关键信息基础设施安全动态周报【2021年第49期】
发布时间:
2021-12-17
来源:
作者:
天地和兴
访问量:
968
目 录
第一章 国外关键信息基础设施安全动态
(一)德国大型物流供应商Hellmann遭受网络攻击
(二)北美丙烷供应商Superior Plus遭受勒索软件攻击
(三)CISA呼吁提高关键基础设施安全性
(四)数十亿WiFi芯片中存在漏洞可导致代码执行
(五)新型黑客组织Karakurt已攻击多领域40多个目标
(六)研究人员发现非常复杂的新型勒索软件BlackCat
(七)沃尔沃汽车遭受黑客攻击泄露研发数据
(八)美国弗吉尼亚州IT机构遭受勒索软件攻击
(九)美国国土安全部启动漏洞赏金计划以识别潜在网络安全漏洞
(十)黑恶组织Seedworm攻击亚洲及中东电信公司
(十一)伊朗APT组织MuddyWater使用Aclip后门攻击某亚洲航空公司
(十二)人力资源管理平台Kronos遭受勒索软件攻击
(十三)成瘾治疗中心BHG遭受网络攻击影响患者护理
(十四)30万MikroTik路由器遭受黑客远程攻击
第一章 国外关键信息基础设施安全动态
(一)德国大型物流供应商Hellmann遭受网络攻击
德国大型物流供应商Hellmann披露其在12月9日遭受了网络攻击,导致与中央数据中心的连接中断,对运营造成了重大影响。
Hellmann在安全警告中表示,“自攻击发现以来,Hellmann的全球危机工作组在持续观察和分析,并且聘请了外部知名安全专家来调查此事件。作为预防措施,与中央数据中心的所有连接都立即暂时断开,对我们的业务运营产生重大影响。我们目前不能排除数据泄露或未经授权使用数据的可能性。我们目前建议通过手机联系Hellman联系人。我们将逐步恢复运营,以系统的安全性和完整性为重中之重。”
12月13日,Hellmann已恢复了大部分运营,但并未满负荷运行。目前Hellmann尚未提供有关其遭受的攻击类型的信息,也尚未分享可能发生的任何数据丢失的详细信息。鉴于与中央数据中心的通信中断,可能涉及勒索软件。
Hellmann在更新的安全警告中表示,“我们的全球危机特别工作组与外部安全专家一起在处理这种情况方面取得了进一步的进展。业务运营基本恢复正常,我们有信心很快就能消除剩余的限制,尽快满负荷运营。目前还没有确认数据已被泄露或破坏,但我们现阶段不能完全排除这种可能性,因为调查尚未完成。通过电子邮件和电话进行的交流被认为是安全的。”
Hellmann拥有150年历史,在174个国家/地区设有489个办事处,提供空运、海运、公路和铁路运输。该公司每年处理大约1600万件货物,2020年的收入为28亿美元。
参考来源:Hellmann http://33h.co/kazqi
(二)北美丙烷供应商Superior Plus遭受勒索软件攻击
北美丙烷供应商Superior Plus披露,其在12月12日遭受了勒索软件攻击。该公司暂时将计算机系统和应用程序下线作为预防措施。该公司已采取缓解措施,以减轻对公司数据和运营的影响。Superior已聘请的第三方安全专家来调查此次攻击,以了解攻击的范围。根据初步调查结果,没有证据表明攻击者能够危及客户或其他个人数据的安全。
Superior Plus在美国和加拿大为780,000多名客户提供与丙烷和馏分油相关的产品和服务。
Superior在声明中表示,“Superior在调查此事件时暂时禁用了某些计算机系统和应用程序,并且正在使这些系统重新上线。在得知事件后,Superior采取措施保护其系统并减轻对公司数据和运营的影响。已聘请独立网络安全专家协助公司根据行业最佳实践处理此事。”
Cerberus Sentinel解决方案架构副总裁Chris Clements表示,只有在部署勒索软件后才检测到攻击,但目前尚不清楚在此之前,攻击者实际访问了Super Plus系统的时间有多长。组织需要非常重视安全问题,尤其是在涉及客户数据时。
Clements表示,“正常攻击者在触发勒索软件之前的停留时间通常会延长数周或数月。在此期间,攻击者会在受害者的整个网络中进行攻击,并试图提升其访问级别,以完全控制所有系统和数据。大规模数据泄露也已成为这些事件中的常态,这可能会引发攻击者的二次勒索需求。获得正确的安全性需要人才、预算和大量的艰苦工作。组织真正需要一种文化安全方法,首先要了解他们的风险暴露程度,以及保护环境所需的措施。”
网络安全公司Cybereason首席安全官Sam Curry表示,“这次攻击的规模尚不清楚,只有Superior可以提供更多细节,但Superior已使某些系统脱机这一事实表明,攻击者已经成功,现在是时候做更多的事情了。”
KnowBe4安全意识倡导者Erich Kron表示,这是在假期前进行的适时攻击。“在假期期间,这种攻击和相关的破坏有可能成为消费者和组织的重大问题。许多消费者依靠丙烷气体来为家里供暖和烹调节日食物。商业组织通常依靠丙烷为其设备提供燃料,以将产品移入和移出仓库,并装载卡车运输货物。没有丙烷,本已紧张的供应链可能会进一步受到压力,从而导致在一年中的购物高峰期,货物流动较慢。”Kron建议组织和个人在未来几周内要格外警惕,因为企业在假期期间经常面临人员短缺,这会减慢对攻击的检测和响应。
Synopsy网络安全研究中心首席安全策略师Tim Mackey表示,尚不清楚Superior是否已经部署了备份系统,但应对关键基础设施的此类攻击需要事先进行模拟和准备。“毕竟,如果您在尝试恢复运营时想办法做出响应,那么出现问题的可能性就更大。在这样的规划过程中,重要的是要评估所有软件、系统和流程潜在的危害,然后被积极监控。主动评估和监控只能导致两种情况,最坏的情况是,您可以改进业务运营方式,最好的情况是,您可以及早发现攻击以限制其损害。”
参考来源:InfoRiskToday http://33h.co/kaiur
(三)CISA呼吁提高关键基础设施安全性
在假期即将到来之际,鉴于网络威胁持续存在,CISA敦促关键基础设施所有者和运营商立即采取措施,加强其计算机网络防御,抵御潜在的恶意网络攻击。复杂的威胁行为者,包括民族国家及其代理人,已经展示了破坏网络和开发长期持久性机制的能力。这些参与者还展示了利用这种访问权限针对可能破坏国家关键功能的关键基础设施进行有针对性的操作的能力。
如果发生事件,高管和高级领导者可以主动采取措施为组织做好准备。实施以下网络安全最佳实践,有助于帮助指导领导者通过提高网络防御和快速响应能力来增强运营弹性。
1、通过确保信息技术(IT)/运营技术(OT)安全人员覆盖范围不存在空白,并确保员工对所有类型的异常行为提供持续监控,从而提高组织警惕性。在寒假期间,组织通常人员配备较少,安全保障尤为重要。
2、通过提高意识状态,让组织做好快速响应的准备。创建、更新或审查网络事件响应程序,并确保员工熟悉在事件期间和之后需要采取的关键步骤。让员工检查报告流程并执行运营计划的连续性,以测试在IT受限或其他退化的环境中运营关键功能的能力。考虑组织的跨部门依赖性和组织的潜在事件可能对其他部门产生的影响,以及这些部门的事件如何影响组织。
3、确保网络防御者实施网络安全最佳实践。实施多因素身份验证和强密码,安装软件更新,优先考虑已知被利用的漏洞,并保护帐户和凭据。
4、随时了解当前的网络安全威胁和恶意技术。
5、立即报告并共享网络安全事件或威胁信息。
参考来源:CISA http://33h.co/kbarb
(四)数十亿WiFi芯片中存在漏洞可导致代码执行
多名研究人员发现了WiFi芯片中的漏洞,可利用这些漏洞通过定位设备的蓝牙组件,从而提取密码和操纵流量。
达姆施塔特大学、布雷西亚、CNIT和安全移动网络实验室的研究人员发表了一篇研究论文,证明可以通过定位设备的蓝牙组件来提取密码并操纵WiFi芯片上的流量。
智能手机等现代消费电子设备的SoC具有独立的蓝牙、WiFi和LTE组件,每个组件都有自己专用的安全实现。但是,这些组件通常共享相同的资源,例如天线或无线频谱。这种资源共享旨在使SoC更加节能,并在通信中为它们提供更高的吞吐量和低延迟。
研究人员在论文中表示,可以将这些共享资源用作跨无线芯片边界发起横向特权升级攻击的桥梁。这些攻击的影响包括代码执行、内存读取和拒绝服务。
为了利用这些漏洞,研究人员首先需要在蓝牙或WiFi芯片上执行代码。虽然这并不常见,但过去已经发现了影响蓝牙和WiFi的远程代码执行漏洞。一旦研究人员在芯片上实现了代码执行,就可以使用共享内存资源对设备的其他芯片进行横向攻击。
在论文中,研究人员解释了他们如何在Broadcom、Cypress和Silicon Labs的芯片组上执行OTA拒绝服务、代码执行、提取网络密码、以及读取敏感数据。
这些漏洞的编号包括:CVE-2020-10368 WiFi未加密数据泄露、CVE-2020-10367 Wi-Fi代码执行、CVE-2019-15063 Wi-Fi拒绝服务、CVE-2020-10370蓝牙拒绝服务、CVE-2020-10369蓝牙数据泄露、CVE-2020-29531 WiFi拒绝服务、CVE-2020-29533 WiFi数据泄漏、CVE-2020-29532蓝牙拒绝服务、以及CVE-2020-29530蓝牙数据泄露。
这些漏洞只能通过新的硬件修订来修复,因此固件更新无法修补所有已识别的安全问题。例如,任何类型的安全更新都无法解决依赖物理内存共享的漏洞。在其他情况下,缓解数据包计时和元数据漏洞等安全问题会导致数据包协调性能严重下降。
研究人员研究了由Broadcom、Silicon Labs和Cypress制造的芯片,这些芯片被发现存在于数十亿电子设备中。所有漏洞都已负责任地报告给芯片供应商,有些漏洞已在可能的情况下发布了安全更新。然而还有许多人还没有解决该安全问题,由于不再支持受影响的产品,或固件补丁实际上不可行。截至2021年11月,在报告第一个共存漏洞两年多后,包括代码执行在内的共存攻击仍然适用于最新的博通芯片。同样,这凸显了这些问题在实践中解决的难度。
Cypress在2020年6月发布了一些修复程序,并在10月更新了状态如下:
1、导致代码执行的共享RAM功能只是由用于测试手机平台的开发工具启用,计划在未来移除对此的堆栈支持;
2、击键信息泄漏被称为无需补丁即可解决,因为可以通过其他方式识别键盘数据包;
3、DoS尚未解决,但正在开发中为此Cypress计划在WiFi和蓝牙堆栈中实施监控功能,以使系统能够响应异常流量模式。
不过研究人员表示,修复已识别问题的速度缓慢且不充分,而且攻击中最危险的方面在很大程度上仍未得到修复。“通过蓝牙芯片进行空中攻击,当前补丁无法缓解。只有接口蓝牙守护进程→蓝牙芯片被加固,而不是启用蓝牙芯片→WiFi芯片代码执行的共享RAM接口。重要的是要注意守护进程→芯片接口从来没有被设计为可以抵御攻击。例如,在最近的补丁之前,可以通过芯片固件中的UART接口溢出CVE-2021-22492绕过初始补丁,至少三星在2021年1月应用了该补丁。此外,在写入蓝牙RAM时通过此接口已在iOS设备上禁用,iOS 14.3上的iPhone 7仍将允许另一个命令在RAM中执行任意地址。”
只要这些与硬件相关的问题仍未修复,建议用户遵循以下简单的保护措施:
1、删除不必要的蓝牙设备配对;
2、从设置中删除未使用的WiFi网络;
3、在公共场所使用蜂窝网络而不是WiFi;
4、修补响应更倾向于较新的设备型号,因此从安全性的角度来看,升级到供应商积极支持的更新小工具始终是一个好主意。
参考来源:BleepingComputer http://33h.co/ka0s1
(五)新型黑客组织Karakurt已攻击多领域40多个目标
埃森哲研究人员发现了一个新的名为Karakurt的黑客组织,该组织已影响了多个地区的40多名受害者。该组织出于经济动机,本质上是机会主义的,迄今为止,与其他大型狩猎方法相比,该组织以较小的公司或公司子公司为攻击目标。根据迄今为止的入侵分析,该威胁组织只关注数据泄露和后续的勒索,而不是更具破坏性的勒索软件部署。研究人员认为,该组织的勒索方法是为了尽可能避免引起对其活动的关注。研究人员认为,Karakurt组织的行动才刚刚开始,活动可能会在可预见的未来继续扩散,影响更多的受害者。
根据埃森哲的数据来源,目前已知超过40名受害者,不专注于特定行业,涉及多个垂直行业和规模,如零售、能源、健康、旅行、工业、制造业、健康等多行业。在已知的受害者中,95%位于北美,其余5%位于欧洲。根据对该组织的活动调查,研究人员确定,该组织通常使用凭证访问作为进入受害者网络的初始载体,并利用已安装的应用程序横向移动并窃取数据。此外,该威胁组织通常会使用不同的通信方式多次联系受害者,以在勒索企图期间施加额外压力。
初始访问受害网络的主要方法包括使用合法凭据通过虚拟专用网络(VPN)面向互联网的系统。由于缺乏取证证据,尚不清楚威胁组织是如何获得这些凭据的。有可能是利用易受攻击的VPN设备,但所有情况都包括对用户帐户的多因素身份验证(MFA)的执行不一致或缺失。
使用Cobalt Strike在受害者环境中使用合法凭证、创建服务、远程管理软件和分发命令和控制(C2)信标是该组织用来巩固其立足点和保持持久性的主要方法。然而在最近的入侵中,威胁组织没有使用Cobalt Strike部署备份持久性。相反,它通过VPN IP池持续存在于受害者的网络中,或者安装AnyDesk以允许外部远程访问受感染设备。然后,该组织能够利用先前获得的用户、服务和管理员凭据横向移动并针对目标采取行动。
研究人员发现,该威胁组织至少在一个入侵集中利用Mimikatz,以及PowerShell来转储ntds.dit,并将其渗漏出来以进行离线分析。但是,威胁组织似乎仅在需要时才使用上述技术和工具提升权限,通常使用之前获得的凭据。
使用有效凭证、预先存在的living off the land工具和技术以及远程管理软件,威胁组织能够进一步逃避防御。在一次入侵中,研究人员发现,威胁组织避免使用常见的攻击后工具或商品恶意软件,以支持凭证访问。这种方法使其能够逃避检测,并绕过通用端点检测和响应(EDR)解决方案等安全工具。
如果受害者的网络中没有威胁组织的首选工具,则威胁组织将通过浏览器下载常见的远程管理和文件传输实用程序,以支持后续的渗透活动,例如AnyDesk、FileZilla、7zip等。研究人员还发现威胁组织通过浏览器运行互联网速度测试,以在执行渗漏活动之前检查上传速度。此外,至少在一个入侵活动中发现了使用Angry IP Scanner。
该威胁组织会使用AnyDesk或其他可用的远程管理工具、远程桌面协议(RDP)、Cobalt Strike、PowerShell命令和从初始访问中获取的有效凭据进行横向移动。
除了使用有效凭据直接登录VPN之外,威胁组织还利用Cobalt Strike for C2来实现备份持久性。
该威胁组织已被发现使用7zip和WinZip进行压缩,以及使用Rclone或FileZilla(SFTP)进行分段和最终渗漏到Mega.io云存储。用于渗漏的临时目录是C:\Perflogs和C:\Recovery。
参考来源:埃森哲 http://33h.co/kajrk
(六)研究人员发现非常复杂的新型勒索软件BlackCat
研究人员发现了一个新型勒索软件ALPHV,又名BlackCat,可能是今年最复杂的勒索软件,具有高度可定制功能,允许对各种企业环境进行攻击。该勒索软件的可执行文件是用Rust编写的,这对于恶意软件开发人员来说并不常见,但由于其高性能和内存安全性,受欢迎程度正在缓慢增加。
MalwareHunterTeam在11月21日首次发现了该勒索软件。该勒索软件被开发人员命名为ALPHV,并正在俄罗斯黑客论坛上进行推广。MalwareHunterTeam将该勒索软命名为BlackCat,因为在每个受害者的Tor支付站点都使用了相同的黑猫图标,而数据泄露站点使用了血淋淋的匕首。
与所有勒索软件即服务(RaaS)运营一样,BlackCat运营商招募附属机构来入侵企业并加密设备。附属公司将根据赎金支付的规模获得不同的收入份额。例如,收到150万美元的赎金附属机构可获得80%的份额、收到300万美元的赎金附属机构可获得85%的份额,超过300万美元的赎金附属机构可获得90%的份额。据报道,CNA向俄罗斯黑客组织Evil支付了4000万美元的赎金,根据BlackCat的收入比例,这相当于支付给附属公司的3600万美元。
该勒索软件包括众多高级功能,使其从其他勒索软件运营中脱颖而出。该勒索软件完全由命令行驱动,人工操作且高度可配置,能够使用不同的加密例程、在计算机之间传播,中断VM和ESXi虚拟机,以及自动擦除ESXi快照以防止恢复。可以使用--help命令行参数找到这些可配置选项。
每个ALPHV勒索软件可执行文件都包含一个JSON配置,允许自定义扩展名、勒索信件、数据加密方式、排除文件夹/文件/扩展名、以及要自动终止的服务和进程。
该威胁行为者表示,ALPHV勒索软件可以配置为使用四种不同的加密模式,包括Full、Fast、DotPattern、Auto、SmartPattern。以及两种加密算法:ChaCha20及AES。
ALPHV还可以配置域凭据,用于传播勒索软件和加密网络上的其他设备。然后可执行文件会将PSExec提取到%Temp%文件夹,并使用它将勒索软件复制到网络上的其他设备,并执行它以加密远程Windows计算机。
在启动勒索软件时,附属机构可以使用基于控制台的用户界面,使其能够监控攻击的进展。研究人员使用修改后的可执行文件加密测试设备以附加.bleepin扩展名。
在测试样本中,勒索软件会终止可能阻止文件被加密的进程和Windows服务。这些终止的进程包括Veeam、备份软件、数据库服务器、Microsoft Exchange、Office应用程序、邮件客户端,以及Steam流程。在此“设置”过程中采取的其他操作包括清除回收站、删除卷影副本、扫描其他网络设备、以及连接到Microsoft群集。
ALPHV还使用Windows重启管理器API来关闭进程或关闭Windows服务,在加密期间保持文件打开。通常,在加密设备时,勒索软件会使用随机扩展名,该扩展名会附加到所有文件并包含在勒索信件中。赎金票据以RECOVER-[extension]-FILES.txt格式命名。
赎金票据由执行攻击的附属公司预先配置,并且对于每个受害者都是不同的。一些赎金票据包括被盗数据的类型,以及指向Tor数据泄漏站点的链接,受害者可以在其中预览被盗数据。每个受害者还有一个独特的Tor站点,有时还有一个唯一的数据泄漏站点,允许附属机构进行自行谈判。
ALPHV声称是跨平台的,支持多种操作系统。例如,如果在Linux中安装了Windows磁盘,解密程序将能够解密文件。据威胁行为者测试,该勒索软件支持的操作系统包括:Windows 7及更高版本的所有系列、XP和2003可以通过SMB加密、ESXI、Debian、Ubuntu、ReadyNAS、Synology。
ID Ransomware创始人及勒索软件专家Michael Gillespie分析了勒索软件使用的加密程序,但遗憾的是,未能找到任何可以免费解密的弱点。
影响受害者和勒索软件操作的一个长期存在的问题是,样本通常会通过恶意软件分析站点泄露,从而允许完全访问勒索软件团伙与其受害者之间的谈判聊天。在某些情况下,这会导致无关方在聊天中发表评论并扰乱谈判。为了防止这种情况发生,ALPHV勒索软件开发人员引入了--access-token=[access_token]命令行参数,启动加密器时必须使用该参数。
此访问Token用于创建在勒索软件团伙的Tor支付站点上进入谈判聊天所需的访问密钥。由于此Token未包含在恶意软件样本中,因此即使将其上传到恶意软件分析站点,研究人员也不会在没有实际攻击的赎金信件的情况下使用它访问谈判站点。
自去年11月以来,该勒索软件针对多个国家/地区的受害者,包括美国、澳大利亚和印度。赎金金额在400,000美元到300万美元之间,可以用比特币或门罗币支付。但是,如果受害者用比特币支付,赎金会额外收取15%的费用。然而,由于门罗币被认为是一种隐私币,并且受到美国政府的反对,因此受害者并不容易获得它。
与其他勒索软件不同,如果雇用谈判公司,则ALPHV威胁要删除或发布数据。ALPHV为勒索软件谈判人员提供了“中介”登录页面,以进行私人谈判。
与其他较新的勒索软件组织一样,ALPHV使用三重勒索策略,在加密设备之前会窃取数据,并威胁如果不支付赎金就发布数据。研究人员已经发现了多个数据泄漏站点,其中已发布数据截图。作为另一种勒索方法,威胁行为者威胁将发起DDoS,直到支付赎金。
总体而言,这是一种高度复杂的勒索软件,攻击者清楚地考虑了攻击的各个方面。随着BlackMatter和REvil勒索软件操作在执法部门的压力下关闭,留下了一个巨大的空白,等待另一个威胁行为者来填补。ALPHV很有可能会填补它。
参考来源:BleepingComputer http://33h.co/kataq
(七)沃尔沃汽车遭受黑客攻击泄露研发数据
汽车制造商沃尔沃汽车(Volvo Cars)12月10日披露,其一些服务器遭受未知的威胁行为者攻击,攻击者窃取了有关研发的关键信息并泄露。沃尔沃在检测到未经授权的访问和数据泄露后立即采取了行动,实施了所有必要的安全策略,并通知了相关部门及其各自的部门,并禁止进一步访问其数据库。
沃尔沃在发布的网络安全漏洞通知中表示,“沃尔沃汽车已经意识到,其一个文件存储库已被第三方非法访问。迄今为止的调查证实,公司有限数量的研发资产在入侵时被盗。沃尔沃今天早些时候根据现有信息得出结论,可能会对公司的运营造成影响。在检测到未经授权的访问后,该公司立即采取了安全对策,包括防止进一步访问其财产的措施,并通知了有关部门。”
到目前为止,沃尔沃还没有透露有关这次黑客攻击的任何关键细节,但是著名的勒索软件组织Snatch已声称这次攻击是由他们执行的。
2021年11月30日,Snatch勒索软件组织入侵了沃尔沃公司的服务器,窃取了沃尔沃的所有重要数据,并提供了被盗文件的屏幕截图作为证据。在入侵期间,攻击者泄露了从沃尔沃汽车的服务器中窃取的35.9 MB数据。
对此沃尔沃发表声明称,“沃尔沃汽车不会对有关潜在网络安全攻击的猜测发表评论,但会严肃对待对其网络安全和财产盗窃的所有潜在威胁。网络安全是我们全球开发工作和运营的一个组成部分,也是重中之重。沃尔沃汽车积极参与标准化和最佳实践方面的国际工作并为之做出贡献,并应用行业认可的网络安全建议。”
但是作为保证,沃尔沃汽车的安全部门表示,他们正在与多家第三方安全专家密切合作,以了解确切原因并堵住漏洞。不仅如此,他们还声称,其汽车或个人数据的安全性不会受到此次违规行为的影响。
除此之外,一些汽车制造商认为,当前自动驾驶汽车的趋势将为黑客打开大门。因此在这种情况下,为了阻止黑客探索后门,公司需要使其安全机制和系统变得健壮和更新。
沃尔沃汽车(Volvo Cars)1999年与沃尔沃集团(Volvo Group)分离,2000年被吉利收购。
参考来源:GBHackers http://33h.co/kazk9
(八)美国弗吉尼亚州IT机构遭受勒索软件攻击
美国弗吉尼亚州官员12月13日表示,为弗吉尼亚州立法机构服务的信息技术机构遭受了勒索软件攻击,严重影响了其运营。
州长Ralph Northam发言人Alena Yarmosky证实了对弗吉尼亚州立法自动化系统部门的攻击。Yarmosky表示,州长已听取了有关此事的简报,并指示行政部门提供帮助,以“评估和应对当前局势”。
立法自动化系统部门(The Division of Legislative Automated Systems,DLAS)是大会的IT机构。攻击发生的时机尤其成问题,因为立法者和工作人员正在为定于1月开始的立法会议做深入准备。此次攻击标志着最新的勒索软件灾难已经爆发,在过去一年中,攻击目标包括政府、关键基础设施和大型企业。
追踪勒索软件的网络安全研究人员表示,之前没有州立法机构遭受攻击的记录。网络安全公司Recorded Future情报分析师Allan Liska表示,“这继续表明,没有任何组织可以免受这些勒索软件攻击。任何地方的任何人都可能受到攻击。”
一位高级机构官员在一封电子邮件中告诉弗吉尼亚州立法领导人,黑客使用“极其复杂的恶意软件”在周五晚些时候访问了该系统。
根据Dave Burhop周一下午发送的电子邮件,攻击者发送了一封没有具体金额或日期的赎金票据。Burhop表示,该机构正在与当局合作,确定“问题的范围和可能的补救计划”。该电子邮件称,该机构的所有内部服务器,包括起草法案的服务器、预算系统和大会语音邮件系统都受到了影响。
参议院书记Susan Clarke Schaar表示,“任何与法案起草或法案提交有关的事情,所有这些都受到了影响。”
Burhop在电子邮件中表示,该机构正在与包括FBI在内的执法机构合作。联邦调查局发言人拒绝置评。该电子邮件还称,网络安全公司Mandiant自今年夏天发生涉及使用员工凭据的“违规”事件后一直被保留,并正在协助调查。公司发言人拒绝置评。
Burhop表示,“在即将举行的会议之后,我们将向该领导小组提供更多信息,包括行动方案,但请理解,这可能不会很快得到解决。”
Emsisoft威胁分析师Brett Callow表示,弗吉尼亚州是今年遭受勒索软件攻击的第74个州或地方政府,是他见过的第一个受到攻击的立法机构。
Liska表示,勒索软件组织试图安排攻击时间以对目标造成最大痛苦的情况并不少见,就像一些黑客在学年开始时对学区所做的那样。
国会警察部门的网站也因遭受攻击而关闭。但一位发言人表示,该机构正在运作,其关键通信功能不受影响。尽管DLAS不属于监督该州行政部门IT的弗吉尼亚信息技术局的职权范围,但VITA发言人表示,该机构也在协助应对工作。发言人Stephanie Benson表示,到目前为止,没有迹象表明这次袭击已经影响到任何行政部门机构。
参考来源:美联社 http://33h.co/ka0rc
(九)美国国土安全部启动漏洞赏金计划以识别潜在网络安全漏洞
美国国土安全部(DHS)12月14日宣布启动Hack DHS漏洞赏金计划,旨在识别某些DHS系统中的潜在网络安全漏洞,并提高国土安全部的网络安全弹性。通过Hack DHS,受邀访问特定外部DHS系统的经过审查的网络安全研究人员(黑客)将识别可能被不良行为者利用的漏洞,以便对其进行修补。这些黑客将因其发现的错误而获得报酬。
根据该计划,黑客将获得500至5,000美元的赏金,具体取决于漏洞的严重程度。国土安全部将在48小时内验证漏洞,并在15天内修复,或者对于复杂的漏洞,会在此期间制定修复计划。
国土安全部长Alejandro N. Mayorkas表示,“作为联邦政府的网络安全四分卫,国土安全部必须以身作则,不断寻求加强我们自己系统的安全性。Hack DHS计划激励高技能黑客在我们系统中的网络安全漏洞被威胁行为者利用之前识别出来。该计划是DHS如何与社区合作以帮助保护我们国家的网络安全的一个例子。”
Hack DHS将在2022财年分三个阶段进行,其目标是开发一种模型,可供各级政府的其他组织使用,以提高其自身的网络安全弹性。在第一阶段,黑客将对某些DHS外部系统进行虚拟评估。在第二阶段,黑客将参加现场的、面对面的黑客活动。在第三个也是最后一个阶段,国土安全部将确定和审查吸取的教训,并计划未来的漏洞赏金。
Hack DHS将利用国土安全部网络安全和基础设施安全局(CISA)创建的平台,将受多项参与规则的约束,并由DHS首席信息官办公室进行监控。黑客将向DHS系统所有者和领导层披露他们的发现,包括漏洞是什么、他们如何利用、以及它如何允许其他参与者访问信息。识别每个漏洞的赏金是通过使用滑动比例确定的,黑客在识别最严重的漏洞时获得最高的赏金。
参考来源:DHS http://33h.co/kba91
(十)黑恶组织Seedworm攻击亚洲及中东电信公司
赛门铁克研究人员发现,伊朗黑客组织Seedworm在过去六个月中攻击了中东和亚洲的电信运营商和IT服务组织。网络间谍活动利用了鱼叉式网络钓鱼、恶意软件和合法网络工具,来窃取数据并扰乱供应链。尽管最初的攻击媒介尚不清楚,但威胁行为者似乎使用鱼叉式网络钓鱼进入网络,然后窃取凭据进行横向移动。
赛门铁克研究人员在12月14日发布的报告中表示,以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝的组织是此次活动的目标。攻击者似乎没有使用自定义恶意软件,而是依赖于公开可用的合法工具,并利用living-off-the-land策略。
虽然攻击者身份没有得到证实,但是证据表明与伊朗Seedworm组织有关,该组织过去曾针对亚洲和中东的组织开展广泛的网络钓鱼活动,其使命是窃取凭据并在目标网络中获得持久性。研究人员确定了该活动中使用的两个IP地址,这些IP地址之前与Seedworm活动有关,以及工具中的一些重叠,特别是SharpChisel和Password Dumper。
虽然伊朗已经对中东和亚洲的电信公司进行了威胁活动,例如2018年伊朗APT叙事Chafer攻击了一家主要的中东电信公司,但赛门铁克表示这预示着更大的攻击即将到来。
研究人员表示,最新活动中的一次典型攻击始于攻击者破坏目标网络,然后试图窃取凭据以横向移动,以便可以将webshell部署到Exchange服务器上。
研究人员研究了8月开始的针对中东一家电信公司的特定攻击。在这种情况下,第一个入侵的证据是创建了一项服务来启动一个未知的Windows脚本文件(WSF)。攻击者随后使用脚本发出各种域、用户发现和远程服务发现命令,并最终使用PowerShell下载和执行文件和脚本。攻击者还部署了一种远程访问工具,似乎可以查询其他组织的Exchange服务器。
这次针对电信组织的攻击的一个特点是,攻击者可能试图通过连接到同一地区的其他组织、另一家电信运营商和一家电子设备公司的Exchange Web Services(EWS)来转向其他目标。
研究人员观察到,攻击者表现出了利用一些受损组织作为垫脚石的兴趣,或者只针对最初组织以外的组织发起供应链攻击。报告称,在针对老挝一家公用事业公司的一次攻击中,研究人员称之为outlier,该威胁组织似乎利用面向公众的服务来获得初始进入,因为第一台受感染的机器是IIS Web服务器。攻击者随后使用PowerShell将恶意工具和脚本传送到公司的网络,并最终连接到泰国组织的网络邮件服务器以及另一家泰国公司的IT相关服务器。
研究人员表示,尽管有这个例子,但关于该活动的一个谜团仍然是攻击者如何最初进入大多数目标网络,唯一的证据是在一个受感染的组织中发现的。一个可疑的ScreenConnect设置MSI似乎是在名为Special discount program.zip的压缩文件中提供的,这表明它是通过鱼叉式网络钓鱼电子邮件发送的。
参考来源:ThreatPost http://33h.co/kai6u
(十一)伊朗APT组织MuddyWater使用Aclip后门攻击某亚洲航空公司
IBM Security X-Force研究人员发现,与伊朗有关的APT组织MuddyWater利用了消息平台Slack的免费工作空间,在某亚洲航空公司的网络上部署了一个名为Aclip的PowerShell后门,可使威胁行为者能够访问航空公司的乘客预订数据。后门将受害者系统上的系统信息、文件和数据截图发送到其命令和控制服务器,与收到的命令相对应。
MuddyWater也被称为MERCURY、Seedworm、Static Kitten和ITG17,主要针对中东和亚洲其他地区的目标。IBM X-Force在2019年10月发现,MuddyWater设法破坏了某亚洲航空公司的网络,该活动也在2021年继续进行。
IBM安全研究人员指出,攻击者部署了一个名为Aclip的PowerShell后门,它利用Slack消息传递API进行命令和控制(C&C)操作,包括通信和数据传输。
鉴于在许多情况下,多个伊朗黑客组织获得了对同一受害者环境的访问权限,IBM X-Force指出,其他攻击者也可能参与了此次行动,尤其是伊朗国家支持的威胁行为者针对航空业,主要是为了监视目的至少持续了五年。
在观察到的事件中,Windows注册表运行键用于持续执行批处理脚本,该批处理脚本又使用PowerShell运行脚本文件(Aclip后门)。该恶意软件通过攻击者创建的Slack通道接收命令,可以截取屏幕截图、收集系统信息并窃取文件。
通过使用Slack进行通信,攻击者可确保恶意流量与正常网络流量混合,协作应用程序也被其他恶意软件家族滥用于类似目的。
在收到恶意活动的通知后,Slack对此事展开了调查,并删除了报告的Slack工作空间。Slack表示,“我们确认,作为此次事件的一部分,Slack没有以任何方式受到损害,并且没有Slack客户数据暴露或面临风险。我们致力于防止滥用我们的平台,并对违反我们服务条款的任何人采取行动。”
基于攻击中使用的自定义工具、TTP重叠、使用的基础设施、以及MuddyWater之前针对交通部门的目标,IBM研究人员确信该威胁行为者就是活动的幕后黑手。
参考来源:SecurityWeek http://33h.co/kaijb
(十二)人力资源管理平台Kronos遭受勒索软件攻击
人力资源管理解决方案提供商Kronos披露,其遭受了勒索软件攻击,攻击目标是Kronos私有云,导致多个应用程序关闭,可能会影响其基于云的解决方案数周,其许多知名客户的信息可能已被访问。受此事件影响,许多公司无法按时处理工资单。
Kronos的母公司Ultimate Kronos Group(UKG)12月13日开始通知客户。
该攻击发生与于2021年12月11日星期六,目标是Kronos私有云,Kronos是UKG运行多个云应用程序的服务,包括银行调度解决方案、医疗保健扩展、UKG TeleStaff和UKG Workforce Central。Kronos表示将继续调查勒索软件事件,以确定攻击的性质和范围。该公司还指出,Kronos私有云解决方案仍将不可用,并警告其企业客户,可能需要数周时间才能恢复系统并使服务全面运行。
UKG表示,“目前,我们没有发现对UKG Pro、UKG Ready、UKG Dimensions或任何其他UKG产品或解决方案的影响,这些产品或解决方案位于不同的环境中,而不是在Kronos私有云中。鉴于恢复系统可用性可能需要长达数周的时间,我们强烈建议您评估和实施与受影响的UKG解决方案相关的替代业务连续性协议。”
Springfield市已确认受到该事件影响,并宣布已开始着手解决该事件可能造成的潜在不利影响,以确保员工“将继续获得正常的计划工资”。“使用Kronos的Springfield市正在采取一切必要的适当措施,以减轻此事件可能对城市造成的影响,包括记录该市员工工资表格的潜在干扰,这些记录通常被保留和记录在Kronos中。”
Kronos是一家劳动力管理和人力资源提供商,提供基于云的解决方案来管理排班、薪酬管理、员工福利、人才招聘等。2020年,Kronos与Ultimate Software合并,创建了一家名为UKG的新公司。Kronos为全球众多组织提供服务,包括州和地方政府实体、大学、K-12教育、大中型公司、医疗服务提供商、零售连锁店等。Kronos的客户包括包括克利夫兰市政府、特斯拉、天普大学、温思罗普大学医院、克莱姆森大学、旧金山市政交通管理局、和英国连锁超市Sainsburys。
参考来源:SecurityWeek http://33h.co/ka098
(十三)成瘾治疗中心BHG遭受网络攻击影响患者护理
鸦片类药物治疗网络Behavioral Health Group遭受了网络攻击,导致IT系统和患者护理中断近一周。
Behavioral Health Group(BHG)是美国最大的鸦片类药物门诊治疗中心网络之一,在17个州拥有80多家诊所。
上周,BHG遭受了一次网络攻击,迫使其关闭部分IT网络,以防止攻击蔓延。此次计算机故障在一些诊所引起了问题,使患者无法接受通常用于治疗麻醉品成瘾的美沙酮或苏波酮处方的带回家剂量。一开始制定鸦片类药物成瘾治疗计划的患者在诊所接受剂量,处于稳定治疗计划中的患者可以在家中使用带回家的剂量。
虽然一些BHG诊所能够提供带回家的剂量,许多患者在Reddit上表示,他们的诊所无法提供一般的处方药,因为计算机关闭,无法打印处方标签。
患者表示,在过去的一周里,由于工作限制或其他障碍,他们无法每天去诊所接受剂量,因此IT中断和缺乏带回家的剂量造成了严重的不适和压力。
Behavioral Health Group表示,“Behavioral Health Group正在调查影响网络的安全事件。在得知事件后,我们出于谨慎考虑,将某些系统离线,并开始与领先的信息安全专家进行彻底调查。我们的主要重点仍然是为我们的患者提供不间断的护理。我们的治疗中心仍在全面运作,我们的临床护理团队继续为所有患者提供包括药物辅助康复在内的治疗。与此同时,我们的系统技术团队专注于安全有效的修复过程和我们系统的恢复。”当被问及有关网络攻击类型及其发生时间的后续问题时,BHG表示,由于正在进行调查,他们无法提供更多信息。
虽然BHG没有透露事件的性质,但很可能是由勒索软件攻击引起的。一些勒索软件组织承诺不会攻击医疗机构,如果他们不小心这样做,他们会提供恢复密钥。然而有的勒索软件组织,如Hive或Vice,并不关心他们攻击的是谁,并期望受害者支付赎金,无论其攻击是否会造成身体危险。
此外,当威胁行为者进行勒索软件攻击时,他们通常会在加密设备之前窃取未加密的数据和文档。然后,如果不支付赎金,则会利用这些被盗数据作为筹码,威胁说如果不支付赎金,就会释放数据。
被盗数据的发布会对公司产生重大影响,从而导致数据泄露和潜在的诉讼。然而,真正的代价是患者的高度敏感信息可能会被公开披露。
BHG患者表示,他们最大的担忧是,如果威胁行为者窃取了数据,可能会将他们的成瘾和治疗暴露给家人、朋友和雇主。目前没有迹象表明数据在攻击期间被盗,但如果被盗,可能很快就会在勒索BHG时被发现。
参考来源:BleepingComputer http://33h.co/ka06f
(十四)30万MikroTik路由器遭受黑客远程攻击
Eclypsium研究人员发现,至少有300,000个与MikroTik设备相关的IP地址容易受到多个可被远程利用的安全漏洞攻击,这些漏洞已被供应商修补。受影响最严重的设备位于中国、巴西、俄罗斯、意大利、印度尼西亚、美国。
MikroTik总部位于拉脱维亚,自1996年以来一直是路由器和无线ISP设备的流行供应商,在全球部署了超过2,000,000台设备。这些设备都很强大,通常很容易受到攻击。
研究人员表示,“这些设备功能都是非常强大的,而且往往非常容易受到攻击。这使得MikroTik设备成为威胁行为者的最爱,他们使用这些设备用于DDoS攻击、命令和控制(C2)、流量隧道等。”
MikroTik设备是一个诱人的目标,尤其是因为全球部署了超过200万台设备,构成了一个巨大的攻击面,威胁参与者可以利用它来发起一系列入侵。
今年9月初有报道称,一个名为Mēris的新僵尸网络利用Mikrotik的网络设备作为攻击媒介,利用了CVE-2018-14847漏洞,该漏洞现已解决。这不是MikroTik路由器第一次在现实世界的攻击中被武器化。2018年,网络安全公司Trustwave发现至少三起大规模恶意软件活动,利用数十万个未打补丁的MikroTik路由器在与其连接的计算机上秘密安装加密货币矿工。同年中国的Netlab 360报告称,通过利用CVE-2018-14847窃听网络流量,数以千计易受攻击的MikroTik路由器已被秘密收集到僵尸网络中。
CVE-2018-14847也是过去三年中发现的四个未解决的漏洞之一,这可能导致全面接管MikroTik设备。CVE-2019-3977(CVSS评分7.5)是MikroTik RouterOS升级包来源验证不足,允许重置所有用户名和密码。CVE-2019-3978(CVSS评分7.5)是MikroTik RouterOS对关键资源的保护不足,导致缓存中毒。CVE-2018-14847(CVSS评分9.1)是WinBox界面中的MikroTik RouterOS目录遍历漏洞。CVE-2018-7445(CVSS评分9.8)是MikroTik RouterOS SMB缓冲区溢出漏洞。
此外Eclypsium研究人员表示,他们发现了20,000个暴露的MikroTik设备,这些设备将加密货币挖掘脚本注入用户访问的网页。“受感染路由器注入恶意内容、隧道、复制或重新路由流量的能力可以多种极具破坏性的方式使用。DNS中毒可能会将远程工作人员的连接重定向到恶意网站或引入中间机。攻击者可以使用众所周知的技术和工具来潜在地捕获敏感信息,例如通过WiFi使用SMS从远程用户那里窃取MFA凭据。与之前的攻击一样,企业流量可以通过隧道传输到另一个位置,或将恶意内容注入到有效流量中。”
在一份声明中,该公司表示,“RouterOS中没有新的漏洞,保持操作系统最新是避免各种漏洞的必要步骤。不幸的是,关闭旧漏洞并不能立即保护受影响的路由器。我们没有非法后门来更改用户密码并检查他们的防火墙或配置。这些步骤必须由用户自己完成。我们尽最大努力联系RouterOS的所有用户,并提醒他们进行软件升级、使用安全密码、检查防火墙以限制对陌生方的远程访问,并寻找异常脚本。不幸的是,许多用户从未与MikroTik联系,也没有积极监控他们的设备。我们与世界各地的各种机构合作,寻找其他解决方案。”
参考来源:TheHackerNews http://33h.co/kbaz6
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
