关键信息基础设施安全动态周报【2019年第14期】
发布时间:
2019-11-23
来源:
作者:
访问量:
40
目 录
第一章 国内关键信息基础设施安全动态简讯
(一)美国和台湾地区首次演练网络攻防
(二)公安部通报“净网2019”专项行动典型案例
第二章 海外关键信息基础设施安全动态简讯
(一)墨西哥石油公司Pemex遭受勒索490万美元
(二)DDoS攻击针对Amazon、SoftLayer及电信基础设施
(三)英国工党系统遭受大规模DDoS网络攻击
(四)ASP.NET 托管服务商 SmarterASP.NET 遭受勒索软件攻击
(五)威胁组织TA2101冒充政府机构传播恶意软件
(六)伊朗云服务商通过MTProxy遭受DDoS攻击
(七)非常规勒索软件PureLocker针对企业服务器定向攻击
(八)以色列安全软件公司ZoneAlarm的论坛网站遭遇数据泄露
(九)美国健康网络泄露个人身份信息及健康信息
第一章 国内关键信息基础设施安全动态简讯
(一)美国和台湾地区首次演练网络攻防
11月4日,台湾地区和美国首度联合举行为期五天的“大规模网络攻防演练”,研究如何回击所谓来自“朝鲜等网络威胁”。这次演练还有包括印尼、日本、捷克、澳大利亚、马来西亚等10个至11个国家参与。
台“行政院资安处长”简宏伟当天表示,台湾每月遭受境外网络攻击次数平均达3000万次,虽然没办法完全确定攻击来源,但他声称“推估有一半以上来自中国大陆”。
《联合报》报道称,4日,美国在台协会(AIT)与台“行政院资安处”共同举办首次联合网络攻防演练,这项演练是年度“大规模网路攻防演练”(CODE)的一环。
前两天将由美国政府提供针对朝鲜网络威胁的培训和演练,后两天由台湾当局和区域伙伴进行实战网络演习,最后一天则是就学到的经验教训进行讨论。
在4日的开幕式上,美国在台协会代理处长谷立言声称,此次联合举办网络攻防演习是“前所未有的创举”。他表示,如今面对的最大威胁,已不再是抢滩的部队,而是恶意行为者企图用社会及网络的开放性,威胁产业、民主体制以及关键基础建设的完整性,包括金融体系及电信网络,企图窃取营业机密等等。
谷立言提到,美国正在快速深化与台湾地区的网络安全合作,称这是为了帮助台湾地区加入美国国土安全部的“自动指标分享系统”,之后便能快速分享网络威胁指标。
台“行政院资通安全处长”简宏伟表示,台湾公部门每个月遭受境外的网路攻击次数达2000万至4000万次,和欧洲国家一个月可能只有几万次相比,台湾受攻击的频率非常高,属于“前段班”。至于攻击来源,简宏伟声称,来自各国都有,虽然没有办法完全确定,但他声称“推估有一半以上来自中国大陆”。
另据台“中央社”报道,未来AIT将与台湾在3个领域展开密切合作,以加强网络安全和电子经济。包括美国和台湾地区将于12月举行第三届“数位经济论坛”(DEF);AIT及美国政府将在2020年初邀请美国专家赴台举办“巡回说明会”提高公众的防范意识;AIT希望和台湾密切合作,研究设立台湾“国际网络安全卓越中心”,声称便于台湾地区以及整个印太区域的公私部门能够在信息安全议题上密切合作,尤其在网络、5G和新兴信息安全标准等领域的合作。
本文版权归原作者所有,参考来源:观察者网
(二)公安部通报“净网2019”专项行动典型案例
公安部11月14日在京召开新闻发布会,通报全国公安机关开展“净网2019”专项行动工作情况及典型案例。
北京、江苏、海南公安机关网安部门侦破多起利用“暗网”实施犯罪案件。近年来,不法分子利用“暗网”实施违法犯罪活动的情况日益增多,特别是群众反映强烈的个人信息买卖、淫秽物品传播等行为逐渐在“暗网”崭露头角。虽然“暗网”具有匿名性和隐蔽性特点,但“暗网”并不是“法外之地”和“避罪天堂”。针对“暗网”上充斥的违法犯罪活动,公安机关网安部门加大侦查打击力度,层层突破技术难点,接连侦获多起利用“暗网”实施犯罪的案件。今年以来,全国共立“暗网”相关案件16起,抓获从事涉“暗网”违法犯罪活动的犯罪嫌疑人25名,其中已判处有期徒刑的2名,刑事拘留23名。北京公安机关网安部门于今年7月在湖南、广东等地抓获利用“撞库”等黑客技术获取境内外电商数据库并通过“暗网”出售获利的犯罪嫌疑人3名,于8月在江苏抓获通过“暗网”售卖淫秽视频95部的犯罪嫌疑人1名。江苏公安机关网安部门于今年5月抓获在“暗网”上贩卖南京1400余万条居民社保数据的犯罪嫌疑人3名。海南公安机关网安部门于今年8月抓获在“暗网”上贩卖9万余条学生数据的犯罪嫌疑人2名。同时,公安部网络安全保卫局深化“一案双查”制度,敦促有关单位加强网络安全保护工作,从源头堵塞公民个人信息泄露安全隐患。
本文版权归原作者所有,参考来源:公安部
第二章 海外关键信息基础设施安全动态简讯
(一)墨西哥石油公司Pemex遭受勒索490万美元
2019年11月10日,墨西哥石油公司Pemex遭受勒索软件DoppelPaymer攻击,需支付490万美元赎金才能解密其文件。该公司称受影响的计算机不足5%,并通知其内部员工不要打开计算机,直到第二天11日再开机重启运行。在其Twitter声明中,Pemex表示其运营和生产系统正常运行,并对其燃料生产、供应和库存没有影响。
最初认为Pemex感染的是勒索软件Ryuk,但赎金记录和Tor付款站点表明该公司感染的是DoppelPaymer,一种BitPaymer勒索软件的分支。
安全研究员Kremez表示,Pemex可能最初感染的是Emotet Trojan,然后感染了恶意软件Dridex,这为DoppelPayer攻击者提供了网络访问权限,然后他们使用Cobalt Strike和PowerShell Empire将勒索软件横向传播到网络的其余部分。
受害者可以使用Tor付款,DoppelPaymer要求支付565比特币,约合4,899,295.80美元。该付款网站有在线聊天功能,受害者可以和勒索方进行谈判,然而此聊天对话为空,表明Pemex并未尝试与勒索者讨论赎金。
天地和兴安全研究院翻译整理,参考来源:Bleeping Computer
(二)DDoS攻击针对Amazon、SoftLayer及电信基础设施
近日,Radware的研究人员发现,在过去30天中DDoS攻击活跃,攻击多使用TCP SYN-ACK反射攻击,攻击目标包括Amazon、SoftLayer、Eurobet Italia SRL、Korea Telecom、HZ Hosting、SK Broadband。
十月份,意大利在线体育赌博网站Eurobet遭受持续数天的攻击,并影响其他几个博彩网络。十月下旬,全球多家垂直行业的公司都遭受了DDoS攻击,包括意大利、韩国、和土耳其的金融及电信行业的大规模攻击。
Radware研究人员指出:由于一种攻击媒介的反射特性,安全团体注意到了这种攻击。在24小时内,土耳其基础设施供应商Garanti Bilisim Teknolojisi ve Ticaret TR.AS的数百万个TCP-SYN数据包从近7,000个不同源IP地址的在全球范围内被感知到,并且具体针对端口22、25、53 ,80和443。”
Radware表示,该活动是攻击者利用TCP反射攻击始于2018年开始的激增趋势的延续。这些往往是低带宽,但它们会产生高数据包速率(每秒增加的数据包量),这需要网络设备提供大量资源来处理流量并造成中断。Radware研究人员解释说,这就是大型公司和电信网络经常成为攻击目标的原因。
在最近的DDoS努力中使用的特定类型的TCP攻击是TCP SYN-ACK反射攻击。在这种情况下,攻击者向一系列随机或预选的反射IP地址发送了一个伪SYN数据包,并将原始源IP替换为受害者的IP地址。反射地址处的服务以SYN-ACK数据包答复欺骗攻击的受害者。如果受害者没有响应,则反射服务将继续重新发送SYN-ACK数据包,从而导致放大。放大量取决于反射服务重新发送的SYN-ACK数量,攻击者可以定义数量。多数目标网络无法正确响应欺骗请求,这将禁用TCP重传放大。
根据Radware的说法,这类活动的影响范围非常大,从而降低了目标网络以及全球反射网络的服务质量。
不仅目标受害者(通常是大型且受到良好保护的公司)必须应对大量的TCP流量,而且随机选择的反射器(从小型企业到房主)还必须处理被欺骗的请求和潜在的合法答复。研究人员在最近的一篇文章中写道。“那些没有为这种交通高峰做好准备的人会遭受二次中断,SYN洪水是附带受害者所感知的副作用之一。
在最近的TCP反射攻击中,该公司的取证表明,攻击者利用互联网上大部分的IPv4地址空间作为反射器,其欺骗源来自托管在子网中的僵尸程序或服务器,并且未经IP源地址验证。
天地和兴安全研究院翻译整理,参考来源:ThreatPost
(三)英国工党系统遭受大规模DDoS网络攻击
近日,英国工党系统遭受了大规模DDoS攻击。工党发言人表示,DDoS攻击发出数百万个请求攻击工党网站及在线竞选工具和平台。
该网站及平台在2019年11月11日处于离线状态,该党表示他们正在迅速采取行动,IT和数字团队正努力使系统恢复正常运行。工党表示,我们的安全程序放缓了某些竞选活动,今日早上系统已经全部恢复,我们有信心不会发生数据泄露。
在首次出现最初DDoS攻击的几小时后,工党网站遭到了第二次DDoS攻击,并短暂关闭。截至2019年11月12日晚上,在DDoS防护服务验证请求之前,该站点的某些访问者仍被迫等待几秒钟,才能获得访问权限。
(DDoS)攻击是一种网络攻击,攻击者将大量Web流量定向到目标,以淹没主机基础结构,从而导致受害者的Web服务变慢或完全脱机。
虽然工党将这种攻击描述为“复杂”的攻击,但即使是低级别的攻击者也可以使用破坏性的DDoS攻击,因为地下论坛上有许多供应商提供DDoS租用服务。这些恶意操作使没有高水平技能的攻击者只需支付几美元即可将网络流量定向到其预期的受害者。
该事件已报告给国家网络安全中心(NCSC)。NCSC发言人表示,工党遵循了正确的、商定的程序,并迅速通知我们。NCSC有信心该党采取了必要的措施来应对这次袭击。这次袭击没有成功,该事件现已结束。
这次袭击是在大选运动的初期进行的,英国定于12月12日进行民意调查。
据英国广播公司报道,工党领导人杰里米·科宾在一次政策发布会上对媒体表示,网络攻击“非常严重”,并且如果这是即将到来的迹象,我对此感到非常紧张。工党正在调查袭击背后的人。
天地和兴安全研究院翻译整理,参考来源:ZDNet
(四)ASP.NET 托管服务商 SmarterASP.NET 遭受勒索软件攻击
2019年11月9日,ASP.NET托管提供商之一SmarterASP 宣布遭受勒索软件攻击。攻击加密了公司客户的数据,并导致该网站在9日无法访问,直至近日10日凌晨才能再次打开。
SmarterASP.NET是最受欢迎的ASP.NET托管提供商之一,该公司拥有超过440,000个客户。
该公司确认了此事件并宣布正在恢复客户的服务器,但没有分享遭受的恶意软件的类型。目前尚不清楚SmarterASP是否决定支付赎金,或者是否正在使用其备份来恢复数据。
在该公司网站上发布的声明中写道。您的托管帐户受到攻击,黑客已对您的所有数据进行加密。我们现在正在与安全专家合作,尝试解密您的数据,并确保不再发生这种情况。
该公司聘请了安全专家来解密其数据并保护其基础架构。许多客户仍然无法访问其帐户和数据。
根据有些客户在Twitter上分享的截屏,感染了该公司的勒索软件会在该附件的后面加上 “.kjhbx”文件扩展到它加密的每个文件名。
天地和兴安全研究院翻译整理,参考来源:Security Affairs
(五)威胁组织TA2101冒充政府机构传播恶意软件
在2019年10月16日至11月12日之间,Proofpoint研究人员发现了一个新的威胁组织TA2101,该组织在发送的恶意垃圾邮件中冒充美国邮政总局,德国联邦财政部和意大利税务局,以通过恶意附件提供勒索软件,后门程序和银行木马,攻击对象包含IT服务、制造业、和医疗保健。
从整个十月到2019年11月,这个威胁行动者针对德国的垃圾邮件是冒充德国联邦财政部Bundeszentralamt fur Steuern,这些电子邮件伪装成通知用户欠税的通知,并且包含恶意的Word文档附件,这些附件指出他们具有有关如何请求退款的信息。
如果用户打开此附件并启用其宏,受害人的计算机上将安装Cobalt Strike(一种攻击者通常用作后门的合法渗透测试工具)以及Maze Ransomware。研究人员还表示,该活动针对的是IT支持公司,这可能是试图获得对MSP的后门访问权,以便将Maze Ransomware推向MSP的客户。10月和11月的进一步运动继续针对具有类似网络钓鱼电子邮件的德国收件人,其中一项运动冒充了德国互联网服务提供商 1&1 Internet AG。
10月29日,Proofpoint从该威胁组织那里检测到一个新的广告系列,但这一次通过假扮意大利税务局或Agenzia delle Entrate来针对意大利用户, 该电子邮件伪装成企业和消费者必须遵循的新的税收和收入准则,并建议收件人打开附件VERDI.doc来阅读它们。
当用户打开恶意文档时,它将声明已使用RSA加密对其进行了加密,并且用户必须启用内容才能解密文件。一旦用户启用了内容,恶意宏就会执行,将Maze Ransomware安装到受害者的计算机上。
就在最近的11月12日,Proofpoint再次注意到了来自同一威胁者的一场运动,但是这次针对美国的医疗保健行业。在此活动中,该组织发送假装来自美国邮政服务(USPS)的电子邮件,其中包含名为“ USPS_Delivery.doc”的恶意Word文档附件。与以前的义大利活动类似,该活动的恶意文件假装为RSA加密,并且查看它们的唯一方法是“启用内容”。
如果用户在此广告系列中启用了宏,则他们将在计算机上安装IceID银行木马,这将尝试窃取在线银行凭据。
政府机构将不会通过电子邮件传达有关敏感信息(例如退税)的信息。如果用户到一封声称带有政府机构附件的电子邮件,则应立即将其视为可疑邮件,建议在打开任何附件或拨打任何可能列出的电话号码之前直接致电该机构。
天地和兴安全研究院翻译整理,参考来源:Bleeping Computer
(六)伊朗云服务商通过MTProxy遭受DDoS攻击
2019年11月6日开始,伊朗的一家云基础设施提供商通过MTProxy遭受DDoS攻击。该国的Telegram用户使用MTProxy服务器来避免政府强制执行的互联网限制。
因为伊朗禁止使用Telegram,该国的用户通过MTProxy服务器来传输信息,从而通过加密使流量看起来是随机的。这使限制变得很困难,从而使服务器可以实现其反审查目的。
上周,来自Arvan Cloud的工程师注意到大量流量从伊朗的IP地址攻击了其边缘服务器。攻击于11月6日上午开始,并在本周末结束。它的峰值是每秒5,000个请求,这是云提供商或DDoS保护服务可以轻易击败但可以破坏伊朗许多网站活动的力量。
Avran Cloud指出,这些分布式攻击与以前所见不同。他们以Arvan Cloud边缘服务器为目标,在请求中未定义域,流量记录在第二层(数据链路),并且未使用通用协议。他们能够通过猜测来确定不良流量的来源。MTProxy服务器在伊朗的流行以及其免费和易于使用的特点与攻击的广泛分布相吻合。利用这些服务器也不会太困难,因为攻击者只需用目标计算机的IP替换一个代理服务器的地址即可。代理域可以有多个IP地址,而Telegram将请求发送到所有这些IP地址。仅使用一个地址进行攻击只会降低服务速度。Arvan Cloud的安全团队能够在模拟中测试他们的理论,该模拟所产生的流量类似于他们在DDoS攻击中记录的流量。
天地和兴安全研究院翻译整理,参考来源:Bleeping Computer
(七)非常规勒索软件PureLocker针对企业服务器定向攻击
2019年11月12日,Intezer和IBM X-Force的网络安全分析师发现了一种新型的未被发现的服务器加密恶意软件,他们将其命名为PureLocker,因为它是用PureBasic编程语言编写的。
用PureBasic编写勒索软件是很罕见的,但是它为攻击者带来了好处,因为有时安全厂商会努力为使用这种语言编写的恶意软件生成可靠的检测签名。PureBasic还可以在Windows,Linux和OS-X之间转移,这意味着攻击者可以更轻松地针对不同的平台。
在这种情况下,对服务器发起攻击,使其为人质,并仅在支付了加密货币赎金后才将其恢复运行。针对服务器的勒索软件攻击通常导致需要支付数十万美元以换取解密系统的费用,并且如果不支付赎金,可能伴随着销毁数据的威胁。
Intezer的安全研究员Michael Kajiloti表示:针对服务器意味着攻击者正试图打击真正造成伤害的受害者,尤其是存储组织最关键信息的数据库。
目前尚无PureLocker受害人数的数字,但是Intezer和IBM X-Force已经确认了勒索软件活动是活跃的,并且向受害者提供了勒索软件。
但是,与其将服务提供给定制的工具,而不是将其提供给任何想要的人,它仅适用于首先可以支付高额费用的网络犯罪活动。
PureLocker勒索软件的源代码提供了其专有性质的线索,因为它包含来自“ more_eggs” 后门恶意软件的字符串。研究人员将这种恶意软件在黑暗的网络上出售,研究人员称其为恶意服务的“资深”提供者。
这些工具已被包括Cobalt Gang和FIN6在内的当今一些最高产的网络犯罪集团使用-勒索软件与这些黑客团伙之前的活动共享代码。这表明PureLocker是为那些知道自己在做什么并且知道如何打击大型组织的犯罪分子而设计的。
目前尚不确定PureLocker如何准确地传递给受害者,但研究人员注意到more_eggs 攻击始于网络钓鱼电子邮件,因此勒索软件攻击可能以同样的方式开始,最终的有效负载可能是多阶段攻击的最后一部分。
那些感染了PureLocker勒索软件的人会收到赎金通知,告知受害者他们需要联系电子邮件地址以协商解密文件的费用。还警告用户,他们只有七天的时间支付赎金,如果不支付,则私钥将被删除,这意味着文件将无法恢复。
研究人员认为,PureLocker活动仍在进行中,确保组织制定适当的网络安全策略以防止受到攻击非常重要。与任何恶意软件威胁一样,拥有良好的安全基础架构将有所帮助,但对员工进行网络钓鱼的教育也至关重要。
天地和兴安全研究院翻译整理,参考来源:ZDNet
(八)以色列安全软件公司ZoneAlarm的论坛网站遭遇数据泄露
近日,以色列网络安全公司Check Point Technologies旗下互联网安全软件公司ZoneAlarm遭受数据泄露,暴露了其论坛用户的数据。
ZoneAlarm为全球家庭PC用户,小型企业和移动电话提供了防病毒软件,防火墙和其他病毒防护解决方案,拥有近一亿次下载量。
ZoneAlarm或其母公司Check Point尚未公开披露安全事件,但该公司在本周末悄悄地通过电子邮件向所有受影响的用户发送了警报。电子邮件的违规通知建议ZoneAlarm论坛用户立即更改其论坛帐户密码,并告知用户黑客未经授权获得了用户的名称、电子邮件地址、哈希密码和生日的访问权限。
此外,该公司还澄清说,安全事件仅影响在“ forums.zonealarm.com ”域名中注册的用户,该域的订户数量很少,接近4,500。
电子邮件通知还显示,该论坛与其他网站不同,并且只有少数用户注册到此特定论坛。为了解决该问题,该网站处于非活动状态,并且将在修复后立即恢复。登录论坛后,系统将要求用户重置密码。
一名该公司发言人确认,攻击者利用vBulletin论坛软件中的一个已知的严重RCE漏洞(CVE-2019-16759)来破坏ZoneAlarm的网站并获得未经授权的访问。此漏洞影响了vBulletin 5.0.0版本至最新的5.5.4,项目维护人员随后针对该版本发布了修补程序更新,但仅针对最新版本5.5.2、5.5.3和5.5.4。该安全公司一直在运行的就是vBulletin软件5.4.4版本。
当时的零日漏洞vBulletin是匿名黑客在今年九月下旬公开披露,如果被利用,可允许远程攻击者接管未打补丁的安装vBulletin完全控制。
ZoneAlarm公司上周晚些时候了解到该漏洞,并立即通知了受影响的用户,尚不清楚攻击者何时入侵该网站。ZoneAlarm正在对此事进行调查。
天地和兴安全研究院翻译整理,参考来源:TheHackerNews
(九)美国健康网络泄露个人身份信息及健康信息
2019年11月13日,Select Health Network和Solara Medical Supplies披露了由于违反其员工的电子邮件帐户而导致的数据泄露事件,该事件泄露了个人身份信息(PII)及受保护的健康信息(PHI)。目前尚未透露信息被公开的人数,但已知会员、患者、以及员工信息都受到了影响。
Select Health和Solara建议可能受到影响的个人对可能的身份盗用或欺诈事件保持警惕,并仔细查看他们的帐户对帐单、信用报告以及其他表格。
Select Health Network是来自圣约瑟夫州和马歇尔县的印第安纳州健康网络,由圣约瑟夫健康系统与770位医疗服务提供者(包括619位专家和151位初级保健医生)合作。Select Health在11月13日披露,从2019年5月22日至2019年6月13日,一位未知的参与者未经授权访问了其员工的电子邮件帐户之一。Select Health在得知电子邮件帐户中的可疑活动后才发现了入侵,从而在立即首先保护帐户安全之后,与第三方法医专家合作进行了调查。
尽管调查无法在查看帐户中存储的数据后确定事件中访问了哪些电子邮件和信息。但是,Select Health在查看了2019年10月1日收到的第三方审计结果之后,便能够识别出受影响的个人,并于2019年11月1日开始与他们联系以获取有关此违规事件的信息。目前,没有证据表明实际或试图滥用电子邮件帐户中可访问的信息,没有任何金融帐户信息受到此事件的影响。
Select Health还建议受影响的当事方立即在其对帐单上报告任何可疑活动,并向其保险公司,金融机构或医疗保健提供者说明福利说明。
受事件影响可能泄露的数据有:姓名、地址、出生日期、会员ID号、治疗/推荐医师、健康保险信、,病史信息、治疗信息、治疗费用信息、健康保险保单号和病历号、社会保障号。
Solara Medical Supplies是美国最大的胰岛素泵和连续血糖监测仪(CGM)的独立供应商。该供应商于2019年6月28日发现,在一系列网络钓鱼攻击之后,于2019年4月2日至2019年6月20日之间未经授权访问了其许多员工的Office 365帐户。Solara还发现,在事件发生时,未知参与者可能已经访问或获取了Office 365员工帐户中存在的某些信息。
在第三方法医专家团队的帮助下,手动查看了受感染的帐户后,Solara能够发现在此事件中暴露了其信息的个人。调查结束后,Solara会通知可能受到影响的个人,并且提供商针对此安全漏洞事件也重置了相关帐户密码。
受事件影响可能泄露的数据有:姓名、地址、出生日期、社会保险号、员工识别号、医疗信息、健康保险信息、财务信息、信用卡/借记卡信息、驾照/州ID、护照信息、密码/ PIN或帐户登录信息、账单/索赔信息以及Medicare ID / Medicaid ID。
天地和兴安全研究院翻译整理,参考来源:Bleeping Computer
相关信息
2022-09-16
2022-09-09
2022-09-02
