关键信息基础设施安全动态周报【2022年第12期】
发布时间:
2022-04-01
来源:
作者:
天地和兴
访问量:
505
目 录
第一章 国内关键信息基础设施安全动态
(一)FCC将中国电信和中国移动列入国家安全威胁清单
第二章 国外关键信息基础设施安全动态
(一)Spring4Shell漏洞可导致远程代码执行
(二)新型攻击方法Brokenwire可远程阻止电动汽车充电
(三)本田存在中间人漏洞,攻击者可解锁车辆并启动引擎
(四)微软Defender for IoT中存在多个严重漏洞
(五)乌克兰互联网服务提供商Ukrtelecom遭受大规模网络攻击
(六)美国去年关键基础设施遭受勒索软件攻击649起
(七)拜登大幅增加网络安全预算
(八)黑客组织Lapsus$攻击IT公司Globant泄露70GB数据
(九)新型恶意软件MarsStealer可窃取用户信息
(十)美国警告称威胁行为者攻击UPS备用电源设备
(十一)日本糖果制造商森永泄露客户数据
第一章 国内关键信息基础设施安全动态
(一)FCC将中国电信和中国移动列入国家安全威胁清单
3月25日,美国联邦通信委员会(FCC)公共安全和国土安全局在其被视为威胁国家安全的通信设备和服务清单中增加了三家实体的设备和服务,其中包括中国电信(美洲)公司和中国移动国际美国公司。
FCC主席Jessica Rosenworcel表示,“去年,FCC首次公布了对国家安全构成不可接受风险的通信设备和服务清单,我们一直在与国家安全合作伙伴密切合作,审查和更新这份清单。今天的行动是FCC正在进行的努力中的最新行动,作为政府整体行动的一部分,以加强美国的通信网络,对抗国家安全威胁,包括审查在美国提供服务的电信公司的外国所有权,并撤销必要时运营的授权。我们在这一领域的工作仍在继续。”
《安全和可信通信网络法》要求委员会公布并维护对国家安全或美国人员的安全构成不可接受风险的通信设备和服务清单。FCC于2021年3月发布了初始名单,并将随着其他通信设备和服务符合法律规定的标准继续更新该列表。
3月12日,FCC宣布将五家中国企业列入“对国家安全构成威胁的通信设备和服务清单”,包括华为技术有限公司、中兴通讯股份有限公司、海能达通信股份有限公司、杭州海康威视数字技术股份有限公司和浙江大华技术股份有限公司。
3月25日,FCC又在该清单中添加了两家中国企业,分别为中国移动国际(美国)有限公司和中国电信(美洲)公司。
同时据路透社报道,美国联邦通信委员会(FCC)3月16日周三投票,撤销了中资电信企业太平洋网络(Pacific Networks)及其全资子公司ComNet提供美国电信服务的授权。
以4比0的投票结果撤销了2001年的授权,这是美国监管机构以国家安全为由禁止中资电信运营商进入美国的最新举措。联邦通信委员会说,太平洋网络和ComNet是由中国政府间接和最终拥有和控制的。
代表太平洋网络的美国律师Jeffrey J. Carlisle未发表评论。今年1月他告诉FCC,太平洋网络和ComNet由中信国际电讯拥有。
FCC称,这些运营商最终由中国国有的中国中信集团控制。
Carlisle在信中说,这些运营商“在美国从事非常有限和小规模的基于设施的业务,不构成国家安全问题,这些公司的主要业务是提供零售电话卡”。
联邦通信委员会委员Geoffrey Starks指出,委员会为解决中资电信运营商问题进行了三年的努力。“从整体上看,我们的行动加强了我们的国家安全。”
参考来源:FCC http://u6.gg/kty92
第二章 国外关键信息基础设施安全动态
(一)Spring4Shell漏洞可导致远程代码执行
Sysdig安全研究人员在Spring Cloud Function中发现了一个安全漏洞,称为Spring4Shell,可导致远程代码执行和整个联网主机受损。该漏洞潜伏在Java应用程序中,很容易被利用,类似于去年12月发现的Log4Shell漏洞。
Sysdig安全研究人员Stefano Chierici表示,“Spring4Shell是一系列主要Java漏洞中的另一个。它的利用门槛非常低,因此我们预计攻击者会大量扫描互联网。一旦被发现,他们可能会安装加密矿工、DDoS代理、或其远程访问工具包。”
在3月29日发布的安全公告显示,该漏洞CVE-2022-22963影响版本3.1.6和3.2.2,以及不受支持的旧版本。用户应更新到3.1.7和3.2.3以实施补丁。
Spring Cloud是一个开源微服务框架,即现成的组件集合,可用于在企业中构建分布式应用程序。它被各行各业广泛使用,包括与Kubernetes和Netflix等各种应用程序提供商的组件的现成集成。
因此,据Sysdig称,它的足迹令人担忧。Chierici表示,“Spring被数百万开发人员使用Spring框架来创建高性能、易于测试的代码。Spring Cloud Function框架允许开发人员使用Spring特性编写与云无关的函数。这些功能可以是独立的类,并且可以轻松地将它们部署在任何云平台上,以构建无服务器框架。”
Chierici补充表示,“由于Spring Cloud Function可用于AWS lambda或Google Cloud Functions等云无服务器功能,这些功能也可能受到影响,导致攻击者进入您的云账户。”
根据Sysdig的说法,该漏洞可以通过HTTP被利用,就像Log4Shell一样,它只需要攻击者向Java应用程序的HTTP服务发送恶意字符串。
Chierici解释表示,“使用路由功能,用户可以提供特制的Spring表达式语言(SpEL)作为路由表达式,来访问本地资源并在主机中执行命令。CVE-2022-22963的问题在于,它允许通过StandardEvaluationContext注入和执行HTTP请求标头spring.cloud.function.routing-expression参数和SpEL表达式。”
因此不幸的是,使用一个简单的curl命令就很容易实现漏洞利用。Sysdig在其GitHub页面上发布了概念验证PoC。
根据Sysdig的说法,在应用补丁后,任何使用Spring Cloud构建的应用程序的人都应该仔细清点他们的安装,以确保尚未发生入侵。
Chierici表示,“即使您可能已经升级了库,或对受漏洞影响的容器应用了其他缓解措施之一,您仍需要检测环境中的任何利用尝试和违规后活动,”
Chierici指出,这种检测可以通过图像扫描仪或运行时检测引擎来完成,以找出已经部署的主机或Pod中的恶意行为。
Sysdig文章声称,“对这类漏洞的最佳防御是尽快修补。在当今世界,必须清楚地了解在您的环境中使用的软件包。”
参考来源:ThreatPost http://u6.gg/ktrwa
(二)新型攻击方法Brokenwire可远程阻止电动汽车充电
英国牛津大学研究人员发现了一种新型攻击方法,可用于远程中断电动汽车的充电。这种方法名为Brokenwire,可向目标车辆无线发送恶意信号,以造成电磁干扰并中断充电。
Brokenwire攻击的目标是组合充电系统,是一种广泛使用的直流快速充电技术,会中断充电器和车辆之间的通信。Brokenwire攻击仅适用于直流快速充电器,通常使用交流充电的家庭充电站不会受到影响,因为它们使用不同的通信标准。
Brokenwire是针对组合充电系统(CCS)的一种新型攻击,CCS是电动汽车(EV)中使用最广泛的直流快速充电技术之一。攻击会中断车辆和充电器之间必要的控制通信,导致充电中止。攻击可以使用电磁干扰从远处以无线方式进行,从而可以同时破坏单个车辆或整个车队。此外,可以使用现成的无线电硬件和最低限度的技术知识进行攻击。功率预算为1W,攻击在47m左右的距离成功。攻击行为需要利用HomePlug Green PHY、DIN 70121和ISO 15118标准的部分。
Brokenwire预计会对在全球道路上行驶的1200万辆电池电动汽车中的许多电动汽车造成直接影响,并且对私营企业和关键公共服务的新性车队电气化产生了深远影响。除电动汽车外,Brokenwire还影响电动船舶、飞机和重型车辆。
因此研究人员向行业进行了披露,并讨论了一系列可用于限制影响的缓解技术。研究人员没有披露攻击的详细细节,因此制造商可以在低漏洞利用风险时开发解决方案。
充电技术标准化即组合充电系统(CCS)是多个技术标准的集合。在充电过程中,电动汽车(EV)和电动汽车供电设备(EVSE)交换重要信息,例如充电状态(SoC)或最大可能电流。用于通信的高带宽IP链路由HomePlug Green PHY(HPGP)电力线通信(PLC)技术提供。根据地理区域不同,CCS使用不同的插头类型,然而底层技术是相同的。
研究人员在实验室环境中,针对充电电缆和攻击者之间的不同距离在受控设置下评估了攻击。测试平台由大多数电动汽车和充电站中的相同HPGP调制解调器组成。在攻击者方面,研究人员使用了软件定义无线电(LimeSDR),以及1W射频放大器和自制的偶极天线。此外研究人员在对来自不同制造商的7辆汽车和18个直流大功率充电器的实际研究中测试了该攻击。
实验结果表明,现成的设备足以从最远10m的距离执行攻击。在10mW的功率预算下,可以从10m以外的地方进行攻击。
虽然该攻击方法可能只会给个人带来不便,但中断电动救护车等关键车辆的充电过程可能会危及生命。目前没有证据表明,Brokenwire攻击会造成长期损害。目前防止攻击的唯一方法是,不要在直流快速充电器上充电。Brokenwire攻击不需要物理访问,可以在几米外同时破坏多辆汽车的充电,使其成为一种隐蔽且可扩展的攻击。
参考来源:Brokenwire http://u6.gg/ktubn
(三)本田存在中间人漏洞,攻击者可解锁车辆并启动引擎
安全研究人员披露了一个影响部分本田和讴歌车型的重放攻击漏洞,该漏洞允许附近的黑客解锁车辆,甚至可以在短距离内启动引擎。
威胁行为者捕获从遥控钥匙发送到汽车的射频信号,并重新发送这些信号,以控制车辆的远程无钥匙进入系统。该漏洞在旧款型号中基本上仍未修复。但本田车主或许可以采取一些行动来保护自己免受这种攻击。
研究人员Blake Berry和Ayyappan Rajesh发现了一个漏洞,附近的攻击者可以利用该漏洞解锁一些本田和讴歌车型,并以无线方式启动引擎。该漏洞编号为CVE-2022-27254,是一种中间人(MitM)攻击,或者更具体地说是一种重放攻击,攻击者拦截通常从远程遥控钥匙发送到汽车的射频信号,操纵这些信号,并在随后重新发送这些信号以便随意解锁车辆。
研究人员分享了一段视频,展示了该漏洞可远程启动引擎,然而目前并没有分享技术细节或概念验证(PoC)漏洞利用代码。据研究人员称,受此漏洞影响的车辆主要包括2016-2020年本田思域的LX、EX、EX-L、Touring、Si、R型号。
在GitHub存储库中,Berry分享说,还可以操纵捕获的命令,并重新传输它们,以实现完全不同的结果。例如在他的一项测试中,Berry记录了密钥卡发送的“锁定”命令,该命令由以下位组成:653-656、667-668、677-680、683-684、823-826、837-838、847-850、853-854。Berry随后“翻转”并将这些位重新发送到车辆,这反过来又具有解锁车辆的效果。
这并不是第一次在汽车中报告这种漏洞。2020年,Berry报告了影响以下本田和讴歌车型的类似漏洞CVE-2019-20626,但声称本田无视了他的报告,并“继续针对这种非常简单的重放/编辑攻击实施0项安全措施。”
受影响的车辆型号包括:2009讴歌TSX、2016本田雅阁V6旅行轿车、2017本田HR-V(CVE-2019-20626)、2018本田思域掀背车、2020本田思域LX。
研究人员对汽车制造商的建议是,他们实施“滚动代码”,也称为跳频码。这种安全技术为每个身份验证请求提供新的代码,因此这些代码不能在以后被攻击者“重放”。
2022年1月,研究人员Kevin2600还披露了一个类似的漏洞,编号为CVE-2021-46145,但特定的无钥匙系统使用滚动代码,因此使攻击的效果大大降低。
本田表示,多家汽车制造商使用传统技术来实现远程锁定解锁功能,因此可能容易受到“坚定且技术成熟的攻击者”的攻击。“目前,这些设备似乎只能在靠近目标车辆或物理连接到目标车辆时工作,当车辆在附近打开和启动时,需要本地接收来自车主钥匙扣的无线电信号。”
本田在声明中表示,其没有验证研究人员报告的信息,也无法确认本田的车辆是否真的容易受到这种类型的攻击。但如果车辆易受攻击,“本田目前没有更新旧车辆的计划。值得注意的是,虽然本田随着新车型的推出而定期改进安全功能,但坚定且技术成熟的攻击者也在努力克服这些功能。”
此外本田辩称,附近的攻击者可以使用其他方式进入车辆,而不是依赖像这样的高科技黑客,并且没有迹象表明这种类型的拦截设备被广泛使用。尽管如此,该漏洞的远程引擎启动方面仍然存在问题,因为它远远超出了简单的车门解锁黑客。
研究人员建议消费者在不使用时将钥匙存放在屏蔽信号的“法拉第袋”中,尽管这种方法仍然无法防止攻击者在使用钥匙时窃听信号。
研究人员提出的另一个建议是,消费者选择被动无钥匙进入(PKE),而不是远程无钥匙进入(RKE),这将使攻击者更难读取信号,因为他们需要在附近。
研究人员总结表示,“如果您认为自己是这次攻击的受害者,目前唯一的缓解措施是在经销商处重置您的遥控钥匙。”
参考来源:BleepingComputer http://u6.gg/kthid
(四)微软Defender for IoT中存在多个严重漏洞
SentinelLabs研究人员在微软Azure的Defender for IoT中发现了多个安全漏洞,影响云及本地客户。未经身份验证的攻击者可以通过滥用Azure密码恢复机制中的漏洞,远程破坏受Microsoft Azure Defender for IoT保护的设备。
SentinelLabs的调查结果于2021年6月主动向微软报告,漏洞编号为CVE-2021-42310、CVE-2021-42312、CVE-2021-37222、CVE-2021-42313和CVE-2021-42311,其中一些的CVSS得分为10分。
微软已发布安全更新以解决这些严重漏洞,并鼓励用户立即采取行动。目前,SentinelLabs尚未发现野外滥用的证据。
端点安全公司SentinelOne研究人员3月28日发布了有关微软Defender for IoT中发现的几个严重远程代码执行漏洞的详细信息。
Defender for IoT设计具有持续网络检测和响应(NDR)功能,支持各种IoT、OT和工业控制系统(ICS)设备,并且可以在本地和云端部署。
CVE-2021-42311和CVE-2021-42313两个严重漏洞的CVSS得分为10分,微软在2021年12月补丁星期二进行了更新。这两个都是SQL注入漏洞,远程攻击者无需身份验证即可利用这些漏洞来实现任意代码执行。
SentinelLabs解释表示,在令牌验证过程中发现CVE-2021-42313存在是因为UUID参数未经过清理。该漏洞允许他们“插入、更新和执行SQL特殊命令”。研究人员发布了概念验证(PoC)代码,利用该漏洞可从数据库中提取登录用户会话ID,从而导致账户完全接管。
CVE-2021-42311也与令牌验证过程相关,尽管由不同的功能执行,但存在该漏洞是因为用于验证的API令牌在Defender for IoT安装之间共享。
SentinelLabs于2021年6月向微软报告了其他三个漏洞,Defender for IoT中的两个高危漏洞CVE-2021-42312和CVE-2021-42310,以及RCDCAP开源项目中的一个漏洞CVE-2021-37222。
SentinelLabs解释表示,CVE-2021-42310与Azure门户的密码恢复机制有关,该机制由Python Web API和Java Web API组成,容易出现TOCTOU漏洞。
该机制使用用户需要在密码重置页面上上传的签名密码重置ZIP文件。但是由于存在安全漏洞,可以使用来自不同用户的签名ZIP文件来创建包含恶意JSON的ZIP文件。
该攻击可用于获取特权用户cyberx的密码,这可能导致以root权限执行代码。微软于2020年收购了CyberX,并在其产品上构建了Defender for IoT。
这导致研究人员发现了一个影响更改密码机制的简单命令注入问题,该问题已作为CVE-2021-42312的一部分得到解决。
SentinelLabs指出,“虽然我们没有证据表明这些漏洞被野外利用,但我们进一步建议在修补云平台之前撤销部署到平台的任何特权凭据,并检查访问日志是否存在违规行为。”
参考来源:SecurityWeek http://u6.gg/ktrpr
(五)乌克兰互联网服务提供商Ukrtelecom遭受大规模网络攻击
乌克兰主要互联网服务提供商Ukrtelecom的网络流量在3月28日发生中断,是自俄乌冲突以来最广泛的互联网中断之一。乌克兰政府官员将此次中断归因于网络攻击。实时网络数据显示连接性下降到之前水平的13%。
包括NetBlocks和Kentik在内的全球网络监控器3月28日周一标记了涉及该提供商的流量中断。根据NetBlocks的一份报告,“3月28日星期一,对乌克兰国家供应商Ukrtelecom的一次重大网络攻击引发了大规模的全国性网络中断。这一事件在一天中逐渐加剧,导致越来越多的用户离线。”
Ukrtelecom证实,技术问题影响了大多数用户,该公司正在努力恢复服务。
据当地报道,Ukrtelecom曾是一家国有电信运营商,现在由乌克兰首富Rinat Akhmetov控制,截至2021年初,该公司拥有超过20万固定宽带用户,拥有超过100亿美元的资产。
在此次事件发生前的最近一次采访中,Ukrtelecom首席技术官Dmytro Mykytiuk表示,其数千名员工正在修复物理断裂的线路。据报道,Ukrtelecom此前曾在3月8日和3月10日遭遇网络中断,这些中断相当短暂。
乌克兰互联网服务提供商集体Triolan在3月10日左右遭受了更广泛的中断,流量水平需要数天才能恢复。Triolan将此事件归咎于网络攻击,这是自俄乌冲突以来遭受的第二次网络攻击。
当前的战争同时在物理世界和网络世界上演,数字外交、虚假信息、错误信息和黑客活动的攻势都依赖于在线访问。
参考来源:TheRecord http://u6.gg/ktgap
(六)美国去年关键基础设施遭受勒索软件攻击649起
美国FBI互联网犯罪投诉中心(IC3)发布2021互联网犯罪报告显示,勒索软件组织在去年攻击了美国多个关键基础设施部门至少649个组织网络,涉及16个关键基础设施领域的14个,其中针对关键制造业的勒索软件攻击有65起。
但是鉴于FBI仅在2021年6月才开始跟踪报告的勒索软件事件,其中受害者是关键基础设施部门组织,因此实际数字可能更高。此外,如果受害者没有向FBI互联网犯罪投诉中心(IC3)提出投诉,FBI的统计数据中也不会包括攻击。
FBI表示,“IC3收到了649份投诉,表明属于关键基础设施部门的组织是勒索软件攻击的受害者。在16个关键基础设施部门中,2021年有14个部门至少有1个成员成为勒索软件攻击的受害者。”
去年全年,FBI发布了多项建议、私营行业通知(PIN)和针对关键基础设施的勒索软件的紧急警报,包括美国供水和废水处理系统、食品和农业部门、美国医疗保健和急救人员网络以及教育机构。
自去年12月以来,FBI还透露,Ragnar Locker勒索软件组织入侵了至少52个关键组织网络,Cuba勒索软件破坏了至少49个美国关键基础设施实体,而BlackByte勒索软件攻击了至少另外三个其他实体。
根据攻击次数,入侵关键基础设施组织网络的前三大勒索软件团伙是CONTI(87)、LockBit(58)和REvil/Sodinokibi(51)。这些组织的运营商对某些行业的打击比其他行业多,其中CONTI最常攻击关键制造、商业设施以及食品和农业部门。
另一方面,LockBit勒索软件更常用于针对政府设施、医疗保健和公共卫生、以及金融服务部门。与此同时,REvil/Sodinokibi主要针对金融服务、信息技术以及医疗保健和公共卫生领域。
联邦调查局不鼓励支付赎金,因为受害者无法保证这将防止未来的攻击或被盗数据的泄露。相反,支付赎金将进一步激励勒索软件组织瞄准更多受害者,并激励其他网络犯罪集团加入并发动勒索软件攻击。
敦促受害者向当地FBI办事处或IC3报告勒索软件事件。这将为调查人员提供关键信息,以跟踪勒索软件组、追究他们的责任并防止其他攻击。
作为IC3《2021年互联网犯罪报告》的一部分,FBI表示,“预计2022年关键基础设施受害的人数会增加。2021年互联网犯罪报告包括来自847,376起涉嫌互联网犯罪的投诉的信息,比2020年增加了7%,报告的损失超过69亿美元。2021年受害者报告的三大网络犯罪是网络钓鱼诈骗、不付款/不交付诈骗和个人数据泄露。”
参考来源:BleepingComputer http://u6.gg/ktyzm
(七)拜登大幅增加网络安全预算
美国白宫3月28日周一公布了拜登2023财年预算,共计5.8万亿美元。其中网络安全是一项关键优先事项,与上一年相比支出大幅增加,用于民用安全相关活动的预算有109亿美元,比上一年增加了11%。其中大部分分配给了国土安全部的CISA,有25亿美元,比上一年增加了近5亿美元。
这笔资金应有助于改善对联邦基础设施和服务交付的保护,以抵御复杂的网络威胁,包括“维持美国救援计划中实施的关键网络安全能力;在整个联邦行政部门扩大网络保护;并增强支持能力,例如云业务应用程序、增强分析和利益相关者参与。”
该预算还应帮助国家网络主管办公室改善“面对政府和关键基础设施不断升级的网络攻击的国家协调”。此外,还拨款用于改善选举的安全和保障,以及建立公私伙伴关系。
大部分资金用于实现拜登总统于2021年5月签署的网络安全行政命令中概述的目标。行政命令中描述的一些举措已于今年早些时候宣布,其中包括一项与加强国家安全系统网络安全有关的举措、联邦零信任战略、和网络安全审查委员会。
由于来自俄罗斯的威胁越来越大,总统敦促美国公司加强其系统的安全性大约一周后,提出了增加2023财年网络安全预算的提议。拜登表示,政府已获悉莫斯科可能正在策划一场重大的网络攻击。
资金提案还包括2.15亿美元(增加1.97亿美元)用于保护敏感的机构系统和信息,另外1000万美元用于“建立和加强国家网络安全劳动力管道”,以及另外3600万美元用于ICT供应链安全。
预算计划列出了几个将获得资金以改善网络安全的政府组织,包括海岸警卫队、联邦航空管理局、财政部、司法部和退伍军人事务部。
白宫还希望向乌克兰提供6.82亿美元,以“对抗俄罗斯的恶意影响,并满足与安全、能源、网络安全问题、虚假信息、宏观经济稳定和公民社会复原力相关的新兴需求”。
行业专业人士对网络支出的增加表示赞赏。Onapsis首席执行官Mariano Nunez表示,“2023财年预算提案清楚地表明,网络安全仍然是联邦政府的首要任务。过去几周,CISA和拜登政府就俄罗斯网络威胁一再发出警告,这提高了美国各行业机构和企业的警觉状态,预计俄罗斯将发起‘针锋相对’的网络攻击,以应对经济制裁。”
Nunez补充表示,“在这个风险相互关联的新时代,特别是在业务应用程序和关键运营技术基础设施之间,联邦政府内部为网络安全提供额外资金极为重要。优先考虑老化技术堆栈的现代化,对于缓解不断上升的网络安全漏洞至关重要,并确保国家最关键的系统和应用程序免受恶意网络活动的影响。”
另一方面,Stairwell创始人兼首席执行官Mike Wiacek警告表示,“你不能只是以现成的防御形式来抵御复杂的攻击者。保护关键基础设施的组织需要超越基础,达到可以快速消费和共享威胁情报的程度,以便比攻击者更快地行动。”
参考来源:SecurityWeek http://u6.gg/kthzg
(八)黑客组织Lapsus$攻击IT公司Globant泄露70GB数据
IT和软件咨询公司Globant证实,其遭受了Lapsus$数据勒索组织攻击,其管理员凭据和源代码等数据被威胁行为者泄露。Lapsus$组织发布了从Globant窃取的70GB数据档案,称其包含一些客户的源代码。
Globant是一家IT和软件开发公司,在全球拥有16,000多名员工,2021年的收入为12亿美元。Globant成立于阿根廷布宜诺斯艾利斯,目前总部位于卢森堡,拥有众多知名客户,包括Metropolitan Police、SmileDirectClub、Autodesk、Electronic Arts、Santander、Interbank、Royal Carribbean等。
在Lapsus$泄露数据之后,Globant发布了一份新闻稿,确认公司的一些源代码已暴露给未经授权的一方。Globant表示,“我们最近检测到公司代码存储库的有限部分受到未经授权的访问。”
在Lapsus$发布的数据中,有一张Globant的存档目录的截图,其中包含公司客户的文件夹名称。截屏中列出的一些源代码文件夹包括:Abbott、apple-health-app、C-span、Fortune、Facebook、DHL和Arcserve。条目的元数据显示,文件夹已在3月29日被修改,这可能表明数据何时被盗。
在后续文章中,Lapsus$发布了一组凭据,声称管理员可以访问Globant用于开发、审查和协作客户代码的各种平台(Jira、Confluence、GitHub、Crucible)。
该组织的第三个帖子分享了一个种子文件,其中包含从Globant窃取的约70GB数据。Globant表示,其系统上的入侵者访问了“数量非常有限的客户提供的特定源代码和与项目相关的文档”。
损害似乎很大。据威胁情报公司SOS Intelligence称,泄露的数据包含客户信息以及带有大量私钥(全链、Web服务器SSL证书、Globant服务器、API密钥)的代码存储库。其中一个存储库是用于金融领域咨询的Bluecap应用程序,Globant于2020年底收购了该应用程序。
SOS Intelligence表示,Lapsus$泄露的缓存还包括150多个SQL数据库文件,用于各种客户应用程序。SOS Intelligence表示,“就合法性而言,很难制造出如此数量的数据。然而数据样本已与实时系统和其他方法交叉引用,表明泄漏是合法的且非常重要的,并且Globant和Globant的客户受到影响。”
Globant表示,其对该事件的调查并未发现任何证据表明黑客入侵了其基础设施系统的其他部分。
Lapsus$数据勒索组织因攻击微软、英伟达、三星、Okta、育碧等大型科技公司而不断制造新闻,其中许多公司导致大数据泄露。尽管受害者名单上有很多知名人物,但Lapsus$被认为主要由青少年组成,主要是为了通过攻击锻炼黑客技能,并在黑客领域成名,并不是出于经济动机。
该组织已经受到执法部门的关注有一段时间了,一些被认为与Lapsus$有关联的青少年已在英国被捕。美国联邦调查局也在调查该组织的活动,并要求公众提供任何信息,以识别参与入侵美国公司计算机网络的Lapsus$成员身份。
但是,目前尚不清楚该小组中有多少活跃成员,以及他们扮演的角色。据信Lapsus$在世界各地都有分支机构,因为他们的Telegram聊天似乎表明他们中的一些人会说英语、俄语、土耳其语、德语和葡萄牙语。
参考来源:BleepingComputer http://u6.gg/ktus2
(九)新型恶意软件MarsStealer可窃取用户信息
Morphisec Labs研究人员最近发现了一款新型恶意软件Mars Stealer,是基于老款的Oski Stealer,伪装成恶意软件破解和注册机进行传播。该恶意软件在多个地下论坛均有出售,目前仍在开发中,终身订阅价格仅为160美元。该恶意代码允许窃取存储在各种浏览器以及许多不同加密货币钱包中的用户凭据。Mars Stealer正在通过社会工程技术、恶意垃圾邮件活动、恶意软件破解和注册机进行传播。
研究人员发现,威胁行为者发布了破解版的Mars Stealer,以及一份指南,该指南诱骗其用户对其进行不正当配置,从而允许其访问自己的数据某,被盗数据随后会在网络犯罪市场上出售。
Morphisec发布的分析显示,“Mars Stealer发布后没多久,破解版就发布了,并附有说明文件。该指南有一些问题,会指示用户设置对整个项目的完全访问权限(777),包括受害者的日志目录。无论是谁在没有官方支持的情况下发布了破解的火星窃取者,都会导致威胁行为者不正确地配置环境,将关键资产暴露给世界。”
该恶意软件基于Oski Stealer,于2021年6月首次被发现。该恶意软件针对多个加密货币钱包,使用Mars Stealer被盗最多的插件是加密钱包MetaMask,其次是Coinbase。大多数受害者是学生、教职员工和内容制作者,他们正在寻找合法的应用程序,但最终却得到了被污染的应用程序。
威胁攻击者使用Google Ads诱骗搜索原始软件的受害者访问恶意网站,使用窃取的信息进行广告宣传。
研究人员发现,威胁行为者在调试时使用Mars Stealer破坏了他们自己的系统。研究人员能够通过查看攻击者自己窃取的信息来分析操作,包括屏幕截图、密码、历史记录、系统信息等。
根据bad OPSEC披露的信息,Morphisec分析认为Mars Stealer与俄罗斯有关。Morphisec认为,“通过查看提取的system.txt中的屏幕截图和键盘详细信息,我们可以安全地将这个威胁行为者归为俄罗斯国民。”
参考来源:SecurityAffairs http://u6.gg/ktnbe
(十)美国警告称威胁行为者攻击UPS备用电源设备
美国CISA和能源部3月29日联合发布了关于减轻针对不间断电源(UPS)设备的攻击的指南。威胁行为者可通过利用默认凭据来访问各种联网的UPS设备,攻击可能导致关键基础设施损坏、业务中断、横向移动等。
网络攻击者的目标是不间断电源(UPS)设备,这些设备在电涌和断电期间提供电池备用电源。UPS设备通常用于任务关键型环境,保护关键基础设施安装以及重要的计算机系统和IT设备,因此风险很高。
美国CISA和能源部警告称,恶意类型主要通过默认用户名和密码来追踪连接互联网的UPS版本。大多数情况下通过利用攻击者工具箱中的漏洞,例如早些时候披露的TLStorm漏洞。
CISA在3月29日发布的警报中表示,“近年来,UPS供应商增加了物联网功能,UPS经常连接到网络,以进行电力监控、日常维护和/或便利。UPS的负载范围可以从小型(几台服务器)到大型(建筑物)到超大型(数据中心)。”
如果攻击者能够远程接管这些设备,就可以用于许多邪恶的目的。例如,威胁行为者可以利用他们作为攻击公司内部网络并窃取数据的起点。或者在更严峻的情况下,它们可被用于切断关键任务电器、设备或服务的电源,这可能会在工业环境中造成人身伤害,或中断业务服务,从而导致重大经济损失。
此外,网络攻击者还可以执行远程代码来改变UPS本身的操作,或对它们或连接到它们的设备造成物理损坏。
Tripwire战略副总裁Tim Erlin通过电子邮件表示,“很容易忘记,每台连接到互联网的设备都面临着更大的攻击风险。仅仅因为供应商提供了将设备放到互联网上的能力,并不意味着它的设置是安全的。每个组织都有责任确保他们部署的系统得到安全配置。”
因此,负责UPS维护的人员有一个简单的解决方法:枚举所有连接的UPS和类似系统,然后将其离线。CISA认为,负责UPS维护的人员可能包括:IT人员、建筑运营人员、工业维护人员、或监控服务的第三方承包商。
CISA补充表示,如果需要保持活跃的物联网连接,管理员应该将默认凭据更改为强用户名和密码组合,并且最好也实施多因素身份验证(MFA)。根据CISA的说法,其他缓解措施包括确保UPS位于虚拟专用网络(VPN)后面,并采用登录超时/锁定功能,以便设备不会持续在线并向世界开放。
Erlin表示,“使用默认用户名和密码恶意访问系统并不是一种新技术。如果您通过更新UPS系统的凭据来响应此建议,请采取后续步骤,以确保其他系统也没有使用默认凭据。”
参考来源:ThreatPost http://u6.gg/ktrnt
(十一)日本糖果制造商森永泄露客户数据
日本糖果制造商森永(Morinaga)警告称,其在线商店疑似泄露了超过160万客户的个人信息。可能暴露的信息包括受影响的Morinaga客户的姓名、地址、电话号码、出生日期、购买历史,以及不到4,000人的电子邮件地址。攻击者可能在利用其网络中的漏洞后访问了供应商管理的多台服务器。
在发布的违规通知中森永表示,无法排除其Morinaga Direct Store电子商务业务受影响客户的某些个人信息泄露的可能性。此前该公司管理的多台服务器遭到未经授权的访问。该公司向其客户、业务合作伙伴和其他利益相关者道歉,并表示泄露的信息不包括信用卡信息。
尽管没有证据表明任何欺诈性使用可能泄露的个人信息的行为,但该公司已开始直接通知可能受影响的客户该事件。在2018年5月1日至2022年3月13日期间,从森永购买产品的客户可能会受到影响。该问题是在3月13日发现的,当时调查公司管理服务器上的错误消息原因的工作人员发现了未经授权的访问的证据。
Morinaga表示,“公司内部IT系统的某些部分因未经授权的访问而受损。Morinaga在发现违规行为后关闭了对其网络的外部访问,然后才聘请外部专家并着手调查违规行为。初步调查证实,该公司的几台服务器遭到未经授权的访问,一些数据的访问已被锁定。其中一台受影响的服务器负责向森永直营店客户交付产品。”
这意味着某种形式的勒索软件可能参与了攻击,但这仍未得到证实。森永调查迄今已确定,“很有可能是通过利用未命名但与互联网连接的网络设备中的漏洞来实现未经授权的访问”。
森永表示,尽管事件发生后“对某些产品的供应产生了一些影响”,但是预计不会对其业务表现产生“轻微”影响。尽管如此,该公司已向执法部门和日本个人信息保护委员会报告了这一事件。
参考来源:TheDailySwig http://u6.gg/ktxnw
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
