关键信息基础设施安全动态周报【2021年第34期】
发布时间:
2021-08-27
来源:
作者:
天地和兴
访问量:
299
目 录
第一章 国内关键信息基础设施安全动态
(一)Mozi物联网僵尸网络存在于Netgear、华为和中兴网络网关中
第二章国外关键信息基础设施安全动态
(一)美国白宫召开网络安全工作会议
(二)美国国务院遭受网络攻击
(三)美国人口普查局遭受Citrix ADC零日漏洞攻击
(四)白俄罗斯黑客组织窃取国家机密数据,企图推翻现任政府
(五)值得关注的四个新兴勒索软件组织
(六)新西兰环境保护部遭受勒索软件攻击
(七)日本加密货币交易所Liquid遭受黑客攻击
(八)美国最大移动电话服务提供商AT&T泄露7000万用户信息
(九)微软开发平台因配置不当泄露3800万条记录
(十)黑客可通过输液泵漏洞控制药物剂量
(十一)美国CISA建议立即修补微软Exchange ProxyShell漏洞
(十二)FBI发布关于OnePercent Group威胁行为者的警告
(十三)诺基亚子公司遭受Conti勒索软件攻击发生数据泄露
(十四)朝鲜APT组织InkySquid利用IE漏洞攻击韩国组织
(十五)荷兰教育机构ROC Mondriaan遭受重大网络攻击
第一章 国内关键信息基础设施安全动态
(一)Mozi物联网僵尸网络存在于Netgear、华为和中兴网络网关中
微软安全研究人员发布了最新调查结果,Mozi是一种以物联网设备为目标的点对点(P2P)僵尸网络,可以在Netgear、华为和中兴通讯制造的网络网关上实现持久性。
微软研究人员在8月19日发布的技术文章中表示,“网络网关对于攻击者来说是一个特别关注的目标,因为它们是企业网络初始接入点的理想选择。通过感染路由器,他们可以执行中间人(MITM)攻击,通过HTTP劫持和DNS欺骗,来危害端点并部署勒索软件,或在OT设施中引发安全事故。”
Netlab 360于2019年12月首次记录,Mozi有感染路由器和数字录像机的历史,以便将它们组装成物联网僵尸网络,可能会被滥用以发起分布式拒绝服务(DDoS)攻击、数据泄露、和有效载荷执行。僵尸网络是从几个已知恶意软件家族的源代码演变而来的,例如Gafgyt、Mirai和IoT Reaper。
Mozi通过采用弱远程访问密码和默认远程访问的密码以及未修补漏洞传播,IoT恶意软件使用与BitTorrent相关的DHT进行通信,来记录僵尸网络中其他节点的联系信息,相同的机制由文件共享P2P客户端使用。受感染的设备会侦听来自控制器节点的命令,并尝试感染其他易受攻击的目标。
现在,微软安全团队最新研究发现,该恶意软件“在重启或其他恶意软件或响应者干扰其操作的任何其他尝试时,采取特定行动来增加其生存机会”,包括在目标设备上实现持久性和阻止TCP用于远程访问网关的端口(23、2323、7547、35000、50023和58000)。
2020年9月发布的IBM X-Force分析指出,从2019年10月到2020年6月,Mozi占观察到的物联网网络流量的近90%,这表明威胁行为者越来越多地利用物联网设备提供的不断扩大的攻击面。在上个月发布的另一项调查中,Elastic安全情报和分析团队发现,迄今为止,至少有24个国家/地区成为攻击目标,其中保加利亚和印度首当其冲。
更重要的是,Mozi已升级为支持新命令,使恶意软件能够劫持HTTP会话并进行DNS欺骗,从而将流量重定向到攻击者控制的域。
建议使用Netgear、华为和中兴路由器的企业和用户使用强密码保护设备,并将设备更新到最新固件。微软表示,“这样做将减少僵尸网络利用的攻击面,并防止攻击者进入他们可以使用新发现的持久性和其他漏洞利用技术的位置。”
参考来源:TheHackerNews http://33h.co/w33xv
第二章 国外关键信息基础设施安全动态
(一)美国白宫召开网络安全工作会议
美国总统拜登8月25日在白宫召开了网络安全会议,宣布了加强供应链和天然气管道安全的举措,各大主要公司承诺在网络上投入数十亿美元。
美国国家标准与技术研究所将与行业合作,制定安全技术构建指南,这是两项管理举措中的第一项。另一方面,美国政府正式将其工业控制系统网络安全计划扩大到天然气管道领域。根据该计划,150家电力公司同意在天然气管道上部署控制系统安全技术。
科技巨头、保险公司和教育组织在峰会中做出了大大小小的网络安全承诺。承诺投入最大资金的包括:微软宣布在五年内投200亿美元用于整合“网络安全设计”,这意味着在产品构建过程中将融入安全性;谷歌宣布投入100亿美元用于扩展“零信任网络安全”,保护软件供应链并提高开源安全性。
此前6月份发生了一起勒索事件,黑客侵入了Colonial输油管道,迫使该公司在数天内停止了美国部分地区的燃油运输。在此之前,被指控的俄罗斯间谍利用SolarWinds,利用该联邦承包商作为渗透美国九个机构的手段。
在与行业领袖会面之前,拜登称网络安全是“美国人民面临的核心国家安全挑战,也是我们的经济面临的挑战”。拜登表示,由于私人拥有如此多的关键基础设施,“联邦政府无法单独应对这一挑战。我今天邀请你们所有人来到这里,因为我相信你们有能力、有责任来提高网络安全的标准。”
其他私营部门的承诺包括:IBM承诺在三年内培训150,000人掌握网络技能,Coalition提供免费风险评估工具,Code.org表示将在三年内向300万学生教授网络概念。
亚马逊表示,它将为每月至少花费100美元的亚马逊网络服务账户持有人提供多因素身份验证设备。苹果表示将与其供应商合作,推动大规模采用事件记录、事件响应、多因素身份验证、安全培训和漏洞修复。
其中许多步骤反映了拜登在5月以加强联邦政府内部安全而签署的行政命令。
IBM首席执行官Arvind Krishna在LinkedIn的帖子中反映了拜登对合作的看法,“没有一家私营公司可以独自面对这一巨大挑战。现在是公共和私营部门加紧集体努力以改善我们国家未来几十年网络安全的时候了。”
Coalition、谷歌、IBM、微软和Travelers将合作开发NIST框架,其中将包括安全技术评估。NIST主任James Olthoff表示,“基于我们的技术专长和我们既定的开放流程,我们可以共同构建一个框架,该框架将提供完善的技术、可信、实用的解决方案,以帮助国家更好地管理网络安全风险。”
参考来源:CyberScoop http://33h.co/wpary
(二)美国国务院遭受网络攻击
福克斯新闻(Fox News)记者8月21日表示,美国国务院遭受了网络攻击,国防部网络司令部(Department Of Defense Cyber Command)发出了潜在严重入侵的通知。
一位消息灵通人士告诉路透社,国务院没有经历过重大的干扰,其行动也没有受到任何形式的阻碍。
福克斯新闻(Fox News)报道称,据信这起入侵事件发生在几周前。根据记者的推文,目前还不清楚它是何时被发现的。入侵的程度以及运营是否存在任何持续的风险也不清楚。
该记者援引一位匿名消息人士的话说,国防部继续疏散在阿富汗的美国人和盟军难民的工作没有受到网络攻击的影响。
美国国务院发言人周六告诉CNBC,国务院“认真履行保护其信息的责任,并不断采取措施确保信息得到保护。出于安全原因,我们目前无法讨论任何所谓的网络安全事件的性质或范围。”
参考来源:CNBC http://33h.co/wp2mi
(三)美国人口普查局遭受Citrix ADC零日漏洞攻击
美国商务部检察长办公室(OIG)8月16日发布报告称,美国人口普查局的服务器在2020年1月11日遭受了黑客入侵,攻击者利用的是Citrix ADC零日漏洞,最终在安装后门或窃取敏感数据之前停止了攻击。
然而调查发现,官员们被告知其服务器中存在漏洞,并且在攻击前至少有两次机会修复该漏洞,主要是由于负责不同安全任务的团队之间缺乏协调。该报告详细介绍并回顾了2020年1月11日发生的事件,当时攻击者利用了一个公开可用的严重漏洞,攻击了人口普查局运营的远程访问服务器。
该报告表示,“这些服务器的目的是为该局提供远程访问功能,供其企业员工访问生产、开发和实验室网络。这些服务器没有提供2020年人口普查网络的访问。在对远程访问服务器的攻击期间,早在2020年1月13日,该局的防火墙就阻止了攻击者从远程访问服务器到其指挥和控制基础设施进行通信的企图。但是,直到2020年1月28日,也就是2个多星期后,该局才意识到服务器已遭到入侵。”
Citrix于去年12月发布了关于零日漏洞CVE-2019-19781的公告。今年1月份,该局计算机事件响应小组(CIRT)的一名代表参加了两次讨论该漏洞的会议,与会者甚至收到了使用Citrix已经发布的修复程序的步骤链接。
该报告指出,“尽管在12月发布了公开通知,并在1月参加了两次有关该问题的会议,但CIRT局在服务器遭到攻击之前,并未与负责实施这些缓解措施的团队进行协调。”这样做本可以阻止这次攻击。
该Citrix产品漏洞是由Positive Technologies研究人员Mikhail Klyuchnikov发现的,可用于应用感知流量管理和安全远程访问。158个国家/地区至少有80,000个组织(美国约占38%)使用这些产品,以前,,名为NetScaler ADC和网关。
人口普查局最初的入侵是在用于为该局的企业员工提供对生产、开发和实验室网络的远程访问功能的服务器上,这些服务器无法访问2020年十年一次的人口普查网络。
该报告显示,“此次攻击部分成功,因为攻击者修改了系统上的用户帐户数据,为远程代码执行做准备。然而,攻击者试图通过在受影响的服务器中创建后门来维持对系统的访问,但没有成功。”
调查人员表示,攻击者能够对远程访问服务器进行未经授权的更改,包括创建新用户帐户。然而,该局的防火墙阻止了攻击者建立后门与攻击者的外部命令和控制基础设施进行通信的企图。
据OIG称,该局采取的另一个可以在攻击发生之前减轻攻击的安全失误是,它没有按照联邦标准和商务部政策对远程访问服务器进行漏洞扫描。
调查人员表示,“我们发现该局漏洞扫描团队维护了一份要扫描的设备列表。然而,远程访问服务器并未包含在列表中,因此没有被扫描。发生这种情况是因为系统和漏洞扫描团队没有协调凭据扫描所需的系统凭据传输。”
OIG发现,该局在攻击发生后也犯了错误,没有及时发现或报告事件。调查人员发现,直到1月28日,也就是攻击发生两周后,IT管理员才意识到服务器遭到入侵,因为该局没有使用安全信息和事件管理工具(SIEM)来主动提醒事件响应者可疑的网络流量。
参考来源:ThreatPost http://33h.co/w3q3h
(四)白俄罗斯黑客组织窃取国家机密数据,企图推翻现任政府
白俄罗斯政府的反对者表示,作为推翻总统卢卡申科政权的广泛努力的一部分,他们实施了一项大胆的黑客攻击,破坏了数十个警察和内政部的数据库。
该黑客组织自称为“白俄罗斯网络游击队”,最近几周公布了该庞大数据库的一部分,其中包括该国一些最秘密的警察和政府数据库。根据对黑客的采访和审查的文件,这些信息包含被指控的警察线人名单、政府高级官员和间谍的个人信息、从警察无人机和拘留中心收集的视频片段以及来自政府窃听系统的电话秘密录音。
被窃取的文件包括有关卢卡申科的核心圈子和情报官员的个人详细信息。此外,新冠疫情死亡率统计数据表明,白俄罗斯死于新冠疫情的人数比政府公开承认的多出数千人。
黑客在接受采访时和社交媒体上表示,他们还破坏了白俄罗斯的240多个监控摄像头,并准备使用名为X-App的恶意软件关闭政府计算机。
白俄罗斯内政部没有回应置评请求。7月30日,该国克格勃安全机构负责人伊万·特特尔在国家电视台播出的讲话中表示,存在“黑客攻击个人数据”和“系统收集信息”,将其归咎于“外国特别服务机构”的工作。
虽然这次黑客攻击的直接影响尚不完全清楚,但专家表示,其长期后果可能是重大的,从破坏政府公告到支持国际社会制裁或起诉卢卡申科及其下属。都柏林城市大学专门研究东欧抗议和数字权利问题的副教授Tanya Lokot表示,“如果卢卡申科最终面临国际刑事法院的起诉,那么这些记录将非常重要。”
白俄罗斯数字安全专家Nikolai Kvantaliani表示,网络游击队公开的数据表明,“官员们知道他们的目标是无辜的人,并无缘无故地使用了额外的武力。因此,越来越多的人开始不相信官方媒体的宣传”。在去年的反政府示威游行中,该组织压制了警察暴力的画面。
黑客与一个名为BYPOL的组织联手,该组织由前白俄罗斯警察创建,他们在去年有争议的卢卡申科选举后叛逃。选举后发生了大规模示威活动,一些警察被指控在残酷镇压中折磨和殴打数百名公民。
Aliaksandr Azarau是白俄罗斯的一名前警察中校,领导着一个有组织的犯罪和腐败部门,他在去年目睹选举舞弊和警察暴力后于去年辞去了工作。他搬到波兰并加入了BYPOL,他说从去年年底开始就一直在与网络游击队合作。Azarau膘四号,黑客发布的信息是真实的,BYPOL计划用它来追究腐败的警察和政府官员的责任。
据Azarau表示,黑客获得的窃听电话录音显示,白俄罗斯内政部正在监视范围广泛的人员,包括高级和普通警察以及与总检察长合作的官员。录音还提供了警察指挥官下令对抗议者施暴的音频证据。
Azarau表示,“我们正在与网络游击队密切合作。他们提供的信息对我们来说非常重要。他们入侵了大部分主要警察数据库,并下载了所有信息,包括来自我们警察最机密的安全部门窃听部门的信息。我们发现他们正在窃听最著名的执法人员。现在我们可以倾听他们并理解他们对人实施犯罪的命令。”该组织希望利用这些信息对欧盟和美国的白俄罗斯官员实施制裁,本月早些时候,美国和英国都宣布对与卢卡申科政权有关的个人和实体实施制裁。
参考来源:彭博社http://33h.co/w3jy8
(五)值得关注的四个新兴勒索软件组织
Palo Alto Networks的Unit 42威胁情报团队8月24日发布了研究报告,研究了可能对企业和关键基础设施构成严重威胁的四个新兴勒索软件组织。最近爆发的勒索软件事件的连锁反应表明,攻击者在从受害者那里获取报酬的手法越来越老练,也越来越有利可图。
Unit 42研究人员表示,“虽然勒索软件危机在好转之前似乎会变得更糟,但造成最大破坏的网络犯罪组织的阵容却在不断变化。当勒索软件组织声名狼藉,甚至成为执法部门的优先任务时,他们会保持沉默。其他组织则通过修改策略、技术和程序、更新软件和发起营销活动来招募新人,从而重新启动业务运营,使其更有利可图。”
随着勒索软件攻击规模越来越大、频率越来越高、规模越来越大、严重程度越来越高,同时也从经济勒索演变为威胁到世界各地学校、医院、企业和政府的紧急国家安全问题,促使国际当局制定一系列行动,打击勒索软件的运营商以及被滥用以挪用资金的更广泛的IT生态系统和洗钱基础设施。
第一个勒索软件组织是AvosLocker,是一个勒索软件即服务(RaaS)组织,该组织于6月下旬通过“新闻发布”开始运营,这些新闻稿带有蓝色甲虫标志,以招募新的附属机构。该组织还经营着一个数据泄露和勒索网站,据说已经入侵了美国、英国、阿联酋、比利时、西班牙和黎巴嫩的六个组织,赎金要求从50,000美元到75,000美元不等。
第二个勒索软件组织Hive与AvosLocker同月开业,但已经在美国、中国、印度、荷兰、挪威、秘鲁、葡萄牙、瑞士、泰国和英国的其他受害者中攻击了数家医疗保健机构和中型组织,包括欧洲航空公司和三家总部位于印度的实体。
第三个勒索软件组织HelloKitty的Linux变体,它挑选出运行VMware的ESXi管理程序的Linux服务器。Unit 42研究人员Doel Santos和Ruchna Nigam表示,“观察到的变体影响了意大利、澳大利亚、德国、荷兰和美国的五个组织。最高赎金要求为1000万美元,但威胁行为者只收到了三笔交易,总金额约为148万美元。”
最后一个勒索软件组织是LockBit 2.0,这是一个成熟的勒索软件组织,于6月重新出现,其附属程序的2.0版本宣传其“加密速度和自传播功能”的“无与伦比的优势”。开发人员不仅声称它是“世界上最快的加密软件”,而且该组织还提供了一个名为StealBit的窃取器,使攻击者能够下载受害者的数据。
自2021年6月首次亮相以来,LockBit 2.0已经危害了会计、汽车、咨询、工程、金融、高科技、酒店、保险、执法、法律服务、制造、非营利能源、零售、运输和物流等领域的52个组织,横跨阿根廷、澳大利亚、奥地利、比利时、巴西、德国、意大利、马来西亚、墨西哥、罗马尼亚、瑞士、英国和美国的行业。
新的勒索软件变体的出现表明,网络犯罪分子正在加倍进行勒索软件攻击,突显出这种犯罪活动利润极其丰厚。
研究人员表示,“随着REvil和DarkSide等主要勒索软件组织低调行事或重新命名,以逃避执法热度和媒体关注,新的组织将会出现,以取代不再积极攻击受害者的团体。虽然LockBit和HelloKitty之前一直很活跃,但它们最近的演变使它们成为一个很好的例子,说明旧的团体如何重新出现并保持持续的威胁。”
参考来源:TheHackerNews http://33h.co/w3744
(六)新西兰环境保护部遭受勒索软件攻击
新西兰环境保护部(DOC)企业服务部副总干事Rachel Bruce表示,DOC将与11名个人信息可能在勒索软件攻击中遭到泄露的人取得联系。
7月21日,在奥拉基/库克山的搜救基地发生了一次孤立的勒索软件攻击。搜索和救援(SAR)基地是一个独立的网络,与DOC网络没有连接。由于恶意软件,工作人员无法访问已加密的共享文件。在信息被加密之前,攻击者可能已经访问并下载了与SAR基地DOC工作人员以及通过DOC行动获得协助的个人有关的信息。
Rachel Bruce表示,“一旦我们意识到攻击事件,我们立即采取了行动。独立网络上的所有5台设备都被立即隔离,并发送给第三方取证分析专家,以确定哪些数据已被泄露。”
搜救基地的业务连续性计划已经启动,搜救小组能够在没有这些设备的情况下保持经营。在事件发生后的四个工作日内,该团队收到了更换设备。包括隐私专员办公室在内的相关政府机构已收到通知,并会不断更新。DoC遵循这些机构的建议和指导。
Rachel Bruce表示,“我们正在等待取证分析和文件审查的结果,以确定隐私影响。我们正在与新西兰警察和救援协调中心的隐私专员办公室、首席信息安全官和隐私官合作。我们已经确定了92项操作中的11项,其中包含在违规中的信息可能包括有关个人的敏感信息,因此根据《2020年隐私法》将需要通知。其中一些人是游客,可能居住在海外。”
Rachel Bruce表示,“我们目前正在联系这些人,并告知他们的个人信息可能已被泄露。我们将为任何需要它的人提供适当的支持。我们已经隔离了SAR网络。DOC网络或IT系统的其他部分没有受到影响。我们继续进行改进,包括确保员工充分了解网络攻击的持续风险。”
参考来源:新西兰环保部http://33h.co/w3sn2
(七)日本加密货币交易所Liquid遭受黑客攻击
最近几个月,越来越多的加密交易平台成为黑客的目标。据报道,最近的一次攻击导致日本加密货币交易所Liquid价值9700万美元的数字资产被盗。
Liquid没有提供损失估计数额,因为该数字有待日本金融厅的分析。尽管如此,这次攻击影响了许多用户,因为Liquid是世界上每日交易量最大的20家加密交易所之一,CoinMarketCap估计每天交易额超过1.33亿美元。
另一方面,区块链分析公司Elliptic称,黑客获得了超过9700万美元的加密货币,其中4500万美元转向了以太坊,如Uniswap和SushiSwap。进一步调查显示,攻击者能够访问Liquid的个人信息数据库,其中包含家庭地址、电子邮件地址、姓名和加密密码等细节。
最近的Liquid黑客攻击是一周多来加密货币交易平台遭受的第二大攻击。8月10日,Poly Network的数字资产损失近6亿美元。尽管由于突发事件,事情似乎很快就会解决,但仍有超过2亿美元被锁定在需要黑客密码的帐户中。
Liquid表示,“在这个困难时期,我们非常感谢我们的客户、其他交易所、安全专家和更广泛的加密社区的支持。Liquid将继续尽其所能减轻此次事故的影响,并尽快恢复全部服务。”虽然此次攻击无人认领,但目前所知的是,它的一些钱包已被入侵,并转移到四个支持多种硬币的独立钱包中。
参考来源:Softpedia http://33h.co/wpbnb
(八)美国最大移动电话服务提供商AT&T泄露7000万用户信息
一个名为ShinyHunters的黑客声称可以进入AT&T的数据库,该数据库包含7000多万客户的个人和敏感记录。AT&T公司是美国最大的移动电话服务提供商,也是世界上最大的电信公司。
在黑客论坛和市场Raid论坛上发布的一篇文章中,ShinyHunters提供了这个数据库,起价为20万美元。ShinyHunters在论坛上分享的样本记录显示,这些记录涉及的客户详细信息包括:姓名、地址、邮政编码、出生日期、电子邮件地址、社会安全号码(SSN)。
尽管AT&T尚未对此次数据泄露事件发表评论,但如果这些数据是合法的,对公司和客户来说都将是一场灾难。该数据库可能被政府支持的黑客组织、间谍机构、勒索软件团伙或骗子收买,而客户可能最终成为易受攻击的对象。截至2019年,AT&T在美国拥有约7700万后付费用户和1800万预付费用户。
就在几天前,一名黑客在同一个论坛上出售T-Mobile客户的记录。T-Mobile也证实了这一数据泄露事件,但到目前为止,还未能确定T-Mobile和AT&T之间的任何关联。
参考来源:HackRead http://33h.co/wpb9r
(九)微软开发平台因配置不当泄露3800万条记录
一千多个网络应用程序在开放的互联网上错误地暴露了3800多万条记录,包括来自多个新冠疫情接触者追踪平台、疫苗接种登记、求职门户网站和员工数据库的数据。这些数据包括一系列敏感信息,从人们的电话号码和家庭地址到社保号码和新冠肺炎接种状况。
该事件影响了美国航空公司、福特、运输和物流公司J.B.亨特、马里兰州卫生部、纽约市市政交通局和纽约市公立学校等大公司和组织。虽然数据暴露问题已经得到解决,但此事件表明,在一个流行平台中,一个糟糕的配置设置会产生深远的影响。
泄露的数据都存储在微软的Power Apps门户服务中,这是一个开发平台,可以方便地创建供外部使用的网络或移动应用。如果你需要在流感大流行期间快速启动疫苗预约注册网站,Power Apps门户网站可以同时生成面向公众的网站和数据管理后端。
从5月份开始,安全公司Upguard的研究人员开始调查大量Power Apps门户网站,这些门户网站公开了一些本应属于隐私的数据,包括微软为自己的目的而开发的一些Power Apps。目前还没有任何数据被泄露,但这一发现仍然具有重要意义,因为它揭示了Power Apps门户网站设计中的一个漏洞,该漏洞后来已被修复。
除了管理内部数据库和提供开发应用程序的基础外,Power Apps平台还提供现成的应用程序编程接口来与这些数据交互。但UpGuard的研究人员意识到,当启用这些API时,平台默认将相应的数据公开。启用隐私设置是一个手动过程。结果,许多客户错误配置了他们的应用程序,留下了不安全的默认设置。
研究人员偶然发现的信息类型多种多样。J.B.Hunt曝光的是包括社保号码在内的求职者数据。微软自己也在自己的Power Apps门户网站上公开了一些数据库,包括一个名为“全球薪资服务”的旧平台、两个“业务工具支持”门户网站和一个“客户洞察”门户网站。
这些信息在很多方面都是有限的。例如,印第安纳州有Power Apps门户网站曝光的事实,并不意味着该州持有的所有数据都被曝光。只涉及该州Power Apps门户网站中使用的接触者追踪数据的一部分。
多年来,基于云的数据库的错误配置一直是一个严重的问题,使大量数据暴露在不适当的访问或被盗的风险之下。亚马逊网络服务(Amazon Web Services)、谷歌云平台(Google Cloud Platform)和微软Azure等大型云公司都从一开始就采取措施,默认存储客户的数据,并标记潜在的错误配置,但直到最近,该行业才优先考虑这一问题。
在研究了多年的云错误配置和数据暴露之后,Upguard的研究人员发现,这些问题出现在一个他们从未见过的平台上。Upguard试图调查暴露和通知尽可能多的受影响的组织。不过,研究人员无法接触到每一个实体,因为实体太多了,所以他们也向微软披露了研究结果。8月初,微软宣布Power Apps门户将默认存储API数据和其他信息。该公司还发布了一个工具,客户可以用来检查他们的门户设置。
虽然陷入这种情况的各个组织理论上可能自己发现了问题,但UpGuard的Pollock强调,云提供商有责任提供安全和私有的默认设置。否则,许多用户不可避免地会无意中暴露数据。
参考来源:Wired http://33h.co/wp2v6
(十)黑客可通过输液泵漏洞控制药物剂量
从心脏起搏器和胰岛素泵到乳房X光机、超声波和监视器,一系列医疗设备被发现存在令人担忧的安全漏洞。最新加入阵容的是一种广受欢迎的输液泵和基座,即B.Braun Infusomat Space大容量泵和B.Braun SpaceStation,老练的黑客可以操纵它们,为受害者提供双倍剂量的药物。
输液泵将药物和营养自动输送到病人体内,通常是从一袋静脉输液中输送。它们尤其适用于提供非常小剂量的药物。但这意味着当问题出现时,会有很高的风险。例如,在2005年至2009年间,FDA收到了大约56000份与输液泵有关的“不良事件”报告,“包括大量的受伤和死亡”,随后该机构在2010年对输液泵的安全性进行了打击。因此,像B. Braun Infusomat Space大容量泵这样的产品在软件层面上被高度锁定;不可能直接向设备发送命令。但安全公司McAfee Enterprise的研究人员最终找到了绕过这一障碍的方法。
McAfee的研究人员发现,可以访问医疗机构网络的攻击者能够利用一个常见的连接漏洞控制SpaceStations。从那里,他们可以依次利用其他四个漏洞来发送药物倍增指令。全面攻击在实践中并不容易实施,需要在医疗机构的网络中找到第一个立足点。
成功利用这些漏洞可能会让老练的攻击者危害Space或Compact actplus通信设备的安全,允许攻击者提升权限、查看敏感信息、上传任意文件,并执行远程代码执行。黑客还可能会改变连接的输液泵的配置,以及输液率。
B.Braun在通知中表示,使用10月份发布的最新版本的软件是确保设备安全的最佳方式。同时还建议客户实施其他网络安全缓解措施,如分段和多因素身份验证。这些漏洞“与使用B. Braun软件老版本的少数设备有关”,该公司还没有发现漏洞被利用的证据。
不过,McAfee的研究人员指出,大多数漏洞实际上还没有在现有产品中得到修补。B. Braun只是简单地删除了新版SpaceStations中易受攻击的联网功能。
一旦黑客利用第一个网络漏洞获得了对SpaceStations的控制,黑客就会将四个漏洞结合在一起,这四个漏洞都与SpaceStations和水泵之间缺乏访问控制有关。研究人员发现了特定的命令和条件,在这些命令和条件下,泵不能充分验证数据的完整性,也不能验证空间站发送的命令。他们还发现,由于缺乏上传限制,他们可以用恶意文件感染设备备份,然后从备份中进行恢复,从而将恶意软件放入泵中。他们注意到,这些设备在没有加密的情况下以明文来回发送一些数据,使其暴露在被截获或操纵之下。
去年年底,德国政府研究人员同时发现了这个不受限制的上传漏洞。FDA在一份声明中表示,它还没有被告知这些漏洞。
这四个问题可以结合起来创建一个攻击场景,研究人员表示,这对攻击者来说是现实可行的。这个过程中最困难和耗时的部分是对SpaceStations和泵进行反向工程,以了解它们的工作方式,并找到漏洞。关于这种设备的文献和过去的研究很少,因此恶意黑客需要老练的逆向工程师来开发这样的攻击。因此,作为预防措施,McAfee的研究人员隐瞒了一些研究结果的细节。
考虑到对患者健康和安全的潜在影响,无论当前的攻击趋势如何,寻求更安全的医疗设备是当务之急。
参考来源:Wired http://33h.co/wpwaz
(十一)美国CISA建议立即修补微软Exchange ProxyShell漏洞
美国CISA于8月21日发布紧急警报,督促管理员尽快修复本地Microsoft Exchange服务器的ProxyShell漏洞。ProxyShell是三个漏洞的统称,未经身份验证的远程攻击者可通过链接这些漏洞在Microsoft Exchange服务器上执行代码。
ProxyShell攻击中使用的三个漏洞是:
1、CVE-2021-34473预身份验证路径混淆导致ACL绕过漏洞;
2、CVE-2021-34523 Exchange PowerShell后端的特权提升漏洞;
3、CVE-2021-31207授权后任意文件写入导致RCE漏洞。
这些漏洞是通过在IIS中的端口443上运行的Microsoft Exchange的客户端访问服务(CAS)远程利用的。
这些漏洞是由Devcore的安全研究员Tsai orange发现的,在2021年4月的Pwn2Own黑客大赛中,这些问题获得了200,000美元奖金。Orange Tsai在Black Hat会议上发表了演讲并分享了有关Microsoft Exchange漏洞的详细信息。
ProxyShell攻击链针对Microsoft Exchange中的多个组件,包括客户端应用程序使用的自动发现服务(Autodiscover service),该服务以最小的用户输入来配置自己。
CISA发布的警报中表示,“恶意网络参与者正在积极利用以下ProxyShell漏洞:CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。利用这些漏洞的攻击者可以在易受攻击的机器上执行任意代码。CISA强烈敦促各组织在其网络上识别易受攻击的系统,并立即应用微软从2021年5月开始的安全更新,该更新修复了所有三个ProxyShell漏洞,以防范这些攻击。”
网络安全专家Kevin Beaumont是最早发现试图针对Microsoft Exchange安装的威胁行为者的研究人员之一。在研究人员在Black Hat黑客大会上公布技术细节后,威胁分子开始积极扫描Microsoft Exchange ProxyShell远程代码执行漏洞。
攻击者首先会破坏Microsoft Exchange服务器,然后利用这些漏洞来卸载web shell,这些web shell可以用来安装和执行其他恶意负载。在利用Exchange服务器后,威胁行为者丢弃了可用于上传其他程序并执行它们的web shell。
最近,一个名为LockFile的勒索软件组织被发现利用最近披露的ProxyShell漏洞攻击Microsoft Exchange服务器。
赛门铁克的安全专家报告表示,Lockfile组织首先侵入Microsoft Exchange服务器,然后利用PetitPotam漏洞接管域控制器。网络安全公司亨特莱斯实验室的研究人员发现,截至上周,攻击者在1900多台遭到攻击的微软Exchange服务器上部署了140多个web shell。
参考来源:SecurityAffairs http://33h.co/wp2yw
(十二)FBI发布关于OnePercent Group威胁行为者的警告
美国联邦调查局(FBI)分享了一个名为OnePercent Group的威胁行为者的信息,该组织至少自2020年11月以来一直积极针对美国组织进行勒索软件攻击。FBI在紧急警报中分享了妥协指标、战术、技术和程序(TTP)以及缓解措施。
FBI表示,“FBI了解到一个自称为‘OnePercent Group’的网络犯罪集团,自2020年11月以来一直利用Cobalt Strike对美国公司实施勒索软件攻击。”
威胁行为者使用恶意钓鱼电子邮件附件,在目标系统上投放IcedID banking特洛伊木马有效负载。在感染特洛伊木马后,攻击者下载并安装Cobalt Strike在被攻击的端点上,以便在受害者的网络中横向移动。
在维持对受害者网络的访问长达一个月,并在部署勒索软件有效加载前过滤文件后,OnePercent将使用随机的8个字符扩展名(如dZCqciA)加密文件,并添加唯一命名的勒索信息链接到该团伙的.onion网站上。
受害者可以通过Tor网站获得更多赎金要求信息,与攻击者谈判,并获得“技术支持”。在大多数情况下,受害者将被要求用比特币支付赎金,并在支付后48小时内提供解密密钥。
根据联邦调查局的说法,勒索软件分支机构还将使用伪造的电话号码联系受害者,威胁说除非他们与公司谈判人员有联系,否则将泄露被盗数据。
OnePercent Group运营商使用的应用程序和服务包括AWS S3云、IcedID、Cobalt Strike、PowerShell、Rclone、MimiKatz、SharpKatz、BetterSafetyKatz、SharpSploit。
FBI的警告没有提供OnePercent Group过去攻击或使用的加密器的详细信息,因此很难将他们定性为特定勒索软件即服务的附属机构。然而,该机构确定OnePercent Group与臭名昭著的Revil(Sodinokibi)勒索软件团伙有关,他们曾利用该团伙的数据泄露网站泄露并拍卖受害者被盗的文件。
如果在‘one percent leak’事件后,赎金还没有全部支付,攻击者威胁会将窃取的数据卖给Sodinokibi组织,然后在拍卖会上公布。攻击者很可能是Revil的的cartel联盟中的合作伙伴,这意味着他们自己实施攻击和赎金,只有在他们无法自己产生报酬的情况下才与Revil合作。
FBI的IOC名单中提到的命令和控制服务器(golddiso[.]top和jue85[.]cyou)也指向了因使用ICEDID部署Maze和Egregor勒索软件而闻名的UNC2198威胁制造者。
Cymru团队在2021年5月发布的关于映射Active IcedID网络基础设施的报告中也提到了相同的IOC。
参考来源:BleepingComputer http://33h.co/wpwxb
(十三)诺基亚子公司遭受Conti勒索软件攻击发生数据泄露
总部位于美国的诺基亚子公司SAC Wireless披露了在勒索软件攻击后发生的数据泄露事件,Conti运营商能够成功破坏其网络、窃取数据和加密系统。
这家全资独立运营的诺基亚公司总部位于伊利诺伊州芝加哥,与美国各地的电信运营商、主要信号塔所有者和原始设备制造商(OEM)合作。SAC Wireless帮助客户设计、构建和升级蜂窝网络,包括5G、4G LTE、小基站和FirstNet。
该公司发现其网络在6月16日被Conti勒索软件运营商入侵,这是在部署了他们的有效载荷并加密了SAC无线系统之后。诺基亚子公司发现,属于现任和前任员工(以及他们的医疗计划家属)的个人信息。
Conti获得了SAC系统的权限,将文件上传至其云存储,然后在6月16日部署勒索软件,对SAC系统中的文件进行加密。
在完成取证调查后,该公司认为被盗文件包含以下类别的个人信息:姓名、出生日期、联系信息(如家庭地址、电子邮件和电话)、政府身份证号码(如驾照、护照或军官证)、社会保险号、公民身份、工作信息(如头衔、薪水和评估)、病史、健康保险单信息、车牌号、数字签名、结婚或出生证明、纳税申报单信息以及家属/受益人姓名。
为了应对勒索软件攻击,SAC采取了多项措施来防止未来的入侵,包括:改变了防火墙规则\断开连接的VPN连接\激活条件访问地理位置政策,以限制非美国访问、提供额外的员工培训、部署了额外的网络和端点监控工具、扩展的多因素身份验证、部署了其他威胁搜索、端点检测和响应工具。
虽然该公司拒绝承认勒索软件攻击,也没有提供更多关于损失程度的信息,但Conti勒索软件团伙在他们的泄密网站上透露,他们窃取了超过250 GB的数据。根据最近的更新,如果诺基亚子公司不支付赎金,该勒索软件集团将很快在网上泄露所有被盗文件。
Conti勒索软件是一个私人的勒索软件即服务(RaaS)操作,很可能是由一个名为“Wizard Spider”的俄罗斯网络犯罪集团控制的。Conti与臭名昭著的Ryuk勒索软件共享了一些代码,在Ryuk在2020年7月左右减少活动后,他们开始使用Ryuk勒索软件的tricbot分销渠道。
该团伙最近入侵了爱尔兰卫生服务管理局(HSE)和卫生部(DoH),要求前者支付2000万美元的赎金,并对其系统进行了加密。美国联邦调查局(FBI)今年5月还警告称,Conti的运营商曾试图侵入十几家美国医疗保健和应急组织的网络。
参考来源:BleepingComputer http://33h.co/wpwwx
(十四)朝鲜APT组织InkySquid利用IE漏洞攻击韩国组织
网络安全公司Volexity于8月17日发布研究文章称,朝鲜APT组织InkySquid在针对韩国在线报纸网站Daily NK的攻击中使用了两个IE漏洞,并传播新型自定义恶意软件Bluelight。
Volexity分析报告表示,其研究团队人员注意到,从4月开始,韩国Daily NK网站上加载了可疑代码,Daily NK一个专注于朝鲜的新闻媒体。尽管这些链接指向的是真实文件,但恶意代码会在短时间内被插入,因此很难被检测到。研究人员怀疑攻击是在3月到6月之间进行的。
Volexity研究报告表示,“当被要求使用正确的IE用户代理时,该主机将提供额外的混淆JavaScript代码。与最初的重定向一样,攻击者选择将他们的恶意代码隐藏在合法代码中。在这种情况下,攻击者将bPopUp JavaScript库与他们自己的代码一起使用。”
攻击者修改了网站使用的合法文件的内容,并包含重定向用户以从攻击者拥有的域jquery[.]服务加载恶意JavaScript的代码。攻击者仅在短时间内包含恶意代码,从而难以检测攻击。CVE-2020-1380是脚本引擎内存损坏漏洞,CVE-2021-26411是Internet Explorer内存损坏漏洞,这两个漏洞都已被威胁行为者在野外积极利用。
研究人员补充表示,由于代码在很大程度上是合法的,它可能会逃避手动和自动检测。攻击者围绕真实内容伪装的代码与IE漏洞CVE-2020-1380一致。
据Volexity称,InkySquid组织(又名APT37、Reaper或ScarCruft)的另一次类似攻击利用CVE-2021-26411攻击Internet Explorer以及Microsoft Edge的旧版本。
研究人员解释解释表示,“与CVE-2020-1380示例一样,攻击者利用存储在SVG标签中的编码内容来存储密钥字符串及其初始负载。最初的命令和控制(C2)URL与在CVE-2020-1380案例中观察到的相同。”
该组织还开发了一个新的恶意软件家族Bluelight,之所以使用这个名字,是因为恶意软件的程序数据库(PDB)代码中使用了bluelight一词。报告称,Cobalt Strike被用来发起所有这三起攻击。Bluelight似乎是作为辅助有效载荷提供的。
Bluelight恶意软件家族使用不同的云提供商来促进C2。这个特定示例利用Microsoft Graph API进行C2操作。启动时,Bluelight使用硬编码参数执行OAuth2令牌身份验证。身份验证后,恶意软件会在OneDrive子目录中创建一个文件夹,该文件夹由C2服务器控制。Volexity表示,名称听起来无害,如logo、normal、background、theme、round等。然后它开始泄露数据,包括用户名、IP地址、在机器上运行的VM工具、操作系统版本等,格式为JSON。
主要的C2循环在最初上传侦察数据后开始,每大约30秒迭代一次。在前五分钟,每次迭代都会捕获显示的屏幕截图并将其上传到普通子目录,并以编码时间戳作为文件名。前五分钟后,屏幕截图每五分钟上传一次。
虽然利用已知的IE漏洞不会对大量目标起作用,但由于使用合法代码作为掩护,一旦系统被感染,检测就很困难。“虽然战略网络入侵(SWC)不像以前那样流行,但仍然是许多攻击者武器库中的武器。”
参考来源:ThreatPost http://33h.co/w35qb
(十五)荷兰教育机构ROC Mondriaan遭受重大网络攻击
荷兰海牙教育机构ROC Mondriaan遭受了黑客攻击,所有计算机都已停机,员工和学生无法访问文件。学校正在尽力尽快重新启动并运行该系统。
MBO学校已对网络攻击进行了取证调查,以了解规模并确保踪迹安全。专家们也在研究如何让计算机系统以负责任的方式安全、快速地重新启动和运行。与此同时,员工和学生将无法访问系统,也无法访问他们的数据。该教育机构还向荷兰数据保护局报告了该事件,个人数据或其他敏感数据可能已被攻击者访问或获取。
学校发言人没有证实是否存在勒索软件攻击。如果文件被加密,员工经常无法登录系统,文件也无法查看或编辑,攻击者经常威胁要公开窃取的数据。阻止这种情况并重新获得对文件的访问权限的唯一方法是支付赎金。一旦钱进入犯罪者的账户,他们就会交出解密器或解密密钥。
ROC Mondriaan董事会成员Harry de Bruijn表示,“我们现在更愿意告诉你更多,但接下来的几个小时和几天必须首先澄清调查。希望能够在下周重新开始教育,届时中部地区的学校将重新开放。这可以适当的形式完成,因为不确定系统和应用程序是否会再次工作。考虑到这种情况,我们现在正在尽最大努力为学年开始做准备。”
参考来源:ROC Mondriaan http://33h.co/w37wv
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02