关键信息基础设施安全动态周报【2021年第24期】
发布时间:
2021-06-28
来源:
作者:
访问量:
864
目 录
第一章 国外关键信息基础设施安全动态
(一)美国核武器承包商Sol Oriens遭受REvil勒索软件攻击
(二)美国再生能源公司Invenergy遭受勒索软件REvil攻击泄露4TB数据
(三)美国最大丙烷供应商AmeriGas披露数据泄露事件
(四)韩国海运公司HMM电子邮件系统遭受网络攻击
(五)CISA警告数百万联网摄像头存在严重漏洞
(六)G7领导人呼吁俄罗斯打击其境内勒索软件组织
(七)大众汽车外包商泄露北美330万车主信息
(八)黑客出售法国电信供应商Free的数据库访问权
(九)美国医疗保健企业CVS Health超过十亿条记录在网上曝光
(十)攻击者利用恶意网站链接针对印度政府官员
(十一)以色列国防军前参谋长计算机遭受伊朗黑客入侵
(十二)伊朗黑客入侵非洲银行和美国联邦图书馆网站
(十三)APT组织BackdoorDiplomacy攻击非洲及中东国家外交组织
(十四)勒索软件Avaddon关闭运营并释放解密密钥
(十五)知名游戏公司EA遭受重大数据泄露
(十六)思科UC第三方配置工具存在三个高危漏洞
(一)美国核武器承包商Sol Oriens遭受REvil勒索软件攻击
Sol Oriens是美国能源部(DOE)的分包商,与国家核安全局(NNSA)合作研发核武器,上个月遭受了一次网络攻击,专家称此次攻击来自REvil勒索软件即服务(RaaS)团伙。
这家位于新墨西哥州阿尔伯克基市的公司的网站至少从6月3日起就无法访问,但Sol Oriens的官员向福克斯新闻和CNBC证实,该公司是在上个月的某个时候意识到这次入侵的。
CNBC的Eamon Javers在推特上发布了该公司的声明,“2021年5月,Sol Oriens意识到影响我们网络环境的网络安全事件。调查正在进行中,但我们最近确定未经授权的个人从我们的系统中获取了某些文件。这些文件目前正在审查中,我们正在与第三方技术取证公司合作,以确定可能涉及的潜在数据的范围。我们目前没有迹象表明此事件涉及客户机密或与安全相关的关键信息。一旦调查结束,我们将致力于通知涉及信息的个人和实体。”
Javers从该公司发布的招聘信息中发现,该公司处理核武器相关问题,招聘信息中包含“高级核武器系统主题、拥有20多年W80-4等核武器经验的专家”等信息。W80是一种搭载在空射巡航导弹上的核弹头。
根据存档版本及其LinkedIn简介,Sol Oriens是一家“小型、资深的咨询公司,专注于管理具有强大军事和空间应用潜力的先进技术和概念”,与“国防部和能源部组织、航空航天承包商、科技公司执行复杂的项目,并致力于确保有发达的技术来维持强大的国防。”
安全公司Emsisoft威胁分析师和勒索软件专家Brett Clow表示,他发现了发布在Revil暗网博客上的Sol Oriens的内部信息。
据报道,数据包括从2020年9月开始的公司工资表,列出了一些员工的姓名、社保号码和季度工资。还有一份公司合同分类账,以及一份概述员工培训计划的备忘录的一部分。备忘录的顶部有能源部和NNSA国防项目的标志。
目前值得深切关注的是核安全管理局负责维护和确保国家的核武器储备,并为军方从事核应用方面的工作,以及其他高度敏感的任务。
据报道,REvil指责分包商Sol Oriens“没有采取一切必要措施保护其员工的个人数据和合作公司的软件开发。”
参考来源:ThreatPost http://t.hk.uy/xjj
(二)美国再生能源公司Invenergy遭受勒索软件REvil攻击泄露4TB数据
6月11日,美国再生能源公司Invenergy向金融时报证实,其遭受了REvil勒索软件攻击。
Invenergy是全球最大的再生能源公司之一,主要提供风力发电、太阳能发电、储存、天然气与净水解决方案,迄今已于全球建置了184个专案,生产29,022兆瓦的再生能源,可供超830万户的家庭使用。
根据报导,REvil集团成功入侵了Invenergy,窃取了该公司多达4TB的机密信息,却没有加密Invenergy的内部资料,但同样向Invenergy进行勒索,威胁Invenergy若不支付赎金就要公布资料。猜测REvil可能是加密失败,或者是选择不加密Invenergy或摧毁Invenergy的业务。
REvil集团宣称取得了Invenergy的专案信息与合约,还说拿到了该公司执行长Michael Polsky非常私密及火辣的资料,包括Polsky的电子邮件、照片,以及与妻子离婚的细节等。
不论如何,Invenergy向金融时报表示,并不打算支付任何的赎金。
本文版权归原作者所有,参考来源:iThome http://t.hk.uy/xmv
(三)美国最大丙烷供应商AmeriGas披露数据泄露事件
美国最大的丙烷供应商AmeriGas披露了一起短暂的数据泄露事件,该事件持续了8秒,但影响了123名员工。AmeriGas为美国50个州的200多万客户提供服务,拥有2500多个经销地点。
AmeriGas向新罕布什尔州司法部长办公室报告了本月的数据泄露事件。此次数据泄露的起源是J.J.Keller,他是一家负责向AmeriGas提供美国运输部合规服务的供应商,该公司帮助AmeriGas进行驾驶记录检查、对驾驶员进行药物和酒精测试,以及其他DOT强制实施的监管检查。
5月10日,J.J.Keller在其系统上检测到与公司电子邮件账户相关的可疑活动,立即开始调查网络,发现J.J.Keller的一名员工成为了网络钓鱼邮件的受害者,导致他们的账户被盗。在这个简短的访问窗口中,威胁参与者可以查看雇员的受威胁帐户中存在的某些文件。在重置该员工的账户凭证后,J.J.Keller立即开始取证活动,以确定这次违约的全部范围。
5月21日,J.J.Keller通知AmeriGas,这次8秒的入侵暴露了123名AmeriGas员工的记录,这些记录在攻击者可以看到的文件中。根据J.J.Keller的说法,在8秒的入侵期间,黑客获得了包含123名AmeriGas员工信息的电子表格附件的内部电子邮件,包括实验室id,社会安全号码,驾驶执照号码和出生日期。
AmeriGas在2021年6月4日的数据泄露通知中披露,“到目前为止,我们还不知道有任何实际或试图滥用此个人数据的行为。”
在这次泄密事件中,只有一名新罕布什尔州居民的信息被曝光,此人已收到事件通知,并得到了免费的信用监控服务。目前,没有迹象表明任何员工信息被复制或滥用。
(四)韩国海运公司HMM电子邮件系统遭受网络攻击
韩国远洋运输公司HMM于6月15日证实,6月12日其电子邮件系统遭受了病毒攻击。
HMM表示,“检测到一个不明的安全漏洞,这导致某些地区对电子邮件Outlook系统的访问受到限制。截至14日,大部分已确认的损害已经恢复,没有发现数据泄露。但截至15日,除美国和欧洲以外的所有地区的电子邮件服务器都仍然受到影响”。
HMM建议仍受影响地区的托运人通过电话联系当地HMM代理处进行预订和其他查询。
HMM证实,“除了电子邮件,系统和功能都完全可以运行,这归功于独立的基于云的系统,电子邮件系统正在逐步恢复,公司的IT规划团队正在继续调查,以防止进一步的安全事故。HMM将加强安全检查并采取保护措施。”
HMM欧洲的一名联系人证实,其核心系统“完全不受影响”,除了“一些不完整的电子邮件服务器问题”外,此次攻击“对预订没有影响”。该人员表示,“我们的电子邮件基本上都已恢复,并为我们在欧洲的工作服务。但到目前为止,我们的网络弹性似乎很好。”
参考来源:TheLoadStar http://t.hk.uy/xpq
(五)CISA警告数百万联网摄像头存在严重漏洞
美国CISA于6月15日发布警告称,数百万个联网的安全和家庭摄像头中存在一个高危漏洞,远程攻击者可以利用该漏洞入侵视频源。到目前为止,还没有已知的针对野外漏洞的公开利用。
该漏洞编号为CVE-2021-32934,CVSS v3得分为9.1,是通过ThroughTek的供应链组件引入的,该组件由几家安全摄像头原始设备制造商(OEM)以及诸如婴儿和宠物监控摄像头、机器人和电池设备等物联网设备制造商使用。
未经授权查看这些设备提供的信息可能会带来无数潜在问题。对于关键的基础设施运营商和企业来说,截取视频可能会泄露敏感的商业数据、生产/竞争机密、用于物理攻击的楼层平面图信息以及员工信息。对于家庭用户来说,隐私的影响是显而易见的。
ThroughTek的问题组件是其点对点(P2P)软件开发工具包(SDK),据供应商称,该工具包已经安装在数百万台联网设备上。它被用来在互联网上提供对音频和视频流的远程访问。
Nozomi Networks发现了这个漏洞,并指出P2P的工作方式基于三个架构方面:
1、网络录像机NVR(Network Video Recorder),连接安全摄像头,代表本地生成音频/视频流的P2P服务器。
2、一个离线的P2P服务器,由摄像头供应商或P2P SDK供应商管理。这个服务器作为一个中间人,允许客户端和NVR彼此建立连接。
3、从互联网访问音频/视频流的软件客户端,可以是移动应用程序,也可以是桌面应用程序。
Nozomi研究人员在分析ThroughTek的P2P平台的具体客户端实现以及通过P2P连接到NVR的Windows客户端产生的网络流量时发现,本地设备和ThroughTek服务器之间传输的数据缺乏安全的密钥交换,而是依赖于基于固定密钥的模糊处理方案。
Nozomi在文章中表示,“在正确的位置设置了几个断点后,我们设法识别出有趣的代码,在这些代码中,网络的数据包有效负载被解混。”由于此流量遍历互联网,因此能够访问它的攻击者可以重建音频/视频流。
Nozomi能够创建一个概念验证脚本,从网络流量中对动态数据包进行解混,但没有给出进一步的技术细节。值得注意的是,ThroughTek的建议还将设备欺骗和设备证书劫持列为利用该漏洞的其他潜在风险。供应商已在最新版本的固件中修补了该问题。
受影响的版本和补救措施包括:
1、所有3.1.10以下版本;
2、带有nossl标记的SDK版本;
3、不使用AuthKey进行iot连接的设备固件;
4、使用AVAPI模块而不启用DTLS机制的设备固件;
5、使用P2PTunnel或RDT模块的设备固件。
可采取的行动:
1、如果SDK版本为3.1.10及以上,需要开启Authkey和DTLS;
2、如果SDK低于3.1.10,请将库升级到3.3.1.0或3.4.2.0,并开启Authkey/DTLS。
但是,终端用户将被迫依赖相机和物联网制造商来安装更新,ThroughTek的供应商合作伙伴没有公开。因为多年来,ThroughTek的P2P库已经被多个供应商集成到许多不同的设备中,第三方几乎不可能跟踪受影响的产品。
物联网摄像头的漏洞并不罕见。例如,上个月Eufy家庭安全摄像头的所有者收到警告,称其内部服务器存在漏洞,陌生人可以查看、缩放和放大他们的家庭视频。客户也突然被允许对其他用户做同样的事情。
参考来源:ThreatPost http://t.hk.uy/xmR
(六)G7领导人呼吁俄罗斯打击其境内勒索软件组织
鉴于近期在欧美引起轩然大波的勒索软件攻击事件,七国集团成员国呼吁俄罗斯和其他国家打击在其境内活动的勒索软件团伙。
七国集团(G7)6月13日在英国康沃尔举行的为期三天的会议结束时发表公报表示,“我们呼吁所有国家紧急查明并捣毁在其境内运作的勒索软件犯罪网络,并追究这些网络对其行为的责任。特别是,我们呼吁俄罗斯查明、破坏并追究其境内实施勒索软件攻击、滥用虚拟货币洗钱和其他网络犯罪的人的责任”。
该联合声明由七国集团(G7)成员加拿大、法国、德国、意大利、日本、英国和美国政府签署。
在此之前,一系列勒索软件攻击在新冠疫情大流行期间导致医院中断,Colonial管道攻击导致美国东海岸燃料中断,以及JBS Foods勒索软件事件后澳大利亚和美国的牛肉供应问题。
上述攻击将勒索软件问题从事件响应报告的最深处带到白宫每日国家安全简报上,迫使美国及其G7成员国在全球政治层面采取行动,G7成员国正面临着破坏性勒索软件攻击新浪潮。
目前尚不清楚该公报将如何为打击勒索软件团伙的实际斗争做出贡献。该模糊声明,只是敦促其他国家解决他们的问题,并没有可操作的措施。
据信大多数勒索团伙都在前苏联国家境内活动。这些组织中的大多数都在不成文的规则下运作,只要他们专门针对西方国家发动攻击,并避开俄罗斯及其邻国,地方当局就会让他们和平运作。
此前,美国情报部门表示,至少有一个网络犯罪组织的成员(Evil Corp)在受到保护并与俄罗斯内部情报机构联邦安全局(FSB)合作开展活动。
英国国家网络安全中心首席执行官Lindy Cameron称勒索软件攻击是对英国用户的最大的网络威胁,远远超过民族国家黑客组织,并强调虽然国家资助的组织可能会追捕有限数量的目标,勒索软件组织不分青红皂白地进行无声的间谍活动,并且毫无保留地造成大规模破坏,以获取赎金。
参考来源:TheRecord http://t.hk.uy/xcb
(七)大众汽车外包商泄露北美330万车主信息
德国大众汽车6月11日以电子邮件方式通知其受影响客户,由于合作的外包商发生长达近2年的信息安全事件,导致330万北美车主包括姓名、电子邮件及生日等资料泄露。
大众汽车于今年3月10日接到通知,一个奥迪、大众及美国、加拿大授权经销商使用的合作厂商系统遭受了未授权的第三方存取。大众调查后证实,攻击者取得了客户、潜在客户的个人资料。
这些资料包括2014年到2019年的销售资料,大众汽车相信是这家厂商不慎将未做好安全防护的资料库放在网络上所致,时间点从2019年8月到2021年5月。
泄露的资料包括车主姓名、个人或公司地址、电子邮件信箱或电话。其中一些还有车主购买、租用或询问的车型、包括车辆识别码、车型、年份、颜色。
此外也泄露了和购车、租车、贷款资格相关的敏感个人信息,其中95%为驾照号码,涉及美国、加拿大9万多笔,以及很少部份的客户的生日、社会安全码及社会保险号、帐号、税籍编号等。
大众启程并未说明这家厂商身份。只表示已经通报执法机关和主管单位,并和外部安全专家著手评估事件范围,也和厂商采取解决方案。
这是近年最新一起汽车大厂资料泄露事件。2019年以来已有包括本田泄露上亿员工资料、丰田日本、澳州及越南遭黑客攻击。2018年也曾发生福特、丰田、特斯拉、福斯汽车的外部自动化供应商线上资料库没有设密码的乌龙事件。今年4月美国第二大汽车保险公司Geico官网爆出有漏洞,可能允许黑客窃取客户驾照号码。
本文版权归原作者所有,参考来源:iThome http://t.hk.uy/xjK
(八)黑客出售法国电信供应商Free的数据库访问权
一名黑客获得了法国电信供应商Free的数据库访问权,并向Free公司发出关于SQL注入的警告。由于该黑客没有收到Free公司的恢复,因此在黑客论坛上出售该公司的数据库访问权限,售价为2000美元。Free是Iliad的子公司。
如果卖方说法属实,买方可能获得大量有价值和敏感的数据,可能给这家法国公司及其客户带来巨大麻烦。值得注意的是,论坛的其他成员也声称可以访问这些数据,这意味着该数据库很长一段时间都很容易受到攻击。
对于访问是否暴露了客户的详细信息,黑客做出了肯定的回答。因此,如果该公司证实了这一黑客行为,它将自动被认定为违反GDPR。这将招致该国数据保护局的调查,根据调查结果,还可能被处以巨额罚款。如果Free继续无视他的信息,他也会很快发布客户端数据。
如果数据库访问被确认为真实,则可能意味着客户姓名、电子邮件地址、手机号码、会员凭证、用户ID、IP地址等信息将被公开。截至目前该事件尚未得到官方证实。
参考来源:TechNadu http://t.hk.uy/xkF
(九)美国医疗保健企业CVS Health超过十亿条记录在网上曝光
研究公司WebsitePlanet与研究人员Jeremy Fowler共同发现了一个不受密码保护的数据库,其中包含超过10亿条记录。经过调查研究,该数据库属于CVS Health。
CVS Health是美国健康看护业务集团,旗下有全美最大药妆渠道连锁CVS药店、Target药店、健康保险公司Aetna、及健康管理服务Caremark、Omnicare等品牌。
该数据库大小为204 GB,包含事件和配置数据,包括访问者ID、会话ID、设备访问信息的生产记录,例如访问该公司域名的访问者是否使用iPhone或Android手机,以及该团队所称的日志系统如何从后端运行的“蓝图”。
公开的搜索记录还包括药物、新冠肺炎疫苗和各种CVS产品的查询,涉及CVS Health和CVS.com。
研究人员表示,“可以将会话ID与他们在会话期间搜索或添加到购物车中的内容进行匹配,然后尝试使用泄露的电子邮件来识别客户。”这种不安全的数据库可以用于有针对性的网络钓鱼,方法是交叉引用系统中记录的一些电子邮件,可能是通过意外提交搜索,或者交叉引用其他行为。竞争对手也可能对系统中生成和存储的搜索查询数据感兴趣。
WebsitePlanet向CVS Health发送了一份披露通知,并很快收到了确认数据集属于该公司的回复,并在同一天限制了公众访问。
参考来源:ZDNet http://t.hk.uy/xpQ
(十)攻击者利用恶意网站链接针对印度政府官员
多名印度政府官员6月9日成为了恶意网络链接攻击的目标。包括国防部官员在内的政府官员通过WhatsApp、短信和电子邮件方式收到了恶意网络链接,要求其更新疫苗接种状态。甚至有官员接到了冒充陆军医院的电话。
该恶意消息希望官员们点击www.covid19india.in.生成一个新冠疫苗接种数字证书。该短信署名为MoHFW,上面写着,“按照卫生部的指令,在https://covid19india.in上确认你的疫苗接种证明,并生成你的疫苗接种证书。”
当点击该链接时,它将用户引导到一个类似于官方政府网站“mygov.in”的“@gov.in”网站。用户被要求在虚假页面上输入他们的官方电子邮件和密码。
在发给国防部一名官员的电子邮件中,分享了一个Google Drive链接,假装正在收集有关武装部队接种疫苗后采取的措施信息。一些官员甚至接到电话,来电者说他是从陆军医院打来的,该官员需要更新WhatsApp上发送的链接上的疫苗接种状态。
报道称,官员们被警告不要点击该链接,因为这是一种试图访问官方电子邮件和通信的网络钓鱼行为。
参考来源:SecureReading http://t.hk.uy/xkz
(十一)以色列国防军前参谋长计算机遭受伊朗黑客入侵
据《以色列时报》报道,一名为伊朗工作的网络罪犯攻击了一名前以色列国防军参谋长的电脑,并获得了他整个电脑数据库的访问权限。Channel 10表示该黑客是Yaser Balaghi。据报道,他事后吹嘘自己黑客行为,但也在不知情的情况下留下了自己身份的痕迹。这以行为迫使伊朗关闭了针对全球1800人的网络行动,其中包括以色列军方将领、波斯湾人权捍卫者和学者。
两周前,以色列网络安全公司Check Point披露了伊朗的黑客行动,《以色列时报》率先报道了这一行动。Channel 10周二的报道中也强调了Check Point的信息。Check Point首席执行官Gil Shwed在1月底告诉以色列电台,攻击开始于两个月前,目标收到了意在在他们的电脑上安装恶意软件的电子邮件。
超过四分之一的收件人打开了邮件,无意中下载了间谍软件,让黑客得以从他们的硬盘中窃取数据。
在过去两年中,以色列遭到了几次网络攻击。据官员称,一些渗透行动是由与真主党和伊朗政府有关的黑客实施的。
1月底,能源部长Yuval Steinitz表示,以色列电力管理局遭受到严重的网络攻击。不过,他没有具体说明袭击的来源。今年6月,以色列网络安全公司ClearSky宣布,它探测到一波来自伊朗的针对以色列和中东目标的持续网络攻击,以色列将军们也在攻击对象之列。据该公司称,其目的是间谍活动或其他民族国家利益。
根据ClearSky的说法,黑客使用了定向钓鱼等技术,他们利用看似合法和可信的虚假网站来获取用户身份数据。他们成功渗透了以色列境内的40个目标和国际上的500个目标。在以色列,攻击目标包括退休将军、安全咨询公司雇员和学术学者。
目前,以色列有173家大到足以吸引风险资本和其他主要投资者的公司。根据以色列风险资本研究中心本月早些时候发布的一份报告,以色列目前有430家网络公司,自2000年以来,平均每年有52家新的网络创业公司成立。
参考来源:Softpedia http://t.hk.uy/xnU
(十二)伊朗黑客入侵非洲银行和美国联邦图书馆网站
据《Iran Briefing》称,自称来自伊朗的黑客攻击了塞拉利昂非洲商业银行和美国联邦存放库计划的网站,并发布了亲伊朗的评论和图片。
谷歌搜索结果显示,塞拉利昂商业银行的网站为“H4ck3D IRANIAN HACKER”。推特截图显示了在美国空袭中丧生的前伊斯兰革命卫队圣城部队指挥官Qasem Soleimani的画像,上面写着“被伊朗黑客入侵,被伊朗盾牌入侵”。
图书馆项目网站被更改为美国总统唐纳德特朗普被拳打脚踢的血腥画面,以及印有波斯语和英语的消息,显示“殉难是苏莱曼尼多年来努力的回报”。
美国国土安全部下属的网络安全和基础设施安全局的一名代表证实了这起入侵事件。发言人表示,“我们知道联邦寄存图书馆计划(FDLP)的网站被发布了亲伊朗、反美的信息。目前还没有证据表明这次黑客攻击是由伊朗政府支持的行为者实施的。”
该网站已被删除,不再可用。网络安全和基础设施安全局(CISA)正与FDLP和其他政府合作伙伴密切关注此事。另一位美国高级官员表示,这只是一起小事件,很可能是伊朗同情者所为。
美国前国务卿蓬佩奥此前表示,伊朗对美国的一种可能报复可能是网络攻击,目前尚不清楚黑客是否有官方立场或与伊朗有联系。
1月2日,伊朗革命卫队圣城部队领导人Qasem Soleimani在巴格达被美国暗杀后,美国和伊朗之间的关系仍然高度紧张。伊朗已经发誓要对暗杀事件进行报复,并暗示可能会对美国在中东地区的资产和利益以及美国的盟友发动袭击。这起黑客攻击事件发生在美国和伊朗之间的紧张局势依然高涨的时候。
参考来源:Softpedia http://t.hk.uy/xkb
(十三)APT组织BackdoorDiplomacy攻击非洲及中东国家外交组织
ESET安全研究人员发现了一个新型APT组织BackdoorDiploacy,攻击目标为非洲及中东国家的外交组织。
该组织自2017年以来一直活跃。ESET高级威胁情报分析师Adam Burgher在6月10日的一份报告中表示,“在几个非洲国家的外交部以及欧洲、中东和亚洲都发现了受害者。其他目标包括非洲的电信公司和至少一家中东慈善机构。”
ESET研究人员表示,该组织主要依赖于利用暴露于互联网的设备中的漏洞,例如网络服务器和网络设备的管理界面。目标系统包括F5 BIG-IP设备、Microsoft Exchange电子邮件服务器和Plesk Web托管管理面板。
Burgher表示,一旦黑客入侵了目标的系统,他们通常会下载并使用开源扫描工具在网络中横向移动,然后再部署代号为Turian的定制恶意软件。该木马有Windows和Linux两个版本,它充当后门,允许黑客与敏感目标交互、搜索他们的系统、并窃取数据。
ESET表示,在某些网络上,还观察到BackdoorDiploacy运营者还部署了一种恶意软件,感染了USB驱动器等可移动媒体设备,试图传播到空气间隙网络。
参考来源:TheRecord http://t.hk.uy/xcS
(十四)勒索软件Avaddon关闭运营并释放解密密钥
勒索软件组织Avaddon于6月11日关闭了运营,并发布了解密密钥,受害者可以免费恢复文件。
6月11日早,BleepingComputer收到了一条伪装成FBI的匿名消息来源,其中包含一个密码和一个受密码保护的ZIP文件的链接,该文件声称是“勒索软件Avaddon解密密钥”。攻击者共计发送了2,934个解密密钥,每个密钥对应一个特定的受害者。
BleepingComputer与安全公司Emsisoft共享了解密密钥,Emsisoft过去曾发布过针对多个勒索软件的免费解密程序。Emsisoft研究人员Fabian Wosar及Coveware研究人员Michael Gillespie确认这些密钥是合法的。Emsisoft也已经为Avaddon勒索软件受害者开发了一个免费的解密程序。
虽然这种情况并不经常发生,但此前曾有勒索软件组织公开解密秘钥,作为其关闭或发布新版本勒索软件时的善意之举。此前TeslaCrypt、Crysis、AES-NI、Shade、FilesLocker、Ziggy和FonixLocker的解密密钥已经发布。
Avaddon于2020年6月开始活跃,随着时间的推移,Avaddon已发展成为规模较大的勒索软件活动之一,联邦调查局和澳大利亚执法部门最近发布了与该组织相关的警告。
目前,Avaddon的所有Tor站点都无法访问,表明勒索软件运营可能已关闭。此外勒索软件谈判公司和事件响应人员在过去几天里发现,Avaddon疯狂地急于完成现有未支付受害者的赎金支付。
Coveware首席执行官Bill Siegel表示,Avaddon的平均赎金需求约为60万美元。然而,在过去的几天里,Avaddon一直在向受害者施压,要求他们支付并接受最后的还价,没有任何反击,Siegel表示这是不正常的。
目前尚不清楚Avaddon关闭的原因,但这可能是由于最近对关键基础设施的攻击后全球执法部门和政府加大了压力和审查力度。Emsisoft威胁分析师Brett Callow表示,“执法部门最近的行动让一些威胁行为者感到紧张,这就是结果。”
参考来源:BleepingComputer http://t.hk.uy/xdR
(十五)知名游戏公司EA遭受重大数据泄露
知名游戏公司艺电(Electronic Arts,EA)遭受了黑客攻击,威胁者声称已经窃取了大约750 GB的数据,包括游戏源代码和调试工具。
艺电在一份声明中证实了数据泄露,称这“不是勒索软件攻击,只是少量代码和相关工具被盗,我们预计我们的游戏和业务不会受到任何影响。”
出售EA数据的黑客声称已经窃取了完整的FIFA源、EA游戏客户端和用作游戏内货币的积分。网络犯罪分子会利用游戏中的积分进行洗钱活动。黑客没有透露如何获得EA网络访问权限的细节。
攻击者声称可以访问EA的所有服务,并告诉愿意为窃取数据支付2800万美元的客户,他们也将获得“利用所有EA服务的全部能力”。
黑客声称从艺电的网络中窃取了大量数据,包括:FrostBite游戏引擎源代码和调试工具、FIFA 21配对服务器代码、FIFA 22 API密钥和SDK和调试工具、调试工具、SDK和API密钥、EA专有游戏框架、XBOX和索尼私有SDK和API密钥XB PS和EA PFX和CRT带密钥。
攻击者在各种市场和黑客论坛上发布的推广被盗数据的帖子,这些帖子使用的是Kela的“Dark Beast”情报服务。
EA发言人表示,“我们正在调查最近的一起网络入侵事件,其中有少量的游戏源代码和相关工具被盗。事件发生后,我们已经进行了安全改进,预计不会对我们的游戏或业务造成任何影响。我们正在积极与执法官员和其他专家合作,作为正在进行的刑事调查的一部分。”
EA是多个知名品牌的游戏开发商和发行商,如Madden NFL、EA SPORTS FIFA、Battlefield、The Sims和Need for Speed。艺电在全球拥有超过4.5亿注册玩家,2020财年GAAP净收入为55亿美元。
参考来源:BleepingComputer http://t.hk.uy/xs6
(十六)思科UC第三方配置工具存在三个高危漏洞
Rapid研究人员发现,思科统一通信解决方案(Unified Communications,UC)环境中的第三方资源调配工具Akkadian Provisioning Manager中存在三个高危漏洞,可以提升权限实现远程代码执行(RCE)。这些漏洞目前尚未修复。
思科的统一通信(UC)套件可实现跨业务的VoIP和视频通信。Akkadian产品是一种设备,通常用于大型企业,通过自动化帮助管理所有UC客户端和实例的调配和配置过程。
这些问题都存在于Akkadian平台版本4.50.18中,如下所示:
1、CVE-2021-31579:硬编码凭证的使用(CVSS得分8.2分)
2、CVE-2021-31580和CVE-2021-31581:操作系统命令中使用的特殊元素的不当中和(分别使用exec和vi命令;CVSS得分7.9分)
3、CVE-2021-31582:将敏感信息暴露给未经授权的参与者(CVSS得分7.9分)
Rapid7称,将CVE-2021-31579与CVE-2021-31580或CVE-2021-31581相结合,将允许未经授权的对手获得对受影响设备的根级shell访问。这使得安装密码加密器、击键记录器、持久shell和任何其他类型的基于linux的恶意软件变得很容易。
研究人员表示,CVE-2021-31582可以允许已经通过设备身份验证的攻击者更改或删除本地MariaDB数据库的内容,该数据库是MySQL关系数据库管理系统的免费开源分支。在某些情况下,攻击者可以恢复主机组织中使用的LDAPBIND凭据,这些凭据用于向目录服务器验证客户端(及其背后的用户或应用程序)。
除了这些问题,还发现了另外两个可疑的发现:读取本地MariaDB证书明文的能力,以及无意中发送了整个GitHub的提交历史。在撰写本文时,尚不清楚这些调查结果是否存在独特的安全问题,但仍应由供应商进行审查。
参考来源:ThreatPost http://t.hk.uy/xmc
相关资讯
