关键信息基础设施安全动态周报【2021年第8期】
发布时间:
2021-02-26
来源:
作者:
访问量:
125
关键信息基础设施安全动态周报【2021年第8期】
目 录
第一章 国内关键信息基础设施安全动态
(一)强制性国家标准《网络关键设备安全通用要求》发布
第二章 国外关键信息基础设施安全动态
(一)新型LazyScripter黑客组织专门攻击航空公司
(二)美国德州电力公司警告称有威胁者利用电力中断进行诈骗
(三)芬兰IT巨头TietoEVRY遭受勒索软件攻击导致多项服务中断
(四)美联储全国范围内的业务中断影响美国银行系统
(五)美国NASA及FAA也成为SolarWinds供应链攻击受害者
(六)红杉资本遭受钓鱼攻击,泄露客户财务信息
(七)FireEye称针对Accellion FTA的攻击与网络犯罪组织FIN11有关
(八)飞机制造商庞巴迪泄露飞机设计关键数据
(九)澳大利亚新南威尔士州交通局及卫生部成为Accellion FTA受害者
(十)美国零售企业Kroger泄露员工及药房数据
(十一)法国物流公司CharlesAndré遭受网络攻击
(十二)乌克兰称其政府系统遭受俄罗斯黑客攻击
(十三)新型恶意软件Silver Sparrow已感染3万台Mac设备
(十四)俄罗斯黑客雇佣组织Gamaredon为其他APT组织提供服务
(十五)孟加拉国六个金融及政府组织遭受黑客攻击
第一章 国内关键信息基础设施安全动态
(一)强制性国家标准《网络关键设备安全通用要求》发布
2月20日,国家市场监督管理总局(国家标准化管理委员会)发布2021年第1号公告,批准了7项强制性国家标准和1项强制性国家标准修改单,其中包含1项通信领域的强制性国家标准:GB 40050-2021《网络关键设备安全通用要求》。
GB 40050-2021《网络关键设备安全通用要求》是工业和信息化部网络安全管理局为落实《中华人民共和国网络安全法》中有关网络关键设备安全的要求,组织相关研究机构编制的一项重要标准。标准主要内容包括安全功能要求和安全保障要求。安全功能要求聚焦于保障和提升设备的安全技术能力,主要包括设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全以及密码要求10个部分。安全保障要求聚焦于规范网络关键设备提供者在设备全生命周期的安全保障能力,主要包括设计和开发、生产和交付、运行和维护三个环节的要求。
强制性国家标准GB 40050-2021《网络关键设备安全通用要求》将于2021年8月1日正式实施。为配合本标准的正式实施,后续中国通信标准化协会将在工业和信息化部网络安全管理局的指导下,加强标准宣贯,帮助相关主体提升网络关键设备安全能力以符合标准的要求。
本文版权归原作者所有,参考来源:中国通信标准化协会 http://dwz.date/er3m
第二章 国外关键信息基础设施安全动态
(一)新型LazyScripter黑客组织专门攻击航空公司
据网络安全公司Malwarebytes 2月24日报道,最近发现的一名威胁行为者在大约两年的时间里一直未被注意到,该名威胁行为者专注于攻击使用国际航空运输协会(IATA)制造的BSPLink财务结算软件的航空公司。
最初发现于2020年12月,威胁行为者的攻击目标是国际航空运输协会(IATA)和航空公司,最近的攻击采用了模仿新推出的IATA One ID(非接触式乘客处理工具)的钓鱼诱饵。
2018年,被认为是对手发起的最早攻击之一,MalwareBytes将该组织称为LazyScripert,攻击目标是希望移民到加拿大的个人。随着时间的推移,该团队的工具集从PowerShell Empire发展到Koadic和Octopus RATs,并使用了LuminosityLink、RMS、Quasar、njRat和Remcos RATs等。在这些攻击中使用的钓鱼邮件使用相同的加载程序来投放Koadic和Octopus,即KOCTOPUS。KOCTOPUS的前身是Empoder,一个PowerShell Empire加载器。
攻击者通常使用IATA或与工作相关的主题作为诱饵,但也观察到其他诱饵:IATA安全、IATA ONE ID、IATA用户的用户支持包、BSPlink更新或升级、旅游(UNWTO)、COVID-19、加拿大技能工人计划、加拿大签证和微软更新。
钓鱼邮件携带档案或文件文件包含一个加载器的变种。这些恶意工具主要托管在两个GitHub账户上,这两个账户分别于2021年1月12日和14日被删除,并于2月2日创建了一个新账户。
这位威胁分子发起的最新活动是在2月5日被发现的,KOCTOPUS的变种被伪装成BSPLink Upgrade.exe。除了Koadic和Koadic,加载器还提供了一个Quasar RAT的变种。
Malwarebytes的研究人员发现,自2018年以来,这一威胁分子使用了14个恶意文件,这些文件都携带了KOCTOPUS或Empoder加载器的变种嵌入式对象。到目前为止,研究人员已经确定了四种不同版本的KOCTOPUS加载器,用于加载Octopus、Koadic、LuminosityLink、RMS和Quadar RATs。
众所周知,Koadic RAT曾被与伊朗有关的Muddy Water和与俄罗斯有关的APT28威胁组织使用过。Malwarebytes能够识别出LazyScripter和Muddy Water活动之间的一些相似之处,但也有一系列不同之处,从而分别追踪了这一组。
参考来源:SecurityWeek http://dwz.date/eryS
(二)美国德州电力公司警告称有威胁者利用电力中断进行诈骗
美国德州电力公司奥斯汀能源公司(Austin Energy)2月22日发布警告称,有不明身份人员冒充该公司,并通过电话威胁客户,除非他们支付虚假的逾期账单,否则他们的电力将被切断。
在这些持续不断的的欺诈尝试期间,诈骗者警告客户,如果他们不立即付款,则他们的公共设施将被中断。骗子通常使用可重新加载的预付借记卡或其他不可追踪的支付形式。
奥斯汀能源公司22日早些时候警告称:“在冬季风暴过后,骗子们试图利用我们的客户。骗子告诉客户,如果不立即付款,他们将在30-60分钟内断开连接。我们没有进行断开连接,自2020年3月以来我们一直没有这样做。”
奥斯汀能源公司表示,他们绝不会致电居民客户,告知他们紧急的截止日期,要求他们提供有关信用卡或电汇的信息,或要求他们使用无法追踪的付款方式(如加密货币或礼品卡)支付滞纳金。
联邦贸易委员会(FTC)22日早些时候也警告称,骗子利用正在发生的极端天气事件窃取公用事业公司客户的资金和个人信息。为了识别并保护自己免受此类骗局的侵害,建议客户采取以下措施:
1、如果接到电话,请感谢来电者并挂断电话。切勿拨打语音邮件、短信或电子邮件中留下的号码。相反,如果担心,请使用帐单或公司网站上的电话号码直接与公用事业公司联系,以验证消息是否来自他们。
2、如果突然接到电话,对方声称必须支付逾期账单,否则服务将被关闭,切勿通过电话提供银行信息。要通过电话支付帐单,请将电话拨到合法号码上。
3、公用事业公司不会要求通过电子邮件、短信或电话发送支付信息。他们不会强迫用户通过电话付款作为唯一选择。
4、如果打电话的人告诉您使用礼品卡、现金充值卡、汇款或加密货币付款,那一定是骗局。无论他们说什么,都是骗局。
这一警告是在冬季暴风雪导致德克萨斯州电网和供水系统崩溃之后,德克萨斯州发生了多次并正在蔓延的停电事件。然而,正如德克萨斯州州长格雷格·雅培(Greg Abbott)21日所说,虽然德克萨斯州的发电厂现在已恢复供电,但仍有约325,000户家庭受到影响,处于黑暗之中。
奥斯汀能源公司之前表示,“我们服务区域中发生故障的部分是基于它们所处电路的状态。通电区域可能与关键负载电路共享一个电路。关键的负载回路包括医院、控制中心、911、机场和自来水/废水处理厂,不受电力中断影响。”
参考来源:BleepingComputer http://dwz.date/epNN
(三)芬兰IT巨头TietoEVRY遭受勒索软件攻击导致多项服务中断
芬兰IT巨头TietoEVRY在23日揭露,該公司在22日遭受了勒索软件攻击,被迫中断提供給25家客戶的多项服务。
TietoEVRY主要提供IT与产品工程服务,在全球20个国家拥有2.4万名员工。根据该公司的说法,22日先是在许多服务上发生技术问题,调查后才发现原来是遭到勒索软件攻击。这些服务支持了零售、制造与服务业的25家客户,受到影响的基础设施及服务都已被关闭。
由于意外才发生不久,TietoEVRY正致力于通知客户、回复系统、通知国家安全机构,以及报警等,因尚由警方调查中而未揭露更多的攻击细节。
不过,TietoEVRY表示,该公司已组成一个专门的团队来负责回复系统,而且认定勒索信是个严重的犯罪行为,因此通知了警方,同时也建议受到影响的客户向警方报案。
这似乎暗示着黑客以TietoEVRY作为跳板,也入侵了该公司的客户。据分析,近来IT服务业者颇受勒索软件黑客的青睐,因为这类的公司通常自远端来管理客户服务,因此一旦成功入侵其平台,就能一次传播勒索软件到更多的受害对象。TietoEVRY并未明确表达是否有客户因此而感染了勒索软件。
本文版权归原作者所有,参考来源:iThome http://dwz.date/eryK
(四)美联储全国范围内的业务中断影响美国银行系统
美联储24日遭受了一次大规模的IT系统故障,导致电汇、ACH交易和其他服务无法运行。该事件是由“操作失误”造成的中断。
24日,美联储(Federal Reserve)的银行系统遭遇了一场由“操作失误”造成的中断。换句话说,有人犯了一个错误,导致系统瘫痪。当执行美国电汇或ACH取款/存款时,交易首先通过促进交易的联邦储备银行系统进行。
目前,除了系统状态报告外,联邦储备银行没有提供更多细节。
这次中断影响了几乎所有联邦储备银行提供的电子服务,包括账户服务、中央银行、Check 21,、Check Adjustments、FedACH、FedCash、FedLine Advantage、FedLine Command、FedLine Direct、FedLine Web、Fedwire Funds、Fedwire Securities和National Settlement。
由于这些中断,许多加密货币交易所,如Binance,报告说他们无法进行ACH存款或取款。
参考来源:BleepingComputer http://dwz.date/erz9
(五)美国NASA及FAA也成为SolarWinds供应链攻击受害者
据《华盛顿邮报》报道,美国宇航局(NASA)及美国联邦航空管理局(FAA)也成为了了SolarWinds供应链攻击的受害者。
这两起攻击是去年针对多个美国政府机构的更广泛间谍活动的一部分。美国国家航空航天局(NASA)是美国独立的联邦机构,负责协调其民用航天计划。FAA是美国民航和国际水域监管机构。
虽然美国政府没有公开披露美国宇航局和联邦航空局被攻击的消息,但白宫副国家安全顾问安妮·纽伯格(Anne Neuberger)表示在SolarWinds黑客攻击行动中有9个联邦机构被攻击,这两个机构的身份得到了邮报和该美国官员的证实。
美国运输部发言人表示,该机构正在调查这一情况。美国国家航空航天局的一位女发言人补充称,联邦机构正在与CISA合作,以“保护NASA数据和网络的缓解措施”。
这些攻击背后的威胁因素目前被追踪为StellarParticle(CrowdStrike)、UNC2452(FireEye)、SolarStorm(Palo Alto Unit 42)和Dark Halo(Volexity)。虽然该组织的身份仍然是匿名的,但FBI、CISA、ODNI和NSA发表了一份联合声明,称它很可能是一个俄罗斯支持的黑客组织。
微软分享了攻击的详细时间表,并显示黑客于2020年2月对公司的Orion IT监视平台进行了木马化,随后于3月下旬使用该软件的更新机制在受感染的网络上部署了后门程序。
自从该间谍活动被发现以来,已经确认了另外七个联邦机构,这两个联邦机构是最后确定的两个。其他七个确认在SolarWinds供应链攻击中遭受攻击的美国政府机构包括:美国财政部、美国国家电信和信息管理局(NTIA)、美国国务院、美国国立卫生研究院(NIH)、美国国土安全部(DHS)、美国能源部(DOE)、美国国家核安全局(NNSA)。
今年1月份,美国联邦法院行政办公室披露了一项正在进行的调查,此前联邦法院的案件管理和电子案件档案系统可能受到破坏。上周微软还透露,SolarWinds黑客访问并下载了数量有限的Azure、Intune和Exchange组件的源代码。根据《邮报》的报道,拜登政府还计划制裁俄罗斯对SolarWinds的黑客攻击和毒害反对派领导人阿列克谢·纳瓦尼(Alexei Navalny)。
参考来源:BleepingComputer http://dwz.date/eqVg
(六)红杉资本遭受钓鱼攻击,泄露客户财务信息
硅谷知名风险投资公司红杉资本2月19日对投资者表示,根据Axios的一篇报道,在其一名员工遭遇网络钓鱼攻击后,该公司的一些个人和财务数据可能已被第三方访问。红杉对投资者表示,目前还没有迹象表明这些被窃信息在暗网上交易,或者遭到不法分子利用。
据Pitchbook数据显示,红杉资本是硅谷经验最丰富、最成功的风险投资公司之一,管理资产超过380亿美元。这家拥有49年历史的风险投资公司投资了Airbnb、DoorDash和23andMe等机构。该公司也投资了FireEye和Carbon Black之类的网络安全组织。
红杉资本是由唐·瓦伦丁于1972年在加州Menlo Park创立。20世纪90年代,瓦伦丁将公司的控制权交给了道格·利昂和迈克尔·莫里茨。1999年,红杉资本将其任务扩展到以色列。红杉资本中国(Sequoia Capital China)成立于2005年,是这家美国公司的分支机构,该组织由尼尔·沈(Neil Shen)领导。2006年,红杉资本收购了印度风险投资公司Westbridge Capital Partners。后来更名为红杉资本印度公司(Sequoia Capital India)。CB Insights认为红杉资本是2013年的主要融资公司。截至2016年,这家美国公司共有11名合作伙伴。
据Axios报道,红杉对投资者表示,目前还没有看到任何迹象表明,被破坏的数据正在被交换,或者在黑暗网络上被滥用。红杉资本的一名代表20日证实,该公司“最近经历了一起网络安全事件”,其安全团队正在对此进行调查。该公司表示,它还通知了执法部门,并正在与外部网络安全专家合作。
红杉资本的一位发言人表示,“我们最近经历了一起网络安全事件。我们的安全团队迅速作出反应进行调查,我们联系了执法部门,并聘请了领先的外部网络安全专家来帮助解决这个问题,并维护我们系统的持续安全。我们对这起事件的发生感到遗憾,并已通知受影响的个人。我们已经在安全方面进行了大量投资,并将继续这样做,我们将努力应对不断演变的网络威胁。”
此次黑客攻击似乎与Solarwinds供应链攻击没有关联。Solarwinds对FireEye构成较为严重的破坏,并对政府机构和微软等大型科技公司产生了影响。
参考来源:EHackingNews http://dwz.date/eqXa
(七)FireEye称针对Accellion FTA的攻击与网络犯罪组织FIN11有关
网络安全公司FireEye 2月22日发表博客文章表示,在Accellion FTA服务器上使用零日攻击是由一个名为FIN11的网络犯罪组织实施的,该组织在2020年12月和2021年1月攻击了全球约100家公司。攻击者入侵了运行FTA服务器的公司,窃取了私人文件,现在正在Clop勒索软件泄露网站上发布数据。
在攻击过程中,黑客利用四个安全漏洞攻击FTA服务器,安装名为DEWMODE的web shell,然后用它下载存储在受害者FTA设备上的文件。
Accellion在新闻稿中表示,“在FTA的大约300个客户中,只有不到100个是攻击受害者。其中只有不到25人遭受重大数据盗窃。”FireEye表示,在FTA文件共享服务器遭到攻击之后,这25名客户中的一些人已经收到了赎金要求。
攻击者通过电子邮件联系并要求比特币付款,或者他们将受害者的数据公布在由Clop勒索软件团伙运营的“泄密网站”上。
FireEye一直在协助Accellion调查这些攻击,并表示,这些攻击与FireEye追踪的两个活动组织有关,分别是UNC2546(针对FTA设备的零日攻击)和UNC2582(给受害者电子发送邮件,威胁要在Clop勒索软件泄漏网站上公布数据)。这两个组织的基础设施都与FIN11有重叠之处。FIN11是FireEye去年发现并记录的一个大型网络犯罪团伙,参与了各种形式的网络犯罪行动。
FireEye表示,尽管FIN11运营商现在在Clop勒索软件泄露网站上公布了Accellion FTA客户的数据,但这些公司的内部网络没有进行任何加密,而是典型的点名名誉勒索计划的受害者。
上周,在FireEye发布报告之前,安全播客Risk Business在Clop勒索软件泄漏网站上发现了Accellion FTA公司。到目前为止,在Clop网站上列出数据的公司包括:地理数据公司Fugro、科技公司Danaher、加坡最大的电信公司新加坡电信Singtel、Jones Day律师事务所。
其他报告因FTA服务器受到攻击而导致网络泄露的公司(但没有在Clop网站上泄露数据)还包括:新西兰储备银行、澳大利亚证券和投资委员会(ASIC)、Allens律师事务所、科罗拉多大学、华盛顿州审计署、QIMR Berghofer医学研究所、美国零售连锁店Kroger。
尽管Accellion一开始对这些攻击反应迟缓,但该公司现在正全力以赴地运营。自攻击开始以来,该公司已经发布了几波补丁,以解决攻击中利用的漏洞,但也宣布打算在今年晚些时候,即2021年4月30日淘汰旧的FTA服务器软件。
该公司目前正积极敦促客户更新其较新的Kiteworks产品,该产品取代了旧的FTA服务器,FTA服务器是在21世纪初开发的一种文件共享工具,允许公司以一种简单的方式与员工和客户共享文件,而当时Dropbox或Google Drive等产品还未大量上市。
由于上传到这些服务器的数据量很大,而开发这些服务器时往往没有考虑到什么安全特性,FTA系统现在已成为攻击者的主要目标。Accellion希望各公司了解自己目前面临的风险,转而选择更新其较新的产品线,避免商业机密、知识产权或个人数据等敏感文件在网上泄露。
参考来源:ZDNet http://dwz.date/erwn
(八)飞机制造商庞巴迪泄露飞机设计关键数据
加拿大飞机制造商庞巴迪(Bombardier)2月23日披露了一个安全漏洞,此前该公司的一些数据被发布在由Clop勒索软件团伙运营的暗网上。未经授权的第三方通过利用Accellion FTA文件传输应用程序存在的漏洞,从而访问和提取了庞巴迪的数据。
该公司在新闻稿中表示:“初步调查显示,未经授权的一方通过利用影响第三方文件传输应用程序的漏洞来访问和提取数据,该应用程序运行在与Bombardier IT主网络隔离的特制服务器上。”
虽然该公司没有具体命名该设备,但他们很可能指的是Accellion FTA,这是一种网络服务器,公司可以使用它来托管和共享无法通过电子邮件发送给客户和员工的大型文件。
2020年12月,一个黑客组织在FTA软件中发现了一个零日漏洞,并开始攻击全球各地的公司。攻击者接管系统,安装web shell,然后窃取敏感数据。
在22日的新闻稿中,Accellion称其300个客户运行FTA服务器,100个受到攻击,大约25个客户的数据被盗。根据安全公司FireEye的说法,攻击者随后试图敲诈被黑客攻击的公司,要求赎金,否则他们会将被盗数据公之于众。
从本月早些时候开始,一些使用旧版FTA的客户数据开始出现在暗网上的一个“泄密网站”上,在这个网站上,Clop勒索软件团伙通常会羞辱那些拒绝支付其解密费的公司。到目前为止,地理空间数据公司辉固(Fugro)、科技公司Danaher、新加坡最大的电信公司Singtel和美国律师事务所Jones Day的数据都发布在该网站上。现在庞巴迪也被列入泄密网站名单,这促使该飞机制造商公开其安全漏洞。
网站上共享的数据包括庞巴迪飞机和飞机零件的设计文件。虽然没有共享任何个人数据,但这家飞机制造商很可能对自己的一些私有知识产权现在在暗网上免费下载感到愤怒。
FireEye在23日的报告中表示,FTA黑客攻击活动和随后的勒索行动是由一个大型网络犯罪组织实施的,攻击者被追踪为FIN11,这个组织在过去几年里参与了各种形式的网络犯罪行动。
参考来源:ZDNet http://dwz.date/erfU
(九)澳大利亚新南威尔士州交通局及卫生部成为Accellion FTA受害者
澳大利亚新南威尔士州交通局及卫生部确认,其是Accellion FTA文件传输服务网络攻击的受害者。交通局表示,在Accellion服务器的攻击被中断之前,一些信息被盗,调查正在进行中,没有提供有关此事的更多细节。
新南威尔士州交通局(Transport for NSW)是澳大利亚新南威尔士州的主要交通运输和公路代理机构。交通局表示,“新南威尔士州的交通部门将确保对受影响人员的任何通知过程都将得到明确沟通和安全保障。”
在一份与这起事件相关的声明中,新南威尔士州网络安全部表示,它正在与新南威尔士州政府合作调查这起事件,并评估数据的数量和价值。新南威尔士州网络安全部表示,“行业专家的分析表明,没有第三方可以访问主要的机构系统,包括驾驶执照系统、Opal旅行系统或公立医院使用的电子病历系统。”
这起网络事件发生在2020年12月中旬,FireEye的Mandiant安全研究人员追踪的黑客组织UNC2546利用了FTA中的一个SQL注入漏洞,使其能够部署web shell并访问客户数据。此次攻击共针对FTA中的4个漏洞,这些漏洞都已经修补。
FTA的设计目的是让客户能够传输大型文件,它已经有20多年的历史了,2021年4月30日以后将不再得到支持。去年12月,Accellion为大约300家FTA客户提供服务,其中受影响的客户不到100家。不过,该公司表示,其中多达25家遭受了重大数据盗窃。
新南威尔士州运输局和新南威尔士州卫生局是最新公开证实事件影响的组织,此前美国杂货和药房连锁店Kroger和Jones Day律师事务所在过去几天里也发表了类似声明。迄今为止,已有八家实体证实了这一事件的影响。
Accellion和受影响的客户都已确认,攻击者仅通过易受攻击的FTA服务访问数据,没有暴露其他系统。FireEye认为攻击者是FIN11,他们试图敲诈受害者,威胁要公开分享被盗数据,甚至在某些情况下甚至会进行威胁。随着FTA即将到期,Accellion继续鼓励客户迁移到企业内容防火墙平台kiteworks,并承诺在过渡期间提供免费帮助。
参考来源:SecurityWeek http://dwz.date/ertV
(十)美国零售企业Kroger泄露员工及药房数据
美国知名零售企业Kroger 2月19日披露,其遭受Accellion FTA软件安全漏洞影响,该漏洞允许黑客从使用该服务的公司窃取数据。威胁者窃取了Kroger人力资源数据和药房记录,支付信息没有受到影响。
Kroger是世界上最大的零售商之一,在美国35个州拥有近2800家门店。Kroger拥有约50万名员工,2019年的销售额超过1220亿美元。
根据发布的数据泄露公告,Kroger在2021年1月23日接到Accellion的数据泄露通知,并立即停止使用这项服务。作为对此次攻击调查的一部分,Kroger已经确定,包括支付信息在内的杂货店数据没有受到此次入侵的影响。然而,这起入侵事件确实泄露了人力资源数据和药房记录。
Kroger在数据泄露公告中表示,“目前,根据Accellion提供的信息和我们自己的调查,Kroger认为受影响的数据类别可能包括某些员工的HR数据、某些药房记录和某些货币服务记录。重要的是,对杂货店的数据或系统、信用卡或借记卡信息或客户帐户密码没有影响。”
Kroger表示,他们正在通过邮件联系受影响的人,并对受影响的人提供免费的一年信用监测。Kroger只是一长串受Accellion FTA服务漏洞影响的公司中的其中一个,该漏洞在过去几个月被黑客利用。
12月中旬,Accellion披露,其FTA安全文件传输服务中存在一个被积极利用的零日漏洞。威胁分子利用此漏洞从利用该服务与客户和合作伙伴安全通信的公司窃取数据。
Accellion在圣诞节当天发布了一个补丁,但当公司收到更新并应用它时,威胁参与者已经获得了访问他们的数据的权限。其中一些遭受受Accellion入侵影响的客户已经收到了威胁行为者的赎金通知,要求他们支付赎金,否则他们的数据将被公开公布。
随着Accellion FTA服务被许多公司、教育机构和政府机构使用,随着时间的推移,我们将继续看到更多的数据泄露警告发布。之前与Accellion相关的数据泄露包括Singtel、QIMR Berghofer医学研究所、新西兰储备银行、澳大利亚证券和投资委员会(ASIC)以及华盛顿州审计师办公室(SAO)。
参考来源:BleepingComputer http://dwz.date/eqXF
(十一)法国物流公司CharlesAndré遭受网络攻击
从多个消息来源获悉,法国跨国物流公司CharlesAndré成为了网络攻击的目标。该公司尚未回应该攻击活动是否对公司运营产生影响,也没有披露是否遭受的是勒索攻击。
CharlesAndré集团总部位于法国Montélimar,是一家国际运输和物流公司,在15个国家/地区设有分支机构,雇员超过9400人,营业额超过14亿欧元。
两个星期前,即2月9日,位于Drôme和Ardèche等几个地点的露营车和大篷车制造商Trigano遭受了网络攻击,攻击者要求支付赎金。该事件导致该集团的一些服务器瘫痪,服务器中断了一周,导致部分员工失业。此前去年12月,总部位于罗纳河畔图尔农的制药集团Fareva也遭受了同样的攻击。
参考来源:LeDauphiné http://dwz.date/eqWg
(十二)乌克兰称其政府系统遭受俄罗斯黑客攻击
乌克兰国家安全与防御委员会(NSDC)22日指责未透露姓名的俄罗斯互联网网络对乌克兰安全和国防网站进行大规模攻击。乌克兰官员没有提供袭击的细节,也没有提供他们造成的损失。乌克兰当局没有将攻击击归咎于具体的威胁行为者。
据路透社报道,“据透露,属于某些俄罗斯交通网络的地址是这次协同攻击的来源。基辅此前指责莫斯科策划了大规模网络攻击,作为针对乌克兰的“混合战争”的一部分。俄罗斯对此予以否认。然而,乌克兰国家安全与国防委员会发表的一份声明没有透露它认为是谁组织了这些攻击,也没有提供有关这些攻击可能对乌克兰网络安全造成的影响的任何细节。”
这次大规模攻击始于2月18日,黑客攻击的目标是乌克兰安全部门和委员会等地方机构的网站。威胁参与者试图危及目标,以部署DDoS机器人。
乌克兰国家安全与国防委员会表示,这些攻击试图用一种病毒感染易受攻击的政府网络服务器,这种病毒使它们秘密地成为僵尸网络的一部分,该僵尸网络被用于对其他资源进行所谓的分布式拒绝服务(DDoS)攻击。
参考来源:SecurityAffairs http://dwz.date/erxj
(十三)新型恶意软件Silver Sparrow已感染3万台Mac设备
Red Canary安全研究人员近日发现了一个新型针对Mac设备的恶意软件Silver Sparrow,已悄悄感染了近3.9万个系统。
这个名为Silver Sparrow的恶意软件是由Red Canary的安全研究人员发现的,并与Malwarebytes和VMWare Carbon Black的研究人员一起进行了分析。根据Malwarebytes提供的数据,截至2月17日,Silver Sparrow已经感染了全球153个国家的29,139个macOS终端,其中包括美国、英国、加拿大、法国和德国的大量检测。
但是尽管受感染的数量众多,关于恶意软件是如何传播和感染用户的细节仍然很少,而且目前还不清楚Silver Sparrow是否隐藏在恶意广告、盗版应用程序或假冒Flash更新程序中,这些是目前大多数Mac恶意软件的经典传播载体。
此外,这种恶意软件的目的也不清楚,研究人员也不知道它的最终目标是什么。一旦Silver Sparrow感染了系统,该恶意软件就会等待操作员的新命令,在研究人员分析它的时候,这些命令从来没有收到过。研究人员希望在发布报告之前了解更多它的内部工作原理。
但Red Canary警告称,这不能被解释为一个失败的恶意软件,有可能恶意软件能够检测到分析其行为的研究人员,并简单地避免将其第二阶段的有效载荷发送到这些系统。大量被感染的系统清楚地表明,这是一个非常严重的威胁,而不仅仅是一些威胁参与者的一次性测试。
此外,该恶意软件还支持感染运行在苹果最新M1芯片架构上的macOS系统,再次证实这是一种新型的、维护良好的威胁。事实上,Silver Sparrow是继四天前发现第一个可在M1体系结构上运行的恶意软件之后发现的第二个恶意软件,这恰恰表明了这种新威胁的尖端程度。
虽然还没有观察到Silver Sparrow提供更多的恶意负载,但它具有前瞻性的M1芯片兼容性、全球覆盖范围、相对较高的感染率和运营成熟度表明,Silver Sparrow是一个相当严重的威胁,它处于独特的地位,可以在接到通知后立即提供潜在的有效负载。
Red Canary报告包含危害指标,例如恶意软件创建和使用的文件和文件路径,可用于检测受感染的系统。
参考来源:ZDNet http://dwz.date/eqY3
(十四)俄罗斯黑客雇佣组织Gamaredon为其他APT组织提供服务
思科Talos部门安全研究人员称,最新证据表明,与俄罗斯有关的威胁行为者Gamaredon是一个黑客雇佣组织,向其他APT组织提供服务,类似于犯罪软件团伙。
该威胁行为体也被称为Primitive Bear,至少从2013年开始活跃,长期以来一直与亲俄活动相关联,显示出对乌克兰目标的关注。然而,该组织在全球范围内从事间谍活动,而且不像其他主要的APT行为者那样隐秘。
尽管过去曾多次被曝光,但该组织仍在不受阻碍地继续行动,收集有关预定目标的信息,并与其他单位共享数据,这些单位可能是更高级的威胁参与者。然而,除了为这些APT提供服务外,该团伙还在进行自己的独立活动。
Gamaredon采用的策略、技术和程序(TTP)在犯罪软件界很常见,包括使用木马安装程序、自解压档案、带有恶意有效负载的垃圾邮件、模板注入等等。此外,该组织运营着一个由600多个活动域组成的基础设施,用作第一阶段的指挥和控制(C&C),该阶段部署第二阶段的有效载荷,并在需要时更新这两个阶段。
作为最活跃的行动者之一,Gamaredon并没有表现出更先进的行动所使用的流畅性和技巧,但也没有迹象表明该组织从从受害者那里窃取的信息中获利。
思科的研究人员表示,该这样子菇的运作方式类似于第二级APT的运作方式,将关键信息传递给顶级单位,作为更先进的APT的服务提供商运营。然而,它也从事辅助工作,并特别注意避免使用某些IP地址,在一次活动中,思科观察到来自43个不同国家的大约1700个IP地址。
尽管缺乏高水平的技术专业知识,但该威胁行为者也显示出添加新功能和特性的能力,并继续活跃到目前为止,最近一次活动是在2021年2月观察到的。
Gamaredon不一定是国家资助的攻击者,而是为支付最高报酬的人工作。然而,鉴于该组织对乌克兰特别感兴趣,且没有试图将窃取的数据变现的尝试,该组织仍可被视为一个APT,但其瞄准目标的方式多种多样,而且几乎采用了一种类似犯罪工具的手段。
这个组织的攻击目标包括非洲的一家主要银行、美国的教育机构、欧洲的电信和主机托管提供商。Talos已经发现了无数个不同的点,不仅限于上述情况,而且似乎有一种广泛的方法,超出了乌克兰的范围。
因此,研究人员认为Gamaredon是一个二级APT,它以一种类似于网络犯罪现场的方式,为一级参与者提供入侵服务。此外,该组织缺乏熟练度,经常有不好的操作安全或业余错误,导致他们的业务被曝光。
参考来源:SecurityWeek http://dwz.date/eq4j
(十五)孟加拉国六个金融及政府组织遭受黑客攻击
负责保护孟加拉国网络安全的国家组织电子政务计算机事件响应小组(e-Gov CIRT)表示,黑客组织卡萨布兰卡(Kasablanca)针对至少6个孟加拉国知名金融和政府组织发动了网络攻击,包括是孟加拉国银行、孟加拉国警察、bKash、BRAC银行、孟加拉国伊斯兰银行和Corona.gov.bd。攻击这些机构的原因尚不清楚。
2月10日早些时候,《黑客新闻》报道称,此前已知的具有窃取凭证能力的Windows Remote Access特洛伊木马(RAT)现已扩大范围,瞄准安卓设备用户,进一步提升攻击者的间谍动机。
报道援引思科Talos研究人员的话称,恶意软件的幕后黑手Kasablanca据说已经在针对孟加拉国用户的一项正在进行的混合行动中,部署了这种新型RAT。报告称,孟加拉国组织被特别挑出来参加这场运动的原因尚不清楚,威胁行为者的身份也不清楚。
这些恶意软件非常相似,因为它们都有一整套数据收集功能,这些功能构成了跟踪者应用程序。对Android或Windows设备的攻击始于网络钓鱼活动,诱使电子邮件或短信接收者打开隐藏恶意软件的恶意附件。
虽然安卓版本的恶意软件可以拍照和截屏、读取短信和通话记录、发送短信并拨打特定号码的电话、以及拦截短信或电话,但其最新的Windows版本带有新的命令,可以远程访问目标机器,以及一个可以从连接的麦克风捕获音频的“声音”命令。
黑客新闻报道补充说,Kasablanca发起的攻击始于去年10月,目标是银行和运营商级IP语音软件供应商,线索表明恶意软件作者居住在摩洛哥。E-Gov CIRT项目总监Tarique M Barkatullah表示,在2月17日,发现威胁参与者Kasablanca正在开发攻击变体和专门的恶意软件运动后,CIRT向当地金融和政府机构发出了网络威胁的警报。
E-Gov CIRT确定了18个以孟加拉国金融和政府组织为目标的钓鱼网站,而以6个知名机构的名义创建了8个钓鱼网站。这八个钓鱼网站分别是:bkashagent.com;corona-bd.com;bkash.Club;bdpolice.co;isiamibank bd.com;mangra-bank.com;bangra-bank.com和branc.info。
根据e-Gov CIRT的说法,这名威胁参与者背后的动机只是为了在孟加拉国境内传播他们的僵尸网络,可能是为了间谍活动而调整,而不是纯粹为了经济利益而破坏账户。信息技术专家称,这些机构的用户是Kasablanca的目标群体,他们通过假冒网站收集包括客户身份证号码在内的机密信息。
E-Gov CIRT要求当地金融和政府机构加强能力,以应对日益增长的网络威胁;确保所有员工、客户和消费者接受适当的信息和网络安全意识培训;确保适当的控制;并通过评估需要知道的基础,最大限度地减少攻击表面。
目前孟加拉国银行发言人Md.Serajul Islam没有置评。最新一轮网络威胁发生在1月21日,一个名为ALTDOS的黑客闯入孟加拉国主要商业集团之一Beximco的系统,从34个Beximco网站(包括其电信补贴BOL)窃取了数百GB的文件、源代码和数据库,其中包括telecom subsidy BOL-ONLINE.COM。ALTDOS主要在东盟地区运营,曾参与泰国、孟加拉国、菲律宾和马来西亚等不同国家证券交易所和金融机构的网络攻击。
1月10日早些时候,孟加拉国央行在其服务器中检测到恶意软件后,向其工作人员和官员发出了紧急网络警报,导致孟加拉国银行总部的互联网连接中断了一周。
2016年2月,BB在纽约联邦储备银行(Federal Reserve Bank Of New York)的账户被盗1.01亿美元,这也是因为央行SWIFT-RTGS系统中的恶意软件,该软件让这群黑客进入了央行的服务器。
参考来源:DhakaTribune http://dwz.date/ergg
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
