引起了越来越多地将数据转移到云软件提供商的公司和当局的忧郁。该公司今年暗示，全球 1000 家最大公司中约60% 的公司和 90% 的天生型人为智能独角兽公司都是该公司的客户。全球近 50 万家公司使用 Google Cloud 作为“平台即服务”或面向客户的工具，其中蕴含公共汽车和加拿大皇家银行。

https://qz.com/google-cloud-pension-fund-unisuper-1851472990

5. LockBit Black 勒索攻击活动已发送数百万封电子邮件

5月13日，自 4 月份以来，已通过 Phorpiex 僵尸网络发送了数百万封垂钓电子邮件，以发展大规模的 LockBit Black 勒索软件活动。正如新泽西州网络安全和通讯集成幼组 (NJCCIC) 周五忠告的那样，攻击者使用蕴含部署 LockBit Black 有效负载的可执行文件的 ZIP 附件，该有效负载一旦启动就会对接管者的系统进行加密。这些攻击中部署的 LockBit Black 加密器很可能是使用一名心怀不满的开发人员于 2022 年 9 月在 Twitter 上泄露的 LockBit 3.0 构建器构建的。不外，据信该活动与现实的 LockBit 勒索软件操作没有任何干系。这些网络垂钓电子邮件带佑装您的文档”和“您的照片？？？”主题行使用“Jenny Brown”或“Jenny Green”别号从全球 1,500 多个唯一 IP 地址发送，其中蕴含哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯和中国。当收件人打开恶意 ZIP 存档附件并执行其中的二进造文件时，攻击链就起头了。

https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/

6. 黑客利用 DNS 隧路进行网络扫描和跟踪受害者

5月14日，威胁行为者在使用域名系统 (DNS) 隧路来跟踪其指标何时打开网络垂钓电子邮件并单击恶意链接，并扫描网络以查找潜在缝隙。DNS 隧路是对通过 DNS 查问发送和检索的数据或号令进行编码，性质上是将 DNS（根基网络通讯组件）转变为荫蔽的通讯通路。威胁行为者以各类方式对数据进行编码，例如 Base16 或 Base64 或自界说文本编码算法，因而能够在查问 DNS 纪录（例如 TXT、MX、CNAME 和地址纪录）时返回它们。黑客通常使用 DNS 隧路来绕过网络防火墙和过滤器，利用该技术进行号令和节造 (C2) 以及虚构专用网络 (VPN) 操作�；褂泻戏ǖ� DNS 隧路利用法式，例如用于绕过审查造度。最近发现的两个攻击活动别离是TrkCdn和SecShow。

https://www.bleepingcomputer.com/news/security/hackers-use-dns-tunneling-for-network-scanning-tracking-victims/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研