关键信息基础设施安全动态周报【2022年第33期】
发布时间:
2022-08-28
来源:
作者:
访问量:
117
目 录
第一章 国外关键信息基础设施安全动态
(一)希腊天然气运营商DESFA遭受勒索软件攻击
(二)乌克兰国有核电运营商遭受网络攻击
(三)老旧漏洞成为OT扫描活动目标
(四)Linux内核漏洞DirtyCred可提升系统权限
(五)ETHERLED攻击方法可利用LED从气隙系统窃取数据
(六)Vmware修复权限提升漏洞
(七)GAIROSCOPE攻击方法利用超声波从气隙系统泄漏数据
(八)Grandoreiro木马针对化工制造业组织
(九)白帽黑客可控制退役卫星并播放黑客电影
(十)爱沙尼亚遭受俄罗斯黑客组织Killnet网络攻击
(十一)黑客组织TA攻击酒店和旅游组织窃取敏感数据
(十二)调查发现网络战与地缘政治存在根本联系
第一章 国外关键信息基础设施安全动态
(一)希腊天然气运营商DESFA遭受勒索软件攻击
希腊最大的天然气经销商DESFA证实,其遭受了网络攻击造成了有限范围内的数据泄露和IT系统中断。DESFA停用了许多在线服务,以保护客户数据,相关服务正在逐步恢复正常运行。该事件不会影响天然气供应,所有输入和输出点均以正常容量运行。
黑客试图渗透DESFA的网络,但由于其IT团队的快速反应,攻击受到阻止。网络入侵的范围是有限的,一些文件和数据被访问并可能泄露。
对此DESFA在8月20日周六发布声明表示,DESFA的部分IT基础设施遭到了网络犯罪分子的网络攻击,攻击者试图非法访问电子数据,对某些系统的可用性造成了一定影响,并且可能会泄露一些目录和文件。
DESFA已设法确保并继续以安全可靠的方式运行国家天然气系统(NNGS)。NNGS的管理继续顺利运行,DESFA继续安全、充足地向该国所有出入境点供应天然气。
DESFA正在调查攻击的根本原因,已经动员了几位技术专家来帮助解决该问题,以及尽快让系统恢复正常运行。为了保护客户和合作伙伴,DESFA主动停用了大部分IT服务,现在正在逐步将IT系统恢复到正常运行。
DESFA已通知了所有相关当局和组织,并继续与数字治理部、希腊数据保护局、希腊警察网络犯罪部门、希腊国防总参谋部、以及环境与能源监管局密切合作,以解决此问题并尽量减少任何可能的影响。DESFA坚持不与网络犯罪分子进行交流,不会就赎金支付进行谈判。
DESFA是希腊的天然气输送系统运营商,成立于2007年3月30日,是DEPA的子公司。除了传输系统,该公司还经营希腊的天然气配送网络以及Revithoussa液化天然气。
8月19日周五,Ragnar Locker勒索软件组织在其暗网数据泄露网站上泄露了DESFA的数据样本及被盗数据列表,证实了此次攻击。泄露的数据样本不包含机密信息。
Ragnar Locker在其暗网上表示,DESFA的系统中存在多个安全漏洞,会导致公司的敏感数据受到损害。Ragnar Locker已将此类漏洞通知了DESFA,然而并没有收到回应。因此Ragnar Locker发布了从DESFA网络下载的数据列表,并威胁声称,如果DESFA没有在规定时间内采取行动,也没有联系威胁行为者以解决安全问题,将发布文件列表中包含的所有文件。
Ragnar Locker自2019年12月开始运营,针对葡萄牙能源公司EDP、日本游戏开发商Capcom、中国台湾内存制造商ADATA等进行了多次攻击。Ragnar Locker在2022年仍然保持活跃,尽管活动频率与过去相比有所下降。
此次攻击发生在欧洲天然气供应商的艰难时刻,欧洲大陆所有国家都决定突然减少对俄罗斯天然气的依赖,这不可避免将产生问题。预计即将到来的冬季将受到短缺、停电、配给和能源价格飙升的困扰,使消费者更容易受到针对天然气供应商的勒索软件攻击。
参考来源:DESFA http://985.so/buxd9
(二)乌克兰国有核电运营商遭受网络攻击
乌克兰国家核电公司Energoatom表示,俄罗斯黑客对其网站发起了重大网络攻击,长达三个小时,但并未造成重大影响。
Energoatom在声明中表示,“俄罗斯组织People’s Cyber Army利用725万机器人用户进行了网络攻击,这些用户模拟了公司主页的数亿次浏览。这并没有对Energoatom网站的运营产生重大影响。”
Energoatom表示,俄罗斯组织Popular Cyber Army使用机器人攻击该网站三个小时,但这次攻击“并未对Energoatom网站的工作产生重大影响”。
一个名为Popular Cyber Army的Telegram频道呼吁其追随者攻击乌克兰核运营商的网站。但到了周二晚上,宣布计划改变,将支持者转向一个新的目标,乌克兰国家纪念研究所,该研究所的网站运行变得缓慢。
网络攻击发生之际,乌克兰南部的扎波罗热发电厂局势紧张,俄罗斯军队在进入乌克兰后不久在3月份就占领了该发电厂。
俄罗斯和乌克兰互相指责对方炮击了欧洲最大的核设施,引发了对核事故的担忧。在俄乌冲突2月24日开始之前,乌克兰依靠四个核电站为其提供大约一半的电力供应。
1986年乌克兰发生了世界上最严重的核事故,当时切尔诺贝利核电站的四号反应堆发生爆炸。该电站的其他三座反应堆相继关闭,最近一次关闭是在2000年。
在俄乌冲突开始的第一天,俄罗斯军队就占领了切尔诺贝利核电站,并在该核电站周围的高放射性禁区内占领了长达数周之久。
参考来源:ALJAZEERA http://985.so/bu18y
(三)老旧漏洞成为OT扫描活动目标
IBM的X-Force研究部门发布报告表示,老旧且不显眼的漏洞通常成为影响工业产品的具有OT环境的组织的扫描活动目标。制造业仍然是最受攻击的行业,网络钓鱼仍然是主要的初始感染媒介,垃圾邮件、RAT和勒索软件是最常见的攻击类型。
IBM还查看了漏洞扫描活动,发现占扫描比例超过80%的前两种方法是端口扫描和Shodan扫描。大部分扫描似乎是不分青红皂白的,似乎并不是专门针对具有OT环境的组织。然而,对来自OT相关行业的攻击警报的分析表明,最常见的目标漏洞是CVE-2016-4510,是Trihedral VTScada SCADA软件的WAP接口中的一个漏洞,允许远程攻击者绕过身份验证并读取任意文件。
攻击者通常扫描的其他漏洞包括CVE-2021-21801、CVE-2021-21802和CVE-2021-21803,这些漏洞是影响研华R-SeeNet路由器监控软件的跨站点脚本(XSS)问题,以及CVE-2018-12634,是影响Circontrol用于电动汽车充电站的CirCarLife SCADA软件的凭证披露漏洞。
虽然这些漏洞通常是扫描活动的目标,但并未引起注意,而且似乎也没有任何公开报告描述在野外被利用。
IBM Security X-Force战略网络威胁分析师Mike Worley表示,其网络攻击数据并不表明这些漏洞已被广泛利用,并重申这些漏洞似乎是广泛的漏洞扫描工作的一部分,而不是必然针对OT环境。
虽然IBM没有看到任何成功利用客户环境中的漏洞,但Worley警告称,如果目标环境存在这些安全漏洞,最终可能会被利用。
卡巴斯基的Kirill Kruglov表示,根据其威胁情报和事件响应数据,上述漏洞均未在野外被利用,但并不排除将来会在攻击中利用这些漏洞。
Claroty研究副总裁Amir Preminger表示,该公司也不知道有任何积极的利用,但指出,上述漏洞的主要共同主题是它们易于实施,并且是基于Web的漏洞,也很容易扫描。
Digital Shadows网络威胁情报分析师Roman Faithfull表示,一些攻击者可能会使用漏洞扫描工具和Metasploit模块来扫描大量漏洞,而不是专门扫描这些漏洞。然而他认为,虽然攻击者实际上有可能在扫描过程中发现这些漏洞,但可能不希望或没有能力利用这些漏洞。
Nozomi Networks的OT网络安全策略师Danielle Jablanski研究了IBM报告中提到的漏洞,并指出了它们的局限性。例如,Trihedral漏洞影响了在2016年披露时仅被一小部分VTScada用户使用的传统功能。在Advantech漏洞的情况下,攻击者可以扫描其存在,但实际利用XSS漏洞需要几个步骤,包括用户点击链接。Jablanski指出,至于CirCarLife漏洞,对完整性和可用性没有影响。
Jablanski表示,“我们知道,特定于OT的攻击有时可能是机会主义的,试图复制和粘贴可重复的策略、技术和代码,以低成本产生任何影响。然而在OT网络中,重复使用或自动化攻击的机会较少。定制化程度更高、可重复性更低的高度定制技术需要更多资源和侦察,并且不太可能用于广泛的扫描和探测。”
Radiflow首席执行官Ilan Barda指出,IBM的数据显示OT攻击尝试的增加,与该公司在该领域所看到的一致。Barda还确认,这些特定漏洞似乎并未被成功利用,但指出,他知道有类似产品被针对和利用。
虽然Barda不知道专门针对Advantech R-SeeNet网关的攻击,但这是一个非常流行的远程工业站点网关,Radiflow已经看到通过这些类型的网关对此类站点进行多次攻击尝试。
关于电动汽车充电系统中使用的CirCarLife SCADA产品,Barda表示,他们已经看到对充电系统网络的攻击,这些网络正在迅速部署,并且在许多情况下,没有适当的安全设计。
虽然目前可能不会在实际攻击中利用Trihedral漏洞,但在2016年发现的另一个Trihedral VTScada漏洞CVE-2016-4523可用于下载任意文件或使服务器崩溃,该漏洞已列在CISA的已知利用漏洞目录。
Barda表示,“这些CVE相当老旧,与我们在OT网络中看到的情况一致,由于操作限制,修补工作并不频繁。这是我们从客户那里听到的主要担忧,我们收到了许多漏洞的报告,但由于运营团队的反对,我们无法修补所有内容。”
参考来源:SecurityWeek http://985.so/bu5uw
(四)Linux内核漏洞DirtyCred可提升系统权限
美国西北大学研究人员发现了一个存在长达8年之久的Linux内核漏洞,名为DirtyCred。该漏洞编号为CVE-2022-2588,可被利用来提升权限,还可能导致容器逃逸。该漏洞和Dirty Pipe漏洞类似,一样令人讨厌。
在Linux内核的cls_route filter实现中,该漏洞是释放后使用,因为旧的过滤器在释放之前没有从哈希表中删除。具有CAP_NET_ADMIN功能的本地用户可以利用此问题,并可能导致系统崩溃或任意代码执行。
美国西北大学博士生Zhenpeng Lin和Yuhang Wu以及副教授Xinyu Xing在黑帽会议上披露了该漏洞,并表示该漏洞类似于影响Linux内核版本5.8及更高版本的Dirty Pipe漏洞CVE-2022-0847。
Dirty Pipe漏洞之所以享有盛名,是因为该漏洞很容易被利用,尽管有内核地址随机化和指针完整性检查等保护措施,再加上该漏洞可以在不修改所有受影响的内核版本的情况下被利用。
研究人员表示,DirtyCred的利用方法超越了Dirty Pipe的限制,可使用Linux内核的管道机制将数据注入任意文件。“我们认为,我们的新利用方法不仅比Dirty Pipe更通用,而且更强大。首先,这种利用方法不是绑定到特定的漏洞,而是允许任何具有双重释放能力的漏洞表现出类似Dirty Pipe的能力。”
新的攻击依赖于类似Dirty Pipe的能力来覆盖具有读取权限的任何文件,以提升系统的权限。“DirtyCred是一个内核利用概念,它将非特权内核凭证与特权凭证交换,以提升特权。DirtyCred没有覆盖内核堆上的任何关键数据字段,而是滥用堆内存重用机制来获得特权。虽然这个概念很简单,但它是有效的。”
研究人员表示,基本上,攻击者需要释放内存中正在使用的非特权凭证,将特权凭证分配给空闲插槽,然后以特权用户身份操作,这将需要稳定文件利用。
DirtyCred漏洞利用无需对不同内核和架构进行修改即可运行,并且目前还没有可用的缓解措施,研究人员在Linux和Android上都展示了漏洞利用。针对DirtyCred的一种可能防御措施是将特权凭证与虚拟内存中的非特权凭证隔离开来。
DirtyCred和DirtyPipe类似于Dirty Cow漏洞CVE-2016-5195,这是一个Linux内核漏洞,允许本地攻击者通过修改现有的setuid文件来提升权限。
参考来源:SecurityWeek http://985.so/bu5x0
(五)ETHERLED攻击方法可利用LED从气隙系统窃取数据
以色列内盖夫本古里安大学研究人员发表论文称,其新发现了一种攻击方法,称为ETHERLED,该方法可用于使用各种网络设备的LED从气隙系统中默默地窃取数据。这种攻击方法依赖于连接到PC、服务器、打印机、网络摄像机和嵌入式控制器等设备的集成网络接口控制器(NIC)的LED。
攻击场景假设攻击者以某种方式设法通过社会工程、恶意内部人员、或供应链攻击获得了对目标气隙设备的访问权限,以植入一个恶意软件,该恶意软件收集敏感数据,并使用隐蔽通道将其泄露给攻击者。
研究人员Mordechai Guri表示,攻击者可以通过依赖以太网LED的闪烁模式或闪烁频率的光信号对敏感信息进行编码和调制,从而传输密码、加密密钥甚至文本文件等敏感信息。
NIC通常有两个LED,一个通常为绿色的活动LED,和一个根据链路速度在绿色和琥珀色之间变化的状态LED。例如对于1Gb连接,状态LED是琥珀色,对于100 Mb连接,状态LED是绿色,对于10 Mb连接,状态LED关闭。
有几种方法可用于控制这些LED,包括通过作为内核驱动程序或在NIC固件中运行的代码。这仅在攻击者具有提升的权限时才有效,但它也提供了最高级别的控制。
攻击者还可以通过使用操作系统命令来控制链路状态LED来更改以太网控制器的链路速度,以使LED变为绿色、琥珀色或关闭。攻击者还可以通过启用或禁用以太网接口来打开或关闭状态LED。
为了传输数据,攻击者可以使用多种调制方式,包括开关键控(OOK)、闪烁频率和颜色调制。使用OOK调制时,如果LED关闭,则发送0位,如果LED开启,则发送1位。当使用闪烁频率变量时,LED以特定频率闪烁表示0,不同频率表示1。此外,每种LED颜色可用于编码不同的位,例如,绿色为1,琥珀色为0。
传输的数据(即闪烁的LED)可以使用各种类型的相机进行记录。Guri进行的实验表明,高清网络摄像头可以记录最远10米的距离,但望远镜可以让攻击者从100米以上的地方捕获数据。三星Galaxy手机的摄像头可用于从最远30米的距离获得数据。
至于数据泄露的速度,取决于所使用的调制类型和用于控制LED的方法。如果链路状态控制与OOK和闪烁频率调制一起使用,则只能窃取1位/秒,但如果使用驱动程序/固件控制方法,则最大位速率会跃升至100位/秒。
如果驱动程序/固件控制与两种LED颜色一起使用,密码可以在1秒内被提取,比特币私钥可以在2.5秒内被泄露。一个1Kb的文本文件可以在不到两分钟的时间内被窃取。
这不是内盖夫本古里安大学的研究人员第一次提出从气隙网络中秘密窃取数据的方法。在过去几年中,该大学的研究人员展示了黑客如何利用RAM生成的Wi-Fi信号、风扇振动、热量排放、HDD LED、红外摄像机、磁场、电源线、路由器LED、扫描仪、屏幕亮度、USB设备、以及硬盘驱动器和风扇的噪音来获取数据。
参考来源:SecurityWeek http://985.so/bu5v7
(六)Vmware修复权限提升漏洞
VMware修复了VMware Tools实用程序套件中影响Windows和Linux平台的本地权限提升漏洞。该漏洞编号为CVE-2022-31676,是一个本地权限提升漏洞,CVSS得分为7.0,攻击者可利用该漏洞来提升虚拟机中root用户的权限。
VMware表示,“VMware Tools受到本地提权漏洞的影响,对访客操作系统具有本地非管理访问权限的恶意行为者可以将权限提升为虚拟机中的root用户。”
VMware表示,VMware Tools受到本地权限提升漏洞的影响,估计该漏洞严重程度为高危。VMware Tools是一套软件工具,用于提高虚拟机客户操作系统的性能以及虚拟机本身的资源管理。
该漏洞CVE-2022-31676已在VMware在适用于Windows的12.1.0版本和适用于Linux的10.3.25版本中修补。VMware已发布解决本地权限提升漏洞的更新。
VMware在其部漏洞响应和补救策略网页上附加了一个链接,通过该链接可允许用户和研究人员报告其他漏洞,并查看VMware的最新安全建议。
在美国CISA向所有联邦机构发布紧急指令以缓解两个新的VMware漏洞几个月之后,VMware Tools发布了更新,随后修复了这两个漏洞。
参考来源:GBHackers http://985.so/bu1iy
(七)GAIROSCOPE攻击方法利用超声波从气隙系统泄漏数据
以色列内盖夫本古里安大学著名研究员Mordechai Guri设计了一种攻击方法,名为GAIROSCOPE,使用超声波音调和智能手机陀螺仪从气隙系统中窃取数据。
该攻击要求攻击者事先在气隙系统以及必须位于系统附近的智能手机上安装恶意软件。安装在气隙系统中的恶意软件会在MEMS陀螺仪的共振频率中产生超声波音调,从而在智能手机的陀螺仪内产生微小的机械振荡。频率是听不见的,机械振荡可以解调成二进制信息。
研究人员表示,与麦克风等其他组件不同,智能手机中的陀螺仪被认为是一种安全传感器,无需特定权限,就可从移动应用程序和javascript合法使用。
在Android和iOS中,可能没有视觉指示、通知图标或警告消息,向用户显示应用程序正在使用陀螺仪,就像其他敏感传感器中的指示一样。
研究论文表示,“我们的实验表明,攻击者可以通过扬声器或窥镜隐蔽通道将敏感信息从气隙计算机泄露到几米外的智能手机。”
气隙系统上的恶意软件收集敏感数据,包括密码和加密密钥,并使用频移键控对其进行编码。在频移键控(FSK)中,数据由载波频率的变化来表示。然后恶意软件使用设备的扬声器以听不见的频率传输声音。
在接收端,手机使用设备的陀螺仪接收声音,手机上运行的恶意软件持续对陀螺仪的输出进行采样和处理。当恶意软件检测到使用特定位序列启动的渗透尝试时,会解调和解码数据。然后可以使用手机的互联网连接将泄露的数据发送给攻击者。
研究论文表示,“在渗透阶段,恶意软件使用计算机扬声器产生的共振频率中的隐蔽声波对数据进行编码并将其广播到环境中。附近受感染的智能手机通过陀螺仪监听、检测传输、解调和解码数据,并通过互联网将其传输给攻击者,例如通过Wi-Fi。气隙工作站广播在超声波之上调制的数据,使其共振频率使附近的MEMS陀螺仪振荡。智能手机中的应用程序对陀螺仪进行采样,解调信号,并通过Wi-Fi将解码后的数据传输给攻击者。”
研究人员进行的测试表明,GAIROSCOPE攻击允许在最远8米的距离内实现8位/秒的最大数据传输速率。
研究人员还提供了缓解GAIROSCOPE攻击的对策,例如扬声器消除和阻塞、超声波过滤、信号干扰、信号监控、实施传感器安全、以及将系统保持在由不同半径定义的受限区域中,具体取决于区域分类。
参考来源:SecurityAffairs http://985.so/buvyz
(八)Grandoreiro木马针对化工制造业组织
Zscaler研究人员发现,威胁行为者使用新型银行木马Grandoreiro最近攻击了墨西哥和西班牙语国家的汽车及化工制造业的组织。
至少从2017年开始该恶意软件就一直在野外活跃,并一直在传播。对于西班牙语国家用户而言,该恶意软件仍然是同类中最严重的威胁之一。
2022年6月,新的运动开始,目前仍在进行中,并已部署了新的Grandoreiro恶意软件变种。这个新变种添加了许多新功能,并改进了命令和控制机制,使其更难检测和分析。
攻击目标主要是讲西班牙语的国家,例如墨西哥和西班牙。威胁行为者企图利用该地区的组织,主要针对化学品制造、汽车、民用和工业建筑、机械、以及车队管理服务行业。
恶意软件的主要后门功能包括键盘记录、自动更新旧版本和新版本模块、使用Web注入并限制访问某些网站、命令执行、操作Windows、向受害者浏览器提供特的URL、通过使用DGA在C2中生成域、以及模仿鼠标和键盘的动作。
感染链的第一步是发送声称来自墨西哥城总检察长办公室或西班牙公共部的电子邮件。根据目标不同,主题也不同,主要包括州退款、诉讼变更通知、以及取消按揭贷款。
在这些电子邮件中,受害者被重定向到一个网站,在那里可以下载包含恶意代码的ZIP存档。通过将文件隐藏在PDF文档中,攻击者能够诱骗受害者启动Grandoreiro加载器模块。
从远程HTTP文件服务器获取Delphi有效负载,有效负载以9.2MB大小的压缩ZIP文件的形式下载。一旦从zip文件中提取出来,加载程序就负责执行。当加载器到达阶段时,作为过程的一部分,会收集并向C2发送以下关键数据:系统信息、已安装的防病毒程序列表、加密货币钱包、以及电子银行应用程序。
有一个证书的签名是从华硕窃取的,用于对最终有效负载进行签名。甚至在某些情况下,Grandoreiro会提示受害者解决验证码答案,以便在受感染的系统上运行。为了防止被检测到,恶意软件中添加了一些反分析和检测避免功能,为更隐蔽的行动奠定基础。
参考来源:GBHackers http://985.so/bus51
(九)白帽黑客可控制退役卫星并播放黑客电影
在拉斯维加斯举行的DEF CON黑客大会上,白帽黑客组织Shadytel展示了如何控制地球静止轨道上的卫星。该组织使用了一颗名为Anik F1R的卫星,该卫星于2020年退役。Shadytel成功控制了该卫星,并播放了黑客会议演讲和黑客电影。
该组织授权进行黑客攻击,他们攻击的卫星已经退役,这意味着它将被送往墓地轨道。墓地轨道也称为垃圾轨道,是远离普通运行轨道的轨道,一些卫星在其运行寿命结束时被移入此类轨道,以避免与运行中的航天器和卫星发生碰撞。
该组织成员Karl Koscher解释表示,他们可以使用一个未使用的上行链路设施,其中包括连接卫星的硬件。他们还获得了使用上行链路的许可证,并租用了卫星转发器,该转发器是一个在接收天线和发射天线之间打开通道的单元。
Shadytel白帽组织能够将去年举行的黑客会议ToorCon以及WarGames等黑客电影一起进行播放。Koscher及其组织强调,威胁行为者一旦获得上行链路设施的访问权,就有可能控制退役的卫星进行恶意活动。
Koscher解释表示,很容易找到连接卫星的硬件,该组织使用了一个Hack RF软件定义的无线电外围设备,能够传输或接收从1 MHz到6 GHz的无线电信号。这种软件很便宜,只需300美元左右。
参考来源:SecurityAffairs http://985.so/busuw
(十)爱沙尼亚遭受俄罗斯黑客组织Killnet网络攻击
爱沙尼亚政府8月18日表示,其已挫败了针对公共和私人机构的主要网络攻击,俄罗斯黑客组织Killnet声称对此事件负责。
爱沙尼亚数字化转型副部长Luukas Ilves在推特上表示,“昨天,爱沙尼亚遭受了自2007年以来最广泛的网络攻击,攻击者尝试利用DDoS攻击公共机构和私营部门。攻击没有成功,服务没有中断,E-Estonia已启动并运行。”
E-Estonia是爱沙尼亚政府通过使用电子解决方案促进公民与国家互动的运动。在该计划下创建的电子服务包括电子投票、电子税务、电子商务、电子银行、电子机票、电子学校、互联网大学、电子政务学院、以及一些移动应用程序的发布。
爱沙尼亚计算机应急响应小组负责人Tonu Tammer表示,这些攻击主要针对警察、政府和一家物流公司的网站,但几乎没有造成干扰。
俄罗斯黑客组织Killnet声称对此负责,称其此举是为了报复爱沙尼亚拆除苏联时代的二战纪念碑。爱沙尼亚决定将苏联T-34坦克从纳尔瓦的基座上取下来,并将其转移到爱沙尼亚战争博物馆。纳尔瓦是一个拥有大量俄语少数民族的边境城市。
爱沙尼亚政府指责俄罗斯利用这些纪念碑挑起紧张局势。爱沙尼亚和同为波罗的海国家的拉脱维亚都有大量讲俄语的少数民族,这些少数民族有时与国家政府意见不合。有人担心,莫斯科可能会利用这些分歧来破坏欧盟和北约成员国的稳定。
Killnet组织自3月以来一直活跃,针对意大利、罗马尼亚、摩尔多瓦、捷克共和国、立陶宛、挪威和拉脱维亚等表示支持乌克兰的政府发起DDoS攻击。
参考来源:AFP http://985.so/buq1f
(十一)黑客组织TA攻击酒店和旅游组织窃取敏感数据
Proofpoint研究人员发现,自今年年初以来,黑客组织TA558针对酒店和旅游公司的网络钓鱼活动数量有所增加。
威胁行为者利用了15个不同的恶意软件系列,主要是RAT,旨在执行以下操作:访问目标系统、定期进行监测、窃取关键数据、以及骗取客户钱财。
Proofpoint发现,TA558至少自2018年以来开始活跃,最近的攻击数量有所增加。在因新冠疫情实施限制两年后,旅游业很可能已经恢复。
TA558自2022年开始在其网络钓鱼电子邮件中使用RAR和ISO文件附件,而不是邮件中包含宏文档。TA558还在邮件中嵌入了URL来代替附件。
微软决定在Office中阻止VBA和XL4宏,也促使其他威胁行为者做出了类似的变化。黑客使用宏用于以下目的:加载恶意软件、删除恶意软件、以及安装恶意软件。
在启动感染链的网络钓鱼电子邮件中使用了三种语言,英语、西班牙语和葡萄牙语,大部分是位于北美、西欧、和拉丁美洲的国家。
在电子邮件中,主要主题是在目标组织进行预订。这种类型的电子邮件是以来自知名来源为幌子发送的,例如会议组织者和旅游局代理,收件人很难忽视这些来源。
如果受害者点击消息正文中的URL,将从远程资源接收ISO文件。消息中的URL声称是预订链接,并且附加到消息中。
存档中有一个批处理文件,在执行PowerShell脚本时,该批处理文件将对其进行定位。脚本将创建一个计划任务,以便在脚本运行期间将RAT有效负载保持在受害者的计算机上。涉及在服务器中下载后续有效负载AsyncRAT,以便在执行BAT文件后从PowerShell脚本执行。
今年在大多数情况下,威胁行为者使用了AsyncRAT或Loda有效载荷。在小范围内威胁行为者使用了Revenge RAT、XtremeRAT、CaptureTela、和BluStealer有效载荷。
在今年的一次攻击活动中,没有使用房间预订作为诱饵,而是使用QuickBooks发票。RAT恶意软件会破坏酒店的系统,因此TA558会更深入地进入网络并窃取敏感信息,例如客户敏感个人信息、信用卡详细信息、借记卡详细信息、以及转移预订付款。
2022年7月,葡萄牙里斯本马里诺精品酒店的Booking.com账户遭到黑客入侵,黑客仅用了四天时间就通过酒店被黑客入侵的账户窃取了50万欧元的巨额资金。
参考来源:GBHackers http://985.so/busxa
(十二)调查发现网络战与地缘政治存在根本联系
调查发现,有超过四分之三的安全专业人士认为,世界现在处于永无休止的网络战状态,82%的人认为地缘政治和网络安全有着根本联系。
这些数据来自Sapio为机器身份解决方案提供商Venafi进行的一项调查。该调查尚未公布,但结果在Venafi博客中进行了讨论。
Sapio对美国、英国、法国、德国、比荷卢三国和澳大利亚的1,101名安全决策者进行了调查,近50%的受访者处于最高管理层或更高级别。接受调查的企业员工超过1000人,有24%的员工超过10000人。
与被调查者规模一样大的公司无疑会对任何违规行为进行取证分析。Venafi的安全策略和威胁情报副总裁Kevin Bocek表示,这种分析可能会识别出真正的攻击者,但肯定会表明攻击者的TTP和复杂程度。
在当前的地缘政治气候下,这将导致对攻击是由民族国家发起还是支持民族国家的强烈认识。也就是说,实际上是一种网络战行为。Venafi的调查分析了公司对网络战在当前网络安全中的作用的看法。64%的受访者怀疑他们已成为民族国家攻击的直接目标或受到影响。
人们对网络战的认知度非常高,似乎是由俄乌冲突爆发以及随后西方的谴责和制裁引发的。自冲突开始以来,超过三分之二(68%)的受访者与董事会和高级管理层进行了更多对话。63%的受访者怀疑他们是否会知道自己是否被某个民族国家入侵。
Bocek表示,“网络战已经到来。它看起来不像某些人想象的那样,但安全专业人士明白,任何企业都可能受到民族国家的损害。现实情况是,地缘政治和动能战现在必须为网络安全战略提供信息。”
Venafi预见的危险是,随着更先进的国家或与国家结盟的组织参与这场网络战,攻击的复杂程度将会增加。快速增长的威胁媒介是滥用机器身份。Bocek将SolarWinds和HermeticWiper列为俄罗斯最近的两项国家活动。
Venafi表示,SolarWinds攻击是利用受损机器身份的民族国家攻击规模和范围的一个典型例子。HermeticWiper是另一个例子,使用代码签名来验证恶意软件。
但这场网络战不仅限于俄罗斯。其他传统敌对国家的活动也必须被解读为全球网络战的一部分。尽管迄今为止俄罗斯在很大程度上避免了对西方关键基础设施的直接破坏性攻击,但朝鲜和伊朗却不能如此、
Bocek继续表示,“民族国家的攻击非常复杂,他们经常使用以前从未见过的技术。这使得它们极难防御。由于机器身份经常被用作民族国家攻击中杀伤链的一部分,因此每个组织都需要加强行动。利用机器身份正在成为民族国家攻击者的管用手段。”
参考来源:SecurityWeek http://985.so/bu5nn
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
