关键信息基础设施安全动态周报【2020年第46期】
发布时间:
2020-11-20
来源:
作者:
访问量:
125
目 录
第一章 国外关键信息基础设施安全动态
(一)多家工业控制系统厂商披露严重漏洞
(二)黑客组织利用ZeroLogon漏洞攻击汽车及制药行业
(三)三个APT组织针对七家新冠疫苗研究机构发起网络攻击
(四)《物联网网络安全改善法案》获得参议院通过
(五)白宫为联邦机构发布有关AI应用指南
(六)朝鲜APT组织Lazarus通过供应链攻击韩国政府及金融组织
(七)数百个特斯拉备份网关可能遭受黑客攻击
(八)美国冷库运营商Americold遭受网络攻击
(九)生物技术公司Miltenyi遭受勒索软件Mount Locker攻击
(十)智利零售商Cencosud遭受勒索软件Egregor攻击
(十一)Web托管提供商Managed.com遭受勒索软件REvil攻击
(十二)恶意软件Chase针对拉丁美洲电商平台发起大规模攻击
(十三)新型侧信道攻击方法PLATYPUS可以通过监视CPU功耗来获取加密密钥
(十四)新型攻击方法VoltPillager可针对英特尔SGX硬件发起电压操纵攻击
(十五)西部数据重放保护存储块协议存在漏洞影响多个供应商
(十六)特朗普解雇国土安全部网络安全负责人Christopher Krebs
第一章 国外关键信息基础设施安全动态
(一)多家工业控制系统厂商披露严重漏洞
近日Real Time Automation、Paradox、Sensormatic、Schneider四家工业控制系统供应商分别披露其产品存在的高危漏洞。
工业控制系统公司Real-TimeAutomation 11月17日发布警告称,其系统存在严重漏洞,使系统容易受到对手的远程攻击。该漏洞CVSS评分为9.8分,Real-TimeAutomation存在的漏洞是由Claroty发现并公开的。
Claroty 17日公开披露了该漏洞,并表示,“在RTA的499ES ENIP堆栈中发现了一个堆栈溢出漏洞,所有版本都在2.28之前,这是使用最广泛的OT协议之一。可触发专有实时自动化(RTA)组件499ES以太网/IP(ENIP)中使用的第三方代码,从而使拒绝服务攻击的条件成熟。”
Claroty研究人员表示,他们已经识别出11台使用RTA ENIP协议栈的设备,这些设备来自6家不同的供应商,很可能容易受到攻击。它没有透露其他供应商的身份。Claroty的Sharon Brizinov上个月向CISA报告了这个漏洞,编号为CVE-2020-25159。RTA是为制造业和建筑自动化提供工业控制系统,该公司在10月27日发布了有关该漏洞的信息。
RTA首席策略师、业务开发经理兼首席执行官John Rinaldi在10月份表示:“RTA设备中的旧代码试图通过限制以太网/IP Forward Open请求中使用的特定缓冲区的大小来减少RAM使用量。通过限制RAM,攻击者可能会试图溢出缓冲区,并利用该缓冲区试图控制设备。这行代码在几个修订级别之前已经更改过,在当前的以太网/IP软件修订级别中不是问题。”
安全设备制造商Paradox 17日也宣布了一个影响其IP150互联网模块的严重漏洞CVE-2020-25189,这为基于堆栈的缓冲区溢出攻击创造了条件。成功利用这些漏洞可让攻击者远程执行任意代码,这可能导致物理安全系统终止。
根据Paradox的说法,受影响的IP150互联网模块是一个“基于局域网的通信模块,它使你能够通过局域网或互联网,通过任何网络浏览器来控制和监控你的Paradox安全系统。”
第二个严重漏洞编号为CVE-2020-25185,CVSS评级为8.8。它会打开IP150互联网模块,导致“五个身份验证后缓冲区溢出,这可能允许登录的用户远程执行任意代码”。
虽然Paradox表示,目前还没有针对这些漏洞的已知公开攻击,但该公司也没有为这两个漏洞提供任何具体的补丁。Paradox提供了一系列缓解措施的建议,包括确保遵守最小特权用户原则,以及“尽量减少所有控制系统设备和/或系统的网络暴露,并确保它们不能从互联网上访问。”
除了RTA和Paradox漏洞,江森自控的子公司Sensormal Electronics和ICS巨头施耐德电气(Schneider Electric)也披露了严重漏洞。
施耐德在其交互式图形SCADA系统中报告了9个高度严重的错误。漏洞包括:内存缓冲区界限内的操作限制不当、越界写入和越界读取缺陷。
Sensormatic在American Dynamics Victor Web Client和Software House C.Cure Web Client设备中存在CVE-2020-9049漏洞。成功利用此漏洞可使网络上未经身份验证的攻击者创建和签署自己的JSON web令牌,并使用它执行HTTP API方法,而无需有效的身份验证/授权。在某些情况下,攻击者可能会利用这一点,通过实施拒绝服务攻击来影响系统的可用性。
参考来源:ThreatPost http://dwz.date/dqzx
(二)黑客组织利用ZeroLogon漏洞攻击汽车及制药行业
赛门铁克研究人员近日发现,威胁组织APT10正在利用ZeroLogon漏洞在全球范围内17个地区展开一场大规模活动,攻击目标为汽车、制药和工程服务提供商。
APT10又名 Stone Panda、Cicada或Cloud Hopper,该威胁组织最早于2009年被发现,其攻击目标是与日本有关的组织,而最近这一波攻击似乎也没有什么不同。此次攻击自2019年10月中旬开始活跃,并至少持续到今年10月。
Cicada似乎资源丰富,使用各种工具和技术。这包括DLL端加载、网络侦察、凭证盗窃、能够安装浏览器根证书和解码数据的命令行实用程序、PowerShell脚本以及RAR存档和合法的云托管提供商,用于下载、打包和过滤被盗信息。
特别值得注意的是,黑客组织的工具箱最近又增加了一个工具,它可以利用zeroologon。该漏洞被追踪为CVE-2020-1472,发布的CVSS分数为10,微软在8月份披露并修补了该漏洞,可用于欺骗域控制器帐户和劫持域,以及危害Active Directory身份服务。
Cicada还针对其目标推出了Backdoor.Hartip,这是一种以前从未见过的与APT相关的自定义恶意软件形式。该组织似乎将重点放在窃取信息和网络间谍活动上。感兴趣的数据包括公司记录、人力资源文档、会议备忘录和费用信息,通常被打包并迅速送到Cicada的指挥与控制(C2)服务器。
对于如何利用代码分清该组织:使用DLL侧面加载和DLL名称,包括“FuckYouAnti”,这一点以前在同一个APT上的Cylance报告中有记载。此外,最终的有效载荷结合了过去由Cicada使用的QuasarRAT,以及Backdoor.Hartip。
参考来源:ZDNet http://dwz.date/dq5A
(三)三个APT组织针对七家新冠疫苗研究机构发起网络攻击
微软检测到三个APT组织对参与新冠疫苗研究和治疗的七家知名公司发起了网络攻击。这三个APT组织分别为俄罗斯的Strontium以及朝鲜的Zinc和Cerium。
俄罗斯APT组织Strontium又名Fancy Bear或APT28,使用密码喷洒和暴力登录尝试来获取登录凭证、闯入受害者帐户并窃取敏感信息。朝鲜APT组织Zinc又名Lazarus,主要依靠鱼叉式网络钓鱼活动,发送带有伪造的职位描述的消息,假装为招聘人员,并针对目标公司的员工。朝鲜新型APT组织Cerium伪装成世界卫生组织的代表,利用Covid-19主题从事带有电子邮件诱饵的鱼叉式网络钓鱼攻击。
微软表示,这些攻击针对的是在临床试验的各个阶段使用COVID-19疫苗的疫苗生产商,参与试验的临床研究组织以及开发了COVID-19测试的疫苗生产商。微软表示,这些公司分别位于加拿大、法国、印度、韩国和美国。
这些攻击只是在最近几年最艰难的时期之中针对医疗保健组织的一长串事件中的最新事件。尽管医疗组织一直在应对近几十年来流行最广泛的新冠疫情,但黑客组织已利用全球危机来增加其活动,有时将目标对准本应有助于应对疫情的组织。
医院不得不将重点放在勒索软件攻击上,例如美国、德国、捷克共和国、 西班牙或泰国的勒索软件攻击 。制药公司不再专注于研究疫苗或治疗方案,而是不得不应对网络的入侵,比如Moderna、Dr.Reddy和Lupin.
整个夏季,牛津大学道德、法律与武装冲突研究所和网络和平研究所等多家组织已呼吁世界各国政府保护医疗保健组织免受黑客攻击。这些组织要求各国政府在规章制度,规则和原则上达成共识,以防止攻击发生或惩处以医疗机构为目标的攻击,并以《世界人权法》为基础,在卫生部门周围建立一个无网络攻击区。
微软总裁布拉德·史密斯(Brad Smith)计划在虚拟的巴黎和平论坛上与世界各国领导人进行类似的呼吁。微软客户安全与信任副总裁汤姆·伯特(Tom Burt)今天在微软网站上的博客中说:“微软呼吁世界各国领导人确认国际法保护医疗机构,并采取行动执行法律。我们认为,不仅应在政府机构发动攻击时执行法律,而且还应在政府允许在其境内开展行动甚至协助的犯罪集团发动攻击时执行法律。”
但是国际政治专家认为,这类呼吁不会导致建立禁止攻击医疗保健或任何其他部门的国际规范的任何进展。
苏黎世瑞士联邦理工学院(ETH)安全研究中心的高级网络防御研究员斯特凡·索桑托(Stefan Soesanto)告诉记者,“在我看来,这些呼吁和声明不会给地狱带来足够的政治压力,以迫使世界各国政府对网络空间进行尽职调查。大多数政府实际上没有这样做的能力,而其他政府根本不在乎,可能只有一小部分政府实际上欢迎这种活动在其领土范围内不发生。可能也有非常强大的战略和战术动机来完全阻止建立非网络攻击区。因为一旦在卫生部门建立了攻击区,那么其他关键基础设施部门也将随之而来。最终,一切都会通常被认为是不可触碰的。此外,如果我们看一下医疗保健行业内的网络安全状况(在美国和欧洲都令人沮丧),这些规范性的呼吁和声明似乎是试图将IT安全问题推向勒索软件组织和国外的APT,即“如果他们不以我们为目标,那我们会很好的”。我认为逻辑本质上是有缺陷的,甚至是危险的,因为那样医院和研究机构将对自己的安全状况和失败承担全部责任。”
参考来源:ZDNet http://dwz.date/dpPz
(四)《物联网网络安全改善法案》获得参议院通过
旨在提高物联网设备安全性的《物联网网络安全改善法案》于11月17日周二在参议院获得通过,目前正送往白宫等待总统签署。该法案于2017年首次提出,2019年再次提出,并于2020年9月在美国众议院获得通过。
该法案的支持者包括德克萨斯州众议员Will Hurd、伊利诺伊州民主党人Robin Kelly、弗吉尼亚州民主党参议员Mark Warner、科罗拉多州参议员Cory Gardner。该法案还得到了几家主要的网络安全和科技公司的支持,包括BSA、Mozilla、Rapid7、Cloudflare、CTIA和Table。
参议员华纳在通过电子邮件发的一份声明中表示:“虽然如今越来越多的产品,甚至家用电器都具备软件功能和互联网连接,但很少有产品甚至包括基本的保障措施和保护措施,这对个人和国家安全构成了真正的风险,我感到自豪的是,国会今天能够聚在一起通过这项立法,这项立法将利用联邦政府的购买力,并激励公司最终确保他们创造和销售的设备的安全。我敦促总统立即签署这项法案,使之成为法律。我赞扬参议院通过了我们的两党两院立法,确保联邦政府以身作则,购买符合基本要求的设备,以防止黑客进入政府系统。”他补充说:“大多数专家预计,随着物联网(IoT)版图的持续扩大,未来几年将有数百亿台设备在我们的网络上运行。我们需要确保这些设备不受恶意网络攻击,因为它们继续改变着我们的社会,并为我们的网络增加了无数新的入口点,特别是当它们被整合到联邦政府的网络中时。”
物联网网络安全改进法案要求NIST发布物联网设备开发、补丁以及身份和配置管理的指导方针和标准。该法律还规定,政府组织只能获得符合NIST推荐的物联网设备。该法案还将重点放在让报告和补丁物联网设备中发现的漏洞变得更容易。
参考来源:SecurityWeek http://dwz.date/dq66
(五)白宫为联邦机构发布有关AI应用指南
白宫现已向美国联邦机构发布了有关如何规范在美国生产的人工智能(AI)应用程序的指南。
管理和预算办公室(OMB)主任罗素·沃特表示,该指南列出了政策考虑因素,在法律允许的范围内,应该指导对联邦政府以外开发和部署的人工智能应用程序采取监管和非监管方法。
21个月前,美国总统特朗普签署了一项行政命令,以加快美国人工智能的发展和监管。21个月后,OMB发布了这一指导意见。根据指导意见,这一想法是为了确保各机构不会出台“阻碍人工智能创新和增长”的法规和规则。
该报告称:“在法律允许的情况下,在决定是否以及如何在可能影响人工智能应用的领域进行监管时,各机构应评估潜在监管对人工智能创新和增长的影响。尽管针对特定和可识别风险的狭隘的、基于证据的监管可以为美国公司维持全球竞争力提供有利环境,但机构必须避免将人工智能系统保持在令人难以置信的高标准的预防性做法,这样社会就无法享受到它们的好处,这可能会削弱美国作为全球人工智能创新领先者的地位。”
该指导意见建议各机构解决可能损害全国人工智能市场的不一致、繁琐或重复的州法律。OMB列出了联邦机构可以用于人工智能应用的10条管理原则。这些措施最初是作为今年年初发布的备忘录草案的一部分推出的。
这些原则包括通过减少事故或保护个人人工智能用户的隐私来建立公众对人工智能的信任;鼓励公众参与人工智能的应用;提供科学诚信和信息质量;在各种机构和技术之间进行一致的风险评估和管理;最大化使用人工智能的好处并考虑其成本;追求灵活的人工智能方法,使其不会损害创新;确保技术是公平和不歧视的;确保在披露信息时有透明度;促进安全、可靠并按预期方式运行的人工智能系统的开发;以及确保各机构分享其方法的经验。
与此同时,OMB还提供了一些例子,说明各机构如何采取非监管方法来应对潜在的人工智能风险,例如设定特定行业的政策指导或框架,提供试点计划和实验,或引入自愿共识标准或框架。
为了确保机构计划与指南一致,各机构必须在2021年5月17日前将其合规计划提交给信息和监管事务厅,在那里,它们必须确定其监管机构,以及从其监管的实体收集到的人工智能相关信息。
机构计划还必须报告利益相关者参与的结果,这些结果确定了机构监管机构内人工智能应用和高优先级人工智能应用的现有监管障碍。OMB还要求各机构列出并描述任何计划或考虑过的对人工智能的监管行动。
参考来源:ZDNet http://dwz.date/dq6X
(六)朝鲜APT组织Lazarus通过供应链攻击韩国政府及金融组织
据ESET 11月16日报道,与朝鲜有关的威胁组织Lazarus一直在通过供应链攻击针对韩国用户,攻击涉及政府和金融机构通常需要的软件。
Lazarus是据信代表朝鲜政府运作的最知名的黑客组织,其攻击范围从间谍活动到利润驱动的行动。不足为奇的是,该组织的许多行动都是针对韩国的,包括ESET近几个月观察到的一次攻击。
据信,该行动是韩国互联网安全局(Korea Internet&Security Agency)称为BookCodes的行动的一部分,该活动已基于各种方面与Lazarus进行了关联,包括攻击中使用的恶意软件、受害者来源以及攻击者利用的基础设施。
根据ESET的说法,黑客的目标是WIZVERA VeraPort,这是一款用户需要使用的软件,以便能够访问韩国一些政府和银行网站提供的服务。ESET研究人员认为,黑客实际上并没有侵入WIZVERA系统,而是以使用该软件的网站为目标。
攻击者利用VeraPort支持危害Web服务器,并将其配置为提供恶意文件而不是合法软件。当安装了VeraPort软件的用户访问与受攻击服务器关联的网站时,就会出现恶意文件。
要使攻击奏效,黑客需要在恶意软件上签名,在某些情况下,他们通过滥用向提供物理和网络安全解决方案的公司颁发的代码签名证书来实现这一点。攻击者首先推送一个签名的下载器,然后是一个dropper、一个加载器、另一个下载器,然后是最终的有效负载。最后的有效载荷是一个RAT,它允许攻击者在受损设备上执行各种活动,包括下载和执行其他恶意软件。
ESET指出,要使攻击成功,目标web服务器需要以某种方式配置,这就是为什么它的专家说这种恶意软件传递方法只在有限的Lazarus操作中使用过。
ESET的研究人员解释称:“攻击者对供应链攻击特别感兴趣,因为它们允许他们同时在许多计算机上秘密部署恶意软件。我们可以有把握地预测,未来供应链攻击的数量将会增加,尤其是针对那些服务在特定地区或特定行业垂直领域受欢迎的公司。”
参考来源:SecurityWeek http://dwz.date/dqux
(七)数百个特斯拉备份网关可能遭受黑客攻击
Rapid7研究人员近日发现有数百个特斯拉备份网关连接到互联网,无需事先身份验证即可从中收集大量信息,可能受到来自互联网的远程黑客攻击。Rapid7研究人员旨在提高用户对将设备连接到互联网的隐私和安全风险的认识。
特斯拉Powerwall是一款家庭储能产品,使用电池储存来自太阳能电池板或电网的电力,确保用户即使在停电期间也能继续供电。该产品的备用网关组件旨在提供能源管理和监控,它负责控制与电网的连接、检测停机和切换到备用电源。
过去,至少有两个研究小组对该产品进行了分析,包括对备份网关的各种未经记录的API调用以及潜在的漏洞。资深安全研究组织the Hacker's Choice的成员今年早些时候透露,由于网关通常通过Wi-Fi连接到互联网,其管理接口保护不当,远程攻击者可能会造成损害。
获得管理界面访问权的攻击者可以控制从电网给电池充电并将电池电量转回电网的过程。通过强迫电池在一天中电力较贵的时候从电网充电,而在电力较便宜时卸载充电,攻击者可能会造成经济损失。研究人员当时还警告说,通过在充电和倾倒之间快速切换,攻击者可能会对Powerwall设备甚至可能对变电站造成损害。
网络安全公司Rapid7的研究人员也分析了备份网关,并在17日报告称,自2020年1月以来,他们总共观察到379个安装。这一数字主要由家用产品组成,但专家认为,其中一些是商业级特斯拉动力电池系统,比家用电池大得多。其中160台网关设备位于美国,其中很大一部分位于意大利和法国。
Rapid7解释说,暴露的设备很容易在网络上找到,因为备份网关在HTTPS端口443上暴露了一个网络服务器。一旦识别了设备,由于使用弱默认凭证,访问它可能并不困难。具体地说,第一次登录的密码是网关序列号的最后五个字符,可以从各种来源获得,包括设备上的标签、移动应用程序,以及部分来自网关广播的Wi-Fi接入点的名称(这使得暴力攻击更容易进行)。
Rapid7在发表博客文章之前向特斯拉披露了调查结果,特斯拉表示,它已经采取了一些措施,使身份验证更加安全,并计划在未来推出更多安全功能。
参考来源:SecurityWeek http://dwz.date/dq37
(八)美国冷库运营商Americold遭受网络攻击
美国冷库运营商Americold 11月16日遭受了网络攻击,对其运营造成了影响,包括电话系统、电子邮件、库存管理和订单履行。为了防止攻击扩散,该公司已关闭了其计算机系统。
Americold是一家领先的温控仓库运营商,为零售商、食品服务提供商和生产商提供供应链服务和库存管理。Americold在全球管理着183个仓库,约有13,000名员工。
2020年11月16日,Americold Realty Trust确定其计算机网络受到网络安全事件影响。作为预防措施,公司立即采取措施帮助控制事件,并在适当情况下实施业务连续性计划,以继续进行中的业务。该公司已经通知了执法部门,并正在与网络安全专家和法律顾问密切合作。
Americold在一份声明中表示:“所有形式的安全仍然是Americold的首要任务,公司将继续寻求采取一切适当措施,进一步保障其信息技术基础设施、数据和客户信息的完整性。”
有消息人士表示,这次攻击已经影响了许多系统,包括电话、电子邮件、订单履行和库存管理。试图提货发货的客户无法进入仓库。
虽然Americold没有提供攻击的细节,但许多消息来源称这是一次勒索软件攻击。目前尚不清楚攻击背后的勒索软件操作。
随着COVID-19疫苗即将获得FDA的批准和分发,冷藏设施将是长期储存的必要条件。机场行业网站Air Cargo World报道称,芝加哥罗克福德机场正寻求与Americold合作,以储存可供分发的疫苗。
参考来源:BleepingComputer http://dwz.date/dn8Q
(九)生物技术公司Miltenyi遭受勒索软件Mount Locker攻击
生物技术研究公司Miltenyi Biotec披露其10月份发生了勒索软件攻击事件,该公司在全球范围内的IT基础设施受到了影响。该公司宣布,攻击发生后现已全面恢复系统,但在一些国家,当地员工仍然面临邮件和电话系统的问题。
Miltenyi Biotec是一家总部位于德国科隆的全球性生物技术公司,为基础研究、转化研究和临床应用领域的科学家、临床研究人员和医生提供支持的产品和服务。该公司提供涵盖样品制备、细胞分离、细胞分选、流式细胞仪、细胞培养、分子分析、临床应用和小动物成像技术的解决方案。Miltenyi Biotec在28个国家和地区拥有3000多名员工和17,000多种产品。
Miltenyi Biotec正在向从事新冠肺炎疫苗和治疗工作的临床医生和研究人员提供上述产品,包括SARS-CoV-2抗原。
Miltenyi Biotec在公告中表示,“在过去两周内,在我们的全球IT基础设施中,有个别案例表明订单处理受到恶意软件的影响。请放心,目前已采取一切必要措施来控制问题并恢复所有受影响的系统。根据我们目前的了解,我们没有迹象表明恶意软件是无意中传播给客户或合作伙伴的。截至目前,我们的业务流程已经完全恢复。如果您的订单有任何延误,我们要求您耐心等待一段时间,并在紧急情况下与我们联系。对于由此给您带来的不便,请接受我们的歉意。”
该公司尚未发现恶意软件感染导致的数据泄漏。在过去两周内,客户可能会因影响其系统的事件而导致订单延迟。遇到困难的客户可以使用此处提供的联系电话列表与公司联系。Miltenyi Biotec没有透露感染其系统的恶意软件家族,据推测涉及Mount Locker勒索软件。
据Bleeping Computer报道:“尽管Miltenyi Biotec没有披露导致过去两周内操作中断的恶意软件的性质,但Mount Locker勒索软件团伙已经在本月早些时候宣称了攻击。”2020年11月4日,Mount Locker勒索软件运营商在其数据泄露网站泄露了据称从该公司窃取的150GB数据中的5%。
Mount Locker勒索软件运营商自2020年7月以来一直活跃,目标是要求数百万美元赎金的多个组织。为了向受害者施压,Mount Locker 运营商还威胁说,如果不支付赎金,他们将与媒体、电视频道和报纸联系。
参考来源:SecurityAffairs http://dwz.date/dqtH
(十)智利零售商Cencosud遭受勒索软件Egregor攻击
智利跨国零售商Cencosud近日遭受了勒索软件Egregor攻击,对整个零售商店中的设备进行了加密,并影响了其门店的运营。目前零售商店仍在营业,但某些服务受到影响,客户无法使用Cencosud信用卡,无法退货或进行网上购物。
Cencosud是智利最大的零售公司和拉丁美洲第三大上市零售公司,与巴西的Companhia Brasileira de Distribuição和墨西哥的沃尔玛竞争,成为该地区最大的零售公司之一。该公司在拉丁美洲,包括阿根廷、巴西、智利、哥伦比亚和秘鲁拥有1045多家门店,2019年员工超过14万人,收入150亿美元。该公司的门店包括Easy Home Goods,Jumbo,Paris,Costanera Center,Santa Isabel,Vea,Disco,Metro,Johnson和Shopping Center。
据当地媒体Clarins报道,这起事件发生在本周末,由于勒索软件攻击,客户无法使用Cencosud信用卡,也无法在进口商店提取他们的网购商品。Clarins网站指出,Cencosud拥有自己的信用卡,这意味着威胁分子可以利用窃取的信息进行购买,从而窃取客户的钱。
在收到赎金单后,研究人员确认Cencosud遭受了勒索软件Egregor的攻击,针对的是Windows域。恶意软件研究人员推测,其他恶意软件如Eegor和Sekhmet ransomware借用了勒索软件Maze的代码。
Egregor勒索软件自9月份以来一直活跃,作为一种勒索软件即服务操作。在勒索软件Maze关闭其活动后,许多与Maze合作的黑客现在都与Egregor合作。该组织的一些其他受害者包括Egregor Crytek、Barnes and Noble和Ubisoft。
当地媒体还报道称,在勒索软件加密系统的同时,智利和阿根廷多家零售网点的打印机开始打印赎金记录。
参考来源:BleepingComputer http://dwz.date/dqtw
(十一)Web托管提供商Managed.com遭受勒索软件REvil攻击
大型Web托管提供商Managed.com 11月16日遭受了勒索软件REvil攻击,导致不得不关闭所有服务器。该公司提供面向公众的Web托管系统,不仅他们的数据,而且客户网站的数据也被加密。
Managed.com通过关闭受影响的客户端网站对攻击做出了快速反应。并且在几个小时内,该公司决定拆除其整个Web托管基础结构,包括WordPress、电子邮件服务、FTP服务器、在线数据库等,以确保不会损害其他客户网站。直至至11月18日主网站仍然无法访问。
该公司在11月17日表示,目前正直接与执法机构合作,以查明袭击背后的罪犯。技术和信息安全团队正在努力消除所有威胁并恢复其系统。
很多人的网站托管在Managed.com上。当攻击发生并且一切都被关闭时,公司沉默了一段时间,而客户却因为他们的业务关闭而变得焦躁不安,无法联系他们的客户。他们不确定停机时间将有多长,因为他们预测停机时间会持续数天甚至数周,从而导致大量中断。
该公司首先试图将勒索软件攻击伪装为计划外维护。但它很快就承认了这一点,并真诚地向那些担心的客户承认,该公司遭受了一次勒索攻击活动。直到今天,所有的客户都得到了相同的答案:我刚接到Managed.com支持团队的电话。我与之交谈的技术支持人员基本上阅读了2020年11月17日他们status.managed.com页面上逐字逐句的内容。当我询问ETA时,提到我们的电子商务网站已关闭,我得到的只是“我们没有ETA”。这位技术人员确实询问我是否要开始一张支持票,但我拒绝了。好吧,至少他们还在接电话。
由于疫情爆发,Managed整个客户都变得越来越焦躁不安。而现在,企业普遍停业。希望Managed.com能够设法迅速解决问题,并持续开展业务。
据消息人士称,Managed.com遭受的是勒索软件REvil攻击,勒索赎金折合约为50万美元,若在11月24日后付款赎金金额将升至100万美元。
这是两周内对Web托管提供商和数据中心的第二次攻击,电子商务软件供应商X-Cart于11月9日受到攻击。在本月初,一家著名的品牌饮料公司Campari被勒索软件攻击。
勒索软件攻击非常猖獗,在冠状病毒全球大流行期间尤其具有破坏性。即使是从事疫苗工作的医院和制药公司也成为网络犯罪分子的目标。在勒索软件攻击的情况下,公司将面临重大后果,因为威胁执行者现在在恶意软件部署之前就窃取了公司数据,这使他们可以进行双重勒索。
即使从备份中还原了文件,网络犯罪分子也可能威胁要在线发布敏感信息,从而损害了公司以及员工和客户的机密性。由于这些新策略,自2019年底以来的每次勒索软件攻击也被视为数据泄露,因此被视为数据泄露。因此,公司和机构必须加大对网络安全的投入。员工培训也同样重要,因为大多数勒索软件攻击都是通过有针对性的网络钓鱼电子邮件发起的。
参考来源:2SpyWare http://dwz.date/dpKS
(十二)恶意软件Chase针对拉丁美洲电商平台发起大规模攻击
Cybereason研究人员近日检测到,一种名为Chase的恶意软件正在拉丁美洲地区针对电子商务平台发起大规模攻击,旨在窃取财务信息。该地区最大的电子商务公司MercadoLivre的巴西客户是窃取信息的恶意软件的目标。
总部位于阿根廷布宜诺斯艾利斯的MercadoLivre同时运营着一个在线市场和拍卖平台。2019年,这家电子商务巨头的注册用户估计为3.206亿。
Chaes最早是在2020年底由Cybereason发现的,它通过网络钓鱼活动传播,邮件声称MercadoLivre的购买已经成功。为了增加电子邮件的合法性,威胁参与者还附加了一个“Avast扫描”的脚注。这些邮件包含恶意的.docx文件附件。Cybereason威胁研究部负责人Assaf Dahan表示,该附件利用了“模板注入技术,利用Microsoft Word的内置功能从远程服务器获取有效载荷。”
如果受害者单击该文件,就会利用该漏洞与攻击者的命令与控制(C2)服务器建立连接,并下载第一个恶意负载(.msi文件)。然后,该文件部署一个.vbs文件,用于执行其他进程,以及uninstall.dll和Engine.bin,这两个文件都充当恶意软件的“引擎”。另外三个文件hhc.exe、hha.dll和chaes1.bin被安装在一起,将Chaes的主要组件拼接在一起。还记录了一个加密货币挖掘模块。
Chaes创建注册表项以维护恶意软件主引擎的持久性,并将部署伪装成合法进程的模块,以便窃取系统信息、从Google Chrome浏览器会话中提取敏感信息、获取在线帐户的登录凭据以及泄露金融信息;特别是在访问MercadoLivre域时。
特别值得注意的是Chaes可以打开Chrome会话。通过API Hooking和Node.js库Puppeteer监视和控制活动。在感染病毒的机器上,未经同意即可访问MercadoLivre和MercadoPago页面。该恶意软件还可以截取访问过的MercadoLivre页面的屏幕截图,并将其发送到C2。
该团队表示,这个基于node.js的恶意软件令人担忧的部分是,大多数这种行为都被认为是正常的,因为使用Puppeteer库进行网络抓取本质上并不是恶意的。因此,检测这类威胁的难度要大得多。
然而,Chaes似乎正在积极开发中,因为修订版的恶意软件更直接地针对与电子商务购买相关的MercadoLivre页面。
Cybereason目前正在调查是否有人在针对其他电子商务公司的活动中使用该恶意软件,并警告说,Chaes可能表明“未来可能有利用Puppeter库在其他主要金融机构发动进一步攻击的趋势。”
参考来源:ZDNet http://dwz.date/dqgU
(十三)新型侧信道攻击方法PLATYPUS可以通过监视CPU功耗来获取加密密钥
研究人员披露了一种新型侧信道攻击方法的细节,该方法名为PLATYPUS,可用于通过观察处理器功耗的变化从系统中获取敏感信息。
这种攻击方法被称为PLATYPUS,即电力泄漏攻击:针对受保护的用户机密,因为PLATYPUS可以检测到猎物发出的微弱电信号。该方法是由格拉茨工业大学、伯明翰大学和CISPA亥姆霍兹信息安全中心的研究人员发现的,并且已被证实可与使用英特尔制造的处理器的系统配合使用。值得注意的是,该研究是英特尔资助的一个项目的一部分。
尽管研究人员认为,也有可能对ARM、AMD和NVIDIA制造的CPU发起攻击,但由于缺乏访问权限或使用这些类型的处理器的系统访问受限,他们无法验证这一理论。
PLATYPUS攻击依赖于访问英特尔的运行平均功率限制(RAPL),该功能是由该公司在Sandy Bridge微体系结构中引入的,旨在监视和控制CPU和DRAM的功耗。依靠监控功耗进行数据过滤的攻击并非前所未闻。但是,过去公开的许多方法都需要对目标系统进行物理访问,并且涉及使用示波器。
PLATYPUS攻击使用RAPL接口而不是示波器来监视功耗。即使是没有特权的用户也可以通过Linux驱动程序从RAPL界面获得测量结果,该驱动程序允许目标系统上安装的没有特权的恶意应用程序监视功耗并将其与正在处理的数据相关联,从而有可能允许其获取敏感的信息。
研究人员证明,攻击者可以使用PLATYPUS方法从英特尔SGX安全区中恢复加密密钥,该安全区旨在保护数据,即使操作系统已受到威胁。还可以利用该攻击来破坏内核地址空间布局随机化(KASLR)或建立隐蔽通道。
但是,值得注意的是,进行一次成功的攻击可能需要几秒钟到几百个小时不等。例如,专家们设法在20秒内从用户空间中打破了KASLR。在SGX enclave中,从AES-NI实现中恢复加密密钥可能需要26个小时(在噪音最小的情况下)和277个小时(在现实环境中)之间,而在SGX范围内恢复由mbed TLS处理的RSA私钥可以在100分钟 在测量功耗时,目标应用程序需要一直运行。
CISPA亥姆霍兹信息安全中心的Michael Schwarz表示,AES-NI用于需要加密大量数据的应用程序,例如磁盘加密软件、浏览器和Web服务器。如果他们可以获取密钥(取决于可以获取的密钥类型),则攻击者可能会进行各种活动,例如解密加密的硬盘或监视安全的网络通信。
Schwarz还指出,攻击无法直接针对特定的应用程序。“但是,目标应用程序始终使用相同的数据(例如加密密钥),而其他应用程序的数据通常会随时间变化。因此,在长时间测量时,其他应用程序引起的“噪音”会被平均掉。”
研究人员发表了一篇论文,详细介绍了他们的发现,他们还发布了一些视频,展示了攻击的实际效果。视频显示了在运行Ubuntu的普通笔记本电脑上进行的测试。
英特尔从2019年11月就知道了这种攻击方法,已为潜在漏洞分配了两个CVE编号CVE-2020-8694和CVE-2020-8695,将该漏洞定为中级。英特尔在11月10日发表的一份咨询报告针对这起攻击事件进行了阐述。
Linux驱动程序已发布更新,以防止非特权用户访问RAPL接口。英特尔还为其处理器开发了微代码更新,可以防止恶意行为者使用PLATYPUS攻击从SGX安全区中恢复任何秘密。微代码更新通过英特尔平台更新(IPU)流程发布。尽管没有迹象表明在现实世界中已经发起了PLATYPUS攻击,但作为一项额外的预防措施,英特尔决定为实施缓解措施的平台发布新的认证密钥。
参考来源:SecurityWeek http://dwz.date/dpSD
(十四)新型攻击方法VoltPillager可针对英特尔SGX硬件发起电压操纵攻击
伯明翰大学的一组研究人员设计了一种新型攻击方法,可通过控制CPU核心电压来破坏英特尔软件保护扩展(SGX)Enclaves的机密性和完整性。该攻击依赖于VoltPillager,这是一种在CPU和主板上的电压调节器之间的串行电压识别总线上注入消息的低成本工具,可用于故障安全关键操作。该开源硬件设备可以注入串行电压识别(SVID)数据包,从而使研究人员能够完全控制CPU内核电压并执行故障注入攻击。
在最近发表的一篇论文中,来自英国伯明翰大学计算机科学学院的6名研究人员证明,他们的攻击比针对SGX的基于软件的欠电压攻击更强大,比如CVE-2019-11157,也被称为Plundervolt。研究人员提出了针对SGX内部加密算法的概念验证密钥恢复攻击,他们指出,VoltPillager可能会被不受信任的云提供商滥用,这些云提供商可以物理访问硬件。
在调查中,研究人员发现,主板上的电压调节器(VR)根据从SVID接收的信息来调节CPU的电压,并且SVID数据包没有经过密码验证。接下来,他们建造了一个基于微控制器的电路板,当连接到svid总线时,可以用来注入命令和控制CPU电压。该设备基于市面上广泛使用的Teensy 4.0微控制器板。
研究人员表示,这让他们得以发起第一次基于硬件的攻击,破坏SGX的完整性,并恢复端到端密钥。攻击模型假设对手完全控制BIOS和操作系统。此外,研究人员已经证明,如果对手有物理访问,英特尔为CVE-2019-11157实施的对策无法阻止错误注入攻击,并且他们提出了基于硬件的低volting的新故障效应。
该调查结果于2020年3月13日披露给英特尔,但该公司并不打算解决这些问题,并指出SGX威胁模型不包括硬件泄漏,而针对Plundervolt发布的补丁并不是为了防止基于硬件的攻击。
由于他们的调查结果和英特尔不打算解决攻击的事实,研究人员质疑SGX在恶意云服务提供商有物理访问硬件的情况下保持信息机密的能力。
研究人员总结表示,“这篇论文的结果,加上制造商决定不减轻这类攻击的决定,促使我们重新考虑将敏感计算外包给一个不可信的远程平台的承诺是否仍然可行。”
参考来源:SecurityWeek http://dwz.date/dqxZ
(十五)西部数据重放保护存储块协议存在漏洞影响多个供应商
知名硬盘厂商西部数据(Western Digital)的研究人员最近在重放保护存储块(RPMB)协议中发现了一个漏洞,该漏洞影响了Google、Intel、MediaTek等多个厂家的产品。
重播攻击通常允许黑客通过拦截数据并在以后重播来代表合法用户进行各种类型的活动。此类攻击对于劫持帐户或进行财务欺诈很有用。RPMB功能旨在通过提供经过身份验证和受保护的区域来存储数据,以确保每个消息都是唯一的并且无法重放,从而保护设备免受重放攻击。RPMB通常在使用闪存技术的平板电脑和手机中找到,例如NVMe、UFS和eMMC。
Western Digital的研究人员发现,RPMB协议未能提供适当的保护以防止重放攻击。CERT在11月10日发布的报告中表示,“对设备具有物理访问权的攻击者可能会导致RPMB区域的写入状态或内容与设备的受信任组件之间不匹配。这些不匹配可能导致可信组件认为写命令实际上成功时失败,或者可信组件认为实际上写了不同的内容(攻击者未修改)时写了某些内容。”
Western Digital确定,其跟踪为CVE-2020-13799的潜在漏洞也影响了其他几家供应商的产品,其中包括英特尔(CVE-2020-12355)、谷歌(CVE-2020-0436)和联发科技。
英特尔在10日发布的一份公告中称,其可信执行技术(TXE)中使用的RPMB子系统可能会允许未经身份验证的攻击者升级权限,该攻击者可以对设备进行物理访问。Google和联发科技似乎没有发布该漏洞的公告。WD已建议联发科技客户与供应商联系,以获取更多信息和补救建议。
CERT / CC在其通报中指出,一家未透露姓名的供应商证实该漏洞可能导致拒绝服务(DoS)。Western Digital已发布白皮书和安全公告,并将其描述为“旨在提高嵌入式存储应用程序安全性的全行业协调漏洞披露流程”。
参考来源:SecurityWeek http://dwz.date/dpRq
(十六)特朗普解雇国土安全部网络安全负责人Christopher Krebs
特朗普11月17日在推特上宣布,因美国网络安全高级官员克里斯托弗·克雷布斯(Christopher Krebs)就2020年总统大选的安全性发表了“非常不准确”的声明,特朗普已将其解雇。CISA现由前高级网络安全顾问Brandon Wales担任代理职务。
特朗普还没有向当选总统拜登认输,他声称这次选举充满了“大规模的不当行为和欺诈行为”。推特给这条推文贴上警告标签,称有关选举舞弊的说法有争议。
克雷布斯是国土安全部网络安全和基础设施安全局局长,负责领导保护美国大选的工作。他此前曾表示,没有证据表明选举受到外国干涉的影响。在选举日,克雷布斯呼吁美国人保持耐心,并“以怀疑态度对待所有耸人听闻和未经证实的主张。”
克雷布斯在11月3日的新闻发布会上说:“不管结果如何,都存在着比政治联系更强的共同纽带,那就是我们都是美国人。保持镇定,投票表决,今天之后,保持冷静。”
17日早些时候,克雷布斯在政府官方推特账户上表示,“在指控操纵选举制度的指控上,共有59名选举安全专家都同意,在我们所知的每种情况下,这些说法都是没有根据的,或者在技术上是不一致的。”
在特朗普发表关于解雇的推文后不到一个小时,克雷布斯从他的个人推特帐户发推文:“荣幸地为人民服务。我们做对了。”克雷布斯是特朗普政府最新一位在大选后离职的官员。“我为我们在CISA所做的工作感到骄傲,我为我在CISA遇到的队友感到自豪。我们做对了。”
一位了解解雇情况的消息人士表示,克雷布斯通过Twitter发现了这一消息,这让他很不高兴,因为他认真对待了这项工作。 接近克雷布斯的几位消息人士表示,这是一个何时而不是是否被解雇的问题。他们希望克雷布斯可以继续将总统关于大选的错误信息推到最后,而不是“低调行事”。
参议院情报选择委员会副主席马克·沃纳(Mark Warner)表示:“克里斯·克雷布斯(Chris Krebs)是一位非凡的公务员,正是美国人想要保护我们选举安全的人。这充分说明,总统选择解雇他仅仅是因为他说了实话。”
上周,特朗普通过推特解雇了国防部长马克·埃斯珀(Mark Esper),并由国家反恐中心主任克里斯托弗·米勒(Christopher Miller)取代了他。在埃斯珀被免职之后,一位特朗普政府官员告诉埃蒙·贾弗斯(Eamon Javers),“我认为联邦调查局和中央情报局是下一个”,指的是联邦调查局局长克里斯托弗·雷和中央情报局局长吉娜·哈斯贝尔。
最新消息披露之际,特朗普已经拒绝了美国总统大选的结果。美国副总统彭斯(Mike Pence)和国务卿蓬佩奥(Mike ponpeo)等其他政府高官公开坚称,选举尚未结束。
参考来源:CNBC http://dwz.date/dpKR
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,工业网络安全,关键信息基础设施
相关信息
2022-09-16
2022-09-09
2022-09-02
