关键信息基础设施安全动态周报【2021年第14期】
发布时间:
2021-04-09
来源:
作者:
访问量:
304
目 录
第一章 国外关键信息基础设施安全动态
(一)罗克韦尔FactoryTalk产品存在九个严重漏洞对企业构成严重风险
(二)黑客组织Lazarus使用新型后门Vyveva攻击南非货运物流公司
(三)美国车辆检测厂Applus遭受恶意软件攻击
(四)美国能源部网络存在多项网络安全问题
(五)法国电子制造服务商Asteelflash遭受Revil勒索软件攻击
(六)意大利工业企业遭受Cring勒索软件攻击致生产关闭
(七)欧盟委员会及其他欧盟机构遭受重大网络攻击
(八)美国国防部启动针对承包商网络的漏洞披露计划
(九)SAP发布警告黑客正在攻击本地部署系统已知漏洞
(十)CMS网站Umbraco中存在特权提升漏洞
(十一)Facebook 5.33亿用户个人信息在暗网出售
(十二)各领域组织面临重大供应商风险
(十三)黑客组织APT-C-23使用语音转换软件诱骗受害者安装恶意软件
(十四)爱尔兰国立学院及都柏林理工大学IT系统遭受勒索攻击
(十五)新加坡工会E2i遭受钓鱼攻击泄露数万公民信息
(十六)针对拉丁美洲用户的新型银行木马Janeleiro
第一章 国外关键信息基础设施安全动态
(一)罗克韦尔FactoryTalk产品存在九个严重漏洞对企业构成严重风险
工业自动化企业罗克韦尔4月1日通知其客户,其已修补了FactoryTalk AssetCentre产品中的9个严重漏洞。这些漏洞是由工业网络安全公司Claroty的研究人员发现的,并在发布AssetCentre v11时解决了这些漏洞。以前的版本会受到影响。
FactoryTalk AssetCentre旨在保护、管理、跟踪、版本控制和报告整个设施中与自动化资产相关的信息。该产品被许多工业组织用于备份和灾难恢复,Claroty指出,这在有针对性的勒索软件攻击的情况下非常有用。
Claroty表示,FactoryTalk AssetCenter是一个功能强大的集中化工具,项目文件存储在这里,供任何罗克韦尔自动化平台使用。AssetCenter体系结构从高层次上看,包括主服务器、MS-SQL server数据库、客户端和远程代理,该产品可能是“攻击者的强大目标”。
软件代理运行在工程工作站上,通常是基于Windows的机器,代理与集中式服务器通信,可以接受命令并将命令发送到自动化设备,如PLC。然后更新项目文件并将其发送回服务器,服务器集中存储这些文件。例如,操作员可以从AssetCenter为在工厂运行的所有PLC执行备份和恢复以及版本控制功能。
Claroty研究人员发现的九个严重漏洞全部CVSS得分均为10分,可被未经验证的远程攻击者利用,以执行任意代码(由于数据反序列化问题)、执行任意命令、修改应用程序中的敏感数据或发起SQL注入攻击。
Claroty警告说,“能够成功利用这些漏洞的攻击者可以在没有身份验证的情况下进行攻击,并控制集中式FactoryTalk AssetCenter服务器和基于Windows的工程站与服务器通信。在短时间内,攻击者可以拥有设施的整个OT网络,并在服务器代理和自动化设备(如PLC)上运行命令。”
除了罗克韦尔的建议和Claroty的博客文章外,美国网络安全和基础设施安全局(CISA)还发布了一份建议,警告工业组织与这些漏洞相关的风险。
Claroty表示,这些安全漏洞是10月份向罗克韦尔报告的。除了补丁之外,该供应商还分享了一些通用的安全建议,以减轻可能利用这些漏洞的攻击。
参考来源:SecurityWeek http://dwz.date/eEKn
(二)黑客组织Lazarus使用新型后门Vyveva攻击南非货运物流公司
ESET研究人员4月8日发表研究结果显示,其发现了一个黑客组织Lazarus使用的一个新型后门Vyveva,攻击者使用该后门攻击南非的一家货运物流公司。
该后门由多个组件组成,并通过Tor网络与其C&C服务器通信。到目前为止,研究人员已经能够找到其安装程序,加载程序和主要有效负载,一个具有TorSocket DLL的后门。先前未知的攻击是在2020年6月发现的。
尽管Vyveva至少从2018年12月开始使用,但其初始攻击媒介仍然未知。ESET的遥测数据表明这是针对性的部署,因为研究人员仅发现了两台受害机器,都是位于南非的一家货运物流公司拥有的服务器。后门具有以下功能:文件过滤、时间标记、收集有关受害计算机及其驱动器的信息、以及其他常见的后门功能,例如运行由恶意软件操作员指定的任意代码。这表明该操作的意图很可能是间谍活动。
Lazarus是来自朝鲜的APT组织,国家赞助的网络攻击者数量众多,被认为是造成全球WannaCry勒索软件爆发、8000万美元孟加拉国银行抢劫案、针对韩国供应链的攻击、加密货币盗窃、2014年索尼黑客攻击、以及针对美国组织的其他各种攻击。
Vyveva是在Lazarus武器库中发现的最新武器之一,该后门最早于2020年6月被发现,但自2018年以来可能一直在使用。该后门能够窃听文件,从受感染的计算机及其驱动器收集数据,远程连接到命令和控制(C2)服务器并运行任意代码。此外,该后门使用虚假的TLS连接进行网络通信,通过Tor网络连接到其C2的组件,以及APT在过去的战役中使用的命令行执行链。与较旧的Lazarus恶意软件家族Manuscrypt/NukeSped的编码相似。
Vyveva还包括一个“时间戳”选项,该选项允许从“捐赠者”文件复制时间戳创建/写入/访问时间,还有一个有趣的文件复制功能:能够过滤掉特定扩展名并仅关注特定类型的内容进行渗透,例如Microsoft Office文件。
后门程序每三分钟通过看门狗模块与C2进行联系,向其操作员发送数据流,包括何时连接或断开驱动器,以及活动会话和登录用户的数量,这些活动可能与网络间谍活动有关。
ESET表示,“这些组件还可以在预先配置的定期三分钟间隔内以及发生新的驱动器和会话事件时触发与C2服务器的连接。”后门的代码库使他们可以“高度自信”地将Vyveva归于Lazarus。
今年2月,美国司法部(DoJ)起诉了两名涉嫌的朝鲜黑客,并扩大了对另一名涉嫌参与Lazarus的黑客的指控。
参考来源:ZDNet http://dwz.date/eHtW
(三)美国车辆检测厂Applus遭受恶意软件攻击
美国车辆检测服务提供商Applus近日披露其遭受了恶意软件攻击,导致八个州的汽车检测服务无法进行。
Applus Technologies是测试、检验和认证领域的全球领导者,最近遭受了恶意软件网络攻击,影响了康涅狄格州、乔治亚州、爱达荷州、伊利诺伊州、马萨诸塞州、犹他州和威斯康星州等8个州的车辆检验。
攻击发生在3月30日,为了应对感染,该公司被迫将其IT系统与互联网断开,以防止恶意软件的传播。该公司没有透露感染其系统的恶意软件类型,但专家推测与勒索软件攻击有关。
Applus Technologies首席执行官Darrin Greene表示,“不幸的是,类似这样的事件相当常见,没有人能幸免。我们对此事件可能造成的不便深表歉意。我们的客户和许多车主都依赖我们的技术,我们致力于尽快恢复正常运营。”
该公司将花费一些时间全面恢复运营,并继续进行车辆检查,但该公司尚未提供恢复服务的具体时间。根据机动车管理局(DMV)的说法,检查可能会暂停至少几天。
Applus Technologies继续表示,“由于运行该程序需要增强技术和编程,在使该程序重新上线之前,我们必须确保该程序的每个组件都没有恶意软件,且经过彻底测试并正常运行。测试过程将涉及我们所有的机构以及拥有和操作用于进行机动车辆检查的电脑化工作站设备的车站所有者。我们将在获得更多信息时定期更新恢复服务状态。需要注意的是,我们要确保在重新启动系统之前解决了所有问题,以避免程序备份并运行后出现任何额外的延迟或不便。”
Applus团队正在与车管所合作,提供关于事故响应状态的频繁更新,还与车管所合作制定60天重测要求和免费重测政策,以在此期间延长这两项要求。
参考来源:SecurityAffairs http://dwz.date/eHxt
(四)美国能源部网络存在多项网络安全问题
根据美国检察长办公室审计显示,美国能源部的所有非保密网络中存在网络安全漏洞,包括美国国家核安全局的网络。
尽管美国能源部在改善其网络安全计划方面取得了长足进步,包括解决了先前58项建议中的42项,但检察长(Inspector General)最近发布的《2020年审计报告》发现,能源部的非保密网络和系统仍然很脆弱。
为了解决这些持续存在的问题,监察长又提出了83项建议,以改善网络安全,包括加强漏洞管理和提高Web应用程序的安全性。能源部的管理层同意致力于解决报告中确定的所有安全问题。
该审计报告指出,“我们向发现弱点的每个位置提出了建议。这些建议与Web应用程序的系统完整性、配置管理、漏洞管理和访问控制等领域有关。在本财年中,我们还发布了有关领域的报告和建议,例如信息技术外围设备的安全性和选定地点的应急计划。”
在审计报告发布之际,美国能源部和其他八家联邦机构在SolarWinds供应链攻击事件发生后,继续进行调查。美国政府表示,这些攻击是俄罗斯网络间谍行动的一部分。该审计报告未反映SolarWinds攻击对DOE的影响。
该报告指出,“由于我们进行审查的时间,我们没有评估对美国国防部或国家核安全局的任何潜在影响的情况,也没有评估这种攻击如何可能影响我们的结果。随着我们继续进行未来的测试工作,我们将继续关注与任何潜在影响有关的发展。”
该针对能源部的审计报告考虑了2020年3月至今年1月该部门在28个地点的网络安全计划。报告称,所调查的地点包括美国国家核安全局、能源信息管理局行政长官、美国能源部科学和能源代理副部长、以及某些其他员工办公室监督的地点。
审计报告指出,“虽然我们并未测试所有可能的利用情况,但我们确实对各种攻击媒介进行了测试,以确定潜在的利用可能性。”
该审计报告发现了一些能源部反复出现的问题。例如,审计人员发现,在两个位置,Web应用程序无法正确验证已输入的数据,也无法正确保护使用该应用程序的员工的凭证。“在某个地点,Web应用程序未验证经过身份验证的用户是否有权访问存储在应用程序中的文件,这可能使攻击者获得了其他用户上传到应用程序的文件。”
审计还发现,某些能源部站点的漏洞管理不能确保应用程序已针对安全性缺陷进行了适当的渗透测试,也没有找到识别应用程序中漏洞的好方法。报告指出,“对Web应用程序保持有效的系统完整性控制,可以减少未经授权访问和/或修改应用程序中敏感信息的风险。”
审计指出,在其他位置,配置管理是一个持续存在的安全问题。在一个案例中,防火墙配置不正确,这意味着外部流量可以访问内部系统。同时,有一些“不必要的规则”可以使未经授权的用户获得更多访问权限。报告指出,“例如,多个防火墙的规则可能允许'用户'飞地中的任何系统通过至少一种不安全的协议访问监督控制和数据采集(SCADA)系统及相关设备。”
审计报告称,在其他领域,系统用户名和密码未从默认设置更新,而某些服务器仍开放给公众访问,这意味着攻击者可以访问网络凭据。
审计指出,国防部还缺乏适当的漏洞管理功能,数百个工作站和设备负责运行敏感数据,并且操作系统Red Hat Linux、Apple macOS和Microsoft Windows Server 2008的版本已经过时。审计发现的其他问题还包括访问控制、应急计划、隐私措施、安全培训和生命周期管理等领域。
参考来源:infoRiskToday http://dwz.date/eGKF
(五)法国电子制造服务商Asteelflash遭受Revil勒索软件攻击
法国领先的电子制造服务公司Asteelflash近日遭受了REvil勒索软件攻击,攻击者要求支付2400万美元赎金。
Asteelflash是一家世界领先的法国电子制造服务(EMS)公司,专门从事印刷电路板的设计、工程和印刷。
虽然Asteelflash还没有公开披露攻击事件,但研究人员发现了Revil勒索软件的样本,该样本可以访问Tor进行网络攻击的谈判页面。该页面显示,REvil勒索软件(也称为Sodin和Sodinokibi)最初索要1200万美元赎金,但随着时间的推移,赎金翻了一番,达到2400万美元。
Tor支付网站显示了REvil威胁参与者和Asteelflash之间的简短对话。在对话过程中,威胁参与者共享了一个名为“asteelflash_data_part1.7z”的文件,用于证明文件在攻击过程中被盗。一些共享文件的元数据显示是Asteelflash员工编写的此时,双方的对话已经陷入僵局,目前还没有关于公司勒索意图的细节。
Asteelflash的一名代表表示,“事件正在评估中”。研究人员目前都无法确认攻击是否成功加密了受影响系统上的文件。
参考来源:BleepingComputer http://dwz.date/eE5Y
(六)意大利工业企业遭受Cring勒索软件攻击致生产关闭
卡巴斯基事件响应人员4月7日表示,今年早些时候发生的一起勒索软件攻击事件使意大利两家生产设施暂时停产了两天。
卡巴斯基没有公开确认受害者组织的身份,但是该公司ICS-CERT部门研究人员Vyacheslav Kopeytsev在一封电子邮件中表示,受害者是一家总部位于德国,在意大利设有工厂的跨国公司。他表示,“生产所需的带有数据库的服务器已加密。”
Kopeytsev和他的同事在一份报告中称,黑客在加密计算机服务器之前将一种新型勒索软件Cring伪装成受害者组织的反病毒产品,这将对该组织造成最大的破坏。研究人员称,攻击者为受害者的基础设施特制了黑客工具。
这只是勒索软件事件越来越多地影响工业供应商运营的最新示例。在安全公司趋势科技调查的美国、德国和日本的500名制造业部门员工中,有61%的人表示他们经历过网络安全事件,其中许多事件导致系统中断。
卡巴斯基ICS-CERT表示,意大利工厂的中断是2021年第一季度针对欧洲工业企业的多起涉及勒索软件的黑客攻击事件之一,其他受害者的详细情况目前还不清楚。瑞士大型电信公司Swisscom在今年1月的一条推特中提到了勒索软件感染。
这次事件发生之际,拜登政府正试图采取更多措施,打击勒索软件和对工业控制系统(ICS)的威胁。工业控制系统是发电厂和其他关键设施使用的硬件和软件。国土安全部已向州和地方政府追加拨款2500万美元,以抵御勒索软件等威胁。据美联社报道,白宫的目标是加强为5万多美国人服务的控制系统的安全。
国土安全部秘书网络安全高级顾问Tim Maurer表示,美国官员也对警惕勒索软件团伙可能对生产和分发冠状病毒疫苗的组织产生的任何潜在影响保持警惕。莫拉尔在由战略与国际研究中心主办的活动中表示,“这不仅与人们赚钱有关,而且对某些服务的暂时中断也会产生影响。”
在卡巴斯基详细介绍的事件中,黑客利用了位于加利福尼亚的安全厂商Fortinet制造的虚拟专用网络软件中的旧漏洞。美国国土安全部工业控制系统安全部门前负责人Marty Edwards表示,这种未修补的软件在制造业中屡屡出现,令人头疼。
现任安全公司Tenable运营技术副总裁的Edwards表示,工厂使用的ICS和操作技术“通常基于过时的硬件和软件,这使它们成为勒索软件网络的犯罪操作者的轻松目标。由于这些运营技术系统为企业带来的价值,对于这些犯罪分子来说,它们也是一个非常有利可图的目标,并且可以获得比平均目标更高的赎金。”
制造业中的许多勒索软件受害者不愿公开谈论违规行为,因为担心失去客户,或承认他们已经偿还了犯罪分子以恢复其数据。这种沉默可能会导致公众对威胁的严重性缺乏了解。
参考来源:CyberScoop http://dwz.date/eGUe
(七)欧盟委员会及其他欧盟机构遭受重大网络攻击
欧盟委员会发言人证实,欧盟委员会以及其他欧盟组织在3月份遭受了网络攻击。欧盟委员会没有透露攻击的威胁类型的任何细节,也没有透露攻击背后的攻击者。
彭博社报道称,“包括欧盟委员会在内的一系列欧盟机构上周遭到重大网络攻击。对这起事件的取证分析仍处于初步阶段,现在就提供有关攻击性质的任何结论性信息还为时过早。”
这位发言人解释表示,欧盟多个机构和IT基础设施都受到了该“IT基础设施中的IT安全事件”的影响。
据彭博社援引一位知情人士的话说,这起事件比通常攻击欧盟的事件更严重。一名欧盟官员还透露,工作人员最近收到了针对欧盟代表的持续网络钓鱼行动的警告。
欧洲计算机应急小组(CERT-EU)在各地方计算机应急小组和欧洲执法机构的支持下,正在调查这起网络攻击事件。发言人表示,“我们正与CERT-EU密切合作,CERT-EU是欧盟所有机构、团体和机构的计算机应急小组,也是受影响的IT解决方案的供应商。到目前为止,还没有发现重大信息泄露。”
欧盟委员会通过设立全天候监测服务并实施必要的缓解措施,提高了警戒级别。目前还没有重大数据泄露的消息,但调查仍在进行中,仍处于早期阶段。
近几个月来,包括欧洲药品管理局(EMA)和欧洲银行业管理局(EBA)在内的其他欧盟组织也受到了黑客攻击。
参考来源:SecurityAffairs http://dwz.date/eG2U
(八)美国国防部启动针对承包商网络的漏洞披露计划
美国国防部(DoD)4月5日在HackerOne上宣布启动一个新的漏洞披露计划,以识别国防工业基地(DIB)承包商网络中的漏洞。
作为试点运行的国防工业基地漏洞披露计划(DIB-VDP)涵盖了参与的国防部承包商合作伙伴的信息系统和网络资产,以及范围内的其他资产,并且与已经在HackerOne上运行的国防部漏洞披露计划是分开的。
作为DIB-VDP试点的一部分,国防部邀请HackerOne社区远程测试参与的国防部承包商的资产,并报告任何已发现的漏洞。但是,有兴趣的研究人员不得对易受攻击的系统造成任何伤害,不得访问或过滤数据,不得损害国防部或承包商的隐私或安全,也不得与第三方共享任何信息。
该计划的政策表示,“根据该计划提交给DIB-VDP的任何信息都将用于防御目的,缓解或补救国防部承包商信息系统、网络或应用程序中的漏洞。这项研究无助于攻击性工具或能力。”
想要参与的研究人员可以阅读HackerOne上面的详细信息,浏览计划范围内的资产以及DIB-VDP的其余条款和条件。DIB-VDP试点是一项自愿活动,将持续12个月。
参考来源:SecurityWeek http://dwz.date/eGp5
(九)SAP发布警告黑客正在攻击本地部署系统已知漏洞
SAP与安全公司Onapsis 4月6日发出联合安全公告,警告SAP之前已经修补的漏洞,近日分别发生自动化恶意程序及人为操作的攻击,影响企业自行维护或外部代管的SAP系统。
SAP和Onapsis观察到网络上有300多件自动化程序,利用7种攻击针对未修补的SAP系统发动攻击,以及100多道人为操作的连线活动,后者涉及多个黑客组织。安全厂商警告,证据显示黑客具备高阶的领域知识,包括能在攻击后安装SAP修补程序。
7个攻击涉及6项SAP旧有漏洞,包括CVE-2016-3976、CVE-2020-6287(NetWeaver)、CVE-2020-6207,CVE-2010-5326、CVE-2016-9563、CVE-2018-2380以及暴力破解密码,使攻击者得以存取或攻击SAP应用。其中,CVE-2010-5326、CVE-2016-9563,以及CVE-2018-2380,可让黑客得以在OS层执行恶意程序,而CVE-2016-3976和CVE-2020-6207则可造成攻击者横向移动到其他主机。
成功利用漏洞可能导致黑客接管SAP应用程序,绕过一般的安全控制,窃取重要资料、发动勒索软件攻击,扰乱甚至中断系统运作,或直接勒索金钱。
这些攻击影响本地部署或由第三方业者代管SAP系统的客户,但由SAP代管的云端应用则不受影响。此外,SAP本身的IT系统也安然无恙。所有遭到锁定的SAP漏洞都已经有修补程序。
Onapsis还发现,在SAP释出修补程序72小时内即已被锁定,此外,未修补的SAP云端应用在IaaS上线不到3小时就被黑入。
不过SAP和Onapsis又表示,目前尚未发现有任何已知的客户资料泄露与之直接相关,但是他们发现仍有许多企业尚未修补。
SAP和Onapsis也和美国国土安全部、CISA、德国联邦网络安全管理局合作发出公告,呼吁企业用户应立即行动,安装修补程序及做好安全组态,并执行入侵评估检查。
本文版权归原作者所有,参考来源:iThome http://dwz.date/eH8y
(十)CMS网站Umbraco中存在特权提升漏洞
网络安全公司Trustwave研究人员发表博客文章称,其在颇受欢迎的CMS网站Umbro中发现了一个安全漏洞,该漏洞允许低特权用户将自己提升到管理员状态。该问题存在于API端点,该端点在将找到的结果返回到应用程序的日志记录部分之前没有正确检查用户的授权。
在CMS中,更高权限的用户(即管理员)能够在管理UI中查看日志数据,其中包含插入到应用程序日志中的任何信息。为了测试任何此类信息被泄露的风险,管理员创建了一个权限较低的用户,该用户被放入Writers组。这意味着低权限用户只能查看内容选项卡,该选项卡指示要限制编写者在应用程序中可以执行的操作或看到的内容。
然后,低特权用户向应用程序进行身份验证,并获得访问该应用程序所需的cookie和标头。然后,这些标识符可以使低特权用户能够访问API端点,API端点返回应该只对管理员可用的日志数据。
Trustwave透露的原因是,在Umbraco.Web.dll中,LogViewerController类在其公开的端点上不使用粒度授权属性,这意味着较低权限的用户可以访问许多端点。
Trustwave SpiderLabs管理顾问jonathanyarema在博客中评论表示,“相反,还有其他一些区域确实在保护资源,例如UsersController,其中一些方法被明确限制为管理用户(“[AdminUsersAuthorize]”属性),或者必须以其他方式向控制器(“[UmbracoApplicationAuthorize]”)授予权限。LogViewerController也应该使用类似的方法来限制对其数据的未授权访问。”
在Umbraco版本8.9.0和8.6.3中发现了这个问题。
参考来源:InfoSecurityMagazine http://dwz.date/eHyk
(十一)Facebook 5.33亿用户个人信息在暗网出售
继臭名昭著的Cambridge Analytica个人信息丑闻后,近日再传出Facebook 2019年也曾外泄超过5亿用户的个人信息,Facebook则说这是旧事件,引起问题的漏洞已经解决。
Business Insider 4月3日报导,涵括106国、5.33亿笔Facebook用户个人信息遭不明人士张贴在黑客论坛上兜售。泄露信息包括用户电话、Facebook ID、全名、生日、住址及个人简历,有的还有电子邮件信箱。
Insider验证了部份资料,证实这些资料为真且仍然有效。这些资料中,3,200万来自美国用户,英国用户占1100万,印度则为600万。甚至还有一批台湾用户个资,多达73万多笔。
这5亿笔资料泄露,是由安全厂商Hudson Rock技术长Alon Gal发现的。
Facebook发言人解释,Facebook已在2019年接获资料泄露的通报,该公司也已在同年8月发现并解决问题。
其实Gal今年1月在同一个黑客论坛上首次发现有人兜售5亿笔脸书个人信息的查询服务,付钱即可透过Telegram的机器人程式输入电话号码查询脸书ID(或反向查询),每笔费用20美元,1万笔只要5千美元。同月Motherboard曾报导这项消息。当时Facebook方面对媒体说明,信息泄露和Facebook 2019年8月解决的一项漏洞有关。
Gal最新发现的泄露,显然是将原本需付费的Facebook个人信息,免费提供给任何有基本资料查询能力的恶意人士。
不过这最新资料泄露等于也打脸了Facebook的承诺。2018年初爆发剑桥分析滥用8,500万用户个人信息后,Facebook与美国政府隔年7月以50亿美元罚款和解,Facebook也承诺将加强用户资料保护,包括建置及导入完整的安全计划。
Gal则指出,尽管一旦用户个人信息被公开,Facebook就无能为力了,但它仍应通知受影响的用户,警告他们留意可能的钓鱼信件或诈欺电话等威胁。
本文版权归原作者所有,参考来源:iThome http://dwz.date/eH5s
(十二)各领域组织面临重大供应商风险
攻击者已将供应链和合作伙伴生态系统转变为另一种威胁媒介。Proofpoint研究发现,攻击者利用泄露的供应商帐户和假冒供应商来发送恶意软件,窃取凭据并实施发票诈骗。
Proofpoint的最新研究表明,在美国、英国和澳大利亚的近3,000家受监视组织中,有98%的组织在2021年2月的7天内收到了来自供应商的威胁,这在公司规模、行业和国家/地区中都是一致的,表明各种规模和行业的公司都面临供应商风险,这是普遍关注的问题。
大多数人将供应商威胁视为发票欺诈。但是研究表明,攻击者使用供应商和业务伙伴发送各种类型的威胁,包括针对凭据的网络钓鱼(帐户接管)、恶意软件、以及冒名顶替者的威胁(例如企业电子邮件泄露BEC)。
研究表明,来自冒名顶替和受到威胁的供应商的威胁更有可能依靠社会工程手段来掠夺人性,其中74%的威胁是网络钓鱼或冒名顶替者。只有不到30%的来自供应商的威胁与恶意软件有关。结果进一步表明,攻击者针对的是人,而不是组织基础结构的漏洞。同样,攻击者也在跟踪云供应商,并利用流行的协作平台(例如Microsoft 365、Google G-Suite和Dropbox)以惊人的速度托管或发送威胁。
毫不奇怪,冒名顶替的威胁(例如域欺骗、显示名称欺骗、相似域)仅占供应商域发送的全部威胁的3%。与那些广泛分布的商品威胁不同,这种类型的威胁高度针对组织内的极少数人。
尽管电子邮件欺诈威胁数量很少且针对性很强,但它们通常会造成巨大的美元损失。Proofpoint已观察到并阻止了数百万美元的供应商发票欺诈攻击。事实上,根据FBI的2020年度互联网犯罪报告,企业电子邮件泄露(BEC)和电子邮件帐户泄露(EAC)诈骗在2020年造成了最大的财务损失,使受害企业蒙受了近19亿美元的损失。
尽管没有组织能够幸免于来自供应商领域的威胁,但大型组织往往更容易成为攻击目标。财富1000强企业不仅收到来自供应商域的邮件数量是普通客户的两倍,因此更容易遭受来自假冒和受感染的供应商的威胁,而且它们也受到更高比例的供应商域的攻击。在7天的时间内,他们收到的来自供应商域的威胁邮件比普通客户多4倍。
在金融服务、制造业、公用事业/通讯/运输、批发贸易、建筑业中,受到供应商领域威胁的组织所占的比例分别为98%、99%、98%、99%和100%这一趋势不仅在各个行业中是一致的,而且在不同的地区也是一致的。98%的美国组织、100%的澳大利亚组织、及99%的英国组织都受到了供应商域的威胁。
参考来源:Proofpoint http://dwz.date/eGWC
(十三)黑客组织APT-C-23使用语音转换软件诱骗受害者安装恶意软件
Cado Security安全研究人员警告表示,黑客组织Molerats的一个分支APT-C-23一直在使用语音转换软件来诱骗目标安装恶意软件。
黑客组织Molerat又称Gaza Hackers Team、Gaza Cybergang、DustySky、Extreme Jackal和Moonlight,至少自2012年以来一直活跃,主要针对中东的实体,但也对欧洲和美国的目标发动攻击。
Cado Security表示,APT-C-23据信是Molerats的一部分,通常利用社会工程欺骗受害者安装恶意软件,此前有人发现,在利用社交媒体网站攻击以色列国防军士兵的攻击中,APT-C-23假冒女性。
在最近针对政治对手的攻击中,APT-C-23似乎将鱼叉式钓鱼提升到了一个新的水平,通过使用变音软件伪装成女性,该组织目前已确认的成员都是男性。APT-C-23曾被观察到冒充女性与受害者交谈。随着对话的继续,该组织发送了装有恶意软件的视频来感染目标的系统。
在分析一个公开曝光的黑客组织服务器时,Cado安全研究人员发现了一个档案,其中包含一名女性模特Instagram账户中的照片,以及语音更改应用程序Morph Vox Pro的安装。
该公司表示,“考虑到之前APT-C-23攻击的背景和文件夹的其他内容,我们认为MorphVox成为他们工具包的一部分最有可能的解释是,它被用来以女声生成音频消息,以鼓励目标安装其恶意软件。”
在同一台服务器上,研究人员识别了攻击使用的各种工具,例如用于批量发送钓鱼电子邮件的应用程序,另一个用于入侵IP语音系统的应用程序,一个带有查找易受攻击的路由器的示例命令的应用程序,以及一个包含Microsoft凭据钓鱼页面的文件夹。
参考来源:SecurityWeek http://dwz.date/eH7m
(十四)爱尔兰国立学院及都柏林理工大学IT系统遭受勒索攻击
爱尔兰国家学院(NCI)和都柏林理工大学披露,其IT系统遭受了勒索软件攻击。
NCI上周末遭受了勒索软件攻击,迫使学校的IT系统离线,NCI目前正在恢复IT服务。该学校通告显示,“NCI目前正在经历IT服务的重大中断,影响了许多学校的系统,包括Moodle、图书馆服务和目前的学生MyDetails服务。”
在4月3日勒索软件攻击后的后续更新中,教职员工接到通知,IT员工和外部服务提供商正在努力恢复服务。NCI的IT系统被暂停使用,校园大楼目前也对学生和员工关闭,直到IT服务恢复。NCI还向有关当局通报了这一事件,包括数据保护专员和爱尔兰共和国国家警察局。
NCI在6日发布的一份声明中补充表示,“请注意,从6日到8日的所有课程、评估和入门课程都已被推迟,并将重新安排在以后的日期。学院将在周四下午发布关于周五及以后的课程和其他活动的进一步更新。对于要交作业的同学,在中断期间,不会实施迟到处罚。”
都柏林理工大学(TU Dublin)塔拉赫特校区4月1日上午遭受了勒索软件攻击,影响了IT系统和校园备份。都柏林理工大学(TU Dublin)在该大学网站上的一份通知中表示:“塔拉赫特校区的一些ICT系统中断了,但关键服务的远程访问是安全的。在调查问题期间,ICT服务台无法响应请求。最新信息将通过电子邮件发送。”
在一封发给学生的电子邮件中表示,“这次攻击不包括伦敦金融城和布兰查德斯敦校园内的任何ICT系统或进程。”学生们还被告知在4月12日(星期一)之前不要使用任何校园IT系统,并避免联系目前正在修复受影响的IT系统的IT员工。
都柏林理工大学的一位发言人表示,“在调查的早期阶段,没有迹象表明任何数据,包括个人数据,因为这次攻击而被过滤、下载、复制或编辑。大学将继续作为紧急事项继续努力,尽快恢复学生和教职员工对我们所有现场ICT系统的安全访问。
目前,还没有关于这两起攻击背后的勒索软件组织的信息。
参考来源:BleepingComputer http://dwz.date/eG2Q
(十五)新加坡工会E2i遭受钓鱼攻击泄露数万公民信息
新加坡全国工会代表大会就业与就业研究所(e2i)4月5日发布声明称,3万名使用过e2i服务的人员的个人数据可能被网络犯罪分子获取,攻击者在未经授权的情况下获得了人名、学历和NRIC、联系方式和就业信息。
E2i为员工提供技能培训和就业选配服务。
该研究所表示,3月12日发生了一起数据事件,一个恶意软件感染了e2i指定的第三方供应商i-vic国际联络中心服务公司的一名雇员的邮箱。恶意软件通常通过垃圾邮件传播,能够阻碍分析和逃避检测。
受影响的邮箱中有大约3万人的个人资料,这些人从2018年11月到今年3月12日,曾参加过e2i活动,使用过该研究所的服务,或两者兼有。他们包括参加招聘会、就业能力研讨会或参加职业指导的人。
该研究所表示,目前还没有证据表明数据被滥用或泄露,也没有证据表明e2i的IT系统受到了威胁。出于对求职者保密的考虑,该公司拒绝透露总共有多少人使用e2i的服务。
E2i已经向新加坡个人数据保护委员会(PDPC)和新加坡计算机应急响应小组(SingCert)的网络安全局报告了数据泄露事件。I-Vic International也于3月22日提交了一份关于这一事件的警方报告。PDPC表示已经知道了这一事件,并正在进行调查,同警方也在调查此事。关于为什么没有早点公布这一事件,e2i说,“鉴于调查的复杂性,需要时间来进行影响评估”。
这起事件是在几起影响第三方供应商的网络安全攻击之后发生的。去年12月,IT管理软件提供商SolarWinds被曝成为黑客攻击目标。这家总部位于德克萨斯州的公司约有1.8万名客户受到影响,其中包括美国科技巨头微软(Microsoft)和火眼(FireEye)。同月,美国云共享公司Accellion提供的文件共享系统遭到网络攻击,影响到全球客户,其中包括新加坡最大的电信公司新加坡电信(Singtel)。大约12.9万名新加坡电信用户的数据在此次入侵中被盗。然后在3月份,有报道称,新加坡各组织运营的约380台计算机服务器面临广泛使用的Microsoft Exchange电子邮件服务器软件在全球范围内遭到大规模黑客攻击的风险。新加坡政府上个月宣布,运营该国关键信息基础设施的组织,如电信网络和公共交通系统,将被要求更好地管理供应商的网络安全风险。
至于最新的数据泄露事件,e2i和i-Vic International已经采取措施加强电子邮件和网络系统的安全,并正在进行检查,以监控任何潜在的漏洞。他们正在通过电子邮件、短信和电话联系可能受影响的人,提醒他们事件发生,并就如何管理涉及的潜在风险提供支持。E2i表示,那些受到数据泄露影响的人应该警惕任何可疑的活动或请求,以及钓鱼企图和任何可疑的活动或请求。
参考来源:TheStraitsTimes http://dwz.date/eH8U
(十六)针对拉丁美洲用户的新型银行木马Janeleiro
ESET研究人员4月6日披露了一个新型银行特洛伊木马Janeleiro,该木马至少自2019年以来针对巴西的企业用户,涉及工程、医疗、零售、制造、金融、交通和政府等多个领域。
被ESET称为Janeleiro的恶意软件旨在通过类似弹出窗口伪装其真实意图,这些弹出窗口的设计类似于该国一些最大银行的网站,包括ItaúUnibanco、Santander、Banco do Brasil、Caixa Econômica Federal和Banco Bradesco。
ESET研究人员Facundo Muñoz和Matías Porolli在一份报告中表示,“这些弹出窗口包含虚假表单,目的是诱骗恶意软件的受害者输入他们的银行凭证和个人信息,这些信息被恶意软件捕获并过滤到其指挥和控制的服务器。”
这种作案手法在银行业特洛伊木马程序中并不新鲜。2020年8月,ESET发现了一种名为Mekotio的拉丁美洲LATAM银行特洛伊木马程序,它向受害者展示类似的假弹出窗口,试图引诱他们泄露敏感信息。
但Janeleiro脱颖而出的原因有很多。其一,该恶意软件是用Visual Basic.NET编写的,研究人员称,这与该地区的威胁制造者通常喜欢的Delphi编程语言“大不相同”。它也不依赖于自定义加密算法或额外的模糊层,甚至重用了取自Njrat的代码,这在LATAM银行特洛伊木马中很少见。
攻击开始于一封声称是未付发票的钓鱼电子邮件,其中包含一个链接,单击该链接即可下载ZIP文件。该存档文件附带一个MSI安装程序,该程序加载主特洛伊木马程序DLL,然后从明显由恶意软件作者创建的GitHub页面获取命令与控制(C2)服务器的IP地址。感染链中的最后一环涉及等待来自C2服务器的命令。
因此,在用户访问感兴趣的银行实体的网站的情况下,Janeleiro连接到C2服务器并动态显示欺诈性弹出窗口,并捕获在假表单中输入的击键和其他信息。
ESET表示,在2019年9月至2021年3月期间,他们发现了四个版本的Janeleiro。
这不是第一次在野外发现针对巴西用户的银行特洛伊木马程序。去年,卡巴斯基详细介绍了至少四个恶意软件家族-Guildma、Javali、Melcoz和Grandoreiro-它们被发现针对巴西、拉丁美洲和欧洲的金融机构。
今年1月初,ESET发现了一种新的基于Delphi的银行特洛伊木马程序,名为Vadokrist,它被发现只针对巴西,但与Amavaldo、Casbaneiro、Grandoreiro和Mekotio等其他恶意软件家族有相似之处。
参考来源:TheHackerNews http://dwz.date/eH9X
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,工控安全
相关资讯
