关键信息基础设施安全动态周报【2020年第20期】
发布时间:
2020-05-22
来源:
作者:
访问量:
74
目 录
第一章 国内关键信息基础设施安全动态
(一)蔡英文办公室电脑遭黑客入侵 “蔡苏会”资料遭窜改流出
第二章 国外关键信息基础设施安全动态
(一)澳大利亚钢铁制造商BlueScope遭受网络攻击
(二)恶意组织RATicate利用RAT恶意软件窃取工业组织信息
(三)伊朗APT组织Chafer针对科威特和沙特阿拉伯关键基础设施开展网络间谍活动
(四)日本正在调查三菱电机导弹数据泄露事件
(五)欧洲多台超级计算机遭受黑客入侵用于挖掘加密货币
(六)梅赛德斯奔驰车载逻辑单元OLU源代码泄露
(七)新型NXNSAttack漏洞可被用于发起大规模DDoS攻击
(八)美国得克萨斯州交通运输部TxDOT遭受勒索软件攻击
(九)威胁组织PentaGuard因使用勒索软件攻击医疗机构而被捕
(十)黑客组织Greenbug攻击巴基斯坦三家电信公司
(十一)黑客组织使用勒索软件REvil勒索4200万美元否则将泄露特朗普信息
(十二)食品供应公司Sherwood遭受勒索软件Revil攻击
(十三)英国易捷航空EasyJet遭黑客攻击约900万客户信息泄露
(十四)数十亿蓝牙设备存在BIAS漏洞 欺骗远程配对设备
(十五)数十万QNAP设备易受远程接管攻击
第一章 国内关键信息基础设施安全动态
(一)蔡英文办公室电脑遭黑客入侵 “蔡苏会”资料遭窜改流出
据台湾《中时电子报》报道,台湾地区领导人蔡英文办公室电脑惊传遭黑客入侵,4月间蔡英文与台当局“行政院长”苏贞昌会面时幕僚帮忙准备的资料,遭变造、伪造,并以黑函方式散布。蔡办称已向警方报案,相关单位已经启动调查。
据报道,部分媒体记者15日晚间收到蔡办寄出的两封电邮,信件夹带数个PDF文档,内容看似为蔡办幕僚记录的蔡英文4月与苏贞昌两次会面前,幕僚帮蔡英文所准备的资料。遭窜改流出的文件内容包括蔡办高层人士针对目前“内阁”人事的安排建议等。
蔡办发言人室称,该文件为伪变造文件,已报案。
本文版权归原作者所有,参考来源:中国台湾网 http://dwz.date/aJfv
第二章 国外关键信息基础设施安全动态
(一)澳大利亚钢铁制造商BlueScope遭受网络攻击
澳大利亚钢铁生产商BlueScope5月15日表示,其美国业务检测到遭受了网络攻击,导致该公司部分业务中断。该公司受到了勒索软件的攻击,正在努力从备份中恢复系统。该事件影响了其部分IT系统,主要影响到澳大利亚的制造和销售业务。
该公司表示,一些流程已经暂停,而包括钢材发货在内的其他流程仍在继续,需要一些人工流程和解决办法。该公司的北极星、亚洲和新西兰部门只出现了轻微的中断,基本上没有受到影响,可以继续运营。
BlueScope表示,“在受影响的地区,公司已在可能的情况下恢复人工操作,同时全面评估影响并按要求进行补救,以便尽快恢复正常运营”。
BlueScope并不是最近几周唯一一家受到勒索软件攻击的澳大利亚大公司。航运巨头Toll 5月早些时候透露,其部分系统感染了勒索软件,这是该公司今年披露的第二起勒索软件事件。
Toll最初表示,没有证据表明攻击者窃取了任何信息,但后来承认,黑客确实设法下载了有关现任和前任员工的信息,以及与企业客户达成的商业协议的细节。对Toll的攻击涉及Nefilim勒索软件,众所周知,勒索软件的运营商会窃取数据并扬言将其公开,除非支付了赎金。
天地和兴工控安全研究院编译,参考来源:securityweek http://dwz.date/aHX5
(二)恶意组织RATicate利用RAT恶意软件窃取工业组织信息
近日,Sophos的安全研究人员发现了一个黑客组织在针对工业公司的攻击中滥用NSIS安装程序部署远程访问工具(RATs)和信息窃取恶意软件。该RATicate的攻击目标为欧洲、中东、韩国的工业企业,为2019年11月至2020年1月之间五个独立运动的一部分。
该攻击活动针对工业领域的各类实体,范围从专注于制造业的公司到投资公司和互联网公司,包括:罗马尼亚的电气设备制造商、一家科威特建筑服务和工程公司、韩国互联网公司、韩国投资公司、英国建筑供应商、韩国医学新闻刊物、韩国电信和电缆制造商、瑞士出版设备制造商、日本的快递和运输公司。
为了感染目标系统,攻击者使用了两条感染链,它们均涉及通过网络钓鱼电子邮件传递有效负载,但部署方式略有不同。第一个感染链使用包含恶意NSIS安装程序的ZIP、UDF和IMG恶意附件,而第二个使用诱骗式捕获的XLS和RTF文档将安装程序从远程服务器下载到受害者的设备上。
NSIS(Nullsoft可编写脚本的安装系统)安装程序使用相同的加载程序,但丢弃了不同的恶意负载。
Sophos解释表示“我们考虑了两种可能的情况,恶意的NSIS软件包是在黑暗的论坛上出售的通用打包程序,或者同一威胁参与者正在使用自定义加载程序在其各种攻击中部署不同的有效负载。”
NSIS安装程序还旨在删除垃圾文件的集合(从图像和源代码文件到外壳脚本和Python二进制文件),以帮助隐藏被删除的恶意软件。
Sophos表示,“在对收集的样本进行分析的过程中,手动进行并借助沙盒工具进行了处理,我们发现了RAT和信息窃取者的不同家族,这些工具包括Lokibot、Betabot、Formbook、AgentTesla、但是它们在执行时都遵循相同的多阶段解包过程。”
总体来说,Sophos发现RATicate攻击了五个连续的活动,这些活动使用了一组相似的有效负载,并共享命令和控制基础结构。
研究人员发现,每个活动中的某些不同有效载荷(大多数是Betabot、Lokibot、AgentTesla、Formbook)共享相同的C&C,这表明它们是由同一威胁参与者协调的。“战役时间表也有明显的聚集,它们之间从来没有任何重叠,这表明它们是由同一威胁参与者连续操作的。一些基础架构也已在多个活动中共享,这也表明同一参与者参与了所有活动。”
根据Sophos的说法,RATicate组织已转向使用其他有效载荷和诱饵,包括设计与COVID-19相关的诱饵,诱骗潜在受害者在其计算机上安装恶意软件,如2020年3月检测到的最近一系列攻击显示了这一点。
Sophos表示,“根据他们的行为,我们不确定RATicate组织是专注于企业间谍活动还是只是作为其他参与者的恶意软件即服务提供商。这可能仅仅是因为他们将恶意软件投放到了目标公司上,以提供对他人的付费访问权限,或者是将InfoStealer和RAT恶意软件用作更大的恶意软件分发工作的一部分。”
天地和兴工控安全研究院编译,参考来源:BleepingComputer http://dwz.date/aGrp
(三)伊朗APT组织Chafer针对科威特和沙特阿拉伯关键基础设施开展网络间谍活动
近日,Bitdefender的网络安全研究人员发现,伊朗APT组织Chafer(APT 39、Remix)针对科威特及沙特阿拉伯的关键基础设施发起网络间谍活动。
该APT组织至少从2014年年中开始分发数据窃取恶意软件,重点用于监视行动和跟踪个人。该组织的攻击目标是中东地区的电信和旅游业,以收集有关伊朗地缘政治利益的情报。
Bitdefender研究人员表示,“攻击活动的受害者符合该行为者攻击的喜好模式,例如中东的航空运输和政府部门。有些痕迹表明,攻击的目标是数据探索和泄露,在某些受害者的工具上,例如Navicat、Winscp,位于不寻常的位置,即%WINDOWS% ime en-us-ime,或SmartFtpPasswordDecryptor出现在他们的系统上。”
攻击者使用了多种工具,包括living off the land工具,这使得很难将攻击归因于特定的威胁参与者以及定制的后门。
对科威特和沙特阿拉伯的实体的攻击有许多相似之处,并且有一些共同的阶段,但是研究人员注意到,攻击似乎更加针对科威特的受害者,而且更加复杂。
Chafer发动了鱼叉式网络钓鱼攻击,这些消息用于传递多个后门,使他们得以立足,提高特权,进行内部侦察并在受害者环境中保持持久性。“一旦受害者受到攻击,攻击者便开始携带用于网络扫描的侦察工具(xnet.exes、shareo.exe)和凭据收集(mnl.exe、mimi32.exe)或具有多种功能的工具功能,例如CrackMapExec(用于用户枚举、共享列表、凭据收集等)。在调查过程中,我们在某些受感染的站点上观察到在特定用户帐户下执行的一些异常行为,这使我们相信攻击者设法在受害者的计算机上创建了一个用户帐户,并在网络内执行了多项恶意操作。”
对科威特实体的攻击似乎更加复杂,攻击者正在受感染机器上创建用户帐户,并在网络内部执行恶意操作,包括使用Mimikatz进行凭据收集以及使用其武器库中的多种黑客工具进行横向移动。
大多数黑客活动都发生在星期五和星期六,恰逢中东周末。
针对沙特阿拉伯实体的活动的特点是大量使用社会工程学攻击来诱骗受害者执行远程管理工具(RAT)。攻击中使用的RAT与针对科威特和土耳其的相似 。
研究人员表示,“在沙特阿拉伯调查的案件没有那么详尽,要么是因为攻击者没有设法进一步剥削受害者,要么是因为侦察没有发现任何令人感兴趣的信息。虽然这次攻击没有科威特那样广泛,但一些取证信息表明,相同的攻击者也可能策划了这种攻击。尽管有发现网络的证据,我们仍无法找到横向移动的痕迹,这很可能是因为威胁行为者无法找到任何易受攻击的机器。”
针对科威特和沙特阿拉伯的运动表明,与伊朗有关联的APT组织在中东开展了激烈的网络间谍活动。无论如何,不要低估这些黑客组织正在扩大针对全球政府和组织的行动范围。
天地和兴工控安全研究院编译,参考来源:SecurityAffairs http://suo.im/5Dpqfu
(四)日本正在调查三菱电机导弹数据泄露事件
5月20日有日本政府消息人士称,去年针对三菱电机的大规模网络攻击可能泄露了与正在研发的最先进武器之一有关的信息。三菱电器认为该事件属于工业间谍事件,黑客针对的是国防工业,特别是有关高超音速滑行导弹的信息。日本正在研究此事件对国家安全的影响。
这些导弹旨在逃避敌人的导弹防御网络后对目标进行精确攻击。这些导弹的设计不仅可以以极高的速度飞行,而且可以以各种轨迹飞行。
一位政府消息人士称,尽管可能泄露的数据并未归类为最高机密,但仍是与日本国防能力的未来有关的敏感信息。
中国、俄罗斯和美国正在研制高超音速滑翔导弹。
日本防卫省于2018年开始研发导弹,其采购、技术和后勤局(ATLA)将武器的规格提供给了包括三菱电机在内的国防公司。这些公司根据招标书的规格要求,成为日本原型导弹的生产商,三菱电机没有中标。
被盗的规格可能包括诸如导弹射程,所需的耐热性和推进力等信息。规格没有归类为必须受到法律保护的国家机密,因为导弹的能力在开发过程中会不断变化。
但是,招标公司应谨慎处理规格,因为任何泄漏都可能导致国防业务中断。实际上,ATLA已要求收到规范的公司(包括三菱电机)签署保证彻底保护信息的承诺。
三菱电机在一次内部调查中发现了网络攻击。调查发现,黑客利用三菱电机公司计算机和在中国的关联公司的通信设备中使用的软件缺陷,进入了三菱电机的网络。
Black Tech和Tick是涉嫌策划网络攻击的中国黑客组织。但是,一些分析专家认为,国家行为体是此次违规行为的幕后黑手,目的是针对国防工业或重要基础设施。
国防部、国家警察局和公共安全委员会的官员在2月的一次会议上讨论了对三菱电机的网络攻击。当时的文件表明,这两个黑客组织处于中国军方的控制之下,Black Tech与武汉的一个军事部门有密切的联系,Tick与上海的一个部队有密切的联系。虽然普通的网络攻击(例如工业间谍活动和信息泄漏)被归类为犯罪,但更严重的行为很容易导致国家间的网络战争。
天地和兴工控安全研究院编译,参考来源:朝日新闻 http://dwz.date/aHhz
(五)欧洲多台超级计算机遭受黑客入侵用于挖掘加密货币
近日,欧洲各地多台超级计算机遭受恶意软件感染,以用于挖掘加密货币,目前这些超级计算机已被关闭并正在调查。英国、德国、瑞士、西班牙多地发生了此安全事件。
运行ARCHER超级计算机的英国爱丁堡大学在5月11 日公布了有关攻击的第一份报告。该组织报告了对ARCHER登录节点的安全利用 ,关闭了ARCHER系统以进行调查,并重置SSH密码以防止进一步的入侵。
负责协调德国巴登符腾堡州跨超级计算机研究项目的组织bwHPC 5月11日宣布由于该安全事件,必须关闭其五个高性能计算集群,包括:斯图加特大学斯图加特高性能计算中心(HLRS)的Hawk超级计算机、卡尔斯鲁厄技术学院(KIT)的bwUniCluster 2.0和ForHLR II集群、乌尔姆大学的bwForCluster JUSTUS化学和量子科学超级计算机、蒂宾根大学的bwForCluster BinAC生物信息学超级计算机。
安全研究员Felix von Leitner 5月13日在博客中称,位于西班牙巴塞罗那的一台超级计算机也受到此类安全问题的影响而被关闭。
5月14日,德国巴伐利亚科学院下属的莱布尼兹计算中心(LRZ)表示,由于安全漏洞,该计算集群已从互联网断开连接。当晚,德国朱利希镇的朱利希研究中心又发布了一份声明称,在该IT安全事件之后,他们不得不关闭JURECA、JUDAC和JUWELS超级计算机。德累斯顿工业大学也宣布他们也必须关闭其Taurus超级计算机。
5月16日,德国科学家Robert Helling在德国慕尼黑路德维希·马克西米利安斯大学物理系发表了有关感染高性能计算集群的恶意软件的分析。
瑞士苏黎世的瑞士科学计算中心(CSCS)在发生网络事件后也关闭了对其超级计算机基础设施的外部访问,直至恢复安全环境。
这些何组织都没有发布有关入侵的任何详细信息。但是在16日早些时候,负责协调欧洲各地超级计算机研究的泛欧组织欧洲网格基础设施(EGI)的计算机安全事件响应小组(CSIRT)已发布了其中一些事件的恶意软件样本和网络威胁指标。
位于英国的网络安全公司Cado Security16日对该恶意软件样本进行了审查。该公司表示,攻击者似乎已通过受到破坏的SSH凭据获得了对超级计算机群集的访问权限。这些证书似乎是从获得超级计算机运行计算作业权限的大学成员那里偷来的。被劫持的SSH登录名分别属于加拿大、中国和波兰的大学。
Cado Security联合创始人Chris Doman表示,虽然没有官方证据可以证明所有入侵都是由同一组织进行的,但类似恶意软件文件名和网络指示器的证据表明这可能是同一个威胁组织、根据Doman的分析,一旦攻击者获得对超级计算节点的访问权限,攻击者似乎就利用CVE-2019-15666漏洞利用漏洞进行了根访问,然后部署了挖掘Monero(XMR)加密货币的应用程序。
更糟糕的是,本周许多超级计算机瘫痪的组织在前几周宣布,他们将研究COVID-19疫情的研究列为优先事项,但是由于入侵和停机事件,该问题现在很可能受到了阻碍。
这类事件并不是首次在超级计算机上安装加密采矿恶意软件。但是,这是黑客第一次这样做。在以前的事件中,通常是出于个人利益而安装加密货币矿工的员工。例如,在2018年2月,俄罗斯当局从俄罗斯核中心逮捕了工程师,原因是他们使用该机构的超级计算机开采加密货币。一个月后,澳大利亚官员在气象局开始调查类似案件,员工使用该机构的超级计算机开采加密货币。
天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/aGpd
(六)梅赛德斯奔驰车载逻辑单元OLU源代码泄露
瑞士软件工程师Till Kottmann发现了一个属于戴姆勒公司的Git门户网站。德国汽车公司戴姆勒旗下拥有梅赛德斯奔驰汽车品牌。Kottmann可在该托管代码的门户网站上注册一个账户,然后可下载580多个Git存储库,其中包含了梅赛德斯奔驰货车上安装的车载逻辑单元OLU的源代码。
据戴姆勒网站数据显示,OLU是位于汽车硬件和软件之间的组件,可将汽车连接到云上。戴姆勒表示,OLU简化了对实车数据的技术访问和管理,并允许第三方开发人员创建可从梅赛德斯货车检索数据的应用程序。这些应用通常用于以下功能,例如在路上跟踪货车、跟踪货车的内部状态、在盗窃情况下冻结货车。
Kottmann表示,他发现戴姆勒的GitLab服务器使用了如Google dorks(专门的Google搜索查询)一样简单的工具。GitLab是一个基于Web的软件包,公司可以使用它来集中Git存储库上的工作。Git是用于跟踪源代码更改的专业软件,它允许多人工程团队编写代码,然后将其同步到中央服务器。在本例中为戴姆勒基于GitLab的Web门户。
Kottmann表示,“当我感到无聊时,我常常只是去寻找有趣的GitLab实例,大多数情况下只是用简单的Google dorks来寻找,而令我惊讶的是,似乎很少有人想到安全性设置了。说实话,这是一个非常幸运的发现,当时我正在浏览一些以前从未检查过的品牌,希望能找到像一些小型承包商之类的东西。”
Kottmann表示,戴姆勒未能执行帐户确认流程,这使他无法使用戴姆勒公司不存在的电子邮件在公司的官方GitLab服务器上注册帐户。Kottmann从公司的服务器上下载了580多个Git存储库,并在周末将其公开发布,并将文件上传到多个位置,例如文件托管服务MEGA、Internet Archive、以及自己的GitLab服务器。
部分泄漏的Git存储库文件均未包含开放源代码许可证,这表明这是专有信息,无意于公开。泄漏的项目包括梅赛德斯货车OLU组件的源代码,还包括Raspberry Pi图像、服务器图像、用于管理远程OLU的戴姆勒内部组件、内部文档、代码示例等。
尽管泄漏一开始看上去似乎是无害的,但威胁情报公司Under the Breach也对数据进行了审查,研究人员发现了戴姆勒内部系统的密码和API令牌。这些密码和访问令牌的使用不当,可能会被用来计划和安装将来针对戴姆勒云和内部网络的入侵。
在ZDNet和Under the Breach与戴姆勒取得联系后,该公司关闭了GitLab服务器,Kottmann就是从那里下载了数据。戴姆勒发言人没有正式回复评论请求。
Kottmann打算将戴姆勒的源代码保留在线,直到该公司主动要求他删除为止。不过,对于Kottmann的行为是否合法仍有一些疑问,因为Kottmann在周末在线发布其源代码之前没有试图通知该公司。
另一方面,GitLab服务器允许任何人注册帐户,有人可以将其解释为开放系统。此外,源代码中不包含有关这是专有技术的警告。
天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/aHuM
(七)新型NXNSAttack漏洞可被用于发起大规模DDoS攻击
以色列的网络安全研究人员披露了有关影响DNS协议的新漏洞的详细信息,该漏洞可被利用来发起放大的大规模分布式拒绝服务(DDoS)攻击,以使所针对的目标网站崩溃。
被称为 NXNSAttack 的攻击,利用DNS 委派机制的缺陷,迫使域名递归解析服务器向攻击者针对的权威服务器发出更多 DNS 查询,从而通过激活大规模的僵尸网络可能导致在线服务中断。
安全研究人员发现:在典型的域名解析过程中,交换的 DNS 消息数量较之实际的需求高得多,主要表现为对具体域名服务器 IP 地址的主动域名解析请求的并发访问数量。
安全研究人员证明:这种行为模式造成域名解析服务的瓶颈,可能用于对递归域名解析服务器器和域名权威服务器发起毁灭性的攻击。
在NXNSAttack 攻击模式被披露后,运营互联网基础设施(提供域名解析服务)的主要公司,包括PowerDNS(补丁CVE-2020-10995),CZ.NIC(补丁CVE-2020-12667),Cloudflare,谷歌,亚马逊,微软,甲骨文(Dyn) ,Verisign和IBM Quad9,已对其软件进行了修补,以解决该缺陷(或漏洞)。
当客户端欲查询与域名关联的IP 地址(例如,www.google.com),通过域名递归解析服务器与多个授权域名服务器按层次结构顺序迭代通信,并将域名解析结果返回给客户端。
域名递归解析服务通常是客户所属的运营商(ISP)隐式提供,或是公共DNS 服务器,如Cloudflare(1.1.1.1)或Google(8.8.8.8),取决于客户端配置。
如果域名递归解析服务未保存(或无法找到)客户端查询域名的IP 地址,则将请求传递给授权域名解析服务器,并委托进行层次结构顺序的迭代通信。
这个分层域名解析过程直至提供所查询域名的IP 地址,使得客户端的用户能够访问相应的网站。
安全研究人员发现,利用大量且并非实际需要的域名查询请求可以欺骗域名递归解析服务器,迫使其不断地将大量数据包发送到目标域,而不是合法的授权域名服务器。
为此,攻击者必须拥有一台权威域名解析服务器,而通过购买一个域名就可以轻松实现。这样,攻击者可以冒充权威域名服务器,并伪装响应对域名的查询。
NXNSAttack 的攻击原理是,向易受攻击的域名递归解析服务器发送被攻击者控制的域名(例如"attacker.com")查询请求,该服务器会将域名查询转发到攻击者控制的权威服务器。
攻击者控制的权威服务器响应域名查询的返回结果,是已被控制的虚假服务器或子域名,而指向被攻击受害者的域名。然后,虚假服务器将域名查询请求转发到所有不存在的子域,从而导致受害者站点的流量激增。
已经证明,这种放大攻击可以使域名递归解析服务器交换的数据包数增加1,620 倍,不仅使得域名递归解析服务器无法处理正常的域名查询请求,而且过量(放大)的虚假域名查询请求造成目标域被“淹没”(泛洪攻击),而崩溃。
而且,使用Mirai 等僵尸网络,可以进一步扩大攻击范围。
安全研究人员指出,事实上,由攻击者控制以及获取大量客户和大量权威域名服务器,既容易又便宜(代价小)。
安全研究人员强调,研究的最初目标是分析域名递归解析服务器的效率及其在不同攻击模式下的性能。但是,发现了一个新的,而且极其高危的缺陷或漏洞,即NXNSAttack。
新NXNSAttack 攻击的关键要素是 :
(1)拥有或控制权威名称服务器的便利性,
(2)向域名递归解析服务器请求不存在的域名查询,
(3)以放大的域名请求泛洪破坏DNS 结构中的容错机制及快速响应的
能力。
强烈建议:网络管理员将其域名解析服务器的软件更新到最新版本。
备注:互联网系统联盟(ISC)的DNS 软件BIND 是“事实上的标准”(de facto standard)。目前发布的版本:
此外,请注意,目前第二次DNS“执行日”(Flag Day)正在进行测试,重点是强制性支持DNS 查询请求的TCP 传输模式,因而DNS 解析服务软件和系统设置将有重大改变。
天地和兴工控安全研究院编译,参考来源:特拉维夫大学 http://dwz.date/aJnu
(八)美国得克萨斯州交通运输部TxDOT遭受勒索软件攻击
5月14日,美国得克萨斯州交通运输部TxDOT遭受勒索软件攻击,威胁攻击者获得了对该部门计算机网络的未经授权的访问。此前5月8日得克萨斯州法院系统也遭受此类攻击,这导致服务器关闭以防止恶意软件在网络上传播。
在检测到攻击后,该部门立即关闭网络,以遏制威胁并防止任何进一步的未经授权的访问。
TxDOT执行董事詹姆斯·巴斯在声明中表示,“我们希望每个德克萨斯人都放心,我们将尽一切努力迅速解决此问题。我们还努力确保在中断期间继续进行关键操作。”
联邦执法部门获悉了该攻击事件,TxDOT表示不会对任何对此事负责的人宽恕。巴斯表示,“ TxDOT正在与联邦调查局密切合作,以找到负责的个人,并在法律的最大范围内起诉他们。”
TxDOT监督该州的所有航空、公路、铁路运输。目前该部门的网站网站已恢复运行。
在5月8日德州司法机构和上诉法院遭受勒索软件攻击后,导致案件管理系统无法访问,法院办公室也无法连接到互联网。由于网络犯罪分子禁用了通常的渠道,工作人员只能使用社交媒体来宣布法律裁决。 此次攻击是由法院管理办公室(OCA)确定的。目前还没有关于这两起袭击是否有任何联系的消息。
OCA和TxDOT均未共享有关已加密或被盗数据的任何信息,也都没有披露勒索要求的任何细节。
天地和兴工控安全研究院编译,参考来源:infosecurity http://dwz.date/aHeW
(九)威胁组织PentaGuard因使用勒索软件攻击医疗机构而被捕
罗马尼亚执法部门5月15日逮捕了黑客组织PentaGuard的四名成员,三人在罗马尼亚被捕,第四人在摩尔多瓦共和国被捕。该组织计划对该国医疗机构进行勒索软件攻击。
罗马尼亚有组织犯罪和恐怖主义调查局(DIICOT)表示,该黑客组织成立于2020年初,并在其计算机上存储了各种恶意工具,包括文件加密恶意软件、远程访问木马(RAT)、用于SQL注入的工具、网站破坏工具。该组织的近期计划是通过利用2017年和2016年首次披露的Bad Rabbit和Locky勒索软件来部署勒索软件攻击。该组织的攻击目标是罗马尼亚的医院和医疗机构,将恶意软件植入冒充来自发送COVID-19信息的政府机构的电子邮件中。
尽管DIICOT认为PentaGuard于今年年初成立,但该组织的某些成员至少从2000年2月开始活跃,从事网站诽谤活动。十年来,他们不断地用愚蠢的信息诋毁各种网站。
2020年初,PentaGuard重新组成了一个人数较少的组织,并恢复了其诽谤活动,但这次他们似乎有一个议程:使罗马尼亚的性工作合法化。今年该组织的受害者中包括一个县议会和罗马尼亚会计法院的网站。
目前尚不清楚为什么PentaGuard从诽谤转移到勒索软件攻击,这是一个巨大的转变。但是国家媒体报道,这可能是对由于冠状病毒大流行而实施的全国性限制的抗议。
从表面上看,PentaGuard还远没有准备好进行勒索软件的操作,即使是小规模的。他们在网上吹嘘自己的非法活动,偶尔会泄露自己的位置。
除了发布诋毁网站的帖子外,他们还发布了含有非法物质的图像以及有关其计划袭击罗马尼亚政府的消息。PentaGuard在嘲讽罗马尼亚警方的一则帖子中说,他们正试图改变政府的心态。
PentaGuard的一个朋友,网名为VandaTheGod的巴西旷工,于2019年11月因从几家零售公司窃取信用卡信息而被捕,同时他还诽谤网站。
天地和兴工控安全研究院编译,参考来源:BleepingComputer http://dwz.date/aGy7
(十)黑客组织Greenbug攻击巴基斯坦三家电信公司
网络安全公司赛门铁克5月19日发布报告表示,在过去的几个月中,疑似伊朗黑客组织Greenbug一直在巴基斯坦至少三家电信公司的IT系统中活动,并在合适的时候访问数据服务器。该组织使用虚拟tunnels悄悄地与受害者机器保持连接。这些电信数据为监视巴基斯坦境内的目标提供了大量信息。
赛门铁克企业部高级网络威胁分析师Jon DiMaggio表示,“当我们关闭一扇门时,他们会试图从另一扇门回来。”他回忆起Greenbug在被发现的后继续留在巴基斯坦电信公司网络中的努力。
分析人士告诉CyberScoop,这份报告是一些电信提供商在阻止间谍进入其网络方面所面临挑战的又一个例子。根据赛门铁克的数据,在2019年,与各个政府有关联的18个不同的黑客组织攻击了电信公司。其他分析师也报告了类似的猖獗活动。在一个案例中,疑似中国间谍入侵了非洲、欧洲、中东和亚洲的大约10家移动运营商。
尽管AT&T和Verizon等美国电信巨头可以投入大量资金来应对此类黑客威胁,但并非世界各地的所有电信提供商都拥有相同的资源。CrowdStrike情报副总裁Adam Meyers表示,一些人接受了足够的培训和资源来击退攻击,而另一些人则更容易成为目标 。
Myers补充表示,如果网络间谍组织确实设法潜入电信网络而不被发现,“那么你就有很多不同的目标可以收集。这对他们来说更划算。”
与伊朗政府有关的黑客也许以破坏数据的攻击而闻名,比如2012年对石油巨头沙特阿美(Saudi Aramco)的攻击,那次攻击破坏了数万台电脑。但是,像Greenbug这样的组织已经在中东和南亚悄悄渗透的电信公司中谋生。他们并不是唯一与德黑兰有联系的黑客组织。
BAE系统公司专注于与伊朗有关联的组织的高级威胁情报分析师Saher Naumaan表示,考虑到这些数据的价值和该国的国家安全目标,几个团队很可能需要高度优先的情报要求,将目标对准中东的电信公司。
间谍活动已经超出了传统电话公司的范围,包括了托管服务提供商,全球许多公司所依赖的远程网络提供商。另一个疑似伊朗间谍组织Tortoisesell去年瞄准了几家在沙特阿拉伯有客户的IT供应商。
随着间谍和电信公司之间的猫捉老鼠游戏的继续,研究人员希望在黑客入侵网络后能更快地抓住他们。他们有自己的工作要做。Myers称,依赖于给定电信网络的情报目标的数量,无论是持不同政见者还是外国外交官,意味着这些网络将继续成为靶子。
天地和兴工控安全研究院编译,参考来源:cyberscoop http://dwz.date/aJjv
(十一)黑客组织使用勒索软件REvil勒索4200万美元否则将泄露特朗普信息
近日,勒索软件REvil的运营商勒索一家纽约律师事务所Grubman Shire Meiselas&Sacks(GSMS)4200万美元赎金,如果不支付将泄露该公司名人客户的敏感文件。
5月7日,REvil运营商在一个暗网的门户网站上向GSMS员工发布了一条消息,威胁要发布有关其客户的文件,这些文件是REvil组织在对其文件加密之前从该律师事务所内部网络窃取的。
根据在网站上发布的截图暗示,黑客窃取了与GSMS客户有关的文档,其中包括Lady Gaga、Madonna、Mariah Carey、Nicki Minaj、Bruce Springsteen、Bette Midler、U2、Outkast、Jessica Simpson、Cam Newton、Facebook等。
GSMS在11号向娱乐新闻网站Variety发表的声明中证实了这一勒索事件。黑客给了该公司一周的时间进行谈判并支付赎金,而赎金的支付时间已于14日晚在黑客在其网站上发布第二条消息时到期。
REvil运营商表示,GSMS只愿意支付他们要求的2100万美元中的36.5万美元,因此,他们现在将赎金需求翻了一倍,达到4200万美元。此外,作为对该公司未能及时付款的惩罚,REvil组织还发布了一个2.4 GB的档案,其中包含Lady Gaga法律文件,其中大部分是音乐会、商品销售和电视露面的合同。
除了将赎金要求增加一倍以外,黑客还对该律师事务所提出了另一项隐蔽的威胁,威胁要发布与美国总统特朗普有关的文件。在REvil网站上其表示,“选举正在进行,我们准时发现了很多肮脏证据。特朗普先生,如果您想继续担任总统,请对这些家伙大发雷霆,否则您可能会永远忘记这种雄心壮志。对于你的选民来说,我可以告诉你们,如果这些信息公布了之后,你们肯定不想看到他成为总统。好吧,我们不谈细节了。最后期限是一周。”
然而,15日早些时候,娱乐和八卦新闻网站PageSix援引消息人士称,特朗普总统从未成为GSMS客户。从目前公开的信息来看,这似乎只是一个空洞的威胁,试图给律所施加更大的压力,要求其支付赎金。
现如今,勒索软件团伙在加密受害者文件网络前窃取数据已是司空见惯现象。现在有十二个不同的组织从事这种双重勒索行为,其赎金用于解密文件和不释放被盗文件。
天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/aHmp
(十二)食品供应公司Sherwood遭受勒索软件Revil攻击
安全公司DarkOwl近日发现,根据发布在名为Happy Blog的Tor隐藏服务上的数据显示,勒索软件Revil的运营商窃取了食品供应商Harvest Sherwood Food Distributors的关键数据,并威胁勒索赎金以避免数据公开披露。
DarkOwl表示,其分析表明,攻击者已成功从Sherwood窃取了约2600份文件。被盗数据包括现金流量分析、分销商数据、商业保险内容和供应商信息。数据集中包括Sherwood分销网络中人员的驾驶照扫描图像。
威胁参与者发布了他们与Coveware聊天的屏幕截图,Coveware是Sherwood聘请来帮助处理危机的勒索软件缓解公司。根据DarkOwl的研究,对话显示Sherwood至少从5月3日起就一直在处理这起袭击事件。截图还表明,Sherwood一度愿意支付425万美元,后来又愿意支付750万美元,以取回其数据。在一份电子邮件声明中,Sherwood的一位女发言人表示,公司对正在进行的刑事调查不予置评。
Harvest Sherwood是最近几天被认为是REvil组织妥协的第二家公司。5月11日,名人律师事务所Grubman Shire Meiselas&Sacks(GSM)宣布,攻击者入侵了其系统,并劫持了756GB属于众多知名个人的敏感数据。受影响的个人包括Lady Gaga、Madonna、Elton John、Barbara Streisand、Robert De Niro、Bruce Springsteen、Priyanka Chopra、Drake。此后,研究人员将这次袭击归因于REvil。
攻击者最初要求GSM为这些数据支付2100万美元。当律师事务所拒绝支付费用时,威胁组织公布了超过2 GB的敏感数据,包括合同信息、保密协议、身份识别信息和与Lady Gaga有关的医疗报告。他们还提高了赎金,金额为4200万美元。
据DarkOwl报道,周一,攻击者在Happy博客上更新了他们计划下一次拍卖麦当娜个人数据的消息。袭击者已将初始出价定为100万美元。他们还声称,通过对GSM的攻击,他们掌握了唐纳德·J·特朗普(Donald J.Trump)总统的敏感数据,但显然已经有了买家。
DarkOwl首席执行官Mark Turnage表示,该公司对网上泄露的数据进行的分析表明,这些数据是真实的。特朗普本人并不是GSM的客户,但在被盗数据集中的几封电子邮件中提到了他和他的同事。没有理由怀疑Lady Gaga或Trump泄露信息的真实性。
Turnage表示,虽然提到特朗普的电子邮件非常多余,但有关Lady Gaga和Sherwood的数据却包含敏感的财务数据、保密协议和个人身份信息(PII),如地址、电话、电子邮件和签名。
他指出犯罪分子可以利用Lady Gaga提供的信息来了解她的核心圈子,比如她在国外使用的安全细节,以及她的供应商和制片人。不仅PII和财务信息可能被利用,Gaga未来的旅行和国际旅行也可能面临更高的风险。与此同时,特朗普的电子邮件可能会因媒体报道而造成政治损失。
ReEvil是目前使用最多的勒索软件之一。该勒索软件于2019年4月首次出现,并与对市政府和其他组织的多次攻击有关。它的受害者包括外汇公司Travelex,后者最终支付了230万美元才拿回了数据。
恶意软件背后的组织已通过勒索软件即服务模型将其提供给多个威胁参与者。安全研究人员称,恶意软件的分发方式多种多样,包括网络钓鱼电子邮件,垃圾邮件,通过利用Oracle WebLogic中的错误以及受损的托管安全服务提供商。根据DarkOwl的说法,REvil的作者及其同伙还通过WordPress网站上的恶意JavaScript广泛传播了该恶意软件。
天地和兴工控安全研究院编译,参考来源:darkreading http://dwz.date/aHZp
(十三)英国易捷航空EasyJet遭黑客攻击约900万客户信息泄露
英国最大的航空公司EasyJet 5月19日发表声明表示,该公司发生了数据泄露事件,黑客获取了大约900万人的旅行详细信息,该公司称之为“高度复杂的网络攻击”。此次事件中,2208个客户的信用卡信息遭到泄露。
据英国广播公司(BBC)报道,尽管该航空公司在今年1月首次获悉了这一事件,但究竟何时发生违规事件尚不清楚。根据欧洲数据保护法的要求,EasyJet向英国信息专员办公室通报了这一事件。《通用数据保护条例》要求,在某些情况下,如涉及个人信息时,违规受害者必须在72小时内通知监管机构。
EasyJet在该声明中表示,没有证据表明任何性质的个人信息都被滥用,然而,根据ICO的建议,我们正在与大约900万名客户进行沟通,建议他们采取保护措施,将潜在的网络钓鱼风险降至最低。
这么多人的旅行详细信息和电子邮件信息为诈骗者提供了一个实施欺诈的宝贵机会。
根据Verizon的年度数据趋势报告《Verizon的数据泄露调查报告》,去年约有37%的数据泄露事件涉及凭据的使用。诈骗者维护着被盗电子邮件地址和密码的数据库,这意味着攻击者将能够根据现有的网络犯罪资源检查电子邮件地址列表,以入侵受害者的帐户。Verizon发现,在2019年,被盗的用户名和密码是一种比恶意软件更常见的黑客技术。
Verizon的高级信息安全数据科学家Gabriel Bassett表示,我认为人们已经忽略了电子邮件的价值。
现在,EasyJet的客户将特别容易受到网络钓鱼消息的攻击,因为诈骗者会知道个人是否曾经是该航空公司的客户。攻击者还可以访问他们的旅行详细信息,并且可以包括从个人上次旅行路线中获取的个人详细信息,以诱使他们进入陷阱。
在不到一年的时间里,英国的ICO因未能修复安全漏洞而被英国ICO罚款1.893亿英镑(2.292亿美元),黑客利用这些漏洞窃取了大约50万名客户的数据。
天地和兴工控安全研究院编译,参考来源:cyberscoop http://dwz.date/aHYB
(十四)数十亿蓝牙设备存在BIAS漏洞 欺骗远程配对设备
洛桑联邦理工学院(EPFL)的研究人员Boffins披露了一个名为蓝牙模仿攻击( Bluetooth Impersonation AttackS,BIAS)的蓝牙安全漏洞,攻击者可能会利用该漏洞欺骗远程配对的设备,可能会影响超过十亿个设备。
作为一种广泛应用于数十亿台设备使用的无线通信,蓝牙(BR/EDR)标准包括了传统的身份验证过程和安全的验证过程。两个蓝牙设备如果要建立加密连接,则必须使用链接密钥相互配对。但一旦两个蓝牙设备成功配对连接后,下一次它们能够不经过配对过程而重新连接。BIAS攻击就利用了这一点,影响数十亿蓝牙设备。
通过读取VU#647177漏洞说明可以看出 ,要建立加密连接,两个蓝牙设备必须使用链接密钥相互配对。未经身份验证的相邻攻击者可能会冒充以前配对/绑定的设备,并在不知道链接密钥的情况下成功进行身份验证。这可能会使攻击者通过执行蓝牙模拟攻击(BIAS)获得对配对设备的完全访问权限。
蓝牙规范受到安全缺陷的影响,这些缺陷可能允许攻击者在建立安全连接时执行模拟攻击。
要使BIAS攻击成功,攻击者必须使用在易受攻击的蓝牙设备的无线范围内的设备,该设备之前已与具有攻击者已知的蓝牙地址的远程设备建立了BR/EDR绑定。
要建立加密连接,两个蓝牙设备必须使用链接密钥(也称为长期密钥)进行配对。专家解释说,该漏洞是由于之前配对的两台设备处理链路密钥的方式造成的。链路密钥允许两个成对的设备在每次在两个设备之间传输数据时保持连接。
专家发现,目标蓝牙设备无线范围内的未经身份验证的攻击者有可能伪造以前配对的远程设备的地址,从而在不知道链路密钥的情况下成功完成与某些配对/绑定设备的身份验证过程。
根据报告,此漏洞影响了蓝牙基本速率/增强数据速率,其中,iPhone8及以上版本、2017年版MacBook设备及以上版本、2018年的iPad机型及以上版本同样易受攻击。而专家对多达30个蓝牙设备进行了测试,发现它们也容易受到BIAS攻击。
最后,BIAS是第一个被发现的与蓝牙安全连接建立身份验证、对抗角色切换以及安全连接降级有关的问题,又因为建立蓝牙安全连接不需要用户交互,因此攻击是隐蔽的,危害更大。尽管蓝牙特别兴趣小组(SIG)已经更新了蓝牙核心规范来缓解这一漏洞,但仍需谨慎,后续关注苹果等厂商是否推出固件或软件补丁,配合修复措施。
天地和兴工控安全研究院编译,参考来源:SecurityAffairs http://dwz.date/aJh3
(十五)数十万QNAP设备易受远程接管攻击
5月19日,台湾安全研究人员Henry Huang发布了QNAP网络附加存储(NAS)设备固件中三个漏洞的详细信息,这些漏洞存在于Photo Station中,影响的设备约为45万台。所有这些QNAP系统都容易受到远程接管攻击。
PhotoStation是一个相册应用程序,预先安装了所有最新版本的QNAP NAS系统。Huang表示,Photo Station应用程序安装在大约80%的QNAP NAS系统上。根据使用Shodan IoT搜索引擎提供的结果进行的粗略估算,研究人员认为该数字约为45万台设备。
Huang在Medium上的博客文章中发布了有关他在QNAP设备中发现的四个漏洞中的三个漏洞的深入技术细节。其中三项影响Photo Station应用程序,而第四项影响QTS文件管理器应用程序。
1)CVE-2019-7192(CVSS 9.8)(Photo Station错误)
2)CVE-2019-7194(CVSS 9.8)(Photo Station错误)
3)CVE-2019-7195(CVSS 9.8)(Photo Station错误)
4)CVE -2019-7193(CVSS 9.8)(QTS应用程序错误,无关)
研究人员表示,可以将三个Photo Station错误链接在一起以绕过身份验证(错误#1),在Photo Station应用程序PHP会话中插入恶意代码(错误#2),然后在未修补的QNAP设备上安装Web Shell(错误# 3)。由于Photo Station应用程序具有root特权运行,因此攻击者可以利用这三个漏洞来完全控制QNAP设备。
Huang在去年发现了这四个漏洞,并于6月向QNAP报告了问题。根据他的报告,威联通于2019年11月发布了Photo Station和QTS应用程序的安全更新。如果设备所有者无法立即更新,建议他们断开设备与互联网的连接,以免受到僵尸网络或勒索软件团伙的攻击。但是,由于NAS系统的设计目的仅是为了可以在互联网上使用,因此建议分别升级其固件和Photo App,这将对所有QNAP用户造成最少的干扰。
天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/aJg7
天地和兴,工控安全,安全周报
相关资讯
