关键信息基础设施安全动态周报【2020年第13期】
发布时间:
2020-04-02
来源:
作者:
访问量:
55
目 录
第一章 国外关键信息基础设施安全动态
(一)工业控制器仍然容易受到Stuxnet攻击
(二)医疗和军事承包商Kimchuk遭受DoppelPaymer勒索软件攻击
(三)威胁组织Silence和TA505攻击至少两家欧洲制药和制造业公司
(四)研究新冠病毒的生物技术公司10x Genomics遭受勒索软件攻击
(五)勒索软件Ryuk仍然以医疗机构作为攻击目标
(六)FBI警告恶意软件Kwampirs正针对医疗机构进行攻击
(七)微软针对医院发出警告 尽快修复易受攻击的VPN设备
(八)最赚钱的勒索软件Dharma的源代码在黑客论坛上出售
(九)网络罪犯分子将Zoom域名作为攻击目标
(十)谷歌最新分析报告显示去年有国家背景的攻击数量有所下降
(十一)黑客利用雷克萨斯和丰田汽车中的漏洞发起远程攻击
(十二)网络保险公司Chubb遭受勒索软件Maze攻击
(十三)新型恶意软件通过覆盖MBR使设备无法使用
(十四)朝鲜黑客Geumseong121重启间谍活动
(十五)在黑客论坛上泄露了490万格鲁吉亚个人信息
第一章 国外关键信息基础设施安全动态
(一)工业控制器仍然容易受到Stuxnet攻击
近日,研究人员表明,黑客可以对Schneider Electric的Modicon可编程逻辑控制器(PLC)发起Stuxnet式攻击,但同时,其他供应商的产品也可能会遭受相同类型的攻击。
美国和以色列用来破坏伊朗核计划的著名的Stuxnet恶意软件旨在针对西门子制造的SIMATIC S7-300和S7-400 PLC。Stuxnet通过滥用Siemens STEP7软件将恶意代码加载到目标PLC上。Stuxnet替换了一个名为s7otbxdx.dll的库, STEP7使用该库访问了PLC,而恶意版本使用一种名为反射DLL加载方法的恶意版本,从内存中加载DLL。这使攻击者可以将其恶意代码注入目标控制器。
Airbus网络安全公司的研究人员分析了施耐德电气的Modicon M340 PLC,以确定它是否容易受到类似攻击。该攻击通过施耐德的EcoStruxure Control Expert工程软件(以前称为Unity Pro)针对控制器。他们的分析发现了一个漏洞,可以利用该漏洞将恶意代码上传到 Modicon M340和M580 PLC,方法是替换与工程软件相关的一个 DLL 文件。这种攻击可能会造成严重后果,包括制造过程的中断或其他类型的损坏。空客安全研究人员表示,“从IT角度来看,攻击者可以将PLC转变为代理服务器。这将使攻击者能够发送请求,并与PLC连接的网络进行通信。例如,攻击者可以访问企业内部网络、窃取知识产权或者发动攻击、攻击其他相关系统。”
专家们还指出,一旦利用了漏洞并加载了恶意代码,攻击者就可以通过Internet来继续控制已受入侵的设备,而无需访问企业网络。合法的自动化软件将在不显示任何嵌入恶意程序迹象的情况下运行。恶意部分将通过互联网定期将请求发送到攻击者控制的命令和控制服务器。
尽管此类攻击可能会造成严重破坏或破坏性,或者可能使攻击者受益,但利用此漏洞并非易事。黑客首先需要访问目标组织的ICS外围,并能够与目标PLC进行通信。空客安全研究人员表示,“这已经是非常重要的操作,可能涉及通过多台计算机获得特权访问。如果攻击者达到了这一点,则多种安全防御措施要么没有到位,要么已经失败了,”
然后,攻击者需要从PLC下载自动化程序。这可以从受损的工程工作站完成,或者如果网络上的任何机器都可以访问PLC而无需身份验证,则可以做到这一点。然后,攻击者必须使用空客研究人员描述的技术重新编译自动化程序,并创建一个恶意程序,然后将其嵌入到合法的自动化软件中。最后,攻击者需要将修改后的程序上传到PLC并运行,但这需要停止并启动自动化软件,专家表示这一操作可能会被注意到。
另一方面,研究人员表示:“从现在开始,攻击者可以设计和编译任何给定的程序,并将其通过C&C服务器发送。PLC上的DownloadExec程序将即时下载并执行它(无需执行停止/启动序列)。”
空客研究人员在施耐德电气产品中发现的漏洞被追踪为CVE-2020-7475,并被归类为高危。该公司已为其修补了适用于EcoStruxure Control Expert的修补程序以及针对Modicon M340和M580控制器的固件更新。供应商已经提供了分步说明来解决该缺陷。然而,Schneider也指出,尽管没有指出供应商的名字,但这些类型的漏洞也影响其他供应商的产品。
施耐德电气代表表示,“空客研究旨在证明在某些情况下,例如当攻击者已经侵入工程工作站或未经授权访问目标控制器时,对工业控制器上执行非常特定类型的网络攻击(Reflective DLL)的理论可能性。这项研究的目的是帮助空客网络安全总体上保护其运营技术和工业资产。通过我们与他们的合作,我们的共同发现表明,尽管发现的漏洞影响施耐德电气公司提供的产品,但它同样会影响许多其他供应商和全球工业自动化市场,特别是当考虑到空客网络安全公司所展示的攻击技术的基线假设时。在一定条件下,假设攻击者可以访问网络,来自几种不同的工业控制供应商的许多设备也同样容易受到这种类型的网络攻击。”
施耐德电气和空客表示,他们鼓励所有工业公司确保在其整个运营和供应链中实施网络安全最佳实践,以努力降低遭受攻击的风险。施耐德表示,“在适当情况下,这包括将工业系统和可远程访问的设备安装在防火墙后面;安装物理控件以防止未经授权的访问;防止从外部网络访问关键任务系统和设备;系统地应用安全补丁和激活防病毒软件;以及应用列入白名单的解决方案。”
天地和兴工控安全研究院编译,参考来源:SecurityWeek https://dwz.cn/kaqMkHl7
(二)医疗和军事承包商Kimchuk遭受DoppelPaymer勒索软件攻击
近日,美国医疗和军事电子产品制造商Kimchuk遭受了数据窃取勒索软件DoppelPaymer攻击。该企业总部位于美国康涅狄格州丹伯里市,生产医疗设备、电信系统和能源网格的电子产品,还为海军制造核模块,这项工作通常需要安全检查。
在本月早些时候,DoppelPaymer感染了该公司的系统,并使其下线。DoppelPaymer是一种新型勒索软件,可以在加密用户文件之前将数据从受感染的网络中渗出。如果受害者没有支付赎金来解密文件,DoppelPaymer将公开受害者网络中的内容。
Kimchuk并没有支付赎金,所以该黑客公开了Kimchuk网络上的部分内容。这些被公开的文件包括公司的工资记录和经纪人批准和采购订单。这些文件均未包含机密信息,但是有几份文件包含了一个客户核能部门的订单详细信息。
勒索攻击发生的时间还不清楚。但被盗文件目录的屏幕快照显示最新的文件日期为3月5日,这表明攻击发生在那个日期前后。
TechCrunch发邮件询问Kimchuk的首席执行官吉姆·马奎斯关于该事件的相关信息。马奎斯在转发该邮件至相关人员的同时也不小心发送给了TechCrunch。马奎斯指示其人力资源和运营负责人不要回复TechCrunch的电子邮件或问题。“如果他坚持下去,就说无可奉告。他是怎么知道的?”
Kimchuk是受到DoppelPaymer勒索软件攻击的最新公司。本月初,国防承包商和零件制造商维瑟Visser(特斯拉和SpaceX为其客户)也受到DoppelPaymer的打击,并在该公司拒绝支付赎金后在线发布了文件。
安全公司Emsisoft的威胁分析师和勒索软件专家Brett Callow表示,DoppelPaymer勒索软件组自去年年中以来一直活跃,它从其他数据窃取勒索软件(如Maze)中汲取了灵感。但Callow表示,与Maze不同,DoppelPaymer的勒索信件并不会表明数据已被盗。相反,只有在公司访问勒索软件的网站进行付款时才泄漏。Callow表示:“勒索软件事件应被视为数据泄露,直到可以确定数据没有被泄漏为止。”
天地和兴工控安全研究院编译,参考来源:techcrunch https://dwz.cn/E9T7B0Hf
(三)威胁组织Silence和TA505攻击至少两家欧洲制药和制造业公司
近日,GroupIB的研究人员发现疑似俄罗斯威胁组织Silence和TA505在1月下旬使用恶意软件攻击了至少两家欧洲制药和制造业公司。TA505过去曾对银行、医疗机构零售商和其他企业进行过攻击,而Silence的常规攻击目标为银行和金融机构,如果安全研究人员正确的话,这标志着Silence首次发动对制药公司和制造公司的攻击,并可能表明其作案手法发生了重大变化。
这些攻击中使用的第一个恶意软件样本于2月2日在VirusTotal扫描平台上出现,标识为Silence.ProxyBot和Silence.MainModule的更新版本。这两个样本都与Silence有关,该组织于2016年开始针对前苏联的银行,后来将攻击范围扩大到全球。通过查看恶意软件样本,Group-IB的研究人员确定了比利时和德国的至少两名受害者,他们都收到了如何阻止攻击者的必要信息。分析显示两个IP地址用于命令和控制活动。一个来自捷克共和国(195.123.246 [。] 126-自一月下旬开始生效),另一个来自丹麦(37.120.145 [。] 253);都没有恶意跟踪的历史记录,没有被多个安全服务标记为干净的记录。检查网络犯罪基础设施显示,攻击者利用了Windows 10中的两个漏洞(CVE-2019-1405 和CVE-2019-1322)及更低的漏洞,允许本地权限提升。该漏洞利用程序被嵌入名为comahawk.exe的可执行文件中。在研究人员找到了与该对手过去相关的TinyMet Meterpreter登台机之后,并使用该组织的定制包装机对其进行压缩,从而使TA505在攻击中可见。
Silence和TA505之间的联系不是新发现的。Group-IB在2019年报告说,这两个组织可能使用了由同一个人开发的工具(Silence.Downloader和FlawedAmmyy.Downloader)。此外,GroupIB的事件响应团队在2019年末发现,Silent在TA505的帮助下入侵了欧洲至少一家银行,后者提供了对目标网络的访问权限。
对于擅长破坏银行和金融组织的Silence来说,从银行和金融机构转移到制药和制造公司是一个奇怪的举动。由于研究人员发现了用于横向移动的工具,攻击者如何攻击最新的目标以及造成的损害目前还不得而知。GroupIB动态恶意软件分析小组负责人Rustam Mirkasymov表示,攻击的目的可能是勒索软件感染或复杂的供应链攻击。TA505在过去使用过的勒索软件包括Locky,、Rapid、和Clop。但是,由于入侵是在中间阶段停止的,因此无法确定这些最近情况下的最终有效载荷。专家以中等信心认定Silence是这些活动的幕后攻击者,尽管他不排除该组织的工具被出售给另一威胁组织或被TA505借用的可能性。
天地和兴工控安全研究院编译,参考来源:BleepingComputer https://dwz.cn/rWiUvMwP
(四)研究新冠病毒的生物技术公司10x Genomics遭受勒索软件攻击
4月1日,美国加利福尼亚州生物技术公司10x Genomics披露其在3月份遭受了勒索软件攻击。该公司隔离了攻击源,并恢复了正常运行,该攻击对公司的数据访问和日常运营没有影响。在外部专家的协助下,该公司正在对攻击事件进行调查,并且还将与执法人员合作进行刑事调查。
该公司是国际联盟的一部分,该联盟正在对从新冠病毒恢复的患者的细胞进行测序,以了解该疾病的可能治疗方法。
10x Genomics 发言人在一份声明中表示:“当我们的产品被世界各地的研究人员广泛使用以理解和对抗新型冠状病毒时,我们遭受了攻击,这尤其令人失望。”这次袭击的确切细节尚不清楚。
以色列安全公司Under Breach 3月13日报道,使用REvil / Sodinokibi勒索软件的攻击者声称从10x Genomics中窃取了1TB数据。为了证明其真实性,黑客发布了一个样本文件,其中包含公司用户名、员工数据库、内部密码策略和域信息。
天地和兴工控安全研究院编译,参考来源:cyberscoop https://dwz.cn/I43MjwwB
(五)勒索软件Ryuk仍然以医疗机构作为攻击目标
尽管在冠状病毒大流行期间,有一些医疗机构不堪重负,但勒索Ryuk的运营者仍将攻击目标对准医疗机构。
Sophos的PeterM在推特上表示,美国医疗保健提供者在一夜之间受到Ryuk的攻击和加密。当被问及是否有任何可以共享的妥协指标(IOC)时,他说这与其他Ryuk攻击一样。PeterM表示:“目前看来,这是一次典型的Ryuk攻击,他们使用PsExec部署了勒索软件。”
SentinelOne研究部门主管Vitali Kremez在过去一个月发现了Ryuk攻击了10个医疗机构。在这十个目标中,有两个是独立医院,另一个是由美国9家医院组成的医疗网络。Kremez表示,“不仅他们的医疗机构目标没有停止,而且在病毒全球大流行期间我们还看到了利用医疗保健组织的持续趋势。尽管一些勒索组织至少承认或参与了制止医疗勒索的讨论,但Ryuk经营者仍然保持沉默,在我们呼吁停止的情况下,继续默默地攻击医疗目标。” 其中一家被攻击的医院目前处于受到冠状病毒严重影响的州。
任何时候,对医院数据进行加密不仅会影响医生开展工作的能力,还会影响患者的生死存亡。在医疗专业人员与世界各地打交道的所有事情中,所有人,包括勒索软件参与者,都应该给他们提供完成工作的空间,而不是阻碍他们进行工作。
天地和兴工控安全研究院编译,参考来源:BleepingComputer https://dwz.cn/EsuNlhuq
(六)FBI警告恶意软件Kwampirs正针对医疗机构进行攻击
3月30日,美国FBI发出警告,针对全球行业的正在进行的网络供应链运动中使用的Kwampirs恶意软件。Kwampirs(又名Orangeworm)攻击组织持续以全球医疗机构为目标,攻击目标包括大型跨国医疗保健公司和当地医院组织。
FBI评估Kwampirs参与者通过供应商软件供应链和硬件产品进入了许多全球医院。受感染的软件供应链供应商包括用于管理医院工业控制系统(ICS)资产的产品。
这是自今年年初以来,联邦调查局第三次向私营企业发出通知,涉及该组织的活动及其使用的模块化的Kwampirs RAT。
根据FBI警报:
• 攻击组首先在目标网络上建立广泛持久的存在,然后发送并执行Kwampir RAT和其他恶意负载
• Kwampirs参与者成功地并在受害者网络上持续存在了3至36个月
• Kwampir RAT是模块化的,根据目标的不同,放置不同的模块。但似乎威胁者的主要目标是网络间谍活动
• 重要的入侵载体包括:在并购期间公司网络之间的横向移动;在软件共同开发过程中,恶意软件通过共享资源和面向Internet的资源在实体之间传递;以及软件供应链供应商在客户/企业局域网或客户/企业云基础设施上安装受感染的设备。
Kwampirs的活动参与者已经瞄准了成像行业的公司,包括网络扫描仪和复印机类型的设备,这些设备可以通过域访问客户网络。FBI评估这些影像供应商的目标是获得客户网络的访问权,包括远程或云管理访问,这可能允许CNE在受害网络内横向移动。
虽然Kwampirs威胁行为者被认为是一种APT,但目前尚不清楚它们是否得到国家支持。该组织不追求PII,也不想为了赎金而破坏或加密数据,尽管据FBI称Kwampirs RAT与Shamoon /Disstruck wiper之间存在一些基于代码的相似之处。该组织还没有将其目标锁定在医疗保健和软件供应链组织。在较小程度上,他们攻击的是能源和工程行业的公司,以及遍布美国、欧洲、亚洲和中东的金融机构和知名律师事务所。
该FBI警告提供了在感染之前加入网络安全和防御措施的最佳实践,建议采取感染后的措施,并确定了残存的Kwampirs RAT宿主工件,这些工件可以帮助公司确定他们是否是受害者。此外,FBI还发布了两篇Flash警报,提供了用于识别Kwampirs恶意软件的危害指标和YARA规则。
SANS ISC处理程序以及SANS技术研究所研究主任Johannes Ullrich指出,作为来自可信供应商的软件更新的一部分,Kwampirs可能会在未被发现的情况下进入一个组织的网络。“反恶意软件解决方案将检测到以前的版本。但不要过于信任反恶意软件,以至于无法检测到可能针对你的组织定制的下一个版本。”
天地和兴工控安全研究院编译,参考来源:HelpNetSecurity https://dwz.cn/ggURCKJV
(七)微软针对医院发出警告 尽快修复易受攻击的VPN设备
近日微软表示,在发现一个勒索软件组织以医院为目标后,他们已经向数十家医院发出了首次针对性警告,警告虚拟专用网络(VPN)设备中存在漏洞。
该警告是在最近发现伊朗黑客针对 Pulse 服务器、Palo Alto Networks、Fortinet和Citrix的VPN服务器中的漏洞之后发布的。
如今,随着 covid-19冠状病毒疫情的全面爆发,企业比以往任何时候都更加依赖VPN服务器来支持远程员工,这使得他们成为勒索软件攻击者攻击的软肋,尤其是那些在资源紧张的医院工作的人。
尽管国土安全部网络安全和基础架构安全局(DHS CISA)上个月警告所有组织对VPN服务进行补丁,但Microsoft特别担心,由于没有补丁的VPN服务器,医院容易受到人为勒索软件的攻击。
微软威胁防护情报团队在新帖子中透露,通过微软庞大的威胁情报来源网络,我们确定了数十家医院的基础设施中存在易受攻击的网关和VPN设备。为了帮助这些医院,我们发出了第一份有针对性的通知,提供了有关漏洞的重要信息。该警报包含有关攻击者如何利用这些漏洞的信息,以及“强烈”警告,表明受影响的医院需要应用安全更新,以保护他们免受攻击。
微软团队一直在追踪的一个组织是REvil,又名Sodinokibi勒索软件团伙,以向企业和政府机构索要巨额赎金而闻名。一月份,它被发现针对未打补丁的Pulse Secure VPN以及企业Citrix服务器中的漏洞。
微软团队表示:“我们关于勒索软件活动的情报显示,REvil去年使用的恶意软件基础设施与最近的VPN攻击所使用的基础设施之间存在重叠。”勒索软件团伙尚未开发出新的攻击技术,而是将国家支持的攻击策略重新用于新的攻击,利用了当前冠状病毒危机中对信息日益增长的需求。 “在这些新的攻击中,我们还没有看到技术上的创新,只是为适应人们的恐惧和对信息的迫切需求而量身定制的社会工程策略。”
尽管只是复制了其他攻击者的技术,微软警告说,REvil和其他人为操纵的勒索软件团伙对商业勒索软件活动构成了巨大威胁,部分原因是他们由非常熟悉系统管理和常见网络安全错误配置的IT专业人员运营,而这些错误配置通常不会被视为紧急修复。 微软表示:“一旦攻击者渗透到网络中,他们就会进行彻底的侦察,并根据他们在网络中发现的安全漏洞和易受攻击的服务,调整权限提升和横向移动活动。”
微软对医院和其他组织的建议是遵循三个关键步骤来保护VPN服务免受攻击:
• 为VPN和防火墙配置应用所有可用的安全更新。
• 监视并特别注意您的远程访问基础结构。来自以下位置的任何检测。
应立即调查事件日志中发现的安全产品或异常情况。如果出现漏洞,请确保这些设备上使用的任何帐户都重置了密码,因为凭据可能已被泄露。
• 启用减少攻击面的规则,包括阻止凭证盗窃和勒索软件活动的规则。要解决通过武器化Office文档启动的恶意活动,请使用规则来阻止由Office应用程序启动的高级宏活动、可执行内容、进程创建和进程注入的规则。要评估这些规则的影响,请在审核模式下部署。
天地和兴工控安全研究院编译,参考来源:zdnet https://dwz.cn/R5ZlcdmU
(八)最赚钱的勒索软件Dharma的源代码在黑客论坛上出售
上周末,最赚钱的和最先进的勒索软件Dharma的源代码正在两个俄罗斯的黑客论坛上出售,源代码的售价低至2,000美元。出售Dharma勒索软件代码很可能会导致其最终泄露到公共互联网上,并泄露给更广泛的受众。反过来,这又会导致多个网络犯罪集团之间更广泛的扩散,并最终导致攻击激增。
FBI在今年RSA安全会议演讲中,将Dharma列为近年来第二赚钱最多的勒索软件,在2016年11月至2019年11月之间,向受害者勒索了超过2400万美元。
多名勒索软件专家表示,出售Dharma勒索软件代码很可能会导致其最终泄露到公共互联网上,并泄露给更广泛的受众。反过来,这又会导致多个网络犯罪集团之间更广泛的扩散,并最终导致攻击激增。
大家都很担心的原因是Dharma是由资深的恶意软件作者创建的高级勒索软件,它的加密方案非常先进,自2017年以来一直无法解密。该勒索软件唯一一次被解密是因为未知人员泄露了主解密密钥,并不是因为存在加密缺陷。
Dharma勒索软件操作历史悠久且曲折,最初于2016年夏天以名称CrySiS开始,CrySis是所谓的勒索软件即服务(RaaS)操作。CrySiS作者创建了一项服务,客户(其他犯罪团伙)可以生成自己的版本的勒索软件以分发给受害者,通常通过垃圾邮件活动、漏洞利用工具包或对RDP端点的暴力攻击进行分发。
在2016年11月有人在网上泄露了CrySiS主解密密钥后,两周后CrySiS RaaS以Dharma的名义重新启动。虽然一些Dharma主解密密钥也于2017年3月在网上泄露,但Dharma运营商这次并未重塑品牌,而是继续不受干扰地运行,将其RaaS打造为犯罪黑社会中最大的勒索软件交钥匙解决方案之一。多年来,新的Dharma版本一直在不断涌现,因为勒索软件收到了更新,新客户签署了将其分发到全球各地的协议,每个人都在传播自己独特的Dharma版本。
像大多数的犯罪分子一样,Dharma从2018年到2019年逐渐从通过电子邮件垃圾邮件大规模分发勒索软件逐步转变到针对企业网络有针对性的攻击。
在2019年春季,一种名为Phobos的新勒索软件病毒在线出现,主要用于有针对性的攻击。来自Coveware和Malwarebytes的安全研究人员很快指出,Phobos与Dharma几乎相同。但是,新的Phobos分支发布后,Dharma并没有消失。Emsisoft的恶意软件研究员、ID-Ransomware的创建者Michael Gillespie表示,去年整个Dharma和Phobos上载到ID-Ransomware服务的数量仍然约为50-50。网络安全公司Coveware也证实了这些数据,该公司在一份报告中表示,Dharma占2019年第四季度勒索软件事件的9.3%,而Phobos占10.7%。Avast的威胁情报负责人Jakub Kroustek仅在本周就发现了三种新的Dharma版本,这意味着犯罪集团仍在寻找Dharma的代码可靠,并且自发行以来已有三年多的时间,直到今天仍在使用。
迈克菲(McAfee)网络调查负责人约翰·福克(John Fokker)表示,Dharma代码已经在地下黑客中流传了很长一段时间,并且直到现在它才出现在更多的公共论坛上。Gillespie 过去曾发布过数十个勒索软件解密器,并因其努力而获得了FBI奖,他过去无法在Dharma中发现解密缺陷。Fokker现在希望Dharma源代码最终能被安全研究人员掌握。 “如果好人能从源头上获得帮助,我们也许就能发现一些缺陷。”
天地和兴工控安全研究院编译,参考来源:ZDNet https://dwz.cn/uaFqzlv9
(九)网络罪犯分子将Zoom域名作为攻击目标
尽管全世界正在与冠状病毒爆发斗争,但许多国家已采取预防措施。学校关闭,社区要求就地隔离,许多组织使他们的员工可以远程工作。因此,视频通信平台已成为日常工作。随着这些平台的兴趣和使用率的提高,网络罪犯将保持领先地位。例如,Check Point Research最近发现了一种技术,该技术可以使威胁参与者识别并加入活跃的Zoom会议。
在线交流平台已成为许多家庭和组织必不可少的工具,但重要的是要考虑一些技巧,以实现安全可靠的Zoom体验。在过去的几周中,研究人员发现了新域名注册的大幅度增长,其中包括Zoom的名称,Zoom是世界上最常用的视频通信平台之一。自从今年年初以来,已注册了1700多个新域,其中的25%在过去一周内已注册。在这些注册域中,发现有4%包含可疑特征。但是,Zoom不是网络罪犯针对的唯一应用程序。已经发现了适用于每种主要通信应用程序的新的网络钓鱼网站,包括由googloclassroom .com和googieclassroom .com冒充的官方教室.google.com网站。
此外,还检测到了带有“ zoom-us-zoom _ ############。exe”和“ microsoft-teams_V#mu#D _ ###########”之类的恶意文件。 exe”(#代表各种数字)。这些文件的运行导致在受害者的计算机上安装了InstallCore PUA,这可能会导致其他恶意软件的安装。
1. 请谨慎处理来自未知发件人的电子邮件和文件,尤其是当它们提供特殊交易或折扣时。
2. 不要打开未知附件,也不要点击电子邮件中的链接。
3. 提防相似的域名、电子邮件和网站中的拼写错误以及不熟悉的电子邮件发件人。
4. 确保从真实来源订购商品。不要点击电子邮件中的促销链接,而是用Google搜索想要的零售商,然后从Google结果页面单击链接。
5. 通过整体的,端到端的网络架构来防止零日攻击。
天地和兴工控安全研究院编译,参考来源:checkpoint https://dwz.cn/DCyMVqRS
(十)谷歌最新分析报告显示去年有国家背景的攻击数量有所下降
在2019年,Google向其用户发送了近40,000次关于国家资助的网络钓鱼或恶意软件攻击的警报,比2018年下降了近25%。该数字下降的原因之一是google的新保护措施正在发挥作用,攻击者已放放慢了步伐,并且攻击更加谨慎,意味着攻击的频率越来越低。
Google指出,政治竞选团队成员、记者、激进主义者、持不同政见者、高管、金融或政府等行业的用户最容易受到有国家背景的攻击。2019年最受关注的国家包括美国、韩国、印度、巴基斯坦和越南,每个国家都有1,000多个目标用户。近几个月来,google发现,冒充新闻媒体或新闻记者的攻击者数量有所增加,甚至伊朗和朝鲜的对手也采用了这种策略。攻击者会冒充新闻记者冒充其他记者传播虚假故事并散布虚假信息,或者发送良性电子邮件与新闻记者或外交政策专家建立信任,然后发送恶意附件。外国政策专家通常是国家资助的威胁行为者的研究目标,是与组织接触的机会,或者与研究人员或政策制定者联系以进行后续攻击。目标帐户通常会被击中多次,这种情况发生在2019年收到警告的五分之一的帐户中。攻击者使用不同的诱饵和帐户进行了多次尝试,或者如果初始攻击者试图破坏目标客户的同伴,尝试失败。
一些攻击利用了零日漏洞,从而增加了成功的机会。尽管它们只占国家支持的整个网络钓鱼尝试的一小部分,但这些攻击被认为特别危险。有针对性的零日漏洞会立即报告给供应商,并有7天的宽限期来提供补丁或提供咨询,然后google将有关该漏洞的信息公开。在2019年,在Android,Chrome,iOS,Internet Explorer和Windows中发现了零日漏洞,并且Google利用五个此类安全漏洞确定了一个威胁攻击者。在相对较短的时间内从同一个演员找到这么多零时差攻击的情况很少见。google发现大多数目标来自朝鲜或从事与朝鲜相关问题的个人。
谷歌安全研究人员去年发现的漏洞包括影响Internet Explorer的漏洞-CVE-2019-0676,CVE-2019-1367和CVE-2019-1429 ; Chrome- CVE-2019-5786 ; 和Windows kernel-CVE-2019-0808。
天地和兴工控安全研究院编译,参考来源:SecurityWeek https://dwz.cn/gaoqil00
(十一)黑客利用雷克萨斯和丰田汽车中的漏洞发起远程攻击
腾讯Keen安全实验室的研究人员发现,黑客会利用雷克萨斯和丰田汽车中的漏洞对受影响的车辆发起远程攻击。
对2017年雷克萨斯NX300中的AVN(音频,视觉和导航)系统的研究发现,汽车上的蓝牙和车辆诊断功能存在安全问题。该AVN系统也用于包括LS和ES系列在内的其他型号。根据Keen安全实验室的说法,可以利用这些缺陷来破坏AVN和内部CAN网络以及相关的电子控制单元(ECU)。此外,研究人员表示,他们能够无线控制AVN单元而无需用户交互,然后注入恶意的CAN消息以使汽车执行“物理动作”。但是,研究人员表示,与这些漏洞相关的具体技术细节将在明年公布。雷克萨斯AVN由DCU(显示控制单元)和MEU(地图的多媒体扩展单元)组成,DCU的主板露出Wi-Fi,蓝牙和USB接口等攻击面。DCU还通过CAN消息与内部ECU通信。
Keen的研究人员利用两个漏洞来针对车载蓝牙服务,并在具有根特权的DCU系统中实现远程代码执行。这些问题包括超出绑定的堆内存读取和堆缓冲区溢出,这两个问题都位于配对之前创建蓝牙连接的过程中。Keen安全实验室表示由于这些漏洞,蓝牙的开发利用绝对无接触且无交互。
如果DCU系统之前已与手机配对,则可以使用著名的Ubertooth One设备通过无线方式嗅探受影响汽车的蓝牙MAC地址。DCU系统不支持安全启动,这使得研究人员可以用恶意固件重新刷新uCOM板。然后,他们利用这一点绕过了现有的CAN消息过滤机制。安全研究人员表示,“通过链接蓝牙和车载诊断功能的发现,从蓝牙无线连接到汽车CAN网络的远程无接触攻击链是可行的。”
恶意代码可以通过DCU上的蓝牙服务进行部署,并将永久驻留在系统中。该代码可以使DCU自动连接到Wi-Fi热点,并生成一个交互式根shell,然后允许攻击者将任意的CAN消息无线发送到CAN总线。此外,通过利用诊断CAN消息,可以欺骗CAN网络内部的一些汽车ECU执行诊断功能,并以意外的物理动作触发汽车,Keen安全实验室总结道。
承认存在这些漏洞的丰田公司表示,由于使用了特定的多媒体单元,一些丰田汽车也受到了影响。“按照Keen实验室描述的漏洞发现和利用过程并不能控制转向、制动或油门。”丰田表示,要利用这些漏洞,不仅需要多媒体系统软件的专业知识,还需要特殊的工具,并且在攻击过程中必须与车辆靠近。因此,丰田公司认为,Keen实验室开发的方式利用这些漏洞非常复杂,并且这种情况在现实世界中发生的可能性是有限的。该公司已采取措施来解决生产线上的漏洞,并表示已为受影响的市场车辆提供软件更新。
天地和兴工控安全研究院编译,参考来源:安全周刊 https://dwz.cn/Cx2fV1oC
(十二)网络保险公司Chubb遭受勒索软件Maze攻击
近日Maze勒索软件组织表示,他们在3月份对全球最大的保险公司之一Chubb的数据进行了加密,并威胁如果不支付赎金将公开发布加密的数据。Chubb是全球领先的保险公司之一,拥有广泛的网络保险产品线,其中包括事件响应、取证分析、法律团队甚至公共关系。
对Chubb来说勒索软件并不新鲜,在其发布的2019年《网络焦点报告》中,Chubb发现与恶意软件相关的索赔在2019年增加了18%,勒索软件占制造商网络索赔的40%,较小企业的网络索赔的23%。
Maze已在其新闻网站上发布公告,声称拥有Chubb的加密数据。
Maze的正常作法是破坏组织,窃取其数据,用勒索软件感染网络,并在其网站上发布预告,以警告企业受害者,如果他们不支付赎金,其被盗数据将被在互联网上发布。
Maze尚未发布任何证据证明它已经成功感染了Chubb的系统。它已经发布了其首席执行官Evan Greenberg、首席运营官John Keogh和副董事长John Lupica等高管的电子邮件地址,但这是可以通过除黑客以外的其他方式轻松获得的信息。
在一份声明中,Chubb表示,他们正在调查这是否是未经授权的访问第三方服务提供商所持有数据的方式,因为没有证据表明其网络已被破坏。“我们目前正在调查可能涉及未经授权访问第三方服务提供商所持有数据的计算机安全事件。作为调查的一部分,我们正在与执法部门和一家领先的网络安全公司合作。我们没有证据表明该事件影响了Chubb的网络。我们的网络保持完全正常运行,我们将继续满足包括索赔在内的所有保单持有人的需求。保护委托给Chubb的数据是我们的重中之重。我们将酌情提供进一步的信息。”Maze目前不提供任何进一步的详细攻击信息。
尽管Chubb声明其网络并未受到损害,但网络安全情报公司Bad Packets表示,Chubb拥有众多易受CVE-2019-19871漏洞影响的 Citrix ADC(Netscaler)服务器。利用此漏洞可入侵网络并安装勒索软件。Phobos Group的Dan Tentler还发布推文表示,Chubb拥有可从互联网公开访问的远程桌面服务器,这是巨大的安全风险。
FBI表示,勒索软件运营者70%到80%的最初入侵点会使用RDP。目前尚不清楚是否将这些设备中的任何设备用作攻击的一部分,但应加以保护以增强外围安全性。
天地和兴工控安全研究院编译,参考来源:BleepingComputer https://dwz.cn/4dPaJsA2
(十三)新型恶意软件通过覆盖MBR使设备无法使用
近日,SonicWall威胁研究小组发现了一种利用新型冠状病毒的新型恶意软件,该恶意软件通过覆盖MBR使得磁盘无法使用。
执行后,该恶意软件会将一系列帮助程序文件放入一个临时文件夹中,其中包括一个BAT文件,该文件将自己标识为“冠状病毒安装程序”,并且负责大部分设置工作。
该文件创建了一个名为COVID-19的文件夹,用于移动先前删除的助手文件。文件夹是隐藏的,有助于防止感染。然后,所谓的安装程序将禁用Windows任务管理器和用户访问控制(UAC)。它还会更改桌面墙纸,并禁用允许用户添加或修改墙纸的选项。为了持久性,威胁会在注册表中添加条目。最后,恶意软件会通知受害者安装已完成,系统将被重新启动。然后创建一个批处理文件,以确保先前操作的注册表修改保持不变,并有助于启动名为“ mainWindow.exe”的可执行文件。
该文件显示一个窗口,显示了COVID-19病毒的结构和两个按钮:一个名为“删除病毒”,该按钮不起作用,另一个名为“帮助”。 当点击“帮助”按钮时,会提醒用户计算机已被感染。重新启动计算机后,将执行二进制代码来覆盖MBR,但不是在它在第一个扇区创建原始MBR 的备份之前。在磁盘的第二扇区,有一条信息写着“Angel Castillo创造。您的计算机已被破坏”。计算机启动时,该消息将通过引导程序代码显示给受害者。
天地和兴工控安全研究院编译,参考来源:securityweek https://dwz.cn/l4buYqGq
(十四)朝鲜黑客Geumseong121重启间谍活动
根据韩国安全公司ESTsecurity的最新研究,疑似朝鲜黑客一直在进行鱼叉式钓鱼电子邮件操作,目标是对朝鲜难民感兴趣的人。
ESTsecurity安全响应中心(ESRC)的研究人员将这个网络间谍组织归功于名为Geumseong121的组织,该组织诱使其受害者点击看起来与朝鲜难民有关的链接。根据ESRC的说法,该链接没有提供有价值的信息,而是将收件人指向下载恶意文件的存储库。
这项行动被ESRC命名为间谍云行动,因为它依赖云服务,显示黑客组织在去年12月的一次挫败后恢复运作,当时微软查封了该组织在钓鱼活动中使用的50个网站。这个组织也被广泛称为APT37。
据ESRC称,在抓捕行动之后,该组织正努力掩盖其活动。例如,攻击者似乎选择提示用户单击其鱼叉式电子邮件中的链接,而不是直接附加恶意文档,以期避免使用安全解决方案。ESRC研究人员表示:“这使攻击者可以根据需要修改或删除文件,以逃避检测并最小化占用空间。”
该活动于本月初开始,只是Geumseong121发起的最新一次间谍活动。去年,朝鲜黑客进行了一次与朝鲜叛逃者有关的行动。这项被称为龙信使的行动针对叛逃者和与朝鲜有关的组织,其恶意应用程序据称是针对朝鲜叛逃者的筹款申请。根据之前的ESRC研究,该组织的动机似乎是既有财务收益又有监督。
根据ESRC的说法,尽管间谍云运动的确切目标尚不清楚,但该组织通常将重点放在投资朝鲜与韩国统一、外交事务、国家安全或朝鲜难民的人员上。
一旦受害者单击链接和恶意文档(从.doc、.xls到韩国政府使用的文字处理器格式.hwp),攻击者还会向受害者分发恶意的Visual Basic for Applications(VBA)宏文件。
然后,该恶意软件会连接到攻击者的命令和控制服务器GoogleDrive,并试图将系统信息共享给PickCloud。据研究人员称,一旦用户进入这一步,攻击者还可能会尝试安装其他后门。据ESRC称,该活动包括基于Windows和Android的组件。
ESRC研究人员表示,除了内容上的相似之外,ESRC将这次动归因于Geumseong121,因为该组织最近进行的另一次网络间谍行动中使用的战术、技术、程序和最终有效载荷与材料完全相同。 ESRC还发现,在之前的Geumseong121行动和Spy Cloud行动中,有相似的编码技术和对云服务的依赖。
ESRC研究人员指出,此行动中用于注册云服务的电子邮件帐户也类似于该组织在先前活动中使用的电子邮件帐户。目前尚不清楚Geumseong121本月是否成功窃取了数据,也不清楚该组织最终可能会寻求什么样的信息或财务收益。
天地和兴工控安全研究院编译,参考来源:cyberscoop https://dwz.cn/oE0MRzTv
(十五)在黑客论坛上泄露了490万格鲁吉亚个人信息
3月28日,Under Breach的安全研究人员在地下黑客论坛上发现了一个列表,其中包含格鲁吉亚公民的个人信息,泄露的数据包含姓名、家庭住址、出生日期、ID号和手机号码等个人信息。数据存储的大小达到1.04 GB,并包含在Microsoft Access数据库中。
格鲁吉亚目前拥有大约370万公民,而公开的数据库包含4,934,863条记录,比该国总人口多120万。当前人口的大约三分之一还包括那些无法投票的人,例如儿童。不一致的原因是数据库没有正确更新,因此也包括了死者的信息。
目前尚不清楚谁发布了数据转储,或者政府将如何应对数据泄露,但受影响用户的影响可能很严重。
尽管在地下论坛上发布数据的人声称该信息来自政府选民网站.cec.gov.ge,但有关该数据泄露的信息还很少。格鲁吉亚公民使用此网站在线验证选民登记信息。目前还没有证据表明,格鲁吉亚选民的个人信息有可能是通过使用与voter.cec.gov.ge相同功能的Android应用程序获得的。研究人员认为,数据泄露可以借助所谓的蛮力策略来进行,恶意行为者可以借助预定的容易猜到的密码列表来猜测登录凭据。目前,voice.cec.gov.ge网站已关闭。
格鲁吉亚的选举定于今年10月举行,考虑到这一数据泄露事件,有些人可能完全不投票。投票者可能会冒着身份证号码等高度重要的个人信息被泄露的危险,因为用户可能会遭受针对性的网络钓鱼诈骗和银行欺诈。显然,政府应该采取额外的预防措施来保护其公民的信息。
受数据泄露影响的用户应立即将自己视为网上诱骗和其他恶意攻击的目标。格鲁吉亚公民应从现在开始应监视其网上银行帐户,泄露的信息还可以用于信用卡欺诈。
天地和兴工控安全研究院编译,参考来源:2spyware https://dwz.cn/ZBVPUz3g
(十六)4200万伊朗个人详细信息在黑客论坛上出售
3月30日,Comparitech的研究人员Bob Diachenko发现托管在Elasticsearch服务器上的数据库配置错误。经过分析,该数据库包含4200万伊朗公民的个人数据。该数据库最初是由名为Samaneye Shekar的伊朗黑客上传的,意思为狩猎系统。
最初,可以确定该数据是由Telegram泄露的,因为它包含用户帐户ID、用户名、哈希、秘密密钥和电话号码。但是,目前解到数据是从HotGram和Talagram(伊朗使用的两种Telegram替代品)中泄露的。
另一方面,Telegram还向研究人员证实该数据库来自一个非附属应用程序。值得注意的是,Telegram是一个开源应用程序,任何人都可以创建自己的版本。这有助于伊朗人使用Telegram,即使该程序由于伊朗的在线审查而被禁止使用。
Under The Breach的安全研究人员分析了示例数据,并指出该数据库是通过抓取创建的,该过程是从其他网站或服务器提取数据的过程。数据仅包含可通过抓取获得的信息,而与内部消息无关,因此这是伊朗某家公司进行的抓取操作,然后将其出售给第三方。"
研究人员还透露,几天前,Elasticsearch服务器上配置错误的数据库受到蠕虫的攻击,其中还删除了特定数据库。但是,在攻击之前,该数据库已被下载了好几次,其中一个下载器现在正在一个著名的黑客论坛上出售该数据库,其名字不会出于隐私目的而透露。
尽管不清楚已经有多少人购买了该数据库,但当被问及该数据库是否会对冠状病毒大流行产生影响时,研究人员表示,"这些数据可以用来传播假新闻,可以大批量传播虚假信息,尽管我不认为这是信息泄露的目的。"
天地和兴工控安全研究院编译,参考来源:HackRead https://dwz.cn/SyzNzUoz
天地和兴,工控安全,安全周报
相关资讯
