关键信息基础设施安全动态周报【2021年第40期】
发布时间:
2021-10-15
来源:
作者:
天地和兴
访问量:
116
目 录
第一章 国内关键信息基础设施安全动态
(一)Linux恶意挖矿软件新变体攻击华为云
第二章国外关键信息基础设施安全动态
(一)西门子和施耐德电气修复了50多个漏洞
(二)霍尼韦尔Experion PKS和ACE控制器存在多个严重漏洞
(三)InHand路由器漏洞使许多工业公司面临远程攻击
(四)江森自控旗下ExacqVision视频监控系统严重漏洞可导致远程攻击
(五)英国工程巨头Weir集团遭受勒索软件攻击
(六)以色列国防公司EMIT遭受LockBit 2.0勒索软件攻击
(七)伊朗APT组织DEV-0343攻击美国和以色列国防公司
(八)新APT组织ChamelGang攻击俄罗斯能源及航空组织
(九)APT组织MalKamak以航空航天和电信公司为目标
(十)新加坡以OT技术为重点调整网络安全战略
(十一)Facebook及其子公司在全球范围内同时宕机
(十二)白宫召集30多国召开国际反勒索软件会议,中俄没有参加
(十三)CISA发布针对政府机构的远程访问指南
(十四)美敦力胰岛素泵遥控器因严重风险被召回
(十五)威胁组织SnapMC在可30分钟内进行快速勒索
(十六)美国数字无线运营商Visible的客户账号遭黑客入侵
(十七)厄瓜多尔最大私人银行Banco Pichincha遭受网络攻击
(十八)奥林巴斯美国IT系统因网络攻击被迫关闭
(十九)勒索软件组织FIN12活跃攻击医疗保健行业
(二十)全球最大连锁酒店之一Meliá遭受网络攻击
(二十一)美国媒体集团CMG遭勒索软件攻击后中断了广播
(二十二)日本跨国电子公司JVCKenwood遭受Conti勒索软件攻击
(二十三)巴西电子商务公司因错误配置泄露了近18亿条记录
第一章 国内关键信息基础设施安全动态
(一)Linux恶意挖矿软件新变体攻击华为云
一个Linux加密挖掘恶意软件的新版本曾在2020年用于攻击Docker容器,现在它的重点是华为云等新的云服务提供商。
TrendMicro的研究人员对新活动进行了分析,解释了恶意软件是如何在保留原有功能的同时发展出新功能的。更具体地说,新样本注释掉了防火墙规则创建功能,并继续删除网络扫描器以映射其他主机与API相关的端口。然而,新的恶意软件版本只针对云环境,现在正在寻找并删除任何其他可能感染系统的加密脚本。
当感染Linux系统时,恶意的coinminer将执行以下步骤,其中包括删除竞争对手密码挖掘恶意软件分销商创建的用户。
为了确保在设备上保持持久性,攻击者使用自己的ssh-RSA密钥进行系统修改,并将文件权限更改为锁定状态。这意味着,即使其他参与者在未来获得访问该设备的权限,他们也无法完全控制这台脆弱的机器。参与者安装Tor代理服务来保护通信不受网络扫描检测和审查,通过它通过所有连接进行匿名化。
在删除其他威胁参与者创建的用户后,参与者添加自己的用户,这是许多以云为目标的加密黑客的常见步骤。然而,与许多其他加密软件不同的是,恶意软件将他们的用户帐户添加到sudoers列表中,使他们能够访问设备的root权限。
在获得一个设备的立足点后,黑客的脚本将利用远程系统,并用恶意脚本和密码器感染它们。在这次攻击中扫描到的已知漏洞包括:
被删除的二进制文件(“linux64_shell”、“ff.sh”、“fczyo”、“xlinux”)具有一定程度的混淆特性,TrendMicro已经发现了UPX包装器被部署用于包装的迹象。攻击者已经通过进一步的篡改,根据自动分析和检测工具集调整二进制文件的隐蔽性。
1、SSH弱密码;
2、Oracle Fusion中间件(CVE-2020-14882)的Oracle WebLogic Server产品中存在漏洞;
3、Redis未经授权的访问或弱密码;
4、PostgreSQL未经授权的访问或弱密码;
5、SQLServer弱密码;
6、MongoDB未经授权的访问或弱密码;
7、文件传输协议(FTP)弱密码。
华为云是一项相对较新的服务,但该公司表示其已经为300多万客户提供服务。趋势科技已经向华为通报了这一活动,但尚未收到回应。自今年年初以来,这些以云为目标的加密矿工一直在增加,只要加密价值不断飙升,参与者就会有动机让它们变得更强大、更难以检测。
参考来源:BleepingComputer http://33h.co/98q5k
第二章 国外关键信息基础设施安全动态
(一)西门子和施耐德电气修复了50多个漏洞
工业巨头西门子和施耐德电气10月12日共计发布了11份安全公告,涉及影响其产品的总共50多个漏洞,这两家公司已发布了补丁和缓解措施来解决这些漏洞。
西门子发布了五个新公告,涵盖33个漏洞。其SINEC网络管理系统的更新修补了15个漏洞,包括可用于执行任意代码的漏洞。虽然其中一些漏洞为高危漏洞,但利用此漏洞需要身份验证。
针对其基于SCALANCE W1750D控制器的直接接入点,西门子发布了涵盖15个漏洞的补丁和缓解措施,其中包括允许远程未经身份验证的攻击者在底层操作系统上引发DoS条件或执行任意代码的严重漏洞。W1750D是来自Aruba的带有品牌标签的设备,大部分缺陷都存在于ArubaOS操作系统中。
西门子还通知客户SIMATIC Process Historian中存在一个严重的身份验证漏洞。攻击者可以利用该漏洞插入、修改或删除数据。
另外两个公告解决了SINUMERIK控制器和RUGGEDCOM ROX设备中的高严重性拒绝服务(DoS)漏洞。对于RUGGEDCOM设备,未经身份验证的攻击者可能会在某些情况下导致永久性DoS条件。
另一个公告描述了影响施耐德IGSS SCADA系统的两个严重漏洞、一个高危漏洞及一个中危漏洞。最坏的利用场景“可能导致攻击者在生产中运行IGSS的机器上获得对Windows操作系统的访问权限。”
施耐德电气发布了六个新公告,涉及20个漏洞。其中一份公告描述了11个Windows漏洞对公司Conext太阳能发电厂产品的影响。微软在2019年和2020年修补了这些安全漏洞,其中许多漏洞均为严重或高危漏洞。
施耐德还向用户通报了影响spaceLYnk、Wiser For KNX和ellerLYnk产品的高危信息泄露漏洞,以及ConneXium网络管理器软件中的高危命令执行漏洞。
最后一个公告描述了两个AMNESIA:33漏洞对Modicon TM5模块的影响。AMNESIA:33是去年在四个开源TCP/IP堆栈中发现的33个漏洞的名称。
参考来源:SecurityWeek http://33h.co/9ezmr
(二)霍尼韦尔Experion PKS和ACE控制器存在多个严重漏洞
美国网络安全和基础设施安全局(CISA)10月5日发布了关于影响霍尼韦尔Experion Process Knowledge System C200、C200E、C300和ACE控制器所有版本的多个安全漏洞的公告,这些漏洞可被用来实现远程代码执行和拒绝服务(DoS)攻击。
霍尼韦尔在今年2月初发布的独立安全通知中指出,“控制组件库(CCL)可能会被不良行为者修改并加载到控制器中,从而使控制器执行恶意代码。”工业网络安全公司Claroty的Rei Henigman和Nadav Erez发现并报告了这些漏洞。
Experion Process Knowledge System(PKS)是一种分布式控制系统(DCS),旨在控制从石化炼油厂到核电站等高可靠性和这三个漏洞为:
安全性非常重要的多个部门的大型工业过程。
1、CVE-2021-38397(CVSS得分10.0),不受限制地上传危险类型的文件;
2、CVE-2021-38395(CVSS得分9.1),下游组件使用的输出中特殊元素的中和不正确;
3、CVE-2021-38399(CVSS得分:7.5),相对路径遍历。
根据Claroty的说法,该问题存在于下载代码过程中,该过程对于对控制器中运行的逻辑进行编程至关重要,从而使攻击者能够模仿该过程并上传任意CLL二进制文件。研究人员Henigman和Erez表示,“该设备在不执行检查或消毒的情况下加载可执行文件,使攻击者能够在不经过身份验证的情况下远程上传可执行文件和运行未经授权的本地代码。”
简而言之,成功利用这些漏洞可能允许恶意方访问未经授权的文件和目录,更糟糕的是,远程执行任意代码并造成拒绝服务条件。为了防止将带有恶意代码的修改后的CCL加载到控制器,霍尼韦尔通过对每个在使用前经过验证的CCL二进制文件进行加密签名,加入了额外的安全增强功能。
建议用户尽快更新或打补丁,以便完全缓解这些漏洞。
参考来源:TheHackerNews http://33h.co/98sw1
(三)InHand路由器漏洞使许多工业公司面临远程攻击
研究人员在InHand Networks制造的工业路由器中发现了几个严重漏洞,可能会使许多组织面临远程攻击,而且似乎没有可用的补丁。
大约一年前,工业网络安全公司OTORIO研究人员在工业物联网解决方案提供商InHand Networks生产的IR615 LTE路由器上发现了这些漏洞。该公司在中国、美国和德国设有办事处,在四川和浙江设有研发中心,其产品在世界各地使用。InHand表示,其客户包括西门子、通用电气医疗保健、可口可乐、飞利浦医疗保健和其他大公司。
根据美国网络安全和基础设施安全局(CISA)上周发布的报告,OTORIO研究人员在IR615路由器上总共发现了13个漏洞,包括严重的跨站请求伪造(CSRF)、远程代码执行、命令注入和弱密码策略问题,以及不当授权和跨站脚本(XSS)漏洞。恶意行为者可能会利用这些漏洞完全控制受影响的设备,并拦截通信,以窃取敏感信息。
OTORIO表示,它已经识别出数千台暴露在互联网上的InHand路由器,可能容易受到攻击,但是,从互联网上利用路由器需要对其web管理门户进行认证。攻击者可以使用默认凭证对设备进行身份验证,或者利用暴力攻击来获取登录凭证。路由器的弱密码策略和一个可以用来枚举所有有效用户帐户的漏洞使暴力破解攻击变得容易。攻击者可能会利用这些漏洞潜入某个组织。从InHand设备,攻击者可以转移到受害者网络中的其他工业系统。
OTORIO渗透测试研究员Hay Mizrachi表示,“攻击者可能会滥用远程代码执行漏洞,通过运行CLI命令在设备上获得第一个立足点,在设备上植入第一个后门作为持久性阶段,并开始扫描内部组织网络,以提升攻击者权限并转移到网络上的敏感资产。最终目标是在组织上获得域管理员权限。当然,如果存在其他敏感网络,如OT网络,攻击者可以尝试获得立足点并中断产品线的日常运作,从而造成额外的损害和财务成本。”
OTORIO于2020年11月通过CISA向InHand Networks报告了调查结果。然而,CISA在其咨询中表示,供应商“没有响应与CISA合作以缓解这些漏洞的请求”。CISA提供了一些通用缓解措施,以帮助受影响的组织降低被利用的风险。
参考来源:SecurityWeek http://33h.co/98e0j
(四)江森自控旗下ExacqVision视频监控系统严重漏洞可导致远程攻击
网络安全公司Tenable研究人员在建筑科技巨头江森自控(Johnson Controls)旗下的Exacq Technologies生产的视频监控系统中发现了高度严重的漏洞。
Tenable的零日研究团队在Exacq产品使用的exacqVision web服务中发现了两个安全漏洞。Tenable、Johnson Controls和美国网络安全和基础设施安全局(CISA)最近发布了描述这些漏洞的咨询公告。
第一个漏洞称为直通账户安全问题,CVSS评分为9.8分。根据Tenable的说法,受影响的网络服务允许用户使用网络浏览器从ExacqVision服务器获取视频和其他数据。Web服务充当Web客户端和服务器之间的中介。
Tenable研究人员发现,如果exacqVision服务器配置了一个所谓的直通帐户(pass through account),可以用于远程连接到服务器,未经身份验证的攻击者可以滥用它,以这个直通帐户的特权访问服务器。
Tenable在公告中表示,“如果直通帐户具有高权限(即完全管理员角色),攻击者可以对exacqVision服务器有更多的访问权限,包括添加一个具有完全管理员角色的用户。即使直通帐户拥有较低的特权(例如,受限制的角色),攻击者仍然可以看到更多的特权信息。例如,只有完全管理员或超级用户角色的用户才能配置视频存档,但较低权限的用户可以看到存档配置中的直接搜索用户名和密码。”
第二个漏洞为DoS漏洞,CVSS评分为8.8分。可以被远程的、未经身份验证的攻击者利用,通过发送特别制作的消息使服务器崩溃。
Tenable表示,攻击可以直接从互联网上发起,攻击可以从互联网上访问的系统,但该公司无法提供有关这些系统的暴露程度的任何信息。
Tenable表示,“如果攻击者发现exaqVision软件暴露在互联网上的一个易受攻击的实例,他们可能会在不经过身份验证的情况下获得对该软件的管理权限。这将允许他们更改配置、窃取数据、中断对exaqVision软件的访问,或完全禁用它。”
这些漏洞于7月底报告给供应商,大约一个月后开发了补丁。据Johnson Controls称,这些漏洞影响32位版本的exacqVision Server 21.06.11.0及更高版本。用户可以更新到21.9版或升级到64位版本,以防止漏洞被利用。
参考来源:SecurityWeek http://33h.co/98stp
(五)英国工程巨头Weir集团遭受勒索软件攻击
10月7日,苏格兰跨国工程企业伟尔集团(Weir Group)披露了一项“勒索软件攻击企图”,称该事件导致了今年9月的“重大临时中断”。
该公司在第三季度业务更新说明中表示,“集团目前正在处理9月下半月发生的一起高复杂度勒索软件攻击引发的后果。伟尔集团的网络安全系统与控制机制对威胁活动做出了快速反应与强有力的阻遏处置,包括隔离并关闭IT系统,具体涉及核心企业资源规划(ERP)与各类工程应用程序。”
该公司表示,此次攻击对今年第三季度的订单没有影响,因为所有基础设施都在照常运行,目前他们正在缓解此次事件对客户的影响。伟尔集团计划在未来几周内,按照业务优先级逐步恢复部分功能,但预计2021年第四季度的正常运营仍会因此次事件受到一定影响。
本轮攻击还导致伟尔集团的出货、制造与工程系统发生中断,仅9月因开销不足与收入延后带来的间接损失就将达到5000万英镑。
伟尔集团强调,“我们对此次事件的取证调查仍在继续。到目前为止,还没有证据表明有任何个人或其他敏感数据遭到外泄或加密锁定。我们将继续与监管机构与情报部门保持联系。伟尔集团特此证实,无论是我们自身还是任何有关各方,与攻击背后的执行者都不存在任何接触。”
伟尔集团在全球50多个国家/地区拥有11500多名员工,主要服务于采矿、基础设施以及石油与天然气等市场。
参考来源:BleepingComputer http://33h.co/985pv
(六)以色列国防公司EMIT遭受LockBit 2.0勒索软件攻击
以色列航空航天与国防公司E.M.I.T Aviation Consulting Ltd.遭受了LockBit 2.0勒索软件攻击,攻击者声称已从EMIT窃取了数据,并威胁如果不支付赎金,将于2021年10月7日在LockBit 2.0的暗网泄密网站上泄露窃取的文件。
EMIT Aviation Consulting Ltd成立于1986年,该公司设计和组装完整的飞机、战术和亚战术无人机系统以及移动综合侦察系统。
目前LockBit 2.0勒索软件团伙尚未共享任何文件作为攻击证据。目前尚不清楚威胁行为者是如何破坏公司的,以及何时发生安全漏洞。
该组织在这一时期非常活跃,最近的受害者名单包括Riviana、Wormington&Bollinger、Anaasia Group、Vlastuin Group、SCIS Air Security、Peabody Properties、DATA SPEED SRL、Island Independent Buying Group、Day Lewis、Buffington Law Firm和全球其他数十家公司。
与其他勒索软件操作一样,LockBit 2.0实施了勒索软件即服务模式,并维护了一个附属网络。该LockBit勒索软件组织自2019年9月一直活跃,今年6月份该组织宣布LockBit 2.0 RaaS。在黑客论坛上禁止勒索软件广告后,LockBit运营商建立了自己的泄密网站,并宣传推广最新版本的LockBit 2.0。
今年8月份,澳大利亚网络安全中心(ACSC)警告称,从2021年7月开始,针对澳大利亚组织的LockBit 2.0勒索软件攻击将升级。
参考来源:SecurityAffairs http://33h.co/9e9nm
(七)伊朗APT组织DEV-0343攻击美国和以色列国防公司
微软威胁情报中心(MSTIC)和微软数字安全部门(DSU)的研究人员发现了一个跟踪为DEV-0343的恶意活动群集,目标是美国和以色列国防技术公司的Office 365用户。威胁行为者针对目标组织发起了大规模的密码喷洒攻击,这一恶意活动于2021年7月首次被发现。
DEV-0343是微软威胁情报中心(MSTIC)于2021年7月下旬首次观察到并开始跟踪的新活动群集。MSTIC观察到DEV-0343对250多个Office 365租户进行了广泛的密码喷洒,重点是美国和以色列的国防技术公司、波斯湾入境港或在中东开展业务的全球海运公司。只有不到20个目标用户被成功入侵,但DEV-0343继续改进他们的技术,以完善其攻击。针对启用了多因素身份验证(MFA)的Office 365账户的密码喷雾攻击失败。
DEV-0343主要面向支持美国、欧盟和以色列政府合作伙伴生产军用雷达、无人机技术、卫星系统和应急响应通信系统的国防公司。
微软研究人员表示,这一活动符合德黑兰的利益,其TTP与另一个与伊朗有关的威胁参与者的TTP类似。进一步的活动瞄准了地理信息系统(GIS)、空间分析、波斯湾地区入境港以及几家专注于中东业务的海运和货运公司的客户。
研究人员推测,攻击者的目的是获取商业卫星图像和专有航运计划和日志,这些信息可以让伊朗政府补偿其发展中的卫星计划。DEV-0343背后的威胁行动者利用一系列精心设计的Tor IP地址来混淆他们的基础设施。
DEV-0343模拟Firefox浏览器并使用Tor代理网络上托管的IP进行广泛的密码喷洒。它们在伊朗时间周日至周四上午7:30至晚上8:30(世界标准时间04:00:00至17:00:00)之间最为活跃,活动在伊朗时间上午7:30之前和晚上8:30之后显著下降。根据规模的不同,他们通常针对组织内的数十到数百个帐户,并枚举每个帐户几十到数千次。平均而言,针对每个组织的攻击使用150到1000多个唯一的ToR代理IP地址。DEV-0343操作员通常瞄准两个Exchange端点-自动发现和ActiveSync-作为他们使用的枚举/密码喷射工具的一个功能。这使得DEV-0343能够验证活动账户和密码,并进一步改进它们的密码喷射活动。
微软已经直接通知了已成为攻击目标或受到攻击的客户,为他们提供了保护账户安全所需的信息。
Microsoft建议组织在日志和网络活动中寻找以下策略,以确定其基础设施是否受到黑客的攻击:
1、来自ToR IP地址的大量入站流量,用于密码喷射活动;
2、在密码喷洒活动中模拟Firefox(最常用)或Chrome浏览器;
3、Exchange ActiveSync(最常见)或自动发现端点的枚举;
4、使用类似于'o365spray'工具的枚举/密码喷射工具;
5、使用自动发现功能验证帐户和密码;
6、观察到的密码喷射活动通常在UTC时间04:00:00到11:00:00之间达到峰值;
以下是微软为缓解DEV-0343攻击而共享的防御措施列表:
1、启用多因素身份验证以减少凭证泄露;
2、对于Office 365用户,请参阅多因子身份验证支持;
3、对于消费者和个人电子邮件帐户,请参阅如何使用两步验证;
4、微软强烈鼓励所有客户下载并使用无密码解决方案;
5、审查并强制实施建议的Exchange在线访问策略;
6、阻止ActiveSync客户端绕过条件访问策略;
7、在可能的情况下阻止来自匿名服务的所有传入流量。
参考来源:SecurityAffairs http://33h.co/985ye
(八)新APT组织ChamelGang攻击俄罗斯能源及航空组织
Positive Technologies研究人员发现了一个新的、以前未知的APT组织,该组织主要系统地攻击俄罗斯的燃料和能源综合体以及航空业。研究人员发现的其他攻击针对其他9个国家/地区的机构,包括美国、印度、尼泊尔、台湾和日本。在某些情况下,研究人员发现政府服务器遭到破坏。由于该组织已开始在攻击中利用ProxyShell漏洞来感染Microsoft Exchange,因此英国的易受攻击的服务器将来也可能会受到影响。这个名为ChamelGang的组织似乎专注于从受感染的网络中窃取数据,并于2021年3月进行了首次攻击。
Positive Technologies威胁分析主管Denis Kuvshinov解释表示,“针对俄罗斯的燃料和能源综合体以及航空业并不是唯一的,该行业是受攻击最频繁的三个行业之一。但是,后果很严重,最常见的是此类攻击会导致财务或数据丢失。在去年所有案例中,有84%的攻击是专门为窃取数据而创建的,这会造成重大的财务和声誉损失。此外,工业公司通常无法检测到针对其的有针对性的网络攻击,因为他们认为自己的防御是b级的,并且这种破坏是极不可能的。但实际上,攻击者可以在90%以上的时间渗透到工业企业的公司网络,并且几乎每一次这样的入侵都会导致对基础设施的完全失去控制。超过一半的攻击导致公司合作伙伴和员工的数据、邮件通信和内部文档被盗。”
Positive Technologies事件响应小组在调查俄罗斯燃料/能源和航空生产部门的安全漏洞时发现了ChamelGang的存在。
研究人员发现,为了访问目标企业的网络,ChamelGang使用开源JBoss应用服务器平台上的Web应用程序的易受攻击版本破坏了一个子公司。通过利用漏洞CVE-2017-12149,犯罪分子能够在节点上远程执行命令,该漏洞已在四年多前被RedHat修复。两周后,该组织能够攻击母公司。攻击者在隔离网段中的其中一台服务器上获取了本地管理员的字典密码,并通过远程桌面协议(RDP)渗透到网络中。攻击者在公司网络中被忽视了三个月。在检查之后,攻击者获得了对其中大部分的控制权,包括不同网段的关键服务器和节点。调查显示,APT组织专门追查数据,并成功窃取。
在Positive Technologies披露的第二个案例中,攻击者利用了Microsoft Exchange中的一系列名为ProxyShell的漏洞,包括CVE-2021-34473、CVE-2021-34523、CVE-2021-31207。该漏洞在上个月公开,此后一直被其他APT团体积极利用。攻击者使用在攻击时大多数防病毒工具未检测到的后门获得了对公司邮件服务器的访问权限。与第一个案例一样,犯罪分子追求的是敏感数据,
但检测人员发现了APT组织,积极的应对措施防止了严重的盗窃。攻击者仅在目标组织的基础设施内停留了八天,并没有时间造成太大伤害。
ChamelGang攻击的一个显着特点是使用了新的恶意软件:ProxyT、BeaconLoader和DoorMe后门,这些都是以前未知的。DoorMe是一个被动的后门,这大大增加了其检测的复杂性。该组织还使用了更为知名的变体,例如FRP、Cobalt Strike Beacon和Tiny shell。
Positive Technologies信息安全威胁响应负责人Denis Goydenko表示,“在我们发现的恶意软件样本中,最有趣的是DoorMe后门。这是一个本地IIS模块,注册为过滤器,通过它处理HTTP请求和响应。它的操作原理不同寻常:后门只处理那些请求其中设置了正确的cookie参数。在事件调查时,DoorMe没有被杀毒工具检测到,虽然安装这个后门的技术是已知的,但我们最近没有看到它的使用。后门为出攻击者在捕获的系统中拥有广泛的机会:它可以通过使用cmd.exe和创建新进程来执行命令,以两种方式写入文件,以及复制时间戳。总共执行了六个不同的命令。”
该组织被命名为ChamelGang因为它使用可信的网络钓鱼域和操作系统功能来掩盖恶意软件和网络基础设施。例如,攻击者注册仿冒大型国际公司(如Microsoft、TrendMicro、McAfee、IBM和Google)合法服务的网络钓鱼域,包括其支持服务、内容交付和更新。在研究该组织的活动时,研究人员发现了域名newtrendmicro.com、centralgoogle.com、microsoft-support.net、cdn-chrome.com和mcafee-upgrade.com。APT组织还在其服务器上放置了SSL证书,以模仿合法证书(github.com、ibm.com、jquery.com和update.microsoft-support.net)。
Positive Technologies研究人员尚未将ChamelGang与任何特定国家/地区联系起来。所有受攻击影响的组织都已收到国家CERT的通知。
参考来源:PositiveTechnologies http://33h.co/9ee8a
(九)APT组织MalKamak以航空航天和电信公司为目标
Cybereason Nocturus事件响应团队发现了一个新的威胁行为者MalKamak,该攻击者正在利用ShellClient恶意软件攻击航空航天和电信行业的组织,该活动被称为GhostShell。ShellClient是一种远程访问木马,用于窃取受害者的敏感信息。
至少从2018年起,威胁行动者就一直在针对上述行业。GhostShell是一场针对性很强的网络间谍活动,主要针对中东地区的实体,以及美国、俄罗斯和欧洲的其他受害者。研究人员将这些活动归因于一个新的与伊朗有关的威胁行为者,名为MalKamak,与APT39组织有一些联系。
Cybereason分析报告表示,“对ShellClient的运营商和作者身份的评估导致确定了一个名为MalKamak的新伊朗威胁行为者,该行为者至少自2018年以来一直在运营,至今仍无人知晓。此外,我们的研究指出了与其他伊朗国家资助的APT威胁行为者的可能联系,例如Chafer APT(APT39)和Agrius APT。然而我们评估,MalKamak具有不同于其他伊朗组织的特征。”
研究人员在7月份对一起事件的调查中首次发现了ShellClient RAT。最近的GhostShell行动(版本4.0.1)中使用的恶意软件分析显示,它是在2021年5月22日编译的。
RAT的第一个版本可以追溯到2018年,是一个简单的独立反向shell,经过多年的恶意软件发展,其作者实现了新功能,如代码混淆改进、Costura打包程序的使用、及新的持久性方法。一些ShellClient样本中嵌入的PDB路径表明,RAT是一个受限或机密项目的一部分,可能与军事或情报机构的行动有关。
报告显示,“在GhostShell行动中观察到的最新的ShellClient版本遵循了滥用云存储服务的趋势,这次是流行的Dropbox服务。ShellClient的作者选择放弃他们之前的C2域,并使用更简单但更隐蔽的C2通道取代恶意软件的命令和控制机制,使用Dropbox来窃取数据,并向恶意软件发送命令。由于其简单性和与合法网络流量有效融合的能力,这一趋势已被越来越多的威胁行动者所采用。报告还包括所有版本和ShellClient样本的威胁指标。”
参考来源:SecurityAffairs http://33h.co/98ycy
(十)新加坡以OT技术为重点调整网络安全战略
新加坡调整了网络安全战略,以加强其对操作技术(OT)的关注,提供了新的能力框架,为OT行业部门所需的技能集和技术能力提供指导。修订后的国家网络安全路线图还将加强整体网络安全态势,并促进国际网络合作。
新加坡网络安全局(CSA)表示,2021年的网络安全战略还将建立在保护新加坡关键信息基础设施(CII)和其他数字基础设施的努力之上。政府组织表示,将与CII运营商合作,加强OT系统的网络安全,网络攻击可能会造成物理和经济风险。
CSA定义OT系统包括工业控制、建筑管理和交通灯控制系统,包括监控或改变“系统的物理状态”,如控制铁路系统。
CSA表示,“许多OT系统在设计上都是独立的,不连接互联网或外部网络。然而,随着OT系统中新的数字解决方案的引入,提高了自动化程度,并促进了数据收集和分析,这给曾经相对‘安全’的气隙操作环境带来了新的网络安全风险。”
该报告指出,为了应对此类风险,企业需要一个框架,从中可以获得管理OT网络安全所需的流程、结构和技能方面的指导。
《OT网络安全能力框架》为OT行业部门所需的网络安全技能和技术能力提供了“更细粒度的细分”和参考。CSA表示,该项目旨在填补OT网络安全培训的现有差距。此前,包括CII部门在内的OT系统所有者将接受位于新加坡技能未来(SkillsFuture Singapore)下的ICT技能框架的指导,以确定技能差距并制定培训计划。
联合开发的新的OT安全框架提供了各种工作角色的路线图以及相应的技术技能和所需的核心竞争力。CSA表示,OT和IT系统所有者都可以参考参考指南,以提供足够的培训并规划员工的职业发展,而培训提供商可以使用它来确定技术能力和认证,以支持当地的培训需求。
此外,CSA学院将举办路演,以帮助组织根据其业务需求采用OT安全框架。对OT网络安全的日益关注符合新加坡本周早些时候宣布的更新网络安全战略。报告详细阐述了采取更积极主动的姿态应对数字威胁、推动国家网络安全态势、推动网络安全国际规范和标准的努力。
新加坡的2021年网络安全战略进一步认识到建立共识和深化合作的必要性,在这一战略中,新加坡将寻求倡导基于规则的网络空间多边秩序和可互操作的ICT环境。
新加坡目前是联合国安全不限成员名额工作组(2021-2026年)的主席,新加坡表示,它将为国际网络规范的讨论做出贡献,并支持全球努力,增强各国保护自己免受网络威胁的能力。在此,新加坡将呼吁制定和采用网络安全标准,以便在公民和企业使用的ICT产品和服务中实施最低水平的网络安全。
新加坡修订的2021年网络安全战略是在2016年推出第一个这样的计划五年后出台的。CSA表示,今后将“探索扩大”该国《网络安全法》下的监管,以包括CIIs以外的实体和系统。
参考来源:ZDNet http://33h.co/985rh
(十一)Facebook及其子公司在全球范围内同时宕机
截至10月4日下午,Facebook已经连续数小时处于瘫痪状态,不仅其主站点同时出现了全球范围内的宕机,其Instagram、WhatsApp、Messenger和Oculus VR子公司也出现了宕机。
据《纽约时报》报道,Facebook的内部交流平台Workplace也被下线,导致大多数员工无法工作。中断的原因尚不清楚,但从Facebook和WhatsApp的域名发出的错误信息来看,这是一个DNS问题。
截至美国东部夏令时15时29分,Instagram网站显示“5xx服务器错误”。Facebook的边界网关协议(BGP)路由被破坏,这意味着它失去了根据路径、网络策略或网络管理员配置的规则集做出路由决策的协议。
两名要求匿名的Facebook安全团队成员告诉《纽约时报》,大规模停机背后不太可能有网络攻击,因为“应用程序背后的技术仍然不同,一次黑客攻击不可能同时影响所有应用程序。”
Gurucul首席执行官Saryu Nayyar表示,如果Facebook的宕机确实是由攻击者造成的,他们可能是对Facebook的商业行为感到愤怒。
根据Down Detector网站收集的状态信息及检测问题,这看起来似乎是全球性的问题。网络中断在美国东部时间中午前后急剧增加,到美国东部时间15:09时仍在下降,但情况显然还没有完全解决。
The Verge网站还报道说,如果用户已经安装了Oculus的虚拟现实技术,并且浏览器运行正常,那么他们可以加载游戏,但Oculus的社交功能已经关闭,用户无法安装新游戏。
参考来源:ThreatPost http://33h.co/98qec
(十二)白宫召集30多国召开国际反勒索软件会议,中俄没有参加
美国国家安全委员会10月13日召开为期两天的网络会议,召集了30多个国家的盟友和合作伙伴,共同对抗勒索软件威胁。
根据白宫发布的一份概况介绍,2020年全球公开披露的勒索软件支付额已超过4亿美元,2021年第一季度将超过8100万美元。
反勒索软件倡议会议是为了应对持续的攻击,包括对美国Colonial Pipeline、JBS Foods和Kaseya的勒索软件攻击,这些攻击揭示了全球关键基础设施的重大漏洞。
一位高级政府官员在新闻发布会中对记者表示,“我们正在主持并推动一场虚拟会议。来自30多个国家和欧盟的部长和高级官员将加入会议,以加快合作打击勒索软件。反勒索软件倡议将举行为期两天的会议,参与者将涵盖从提高国家弹性的努力、到解决滥用虚拟货币来洗钱支付的经验、我们各自为扰乱和起诉勒索软件犯罪分子所做的努力、以及作为一种对抗勒索软件的工具。”
该会议将涵盖的领域与拜登政府的反勒索软件努力一致,即国家恢复力、打击非法金融、破坏和外交,这些努力按照四个不同的方向组织:
1、破坏勒索软件基础设施和威胁行为者:政府正在充分利用美国政府的能力来破坏勒索软件参与者、协助者、网络和金融基础设施;
2、增强抵御勒索软件攻击的弹性:政府呼吁私营部门加大投资力度,专注于网络防御以应对威胁。政府还概述了关键基础设施的预期网络安全阈值,并引入了关键交通基础设施的网络安全要求;
3、解决滥用虚拟货币进行赎金支付的问题:虚拟货币受适用于法定货币的反洗钱和打击恐怖主义融资(AML/CFT)控制措施的约束,并且必须执行这些控制措施和法律。政府正在利用现有能力并获得创新能力来追踪和拦截勒索软件收益;
4、利用国际合作破坏勒索软件生态系统并解决勒索软件犯罪分子的安全港问题:负责任的国家不允许犯罪分子在其境内活动而不受惩罚。
作为持续打击勒索软件网络犯罪团伙的一部分,拜登总统还发布了一份美国安全备忘录,通过为所有者和运营商设定基线性能目标来加强关键基础设施网络安全。
在Colonial Pipeline和JBS勒索软件攻击之后,美国国家安全副顾问Anne Neuberger告诉美国企业要认真对待勒索软件。白宫新闻秘书Jen Psaki补充表示,如果“俄罗斯政府不能或不愿意”,美国政府将对在俄罗斯境内活动的勒索软件组织采取行动。
7月,在G7领导人要求俄罗斯捣毁其境内的俄罗斯勒索软件团伙后,国际刑警组织还敦促全球各地的警察机构和行业合作伙伴共同对抗勒索软件威胁。
据Kommersant报道称,尽管莫斯科和华盛顿已设法在几个领域恢复合作,导致对Evil Corp、TrickBot和REvil团伙的多次打击,但俄罗斯和中国并未被邀请参加本周的反勒索软件会议。
这位官员表示,“我们与盟友和合作伙伴合作,让民族国家对恶意网络活动负责。在过去几个月里,我们对俄罗斯和中国的恶意网络活动给予了最广泛的国际支持,这证明了这一点。专家组继续开会以解决勒索软件威胁,并敦促俄罗斯采取行动打击源自其领土的犯罪勒索软件活动。在第一轮讨论中,我们没有邀请俄罗斯参加,原因有很多,包括各种限制。”
这位官员还表示,拜登政府观察到俄罗斯政府正在采取措施打击在其领土上活动的勒索软件团伙,预计会有更多结果和后续行动。“我们确实期待俄罗斯政府解决来自俄罗斯境内行为者的勒索软件犯罪活动。我可以报告说,我们在专家组中进行了坦率和专业的交流,我们已经传达了这些期望。我们还与俄罗斯分享了有关在其领土上进行的犯罪勒索软件活动的信息。我们已经看到俄罗斯政府采取了一些措施,并希望看到后续行动。”
参考来源:BleepingComputer http://33h.co/98bcv
(十三)CISA发布针对政府机构的远程访问指南
美国网络安全和基础设施安全局(CISA)近日发布新的指导文件:可信互联网连接(TIC)3.0远程用户用例。
该文件旨在为联邦机构提供关于保护其网络安全的指导,同时确保远程用户能够访问内部资源,该文件是与管理和预算办公室(OMB)、联邦首席信息安全官委员会(FCISO)可信互联网连接(TIC)小组委员会和总务管理局合作编写的。
CISA表示,TIC 3.0远程用户用例基于2020年春季发布的TIC 3.0临时远程工作指南,符合OMB备忘录M-19-26。该文件是在收到公众反馈后定稿的。该机构已经发布了收到的评论和修改的摘要,以及附加的TIC 3.0指南。
TIC 3.0远程用户用例中总共包含了四项新的安全功能,即用户意识和培训、域名监控、应用程序容器和远程桌面访问。
TIC 3.0远程用户用例定义了当机构用户从实体机构外部连接到网络时,机构应采用的网络和多边界安全方式。例如,在家或在酒店工作的人员,或从其他地点连接的人员。该用例中包括三种网络安全模式:保护远程用户访问机构校园、机构认可的云服务提供商和网络访问。
该文件显示,“远程用户用例帮助机构在获得应用程序性能的同时保护安全;通过减少私人链接降低成本;通过促进远程用户连接到机构认可的云服务和内部机构服务以及支持机构部署的其他选项,改善用户体验。”
参考来源:SecurityWeek http://33h.co/98qc2
(十四)美敦力胰岛素泵遥控器因严重风险被召回
美国食品和药物管理局(FDA)10月5日发布警告,通知患者医疗设备制造商美敦力(Medtronic)已扩大召回一些无线胰岛素泵的遥控器。
FDA警告称,由于召回问题可能会导致严重伤害或死亡,因此将召回归类为“I类”,即最严重的类型。FDA表示,由于潜在的网络安全风险,召回的远程控制器与美敦力的MiniMed 508胰岛素泵或MiniMed Paradigm系列胰岛素泵一起使用。
在10月5日发布的召回安全公告中,美敦力表示,一名外部安全研究人员发现了与MiniMed Paradigm系列胰岛素泵和相应的遥控器相关的潜在漏洞。
美敦力表示,“当一起使用时,Paradigm胰岛素泵和遥控器允许糖尿病患者轻松地自行输送推注,由泵提供的胰岛素剂量。无需亲自接触他们的胰岛素泵。这使用户能够在进餐时不间断地给药,以帮助将血糖保持在范围内。”
然而研究人员发现,与胰岛素泵用户在同一附近的未经授权的个人有可能复制遥控器发出的无线射频信号,同时发送远程推注,并在稍后播放这些信号,从而向胰岛素泵用户发送恶意剂量的胰岛素。
FDA警告说,利用这一漏洞“可以指导泵向患者过量输送胰岛素,导致低血糖,或停止输送胰岛素,导致高血糖和糖尿病酮症酸中毒,甚至死亡”。
FDA表示,受召回影响的人群包括使用MiniMed 508胰岛素泵或MiniMed Paradigm胰岛素泵家族遥控器功能的任何人。使用MiniMed 508胰岛素泵或MiniMed Paradigm系列胰岛素泵的远程控制器治疗糖尿病患者的医疗保健提供者和护理人员也会受到影响。
FDA指出,受到这个问题影响的遥控器是使用上一代技术的老型号。截至2018年7月,美敦力不再生产或销售这些远程控制器。
美国CISA也在10月5日发布了相关漏洞公告,漏洞包括敏感信息的明文传输及 捕获重放身份绕过认证。
参考来源:GovInfoSecurity http://33h.co/98sig
(十五)威胁组织SnapMC在可30分钟内进行快速勒索
NCC Group研究人员发现了一个名为SnapMC的新威胁组织,在30分钟内,该组织利用未修补的VPN和Web服务器破坏系统,窃取敏感数据,并要求支付赎金,进行快速勒索,但并没有使用勒索软件进行文件加密。
文件加密被认为是勒索软件攻击的核心组成部分,因为这是给受害者带来操作中断的元素。以双重勒索为目的的数据泄露后来作为针对受害者的另一种手段出现,但总是在加密网络造成的混乱以后。很快,勒索软件攻击者就意识到这种方法的威力,因为许多公司可以从备份中恢复损坏的文件,但不可能恢复文件窃取事件及其后果。
SnapMC并没有加密目标数据和系统来扰乱业务运营,而是专注于直接敲诈勒索。这种低技术、无勒索软件、快速的勒索方法,依赖于已知漏洞和现成的补丁。
NCC Group研究报告称,“在我们看到的来自SnapMC的勒索电子邮件中,受害者有24小时的联系时间和72小时的谈判时间。这些截止日期很少被遵守,因为我们已经看到攻击者在倒计时为零之前就开始增加压力。”
研究人员无法将该组织与任何已知的威胁行为者联系起来,并以其速度Snap和选择的mc.exe渗漏工具命名。
作为该组织窃取了数据的证据,SnapMC向受害者提供了一份泄露数据列表,如果他们未能在时间范围内进行谈判,攻击者就会威胁要发布数据并向客户和媒体报告违规行为。
研究人员表示,他们已经观察到SnapMC使用用于ASPX.NET的Telerik UI中的CVE-2019-18935远程代码执行漏洞,以及使用SQL注入的Web服务器应用程序成功地破坏了未修补且易受攻击的VPN。
Lookout云安全高级经理Hank Schless表示,最近VPN漏洞的增加使公司暴露了风险。“虽然VPN解决方案有其一席之地,但在这些解决方案中存在多个漏洞被广泛利用。确保只有经过授权和安全的用户或设备才能访问企业基础设施,需要针对本地或私有应用程序的零信任网络访问(ZTNA)策略,以及针对基于云的应用程序和基础设施的云访问安全代理(CASB)功能。”
去年六月,旧的VPN密码破坏了Colonial管道。去年7月,SonicWall发布了一个补丁,用于修复在攻击曝光后公司不再支持的旧VPN模型中的漏洞,这是正在进行的更广泛的攻击活动CVE-2019-7418的一部分。接下来,思科系统公司为8,800台千兆VPN路由器发布了一些补丁,这些路由器易CVE-2021-1609攻击。
到上月底,美国国家安全局(NSA)和网络安全与基础设施安全局(CSIA)向国防部、国家安全系统和国防工业基地发布了指南,以加强其VPN,抵御来自多个民族国家APT行为者的威胁。
除了国家行为者之外,基本的修补程序可以防止这种最新的SnapMC之类的数据敲诈勒索企图。
Vectra的CTO Oliver Tavakoli表示,完全摆脱攻击的加密部分是勒索软件商业模式的“自然演变”。NCC同样预测,在更短的时间内进行简单攻击的趋势可能会继续下去。
NCC Group威胁情报团队预测,数据泄露勒索攻击将随着时间的推移而增加,因为与全面的勒索软件攻击相比,它需要的时间更少,技术深度知识或技能甚至更少。因此,确保能够检测到此类攻击,并准备好在短时间内执行的事件响应计划,对于有效缓解SnapMC对组织构成的威胁至关重要。
参考来源:ThreatPost http://33h.co/98d4c
(十六)美国数字无线运营商Visible的客户账号遭黑客入侵
Verizon旗下的美国数字无线运营商Visible承认,一些客户的账户遭到了黑客攻击。该公告是由一名员工在Visible的官方sub-reddit上发布的,该员工表示该公司正在调查一起导致少数账户遭到破坏的事件。
虽然该公司的声明提供了有关该事件的有限细节,但该员工建议客户使用凭据保护帐户安全,这些凭据也用于暗示潜在的凭据填充攻击的其他在线服务。
受影响的用户注意到他们的账户存在可疑活动,一些人也报告了欺诈性的信用卡费用,但他们都声称无法访问账户并重置密码。
用户还在处理隐私泄露问题,因为帐户仪表板包含敏感的个人详细信息,例如姓名、家庭住址和付款详细信息。但是添加到帐户的任何付款方式都无法删除,只能添加新的付款方式。在添加、验证并选择新方法作为主要方法后,可以删除旧方法。在数据泄露的情况下,此程序繁琐且无助于补救情况。
Visible表示,其系统均未遭到黑客入侵,并建议客户出于谨慎考虑更改密码和安全问题。尽管该公司将此视为范围有限的事件,但Visible支持的官方Twitter已承认聊天平台存在技术问题这一事实引起了人们的怀疑。
Reddit上的安全更新通知是在周一发布的。这意味着,无论是什么困扰着Visible的服务,似乎都是持久的,而且仍然在进行中。
大量Visible用户提出的一个关键点是,缺少双因素身份验证作为保护其帐户的安全选项。虽然双因素验证不是最终的安全形式,尤其是基于SMS的安全形式,但它可以提供有效的保护,防止大规模撞库攻击,假设这是正在发生的事情。
参考来源:BleepingComputer http://33h.co/985v6
(十七)厄瓜多尔最大私人银行Banco Pichincha遭受网络攻击
厄瓜多尔最大的私人银行Banco Pichincha披露其遭受了网络攻击。为了防止攻击蔓延到其他系统,该银行关闭了部分网络,导致银行业务大面积中断,ATM无法工作,网上银行门户网站显示维护信息。
在发送给银行机构的内部通知中,员工被告知,由于技术问题,银行应用程序、电子邮件、数字渠道和自助服务将无法运行。该内部文件进一步指出,自助服务客户应该被引导到银行柜员窗口,以便在网络中断期间提供服务。
该声明显示,“在过去的几个小时里,在我们的计算机系统中发现了一个网络安全事件,导致服务部分瘫痪。我们已立即采取行动,例如将可能受到网络其他部分影响的系统隔离开来,并请网络安全专家协助解决调查。目前代理网络、用于取款和使用借记卡和信用卡付款的ATM机正在运行。此次技术事件并未影响银行的财务业绩。我们重申,我们致力于维护客户利益,并在最短的时间内通过数字渠道恢复正常护理。我们呼吁保持冷静,避免造成拥堵,并通过Banco Pichincha的官方渠道随时了解情况,以避免虚假谣言的传播。”
在对该银行技术问题保持沉默两天后,Banco Pichincha与10月12日周二下午发表声明,承认其遭受了导致系统中断的网络攻击。
目前,网上银行门户仍然显示维护消息,但客户现在可以访问他们的在线帐户,移动应用程序仍然因攻击而关闭。
目前,Banco Pichincha尚未公开披露此次袭击的性质。然而,网络安全行业消息人士表示,这是一次勒索软件攻击,攻击者在网络上安装了Cobalt Strike信标。勒索软件团伙和其他威胁行为者通常使用Cobalt Strike来获得持久性并访问网络上的其他系统。
今年2月,Banco Pichincha遭受了名为Hotarus Corp的网络犯罪分子的网络攻击,他们声称从银行网络中窃取了文件。Pichincha对黑客的说法提出异议,并表示他们的一个提供商遭到破坏。
Banco Pichincha表示,“我们知道有人未经授权访问了为Pichincha Miles计划提供营销服务的供应商的系统。关于这次信息泄露,根据广泛调查,我们没有发现银行系统损坏或访问的证据,因此,我们客户财务资源的安全没有受到损害。”
参考来源:BleepingComputer http://33h.co/98k13
(十八)奥林巴斯美国IT系统因网络攻击被迫关闭
奥林巴斯是一家领先的医疗技术公司,在2021年10月10日星期日,其网络遭受了网络攻击,被迫关闭美洲了(美国、加拿大和拉丁美洲)的IT系统。
奥林巴斯在攻击发生两天后发表的一份声明中表示,“在检测到可疑活动后,我们立即动员了一个包括取证专家在内的专业响应团队,我们目前正在以最高优先级解决这个问题.作为调查和遏制的一部分,我们已经暂停了受影响的系统,并通知了相关的外部合作伙伴。目前的调查结果表明,该事件已被遏制在美洲,对其他地区没有已知影响。”
该公司没有透露在“潜在的网络安全事件”期间客户或公司数据是否被访问或被盗,但表示将在可用后立即提供有关此次攻击的新信息。
奥林巴斯表示,“我们正在与适当的第三方合作解决这种情况,并将继续采取一切必要措施,以安全的方式为我们的客户和业务合作伙伴提供服务。保护我们的客户和合作伙伴并保持他们对我们的信任是我们的首要任务。”
奥林巴斯发言人表示,该公司在对此事件的持续调查中没有发现数据丢失的证据。在此事件发生之前,勒索软件攻击于9月初攻击了奥林巴斯的EMEA(欧洲、中东、非洲)IT系统。
尽管奥林巴斯没有分享任何关于攻击者身份的信息,但在受影响系统上发现的赎金记录显示,BlackMatter勒索软件运营商组织了这次攻击。同样的赎金记录还指向BlackMatter组织过去用来与受害者沟通的Tor网站。
尽管奥林巴斯再次没有透露有关攻击其美洲IT系统的攻击性质的详细信息,但众所周知,勒索软件团伙会在周末和假期进行攻击以延迟检测。
FBI和CISA在8月发布的联合咨询中表示,他们“观察到,在美国的假期和周末(办公室通常关闭)发生的具有高度影响力的勒索软件攻击有所增加,最近是2021年的7月4日假期。”
奥林巴斯在全球拥有超过3.1万名员工,拥有100多年的医疗、生命科学和工业设备研发历史。该公司的相机、录音机和双目望远镜部门被转移到OM Digital Solutions,后者自2021年1月以来一直在销售和分销这些产品。
参考来源:BleepingComputer http://33h.co/98epb
(十九)勒索软件组织FIN12活跃攻击医疗保健行业
自2018年10月以来,一个积极的、出于经济动机的威胁行为者已被认定与一系列RYUK勒索软件攻击有关,同时与TrickBot关联的威胁行为者保持密切合作关系,并使用公开可用的工具库与受害者网络进行互动,如Cobalt Strike Beacon有效载荷。
网络安全公司Mandiant将入侵归因于一个更名为FIN12的俄语黑客组织,之前以UNC1878的名义进行跟踪,其重点关注收入超过3亿美元的医疗保健组织,其中包括教育、金融、制造、和技术部门,位于北美、欧洲和亚太地区。这标志着勒索软件附属组织首次被提升为独特的威胁行为者。
Mandiant研究人员表示,“FIN12依赖合作伙伴来获得对受害者环境的初始访问。值得注意的是,FIN12似乎优先考虑速度和更高收入的受害者,与其他勒索软件威胁参与者广泛采用的多方面勒索策略不同。”
使用初始访问代理来促进勒索软件部署并不新鲜。2021年6月,企业安全公司Proofpoint调查结果显示,勒索软件攻击者正越来越多地从使用电子邮件作为入侵途径转向从已经渗透到主要实体的网络犯罪企业购买访问权限,Ryuk感染主要利用通过TrickBot和BazaLoader等恶意软件家族获得的访问。
此外,网络安全公司KELA在2021年8月对初始访问经纪人进行的深入分析发现,2020年7月至2021年6月期间,网络访问的平均成本为5,400美元,部分参与者采取道德立场,反对与医疗保健公司进行交易访问。FIN12针对医疗保健行业的目标表明,其最初访问代理“撒下了更广泛的网,并允许FIN12参与者在已经获得访问权限后从受害者列表中进行选择。”
尽管FIN12在2019年末的策略涉及使用TrickBot作为在网络中保持立足点并执行后期任务的手段,包括侦察、提供恶意软件植入程序和部署勒索软件,但该组织此后一直依赖Cobalt Strike Beacon有效载荷用于执行开发后活动。
Mandiant在2021年5月观察到,在导致部署Cobalt Strike Beacon和WEIRDLOOP有效载荷之前,威胁行为者通过从受感染的用户帐户内部分发的网络钓鱼电子邮件活动在网络中获得了立足点。据称,在2021年2月中旬至4月中旬之间发起的攻击还利用远程登录,获得了受害者Citrix环境的凭据。
FIN12与其他入侵威胁行为者的区别还在于,它很少参与数据盗窃勒索,这是一种在受害者拒绝付款时泄露数据的策略。Mandiant表示,这源于威胁行为者希望迅速采取行动,并打击目标愿意以最少的谈判达成和解以恢复关键系统,这也许可以解释他们对攻击医疗保健网络越来越感兴趣的原因。
Mandiant研究人员表示,“在涉及数据盗窃的FIN12活动中,勒索赎金的平均时间为12.4天,而在未发现数据盗窃的情况下为2.48天。FIN12在不需要采用额外的勒索方法的情况下取得了明显的成功,这可能会强化这一观点。FIN12是我们正在推广的第一个FIN参与者,他们专注于攻击生命周期的特定阶段,即勒索软件部署,同时依靠其他威胁参与者来获得对受害者的初步访问。这种专业化反映了当前的勒索软件生态系统,该生态系统由各种松散关联的参与者组成,但不完全是彼此合作。”
参考来源:TheHackerNews http://33h.co/9ekzb
(二十)全球最大连锁酒店之一Meliá遭受网络攻击
全球最大的连锁酒店之一美利亚国际酒店集团(Meliá Hotels International)因网络安全事件而陷入瘫痪。
该事件发生在10月4日星期一凌晨,主要影响了Meliá在西班牙的业务,攻击者破坏了部分内部网络和一些基于Web的服务器,包括其预订系统和公共网站。几家西班牙新闻媒体将该事件报道为勒索软件攻击。
目前还没有一个勒索软件团伙公开宣称对该连锁酒店的入侵负责,该酒店的名字也没有被列入任何勒索软件“泄露网站”的潜在受害者名单,尽管这并不是勒索软件攻击的迹象,因为一些勒索软件团伙并不运营这类网站。
Meliá是世界上客房数量排名第17位、酒店数量排名第25位的连锁酒店,该公司向西班牙金融机构和执法部门披露了这一事件。这家连锁酒店还一直在与西班牙电信的网络安全部门合作,以应对此次攻击的后果。
据知情人士透露,该公司已经从备份中恢复了系统,系统在几天内就恢复了运行,酒店继续像往常一样为客人提供服务。
Meliá的发言人拒绝进一步置评。西班牙执法部门表示,他们不会对正在进行的调查发表评论。Meliá在40多个国家运营着370多家酒店。
参考来源:TheRecord http://33h.co/98559
(二十一)美国媒体集团CMG遭勒索软件攻击后中断了广播
美国媒体集团Cox Media Group(CMG)披露,其在2021年6月遭到勒索软件攻击,导致电视直播和广播流中断。该公司通过邮件通知了数百名受到安全漏洞影响并且其个人数据在攻击中暴露的人。
CMG立即在执法部门的支持下展开调查,还聘请了领先的网络安全专家来确定攻击的程度。该公司证实,它没有支付赎金。
该公司发布的违规通知显示,“2021年6月3日,CMG遭遇了勒索软件事件,其中其网络中的一小部分服务器被恶意威胁行为者加密。CMG在同一天发现了这一事件,当时CMG观察到某些文件被加密且无法访问。CMG迅速将其系统下线,作为预防措施,并采取额外措施防止进一步未经授权的访问。”
Cox Media Group在最初入侵的同一天发现了安全漏洞,并立即将系统关闭,以避免威胁的传播。
该公司最近确定,攻击者试图删除服务器上某些HR文件的副本,但没有成功。根据泄露通知,可能暴露的个人信息包括姓名、地址、社会安全号码、财务帐号、健康保险信息、健康保险单号、医疗状况信息、医疗诊断信息和在线用户凭证,存储用于人力资源管理。
该公司宣布已采取措施在安全漏洞发生后提高其基础设施的安全性,例如采用多因素身份验证协议、执行企业范围的密码重置以及部署端点检测解决方案。
该公司表示,“该公司正在继续监控和改进其能力,以检测任何进一步的威胁并避免任何进一步的未经授权的活动。这些步骤包括多因素身份验证协议、执行企业范围的密码重置、部署其他端点检测软件、重新对所有最终用户设备进行映像以及重建干净的网络。CMG非常重视个人信息的保护,并承诺回答办公室可能遇到的任何问题。”
参考来源:SecurityAffairs http://33h.co/985k1
(二十二)日本跨国电子公司JVCKenwood遭受Conti勒索软件攻击
日本跨国电子公司JVCKenwood遭受了Conti勒索软件攻击,攻击者声称窃取了1.5 TB数据,并要求支付700万美元赎金。
JVCKenwood是一家总部位于日本的跨国电子公司,拥有16,956名员工,2021年的收入为24.5亿美元。该公司以其JVC、Kenwood和Victor品牌而闻名,这些品牌生产汽车和家庭音频设备、医疗保健和无线电设备、专业和车载摄像头、及便携式发电站。
JVCKenwood披露,其在欧洲的销售公司服务器于9月22日遭到破坏,攻击者可能在攻击期间访问了数据。该公司在一份新闻声明中表示,“JVCKENWOOD于2021年9月22日检测到未经授权访问了JVCKENWOOD集团在欧洲的一些销售公司运营的服务器。发现进行未经授权访问的第三方可能会泄露信息。目前,公司外部的专门机构会同有关部门进行详细调查,目前确认没有客户数据泄露,一旦获得详细信息,将在公司网站上公布。”
一位消息人士分享了针对JVCKenwood攻击中使用的CONTI勒索软件样本的赎金记录。在一次谈判中,勒索软件团伙声称窃取了1.5 TB文件,并要求支付700万美元赎金,以换取不公布数据并提供文件解密程序。
作为窃取数据的证据,攻击者共享了一个PDF文件,是JVCKenwood员工的护照扫描件。自提供数据被盗证据以来,JVCKenwood代表没有进一步联系,表明该公司可能不会支付赎金。
Conti是一个勒索软件家族,据信由TrickBot威胁组织运营,通常在网络被TrickBot、BazarBackdoor和Anchor木马入侵后安装。多年来,勒索软件团伙发起了广泛的攻击,包括针对塔尔萨市、爱尔兰卫生服务执行局(HSE)、研华和众多医疗保健组织的高调攻击。
最近,Conti组织面临一些争议,一个心怀不满的附属机构泄露了勒索软件操作的攻击手册,执法部门和研究人员都深入了解他们的策略。上周,FBI、CISA和NSA之间的一份联合报告警告称,Conti勒索软件攻击可能会升级。
参考来源:BleepingComputer http://33h.co/98xs1
(二十三)巴西电子商务公司因错误配置泄露了近18亿条记录
据研究人员称,一家巴西电子商务公司在错误配置Elasticsearch服务器后无意中暴露了近18亿条记录,其中包括客户和卖家的个人信息。
由Anurag Sen领导的SafetyDetectives团队在6月发现了这一事件,并迅速将泄漏追溯到Hariexpress,这是一家允许供应商管理和自动化其跨多个市场(包括Facebook和亚马逊)活动的公司。
尽管该公司在研究人员7月初警告泄漏后仅4天就回复了他们,但随后就无法联系了。目前可以确认这个问题现在已经被修复。
服务器没有加密,没有设置密码保护。它包含610GB的数据,包括客户的全名、家庭和送货地址、电话号码和账单细节。被曝光的还有卖家的全名、电子邮件、企业/家庭地址、电话号码和企业/税号(CNPJ/CPF)。SafetyDetective无法确认受影响的总人数,因为包含可能重复的电子邮件地址。
SafetyDetectives表示,“如此严重的数据泄露很容易影响到数十万甚至数百万巴西Hariexpress用户和电子商务购物者。Hariexpress的服务器泄露的内容也会影响到它自己的业务。我们不知道是否不道德的黑客发现了Hariexpress的不安全Elasticsearch服务器。用户、快递员、消费者以及Hariexpress本身都应该了解他们可能面临的数据泄露风险。”
其中包括基于合法用户和商业细节的网络钓鱼和社会工程尝试,利用CPF信息的退税和退货欺诈,甚至从订购高价值商品的客户家中偷窃物品。
巴西的数据保护法Lei Geral de Proteção de Dados(LGPD)显然赋予了监管者权力,对严重违规的公司处以最高为前一年收入2%的罚款,最高可达5000万巴西雷亚尔(约合1000万美元)。
参考来源:infosecurity http://33h.co/985i4
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
