关键信息基础设施安全动态周报【2020年第26期】
发布时间:
2020-07-03
来源:
作者:
访问量:
167
目 录
第一章 国内关键信息基础设施安全动态
(一)美国FCC裁定华为和中兴构成国家安全威胁
(二)印度以安全性为由 禁止了59个中国APP应用
第二章 国外关键信息基础设施安全动态
(一)印度克什米尔电力部门4台服务器遭受网络攻击
(二)巴西电力公司Light SA遭受勒索1400万美元赎金
(三)ATM及POS机驱动程序存在大量严重漏洞
(四)美国安全专家警告 黑客可能利用新型PAN OS安全漏洞
(五)F5的BIG-IP中存在严重漏洞 可完全破坏系统
(六)印度国家公路管理局NHAI遭受勒索软件Maze攻击
(七)胰岛素泵遭受黑客攻击 致使用者胰岛素过量死亡
(八)思科小型企业交换机产品中存在严重漏洞
(九)黑客组织Evil Corp使用勒索软件WastedLocker攻击美国30多家企业
(十)威胁组织StrongPity针对库尔德地区开展攻击
(十一)澳大利亚政府将花费13.5亿澳元用于网络安全支出
(十二)945个网站的150 GB SQL数据在暗网上泄露
(十三)加州大学旧金山分校向勒索软件支付114万美元以解密加密文件
(十四)施乐公司遭受勒索软件Maze攻击
第一章 国内关键信息基础设施安全动态
(一)美国FCC裁定华为和中兴构成国家安全威胁
美国联邦通信委员会(FCC)6月30日正式裁定华为和中兴通讯对美国通信网络或通信供应链完整性构成国家安全威胁,理由是它们与中国政府关系密切,禁止美国电信运营商使用83亿美元的政府资金向这两家中国企业进行采购。这两家供应商提供的5G网络设备的后门程序可能会导致间谍活动和恶意活动。
该决定意味着美国运营商不能再使用FCC通用服务基金(USF)的可用资金从这两家设备制造商或其任何子公司和关联公司购买5G或任何其他设备、服务或系统。美国国防部和其他政府机构先前宣布了停止使用华为和中兴通讯设备技术的决定。
FCC主席Ajit Pai在一份新闻声明中表示,“这两家公司与中国共产党和中国军事机构都有密切的联系。这两家公司在很大程度上受中国法律的约束,有义务与中国的情报部门合作。”
FCC的这一举动最终敲定了该机构去年11月的一项决定,禁止将联邦资金用于被视为对美国国家安全构成威胁的公司的设备。当时,FCC已将华为和中兴指定为该禁令所涵盖的公司。今天的公告使这一决定正式化。
去年11月,FCC还指出,这将要求美国运营商从所有由USF资助的网络中从这两家供应商处卸载已经安装的设备。周二的FCC通知未提供有关该要求何时生效的任何新信息。但它确实指出,该机构将与受影响的电信供应商合作,制定一个时间表,并为拆除和更换现有设备支付费用。
USF是一项每年83亿美元的基金,用于确保高成本地区、低收入人群、农村医疗保健提供者、学校和其他实体能够负担得起的电信服务(包括5G网络)。许多该基金使用者都是规模较小的农村通信供应商。FCC表示,FCC禁令意味着这些公司和其他公司不能再使用这些资金“购买、获得、维护、改进、修改或以其他方式支持华为和中兴生产或提供的任何设备或服务。
华为和中兴一直否认与中国政府或情报机构有任何密切关系。他们声称,美国政府和其他几个西方国家对他们的指控完全是由经济和地缘政治竞争所推动的,实际上没有任何依据。
天地和兴工业网络安全研究院编译,参考来源:DarkReading
(二)印度以安全性为由 禁止了59个中国APP应用
在中印边境冲突两周后,印度6月30日出于国家安全和隐私考虑,禁止了59种中国移动应用程序,其中包括受欢迎的TikTok和微信。
印度信息技术部在一份声明中表示,这些应用程序从事的活动有损于印度的主权和完整、印度的国防、国家安全和公共秩序。““印度政府决定禁止使用某些应用程序,这一决定是一个有针对性的行动,以确保印度网络空间的安全和主权。”声明中表示,这一行动是在工信部收到数起指控窃取用户数据和侵犯用户隐私的投诉后采取的。 目前尚不清楚禁令何时生效。
涉及的大多数应用程序在印度非常受欢迎,包括字节跳动旗下的的视频共享应用程序TikTok和Helo,文件共享应用程序SHAREit以及阿里巴巴的UC浏览器和UC News,用户总数超过五亿。据估计,印度的TikTok用户约为1.2亿,使这个拥有13亿人口的南亚国家成为该应用程序最大的国际市场。其他被列入禁播名单的应用包括微博应用程序微博和战略游戏《王者争霸》。
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek
第二章 国外关键信息基础设施安全动态
(一)印度克什米尔电力部门4台服务器遭受网络攻击
6月26日周五,印度查谟和克什米尔电力发展部(Jammu and Kashmir Power Development Department ,JKPDD)服务器遭受网络攻击,威胁已得到控制。
克什米尔配电公司(KPDCL)配电总工程师、JKPDD的RAPDRP Part-A IT节点官员在6月24日凌晨4:42发现,在JKPDD安装的103台服务器中的4台服务器中检测到了网络威胁,包括数据中心DC及灾难恢复中心DRC。
该人员表示,安装在60个计费分区办公室和40个其他办公室的服务器和外置硬件立即与JKPDD广域网和互联网上的内部网隔离。同时,已经对数据库服务器进行了初步扫描,以评估恶意软件的入侵情况。
JKPDD目前正在对跨地区的DC和DRC以及其他542个其他工作站上安装的所有服务器进行深度扫描,以评估恶意软件的入侵,以避免此类事件的任何进一步发生。
目前威胁已得到遏制,消费者的账单和付款数据是安全的。由于上个月的所有账单(2020年5月应于2020年6月支付)都已生成并分发,因此,消费者需要在JK Bank柜台或JK Bank Mpay应用程序支付账单,以避免滞纳附加费。
该官员说,JKPDD当前正在利用当前COVID-19情况下可用的最佳资源来尽快使系统恢复正常。数据中心在其他方面是稳健的,在所有标准操作规程/必要的防火墙到位的情况下,将很快全面投入运行。
天地和兴工业网络安全研究院编译,参考来源:Press Trust of India
(二)巴西电力公司Light SA遭受勒索1400万美元赎金
巴西电力公司Light S.A.遭受勒索软件Sodinokibi(REvil),要求支付1400万美元赎金。
该公司已经证实,它受到了网络攻击,但没有提供具体的信息及泄露类型,但AppGate的安全研究人员已经获得了据信在攻击中使用的恶意软件样本,他们相信事件涉及Sodinokibi勒索软件。
AppGate指出:“尽管我们无法确定这是攻击中使用的同一个文件,但证据表明,这与Light SA漏洞有关,例如赎金价格,”
据研究人员称,公司内部有人向公共沙盒提交了相同的样本,可能是为了了解它是如何工作的。
对恶意软件配置的分析显示了威胁参与者、活动ID以及要求受害者访问以获取指示的URL的信息。
在DeepWeb上的页面上,受害者被告知他们需要在6月19日之前支付106870.19门罗币的赎金。然而,最后期限已经过去,金额翻了一番,达到215882.8门罗币,总计1400万美元。
同一网页显示了有关攻击者的信息,清楚地提到了Sodinokibi这个名称,并试图通过承诺对受影响的数据进行完全解密来说服受害者支付赎金。
研究人员指出:“整个攻击看起来非常专业,网页甚至包含聊天支持,受害者可以在其中直接与攻击者对话。”
Sodinokibi在RaaS(勒索软件即服务)模式下可用,由可能与“ Pinchy Spider”(即GandCrab勒索软件背后的组织)有联系的威胁者操纵。
在调查恶意软件本身时,AppGate发现它包括通过利用Windows Win32k组件中CVE-2018-8453漏洞的32位和64位漏洞利用来提升特权的功能。
AppGate还指出,不幸的是,该勒索软件还没有全局解密器,这意味着需要攻击者的私钥来解密文件。
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek
(三)ATM及POS机驱动程序存在大量严重漏洞
固件安全公司Eclypsium 6月29日发布研究文章表示,驱动程序漏洞可以促进对ATM及PoS系统和其他设备的攻击。去年,Eclypsium 对主要供应商的设备驱动程序进行了分析,发现20家公司制造的40多个驱动程序包含严重漏洞,可以利用这些漏洞部署持久性恶意软件。ATM和PoS设备中使用的Windows驱动程序对于威胁以此类系统为目标的参与者非常有用。
在过去几年中,出现了大量的ATM恶意软件家族,包括Skimer、Alice、CUTLET MAKER、Ploutus、Tyupkin、ATMJackpot、Suceful、RIPPER、WinPot、PRILEX、ATMii、GreenDispenser。这些恶意软件中的许多都允许其操作员进行所谓的jackpotting攻击,攻击者可指示目标ATM分发现金。
据Eclypsium称,影响在ATM或PoS设备上运行的驱动程序的漏洞可能使攻击者提升特权并获得对目标系统的“更深层访问”。通过利用不安全驱动程序中的功能,攻击者或其恶意软件可以获得新的权限、访问信息,并最终窃取金钱或客户数据。”
例如,该安全公司描述了其研究人员在Diebold Nixdorf ATM上的驱动程序中发现的漏洞。有问题的驱动程序提供对x86 I / O端口的访问,与其他驱动程序相比,这在功能方面受到了相当的限制。然而,在攻击的初始阶段,提供对I/O端口的任意访问的驱动程序可能很有用,因为它可能允许攻击者访问PCI连接的设备,包括外部设备和提供对系统固件的访问的SPI控制器。
Eclypsium的首席研究员Mickey Shkatov表示,“'PCI访问'意味着软件将能够与PCI设备进行通信,并因此可以使用它们。以下面的流程为例:软件使用驱动程序执行转换为传统PCI访问的I / O操作,然后软件使用该PCI访问来指导设备执行操作。”
Shkatov解释表示,“英特尔SPI控制器就是这样一种设备,它可以依次读取/写入板载非易失性存储器上的系统固件。通过获得对I / O端口的任意访问权限,攻击者可以潜在地获得任意的PCI访问权限,从而可以使攻击者将数据定向到与PCI连接的设备之间的数据。”
Eclypsium还指出,对于Diebold Nixdorf使用的驱动程序,由于驱动程序还被用来更新BIOS固件,因此它可能使攻击者可以在目标设备上安装启动程序包。
该漏洞已报告给供应商,该供应商已于今年初发布了补丁程序。另一方面,这些类型的安全漏洞可能会带来较长时间的风险,因为由于合规性要求,通常需要高度受管制的设备制造商发布补丁的时间更长。例如,Eclypsium表示其研究已于2019年5月完成,但直到现在都无法透露其发现。
此外,更新要花费很多时间才能到达所有最终设备,而这些最终设备通常仍运行旧版本的操作系统,例如Windows XP和Windows 7。
Eclypsium认为,可能还有许多其他易受攻击的驱动程序使ATM受到攻击,并且可能会受到更严重的安全漏洞的影响。
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek
(四)美国安全专家警告 黑客可能利用新型PAN OS安全漏洞
美国国土安全部和网络司令部6月30日表示,外国政府资助的黑客组织很有可能利用6月29日披露的Palo Alto Networks企业VPN及防火墙设备上运行的操作系统PAN OS的安全漏洞以窃取信息,请大家立即更新系统并修复该CVE-2020-2021漏洞。
美国网络司令部6月30 日在一条推文中表示,请立即修补受CVE-2020-2021影响的所有设备,尤其是在使用SAML的情况下。外国APT组织可能会很快尝试利用该漏洞。
美国网络司令部官员的惊慌是正确的。CVE-2020-2021漏洞在CVSSv3严重等级中获得满分10份,是罕见的安全漏洞之一。CVSSv3 满分10分意味着该漏洞易于使用,因为它不需要高级技术技能,并且可以通过互联网进行远程利用,而无需攻击者获得对被攻击设备的初步了解。
从技术上讲,该漏洞是身份验证绕过,它允许威胁参与者无需提供有效凭据即可访问设备。该漏洞一旦被利用,黑客就可以更改PAN OS的设置和功能。尽管更改操作系统功能似乎是无害的,并且影响不大,但实际上这个bug是一个很大的问题,因为它可用于禁用防火墙或VPN访问控制策略,从而有效禁用整个PAN-OS设备。
Palo Alto Networks(PAN)在6月29日发布的安全公告中表示,缓解因素包括PAN-OS设备必须处于特定配置中才能被利用。PAN工程师表示,只有在禁用验证身份提供者证书选项并且启用SAML(安全断言标记语言)是该漏洞才可能被利用。
支持这两个选项的设备(即容易受到攻击)包括以下系统:GlobalProtect网关、GlobalProtect门户、GlobalProtect无客户端VPN、身份验证和强制门户、PAN-OS下一代防火墙(PA系列,VM系列)和Panorama Web界面、Prisma门禁系统。
在默认情况下,这两个设置不在易受攻击的位置,并且需要在该特定配置中设置手动用户干预,这意味着并非所有PAN-OS设备都默认易受攻击。
但是,根据CERT / CC漏洞分析师Will Dormann的说法,一些供应商手册指示PAN-OS所有者在使用第三方身份提供程序时设置这种特定的配置,例如在PAN-OS设备上使用Duo身份验证,或Centrify、Trusona或Okta的第三方身份验证解决方案。
这意味着,由于需要利用复杂的配置,该漏洞乍一看似乎无害,但可能有相当多的设备配置为处于这种易受攻击状态,尤其是由于在企业和政府部门中广泛使用了双重身份验证。
互联网扫描和威胁情报公司Bad Packets的联合创始人Troy Mursch表示,易受攻击的系统的数量估计最多为4,200 。Mursch表示, “在Bad Packets扫描的58,521台公共可访问的Palo Alto(PAN-OS)服务器中,使用某种类型的SAML身份验证发现了4,291台主机。”然而,Mursch表示,他公司的扫描只能判断是否启用了SAML身份验证,但不能判断是否还满足第二个条件(“验证身份提供者证书”选项已禁用)。
如果PAN-OS设备的设备以易受攻击的状态运行,则建议其所有者立即查看设备配置并应用Palo Alto Networks提供的最新补丁。
下面列出了已知可运行CVE-2020-2021的易受攻击的PAN OS列表。
天地和兴工业网络安全研究院编译,参考来源:ZDNet
(五)F5的BIG-IP中存在严重漏洞 可完全破坏系统
研究人员在F5 Networks的BIG-IP应用交付控制器(ADC)中发现了高度严重的漏洞,使远程攻击者能够完全控制目标系统。
这些漏洞是由网络安全公司Positive Technologies的研究人员发现的,该公司本周在该公司发布公告并宣布补丁可用后披露了其发现。 BIG-IP为企业提供应用程序加速、负载平衡、速率调整、SSL卸载和web应用程序防火墙功能。许多世界上最大的公司都在使用该产品,而F5公司声称《财富》50强企业中有48家是其客户。
Positive Technologies公司发现的关键漏洞编号为CVE-2020-5902,CVSS评分为10,允许执行任意代码,并且可以远程利用该漏洞。这家安全公司说,他们已经发现了8000多个直接暴露在互联网上的易受攻击的设备,其中40%在美国,16%在中国大陆,3%在台湾。然而,报告指出,大多数使用受影响产品的公司不允许直接从互联网访问易受攻击的配置界面。
该漏洞影响名为流量管理用户界面(TMUI)的配置实用程序。 供应商已经确认,开发可能导致“完整的系统损坏”。
Positive Technologies研究人员Mikhail Klyuchnikov解释表示,“通过利用此漏洞,能够访问BIG-IP配置实用程序的远程攻击者可以在未经授权的情况下执行远程代码执行。攻击者可以创建或删除文件、禁用服务、截获信息、运行任意系统命令和Java代码,完全破坏系统,并进一步攻击目标,如内部网络。在这种情况下,RCE是由多个组件中的安全漏洞导致的,例如允许目录遍历攻击的组件。”
在同一个BIG-IP配置实用程序中发现了一个高严重性跨站点脚本(XSS)漏洞,这也被认为是积极的技术。攻击者可以利用此漏洞在当前登录用户的上下文中运行JavaScript。F5在其报告中表示,对于具有高级Shell(bash)访问权限的管理用户,成功利用此漏洞可通过远程代码执行完全危害BIG-IP系统。
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek
(六)印度国家公路管理局NHAI遭受勒索软件Maze攻击
作为日常暗网监控的一部分,Cyble研究人员发现,勒索软件Maze攻击了印度国家公路管理局NHAI,并泄露了其数据。
印度国家公路管理局(NHAI)是印度政府于1988年设立的一个独立机构,,负责管理印度1.5万公里中的5万公里以上的国家公路网。它是公路运输和公路部的节点机构。
据《经济时报》报道,攻击发生在6月28日晚上,黑客针对印度国家公路管理局的电子邮件服务器,但据印度代理机构称,没有数据被盗。管理局已关闭服务器以回应入侵。
印度国家公路管理局 (NHAI)6月29日表示 ,周日晚上对其电子邮件服务器进行了网络攻击, 但及时采取行动没有造成数据丢失。作为预防措施,管理局已关闭服务器。
NHAI IT总经理Akhilesh Srivastava表示,昨天晚上发生了一起针对NHAI电子邮件服务器的勒索软件攻击。安全系统抵御了这次攻击,为了安全起见,电子邮件服务器已经关闭。没有发生数据丢失。NHAI数据库和其他系统不受此次攻击的影响。
本月初,政府警告不要对该国的个人和企业进行大规模的网络攻击。《经济时报》称,“印度的网络安全机构CERT-In已发出警告警告,潜在的网络钓鱼 攻击可能会冒充负责监督政府财政援助支出的政府机构、部门和贸易机构。”
目前,勒索软件Maze运营商声称仅泄漏了管理局泄露的数据总量的5%(约2GB)。Cyble研究人员分析了泄漏的数据,并确认存在敏感的公司运营文件。“Cyble研究人员确定并分析了大约2GB的数据泄漏。数据泄漏包括敏感的公司运营文件,例如公司员工名单、NHAI前董事长的护照复印件、NHAI雇员家属详细信息、NHAI内部审计报告等。”
天地和兴工业网络安全研究院编译,参考来源:SecurityAffairs
(七)胰岛素泵遭受黑客攻击 致使用者胰岛素过量死亡
6月27日,美国联邦药物管理局(Federal Drug Administration)证实,本周早些时候在纽约市有患者因佩戴的Robotron IPumpe遭受黑客攻击而导致胰岛素服用过量死亡。
FDA发言人Clark Stanley告诉记者,这名患者使用胰岛素泵已经一年以上,没有出现任何问题,并且在患者进入胰岛素休克之前,泵记录显示,泵发生了未经授权的泵运送速率变化。该名患者到达伊曼纽尔联合医院时被宣布死亡。
Stanley表示,我们正在与ECS-CERT和联邦调查局合作调查这一事件。”
ECS-CERT发言人Immanuel C. Securitage告诉记者,“攻击者能够通过本月早些时候报告的Ripple20漏洞访问泵程序。对该设备的访问是通过蓝牙服务进行的,该服务旨在供医生用来对该设备进行编程。”
上周,Robotron发布了针对其Healthcare产品系列中Ripple20漏洞的安全公告。IPumpe已被确定为受影响的产品,但是由于该设备未连接到互联网,因此对患者没有风险。Robotron尚未回复置评请求。
联邦调查局发言人Johnathan Quest证实,FBI已确认一名与此案有关的人员,并正在继续调查。
天地和兴工业网络安全研究院编译,参考来源:icssecuritynews
(八)思科小型企业交换机产品中存在严重漏洞
近日思科系统发布警告表示,其超过一半的小型企业交换机可能存在严重漏洞,该漏洞可能允许未经身份验证的远程攻击者以管理特权访问交换机的管理界面。
特别受影响的是系列智能交换机、系列管理型交换机、系列可堆叠管理型交换机。思科表示,尚未发现该漏洞有在被人为利用。一些些受影响的交换机可以使用修复漏洞的软件更新,但是,其他交换机已达到寿命终止(EOL),将不会收到修补程序。
思科安全7月1日表示,该漏洞(CVE-2020-3297)在CVSS等级中评分为8.1,其原因在于使用弱熵生成会话标识符值。
在该通报中思科表示,“攻击者可以利用此漏洞通过暴力手段确定当前会话标识符,然后重用该会话标识符来接管正在进行的会话。”通过这种方式,攻击者可以破坏对设备的身份验证保护,并获得劫持会话帐户的特权。如果受害者是管理用户,则攻击者可以在设备上获得管理特权。
受此问题影响的设备有:Cisco 250系列智能交换机、350系列管理型交换机、350X系列可堆叠管理型交换机、550X系列可堆叠管理型交换机、Small Business 200系列智能交换机、Small Business 300系列管理型交换机、Small Business 500系列可堆叠管理型交换机。
思科已在固件版本2.5.5.47中修复了该问题。此更新将适用于250系列智能交换机、350系列管理型交换机、350X系列可堆叠管理型交换机、550X系列可堆叠管理型交换机。
但是,思科表示,Small Business 200系列智能交换机、Small Business 300系列管理型交换机、Small Business 500系列可堆叠管理型交换机已经超过了软件维护的期限。思科表示,“尽管这些交换机容易受到攻击,但思科不会提供固件修复。”
思科还发布了许多中等严重漏洞的补丁程序,包括其小型企业RV042和RV-042G路由器、数字网络架构中心、身份服务引擎、统一客户语音门户、统一通信产品和AnyConnect安全移动客户端。
六月初,思科还从其流行的Webex Web会议应用程序中发现了三个严重度很高的漏洞,其中一个漏洞可能使未经身份验证的攻击者可以在受影响的系统上远程执行代码。
天地和兴工业网络安全研究院编译,参考来源:threat post
(九)黑客组织Evil Corp使用勒索软件WastedLocker攻击美国30多家企业
赛门铁克研究人员发现,黑客组织Evil Corp使用勒索软件WastedLocker攻击了美国30多家企业。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来破坏受害者的IT基础架构,以要求获得数百万美元的赎金。
WastedLocker是一种相对较新的定向勒索软件,被认为是著名的网络犯罪组织Evil Corp所为。
赛门铁克已经发现了针对31个组织的攻击,所有组织都位于美国。绝大多数攻击目标是大型公司,包括许多家喻户晓的公司。除了一些大型私人公司,还有11家上市公司,其中有八家是《财富》 500强公司。除了一家是海外跨国公司在美国的子公司,其余全部是美国公司。
不同领域的组织都遭到了攻击。制造业是受影响最严重的部门,有五个攻击目标组织,其次是信息技术(四个)和媒体与电信(三个)。如果攻击者没有受到干扰,成功的攻击可能会导致数百万美元的损失,停机并可能对供应链产生多米诺骨牌效应。
攻击始于一个名为SocGholish的基于JavaScript的恶意框架,该框架被跟踪到150多个受到威胁的网站,这些网站伪装成软件更新。攻击者一旦获得受害者网络的访问权限,便会结合使用Cobalt Strike商品恶意软件和许多远程工具来窃取凭据,升级特权并在网络上移动,以在多台计算机上部署WastedLocker勒索软件。
在部署勒索软件有效负载之前,威胁参与者使用从攻击者控制的服务器下载的合法工具和PowerShell脚本在组织的整个网络上禁用Windows Defender。停止反恶意软件服务后,将使用Windows Sysinternals PsExec工具启动WastedLocker勒索软件,以加密数据并删除影子卷,在其中保存受害者文件的备份和快照以使恢复无法进行。
目前WastedLocker勒索软件受害者无法免费解密其文件。
天地和兴工业网络安全研究院编译,参考来源:赛门铁克企业博客
(十)威胁组织StrongPity针对库尔德地区开展攻击
Bitdefender安全研究人员表示,最近与名为StrongPity的威胁参与者有关的攻击似乎集中在土耳其和叙利亚的库尔德社区。
该威胁行为者至少从2012年开始活跃,被称为Promethium,当时主要针对意大利,土耳其和比利时的受害者。该组织被认为是国家支持的,但似乎没有什么证据支持这一点。
Cisco Talos透露,尽管发表了几份详细的报告,威胁行为者仍然活跃,继续在不同地区针对受害者,包括哥伦比亚,印度,加拿大和越南。 然而,尽管如此,Bitdefender 表示,该组织的大多数受害者都在土耳其。
在过去的四年里,该组织的工具、策略和程序(TTP)几乎没有什么变化,它继续依赖知名应用程序的特洛伊木马安装程序来感染受害者。此外,这位黑客似乎继续依赖于水坑攻击。
众所周知,StrongPity从事网络间谍活动,最近观察到的活动也不例外。 然而,对手似乎已经将业务扩展到新的地区,超越了先前的目标欧洲、北非和中东地区。
在过去的一年里,这位威胁行为者至少开展了三场不同的活动,据信这三场活动是重叠的。此外,这些攻击中使用的一些域仍然会被点击,这表明它们仍然是活跃的感染媒介。
自2019年7月以来,该组织使用了四个新的木马化应用程序,即Firefox浏览器,VPNpro VPN客户端,DriverPack驱动程序集合和5kPlayer媒体播放器,所有这些程序都使用了自签名证书。
威胁参与者的主要恶意软件已经更新,其中包括将请求发送到命令和控制(C&C)服务器的新方法,新的持久性机制以及用于存储删除文件的新位置。
自2019年末以来,Bitdefender观察到许多攻击集中在伊斯坦布尔和叙利亚边境附近的受害者身上,这导致人们认为库尔德社区正成为攻击目标。然而,之前也观察到StrongPity针对该地区的受害者。
在一项运动中,观察到的样本都具有2019年10月1日之后的创建时间戳记,也就是土耳其向叙利亚东北部发动进攻的日期。
Bitdefender网络安全分析师Liviu Arsene指出:“虽然没有直接的法证证据表明StrongPity APT组织的行动是为了支持土耳其的军事行动,但受害者的个人资料加上分析样本上的时间戳构成了一个有趣的巧合。”
在对攻击的调查中,BitDefender的安全研究人员发现,对手使用3层C&C基础设施来保持不被检测,并且使用预定义的IP列表有针对性地选择了受害者。
在所观察到的攻击中利用的已识别木马应用程序列表包括7-zip,WinRAR,McAfee Security Scan Plus,Recuva,TeamViewer,WhatsApp,Piriform CCleaner,CleverFiles Disk Drill,DAEMON Tools Lite,Glary Utilities和RAR密码解锁。
对被篡改的安装程序的编译时间的分析显示,在UTC+2时区,周一至周五的工作时间表为9至6点,这进一步强化了参与者可能是由国家赞助的假设。
Talos指出,“ PROMETHIUM威胁参与者是敬业而有韧性的。首次记录后,他们更改了工具包,但未更改其技术或过程。从那时起,他们的工具包一直是相同的,只是进行了足够的更新以保持其活动尽可能高效。在此期间,受害者研究已经从最初的欧洲和中东扩展到以大多数大陆的组织为目标的全球行动。”
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek
(十一)澳大利亚政府将花费13.5亿澳元用于网络安全支出
在澳大利亚总理斯科特·莫里森发表讲话称该国正遭受有国家背景的网络攻击后,澳大利亚安全机构承诺,将在10年花费13.5亿澳元以进行网络安全支出。
这笔资金将在10年内发放,澳大利亚信号局(ASD)和澳大利亚网络安全中心(ACSC)将在一项名为“网络增强态势感知和响应(CESAR)方案”的项目下得到大力支持,该计划致力于为所有澳大利亚人加强保护和网络弹性。
莫里森表示,“联邦政府的首要任务是保护我们国家的经济、国家安全和主权。恶意的网络活动破坏了这一点。”CESAR将确保澳大利亚拥有“反击”所需的工具和能力。
ASD将获得约3,100万澳元,以增强其海上能力;以及大约1200万澳元用于“新的战略缓解和积极的破坏选择”,政府预计这将使ASD与澳大利亚的主要电信提供商合作,通过“迅速阻止已知的恶意网站和计算机病毒”来防止恶意网络活动。额外的6200万澳元用于提供国家态势感知能力,其中包括针对哪些威胁针对哪个部门进行教育,以及有关如何缓解这些威胁的建议。
ASD还将获得1.18亿澳元来扩展其数据科学和情报能力,并获得约2000万澳元来建立研究实验室,以更好地了解对新兴技术的威胁。与此同时,大约3500万澳元已被指定用于交付一个新的网络威胁共享平台,供政府和行业共享情报,并几乎实时地阻止新出现的威胁。CESAR还包括4.7亿澳元的投资,以扩大澳大利亚的网络安全员工队伍,政府希望在ASD内创造500多个新工作岗位。
该计划预计将在政府推迟的《 2020年网络安全战略》中进一步详细说明,并且也是国防部根据《国防部2020年部队结构计划》对网络和信息战能力进行150亿澳元投资的一部分。澳大利亚当前的网络安全战略于2016年4月启动, 投资总额为2.3亿澳元。
民政事务部长Peter Dutton在对整个13.5亿澳元一揽子计划的评论中表示,这项投资将大大增强我们机构应对这些威胁的能力。
6月月早些时候,ASD与总检察长部门(AGD)一道,在帮助政府和行业网络安全方面跟随该机构表示,虽然两人就如何遵循八项基本缓解策略中的一些制定了方向,但网络安全实际上是每个政府实体的责任。
莫里森在宣布澳大利亚遭到一名未知的国家资助的网络攻击时表示,他的声明是为了提高公众的认知。“我们今天提出这个问题,并不是要引起公众的关注,而是要提高公众的意识。在生活的世界中我们必须应对这些威胁。”
天地和兴工业网络安全研究院编译,参考来源:ZDNet
(十二)945个网站的150 GB SQL数据在暗网上泄露
据Lucy Security报告称,有从945个网站中窃取的SQL数据库已经出现在暗网上,可能影响数以千万计的人。该数据库包含来自世界各地各种站点的信息,这些信息已经被不同的黑客攻破,但并不是由在暗网上提供这些信息的组织入侵的。
Lucy Security透露,威胁参与者在6月1日和6月10日发布了两个数据库,其中包含总共150 GB的未压缩SQL文件。提供的文件包括范围广泛的个人数据,包括全名和电话号码、电子邮件、用户名、哈希和非哈希密码、IP地址和物理地址、以及其他信息。
Lucy Security表示,“在暗网上收集和共享数据库的组织声称收集了这些所谓的私有数据库,而他们自己并没有进行任何黑客攻击,但他们也声称拥有更多的数据库,他们正计划将这些数据库共享或出售给出价最高的人。” Lucy Security还指出,根据Alexa的排名,目标网站的访问量似乎不到100万。
Lucy Security研究人员分析数据库发现,该集合包含目标站点的全部SQL转储,日期为2017年至2020年。据他们称,大约有1400万用户受到影响。研究人员还确定了其中的14个政府组织。这些国家包含乌克兰、以色列、英国、白俄罗斯、俄罗斯、黎巴嫩、卢旺达、巴基斯坦、吉尔吉斯斯坦。
Lucy表示,新数据似乎与Collection#1没有联系,Collection#1是一个收集了7.73亿条不同来源的记录的大规模收集,并于去年1月在网上共享。这是一个全新的威胁。
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek
(十三)加州大学旧金山分校向勒索软件支付114万美元以解密加密文件
加利福尼亚大学旧金山分校UCSF承认,其已支付部分赎金114万美元,以恢复被勒索软件感染锁定的文件。
该大学于6月1日遭到袭击,在UCSF医学院的IT系统中发现了恶意软件。管理员迅速尝试隔离感染并隔离了许多系统,这些系统阻止了勒索软件传播到核心UCSF网络并造成进一步的破坏。
虽然该校表示,网络攻击没有影响病人护理服务运营、整个校园网络或新冠肺炎的工作,但医学院使用的加州大学旧金山分校的服务器是加密的。
勒索软件可能具有特别的破坏性,因为一旦系统受到危害,内容就会被加密并导致无法访问。然后受害者面临一个选择:可能丢失他们的文件,或者支付赎金要求。网络攻击者通常会包括一个时限,以做出增加支付压力的决定。
该大学在一份声明中表示,“攻击者获得了一些数据,作为他们行动的证据,用于他们要求支付赎金。我们正在继续调查,但我们目前不认为病人的医疗记录被曝光。”
不建议受害者屈服于赎金要求,因为这会助长犯罪活动。但是,加州大学旧金山分校表示,做出支付部分赎金的决定很艰难,因为存储在服务器上的某些信息“对我们作为一所服务于公共利益的大学所从事的一些学术工作非常重要”。
英国广播公司(BBC)跟踪了Netwalker与大学之间在暗网中进行的谈判。威胁行动者首先索要300万美元,而加州大学旧金山分校以78万美元的出价予以回击,同时恳求这一新型冠状病毒的流行已经对学术机构造成了财务破坏。然而,这一出价被拒绝了,经过反复讨论,最终达成了1,140,895美元的商定数字,以比特币(BTC)计价。
作为支付的回报,威胁行为人提供了解密工具,并表示他们将删除从服务器上窃取的数据。
SophosLabs表示,Netwalker工具包非常广泛,包括Netwalker、Zeppelin和Smaug勒索软件、基于Windows的侦察工具以及暴力凭证软件。
研究人员表示,该组织倾向于关注大型组织,而不是单个目标。在过去的攻击中,Netwalker通过众所周知的公共漏洞或通过启用远程桌面服务的计算机上的填充凭据来锁定系统。
UCSF聘请了网络安全顾问来调查此事件,目前正与FBI合作。在撰写本文时,服务器仍处于关闭状态。 该大学补充说:“我们继续与执法部门合作,我们感谢所有人的理解,即在继续调查的同时,我们可以分享的东西是有限的。”
天地和兴工业网络安全研究院编译,参考来源:ZDNet
(十四)施乐公司遭受勒索软件Maze攻击
施乐公司是勒索软件Maze运营商的最新的一个受害者,黑客对其文件进行了加密,并威胁要公布这些文件。
施乐公司没有披露网络攻击,但是勒索软件Maze运营商发布了一些屏幕快照,显示Xerox域已被加密。屏幕截图显示,由施乐公司管理的“ eu.xerox.net”上的主机被黑客入侵。另一个屏幕截图显示,勒索软件运营商一直在Xerox网络中工作,直到2020年6月25日。
施乐公司是一家美国公司,在160多个国家/地区销售印刷和数字文档产品与服务。该公司在2020年第一季度宣布了超过18亿美元的收入 ,在全球拥有27,000名员工。目前,它在《财富》 500强榜单中排名第347位。
6月24日,Maze勒索软件运营商将Xerox列入了泄漏网站上公布的受害者名单。
Cyble研究小组已经确定并分析了证据。它由多个屏幕截图组成,这些屏幕截图显示了受感染的服务器文件和由勒索软件加密的数据。其中一个快照包含一条警告消息,指出Xerox将在3天内联系运营商,否则,有关违规行为的信息将发布在Maze公共新闻网站上。
Maze勒索软件运营商声称从施乐公司盗取了超过100GB的文件,并威胁要公布这些文件,但施乐表示不会支付赎金。如果受害者愿意支付赎金,Maze最终将从其磁盘中删除被盗数据,并提供一个解密器恢复文件。
此前,Maze勒索软件运营商声称侵入了韩国跨国电子公司LG Electronics、美国芯片制造商MaxLinear、专门从事并购收购的美国公司咨询公司Threadstone Advisors LLP。勒索软件Maze在此期间非常活跃,最近他们从美国军事承包商Westech和 ST工程集团窃取了数据,并公布了从哥斯达黎加银行(BCR)窃取的信用卡数据,并威胁每周都会泄漏其他数据。Maze此前的受害者包括IT服务公司Cognizant和Conduent。
天地和兴工业网络安全研究院编译,参考来源:SecurityAffairs
天地和兴,安全周报
相关资讯