关键信息基础设施安全动态周报【2021年第30期】
发布时间:
2021-07-30
来源:
作者:
天地和兴
访问量:
545
目 录
第一章 国外关键信息基础设施安全动态
(一)南非物流公司Transnet遭受网络攻击扰乱港口运营
(二)伊朗收集西方国家工业控制系统情报
(三)伊朗黑客组织TA456利用虚拟角色窃取美国国防承包商数据
(四)拜登就关键基础设施签署国家安全备忘录
(五)美国众议院通过多项网络安全法案
(六)CODESYS修复工业自动化产品中十多个漏洞
(七)IDEMIA生物识别设备中存在多个漏洞
(八)Sunhillo航测产品中存在严重漏洞
(九)No More Ransom成立五周年,帮助600万勒索软件受害者节省近10亿欧元
(十)新型勒索软件组织BlackMatter攻击收入过亿的公司
(十一)恶意程序可隐藏在神经网络模型中
(十二)英美澳联合发布2020年利用最多的漏洞
(十三)希腊第二大城市Thessaloniki遭受网络攻击导致市政服务中断
(十四)日本计算机遭受以奥运会为主题的恶意软件攻击
(十五)美国保险公司Humana客户医疗数据在线泄露
(十六)美国加州大学圣地亚哥分校健康中心遭受钓鱼攻击导致数据泄露
(十七)巴西创建网络攻击响应网络
第一章 国外关键信息基础设施安全动态
(一)南非物流公司Transnet遭受网络攻击扰乱港口运营
据路透社报道,7月22日南非物流公司Transnet遭受了破坏性网络攻击,导致该公司所有港口码头运营中断,扰乱了南非开普敦港口的集装箱作业。据三位直接了解此事的消息人士称,撒哈拉以南最繁忙的航运码头德班也受到影响。
7月22日,该公司官网已经关闭,显示一条错误信息。开普敦港口运输协会在一封电子邮件中表示,“请注意,港口操作系统已经受到网络攻击,在系统恢复之前不会有货物移动。”
Transnet经营着南非的主要港口,包括德班和开普敦,以及一个运输矿产和其他出口商品的庞大铁路网。该公司证实,其IT应用程序正在经历中断,立即对事件展开调查,并迅速查明了攻击的源头。
Transnet表示,除了集装箱码头中断,整个系统的港口码头都在运行,货运铁路、管道、工程和房地产部门报告正常活动,因为卡车运输方面的Navis系统受到了影响。进出港口的船只都是手工记录的。有消息人士称,中断导致集装箱和汽车零部件延误,但大宗商品基本未受影响,因为它们在港口的另一个地方。它还会造成积压,可能需要时间来清理。
该公司通知员工,在进一步通知之前不要访问他们的电子邮件,以防止威胁蔓延。
7月27日该公司发表声明表示,在网络攻击后恢复IT系统取得进展后,其港口码头向客户传达的不可抗力将“很快解除”。Transnet表示,码头正在按计划靠泊船只,并正在为航运公司的装卸作业提供便利。
Transnet在声明中表示,“在接下来的几天里,一些应用程序可能会继续缓慢运行,而监控仍在继续。所有操作系统将以交错的方式恢复,以尽量减少进一步的风险和中断。正在努力减少停机时间,以确保受影响的系统能够尽快启动并再次运行。”同时在声明中该公司表示该事件涉及勒索软件家族。
参考来源:路透社 http://33h.co/wm2a8
(二)伊朗收集西方国家工业控制系统情报
英国媒体天空新闻7月26日公布了五份内部机密文件,是由伊朗伊斯兰革命卫队(IRGC)的威胁情报第13小组编写的,这些机密文件收集西方国家的基础设施情报,用于确定网络攻击的目标。该文件共有57页,包括大型货船上的复杂系统、燃油泵、海事通信、智能建筑等信息。
英国媒体天空新闻7月26日公布了五份内部机密文件,这些文件来自伊朗政府网络部门,显示出伊朗正在寻求提高其攻击性网络能力,针对西方国家的工业控制系统。
这五份内部文件都标示为“非常机密”,是由一个名为Shahid Kaveh的秘密攻击性网络单位编制的,该单位是伊朗精英伊斯兰革命卫队(IRGC)网络司令部的一部分。这些报告是由一个名为威胁情报小组13号编制的,该小组是Shahid Kaveh部门内的一个小组。
消息人士称,这项工作是伊朗努力收集民用基础设施情报的证据,这些情报可用于确定未来网络攻击的目标。
这些文件总共有57页,是针对潜在网络攻击目标的情报收集工作,内容包括关于如何利用网络攻击击沉一艘货船或炸毁加油站的燃油泵的秘密研究,还包括有关全球航运业使用的卫星通信设备的信息,以及控制世界各地智能建筑,以及照明、供暖和通风等事物的基于计算机的系统。这些文件显示出他们对研究西方国家(包括英国、法国和美国)的公司和活动特别感兴趣。
一份日期为2020年11月的文件侧重于楼宇管理系统,并提到施耐德电气、霍尼韦尔、西门子和KMC Controls是提供此类解决方案的公司。
众所周知,这些类型的产品受到许多漏洞的影响,这些漏洞可能允许黑客完全控制系统。攻击者可以触发警报、锁定或解锁门和大门、拦截视频监控流、控制电梯访问、操纵灯光和HVAC系统以及中断运营。
工业网络安全公司Radiflow指出,建筑物管理系统很容易成为攻击目标,因为它们经常暴露在互联网上,而且在许多情况下没有得到适当的保护。
Radiflow创始人兼首席执行官Ilan Barda表示,“这些二线目标中的许多乍一看似乎无关紧要,使它们如此有价值的是它们有潜力被用作构建系统的门户。一旦进入,黑客就可以操纵空气循环装置、电梯和任何其他关键基础设施来进行物理攻击。”
参考来源:天空新闻 http://33h.co/wmxu2
(三)伊朗黑客组织TA456利用虚拟角色窃取美国国防承包商数据
网络安全公司Proofpint研究人员7月28日发布研究文章,伊朗国家支持的威胁行为者TA456在社交媒体上创建了一个名为Marcella Flores的虚拟角色,该角色在多个社交媒体上与航空航天防御承包商及子公司的员工互动,获得他们的信任,使用恶意软件感染他们,并窃取数据。该虚拟角色已运营了长达数年。
TA456主要针对的是中东地区的国防工业基地员工和承包商开展间谍活动,与伊朗的Mahak Rayan Afraz(MRA)公司有关,也与伊斯兰革命卫队(IRGC)有联系。
Marcella Flores的Facebook账号于2018年上传了第一张照片,并于2019年与受害者加了好友。Marcella Flores伪装的身份是运动教练,是英国利物浦大学的毕业生。
Proofpoint分析显示,TA456于2020年11月与目标员工进行了对话,并积极通过公司和个人通信平台(包括电子邮件)与受害者保持讨论。2021年6月初,威胁行为者向受害者发送了一封恶意电子邮件,试图用恶意软件LEMPO感染他们,LEMPO是Liderc的更新版本,是与伊朗威胁行为者Tortoiseshell有关的恶意软件。
Proofpoint解释表示,LEMPO是一个专为侦察而设计的Visual Basic脚本,可以枚举主机、收集数据(日期和时间、计算机名称、系统信息、驱动器、安装的应用程序和用户详细信息),并使用微软的协作数据对象(CDO)将其泄露到攻击者控制的电子邮件帐户。
此次活动中使用的Marcella Flores角色与已知与伊朗有关联的威胁行为者在针对感兴趣的个人的行动中使用的其他虚构档案有相似之处,使用Marcella角色与几名国防承包商员工成为朋友。
目前尚不清楚黑客是否成功从目标航空航天员工那里获得了任何数据。然而,Proofpoint表示其安全软件已阻止黑客下载恶意文件的链接。
7月15日,Facebook宣布对Tortoiseshell采取行动,从Facebook平台上删除了Flores账户,Tortoiseshell组织主要针对美国、英国和欧洲的国防和航空航天行业的军事人员和公司开展行动。
参考来源:Proofpoint http://33h.co/wb4h6
(四)拜登就关键基础设施签署国家安全备忘录
美国总统拜登7月28日签署了一份国家安全备忘录,旨在通过为关键基础设施所有者和运营商设立基础目标,来帮助加强关键基础设施安全,保护美国关键基础设施免受不断增长、持续存在的复杂网络威胁。
该备忘录是针对近期全球范围内攻击事件的回应,包括针对美国Colonial Pipeline和JBS Foods的勒索软件攻击,这些事件揭示了美国主要由私营部门组织拥有和运营的基础设施存在重大安全漏洞。控制关键基础设施的系统的退化、破坏或故障可能会产生连锁反应,可能对国家安全、经济安全以及美国人民的公共健康和安全产生不利影响。
目前,美国的联邦网络安全法规是部门性的。由于特定行业的数据安全威胁已引起公众关注,政府部门零零碎碎地通过了一系列针对特定行业的法规。考虑到美国今天面临的威胁,必须考虑新的自愿的和强制性的方法。期待负责任的关键基础设施所有者和运营商遵守自愿指导和强制性要求,以确保美国人民所依赖的关键服务免受网络威胁。
7月28日,拜登总统正在签署一份关于“改善关键基础设施控制系统的网络安全”的国家安全备忘录(NSM),该备忘录涉及关键基础设施的网络安全,并实施早就应该采取的措施来应对面临的威胁。
该备忘录指导国土安全部的网络安全与基础设施安全局(CISA)和商务部的国家标准与技术研究所(NIST)与其他机构合作,制定关键基础设施的网络性能目标。这些标准将有助于负责提供电力、水和交通等基本服务的公司加强网络安全。
正式建立总统工业控制系统网络安全(ICS)计划。ICS倡议是联邦政府和关键基础设施社区之间的自愿合作努力,旨在促进提供威胁可视性、指标、检测和警告的技术和系统的部署。该计划于4月中旬启动,进行了一次电力子部门试点,代表近9000万住宅客户的150多家电力公司正在部署或同意部署控制系统网络安全技术。天然气管道行动计划正在进行中,其他部门的其他举措将在今年晚些时候出台。
上周,国土安全部交通安全管理局(TSA)宣布了针对关键管道所有者和运营商的第二项安全指令。在2021年5月一条主要石油管道遭到勒索软件攻击后,TSA发布了一项初始安全指令,要求关键管道所有者和运营商报告网络安全事件,指定网络安全协调员,并对其当前的网络安全做法进行审查。第二个安全指令将要求运输危险液体和天然气管道的所有者和运营商实施一些急需的保护措施,包括:
1、在规定的时间范围内实施特定的缓解措施,以防止勒索软件攻击和其他已知的信息技术和操作技术系统威胁;
2、制定和实施网络安全应急和恢复计划;
3、进行年度网络安全架构设计审查。
联邦政府无法单独做到这一点,保护关键基础设施需要整个国家的努力。这项NSM、ICS网络安全倡议、TSA的安全指令和总统关于改善国家网络安全的行政命令是解决这些对国家的重大威胁的集中和积极的持续努力的一部分。
参考来源:美国白宫 http://33h.co/wb8x1
(五)美国众议院通过多项网络安全法案
美国众议院全体委员会7月21日投票通过,将推进八项网络安全法案。能源和商务委员会主席Frank Pallone,Jr.对此发表了以下声明:“今天,我很自豪能源和商务委员会齐聚一堂,通过了迫切需要的立法,以促进更安全的网络和供应链,使我们离更安全的无线未来更近了一步。总的来说,这些两党法案将教育公众、小型供应商和小型企业,如何最好地保护其电信网络和供应链,同时改善支持他们所需的协调和资源。我感谢双方的同事为这些法案所做的辛勤工作,并期待继续共同努力,使这项立法在众议院获得通过。”
委员会通过的法案包括:
1、《了解移动网络的网络安全法案》HR 2685。该法案将要求美国国家电信和信息管理局(NTIA)检查并报告移动服务网络的网络安全,以及这些网络和移动设备对对手进行的网络攻击和监视的脆弱性。该法案经修订后以口头表决方式获得通过。
2、《2021年安全设备法案》HR 3919。该法案将指示联邦通信委员会(FCC)通过规则,禁止来自委员会“涵盖清单”上的公司的设备授权。该法案将阻止华为、中兴通讯、海能达、海康威视和大华等公司在美国进一步整合和销售设备,这些公司都是中国政府支持或指导的公司。该法案将特别确保所需的规则不具有追溯力。该法案经修订后以口头表决方式获得通过。
3、《信息和通信技术战略法案》HR 4028。该法案将指示商务部长通过NTIA助理部长在一年内向国会提交一份报告,分析信息和通信技术供应链中值得信赖的供应商的经济竞争力状况,确定哪些组件或技术是关键或易受攻击,并确定美国网络依赖哪些组件或技术。该法案还要求部长在报告提交后的六个月内向国会提交一项整体政府战略,以确保美国值得信赖的供应商的竞争力。该法案经修订后以口头表决方式获得通过。
4、《开放RAN外展法案》HR 4032。该法案指示NTIA管理员向小型通信网络提供商提供有关开放式无线电接入网络(Open-RAN)和其他开放式网络架构的外展和技术援助。该法案经修订后以口头表决方式获得通过。
5、《支持可靠和增强网络技术的未来使用法案》HR 4045。该法案将要求FCC创建一个6G工作组。该法案规定,特别工作组成员应由FCC主席任命,工作组成员在可能的情况下由来自受信任公司(即不受外国对手控制的公司)、受信任公共利益团体、信任的政府代表,至少有一名来自联邦、州、地方和部落政府的代表。工作组必须向国会提交一份关于6G无线技术的报告,包括6G的可能用途、优势和局限性。该法案经修订后以口头表决方式获得通过。
6、《NTIA政策和网络安全协调法案》HR 4046。该法案将授权现有的NTIA政策分析和发展办公室,并将其更名为政策发展和网络安全办公室。除了在《安全和可信通信法》第8节中的规定,将NTIA在管理信息共享计划方面的责任编入法典之外,该办公室还将被分配协调和制定有关通信网络网络安全政策的职能。该法案经修订后以口头表决方式获得通过。
7、《美国网络安全素养法案》HR 4055。该法案将要求NTIA制定并开展网络安全扫盲活动,以教育美国个人有关常见网络安全风险和最佳实践的知识。该法案经修订后以口头表决方式获得通过。
8、《2021年通信安全咨询法案》HR 4067。该法案将对现有的FCC咨询委员会、通信安全、可靠性和互操作性委员会进行编纂。它还要求每两年向FCC和公众提交报告,并提出改善此类问题的通信网络的建议。该法案经修订后以口头表决方式获得通过。
参考来源:美国众议院 http://33h.co/wa4rh
(六)CODESYS修复工业自动化产品中十多个漏洞
工业自动化软件提供商CODESYS披露了影响其多款产品的十多个漏洞,其中CODESYS于7月22日发布了六个安全公告,Cisco Talos于7月26日发现了CODESYS开发系统中的七个漏洞。
CODESYS软件中的漏洞可能会产生严重影响,因为CODESYS软件被用于几个大型公司制造的工业控制系统。此前Positive Technologies研究人员发现,CODESYS软件中存在严重漏洞,十多家制造商生产的PLC面临攻击。
CODESYS于7月22日发布了六个安全公告,通知其客户,可以修复影响其开发系统、V3 Web服务器、网关、VxWorks运行工具包和EtherNetIP产品的远程代码执行、拒绝服务(Dos)、及信息泄露漏洞。
其中只有一个严重漏洞CVE-2021-33485,是CODESYS V3 Web服务器中基于堆的缓冲区溢出漏洞,可利用该漏洞进行DoS攻击或使用特制请求进行远程代码执行。
思科Talos于7月26日发布博客文章称,其在CODESYS开发系统中发现了七个漏洞。CODESYS开发系统是用于工业控制和自动化技术的IEC 61131-3编程工具,提供32位和64位版本。该软件包含多个不安全的反序列化漏洞,允许攻击者在受害机器上执行任意代码,这些问题存在于各种软件功能中。
攻击者可以通过某种方式修改本地配置或配置文件,或通过欺骗本地用户打开恶意项目或存档文件来利用这些漏洞。技能水平不高的攻击者都可以利用这些漏洞。
参考来源:CODESYS http://33h.co/wag0k
(七)IDEMIA生物识别设备中存在多个漏洞
Positive Technologies研究人员警告称,IDEMIA制造的生物识别访问控制设备中存在漏洞,可能导致远程代码执行(RCE)、拒绝服务以及任意文件的读写。
Positive Technologies ICS安全负责人Vladimir Nazarov表示,“利用此漏洞,攻击者可以绕过IDEMIA设备提供的生物识别。例如,犯罪分子可以远程打开由设备控制的门并进入安全区域。”
Positive Technologies的研究人员发现了影响某些版本的面部识别设备VisionPass、指纹读取产品MorphoWave和SIGMA以及手指静脉/指纹读取MA VP MD设备的三个漏洞。
第一个漏洞CVE-2021-35522是一个严重的缓冲区溢出漏洞,CVSS得分为9.8,可以让攻击者远程执行任意代码,这是由于从Thrift协议网络数据包接收到的输入中缺少长度检查而发生的。
第二个漏洞CVE-2021-35520是串行端口处理程序中的堆溢出漏洞,CVSS得分为6.2,会导致拒绝服务,但前提是攻击者可以物理访问串行端口。
第三个漏洞CVE-2021-35521是一个路径遍历漏洞,CVSS得分为5.9,允许攻击者在受影响的设备上读写任意文件,从而可能允许未经授权执行特权命令。
IDEMIA已修补了这三个漏洞,并发布了安全公告,详细说明修复程序和所有受影响的设备。IDEMIA解释表示,这些漏洞可以通过使用常规流程将设备更新为无漏洞软件来修复。用户可以通过在设备上应用TLS服务器身份验证并将访问控制服务器的公共证书提供给它来缓解这些漏洞。
参考来源:TheDailySwig http://33h.co/wm2qz
(八)Sunhillo航测产品中存在严重漏洞
NCC Group安全研究人员发现,Sunhillo SureLine应用程序中存在一个未经身份验证的操作系统命令注入漏洞,攻击者可以使用root权限执行任意命令。
Sunhillo是飞行器监视和跟踪领域的知名品牌,SureLine是为公司的监视工具和产品提供支持的核心软件。Sunhillo为美国联邦航空管理局、美国军方、民航当局和全球国防组织处理监控数据分发系统的所有生命周期方面的问题。
NCC Group安全研究人员Liam Glanfield发现的严重操作系统命令注入漏洞编号为CVE-2021-36380,攻击者可利用该漏洞与受影响的设备建立交互通道,从而控制该设备。成功利用该漏洞可能会导致系统完全受损。完全控制设备后,攻击者可能会造成拒绝服务情况,或在网络上建立持久性。
Glanfield解释表示,该问题是在/cgi/networkDiag.cgi脚本中发现的,该脚本“直接将用户可控参数包含在shell命令中,允许攻击者通过注入有效的操作系统命令输入来操纵生成的命令”。
命令注入可以使用$()并在括号内运行任意命令。通过使用精心设计的POST请求,攻击者可以注入命令以建立与另一个系统的反向TCP连接,从而产生交互式远程shell会话,使攻击者可以完全控制系统。
Glanfield表示,“例如,攻击者可以将SSH公钥添加到/home/root/.ssh/authorized_keys中,并以root用户身份获得访问权限。”
该漏洞于6月21日报告给Sunhillo,并于7月22日在Sunhillo SureLine版本8.7.0.1.1中发布了补丁程序,建议用户尽快更新到补丁版本。
参考来源:SecurityWeek http://33h.co/wayac
(九)No More Ransom成立五周年,帮助600万勒索软件受害者节省近10亿欧元
No More Ransom项目已成立五周年,已帮助超过600万勒索软件受害者恢复了文件,并节省了近10亿欧元的勒索赎金。
No More Ransom是一个在线门户网站,于2016年7月启动,是由执法部门和行业领导者创建的公私合作伙伴关系,包括欧洲刑警组织欧洲网络犯罪中心、荷兰警察局国家高科技犯罪部门、迈克菲、卡巴斯基、Emsisoft、趋势科技、Bitdefender、Avast等。
No More Ransom项目包括全球170个公共和私营部门合作伙伴。No More Ransom存储库中提供的解密程序已帮助超过600万人免费恢复他们的文件,阻止了犯罪分子通过勒索软件攻击赚取近10亿欧元。目前提供121种免费工具,能够解密151个勒索软件系列。
No More Ransom网站提供37种语言版本,访问该网站的大多数用户来自韩国、美国、印度、中国和印度尼西亚。除了解密工具外,该网站为5周年重新设计,还提供预防建议和勒索软件问答。
No More Ransom旨在帮助受害者恢复加密文件,提高对勒索软件威胁的认识,并为勒索软件受害者和公众提供报告攻击的直接链接。要获得解密程序,必须通过No More Ransom的Crypto Sheriff上传两个加密文件和勒索软件说明,该工具将尝试将它们与可用解密工具列表进行匹配。
如果出现匹配,将获得一个指向合适的勒索软件解密程序的链接,该解密程序附带有关如何解锁文件的详细说明。如果没有可用的解密程序,建议以后再次检查是否匹配,因为新的解锁工具会定期添加到数据库中。
用户可以通过网站的Crypto Sheriff功能快速了解No More Ransom提供的工具是否有用,该功能根据加密文件、赎金记录、电子邮件地址、URL或加密货币钱包地址确定勒索软件的类型。
建议勒索软件受害者永远不要付款,因为这将为犯罪分子未来的攻击提供资金,而是采取措施防止和减轻此类攻击的损害:
1、定期备份计算机上存储的数据,至少保留一份离线副本;
2、不要点击未知或可疑电子邮件中的链接;
3、仅浏览和下载官方版本的软件,并始终从受信任的网站下载;
4、使用强大的安全产品来保护系统免受所有威胁,包括勒索软件;
5、确保安全软件和操作系统是最新的;
6、浏览互联网时要小心,不要点击可疑链接、弹出窗口或对话框;
7、不要使用高权限帐户(具有管理员权限的帐户)进行日常业务;
8、如果成为受害者,请不要付款!报告犯罪并检查No More Ransom以获取解密工具。
参考来源:Europol http://33h.co/wbqf6
(十)新型勒索软件组织BlackMatter攻击收入过亿的公司
Recorded Future研究人员发现,BlackMatter是一款新型勒索软件即服务(RaaS),于2021年7月开始运作,该软件声称整合了DarkSide和REvil的最佳功能,目前正在通过Exploit和XSS两个网络犯罪论坛发布广告招募合作机构。
尽管自5月以来,这两个论坛都禁止了勒索软件广告,但BlackMatter并没有直接为其勒索软件即服务(RaaS)产品做广告,而是发布了招募“初始访问经纪人”的广告,该术语用于描述可以访问被黑客攻击的企业网络的个人。根据BlackMatter的广告,BlackMatter有兴趣与经纪人合作,购买可以授予访问年收入超过1亿美元以上的公司的访问权限。
根据BlackMatter组织说法,这些网络需要拥有500到15,000台主机,并且位于美国、英国、加拿大或澳大利亚。BlackMatter表示愿意支付高达100,000美元以独家访问这些高价值网络。一旦该组织找到合适的攻击目标,他们将使用经纪人授予的访问权限来部署接管公司内部系统的工具,然后部署文件加密负载。
该小组声称能够加密不同的操作系统版本和架构,包括Windows系统(通过SafeMode)、Linux(Ubuntu、Debian、CentOS)、VMWare ESXi 5+虚拟端点和网络附加存储(NAS)设备(例如Synology、OpenMediaVault、FreeNAS和TrueNAS)。
就像大多数顶级勒索软件团伙一样,BlackMater在暗网上也运营着一个泄密网站,如果被黑客入侵的公司不同意支付解密文件的费用,BlackMater就会在泄密网站发布从受害者那里窃取的数据。
该站点目前是空的,确认BlackMatter组织在本周才启动,尚未进行任何入侵。在该网站中,BlackMatter组织还列出了一系列他们不打算攻击的目标,包括医院、关键基础设施(核电站、发电厂、水处理设施)、石油和天然气工业(管道、炼油厂)、国防工业、非盈利公司、政府部门。
BlackMatter组织声称,如果来自这些垂直行业的受害者被感染,他们计划免费解密他们的数据,这一部分这与在Darkside组织泄漏网站上的一部分非常相似,Darkside在攻击美国管道运营商Colonial之后停止运营。
Recorded Future研究人员表示,根据迄今为止观察到的证据,他们认为BlackMatter与之前的Darkside组织之间存在联系,但这种联系仍在调查中。
参考来源:TheRecord http://33h.co/wbpd6
(十一)恶意程序可隐藏在神经网络模型中
美国康奈尔大学研究人员Wang Zhi、Liu Chaoge、Cui Xiang发表了一篇题为《EvilModel:在神经网络模型中隐藏恶意软件》的学术论文,证明可以通过神经网络模型传递恶意软件,在不影响网络性能的情况下逃避检测。
这3名研究人员指出,黑客为了躲避检测,经常将恶意程序的通讯隐藏在Twitter、GitHub甚至是区块链等合法服务中,这些方法完全不需要黑客自行部署服务器,受害者也无法借由摧毁合法服务来保护自己。只不过,这些平台通常只适用于少量的信息,而无法用来传送文档较大的有效载荷或攻击程序,而这也是他们选择神经网络模型的原因。
由于神经网络模型多半具备不可解释的特性,再加上良好的泛化能力,因此,若把恶意程序直接嵌入神经网络模型中,对于该模型的效能影响非常的轻微,此外,因神经网络模型的架构没变,于是还能躲过防毒软件的侦测。
因此,研究人员成功地把高达36.9MB的恶意程序放进178MB的AlexNet模型,不仅只损失不到1%的精确度,还未被任何的杀毒软件察觉。
研究人员认为,随着人工智能的大规模采用,恶意软件作者将对神经网络的使用越来越感兴趣。希望这项工作可以为神经网络辅助攻击的防御提供一个可参考的场景。研究人员能够在已经训练好的模型(即图像分类器)中选择一个层,然后将恶意软件嵌入到该层中。
如果模型没有足够的神经元来嵌入恶意软件,攻击者可能会选择使用未经训练的模型,该模型具有额外的神经元。然后,攻击者将在原始模型中使用的相同数据集上训练模型,以生成具有相同性能的模型。
专家指出,该技术仅对恶意软件的隐藏有效,对其执行无效。为了运行恶意软件,必须使用特定的应用程序从模型中提取它,只有当它足够大以包含它时,它才能隐藏在模型中。
作为一种可能的对策,专家建议在最终用户设备上采用安全软件,该软件可以检测从模型中提取恶意软件的操作、其组装和执行。专家还警告原始模型的供应商存在供应链污染。
参考来源:SecurityAffairs http://33h.co/wm919
(十二)英美澳联合发布2020年利用最多的漏洞
美国网络安全和基础设施安全局(CISA)、澳大利亚网络安全中心(ACSC)、英国国家网络安全中心(NCSC)和美国联邦调查局(FBI)发布了一份联合网络安全咨询报告,提供了2020年黑客利用的前30个漏洞的详细信息。
该公告包括每个漏洞的技术细节,包括危害指标(IOC),并提供缓解措施。在针对多个行业组织的攻击中,黑客利用的通常是已知的旧漏洞。
网络安全机构警告称,攻击旨在利用包括Atlassian、Citrix、Fortinet、F5、MobileIron和Telerik在内的多家供应商在VPN设备、网络设备和企业云应用程序方面的漏洞。持续的新冠疫情导致利用VPN和基于云的环境的远程工作选项的扩展,扩大了攻击面。
2020年最具针对性的四个漏洞影响了远程工作、VPN或基于云的技术。许多VPN网关设备在2020年间没有打补丁,远程工作选项的增长挑战了组织进行严格补丁管理的能力。下表列出了2020年最常被利用的漏洞。
2021年,微软、Pulse、Accellion、VMware和Fortinet产品受到最严重的常规利用问题的影响。以下是最常被利用的漏洞列表:
1、Microsoft Exchange:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、及CVE-2021-27065;
2、Pulse Secure:CVE-2021-22893、CVE-2021-22894、CVE-2021-22899、及CVE-2021-22900;
3、Accellion:CVE-2021-27101,CVE-2021-27102,CVE-2021-27103、及CVE-2021-27104;
4、VMware:CVE-2021-21985;
5、Fortinet:CVE-2018-13379、CVE-2020-12812、及CVE-2019-5591。
尚未修复这些漏洞的组织应调查IoC的存在,如果受到危害,应启动事件响应和恢复计划。
参考来源:SecurityAffairs http://33h.co/wmdqf
(十三)希腊第二大城市Thessaloniki遭受网络攻击导致市政服务中断
希腊第二大城市塞萨洛尼基(Thessaloniki)遭受了网络攻击,市政服务暂时中断。攻击发生在7月23日,负责商业规划、电子政务和移民政策的副市长Giorgos Avarlis表示,希腊第二大城市关闭了其服务和网络应用程序。此外,攻击者已经安装了一种恶意病毒,并要求支付赎金来解锁文件,但并未透露其是否支付了赎金或支付了多少钱。Avarlis还表示,市政当局的所有文件都是安全的,但仍未确定攻击的来源。
参考来源:TheNationalHerald http://33h.co/wm2yb
(十四)日本计算机遭受以奥运会为主题的恶意软件攻击
日本安全公司MBSD研究人员发现了一种以奥运会为主题的恶意软件,该软件包含在受感染系统上擦除文件的功能,专门针对日本电脑设计,是在7月21日2021年东京奥运会开幕式之前两天被检测到。
日本安全公司三井物产安全方向(Mitsui Bussan Secure Directions,MBSD)分析发现,擦除器不仅删除计算机的所有数据,而且仅搜索位于用户个人Windows文件夹中的某些文件类型,位于“C:/Users/<username>/”。
Microsoft Office文件是要删除的目标,还有TXT、LOG和CSV文件,这些文件有时可以存储日志、数据库或密码信息。
此外,擦除器还针对使用Ichitaro日语文字处理器创建的文件,这让MBSD团队相信,擦除器是专门针对日本的计算机(通常安装Ichitaro应用程序)而创建的。
有针对性的扩展包括:DOTM、DOTX、PDF、CSV、XLS、XLSX、XLSM、PPT、PPTX、PPTM、JTDC、JTTC、JTD、JTT、TXT、EXE、LOG。
擦除器中的其他功能还包括大量反分析和反VM检测技术,以防止恶意软件被轻松分析和测试,以及恶意软件在擦除操作完成后自行删除的能力。
然而,最有趣的功能是,在擦除行为发生时,擦除器还使用cURL应用程序访问XVideos成人视频门户上的页面。MBSD团队认为,添加此行为是为了欺骗法医调查人员,认为擦除行为是因为用户在访问色情网站时被感染。
MBSD团队表示,在Windows EXE文件中发现了擦除器,该文件被配置为看起来像一个名为:[紧急]与东京奥运会相关的网络攻击等发生的损坏报告.exe。
MBSD研究人员Takashi Yoshikawa和Kei Sugawara表示,“由于该恶意软件使用PDF图标进行伪装,并且仅针对用户文件夹下的数据,因此可以认为该恶意软件旨在感染没有管理员权限的用户。”
参考来源:TheRecord http://33h.co/wmk44
(十五)美国保险公司Humana客户医疗数据在线泄露
CyberNews研究人员发现,在一个知名黑客论坛上,有一个泄露的SQL数据库,其中包括6000多名美国保险公司Humana的高度敏感的医疗保险数据。
该帖子作者声称,这些数据包括Humana健康计划成员可追溯到2019年的详细医疗记录。泄露的信息包括患者姓名、ID、电子邮件地址、密码哈希、医疗计划清单、医疗数据等。
Humana是美国第三大健康保险公司,在四个多月前,该公司通知其65,000名医疗健康计划成员,在2020年10月12日至2020年12月16日期间,一名分包商的员工向未经授权的个人披露了医疗记录,其中一名受数据泄露影响的患者对该公司提起诉讼。
7月18日,CyberNews联系了Humana以核实这些数据是否属于他们。7月23日,Humana发言人表示,公司系统中没有删除任何数据,这些数据是通过针对Medicare Advantage成员和代理人的非关联第三方应用程序的数据泄露获得的。“Humana于7月16日意识到针对Medicare Advantage会员和代理人的非关联第三方应用程序可能存在数据泄露。该应用程序不由Humana拥有或运营。我们的网络安全业务将继续监控局势。Humana制定了政策和程序来维护其成员信息的安全,我们非常重视这一责任。”
下载该数据库的一位论坛成员声称,该档案包含2020年的信息,而不是泄密者所述的2019年的信息。如果论坛成员的说法属实,则泄露的数据库可能是2020年违规行为的一部分。话虽如此,泄密者发布的样本中发现的数据大多来自2019年,这可能表明它与Humana没有任何关系,可能是根据Humana发言人的建议单独获取的。
若要查看在线帐户是否在以前的安全漏洞中暴露过,可使用CyberNews的个人数据泄漏检查器,其中包含超过150亿条泄露记录。
泄露的SQL数据库包含超过823,000行数据,分为97个表,其中一些表存储了美国6,487个人的高度敏感的患者信息,包括:全名、患者ID、电子邮件地址、带有邮政编码的街道地址、密码哈希、隐私政策确认状态、Medicare Advantage计划数据、医疗数据、照片和视频的链接,包括患者X光片、CT扫描、保险文件扫描。此外,该数据库似乎包含对各种功能的API调用,所有这些功能都包括私有API密钥,威胁参与者可以使用这些密钥访问其他在线服务。
由于SQL数据库于7月16日通过WeTransfer链接免费提供,因此可以安全地假设,发布该数据库的黑客论坛的多个用户都可以访问数据。
究竟有多少恶意行为体实际访问了这些数据,其中又有多少人利用这些数据从事网络犯罪活动,该数据库在发布到黑客论坛之前被泄密者拥有多久,这些问题目前还不清楚。
由于该数据库中包含大量高度敏感的个人信息,威胁行为者可能会:发起鱼叉式网络钓鱼及垃圾邮件活动、提交欺诈性保险索赔、使用受害者的健康保险、根据患者的健康信息剥削或勒索患者、收集整理并与其他恶意行为者共享这些医疗数据、进行身份盗窃。
Medicare Advantage计划会员的医疗数据有可能被泄露,因此建议:使用CyberNews个人数据泄漏检查器等服务检查数据是否因其他违规行为而泄露,该服务目前拥有超过150亿条记录、与金融机构设置身份盗窃监控、查看在线帐户最近的活动,并注意可疑的电子邮件、消息和请求。
参考来源:CyberNews http://33h.co/wa8uq
(十六)美国加州大学圣地亚哥分校健康中心遭受钓鱼攻击导致数据泄露
加州大学圣地亚哥分校健康中心(UC San Diego Health)是美国加州大学圣地亚哥分校的学术健康系统,近日披露了数据泄露事件,一些员工的电子邮件账户遭到了入侵。
据2021-2022年美国新闻与世界报道调查,加州大学圣地亚哥分校健康中心是全美最好的医院之一,多次被评为圣地亚哥最好的医疗保健系统。该卫生系统运营着加州大学圣地亚哥医学中心、Jacobs医学中心和Sulpizio心血管中心,总容量为808张病床。
加州大学圣地亚哥分校健康中心通信和媒体关系执行总监Jacqueline Carr表示,此次泄露是网络钓鱼攻击的结果。加州大学圣地亚哥分校健康中心在3月12日最初收到可疑活动警报后,于4月8日发现未经授权访问了其部分员工的电子邮件帐户。
发现违规行为后,加州大学圣地亚哥分校健康中心终止了对受感染帐户的未经授权访问,并向执法部门和FBI报告了该事件。在网络钓鱼攻击中破坏电子邮件帐户后,攻击者可能在2020年12月2日至2021年4月8日期间访问或获取了患者、员工和学生的个人信息。
虽然攻击者已经访问电子邮件帐户超过四个月,但安全团队和外部网络安全专家正在进行的调查并未发现任何证据表明,自攻击以来这些信息已被滥用。
事件期间威胁行为者访问的个人信息可能包括:姓名、地址、出生日期、电子邮件、传真号码、索赔信息(医疗保健服务的日期和费用以及索赔识别码)、实验室结果、医疗诊断和条件、医疗记录号码和其他医疗标识符、处方信息、治疗信息、医疗信息、社会安全号码、政府身份证号码、支付卡号码或金融帐号和安全码、学生证号码以及用户名和密码。
该医学中心表示,“没有证据表明其他加州大学圣地亚哥分校健康系统受到影响,我们目前也没有任何证据表明信息被滥用。除了通知可能涉及个人信息的个人外,加州大学圣地亚哥分校健康中心还采取了补救措施,其中包括更改员工凭证、禁用访问点以及增强安全流程和程序等。”
加州大学圣地亚哥分校健康中心还警告社区成员和可能受影响的个人,注意身份盗用或欺诈企图,可以通过定期审查和监控健康保险公司提供的财务报表、信用报告和福利说明来了解任何未经授权的活动。UC San Diego Health还建议尽可能轮换凭证,并为个人在线帐户启用多因素身份验证(MFA)。
调查结束后,可能在9月30日左右,加州大学圣地亚哥分校健康中心将向受数据泄露影响的学生、员工和患者发送个人泄露通知信件。
参考来源:BleepingComputer http://33h.co/wb8ir
(十七)巴西创建网络攻击响应网络
巴西创建了一个网络攻击响应网络,旨在通过联邦政府机构之间的协调促进对网络威胁和漏洞的更快响应。
根据7月16日签署的总统令创建的联邦网络事件管理网络将涵盖总统机构安全办公室以及联邦管理机构下的所有机构和实体。上市公司、混合资本公司及其子公司可以自愿成为该网络的成员。该网络将由总统机构安全办公室信息安全部通过政府的网络安全事件预防、处理和响应中心进行协调。
数字政府秘书处(DGS)在经济部管理和数字政府特别秘书处下运作,将在网络的形成中发挥战略作用。DGS是SISP的中央机构,该系统用于规划、协调、组织、运营、控制和监督联邦政府200多个机构的信息技术资源。
据DGS称,创建网络的法令中概述的信息共享有望在预防事件和可能的网络攻击所需的行动方面改善SISP的表现。尽管政府的社会保障技术和信息公司Dataprev和联邦数据处理服务机构Serpro等上市公司的参与不是强制性的,但他们预计也会加入该计划。
立即了解攻击和被利用的潜在漏洞,将使秘书处能够提醒其他机构执行必要的遏制措施,另一个重点领域可能包括制定指南和培训以解决网络确定的主要问题。
巴西在联合国发布的最新全球网络安全指数中的进步,巴西的排名从2018年的第70位上升到2021年的第18位,这是整个拉丁美洲的最佳结果。数字政府和管理部长Caio Mario Paes de Andrade指出,该网络的建立将有助于巴西联邦政府进一步加强其在应对危机中的作用网络威胁。
根据本月早些时候公布的一项调查,巴西人担心自己数据的安全性。调查发现,巴西用户对网络攻击的恐惧程度很高,73%的受访者表示曾遭受过某种数字威胁,比如收到来自公司的假消息和被盗密码。
参考来源:ZDNet http://33h.co/wmkcv
相关资讯