关键信息基础设施安全动态周报【2020年第12期】
发布时间:
2020-03-27
来源:
作者:
访问量:
63
《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第12期】天地和兴播报。
目 录
第一章 国内关键信息基础设施安全动态
(一)攻击者利用iOS漏洞针对香港用户发起水坑攻击
(二)黑客利用监控摄像机硬件中的零日漏洞对台湾LILIN公司发起攻击
第二章 国外关键信息基础设施安全动态
(一)针对中东地区工业组织的WildPressure攻击活动
(二)美国密苏里州电厂设备供应商遭勒索软件攻击
(三)Claroty发布全球工业网络安全状况调查报告
(四)Newsweek Vantage发布关于关键基础设施网络风险独立报告
(五)通用电气GE服务供应商遭受黑客攻击泄露个人数据
(六)英国印刷公司Doxzoo泄露英美军方文档
(七)美国网络空间日光浴委员会报告并不完全适用于控制系统和关键基础设施
(八)攻击者利用美国卫生部网站开放重定向传播恶意软件
(九)3月份以冠状病毒为主题的恶意软件报告增加了5倍
(十)黑客企图入侵WHO及其他抗击新冠病毒组织
(十一)新型Mirai变体Mukashi攻击Zyxel NAS设备
(十二)英国金融科技公司Finastra遭受勒索软件攻击
(十三)牙买加国家银行遭受勒索软件攻击
(十四)几内亚议会选举前互联网中断
第一章 国内关键信息基础设施安全动态
(一)攻击者利用iOS漏洞针对香港用户发起水坑攻击
近日,趋势科技的研究人员发现一起针对香港iOS用户的水坑攻击,攻击者可以监视用户并完全控制受感染的设备。攻击者在多个香港流行的论坛上发布恶意链接,这些链接将用户引导到真实的新闻网站的同时,隐藏的iframe会加载并执行恶意代码。恶意代码会利用iOS 12.1和12.2中存在的漏洞的发起攻击,并下载新型恶意软件lightSpy。
恶意软件变体是模块化后门,它允许威胁执行者远程执行外壳命令并操纵受影响设备上的文件。这将使攻击者可以监视用户的设备并对其进行完全控制。它包含用于从受感染设备中窃取数据的不同模块,其中包括:连接的WiFi历史记录、联系人、GPS定位、硬件信息、iOS钥匙串、电话记录、Safari和Chrome浏览器历史记录、短信。攻击者还从目标设备中窃取了有关用户网络环境的信息,包括可用的WiFi网络和本地网络IP地址。Messenger应用程序还专门用于数据渗透,专门针对的应用程序包括Telegram、QQ、微信。
趋势科技的研究还发现了在2019年针对Android设备的类似活动。在各种公共的香港相关电报频道中发现了指向恶意.APK文件的链接。这些消息声称它们适用于各种合法应用程序,但是它们导致了恶意应用程序,它们可能泄露设备信息,联系人和SMS消息。趋势科技研究人员将此Android恶意软件家族称为dmsSpy(dmsSpy的变体检测为AndroidOS_dmsSpy.A。)。
行动的设计和功能表明,该活动并非针对受害者,而是旨在针对设备后门和监视而尽可能多地破坏移动设备。趋势科技根据其分发方式将这个活动命名为Operation Poisoned News。
2月19日,安全研究人员发现了一个针对iOS用户的水坑攻击,其URL指向一个恶意网站,该网站具有指向不同站点的三个iframe。其中一个iframe可见,并指向合法的新闻网站,另一个iframe用于网站分析,而第三个则指向托管iOS漏洞利用主要脚本的网站。
链接发布在受香港居民欢迎的论坛上,这些论坛为用户提供了一个可轻松访问移动设备的应用程序。攻击者使用的诱饵可能是与性相关的,诱饵式的头条新闻,或者是有关COVID-19大流行的新闻。趋势科技表示,“我们不认为这些主题专门针对任何用户;相反,他们针对的是整个网站的用户。”
第二种水坑攻击涉及将复制的合法站点注入iframe。该攻击似乎已于1月2日开始,但是趋势科技无法确定到这些网站的链接的分发位置。
袭击事件一直持续到3月20日,当时论坛上的帖子声称与香港的抗议活动时间表有关,但导致了相同的lightSpy感染链。
作为漏洞利用程序链的一部分,针对了一个没有CVE标识符的无提示补丁的Safari错误,并采用了自定义的内核漏洞利用程序来获取root特权。内核漏洞与CVE-2019-8605有关,Apple在2019年夏天解决了该漏洞。
综上所述,这种威胁使威胁者能够彻底破坏受影响的设备并获取用户认为机密信息的大部分内容。趋势科技指出:“在香港市场上流行的几个聊天应用特别针对此,表明这些是威胁参与者的目标。”
天地和兴工控安全研究院翻译整理,参考来源:趋势科技 https://dwz.cn/EjIv5gr3
(二)黑客利用监控摄像机硬件中的零日漏洞对台湾LILIN公司发起攻击
近日,研究人员发现,台湾LILIN公司生产的闭路电视监控系统中的多个零日漏洞正被犯罪份子积极利用。LILIN是一家IP视频解决方案提供商,该公司的DVR硬件正成为黑客的劫持目标。一旦被黑客控制,黑客就会在设备上植入恶意软件,并运行僵尸网络Chalubo、FBot和Moobot。
研究人员表示,该攻击始于8月30日。LILIN于1月19日接到了有关漏洞的通知。2月14日,漏洞被修补。奇虎360的NetLab团队3月20日公布了这一消息,并提供了可修复 11 个LILIN DVR和IP摄像机中发现的错误的固件。
根据NetLab对攻击的技术描述,该漏洞分为三部分。研究人员将其描述为硬编码的登录凭据,/ z / zbin / dvr_box命令注入漏洞和/z/zbin/net_html.cgi任意文件读取漏洞。添加的“/ z / zbin / dvr_box提供Web服务,其Web接口/ dvr / cmd和/ cn / cmd存在命令注入漏洞。注入参数为:NTPUpdate,FTP和NTP。
至于僵尸网络,Chalubo僵尸程序的例子在8月首次被发现。该恶意软件以针对安全性差的物联网(IoT)设备而闻名。同时,Fbot是一个与Satori相关的僵尸网络,以使用区块链DNS系统进行传播而闻名。根据NetLab的说法,Moobot是基于Mirai僵尸网络的新僵尸网络系列。研究人员没有提供有关僵尸网络攻击目标的详细信息,只是说LILIN DVR和IP摄像头与未指明的DDoS活动有关。
由于固件补丁必须由设备所有者部署,并且不能由供应商推出,所以大部分受影响的硬件何时更新还不清楚。多年来,安全界一直警告说,物联网带来的安全风险越来越大,这主要是因为许多设备仍在使用,无法轻易更新以修复安全漏洞。
至于LILIN DVR漏洞的具体细节,一个与DRV的NTPDate计算机程序有关。NTPDate是一个通过查询网络时间协议(NTP)服务器来同步计算机日期和时间的程序。据研究人员称,LILIN软件不会从ValidateHostName字段中过滤出特殊字符,并为攻击者发起命令注入攻击打开了大门。
软件的FTP设置中也存在类似的注入漏洞,这些漏洞最终允许通过硬编码的帐户密码远程访问“ / dvr / cmd” 接口。CMD(或cmd.exe)被称为命令提示符或命令行解释器,它使用户完全可以对基础软件执行任何操作。
研究人员表示,“设备配置/zconf/service.xml可以通过硬编码的登录帐户密码和/z/zbin/net_html.cgi任意文件读取来获得,通过修改/zconf/service.xml 中FTP或NTP参数aerver字段,可以注入后门commanda”。
该公司表示,新修补的版本(2.0b60_20200207)修复了该漏洞。
天地和兴工控安全研究院翻译整理,参考来源:threatpost https://dwz.cn/xfFxadUI
第二章 国外关键信息基础设施安全动态
(一)针对中东地区工业组织的WildPressure攻击活动
近日,卡巴斯基研究人员发现了一个恶意活动,该活动针对中东地区的工业组织发起攻击。卡巴斯基将该活动称为WildPressure。该活动使用的恶意软件与之前任何的攻击中的恶意代码都没有相似之处。该活动的攻击目标和其他已知组织的攻击目标均不重叠。该活动使用的恶意软件称为Milum,是用C++编写的,并且包含了线索,暗示开发者可能正在开发使用其他编程语言编写的版本。尽管Milum使用的配置数据和通信机制在恶意软件开发人员中很常见,但研究人员认为该恶意软件和攻击目标都是独一无二的。
Milum样本显示编译日期为2019年3月,该时间范围与2019年5月31日首次已知的感染一致。卡巴斯基于去年8月首次发现Milum。
该恶意软件对每个目标使用具有不同64位密钥的RC4加密密码。它还使用JSON格式存储配置数据,并通过HTTP POST与控制服务器进行通信。JSON数据中的字段对应于C++语言和.exe文件扩展名。这个线索使研究人员假设基于其他语言的恶意软件版本正在开发中或可能已经存在。迄今为止,研究人员已经收集了三个几乎完全相同的样品,它们均来自同一未公开国家。
在过去的十年中,中东已成为黑客攻击的热点,举四个例子:针对关键基础设施安全控制的攻击、美国破坏伊朗瞄准油轮能力的攻击、针对沙特阿拉伯一家天然气公司的破坏性磁盘擦除攻击、以及针对伊朗的Stuxnet和Flame恶意软件进行的清除运动。WildPressure和Milum的发现表明该地区的攻击不太可能很快消失。
天地和兴工控安全研究院翻译整理,参考来源:arstechnica https://dwz.cn/3t0pwzku
(二)美国密苏里州电厂设备供应商遭勒索软件攻击
近日,美国密苏里州Ameren Sioux电厂及Labadie电厂的设备供应商(来自俄亥俄州的LTI Power System)遭受了勒索软件攻击,数十份数据文件出现在勒索软件服务器上,包括来这两家电厂的设备图和示意图,例如用于在中断期间提供临时备用电源的不间断电源设备的详细原理图。泄漏文件不涉及客户信息。
该事件发生于2月下旬,圣路易斯公共广播电台表示这些数据的时间为了1996年至2017年间。
华盛顿大学网络安全战略计划负责人乔·舍勒表示,这类知识产权在网络犯罪市场中是非常有价值的。“在我看来,这一事件完全是出于对知识产权的盗窃,并将其出售给各个国家或其他公司。”尽管如此,舍勒表示,随着攻击变得越来越复杂,确保第三方供应商安全仍然是一个挑战。“攻击技术实际上每天都在发展,攻击者以此作为一项业务,作为一项收入来源,因此,攻击者将调整他们的技术和程序以最大化其回报。”
Ameren电厂的发言人表示该公司正在调查此数据泄露事件,但补充说,“没有理由认为泄漏的信息是机密的或对公司的运营是至关重要的。”该发言人在电子邮件中表示:“在某些情况下,标准示意图或图纸会与设备供应商共享,以支持某些资产采购,但是这些文件不包含机密信息。”
此类数据泄露已在许多行业中变得越来越普遍。据网络安全公司Emsisoft称,勒索软件攻击者在2019年将 966家政府机构、学校和医疗机构作为攻击目标,估计损失为75亿美元。近年来,许多公司都加强了其网络安全,并培训员工会识别网络钓鱼诈骗,这是勒索软件攻击获得内部系统访问权限的最常见方法之一。
天地和兴工控安全研究院翻译整理,参考来源:StLouisPublicRadio https://dwz.cn/DWpTEak7
(三)Claroty发布全球工业网络安全状况调查报告
对于负责保护工业网络的CISO来说,了解IT安全专业人员对OT的态度、看法和关注对开辟有效的前进道路至关重要。近日,Claroty的研究人员发布了最新《全球工业网络安全状况》调查报告,该研究报告基于对美国、英国、德国、法国和澳大利亚的1000名全职IT安全专业人员的独立调查,为工业网络安全状况提供了全球视野。
该报告汇总了以下领域的见解,并进行了深入分析:
评估当前工业网络的安全性。该调查表明,相对于其他国家/地区,美国的IT安全专业人员对OT保障的现状明显缺乏信心。例如,在美国,有51%的行业从业者认为当今的工业网络没有得到适当的保护,而德国同行中只有4%。
对关键基础架构的网络攻击的关注程度。在全球范围内,所有地区中的绝大多数(74%)受访者将对关键基础设施的网络攻击描述为比企业数据泄露更有可能造成破坏。
主要关注的攻击类型。受访者将黑客(43%),勒索软件(33%)和破坏活动(9%)确定为对工业网络的最普遍攻击。调查还表明,人们普遍认为电力(45%)是最容易受到关键基础设施网络攻击的行业,其次是石油和天然气(22%),化工(12%)和运输(12%)。
关于培训和保护OT网络责任的态度。尽管有明确的共识(80%)认为IT安全团队负责保护组织的工业网络,但仍有很大一部分受访者(全球25%,美国34%)没有接受过IT和OT网络之间差异的培训。93%的受访者表示,应将针对OT的网络安全纳入IT安全专业人员的教育和培训中。
该报告还提供了可行性建议,可通过提高认识和教育、降低复杂性、简化治理和IT/OT融合来缩小IT和OT间的网络安全差距。
天地和兴工控安全研究院翻译整理,参考来源:Claroty https://dwz.cn/9Wy5eAow
(四)Newsweek Vantage发布关于关键基础设施网络风险独立报告
近日,Newsweek Vantage发布《 经受住完美风暴:确保关键基础设施的网络物理系统安全 》调查报告,该报告对关键基础设施组织的415位高管进行了调查,以了解他们是否对操作技术(OT)和信息技术(IT)的安全性采取了整体解决方案。调查发现,整体解决方案是最重要的。超过三分之一的受访者表示,网络入侵是诱因。
该报告的其他主要发现包括:
尽管经过多年的努力,IT和OT在许多组织中仍然不能很好地发挥作用。将近三分之一的受访者表示,主要障碍是文化因素,换句话说,员工抵制变革。
几乎每位接受调查的高管都表示,他们的组织在去年内经历了安全漏洞。几乎三分之二的受访者表示,IT系统是导致至少其中之一事件发生的脆弱性来源。三分之一的人也将其漏洞归因于缺乏IT / OT集成,四分之一的人补充说,缺乏安全的物理访问控制也导致了系统漏洞。
大多数组织至少在实现IT / OT融合的道路上走了一段路。68%的受访者表示,他们的组织已经集成了他们的部分OT,IT和物理系统,并且仍在进行其他工作。很少有(百分之二十)已经集成了一切,还有更少的百分之(只有百分之十一)没有集成任何东西。
天地和兴工控安全研究院翻译整理,参考来源:yahoo finance https://dwz.cn/WkIPVsua
(五)通用电气GE服务供应商遭受黑客攻击泄露个人数据
近日,通用电气(GE)披露了一项数据泄露事件,泄露了现有员工、前雇员以及受益人的个人身份信息。数据泄露是因GE的服务提供商佳能业务流程服务公司遭受安全漏洞所造成的。
通用电气是一家美国跨国企业集团,经营航空、医疗、电力、可再生能源、数字产业、添加剂制造、风险投资和金融以及照明产业。按收入排名,GE目前被《财富》美国500强评为美国第21大公司。根据该公司2018年度报告, GE目前在全球180多个国家拥有客户,拥有超过280,000名员工。
GE在向加利福尼亚州总检察长办公室提交的数据泄露通知中说,GE服务提供商佳能业务流程服务在2月曾有其员工的电子邮件帐户之一被未经授权的团体入侵。
GE指出:“我们注意到通用电气的一个供应商,佳能业务流程服务有限公司,发生了一起数据安全事故,我们了解到,佳能系统上的某些个人信息可能被未经授权的个人访问。我们于2020年2月28日收到通知,佳能已确定,在2020年2月3日至14日左右,未经授权的一方进入了一个电子邮件帐户,该帐户包含了某些GE员工、前员工和有权享受佳能系统维护的福利的受益人的文件。保护个人信息是GE的头等大事,我们正在采取措施通知受影响的员工和前员工。”
GE还指出,事件发生期间暴露的敏感个人信息是由GE的现任和前任雇员上载的,也适用于这些雇员以及有权获得与佳能工作流路由服务有关的利益的受益人。
泄露的数据包括直接存款表等文件中包含的个人信息,包括驾驶执照、护照、出生证明、结婚证明、死亡证明、医疗子女抚养令、预扣税表、受益人指定表和退休等福利申请,遣散费和死亡抚恤金以及相关表格和文件,可能包括姓名、地址、社会保险号码、驾驶执照号码、银行账号、护照号码、出生日期以及相关表格中包含的其他信息。
根据有关数据泄露的通知,GE的系统不受佳能安全漏洞的影响,并且正在与佳能合作确定事件的严重程度,并确定受影响的GE员工,前员工和受益人。
佳能通过一家名为Experian的公司为受影响的人员免费提供两年的身份保护和信用监控服务。从GE收到违规通知信的受影响人员必须在2020年6月30日之前使用这些服务。
通用电气还设立了专门的支持专线,以支持受影响的人员。
天地和兴工控安全研究院翻译整理,参考来源:securityaffairs https://dwz.cn/TIqAFi9F
(六)英国印刷公司Doxzoo泄露英美军方文档
vpnMentor研究人员在英国印刷公司Doxzoo的AWS S3服务器上发现了343GB信息,包含与美国和英国军方有关的文件。Doxzoo已于1月26日收到通知,但从未做出回应,该泄漏在2月11日与AWS联系后近一周才得到解决。
根据vpnMentor的数据,未受保护的服务器存储了超过27万条记录,此事件可能会影响超过10万用户。 曝光的数据包括姓名、地址、电子邮件地址、护照扫描、部分付款信息、订单详情、受版权保护的出版物(如书籍、剧本、电视剧本)、教师指南、证书和文凭、医疗文件、平面图、个人照片,以及用户可能会付费的文件,如大学课程材料、饮食和锻炼计划。美国和英国的内部军事文件也被曝光,包括机密文件。除了英国和美国外,有些文件似乎属于印度、尼日利亚和斯里兰卡的客户。
vpnMentor在博客文章中表示:“数据泄漏包括许多知名客户的打印工作,包括精英大学、美国和英国军事分支机构、财富 500强公司以及许多其他公司。Doxzoo在安全等方面拥有ISO认证,并以将客户的文件保存在‘安全的手中’而自豪。”
vpnMentor补充表示:“包含此泄漏的项目通常包含私人和/或机密信息。对军方等客户来说,对安全设施和系统的承诺是关键卖点,违反这一保证不仅是服务的失败,而且还可能伴随着安全风险。”
在过去的一年中,vpnMentor已经发现了大量不受保护的数据库。几天前 vpnMentor 专家发现两家公司金融公司在线泄漏了五十多万份的法律和财务文件。
天地和兴工控安全研究院翻译整理,参考来源:securityweek https://dwz.cn/z6cfZM4l
(七)美国网络空间日光浴委员会报告并不完全适用于控制系统和关键基础设施
美国网络空间日光浴室委员会是根据2019财年国防授权法案设立的两党制机构,该委员旨在评估美国在网络空间面临的威胁,并就如何防范网络威胁提供战略指导和政策建议。该委员会于3月11日发布《美国网络空间日光浴室委员会报告》,提出了一个应对网络安全的新的战略路径:分层网络威慑(layered cyber deterrence)。分层网络威慑主要包括三种战略手段(即三项威慑层),塑造行为(Shape bebavior)、获益拒止(Deny benefits)、考核施加成本(Impose costs)。三种战略手段由六项政策支柱以及超过75条政策建议支撑,主要通过调整对手攻击美国的成本收益预期,保护美国公共和私营部门安全。
日光浴室委员会的目的是防止网络9/11,然而,这份报告有几个讽刺之处。第一个是911袭击是为了破坏物理设备和结构。然而,这份报告并未涉及对实体设备和结构造成破坏的网络问题。同时,日光浴室委员会的报告中未涉及过程传感器,无法解决包括过程传感器在内的控制系统特有问题。也就是说,在9/11之后,网络安全已从工程师负责其系统网络安全的业务问题变为国家安全问题,网络安全从工程组织转移到IT(现为Operational Technology-OT) )。这一举动将控制系统/工程专家从网络安全领域中分离出来,这一现象一直持续到今天,导致人们忽略了过程传感器的完整性。 必须修复工程和网络安全组织之间的漏洞,《日光浴室报告》和《网络登月计划》都没有通过不要求工程管理层在制定控制系统网络安全政策方面与CISO平等来解决该漏洞。
在该报告中,有些有关控制系统和关键基础设施网络安全的技术问题得到了解决。但是,许多关键控制系统特有的网络安全问题并未得到充分解决。遗漏的技术问题可能是由于缺乏明确的定义。例如,物联网(IOT)、操作技术(OT)、控制系统和网络事件等术语的含义。来自不同背景的人有自己的定义。也可能是因为网络安全和运营,数据包与进程”和视角不同。因此,本报告及其建议不会阻止网络9/11影响关键基础设施,因为可能产生网络9/11的控制系统特有问题没有得到充分解决。
控制系统包括非基于Internet协议(IP)的现场设备和网络,IP网络以及与Windows等商用现成(COTS)技术相关的人机界面(HMI)。日光浴室委员会的报告和建议适用于控制系统IP网络和COTS系统。然而,有数以千万计的 purdue 参考模型级别0,1设备(例如,过程传感器,驱动器,驱动器,电源供应等)安装在公共和私人设施(这不包括物联网设备)。0,1级过程传感器是IP网络的输入,但没有网络安全、身份验证、网络日志记录功能,也没有为控制系统工程师提供网络安全培训。这些遗留的0.1级装置将在未来10-15年内继续用于我们的关键基础设施和其他基础设施。目前还不清楚新的控制系统和工厂设备是否将网络安全作为初始设计的一部分。也就是说,由于工程机构和网络安全机构具有不同的设计/操作要求,因此硬件设计功能可能会成为严重的网络安全漏洞。此外,工程和网络安全之间的差距始于大学层面,工程和安全是独立的部门。对我们经济最严重的网络威胁是那些可能对商业、工业、交通和医疗设施中使用的长周期设备造成物理损坏的问题。这些问题不是直接的网络问题,而是使用网络远程访问来操纵物理,例如Aurora漏洞。但是这些攻击类型并未得到解决。
天地和兴工控安全研究院翻译整理,参考来源:ControlGlobal https://dwz.cn/UHmX7LPV
(八)攻击者利用美国卫生部网站开放重定向传播恶意软件
目前攻击者正在利用HHS.gov开放重定向,借助以冠状病毒为主题的网络钓鱼电子邮件,将恶意软件有效载荷推送到毫无防备的受害者的系统中。
开放式重定向是指自动在源网站和目标网站之间重定向用户的网址,恶意行为者经常利用这些网址将目标发送到钓鱼登陆页面,或以合法服务为幌子传送恶意软件负载。HHS.gov是美国卫生与公共服务部的网站,它使此特定的公开重定向成为吸引潜在受害者的理想工具。
开放重定向(https://dcis.hhs.gov/cas/login?service=MALICIOUSURL&gateway=true)存在于HHS 部门合同信息系统的子域中,由infosec分析师@SecSome发现并在Twitter上共享。
攻击者使用它链接到包含coronavirus.doc.lnk 文件的恶意附件,该附件将解压缩模糊的VBS脚本,该脚本将从http://185.62.188 [.] 204 / hunt下载并执行Raccoon信息窃取程序恶意软件有效负载 。将其保存到%Temp% HhKFW.exe后,将其保存在/post/corona.exe中。
Raccoon(又名Legion,Mohazo和Racealer)是一种窃取信息的恶意软件,最初在大约一年前在网络犯罪论坛上被发现,能够窃取电子邮件凭据,信用卡信息,加密货币钱包,浏览器数据和系统信息等数据。
CyberArk的一份报告说,Raccoon能够挖掘大约60种不同的应用程序,从浏览器、加密货币钱包、电子邮件和FTP客户端窃取并其操作员传递敏感信息。执行信息窃取程序后,该脚本还利用了一个诱饵,该诱饵显示了一条错误消息,使受害者认为恶意文档有问题。此后,以前用于传送恶意有效负载的服务器已被拆除,可能很快就会被新服务器替换。
美国卫生与公共服务部(HHS)已收到有关重定向的通知,并有望很快将其下线。虽然当前滥用HHS.gov开放重定向的网络钓鱼活动仅将信息窃取者作为最终的恶意软件有效载荷,但如果威胁参与者决定切换负载,它可能会造成更大的损害。
网络勒索软件背后的运营商使用了同样的模糊化 vbs 脚本模板(在这里是模糊化的格式) ,在上周 malwarehunterteam 发现的活动中发送他们的有效载荷 。
该系列攻击还使用了带有名为“ CORONAVIRUS_COVID-19.vbs”附件的冠状病毒电子邮件,包含一个嵌入式Netwalker 勒索软件可执行文件,以及旨在提取并在受感染设备上启动的混淆代码。
为了防御类似的攻击,应始终对冠状病毒相关的附件保持怀疑态度,尤其是在收到来自未知发件人的附件时,因为目前有大量的恶意攻击流入,利用当前的 covid-19流行病窃取个人信息,并通过网络钓鱼活动传播恶意软件。此外,请务必确保已将Windows资源管理器配置为显示所有文件类型的文件扩展名,因为许多网络钓鱼攻击都会提供伪装成无害的恶意可执行文件。为此,请取消选中“文件资源管理器选项”中的“隐藏已知文件类型的扩展名”。
上个月,世界卫生组织(WHO)、美国联邦贸易委员会(FTC)、美国网络安全和基础设施安全局(CISA)都对正在进行的以冠状病毒为主题的网络钓鱼和网络诈骗发出了警告。
天地和兴工控安全研究院翻译整理,参考来源:bleepingcomputer https://dwz.cn/B9E0gxf4
(九)3月份以冠状病毒为主题的恶意软件报告增加了5倍
政府、酒店、医疗保健、教育研究和零售业是冠状病毒攻击最喜欢针对的行业。随着冠状病毒大流行的持续,网络犯罪分子已经开始利用危机的新闻传播恶意软件、进行网络钓鱼、甚至利用医疗用品和有关大流行的可靠信息的缺乏引起的恐慌进行网络欺诈。
最新的Bitdefender遥测数据显示,有关冠状病毒相关威胁的异常活动,与2月份相比,3月份与冠状病毒相关的恶意报告数量增加了475%以上。此为距四月份还有大约两周时间时的数据。这些活动可能主要针对那些已经开始遭受冠状病毒感染增加的国家,利用每个人心中的恐慌。由于官员们在努力制定计划和隔离程序,攻击者似乎已经迅速动员起来,开始用保护程序方面新的专有信息来吸引受害者。
三月份恶意报告激增
从2月的1,448个恶意报告到3月16日的8,319个报告,这个数字急剧上升,因为真正的 covid-19病毒正在世界各地迅速传播。
最具针对性的垂直领域似乎是政府、零售、酒店、运输和教育与研究。尽管看起来很奇怪,但是这些垂直市场确实是有针对性的,因为它们与大批人积极互动,并且对了解更多有关预防冠状病毒感染的措施最感兴趣。因此,网络罪犯通过仿冒世界卫生组织(who)、北约(nato)、甚至联合国儿童基金会(unicef)的钓鱼邮件,积极瞄准这些垂直市场的一个原因是,员工可能希望从已知的全球组织获得官方信息。
政府机构似乎最有针对性的分类显示,教育部、卫生部和部门以及消防部门受到的攻击最多。在医疗保健中,医院和诊所、制药机构以及医疗设备的分销商大多成为目标,可能会传达需要采取的程序,可以预防或治疗感染的药物,甚至据称仍有库存的医疗用品。
例如,从标题来看,上面的电子邮件似乎是针对泰国的医疗服务,这个标题翻译自泰文( “ Fwd:Re:CoronaVirus Express Information”)和附加文件的名称(“公共卫生部Corona VirusUrgent 2020.gz”),它承诺向医务人员提供新的独家信息。 为了让邮件看起来更合法,它使用了泰国国家卫生研究所的官方标识。
在粗略翻译中,该电子邮件(如上所示)敦促公民、学校、专员和企业主遵守所附文档中的指示,以保持“安全且不受病毒感染”。它还声称该文件包含一份分发“合格保护药”的药店名单。不用说,打开恶意附件的任何人都将感染木马,特别是NanoBot木马。
在教育和研究垂直领域,大学、学校和技术学院收到的信息都是拥挤的地方,热切地等待着如何准备为应对冠状病毒爆发的指示。他们也有针对性地成为钓鱼邮件的目标。查看政府机构收到的一些恶意文件,自然会发现所有文件名都有相同的“冠状病毒”字符串,并承诺提供有关疫情的新的独家信息。
例如,流行的文档欺骗陷阱的范围从声称电子邮件附件为PDF文档,而实际上它们是从“ .exe”改成“ .bat”文件的。这意味着,除非用户在“文件资源管理器”的“视图”菜单中勾选了“文件扩展名”选项,否则他们很可能会上当。 当然,这些文件被加入了恶意软件,一旦被执行,他们就会开始部署从 lokibot 和 hawkeye 到 kodiac 和 nanobot (见下表)的威胁。包括NanoBot在内的大多数此类特洛伊木马都是为了窃取用户名和密码等信息而设计的,这些信息可能会被攻击者用于谋取经济利益或获得对帐户、服务甚至端点的远程访问。
在下面的表格列出了各个行业接收的每个恶意文档的名称示例,以及每个电子邮件主题。
受COVID-19严重影响的国家
就所有涉及冠状病毒的恶意报告的地理分布而言,1月至3月之间事态迅速升级。今年1月,只有美国、中国和德国等一些国家的报告。到了3月,来自世界各地的恶意报告接踵而至,没有一个欧洲国家幸免。
实际上,在三月份,来自意大利、美国、土耳其、法国、英国、德国、西班牙、加拿大、罗马尼亚和泰国等国家的恶意报告数量最多。所有这些国家都受到了COVID-19爆发的严重影响,这就是为什么这些恶意软件活动很可能专门针对这些地区。
似乎在现实生活中处理冠状病毒还不够,攻击者一直在利用恐慌、错误信息和混乱,试图尽最大努力传播诈骗和感染,或从每个人的恐惧中获利。
这是你应该知道的
随着各国竭尽全力想方设法遏制甚至阻止 covid-19感染的传播,普通用户 / 公民无疑正在向任何在线来源寻求帮助和信息,以了解如何保持安全。 然而,这些信息并不总是来自可靠的来源。
恶意软件随处可见,网络犯罪分子会不择手段地诱骗用户安装它。 对付现实生活中的病毒可能已经很困难了,对付网络“病毒”可能是任何人最不想做的事情。
但是,就像在现实生活中一样,良好的(安全)卫生意味着您不仅要确保自己的安全,而且还可以帮助周围的人。因此,请仔细阅读电子邮件以确保它们是合法的,不要打开附件,除非你绝对确定附件是安全的,并尝试使用可确保您免受各种威胁影响的安全解决方案,以便您可以专注于重要事项:确保你的家庭安全!
天地和兴工控安全研究院翻译整理,参考来源:Bitdefender https://dwz.cn/IpUrdRO6
(十)黑客企图入侵WHO及其他抗击新冠病毒组织
据路透社3月23日报道,在本月初黑客曾尝试入侵世界卫生组织(WHO)的计算机系统和网络,但以失败告终。自从新冠病毒大流行开始以来,世卫组织一直在应对越来越多的网络攻击以及冒充企图。
攻击者创建了一个模仿WHO内部电子邮件系统的恶意网站,试图仿冒世卫组织工作人员的电子邮件凭据。目前尚不清楚袭击者的目的和身份,但一些消息来源怀疑他们是Darkhotel间谍团伙,该团伙已经活跃了近十几年,他们的目标通常是知名人士: 包括国防和能源在内的各个行业的高管及政府雇员。
卡巴斯基全球研究和分析主管Costin Raiu表示,最近几周,这起攻击中使用的恶意网络基础设施也被用来攻击其他医疗和人道主义组织。
加拿大网络安全中心也一直在警告加拿大卫生组织有关网络罪犯和间谍的信息。联邦机构指出:“复杂的威胁行为者可能试图获取有关新冠病毒反应行动和对危机的潜在政治反应的情报,或窃取正在进行的疫苗或其他医疗补救方法的关键研究,或威胁行为者感兴趣的其他主题。网络罪犯可能会利用新冠病毒大流行,利用加拿大卫生组织面临的日益增加的压力,索要赎金或掩盖其他妥协。”
加拿大网络安全中心建议医疗机构提防社会工程和网络钓鱼企图,攻击者可以利用关键漏洞和受损凭据。同时还敦促所有组织熟悉并实践其业务连续性计划,包括从备份中恢复文件并将关键业务元素移动到备份基础架构, 并提供了应尽快修补或缓解的关键漏洞列表。
使用勒索软件的网络罪犯已经攻击了一些参与抗击新冠病毒的医疗机构。捷克共和国布尔诺的布尔诺大学医院就是其中之一,伦敦的Hammersmith 医药研究所也是其中之一。尽管Hammersmith成功击退了攻击,并且没有造成停机,但攻击者发布了他们窃取的一些医疗数据。
天地和兴工控安全研究院翻译整理,参考来源:helpnetsecurity https://dwz.cn/bLCByIfs
(十一)新型Mirai变体Mukashi攻击Zyxel NAS设备
据Palo Alto Networks Unit42全球威胁情报小组的研究人员称,Mirai僵尸网络的变体Mukashi利用Zyxel NAS存储设备中的预认证命令注入漏洞对其发起攻击,该漏洞可以使威胁攻击者远程破坏和控制设备。该漏洞CVE-2020-9054上个月才公开发布。
Mukashi暴力使用不同的默认凭据组合强制登录,同时通知其指挥和控制(C2)服务器成功的登录尝试。许多甚至可能是所有运行固件版本高达5.21的Zyxel NAS产品都容易受到危害。
Zyxel的一位发言人表示,“ 我们已经意识到CVE-2020-9054的漏洞,并且已经针对受影响的产品立即发布了固件更新。我们一直在Zyxel论坛上主动与我们的客户沟通这个问题,并通过直接的电子邮件提醒,敦促客户安装固件更新或遵循解决办法以获得最佳保护。”
总部位于密尔沃基的安全公司Hold Security的创始人Alex Holden 上个月发现Zyxel NAS漏洞,当时有人在出售如何在地下网络犯罪中利用该漏洞的精确指令。Holden向KrebsonSecurity的Brian Krebs发出了警告,Krebs向Zyxel通报了该漏洞,并发布了有关该漏洞的报告,他说该报告可以使威胁攻击者远程入侵并控制十多台Zyxel的设备。
Unit 42研究人员表示:“这个最初的发现还提到,该漏洞正被一群试图将其整合到Emotet中的人利用。”
Mirai僵尸网络以某种形式存在了一段时间。Mirai的源代码于2016年10月发布,此后便出现了大量的恶意软件变体。物联网(IoT)僵尸网络已与主要的分布式拒绝服务(DDoS)攻击有关,在过去几年中,它的多种变体会对目标进行全面攻击。Mirai及其变体已经摧毁了路由器等技术、DNS提供商等基于互联网的公司、金融服务等商业部门以及企业公司等横向参与者。Mirai甚至通过推动黑客论坛上盛行的DDoS作为服务行业来支持网络犯罪。
研究人员观察到的Mirai变体显示,在过去一年中,人们的注意力转移到了目标硬件和处理器上,而最新的变种Mukashi逆势而动。Unit 42的研究人员写道,Mukashi与以前的Mirai变体以及产生它的Mirai僵尸网络具有某些共同的特征。
该变体通过扫描随机主机的TCP端口23进行操作,强制使用不同的默认凭据组合进行登录。然后,它向C2服务器报告成功的登录尝试,从中接收C2命令并发起DDoS攻击,这是它与Mirai其他变体所共有的特征。
据研究人员称,在完全部署之前,Mukashi会绑定到TCP端口23448,以确保受感染系统上只运行一个僵尸网络实例。然后,一旦执行,Mukashi将消息“保护您的设备免受进一步感染”打印到控制台,然后将其进程名称更改为“ dvrhelper”。这个名字意味着Mukashi可能还继承了Mirai的某些功能。
研究人员指出,Mukashi与其他Mirai变体不同之处在于其加密方法。他们虽然使用传统的xor加密,但Mukashi使用自定义解密程序来加密这些命令和凭据,并提供了加密脚本。
Zyxel已经发布了有关该漏洞的供应商建议以及用于测试设备是否易受攻击的网站。3月9日,研究人员在 zyxel 的云CNM SecuManage软件中,发现了超过16个安全漏洞。 其中一些漏洞包括多个后门和硬编码的SSH服务器密钥。
天地和兴工控安全研究院翻译整理,参考来源:threatpos https://dwz.cn/RGRJlckK
(十二)英国金融科技公司Finastra遭受勒索软件攻击
近日,英国金融技术公司Finastra遭受了勒索软件攻击,导致部分服务器中断。
Finastra英国领先的金融技术提供商,拥有10,000多名员工,为130个国家的9,000多家客户提供金融软件,其中包括排名前100家银行中的90家。
网络安全博客作者Brian Krebs 报道称,该公司遭受了安全漏洞,导致部分服务中断。克雷布斯表示,该公司对该事件的回应表明,这是一起勒索软件攻击。Finastra没有透露此次攻击的详细信息,只是宣布已检测到其系统上的异常活动。
该公司立即开始活动以解决问题,并展开了内部调查。 还聘请了一家独立的领先的法证公司来调查事件的严重程度。Finastra首席运营官Tom Kilroy在声明中表示:“检测到我们系统中潜在的异常活动后,出于谨慎考虑,我们立即采取行动,在继续调查的同时,关闭了一些服务器。我们正在努力尽快解决这个问题,我们已经成功地遏制了这一威胁并酌情恢复我们的系统。目前,我们没有任何证据表明已访问或泄露了客户或员工数据。修复工作将全天候进行,Finastra的目标是在安全的情况下尽快以受控方式重启生产。随着我们的改进,我们将为您提供全面的信息服务。”
Bad Packets 指出,去年Finastra托管了易受攻击的Pulse Secure服务器。Pulse Secure企业VPN产品受到攻击中利用的一个严重漏洞的影响。至少在2020年1月11日之前,Finastra有四台Citrix服务器,由于去年年底披露的一个主动利用的安全漏洞而容易受到攻击。
网络安全公司Bad Packets的专家推测攻击者可能已经利用CVE-2019-11510漏洞,入侵了未修补 Fintech公司的Pulse Secure VPN服务器。
天地和兴工控安全研究院翻译整理,参考来源:securityweek https://dwz.cn/yCUOBk1u
(十三)牙买加国家银行遭受勒索软件攻击
3月14日,牙买加国家银行遭受了勒索软件攻击,造成该银行一系列服务中断,但由于帐户是由单独的系统保存和保护的,因此没有客户帐户受到影响。该银行信息技术和网络安全团队立即采取行动遏制了恶意软件的影响,并试图确定攻击源。
目前该银行的服务基本上已恢复在线,但该银行确认攻击者获取了部分会员和客户的数据,但尚未发现利用此信息的欺诈活动。该银行会采取预防措施,并通知受此影响的用户及公众。
根据法律要求,该银行已采取监管机构提供的建议,采取多种措施来最大程度地减少再次发生此类事件的可能。该银行对其IT安全性进行了全面审查,以进一步加强该银行的基础架构。
目前警方正在调查调查该事件,该银行无法透露更多信息。
天地和兴工控安全研究院翻译整理,参考来源:JamaicaObserver https://dwz.cn/AyttMQwZ
(十四)几内亚议会选举前互联网中断
据互联网观测网站NetBlocks的数据证实,自2020年3月20日下午8:00起,几内亚共和国的互联网被切断,该国原定于2020年3月22日星期日举行议会选举。此外,该国的社交媒体于3月21日晚八点开始被封锁,包括Twitter、Facebook、Instagram、WhatApp等均被限制。封锁一直持续了36个小时,直到3月23日上午8:00才解禁。
技术数据显示,包括主要运营商Orange在内的西非国家/地区的所有六个网络均已关闭,全国联网率仅为正常水平的12%。蜂窝网络和固定线路网络也同样受到影响。
海底电缆维修工程原本计划与本周末的议会选举同时进行,但由于其对民主进程和透明度的影响,遭到观察员和人权监测员的广泛谴责。然而,几内亚的电信基础设施运营商GUILAB在周五断网前几个小时向公众保证,维修工作将推迟到选举之后。
在此次互联网中断事件的三天前,每天半夜都会有一些小幅度的互联网连接下降。
天地和兴工控安全研究院翻译整理,参考来源:NetBlocks https://dwz.cn/AP34KpsU
天地和兴,工控安全,安全周报
相关资讯
