关键信息基础设施安全动态周报【2020年第9期】
发布时间:
2020-03-06
来源:
作者:
访问量:
36
目 录
第一章 国内关键信息基础设施安全动态
(一)披露美国CIA攻击组织APT-C-39对中国关键领域长达十一年的网络渗透攻击
第二章 国外关键信息基础设施安全动态
(一)美国铁路承包商RailWorks遭受勒索软件攻击后泄露个人信息
(二)英国公共事业公司Southern Water遭受钓鱼攻击
(三)美国工业建筑服务公司EMCOR遭受勒索软件Ryuk攻击
(四)美国零件制造商Visser遭受勒索软件攻击并泄露数据
(五)委内瑞拉大规模停电导致35%电信基础设施中断
(六)卢旺达政府数据中心遭受黑客攻击
(七)俄罗斯间谍试图窃听跨大西洋海底电缆
(八)黑客组织TA505持续攻击韩国金融机构
(九)美国药店Walgreens泄漏用户个人信息
(十)APT34使用新型Karkoff植入入侵黎巴嫩政府
(十一)韩国新天地教会一日被黑客攻击两次,威胁将泄露信徒信息
第一章 国内关键信息基础设施安全动态
(一)披露美国CIA攻击组织APT-C-39对中国关键领域长达十一年的网络渗透攻击
360安全大脑捕获了美国中央情报局CIA攻击组织(APT-C-39)对我国进行的长达十一年的网络攻击渗透。在此期间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。
不但如此,360安全大脑通过关联相关情报,还定位到负责从事研发和制作相关网络武器的CIA前雇员:约书亚·亚当·舒尔特(Joshua Adam Schulte)。在该组织攻击我国目标期间,他在CIA的秘密行动处(NCS)担任科技情报主管职位,直接参与研发了针对我国攻击的网络武器:Vault7(穹窿7)。这部分相关线索,更进一步地将360安全大脑发现的这一APT组织的攻击来源,锁定为美国中央情报局。
美国中央情报局(Central Intelligence Agency,简称CIA),一个可以比美国国家安全局(NSA)更为世人熟知的名字,它是美国联邦政府主要情报搜集机构之一,下设情报处(DI)、秘密行动处 (NCS) 、科技处(DS&T)、支援处(DS)四大部门,总部位于美国弗吉尼亚州的兰利。其主要业务包括:收集外国政府、公司和个人的信息;分析其他美国情报机构收集的信息以及情报;提供国家安全情报评估给美国高级决策者;在美国总统要求下执行或监督秘密活动等。
CIA核心网络武器“Vault7”成重要突破口,360安全大脑全球首家捕获涉美攻击组织APT-C-39
时间追溯到2017年,维基解密接受了来自约书亚的“拷贝情报”,向全球披露了8716份来自美国中央情报局CIA网络情报中心的文件,其中包含涉密文件156份,涵盖了CIA黑客部队的攻击手法、目标、工具的技术规范和要求。而这次的公布中,其中包含了核心武器文件——“Vault7(穹窿7)”。
360安全大脑通过对泄漏的“Vault7(穹窿7)”网络武器资料的研究,并对其深入分析和溯源,于全球首次发现与其关联的一系列针对我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动。
而这些攻击活动最早可以追溯到2008年(从2008年9月一直持续到2019年6月左右),并主要集中在北京、广东、浙江等省份。而上述这些定向攻击活动都归结于一个鲜少被外界曝光的涉美APT组织——APT-C-39(360安全大脑将其单独编号)。
关于APT-C-39组织其攻击实力如何,有多大的安全隐患?这里以航空航天机构为例说明。
因涉及国家安全领域,所以我们只披露360安全大脑所掌握情报数据的部分细节:其中CIA在针对我国航空航天与科研机构的攻击中,我们发现:主要是围绕这些机构的系统开发人员来进行定向打击。而这些开发人员主要从事的是:航空信息技术有关服务,如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。(航空信息技术有关服务:指为国内与国际商营航空公司提供航班控制系统服务,乘客信息服务,机场旅客处理系统服务及相关数据、延伸信息技术服务。)
值得注意的是,CIA所攻击的航空信息技术服务,不仅仅是针对国内航空航天领域,同时还覆盖百家海外及地区的商营航空公司,CIA此举的目的到底为何?其实,对于CIA来说,为获取类似的情报而进行长期、精心布局和大量投入是很常见的操作。
就在今年2月初,《华盛顿邮报》等媒体的联合调查报道指出,CIA从上世纪五十年代开始就布局收购并完全控制了瑞士加密设备厂商Crypto AG,在长达七十年的历史中,该公司售往全球一百多个国家的加密设备都被CIA植入了后门程序,使得这期间CIA都可以解密这些国家的相关加密通讯和情报。
至此,我们可以推测:CIA在过去长达十一年的渗透攻击里,通过攻破或许早已掌握到了我乃至国际航空的精密信息,甚至不排除CIA已实时追踪定位全球的航班实时动态、飞机飞行轨迹、乘客信息、贸易货运等相关情报。如猜测属实,那CIA掌控到如此机密的重要情报,将会做出哪些意想不到的事情呢?获取关键人物的行程信息,进而政治威胁,或军事打压......
这并不是危言耸听,2020年1月初,伊朗一代“军神”卡西姆·苏莱曼尼被美国总统特朗普轻易“猎杀”,其中掌握到苏莱曼尼航班和行程的精确信息就是暗杀成功的最关键核心,而这些信息正是以CIA为代表的美国情报机构通过包括网络攻击在内的种种手段获取的。这一事件,是美国情报机构在现实世界作用的一个典型案例。
360安全大脑精准锁定CIA"武器"研发关键人物约书亚·亚当·舒尔特(Joshua Adam Schulte)
提到CIA关键网络武器——Vault7(穹窿7),就不得不介绍一下这位CIA前雇员:约书亚·亚当·舒尔特(Joshua Adam Schulte)。约书亚·亚当·舒尔特(Joshua Adam Schulte,以下简称约书亚),1988年9月出生于美国德克萨斯州拉伯克,现年31岁,毕业于德萨斯大学斯汀分校,曾作为实习生在美国国家安全局(NSA)工作过一段时间,于2010年加入美国中央情报局CIA,在其秘密行动处(NCS)担任科技情报主管。(国家秘密行动处(NCS)充当中央情报局秘密部门,是协调、去除冲突以及评估美国情报界秘密行动的国家主管部门。)精通网络武器设计研发专业技术,又懂情报运作,约书亚成为CIA诸多重要黑客工具和网络空间武器主要参与设计研发者核心骨干之一。这其中就包含“Vault7(穹窿7)” CIA这一关键网络武器。
2016年,约书亚利用其在核心机房的管理员权限和设置的后门,拷走了“Vault7(穹窿7)” 并“给到”维基解密组织,该组织于2017年将资料公布在其官方网站上。2018年,约书亚因泄露行为被美国司法部逮捕并起诉,2020年2月4日,在联邦法庭的公开听证会上,检方公诉人认定,约书亚作为CIA网络武器的核心研发人员和拥有其内部武器库最高管理员权限的负责人,将网络武器交由维基解密公开,犯有“在中央情报局历史上最大的一次机密国防情报泄露事件”。以上约书亚的个人经历和泄露的信息,为我们提供了重要线索,而其研发并由美国检方公诉人证实的核心网络武器“Vault7(穹窿7)”,成为实锤APT-C-39隶属于美国中央情报局CIA的重要突破口。
五大关联证据实锤APT-C-39组织隶属于美国中央情报局
以“Vault7(穹窿7)” 为核心关联点,再透过约书亚以上一系列经历与行为,为我们定位APT-C-39组织的归属提供了重要线索信息。此外,再综合考虑该APT-C-39网络武器使用的独特性和时间周期,360安全大脑最终判定:该组织的攻击行为,正是由约书亚所在的CIA主导的国家级黑客组织发起。具体关联证据如下:
证据一:APT-C-39组织使用了大量CIA"Vault7(穹窿7)"项目中的专属网络武器。研究发现,APT-C-39组织多次使用了Fluxwire,Grasshopper等CIA专属网络武器针对我国目标实施网络攻击。通过对比相关的样本代码、行为指纹等信息,可以确定该组织使用的网络武器即为“Vault7(穹窿7)” 项目中所描述的网络攻击武器。
证据二:APT-C-39组织大部分样本的技术细节与“Vault7(穹窿7)”文档中描叙的技术细节一致。360安全大脑分析发现,大部分样本的技术细节与“Vault7(穹窿7)” 文档中描叙的技术细节一致,如控制命令、编译pdb路径、加密方案等。这些是规范化的攻击组织常会出现的规律性特征,也是分类它们的方法之一。所以,确定该组织隶属于CIA主导的国家级黑客组织。
证据三:早在“Vault7(穹窿7)”网络武器被维基解密公开曝光前,APT-C-39组织就已经针对中国目标使用了相关网络武器。2010年初,APT-C-39组织已对我国境内的网路攻击活动中,使用了“Vault7(穹窿7)”网络武器中的Fluxwire系列后门。这远远早于2017年维基百科对“Vault7(穹窿7)”网络武器的曝光。这也进一步印证了其网络武器的来源。在通过深入分析解密了“Vault7(穹窿7)” 网络武器中Fluxwire后门中的版本信息后,360安全大脑将APT-C-39组织历年对我国境内目标攻击使用的版本、攻击时间和其本身捕获的样本数量进行统计归类,如下表:
从表中可以看出,从2010年开始,APT-C-39组织就一直在不断升级最新的网络武器,对我国境内目标频繁发起网络攻击。
证据四:APT-C-39组织使用的部分攻击武器同NSA存在关联。WISTFULTOLL是2014年 NSA泄露文档中的一款攻击插件。在2011年针对我国某大型互联网公司的一次攻击中,APT-C-39组织使用了WISTFULTOOL插件对目标进行攻击。与此同时,在维基解密泄露的CIA机密文档中,证实了NSA会协助CIA研发网络武器,这也从侧面证实了APT-C-39组织同美国情报机构的关联。
证据五:APT-C-39组织的武器研发时间规律定位在美国时区。根据该组织的攻击样本编译时间统计,样本的开发编译时间符合北美洲的作息时间。恶意软件的编译时间是对其进行规律研究、统计的一个常用方法,通过恶意程序的编译时间的研究,我们可以探知其作者的工作与作息规律,从而获知其大概所在的时区位置。下表就是APT-C-39组织的编译活动时间表(时间我们以东8时区为基准),可以看出该组织活动接近于美国东部时区的作息时间,符合CIA的定位。(位于美国弗吉尼亚州,使用美国东部时间。)
综合上述技术分析和数字证据,我们完全有理由相信:APT-C-39组织隶属于美国,是由美国情报机构参与发起的攻击行为。尤其是在调查分析过程中,360安全大脑资料已显示,该组织所使用的网络武器和CIA “Vault7(穹窿7)” 项目中所描述网络武器几乎完全吻合。而CIA “Vault7(穹窿7)” 武器从侧面显示美国打造了全球最大网络武器库,而这不仅给全球网络安全带来了严重威胁,更是展示出该APT组织高超的技术能力和专业化水准。
战争的形式不止于兵戎相见这一种。网络空间早已成为大国较量的另一重要战场。而若与美国中央情报局CIA博弈,道阻且长!
本文版权归原作者所有,参考来源:国际安全智库 https://dwz.cn/4KIv8QjM
第二章 国外关键信息基础设施安全动态
(一)美国铁路承包商RailWorks遭受勒索软件攻击后泄露个人信息
近日,美国铁路承包商RailWorks披露了勒索软件攻击事件,该事件泄露了现雇员及前雇员、其受益人和家属以及独立承包商的个人身份信息。
该数据泄露事件发生在2020年1月27日,并于于1月30日和2月7日向遭受攻击的人员发送了电子邮件通知。
RailWorks向加州总检察长办公室提交的文件证实,该公司是一次复杂的网络攻击的受害者,在攻击中,未经授权的第三方对其服务器和系统进行了加密。攻击者可能获得了对PII的访问,包括姓名、地址、驾照号码、身份证、社会安全号码、出生日期、雇用/终止/退休日期。攻击者用来部署用于加密公司系统的恶意软件的方法目前还未知。
RailWorks表示,目前泄露的个人信息还没有被滥用,并且该公司将采取采取预防措施以保护受害者财务安全及减轻受害者担忧。RailWorks将为受影响的个人提供12个月的免费信用监控。
RailWorks成立于1988年,是铁路基础设施解决方案的私营提供商,在美国和加拿大建立和维护铁路运输基础设施。该公司拥有3500多名员工,在美国和加拿大设有45个办事处,与铁路公司,运输机构/部门和运输当局签订了价值30亿美元的合同。
天地和兴工控安全研究院翻译整理,参考来源:BleepingComputer https://dwz.cn/y2lu50T3
(二)英国公共事业公司Southern Water遭受钓鱼攻击
2月26日,英国公用事业公司SouthernWater遭受网络钓鱼攻击,因其一名员工无意中打开了一封冒充其CEO并邮件主题为冠状病毒的电子邮件,导致负责监督、控制和数据采集SCADA的系统受到了攻击。该公司紧急关闭了某些系统。
2月26日,该公司在其官方twitter上表示,由于需要进行必要的维护,系统暂时无法提供服务,并于不久后更新状态,其维护已经完成。27日,SouthernWater的发言人表示,“昨天,网络钓鱼攻击试图获得对我们服务的访问权限。这次尝试并不成功,我们的信息安全团队迅速做出回应,没有访问任何客户或机密数据。攻击并未直接造成任何中断,但是在调查期间,我们确实暂停了许多互联网服务。现在,所有服务都已备份并正在运行。”
多年来,SouthernWater已将其大部分业务外包。该公司于2018年与外包巨头Capita续签了一项管理服务合同,价格高达3000万英镑。该协议规定,Capita将在最初的五年任期内负责前台和后台工作,并可以选择再延长三年。
天地和兴工控安全研究院翻译整理,参考来源:TheRegister https://dwz.cn/2uEsWy2T
(三)美国工业建筑服务公司EMCOR遭受勒索软件Ryuk攻击
近日,美国工业建筑服务公司EMCOR披露了勒索软件攻击事件,该事件破坏了其部分IT系统。攻击的勒索软件为Ryuk。
该事件发生在2月15日,攻击的详细信息和后果尚未公开。EMCOR表示,并非所有系统都受到影响,只有某些IT系统受到影响,作为预防措施,该公司立即关闭了受影响的IT系统以控制感染。该公司实施了业务连续性计划,以促进正在进行的运营,并在适当情况下恢复系统,该公司仍可以继续为客户提供服务。该公司未具体说明是否支付了赎金要求或是否正在从备份中恢复。EMCOR表示,目前没有任何直接证据表明该攻击已经使用了员工或客户数据。
在2019年第四季度的财务报表中,EMCOR调整了2020年的预估目标,考虑到了因勒索事件造成的停机而造成的损失。
EMCOR是美国财富500强公司,由80多个规模较小的公司组成,在全球170多个地区运营,拥有33,000多名员工。该公司去年的收入为90亿美元。
近期勒索软件攻击的受害者包括美国国防部承包商EWA,律师事务所EPIQ Global,北美铁路公司RailWorks,克罗地亚最大的加油站连锁INA Group,零部件制造商Visser和法国ISP和云服务提供商 Bretagne Télécom。
天地和兴工控安全研究院翻译整理,参考来源:Zenet https://dwz.cn/s3cVPhJK
(四)美国零件制造商Visser遭受勒索软件攻击并泄露数据
近日,网络安全公司Emsisoft研究人员发现,航空及国防工业领域的精密零件制造商Visser遭受了勒索软件DoppelPaymer攻击,泄露了其与特斯拉、SpaceX、波音等公司的敏感数据。
在一份声明中,该公司确认其近期成为了网络安全犯罪事件的攻击目标,包括访问或盗窃数据。该公司会继续对该攻击进行全面调查,并保持业务正常运行。
Emsisoft安全研究人员表示,攻击是由勒索软件DoppelPaymer发起的的。DoppelPaymer是一种新型文件加密恶意软件,会首先泄漏公司的数据,如果未支付赎金,勒索软件就会发布被盗的文件。
Emsisoft的威胁分析师Brett Callow首先提示DoppelPaymer在其黑客组织网站上发布了盗取的文件。
该泄漏的数据包含从Visser窃取的文件列表,包括带有客户名称的文件夹,包括Tesla、SpaceX、波音公司和国防承包商洛克希德·马丁公司,部分文件可供下载。这些文件包括Visser与Tesla和SpaceX之间的保密协议。另外一个泄露的文件是导弹天线的局部示意图,被标记为包含“洛克希德·马丁公司专有信息”。
特斯拉、SpaceX、波音等公司尚未对该时间作出回应。洛克希德·马丁公司的一位发言人表示,该公司已经意识到Visser的情况,并正在遵循与供应链相关的潜在网络事件的标准响应流程。
自去年年中以来,DoppelPaymer勒索软件一直处于活跃状态,其受害者包括智利政府和墨西哥国有石油公司Pemex。但是与Maze勒索软件不同,DoppelPaymer从中获得了很多窃取数据的灵感,勒索文件中的注释并不表示数据已被窃取。相反,只有在公司访问勒索软件的网站进行付款时才披露。
Callow表示,有些公司甚至可能没有意识到他们的数据在发布之前就已经被窃取了。数据盗窃是现在多个组织都采用的一种策略,因此,勒索软件事件应被视为数据泄露,直到可以确定它们没有被破坏为止。在展示盗窃文件的网站上表示,还有“更多”文件要发布。
Visser Precision是位于美国科罗拉多州丹佛市的制造商,为包括汽车和航空业在内的许多行业生产定制精密零件,服务范围广泛,还包括安全防御。
天地和兴工控安全研究院翻译整理,参考来源:TechCrunch https://dwz.cn/5ATEao7T
(五)委内瑞拉大规模停电导致35%电信基础设施中断
2020年3月1日,委内瑞拉发生了大规模停电事件,全国范围内的电力供应发生波动,使该国约35%的电信基础设施瘫痪,影响了委内瑞拉的多个州,移动网络也部分受到该事件的影响。
数据表明,委内瑞拉的几个州都受到新的电力中断的严重影响,有的情况下五个小时后连接性仍然受到限制。移动网络也部分受到干扰的影响,但波动后已迅速恢复。
委内瑞拉国家电网在近一年内多次崩溃。自2019年3月7日国家电网故障发生以来,对电信网络的影响高于其他情况。在先前的停电事件中,医院报告了由于紧急和长期医疗保健系统故障而导致的故障和生命损失,对人类和经济的影响在很大程度上尚未得到评估。
天地和兴工控安全研究院翻译整理,参考来源:NetBlocks https://dwz.cn/4epzd2Q1
(六)卢旺达政府数据中心遭受黑客攻击
近日,卢旺达托管与政府有关服务器的数据中心遭受了黑客攻击,导致该数据中心离线数小时。
该事件发生于2月18日,网络攻击致使该数据中心离线了数小时,导致大多数政府网站离线,包含总统及军队网站。同时,该中心还托管私有服务器,致使无法接受流量。
当地新闻媒体塔里法Taarifa指出,该中心以前曾成为攻击目标,国际黑客组织匿名者Anonymous曾于2016年对多个国家发起了袭击。该组织被称为世界黑客团队,曾成功攻击了IT公司Broadband Systems Corporation,该公司为卢旺达政府提供视频会议软件。攻击者成功获取并公开发布了包括电子邮件帐户、密码和电话号码在内的数据,客户信息和内部电子邮件也遭到破坏。
非洲的相对较不发达的互联网部门容易遭受网络攻击,且安全性仍然相当宽松。网络攻击数量一直在增加,尽管到目前为止,风险已经比发达市场低一些,但这个问题仍需解决。
天地和兴工控安全研究院翻译整理,参考来源:Developing Telecoms https://dwz.cn/x7zXU5Ob
(七)俄罗斯间谍试图窃听跨大西洋海底电缆
据《星期日泰晤士报》报道,俄罗斯情报人员已被派往爱尔兰,收集有关连接欧洲与北美的海底电缆的详细信息。情报机构担心俄罗斯计划通过窃听甚至破坏海底电缆来开展新的网络间谍活动。爱尔兰是洲际通信的战略要地,因为它所处的地理位置是承载互联网流量的海底电缆从北美连接到欧洲的地方,重要性显而易见。
爱尔兰警方和军事情报机构认为,这些俄罗斯特工是由俄罗斯武装部队军事情报部门GRU派遣的。涉嫌杀害前俄罗斯情报官员谢尔盖·斯克里帕尔的同一分支。俄罗斯间谍还被看到监控都柏林港口,这促使地方政府加强了对爱尔兰沿海关键基础设施和着陆点的控制。专家认为,爱尔兰是俄罗斯情报的特权目标,因为它缺乏反情报能力。
攻击海底电缆并不是什么新鲜事,2014年,The Register刊登了位于阿曼北部海岸Seeb的英国秘密间谍基地的信息,这一战略位置使英国政府可以利用穿过霍尔木兹峰进入波斯/阿拉伯海湾的各种海底电缆。这些文件还揭示揭露了其他间谍基地的存在,这些基地位于代码为TIMPANI、GUITAR和CLARINET的秘密地点。
斯诺登泄露的文件显示,登记册报告称,GCHQ的秘密结构是代号为CIRCUIT的监视计划的一部分,还指的是海外处理中心1(OPC-1),而另一个中心是OPC-2已经在计划之中。该基地位于阿曼北部海岸的Seeb,为政府通信总部接入各种海底电缆提供服务,Seeb是阿曼的三站点GCHQ网络之一,代号为TIMPANI的位置靠近霍尔木兹海峡,用于监听伊拉克在阿曼南部的通讯,GUITAR和CLARINET基地位于阿曼南部,用于监视也门的通信。
2014年6月,由The Intercept和丹麦的Dagbladet Information记者公布了斯诺登秘密文件的最新集合显示,美国已经与30多个第三方国家达成了在世界各地窃听电缆的绝密协议。这些文件提到一个名为RAMPART-A的秘密项目,该项目是在其他情报机构的秘密安排下进行的。
几个月后,2014年底,根据爱德华·斯诺登泄露的文件撰写的新报告显示,由于得到了cable & wireless公司的支持,海底电缆已成为GCHQ运营的全球大规模监视系统的组成部分。该公司于2012年7月被沃达丰(Vodafone)以约15亿美元的价格收购。
英国第四频道新闻、德国报纸SüddeutscheZeitung和德国广播公司WDR透露了为这次大规模监听行动提供支持的细节。 报告中提供的数据令人不安,英国电信公司支持GCHQ从海底电缆中收集大量互联网数据,2007年至2012年的信息总量增长了7,000倍,与此同时,间谍系统每天监控近460亿私人通讯事件。海底电缆收集的数据将包括在线消息,浏览会话,VOIP通话和电子邮件中的内容。
英国电信公司Cable&Wireless在海底电缆的窃听中发挥了关键作用,2009年2月,GCHQ的一名员工被分配到公司内部,担任“专职项目管理”角色,以从内部跟踪操作。GCHQ向Cable&Wireless支付了超过500万英镑(900万美元),作为GCHQ使用海底电缆的年度租赁的一部分。在文件中,该公司被称为代号是Gerontic 的“合作伙伴”。 尽管2012年7月沃达丰(Vodafone)收购了Cable&Wireless,但截至2013年4月,Nigella监控接入点仍处于活动状态。
天地和兴工控安全研究院翻译整理,参考来源:SECURITY AFFAIRS https://dwz.cn/c0iiiCsq
(八)黑客组织TA505持续攻击韩国金融机构
韩国金融部门信息共享和分析中心ISAC金融安全研究所FSI的研究人员2月28日表示,黑客组织TA505在2019年的大部分时间里都在尝试针对韩国金融、制造和医疗服务企业发起钓鱼攻击。
研究人员表示,黑客组织TA505至少自2014年以来一直活跃,并且似乎与FIN7共享工具、技术和程序。FIN7是一个俄罗斯国家组织,至少导致全球损失超过10亿美元。
金融安全研究所表示,TA505在整个韩国发送的许多网络钓鱼电子邮件都包含恶意的Excel文档,并且通常依赖于恶意软件FlawedAmmyy。FlawedAmmyy是一个远程访问木马,这意味着攻击者可以在受害者不知情的情况下控制受感染的计算机,监视用户的活动并收集其用户名和密码。
对去年2月至12月之间的612,021个网络钓鱼电子邮件进行的分析表明,其中81%的邮件是在工作日发送的,大部分在星期四(25.7%)和星期三(24.5%)。对于研究人员而言,这表明该小组确定了韩国用户最脆弱的时间段。他们还找到了一个伪装成苹果登录门户网站的网络钓鱼页面,这显然表明TA505也在从美国科技公司的韩国客户那里窃取数据。
据金融安全研究所称,TA505还使用了一种名为Rapid的勒索软件,这是该组织的一项新技术。Rapid只
使用过一次,其中还涉及一个恶意Excel文件。研究人员表示,Rapid可能是短期使用的勒索软件,但是我们还是要长期跟踪以防止其用于长期竞选活动。
天地和兴工控安全研究院翻译整理,参考来源:cyberscoop https://dwz.cn/X8LSymZ8
(九)美国药店Walgreens泄漏用户个人信息
美国第二大药店Walgreens 2月28日在其官方APP中发现了一个漏洞,导致泄漏了部分用户个人信息。该泄漏被描述为Walgreens移动应用程序个人安全消息传递功能中的错误,可能泄漏的信息包括用户姓名、处方详细信息,商店编号和送货地址。
该公司在发送给客户的违规通知表示:“我们的调查确定,内部应用程序错误使来自Walgreens的某些存储在数据库中的个人消息可以被其他客户使用Walgreens移动应用程序查看。”允许用户查看其他用户的个人数据和药物处方详细信息的时间为1月9日至1月15日之间。
Walgreens已于1月15日得知错误的当天修复了该错误。Walgreens迅速采取措施,禁用Walgreens移动应用程序中的消息查看功能,以防止进一步的披露,直到实施永久纠正以解决该问题为止。Walgreens将针对将来的更改进行适当的附加测试,以验证更改不会影响客户数据的隐私。
该公司没有透露该漏洞具体影响用户的数量,但表示敏感药物处方的详细信息仅占受影响用户总数的一小部分。该APP在GooglePlay商店中的下载量超过1000万次,在iOS中的评分数量超过250万。
天地和兴工控安全研究院翻译整理,参考来源:ZDNet https://dwz.cn/ezDNJoiM
(十)APT34使用新型Karkoff植入入侵黎巴嫩政府
2018年11月,思科Talos的研究人员追踪并详细描述了针对黎巴嫩和阿联酋目标的DNSEspionage行动。威胁行为者将黎巴嫩政府拥有的域名的DNS流量重定向到该国的目标实体进行了一次网络间谍活动。
在2019年4月,思科Talos发现了APT34(代号Helix Kitten或OilRig)与DNSEspionage行动之间联系的证据。Talos分析人员发现了攻击者使用的基础架构中的一些重叠之处,并确定了常见的TTP。他们追踪了这种新的植入Karkoff。
来自Cybaze/Yoroi Zlab的专家,作为普通威胁情报活动的一部分,发现了一个新的样本,他们认为这是Karkoff植入的更新。可以证明APT34仍然处于活动状态,威胁参与者在一个新的活动中使用了它,在撰写本报告时这个活动似乎还很活跃。APT组织在技术,策略和程序做了一些改变,但目标是一样的,黎巴嫩政府。
在此行动中,APT组织可能入侵了属于黎巴嫩政府实体的微软Exchange服务器,研究人员在通信逻辑中找到了一些证据。
这种新的植入与过去活动中涉及的Karkoff样本有一些相似之处,包括:相似的宏观结构、具有类似逻辑的.NET模块化植入、利用Microsoft Exchange Server作为通信渠道。
此外,新的Karkoff植入物实现了一种新的侦察逻辑,以便将最终有效载荷投放到特定目标,收集系统信息、域名、主机名和正在运行的操作系统。
该恶意软件是一个 excel 文件与恶意宏嵌入。 下图显示所提取代码的亮点。
宏从文件的主体中提取自定义的base64代码,在执行解码例程之后,将可执行文件下载到以下路径“ C:\ Users \ public \ .Monitor \ monitor.exe”中。通过调度一个名为SystemExchangeService的新任务来确保持久性。
提取的有效载荷完全没有被混淆,并进行了简单而快速的分析。
该示例尝试连接到自己的命令和控制服务器,该服务器恰好是属于黎巴嫩政府的Exchange邮件服务器。连接后,C2会以回复的电子邮件的形式将可用命令列表作为附件进行回复。从GetList函数观察到电子邮件主体解码过程。从主体开始,对自定义编码的字符串进行解码,然后将其解释为命令。经过分析,该恶意软件试图来回连接至其C2以获得授权,并共享有关受感染系统的详细信息。它使用了交换客户端的UserAgent。另一个证据是第二指挥控制中心的注册域名:它已经在1月27日注册,可能表明了新攻击的开始日期。
APT34仍然很活跃,这次针对黎巴嫩政府的行动证明了这一点。新版Karkoff恶意软件表明,与伊朗有关的APT34网络间谍组织,正在继续改进其武器库。 参与这次行动的样本实现了新的侦察能力,它通过使用微软的交换协议,实现了一个隐蔽而有效的 c2通信通道。该组织可能使用其武库中的另一种工具JASON工具来利用或强加一个与黎巴嫩有关的邮件帐户。Jason工具在2019年底泄露,攻击者可能会使用它对交换服务器进行暴力攻击。
天地和兴工控安全研究院翻译整理,参考来源:securityaffairs https://dwz.cn/A3OsmgC8
(十一)韩国新天地教会一日被黑客攻击两次,威胁将泄露信徒信息
3月4日,韩国新天地教会的网站一天内连续2次被黑客攻击,黑客留言称,如果在3月5日前不向政府提交教会信徒名单,将把所有信徒住址信息交给政府。
据韩国《朝鲜日报》消息,4日上午登录新天地教会网站的“针对新冠病毒和新天地耶稣教会假新闻Q&A”页面,会出现“新天地网站被中学生黑了哈哈哈哈”的弹窗,以及一张佛像图片。
报道称,新天地方面随后也确认了网站被黑一事。据《朝鲜日报》介绍,被攻击的网页是上月21日新天地方面为了反驳教会和疫情相关假信息而制作的。报道还援引信息安全相关人士的话称,网上有很多网友要求对新天地官网进行攻击的声音,他认为是有人为了吸引注意力而对网站实施了攻击。
然而这事儿还没完,4日下午,新天地教会的网站又被黑客攻击了。据韩国“news1”新闻网站称,4日下午,新天地教会网站“新冠病毒假新闻真相确认”栏目中,原本新天地方面上传的帖子不见踪影,取而代之的是10余篇黑客上传的帖子。包括题为《我不是佛像中学生哈哈》《我是蟑螂,无法去除》《大家一起笑吧》等帖子。帖子里还有“如果3月5日下午5时前不把名单给政府的话,就把所有信徒的住址都给政府”等留言。
本文版权归原作者所有,参考来源:环球网 https://dwz.cn/mu2qc0qm
天地和兴,安全周报,关键信息基础设施
相关信息
2022-09-16
2022-09-09
2022-09-02
