XiaoMi-AI文件搜索系统
World File Search Systemactors
受中华人民共和国政府支持的势力侵入并维持对美国关键基础设施的持续访问
美国编写机构已确认,Volt Typhoon 已破坏了美国大陆和非大陆及其领土(包括关岛)内多个关键基础设施组织的 IT 环境,主要涉及通信、能源、交通系统以及供水和废水系统部门。Volt Typhoon 的目标选择和行为模式与传统的网络间谍或情报收集行动不一致,美国编写机构高度确信,Volt Typhoon 攻击者正在 IT 网络上预先定位自己,以便能够横向移动到 OT 资产以破坏功能。美国编写机构担心,如果发生潜在的地缘政治紧张局势和/或军事冲突,这些攻击者可能会利用其网络访问权限造成破坏性影响。CCCS 评估认为,来自中国国家支持的行为者对加拿大关键基础设施的直接威胁可能低于对美国基础设施的威胁,但如果美国基础设施受到破坏,由于跨境整合,加拿大也可能会受到影响。 ASD 的 ACSC 和 NCSC-NZ 分别评估澳大利亚和新西兰的关键基础设施可能容易受到中国国家支持的行为者的类似活动的攻击。
戈登·帕斯(Gordon Pask)的对话理论和参与者理论的互动:实践研究
引用本文:Tilak,S.,Manning,T.,Glassman,M.,Pangaro,P。,&Scott,B。(2024)。Gordon Pask的对话理论和演员理论的相互作用:实践研究。制定控制论,2(1):第1条。https:// doi。org/10.58695/ec.11
扩展和渗透:中国演员在泰国经济中的影响19时代
Introduction ........................................................................................................................ 1
戈登·帕斯(Gordon Pask)的对话理论和参与者理论的互动:实践研究
引用本文:Tilak,S.,Manning,T.,Glassman,M.,Pangaro,P。,&Scott,B。(2024)。Gordon Pask的对话理论和演员理论的相互作用:实践研究。制定控制论,2(1):第1条。https:// doi。org/10.58695/ec.11
与中国有关联的攻击者入侵路由器和物联网设备,用于僵尸网络运营
被调查的僵尸网络的定制 Mirai 恶意软件是自动入侵各种设备的系统的组件。为了招募新的“机器人”,僵尸网络系统首先使用各种已知漏洞利用之一入侵互联网连接设备(请参阅附录 B:观察到的 CVE)。入侵后,受害设备从远程服务器执行基于 Mirai 的恶意软件负载。执行后,负载启动设备上的进程,使用端口 443 上的传输层安全性 (TLS) 与命令和控制 (C2) 服务器建立连接。这些进程从受感染的设备收集系统信息,包括但不限于操作系统版本和处理器、内存和带宽详细信息,以发送到 C2 服务器进行枚举。该恶意软件还会向“c.speedtest.net”发出请求,可能是为了收集其他互联网连接详细信息。一些恶意软件负载会自我删除以逃避检测。
与中国有关联的攻击者入侵路由器和物联网设备,用于僵尸网络运营
被调查的僵尸网络的定制 Mirai 恶意软件是自动入侵各种设备的系统的组件。为了招募新的“机器人”,僵尸网络系统首先使用各种已知漏洞利用之一入侵互联网连接设备(请参阅附录 B:观察到的 CVE)。入侵后,受害设备从远程服务器执行基于 Mirai 的恶意软件负载。执行后,负载启动设备上的进程,使用端口 443 上的传输层安全性 (TLS) 与命令和控制 (C2) 服务器建立连接。这些进程从受感染的设备收集系统信息,包括但不限于操作系统版本和处理器、内存和带宽详细信息,以发送到 C2 服务器进行枚举。该恶意软件还会向“c.speedtest.net”发出请求,可能是为了收集其他互联网连接详细信息。一些恶意软件负载会自我删除以逃避检测。
与中国人民共和国与僵尸网络操作的妥协路由器和物联网设备
调查的僵尸网络的自定义Mirai恶意软件是自动化各种设备妥协的系统的一个组件。要招募一个新的“ bot”,僵尸网络系统首先使用各种已知漏洞漏洞之一损害了与Internet连接的设备(请参阅附录B:观察到的CVES)。副业后,受害设备从远程服务器执行基于Mirai的恶意软件有效载荷。执行后,有效负载将在设备上启动进程,以使用端口443上的传输层安全(TLS)建立命令和控件(C2)服务器的连接。这些过程从受感染的设备中收集系统信息,包括但不限于操作系统版本和处理器,内存和带宽详细信息,以发送到C2服务器的目的。恶意软件还向“ c.speedtest.net”提出请求,可能会收集其他Internet连接详细信息。某些恶意软件有效载荷是自损坏以逃避检测。
中华人民共和国国家支持的网络攻击者利用网络提供商和设备
获得 RADIUS 服务器凭证后,中华人民共和国政府支持的网络攻击者使用这些凭证和自定义自动脚本通过安全外壳 (SSH) 向路由器进行身份验证,执行路由器命令并保存输出 [T1119]。这些脚本以 Cisco 和 Juniper 路由器为目标,并保存执行命令的输出,包括每个路由器的当前配置。成功捕获命令输出后,这些配置被从网络泄露到攻击者的基础设施 [TA0010]。网络攻击者可能使用了其他脚本来进一步自动利用中型到大型受害网络(其中有大量路由器和交换机),以收集大量路由器配置,这些配置对于成功操纵网络内的流量是必需的。
威胁参与者在Ivanti Connect Secure and Policy Secure Gateways中利用多个漏洞
基于CISA研究结果的补充,基于授权组织在事件响应活动和可用行业报告中的观察结果,作者建议,网络辩护者最安全的行动方案是假设参与者可能会在设备上部署rootkit级别的持久性,以使其重新安置和休息性的时间,以供量身定期。例如,正如中国国家赞助的参与者妥协并保持对美国关键基础设施的持续访问所述的那样,长期以来,复杂的参与者可能会在妥协的网络上保持沉默。授权组织强烈敦促所有组织在确定是否继续在企业环境中继续操作这些设备时,考虑了对手访问和坚持的对手的重大风险。
中东和北非地区的混合威胁活动:国家和非国家行为者寻求地位和扩大影响力
伊朗也是一个混合威胁行为体,尤其是在中东,因此第四个案例研究转向伊朗在地中海的战略目标,特别是在黎巴嫩。它认为,自 1980 年代的两伊战争以来,德黑兰就决心“不再孤单”。最近,这表现为其扩张主义目标,即重塑中东以保住利益。实现这一目标的主要方法是使用“真主党模式”:设计和管理伊拉克、叙利亚、也门等国的什叶派武装组织。特别是通过真主党,伊朗可以同时展示实力并威慑对手,同时保持合理的否认。作为其中的一部分,真主党还向黎巴嫩什叶派提供文化和社会福利服务并传播宣传,试图利用软实力影响黎巴嫩政治。