关键信息基础设施安全动态周报【2021年第18期】
发布时间:
2021-05-08
来源:
作者:
访问量:
161
目 录
第一章 国外关键信息基础设施安全动态
(一)IoT及OT设备中存在内存分配漏洞BadAlloc
(二)高通芯片存在高危漏洞,全球约30%智能手机受到影响
(三)戴尔驱动程序存在严重特权提升漏洞,数亿设备面临风险
(四)思科修复SD-WAN软件及HyperFlex HX数据平台中严重漏洞
(五)惠普企业边缘应用程序管理工具EIM存在严重漏洞
(六)Qualys披露邮件服务器Exim中存在漏洞21Nails
(七)新型攻击方式绕过Spectre漏洞保护,使系统面临风险
(八)火眼发现威胁组织UNC2529使用的三款新型恶意软件
(九)欧洲生物研究所遭受Ryuk勒索软件攻击
(十)比利时政府网络提供商Belnet遭受DDoS攻击
(十一)美国阿拉斯加法院系统遭受网络攻击被迫中断
(十二)巴西法院遭受勒索软件REvil攻击
(十三)医疗保健提供商Scripps Health遭受索软件攻击
(十四)美国国际媒体署遭受钓鱼攻击泄露员工信息
(十五)云托管提供商Swiss Cloud遭受勒索软件攻击
(十六)黑客利用新型恶意软件Panda Stealer窃取加密货币
第一章 国外关键信息基础设施安全动态
(一)IoT及OT设备中存在内存分配漏洞BadAlloc
微软IoT安全研究小组Section 52近日发现了IoT和OT设备中的25个严重内存分配漏洞,攻击者可以利用这些漏洞绕过安全控制,以执行恶意代码或导致系统崩溃。这些漏洞统称为BadAlloc,通过易受攻击的内存程序运行恶意代码。
这些远程代码执行(RCE)漏洞涵盖超过25个CVE,并可能影响消费者和医疗IoT、工业IoT,运营技术(OT)和工业控制系统等广泛领域。
这些漏洞存在于标准内存分配功能中,这些功能涵盖了广泛使用的实时操作系统(RTOS)、嵌入式软件开发工具包(SDK)和C标准库(libc)实现。这些发现已通过微软安全响应中心(MSRC)和国土安全部(DHS)领导的负责任披露与供应商共享,从而使这些供应商能够调查和修补漏洞。
受影响的产品包括:Amazon FreeRTOS版本10.4.1、Apache Nuttx OS版本9.1.0、ARM CMSIS-RTOS2 2.1.3之前版本、ARM Mbed OS版本6.3.0、ARM mbed-uallaoc版本1.3.0、Cesanta Software Mongoose OS版本2.17.0、eCosCentric eCosPro RTOS版本2.0.1至4.5.3、Google Cloud IoT设备SDK版本1.0.2、、Linux Zephyr RTOS 2.4.0之前的版本、Media Tek LinkIt SDK 4.6.1之前的版本、Micrium OS 5.10.1及更低版本、Micrium uCOS II/uCOS III版本1.39.0和更低版本、NXP MCUXpresso SDK 2.8.2之前的版本、NXP MQX版本5.1及更低版本、Redhat newlib 4.0.0之前的版本、RIOT OS版本2020.01.1、Samsung Tizen RT RTOS版本低于3.0.GBB、TencentOS-tiny 版本3.1.0、德州仪器(TI)CC32XX版本及4.40.00.07之前的版本、德州仪器(TI)SimpleLink MSP432E4XX、德州仪器(TI)SimpleLink-CC13XX 版本低于4.40.00、德州仪器(TI)SimpleLink-CC26XX 版本低于4.40.00、德州仪器(TI)SimpleLink-CC32XX 4.10.03之前的版本、Uclibc-NG 1.0.36之前的版本、Windriver VxWorks 7.0之前的版本。
鉴于IoT和OT设备的普遍性,如果成功利用这些漏洞,则对各种组织构成巨大的潜在风险。迄今为止,微软尚未发现任何迹象表明存在利用这些漏洞的迹象。但是,微软强烈建议组织尽快修补系统。
同时,微软研究人员认识到修补IoT/OT设备可能很复杂。对于无法立即打补丁的设备,建议减轻控制措施,例如:通过最小化或消除易受攻击的设备在互联网上的暴露程度来减少攻击面;实施网络安全监控,以发现危害的行为指标;加强网络分段以保护关键资产。
微软Azure RTOS ThreadX在其默认配置中不易受到攻击。Azure RTOS ThreadX文档已更新,“只有在应用程序可以绝对保证所有输入参数在所有情况下(包括从外部输入派生的输入参数)始终有效的情况下,禁用错误检查才是安全的”。
微软将这些嵌入式IoT和OT操作系统以及软件中发现的内存溢出漏洞命名为BadAlloc。所有这些漏洞源于易受攻击的内存功能的使用,例如malloc、calloc、realloc、memalign、valloc、pvalloc等。研究表明,作为物联网设备和嵌入式软件的一部分,多年来编写的内存分配实施并未纳入适当的输入验证。如果没有这些输入验证,攻击者可能会利用内存分配功能来执行堆溢出,从而导致目标设备上执行恶意代码。
通过调用内存分配函数(例如malloc(VALUE))来调用内存分配漏洞,其中VALUE参数是从外部输入动态派生的,并且其大小足以触发整数溢出或环绕。概念如下:发送该值时,返回的结果是新分配的内存缓冲区。尽管由于环绕而分配的内存大小保持较小,但与内存分配关联的有效负载超过了实际分配的缓冲区,从而导致堆溢出。堆溢出使攻击者能够在目标设备上执行恶意代码。以下是“BadAlloc”示例:
对于具有IoT和OT设备的组织,建议采取以下缓解措施:
1、补丁程序。请遵循供应商的说明将补丁程序应用到受影响的产品。
2、如果无法打补丁,请监控。由于大多数传统IoT和OT设备均不支持代理,因此请使用支持IoT/OT的网络检测和响应(NDR)解决方案(如适用于IoT的Azure Defender)和SIEM/SOAR解决方案(例如Azure Sentinel)来自动发现并持续监控设备异常或未经授权的行为,例如与陌生的本地或远程主机进行通信。这些是实施IoT/OT零信任策略的基本要素。
3、减少攻击面。通过消除到OT控制系统的不必要的互联网连接,并在需要远程访问时使用多因素身份验证(MFA)来实现VPN访问。DHS警告称,VPN设备也可能存在漏洞,应将其更新为可用的最新版本。
4、分段。网络分段对于零信任非常重要,因为它会限制攻击者在初始入侵之后横向移动并破坏重要资产的能力。特别是,应使用防火墙将物联网设备和OT网络与公司IT网络隔离。
参考来源:Microsoft http://dwz.date/eZBy
(二)高通芯片存在高危漏洞,全球约30%智能手机受到影响
Check Point Research(CPR)发现,高通的移动基站调制解调器(MSM)中存在一个安全漏洞,该芯片在全球近40%的手机蜂窝通信中使用。如果受到攻击,该漏洞允许攻击者使用Android操作系统本身作为入口点,将恶意代码注入手机,从而访问短信和电话对话音频。
高通MSM在Google、三星、LG、小米和One Plus的高端手机中使用。该漏洞还可能允许攻击者解锁移动设备的SIM卡。CPR提醒了高通确认并解决此问题,并通知了手机使用者。
随着全球智能手机用户数量超过30亿,移动设备供应商努力开发新的技术创新以改善其设备。在这样一个竞争激烈且快速增长的市场中,供应商通常依赖高通(Qualcomm)等第三方来生产用于电话的硬件和软件。
高通公司提供各类芯片,嵌入到占手机市场40%以上的设备中,其中包括来自Google、三星、LG、小米和OnePlus的高端手机。2020年8月,Check Point Research(CPR)在高通的Snapdragon DSP(数字信号处理器)芯片上发现了400多个漏洞,威胁到手机的可用性。
对此CPR研究人员发布了博客文章,旨在提高人们对与该漏洞相关的潜在风险的认识。然而,CPR决定不发布完整的技术细节,直到受影响的移动供应商找到减轻该可能风险的综合解决方案。CPR与相关政府官员和移动供应商合作,协助他们提高手机的安全性。
这次发现的漏洞位于高通公司的移动基站调制解调器(MSM)上,MSM是嵌入在移动设备中的一系列系统芯片,包括其5G MSM。5G是继4G/LTE之后的下一个移动技术标准。自2019年以来,世界各国一直在实施基础设施以实现这一目标。到2024年,估计全球5G用户将达到19亿。
自20世纪90年代初以来,MSM一直是高通公司为高端手机设计的。它支持4G LTE和高清录制等高级功能。MSM一直并将继续成为安全研究和网络犯罪分子的热门目标。毕竟,黑客一直在寻找远程攻击移动设备的方法,例如发送短信或特制的无线数据包,与移动设备进行通信,并有能力控制移动设备。利用这些第三代合作伙伴计划(3GPP)技术并不是进入调制解调器的唯一入口点。
Android还具有通过高通MSM接口(QMI)与MSM芯片的处理器进行通信的能力,这是一种专有协议,可实现MSM中的软件组件与设备上的其他外围子系统(例如相机和指纹扫描仪)之间的通信。根据Counterpoint Technology Market Research的调查,全球约30%的移动电话中都存在QMI。然而,关于它作为一种可能的攻击媒介的作用知之甚少。
CPR发现,如果安全研究人员想要实施调制解调器调试器来探索最新的5G代码,则最简单的方法是通过QMI利用MSM数据服务,当然网络犯罪分子也可以。在调查过程中,研究人员发现调制解调器数据服务中存在一个漏洞,该漏洞可用于控制调制解调器并从应用程序处理器动态修补它。
这意味着攻击者可能已经利用此漏洞将恶意代码从Android注入到调制解调器中,从而使他们能够访问设备用户的呼叫历史记录和SMS,以及监听设备用户的对话。黑客还可以利用此漏洞来解锁设备的SIM卡,从而克服服务提供商对其施加的限制。
CPR认为,这项研究是移动芯片研究非常受欢迎的领域中的一项潜在飞跃。研究人员希望发现此漏洞将使安全研究人员可以更轻松地检查调制解调器代码,这是当今众所周知很难完成的任务。
CPR负责地向高通公司披露了在此次调查中发现的信息,高通公司确认了该问题,将其定义为高危漏洞,漏洞编号为CVE-2020-11292,并通知了相关设备供应商。
与传统端点相比,移动设备呈现出不同的威胁面。要保护这些设备的安全,请遵循以下针对移动设备的最佳安全性最佳做法:
1、应始终将移动设备更新为操作系统的最新版本,以防止利用漏洞;
2、仅安装从官方应用程序商店下载的应用程序,降低下载和安装移动恶意软件的可能性;
3、在所有移动设备上启用“远程擦除”功能。所有设备都应启用远程擦除,以最大程度地减少丢失敏感数据的可能性;
4、在设备上安装安全解决方案。
参考来源:CheckPointResearch http://t.hk.uy/Em
(三)戴尔驱动程序存在严重特权提升漏洞,数亿设备面临风险
戴尔5月4日披露,其大量系统上存在的固件更新驱动程序受到一系列严重漏洞的影响。戴尔表示,这些漏洞是由于访问控制问题不足造成的,本地经过身份验证的攻击者可以利用这些漏洞进行权限提升、拒绝服务(DoS)或信息泄露。
CrowdStrike、OSR Open Systems Resources、IOActive和SentinelOne的研究人员报告了这些安全漏洞。
SentinelOne表示,他们总共发现了五个漏洞,其中四个可用于权限提升,另一个可用于DoS攻击,其原因为内存崩溃、缺乏输入验证和代码逻辑问题。如果利用该漏洞进行权限提升,则对目标设备具有任何类型访问权限的攻击者都可以使用内核模式权限执行任意代码。可以利用这些漏洞来绕过安全产品。
这些漏洞统称为CVE-2021-21551,CVSS评分为8.8分,只能在Windows系统上利用,戴尔明确表示Linux不受影响。
戴尔表示,有问题的驱动程序dbutil_2_3.sys通过各种固件更新实用程序包以及其他类型的工具提供,包括BIOS更新、迅雷固件更新、TPM固件更新和坞站固件更新实用程序。当使用其中一个受影响的实用程序时,驱动程序安装在戴尔设备上。包括戴尔命令更新、戴尔更新、Alienware更新、戴尔系统库存代理和戴尔平台标签。
SentinelOne相信,该驱动程序存在于全球数亿台戴尔台式机、笔记本电脑、笔记本电脑和平板电脑设备上。
戴尔已发布修复程序,并建议用户立即删除易受攻击的驱动程序文件。戴尔已经提供了一份可能受到影响的数百种产品的清单。
SentinelOne表示,该易受攻击的驱动程序可能会在戴尔自2009年以来出厂的设备上找到。然而,没有证据表明它被恶意攻击所利用。SentinelOne发布了一篇博客文章,详细介绍了他们的发现,但会在下个月分享其概念验证(PoC)漏洞,让用户有时间解决这个问题。
参考来源:SecurityWeek http://dwz.date/eZXQ
(四)思科修复SD-WAN软件及HyperFlex HX数据平台中严重漏洞
思科5月6日发布了修补程序,解决了产品组合中的数十个漏洞,其中包括SD-WAN软件和HyperFlex HX数据平台中的严重漏洞。
SD-WAN vManage软件中修复了两个严重漏洞及三个高危漏洞,这些漏洞不相互依赖,利用这些漏洞不需要利用其它漏洞。其中一个严重漏洞CVE-2021-1468 CVSS得分为9.8分,可能允许未经身份验证的远程攻击者调用特权操作,甚至创建新的管理帐户,从而能够查看、更改或删除数据。另一个严重漏洞CVE-2021-1505 CVSS得分为9.1分,影响SD-WAN vManage基于Web的管理界面,并且允许攻击者获得更高的权限。
SD-WAN vManage中的三个高危漏洞包括获得权限提升CVE-2021-1508、造成DoS状态CVE-2021-1275、及获得对服务的未经授权访问CVE-2021-1506。
思科表示,针对这些漏洞还没有解决方法。受影响的产品包括IOS XE SD-WAN、SD-WAN vEdge路由器、SD-WAN vBond Orchestrator、SD-WAN vEdge云路由器、SD-WAN vSmart Controller软件。
思科还宣布了针对HyperFlex HX安装程序虚拟机基于Web的管理界面中的关键漏洞的修补程序,该漏洞可能导致以root用户身份执行命令,漏洞编号为CVE-2021-1497,CVSS评分为9.8分。另一个高危漏洞CVE-2021-1498 CVSS评分7.3分,也会导致命令注入攻击。
思科还修复了SD-WAN、Small Business 100、300和500系列路由器、企业NFV基础结构软件(NFVIS)、Unified Communications Manager IM&Presence服务、Windows版AnyConnect安全移动客户端中的多个高危漏洞。思科还发布了针对SD-WAN和其他产品中各种中危漏洞的修复程序。思科表示,这些漏洞还没有在攻击中被利用。
参考来源:SecurityWeek http://t.hk.uy/Hj
(五)惠普企业边缘应用程序管理工具EIM存在严重漏洞
Tenable研究人员发现,惠普企业(HPE)的边缘应用程序管理工具Edgeline Infrastructure Manager中存在身份验证绕过漏洞,攻击者能够利用该漏洞实施远程身份验证绕过攻击,并渗透到客户的云基础设施中。HPE敦促其客户修复该工具。
该漏洞为严重漏洞,CVSS得分为9.8,会影响HPE的Edgeline Infrastructure Manager(EIM)1.21之前的所有版本。EIM是HPE两年前推出的边缘计算管理套件。建议用户更新到HPE EIM v1.22或更高版本以修复该漏洞。
TENABLE的研究人员在1月下旬首次发现了该漏洞CVE-2021-29203,并在2月1日通知了HPE该严重漏洞。4月29日HPE发布了对漏洞的修复。据HPE称,十多个版本的软件受到影响,运行在CentOS 7、Red Hat Enterprise Linux、SuSE和多个版本的Windows等操作系统上。
HPE产品安全响应小组在安全公告中表示,“在HPE EIM软件中发现一个安全漏洞。该漏洞可以被远程利用、绕过远程身份认证、从而导致执行任意命令、获得特权访问、导致拒绝服务并改变配置。”
根据Tenable的说法,远程身份验证绕过漏洞与HPE如何处理管理员帐户的密码重置相关。
Tenable表示,“当用户第一次使用现有管理员帐户的默认密码登录到web应用程序时,系统会提示用户更改该帐户的密码。通过向URL/redfish/v1/SessionService/ResetPassword/1发送请求来执行密码更改。然而,在密码更改之后,未经验证的远程攻击者可以使用相同的URL重置管理员帐户的密码。攻击者下一步要做的就是用更新的管理员密码登录Web应用程序,通过向URL/redfish/v1/SessionService/Sessions发送请求登录到web应用程序。攻击者随后可以通过向URL/redfish/v1/AccountService/AccountService/Accounts/1发送请求来更改操作系统超级用户帐户的密码。这使得攻击者能够以超级用户身份通过SSH连接到EIM主机。”SSH是系统管理员最常用于远程命令行请求、系统登录以及远程命令执行的网络协议。
Tenable发布了这次攻击的概念证明。根据Tenable的说法,从Tenable的研究人员让HPE注意到这个漏洞到部署修复程序已经过去了87天。
参考来源:ThreatPost http://t.hk.uy/anV
(六)Qualys披露邮件服务器Exim中存在漏洞21Nails
Qualys研究人员发现,邮件服务器Exim中存在21个安全漏洞,统称为21Nails,其中十个严重漏洞可使用户面临远程代码执行攻击。Exim是一个广泛使用的邮件服务器,过去曾被国家威胁行为者作为攻击目标。
Qualys警告称,该公司自去年10月以来就向Exim报告了这些漏洞,并指出,其中一些漏洞至少自2004年以来就存在于Exim中。
Qualys表示,“我们最近审核了Exim邮件服务器的中央部分,发现了21个漏洞(从CVE-2020-28007到CVE-2020-28026,再加上CVE-2021-27216)。11个本地漏洞和10个远程漏洞。除非另有说明,否则至少从2004年Git历史开始以来,所有版本的Exim都会受到影响。”
Qualys表示,在研究过程中,其团队成功利用了三个远程代码执行漏洞和四个本地权限提升漏洞,从而获得了易受攻击的邮件服务器上的超级用户访问权限。
Qualys表示,“我们暂时不会发布我们的漏洞利用程序。取而代之的是,我们鼓励其他安全研究人员编写和发布自己的漏洞利用程序。该通报包含足够的信息,为这些漏洞开发可靠的漏洞利用程序。实际上,我们相信存在更好的利用方法。”
Exim维护人员提供的另一条说明包含有关应用安全补丁的信息。该组织将应对这些安全问题的拖延归咎于“几个内部原因”。
虽然Exim不像Microsoft Exchange那样为许多人所熟悉,但Exim已被广泛部署,估计为互联网一半以上的邮件服务器提供支持,并预装在几个Linux发行版中。根据E-soft 2021年3月的一次扫描,大约60%的可公开访问的电子邮件服务器运行Exim。
Exim服务器过去一直是高级威胁行为者的攻击目标,美国国家安全局在2020年5月警告称,与俄罗斯有关联的威胁行为者一直在利用这种广受欢迎的电子邮件服务器的安装进行攻击。2019年6月,多名网络罪犯利用Exim CVE-2019-10149漏洞进行攻击,其中包括至少一名威胁行为者试图安装加密挖掘软件。
参考来源:SecurityWeek http://t.hk.uy/aeb
(七)新型攻击方式绕过Spectre漏洞保护,使系统面临风险
2018年1月,当影响现代处理器的一类关键漏洞“幽灵”(Spectre)被公开披露时,发现该漏洞的研究人员表示,“由于它不容易修复,它将在很长一段时间内困扰我们”,并解释了命名投机性执行攻击背后的灵感。事实上,已经过去了三年多了,而且Spectre还没有结束的迹象。
弗吉尼亚大学(University Of Virginia)和加州大学圣地亚哥分校(University of California,San Diego)的一个学者团队发现了一种新的攻击,绕过了目前芯片内置的所有Spectre保护,可能会让几乎所有系统,包括台式机、笔记本电脑、云服务器和智能手机,再次面临风险,就像三年前一样。
Spectre和Meltdown的披露在某种程度上打开了闸门,在这之后的几年里,这些攻击的无数变体被曝光,尽管英特尔、ARM和AMD等芯片制造商一直在整合防御措施,以缓解允许恶意代码直接从计算机内核内存读取密码、加密密钥和其他有价值信息的漏洞。
Spectre的核心是计时侧通道攻击,它打破了不同应用程序之间的隔离,并利用CPU硬件实现中称为推测执行的优化方法来欺骗程序访问内存中的任意位置,从而泄露它们的机密。
研究人员表示,“Spectre攻击会诱使处理器沿着错误的路径执行指令。即使处理器恢复并正确完成了任务,黑客也可以在处理器走错路的同时访问机密数据。”
这种新的攻击方法利用微操作缓存,这是一种将机器指令分解为更简单的命令,并加快计算速度的片上组件,作为泄露秘密信息的辅助通道。微操作缓存自2011年以来一直内置于基于英特尔的机器中。
弗吉尼亚大学助理教授Ashish Venkat表示,“英特尔针对Spectre的防御措施称为LFENCE,它将敏感代码放置在等待区域中,直到执行安全检查为止,然后才允许执行敏感代码。但是事实证明,这个等待区域的墙壁上有耳朵,我们的攻击利用了这些耳朵。我们展示了攻击者如何将微操作缓存用作隐蔽通道,从而通过它偷运机密。”
研究人员详细介绍称,在AMD ZEN微体系结构上,可以利用微操作披露原语来实现带宽为250Kbps、误码率为5.59%或168.58 Kbps并进行纠错的隐蔽数据传输通道。
英特尔在其应对针对加密实现的计时攻击的指导方针中,建议坚持恒定时间编程原则,这是一种说起来容易做起来难的做法,因此仅靠软件更改不足以减轻投机性执行带来的威胁。
Venkat在一份声明中表示,“恒定时间编程不仅对程序员的实际工作而言是困难的,而且还带来了与修补所有敏感软件有关的高性能开销和重大部署挑战。实际上,使用恒定时间原理编写的代码所占的百分比非常小,依靠这一点是很危险的。这就是为什么我们仍然需要保护硬件的原因。”
但是,利用Spectre漏洞是困难的。为了防止新的攻击,研究人员建议刷新微操作缓存,这是一种首先抵消使用缓存获得的性能优势的技术,利用性能计数器来检测微操作缓存中的异常,并根据分配给代码的特权级别对其进行分区,以防止未经授权的代码获得更高的权限。
研究人员表示,“微操作缓存作为一种旁道有几个危险的含义。首先,它绕过了所有将缓存作为辅助通道来缓解的技术。其次,这些攻击不会被任何现有的攻击或恶意软件配置文件检测到。第三,由于微操作缓存位于管道的前端,因此在执行之前,某些通过限制推测性缓存更新来缓解Spectre和其他临时执行攻击的防御措施仍然容易受到微操作缓存攻击。”
参考来源:TheHackerNews http://t.hk.uy/WC
(八)火眼发现威胁组织UNC2529使用的三款新型恶意软件
FireEye的Mandiant网络安全团队5月4日发表博客文章表示,其在2020年12月检测到威胁组织UNC2529使用了三款新型恶意软件Doubledrag、Doubledrop和Doubleback。美国、欧洲、中东和非洲、亚洲和澳大利亚的组织遭受了两次攻击。
该组织UNC2529使用了大量基础结构、量身定制的网络钓鱼诱饵和经过专业编码的恶意软件,该威胁行为者似乎“经验丰富且资源丰富”。
发送给潜在受害者的网络钓鱼信息很少基于相同的电子邮件地址,而且主题是为目标量身定制的。在很多情况下,攻击者会伪装成客户主管,兜售适合不同行业的服务,包括国防、医药、运输、军事和电子。
总共有50多个域名被用来管理全球钓鱼计划。在一次成功的攻击中,UNC2529成功侵入了一家美国供暖和制冷服务公司拥有的域名,篡改了DNS记录,并利用该结构对至少22个组织发起了网络钓鱼攻击。
这些诱饵邮件包含指向恶意PDF有效载荷的URL链接,以及一个附带的JavaScript文件,该文件包含在ZIP文件中。这些从公共来源获取的文档已损坏,无法阅读。因此人们认为,受害者可能会厌烦到双击.js文件试图阅读内容。
Mandiant表示,被严重混淆的.js文件包含Doubledrag下载器。另外,一些活动使用带有嵌入式宏的Excel文档来提供相同的有效负载。执行时,Doubledrag会尝试下载Dropper作为攻击链的第二阶段。这个Dropper程序Doubledrop是一个混淆的PowerShell脚本,旨在通过将后门加载到内存中,在受感染的计算机中建立立足点。后门是最终的恶意软件组件Doubleback,这是在32位和64位版本中创建的恶意软件。
Mandiant表示,“后门一旦获得执行控制权,就会加载其插件,然后进入通信循环,从其命令和控制C2服务器获取命令并分发。关于整个生态系统的一个事实是,文件系统中只有下载程序。其余组件在注册表数据库中序列化,这使得它们的检测变得有些困难,特别是通过基于文件的反病毒引擎。”
有迹象表明,这些恶意软件仍在开发中,因为现有的功能会扫描是否存在反病毒产品(如卡巴斯基和BitDefender的产品)。但是即使被检测到,也不会采取任何行动。对该新型恶意软件的分析正在进行中。
参考来源:ZDNet http://dwz.date/eZvk
(九)欧洲生物研究所遭受Ryuk勒索软件攻击
欧洲一家生物分子研究所遭受了Ryuk勒索软件攻击,因为其一名学生下载了一款盗版的数据可视化软件。使用盗版软件不仅是非法的,而且还是恶意软件感染的常见来源。
威胁行为者通常创建虚假的软件破解下载站点、YouTube视频和种子来分发恶意软件。在过去,研究人员已经发现软件破解下载网站分发勒索软件(如STOP和Exorcist)、加密货币矿工、信息窃取木马。
在该研究所遭受Ryuk勒索软件攻击后,Sophos的应急响应团队迅速做出反应,并消除了网络攻击。这次攻击使该研究所损失了一周的研究数据,并造成长达一周的网络中断,因为服务器是从头开始重建的,数据是从备份中恢复的。
在对攻击进行取证之后,Sophos确定威胁参与者的初始入口点是一个使用学生凭证的RDP会话。该研究所与大学生合作,帮助他们完成研究和其他任务。作为合作的一部分,学院为学生提供远程登录他们的网络的登录凭证。
在获得了学生的笔记本电脑的访问权限并分析了浏览器历史记录之后,攻击者了解到该学生搜索了一款昂贵的数据可视化软件工具,该软件在工作中使用,并想要安装在家用电脑上。
这位学生没有花几百美元购买许可证,而是搜索了一个破解版本并从warez网站下载了该版本。但是,该学生没有获得预期的软件,而是感染了窃取信息的木马。该木马记录了击键、窃取了Windows剪贴板的历史记录、并窃取了密码,包括Ryuk威胁行为者登录该研究所使用的相同凭据。
Sophos应急响应经理Peter Mackenzie表示,“这些盗版软件恶意软件背后的运营商不太可能与发起Ryuk攻击的运营商相同。以前受到攻击的网络的地下市场为攻击者提供了容易的初始访问机会,这一情况正在蓬勃发展,因此我们认为,恶意软件运营商将其访问权出售给了另一位攻击者。RDP连接本来可以是访问代理测试他们的访问。”
过去几年来,致力于销售远程访问凭据的市场蓬勃发展,并已成为勒索软件团伙用来访问公司网络的常见帐户来源。这些窃取的凭证中有许多是使用信息窃取木马收集的,然后在这些市场上以低至3美元的价格逐笔出售。
就在最近,研究人员还获得了UAS泄露数据的访问权限,UAS是最大的Windows远程桌面凭据市场之一。该数据表明,在过去三年中,UAS市场上有130万个帐户要出售,为威胁者提供了庞大的受害者目标。
不幸的是,总会有人为错误的可能性,用户总是会打开网络钓鱼电子邮件并下载破解软件。但是,正确配置网络安全性可以防止此攻击,例如要求远程桌面连接使用MFA,并限制从特定位置或IP地址的访问。
参考来源:BleepingComputer http://t.hk.uy/W3
(十)比利时政府网络提供商Belnet遭受DDoS攻击
比利时政府网络5月4日遭到不明组织发动的分布式拒绝服务攻击(DDoS),导致内外部连线服务中断,迄今尚未完全修复,Belnet 5月6日称情况已得到控制。
受到攻击的是比利时政府资助的负责该国政府单位网络连线的ISP Belnet Network。根据Belnet网页说明,DDoS攻击发生在当地时间5月4日中午左右,造成内部网站运作中断,仅能依靠手动更新。到当天晚上,Belnet表示经过实施多项缓解措施,问题已逐渐缩小,不过仍未能恢复正常营运。
Belnet服务中断据称已影响200多个比利时国家政府单位、科学研究机构及大学等。许多政府单位一度连视频会议都被迫取消,包括国会针对中国维吾尔议题将要展开的辩论。目前比利时国会网站、最高行政法院已恢复营运,但根据美联社报导,其他单位如国税局税务及电子表单入口网站、经济事务部、以及疫情资讯网站,则仍处于断线状态。目前网络中断尚未抢修完毕,比利时政府尚未对DDoS攻击公布说法。Belnet 5月6日称情况已得到控制。
这是半年来最新一起西方政府网站遭到攻击。加拿大政府去年8月遭受了黑客攻击,导致当地公民身份验证信息泄露。挪威及芬兰国会电子邮件系统,也在去年10月及12月被黑客入侵,窃取了议员的信件。
本文版权归原作者所有,参考来源:iThome http://t.hk.uy/ags
(十一)美国阿拉斯加法院系统遭受网络攻击被迫中断
美国阿拉斯加法院系统5月1日遭受了网络攻击,暂时中断了大部分互联网业务,法院网站已下线,也取消了查询法院记录服务。
法院官员称,这一威胁活动干扰了电子法庭文件,中断了在线支付,并阻止了几天内的电视会议听证会。阿拉斯加最高法院首席法官Joel Bolger表示,“我认为在未来几天内可能会带来一些不便,可能会取消一些听证会,或者某些法官决定从电视会议转为电话会议程序等。我们还没有弄清所有这一切。”
法院系统在书面声明中表示,他们正在努力从其服务器中删除恶意软件。该声明表示,“目前,法院系统不认为有任何机密的法院文件或雇员信息已经泄露,但是如果出现这种情况,会立即通知任何受影响的个人。目前没有客户的信用卡信息被泄露。”
5月2日,法院系统在其Facebook和Twitter上发布消息称,所有在押庭审将按计划进行。消息显示,“地方法院已与司法合作伙伴取得联系,让他们知道任何变化。”
Bolger表示,有法院官员在4月29日注意到“某些服务器和个人计算机出现异常”,并在30日聘请了一名专家。该专家表示,确实有人试图渗透到电脑系统。目前尚不清楚该恶意软件是寻找信息还是寻求资金。
Bolger表示,“我认为我们在早期阶段就发现了这一点。我不知道这些行为者的动机。”Bolger拒绝评论异常是如何发现的,只是说“大约”有3,000台计算机受到了影响。目前法院的电话号码仍然正常,这可能需要几天时间才能确定损坏程度。
参考来源:SecurityWeek http://dwz.date/eYYH
(十二)巴西法院遭受勒索软件REvil攻击
巴西南里奥格兰德州法院(TJRS)4月28日遭受了REvil勒索软件攻击,对员工的文件进行了加密,并迫使法院关闭了网络。
攻击于28日早晨开始,当时员工突然发现他们的所有文档和图像都无法访问,并且勒索信件已出现在Windows桌面上。
攻击开始后不久,TJRS官方Twitter帐户警告员工不要在本地或通过远程访问登录网络系统。TJRS法院系统在Twitter上表示,“TJRS的在计算机系统面临着不稳定。系统安全团队建议内部用户不要远程访问计算机,也不要登录TJ网络内的计算机。”
一位名为Brute Bee的巴西安全研究员共享了勒索信件的截图。勒索信件显示该勒索软件组织是REvil,研究人员确认发起此次攻击的是勒索软件组织REvil。勒索赎金为500万美元,来换取解密文件且不泄露数据。在一份音频录音中,一个人称这种攻击是“可怕”和“有史以来最糟糕的事情”,而IT人员在急于恢复千万台设备时遭受了“歇斯底里的压力攻击”。
这种网络攻击并不是对巴西法院系统遭受的第一次勒索软件攻击。去年11月,巴西高级法院遭到RansomEXX勒索软件组织的攻击,该组织在视频会议开庭之际就开始对设备进行加密。同时,其他巴西联邦政府机构的网站也处于离线状态,但尚不清楚这些网站关闭是为了安全起见还是受到攻击。
参考来源:BleepingComputer http://dwz.date/eXVX
(十三)医疗保健提供商Scripps Health遭受索软件攻击
圣地亚哥非营利医疗保健提供商Scripps Health遭受了勒索软件攻击,迫使该组织暂停用户对其主页的访问,转而采用其他方法进行病人护理操作。攻击发生后,患者服务已经中断,一些重症监护患者已被转移到其他医院。
Scripps Health在5月1日晚检测到了这次攻击,并暂停了用户对MyScripps和Scripps.org等连接到医疗设施的应用程序的访问。2日,这家医疗保健提供商在一条消息中解释称,尽管IT应用程序处于离线状态,但“我们的设施继续安全有效地提供患者护理”。
不过,Scripps Health在Facebook上表示,一些地方仍然对病人护理开放,例如门诊急救中心、Scripps HealthExpress和急诊。
该组织补充表示,这项工作是使用既定的备份流程完成的。据圣地亚哥联合论坛报报道,医务人员依赖纸质记录,对患者生命体征的电子监测也受到了攻击的影响。内部通知显示,勒索软件攻击影响了两家医院的计算机系统,包括获取医疗成像的权限。
由于此次攻击,Encinitas、La Jolla、San Diego、及Chula Vista的医院不再接收中风或心脏病发作的患者,这些患者被转移到其他医疗机构。Scripps Health正在努力恢复正常运营,并已将情况通报执法部门和政府组织。
Scripps Health拥有五家医院和19个前哨机构,2600多名医生。根据财富杂志数据显示,Scripps Health每年要治疗70多万名患者。2020年,Scripps Health的季度收入超过7.9亿美元,成为勒索软件组织的一个有吸引力的攻击目标,这些组织完全受利益驱使而没有道德标准。
参考来源:BleepingComputer http://t.hk.uy/aqp
(十四)美国国际媒体署遭受钓鱼攻击泄露员工信息
美国国际媒体署(USAGM)近日披露,其发生了一起数据泄露事件,泄露了现任和前任雇员及其受益者的个人信息。
USAGM是一个美国政府机构,其使命是“让全世界人民了解、参与并联系起来,以支持自由和民主”。USAGM运营着广播网络,如美国之音、自由欧洲电台、古巴广播办公室、自由亚洲电台和中东广播网络,向世界各地的人们提供新闻和信息。
美国国际媒体署的前身是1994年设立的美国广播事业管理委员会(BBG),负责管理美国对外宣传的国际广播活动。被称为美国政府喉舌的美国之音(VOA)和自由亚洲电台(RFA)等都属于它。
在美国之音前白宫记者Dan Robinson分享的一份数据泄露通知中,USAGM透露,他们在2020年12月遭受钓鱼攻击后发生了数据泄露。该网络钓鱼攻击允许攻击者访问该机构的电子邮件帐户,该电子邮件帐户包含2013至2020年间在该机构工作的现任和前任USAGM、美国之音和古巴广播办公室员工的个人信息。泄露的信息包括员工的姓名和社保号码,可能还有他们的受益人和家属。
USAGM表示,他们在得知被入侵的消息后,立即保护了受影响的账户的安全,并开始向员工提供网络钓鱼教育。同时还加快了针对Office 365、SharePoint和OneDrive账户的多因素认证(MFA)的使用。
虽然USAGM提供了一年免费Experian IdentityWorks订阅服务,但这可能来得太晚了。Robinson表示,他得知这些信件是在2021年4月13日发给现有员工的,也就是威胁者访问这些数据的四个月后。这种长时间的延迟可能会给黑客更多的时间来对那些在数据泄露中暴露的人进行进一步的钓鱼攻击或身份盗窃。受影响人士应警惕利用被盗数据的潜在钓鱼诈骗,并警告其家人也要小心。
参考来源:BleepingComputer http://t.hk.uy/aqC
(十五)云托管提供商Swiss Cloud遭受勒索软件攻击
瑞士云托管提供商Swiss Cloud 4月27日遭受了勒索软件攻击,严重影响了其服务器基础设施,该公司目前正在HPE和Microsoft的专家的帮助下,从备份中恢复操作。
该公司在其状态页面上发布了一份声明,“在4月27日的网络攻击之后,Swiss Cloud计算公司正在进行清理系统和恢复正常运行的工作。备份系统可以用于恢复。受攻击影响的部分复杂服务器网络必须首先单独清理,并使用相应的时间效应重新配置。清理和恢复服务器的工作,Swiss Cloud公司得到了来自HPE和微软系统合作伙伴的专家的支持,这让我们有理由相信,这些系统将在未来一周再次可用。这项工作还将在周末24小时轮班进行。”受影响的服务器预计将在下周恢复。
Swiss Cloud目前还没有提供有关安全漏洞的信息,比如涉及的恶意软件家族、要求的赎金金额,以及攻击者是如何破坏主机提供商的。
据称,此次勒索软件攻击已经影响了该供应商的6500多名客户,包括德国人力资源软件巨头Sage。
参考来源:SecurityAffairs http://t.hk.uy/apS
(十六)黑客利用新型恶意软件Panda Stealer窃取加密货币
趋势科技研究人员5月4日发表文章称,其发现了一种名为Panda Stealer的新型信息窃取恶意软件,正在通过垃圾邮件发送,针对美国、澳大利亚、日本及德国的攻击目标。该恶意软件通过网络钓鱼电子邮件开始其感染链,上传到VirusTotal的样本表明,受害者已通过Discord链接从恶意网站下载了可执行文件。
Panda Stealer的网络钓鱼电子邮件伪装成企业报价请求。到目前为止,已经有两种方法与该活动相关联。第一种方法使用附件的.XLSM文档,该文档要求受害者启用恶意宏。如果允许使用宏,则加载程序将下载并执行主窃取程序。
在第二种方法中,附加的.XLS文件包含一个Excel公式,该公式隐藏了PowerShell命令。此命令尝试访问paste.ee URL,以将PowerShell脚本拉到受害者的系统中,然后获取无文件有效负载。
趋势科技表示,“Visual Basic中的CallByName导出功能用于从paste.ee URL调用内存中的.NET程序集。使用Agile.NET模糊处理程序进行模糊处理的加载程序集将合法的MSBuild.exe进程挖空,并用其有效负载替换。来自另一个paste.ee URL的十六进制编码的Panda Stealer二进制文件。”
下载完成后,Panda Stealer将尝试检测与持有包括以太坊(ETH)、莱特币(LTC)、字节币(BCN)和达世币(DASH)等资金的加密货币钱包相关的密钥和地址。此外,该恶意软件还可以截屏、泄露系统数据、并窃取包括浏览器Cookie和NordVPN、Telegram、Discord和Steam帐户凭据等信息。
虽然该活动并未归因于特定的网络攻击者,但趋势科技表示,对恶意软件的活动命令与控制(C2)服务器的检查导致该团队找到了IP地址和从Shock Hosting租用的虚拟专用服务器(VPS)。此后服务器已被挂起。
Panda Stealer是Collector Stealer的一种变体,该恶意软件过去曾在地下论坛和Telegram渠道上出售。此后,该恶意软件似乎已被名为NCP/su1c1de的俄罗斯威胁行为者破解。破解后的恶意软件种类相似,但使用不同的基础结构元素,例如C2 URL和文件夹。
趋势科技研究人员指出,“由于破解的Collector Stealer生成器可以在网上公开访问,网络犯罪分子和脚本都可以使用它来创建自己的定制版本的窃取程序和C2面板。威胁行为者还可以利用Collector Stealer的特定功能来增强其恶意软件活动。
趋势科技表示,攻击链和无文件分发方法与Phobos勒索软件存在相似之处。具体来说,如Morphisec所述,Phobos的“Fair”变体在分发方式上相似,并且会不断更新以减少其占用空间,例如减少加密要求,以便尽可能长时间地处于监视之下。研究人员还在2021年4月的一份报告中指出了Phobos和LockBit之间的关联性。
参考来源:ZDNet http://t.hk.uy/Jx
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
