关键信息基础设施安全动态周报【2022年第16期】
发布时间:
2022-04-29
来源:
作者:
天地和兴
访问量:
1061
目 录
第一章 国内关键信息基础设施安全动态
(一)北京健康宝遭受境外网络攻击
第二章 国外关键信息基础设施安全动态
(一)美国监控公司Anomaly Six可实时跟踪30亿台设备
(二)德国风力涡轮机公司遭受针对性网络攻击
(三)牵引车辆的制动控制器易受黑客远程攻击
(四)Elcomplus公司工业产品存在多个漏洞
(五)Quantum勒索软件攻击仅需4个小时
(六)可口可乐疑似遭受Stormous黑客攻击泄露161GB数据
(七)伊朗政府挫败了针对公共服务的大规模网络攻击
(八)哥斯达黎加政府系统遭受Conti勒索软件攻击
(九)法国电信运营商Free因光纤电缆遭受破坏导致网络中断
(十)美国电信公司T-Mobile遭受Lapsus$黑客攻击
(十一)VirusTotal平台存在严重RCE漏洞
(十二)黑客在Hack DHS漏洞赏金计划发现122个漏洞
第一章 国内关键信息基础设施安全动态
(一)北京健康宝遭受境外网络攻击
4月28日,北京健康宝在使用高峰期间,遭受到网络攻击。经初步分析,网络攻击源头来自境外。北京健康宝保障团队进行了及时有效应对,受攻击期间北京健康宝相关服务未受影响。在北京冬奥会、冬残奥会期间北京健康宝也曾遭受过类似网络攻击,均得到了有效处置。我们将继续做好网络安全防护,服务保障好首都防疫工作大局。
本文版权归原作者所有,参考来源:北京日报 http://985.so/kpgw
第二章 国外关键信息基础设施安全动态
(一)美国监控公司Anomaly Six可实时跟踪30亿台设备
The Intercept网站4月22日发表了一篇有趣的文章,揭示了美国监控公司Anomaly Six的秘密业务。
监控业务的秘密业务通常指NSO Group和Candiru等以色列公司开发的强大工具,但是也有许多其他公司在暗处运营,例如美国的Anomaly Six(简称A6)。
根据The Intercept分析,Anomaly Six是一个秘密的政府承包商,声称监控全球数十亿部手机。
在2月份俄乌冲突时,两家监控初创公司Anomaly Six和Zignal Labs联手提供强大的监控服务。Zignal Labs是一家提供社交媒体监控的公司,将其分析与A6的能力相结合,美国政府能够监视俄罗斯军队。
The Intercept文章表示,“根据The Intercept和Tech Inquiry审查的A6演示文稿的视听记录,该公司声称可以实时跟踪大约30亿台设备,相当于世界人口的五分之一。在A6向社交媒体监控公司Zignal Labs提供电话跟踪能力的宣传中,提到了惊人的监控能力,Zignal Labs利用其对Twitter很少被授予的Firehose数据流的访问权限,能够每天没有限制的筛选数亿条推文。”
A6监视公司声称的能力令人担忧,政府承包商可以监视美国人,并将收集的数据传递给美国情报机构。向The Intercept提供秘密监视公司信息的消息人士称,Zignal Labs违反了Twitter收集情报的服务条款,但该公司拒绝任何指控。
A6与其他监控公司不同,它只收集GPS精确定位点和它提供的数据,平均每天可以监控大约2.3亿台设备。A6能够访问通过与数千个应用程序秘密合作,收集GPS测量数据。A6还声称已经收集了大量有关人员的信息,已收集了超过20亿个电子邮件地址和其他个人详细信息。
A6发言人解释称,这些数据是移动用户在注册智能手机应用程序时自愿共享的,用户在没有阅读最终用户许可协议的情况下同意了所有内容。
The Intercept无法验证A6监视平台的真实能力,而Zignal Labs否认与A6有任何形式的合作。
Zignal Labs发布的声明声称,“虽然A6过去曾向Zignal Labs展示过其功能,但Zignal Labs与A6没有任何关系。我们从未将A6的功能集成到我们的平台中,也从未向我们的任何客户交付过A6。”
Motherboard报道称,美国特种作战司令部在2020年9月向A6支付了590,000美元,用于获得该公司一年的服务。
The Intercept文章表示,“Anomaly Six软件让其客户能够以方便直观的谷歌地图风格的地球卫星视图浏览所有这些数据。用户只需要找到一个感兴趣的位置,并在其周围画一个框,A6就会用表示智能手机经过该区域的圆点填充该边界。单击一个点将提供代表设备及其所有者在社区、城市甚至整个世界周围的移动路线。”
在平台演示中,A6能够跟踪属于访问过马里兰州米德堡的NSA总部和弗吉尼亚州兰利的中央情报局总部的个人的设备。该平台识别出183台可能属于美国情报人员的移动设备。
The Intercept文章表示,“A6的非凡能力代表了OSINT领域发生的巨大飞跃。自动化OSINT也有点用词不当,使用绝不是开源或公共领域的信息,例如必须从私人经纪人那里购买的商业GPS数据。虽然OSINT技术很强大,但它们通常不会受到侵犯隐私的指控,因为基础信息的开源性质意味着它在某种程度上已经是公开的。”
参考来源:SecurityAffairs http://985.so/kgqg
(二)德国风力涡轮机公司遭受针对性网络攻击
德国风力涡轮机巨头Deutsche Windtechnik(德国风力技术公司)在4月22日发布通知,警告其部分IT系统在4月11日至12日遭受了有针对性的专业网络攻击。
该事件发生在4月11日,出于安全原因,事件响应人员被迫关闭与风力涡轮机的远程数据监控连接,Deutsche Windtechnik已在两天后重新启动了连接。
该公司宣布其已于4月14日成功恢复了客户的运营维护活动,但只有少量限制。其所有IT系统都在安全环境中进行了评估,并发现并隔离了问题。此外在事件发生后该公司已提高了其系统安全性。该公司仍未完全恢复系统。
Deutsche Windtechnik在声明中表示,“在4月11日至12日夜间,Deutsche Windtechnik的IT系统遭到网络攻击。正如我们之前报道的那样,我们能够在1-2天后重新激活与风力涡轮机的远程数据监控连接,这些连接出于安全原因已关闭。我们很高兴我们管理的风力涡轮机没有受到任何损坏,并且从未处于危险之中。Deutsche Windtechnik为我们的客户提供的运营维护活动于4月14日再次恢复,并且运行受到了轻微的限制。我们能够在安全的环境中评估所有IT系统,并识别和隔离问题。取证分析已经完成,结果表明这是一次有针对性的专业网络攻击。”
虽然Deutsche Windtechnik没有说明其遭受的是哪种类型的网络攻击,但很有可能涉及勒索软件,尽管目前还没有已知的勒索软件组织声称对此次攻击负责。
据《华尔街日报》报道,Deutsche Windtechnik在攻击期间失去了对大约2,000台涡轮机的控制,成为了勒索软件攻击的受害者,但能够在无需联系攻击者的情况下恢复其系统。
此外,对Deutsche Windtechnik的攻击发生在风力涡轮机制造商Nordex SE成为Conti勒索软件组织的受害者后不久。3月初,在Viasat卫星网络遭到黑客攻击后,风力涡轮机制造商Enercon GmbH失去了与大约5,800台涡轮机的远程连接。
参考来源:SecurityWeek http://985.so/kgvw
(三)牵引车辆的制动控制器易受黑客远程攻击
美国国家汽车货运交通协会(NMFTA)研究分析了重型车辆的网络安全,发现北美许多牵引车上的制动控制器容易受到远程黑客攻击。
该研究由美国国家汽车货运交通协会(NMFTA)与Assured Information Security, Inc.合作进行,NMFTA是一个代表大约500家汽车货运公司的非营利组织。
NMFTA自2015年以来一直在分析重型车辆的网络安全问题,并定期披露调查结果。该组织在今年3月初发布了最新报告,当时CISA也发布了公告,披露了两个影响拖车制动控制器的漏洞。
这两个漏洞与拖拉机和拖车之间的电力线通信(PLC)有关,特别是PLC4TRUCKS技术,该技术使用名为J2497的标准在拖拉机和拖车之间进行双向通信,而无需添加新电线。
PLC4TRUCKS是为了响应在拖车ABS系统出现故障时在拖拉机驾驶室中安装警示灯的要求而创建的。然而NMFTA发现,除了ABS警告所需的功能外,挂车制动控制器具有大量额外的J2497功能,并且该功能会带来安全风险。
CISA的公告描述了NMFTA和Assured Information Security研究人员发现的两个漏洞。CVE-2022-25922中危漏洞与制动控制器诊断功能缺乏身份验证和授权有关。CVE-2022-26131严重漏洞与拖车PLC接收器对远程RF攻击的敏感性有关。
NMFTA高级网络安全研究工程师Ben Gardiner表示,虽然当今道路上最常见的拖车制动控制器不具备启动拖车制动器的能力,这可能会产生严重的安全隐患,但控制器反复收到指令可能会导致拖拉机和拖车上的气罐耗尽,从而影响车辆的机动性。
过去几十年进行的几项研究表明,卡车运输服务的广泛中断可能对一个国家产生重大影响,并且有可能通过网络攻击造成此类中断。
NMFTA在2015年发布的一项研究中分享了网络攻击的潜在影响的一些示例。该报告中分享的示例包括,使用放置在关键位置的恶意手机转发器来试图禁用卡车,恶意内部人员使用监控系统禁用其公司的卡车,以及威胁行为者战略性地针对运输危险货物的车辆。
根据NMFTA的新研究论文,远程射频攻击可以使用成本从300美元到10,000美元不等的设备在最远12英尺的距离内对制动控制器发起。该组织表示,与其他类型的车辆相比,用于运输燃料和其他液体的油轮和用于运输各种货物三联公路列车似乎更容易受到攻击。
研究人员警告称,目前可供攻击者使用的PLC功能对车队和整个货运行业构成严重风险。研究人员描述了几种理论上的攻击场景,包括资金充足的攻击者将发射器放置在道路阻塞点,例如港口、隧道、桥梁,以攻击大量卡车。攻击者也有可能在客车牵引的长拖车中使用移动发射器。
对于更容易受到影响的设备,例如油轮,可能会在较短的距离内以有限的预算发起攻击,例如车道分离或沟渠到道路。
虽然攻击者可能会试图造成损坏,以使车辆无法移动,但恶意行为者也可能导致驾驶室中的ABS故障灯亮起,这可能会让驾驶员在安全位置停车。
NMFTA发布了一份文件,描述了供应商可以实施的缓解方案。该组织认为,从长远来看,J2497拖拉机-拖车接口应该只允许所需的ABS警告消息。不应允许出于恶意目的滥用诊断、重置或其他命令。应将附加功能移至新的数据总线,即在设计时考虑到安全性。
Gardiner表示,“NMFTA对拖车制动控制器和通信进行了研究,因为当我们开始研究时,在拖车制动控制器的安全性知识方面似乎存在差距,并且该行业现有通信标准(J2497又名PLC4TRUCKS)不再满足车队的需求。美国卡车运输协会技术与维护委员会(ATA TMC)的工作组正在起草新的接口标准。NMFTA希望确保下一个拖拉机拖车接口将成为一个安全平台,以实现车队希望在未来几十年内部署在其上的各种功能。NMFTA正在与ATA TMC工作组合作,提出对事件做法的修正,包括更新和开发新的实践。”
参考来源:SecurityWeek http://985.so/kn8d
(四)Elcomplus公司工业产品存在多个漏洞
安全研究人员Michael Heinzl在俄罗斯专业无线电通信和工业自动化公司Elcomplus生产的SmartPTT SCADA产品中发现了9个安全漏洞,均为严重及高危漏洞。
SmartPTT SCADA产品将SCADA/IIoT系统的功能与专业无线电系统的调度软件相结合。Elcomplus旗下专注于SCADA和工业物联网可视化平台的SmartICS制造的产品似乎也受到一些漏洞的影响,因为它们共享代码。
受影响的产品被包括美国在内的90个国家/地区的2,000多个组织使用,因此美国CISA对此发布了两条建议,向组织通报这些漏洞。
安全漏洞包括路径遍历、跨站点脚本(XSS)、任意文件上传、授权绕过、跨站点请求伪造(CSRF)和信息泄露问题。
利用这些漏洞,攻击者可以上传文件、在系统上读取或写入任意文件、获取以明文形式存储的凭据、代表用户执行各种操作、执行任意代码、以及提升访问管理员功能的权限。在某些情况下,利用这些漏洞需要身份验证或用户交互,例如单击链接或访问某些页面。
研究人员在2021年4月通过CISA向供应商报告了这些漏洞。虽然供应商的反应不是很迅速,但它似乎在2021年底之前发布了补丁。
这些并不是Heinzl发现的唯一ICS漏洞。去年,研究人员披露了日本电子巨头欧姆龙的CX-Programmer PLC编程软件、富士电机的Tellus工厂监控和操作产品、台达电子的DIAEnergie工业能源管理系统、以及捷克工业自动化公司mySCADA的myPRO HMI/SCADA产品中发现的漏洞。
参考来源:SecurityWeek http://985.so/k9tp
(五)Quantum勒索软件攻击仅需4个小时
The DFIR Report研究人员发现,Quantum勒索软件的攻击速度进行了快速升级,从最初感染到完成加密设备,攻击仅持续了3小时44分钟,使得防御者几乎没有时间做出反应。威胁行为者使用IcedID恶意软件作为其初始访问媒介之一,该恶意软件部署Cobalt Strike进行远程访问,并使用Quantum Locker进行数据盗窃和加密。
Quantum勒索软件在2021年8月首次被发现,The DFIR Report发现,攻击使用IcedID恶意软件作为对目标机器的初始访问,这是通过包含ISO文件附件的网络钓鱼电子邮件到达的。
IcedID是过去五年使用的模块化银行木马,主要用于第二阶段有效负载部署、加载程序和勒索软件。IcedID和ISO档案的组合最近被用于其他攻击,因为这些文件非常适合通过电子邮件安全控制。
在初始感染两小时后,威胁行为者将Cobalt Strike注入C:\Windows\SysWOW64\cmd.exe进程以逃避检测。在这个阶段,入侵者通过转储LSASS的内存来窃取Windows域凭据,从而使它们能够通过网络横向传播。
The DFIR Report表示,“在接下来的一个小时里,攻击者继续与环境中的其他服务器建立RDP连接。一旦威胁者掌握了域的布局,他们就准备通过C$共享文件夹将名为ttsel.exe的勒索软件复制到每个主机来部署勒索软件。”
最终,威胁行为者使用WMI和PsExec部署Quantum勒索软件有效负载并加密设备。
这次攻击只用了四个小时,速度相当快,而且由于这些攻击通常发生在深夜或周末,因此并没有为网络和安全管理员提供检测和响应攻击的大窗口。
The DFIR Report提供了有关Quantum Locker使用的TTP的详细信息,包括IoC以及IcedID和Cobalt Strike用于通信的C2地址。
Quantum Locker勒索软件是MountLocker勒索软件操作的更名,该软件于2020年9月推出。从那时起,勒索软件团伙将其运营重新命名为各种名称,包括AstroLocker、XingLocker、以及现阶段的Quantum Locker。
Quantum更名发生在2021年8月,勒索软件加密器开始将.quantum文件扩展名附加到加密文件名,并留下名为README_TO_DECRYPT.html的赎金票据。
该赎金票据包括指向Tor赎金协商站点的链接和一个与受害者相关联的唯一ID。赎金票据还指出,数据在攻击期间被盗,如果不支付赎金,攻击者威胁要公布这些数据。
虽然DFIR表示在分析的攻击中没有发现任何数据泄露活动,但该组织在过去确实在攻击期间窃取数据,并以双重勒索计划泄露数据。该组织的赎金要求因受害者而异,有些攻击需要15万美元才能获得解密程序,而有的攻击则勒索数百万美元。
幸运的是,Quantum Locker不像之前的版本那样非常活跃,每个月只有少数几次攻击。然而虽然该组织可能不像Conti、LockBit和AVOS等其他勒索软件那样活跃,但仍然是一个重大风险,对于网络防御者来说,了解与其攻击相关的TTP很重要。
参考来源:BleepingComputer http://985.so/kga7
(六)可口可乐疑似遭受Stormous黑客攻击泄露161GB数据
Stormous勒索软件组织声称其成功入侵了可口可乐公司的部分服务器,并窃取了161G数据。可口可乐正在与执法部门合作调查此网络攻击事件,目前该事件尚未导致负面影响。Stormous在其泄密网站上列出了待售的数据,包括压缩文档、包含管理员、电子邮件和密码的文本文件、账户和付款ZIP档案、以及其他类型的敏感信息,售价为约64,000美元。
Stormous组织最近在Telegram上发起了一项民意调查,选择其下一个攻击目标公司,可口可乐公司得票最多,以72%赢得了民意调查。该组织声称会进行黑客攻击、进行DoS攻击、泄露软件源代码及客户数据,只用了几天就攻击了可口可乐公司。
Stormous在Telegram上表示,“因为这是对巨型饮料公司可口可乐的投票!我们入侵了他们的一些服务器,并窃取了超过了161G数据!但是我们并不想通过任何其他方式出售它,我们已经在我们自己的暗网中开设了我们的商店!这家公司是第一个受害者。在我们的网站上浏览一下,如果您想购买,可以联系我们,我们将为您提供一些所需的数据作为初步证明!然后你可以根据你想要的数据量支付或购买!警告:这只是向一些大公司出售数据的一种方式,但对于其他公司,我们会像往常一样泄露他们的数据!!”
该组织窃取的数据有161GB,包含13个文件,售价为1.6467个比特币,约合64,396.67美元。这对于可口可乐这类大公司来说是非常低的赎金。在俄乌冲突期间,Stormous组织选择支持俄罗斯。
尽管Stormous声称其是一个勒索软件组织,但目前没有迹象表明该组织在受害者网络上部署了文件加密恶意软件,该组织更类似于数据勒索组织。
参考来源:SecurityAffairs http://985.so/kg8f
(七)伊朗政府挫败了针对公共服务的大规模网络攻击
据伊朗国家电视台报道,伊朗政府已经挫败了针对政府和私人组织运营的公共服务的大规模网络攻击。攻击发生在最近几天,目标是100多个公共部门机构基础设施。伊朗没有详细说明或列举公共部门机构、组织或服务的具体例子。
网络攻击背后的身份不明的威胁行为者利用荷兰、英国和美国的互联网协议进行攻击。世界大国正在努力恢复与德黑兰达成的破旧核协议,伊朗偶尔会宣布针对伊斯兰共和国的网络攻击。
去年10月,对伊朗燃料分配系统的袭击导致全国加油站瘫痪,导致愤怒的驾驶者排长队,数日无法获得补贴燃料。7月,对伊朗铁路系统的网络攻击造成了混乱和火车延误。
21世纪末,人们普遍认为是美国和以色列共同制造的Stuxnet计算机病毒破坏了伊朗核设施中的离心机,伊朗将其大部分政府基础设施与互联网断开连接。
参考来源:APNews http://985.so/k850
(八)哥斯达黎加政府系统遭受Conti勒索软件攻击
哥斯达黎加政府基础设施遭受了勒索软件攻击,导致计算机系统瘫痪近一周。哥斯达黎加政府拒绝支付赎金,Conti勒索软件组织声称对此次攻击负责。
财政部是第一个报告问题的部门,从税收征收到通过海关机构的进出口过程,其许多系统都受到了影响。随后社会保障机构人力资源系统、劳工部以及其他机构遭受了攻击。最初的攻击迫使财政部负责大部分公职人员的支付系统关闭了数小时,该系统还负责处理政府养老金支付,因此不得不批准延期纳税。
Conti没有公布具体的赎金金额,但哥斯达黎加总统卡洛斯·阿尔瓦拉多表示,“哥斯达黎加国家不会向这些网络犯罪分子支付任何费用。”在社交媒体平台上网传赎金金额为1000万美元,但该数字并未出现在Conti网站上。
哥斯达黎加企业担心提供给政府的机密信息可能会被公开,并用来对付他们,而普通民众则担心个人财务信息可能会被用来清理他们的银行账户。
哥斯达黎加出口商商会执行董事Christian Rucavado表示,对海关机构的攻击破坏了进出口物流。在冷藏库中等待的易腐烂物品在与时间赛跑,目前仍然无法估计经济损失。贸易仍在发展,但速度要慢得多。“一些边境区域出现了延误,因为他们是手动完成这个过程。我们已经要求政府采取各种行动,比如延长工作时间,以便能够处理进出口问题。”哥斯达黎加通常每天平均出口3800万美元的产品。
安全公司Recorded Future情报分析师Allan Liska表示,Conti正在进行双重勒索,加密政府文件,以冻结机构的运作能力,并在没有支付赎金的情况下将被盗文件发布到该组织在暗网上的勒索网站。如果系统有良好的备份,通常可以克服第一部分,但第二部分更为棘手,这取决于数据的敏感性。
Liska表示,Conti通常将其勒索软件基础设施出租给支付服务费用的“附属机构”,攻击哥斯达黎加的附属机构可能在世界任何地方。
一年前,Conti勒索软件攻击迫使爱尔兰的卫生系统关闭其信息技术系统,取消预约、治疗和手术。上个月,Conti承诺在俄乌冲突中支持俄罗斯,此举激怒了支持乌克兰的网络犯罪分子,促使长期监视Conti的安全研究人员泄露了Conti运营商之间的大量内部通信。
当被问及为什么以热带野生动物和海滩而闻名的中美洲最稳定的民主国家会成为黑客攻击目标时,Liska表示,动机通常更多地与弱点有关,“他们正在寻找特定的漏洞。因此,最可能的解释是,哥斯达黎加存在许多漏洞,其中一名勒索软件攻击者发现了这些漏洞,并能够利用它。”
Emsisoft勒索软件分析师Brett Callow表示,他查看了哥斯达黎加财政部泄露的一份文件,“似乎毫无疑问这些数据是合法的。”
周五Conti勒索网站表示,它已经公布了50%的被盗数据,包括来自财政部和其他机构数据库的超过850GB的材料。“这对于网络钓鱼来说都是理想选择,祝愿哥斯达黎加的同事在利用这些数据获利方面好运。”
这似乎与阿尔瓦拉多关于攻击与金钱无关的断言相矛盾。Callow表示,“我的观点是,这次袭击不是金钱问题,而是在过渡时期威胁国家的稳定。即将卸任的政府和哥斯达黎加新总统5月8日宣誓就职。他们无法实现。”
阿尔瓦拉多确实暗示这次攻击的动机可能是哥斯达黎加公开拒绝谴责俄乌冲突。“你也不能将它与数字化世界中复杂的全球地缘政治局势分开”。
参考来源:美联社 http://985.so/kdvc
(九)法国电信运营商Free因光纤电缆遭受破坏导致网络中断
法国电信运营商Free表示,由于疑似关键数据基础设施光纤电缆在夜间遭受攻击,导致法国多个城市的互联网及电话服务出现故障或运行缓慢。
据法国媒体报道,Fresnes-en-Woëvre、Meaux、Souppes-sur-Loing和Le Coudray-Montceaux的地下电缆已被切断。这些电缆为巴黎-里尔、巴黎-斯特拉斯堡和巴黎-里昂提供长途互联网连接。
受影响最严重的互联网和移动电话服务提供商Free发言人表示,“袭击发生在凌晨4:00。我们的团队从今天早上开始一直在工作。”在推特消息中,该公司表示其电缆遭到了多种恶意行为,导致许多客户出现中断和连接缓慢的情况。
竞争对手SFR表示,其在巴黎地区和法国东南部的里昂经历了几次光纤电缆切断。
Bouygues Telecom和市场领导者Orange等其他运营商没有受到影响,因为他们使用不同的网络,但全国各地的用户都报告了问题,包括斯特拉斯堡、兰斯和格勒诺布尔等地区城市的用户。
法国数字事务部长Cedric O在推特上表示,“已确认巴黎地区的电缆中断会影响固定和移动服务。”
目前尚不清楚问题的根源,但专家强调,对光缆的明显协同攻击是前所未有的。一位不愿透露姓名的安全消息人士表示,“这种规模的事件从未发生过。这是第一次,我们暂时不知道是谁。”
受影响的运营商Free表示,他们的技术人员通宵工作以恢复服务,问题已得到控制。
云计算集团等其他IT公司也受到了中断的打击,这迫使Free和SFR将数据转移到其他路径。
数据中心公司Telehouse的Sami Slim表示,“这有点像高速公路被封锁,你需要将所有交通转移到其他道路。这可能会导致小规模的中断,但互联网可以工作。”
削减的目标是主干电缆,这些电缆在不同地区之间传输大量数据,通常沿着高速公路或铁路运行。巴黎-里昂和巴黎-斯特拉斯堡的联系显然是目标。
2020年3月,用于Orange网络的光缆在巴黎地区被故意切断,数以万计的用户无法连接互联网。
参考来源:AFP http://985.so/knmu
(十)美国电信公司T-Mobile遭受Lapsus$黑客攻击
美国电信公司T-Mobile证实,其遭受了Lapsus$勒索软件攻击,攻击者使用窃取的凭证入侵了其网络,并获得了对内部系统访问权限。T-Mobile在发现安全漏洞后立即切断了网络犯罪组织对其网络的访问,并禁用了黑客攻击中使用的凭据。T-Mobile声称Lapsus$在攻击事件期间没有窃取敏感的客户或政府信息。
T-Mobile发言人表示,“几周前,我们的监控工具检测到一个威胁行为者使用被盗凭据访问包含操作工具软件的内部系统。访问的系统不包含客户或政府信息或其他类似的敏感信息,我们没有证据表明入侵者能够获得任何有价值的东西。我们的系统和流程按设计运行,入侵被迅速关闭,使用的受损凭证已废止。”
独立调查记者Brian Krebs在查看了Lapsus$组织成员之间泄露的Telegram聊天消息后,首次报道了此次违规行为。据Krebs称,在移动运营商的网络内,网络犯罪分子能够窃取专有的T-Mobile源代码。
自2018年以来,T-Mobile还披露了其他六起数据泄露事件,其中一次是黑客访问了其3%客户的数据。一年后2019年,T-Mobile披露其暴露了预付费客户的数据,而在2020年3月,未知的威胁行为者获得了对T-Mobile员工电子邮件账户的访问权限。
2020年12月,黑客还获得了客户专有网络信息(电话号码、通话记录)的访问权限,而2021年2月,一个内部T-Mobile应用程序在未经攻击者授权的情况下被访问。几个月后的8月,攻击者在破坏了运营商的测试环境后,暴力破解了T-Mobile的网络。
根据VICE的一份报告,在2021年8月的违规事件发生后,T-Mobile在通过第三方公司向黑客支付了270,000美元,试图阻止被盗数据在网上泄露,但未能成功。
上个月,纽约州总检察长办公室警告T-Mobile是8月份数据泄露事件的受害者,其被盗的一些敏感信息最终在暗网上出售,面临着越来越大的身份盗窃风险。
本月早些时候,新泽西网络安全与通信集成中心还通知T-Mobile客户,一项不可阻止的SMS网络钓鱼活动可能会利用过去数据泄露中被盗的信息来针对他们。
参考来源:BleepingComputer http://985.so/k8a9
(十一)VirusTotal平台存在严重RCE漏洞
Cysource安全研究人员发现,VirusTotal平台存在安全漏洞,攻击者可利用该漏洞将VirusTotal平台武器化,在使用防病毒引擎的未打补丁的第三方沙箱机器上进行远程代码执行(RCE)。
Cysource研究人员Shai Alfasi和Marlon Fabiano da Silva在报告中表示,该漏洞现已修复,可以“通过VirusTotal平台远程执行命令,并获得其各种扫描功能的访问权限。”
VirusTotal是Google的Chronicle安全子公司的一部分,是一项恶意软件扫描服务,可以分析可疑文件和URL,并使用70多种第三方防病毒产品检查病毒。
攻击方法涉及通过平台的Web用户界面上传DjVu文件,当该文件传递给多个第三方恶意软件扫描引擎时,可能会触发ExifTool中高危远程代码执行漏洞的利用。ExifTool是一款开源实用程序,用于读取和编辑图像和PDF文件中的EXIF元数据信息。
CVE-2021-22204是CVSS评分7.8分的高危漏洞,是由ExifTool对DjVu文件的错误处理引起的任意代码执行,该漏洞已由其维护者在2021年4月13日发布的安全更新中修复。
这种攻击导致的后果是,它向受影响的机器提供了反向shell,这些机器链接到一些尚未针对远程代码执行漏洞进行修补的防病毒引擎。
该漏洞不会影响VirusTotal,创始人Bernardo Quintero在声明中确认,这是预期行为,并且代码执行不在平台本身中,而是在第三方中分析和执行样本的扫描系统。Cysource还表示,它使用的ExifTool版本不易受到该漏洞的影响。
Cysource于2021年4月30日通过谷歌的漏洞奖励计划(VRP)负责任地报告了该漏洞,随后立即纠正了安全漏洞。
这不是ExifTool漏洞第一次作为实现远程代码执行的渠道。去年,GitLab修复了一个CVSS评分10.0的严重漏洞CVE-2021-22205,该漏洞与用户提供的图像验证不当有关,导致任意代码执行。
参考来源:TheHackerNews http://985.so/kn9r
(十二)黑客在Hack DHS漏洞赏金计划发现122个漏洞
美国国土安全部(DHS)披露,有450多名安全研究人员参与了Hack DHS漏洞赏金计划,在外部DHS系统中发现了122个漏洞,其中27个为严重漏洞。DHS向参与者提供了125,600美元的奖金,每个漏洞的奖金为500至5,000美元不等,具体取决于漏洞严重程度。
国土安全部漏洞赏金计划于2021年12月启动,使该机构与其他已经拥有漏洞赏金计划的其他机构同步,例如国防部和美国国税局,这两个机构都在2016年启动了漏洞赏金计划。2019年1月特朗普签署了一项立法,要求国土安全部在六个月内制定一项测试漏洞赏金计划。
DHS在声明中表示,国土安全部是第一个扩大其漏洞赏金计划以发现和报告所有公共信息系统资产中的log4j漏洞的联邦机构,“这使DHS能够识别和关闭未通过其他方式出现的漏洞。”12月,国土安全部网络安全和基础设施安全局局长Jen Easterly称log4j漏洞是她见过的最可怕的漏洞之一。
国土安全部部长Alejandro Mayorkas在声明中表示,“各种规模和各个部门的组织,包括国土安全部等联邦机构,都必须保持警惕,并采取措施加强其网络安全。”
该声明没有披露发现的漏洞,也没有分享任何有关漏洞修复的信息。根据DHS计划的原始计划,该机构将在收到通知后48小时内验证漏洞,并在15天内修复,或者对于更复杂的漏洞,制定解决方案。
漏洞赏金计划旨在激励经过审查的安全研究人员在明确定义的参数范围内探测商定的计算机系统中的漏洞。此类项目的批评者担心,不道德的研究人员可能会在黑市上以远远超过5,000美元DHS上限的价格出售该漏洞,或者将发现的漏洞交给软件供应商,并寻求某种形式的赎金。
这是国土安全部漏洞赏金计划的第一阶段。第二阶段将包括现场的当面黑客活动,而第三阶段将确定经验教训,为未来的漏洞赏金计划提供信息。
国土安全部首席信息官Eric Hysen在声明中表示,“安全研究人员社区在HACK DHS第一阶段的热情参与,使我们能够在关键漏洞被利用之前发现并修复它们。”
参考来源:CyberScoop http://985.so/k8m7
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
