关键信息基础设施安全动态周报【2021年第23期】
发布时间:
2021-06-11
来源:
作者:
天地和兴
访问量:
1035
目 录
第一章 国外关键信息基础设施安全动态
(一)罗克韦尔自动化产品存在多个安全漏洞
(二)CODESYS工业自动化软件存在10个严重漏洞
(三)WAGO工业控制器存在漏洞,可使黑客破坏工业流程
(四)西门子及施耐德披露其设备中存在的数十个漏洞
(五)美国管道服务公司LineStar遭受勒索软件攻击泄露70 GB数据
(六)美国司法部追回了Colonial Pipeline支付的大部分赎金
(七)美国CISA发布有关使用MITRE ATT&CK框架的新指南
(八)因Fastly CDN服务故障,全球互联网大面积中断
(九)俄罗斯黑客组织使用新型SkinnyBoy恶意软件攻击军事及政府组织
(十)俄罗斯攻击者针对乌克兰发起大规模网络攻击
(十一)美国最大媒体集团之一Cox Media遭受勒索攻击
(十二)德国IT服务提供商Fiducia&GAD遭受DDoS攻击
(十三)黑客在暗网公开包含84亿密码的集合RockYou2021
(十四)西班牙劳动和社会经济部遭受黑客攻击
(十五)东京奥运会约170名工作人员数据遭黑客窃取
(十六)美国军用车辆制造商Navistar遭受网络攻击泄露数据
(十七)印度IT公司Nucleus感染新型勒索软件BlackCocaine
(十八)选民沟通平台iConstituent遭受勒索软件攻击
第一章 国外关键信息基础设施安全动态
(一)罗克韦尔自动化产品存在多个安全漏洞
卡巴斯基的研究人员在罗克韦尔自动化软件中发现的几个漏洞影响了施耐德电气、通用电气和其他供应商的工业产品。
这些安全漏洞是卡巴斯基研究人员在罗克韦尔自动化(Rockwell Automation)的ISaGRAF中发现的,该ISaGRAF是为开发自动化产品而设计的。
其中最严重的关键问题是CVE-2020-25176,可被“通过IXL[ISaGRAF eXchange Layer]协议认证的远程攻击者利用,以遍历应用程序的目录,从而导致远程代码执行。”
另一个潜在的严重问题是CVE-2020-25178,这是一个与信息的明文传输相关的严重漏洞。未经验证的远程攻击者可以利用该漏洞上传、读取或删除文件。
CVE-2020-25184也被评为高度严重级别,本地未经验证的攻击者可利用该漏洞获取以纯文本形式存储在文件中的用户密码。
卡巴斯基发现的另外两个漏洞被评为中度严重。一种允许未经身份验证的本地攻击者执行任意代码,而另一种可能导致信息公开,并且可以在没有身份验证的情况下被远程利用。
卡巴斯基ICS网络应急小组负责人Evgeny Goncharov告诉《安全周刊》,如果这些漏洞在攻击中被利用,其影响取决于目标设备的用途。众所周知,一些受影响的产品被用来控制工业企业的关键任务资产,因此企业技术流程的关键部分依赖于它们,潜在的攻击后果可能相当严重。
在本周发布的一份报告中,罗克韦尔自动化公司表示,这些漏洞影响了其AADvance控制系统、ISaGRAF Runtime和ISaGRAF6 Workbench工具以及Micro800控制器。
在本周发布的公告中,施耐德电气表示,其工业自动化产品中有多个使用ISaGRAF Runtime和ISaGRAF6 Workbench,包括Easergy、MiCOM、PACiS、EPAS、Saitel、SCADAPack、SCD2200和SAGE产品,其中许多是远程终端设备(RTU)。
ISaGRAF6 Workbench用于为使用iec61131-3语言的嵌入式设备编程应用程序,并且可以被合并到更大的编程和配置工具中。ISaGRAF运行时模块在嵌入式设备上执行ISaGRAF工作台中创建的过程控制代码。
帮助协调向受影响供应商披露信息的美国网络安全和基础设施安全局(CISA)本周也发布了一份建议。CISA的报告显示,GE Steam Power的ALSPA S6 MFC3000和MFC1000控制系统也受到ISaGRAF缺陷的影响。通用电气似乎没有公开的建议,但CISA已建议客户与该公司联系,了解如何缓解漏洞的信息。
虽然施耐德、罗克韦尔和通用电气已经采取措施解决这些漏洞,但卡巴斯基告诉《安全周刊》,由于其他供应商尚未发布产品补丁,因此无法透露其名称。
参考来源:SecurityWeek http://t.hk.uy/t7p
(二)CODESYS工业自动化软件存在10个严重漏洞
网络安全研究人员披露了多达10个影响CODESYS自动化软件的关键漏洞,这些漏洞可能被利用来在可编程逻辑控制器(PLC)上远程执行代码。
攻击者不需要用户名或密码就能利用这些漏洞;拥有工业控制器的网络接入就足够,这些漏洞的主要原因是对输入数据的核查不够,而这本身可能是由于未能遵守安全开发建议造成的。
这家俄罗斯网络安全公司指出,它在WAGO提供的一款PLC上发现了漏洞。WAGO和Beckhoff、Kontron、Moeller、Festo、三菱和和利时等其他自动化技术公司都使用CODESYS软件对控制器进行编程和配置。
CODESYS为工业控制系统中使用的控制器应用程序编程提供了一个开发环境。这家德国软件公司赞扬了Positive Technologies公司的Vyacheslav Moskvin、Denis Goryushev、Anton Dorfman、Ivan Kurnakov、Sergey Fedonin以及SCADAfence公司的Yossi Reuven报告了这些漏洞。
CODESYS WebVisu使用CODESYS V2.3 web服务器组件来在web浏览器中可视化人机界面(HMI),其中发现了6个最严重的漏洞。攻击者可能利用这些漏洞发送特殊设计的web服务器请求来触发拒绝服务条件,向控制运行时系统的内存中读写任意代码,甚至使CODESYS web服务器崩溃。
所有的6个漏洞都被评为10分(CVSS10):
- CVE-2021-30189-基于堆栈的缓冲区溢出。
- CVE-2021-30190-访问控制不正确。
- CVE-2021-30191-不检查输入大小的缓冲复制。
- CVE-2021-30192-未正确实施安全检查。
- CVE-2021年-30193-越界写入。
- CVE-2021年-30194-越界读取。
另外,Control V2运行时系统中暴露的另外三个漏洞(CVSS得分:8.8)可能被滥用来手工创建可能导致拒绝服务条件或被用于远程代码执行的恶意请求。
- CVE-2021-30186-基于堆的缓冲区溢出。
- CVE-2021-30188-基于堆栈的缓冲区溢出。
- CVE-2021-30195-输入验证不正确。
最后,在CODESYSControlV2Linux SysFile库(CVE-2021-30187,CVSS得分:5.3)中发现的一个漏洞可用于调用额外的PLC函数,进而允许恶意攻击者删除文件和中断关键进程。
利用这些漏洞可能导致在PLC上远程执行命令,这可能会扰乱工艺流程,造成工业事故和经济损失。利用类似漏洞的最臭名昭著的例子就是使用Stuxnet病毒。
CODESYS漏洞的披露紧随西门子SIMATIC S7-1200和S7-1500 plc中解决的类似问题之后,攻击者可以利用这些问题远程访问内存的受保护区域,实现不受限制和未检测的代码执行。
参考来源:theHackerNews http://t.hk.uy/t5h
(三)WAGO工业控制器存在漏洞,可使黑客破坏工业流程
俄罗斯网络安全公司Positive Technologies称,德国一家专门从事电气连接和自动化解决方案的公司WAGO生产的工业控制器中发现的几个漏洞可以被利用来破坏工艺流程,在某些情况下可能导致工业事故。
该漏洞是在WAGO PFC200可编程逻辑控制器(PLC)中发现的,供应商已对其进行了修补。其中一个漏洞被跟踪为CVE-2021-21001,并被评为临界严重程度,被描述为与设备使用的CODESYS组件相关的路径遍历问题。它允许对目标设备进行网络访问的经过身份验证的攻击者通过发送特殊设计的数据包,以更高的权限访问其文件系统。
通过利用此漏洞,攻击者可以使用读写权限访问控制器文件系统。PLC文件系统的改变可能会导致工艺流程中断,甚至会导致工业事故。
第二个问题被标识为CVE-2021-21000,被评为中等严重程度,影响WAGO的iocheck服务,该服务旨在检查PLC输入/输出并显示PLC配置。对该设备具有网络访问权限的未经验证的攻击者可以利用此漏洞进成DoS攻击。利用漏洞可能会导致控制器突然关闭,进而中断工艺流程。
今年5月,德国VDE CERT披露了这些漏洞,以及Positive Technologies在CODESYS工业自动化软件中发现的其他10个安全漏洞。
这10个CODESYS漏洞-大多数被评为严重和高度严重,影响了来自十几家使用CODESYS软件的供应商的工业控制系统(ICS)产品。
Positive Technologies最近因涉嫌支持俄罗斯情报机构而受到美国政府的制裁。不过,该公司表示,将继续负责任地披露其员工在美国大公司产品中发现的漏洞。
参考来源:SecurityWeek http://t.hk.uy/t6p
(四)西门子及施耐德披露其设备中存在的数十个漏洞
工业自动化巨头西门子(Siemens)和施耐德电气(Schneider Electric)周二发布了几项安全警告,告知客户影响其产品的数十个漏洞。这些公司提供了补丁和建议,以降低被利用的风险。
西门子周二发布的八条新建议涵盖了影响其Simcenter Femap、SIMATIC TIM、Solid Edge、SIMATIC NET、Mendix、JT2Go、Teamcenter Visualization和SIMATIC RF产品的大约24个漏洞。
SIMATIC NET CP 443-1 OPC UA的15个漏洞,特别是其NTP(Network Time Protocol)组件,是唯一一个整体严重等级为关键的警告。这些漏洞是在2015年至2017年期间在NTP中发现的。
这些NTP漏洞可用于DoS攻击、绕过安全机制、远程执行任意代码、获取信息和操纵时间。
西门子发布的其余警告的整体严重程度评级为高。它们描述了可用于DoS攻击、任意代码执行、数据提取、权限提升和绕过安全机制的安全漏洞。
施耐德电气还在周二发布的新报告中描述了大约24个漏洞。
一份报告描述了影响该公司交互式图形SCADA系统(IGSS)SCADA产品的13个缺陷。安全漏洞被认为是高度严重的,它们的利用可能导致数据丢失或远程代码执行。攻击者可以利用这些漏洞,让目标用户打开恶意文件。
两个建议描述了影响施耐德的两个PowerLogic产品的十几个漏洞。工业网络安全公司Dragos的一名研究人员向施耐德报告了这些漏洞,其中最严重的漏洞允许攻击者获得设备的管理员级别访问权限。
另一个建议是通知组织有关IEC 61131-3编程和工程工具中的一些漏洞。这些漏洞是通过使用罗克韦尔自动化公司(Rockwell Automation)的ISaGRAF自动化软件引入的,该软件也被其他供应商使用。
其余的报告描述了Enerlin‘X Com’X 510和Modicon X80 BMXNOR0200H RTU产品中的信息泄露问题。
参考来源:SecurityWeek http://t.hk.uy/t6B
(五)美国管道服务公司LineStar遭受勒索软件攻击泄露70 GB数据
黑客组织Xing Team在暗网上发布了从美国管道服务公司LineStar窃取的70 GB的内部数据。LineStar Integrity Services位于美国休斯顿,向管道企业销售审计、合规、维护和技术服务。
这些数据是维基解密(WikiLeaks)DDoSecrets组织首次在网上发现的,包括73500封电子邮件、会计文件、合同和其他商业文档、大约19 GB的软件代码和数据、10 GB的人力资源文件,包括员工驾驶证和社会保障卡的扫描件。尽管此次泄露没有对基础设施造成任何破坏,例如向Colonial输油管道事件那样,但安全研究人员警告称泄露的数据可能为黑客提供进一步锁定输油管道的路线图。
DDoSecrets 6月7日在其泄密网站上公布了37 GB该公司数据。DDoSecrets的任务之一是揭露其认为值得公众监督的数据,并对勒索软件组织泄露的数据进行追踪。该组织声称,其已小心地从潜在敏感软件及泄露的人力资源硬件中删除了数据和代码,以排除LineStar员工的敏感和个人身份信息。DDoSecrets 称这些软件可能允许发现或利用管道软件漏洞。
然而未编辑的文件仍然可以在网站找到。安全公司Gigamon威胁情报研究员Joe Slowik认为,这些信息可以用来追踪其他管道目标。Slowik多年来一直专注于关键基础设施安全,曾任Los Alamos国家实验室事件响应主管。虽然Slowik表示目前尚不清楚70 GB的泄漏数据中可能包含哪些敏感信息,但他担心其中可能包含有关软件体系结构或客户使用的物理设备的信息。LineStar为管道行业客户提供信息技术和工业控制系统软件。
Slowik表示,“你可以用它来填充大量的目标数据,这取决于其中的内容。这一点非常值得关注,因为这可能不仅仅是有关驾驶证或其他人力资源相关项目的信息,而且可能是与这些网络的功能及其最关键功能相关的数据。”
Xing Team是勒索软件生态系统的新成员。反病毒公司Emsisoft勒索软件研究人员Brett Callow表示,“该组织在暗网上的名字是中文文字“星”。Xing Team使用著名版本的Mount Locker恶意软件对受害者的文件进行加密,并威胁要披露未加密的数据,以此作为勒索目标付款的一种手段。在LineStar案例中,Xing Team似乎已经完成了这一威胁。”
这一泄密可能成为其他勒索软件黑客的跳板,他们经常在暗网数据转储中搜索可以用来冒充公司和瞄准客户的信息。Callow表示,“攻击者可以利用传统鱼叉式网络钓鱼攻击从管道公司窃取数据。Xing Team也是这么做的。”
参考来源:Wired http://t.hk.uy/rVM
(六)美国司法部追回了Colonial Pipeline支付的大部分赎金
美国官员周一表示,美国司法部已经追回了向黑客支付的数百万美元赎金中的大部分。上个月,美国最大的输油管道运营商遭到网络攻击,导致其停止运营。
这次没收支付给俄罗斯黑客组织的加密货币的行动,是拜登政府司法部成立的专门勒索软件特别工作组开展的第一次此类行动。这反映了在美国官员忙于应对以全球关键行业为目标的快速增长的威胁之际,美国在打击勒索软件的斗争中取得的罕见的胜利。
司法部副部长Lisa Monaco在宣布行动的新闻发布会上表示,“通过打击整个助长勒索软件和数字勒索攻击的生态系统,包括以数字货币形式的犯罪收益我们将继续利用我们所有的资源来增加勒索软件和其他网络攻击的成本和后果。”
总部位于乔治亚州的Colonial Pipeline为美国东海岸提供了大约一半的燃料。5月7日,在一群网络犯罪分子使用“黑暗面”(DarkSide)勒索软件闯入该公司的计算机系统后,该公司暂时关闭了运营。FBI副局长保罗·阿巴特说,“DarkSide”所使用的勒索软件是执法人员正在调查的100多个勒索软件之一。“DarkSide”软件自去年以来一直是FBI的调查对象。
Colonial官员表示,他们在攻击蔓延到操作系统之前将管道系统离线,并在不久后决定支付约440万美元的赎金,希望能尽快恢复在线。
该公司总裁兼首席执行官Joseph Blount星期一在一份声明中说,他对联邦调查局的努力表示感谢。他说,追究黑客的责任,扰乱他们的活动,是阻止和防范今后这种性质的攻击的最佳方式。私营部门也发挥着同样重要的作用,我们必须继续认真对待网络威胁,并进行相应的投资,以加强我们的防御。
加密货币受到网络犯罪分子的青睐,因为它可以在不受地理位置影响的情况下直接在线支付,但在这个案例中,FBI能够识别黑客使用的虚拟货币钱包,并从那里追回收益。司法部没有提供FBI是如何获得特定比特币地址“钥匙”的细节,但表示执法部门已经能够追踪到这种加密货币的多次转账。
尽管联邦调查局通常不鼓励支付赎金,担心这可能会鼓励更多的黑客攻击,但私营部门的一个收获是,如果公司在勒索软件事件发生后迅速来到执法部门,官员们或许能够再次帮助追回资金,尽管这不能保证。
被扣押的比特币金额为63.7美元,目前价值约为230万美元。这相当于支付总赎金的85%,加密货币跟踪公司Elliptic表示,认为这是实施攻击的附属公司的所得。勒索软件提供商Darkside将获得另外的15%。
周一早些时候,加州北部地区的一名法官批准了扣押令。
参考来源:SecurityWeek http://t.hk.uy/t6u
(七)美国CISA发布有关使用MITRE ATT&CK框架的新指南
MITRE ATT&CK评估服务评估终端检测和响应产品检测高级威胁的能力。
尽管ATT&CK的效率很高,但许多网络安全专家并没有充分利用该框架的潜力,因此,CISA决定分享一些关于使用ATT&CK进行威胁情报的指导。
很大比例的企业不会关联来自云、网络和端点的事件来调查威胁:只有39%的企业在调查威胁时会合并来自所有三个环境(云、网络和端点)的事件。
CISA与国土安全系统工程与发展研究所研发中心共同创建了名为《MITRE ATT&CK映射最佳实践》的指南。
该指南旨在帮助网络威胁分析人员将攻击者的ttp映射到相关的ATT&CK技术。
MITRE ATT&CK映射的最佳实践指南提供了分步说明,以便在分析网络安全威胁时优化MITRE ATT&CK的使用。该指南还旨在提高防御者主动检测对手行为和分享有关他们行为的情报的能力。
CISA提供该指南是为了帮助分析师准确、一致地将对手行为与网络威胁情报(CTI)中的相关ATT&CK技术联系起来,无论分析师是否希望将ATT&CK纳入网络安全出版物或原始数据分析。ATT&CK的成功应用应产生一套准确和一致的映射,可用于开发对手概况,进行活动趋势分析,并纳入报告,以达到检测、应对和缓解的目的。
参考来源:SecurityAffairs http://t.hk.uy/t4V
(八)因Fastly CDN服务故障,全球互联网大面积中断
6月8日,全球多家互联网网站发生断网故障,突然无法访问,持续了约半个小时。受影响网站包括亚马逊、Paypal、金融时报、纽约时报、英国政府网站等知名网站。此次事件与云服务厂商Fastly的CDN故障有关。
用户访问网站时会收到错误提示消息:“错误503服务不可用”。此问题与Fastly云平台与内容交付网络(CDN)中断有关。Fastly是一家云计算服务提供商。
内容交付网络(CDN)是代理服务器和数据中心的地理上分布的网络。目标是通过相对于最终用户在空间上分布服务来提供高可用性和性能。CDN为当今大部分互联网内容提供服务,其不可用性可能会对使用CDN网站的可用性产生重要影响。
Fastly的网站服务状态表明,其正在经历全球CDN中断,导致了北美、南美、欧洲、亚太、南非和印度的服务性能下降。“我们目前正在调查CDN服务对性能的潜在影响。”
大约45分钟后,服务开始恢复,Fastly表示,“问题已经确定,正在实施修复。”随后,Fastly确认中断的原因是服务配置问题。“我们发现了一种服务配置,在全球范围内触发了POP中断,并禁用该配置。我们的全球网络正在重新上线。”
随后Fastly在Twitter上表示,“Fastly已观察到所有服务恢复,并已解决此事件。客户可能会继续经历一段原始负载增加时期。”
参考来源:ZDNet http://t.hk.uy/sjA
(九)俄罗斯黑客组织使用新型SkinnyBoy恶意软件攻击军事及政府组织
威胁情报公司Cluster25研究人员披露,其发现俄罗斯黑客组织APT28使用的一种新型后门SkinnyBoy,在针对军事和政府机构的钓鱼攻击中使用。
APT28至少自2007年开始活跃,又名Fancy Bear、Sednit、Sofacy、Strontium或PwnStorm。APT28可能在3月初开始了这项活动,重点关注外交部、大使馆、国防工业和军事部门,欧盟有多名受害者,也可能影响了美国的组织。
SkinnyBoy用于攻击的中间阶段,用于收集有关受害者的信息,并从命令和控制(C2)服务器检索下一个有效负载。SkinnyBoy通过带有宏Microsoft Word文档传送,该宏提取充当恶意软件下载程序的DLL文件。诱饵是一个带有欺骗性的邀请信息,邀请参加7月底在西班牙举行的国际科学活动。
打开邀请会触发感染链,首先提取一个DLL来检索SkinnyBoy Dropper(tpd1.exe),这是一个下载主要负载的恶意文件。进入系统后,Dropper建立持久性并移动以提取下一个有效负载,该有效负载以Base64格式编码并附加为可执行文件的覆盖层。此有效负载在受感染系统上提取两个文件后会自行删除。
Cluster25在报告中表示,为了保持低调,恶意软件在通过Windows启动文件夹下的LNK文件创建持久性机制后,会在稍后阶段执行这些文件。LNK文件在受感染的计算机下次重新启动时触发,并通过检查C:\Users\%username%\AppData\Local下所有文件的SHA256哈希值来查找主要负载SkinnyBoy(TermSrvClt.dll)。
SkinnyBoy的目的是窃取有关受感染系统的信息,下载并启动攻击的最终有效载荷,目前尚不清楚。收集数据是通过使用Windows中已有的systeminfo.exe和tasklist.Exe工具完成的,它们允许它在特定位置提取文件名。
以这种方式提取的所有信息都以有组织的方式传送到C2服务器,并以base64格式编码。攻击者使用商业VPN服务为其基础设施购买元素,这是攻击者通常用来更好地隐匿踪迹的策略。
在观察了战术、技术和程序后,Cluster25认为SkinnyBoy后门是来自俄罗斯威胁组织APT28的新工具。Cluster25为其研究人员检查的所有工具提供了YARA规则,以及可帮助组织检测新恶意软件存在的观察到的入侵指标列表。
参考来源:BleepingComputer http://t.hk.uy/r7G
(十)俄罗斯攻击者针对乌克兰发起大规模网络攻击
乌克兰安全局披露,俄罗斯黑客组织针对乌克兰政府及企业进行了大规模网络钓鱼攻击。这是乌克兰政府今年披露的第三起有关俄罗斯威胁行为者的鱼叉式网络钓鱼活动。攻击者在网络钓鱼信件中冒充基辅巡逻警察局相关人员,警告收件人在纳税方面存在问题。
乌克兰安全局专家证实,今年6月初,攻击者发送了大量的电子邮件,其中发件人的地址已被更改。特别是谎称来自基辅巡逻警察局的电子邮件含恶意附件,并被发送到一些政府机构。
当收件人运行文件时,恶意软件会在受影响的计算机上启动远程管理工具客户端,该软件允许外国情报部门远程完全控制计算机,该软件连接到位于俄罗斯境内的控制和命令服务器。
乌克兰安全局的网络专家建议对信息和电信系统进行紧急检查,特别是“MISP-UA”平台。乌克兰安全局分享了攻击的IoC,以确定可能的危害并及时采取预防措施。乌克兰CERT建议:
1、不要从互联网下载加密档案或密码档案。如有必要,请与发件人联系,以了解附件信是否已发送。最好完全阻止通过电子邮件接收此类文件;
2、在打开电子邮件或消息中的附件之前,请注意细节。最好不要下载来自可疑发件人的电子邮件附件。如果作者因不明原因改变了通信语言,信件的主题对作者来说不典型,以及鼓励可疑链接或打开可疑文件的信息,也应该引起警惕;
3、限制运行可执行文件的能力;
4、定期对系统进行防病毒检查,更新签名数据库;
5、使用定期更新的许可操作系统和其他软件;
6、定期备份重要文件;
7、尽可能频繁地更新访问重要系统的密码,并使用双因素身份验证。
参考来源:乌克兰安全局 http://t.hk.uy/r4E
(十一)美国最大媒体集团之一Cox Media遭受勒索攻击
据报道,Cox媒体集团周四上午遭受勒索软件攻击,导致广播和电视台流媒体下线。根据多份报告,电脑被黑客入侵,影响了内部网络和其他行动。虽然电视台网站和大多数节目都没有发生变化,但一些直播节目因此被删除,一些电视台不得不取消新闻节目。
上周四,Inside Radio对多家CMG广播电台进行了随机检查,发现电台网站仍可访问,但在线流媒体处于离线状态,并显示“音频暂时不可用”的消息。
尽管周五下午大多数Cox广播电台的流媒体仍处于离线状态,但该公司在恢复在线方面取得了一些进展。亚特兰大的新闻/谈话网站WSB-WSBB(750/95.5)在周五早上恢复了其桌面播放器和专用移动应用程序的直播。
CMG没有回应Inside Radio的置评请求。
媒体公司一直是黑客们的诱人目标,他们试图通过数字防火墙,发动勒索软件攻击,劫持公司电脑,直到支付赎金——或者能够抵御攻击。去年8月,塞勒姆媒体集团(Salem Media Group)披露,其部分运营和信息技术系统遭到勒索软件攻击。2019年对Urban One的袭击让该公司损失了100多万美元。而Entercom(现在的Audacy)在2019年9月遭到攻击,黑客侵入其电子邮件服务器,要求50万美元的赎金。恶意软件攻击暂时扰乱了企业运营,但对经营业绩没有产生重大影响。即便如此,Entercom在其年度报告中告诉投资者,“无法保证未来会出现类似的结果,网络安全漏洞可能会增加我们的成本,并造成损失。”
6月2日,白宫发表了一封致美国企业高管和商界领袖的公开信,敦促他们采取措施保护自己的系统免受勒索软件攻击。总统副助理兼负责网络和新兴技术的副国家安全顾问Anne Neuberger的备忘录包含了五项将此类攻击的影响降至最低的最佳做法。
- 备份数据、系统映像和配置,定期进行测试,并保持备份离线。
- 及时更新和修补系统。
- 测试事件响应计划。
- 检查安全团队的工作情况。
- 对网络进行细分。
参考来源:insideradio http://t.hk.uy/t5e
(十二)德国IT服务提供商Fiducia&GAD遭受DDoS攻击
德国IT服务提供商Fiducia & GAD IT上周五宣布,一次扰乱800多家金融机构的网络攻击似乎有所缓解。
上周四上午,该公司开始遭受分布式拒绝服务(DDoS)攻击,即黑客试图向网络发送异常大量的数据流量,以使其陷入瘫痪。情况在夜间加剧,包括柏林人民银行在内的全国合作银行的网站关闭或放缓。
为银行的在线服务提供IT服务的Fiducia&GAD IT AG公司表示,截至周五下午早些时候,由于其防御措施,客户仍有可能经历中断。
该公司表示:“Fiducia & GAD已做好应对这些攻击的准备。客户数据是安全的,此类攻击并不罕见。Fiducia & GAD的危机小组继续密切监测系统,以便能够对任何新的攻击做出快速反应。”
参考来源:Reuters http://t.hk.uy/t5p
(十三)黑客在暗网公开包含84亿密码的集合RockYou2021
有史以来最大的密码泄露事件发生在一个受欢迎的黑客论坛上。一位论坛用户发布了一个巨大的100GB TXT文件,其中包含84亿个密码,这些密码可能是由之前的数据泄露和泄露事件组合而成的。
据帖子作者称,泄露的所有密码长度都是6-20个字符,非ascii字符和空格都被删除了。该汇编包含820亿个密码,然而,经过研究人员的测试后,实际只有8,459,060,239个是唯一条目。
该论坛用户将这一版本命名为“RockYou2021”,大概是指2009年的RockYou数据泄露事件,当时威胁分子侵入了这家社交应用网站的服务器,获得了以明文形式存储的3200多万个用户密码。
RockYou2021汇编中包含的泄露密码示例如下:
这次泄露的数据超过了它12年前同名版本的262倍,可与有史以来规模最大的数据泄露汇编(COMB)相提并论。它泄露的32亿密码,以及来自其他多个泄露数据库的密码,都被收录在RockYou2021汇编中,该汇编是由该系列的幕后人员在过去几年里积累的。
考虑到全球只有约47亿人上网,RockYou2021的数据可能包含了全球所有网民的密码的两倍。因此,建议用户立即检查其密码是否包含在泄漏中。
通过将84亿个独特的密码变体与包括用户名和电子邮件地址在内的其他漏洞汇编相结合,威胁参与者可以使用RockYou2021集合来装载密码字典,并对数不清的在线帐户进行密码喷洒攻击。
由于大多数人在多个应用程序和网站上重复使用自己的密码,因此在此次泄密之后,受证书填充和密码喷洒攻击影响的帐户数量可能达到数百万,甚至数十亿。
如果用户怀疑自己的一个或多个密码可能已被包含在RockIt2021集合中,建议采取以下步骤,以确保数据安全,并避免来自威胁者的潜在伤害:
1、使用个人数据泄露检查器和泄露的密码检查器来查看数据是否在此漏洞或其他漏洞中泄露。
2、如果数据已被泄露,请确保更改所有在线帐户的密码。可以使用强大的密码生成器轻松生成复杂的密码,或者考虑使用密码管理器。
3、在所有在线帐户上启用双因素身份验证(2FA)。
4、注意收到的垃圾电子邮件、未经请求的文本和网络钓鱼消息。不要点击任何看起来可疑的东西,包括不认识的发件人发来的电子邮件和短信。
参考来源:CyberNews http://t.hk.uy/t4W
(十四)西班牙劳动和社会经济部遭受黑客攻击
西班牙劳动和社会经济部(MITES)周三受到网络攻击,正在努力恢复受影响的服务。
西班牙社会事务部是一个部级部门,每年有近3900万欧元的预算,负责协调和监督西班牙的就业、社会经济和企业社会责任政策。劳动和社会经济部受到电脑攻击的影响。该部和国家密码中心的技术官员正在共同努力,以确定源头,并尽快恢复正常。
尽管遭到攻击,外交部网站仍在正常运行,但通讯办公室和多媒体室无法使用。劳动和社会经济部遭受的计算机攻击并没有影响国家公共就业服务局的运作。电子办公室、网站及整套服务继续正常提供。
由政府第三副总统兼劳动和社会经济部长尤兰达·迪亚兹领导的部门曾指出,该部和国家密码学中心的技术管理人员正在共同努力,以确定来源并尽快恢复常态。
这是工党今年遭受的第二次网络攻击,今年3月,Ryuk勒索软件团伙的目标是国家公共就业服务机构(SEPE)阻止其服务。
参考来源:SecurityAffairs http://t.hk.uy/t8K
(十五)东京奥运会约170名工作人员数据遭黑客窃取
《日本时报》的一篇报道证实,参与即将在东京举行的奥运会网络安全工作组的大约170人的个人信息被黑客窃取。数据泄露事件似乎与最近的富士通ProjectWEB事件有关,该事件影响了政府实体和政府部门的基础设施。ProjectWEB是一种信息共享工具,用于日本的重要项目,包括奥运会组委会,因此,富士通工具被未经授权访问导致的数据泄露的范围也涵盖了这些项目。
东京夏季奥运会定于2021年7月23日至8月8日之间举行,距离现在只有几周的时间了。如果黑客掌握了负责游戏网络保护的人员的详细信息,这是否意味着防御黑客造成的干扰将更加困难?国家事件准备和网络安全战略中心表示,泄露的信息不应影响奥运会筹办期间的行动。
被泄露的数据包括在东京奥运会相关的90个组织工作的人员的全名、商业头衔和隶属关系。可能的话,参与者会尝试将这些用于社会工程,获取用户凭证和访问关键系统。有关网络攻击的细节并未向公众提供。
参考来源:technadu http://t.hk.uy/t9u
(十六)美国军用车辆制造商Navistar遭受网络攻击泄露数据
美国卡车及军用车辆制造商航星国际公司(Navistar)证实,其遭受了一次网络攻击,导致一些数据泄露。
6月7日,美国航星国际公司(Navistar International Corporation)在向美国证券交易委员会提交的8-K表格中表示,该公司于2021年5月20日获悉其信息技术系统存在可信的潜在网络安全威胁。Navistar立即采取必要措施,控制和减轻事件的影响,并与安全和取证专家合作对此事展开调查。该公司还采取措施加强其IT基础设施的安全性,并保护其中包含的数据的完整性,并表示其IT系统一直保持全面运行状态。
然而在5月31日,Navistar收到了一份勒索信件,声称已从该公司的IT系统中窃取了一些数据。该公司继续调查“并解决网络安全事件的范围和影响”,并已就此问题联系了执法部门。
Navistar没有提供有关该事件的技术细节,但考虑到最近几个月来观察到的勒索软件事件数量不断增加,攻击者窃取受害者数据作为筹码,因此有可能涉及勒索软件。
Navistar成立于1986年,生产卡车、公共汽车和柴油发动机,其Navistar Defense子公司生产军用车辆。
参考来源:SecurityWeek http://t.hk.uy/ry4
(十七)印度IT公司Nucleus感染新型勒索软件BlackCocaine
最近,Cyble的网络研究人员调查了印度银行和金融服务行业IT公司Nucleus Software于2021年5月30日遭受的一次攻击。
该公司向孟买证券交易所(BSE)和印度国家证券交易所(NSEI)报告了安全漏洞。Nucleus软件公司声明,它不存储客户的财务数据。
Cyble Research团队发现,该公司是BlackCocaine勒索软件团伙的受害者。
和其他勒索软件团伙一样,这个威胁背后的勒索软件团伙也经营着自己的网站(hxxp://blackcocaine[.]top),该网站是该组织最近开始运作时注册的。
根据分析,Cyble研究团队发现Nucleus Software是BlackCocaine勒索软件集团的第一个受害者。域的WHOIS信息显示,BlackCocaine勒索软件的域是在2021年5月28日注册的。
研究人员报告称,一个名为.BlackCocaine的文件最近被提交到不同的公共沙箱。勒索软件在加密受害者文件时执行文件系统枚举,然后在加密文件的文件名后附加扩展名“.BlackCocaine”。勒索软件使用AES和RSA加密方法。
一旦文件加密,勒索软件就会发送带有文件名的赎金通知在受害者机器上的"how_to_recover_files。black cocine。txt"
BlackCocaine勒索软件是用GO语言编写的,并使用MinGW工具编译。有效负载文件是UPX打包的64位Windows可执行文件。
索软件有效负载是在2021年5月29日编译的。勒索软件实现了多种反VM和反调试技术。
在撰写本文时,专家们尚未确定BlackCocaine的初始感染媒介。
参考来源:SecurityAffairs http://t.hk.uy/t5E
(十八)选民沟通平台iConstituent遭受勒索软件攻击
选民沟通平台iConstituent遭受了勒索软件攻击,美国众议院60多名议员使用该平台与选民沟通,已经几周无法检索到选民信息。攻击者没有从众议院获取或访问到任何数据,众议院使用的网络也没有受到影响。
iConstituent是一家提供电子通讯系统的供应商,许多国会议员使用该系统进行选民宣传。iConstituent正在与众议院首席行政官(CAO)Catherine Szpindor合作解决这一问题,此事尚未得到解决。这表明困扰行政部门和美国企业的网络攻击和勒索软件也是国会面临的一个问题。
CAO表示,没有证据表明更广泛的内部IT系统遭到黑客攻击或入侵。以下是CAO关于iConstituent情况的声明,“iConstituent通知首席行政官办公室,他们的电子通讯系统遭到勒索软件攻击。iConstituent的电子通讯系统是一种外部服务,可供众议院办公室购买。目前,CAO不知道对众议院数据有任何影响。CAO正在与iConstituent支持的受影响办公室进行协调,并已采取措施确保攻击不会影响众议院网络和办公室的数据。”
据iConstituent网站称,其提供了一个“选民参与平台”,供多个州、地方和市政府使用。该公司提供了一个“单一平台,可以在其中轻松地与选民联系、协作处理案件以及管理所有内部和外部通信。”用户包括乔治亚州、夏威夷州和内华达州、纽约州、以及洛杉矶市和加利福尼亚州东帕洛阿尔托市。
参考来源:PunchBowl http://t.hk.uy/snM
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
