关键信息基础设施安全动态周报【2021年第10期】
发布时间:
2021-03-12
来源:
作者:
访问量:
247
目 录
第一章 国内关键信息基础设施安全动态
(一)中远海运疑似遭受巴西黑客攻击
第二章 国外关键信息基础设施安全动态
(一)施耐德PowerLogic智能电表存在严重漏洞
(二)西门子发布多个针对第三方组件漏洞的安全公告
(三)F5修复BIG-IP产品严重远程代码执行漏洞
(四)特斯拉、Cloudflare、银行等多监控摄像头遭黑客入侵
(五)航空IT服务供应商SITA遭受黑客攻击导致多家航空公司数据泄露
(六)西班牙公共就业服务机构遭受勒索软件攻击
(七)欧洲OVH数据中心发生火灾导致服务中断
(八)欧洲银行管理局Exchange服务器遭受黑客攻击导致邮件系统关闭
(九)Flagstar银行遭受网络攻击导致数据泄露
(十)美国金融业监管局警告针对经纪公司的持续网络钓鱼攻击
(十一)俄罗斯APT组织利用立陶宛基础设施发起网络攻击
(十二)新型勒索软件Sarbloh支持印度农民抗议活动
(十三)英特尔加入DARPA的DPRIVE计划开发FHE加速器
(十四)伊朗黑客组织MuddyWater监视中东目标
(十五)又一家法国医院遭受勒索软件攻击
第一章 国内关键信息基础设施安全动态
(一)中远海运疑似遭受巴西黑客攻击
据悉,全球第三大集装箱运输公司中远海运(Cosco Shipping)正在努力解决一起黑客攻击事件。一个名为L0RDBR的巴西黑客上周六攻击了中远集团的电子邮件系统,对其许多员工的电子邮件系统造成了严重破坏。
近年来,世界上所有的大型集装箱运输都遭到了黑客攻击。在2018年7月发生勒索软件攻击事件后,中远海运努力让运营重回正轨,中远在美洲的员工纷纷使用雅虎的电子邮件地址和社交媒体与客户沟通。尽管Facebook和Twitter在中国被禁止,但在攻击期间,它们成为中远美国员工重要的与客户沟通的工具。
继微软Outlook电子邮件服务遭到黑客攻击后,最近整个航运业都受到警告,越来越多的网络攻击风险。尽管微软上周发布了一个修补程序来解决其电子邮件程序中的漏洞,但该修补程序仍然留下了一个后门,它可以使其他人获得对受感染服务器的访问权并使其遭受更多攻击。
参考来源:MaritimeBusinessWorld http://dwz.date/ez5x
第二章 国外关键信息基础设施安全动态
(一)施耐德PowerLogic智能电表存在严重漏洞
工业网络安全公司Claroty 3月9日披露了影响施耐德电气(Schneider Electric)制造的PowerLogic智能电表的两个潜在严重漏洞的技术细节。
PowerLogic是一系列收入和电能质量计,不仅可供公用事业公司使用,还可供工业公司、医疗保健组织和数据中心用于监控电网。
Claroty的研究人员发现,某些PowerLogic ION和PM系列智能电表受到漏洞的影响,未经验证的攻击者可以通过向目标设备发送精心构建的TCP数据包来远程利用这些漏洞。
Claroty在博客文章中解释表示,“这些智能电表通过TCP端口7700使用专有的ION协议进行通信,设备接收到的数据包由状态机功能解析。我们发现,通过发送精心编制的请求,主状态机功能可以在数据包解析过程中触发该漏洞。这可以在没有身份验证的情况下完成,因为在处理请求或检查身份验证之前,请求已被完全解析。”
Claroty表示,其研究人员根据目标设备的架构确定了两种不同的利用路径,并分配了两个不同的CVE编号。其中一个漏洞CVE-2021-22714是严重漏洞,因为它允许攻击者重新启动目标仪表(即DoS条件),甚至可能执行任意代码。另一个漏洞CVE-2021-22713只能被利用来强制设备重新启动,为高危漏洞。
这些漏洞影响多个PowerLogic ION设备型号和一个PM型号。一些受影响设备的安全更新于2020年7月发布,而其他设备则在2021年1月和3月进行了修补。一些受影响的电能表将不会收到补丁,因为它们不再被支持。
众所周知,影响智能电表的漏洞会给消费者和公用事业公司带来风险,因此受影响的施耐德电气产品的用户必须应用补丁或缓解措施,以防止潜在的攻击,特别是在有关漏洞的信息已经公开的情况下。
参考来源:SecurityWeek http://dwz.date/ezSY
(二)西门子发布多个针对第三方组件漏洞的安全公告
西门子3月9日发布了12条新的安全公告,向客户通报影响其产品的近20多个漏洞,其中有一半的新公告涵盖了第三方组件漏洞。
其中一个公告与AMNESIA:33有关,这是最近在开源TCP/IP堆栈中发现的一组漏洞。西门子一直在发布公告,描述这些漏洞对其产品的影响,而最新的公告则侧重于在两个AMNESIA:33拒绝服务(DoS)漏洞对SENTRON 3VA和PAC仪表产品的影响。
还有两个公告与Number:Jack有关,这是最近发现的一组TCP/IP堆栈漏洞。这两个公告描述了一些Number:JacK存在的问题,允许会话劫持,对能源领域使用的SIMATIC MV400光学阅读器和PLUSCONTROL产品的影响。
西门子还通知客户,其SIMATIC Net CM 1542-1和SCALANCE SC600设备受到多协议文件传输库libcurl中存在的DoS漏洞的影响。
另一个公告则描述了影响Luxion的3D渲染和动画软件Keyshot的五个漏洞。这些安全漏洞与处理特别制作的文件有关,它们可以被用来执行任意代码。
西门子还发布了另一项针对产品开发解决方案中的文件解析漏洞的公告,此类型的公告也分别在1月和2月发布。
西门子还发布了一个关于影响Mendix遗忘密码Appstore模块的账户接管漏洞的警告,西门子在2018年收购了Mendix低码平台。
其余的公告解决了SCALANCE和RuggedCom设备中的严重DoS漏洞、SINEMA Remote Connect服务器中的严重未授权访问漏洞、LOGO!8 BM中的DoS漏洞、以及SIMATIC S7-PLCSIM中的DoS漏洞。
西门子已经发布或计划发布针对其中许多漏洞的更新,但在某些情况下,该公司建议客户实施缓解措施或解决办法,以保护其系统或设备免受潜在攻击。
参考来源:SecurityWeek http://dwz.date/ezbH
(三)F5修复BIG-IP产品严重远程代码执行漏洞
应用安全公司F5 Networks在3月10日披露其产品中存在的21个漏洞,其中包括四个严重漏洞,影响其BIG-IP产品,可能导致拒绝服务(DoS)攻击,甚至在目标网络上执行未经验证的远程代码。
F5的BIG-IP应用程序是企业级的模块化软件套件,旨在用于数据和应用程序交付、负载平衡,流量管理、和其他业务功能。F5表示,财富50强公司中有48家是F5客户。政府、电信公司、金融服务、和医疗保健服务提供商都是其客户
F5在3月10日发布的安全报告描述了影响BIG-IP和BIG-IQ部署的七个安全漏洞。最严重的是CVE-2021-22986和CVE-2021-22987,CVSS得分分别为9.8和9.9。CVE-2021-22986是影响BIG-IP管理界面的未经身份验证的RCE。
F5表示,“该漏洞使未经身份验证的攻击者可以通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问,以执行任意系统命令,创建或删除文件以及禁用服务。此漏洞只能通过控制平面利用,而不能通过数据平面利用。利用可以导致完全的系统危害。处于Appliance模式的BIG-IP系统也容易受到攻击。”
当BIG-IP的流量管理用户界面(TMUI)运行时,CVE-2021-22987也影响设备模式。能够访问TMUI的经过身份验证的用户可以利用该错误执行任意命令,篡改文件并禁用服务。F5补充表示,“利用此漏洞可能会导致系统完全崩溃,并破坏设备模式。”
除这些安全漏洞外,F5还解决了CVE-2021-22991和CVE-2021-22992严重的缓冲区溢出漏洞,这些漏洞影响流量管理微内核(TMM)和高级WAF/ASM虚拟服务器。这两个漏洞的CVSS得分均为9.0。
其他三个修复的漏洞为:CVE-2021-22988、CVE-2021-22989和CVE-2021-22990,CVSS得分分别为8.8、8.0和6.6,这些漏洞可用于在TMUI组件中执行远程命令。
F5应用交付控制器(ADC)业务部门高级副总裁Kara Sprague表示,“这些漏洞会影响所有BIG-IP和BIG-IQ客户和实例。我们敦促所有客户尽快将其BIG-IP和BIG-IQ部署更新到固定版本。”
这些漏洞已在BIG-IP版本16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3和11.6.5.3中修补。CVE-2021-22986也影响BIG-IQ,并已在版本8.0.0、7.1.0.3和7.0.0.2中修复。
美国网络安全和基础架构安全局(CISA)上周发布了一项紧急指令,命令联邦机构应对积极利用的Microsoft Exchange Server漏洞,并建议立即解决这些安全问题。
2020年7月,F5修补了BIG-IP中的一个远程代码执行漏洞CVE-2020-5902,该漏洞被授予罕见的CVSS严重等级10.0。该漏洞由Positive Technologies的研究人员Mikhail Klyuchnikov发现,该漏洞影响了BIG-IP的TMUI,并允许未经身份验证的攻击者远程破坏TMUI接口。
披露后仅几天,威胁行动者就开始对面向互联网的BIG-IP版本发起攻击。F5当时警告称,“如果TMUI暴露在互联网上,并且没有安装固定版本的软件,则很有可能它已受到威胁,应该遵循内部事件响应程序。”
参考来源:ZDNet http://ccx4.cn/42WT1
(四)特斯拉、Cloudflare、银行等多监控摄像头遭黑客入侵
据报道,黑客可以访问安装在特斯拉、Equinox、医疗诊所、监狱和包括犹他州银行在内的银行的实时监控摄像头。除了从摄像头捕捉到的图像外,黑客还分享了他们获得Cloudflare和Telsa总部使用的监视系统的root shell访问权限的截图。
据该黑客组织的逆向工程师Tillie Kottmann称,他们使用Verkada的超级管理员帐户进入这些监控系统,Verkada是一家与所有这些组织合作的监控公司。Kottmann在接受采访时表示,他们在公开的DevOps基础设施中找到了Verkada超级管理员帐户的硬编码凭据。
Verkada生产自动化和物联网监控摄像头等企业安全系统,该公司还以向特斯拉提供服务而闻名。
3月9日下午,Kottmann发布了据称是从Equinox、特斯拉和犹他州银行的监控摄像头拍摄的多张照片。在同一个Twitter帖子中,Kottmann分享了似乎是以超级用户身份访问Linux操作系统的图片。从这些图像中,可以看到其中一块网卡的MAC地址,这与监控公司Verkada开发的设备相对应。
彭博新闻社首先报道了这次攻击,在联系Verkada后,黑客失去了对被黑客入侵的超级管理员帐户的访问权限。
Verkada在一份声明中表示,“我们已经禁用了所有内部管理员帐户,以防止任何未经授权的访问。我们的内部安全团队和外部安全公司正在调查这一潜在问题的规模和范围,且已经通知了执法部门。”
Cloudflare表示,这些摄像头位于已经关闭了几个月的办公室中,该违规行为对其客户没有影响。“今天下午,我们接到警告称,Verkada安全摄像头系统可能已经被破坏,该系统监控少数Cloudflare办公室的主要入口和主要通道。这些摄像头位于少数已经正式关闭几个月的办公室中。。一旦我们意识到存在的危害,便禁用了摄像头,并将其与办公网络断开了连接。显然,该事件不会影响Cloudflare产品,我们没有理由相信涉及办公室安全摄像机的事件会影响客户。”
与这次网络攻击相关的#OperationPanopticon标签指的是Panopticon,一个哲学设计概念。Panopticon是指这样一种建筑的设计,在这种设计中,俘虏(如囚犯)无法判断在某一时刻是否有保安人员在监视他们。
这意味着,在一个有大量囚犯的大楼里,一个警卫不可能同时监视所有的囚犯,然而由于全景设计思想,每个囚犯都可能害怕被监视,因为他们无法知道自己是否被监视。
参考来源:BleepingComputer http://dwz.date/ezb9
(五)航空IT服务供应商SITA遭受黑客攻击导致多家航空公司数据泄露
航空业这几年遭受攻击的事件频发,但近期有黑客针对提供IT服务的业者下手,使得多家航空公司遭到波及。马来西亚航空于3月1日发送电子邮件通知旅客,指出因第三方IT服务商系统导致飞行常客的用户资料外泄,而且时间自2010年3月到2019年6月长达9年,该公司并未透露这个IT服务业者的身分。然而到了3月5日,据报道,国际航空电讯集团公司(SITA)就是导致马来西亚航空资料外泄的IT服务业者。
马来西亚航空于3月1日开始针对部分旅客以电子邮件发出通知,表示该公司接获第三方IT服务业者的通知,Enrich飞行常客用户的资料外泄,遭泄露的资料包含会员姓名、生日、性别、会员编号,以及会员级别等。
在3月4日,全球航空业IT供应商(SITA)发出简短声明,指出他们旗下提供旅客服务系统的公司SITA PSS,储存旅客资料的服务器于2月24日遭到网络攻击,SITA在确认事件的情况后,已经进行调查,并通知受影响的SITA PSS用户。不过,对于受影响的航空公司或是旅客人数,他们并未进一步说明。
至于这起数据泄露事件受害的范围,SITA透露,包含汉莎航空、新西兰航空、新加坡航空、北欧航空、国泰航空、济州航空、马来西亚航空,以及芬兰航空等。除了SITA透露的受害者外,日本两大航空公司全日空(ANA)和日本航空也发出公告,表明受到SITA数据泄露事件影响。
其中,上述航空公司已有部分发出声明,其内容的共通点,就是此起事件涉及飞行常客会员的资料,主要是乘客姓名和会员卡号,但不包括护照资料、地址,或是信用卡资料等。这些公司也宣称,内部系统并未被波及,并呼吁用户应考虑尽速更换密码来维护帐号安全。
此起事件也有网络安全专家公布其他受影响航空业者发出的电子邮件通知。例如制作Have I Been Pwned密码外泄查询网站的Troy Hunt,公布了他获得的芬兰航空通知,该航空公司表明他们收到SITA的通报,但Finnair Plus飞行常客用户帐号没有出现异常,也没有金融资料外泄。不过,为了预防万一,该公司还是建议用户重设密码。
本文版权归原作者所有,参考来源:iThome http://hi06i.cn/khVmX
(六)西班牙公共就业服务机构遭受勒索软件攻击
西班牙一个工会组织3月9日表示,西班牙一家管理失业福利的政府机构的IT系统遭受了勒索软件攻击,“数十万”失业救济预约被中断。
据西班牙中央独立工会和公务员组织称,针对西班牙国家公共就业服务机构(SEPE)的网络攻击影响了该机构在全国各地的办公室,迫使员工使用纸笔进行预约。工会声称,SEPE的IT系统已经老化,而该机构尚未升级。
西班牙在新冠疫情流行的情况下经济遭受了重创,SEPE在分配失业救济金方面发挥着不可或缺的作用。官方数据显示,西班牙目前失业人数为400万,为5年来的最高水平。但SEPE主管杰Gerardo Gutiérrez在接受西班牙RNE电视台采访时表示,这起事件没有影响失业救济金,也没有导致个人数据被盗。攻击者没有索要赎金,SEPE正在帮助人们重新安排与该机构的会面。
记者未能联系到SEPE置评。该机构网站上的一条消息显示,“由于SEPE无法控制的原因”,网络服务已经关闭。
目前尚不清楚谁对勒索软件攻击负责,也不清楚SEPE将处理多长时间。西班牙政府国家密码学中心的安全专家正在对这起事件做出回应。密码学中心的事件响应小组没有回复记者的置评请求。
SEPE黑客攻击似乎是长期以来骗子试图利用西班牙人的一部分,因为西班牙人正面临疫情的经济影响。一年前,当西班牙因为新冠疫情而被封锁时,犯罪黑客使用据称提供新冠肺炎更新的移动应用程序,试图窃取西班牙人的数据。几周后,研究人员表示,骗子使用黑客工具试图从西班牙大银行的客户那里窃取钱财。
参考来源:CyberScoop http://dwz.date/ezWu
(七)欧洲OVH数据中心发生火灾导致服务中断
欧洲最大的主机托管服务提供商OVH位于法国斯特拉斯堡的的数据中心3月10日遭受了一场火灾。
OVH创始人Octave Klaba也通过Twitter证实了这一消息,他还提供了一系列关于这一事件的最新消息。
位于斯特拉斯堡的法国工厂包括4个数据中心SBG1、SBG2、SBG3和SBG4,这4个数据中心因事故而关闭,火灾发生在SBG2。消防员立即采取行动控制火势,但SBG2的局势迅速失控。当局隔离了整个工厂,并封锁了其周边。该公司正敦促其客户实施灾难恢复计划,因为火灾中断了其服务。
该公司在发布的声明中写道,“2021年3月10日,周三00:47,我们位于斯特拉斯堡的4个数据中心之一的SBG2一个房间发生了火灾。请注意,该网站不属于Seveso网站。从早上5点30分开始,在政府的指导下,出于明显的安全原因,我们的团队无法进入该地点。火势现已得到控制。我们感到欣慰的是,无论是在我们的队伍中,还是在消防员和州服务人员中,都没有人受伤。”
目前火灾已经结束,消防员仍在继续为建筑物降温,同时正在评估损失情况。SBG3中的所有服务器都没有受到影响,但仍然无法运行。OVH表示其运营恢复计划将持续2周。
OVH在欧洲有15个数据中心,在全球有27个数据中心,正在努力支持其客户并减轻斯特拉斯堡事件的影响。OVH是欧洲最大的托管服务提供商,也是世界第三大托管服务提供商,可提供VPS、专用服务器和其他Web服务。
参考来源:SecurityAffairs http://dwz.date/ezXj
(八)欧洲银行管理局Exchange服务器遭受黑客攻击导致邮件系统关闭
欧洲银行管理局(EBA)因微软Exchange服务器遭到黑客攻击关闭了其所有电子邮件系统,这是针对全球组织的持续攻击的一部分。
欧洲银行业管理局是欧洲金融监管体系的一部分,负责监管欧盟银行业的完整有序运作。EBA表示,“该机构与其ICT供应商、专家组和其他相关实体密切合作,迅速展开了全面调查。EBA正在确定访问了哪些数据。在适当情况下,监管局会提供资料,说明资料当事人为减轻可能产生的不利影响而可能采取的措施。”
在3月7日发布的一份初步公告称,攻击者可能获得了存储在电子邮件服务器上的个人信息。然而,在8日发布的更新补充称,取证专家没有发现数据泄露的迹象。
欧盟机构表示,“EBA的调查仍在进行中,为了恢复电子邮件服务器的全部功能,我们正在部署额外的安全措施和密切监控。在现阶段,EBA电子邮件基础设施已经得到保护,我们的分析表明,尚未执行数据提取,并且我们没有迹象表明该违规行为已经超出了我们的电子邮件服务器。”
上周,微软修补了多个影响Microsoft Exchange Server内部版本的零日漏洞,并在多个国家支持的黑客组织协调的持续攻击中加以利用。起初,微软只将这些攻击与一个名为Hafnium的中国国家支持的黑客组织联系起来。然而微软随后更新表示,其他几个威胁行为者在类似的活动中也利用最近修补的Exchange漏洞。
虽然Hafnium的目标身份尚不清楚,但微软已经分享了之前目标行业的名单。
微软副总裁汤姆·伯特称,“从历史上看,Hafnium主要针对美国的实体,目的是从多个行业部门窃取信息,包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织。”
斯洛伐克互联网安全公司ESET称,中国支持的APT27、Bronze Butler(又名Tick)和Calypso也在攻击未打补丁的Exchange服务器,该公司还发现了其他无法识别的国家赞助的组织。
CISA 7日还警告称,“国内外广泛存在利用Microsoft Exchange Server漏洞的行为”,敦促管理员使用Microsoft的IOC检测工具来检测其组织中存在的妥协迹象。攻击者部署Web Shell,允许他们远程访问受损服务器和内部网络,即使在服务器修补之后也是如此。
微软已经更新了他们的微软安全扫描(MSERT)工具来检测这些攻击中部署的Web Shell,并更新了PowerShell脚本来搜索Exchange和OWA日志文件中的危害指标(IOC)。
参考来源:BleepingComputer http://hi06i.cn/dVGMw
(九)Flagstar银行遭受网络攻击导致数据泄露
美国银行和抵押贷款机构Flagstar 3月5日披露了一起数据泄露事件,此前Clop勒索软件组织在1月份入侵了他们的Accellion文件传输服务器。
在去年12月,与Clop勒索软件组织有关的威胁行为者开始利用Accellion FTA服务器的漏洞,这些服务器被组织用来与组织外的人共享敏感文件。
3月5日,Flagstar Bank在其网站上发布了一份安全披露,并开始向客户发送电子邮件,告知他们的Accellion FTA服务器遭到入侵。Flagstar在其安全通报中表示,“Flagstar用于其文件共享平台的供应商Accellion于2021年1月22日通知Flagstar,该平台存在一个未经授权方利用的漏洞。在Accellion通知我们此事件后,Flagstar永久停止使用此漏洞文件共享平台。不幸的是,我们得知未授权方能够在Accellion平台上访问Flagstar的某些信息,并且我们是受到影响的众多Accellion客户之一。”
Flagstar并未受到12月修复的零日漏洞的破坏,而是因威胁者在1月利用了一个新漏洞而受到影响。在威胁参与者窃取了他们的数据后,Flagstar收到了一张勒索信件,要求支付比特币,否则数据将被公布。与Accellion攻击相关的赎金要求已高达1000万美元的比特币。
Flagstar利用Accellion FTA服务器与合作伙伴和客户发送和接收敏感文档。在Flagstar开始通知受害者数据泄露后,Clop勒索软件组织发布了窃取数据的截图,并警告称他们窃取了更多的个人数据。屏幕截图显示了被盗的敏感客户和员工信息的类型,包括社会保险号、姓名、地址、电话号码和税务记录。
虽然勒索软件团伙只分享了几张被盗数据的截图,因为Flagstar是一家银行和抵押贷款机构,但应该假设威胁行为者窃取了更多包含敏感信息的文件。根据Clop组织公布的大量Accellion数据泄露,很明显,他们是所有这些攻击的幕后黑手,并且随着受害者披露他们的攻击,它们将继续发布被盗数据。
与Accellion FTA攻击相关的其他受害者包括Singtel、Bombardier、QIMR Berghofer、华盛顿州审计署、新西兰储备银行、新南威尔士州运输公司、辉固公司、Jones Day公司、Danaher公司和ABS集团。
参考来源:BleepingComputer http://hi06i.cn/OGr29
(十)美国金融业监管局警告针对经纪公司的持续网络钓鱼攻击
美国金融业监管局(FINRA)近日发布监管通知,警告美国经纪公司和经纪人,有攻击者正在利用虚假合规审计警报发起网络钓鱼活动来收集信息。
金融业监管局(FINRA)是由美国证券交易委员会(SEC)监管的非营利组织,是美国所有交易所市场和证券公司的监管机构。该民间证券监管机构监管着全美624,000多名经纪人,每天检查数十亿次市场事件。
FINRA表示,网络钓鱼邮件是从finra-online.com发送的,该网站是一个最近注册的网络域名,用于仿冒FINRA合法网站。攻击者使用supports@finra-online.com来发送欺诈性电子邮件,使用FINRA Membership作为发件人名称,从而使仿冒邮件看起来像是从FINRA官方电子邮件地址发送的邮件,从而增加了网络钓鱼邮件的合法性。
FINRA解释表示,“电子邮件要求收件人“对监管不合规问题立即做出回应”,然后要求收件人单击链接或文档。FINRA建议所有单击了电子邮件中任何链接或图像的人立即将其事件通知其所在公司的相关人员。”
由于finra-online[.]com域名与FINRA没有任何联系,因此要求成员公司立即删除从该域收到的所有电子邮件。该正在进行的网络钓鱼攻击中使用的域是在3月3日注册的,使用的是NameCheap域名注册商。
WHOIS域数据不提供任何有关注册钓鱼域名的人的身份信息,因为所有个人信息都是使用WhoisGuard(NameCheap的隐私保护服务)进行编辑的。FINRA已联系NameCheap,并要求暂停finra-online[.]com域的所有服务。FINRA提醒企业在回复任何可疑电子邮件、打开任何附件或单击任何嵌入式链接之前,先验证其合法性。
尽管FINRA很少发布此类监管通知,但该监管机构去年已发布了四份通知,其中两份通知了针对经纪人信息的网络钓鱼攻击。其中一个是在2020年12月发布的,警告经纪人使用另一种欺骗了FINRA网站的域名invest-finra[.]org进行的类似网络钓鱼攻击。10月份,另一则通知提醒会员公司,利用调查收集敏感信息的网络钓鱼攻击十分普遍。该证券监管机构还提醒成员,威胁行为者使用仿冒网站finnra[.]org与伪造登记表来收集个人信息,以供日后用于针对FINRA成员的鱼叉式网络钓鱼攻击。
参考来源:BleepingComputer http://dwz.date/ewxc
(十一)俄罗斯APT组织利用立陶宛基础设施发起网络攻击
立陶宛国家安全部近日发布报告指出,与俄罗斯有联系的APT组织利用立陶宛国家技术基础设施对全球目标发动网络攻击。
立陶宛情报部门发布的年度国家安全威胁评估报告指出,“与俄罗斯情报机构有关的黑客组织去年对立陶宛高级官员和决策者进行了网络攻击,并利用波罗的海国家的技术基础设施,作为攻击其他地方目标的基础”。
该年度国家安全威胁评估报告声称,俄罗斯网络间谍组织APT29涉嫌与俄罗斯情报服务有联系,“利用”立陶宛的信息技术基础设施“对开发COVID-19疫苗的外国实体实施攻击。”
2020年,由于新冠疫情流行,俄罗斯对立陶宛的情报行动有所减少,但是,与俄罗斯有关联的APT组织增加了针对全球目标的网络间谍活动。
根据立陶宛国家的报告,立陶宛是俄罗斯的邻国、前苏维埃共和国的北约成员,其因新冠疫情流行和封锁在2020年减少了俄罗斯对该国的情报行动,并将克里姆林宫的工作转向了网络间谍活动。
国家安全部部长达里乌斯·贾尼斯基斯(Darius Jauniskis)在议会提交报告时对立陶宛议员称,“尽管如此,俄罗斯情报部门对立陶宛的国家安全构成了重大威胁。”
贾尼斯基斯补充表示,莫斯科正在使用军事和经济手段,并通过信息影响这个拥有280万人口的波罗的海国家,以“实现其政治目标”。他指责俄罗斯试图利用疫情流行病在立陶宛制造破坏,最近立陶宛见证了数十起此类“失败的尝试”。贾尼斯基斯补充表示,“这些活动得到了克里姆林宫的反西方宣传的良好协调和推动。”
该报告指出,在过去的12个月中,立陶宛的网络攻击和虚假信息活动有所增加。安全专家记录了多次黑客去年针对立陶宛、爱沙尼亚和拉脱维亚的多起黑客攻击和造谣活动,这些活动归因于与俄罗斯有关的APT组织。
爱沙尼亚外国情报机构发表年度报告称,“俄罗斯指望疫情流行削弱西方的团结,这将有助于莫斯科在国际事务中发挥更重要的作用,并据称导致西方在全球舞台上的影响力下降”。
参考来源:GBHackers http://dwz.date/ezr9
(十二)新型勒索软件Sarbloh支持印度农民抗议活动
多家网络安全公司发现,一种名为Sarbloh的新型勒索软件会在加密文件的同时传递支持印度农民抗议活动的信息。
去年,印度政府通过了一套名为《2020年印度农业法案》的新法律,也称为《农业法案》,政府称这对实现农业现代化是必需的。然而农民们认为,这些新法律将损害他们的生计,并使创收更具挑战性,因为新法律取消了对农民如何出售商品以及出售多少商品的限制。自2020年11月以来,成千上万的印度农民在新德里郊外抗议这些法案。
正如许多网络安全公司(包括Malwarebytes、Cyble和QuickHeal)所详细描述的那样,一种名为Sarbloh的新型勒索软件正在通过恶意Word文档进行分发,这些Word文档包含支持印度农民的政治信息。目前尚不清楚恶意Word文档是通过网络钓鱼电子邮件还是其他方法发送的,但是打开它时,系统将提示用户“启用内容”以正确查看其内容。
当按下按钮时,Word文档的宏将使用bitsadmin.exe将一个名为putty.exe的文件下载到文件夹中然后执行。执行后,勒索软件将对计算机上与某些文件类型匹配的文件进行加密,并将.sarbloh附加到文件名之后。例如,文件1.jpg将被加密并重命名为1.jpg.sarbloh。对计算机上的文件进行加密后,将创建一个名为README_SARBLOH.txt的赎金票据,其中包含一条消息,用于支持印度农民。
该赎金通知的全文如下:你的文件不见了!!!直到满足农民需求后,它们才能恢复。他们发生了什么?使用军事级加密后,系统上的所有文件都变得无用了。在印度,锡克教徒长期以来一直面对着对他们的压迫。每次我们抗拒。今天,你们企图夺走印度教徒、锡克教徒和穆斯林农民的生计。你邪恶的方法是不会成功的。Khalsa的双刃剑随时都可以注意到。Tyaar bar tyaar。无论我们的血液流到哪里,锡基树都从那里拔地而起。如果你对农民的意图是纯洁的,并且希望为他们提供帮助,那就不是这样。哈莱米·拉杰(Halemi Raj),锡克教拉吉(Sikh Raj)并不是这样。如果法律不废除,你的命运与哈尔萨(Khalsa)对锡辛德(Sirhind)的命运无异。
该勒索软件似乎以“萨布洛·格兰思”(Sarbloh Granth)的名字命名,这是一本与锡克教有关的圣经。根据Michael Gillespie的说法,Sarbloh基于名为KhalsaCrypt的开源勒索软件,不幸的是其没有已知的弱点。但是,与其他勒索软件不同,Sarbloh不会删除卷影副本,因此可以通过卷影恢复文件。
参考来源:BleepingComputer http://dwz.date/ezyN
(十三)英特尔加入DARPA的DPRIVE计划开发FHE加速器
英特尔与美国国防高级研究计划局(DARPA)签署了一项协议,参与其虚拟环境数据保护(DPRIVE)计划,该计划旨在开发用于完全同态加密(FHE)的加速器。
英特尔实验室首席工程师Rosario Cammarota表示:“完全同态加密仍然是在使用时保持数据安全的追求中的圣杯。”
FHE是一种数据安全方法,可通过使用加密手段来提供数学上的加密证明,DARPA表示这种手段可能会在如何存储和操作数据方面提供更高的确定性。
DARPA解释表示,“如今,传统的加密技术可以在存储或传输数据时保护数据,但是必须对信息进行解密以执行计算、分析或将其用于训练机器学习模型。解密会危及数据,使其受到机敏的对手甚至意外泄漏的危害。FHE能够对加密信息进行计算,使用户能够在充分利用敏感数据与消除暴露风险之间取得平衡。”
虽然FHE被定位为可行的前进之路,但它却需要大量的计算能力和时间。DARPA项目经理Tom Rondeau表示,“如今,在一台标准笔记本电脑上完成一次毫秒级的计算,在运行FHE的传统服务器上将花费数周的时间。”DARPA启动了DPRIVE,以将处理时间从几周减少到几秒钟。
微软是关键的云生态系统和同态加密合作伙伴,通过在其云产品(包括与美国政府合作的Microsoft Azure和Microsoft JEDI云)中对其进行测试来开发该技术,从而引领了该技术的商业采用。英特尔的任务是设计一种专用的集成电路加速器,以减少当前与完全同态加密相关的性能开销。
英特尔表示,“加速器完全实现后,与现有的CPU驱动系统相比,可以在执行FHE工作负载方面带来巨大的改进,有可能将密码的处理时间减少五个数量级。”
英特尔与Duality Technologies、Galois、和SRI International一起加入了DPRIVE。这四家公司将带领研究人员开发FHE加速器硬件和软件堆栈,以将进行FHE计算所需的计算开销减少到与类似的未加密数据操作相当的速度。
此外,DARPA还表示,团队正在探索新颖的内存管理方法,灵活的数据结构和编程模型以及正式的验证方法,以确保FHE的实施是按设计正确进行的,并为用户提供了信心。“我们目前估计,在FHE世界中,我们的计算速度要比在明文世界中慢大约一百万倍。DPRIVE的目标是使FHE降至我们在明文中看到的计算速度。如果我们能够实现这一目标,同时在定位技术的规模,将对我们保护和保存数据以及用户隐私的能力产生重大影响。”
参考来源:ZDNet http://dwz.date/ez3d
(十四)伊朗黑客组织MuddyWater监视中东目标
趋势科技研究人员发现,与伊朗有关的黑客组织MuddyWater正积极攻击中东和邻近地区的学术界、政府机构和旅游实体,旨在开展窃取数据的间谍活动。
这一最新发现被趋势科技(Trend Micro)称为“Earth Vetala”,是Anomali上月发布的先前研究的扩展,该研究发现了利用ScreenConnect远程管理工具针对阿联酋和科威特政府机构进行恶意活动的证据。
这家网络安全公司将正在进行的攻击与一个被广泛追踪的威胁行为体MuddyWater联系起来,MuddyWater是一个以主要针对中东国家的攻击而闻名的伊朗黑客组织。
据称,Earth Vetala利用鱼叉式钓鱼电子邮件,其中包含嵌入到名为OneHub的流行文件共享服务的链接,在启动与命令与控制(C2)服务器的通信以执行混淆的PowerShell脚本之前,分发从密码转储实用程序到自定义后门的恶意软件。这些链接本身会将受害者定向到一个.ZIP文件,其中包含由RemoteUtilities开发的合法远程管理软件,该软件能够下载和上传文件、捕获屏幕截图、浏览文件和目录以及执行和终止进程。
趋势科技指出,分发RemoteUtilities和ScreenConnect的两个行动之间技术大致相似,新一波攻击的目标主要是位于阿塞拜疆、巴林、以色列、沙特阿拉伯和阿联酋的组织。
在一个涉及沙特阿拉伯被攻破主机的特定案例中,研究人员发现,在下载能够执行任意远程命令的远程访问工具、凭证窃取程序和PowerShell后门之前,攻击者试图将SharpChisel(名为Chisel的TCP/UDP隧道工具的C#包装程序)配置为C2通信,但未获成功。
趋势科技表示,“Earth Vetala代表了一个有趣的威胁,虽然它拥有远程访问功能,但攻击者似乎缺乏正确使用所有这些工具的专业技能。这是出乎意料的,因为我们认为这次攻击与MuddyWater威胁参与者有关,在其他相关战役中,攻击者表现出了更高水平的技术技能。”
参考来源:TheHackerNews http://dwz.date/eywU
(十五)又一家法国医院遭受勒索软件攻击
位于法国西南部的奥洛伦-圣玛丽医院3月8日遭受了勒索软件攻击,勒索软件组织要求支付价值5万美元的比特币作为赎金,这是近一个月内发生的第三起此类攻击事件。
3月8日下午,负责所有设施的工程师Rémi Rivière首次发现了这种感染。为了应对攻击,IT人员关闭了部分医院网络,以防止恶意软件传播。
医院发言人表示,“我们以最快的速度作出反应。这种病毒属于勒索软件类型,与一个月前攻击Dax医院的病毒相同。黑客进入医院的计算机系统,对所有数据进行加密,使我们的服务无法读取这些数据,然后发送勒索消息,以换取赎金。”
针对医院和医疗机构的攻击非常危险,特别是在疫情持续期间,攻击发生时,这家法国医院正在参与针对Covid-19的疫苗接种工作。
医院的运营受到勒索软件攻击的严重影响,无法获得数字病历,并迫使工作人员使用笔和纸进行工作。攻击还影响了用于监测药品库存和其他供应的系统。
医院院长Frederic Lecenne告诉当地报纸“比利牛斯共和国报”称,“我们可能在48小时或3个月内恢复我们的系统。”
今年2月,法国另外两家医院也遭到了勒索软件攻击。
参考来源:SecurityAffairs http://f8r.cn/zckXyt
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴
相关信息
2022-09-16
2022-09-09
2022-09-02
