关键信息基础设施安全动态周报【2020年第44期】
发布时间:
2020-11-06
来源:
作者:
访问量:
109
目 录
国外关键信息基础设施安全动态
(一)日本核管理局遭受网络攻击后关闭了电子邮件系统
(二)Qbot僵尸网络利用美国大选传播网络钓鱼电子邮件攻击受害者
(三)勒索软件Maze宣布关闭
(四)新型勒索软件RegretLocker针对Windows虚拟机
(五)威胁组织UNC1945使用Solaris零日漏洞攻击公司网络
(六)勒索软件REvil通过拍卖获得信息窃取程序Kpot源代码
(七)黑客可利用Hörmann网关设备中漏洞远程控制车库门
(八)Oracle发布WebLogic服务器关键漏洞带外更新
(九)仍有超过10万台设备易受SMBGhost攻击
(十)访问恶意网站可能使本地网络服务遭受远程攻击
(十一)黑客正利用未修补的VoIP漏洞来破坏企业帐户
(十二)日本游戏运营商Capcom遭受Ragnar Locker勒索软件攻击
(十三)意大利饮料供应商Campari遭受RagnarLocker勒索软件攻击
(十四)玩具制造商Mattel遭受勒索软件攻击
(十五)瑞典保险公司Folksam泄露了100万客户的敏感数据
(十六)OT管理和工业网络安全公司PAS Global将被Hexagon AB收购
第一章 国外关键信息基础设施安全动态
(一)日本核管理局遭受网络攻击后关闭了电子邮件系统
日本核管理局(NRA)近日在其网站上发布警告,称其遭受了网络攻击,并暂停了电子邮件系统。因NRA无法接收来自外界的电子邮件,故要求人们通过电话或传真与之联系。
NRA在其网站上发布的警告显示,“从10月27日17:00起,与核管理局的电子邮件发送和接收暂时停止。因此,我们无法接受申请核管理局和审查会议的电子邮件注册申请。如果您想听,请通过电话或传真注册。”该组织已经对事件展开调查。据媒体称,该事件对日本核电站的运行没有影响。
美国政府警告说,一个与朝鲜有关联的APT组织已经将目标锁定在美国、韩国和日本,收集有关核政策和制裁的情报。日本媒体报道说,一个不知名的外部组织设法未经授权进入核管理局的网络。据NHK网站报道,26日副国务卿Okada在记者会上表示,有未经授权进入核监管机构网络系统的行为,似乎是来自外部的攻击,信息外泄的事实目前还没有得到证实。该机构还没有就这一事件发表任何官方声明。
副国务卿Katsuya Okada也解释说,即使在安全遭到破坏的情况下,威胁行为者也无法获得与该国核电站实施的安全措施相关的信息,因为这些信息存储在一个单独的气隙网络中。Okada表示,“目前,包括敏感信息在内的信息外泄事实尚未得到证实。有关核安全的信息由一个不与外界相连的独立系统管理。这意味着没有信息泄露。我们收到报告说,核管理委员会正在继续与内阁网络安全中心等合作进行调查,并表示打算着手分析原因,彻底防止再次发生。”
参考来源:SecurityAffairs http://dwz.date/decw
(二)Qbot僵尸网络利用美国大选传播网络钓鱼电子邮件攻击受害者
Qbot僵尸网络现在正在快速传播以美国大选为主题的网络钓鱼电子邮件,这些电子邮件利用恶意有效载荷感染受害者,这些有效载荷旨在收集用户数据和电子邮件,供将来的竞选活动使用。
Qbot又名Qakbot、Pinkslipbot和Quakbot,是一种银行特洛伊木马,具有蠕虫功能,自2009年以来一直在积极使用,用于窃取金融数据和银行凭证,以及记录用户击键、部署后门和删除其他恶意软件。
Malwarebytes Labs威胁情报团队最近发现,恶意垃圾邮件被伪装成以前被盗的电子邮件线程中的回复,这是一种在目标眼前增加合法性的策略。每个网络钓鱼邮件均带有恶意Excel电子表格附件,这些附件伪装成安全的DocuSign文件,据称其中包含与选举干扰有关的信息。采用这种新模板的目的在于滥用公众对2020年美国大选结果的担忧,并使威胁者更容易诱使潜在受害者打开诱饵文件,并启用用于传播恶意软件有效载荷的宏。Qbot恶意软件执行并感染受害者的计算机后,它将联系其命令和控制中心,以请求进一步指示。
Malwarebytes的JérômeSegura和Hossein Jazi解释表示,“除了从受害者那里窃取和泄露数据外,QBot还将开始抓取电子邮件,这些电子邮件将在以后的下一次恶意垃圾邮件活动中使用。”
除了网络钓鱼活动之外,攻击者还经常使用攻击工具包传播Qbot负载,该机器人随后使用网络共享攻击和针对Active Directory管理员帐户的高度侵略性暴力攻击来感染受害者网络上的其他设备。
尽管活跃了十多年,但Qbot银行木马仍被广泛用于针对具有较高投资回报率的公司实体的针对性攻击。作为证据,随着时间的流逝,Qbot的活动非常罕见,研究人员在2014年10月发现了一个,在2016年4月发现了一个,在2017年5月发现了另一个。
去年Qbot也开始复苏,被Emotet组织作为第一阶段或第二阶段的恶意软件有效载荷,以及2019年3月使用劫持电子邮件线程进行的上下文感知网络钓鱼活动的一部分。在2020年期间,Qbot被用来从美国数十家金融机构的客户那里收集凭证,并在Qbot鱼叉式网络钓鱼活动之后提供ProLock勒索软件。
在Malwarebytes报告的末尾可以找到完整的IOC列表,包括此Qbot活动中使用的MITER ATT&CK技术矩阵和恶意软件样本哈希值。
参考来源:BleepingComputer http://dwz.date/ddXP
(三)勒索软件Maze宣布关闭
臭名昭著的勒索软件Maze组织11月2日宣布,他们已正式关闭该勒索软件业务,并将不再在其网站上泄漏新公司的数据。自9月中旬以来,Maze就停止了对新受害者的加密,清理了他们的数据泄漏站点,并勒索了最终受害者。
11月2日,迷宫发布了一篇题为“项目已关闭”的新闻稿,声明该勒索软件已关闭,而使用该名称的任何其他勒索软件操作都是骗局。在该新闻稿中写道,“Maze团队项目宣布已正式关闭。所有与项目相关的链接、使用我们的品牌、我们的工作方法均应视为骗局。我们从来没有合作伙伴或官方继任者。我们的专家不使用任何其他软件。没有人,也永远不会在我们的新闻网站上接待新的合作伙伴。Maze cartel 从不存在,现在也不存在。它只能在撰写此文的记者的脑海中找到。”
Maze在此公告中指出,受害者可以与他们联系以从其数据泄漏站点中删除私人信息,但是据Coveware称,他们仍然需要付款才能这样做。
Coveware首席执行官Bill Siegel表示,“也许Maze是故意含糊的,或者也许是在翻译中遗失了,但是有关删除未支付受害者的数据的'新闻稿'声明,并不是要免费删除这些数据。这是一份回到谈判桌上进行最后一轮谈判的邀请。我们不建议任何遭受Maze攻击的公司根据Maze所述与他们联系。我们不相信Maze或其他勒索软件组织会完全删除从受害者那里窃取的数据,即使他们选择付费,虽然Coveware并不建议他们这样做。”
勒索软件Maze在2019年11月引起了轰动,当时他们偷走了未加密的文件,然后在受害者没有付款的情况下公开发布了它们。不久之后,其他勒索软件操作开始复制这种双重勒索策略,该策略现在已成为几乎所有勒索软件操作的常态。Maze以攻击著名的大型组织而闻名,例如Southwire,彭萨科拉市, 佳能, LG电子和 Xerox。
据知情人士称,一些Maze的附属分支已经转移到一个名为Egregor的新勒索软件业务中,该公司最近攻击了Crytek,Ubisoft,Barnes和Noble。Egregor、Maze和另一个勒索软件Sekhmet被认为是由同一个软件创建的。
参考来源:BleepingComputer http://dwz.date/ddUS
(四)新型勒索软件RegretLocker针对Windows虚拟机
新型勒索软件RegretLocker于10月份被发现,表面上看RegretLocker是一个简单的勒索软件,不包含勒索信件,并且使用电子邮件进行通信,而不是使用Tor付款站点。然而该勒索软件使用了多种高级功能,可以使它加密虚拟硬盘驱动器并关闭打开的文件进行加密。
加密文件时,该勒索软件会将无害的.mouse扩展名附加到加密的文件名中。然而在平凡的外表下,该勒索软件隐藏着通常看不到的高级功能。
创建Windows Hyper-V虚拟机时,将创建虚拟硬盘并将其存储在VHD或VHDX文件中。这些虚拟硬盘文件包含一个原始磁盘映像,包括驱动器的分区表和分区,并且像常规磁盘驱动器一样,大小范围可以从几GB到TB。当勒索软件在计算机上加密文件时,加密大型文件效率不高,因为它会降低整个加密过程的速度。
在MalwareHunterTeam发现并由英特尔高级分析人员Vitali Kremez分析的勒索软件示例中,RegretLocker使用了一种有趣的技术来挂载虚拟磁盘文件,因此可以单独加密每个文件。为此,RegretLocker使用Windows虚拟存储API OpenVirtualDisk、AttachVirtualDisk和GetVirtualDiskPhysicalPath函数来安装虚拟磁盘。
如勒索软件中的调试消息所示,它专门搜索VHD并在检测到它们时挂载它们。parse_files() | Found virtual drive: %ws in path: %s。一旦将虚拟驱动器作为物理磁盘安装在Windows中,勒索软件就可以分别加密每个加密驱动器,从而提高了加密速度。
据信RegretLocker用来安装VHD的代码取自安全研究人员odory__vx最近发表的一项研究。除了使用Virtual Storage API,RegretLocker还利用Windows Restart Manager API终止在加密过程中保持文件打开状态的进程或Windows服务。使用此API时,如果进程名称包含“vnc”,“ssh”,“mstsc”,“System”或“svchost.exe”,勒索软件将不会终止它。此例外列表可能用于阻止关键程序或威胁参与者用来访问受感染系统的程序的终止。
Windows Restart Manager功能仅由少数勒索软件使用,例如REvil(Sodinokibi)、Ryuk、 Conti, 、ThunderX / Ako,、 Medusa Locker、SamSam和 LockerGoga。目前,RegretLocker并不十分活跃,但这是一个需要密切关注的新勒索软件家族。
参考来源:BleepingComputer http://dwz.date/ddWK
(五)威胁组织UNC1945使用Solaris零日漏洞攻击公司网络
网络安全公司FireEye调查部门Mandiant 11月2日发布报告称,其追踪到一个新威胁组织UNC1945,该组织利用Oracle Solaris操作系统中的零日漏洞入侵公司网络,UNC1945的常规攻击目标包括电信、金融和咨询公司 。
UNC1945针对Oracle Solaris操作系统,利用针对Windows和Linux操作系统的多种工具和实用程序,加载和运行自定义虚拟机,并采用了逃避检测的技术。UNC1945展示了对多种操作系统的攻击,工具和恶意软件的访问权限,对覆盖或操纵其活动的严格兴趣,并在交互操作过程中展示了高级技术能力。
尽管UNC1945活动的历史可以追溯到2018年,但Mandiant表示,今年早些时候,威胁参与者利用了Oracle Solaris操作系统中一个前所未见的漏洞,引起了他们的注意。该零日漏洞为 CVE-2020-14871,是Solaris可插拔身份验证模块(PAM)中的一个漏洞,该漏洞使UNC1945可以绕过身份验证过程,并在暴露于互联网上的Solaris服务器上安装名为SLAPSTICK的后门。黑客随后使用此后门作为切入点,在公司网络内部启动侦察操作,并横向迁移到其他系统。
为了避免被发现,该组织下载并安装了 运行版本为Tiny Core Linux OS的 QEMU虚拟机。此定制的Linux VM预先安装了一些黑客工具,例如网络扫描程序、密码转储程序、漏洞利用和侦察工具包,使UNC1945可以扫描公司的内部网络中的漏洞,并横向移动到多个系统,无论它们是否运行Windows或基于NIX的系统。
Mandiant表示,他们观察到该组织使用了各种开源渗透测试和安全工具,还使用了定制的恶意软件。这些开源工具包包括Mimikatz、Powersploit、Responder、Procdump、CrackMapExec、PoshC2、Medusa、JBoss Vulnerability Scanner之类的东西,这些在网络安全行业都很有名。
但是UNC1945还显示了创建和操作自定义恶意软件的能力,Mandiant将UNC1945攻击与这些恶意软件类型联系起来,例如:EVILSUN、LEMONSTICK、LOGBLEACH、OKSOLO 、OPENSHACKLE、ProxyChains、PUPYRAT、STEELCORGI、SLAPSTICK、TINYSHELL 等。
Mandiant表示他们相信UNC1945是从一个公共黑客论坛上购买了EVILSUN,该工具使他们可以利用Solaris的零日漏洞并植入SLAPSTICK后门。Mandiant表示他们在2020年4月的一个黑市网站上发现了一则广告,该广告以3,000美元的价格宣传``Oracle Solaris SSHD远程根漏洞利用''。
在调查期间发现了利用痕迹之后,Mandiant在今年早些时候向Oracle报告了Solaris的零日漏洞。零日漏洞CVE-2020-14871已于上个月在Oracle 2020年10月的安全补丁中进行了补丁。
Mandiant表示虽然UNC1945活跃了好几年,但使用Solaris零日漏洞还是第一次。但这并不意味着该零日漏洞没有针对其他公司网络进行攻击。Mandiant没有观察到数据泄露的证据,并且也无法确定UNC1945在他们调查的大多数入侵中的任务。
在一次UNC1945入侵中,勒索软件被部署为最终有效载荷,但是Mandiant无法将勒索软件攻击直接与UNC1945相关联,并且“很可能将对受害者环境的访问权出售给了另一个组织”。
参考来源:ZDNet http://dwz.date/ddxJ
(六)勒索软件REvil通过拍卖获得信息窃取程序Kpot源代码
威胁情报提供商Cyjax近日报道,信息窃取程序KPot的源代码正在公开拍卖,REvil勒索软件运营商是唯一的竞标者。
KPot最初于2018年被发现,并作为恶意软件即服务(MaaS)提供,旨在窃取帐户信息以及来自浏览器的其他类型的数据(例如cookie和自动填充表单)、消息传递和电子邮件应用程序,以及其他软件,包括VPN、RDP和FTP工具,加密货币应用和游戏软件。该恶意软件使用C / C ++编写,依靠HTTP进行命令和控制(C&C)通信,并包括对各种命令的支持,从受害机器中窃取所需的信息和文件,自行删除或截图。
KPot开发人员几周前宣布,他们正在拍卖该恶意软件的源代码,起价为6,500美元。他们还提供了10,000美元的预付款源代码。
Cyjax透露,REvil(Sodinokibi)勒索软件组织的一名代表是拍卖中的唯一竞标者,拍卖会在该组织出价后不久就结束了。Cyjax表示,“虽然这些销售的封闭性使得不可能明确地表明REvil现在是KPot窃取程序的所有者,但这似乎很有可能。他们是该产品的唯一公开竞标者,几乎可以肯定的是,他们的出价会超过其他感兴趣的参与者。”
REvil于2019年初首次发现,并作为勒索软件即服务(RaaS)提供,据信REvil是由2019年6月关闭的GandCrab勒索软件背后的组织操纵的。在最近的一次采访中,REvil组织表示,他们从勒索软件业务中获得的年收入超过1亿美元。GandCrab组织声称自己赚了超过20亿美元。
Cyjax还表示,“如果REvil购买了KPot程序的源代码,则可能会将其合并到将来的勒索软件攻击中。”考虑到已经观察到许多勒索软件组织会窃取受害者数据,试图通过威胁公开信息来说服他们支付赎金,因此这一举动并不令人惊讶。
参考来源:SecurityWeek http://dwz.date/dd4N
(七)黑客可利用Hörmann网关设备中漏洞远程控制车库门
SEC Consult安全研究人员10月28日发布警告称,黑客可以利用霍曼(Hörmann)网关设备中的漏洞来远程打开车库门。
Hörmann是一家总部位于德国的公司,专门从事家庭和工业用门。该公司的产品销往北美、欧洲和亚洲的50多个国家,是世界第四大门制造商。想要通过智能手机控制车库门、入口门和其他智能系统的客户可以使用BiSecur网关设备,这是一种无线访问控制系统,其中包括霍曼钥匙扣,并带有Wi-Fi和以太网接口。
奥地利网络安全公司SEC Consult的研究人员发现网关设备中共有15个漏洞,其中包括与加密、通信保护不佳以及关联的移动应用程序有关的问题。这些漏洞可用于需要访问本地网络的攻击和可以从互联网远程发起的攻击。基于其研究,SEC Consult为BiSecur设备创建了一个基于Python的开源通信库。
在SEC Consult描述的一种攻击情形中,能够连接到本地网络的攻击者可以通过执行一个小的脚本来打开连接到Hörmann网关的门。该攻击不需要身份验证,可以通过手机进行。另一种情况涉及本地网络上的攻击者使开门硬件无响应。为了恢复系统,需要手动重置设备,但是设备通常在门的后面,在遭受攻击的情况下,受害者无法打开设备。
至于可以通过互联网远程发起的攻击,SEC Consult发现的漏洞仅允许未经身份验证的黑客模仿设备并将虚假的状态信息发送给所有者。例如,他们可以通过应用程序通知受害者他们的车库门正在打开或打开,而实际上没有打开。
远程攻击者还可以通过互联网模拟设备,并导致Hörmann的服务器将受害者的设备用户名和密码发送给攻击者而不是开门器。这些远程攻击要求攻击者从任何霍曼开门器硬件中提取客户端证书和私钥,然后使用提取的密钥连接到供应商的服务器。然后,攻击者可以运行脚本以将其设备的身份切换到目标用户的设备,这是由于Hörmann无法确保证书与设备匹配而导致的。
SEC Consult表示,由于法律原因,尚未检查有多少潜在易受攻击的系统暴露于互联网,这样做需要访问供应商的服务器,但是易受攻击的产品已经投放市场多年,并且广受欢迎。SEC Consult表示, Hoermann在收到通知后已采取措施解决漏洞。
这并不是研究人员第一次在Hoermann BiSecur设备中发现漏洞。早在2017年,专家就展示了黑客如何能够克隆合法的发射器来控制门的行为。
对此,Hörmann提供了以下声明:
SEC Consult向Hörmann通报了BiSecur网关带来的潜在安全风险,并立即做出了回应。在官方BiSecur门户网站上注册的选项立即被禁用,BiSecur网关的生产暂时暂停。产品开发人员将这些漏洞放在首位,并很快修复了所有相关的安全风险。
一方面,用于注册BiSecur网关的测试代码的算法已更改。现在,测试代码更长,更神秘,并且分配了随机值。在这些安全风险暴露之前,已通过门户网站注册网关的所有客户都已收到通知,要求提供新的测试代码。通过适当考虑必要的安全要求,通过邮件向这些用户发送了新的测试代码。另一方面,BiSecur应用程序中已更新了分配密码的方法。最后一分钟更新后,现在需要一个10个字符的密码,包括大小写字母,数字和特殊字符。
BiSecur网关软件也已更新。现在,它对两个控制器都有读出保护。霍曼一直致力于优化其所有产品的质量和安全性。SEC Consult发现潜在的漏洞证明对改善整个BiSecur系统有帮助。
参考来源:SecurityWeek http://dwz.date/ddtw
(八)Oracle发布WebLogic服务器关键漏洞带外更新
Oracle针对影响WebLogic Server的关键远程代码执行漏洞发布了带外安全警报。该漏洞编号为CVE-2020-14750,CVSS评分为9.8,与CVE-2020-14882有关,该漏洞是在2020年10月的关键补丁更新(CPU)中解决的一个WebLogic服务器漏洞,被认为非常容易利用。
事实上,上周就有人观察到针对CVE-2020-14882的攻击,就在一名越南研究人员发表概念验证代码之后不久。
此安全警报解决了CVE-2020-14750,这是Oracle WebLogic Server中的一个远程代码执行漏洞。它可以在没有身份验证的情况下被远程利用,可以在不需要用户名和密码的情况下通过网络进行攻击。影响受支持的WebLogic服务器版本10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0,攻击者可以利用该漏洞访问网络。
MITRE公司发布的一份公告称,成功利用该漏洞可能导致甲骨文WebLogic被接管。
捷克漏洞情报公司Cybersecurity Help表示,“该漏洞是由于输入验证不正确而存在,远程攻击者可以发送精心编制的请求并在目标系统上执行任意代码。成功利用此漏洞可能会完全破坏易受攻击的系统。”
在警告中Oracle赞扬了报告该漏洞的20名研究人员/组织。该公司建议客户在安装2020年10月的CPU后尽快应用可用的补丁程序。该公司没有透露有关该漏洞的更多细节,但警告称,针对该漏洞的攻击代码已经在网上可用。
Oracle指出:“鉴于此漏洞的严重性以及各种站点上发布的利用漏洞代码,Oracle强烈建议客户尽快应用此安全警报提供的更新。”美国网络安全和基础设施安全局(CISA)也发布了警报,敦促管理员应用必要的更新。
参考来源:SecurityWeek http://dwz.date/dedZ
(九)仍有超过10万台设备易受SMBGhost攻击
一项最新研究显示,在推出补丁半年多后,仍有超过10万台电脑受到名为SMBGhost的Windows漏洞的影响。
该漏洞编号为CVE-2020-0796,CVSS得分为10,该严重漏洞已于2020年3月通过带外更新解决。几周后,关于它如何被滥用来提升权限和造成拒绝服务条件的信息公之于众。
几个月后,通过SMBGhost进行远程代码执行(RCE)的概念验证(PoC)代码在互联网上发布,不久之后就发现了利用该漏洞的攻击。然而,尽管如此,修补工作似乎已经放慢了脚步。
据ALEFs计算机安全事件响应小组(CSIRT)和SANS-ISC撰稿人Jan Kopriva称,尽管该漏洞在首次披露时受到了关注,并且POC可以公开利用它,但Shodan搜索显示仍有超过10万个系统存在漏洞。Shodan可以用来发现受特定漏洞影响的系统,尽管搜索引擎确定机器是否易受SMBGhost攻击的确切方式尚不清楚。
但是,如果它的检测机制是准确的,那么似乎还有超过103000台受影响的机器可以从互联网上访问。这意味着一台易受攻击的机器隐藏在大约8%的IP后面,这些IP都有445端口。
过去8个月从Shodan收集的数据显示,尽管几个月前修补工作似乎有所加强,但受影响的设备数量仍然很高,与半年前相比几乎持平。
研究人员还发现,台湾似乎是受影响最严重的国家,其次是日本、俄罗斯、美国、印度和巴西。Kopriva还指出,如果Shodan是一个准确的工具,那么大量易受攻击的机器就会受到关注,因为SMBGhost是“可蠕虫化的”并且允许代码执行。
参考来源:SecurityWeek http://dwz.date/dedb
(十)访问恶意网站可能使本地网络服务遭受远程攻击
安全研究人员Samy Kamkar近日发现一种新型攻击方法,可以绕过网络地址转换(NAT)和防火墙,从而使攻击者可以远程访问受害人内部网络上的TCP / UDP服务,该攻击方法名为NAT Slipstreaming。
该攻击方法名为NAT Slipstreaming,当受害者使用浏览器和应用程序级别网关(ALG)访问特制网站时,可以触发该攻击。ALG是防火墙、NAT和路由器中存在的连接跟踪机制。
据研究人员称,攻击链“通过定时攻击或WebRTC进行内部IP提取、自动远程MTU和IP碎片发现、TCP数据包大小消息传递,TURN身份验证滥用、精确的数据包边界控制以及由于浏览器滥用而引起的协议混乱”。
利用目标端口由NAT或防火墙打开的事实,攻击可以绕过现有的基于浏览器的端口限制。所有主要的现代浏览器都容易受到攻击,这是Samy Kamkar十年前提出的NAT Pinning技术的新变种。
该攻击基于NAT /防火墙中ALG支持的存在,对FTP、IRC DCC、SIP和H323(VoIP)等多端口协议的强制性功能。NAT通过创建一个本地网络(其中每个系统都有一个本地IP地址),使多台计算机可以使用一个公用IP地址连接到互联网。当计算机尝试连接到互联网时,传出的数据包将被重写为使用公共IP地址,这可确保响应返回到NAT。NAT还通过重写源端口来区分内部主机尝试建立的至相同地址/端口的连接。通过ALG,NAT可以跟踪多端口协议,确保将正确的数据传递到请求它的计算机。
安全研究人员发现,有可能“绕过受害人NAT,直接连接回受害人计算机上的任何端口,从而暴露以前受保护/隐藏的服务。”Kamkar表示,这种攻击始于受害者访问恶意网站或被投放了恶意广告,然后继续(通过HTTPS上的WebRTC或通过执行基于Web的TCP定时攻击)提取受害者的内部IP地址并将其发送给服务器。
接下来,将大型TCP/UDP信标发送到溢出数据包大小并导致数据包分段,并生成包含内部IP的“SIP数据包”,从而触发APG连接跟踪。“SIP数据包”以其自己的TCP数据包结束,没有附带的HTTP标头,并且打开了在数据包中定义的TCP / UDP端口。
此时,ALG端口被转发到攻击者定义的端口,因为它被诱骗考虑了受害机器打开的端口。研究人员表示,“攻击者现在可以绕过受害者的NAT,直接连接回受害者计算机上的任何端口,从而暴露以前受保护/隐藏的服务。一旦客户端获得了数据包大小和内部IP地址,它就会构建一个特制的Web表单,该表单将POST数据填充起来,直到我们认为该数据包将变得碎片化为止,这时将附加包含内部IP地址的SIP REGISTER。该表格是通过Javascript提交的,未经受害者同意。”
攻击者可以在服务器上检查重写的数据包,如果公共IP地址不在其中,则自动告诉客户端SIP数据包与预期的不一样。一旦数据包在预期的边界内,就会欺骗NAT,使SIP注册是合法的,并且来自受害者计算机上的SIP客户端。
来自服务器的SIP响应隐藏在HTTP响应中,以确保它不会触发浏览器保护,欺骗NAT来打开受害者发送的原始数据包中的端口,并欺骗路由器将攻击者定义的端口转发回去。给内部受害者。“所有这些都从简单地浏览到网站而已。攻击完成。攻击者现在可以连接到在受害者上运行的任意TCP/UDP服务。”
参考来源:SecurityWeek http://dwz.date/ddAy
(十一)黑客正利用未修补的VoIP漏洞来破坏企业帐户
在过去的一年里,一场黑客活动侵入了全球1000多家公司的VoIP(互联网协议语音)电话系统,这场活动旨在通过出售被泄露的账户来获利,攻击者正在将访问权卖给出价最高的人。
虽然该活动主要目的是拨打攻击者拥有的溢价号码,或者出售其他人可以免费使用的电话号码和通话套餐,但进入VoIP系统可能会让网络犯罪分子有能力进行其他攻击,包括监听私人电话、加密,甚至利用被攻破的系统作为跳板,开展更具侵入性的行动。
根据Check Point的网络安全研究人员的详细描述,一个黑客组织利用该漏洞侵入了20多个国家近1200个组织的VoIP网络,其中一半以上的受害者在英国。政府、军事、保险、金融和制造业等行业据信已成为这场运动的受害者。其他成为这些攻击受害者的国家包括荷兰、比利时、美国、哥伦比亚和德国。
攻击利用了CVE-2019-19006漏洞,这是Sangoma和Asterisk VoIP电话系统中的一个严重漏洞,允许外人在没有任何形式的身份验证的情况下远程访问。去年发布了修复漏洞的安全补丁,但许多组织尚未应用该补丁-网络犯罪分子正在利用这一点扫描未打补丁的系统。
被黑客利用的系统最常见的手段之一是在VoIP系统不知情的情况下拨打呼出电话,这将允许攻击者秘密拨打他们设置的溢价号码,以牺牲受损组织的利益为代价来赚钱。由于企业在这些系统上打出了如此多的合法电话,因此很难检测到服务器是否受到攻击。攻击者还通过向出价最高者出售对系统的访问权来赚钱,这可能会被用于对受害者更危险的其他网络攻击。
建议组织机构更改设备上的默认用户名和密码,以防它们被轻易利用,并在可能的情况下,定期分析潜在可疑目的地、流量或通话模式的通话计费。
最重要的是,组织应该应用所需的安全补丁来防止已知漏洞被利用。
参考来源:ZDNet http://dwz.date/dehN
(十二)日本游戏运营商Capcom遭受Ragnar Locker勒索软件攻击
据报道,日本视频游戏巨头Capcom遭受了勒索软件攻击,影响了对包括电子邮件和文件服务器在内的某些系统的访问,并加密了1TB的敏感数据。
Capcom是日本视频游戏开发商和发行商,已经开发了一系列销售数百万美元的游戏特许经营权,包括《生化危机》、《街头霸王》和《黑暗追踪者》。该公司在11月2日上午首次检测到网络攻击。该公司证实,黑客攻击是由第三方未经授权进行的访问造成的,并在当天晚些时候暂停了其内部网络的一些运营。
该公司11月4日在其网站上发布公告称:“Capcom对此可能给各利益相关方带来的不便深表歉意。”此外,该公司表示,目前没有迹象表明有任何客户信息被泄露。这起事件并未影响在线玩该公司游戏或访问其各种网站的连接。
目前,该公司正在与执法部门协商,并采取措施恢复其系统。目前还没有关于袭击是如何开始的进一步细节。
据称,勒索软件Ragnar Locker被用于此次网络攻击。Ragnar Locker勒索软件是一种通过虚拟机分发勒索软件有效负载的新型病毒。Ragnar Locker勒索软件背后的攻击者尤其以在加密网络之前窃取数据而闻名,就像4月份对葡萄牙能源公司(EDP)北美网络的攻击一样。此次事件网络攻击者声称窃取了10TB的公司敏感数据,并要求支付1580比特币(约合1100万美元)。
研究人员读取了攻击期间Capcom电脑上的赎金留言。报告称,勒索软件组织下载了超过1TB的公司数据,包括银行对账单和财务文件、知识产权、公司协议和合同、保密协议和私人公司通信,如电子邮件、营销演示文稿、审计报告。这张赎金还包含一个指向勒索软件网站上私人数据泄露页面的链接,以及一个指向Ragnar Locker Tor谈判网站的链接。
Digital Shadows的网络威胁情报分析师杰米·哈特(Jamie Hart)表示,这次袭击并不是第一次观察到威胁分子针对视频游戏开发组织。例如,Egregor勒索软件的运营商在10月份针对游戏开发商Ubisoft和Crytek。此外,Sodinokibi(Revil)勒索软件的运营商扬言在未来对一家非常大型的视频游戏开发商发动攻击。
到目前为止,勒索软件攻击总体上在2020年新冠疫情大流行期间激增。在美国大选期间,网络罪犯的目标从医院到当地县无所不包。
参考来源:ThreatPost http://dwz.date/defh
(十三)意大利饮料供应商Campari遭受RagnarLocker勒索软件攻击
据网名为Pancak的恶意软件研究人员称,意大利知名饮料供应商Campari Group在11月1日遭受了勒索软件RagnarLocker攻击,致其关闭了大部分IT网络。Campari Group是著名的意大利饮料供应商,旗下拥有Campari、Cinzano和Appleton等品牌。
RagnarLocker组织现在正试图勒索Campari支付赎金,以解密其文件。RagnarLocker还威胁称,如果Campari公司在最初入侵后一周内不支付赎金,他们将公布从Campari网络窃取的文件。Campari内部网络和公司文件的截图被发布在一个暗网上一个RagnarLocker运营的“泄密网站”上,以此作为入侵的证据。这些证据中甚至包括Campari与美国演员Matthew McConaughey 签署的Wild Turkey品牌合同的复印件。
在RagnarLocker与受害者的文本聊天窗口中,Campari的一名代表尚未回复该勒索软件组织,赎金要求目前设定为1500万美元。
相反,根据11月3日发布的一份简短的新闻稿,Campari似乎选择了恢复其加密系统,而不是支付赎金要求。Campari在新闻稿中表示,该公司正在努力“在安全条件下逐步重启”。在同一份新闻稿中,Campari还表示,它在入侵发生后立即检测到入侵,并立即采取行动隔离受影响的系统,预计这一事件不会对其财务业绩产生任何重大影响。
然而至今(11月5日)Campari的网站、电子邮件服务器和电话线仍处于瘫痪状态,距离攻击已经过去了五天。由于公司目前的状况,记者也无法联系到Campari的代表。
参考来源:ZDNet http://dwz.date/dej4
(十四)玩具制造商Mattel遭受勒索软件攻击
玩具制造商美泰(Mattel)近日披露,其在 2020年7月28日遭受了勒索软件攻击,影响了其某些业务功能,但并未导致数据盗窃。
美泰是全球第二大玩具制造商,拥有24,000名员工,2019年的收入为57亿美元。美泰以其受欢迎的品牌而闻名,包括芭比娃娃、风火轮、费雪、美国女孩和托马斯和朋友。
美泰在向美国证券交易委员会(SEC)提交的10-Q表格中披露,它在2020年7月28日遭受了勒索软件攻击。“2020年7月28日,美泰发现其信息技术系统遭到勒索软件攻击,导致多个系统的数据被加密。在检测到该攻击后,美泰立即开始制定其响应协议,并采取措施采取了一系列措施来制止攻击并恢复受影响的系统。美泰相信这种攻击已得到遏制,尽管某些业务功能受到暂时影响,但美泰能够恢复其关键运营。”
经过调查,美泰公司认为在勒索软件攻击期间没有任何数据被盗。Mattel在文件中进一步指出,“对事件的取证调查已经结束,并且没有发现任何敏感的商业数据或零售客户、供应商、消费者或雇员数据的泄露。”
该文件并未表明是由勒索软件造成的这次攻击,但一位知情人士透露,美泰公司在7月遭受的是TrickBot攻击。众所周知,TrickBot感染会导致网络范围的入侵,最终Ryuk或Conti勒索软件参与者随后对渗透网络上的设备进行加密。
参考来源:BleepingComputer http://dwz.date/dd7w
(十五)瑞典保险公司Folksam泄露了100万客户的敏感数据
瑞典保险公司Folksam 11月3日披露,在一次内部审核中,其发现与数字合作伙伴共享了大约100万人的个人敏感数据。Folksam已停止了数据共享,要求合作伙伴公司删除数据,并已向相关部门报告该事件。
Folksam营销和销售主管JensWikström表示,“我们知道这会引起客户的关注,我们认真对待发生的事情。我们立即停止共享此个人信息,并要求将其删除。我们这样做的目的是分析并为客户提供定制的报价,但是不幸的是,我们没有以正确的方式做到这一点。”
Folksam分享了敏感的个人数据,例如,购买的保险类型以及个人身份号码。Folksam已要求已收到此个人信息的合作伙伴将其删除。当前,没有信息表明该信息已被第三方以任何不当方式使用。
从Folksam接收个人数据的公司包括Facebook、Google、Microsoft、Linkedin和Adobe。其目的之一是分析登录客户和其他访问者在folksam.se上搜索的信息。此后,这些分析已用于在Folksam和其他人的沟通渠道中提供定制的报价。
Folksam还表示此事件不应该发生,其正在努力确保不会再次发生类似的数据泄漏事件。
参考来源:Folksam http://dwz.date/dd9d
(十六)OT管理和工业网络安全公司PAS Global将被Hexagon AB收购
PAS Global 是一家深深扎根于工业企业过程安全和资产可靠性软件解决方案的技术公司,该公司11月4日宣布,已同意由总部位于瑞典的传感器、软件和自主解决方案提供商Hexagon AB收购。收购条款尚未披露。
PAS提供ICS网络安全、自动化资产管理、IPL保证、警报管理、高性能HMI、边界管理和控制环性能优化等产品,帮助客户遵守NERC CIP、NIST和IEC 62443等法规标准。
该公司由现任首席执行官的埃迪·哈比比(Eddie Habibi)创立,该公司以前称为Plant Automation Services,Inc.(“PAS”)。该公司于2017年重组为PAS Global,当时该公司从Tinicum获得了4000万美元的投资,这是该公司的第一笔外部融资。
PAS发言人表示,“这种关系是在筹集资金的过程中开始的,Hexagon最初被评估为有兴趣帮助PAS继续大规模增长的几个潜在投资者之一。一旦Hexagon对收购表示了兴趣,PAS就知道,通过组队可以帮助他们更快地成长,扩大市场范围并为客户提供更大的价值,尤其是在当前的大流行期间。”
Hexagon PPM总裁Mattias Stenberg表示,“通过对PAS的战略性收购,将把Hexagon解决方案扩展到运营风险管理和运营技术网络安全领域,将扩大我们的所有者运营商的市场占有率,并扩大我们的能力。”
据Hexagon称,此次收购将在Hexagon的PPM部门中创建一个新的以网络安全为重点的业务部门,这也将为Hexagon的其他部门提供机会。 交易的完成尚待监管部门批准。
参考来源:SecurityWeek http://dwz.date/dd6d
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,工业网络安全,安全周报
相关资讯