关键信息基础设施安全动态周报【2022年第23期】
发布时间:
2022-06-17
来源:
作者:
天地和兴
访问量:
155
目 录
第一章 国内关键信息基础设施安全动态
(一)InfiRay热像仪存在安全漏洞可导致工业流程篡改
第二章 国外关键信息基础设施安全动态
(一)Hertzbleed侧信道攻击可远程攻击AMD和英特尔芯片
(二)Fastjson库存在高危远程代码执行漏洞
(三)PACMAN硬件攻击技术针对苹果M1芯片
(四)新型Linux Rootkit恶意软件Syslogk通过特制方法触发隐藏后门
(五)伊朗黑客组织Lyceum利用DNS后门攻击能源组织
(六)HelloXD勒索软件部署MicroBackdoor后门
(七)WiFi连接探测请求可跟踪并泄露用户信息
(八)Panchan僵尸网络利用Linux服务器挖掘加密货币
(九)黑客发布白俄罗斯政府窃听俄罗斯大使馆音频
(十)西门子和施耐德修复了80多个漏洞
(十一)南非大型连锁超市Shoprite Group遭受勒索软件攻击
第一章 国内关键信息基础设施安全动态
(一)InfiRay热像仪存在安全漏洞可导致工业流程篡改
SEC Consult研究人员发现,InfiRay热像仪存在安全漏洞,可允许恶意黑客篡改工业流程,从而导致生产中断或产品质量下降。
InfiRay是中国奕瑞科技(iRay Technology)的一个品牌,该公司生产光学元件。InfiRay专注于红外和热成像解决方案的开发和制造,产品销往89个国家和地区。
奥地利网络安全咨询公司SEC Consult研究人员发现,奕瑞科技的热像仪A8Z3型号受到几个潜在严重漏洞的影响。A8Z3设备在中国市场阿里巴巴以近3,000美元的价格出售,专为广泛的工业应用而设计。
据SEC Consult称,该产品受到五个潜在严重漏洞的影响,一个与相机Web应用程序的硬编码凭据有关。由于这些账户无法停用,且其密码无法更改,因此可以将其视为后门账户,可以为攻击者提供对摄像机Web界面的访问权限,因此攻击者可以利用另一个漏洞来执行任意代码。
研究人员还发现固件中存在缓冲区溢出,以及已知包含漏洞的多个过时软件组件。研究人员还发现了一个默认情况下不受密码保护的Telnet root shell,使本地网络上的攻击者能够在摄像机上以root身份执行任意命令。
SEC Consult没有发现任何这些热像仪暴露在互联网上,但是能够获得对设备的网络访问权限的攻击者可以利用这些漏洞造成严重的破坏。
专门研究嵌入式系统的SEC咨询安全顾问Steffen Robertz解释表示,“该摄像机用于工业环境中检查/控制温度。测试设备位于一家工厂,在那里验证了到达传送带上的金属件仍然足够热,可以进行下一个工艺步骤。攻击者将能够报告错误的温度,从而制造出劣质产品或停止生产。温度输出也可以输入控制回路。通过报告较低的温度,熔炉的温度可能会自动升高。”
SEC Consult没有测试该供应商的其他设备,但根据过去的经验,类似的漏洞可能也会影响其他产品。SEC Consult在一年多前向奕瑞科技报告了其调查结果,但该公司一直没有回应,因此尚不清楚是否有补丁可用。SEC Consult公开了一些技术细节,但没有发布概念验证(PoC)漏洞利用。
参考来源:SecurityWeek http://985.so/i2fh
第二章 国外关键信息基础设施安全动态
(一)Hertzbleed侧信道攻击可远程攻击AMD和英特尔芯片
研究人员发现了一种名为Hertzbleed的新侧信道攻击方法,允许远程攻击者通过观察动态电压和频率缩放(DVFS)启用的CPU频率变化来窃取完整的加密密钥。
在现代英特尔(CVE-2022-24436)和AMD(CVE-2022-23823) x86处理器上,动态频率缩放取决于功耗和正在处理的数据。DVFS是现代CPU使用的一种电源管理节流功能,可确保系统在高负载期间不会超过热和功率限制,并在CPU低负载期间降低整体功耗。
Hertzbleed方法是由德克萨斯大学奥斯汀分校、伊利诺伊大学厄巴纳香槟分校和华盛顿大学的研究人员披露的。研究人员表示,“在最坏的情况下,这些攻击可以让攻击者从以前被认为是安全的远程服务器中提取加密密钥。Hertzbleed是对加密软件安全构成了真正且实际的威胁。”
研究人员表示,“首先Hertzbleed表明,在现代x86 CPU上,功率侧信道攻击可以转变为定时攻击,甚至是远程攻击,从而提升了对任何功率测量接口的需求。其次Hertzbleed表明,即使正确实施为恒定时间,密码代码仍然可以通过远程时序分析泄漏。”
对此英特尔表示,这一攻击方法会影响其所有处理器,并且可以在不需要低权限威胁行为者的用户交互的高复杂性攻击中远程利用。
AMD还透露,Hertzbleed影响了其几款产品,包括使用Zen2和Zen3微架构的台式机、移动设备、Chromebook和服务器CPU。
其他供应商(例如ARM)也使用频率缩放功能的处理器也可能受到Hertzbleed的影响,但研究人员尚未确认其概念验证代码是否也适用于这些CPU。
研究人员表示,英特尔和AMD没有计划发布微码补丁来解决该Hertzbleed新侧信道攻击方法。
英特尔安全通信和事件响应高级总监Jerry Bryant表示,“虽然从研究的角度来看,这个问题很有趣,但我们不认为这种攻击在实验室环境之外是可行的。”
这两家供应商都提供了有关开发人员如何加强其软件以防止频率限制信息泄露的指南。根据AMD的指导,开发人员可以使用屏蔽、隐藏或密钥旋转来减轻Hertzbleed攻击中基于功率分析的侧信道泄漏。
研究人员还表示,在大多数情况下,禁用频率提升功能可以减轻Hertzbleed攻击。频率提升功能在英特尔上称为Turbo Boost,在AMD CPU上称为Turbo Core或Precision Boost。
尽管禁用频率提升可以防止通过Hertzbleed泄露信息,但安全研究人员并不推荐这种方法,因为“它会非常显着地影响性能”。但是据英特尔称,无论是否启用Turbo Boost功能并共享备用引导,攻击都可能发生。
英特尔在一份声明中表示,“Hertzbleed是由当系统功率/电流达到某个无功限制时节流引起的,无论是否启用了Turbo Boost。请参阅英特尔推荐的加密实施软件指南以解决此问题。”
参考来源:BleepingComputer http://985.so/i9ej
(二)Fastjson库存在高危远程代码执行漏洞
JFrog研究人员发现,流行的Fastjson库中最近修复了一个高危漏洞,可能被利用来实现远程代码执行。该漏洞编号为CVE-2022-25845,CVSS评分为8.1,该问题与在称为AutoType的受支持功能中反序列化不受信任数据的情况有关。项目维护者在2022年5月23日发布的1.2.83版本中对其进行了修补。
JFrog研究人员Uriya Yavnieli表示,“该漏洞影响所有依赖Fastjson版本1.2.80或更早版本的Java应用程序,这些应用程序将用户控制的数据传递给JSON.parse或JSON.parseObject API,而无需指定要反序列化的特定类。”
Fastjson是一个Java库,用于将Java对象转换为其JSON表示形式,反之亦然。AutoType是易受该漏洞影响的函数,默认情况下会启用,旨在解析JSON输入时指定自定义类型,然后将其反序列化为适当类的对象。
Yavnieli解释表示,“但是,如果反序列化的JSON是用户控制的,那么在启用AutoType的情况下解析它可能会导致反序列化安全问题,因为攻击者可以实例化Classpath上可用的任何类,并为其构造函数提供任意参数。”
虽然项目所有者之前引入了一种禁用AutoType的安全模式,并开始维护一个阻止反序列化漏洞的类列表,但新发现的漏洞绕过了这些限制中,从而导致远程代码执行。
建议Fastjson用户更新到1.2.83版本或开启safeMode,无论使用白名单还是黑名单都会关闭该功能,从而有效关闭反序列化攻击的变种。
Yavnieli表示,“尽管存在公共PoC漏洞,并且潜在影响非常大,如远程代码执行,但攻击条件并不简单,将不受信任的输入传递给特定的易受攻击的API。最重要的是,需要针对特定目标进行研究,才能找到合适的要利用的小工具类。”
参考来源:TheHackerNews http://985.so/ikv1
(三)PACMAN硬件攻击技术针对苹果M1芯片
研究人员设计了一种名为PACMAN的新硬件攻击技术,可以绕过苹果M1处理器上的指针身份验证保护,从而能够在Mac系统上获得任意代码执行。指针身份验证(PA)是一种使用加密哈希或指针身份验证代码(PAC)来防止修改内存中指针的机制。通过针对PAC验证的指针的完整性,如果值不匹配,则会触发崩溃。
指针身份验证于2017年由ARM首次引入,2018年由苹果采用,指针认证基本上需要攻击者猜测修改后指针的PAC,以防止修改内存代码时触发崩溃。
麻省理工学院(MIT)计算机科学与人工智能实验室(CSAIL)的一组研究人员设计了一种新的攻击技术,名为PACMAN,使用微架构侧通道泄漏PAC验证结果,并绕过PA而不会触发崩溃。
研究人员在论文中表示,“我们提出了PACMAN攻击,通过构建PAC oracle,来扩展推测性执行攻击,从而绕过指针身份验证。给定受害者执行上下文中的指针,PAC oracle可用于精确区分正确的PAC和不正确的PAC,而不会导致任何崩溃。”
本质上,PACMAN依赖于通过尝试多个可能的值来猜测PAC,并使用指针验证操作和微架构侧通道来传输验证结果。
研究人员表示,“如果猜到了正确的PAC,传输操作将推测性地访问有效指针,从而导致可观察到的微架构副作用。否则,传输步骤将由于访问无效指针而导致推测性异常。”
因为这两个操作都是在错误推测的路径上执行的,所以这些操作不会触发“架构可见事件”,例如崩溃。
这次攻击是在苹果的M1处理器上进行的,但研究人员认为,它也可能适用于未来的ARM处理器。研究人员还指出,这次攻击影响了所有依赖PA的处理器,目前许多芯片制造商都在采用这种方式。
研究人员表示,“由于我们的攻击破坏了指针身份验证,我们的工作要求在涉及推测执行攻击的更广泛威胁模型下重新评估这些扩展设计的安全属性。”
研究人员还提供了多个概念验证(PoC)演示,其中包括一个针对操作系统内核的演示,该演示可能从根本上危及整个系统。此外研究人员解释表示,他们所有的实验都是通过网络进行的。
被利用的漏洞处于硬件级别,研究人员指出,这无法通过软件功能解决。然而还指出,对PACMAN攻击本身不会危及系统,因为它需要软件错误(例如内存读/写)来绕过PA。
去年Apple获悉了这种新攻击技术,对此Apple提供了声明,“我们要感谢研究人员的合作,因为这个概念证明促进了我们对这些技术的理解。根据我们的分析以及研究人员与我们分享的详细信息,我们得出的结论是,此问题不会对我们的用户构成直接风险,并且不足以自行绕过操作系统安全保护。”
参考来源:SecurityWeek http://985.so/iwfv
(四)新型Linux Rootkit恶意软件Syslogk通过特制方法触发隐藏后门
Avast研究人员发现了一种名为Syslogk的新Linux rootkit恶意软件,一直在通过使用特制的“魔术包”和特制的漏洞来入侵计算机,以唤醒隐藏在计算机上的隐藏后门。Syslogk rootkit是基于被称为Adore-Ng的知名开源Linux内核rootkit。
与大多数可以检测到的rootkit不同,内核rootkit可以伪装整个内核模块以及进程和文件。此外,rootkit允许在用户模式下经过身份验证的进程与其交互,以便在一定程度上对其进行控制。
rootkit是作为内核模块安装在操作系统内核中的恶意软件。为了过滤掉不想展示的信息,会在目标机器上安装后拦截合法的Linux命令。隐藏的信息包括:文件、文件夹、和流程。
如果第一次将SyslogK安装为内核模块,该模块将从已安装的模块列表中删除,以避免手动检查。只有一个迹象表明它存在,那就是/proc文件系统,显示了暴露的界面。
rootkit能够隐藏它在服务器上放置的恶意文件,以及允许它隐藏它传播的恶意目录的其他功能。
除了隐藏的有效载荷外,Avast还发现了一个隐藏在代码中的名为Rekoobe的Linux后门。在被安装在受感染的系统上后,该后门会长时间处于休眠状态,直到来自威胁行为者的“魔术包”使其变得活跃。
有一个名为Rekoobe的程序,基于TinySHell,这是一个开源程序。通过使用它,攻击者能够访问受感染计算机上的命令行控制台,从而允许攻击者远程访问。
特别是,Syslogk被设计为拾取包含源端口59318的TCP数据包,以便启动Rekoobe恶意软件。但是如果要停止有效负载,则需要TCP数据包满足以下要求:
1、0x08是分配给TCP标头的保留字段的值;
2、源端口应介于63400和63411之间;
3、需要注意的是,用于启动Rekoobe的魔术包中设置的源地址和端口是相同的;
4、密钥包含在魔术包D9sd87JMaij中,该密钥被硬编码到rootkit中,并位于魔术包中的可变偏移量中。
普通用户很少了解Linux系统,但它们对于当今一些最重要的企业网络至关重要。威胁行为者正在投入必要的时间和精力来为该架构构建自定义恶意软件,因此这似乎是一个危险而有利的冒险。
因此系统管理员和安全公司需要采取措施,意识到这种类型的恶意软件,并制定适当的保护措施,来尽快保护其用户。
参考来源:GBHackers http://985.so/iw2v
(五)伊朗黑客组织Lyceum利用DNS后门攻击能源组织
ZScaler研究人员发现,与伊朗有关的APT组织Lyceum使用新的基于.NET的DNS后门来攻击能源和电信领域组织。
Lyceum又名Hexane或Spilrin,ICS安全公司Dragos研究人员于2019年8月初首次记录了Lyceum组织的活动,该组织专注于石油和天然气行业的组织以及电信提供商。据Dragos称,Hexane组织至少从2018年年中就开始活跃起来,随着中东紧张局势的升级,在2019年初加强了活动。
Zscaler研究人员最近发现了一个新的活动,其中APT组织正在使用一个新的基于.NET的后门针对中东。DNS后门从名为DIG.net的开源工具中借用代码,用于执行DNS劫持。
ZScaler在分析中表示,“该恶意软件利用了一种称为DNS劫持的DNS攻击技术,在这种技术中,攻击者控制的DNS服务器操纵DNS查询的响应,并根据其恶意要求解决问题。该恶意软件使用DNS协议进行命令和控制(C2)通信,这增加了隐蔽性,并使恶意软件通信探测处于雷达之下以逃避检测。”
该后门支持多种功能,包括上传/下载文件和通过滥用DNS记录在受感染机器上执行系统命令,以及传入命令的TXT记录和数据泄露的A记录。
研究人员观察到的攻击链始于使用武器化Word文档,伪装成与伊朗军事有关的新闻报道的鱼叉式网络钓鱼信息。DNS劫持是一种重定向攻击,依赖于DNS查询操作,将试图访问合法站点的用户带到托管在受威胁行为者控制的服务器上的恶意克隆。
启用宏查看内容后,当用户关闭文档时,DNS后门将被投放到系统中。攻击者利用AutoClose()函数将DNS后门放到系统中。AutoClose()函数从文档第7页上的文本框中读取PE文件。这个PE文件被放入启动文件夹中,以通过宏代码保持持久性,然后在重新启动系统时,执行DNS后门。
ZScaler报告表示,“被投放的二进制文件是一个名为DnsSystem的基于.NET的DNS后门,允许威胁行为者远程执行系统命令,并在受感染的机器上上传/下载数据。最初,恶意软件通过DIG使用Dns.GetHostAddresses()获取域名“cyberclub[.]one”=85[.]206[.]175[.]199的IP地址来设置攻击者控制的DNS服务器解析器功能,进而触发对cyberclub[.]one的DNS请求以解析IP地址。现在这个IP与自定义攻击者控制的DNS服务器相关联,用于恶意软件发起的所有进一步的DNS查询。”
该APT组织继续发展其TTP,并采用新的反分析和反逃避技术。
参考来源:SecurityAffairs http://985.so/iwy6
(六)HelloXD勒索软件部署MicroBackdoor后门
Palo Alto Unit 42研究人员发现,HelloXD勒索软件部署了一个后门,以促进对受感染主机的持久远程访问。其中一个样本部署了MicroBackdoor,这是一个开源后门,允许攻击者浏览文件系统、上传和下载文件、执行命令、并将自身从系统中删除。
HelloXD勒索软件于2021年11月30日首次出现在威胁领域,它借用了Babuk勒索软件的代码,该勒索软件自2021年9月起在俄语黑客论坛上可用。与其他勒索软件操作不同,该勒索软件团伙不使用泄密网站,而是通过TOX聊天和基于洋葱的信息实例联系受害者。
该恶意软件可以针对Windows和Linux系统,在Palo Alto Unit 42研究人员最新观察到的攻击中,攻击者使用开源后门MicroBackdoor来维持受感染主机的持久性。
该后门允许攻击者浏览文件系统、上传和下载文件、执行命令、以及将自己从受感染的系统中删除。对MicroBackdoor样本的分析揭示了配置中的嵌入式IP地址,该IP属于可能是开发人员的威胁行为者x4k,又名L4ckyguy、unKn0wn、unk0w、_unkn0wn和x4kme。
PaloAlto Networks发布的分析报告显示,“在观察到的样本之间修改了赎金记录。在我们遇到的第一个样本中,赎金记录仅与TOX ID相关联,而后来观察到的样本链接到洋葱域和TOX ID,与第一个版本中的不同。目前该网站已关闭。”
研究人员发现,威胁者对HelloXD勒索软件二进制文件使用了两个主要的打包程序,一个UPX的修改版本,以及一个由两层组成的第二个打包程序,第二个是相同的自定义UPX打包程序。
Unit42研究人员观察到两种不同的公开可用的HelloXD勒索软件样本,这种情况表明该恶意软件仍在开发中。第一个样本非常简单,混淆最少,通常与混淆加载程序配对,该加载程序负责在将其注入内存之前通过使用WinCrypt API对其进行解密。研究人员分析的第二个样本更加模糊,由打包程序而不是加载程序在内存中执行。这两个示例都实现了相似的功能,因为它们借用了泄露的Babuk源代码。
Unit 42表示,“Unit 42的研究遇到了HelloXD,这是一个处于初始阶段的勒索软件家族,但已经打算影响组织。虽然勒索软件的功能并不是什么新鲜事,但在我们的研究中,我们发现勒索软件很可能是由名为x4k的威胁行为者开发的。这个威胁行为者在各种黑客论坛上都很有名,而且似乎是俄罗斯人。从2020年开始,Unit 42能够发现与恶意基础设施相关的其他x4k活动,以及除了最初的勒索软件样本之外的其他恶意软件。”
参考来源:SecurityAffairs http://985.so/iwyx
(七)WiFi连接探测请求可跟踪并泄露用户信息
德国汉堡大学研究人员进行了一项现场实验,捕获了数十万路人的WiFi连接探测请求,以确定在设备所有者没有意识到的情况下传输的数据类型。研究证明,移动设备会通过Wi-Fi连接探测请求来识别和跟踪设备,从而泄露用户识别信息。
WiFi探测是一个标准过程,是智能手机和接入点(调制解调器/路由器)之间建立连接所需的双边通信的一部分。默认情况下,出于可用性的原因,大多数智能手机一直在搜索可用的WiFi网络,并在受信任的情况下连接到这些网络。许多商店已经使用WiFi探测来跟踪客户的位置和移动。由于此跟踪仅在探测中使用匿名MAC地址,因此被认为符合GDPR。
研究人员决定分析这些探测器,以查看它们可能包含的其他内容。在23.2%的情况下,他们发现请求广播了这些设备过去连接的网络的SSID。
该实验于2021年11月在德国市中心一个繁忙的步行区进行。该团队使用六根天线来捕获各种通道和频谱中的探针。
研究人员记录了三个小时内所有广播的WiFi连接问题,共捕获了252,242个探测请求,其中46.4%在2.4GHz频谱中,53.6%在5GHz频谱中。
在短短三个小时内,研究人员从随机路人那里获得了58,489个SSID,在许多情况下,其中包含16位或更多位的数字字符串,这些字符串可能是来自FritzBox或Telekom的流行德国家用路由器的“初始密码”。
研究人员在技术论文中解释表示,“如果设备在播放真实SSID的同时,也能正确或错误地播放真实SSID,那么泄露SSID中的密码尤其重要。通过使用我们观察到的潜在凭据即时设置假接入点,还可以验证嗅探到的密码对应于也传输的SSID的假设。”
在捕获的SSID的其他子集中,研究人员发现了与商店WiFi网络、106个不同名称、三个电子邮件地址和92个以前添加为可信网络的度假屋或住宿相对应的字符串。
在三个小时的录音过程中,通过反复的探测,其中一些敏感的字符串被广播了数十次、数百次,在某些情况下甚至数千次。
撇开数据暴露和设置恶意热点并接受来自附近设备的连接的场景不谈,这里的主要含义是持续跟踪。这方面的关键方面是MAC地址随机化,它可以作为对跟踪尝试的防御。
虽然在Android和iOS中,让设备跟踪变得更加困难,但并非不可能,这已经取得了长足的进步。较新的操作系统版本在探测请求中具有更多的随机性和更少的信息,但是当与信号强度、序列号、网络能力等数据集参数结合使用时,仍然可以对单个设备进行指纹识别。
操作系统版本越新,隐私保护功能越强,但更新版本的可用性并不意味着立即采用。
在现场实验时,Android 8及更早版本大约占Android智能手机的四分之一。在iOS中,由于Apple更严格的软件更新政策和长期支持,情况有所好转,但许多人仍在使用旧款iPhone。
以前的研究也反映了从逐步升级到更安全的操作系统的改进。例如在2014年的一项研究中,46.7%的记录探测请求包含SSID,而在2016年进行的另外两项研究中,该百分比介于29.9%和36.4%之间。
智能手机用户可以做的第一件也是最简单的事情就是升级操作系统,并使用更新、更安全的版本,该版本具有更多的隐私保护。
其次,删除不再使用或不再需要的SSID,以及无论走到哪里,SSID都是不必要的广播。第三,Android和iOS提供了一种快速禁用自动加入网络的方法,使热点攻击变得不可能。
最后,用户可以完全静默探测请求,这可以通过高级网络设置来完成。然而,这种方法有几个实际的缺点,例如连接建立速度较慢、无法发现隐藏网络、以及更高的电池消耗。
参考来源:BleepingComputer http://985.so/iwes
(八)Panchan僵尸网络利用Linux服务器挖掘加密货币
Akamai研究人员新发现了一个基于Golang的P2P僵尸网络,名为Panchan,自2022年3月以来一直针对教育部门的Linux服务器,以挖掘加密货币。该项目背后的威胁行为者可能是日本人。
Panchan具有SSH蠕虫功能,如字典攻击和SSH密钥滥用,可以快速横向移动到受感染网络中的可用机器。同时具有强大的检测规避能力,如使用内存映射矿工和动态检测进程监控,以立即停止挖矿模块。
Panchan是用Golang编写的,是一种通用的编程语言,可以更轻松地针对不同的系统架构。它通过定位和使用现有的SSH密钥或暴力破解用户名和密码来感染新主机。在此阶段成功后,会创建一个隐藏文件夹,将自己隐藏在名称xinetd下。
最后,恶意软件执行二进制文件,并向Discord Webhook发起HTTPS POST操作,该Webhook可能用于监控受害者。
为了建立持久性,恶意软件将自身复制到/bin/systemd-worker,并创建一个新的systemd服务,以在重新启动后启动,同时伪装成合法的系统服务。僵尸网络和C2之间的通信未加密,并使用TCP端口1919。发送到恶意软件的配置涉及矿工配置或更新对等列表。
该恶意软件还具有“上帝模式”,一个可以使用只有攻击者拥有的私钥访问的管理面板。
Akamai修改了程序,以删除此安全措施,并发现管理面板具有配置概述、主机状态、对等统计信息和矿工设置,同时还为操作员提供更新选项。
矿工二进制文件xmrig和nbhash是无文件的,从base64格式解码并在运行时在内存中执行,因此它们从不接触磁盘。
Panchan将NiceHash用于其采矿池和钱包,因此Akamai的分析师无法追踪交易或估计采矿业务的规模、利润等,因为它们不在公共区块链上。
该恶意软件还具有一个反杀系统,可以检测进程终止信号并忽略它们,除非它是未处理的SIGKILL。
Akamai对恶意软件进行逆向工程以对其进行映射,发现209个受感染系统,其中40个当前处于活动状态。
大部分受害者都在教育部门,可能是因为它与Panchan的传播方式相匹配,使其快速增长更容易。糟糕的密码卫生和过度的SSH密钥共享以适应国际学术研究合作为僵尸网络的扩散创造了理想的条件。
西班牙、台湾和香港受感染的大学集群的调查结果进一步支持了这一假设。这种影响与资源劫持有关,这在教育机构中,可能会阻碍研究工作或干扰各种面向公众的服务的提供。
为防止此类攻击,Akamai建议潜在目标使用复杂密码、在所有账户上添加MFA、限制SSH访问并持续监控VM资源活动。
参考来源:BleepingComputer http://985.so/ik1e
(九)黑客发布白俄罗斯政府窃听俄罗斯大使馆音频
名为“白俄罗斯网络游击队”的白俄罗斯黑客组织在6月14日发布了一个音频,据称是白俄罗斯内政部秘密收集的外国驻白俄罗斯大使馆、领事馆和其他电话的窃听音频。
6月14日凌晨,白俄罗斯网络游击队在Telegram频道宣布,第一个版本是发布在YouTube上的一段四分半钟长的视频,其中包含该组织所说的2020年至2021期间从俄罗斯大使馆和领事馆捕获的录音。
该组织表示,“出于对与白俄罗斯独裁政权无关的人的个人对话的尊重,没有发布完整的对话,并隐藏有关通话参与者的一些数据。”
该组织周二在推特上表示,“还有很多其他国家大使馆和领事馆的录音。我们将继续揭露卢卡申科政权的黑暗秘密。很快就会有许多有趣的泄漏。”
该组织的一名代表通过其Telegram频道表示,白俄罗斯网络游击队有大约1.5TB的语音通话,相当于大约50,000小时,并声称,“大多数通话与大使馆无关,系统中的电话号码中有超过22,000个组织和49,000人。”
白俄罗斯总统卢卡申科一直是俄罗斯总统普京的坚定盟友。他允许白俄罗斯不仅可以作为俄罗斯在冲突中部署的军事资产的中转站和集结地,而且还采取了一系列其他措施来表明对普京的忠诚。行业专家表示,总部位于白俄罗斯或作为白俄罗斯政府一部分工作的黑客,也参与了与俄罗斯军事行动,对乌克兰目标进行黑客攻击。
2021年12月,卢卡申科将白俄罗斯与俄罗斯之间的关系描述为“兄弟般”的关系,白俄罗斯网络游击队此举嘲笑了这一声明。
白俄罗斯网络游击队声称,白俄罗斯政府窃听了俄罗斯大使馆,“事实证明,兄弟国家的情谊终究没有什么情谊。”
白俄罗斯网络游击队是由大约20人左右的前IT专家和其他与白俄罗斯政府有着深厚联系的人组成的团体,宣称的目标是推翻卢卡申科及其政权,通过揭露卢卡申科及其政权的腐败和其他渎职行为,应对白俄罗斯可怕和持续的侵犯人权和公民权利的行为。
2021年7月,该组织在其Telegram频道中声称入侵了内政部的内部监控视频系统。该组织当时表示,“抵抗运动告诉你,你的内部系统不再是内部的,你将在新白俄罗斯接受审判,因为你的暴行。一切都将按部门、分钟、名称建立起来。”
在2月24日俄乌冲突开始不久,网络游击队声称已经入侵了白俄罗斯的铁路系统,以减缓俄罗斯军事装备通过白俄罗斯的移动速度。白俄罗斯东部与俄罗斯接壤,南部与乌克兰接壤。
参考来源:CyberScoop http://985.so/imid
(十)西门子和施耐德修复了80多个漏洞
工业巨头西门子和施耐德电气在6月14日补丁星期二共计发布了22份安全公告,涉及80多个安全漏洞,其中一些为严重漏洞。这两家公司均已发布补丁或缓解措施来解决这些漏洞。
西门子共计发布了14条安全公告,涉及59个漏洞。其中有30个严重或高危漏洞,都会影响SINEMA远程连接服务器,可能导致远程代码执行、身份验证绕过、权限提升、命令注入和信息泄露,其中许多会影响第三方组件。
SICAM GridEdge应用程序中存在并修复了几个严重漏洞,其中一些无需身份验证即可利用。Teamcenter中解决了与硬编码凭据相关的严重漏洞,但默认情况下未安装受影响的组件。
SCALANCE LPE9000本地处理引擎使用的第三方组件中也存在严重漏洞。一些Apache HTTP服务器严重漏洞会影响RUGGEDCOM、SINEC和SINEMA产品。
Spectrum Power、Mendix、EN100、SCALANCE LPE9403、SINUMERIK Edge和Xpedition Designer产品中存在严重漏洞。此外已发现OpenSSL中的一个高危DoS漏洞,影响数十款西门子产品,但其中大部分产品尚未发布补丁。
Teamcenter Active Workspace、SCALANCE XM-400和XR-500设备以及SINEMA Remote Connect Server中存在的中危漏洞已得到修复。
对于其中许多漏洞,西门子仅发布了缓解措施,并且仍在开发补丁程序。
施耐德电气发布了8条安全公告,涉及24个漏洞。在IGSS SCADA产品的数据服务器模块中存在七个可用于远程代码执行的严重漏洞。C-Bus家庭自动化产品中存在两个与身份验证相关的严重漏洞。StruxureWare数据中心专家产品中存在四个与凭据和数据反序列化相关的严重漏洞。
Conext ComBox受到可能导致点击劫持、暴力破解和CSRF攻击的漏洞的影响。EcoStruxure Cybersecurity Admin Expert受到两个高危漏洞影响,可能允许设备欺骗和中间人攻击。Geo SCADA Mobile、EcoStruxure Power Commission和CanBRASS产品中存在中危或低危漏洞。
施耐德已针对所有这些漏洞发布了修补程序,但于2020年1月停产的Conext ComBox除外,建议采取缓解措施,以降低被利用的风险。
参考来源:SecurityWeek http://985.so/6iur
(十一)南非大型连锁超市Shoprite Group遭受勒索软件攻击
Shoprite Group是为南部非洲多个国家提供服务的最大连锁超市之一,披露其遭受了RansomHouse勒索软件攻击。
该公司在非洲拥有超过2,943家商店,超过149,000名员工。该公司表示,“开始意识到可疑的数据泄露,影响到特定的数据子集,这可能会影响一些在埃斯瓦蒂尼和纳米比亚及赞比亚境内进行转账的客户。”
该公司解释表示,“受影响的客户将收到交易时提供的手机号码的短信。对网络受影响区域的访问也已被锁定。数据泄露包括姓名和身份证号码,但没有财务信息或银行帐号。”
为了保护客户信息,该公司修改了“身份验证流程”以及“欺诈预防和检测策略”,Shoprite Group表示已将此事通知南非信息监管机构。
该公司警告客户,被盗数据可能被用来欺骗他们,并敦促人们永远不要通过电子邮件、电话或短信分享密码等个人信息。
RansomHouse公开声称对该连锁超市攻击负责,在其Telegram频道上声称,该公司“以纯文本/原始照片的形式保存了大量个人数据,并打包在存档文件中,完全不受保护。”
该组织公布了其窃取的数据样本,并称其“邀请”该公司协商赎金。该组织威胁表示,“他们所做的唯一一件事就是更改密码,就像解决所有问题一样。如果他们的立场不改变,大部分数据将与向公众披露的信息一起出售。除了KYC数据,我们还从公司获得了许多其他有趣的东西。是的,他们喜欢让很多东西不受保护。”
该组织此前曾因对萨斯喀彻温省酒类和博彩管理局、杰斐逊信用合作社、AHS航空处理服务等机构进行过勒索软件攻击。
Cyberint上个月的一份报告称,该组织并不认为自己是勒索软件组织,而声称自己是其他勒索软件团伙的平台。
Emsisoft威胁分析师Brett Callow表示,该组织与White Rabbit勒索软件有关。据趋势科技称,该勒索软件家族于1月份出现,并与一个名为FIN8的APT组织有联系。
Callow表示某“RansomHouse声称只是为进行攻击的参与者提供一个平台。然而更有可能的是,他们是实施攻击并使用White Rabbit勒索软件的人。”
超市已成为黑客频繁攻击的目标,特立尼达最大的连锁超市上个月遭受网络攻击,导致全国所有地点中断。去年7月,瑞典最大的连锁超市之一Coop在其一名承包商在广泛的Kaseya安全事件后遭到勒索软件袭击后,被迫关闭了全国近800家商店。
参考来源:TheRecord http://985.so/ixkx
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
