关键信息基础设施安全动态周报【2022年第27期】
发布时间:
2022-07-22
来源:
作者:
访问量:
114
目 录
第一章 国外关键信息基础设施安全动态
(一)加拿大电信运营商Rogers发生大规模断网
(二)新型勒索软件0mega针对企业进行双重勒索攻击
(三)新型Linux恶意软件OrBit从设备中窃取数据
(四)OpenSSL修复远程代码执行漏洞
(五)黑客可利用Rolling-PWN漏洞远程解锁多款本田车型
(六)美国国会图书馆遭受DDoS攻击
(七)ENISA发布威胁态势分析方法
(八)黑客利用红队测试工具BRc4逃避检测
(九)Hive勒索软件新变体使用Rust编写
(十)苹果计划推出锁定模式以应对间谍软件
(十一)朝鲜威胁行为者使用Maui勒索软件攻击医疗保健部门
(十二)恶意NPM软件包从应用程序中窃取数据
第一章 国外关键信息基础设施安全动态
(一)加拿大电信运营商Rogers发生大规模断网
加拿大电信运营商Rogers自7月8日起发生了服务中断,导致客户无法拨打电话或连接到互联网、无法处理支付卡交易、以及影响了911紧急服务,给加拿大带来大规模影响。
该事件导致加拿大的网络连接减少了25%,影响了加拿大的银行和金融交易,自动柜员机和信用卡/借记卡交易无法正常工作。对此Rogers首席执行官Tony Staffieri透露是维护更新导致了大规模服务中断。
Staffieri在7月9日声明中表示,“我们现在认为,在我们的核心网络进行维护更新后,我们已经将原因缩小到网络系统故障,这导致我们的一些路由器在周五早上出现故障。我们断开了特定设备的连接,并重定向了流量,这使得我们的网络和服务随着时间的推移恢复在线,因为我们管理的流量恢复到正常水平。”
此次更新是在该公司表示已为绝大多数客户恢复服务之后发布的,其技术团队正在努力让其余客户尽快恢复在线。
Rogers的大规模中断是在7月8日星期五凌晨触发的,在切断移动连接和支付卡交易的访问权限并影响911紧急服务后,导致加拿大大范围中断。
互联网监控组织NetBlocks表示,这次重大的互联网中断影响了加拿大各地的用户,导致整体网络连接减少了25%。
Rogers已确认其网络和系统几乎完全可以运行,并且绝大多数客户的连接已经恢复。
目前Rogers官网横幅警报显示,“大多数客户的服务已经恢复,我们正在努力尽快恢复其余的服务。我们对造成的干扰深表歉意,并感谢您的耐心等待。我们将自动记入所有客户。”
对于受到服务中断影响的人来说,情况更糟的是,Rogers还警告客户注意向受影响用户提供免费信用的诈骗短信。该公司警告表示,“我们知道在7月8日服务中断后,有人发送诈骗短信,声称提供信用额度。我们会主动将信用额度应用到您的账户中,无需采取任何行动。如果您收到可疑短信,请将其转发至7726。”
虽然Rogers没有提供这些恶意短信背后的威胁行为者希望达到什么目的的详细信息,但这些很可能是试图将Rogers的客户重定向到网络钓鱼站点的网络钓鱼邮件。
当打开通过短信网络钓鱼消息收到的链接时,潜在的受害者会被发送到攻击者控制的网站,要求他们输入凭据、个人信息或财务信息以兑换免费积分。另一个可能的结果是,目标被要求安装恶意应用程序,该应用程序将用恶意软件感染他们的设备。
参考来源:BleepingComputer http://985.so/bbsdz
(二)新型勒索软件0mega针对企业进行双重勒索攻击
名为0mega的新勒索软件自2022年5月来已攻击了许多受害者,针对全球范围内的组织进行双重勒索攻击,并要求支付数百万美元的赎金。
目前尚未找到0mega的勒索软件样本,因此没有太多关于文件如何加密的信息。但是该勒索软件会将.0mega扩展名附加到加密文件的名称中,并创建名为DECRYPT-FILES.txt的勒索记录。
这些赎金记录是针对每个受害者定制的,通常包含公司名称,并描述在攻击中被盗的不同类型的数据。此外,一些勒索记录还威胁声称,如果不支付赎金,0mega组织将向商业伙伴和贸易协会披露这次攻击事件。
这些赎金记录包括一个Tor支付谈判网站的链接,其中有一个“支持”聊天,受害者可以用来联系勒索软件组织。要登录该站点,受害者必须上传其赎金记录,其中包括该站点用来识别受害者的唯一Base64编码blob。
与几乎所有以企业为目标的勒索软件操作一样,0mega运行一个专用的数据泄露站点,如果不支付赎金,威胁行为者将使用该站点发布被盗数据。
0mega的泄漏站点目前托管152 GB数据,这些数据是在5月的一次攻击中从一家电子维修公司窃取的。然而,上周又有一名受害者已被移除,这表明该公司可能已经支付了赎金。0mega是一个相对较新的操作,未来可能会看到更多的攻击,因此需要密切关注。
参考来源:BleepingComputer http://985.so/bbpg4
(三)新型Linux恶意软件OrBit从设备中窃取数据
Intezer Labs安全研究人员发现了一个新的Linux恶意软件,名为OrBit,之前完全没有被检测到。该Linux恶意软件正被用于从后门Linux系统中偷偷窃取信息,并感染机器上所有正在运行的进程,通过修改受感染设备上的LD_PRELOAD环境变量,劫持共享库以拦截函数调用。
虽然可以使用两种不同的方法来阻止删除尝试获得持久性,但OrBit在复制到内存中时也可以部署为易失性植入物。OrBit还有各种功能以逃避检测、控制进程行为、通过感染新进程来保持持久性、以及隐藏会暴露其存在的网络活动。例如一旦注入到正在运行的进程中,OrBit就可以通过过滤掉记录的内容来操纵其输出以隐藏其存在的任何痕迹。
Intezer Labs安全研究员Nicole Fishbein解释表示,“该恶意软件实施了先进的规避技术,并通过挂钩关键功能在机器上获得持久性,为威胁行为者提供通过SSH的远程访问能力、获取凭据并记录TTY命令。一旦安装了恶意软件,它将感染机器上运行的所有正在运行的进程,包括新进程。”
尽管OrBit的投放和有效负载组件在首次发现恶意软件时完全未被反病毒引擎检测到,但一些反恶意软件供应商已经更新了他们的产品,以警告客户其存在。
OrBit并不是最近出现的第一个高度规避的Linux恶意软件,能够使用类似的方法来完全入侵和后门设备。
Symbiote还使用LD_PRELOAD指令将自身加载到正在运行的进程中,充当系统范围的寄生虫,并且不留下感染迹象。BPFDoor是另一个最近发现的针对Linux系统的恶意软件,通过使用常见Linux守护程序的名称来伪装自己,这有助于它在五年多的时间里一直未被发现。这两种病毒都使用BPF挂钩功能来监控和操纵网络流量,这有助于隐藏通信通道,使其不被安全工具发现。
第三种Linux恶意软件是一个正在大力开发的名为Syslogk的rootkit,由Avast研究人员上个月公布,它可以将自己的模块强制加载到Linux内核、后门受感染的机器中,并隐藏目录和网络流量以逃避检测。
尽管不是最近针对Linux的第一个或最原始的恶意软件菌株,但OrBit仍然具有与其他威胁不同的功能。Fishbein补充表示,“这种恶意软件从不同的命令和实用程序中窃取信息,并将它们存储在机器上的特定文件中。此外,文件还广泛用于存储数据,这是以前从未见过的。让这个恶意软件特别有趣的是,受害者机器上的库几乎是封闭的挂钩,这使得恶意软件能够在窃取信息和设置SSH后门的同时获得持久性并逃避检测。”
参考来源:BleepingComputer http://985.so/bb3zr
(四)OpenSSL修复远程代码执行漏洞
OpenSSL项目维护者修复了影响其服务器的高危内存损坏漏洞CVE-2022-2274,可能导致远程代码执行攻击。
该漏洞存在于OpenSSL 3.0.4中,可能允许恶意黑客对未修补的SSL/TLS服务器端设备发起远程代码攻击,因此敦促用户升级到OpenSSL 3.0.5。OpenSSL 1.1.1和1.0.2不受此问题影响。
此漏洞使具有2048位私钥的RSA实现在此类机器上不正确,并在计算期间触发内存损坏。远程攻击者可以利用内存损坏在执行计算的同时在机器上执行代码。
项目维护者发布的建议表示,“OpenSSL 3.0.4版本在支持AVX512IFMA指令的X86_64 CPU的RSA实现中引入了一个严重错误。这个问题使得使用2048位私钥的RSA实现在此类机器上不正确,并且在计算过程中会发生内存损坏。由于内存损坏,攻击者可能能够在执行计算的机器上触发远程代码执行。在支持X86_64架构的AVX512IFMA指令的机器上运行的SSL/TLS服务器或其他使用2048位RSA私钥的服务器会受到此问题的影响。”
OpenSSL软件库允许通过计算机网络进行安全通信,以防止窃听或需要识别另一端的一方。OpenSSL包含安全套接字层(SSL)和传输层安全(TLS)协议的开源实现。
该漏洞于2022年6月22日由博士生Xi Ruoyao报告给项目维护者,并开发了补丁。CVE-2022-2274漏洞是在2022年6月21日发布的OpenSSL版本3.0.4中引入的。该漏洞已在OpenSSL 3.0.5版的发布中得到解决,该库用户必须尽快升级其实例。
6月,安全专家Guido Vranken在2022年6月21日发布的OpenSSL3.0.4版本中发现了一个远程内存损坏漏洞。
参考来源:SecurityAffairs http://985.so/bb37d
(五)黑客可利用Rolling-PWN漏洞远程解锁多款本田车型
Star-V实验室研究人员Kevin2600测试发现,在几乎所有本田车型中存在一个名为Rolling-PWN的攻击漏洞,可实现重放攻击,威胁行为者拦截从钥匙扣到汽车的代码,并使用它们来解锁或启动车辆。
远程无钥匙进入系统(RKE)允许远程解锁或启动车辆。研究人员测试了允许远程解锁或启动车辆的远程无钥匙进入系统(RKE),并发现了Rolling-PWN攻击漏洞CVE-2021-46145,影响市场上从2012年到2022年生产的所有本田汽车。任何远程黑客都可以利用此漏洞永久打开车门,或者在最坏的情况下,甚至启动汽车的引擎。
CVE-2021-46145是CVSS得分5.3分的中危漏洞。本田思域2012款车辆中的遥控钥匙子系统允许重放攻击以进行解锁。这与未过期的滚动代码和计数器重新同步有关。
软件定义的无线电允许攻击者通过利用软件定义无线电中的漏洞来捕获车主用来解锁车辆的代码。然后,黑客也可以通过重播该过程来打开汽车。在某些情况下可以观察到30米,可以从该距离执行攻击。
Kevin2600和他的同事使用一种称为滚动代码的方法进入本田模型,以使代码正常工作。因此,每次使用遥控钥匙时,都会向汽车发送一个不同的密码,然后再使用该密码解锁汽车。
理想情况下,这将防止代码在未来被捕获和重用。然而已经发现了一个漏洞,允许研究人员将代码恢复到旧版本,然后通过重用旧代码来打开汽车。
为了测试对不同本田车型的攻击,Kevin2600与他的同事前往本田经销商。访问期间发现有10款本田车型易受攻击。正是出于这个原因,他们认为这次攻击将能够影响到2012年至2022年间生产的所有本田车型。
所有经过测试的易受攻击的本田车型包括:本田思域2012、本田X-RV 2018、本田C-RV 2020、本田雅阁2020、本田奥德赛2020、本田Inspire 2021、本田飞度2022、本田思域2022、本田VE-1 2022、本田微风2022。
在过去几个月里,发生了多起针对现代汽车和其他旨在解锁汽车的攻击事件。此类攻击现在是最常见的攻击形式之一。此外,由于没有留下任何痕迹,因此无法判断是否有人试图利用汽车上的漏洞,也无法判断是否成功。
参考来源:GBHackers http://985.so/bbsez
(六)美国国会图书馆遭受DDoS攻击
美国国会图书馆表示,支持俄罗斯的网络犯罪组织KillNet在7月7日攻击了Congress.gov网络域,导致临时停机时间,短暂影响了公众访问。
KillNet是一个亲俄组织,对世界各地被认为对俄罗斯政府怀有敌意的目标发起了一系列DDoS攻击。该组织在Telegram上发布了一段视频,其中包括一个503错误页面以及乔·拜登总统的图像。该组织在消息中表示,“他们有钱为全世界购买武器,但没有用于他们自己的防御。”
管理该域名的美国国会图书馆发言人在一封电子邮件中表示,该网站遭受了DDoS网络攻击,短暂影响了公众访问。该网站从7月7日晚上9点左右开始“间歇性地受到影响”,晚上11点后恢复正常运行。
发言人表示,“国会图书馆使用现有措施迅速应对攻击,从而将停机时间降至最低。图书馆的网络没有受到威胁,也没有数据因攻击而丢失。”
KillNet是继2月24日俄乌冲突以来出现的几个亲俄网络犯罪组织之一。4月,国土安全部的网络安全和基础设施安全局将该组织列入了一项关于俄罗斯国家支持和对关键基础设施的犯罪网络威胁的警报,作为一系列采取行动支持俄罗斯政府的组织之一,但也有可能出于经济动机。
该组织于3月份攻击了美国康涅狄格州的一个小型机场,此后一直在世界各地追捕目标。在6月的最后一周,该组织与挪威的一系列袭击事件有关,并且还不断袭击立陶宛的目标,因为该国封锁了与加里宁格勒的交通路线,加里宁格勒是位于波罗的海的俄罗斯省份,与立陶宛和波兰接壤。
网络安全公司Mandiant在5月份的一项分析报告中将KillNet列为与其他“黑客活动”组织(例如Kaxnet和RahDit)相同的类别,这些组织开展活动以支持俄罗斯。
参考来源:CyberScoop http://985.so/bbp8h
(七)ENISA发布威胁态势分析方法
欧盟网络安全机构ENISA在7月6日发布了威胁态势分析方法。
政策制定者、风险管理人员和信息安全从业人员需要有关当前威胁形势的最新准确信息,并得到威胁情报的支持。欧盟网络安全机构(ENISA)威胁形势报告自2013年以来每年发布一次。该报告使用公开可用的数据,并提供关于观察到的威胁因素、趋势和攻击媒介的独立观点。
ENISA旨在利用其专业知识并加强这项活动,以便其利益相关者获得相关和及时的信息,用于政策制定、决策和应用安全措施,以及增加专业网络安全社区的知识和信息,或建立对与新技术相关的网络安全挑战的坚实理解。
ENISA网络威胁情报工作的附加价值在于提供有关动态变化的网络威胁形势的最新信息。这些努力支持降低风险、促进态势感知并积极应对未来挑战。
继《2021年ENISA威胁形势报告》修订版之后,ENISA继续进一步改进这一旗舰计划。ENISA旨在通过明确且公开的方法提供支持,就未来的网络安全场景和威胁形势提供有针对性的和一般性的报告、建议、分析和其他行动。
通过建立ENISA网络安全威胁态势(CTL)方法,该机构旨在为横向、主题和行业网络安全威胁态势的透明和系统交付设定基线。
横向威胁态势,例如总体ENISA威胁态势(ETL),旨在全面覆盖广泛的部门和行业。主题威胁态势,例如ENISA供应链威胁态势,专注于特定主题,但涵盖多个领域。行业威胁态势,例如ENISA 5G威胁态势,侧重于特定行业,为特定组成部分或目标群体提供更集中的信息。
认识到系统和方法论地报告威胁形势的重要性,ENISA成立了一个由来自欧洲和国际公共和私营部门实体的专家组成的网络安全威胁形势特设工作组2(CTL WG)。
CTL WG的职责是在设计、更新和审查创建威胁态势的方法方面向ENISA提供建议,包括年度ENISA威胁态势(ETL)报告。工作组使ENISA能够与广泛的利益相关者互动,以收集有关许多相关方面的意见。方法论框架的总体重点包括识别和定义流程、方法、利益相关者和工具,以及从内容上构成网络威胁态势(CTL)的各种元素。
参考来源:SecurityAffairs http://985.so/bbpkx
(八)黑客利用红队测试工具BRc4逃避检测
Palo Alto的Unit 42研究人员发现,有威胁行为者在攻击活动中利用红队模拟工具BRc4来逃避检测。
在常规恶意软件样本分析过程中,Unit 42研究人员发现了新的恶意软件样本,其中包括与红队攻击工具Brute Ratel C4(BRc4)相关的恶意负载,该工具在渗透测试行业中用于模拟对抗攻击。
威胁行为者现在正从Cobalt Strike中撤出,并开始使用新的后利用工具Brute Ratel(商业市场中的红队工具),该工具非常复杂,用于规避反病毒和端点检测和响应检测。
Brute Ratel C4最初是由印度安全工程师Chetan Nayak开发的一种渗透测试工具。通过添加各种红队功能不断构建此工具,并发布了Brute Ratel v0.9.0(Checkmate),被称为迄今为止Brute Ratel的最大版本。
这个最新发布的版本已对大多数行业领先的EDR和防病毒软件进行了测试和逆向工程,以确保最大程度的规避能力。Nayak将此工具声称为红队和对手模拟的定制指挥和控制中心,并被350多个客户使用。
BRc4包含以下功能:SMB和TCP有效负载提供在Slack、Discord、Microsoft Teams等合法网站上编写自定义外部C2通道的功能;内置调试器检测EDR用户态挂钩;能够使EDR和AV隐藏内存瑕疵;即时直接调用Windows系统;通过HTTP、HTTPS、SMB和TCP的DNS出口;LDAP Sentinel提供了丰富的GUI界面来查询对域或林的各种LDAP查询;多个命令和控制通道,多个透视选项,例如SMB、TCP、WMI、WinRM和通过RPC管理远程服务、截屏、x64 shellcode加载器、反射和目标文件加载程序、解码KRB5票证并将其转换为hashcat、修补Windows事件跟踪(ETW)、修补反恶意软件扫描接口(AMSI)、创建Windows系统服务、上传和下载文件、通过CreateFileTransacted创建文件、端口扫描。
名为Roshan_CV.iso的样本文件在Virustotal中没有引起引发危险信号。该文件以简历的形式出现,名为Roshan。双击ISO文件似乎不是恶意文件,会导致一个名为Roshan-Bandara_CV_Dialog的文件,带有一个伪造的MS Word图标。
该文件一旦被用户双击,就会启动并执行,并在受害者的系统上安装Brute Ratel C4。此外,它还包含用户看不到的隐藏文件,一旦研究人员禁用隐藏文件选项,就会弹出四个文件,其中一个是Windows快捷方式文件(LNK)。
这些恶意文件通过鱼叉式网络钓鱼电子邮件活动发送给受害者,或由第二阶段下载器下载给受害者。
Palo Alto研究人员发现,在已删除的隐藏文件列表中,“Version.dll是用C++编写的合法Microsoft文件的修改版本。植入的代码用于加载和解密加密的有效负载文件。解密后的有效载荷是shellcode(x64程序集),进一步用于在主机上执行Brute Ratel C4。进一步分析表明,IP 174.129.157[.]251托管在Amazon AWS上,Palo Alto Networks Cortex Xpanse历史显示,该IP从2022年4月29日到2022年5月23日期间开放了TCP端口443,模拟Microsoft安全的签名SSL证书”。
研究人员怀疑,与端口22、443和8060的连接源自乌克兰IP 213.200.56[.]105,据信该住宅用户正在操作C2基础设施。研究人员还确定了几名疑似受害者,包括一家阿根廷组织、一家提供北美和南美内容的IP电视提供商、以及墨西哥的一家主要纺织品制造商。
参考来源:GBHackers http://985.so/bb34t
(九)Hive勒索软件新变体使用Rust编写
微软研究人员发现,Hive勒索软件新变体从Go语言切换到由Rust语言编写,并采用更复杂的加密方法,改进了文件加密模块。这些升级证明,Hive是网络犯罪生态系统中发展最快的勒索软件系列之一。
微软在文章中表示,“最新变体的升级实际上是一次彻底检修,最显著的变化包括将完整的代码迁移到另一种编程语言,以及使用更复杂的加密方法。这些更新的影响是深远的,考虑到Hive是一个RaaS有效负载,微软在DEV-0237等大型勒索软件附属机构对医疗保健和软件行业组织的攻击中观察到了这种有效负载。”
Hive勒索软件操作自2021年6月以来一直活跃,提供勒索软件即服务RaaS,并采用双重勒索模式,威胁在受害者的泄密站点HiveLeaks上发布从受害者那里窃取的数据。2021年4月,联邦调查局(FBI)发布了关于Hive勒索软件攻击的紧急警报,其中包括与该团伙活动相关的技术细节和危害指标。
根据区块链分析公司Chainalysis发布的报告,Hive勒索软件是2021年收入排名前十的勒索软件之一。该组织使用了多种攻击方法,包括恶意垃圾邮件活动、易受攻击的RDP服务器和泄露的VPN凭据。
微软威胁情报中心(MSTIC)研究人员在分析勒索软件用于投放.key文件的新技术时发现了新变种。Hive勒索软件新变种与旧变种之间的主要区别在于运营商使用的编程语言。旧变体是用Go语言编写的,而新的Hive变体是用Rust编写的。
其他勒索软件系列已将其代码迁移到Rust,例如勒索软件BlackCat。移植到Rust语言具有以下优点:提供内存及数据类型和线程安全、对底层资源有深度控制、具有用户友好的语法、具有多种并发和并行机制,因此可以实现快速安全的文件加密、有各种各样的密码库、逆向工程相对更困难。
最新的Hive变体中最重要的变化是它采用的加密机制。新变种于2022年2月21日首次上传到VirusTotal,就在几天前,韩国国民大学研究人员分享了有关如何解密受Hive勒索软件感染的系统的数据的研究细节。
微软表示,“新变体使用一组不同的算法:ECDH和Curve25519和XChaCha20-Poly1305(使用ChaCha20对称密码的认证加密)。”
新变体在内存中生成两组密钥,使用它们加密文件,然后加密并将这些秘钥写入其加密的驱动器的根目录,两者都具有.key扩展名。相反,旧变体在加密的每个文件中嵌入了一个加密密钥。
对最新变体的分析揭示了字符串加密的使用,这可以使其更具规避性。在旧的Hive变体中,访问Hive赎金支付网站的凭据嵌入在样本中。在新变体中,它们必须在-u参数下的命令行中提供。这种变化意味着不可能通过分析样本来获得它们。
微软研究人员分享了新变体的入侵指标(IoC),并建议组织使用它们来调查其环境中是否存在,并评估潜在入侵。
参考来源:SecurityAffairs http://985.so/bb3xg
(十)苹果计划推出锁定模式以应对间谍软件
苹果计划在今年秋天推出一项名为锁定模式(Lockdown Mode)的功能,允许用户锁定服务,以应对针对iOS平台的国家支持的雇佣间谍软件攻击数量的激增,显著减少攻击面,并增加技术障碍,以限制复杂的软件攻击。锁定模式旨在通过阻止大多数形式的消息附件和阻止与计算机或附件的未知连接等步骤,使攻击者更难接管受害者的手机。
苹果表示,锁定模式功能将在iOS 16、iPadOS 16和macOS Ventura上提供,这些用户是政府监视的目标,作为极少数用户的极端可选保护。“在iOS 16、iPadOS 16和macOS Ventura中开启锁定模式,可进一步加强设备防御,并严格限制某些功能,从而大幅减少高度针对性的雇佣间谍软件可能利用的攻击面。”
苹果在7月6日发布时表示,新的锁定模式将包括以下保护:
1、消息:除了图像之外的大多数消息附件类型都被阻止。某些功能(例如链接预览)被禁用。
2、Web浏览:某些复杂的Web技术,如即时(JIT)JavaScript编译将被禁用,除非用户从锁定模式中排除受信任的站点。
3、Apple服务:如果用户之前未向发起者发送呼叫或请求,则将阻止传入的邀请和服务请求,包括FaceTime呼叫。
4、当iPhone被锁定时,与计算机或配件的有线连接被阻止。
5、锁定模式打开时,某无法安装配置文件,并且设备无法注册到移动设备管理(MDM)。
Apple安全工程和架构负责人Ivan Krstić表示,“锁定模式是一项开创性的功能,反映了我们坚定不移地致力于保护用户免受最罕见、最复杂的攻击。虽然绝大多数用户永远不会成为高度针对性网络攻击的受害者,但我们将不懈努力保护少数用户。”
Apple还宣布在其漏洞赏金计划中创建一个新类别,以奖励发现锁定模式绕过并帮助改善其保护的研究人员。在锁定模式下,符合条件的发现的赏金将翻倍,最高可达2,000,000美元,这是业内最高的赏金金额。
苹果还计划提供1000万美元的拨款,以支持调查、揭露和防止高度针对性的网络攻击的组织,包括由开发国家资助的雇佣间谍软件的私营公司创建的组织。
Apple的最新公告是为了应对一波针对iOS和macOS用户的零日攻击,这些攻击利用植入高端监控工具的复杂漏洞。该公司已对臭名昭著的以色列间谍软件制造商NSO Group提起诉讼,并添加了一个新的BlastDoor沙箱,以保护其平台免受零日攻击。
参考来源:SecurityWeek http://985.so/bbs1d
(十一)朝鲜威胁行为者使用Maui勒索软件攻击医疗保健部门
美国FBI、CISA和财政部联合发布警告称,至少自2021年5月以来,朝鲜威胁行为者使用Maui勒索软件攻击医疗保健和公共卫生部门的组织。Maui恶意软件针对特定的文件,不会留下勒索记录,精准攻击目标文件。组织应密切关注威胁指标,并采取缓解措施应对此类攻击。
此外,如果组织确实发现自己成为攻击的受害者,建议不要支付任何要求的赎金,因为这样做并不能保证文件和记录会被恢复,并且可能会带来制裁风险。
Maui至少从2021年4月就开始活跃,具有一些独特的特征,使其区别于目前正在发挥作用的其他勒索软件即服务(RaaS)威胁。
网络安全公司Stairwell首席逆向工程师Silas Cutler在报告中表示,“对我们来说Maui之所以能脱颖而出,因为缺乏我们通常在RaaS提供商的工具中看到的几个关键功能。”其中包括缺乏提供恢复指令的赎金记录或向攻击者传输加密密钥的自动方式。
这为Maui攻击增加了一种特别险恶的品质。安全公司KnowBe4安全意识倡导者James McQuiggan在电子邮件中表示,“网络犯罪分子希望快速有效地获得报酬,而受害者的信息很少,攻击本质上越来越具有恶意。”
Maui与其他勒索软件不同的另一个特征是,它似乎是为威胁参与者手动执行而设计的,允许其操作员在执行时指定要加密的文件,然后泄露生成的运行时工件。
这种手动执行在高级恶意软件运营商中越来越流行,因为它允许攻击者仅针对网络上最重要的资产。
安全和运营分析SaaS公司Netenrich首席威胁猎手John Bambenek在电子邮件中表示,“对于真正的使组织瘫痪的勒索软件攻击,威胁行为者需要手动识别重要资产和弱点,才能真正击倒受害者。自动化工具根本无法识别每个组织的所有独特方面,以实现彻底拆除。”
信息安全咨询公司LARES对抗性电子工程主管Tim McGuffin指出,挑选出要加密的特定文件还可以让攻击者更好地控制攻击,同时还可以减少受害者清理后的负担。“通过针对特定文件,与spray-and-pray勒索软件相比,攻击者可以选择敏感的内容,以及以更具战术性的方式泄露内容。这可以显示勒索软件组织的善意,允许仅针对敏感文件进行定位和恢复,并且如果操作系统文件也被加密,则不必重建整个服务器。”
医疗保健行业一直是越来越多攻击的目标,尤其是在过去两年半的疫情流行期间。专家表示,事实上,该行业仍然是威胁行为者的有吸引力的目标有很多原因。
一是因为它是一个利润丰厚的行业,而且往往拥有过时的IT系统,而没有复杂的安全性,这使得医疗保健组织对网络犯罪分子来说是唾手可得的成果。
KnowBe4的McQuiggan表示,“医疗保健始终是攻击目标,因为其有数百万美元的运营预算和美国联邦指导方针,使得快速更新系统变得困难。”
此外,对医疗机构的攻击可能会使人们的健康甚至生命处于危险之中,这可能使该行业的组织更有可能直接向犯罪分子支付赎金。
网络安全公司Cerberus Sentinel解决方案架构副总裁Chris Clements在电子邮件中表示,“尽快恢复运营的需求可以促使医疗保健组织更容易、更迅速地支付任何由勒索软件引起的勒索要求。”
由于网络犯罪分子知道这一点,联邦调查局、中央情报局和财政部表示,可以继续期待来自朝鲜国家支持的行为者的攻击。
Clements观察到,医疗保健由于其敏感和私密性质,医疗保健信息对威胁行为者也非常有价值,易于在网络犯罪市场上转售,并且有助于构建“高度定制的二次社会工程攻击活动”。
Maui勒索软件攻击如何加密组织系统上的特定文件。使用命令行界面,威胁行为者与勒索软件交互,使用高级加密标准(AES)、RSA和XOR加密的组合来识别要加密的文件。
首先Maui使用AES 128位加密对目标文件进行加密,为每个文件分配一个唯一的AES密钥。每个文件中包含的包含文件原始路径的自定义标头允许Maui识别以前加密的文件,标题还包含AES密钥的加密副本。
Maui使用RSA加密对每个AES密钥进行加密,并将RSA公钥(maui.key)和私钥(maui.evd)加载到与其自身相同的目录中。然后使用从硬盘驱动器信息生成的XOR密钥使用XOR加密对RSA公钥(maui.key)进行编码。
在加密期间,Maui会为使用GetTempFileNameW()加密的每个文件创建一个临时文件,并使用该文件来暂存加密输出。加密文件后,Maui会创建maui.log,其中包含Maui执行的输出,可能会被威胁参与者窃取并使用相关的解密工具进行解密。
参考来源:ThreatPost http://985.so/bb5mx
(十二)恶意NPM软件包从应用程序中窃取数据
ReversingLabs安全研究人员发现了数十个恶意NPM软件包,包含恶意代码,从移动和桌面应用程序中窃取用户数据,软件供应链攻击显著升级。该攻击名为Iconburst,安装通过开源NPM包管理器提供的恶意Javascript包。
ReversingLabs在报告中表示,“经过仔细检查,我们发现了协同供应链攻击的证据,大量NPM软件包包含jQuery脚本,旨在从包含它们的已部署应用程序中窃取表单数据。虽然尚不清楚此次攻击的全部范围,但我们发现的恶意程序包可能已被数百甚至数千个下游移动和桌面应用程序以及网站使用。在一个案例中,恶意程序包已被下载超过17,000次。”
该公司表示,其对模块的分析揭示了协调的证据,恶意模块可追溯到少数NPM发布者,以及支持基础设施(如渗透域)的一致模式。
ReversingLabs表示,“这次攻击标志着软件供应链攻击的显著升级。捆绑在NPM模块中的恶意代码在未知数量的移动和桌面应用程序和网页中运行,收集大量用户数据。攻击持续了几个月才被发现。虽然一些命名包已从NPM中删除,但大部分仍可供下载。”
ReversingLabs的警告与Checkmarx的另一份建议一致,即发现大量可疑的NPM使用和正在创建的软件包,作为对NPM用户进行大规模加密采矿活动的准备工作的一部分。
Checkmarx表示,“我们检测到由超过1000个不同的用户账户发布到注册表的1200多个npm包。这是使用自动化完成的,其中包括通过NPM 2FA挑战的能力。这组软件包似乎是攻击者此时正在试验的一部分。这个可疑活动包括1200多个包,其中1000多个仍然在NPM注册表中可用。这些软件包是由近1000个自动创建的用户发布的。”
最近几个月,NPM生态系统中的安全缺陷导致了备受瞩目的软件供应链攻击。去年11月,GitHub证实两个流行的npm包管理器Coa解析器和rc配置加载器受到了攻击,被盗用密码恶意软件所破坏和操纵。在此之前,加密挖掘和密码窃取恶意软件被发现嵌入在一个npm包(JavaScript库)中,每周下载量接近800万次。
参考来源:SecurityWeek http://985.so/bb3jd
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
