关键信息基础设施安全动态周报【2020年第34期】
发布时间:
2020-08-28
来源:
作者:
访问量:
179
目 录
第一章 国外关键信息基础设施安全动态
(一)APT黑客组织利用Autodesk 3ds Max软件进行工业间谍活动
(二)CISA发布5G安全准则
(三)FBI与CISA警告美国正出现大规模语音网络钓鱼活动
(四)美国发布抢劫全球银行的朝鲜黑客组织BeagleBoyz分析报告
(五)MITRE公布2020年全球最危险的25种软件安全漏洞
(六)新型勒索软件DarkSide已勒索数百万美元
(七)暗网Empire Market可能因遭受DDoS攻击关闭数日
(八)挖矿恶意程序借由假杀毒软件大肆传播
(九)伊朗“新手黑客”使用勒索软件Dharma进行攻击
(十)思科修复多个影响交换机及光纤存储的高危漏洞
(十一)Safari Web Share API存在漏洞 可致窃取本地文件
(十二)韩国计算机内存制造商SK hynix遭受勒索软件Maze攻击
(十三)印度机票供应商RailYatri遭受严重数据泄露
(十四)新西兰证券交易所连续两天遭受网络攻击
(十五)加拿大快递公司Canpar Express遭受勒索软件攻击
(十六)Palo Alto Networks以2.65亿美元收购事件响应公司Crypsis Group
第一章 国外关键信息基础设施安全动态
(一)APT黑客组织利用Autodesk 3ds Max软件进行工业间谍活动
Bitdefender安全研究人员近日发现了一个新型黑客组织,该组织针对某国际建筑和视频制作公司,其恶意软件隐藏在恶意的Autodest 3Ds Max插件中。
Autodesk 3ds Max(以前是3D Studio和3D Studio Max)是专业的3D计算机图形程序,用于制作3D动画,模型,游戏和图像。它是由Autodesk Media and Entertainment开发和生产的。它具有建模功能和灵活的插件体系结构,必须在Microsoft Windows平台上使用。
研究人员发现,该网络犯罪组织使用的命令和控制基础结构位于韩国,用于针对组织的安全解决方案测试其恶意有效载荷。尽管以前有针对金融和法律部门的APT雇佣军组织,例如Dark Basin和Deceptikons(又名DeathStalker),但这是威胁者首次将这种作案手法应用于房地产行业。
此前,研究人员发现了一个类似的活动,称为StrongPity,该活动使用受污染的软件安装程序作为删除程序,为文件泄漏引入后门。
Bitdefender表示:“就APT组织的商品化而言,这很可能成为新常态,不仅是国家赞助的参与者,而是所有行业中为个人利益而寻求服务的人。”
在本月初发布的一份公告中,Autodesk警告用户注意MAXScript“PhysXPluginMfx”漏洞的一种变体,当将受感染文件加载到Windows系统中时,该漏洞可能会破坏3ds Max的设置,运行恶意代码并传播到其他MAX文件。
但是根据Bitdefender的取证分析,这个粗略的MAXScript加密示例(“PhysXPluginStl.mse”)包含一个嵌入式DLL文件,该文件随后又从C&C服务器下载其他.NET二进制文件,最终目的是窃取重要文档。
这些二进制文件负责下载其他恶意MAXScript,这些MAXScript能够收集有关受感染计算机的信息,并将详细信息泄露到远程服务器,该服务器传输最终的有效负载,该有效负载可以捕获屏幕快照并从Firefox,Google等网络浏览器收集密码Chrome和Internet Explorer。
Bitdefender研究人员除了采用睡眠机制掩盖雷达并逃避检测外,还发现该恶意软件作者拥有监视间谍软件受害者的完整工具集,其中包括“HdCrawler”二进制文件,该工具的作用是枚举并上传特定文件。服务器的扩展名(.webp,.jpg,.png,.zip,.obb,.uasset等),以及具有广泛功能的信息窃取者。
窃取者收集的信息范围包括用户名、计算机名称、网络适配器的IP地址、Windows ProductName、.NET Framework的版本,处理器(内核数,速度和其他信息),可用的总RAM和可用RAM ,存储详细信息到系统上正在运行的进程的名称,在引导后设置为自动启动的文件以及最近访问的文件列表。
Bitdefender的遥测数据还发现与同一C&C服务器通信的其他类似恶意软件样本可追溯到不到一个月前,这表明该组织针对其他受害者。
建议3ds Max用户下载适用于Autodesk 3ds Max 2021-2015SP1的最新版本的安全工具,以识别和删除PhysXPluginMfx MAXScript恶意软件。
研究人员表示:“攻击的复杂性揭示了一个具有APT风格的组织,他们对公司的安全系统和使用过的软件应用程序具有先验知识,并精心计划了他们的攻击,以渗透到公司并泄漏未被发现的数据。工业间谍活动并不是什么新鲜事物,并且由于房地产行业竞争激烈,合同价值数十亿美元,因此赢得豪华项目合同的赌注很高,而且可以证明转向雇佣军APT集团以获得谈判优势是合理的。”
参考来源:TheHackerNews http://dwz.date/cmn4
(二)CISA发布5G安全准则
国土安全部的网络安全和基础设施安全局(CISA)近日发布了由美国国家网络战略指导的国家5G安全战略,该文件定义了为不断发展的5G网络开发安全性的努力方向。
在该战略内,有四条明确的工作路线和五项战略举措,以执行该战略。工作重点是促进国内5G的推广;评估风险并确定5G基础设施的核心安全原则;在全球5G基础设施开发和部署过程中应对美国经济和国家安全的风险;促进负责任的5G全球发展和部署。
五项战略举措是:
1.通过强调安全性和弹性来支持5G政策和标准的开发
2.增强对5G供应链风险的态势感知并采取安全措施
3.与利益相关方合作,加强和保护现有基础设施,以支持未来的5G部署
4.鼓励5G市场创新,以培养值得信赖的5G供应商
5.分析5G潜在的风险管理策略和使用策略
参考来源:DarkReading http://dwz.date/cmgg
(三)FBI与CISA警告美国正出现大规模语音网络钓鱼活动
美国国土安全部网络安全及基础架构安全局(CISA)与美国调查局(FBI)8月20日联合发布警告,COVID-19疫情所造成的居家工作风潮,让企业VPN服务日趋流行,但从今年7月起,黑客集团开始通过语音网络钓鱼(Vishing)活动,取得员工登入企业VPN的凭证。
与传统的网络钓鱼活动一样,黑客先架设了模仿企业网址的登入网站,可能伪装成支援服务的入口或是员工入口,之后再利用社交网站或各种工具搜集受害者的背景资料,从姓名、地址、电话号码、职位或在公司的年薪等,接着便透过VoIP打电话给受害者,假装是企业的技术支援部门,宣称要重设VPN服务,因此需要他们的凭证,要求受害者提供凭证,包括双因素认证资讯在内。
有些被骗的受害者直接提供了双因素认证资讯给黑客,有时黑客也会借由SIM卡交换攻击取得受害者的双因素认证信息。黑客入侵企业网路的目的可能是为了搜集更多的资料,以进一步执行其它的欺骗。
CISA与FBI建议企业应该要限制可存取VPN的装置、时间及应用;或是部署网域侦测机制,以调查网络上是否有伪装成该品牌的企业网址;主动扫描企业应用是否遭到可疑存取;也应监控应用程式的存取及使用量;订定员工之间的通讯政策以避免被社交工程手法蒙骗;而一般使用者则最好不要在社交网络上,泄露太多的个人资料。
参考来源:iThome http://dwz.date/ckYw
(四)美国发布抢劫全球银行的朝鲜黑客组织BeagleBoyz分析报告
美国财政部、CISA、FBI与美国国防部下属的网络司令部USCYBERCOM,8月26日公布了针对席卷全球多国银行,盗走近20亿美元的朝鲜黑客组织BeagleBoyz分析报告。BeagleBoyz隶属于朝鲜黑客组织HIDDEN COBRA,也是在2016年企图盗走台湾远东银行6,000万美元的元凶。
根据美国的调查,BeagleBoyz现身于2014年,自2015年到2020年间针对全球数十个国家的金融机构发动攻击,涵盖台湾、孟加拉、巴西、印度、日本、新加坡、乌干达、智利及南韩等,尝试自当地的金融机构窃取近20亿美元的金额,最恶名昭彰的一次,是在2016年时成功从孟加拉银行取走8,100万美元。
黑客行动为朝鲜政府主要的财务来源之一,该研究并未公布BeagleBoyz真正得手的金额,仅说不法所得最终都流向了朝鲜的银行,但揭露了该集团的攻击手法,同时也提供缓解措施。
外界将BeagleBoyz抢劫全球银行的行动称为FASTCash,该集团先借由网络钓鱼、水坑攻击,或是委托第三方黑客取得入侵受害银行网络的管道,接着寻找特定的攻击目标并长驻系统,一方面下载其它恶意程序,另一方面还会躲避检测,再取得关键凭证。
BeagleBoyz针对银行内部的两大系统,一是与环球银行金融电信协会(SWIFT)连接的终端系统,二则是负责银行支付交换应用的服务器。SWIFT为银行与其它银行或分行交流的平台,黑客藉由建立伪造的电文,把资金盗转到黑客的帐号;而在入侵了支付交换系统之后,黑客则可指示该行在全球的提款机(ATM)同时吐钞。
孟加拉银行及远东银行的案例属于前者,黑客企图透过孟加拉央行的SWIFT终端机,指使美国纽约联邦储备银行转出9.51亿美元,黑客原本准备分数十次盗转该款项,但在成功移转8,100万美元之后就被发现而阻止;黑客亦试图透过远银的SWIFT系统盗转6,000万美元。
至于后者的攻击场景则更像科幻片,在2017年时,攻陷银行支付交换系统的BeagleBoyz让散布在全球逾30个国家的ATM同时吐钞,隔年亦成功让23个国家的ATM在同一时间自动吐钞。台湾的第一银行也曾在2016年,发生类似的遭黑事件。
该报告建议全球的金融机构应该全面性强化其安全措施,才能有效防堵FASTCash攻击,任何单一的防范机制都是不足的,从强化发送电文的凭证认证、独立支付系统架构、将重要任务与操作环境隔离、加密与凭证有关的所有传输,到监控异常行为等,当然也包括最基本的即时修补各种安全漏洞、关闭不用的连网服务、严格规定使用权限、采用防火墙与安全软件,以及限制员工的下载等使用行为等。
参考来源:iThome http://dwz.date/cmmk
(五)MITRE公布2020年全球最危险的25种软件安全漏洞
美国非营利组织MITRE近日发布了2020年25个最危险的CWE漏洞排名,该排名参考了2018年与2019年的美国国家漏洞资料库(NVD),分析了2.7万个CVEs的特性与CVSS(常见漏洞评分系统)分数,公布了过去两年来最危险软件安全漏洞CWE排名,占据第一名的是可能衍生出各种跨站程序攻击的CWE-79。
CWE全名为通用缺陷列表,是由MITRE负责管理的National Cybersecurity FFRDC所赞助的专案,它把各种软件漏洞分门别类,总计提供逾600种分类,与业者修补漏洞时所使用的常见漏洞披露( Common Vulnerabilities and Exposures,CVE)不同,CVE指的是软件中的具体漏洞,而非只是分类。
其实CWE专案去年也曾发布2019年最危险的25种软件漏洞,今年前25名的差异并不大,只是名次有些异动,MITRE表明,这是因为今年他们突显了更具体的安全漏洞,使得那些较为抽象的漏洞类型排名下滑。此外,这些漏洞的排名主要是根据它们是否很容易被发现与攻陷,以及是否允许黑客完全掌控系统、窃取资料或阻止应用程式运作而定。
今年所列出的前五名最危险漏洞类别中,第一名为CWE-79,它起因于在网页生成的过程中,出现不当的中和输入(Improper Neutralization of Input During Web Page Generation),而可能衍生出各种跨站程序攻击,它在去年仅排名第二。
第二名则是CWE-787的跨界写入(Out-of-bounds Write)漏洞,指的是软件会在预期的缓冲区之外写入资料,一般可造成资料损毁、当机,或是允许程序执行。CWE-787在去年的排名是第12。
第三名为CWE-20的不适当输入验证(Improper Input Validation),意指产品所接收到的输入资料未经验证,或是不适当地验证了含有不安全内容的输入资料。CWE-20与去年的排名一致。
第四名为CWE-125的跨界读取(Out-of-bounds Read)漏洞,亦即允许软件读取缓冲区以外的资料,通常可允许黑客读取存放在记忆体中的机密信息或是造成系统当机。它在去年排名第五名,今年上升了一名。
第五名则是CWE-119,属于记忆体缓冲区内不当的操作限制,这是因为特定语言容许直接取得记忆体区域,但并未自动确保这些记忆体缓冲区是有效的,可能造成在这些区域中的读写操作牵连到其它的变数、资料结构或内部程序资料,使得读写行为超越缓冲区界线,而让黑客得以执行任意程式、变更控制流程、读取机密资讯或导致系统当机。CWE-119是去年的第一名。
MITRE表示,2020 CWE Top 25是参考了2018年与2019年的美国国家漏洞资料库(NVD),分析2.7万个CVEs的特性与CVSS(常见漏洞评分系统)分数而成,以期客观地了解现实世界中真正存在的软件缺陷,将让专业管理人员、安全研究人员或教育人员得以一窥当前的安全境况。
参考来源:iThome http://dwz.date/ckYV
(六)新型勒索软件DarkSide已勒索数百万美元
自2020年8月10日左右开始,一个名为DarkSide的新型勒索软件开始对多家公司进行有针对性的攻击,勒索了数百万美元。
该威胁组织声称自己是某勒索软件的前成员,并与其合作赚取了数百万美元,但因没有找到适合他们需求的“产品”,故决定自己开展业务。
该威胁组织表示,“我们是市场上的一种新产品,但这并不意味着我们没有经验,而且我们来自任何地方。我们通过与其他知名加密软件合作伙伴获得了数百万美元的利润。我们创建DarkSide是因为我们找不到对我们来说是完美的产品。现在我们拥有了它。”
DarkSide声明,他们只针对能够支付指定赎金的公司,因为他们并不想“毁掉你的业务”。
该威胁组织表示,他们不针对以下类型的组织:医学(医院、疗养院)、教育(学校,大学)、非营利组织、政府部门。然而现在还不能确定他们是否会遵守这一说法。
DarkSide的赎金要求从20万美元到200万美元不等。这些数字或多或少取决于受害者。据目前了解,至少有一名受害者支付了一百万美元以上的赎金。
与其他人为操作的勒索软件攻击一样,当DarkSide操作员破坏网络时,它们将在整个网络中横向传播,直到获得对管理员帐户和Windows域控制器的访问权限为止。当攻击者横向传播时,攻击者将从受害者的服务器中收集未加密的数据,并将其上传到自己的设备中。
然后,这些被窃取的数据将在其控制下发布到数据泄漏站点,并用作勒索企图的一部分。当数据发布到泄漏站点时,威胁参与者将列出公司名称,泄露日期,被窃取了多少数据,数据的屏幕快照以及被窃取的数据类型。
DarkSide声明,如果受害者不付款,他们将在其网站上发布所有数据至少六个月。这种勒索策略旨在吓唬受害者支付赎金,即使受害者可以从备份中恢复过来。如果受害者支付了赎金,DarkSide表明他们将从其泄漏站点中删除被盗的数据。对于已支付赎金的受害者,其数据已从站点中删除。
进行攻击时,DarkSide将为他们所攻击的特定公司创建定制的勒索软件可执行文件。执行后,勒索软件将执行PowerShell命令,该命令会删除系统上的卷影副本,以便它们不能用于还原文件。
Advanced Intel的Vitali Kremez表示,它随后会终止各种数据库、办公应用程序和邮件客户端,以准备用于加密的计算机。对计算机加密时,DarkSide将避免终止某些进程,包括vmcompute.exe、vmms.exe、vmwp.exe、svchost.exe、TeamViewer.exe、explorer.exe。特别是避免使用TeamViewer的情况并不普遍,如果曾在勒索软件中见过,可能表明威胁参与者正在使用它来远程访问计算机。
Michael Gillespie分析了加密过程,表示勒索软件利用SALSA20密钥来加密文件,然后使用可执行文件中包含的公共RSA-1024密钥对该密钥进行加密。
每个受害者还将具有一个使用受害者的MAC地址的自定义校验和创建的自定义扩展名。每个可执行文件都经过了自定义,包括个性化的“ Welcome to Dark”赎金记录,其中将包括被盗的数据量,数据类型以及在数据泄漏站点上指向其数据的链接。目前,勒索软件看起来很安全,没有免费恢复文件。
分析DarkSide时,发现它与REvil勒索软件有一些相似之处。最明显的相似之处是赎金票据,使用了几乎相同的模板。在对DarkSide的行为分析中,研究人员注意到它在首次执行时将执行编码的PowerShell脚本。进行模糊处理后,研究人员看到此PowerShell命令用于在加密之前删除计算机上的卷影副本:Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}。使用PowerShell执行上述命令与REvil使用的方法相同。
MalwareHunterTeam发现 ,DarkSide故意避免感染独联体国家的受害者。执行此操作的代码类似于REvil和GandCrab中使用的代码。
参考来源:BleepingComputer http://dwz.date/cjzn
(七)暗网Empire Market可能因遭受DDoS攻击关闭数日
截至8月24日,知名暗网Empire Market已经至少关闭了48小时,一些用户怀疑存在退出诈骗问题,而另一些用户则将该问题其归咎于长时间的DDoS攻击。
整个周末,Twitter和Reddit上出现了许多用户抱怨无法正常加载Empire Market网站的信息。Empire Market上售卖许多非法商品,包括非法药物、化学药品、假冒商品、珠宝和信用卡号,同时提供包括比特币(BTC)、莱特币(LTC)和门罗(XMR)在内的付款方式。
Reddit用户JuicyVeins表示:“我在5天前下了订单,但不知道供应商是否会接受订单,因为从那以后我还没有在网上看到订单,这可能会造成自动取消订单。”
经测试,Empire Market网站确实无法正常访问,所有连接都超时了。
尽管网站恢复的时间仍然存在很多不确定性,甚至版主都希望管理员可以恢复站点,但是否存在退出诈骗的可能性?对此,在公共论坛上出现了很多讨论和谣言。
当无良企业不履行订单并持续接受订单且最终携款消失时,就会发生退出诈骗。在过去的几年中, 加密货币的退出诈骗被用来窃取代管的现金以完成交易,一些管理员从用户那里获得了超过1亿美元的收益。但是,有一些用户声称他们能够访问该站点,尽管存在一定困难,所以退出诈骗存在的可能性不大。
同时,这也不是Empire Market第一次受到DDoS攻击。今年早些时候,该站点也同样遭受了DDoS 攻击的严重破坏。Twitter用户和匿名记者DarkDotFail表示,Empire Market遭受了大规模的DDoS攻击,使其“访问速度非常慢”,而Monero功能遭到破坏。
同时,Bitcoin News列出了更多消息来源,称Empire Market曾是DDoS攻击的受害者。Empire Market的一位高级版主表示:“如果Empire Market在几天之内仍然无法恢复,那么我会就整个情况发表一篇文章,但现在还为时过早,也许管理员会把网站修好。”
然而更多细节显示,Empire Market已经一去不复返了,不会恢复运营了。
Twitter用户在Se7en论坛帖子中表示,“现在网站已经关闭了超过48个小时,mod面板也已经关闭了这么长时间,管理员也不在jabber上了。我希望它可以恢复运营,但现在看起来不太可能了。”Se7en推测网站关闭背后的原因,并揭示了一些有趣的信息。
版主表示,为了能上Empire Market不断运转,暗网市场背后的管理员们精疲力尽。在过去的半年中,该网站一直处于“自动驾驶”状态,而管理员与论坛版主之间的通信越来越有限
Se7en表示,“我知道管理员对维持Empire Market的运行已经感到厌倦。在过去的半年中,该网站处于自适应状态,没有添加任何新功能。我提出了一些建议, 如使用PIN且仅使用PGP 2FA或查看XMR代码以使XMR提款更加可靠,我的大部分建议都被忽略了。” 在网站刚开始运营的时期,他们会倾听我的建议。那时网站允许购买武器,在我强烈提倡网站与武器无关之后,他们将其删除了。在过去的半年中,这不仅仅是被忽略的建议,版主与管理员之间的交流非常有限。这令人沮丧,但我已经接受了他们想要的方式。”
Se7en认为这不是有计划的退出诈骗,因为通常情况下,管理员继续接受付款数周或更长时间,然后完全消失。
Se7en表示:“如果这是有计划的退出,我认为他们不会在接近退出的尾声来修复BTC提款。他们经常告诉我,他们希望Empire Market成为有史以来运营时间最长的网站,而在大多数情况下,我确实认为这是他们的意图,这就是为什么该网站能够长期存在的原因。管理员没有给出任何关闭通知,也没有任何借口。”
Se7en把责任推到用户“SchwererGustav”身上,他此前曾对该网站进行DDoS攻击,并涉嫌向网站管理员勒索,以维持网站的正常运行。据Se7en报道,为了挽救网站,管理层可能同意每周向Gustav支付1万至1.5万美元。这种“交易”已经对网站的财务造成了巨大压力,此时管理员可能会想到将其退出。
Se7en也指责Tor员工未能修复系统中的漏洞,以避免网站遭受此类攻击。“如果Tor员工团队解决了Tor中的问题,我相信Empire管理员会停留更长的时间。Tor员工知道他们需要做些什么来解决此问题,这就是将PoW添加到网络中。也许他们现在正在研究此问题,很高兴看到他们更频繁地谈论PoW,但是他们对此一直停滞了很多年。我将进一步说,Tor员工团队是否在几年前添加了PoW。甚至梦境市场可能仍然在这里。我对这样结束Empire的管理员感到失望。我向任何有托管资金的人表示歉意。我只能建议您将网站与MultiSig一起使用,并且仅将其用于大订单。”
不管是否存在退出诈骗,许多用户担心他们的钱被困在了托管机构中,现在他们不太可能拿到这笔钱。
参考来源:BleepingComputer http://dwz.date/ckq8
(八)挖矿恶意程序借由假杀毒软件大肆传播
网络安全厂商Avast近日发表研究报告,该公司发现有不明黑客在网络上散布假的恶意软件扫瞄移除程序Malwarebyte,其中藏有挖矿恶意程序码,会潜藏于受害者的电脑系统上进行挖矿。
Avast表示,该公司在八月下旬起开始侦测到一些假冒的Malwarebyte安装程序,内含会载入XMRig恶意软件的后门;用户如果安装了,就会被植入XMRig恶意软件,电脑系统资源将遭盗用进行Monero加密货币挖矿。
这些假冒的Malwarebyte安装程序,系将恶意程序码藏在MBSetup2.exe以及Qt5Help.dll、Qt5WinExtras.dll档案中,安装完成后会利用MBAMSvc服务下载恶意软件程序码的加载,内含挖矿用的Bitminer程序。
目前的受害者多分布于俄罗斯、乌克兰和东欧多国。
Avast表示,真正的Malwarebyte软件并不含上述的.dll档,下列文档也可能会被安装在PC中:
·%ProgramData%\VMware\VMware Tools\vmtoolsd.exe
·%ProgramData%\VMware\VMware Tools\vmmem.exe
·%ProgramData%\VMware\VMware Tools\vm3dservice.exe
·%ProgramData%\VMware\VMware Tools\vmwarehostopen.exe
一旦用户发现自己电脑上有上述文档,应该立即删除;同时也应删除「%ProgramFiles(x86)%\Malwarebytes」资料夹中的所有文档,以保证安全。
参考来源:twcert http://dwz.date/cmmU
(九)伊朗“新手黑客”使用勒索软件Dharma进行攻击
网络安全公司Group-IB 8月24日发表博客文章称,自今年6月起,伊朗新手黑客组织使用勒索软件Dharma及多款公开可利用工具发起了出于财务动机的网络攻击,攻击目标为俄罗斯、中国、日本和印度的组织,勒索金额在1至5个比特币之间。
自2016年以来,Dharma勒索软件家族也被称为Crysis,该产品以勒索软件即服务(RaaS)模式提供,主要与远程桌面协议(RDP)攻击有关。但是,今年三月,该恶意软件的源代码可供购买。
研究人员发现攻击者将勒索软件与各种公开可用的工具混合在一起,并将他们的工作重点放在具有受弱凭据保护的面向互联网的RDP系统的公司上。受害者的确切人数尚未确定。
这些攻击中使用的一些工具包括IP端口扫描器Masscan来识别易受攻击的目标,以及RDP暴力破解工具NLBrute来访问已识别的机器。在某些攻击中,黑客利用了CVE-2017-0213的漏洞,以试图提升权限。
Group-IB表示:“新发现的黑客组织表明,伊朗多年来一直是由国家资助的APT组织的摇篮,现在也可以容纳出于经济动机的网络犯罪分子。”
安全研究人员指出,这些攻击背后的黑客是新手,一旦获得访问受感染网络的权限,他们可能就没有明确的行动计划。攻击者使用新建立的RDP连接,试图利用Defender Control和Your Uninstaller禁用内置的防病毒软件,同时利用Advanced Port Scanner查找网络中的可访问主机。在进行网络侦察之后,攻击者尝试使用RDP横向移动。在攻击的最后阶段,他们将丢弃并手动执行变种的Dharma勒索软件到受感染的主机上。
Group-IB的高级DFIR分析师Oleg Skulkin表示:“ Dharma源代码已被广泛使用,这导致部署它的运营商数量增加。令人惊讶的是,Dharma落入了利用其牟取经济利益的伊朗黑客之手,因为伊朗传统上一直是由国家资助的从事间谍活动和破坏活动的攻击者的国家。”
参考来源:SecurityWeek http://dwz.date/ckn9
(十)思科修复多个影响交换机及光纤存储的高危漏洞
8月26日,Cisco Systems披露了八个严重漏洞,这些漏洞影响其一系列网络设备,包括交换机和光纤存储解决方案。思科的NX-OS受到的打击最为严重,有6个安全警报与网络操作系统有关,而网络操作系统是网络巨头Nexus系列以太网交换机和MDS系列光纤通道存储区域网络交换机的基础。所有漏洞都有补丁。除了八个已修复的高严重性漏洞外,思科还修复了一个中等严重漏洞CVE-2020-3504,该漏洞会影响思科统一计算系统管理软件。
影响思科NX-OS软件的高严重漏洞包括CVE -2020-3397,CVE-2020-3398,CVE-2020-3338,CVE-2020-3415,CVE-2020-3517和CVE-2020-3454。
CVE-2020-3397和CVE-2020-3398是“ Cisco NX-OS软件边界网关协议多播VPN拒绝服务漏洞。这两个漏洞都使攻击者可以通过会话重置和设备重新加载来发起部分或长期的DoS攻击。
Cisco关于CVE-2020-3397显示,“该漏洞是由于对特定类型的BGP MVPN更新消息的输入验证不完整造成的。攻击者可以通过将此特定的有效BGP MVPN更新消息发送到目标设备来利用此漏洞。” 另一个VPN错误是由于对特定类型的BGP MVPN更新消息的解析错误。
思科还报告了其基于IPv6协议独立组播(PIM)的NX-OS软件上下文中的漏洞CVE-2020-3338。思科表示:“在交换机之间使用PIM,这样它们就可以跟踪哪些多播数据包相互转发并转发给它们直接连接的LAN。”
思科称,该漏洞允许未经身份验证的远程攻击者在受影响的设备上造成拒绝服务(DoS)状态。易受攻击的是独立NX-OS模式下的Nexus 3000系列交换机(CSCvr91853)、Nexus 7000系列交换机(CSCvr97684)和Nexus 9000系列交换机(CSCvr91853)。
修补后的漏洞中比较有趣的一个是NX-OS软件的Call Home命令注入漏洞,它可以使经过身份验证的远程攻击者注入可以在底层操作系统上以root特权执行的任意命令。“该漏洞是由于在将软件配置为传输方法HTTP时对特定的回拨配置参数的输入验证不足。攻击者可以通过在受影响的设备上修改Call Home配置中的参数来利用此漏洞。”
受影响的有9台Cisco交换机,从MDS 9000系列多层交换机到Nexus 9500 R系列交换平台。
参考来源:threatpost http://dwz.date/cmv4
(十一)Safari Web Share API存在漏洞 可致窃取本地文件
波兰安全公司REDTEAM创办人Pawel Wylecial发现,Safari的Web Share API含有漏洞,让黑客得以透过邀请使用者分享图片或文章给他人,来发动点击诈骗,可能导致黑客窃取iOS及Mac装置文档。4月通报该漏洞后,苹果计划2021年春天才会修补。
Safari Web Share API允许使用者经由第三方App(包括苹果自己或第三方邮件和通讯App)分享链接、文件、文字或其他内容。利用file:语法即可将用户装置上的文档分享出去。
但当某个外部网站指向这个file:链接,就会出问题。Wylecial表示,此时链接会被传送到Safari的navigator.share函数,就会把使用者装置上文件系统的某个档案加入到邮件或对话信息中而传送出去,导致本机文件泄露。
原本问题并不大,因为这需要使用者有传送连接的动作,但是在某些情况下,使用者会看不到被分享的文档,例如使用macOS及iOS版Mail App时。研究人员举例,当黑客发动点击诈骗,在恶意网站上以可爱的动物图片或文章,邀请使用者分享给他人,并加入以邮件或讯息App分享的选项。使用者以为他分享的是动物照片,但其实黑客要使用者分享的是/etc/passwd的本机文件。
使用时macOS及iOS版Mail App会发生用户看不到分享出去的文件。在macOS版本中,用户若不将滑鼠拉到最下方,看不到包含密码的附件。在iOS版本中,使用者更只会看到没有档名的附件。iOS版的Gmail App则会显示被混淆(obfsucated)的文件。
唯一例外是iOS版Message App,细心一点的用户会看到密码文件被附加上在信息中。
研究人员仅列出他测试过的问题版本,包括iOS (13.4.1, 13.6)和macOS Mojave 10.14.16 的Safari 13.1 (14609.1.20.111.8) ,以及macOS Catalina 10.15.5上的Safari 13.1.1 (15609.2.9.1.2)。
Wylecial于今年4月中通报苹果这项漏洞,苹果也表示会调查。不过之后就没有下文,直到7月研究人员扬言要公布漏洞,苹果才有所回应。苹果8月中要求他延迟公布,表示会在2021年春天修补。由于研究人员认为苹果态度轻忽,且一个漏洞要等快1年才修补过于离谱,于是拒绝这个要求,并于本周公布漏洞细节。
参考来源:iThome http://dwz.date/cmkw
(十二)韩国计算机内存制造商SK hynix遭受勒索软件Maze攻击
勒索软件Maze声称,其已感染了计算机内存制造商SK hynix,并泄露了一些窃取的文件。
该韩国半导体巨头SK hynix目前没有置评,不过勒索软件Maze成员不需要在这些事情上撒谎。最近勒索软件Maze对很多组织进行了攻击,并通常会公开分享从被攻击的网络中窃取的数据作为证据。
以下是Maze网站的截图,公布了SK hynix网络及其内部数据的渗透:
一个570MB的ZIP存档文件可以从Maze网站下载。据推测,这只是从SK hynix窃取的总额的百分之五,这表明该组织在攻击该公司网络之后并在对其文件进行加密勒索之前,该组织窃取了多达11GB的数据。
据一位查看档案内容的人士称,该档案似乎包含与苹果公司签订的机密NAND闪存供应协议,以及个人文件和公司文件的混合物,不过最近几年没有更新。SK hynix是全球最大的RAM和闪存供应商之一。他们的客户包括Apple和IBM。因此,对其内部网络的严重勒索软件攻击可能对其客户产生连锁反应。
对于那些不熟悉的人,Maze为旧的勒索软件敲诈提供了新的体验。传统的勒索软件运营商只是对受害者的文件系统进行加密,然后收取一定的费用来解密数据,而Maze的不法分子则采取了进一步行动,并承诺如果公司不付款,则公开泄漏所有被盗的信息。那些未能满足赎金要求的公司将把他们的公司机密公之于众。尽管这已被证明对黑客非常有效,但这是一种非常阴暗的策略。
参考来源:TheRegister http://dwz.date/cmsX
(十三)印度机票供应商RailYatri遭受严重数据泄露
印度最受欢迎的旅行预订中心之一RailYatri,因没有充分的安全措施,发生了严重的数据泄露事件,泄露了所有的生产服务器信息,并导致超过43GB的数据泄露。
受影响的Elasticsearch 服务器在没有密码保护或加密的情况下公开暴露了好几天,这意味着拥有服务器IP地址的任何人都可以访问整个数据库。
由Anurag Sen领导的安全团队在2020年8月9日在互联网上公开该服务器漏洞后,于2020年8月10日发现了该漏洞。三天后,即2020年8月12日,安全团队对数据进行了审查,该服务器成为了Meow机器人攻击的目标,导致几乎所有服务器数据被删除。
大多数受影响的用户都位于印度,研究团队估计,大约有700,000个人可能直接受到该漏洞的影响。
为了解决安全团队发现的安全漏洞,安全侦探在切实可行的情况下尽快通知了受影响的公司。研究小组未能收到有关数据泄露的回复,因此向印度国家计算机紧急响应小组(CERT-In)报告了调查结果,该小组是负责国家网络安全的政府机构。第二天,服务器已受到保护。
RailYatri成立于2011年,是印度政府批准的旅游市场,目前为每天约2400万人次的旅游网络提供服务。该公司为印度国内旅客出售公共汽车和火车票,并通过网络和应用程序(可在App Store和Google Play上使用)进行运营。根据RailYatri的网站,该公司开发和运营了一个完整的火车应用程序,该应用程序使用户可以预订印度铁路餐饮和旅游公司(IRCTC)的巴士和火车票,检查实时火车时间,行程进度,离线时间表,检查座位可用性和离线GPS火车状态。此外,该旅游公司此前还曾在沃达丰Appstar竞赛中获得“十亿南亚”奖和“最佳公用事业奖”。截至8月初,RailYatri的移动应用已通过Google Play下载了超过1000万次。
在RailYatri的不安全服务器上发现的信息类型包括:姓名、年龄、性别、物理地址、电子邮件地址、手机号码、付款记录、信用卡和借记卡信息的部分记录、统一支付接口(UPI)ID、火车和巴士票的预订详情、旅行路线信息(包括乘客上/下车的车站)、用户的GPS位置信息(包括MCC,MNC,LAC和CellID数据:MCC:用于识别国家/地区的移动国家/地区代码;MNC:用于识别移动运营商的移动网络代码;LAC:用于识别基站口袋的位置区号;CellID:用于标识每个基站收发器或扇区的唯一编号)、认证令牌信息、用户会话日志(包括登录时间)。
数据泄露最可能造成破坏的方面是安全安全团队发现了部分信用卡和借记卡付款日志,包括卡上的姓名,卡号的前4位和后4位,发卡行和卡到期信息。幸运的是,泄漏的付款信息被抑制为仅显示卡号的部分副本。这大大减少了恶意财务欺诈的可能性;但是,机智的黑客仍然可以使用服务器上的信息来发起网络钓鱼诈骗,以诱使受害者移交其财务信息。此外,安全团队发现身份验证令牌数据已附加到大多数URL。
2020年8月12日,RailYatri的数据库遭到名为Meow的恶意僵尸程序的攻击,入侵期间删除了绝大多数数据。在2020年8月13日进行的最新检查中,尽管每天都在添加新数据,但数据库的大小已从43GB缩小到1GB。
服务器日志未指出受入侵影响的确切用户数。但是,根据安全安全团队的说法,该数据库包含超过700,000个电子邮件地址,尽管有些重复,但这表明大约有700,000人受到此漏洞的影响。
参考来源:SafetyDetectives http://dwz.date/ckwn
(十四)新西兰证券交易所连续两天遭受网络攻击
据英国《卫报》报道,新西兰证券交易所已连续两天遭受网络攻击。当地时间8月26日星期三上午11点24分,NZX交易所下线,导致部分交易暂停,只有部分链接恢复。NZX承认遇到了“网络连接问题”,导致NZX主板市场、NZX债券市场和恒天然股东市场被暂时搁置。这些地区随后被获准在下午三点恢复交易。
该事件发生的前一天,即8月25日星期二,证券交易所遭到分布式拒绝服务(DDoS)攻击,迫使其在下午3点57分停止交易。在8月26日发布的有关此攻击的声明中,NZX暗示该事件归咎于外国黑客:“NZX通过其网络服务提供商遭遇了来自海外的大规模DDoS攻击,影响了NZX的网络连接。受影响的系统包括NZX网站和Markets公告平台。DDoS攻击旨在通过使大量互联网流量饱和的网络来破坏服务。攻击得以缓解,现在NZX已恢复连接。”
这些新事件发生之前不久,澳大利亚发生了一系列据称由国家支持的针对一系列政府和私营部门组织的袭击事件。
Druva欧洲,中东和非洲地区副总裁Nick Turner 表示,在持续的COVID-19大流行中,高调目标的攻击更有可能成功:新西兰证券交易所遭受的第二次攻击再次提醒我们,远程工作安全挑战需要作为优先事项加以解决。地方政府和城市需要迅速采取行动,否则就有可能将其选民的健康、安全、生命和最敏感的数据置于危险之中。网络攻击已成为对地方政府的普遍威胁,这些地方政府已成为缺乏适当的基础设施和技术来保护自己免受攻击的靶子,因为黑客希望抓住关键数据并劫持系统以进行高额勒索,从而给这些机构造成混乱。从黑客的角度来看,由于大流行,地方政府和关键任务组织目前处于最脆弱的状态。
ESET的网络安全专家Jake Moore补充表示:“随着世界的联系越来越紧密,需要更多的防御措施来抵御试图摧毁一个网站的轰炸。DDoS攻击是常见的威胁,通常可以通过正确的缓解技术来避免。然而,当一个站点遇到了它没有准备好的大量流量涌入时,即使是大型组织也会相对容易地被击倒,而且会持续很长一段时间。”
参考来源:infosecurity http://dwz.date/cmhK
(十五)加拿大快递公司Canpar Express遭受勒索软件攻击
近日,运输和物流公司TFI国际的四个加拿大快递部门Canpar Express、ICS Courier、Loomis Express和TForce Integrated Solutions遭受勒索软件攻击。
在运输和物流TFI International公司通过股票发行筹集了数百万美元之后的几天,有关勒索软件攻击其四个加拿大快递部门(Canpar Express、ICS Courier、Loomis Express和TForce Integrated Solutions)的消息成为头条新闻。
在该公司网站上发布的新闻显示,“2020年8月19日,Canpar Express成为勒索软件攻击的目标,影响了我们的一些系统。我们继续满足大多数客户的运输需求,我们不知道有任何滥用客户信息的情况。Canpar Express认真履行保护客户信息的义务。得知事件后,我们立即展开调查,并聘请网络安全专家协助调查。我们已采取措施遏制和补救这一问题,并正在采取一切必要步骤,以帮助防止未来发生类似事件。我们继续满足大多数客户的送货需求,目前没有任何客户信息被滥用,出于高度谨慎,如果您遇到任何问题,我们希望让我们的客户意识到这一事件。”
专家们正在努力确定攻击的程度,当时该公司没有披露攻击的技术细节,比如感染其系统的勒索软件家族。TFI告诉其客户,它已启动了一项持续调查。
TFI是加拿大最大的货运和物流公司,24日通过股票发行筹集了2.19亿美元(2.9亿加元),它的市值超过42.5亿美元(56亿加元)。
据路透社报道,由于勒索软件感染,多个相关网站下线了几天。此事件对美国居民产生了重大影响,包裹追踪和安排提货均被阻止。
参考来源:SecurityAffairs http://dwz.date/ckYV
(十六)Palo Alto Networks以2.65亿美元收购事件响应公司Crypsis Group
Palo Alto Networks 8月24日宣布计划收购The Crypsis Group,Crypsis Group为一家事件响应、风险管理和数字取证咨询公司。Palo Alto计划以2.65亿美元现金收购Crypsis Group,Crypsis Group目前隶属于ZP Group,ZP Group是一家拥有多家公司的组织。预计该交易将在Palo Alto Networks的第一财季完成。交易完成后,Palo Alto计划将Crypsis Group的流程和技术集成到其网络安全产品Cortex XDR中,Cortex XDR是其网络安全产品,可将网络、端点和云数据进行本地集成。
Palo Alto在发布的声明中表示,“在Crypsis Group的安全咨询和取证功能的基础上,将增强Cortex XDR收集丰富的安全遥测、管理漏洞并启动快速响应行动的能力。Crypsis Group的专家和见解还将通过事件响应项目与产品研究团队之间的持续反馈循环,为Cortex XDR平台提供动力,以防止未来的网络攻击。”
Crypsis集团拥有150多名安全顾问,每年响应1300多次安全活动。它的客户遍布医疗、金融服务、零售、电子商务和能源等各个行业。该公司的首席执行官Bret Padres将加入Palo Alto Networks。
几天前,Palo Alto最终以4.2亿美元的价格完成了对CloudGenix的收购,CloudGenix是软件定义的广域网(SD-WAN)提供商。同时,Palo Alto 8月24日还报告了优于预期的第四季度财务业绩,部分原因是在家工作的顺风。
2020财年第四季度的非GAAP净收入为1.449亿美元,即摊薄每股收益1.48美元。收入同比增长18%至9.504亿美元。分析师平均预期该公司当季营收为9.2351亿美元,每股收益为1.39美元。 在整个2020财年,帕洛阿尔托的每股收益达到4.88美元,营收为34亿美元,同比增长18%。
首席执行官Nikesh Arora在一份声明中将这一增长归因于“强大的执行力、在家工作的顺风车、以及下一代安全性的持续成功”。
第四季度的收入同比增长32%,达到14亿美元。2020财年的营业额同比增长23%至43亿美元。递延收入同比增长32%至38亿美元。Palo Alto预计2021财年第一季度收入在9.15亿美元至9.25亿美元之间。 分析师预计其收入为9.0108亿美元。
参考来源:ZDNet http://dwz.date/cj6M
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,安全周报,关键信息基础设施
相关信息
2022-09-16
2022-09-09
2022-09-02
