关键信息基础设施安全动态周报【2020年第15期】
发布时间:
2020-04-17
来源:
作者:
访问量:
63
目 录
第一章 国内关键信息基础设施安全动态
(一)信安标委下达2020年第一批推荐性网络安全国家标准计划
第二章 国外关键信息基础设施安全动态
(一)西门子工业设备受Linux内核漏洞SegmentSmack影响
(二)葡萄牙能源公司EDP遭受Ragnar Locker勒索近千万欧元
(三)RigUp云数据库泄露美国能源行业7.6万份文件
(四)丹麦水泵制造商DESMI遭受网络攻击
(五)瑞士航运公司MSC遭受恶意软件攻击致网络中断
(六)俄罗斯黑客攻击美国旧金山国际机场泄露用户登录凭据
(七)勒索软件DoppelPaymer泄露SpaceX、特斯拉、波音等内部机密文件
(八)美国发布朝鲜网络威胁警告
(九)荷兰警方关闭了15项DDoS租用服务
(十)勒索软件Nemty将关闭服务
(十一)巴基斯坦1.15亿移动用户数据在暗网出售
(十二)141万美国医生个人数据在黑客论坛上出售
(十三)美国马里兰州医生社区医疗中心DCMC遭受网络钓鱼
(十四)攻击者使用恶意软件Grandoreiro 攻击西班牙银行
(十五)意大利国有银行Monte dei Paschi银行员工邮箱遭黑客入侵
第一章 国内关键信息基础设施安全动态
(一)信安标委下达2020年第一批推荐性网络安全国家标准计划
近日,国家标准化管理委员会下达 2020 年第一批推荐性国家标准计划,该计划共包含432项,涵盖各行各业。其中新制定311项,修订121项;有415项为推荐性标准,剩余17项均为指导性技术文件。其中,由全国信息安全标准化技术委员会归口的标准项目共计16项,均为推荐性标准。
本文版权归原作者所有,参考来源:信安标委 https://dwz.cn/GeapvKaP
第二章 国外关键信息基础设施安全动态
(一)西门子工业设备受Linux内核漏洞SegmentSmack影响
4月14日,西门子发布三份关于SegmentSmack漏洞的安全公告,该漏洞可影响西门子数十种工业产品。
研究人员Juha-Matti Tilli 在2018年发现 Linux内核受到两个漏洞的影响,这两个漏洞可以通过向目标系统发送特制数据包来发起远程拒绝服务(DoS)攻击。这两个高危漏洞的编号为CVE-2018-5390和CVE-2018-5391,分别命名为SegmentSmack和FragmentSmack。专家警告称,这些漏洞可能会影响数十家主要供应商的产品。
在一份公告中,西门子披露了受SegmentSmack和FragmentSmack影响的产品,包括IE / PB-Link设备、RUGGEDCOM路由器、基于ROX的VPN端点和防火墙、SCALANCE路由器和防火墙,、IMATIC通信的处理器、SINEMA远程连接。
西门子的另一份公告中描述了基于VxWorks的Profinet TCP堆栈中的DoS漏洞。该漏洞的编号为CVE-2019-19301,影响了旨在在极端条件下工作的SIMATIC通信模块、SCALANCE X交换机、SIPLUS设备。
最后一份公告描述了基于Interniche的TCP堆栈中的DoS漏洞。该CVE-2019-19300漏洞会影响西门子的SIDOOR门管理系统、各种类型的SIMATIC设备、SINAMICS转换器、SIPLUS产品。
西门子已经发布了一些受影响设备的固件更新,以解决该漏洞,并表示正在为其余受影响产品开发补丁程序。
此外,西门子本周还公告了影响其SIMOTICS、Desigo、APOGEE、TALON产品的严重DHCP客户端漏洞。TIM通信模块中的一个严重漏洞可以被利用来完全控制设备,以及影响Climatix POL908和POL909模块的两个持续XSS缺陷。
天地和兴工控安全研究院编译,参考来源:SecurityWeek https://dwz.cn/w8GdrO7j
(二)葡萄牙能源公司EDP遭受Ragnar Locker勒索近千万欧元
近日,勒索软件Ragnar Locker加密了葡萄牙跨国能源企业Energias de Portugal(EDP)的系统,勒索金额为1580 BTC,约为1,090万美元或990万欧元。
EDP集团是欧洲能源行业(天然气和电力)最大的运营商之一,也是世界第四大风能生产商。该公司在全球四个大洲的19个国家/地区拥有业务,拥有超过11,500名员工,并为1100万以上的客户提供能源。
Ragnar Locker声称已窃取了超过10TB的敏感文件,并威胁如果不支付赎金就会泄露所有窃取的数据。
在该勒索软件的泄漏网站上,一篇新帖子表示:“我们已经从EDP集团服务器上下载了超过10TB的私人信息。下面只是您网络中几个文件的屏幕截图,仅作为拥有的证明!目前这个帖子是临时的,但有可能会成为永久性的页面。我们也会在大型和知名期刊和博客中发布此泄漏信息,我们还会通知您的所有客户、合作伙伴、竞争对手。因此,这取决于您将其保密还是公开!”
在已经泄露的文件中,包括一个edpradmin2.kdb文件,该文件是KeePass密码管理器数据库。当单击泄漏站点时,该链接将导致数据库导出,其中包括EDP员工的登录名、密码、帐户、URL和注释。
研究人员发现了用于此攻击的Ragnar Locker勒索软件样本,以及赎金记录和Tor付款页面,攻击者在其中详细说明了解密过程和勒索金额。
根据EDP被加密的系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。赎金说明上表示:“如果您不付款,所有文件和文档将被公布给所有人查看,并且我们将通过直接链接通知所有客户和合作伙伴有关此泄漏的信息。因此,如果您想避免这种损害您的声誉的行为,最好按照我们的要求支付赎金。”
勒索软件Ragnar Locker的使用者还在一个可以和受害者进行实时聊天的聊天室里嘲笑了EDP,攻击者要求EDP去数据泄露网站上查看关于该公司的文章,并且询问是否准备好在头条新闻、技术博客、股票网站上看到泄露的私人信息。他们还威胁表示,时间不会等待,并且警告EDP不要尝试使用除Ragnar Locker提供的解密工具之外的任何其他软件解密数据,因为它们有损坏或丢失数据的危险。如果受害者在系统被加密后两天内联系到他们,他们还向EDP提供优惠价格,但是,Ragnar Locker也同时警告表示,由于勒索软件的实时聊天不是24/7在线线,因此他们必须等待回复。
天地和兴工控安全研究院编译,参考来源:BleepingComputer https://dwz.cn/YJkV5lv6
(三)RigUp云数据库泄露美国能源行业7.6万份文件
近日,vpnMentor报告发现,美国能源行业劳动力市场和服务提供商RigUp泄露了存储于Amazon Web Services(AWS)S3存储桶上的76,000份美国能源行业组织和个人的私人文件。泄露的数据包含大量个人身份信息,以及与许多能源公司的业务运营文件。
美国RigUp公司成立于2014年,是美国能源行业的劳动力市场和服务提供商,该软件公司将独立承包商与美国各地的公司联系起来。
3月10日,vpnMentor发现了暴露的S3存储桶,该存储桶标有“ru”字样,其中包含许多带有RigUp名称的文件,从而可以快速识别所有者。泄露数据库的大小超过100GB,其中包含2018年7月至2020年3月之间存储的数据。RigUp在该数据库中存储了属于客户、承包商、求职者和应聘者的大量文件。
研究人员在数据库中找到了与人力资源相关的文件,包括雇员和候选人简历、个人照片(甚至私人家庭照片)、与保险单和计划相关的文书工作和ID、专业ID、个人资料照片(包括美国军事人员)、专业扫描不同领域的证书。这些文件中包含大量个人身份信息(PII),例如完整的联系方式(姓名、地址、电话号码、家庭住址)、社会保险信息、出生日期、保险单和税号、个人照片、与教育、专业经验、个人生活有关的其他信息。在数据库中还可以找到与许多能源公司的业务运营,项目和公司关系相关的内部记录,包括项目建议和应用、项目大纲、钻井设备的技术图纸、公司保险文件。
vpnMentor表示:“如果恶意黑客发现了该数据库,那么对于黑客而言,这些数据将成为各种欺诈计划和针对能源行业发起网络攻击的金矿。”此问题的根本原因是RigUp没有适当地保护数据库的安全,从而使数千个人暴露了信息。但是,该公司在收到有关此事的警报后很快就解决了该问题。
此类漏洞几乎总是与人为错误相关,要么不遵循文档说明,要么在部署过程中未能自动执行重要的安全步骤。所以仍然需要不断提高人们对与网络安全相关的风险的认识,以及在涉及人为行动时保持警惕的重要性。Cerberus Sentinel总裁比尔·桑托斯在一封电子邮件中表示,树立这种意识文化是任何组织减少网络暴露的第一步,也是最重要的一步。
天地和兴工控安全研究院编译,参考来源:SecurityWeek https://dwz.cn/rLyXQ9Jz
(四)丹麦水泵制造商DESMI遭受网络攻击
4月7日至4月8日晚,丹麦水泵制造商DESMI的IT系统和操作系统遭受了网络攻击,导致所有系统都已关闭。攻击者要求支付赎金以恢复数据,DESMI表示在任何情况下都不会支付赎金,该公司不会支持犯罪分子。该公司的ERP和财务系统没有收到受到攻击。
该公司聘请了外部专家来调查该事件并恢复正常运行,DESMI已将事件报告给当局和丹麦警察,并将尽快向所有客户和业务合作伙伴提供更新。
DESMI集团的首席执行官HenrikSørensen表示,目前所有系统都已关闭,系统正在恢复。系统的一部分将在几天之内启动并运行,其余的将在几周之内运行。该公司正在外部专家一道恢复系统,为减少客户影响和对运营的影响而进行了大量的工作。
14日,该公司的通信系统重新上线,收到了过去一周的电子邮件。因此,该公司员工目前有一项艰巨的任务,就是答复过去一周的这些电子邮件,并确保以适当的方式处理所有邮件和请求。
该公司的ERP和财务系统并未受到攻击,在中国、印度、美国、丹麦的生产基地正常运转,只有很少的干扰。
HenrikSørensen表示,“数据很可能已从系统中被窃取,并且预计犯罪分子将试图滥用这些数据。新冠病毒现已成为网络攻击。2020年无疑将是不容忘记的一年,但我们再次感谢来自世界各地的客户和业务合作伙伴的支持和理解。此外,我们很高兴看到可以再次生产泵和系统,以便我们的客户可以收到他们的产品。我们已经恢复正常并专注于为我们的许多客户提供服务。”
DESMI是一家全球公司,专门从事船舶、工业、溢油扑灭、国防和燃料以及公用事业(分区供暖、区域冷却、水和废水处理)的泵解决方案的开发和制造。
天地和兴工控安全研究院编译,参考来源:DEMSI https://dwz.cn/7cWZfRfY
(五)瑞士航运公司MSC遭受恶意软件攻击致网络中断
4月10日,瑞士地中海航运公司(MSC)披露,因其日内瓦总部遭受了恶意软件攻击,导致该公司数据中心的网络中断,其网站msc.com及其myMSC客户和供应商门户已不可用。
该事件现已解决,MSC网站和门户已恢复在线。15日,该公司发布了一份与停机有关的声明和常见问题解答,确认这已成为网络攻击的目标。在声明中,MSC表示,“经过彻底调查,我们确认它只限于日内瓦的有限数量的物理计算机系统,并且我们确定这是一种基于目标针对性漏洞的恶意软件攻击。我们已经按照行业标准与我们的技术合作伙伴共享了该恶意软件,这样不仅可以向我们提供缓解措施。”
尽管这可能是勒索软件攻击,但该公司尚未共享有关该恶意软件的任何信息,并表示目前不会提供任何其他详细信息。MSC表示,这次攻击对其业务的影响有限,并且没有发现任何证据表明该事件导致任何数据被泄露或丢失。
值得指出的是,如果这是勒索软件攻击,那么某些勒索软件运营商除了对受害者的文件进行加密并进行勒索之外,还从受感染的系统中窃取数据。在网络中断期间,MSC的全球代理商和全球员工在大多数情况下继续照常为客户提供服务。MSC的所有部门航站楼、仓库等都没有中断地运行,事件对与该公司开展业务的各方没有威胁。
天地和兴工控安全研究院编译,参考来源:SecurityWeek https://dwz.cn/rQMCvpMR
(六)俄罗斯黑客攻击美国旧金山国际机场泄露用户登录凭据
4月7日,美国旧金山国际机场(SFO)披露其两个网站遭受黑客入侵,窃取了一些用户的登录凭据。该攻击发生在3月份,遭受攻击的是SFOConnect.com和SFOConstruction.com两个流量较低的网站。14日,ESET的研究人员表示,此次攻击该网站的是俄罗斯有国家背景的威胁组织Energetic Bear。
攻击者在这两个网站上插入了恶意代码,以窃取用户的登录凭据。可能受到此攻击影响的用户包括在基于Windows的个人设备或非SFO维护的设备上通过Internet Explorer从机场网络外部访问这些网站的用户。攻击者已经访问了受影响的用户的用户名和密码,这些用户名和密码用于登录这些个人设备。目前恶意代码已从受影响的网站中删除。SFOConnect.com和SFOConstruction.com已下线。SFO于2020年3月23日强制重置所有与SFO相关的电子邮件和网络密码。SFOConnect.com是机场工作人员使用的网站,SFOConstruction.com是机场建设承包商使用的网站。
但是安全公司ESET研究人员在14日推文中表示:“目标信息不是访问者对受感染网站的凭据,而是访问者自己的Windows凭据。目的是通过利用SMB功能和file://前缀来收集访问者的Windows凭据(用户名/ NTLM哈希)。”可以破解NTLM哈希以获得用户Windows密码的明文版本。如果黑客能够访问机场的内部网络,他们可能会使用从机场员工那里获得的凭据,在机场内部网络横向传播,以进行侦察、数据盗窃或破坏活动。
ESET表示这次袭击是由威胁组织 Energetic Bear(也叫DragonFly)进行的。该组织自2010年以来一直活跃,据信将代表俄罗斯政府开展活动。该组织是俄罗斯最活跃的国家赞助的组织之一。在过去的十年中,Energetic Bear黑客组织一直在支持针对全世界组织的广泛黑客攻击活动。该组织的主要攻击目标是能源领域的组织,因此得名Energetic Bear,主要是那些位于中东、土耳其和美国的组织。
然而,卡巴斯基在2018年4月发布的一份报告以及美国国土安全部当时发出的警报显示, Energetic Bear最近也开始针对其他类型的组织,包括航空航天和航空业的公司。在卡巴斯基的报告中,详细介绍了Energetic Bear进行的一系列水坑攻击,这些攻击使用相同的“ file:// prefix ”技巧从访问受感染网站的用户那里获取NTLM哈希值。
ESET研究人员Matthieu Faou 在采访中表示:“ Energetic Bear / DragonFly已经使用了该技术多年。我们没有其他机场网站遭到破坏的信息。根据ESET的遥测技术,最近遭到攻击的其他网站主要是东欧的媒体网站。”Faou表示,当他们再次检测到这项技术被使用时,会立即报告给SFO机场团队,以让其迅速从其网站中删除恶意代码。
天地和兴工控安全研究院编译,参考来源:ZDNet https://dwz.cn/0gvNR9eA
(七)勒索软件DoppelPaymer泄露SpaceX、特斯拉、波音等内部机密文件
据外媒The Register报道,由于没有收到勒索款项,勒索软件DoppelPaymer在网络上公开了关于SpaceX、特斯拉、波音等公司的机密信息。被泄露的资讯包括Lockheed-Martin 设计的军事装备的细节(比如反迫击炮防御系统中的天线规格)、帐单和付款表格、供应商资讯、数据分析报告以及法律文书等。
3页月初,美国科罗拉多州丹佛市精密零件制造商Visser Precision遭受勒索软件DoppelPayment攻击,攻击者感染了Visser的电脑并对其文件进行加密,要求Visser在3月底支付赎金,否则将把机密文件内容公开到网络上。
Visser是一家航空、汽车、工业制造业制造和设计承包商,客户包含SpaceX、特斯拉、波音、霍尼韦尔、Blue Origin、Sikorsky、Lockheed Martin 等大型公司。泄露的文件与这些客户有关,尤其是特斯拉、Lockheed Martin、波音、SpaceX。此外,Visser与特斯拉和SpaceX之间的保密协议也在泄露文件中。
对于文件遭到窃取事件,Lockheed Martin公司发言人表示知情:“我们知道Visser Precision的情况,并且正在遵循我们针对与供应链有关的潜在网路事件的标准响应流程。Lockheed Martin 公司已经并且继续在网路安全方面进行重大投资,并使用行业领先的资讯安全实践来保护敏感信息,包括在适当的时间向供应商提供指导,以帮助其增强网路安全状况。”
面对DoppelPaymer的勒索,Visser Precision 的一位发言人称,公司会继续对这次攻击进行调查,目前各项业务运作正常。特斯拉,SpaceX 和波音公司均未做出回应。
DoppelPaymer是BitPaymer勒索软件的一类新变种,于2019年7月被发现。2020 年2 月25 日,DoppelPaymer 勒索软件的营运商开发了一个网站,以此公布没有支付赎金的受害者所被盗的文件。不过,DoppelPaymer的运营者承诺在新冠病毒疫情期间不会攻击医疗机构。
天地和兴工控安全研究院编译,参考来源:The Register https://dwz.cn/0fz9H3yA
(八)美国发布朝鲜网络威胁警告
4月15日,美国国务院、财政部、国土安全部、联邦调查局联合发布关于朝鲜网络威胁警告,该报告重点介绍了朝鲜构成的网络威胁,并提出了缓解威胁的建议措施。该警报特别警告要警惕加密劫持、勒索活动、具有网络功能的金融盗窃和洗钱诈骗。
该警报警告,朝鲜的网络恶意活动不仅针对美国,对整个世界都是危险的。“朝鲜的恶意网络活动威胁着美国和整个国际社会,尤其是对国际金融体系的完整性和稳定性构成重大威胁。”
该警报表示朝鲜使用网络犯罪的利润来增强其军事能力。 “在美国和联合国强有力的制裁压力下,朝鲜越来越依靠非法活动,包括网络犯罪,为其大规模杀伤性武器和弹道导弹计划创造收入。”
同时,该警告表示经济利益并不是朝鲜进行网络攻击的唯一动机。“朝鲜有能力进行破坏性的网络活动,从而影响美国关键的基础设施。朝鲜还利用网络力量从金融机构那里窃取资金,并表现出一种破坏性和有害的网络活动模式,这完全不符合国际社会就网络空间中什么构成负责任的国家行为日益形成的共识。 ”
联合国安理会1718委员会专家小组的2019年中期报告提到,它正在调查数十起可疑的朝鲜网络犯罪抢劫案,并且截至2019年末,朝鲜试图通过非法网络窃取多达20亿美元的资金。
美国政府将以下网络事件归因于朝鲜:索尼影业、孟加拉国银行抢劫案、WannaCry 2.0、FASTCash活动、Lazarus组织盗窃数字货币。
同时该警告强烈建议政府、企业、公民社会和个人采取以下所有相关措施,以保护自己和抵抗朝鲜的网络威胁:提高对朝鲜网络威胁的意识、共享朝鲜网络威胁的技术信息、实施和推广网络安全最佳实践、通知执法部门、加强反洗钱(AML)/打击恐怖主义融资(CFT)/防扩散融资(CPF)合规性。
此外,从事或支持朝鲜网络相关活动的个人的实体可被实施制裁。提供与朝鲜有关的网络非法活动的信息最高可获得500万美元的奖赏。
天地和兴工控安全研究院编译,参考来源:USCert https://dwz.cn/Pzunz2e1
(九)荷兰警方关闭了15项DDoS租用服务
荷兰警方证实,执法部门已经关闭了15项DDoS租用服务,并逮捕了一名19岁涉嫌对向政府发送公民最新动态的网站发动DDoS攻击的个人。受影响的网站MijnOverheid.nl和Overheid.nl提供冠状病毒的相关信息,在3月19日遭受攻击后几个小时不可用。
荷兰公民依靠Overheid.nl来与政府进行沟通,包括更新新冠病毒和紧急法规。MijnOverheid为“数字信箱”,市民可通过该信箱接收政府关于报税表或育儿福利的信息。该网站也包含个人信息,如在市政府注册的信息。
除了逮捕,荷兰中部警察上周还下架了15种DDoS出租服务,即booters。攻击者通常从booters那里购买DDoS攻击,booters向客户出售基础设施,这些基础设施大多是被黑客入侵的计算机,从而使目标流量泛滥。警察表示,在大多数情况下,出售和使用booters是犯罪行为。许多DDoS攻击者并没有意识到这一点,因为DDoS攻击通常是由年轻人进行的,这些年轻人的动机是出于无聊或想成功挑战开展DDoS活动。
荷兰中部警察网络犯罪小组负责人耶隆·尼森在新闻中表示:“采取预防措施,我们希望尽可能地保护人们免受DDoS攻击。通过使booters及其域名下线,我们使网络罪犯难以为继。我们现在已经将许多DDoS租用服务下线。如果它们突然出现在其他地方,我们将立即对其进行处理。我们的目标是越来越多地抓住booters。”
近年来,荷兰警察一直在努力阻止分布式拒绝服务攻击,这种攻击会使计算机超载,从而导致无法访问的流量过多。例如,去年荷兰警方关闭了一家托管公司,该公司帮助网络犯罪分子传播了数十万次DDoS攻击。前一年,美国司法部与荷兰警察和英国国家犯罪局合作,捣毁了15个用于发起DDoS攻击的互联网域。
同时,荷兰警方建议受害者不要在遭受DDoS攻击后向网络犯罪分子付款,希望受害者通知警方进行调查并追究他们的责任。
天地和兴工控安全研究院编译,参考来源:cyberscop https://dwz.cn/luZOqnpF
(十)勒索软件Nemty将关闭服务
勒索软件Nemty运营商近日宣布,他们将关闭其公开的勒索软件即服务(RAAS)业务并选择私有化,以集中精力并有针对性的为攻击目标投入更多资源。
Nemty是经典的RaaS(Ransomware-as-a-Service,勒索软件即服务),于2019年夏季推出,并在俄罗斯地下黑客论坛上进行了大量广告宣传。
使用Nemty RaaS签名的用户被授予访问Web门户的权限,他们可以在其中创建Nemty勒索软件的自定义版本。然后,客户可以通过自己的方法自由分发这些自定义版本。在过去的几个月中,已经发现Nemty勒索软件通过电子邮件垃圾邮件(malspam)活动,漏洞利用工具包,被诱骗的应用程序以及强行实施的RDP端点进行分发。如果感染了Nemty的受害者支付了赎金,则Nemty运营商会分得这笔款项的30%,而软件分发者会得到70%。
然而,Nemty运营商昨天在Exploit黑客论坛的一个专门主题上发布的更新,宣布将关闭RaaS运营并私有化。在网络犯罪地下私有化意味着与一些选定的合作伙伴合作分发恶意软件。Nemty运营商为受害者提供了一周的时间来支付赎金,在他们关闭所有服务器之前。之后即使受害者愿意付款,用户也无法解密其文件。在公告发布的第二天,Nemty工作人员还关闭了其“泄漏站点”,该门户是Nemty帮派在该门户发布拒绝支付赎金要求的公司文件的门户。
在2019年10月,Tesorion安全研究人员针对Nemty的三个版本发布了免费的解密器。但是,最新版本不可解密。
Nemty勒索软件的作者还与他人共享了Nemty的源代码,上个月在网上发现了一种名为Nefilim的新勒索软件。SentinelLabs和ID Ransomware的研究人员表示,新的Nefilim勒索软件似乎基于Nemty的代码。Nefilim勒索软件仅在针对大公司的少量攻击中使用。Nemty帮派现在希望过渡到这种作案手法。
天地和兴工控安全研究院编译,参考来源:ZDNet https://dwz.cn/gDGFrZ8R
(十一)巴基斯坦1.15亿移动用户数据在暗网出售
巴基斯坦专业网络安全服务公司Rewterz发现,目前有1.15亿巴基斯坦移动用户数据在暗网中出售。数据泄露背后的网络犯罪分子以300BTC(210万美元)出售该数据。这表明出于经济动机的威胁行为者在巴基斯坦活跃,各组织正成为这些网络攻击的受害者。
Rewterz威胁情报团队分析了在一个流行的暗网论坛上发布的数据转储的样本。窃取的数据包括用户的个人详细信息,例如姓名、完整地址、手机号码、NIC号、税号。
提供数据转储的网络犯罪分子是在其张贴广告的暗网论坛中的VIP成员。该数据销售广告写道,“ 数据库是在本周刚刚被黑的。当我拿到数据时,该数据仍在更新。该数据是以csv格式精心组织的,带有标题。”
Rewterz威胁情报专家认为,此漏洞的规模引发了有关电信公司数据安全性和隐私性的问题。这些数据可能是多次违规或一次违规的结果,目前还为时过早。还不清楚巴基斯坦是否有任何特定的电信运营商或所有电信运营商成为此次攻击的受害者。但是,如果发生违规行为,则应在知情的情况下将其披露。这些电信公司有可能由于不了解黑客攻击或有意选择不公开而未能披露该违规行为。它针对已发布信息的客户。
天地和兴工控安全研究院编译,参考来源:Rewterz https://dwz.cn/44vhRF9Q
(十二)141万美国医生个人数据在黑客论坛上出售
据Hackread.com报道,网络犯罪分子正在暗网论坛上出售美国境内141万名医生的个人信息。该数据库是4月11日从在线服务qa.findadoctor.com窃取的,该服务可使人们可以搜索医疗保健专业人员,进行即时预约并在线咨询医生。对于新冠病毒流行期间忙于挽救生命的医生和医护人员而言,这可能会成为灾难。
该网站位于新泽西州爱迪生市,由Millennium Technology Solutions公司拥有,注册了100000多名医生和5000多名成员。该网站允许医生和患者使用自己的电子邮件地址进行注册。但是,患者需要拍自己的照片或从PC上传照片以注册其会员资格。
被盗数据中包含医生的姓名、性别、工作医院名称、位置、邮寄地址、诊所地址、国家/地区、电话号码、许可证号等,但不包含电子邮件地址,也不包含患者的照片或病历。这意味着医生不会遭受网络钓鱼和恶意软件诈骗,但是基于泄露的记录,发现医生们的电子邮件地址非常简单。此外,网络罪犯分子也可以使用电话号码进行网络钓鱼攻击。
天地和兴工控安全研究院编译,参考来源:HackRead https://dwz.cn/xys2Usku
(十三)美国马里兰州医生社区医疗中心DCMC遭受网络钓鱼
4月13日,美国马里兰州医生社区医疗中心(Doctors Community Medical Center)发出通告,该中心1月份遭受了网络钓鱼攻击,其工资系统存在异常网络活动,少数员工已成为网络钓鱼攻击的受害者。通过在网络钓鱼攻击中获取员工的凭据,未经授权的第三方能够访问员工的工资信息及其电子邮件帐户。
在2019年11月6日至2020年1月30日之间的不同时间段内,不知名的参与者访问了某些DCMC员工帐户。作为调查的一部分,官员们确定电子邮件帐户中包含具有患者人口统计信息的数据表。尽管对于所有受影响的患者而言并不相同,但电子邮件中包含的患者信息包括:姓名、地址、出生日期、社会保险号、驾照、军事身份证号码、财务帐户信息、治疗信息/诊断、处方信息、提供者名称、病历号/患者ID、Medicare / Medicaid号、健康保险信息、治疗费用信息、访问凭证。
DCMC首席信息官Dave Lehr表示,“在得知个人信息的潜在暴露后,DCMC立即展开了调查以确定此事件的性质和范围,这包括与计算机取证调查员合作,确定受影响的确切信息以及电子邮件帐户中包含的个人身份。我们没有任何证据表明已访问,复制或重新公开了带有患者信息的特定电子邮件。但是,出于谨慎考虑,DCMC正在向所有受此事件影响的患者提供书面通知。我们认真对待这一事件和个人信息安全,作为我们对个人信息隐私保护的持续承诺的一部分,我们正在审查我们现有的政策和程序,并实施其他保护措施以进一步保护我们系统中的信息。作为额外的预防措施,我们还为受影响的人提供免费的信用监控和身份恢复服务。我们鼓励可能受到影响的个人通过查看对帐单和对不正常活动的利益的解释来保持警惕,以防身份盗用事件,并立即将任何可疑活动报告给您的保险公司,医疗保健提供者或金融机构。”
DCMC已通知联邦执法部门,并在调查继续进行时继续通知可能受此事件影响的人员。
天地和兴工控安全研究院编译,参考来源:DCH https://dwz.cn/dwtyR7aP
(十四)攻击者使用恶意软件Grandoreiro 攻击西班牙银行
IBM X-Force的研究人员近日发现,一种常见的恶意软件Grandoreiro已经将攻击目标转向了西班牙银行,此前该恶意软件通常会攻击巴西的银行。
远程攻击的银行木马程序Grandoreiro未经重大修改就迁移到了西班牙,证明了来自巴西的恶意软件的攻击者正在与西班牙的攻击者合作,或者自己将攻击传播到了该地区。远程攻击木马很容易在地下和黑暗网络市场中找到和购买。
IBM Security执行安全顾问Limor Kessem表示,在持续的攻击活动中,攻击者已将至少10家西班牙大型银行的客户作为目标。“我们过去已经发现了过这种迁移,而且这种迁移很可能与西班牙本地犯罪分子使用来自巴西同行的恶意软件有关。”
该恶意软件名为Grandoreiro,它使用一种远程访问功能,该功能可以将图像覆盖在受害者的Web浏览器上,从而诱骗它们使银行会话保持活动状态。Kessem和她的同事Dani Abramov在博客中表示,这使黑客有机会从受害者的帐户中窃取钱财或刷其他帐户信息。
目前尚不清楚有多少西班牙银行客户成为目标客户。IBM没有透露受影响的组织。
西班牙银行业协会是一个行业组织,其成员包括西班牙一些最大的银行,该协会表示,“总体上了解网络犯罪活动,但我们没有具体案例的细节或证据。我们可以确保的是,从历史上讲,甚至在现在,银行都在与网络犯罪作斗争。当然,他们为此目的采取了措施。”
多年来,像Grandoreiro这样的远程覆盖木马一直是拉丁美洲网络犯罪活动的主要内容。IBM表示,一名不明身份的黑客察觉到了机会,对恶意软件进行了调整,保留了大约85%的源代码,以攻击西班牙的银行客户。研究人员认为,熟悉Grandoreiro原始代码的攻击者要么与西班牙的犯罪分子合作,要么自行进行攻击。
长期以来,巴西一直是出于经济动机的网络犯罪的温床。威胁情报公司Recorded Future表示,在线论坛提供了多种黑客工具可供选择,网络犯罪团伙通常分为专门从事软件开发和洗钱的团队。
以Grandoreiro为例,曾经是巴西的问题,现在转移到了西班牙。随着西班牙继续努力应对新型冠状病毒,使用该恶意软件的入侵企图明显增加。像其他无数犯罪分子一样,Grandoreiro的运营商似乎已经针对大流行调整了他们的黑客活动。ESET的研究人员在2月份发现虚假网站,这些网站向巴西、西班牙和墨西哥的用户散播了对病毒的恐惧,并可能传播了Grandoreiro恶意软件。
天地和兴工控安全研究院编译,参考来源:cyberscoop https://dwz.cn/AtkVYrRP
(十五)意大利国有银行Monte dei Paschi银行员工邮箱遭黑客入侵
近日,意大利国有银行Monte dei Paschi遭到网络攻击,黑客入侵了部分员工的邮箱,并向客户发送了带有语音附件的电子邮件。
据路透社报道,该攻击发生在3月30日,该银行向其客户发送了通知。该通知中没有透露是否有数据遭到泄露,也没有提及是否有任何客户因这些邮件遭受损失。该银行也没有提供网络攻击的具体细节,目前尚不清楚攻击者是否访问了公司数据。
由于意大利近期新冠病毒爆发,许多银行、政府机构甚至医疗服务机构都成为网络攻击者的目标。在最近几周内,安全公司和专家报告了多起以冠状病毒为主题的网络钓鱼活动和垃圾邮件活动, 旨在传播恶意软件。意大利警方建议客户对以新冠病毒主题的电子邮件保持警惕。
天地和兴工控安全研究院编译,参考来源:SecurityAffairs https://dwz.cn/LDvSfpEt
天地和兴,工控安全,安全周报
相关资讯