关键信息基础设施安全动态周报【2020年第43期】
发布时间:
2020-10-30
来源:
作者:
访问量:
99
目 录
第一章 国外关键信息基础设施安全动态
(一)跨国能源公司Enel Group今年第二次遭受勒索软件攻击
(二)芬兰心理治疗中心Vastaamo遭受勒索攻击,黑客勒索患者支付赎金
(三)法国IT服务提供商Sopra Steria遭受勒索软件攻击
(四)多台Mottech智能灌溉系统在全球范围内易受攻击
(五)350万美国患者病历信息在互联网上公开未受保护
(六)俄罗斯APT组织Energetic Bear入侵美国政府网络并窃取数据
(七)欧洲网络犯罪组织UNC1878使用勒索软件Ryuk攻击美国医院网络
(八)俄罗斯黑客组织Turla攻击欧洲政府组织系统
(九)伊朗APT组织Phosphorous成功攻击多名知名人士电子邮件账户
(十)美国FBI、CISA、国防部联合警告称朝鲜黑客组织Kimsuky活跃
(十一)美国财政部制裁与恶意软件Triton有关的俄罗斯政府研究机构
(十二)新型僵尸网络KashmirBlack已感染多个网站
(十三)FBI警告黑客通过SonarQube平台窃取政府源代码
(十四)特朗普竞选网站被黑客入侵
(十五)Nitro PDF遭受大规模数据泄露
(十六)律师事务所Fragomen泄露Google员工个人信息
(十七)瑞典政府及银行遭受安全数据泄露
第一章 国外关键信息基础设施安全动态
(一)跨国能源公司Enel Group今年第二次遭受勒索软件攻击
跨国能源公司Enel Group的系统近日遭受了勒索软件Netwalker攻击,这是该能源公司今年遭受的第二起勒索软件攻击。Netwalker勒索软件运营商要求支付1400万美元赎金以换取解密密钥,黑客声称从该公司窃取了数TB数据,并威胁称如果不支付赎金就会泄露信息。
Enel Group是一家意大利跨国能源公司,活跃在发电和配电领域,以及天然气分销领域。该公司在40个国家拥有6100多万客户,在财富全球500强中排名第87位,2019年营收为900亿美元。
今年6月,Enel遭受勒索软件Snake攻击,但攻击很快得到遏制,恶意软件无法在其网络内传播。10月19日,一位研究人员报告了针对Enel的勒索软件攻击的消息,并分享了一张在攻击Enel时使用的Netwalker勒索信件。
研究人员上周试图通知Enel Group,但没有成功。几天后,Netwalker通过他们的支持聊天宣布了公司数据泄露的消息。Enel从未回复过勒索软件运营商的消息,因此,攻击者开始泄露被盗数据的一部分,作为数据泄露的证据。攻击者索要折合1,400万美元的比特币(约合1234个比特币)。
10月27日,Netwalker勒索软件运营商将Enel Group添加到他们的数据泄露网站,并截图展示了一些从该公司被盗的未加密文件。
意大利网络安全公司TG Soft在一条推文中公开分享了这次攻击的消息。黑客从该公司窃取了大约5TB的文件,并宣布他们将“分析每个文件中的有趣内容”,并将其发布在他们的泄密网站上。
参考来源:SecurityAffairs http://dwz.date/cZKv
(二)芬兰心理治疗中心Vastaamo遭受勒索攻击,黑客勒索患者支付赎金
芬兰心理治疗中心Vastaamo 10月21日披露,其数据系统曾遭受多次勒索攻击,数千个其客户登记簿信息很可能被盗。黑客组织最初勒索Vastaamo支付45万欧元的赎金,随后勒索Vastaamo患者支付200至500欧元的赎金以删除其泄露在暗网上的数据。
Vastaamo在北欧国家有550万分支机构,是芬兰公共卫生系统的分包商,为患有焦虑症和抑郁症等疾病的患者提供心理和心理治疗。Vastaamo在10月24日晚些时候发表的一份声明中表示,第一次入侵可能发生在2018年11月,其数据系统也有可能在2018年11月底至2019年3月之间被渗透。芬兰内政部长玛丽亚·奥赫萨洛(Maria Ohisalo)在推特上表示,政府将为Vastaamo心理治疗中心的安全漏洞提供迅速的危机帮助,她称这是“令人震惊且非常严重的事件”。
Vastaamo表示,不明身份的攻击者使用匿名的Tor通信软件发布了至少300份患者记录,其中包含姓名和联系方式。“勒索者已经开始通过敲诈勒索直接与安全漏洞的受害者打交道。”
国家调查局10月25日表示,多达上万份的Vastaamo客户的个人资料可能被泄露。警方正在芬兰和国外寻找潜在攻击者。目前尚不清楚窃取的信息是否包括诊断、治疗记录或其他潜在的破坏性信息。国家调查局首席调查员马克·莱波宁(Marko Leponen)表示,“这起案件的特殊之处在于被盗材料的内容。”
Vastaamo敦促那些收到付款要求以换取信息私密性的客户立即与芬兰警方联系,据称已有数十人收到勒索需求。芬兰媒体报道称,网络犯罪分子要求以比特币支付200欧元(240美元)的赎金,除非在24小时之内支付,否则赎金将增至500欧元。据报道,心理治疗中心还收到了勒索赎金,要求支付450,000欧元(534,000美元)的比特币。
市民对此消息感到难以置信。它还引起了芬兰领导人的评论。总统萨利·尼尼斯托(Sauli Niinisto)称勒索“残酷”和“令人反感”。总理桑纳·马林(Sanna Marin)表示,此类敏感信息的入侵“在许多方面都令人震惊”。
芬兰数据安全公司F-Secure的首席研究官Mikko Hypponen告诉芬兰公共广播电视台YLE,该案件即使在国际范围内也是例外。Hypponen是芬兰领先的数据安全专家之一,也是国际知名的网络威胁讲师。Hypponen表示,“我不知道在世界上任何地方都存在如此严重滥用患者记录的情况。”Hypponen在推特上表示他知道另外一个类似的勒索案件,即2019年佛罗里达州面部修复中心事件。该事件在一个不同的医疗领域,受害人数较少,但基本思路是一样的。
芬兰的各个组织已迅速动员起来,帮助破坏活动的受害者,包括直接拨通教堂和治疗服务的电话。
Vastaamo建议客户不要向黑客支付任何赎金,如果收到了黑客勒索的要求,请立即与芬兰警方联系。
参考来源:SecurityWeek http://dwz.date/cY4d
(三)法国IT服务提供商Sopra Steria遭受勒索软件攻击
法国IT服务提供商Sopra Steria 10月26日表示,其系统最近感染了勒索软件Ryuk新变体。
总部位于法国的Sopra Steria在25个国家拥有4.6万名员工,提供广泛的IT服务,包括咨询、技术、软件、系统集成、业务流程、基础设施管理和网络安全。
该公司在10月21日报告称,前一天检测到其IT网络遭到入侵,并已开始努力遏制该事件。10月26日的更新信息中,该公司表示其成为了网络攻击的目标,这次攻击涉及勒索软件Ryuk的一个新变体,该变体“以前并不为杀毒软件提供商和安全机构所知”。
Sopra Steria的调查小组立即向主管当局提供了所需的所有信息。该调查小组能够迅速向所有防病毒软件提供商提供此新版本的病毒签名,以便他们更新其防病毒软件。此外,还已证实该网络攻击是在被发现之前几天才发起的。
攻击者在被发现前几天才获得Sopra Steria系统的访问权限,这一事实并不令人惊讶。DFIR报告最近表示,在最近观察到的一次攻击中,从黑客发送的第一封电子邮件到系统完全被攻破并加密,只经过了29个小时。
Sopra Steria表示,该事件只影响了其基础设施的“有限部分”,并声称没有发现数据泄露或客户系统受损的证据。然而。该公司预计还需要几周时间才能全部业务恢复正常。
据悉,使用Ryuk勒索软件的俄罗斯网络犯罪分子还会窃取受害者的数据,以增加他们获得报酬的机会。Ryuk勒索软件通常是通过TrickBot僵尸网络传递的,TrickBot僵尸网络的基础设施最近成为了美国政府和私营企业的关注目标。尽管针对TrickBot的行动似乎是成功的,至少在某种程度上是成功的,但据报道,就在Sopra Steria成为攻击目标的几天前,Ryuk的攻击还在继续。
参考来源:SecurityWeek http://dwz.date/cZEa
(四)多台Mottech智能灌溉系统在全球范围内易受攻击
以色列安全研究公司Security Joes最新调查结果发现,全球部署的100多台智能灌溉系统都是在没有改变工厂默认的无密码设置的情况下安装的,这使得它们很容易受到恶意攻击。
研究人员立即向以色列CERT、受影响的公司和灌溉系统供应商Mottech Water Management发出警报,但Mottech没有对置评请求作出回应。
Mottech的系统允许通过台式机和移动电话对农业和草坪/景观设施的灌溉进行实时控制和监控。传感器网络允许灵活和实时地将水和肥料分配到系统中的不同阀门。例如,接入网络可能会导致攻击者能够淹没田地或过量运送化肥。
Security Joes联合创始人Ido Naor表示,Security Joes定期扫描互联网上的以色列开放设备,以检查漏洞。最近,它的研究人员发现,在没有密码保护的情况下,以色列境内的55个灌溉系统可以在开放的互联网上看到。在扩大搜索范围后,他们发现还有50个分散在世界各地,包括法国、韩国、瑞士和美国。Naor称,在最后一次检查中,到目前为止,只有大约20%的脆弱灌溉设备采取了缓解措施来保护它们。
有充分的理由对供水系统不安全发出警报,特别是在以色列。据《以色列时报》(Times of Israel)报道,就在去年4月,一场针对以色列供水系统的网络攻击,据称是伊朗发起的,目的是增加水中的氯含量,以毒害平民,最终中断居民的供水。
据《以色列时报》报道,该国国家网络局局长Yigal Unna在5月下旬的CybertechLive Asia大会上发表讲话时发出了警告,称针对人们的直接网络攻击代表着网络战的新篇章。报道称,就在几周后的7月,以色列水务局表示,他们阻止了加利利的农业水泵和“国家中心”的供水基础设施遭受的攻击。但是Naor表示,被发现的没有密码保护的灌溉系统与之前的攻击没有关系。
这些类型的脆弱性当然不仅限于以色列。上个月,在美国用来为工业系统(包括供水和电力公用事业)供电的软件CodeMeter中发现了六个关键漏洞,这些漏洞可能被利用来发动攻击,甚至允许第三方接管系统。
今年夏天,研究人员发现,用于在工业环境中远程访问运营技术(OT)网络的VPN使现场设备容易受到攻击,这可能会导致关闭甚至物理损坏。各国政府正在努力跟上整个关键基础设施系统中物联网(IoT)设备的激增。在美国,众议院在9月份通过了一项立法,规定了联邦政府内部对物联网设备的最低要求。
Naor表示,物联网设备的最低安全标准是锁定关键基础设施的重要一步。但运营商需要认真对待安全问题,双因素认证应该是从移动设备访问这些系统的最低要求。但更普遍的是,应该更加谨慎地对待我们在互联网上发布的内容。
参考来源:ThreatPost http://dwz.date/cZP6
(五)350万美国患者病历信息在互联网上公开未受保护
安全软件公司New Net Technologies近日披露,在图片存档和通信系统(PACS)服务器上发现超过2PB未保护的医疗数据,美国约350万名患者的1300万次体检结果没有受到保护,任何人都可以在互联网上看到这些结果。
今年的全国网络安全意识月(从2020年10月19日开始的一周)已进入第三周,主题是“保障医疗保健中的互联网连接设备”。
New Net Technologies是总部位于佛罗里达州那不勒斯的安全和合规软件公司,该公司全球副总裁德克·施拉德(Dirk Schrader)披露了这些细节。他演示了任何人都可以通过从互联网下载的应用程序访问这些记录,这些记录仍在积极的更新文件中,并有三种不同的威胁:个人身份盗窃(包括更有价值的医学身份盗窃)、个人勒索和医疗保健公司违规行为。
Schrader检查了一系列放射学系统,其中包括图片存档和通信系统(PACS)。这些不仅包含图像,还包含有关各个患者的元数据。元数据包括姓名、出生数据、体检日期和原因等等。在医院内,成像系统(X射线、MRI等)也存储在PACS中。主治医师需要随时访问图像以确认当前治疗。Schrader只是使用Shodan来定位使用DICOM医疗协议的系统,在返回的3000台服务器中,单个未受保护的PACS系统被手动定位。例如,其中一项包含超过80万次医学检查的结果,可能涉及约25万名不同的患者。
尽管Schrader手动找到了不受保护的服务器,但他选择了这种方法来证明在此过程中不需要黑客技能。攻击者可能已经编写了脚本,可以在短时间内将受保护的服务器与不受保护的服务器分开。总共,他可以访问2PB以上的医疗数据。
他发现了三种访问存储数据的方法。首先是通过从互联网下载并由用户配置的可配置的免费软件DICOM Viewer应用程序。只需通过搜索“DICOM Viewer”即可找到查看器。Schrader特别使用了Radiant DICOM Viewer。甚至更简单的方法是直接通过Web浏览器。该服务器是通过Shodan进行定位的,并且由于不受保护,因此攻击者通常可以下载并上传到该服务器,还可以操纵其内容。Shrader表示,“我可以上传虚假数据,没有黑客入侵。”第三种方法是某些服务器直接通过浏览器提供整个数据集的完整下载。
有关个人的详细信息级别包括姓名,有时还包括社会安全号码,可能会导致身份盗用。医疗检查的类型和结果也包括在内,攻击者可以收集有关已证明COVID或HIV阳性或进行了乳房切除手术的患者的详细信息,可能会导致个人勒索。在某些情况下,攻击者可以仅通过浏览器访问和更新活动文件夹。如果使用武器化的PDF或JPG更新这些文件夹,则攻击者就有可能将恶意软件和最终勒索软件传递给相关的医疗机构。如果医生正在使用PACS服务器的内容来检查患者当前的治疗方法并下载武器化文件,就可能会打开恶意软件感染机构的路径,最终导致重大勒索软件攻击。
Schrader多年来一直在调查此问题,调查对象是全球的医疗机构。2019年12月,他向美国120个未受保护的系统的管理员发送了披露通知,其中69个管理员完全忽略了警告,包括19家儿童医院。总体而言,欧洲和英国的反应是积极的,并且数据已经得到保护。现如今,美国、印度和巴西是主要的有问题国家,但其他未受保护的PACS系统存在于澳大利亚、加拿大、及法国。
从Shodan获得IP地址后,Schrader继续对美国机构进行漏洞检查,结果发现,“大约170个连接到互联网的美国系统中有大约600个严重漏洞。有许多即将终止的漏洞,还有几个Microsoft漏洞处于最高风险级别。没有必要PACS进行修补,就像这些系统已连接到互联网并被遗忘了一样。”这表明系统不仅不受保护,而且不受管理。
Schrader没有发现任何确凿的证据证明PACS内容已经被犯罪分子滥用,“但我怀疑,犯罪分子已经在使用这种方法,因为它太容易了。”该问题的解决方案很简单,PACS服务器应该要求足够的访问身份验证,或者从互联网中删除。不然,任何人都可以随时访问数百万敏感医疗记录。
参考来源:SecurityWeek http://dwz.date/cZe4
(六)俄罗斯APT组织Energetic Bear入侵美国政府网络并窃取数据
美国国土安全部(DHS)网络安全和基础设施安全局(CISA)和联邦调查局(FBI)10月22日联合发布警告称,在过去的两个月中,俄罗斯政府支持的APT组织Energetic Bear入侵并窃取了美国政府网络的数据。
黑客组织Energetic Bear也被称为Berserk Bear、TeamSpy、Dragonfly、Havex、Crouching Yeti和Koala,至少自2010年开始活跃,其攻击目标是美国州、地方、领土和部落(SLTT)政府组织和航空实体的网络。
FBI及CISA表示,“俄罗斯政府资助的APT行为者已经瞄准了数十个SLTT政府和航空网络,企图入侵多个SLTT组织,成功破坏了网络基础设施,并且从2020年10月1日起,从至少两个受害者服务器中窃取了数据。俄罗斯支持的APT参与者正在获取用户和管理员凭证,以建立初始访问权限,一旦进入网络就可以横向移动以及定位高价值资产以窃取数据。”
根据该联合警报,在至少一次涉及政府网络受损的事件中,俄罗斯国家支持的黑客组织已获得对敏感文件的访问权,其中包括:
l 敏感的网络配置和密码;
l 标准操作程序(SOP),例如注册多因素身份验证(MFA);
l IT指令,例如请求密码重置;
l 供应商和购买信息;
l 打印通行证。
黑客在攻击中使用了多种方法,包括暴力尝试、结构化查询语言(SQL)注入攻击,还扫描并试图利用易受攻击的Citrix、Fortinet和Microsoft Exchange服务器。他们还使用了受侵害的Microsoft Office 365(O365)帐户,并尝试利用ZeroLogon Windows Netlogon漏洞(CVE-2020-1472)在Windows Active Directory(AD)服务器上进行特权升级。
该联合警告补充表示:“迄今为止,FBI和CISA尚无任何信息表明该APT参与者有意破坏了任何航空,教育,选举或政府运作。但是,参与者可能正在寻求获得未来干扰选择的机会,以影响美国的政策和行动,或使SLTT政府实体合法化。”该警报还提供了有关该组织攻击、缓解措施和广泛的妥协指标(IOC)列表等更多信息。
参考来源:BleepingComputer http://dwz.date/cYzk
(七)欧洲网络犯罪组织UNC1878使用勒索软件Ryuk攻击美国医院网络
FireEye 10月28日发布公告称,东欧网络犯罪组织UNC1878近日在美国多家医院进行了勒索软件攻击,这是冠状病毒大流行期间该行业最具破坏性的网络活动。
FireEye事故响应部门Mandiant的高级副总裁Charles Carmakal表示,FireEye称该组织为UNC1878,该组织一直在部署Ryuk勒索软件,并使多个医院IT网络离线。“UNC1878是我在职业生涯中观察到的最厚颜无耻、无情和破坏性的威胁组织之一。该组织的活动蓄意针对并破坏美国医院,迫使他们将患者转移到其他医疗机构。”FireEye没有详细说明任何具体的攻击或它观察到的活动时间。
该公告与多个勒索软件事件相吻合,包括本周早些时候发生在俄勒冈州Sky Lakes医疗中心的攻击事件。该医疗中心继续提供紧急和紧急护理,但表示“在恢复系统之前,与医疗中心的通信会有些复杂。”勒索软件还感染了纽约州医院的IT网络,迫使Canton-Potsdam、Massena、Gouverneur医院恢复备份程序。据报道,攻击者使用的是一种新型Ryuk变种。
FBI和国土安全与卫生与公共服务部在10月28日召开了电话会议,向私营部门简要通报了攻击事件。此次电话会议的邀请函称,它将涵盖“有关美国医院和医疗保健提供者日益严重的网络犯罪威胁的可靠信息。”在本周发生勒索软件事件之前,有报道称Ryuk勒索软件攻击了Universal Health Services,该公司称自己是美国最大的医疗保健提供商之一。
尽管致命的冠状病毒仍在流行,网络犯罪分子仍继续攻击医院的IT系统并要求获得赎金。美国联邦机构和私人公司已呼吁增援,以试图减弱袭击的影响。世界各地的网络安全专业人员一直对医疗保健组织的黑客攻击感到担忧,以至于他们自愿投入时间来保护他们。美国网络安全和基础设施安全局(CISA)在今年7月聘请了卫生保健网络安全专家Josh Corman来加强该机构的工作,以保护该行业免受攻击。
参考来源:CyberScoop http://dwz.date/cZsy
(八)俄罗斯黑客组织Turla攻击欧洲政府组织系统
根据埃森哲网络威胁情报(ACTI)最新报告,俄罗斯黑客组织Turla攻击了一个未公开的欧洲政府组织的系统。这起攻击完全符合Turla的信息窃取和间谍活动动机,以及它对来自不同国家的政府相关实体的持续攻击。
为了破坏组织的网络,攻击者使用了最近更新的远程管理木马(RAT)和基于远程过程调用(RPC)的后门程序,其中包括HyperStack,由ACTI在2020年6月至2020年10月期间进行了分析。
ACTI研究人员表示,“值得注意的是,埃森哲研究人员最近为同一受害者网络上Turla的Carbon和Kazuar后门确定了新型命令和控制(C&C)配置。 Kazuar实例在使用受害网络之外的外部C&C节点和受影响网络上的内部节点之间的配置有所不同,并且Carbon实例已更新为包括一个Pastebin项目,以与传统的HTTP C&C基础结构一起接收加密的任务。”总之,在进行间谍活动期间,Turla破坏了来自100多个国家的政府,大使馆以及教育和研究机构的数千个系统。
埃森哲表示,“Turla可能会继续使用其传统的工具,尽管会进行升级,以妥协并保持对受害者的长期访问,因为这些工具已经被证明在Windows网络上取得了成功。”ACTI建议政府实体检查网络日志,以发现报告末尾包含的危害指标,并建立能够阻止未来Turla攻击的检测。
Turla组织也跟踪为 Waterbug或VENOMOUS BEAR,自1996年以来一直活跃,是袭击五角大楼和美国宇航局、美国中央司令部、芬兰外交部以及今年早些时候东欧外交部的主要嫌疑人。
由国家赞助的黑客组织也以使用非正统方法实现其网络间谍活动目标而闻名。例如,他们使用自己的API创建了 后门木马程序, 以使用对Britney Spears Instagram照片的评论来逆向通信流并控制恶意软件 。他们还劫持了伊朗赞助的OilRig黑客组织的基础设施和恶意软件, 以在自己的竞选活动中使用它们。
今年5月,ESET使用Gmail网络界面在针对政府机构的数据盗窃攻击中发现了由Turla控制的ComRAT后门新版本。同样在5月,卡巴斯基分享了被认为是另一种“具有中等到低置信度”的Turla恶意软件的信息,这是一种被称为COMpfun的RAT变体,使用在针对欧洲外交实体的攻击中部署的不常见HTTP状态代码进行控制。
参考来源:BleepingComputer http://dwz.date/cZp7
(九)伊朗APT组织Phosphorous成功攻击多名知名人士电子邮件账户
微软近日透露,与伊朗有关的APT组织Phosphorus成功侵入了今年慕尼黑安全会议和Think 20峰会上多位知名人士和与会者的电子邮件账户。攻击者成功攻击了100多人,其中包括前大使和其他高级政策专家。Phosphorus又名APT35、Charming Kitten、Newscaster、Ajax Security Team。
据微软安全情报中心(Microsoft Security Intelligence Center)的专家称,这些攻击是网络间谍活动的一部分,旨在通过泄露受害者邮箱和联系人名单中的数据来收集受害者的情报。数据被泄露到de-ma[.]online、g20saudi.000webhostapp[.]com和ksat20.000webhostapp[.]com。
攻击者一直在向前政府官员、政策专家、学者和非政府组织的领导人发送伪造的电子邮件邀请。攻击者试图利用新冠肺炎大流行期间人们对旅行的恐惧,提供远程会话。
这些电子邮件是用近乎完美的英语写成的。专家认为,这场竞选与即将到来的美国总统选举无关。微软专家已经与会议组织者合作,他们警告与会者注意正在进行的攻击,并建议他们保持警惕,注意与其他会议或活动相关的这种方法。
2014年,iSight的专家发布了一份报告,描述了伊朗黑客利用社交媒体组织的最复杂的基于网络的间谍活动,Phosphorus成为头条新闻。
微软至少从2013年就开始跟踪这些威胁的参与者,但专家认为,这个网络间谍组织至少从2011年就开始活跃起来。在过去的战役中,APT组织发起了针对中东和美国组织和以色列、英国、沙特阿拉伯和伊拉克的实体的激进分子和记者的鱼叉式网络钓鱼攻击。
最近,微软发布了一篇帖子和一系列推文,警告有人利用与伊朗有联系的APT组织MuddyWater(又名Mercury)实施的zeroologon漏洞进行网络攻击。微软还警告说,其他国家支持的黑客组织在俄罗斯和中国开展网络间谍活动,目标是参与今年美国总统大选的组织和个人。
参考来源:SecurityAffairs http://dwz.date/cZSa
(十)美国FBI、CISA、国防部联合警告称朝鲜黑客组织Kimsuky活跃
美国联邦调查局(FBI)、国土安全部(DHS)网络安全与基础设施安全局(CISA)和国防部攻击性黑客机构网络司令部(Cyber Command)10月27日发布联合警报称,朝鲜黑客组织Kimsuky针对韩国、日本和美国的目标进行情报收集。
据美国政府称,Kimsuky经常针对韩国智库以及与制裁、核话题和其他影响朝鲜半岛的问题相关的目标开展网络间谍活动。美国政府警报称,为了获得与受害者的初步接触,黑客通常使用鱼叉式电子邮件和水坑诱骗受害者提供信息。
根据这份报告,至少从2012年开始Kimsuky就一直活跃,“最有可能是朝鲜政权的任务”。研究人员此前曾将Kimsuky(有时也被称为Velvet Chollima组织)与朝鲜和国家有关的动机联系在一起。
网络司令部表示,这份报告概述了Kimsuky常用的战术、技术和程序,旨在促使私营部门保护自己的网络避免遭受黑客攻击。
在联合发出警告之前,美国政府已经公开发布了一系列有关朝鲜政府黑客行为的报告,目的是削弱朝鲜黑客的行动效率。官员们说,按照这种思路,当私营部门保护自己不受黑客攻击时,攻击者在进行重组时可能会分心。
网络司令部发言人说,尽管该警报是在美国2020年总统大选临近时发出的,但朝鲜黑客正在进行的攻击据信与他们没有关联。
CrowdStrike的2020年全球威胁报告显示,尽管kimsuky历来专注于与制裁和核话题相关的智库和目标,但与许多其他与朝鲜政府有关联的黑客一样,该组织最近一直有兴趣将加密货币用户和交易所作为目标,以开展“货币生成操作”。
据韩国官员和金融安全研究所(Financial Security Institute)的研究人员称,据信kimsuky也是2014年针对韩国核电站运营商韩国水电核电公司(Korea Hydro&Nuclear Power Co.)的幕后黑手。虽然韩国核电站的运营没有受到影响,但这次旨在窃取核电站蓝图和远程控制电脑的行动可能暗示着能源行业可能存在更具破坏性的动机。
据Malwarebytes Research称,近几个月来,Kimsuky因利用新冠病毒大流行和发送带有冠状病毒主题诱饵的鱼叉式网络钓鱼邮件而受到研究界的关注。这些钓鱼邮件包含恶意文档,攻击者可以利用这些文档收集有关受害者机器的信息,包括受害者摄像头、音频、蓝牙和文件的信息。
参考来源:CyberScoop http://dwz.date/cZNA
(十一)美国财政部制裁与恶意软件Triton有关的俄罗斯政府研究机构
10月23日,美国财政部外国资产控制办公室(OFAC)根据《通过制裁对付美国对手法案》(CAATSA)第224条,指定了与破坏性恶意软件Triton相关的俄罗斯政府研究机构。
恶意软件Triton在开源报告中也称为TRISIS或HatMan,是专门针对和操纵工业安全系统而设计的。此类系统可在关键基础设施中安全紧急关闭工业流程,以保护人类生命。私人网络安全行业将Triton恶意软件背后的网络参与者称为“众所周知的最危险的威胁活动”。
秘书史蒂文·姆努钦(Steven T. Mnuchin)表示:“俄罗斯政府继续从事针对美国及其盟国的危险网络活动。本届政府将继续积极捍卫美国的关键基础设施,防止任何人试图破坏它。”
近年来,恶意软件Triton一直针对中东的美国合作伙伴部署,据报道,该恶意软件背后的黑客已在扫描和探测美国设施。鉴于俄罗斯政府参与了恶意和危险的网络启动活动,针对美国的合作伙伴开发和部署Triton恶意软件尤其令人不安。此前俄罗斯在网络空间肆无忌惮的活动包括但不限于:NotPetya网络攻击,这是历史上最具破坏性和代价最高的网络攻击;针对美国能源网的网络入侵,有可能推动未来的进攻行动;以国际组织为目标,例如禁止化学武器组织和世界反兴奋剂机构;以及2019年针对格鲁吉亚的破坏性网络攻击。
2017年8月,中东的一家石化设施成为涉及Triton恶意软件的网络攻击的目标。此网络攻击得到了俄罗斯联邦FGU中央科学研究所化学与力学国家研究中心(TsNIIKhM)的支持,该研究所是由俄罗斯政府控制的研究机构,负责构建启用攻击的定制工具。
Triton恶意软件旨在针对某些关键基础设施中使用的特定工业控制系统(ICS)控制器,以在发生紧急情况时立即启动关机程序。该恶意软件最初是通过针对石化设施的网络钓鱼进行部署的。该恶意软件一旦立足,其操作员便会尝试操纵该设施的ICS控制器。在攻击过程中,多个ICS控制器进入故障安全状态后,该设施会自动关闭,从而阻止部署恶意软件的全部功能,并促使进行调查,最终导致发现了恶意软件。研究网络攻击和恶意软件的研究人员报告说,Triton旨在使攻击者完全控制受感染的系统,并具有造成重大物理损坏和生命损失的能力。据报道,在2019年,Triton恶意软件背后的攻击者正在扫描和探测美国至少20家电力公司是否存在漏洞。
根据CAATSA第224条规定,TsNIIKhM被指定为代表俄罗斯联邦政府有意从事破坏任何人(包括民主机构或政府)的网络安全的重大活动。根据该指定,美国人拥有的TsNIIKhM的所有财产和财产权益均被封锁,一般禁止美国人与他们进行交易。此外,一个或多个指定人员拥有的任何50%或以上的实体也将被阻止。此外,与TsNIIKhM进行某些交易的非美国人本身可能也会受到制裁。
参考来源:美国财政部 http://dwz.date/cYVq
(十二)新型僵尸网络KashmirBlack已感染多个网站
Imperva安全研究人员近日发现了一个新型复杂僵尸网络KashmirBlack,自2019年11月以来一直活跃,利用目标服务器中数十个已知漏洞,主要针对其内容管理系统(CMS)平台,平均每天对全球30多个不同国家的数千名受害者进行数百万次攻击。
专家认为KashmirBlack僵尸网络的背后是代号为“Exect1337”的黑客,他是印度尼西亚黑客组织“PhantomGhost”的成员。专家们观察到平均每天发生数百万次攻击,攻击了全球30多个不同国家的数千名受害者。
Imperva研究人员发布的报告第一部分详细介绍了僵尸网络背后的DevOps实施,“它具有由一台C&C(命令与控制)服务器管理的复杂操作,并使用60多个服务器作为其基础架构的一部分,大多数是无辜的代理服务器。它处理数百个僵尸程序,每个僵尸程序都与C&C通信以接收新目标、执行暴力攻击、安装后门、并扩大僵尸网络规模。”
KashmirBlack僵尸网络的主要目的是滥用受感染系统的资源来进行加密货币挖掘,并将站点的合法流量重定向到垃圾邮件页面。
僵尸网络自发现以来一直在持续增长,而复杂性也在不断提高。今年5月,专家观察到命令与控制(C&C)基础结构的增加以及僵尸网络运营商使用的利用程序的增加。KashmirBlack会使用易受攻击的CMS版本在互联网上扫描站点,并尝试利用已知的漏洞来接管基础服务器。
僵尸网络运营商利用一系列漏洞来破坏运行多个CMS平台的网站,包括WordPress、Joomla!、PrestaShop、Magneto、Drupal、vBulletin、osCommerce、OpenCart和Yeager:PHPUnit远程代码执行(CVE-2017-9841)、
jQuery文件上传漏洞( CVE-2018-9206)、ELFinder命令注入(CVE-2019-9194)、Joomla!远程文件上传漏洞、Magento本地文件包含(CVE-2015-2067)、
Magento Webforms上传漏洞、CMS Plupload 任意文件上传、Yeager CMS漏洞(CVE-2015-7571)、WordPress TimThumb RFI漏洞(CVE-2011-4106)、Uploadify RCE漏洞、vBulletin Widget RCE(CVE-2019-16759)、WordPress install.php RCE、、WordPress xmlrpc.php登录暴力攻击、WordPress多个插件RCE、WordPress多个主题RCE、Webdav 文件上传漏洞。
Imperva研究人员在研究过程中见证了它从一个具有基本能力的中等容量僵尸网络发展成为一个庞大的基础设施的过程。该报告的第二部分还包括了该僵尸网络的危害指标(IoC)。
参考来源:SecurityAffairs http://dwz.date/cY5V
(十三)FBI警告黑客通过SonarQube平台窃取政府源代码
美国联邦调查局(FBI)近日发出警报,警告黑客通暴露在互联网上且不安全的SonarQube实例窃取了美国政府机构和企业组织的数据。
SonarQube是一个开放源代码平台,用于自动代码质量审核和静态分析,以发现使用27种编程语言的项目中的错误和安全漏洞。自2020年4月以来,攻击者一直在积极利用易受攻击的SonarQube服务器来访问政府和公司实体拥有的数据源代码存储库,随后对其进行过滤并公开泄漏。
FBI表示,自从攻击开始以来,他们已经发现了几起攻击者滥用SonarQube配置漏洞的事件。FBI在警告中表示,“从2020年4月开始,FBI观察到源于美国政府机构和科技、金融、零售、食品、电子商务和制造领域的私人美国公司与不安全SonarQube实例相关的源代码泄漏。”
开发人员和逆向工程师Tillie Kottmann收集并发布了超过50家公司的泄漏代码,其中包括Microsoft、Adobe、Lenovo、AMD、Qualcomm、Motorola、Hisilicon(华为拥有)、Mediatek、GE Appliances、Nintendo、Roblox、迪士尼等,更多的位于一个公共的GitLab存储库。
Kottmann表示,目前有数千家公司未能正确保护其SonarQube安装而暴露了专有源代码。此前8月他从一个匿名人士那里收集到了20GB的英特尔机密文件。
“这些信息来自英特尔资源与设计中心,该中心承载的信息供注册访问的客户、合作伙伴和其他外部各方使用。”
FBI表示,威胁参与者首先使用默认端口号(即9000)扫描暴露在互联网上的公开SonarQube实例来开始攻击。发现公开的服务器后,他们尝试使用默认的admin / admin凭据来访问易受攻击的实例。
FBI虽然没有点名,但在警报中调了两起此类事件,一个是由已确定身份的攻击者进行的,另一个攻击者仍然未知:2020年7月,一名被确认的网络参与者通过安全性较差的SonarQube实例从企业中过滤出专有源代码,并在一个自托管的公共存储库中发布了过滤后的源代码。2020年8月,未知威胁参与者通过公共生命周期存储库工具从两个组织泄漏了内部数据。窃取的数据来自SonarQube实例,该实例使用了受影响的组织网络上运行的默认端口设置和管理员凭据。
FBI建议采取以下缓解措施来阻止攻击:更改SonarQube默认设置,包括更改默认管理员用户名,密码和端口(9000);将SonarQube实例放置在登录屏幕后面,并检查是否有未经授权的用户访问了该实例;如果可行,撤消对SonarQube实例中公开的任何应用程序编程接口密钥或其他凭据的访问;将SonarQube实例配置为位于组织的防火墙和其他外围防御程序的后面,以防止未经身份验证的访问。
参考来源:BleepingComputer http://dwz.date/cZkq
(十四)特朗普竞选网站被黑客入侵
唐纳德·特朗普的竞选网站donaldjtrump.com 10月27日短暂遭受了黑客入侵,该事件发生在选举日前几天,引起了各界担忧。该网站通常包含集会和筹款呼吁的详细信息,然而周二显示的消息为:“该网站已被查封。世界上有很多由唐纳德·特朗普总统每天散布的假新闻”。
这起黑客事件是加布里埃尔·洛伦佐·格雷施勒(Gabriel Lorenzo Greschler)在推特上首次报道的,事件发生在太平洋时间下午4点前。这个消息令人担忧,因为选举日即将到来。黑客可能会访问Web服务器后端,并插入混淆的JavaScript来显示上述消息。
该网站很快得到了恢复,特朗普竞选发言人蒂姆·默特(Tim Murtaugh)确认,此次攻击没有泄露任何敏感数据。穆特表示,“特朗普竞选网站遭到污损,我们正在与执法机构合作调查袭击源头。”
据网站Techcrunch称,攻击者似乎没有政治动机,该网站遭到骗子的攻击,目的是收集难以追踪的cypto货币Monero。诈骗者声掌握了特朗普及其亲属的机密信息,并提供了两个门罗币地址,在那儿转移资金以接收所谓的信息。诈骗者指示人们,如果希望获得严格保密的信息,则将加密货币发送到一个地址,然后将其发送给另一地址以将其保密。
专家注意到,该页面是用一个PGP公钥签名的,该公钥对应于一个不存在的域中的电子邮件地址(planet.gov)。
参考来源:SecurityAffairs http://dwz.date/cZcF
(十五)Nitro PDF遭受大规模数据泄露
Nitro Software 10月21日向澳大利亚证券交易所发布的咨询报告披露,Nitro PDF服务遭受了大规模数据泄露事件,影响了许多知名组织,包括谷歌、苹果、微软、大通银行和花旗银行。
Nitro声称有超过1万名商业客户和180万许可用户使用,是一种用于创建、编辑和签名PDF和数字文档的应用程序。作为服务的一部分,Nitro提供了一种云服务,客户可以使用该云服务与参与文档创建过程的同事或其他组织共享文档。
该咨询报告显示,Nitro PDF受到了“低影响安全事件”的影响,但没有影响到任何客户数据。Nitro称“该事件为低影响安全事件,涉及未经授权的第三方对硝基数据库进行有限访问的隔离安全事件,数据库不包含用户或客户文档,该事件对NITRO的持续运营没有重大影响,事件调查仍在进行中,目前没有证据表明与客户有关的敏感或财务数据受到影响或信息被滥用,不会因事故而产生重大的财务影响,预计该事件不会影响到2020财年的招股书预测。”
然而事实证明,事件的内容可能比其说的还要多。网络安全情报公司Cyble表示,一个威胁参与者正在出售他们声称从Nitro软件的云服务中窃取的用户和文档数据库以及1TB的文档。目前这些数据正在私下拍卖中出售,起拍价格定为80,000美元。
Cyble表示,“user_credential”数据库表包含7,000万条用户记录,其中包含电子邮件地址、姓名、bcrypt哈希密码、标题,公司名称、IP地址以及其他与系统相关的数据。
研究人员能够通过确认数据库中存在的Nitro帐户的已知电子邮件地址来确定被盗用户数据库的真实性。文档数据库包含文件的标题、是否已创建、签名、拥有该文件的帐户以及是否公开。
据Cyble称,这些数据库包含与知名公司有关的大量记录。
从共享的数据库样本中发现,仅文档标题就披露了有关财务报告、并购活动、NDA或产品发布的大量信息。如果如威胁行为者所声称的那样窃取了文件,这可能是近段时间以来最严重的公司数据泄露事件之一。由于Nitro通常被企业用来数字签名敏感的财务,法律和营销文档,因此它可能导致信息泄漏,从而严重影响公司的业务。目前无法确认文件是否在此攻击中泄露。
对于那些担心自己的Nitro帐户属于此违规行为的人,Cyble已将数据添加到了他们的AmIBreached.com服务中。用户可以使用该服务提交其电子邮件地址,并检查该地址是否已在被盗数据库中披露。
参考来源:SecurityAffairs http://dwz.date/cZFu
(十六)律师事务所Fragomen泄露Google员工个人信息
美国知名移民法律师事务所之一Fragomen近日披露了一起数据泄露事件,未经授权的第三方获得了一个包含与I-9就业验证服务相关的个人信息的文件,泄露了Google现员工及前员工的个人信息。该公司于2020年9月24日发现了这次入侵,并聘请了一家数字取证调查公司协助调查。
I-9表格由所有美国雇员填写,以核实他们的身份和在美国就业的就业授权。该张表格包含员工的信息,包括姓名、出生日期、电话号码、社会保险号、护照号码、邮寄地址和电子邮件地址。暴露的数据可能会被不法分子滥用,进行多种恶意活动,包括身份盗窃。用户应保持警惕,并向当局报告任何可疑活动。
事务所也表示已经对此采取回应措施,包括强化IT基础设施的安全及侦检测,除了通知受影响的Google员工外,也提供为期一年的免费信用监控服务。
Fragomen并未透露除了姓名之外,还有哪些数据遭到盗取,也未说明受影响人数。不过根据加州法律,企业数据泄露如果影响超过500名的加州居民,就必须向当州法务局通报。Google及Fragomen事务所均未回应外界质询。
参考来源:SecurityAffairs http://dwz.date/cZMY
(十七)瑞典政府及银行遭受安全数据泄露
据瑞典当地媒体报道,黑客从安全公司Gunnebo窃取了共计19G的信息和约3.8万个文件,泄露了瑞典议会安全安排细节、瑞典税务局在斯德哥尔摩郊区新办公室的机密计划、两家德国银行金库计划、瑞典SEB银行分行的警报系统和监控摄像头等信息。
Gunnebo席执行官Stefan Syren表示,“数据被盗是很不幸的。我们正在审查材料,如果有敏感信息,我们会联系客户。”
Gunnebo总部设在瑞典,是一家跨国公司,其国际客户包括核电站、医院和机场。这起黑客攻击事件于8月份报告给瑞典安全局。
Syren在声明中表示,“我们只能推测攻击的目标是什么,但由于我们不能排除这是企图从事工业间谍活动的可能性,因此必须遵守规定,因此我们决定通知Sapo。”该公司还表示,其已经得出结论,认为这次攻击是“有组织的”,但没有透露有关哪些数据遭到破坏的细节。
据《Dagens Nyheter》报纸报道,最近基于敲诈勒索的黑客攻击了许多公司,犯罪分子窃取敏感信息,然后要求赎金,以避免数据在网上泄露。在私营医疗保健公司Vastaamo的数千名心理治疗患者的私人记录被盗后,邻国芬兰目前正在应对一场史无前例的黑客攻击。这些记录最初是用来试图勒索该公司的,但随后要求赎金的电子邮件在周末被直接发送给了患者。
参考来源:SecurityWeek http://dwz.date/cZQX
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,关键信息基础设施,安全周报
相关资讯
