关键信息基础设施安全动态周报【2021年第32期】
发布时间:
2021-08-13
来源:
作者:
天地和兴
访问量:
297
目 录
第一章 国内关键信息基础设施安全动态
(一)台湾主板厂商技嘉遭受RansomExx勒索软件攻击
(二)台湾NAS厂商Synology设备遭受僵尸网络暴力攻击
第二章 国外关键信息基础设施安全动态
(一)全球数百万路由器存在严重身份验证漏洞,已在野外利用
(二)Dragos发布ICS/OT漏洞利用态势分析报告
(三)美国基础设施法案为网络安全拨款20亿美元
(四)CISA成立联合网络防御协作组织应对勒索软件及供应链攻击
(五)互联网农场使全球食品供应链易受攻击
(六)埃森哲遭受LockBit勒索软件攻击
(七)亚马逊Kindle电子书中存在严重漏洞
(八)Conti勒索软件关联机构泄露内部培训材料及工具
(九)伊朗黑客组织Charming Kitten使用新型后门LittleLooter
(十)美国肯塔基大学在渗透测试期间发现数据泄露
(十一)美国伊利诺伊州残疾儿童学校Hope披露数据泄露事件
(十二)美国伊利诺伊州枪支识别系统遭受网络攻击
(十三)美国医疗器械厂商Electromed披露数据泄露事件
(十四)新加坡电信公司StarHub发生数据泄露事件
第一章 国内关键信息基础设施安全动态
(一)台湾主板厂商技嘉遭受RansomExx勒索软件攻击
台湾主板制造商技嘉(Gigabyte)遭受了勒索软件RansomEXX攻击,该组织威胁声称除非支付了赎金,否则将公布112GB的窃取数据。
技嘉是主板生产大厂,但也生产其他计算机组件和硬件,例如显卡、数据中心服务器、笔记本电脑和显示器。
攻击发生在8月3日至4日的深夜,迫使技嘉关闭了台湾的系统。该事件还影响了该公司的多个网站,包括其支持网站和台湾网站的部分内容。有客户还报告了访问支持文档或接收有关RMA的更新信息的问题,这可能是由于勒索软件攻击造成的。
技嘉科技证实,其部分服务器遭受了黑客网络攻击,第一时间启动了网络安全防御,受影响的内部服务均已陆续回复运作,目前生产、销售及日常营运未受影响。
技嘉发布重大信息说明称,网络安全团队已与多家外部网络安全公司技术专家合作,共同处理这次针对技嘉科技少部分服务器的网路攻击,并已将所监测到的异常网路状况,通报至政府相关执法部门与网络安全单位,保持密切连系。
技嘉表示,已于第一时间启动网络安全防御,并进行网路攻击清查,受到影响的内部服务均已陆续回复运作,技嘉也同步检视并强化现有的基础架构,全面提升网路安全等级,以保护资料安全及完整性。
虽然技嘉没有正式说明是什么勒索软件导致了这次攻击,但研究人员已经了解到这是由RansomEXX勒索软件组织进行的。当RansomEXX运营商加密网络时,会在每个加密设备上创建勒索信件,包含一个指向非公开页面的链接,该页面仅供受害者访问,可以测试解密一个文件,并留下电子邮件地址以开始赎金谈判。
有消息人士透露了一个链接,指向技嘉公司的非公开RansomEXX泄漏页面,攻击者声称在攻击期间窃取了112GB的数据。攻击者在勒索信件中包含了私人泄漏页面的链接。
攻击者还分享了在攻击期间窃取的的四份文件的屏幕截图,这些机密文件包括美国Megatrends调试文件、英特尔“潜在问题”文件、Ice Lake D SKU堆栈更新时间表、及AMD修订指南。
参考来源:BleepingComputer http://33h.co/wez96
(二)台湾NAS厂商Synology设备遭受僵尸网络暴力攻击
台湾NAS制造商Synology警告其客户,StealthWorker僵尸网络正在针对其网络连接存储设备进行持续的暴力攻击,从而导致勒索软件感染。Synology的产品安全事件响应团队表示,在这些攻击中受损的Synology NAS设备后来被用于进一步尝试破坏更多Linux系统。
Synology在安全公告中表示,“这些攻击利用大量已受感染的设备来尝试猜测常见的管理凭据,如果成功,将访问系统,安装恶意负载,其中可能包括勒索软件。受感染的设备可能会对其他基于Linux的设备进行额外攻击,包括Synology NAS。”
该公司正在与全球多个CERT组织协调,通过关闭所有检测到的命令和控制(C2)服务器来关闭僵尸网络的基础设施。Synology正致力于将这些针对其NAS设备的持续攻击通知所有可能受影响的客户。
Synology敦促所有系统管理员和客户更改其系统上的弱管理凭据,启用帐户保护和自动阻止,并在可能的情况下设置多因素身份验证。Synology很少发布针对其客户的主动攻击的安全公告警告,曾在2019年7月发布了关于成功大规模暴力攻击后勒索软件感染的警报。
该公司建议用户通过以方法保护其NAS设备免受攻击:
1、使用复杂而强大的密码,并将密码强度规则应用于所有用户;
2、在管理员组中创建一个新帐户,并禁用系统默认的admin帐户;
3、在控制面板中启用自动阻止,以阻止登录尝试失败次数过多的IP地址;
4、运行安全顾问以确保系统中没有弱密码。
Synology补充表示,“为确保Synology NAS的安全,我们强烈建议在控制面板中启用防火墙,并仅在必要时允许公共端口提供服务,并启用双因素验证以防止未经授权的登录尝试。还可以启用Snapshot,以使NAS免受基于加密的勒索软件的攻击。”
虽然Synology没有分享更多有关此活动中使用的恶意软件的更多信息,但分享的详细信息与Malwarebytes在2019年2月底发现并称为StealthWorker的基于Golang的暴力破解器一致。
两年前,StealthWorker被用来通过利用Magento、phpMyAdmin和cPanel漏洞来部署旨在窃取支付和个人信息的撇油器,来破坏电子商务网站。正如Malwarebytes当时指出的那样,该恶意软件还具有暴力破解功能,使其能够使用现场生成的密码或从先前泄露的凭据列表中生成的密码登录到暴露在互联网上的设备。
从2019年3月开始,StealthWorker运营商改用仅使用暴力破解的方法来扫描互联网,寻找具有弱凭据或默认凭据的易受攻击主机。
一旦部署在受感染的机器上,恶意软件会在Windows和Linux上创建计划任务,以获得持久性,并且正如Synology所警告的那样,会部署第二阶段恶意软件有效载荷,包括勒索软件。
虽然这家NAS制造商没有发布安全公告,但客户在1月份报告说,从2020年11月开始,他们的设备感染了Dovecat比特币加密劫持恶意软件,该活动也针对QNAP NAS设备。
8月10日,Synology发言人发表了以下声明,“我们最初是在7月底意识到这次攻击的。从那以后的2-3周内,我们收到了不到50份来自客户的报告。考虑到Synology设备的数量(超过800万个活动部署),我们认为受到这种攻击的设备数量非常少。我们的团队还注意到,这些攻击在过去几天中有所放缓。目前,我们仍在积极调查此恶意软件攻击和使用的脚本。目前,我们认为僵尸网络会使用常见的密码组合对“admin”帐户进行暴力破解。目前,我们还没有看到恶意软件尝试针对任何其他用户帐户。如前所述,我们的客户在7月底首次报告了这次攻击。此后,我们向受影响的客户发送了通知,并向所有Synology用户发送了额外的通知,告知他们我们的最佳做法和有关如何保护NAS的提示。”
参考来源:BleepingComputer http://33h.co/w8ru7
第二章 国外关键信息基础设施安全动态
(一)全球数百万路由器存在严重身份验证漏洞,已在野外利用
Tenable研究人员8月3日披露,其在Arcadyan固件的底层路由器Web界面中发现了一个严重路径遍历漏洞CVE-2021-20090,可允许未经身份验证的远程攻击者绕过身份验证。三天后,Juniper网络威胁实验室研究人员就发现,有攻击者利用了该漏洞,用于执行DDoS攻击的Mirai变体僵尸网络中。
漏洞CVE-2021-20090影响了至少17家供应商的路由器设备及ISP,包括ADB、Arcadyan、ASMAX、ASUS、Beeline、British Telecom、Buffalo、Deutsche Telekom、HughesNet、KPN、O2、Orange、Skinny、SparkNZ、Telecom Argentina、TelMex、Telstra、Telus、Verizon和Vodafone。全球有数百万设备都可能容易受到攻击。
Tenable在8月3日的公告中表示,“该漏洞的存在是由于一个文件夹列表属于身份验证的“绕过列表”。对于列出的大多数设备,这意味着该漏洞可能由多个路径触发。对于http://<ip>/index.htm需要身份验证的设备,攻击者可以使用以下路径访问index.htm:http://<ip>/images/.%2findex.htm、http://<ip>/js/.%2findex.htm、http://<ip>/css/.%2finder.htm。要正确加载页面,需要使用代理匹配/替换设置,以确保加载的任何需要身份验证的资源也能利用路径遍历。”
就在该漏洞披露的三天后,Juniper Networks网络安全研究人员表示,他们发现了对该漏洞的积极利用。研究人员在博客中表示,“我们发现了一些攻击模式,试图利用中国湖北省武汉市的一个IP地址在野外利用该漏洞。攻击者似乎试图在受影响的路由器上部署Mirai变体。”
据Juniper称,在Tenable的PoC附近,攻击者正在修改被攻击设备的配置,使Telnet能够使用“ARC_SYS_TelnetdEnable=1”控制。然后,他们继续从指挥与控制(C2)服务器下载Mirai变体并执行它。
Mirai是一种长期运行的僵尸网络,可感染连接的设备,并可用于发起分布式拒绝服务(DDoS)攻击。Mirai在2016年爆发,当时它压垮了Dyn网络托管公司的服务器,摧毁了包括Netflix和Twitter在内的1200多个网站。Mirai的源代码随后被泄露,此后多个Mirai变体开始出现,这一系列攻击一直持续到今天。
Juniper表示,当前攻击集中的一些脚本与之前在2月和3月观察到的活动相似。研究人员表示,“这种相似性可能表明,这起新攻击背后是同一个威胁参与者,他们试图用另一个新发现的漏洞升级渗透武器库。考虑到大多数人甚至可能没有意识到安全风险,也不会很快升级他们的设备,这种攻击策略可能非常成功、便宜且易于实施。”
研究人员表示,攻击者一直在不断地向其武库添加新的漏洞,CVE-2021-20090不太可能是最后一个。“很明显,威胁行为者会密切关注所有披露的漏洞。每当发布利用漏洞的PoC时,他们通常只需很少的时间就可以将其集成到平台中并发起攻击。”
为避免受到危害,用户应更新路由器上的固件。“在物联网设备或家庭网关的情况下,情况更糟糕的多,因为大多数用户不懂技术,甚至那些不懂技术的用户也不知道潜在的漏洞和要应用的补丁。决此问题的唯一可靠方法是要求供应商提供零停机时间并自动更新。”
参考来源:ThreatPost http://33h.co/w88m0
(二)Dragos发布ICS/OT漏洞利用态势分析报告
Dragos研究人员跟踪了自2010年以来发布的3000多个影响工业控制系统和操作技术(ICS/OT)网络的CVE漏洞。在这些漏洞中,有400多个有公开可用的漏洞利用,有一些漏洞有多个公开的漏洞利用,Dragos跟踪了近600个公开ICS/OT漏洞利用。
漏洞利用是一种工具,允许攻击者绕过软件或硬件中的安全边界。漏洞利用有多种形式,可以是curl命令、URI、HTTP数据块、甚至是合理的编写描述。Dragos认为,任何允许低技能攻击者能够快速绕过安全边界的行为都视为漏洞利用。
公开漏洞利用显著降低了利用漏洞所需的技能和工作量。Dragos追踪的公开漏洞利用会影响Purdue模型中工业环境的各个层级,为攻击者提供了能够通过ICS网络渗透和传播的预打包工具。在ICS网络上对抗性地使用公开漏洞利用不是理论上的,Dragos跟踪了使用公开漏洞利用的多个活动组织。
由Dragos跟踪的公开ICS/OT漏洞利用已由数百人开发,影响着100多家供应商开发的产品,对工业过程的影响遍及整个领域。利用这些漏洞利用的知识,将有助于ICS运营商更好地确定需要修复的漏洞。
参考来源:Dragos http://33h.co/w8fqp
(三)美国基础设施法案为网络安全拨款20亿美元
美国参议员最近公布了一项1.2万亿美元的两党基础设施法案的最终版本,白宫称该法案将拨款约20亿美元用于改善美国的网络安全能力。
《基础设施投资和就业法案》包括为道路、桥梁、交通安全、公共交通、铁路、电动汽车基础设施、机场、港口、水路、宽带互联网、环境修复和电力基础设施提供资金。
白宫表示,该法案还将投资约20亿美元,以“实现联邦、州和地方IT和网络的现代化和安全;保护关键基础设施和公用设施;并支持公共或私人实体应对重大网络攻击和漏洞并从中恢复。”
该法案中出现了超过300次“网络”和“网络安全”一词,其中包括网络响应和恢复基金,该基金在2028年之前每年提供2000万美元,用于协助政府和私营部门组织应对网络事件。
政府共拨款五亿五千万美元,用于加强电网安全。部分资金用于开发解决方案,以识别和缓解漏洞,提高现场设备和控制系统的安全性,以及解决与劳动力和供应链相关的问题。
7月众议院通过的《州和地方网络安全改进法案》,寻求一项新的5亿美元赠款计划,为州、地方、部落和领地政府提供网络安全资金。
如《基础设施投资和就业法案》所述,州和地方网络安全拨款计划授权2022年2亿美元、2023年4亿美元、2024年3亿美元和2025年1亿美元,共计10亿美元。《基础设施投资和就业法》还指示联邦公路管理局开发一种工具,以“协助交通部门识别、检测、防范、应对和恢复网络事件”。
在专门针对水基础设施和饮用水的章节中,也多次提到网络威胁和解决这些威胁的必要性,包括清洁水基础设施弹性和可持续性计划,该计划在2026年之前每年拨款2500万美元。在今年早些时候发现黑客试图毒害城市供水后,美国对供水部门的网络安全非常重视。
国土安全部的网络安全和基础设施安全局(CISA)在其中许多此类计划的实施和执行中发挥作用。参议院可能会在未来几天内对该法案进行投票。
参考来源:SecurityWeek http://33h.co/w85sb
(四)CISA成立联合网络防御协作组织应对勒索软件及供应链攻击
美国网络安全和基础设施安全局(CISA)8月5日宣布成立联合网络防御协作组织(JCDC),这是一个新的机构,旨在领导网络防御行动计划的制定,并与联邦机构间、私营部门和州、地方、部落、领土(SLTT)政府利益相关者的合作伙伴协调执行这些计划,以在事件发生前降低风险,并在事件发生时统一防御行动。
CISA正在建立JCDC,以整合多个联邦机构、许多州和地方政府以及无数私营部门实体的独特网络能力,以实现共同目标。具体而言,JCDC将;
1、设计并实施全面的、全国性的网络防御计划,以应对风险并促进协调行动;
2、分享见解,以形成对网络防御挑战和机遇的共同理解;
3、实施协调的防御性网络行动,以防止和减少网络入侵的影响;
4、支持联合演习,以改善网络防御行动。
CISA主任Jen Easterly表示,“JCDC为该机构和我们的合作伙伴提供了一个令人兴奋和重要的机会,创建独特的规划能力,在我们应对国家面临的最严重的网络威胁时采取积极主动的反应。已同意与CISA并肩合作的行业合作伙伴以及我们的跨部门团队成员都有着共同的承诺,共同致力于保护我们国家的国家关键职能免受网络入侵,以及激发新解决方案的想象力。有了这些能力超群的合作伙伴,我们最初的重点将放在打击勒索软件,和制定规划框架以协调影响云服务提供商的事件上。”
参与JCDC的最初行业合作伙伴包括Amazon Web Services、AT&T、CrowdStrike、FireEye Mandiant、Google Cloud、Lumen、微软、Palo Alto Networks和Verizon。这只是开始,因为随着我们重点领域的扩大,JCDC将努力将私营部门和跨部门的SLTT合作伙伴包括在内。政府合作伙伴包括国防部、美国网络司令部、国家安全局、司法部、联邦调查局和国家情报总监办公室、以及行业风险管理机构。
近几个月来,各种重大网络事件对关键基础设施社区产生了影响,并对依赖其进行日常功能的美国人造成了下游后果。联邦政府、SLTT政府和私营部门不遗余力地努力加强防御态势,但没有人能够单独完成。作为一个社区,JCDC将运用创新、协作和想象力来保护美国企业、政府机构和我们的人民免受网络入侵。
参考来源:CISA http://33h.co/w8jvd
(五)互联网农场使全球食品供应链易受攻击
在8月8日的DEF CON 29会议上,一个代号为Sick Codes的澳大利亚研究人员详细描述了拖拉机内存在的漏洞,如果该漏洞被利用,将对全球粮食供应链造成可怕的后果。该研究人员解释表示,现代农业设备越来越自动化,设备由可访问许多不同农场的中央控制台控制。
研究人员详细介绍了如果攻击者能够访问联网的农场,可能会发生的一系列灾难性的潜在事情,例如黑客可以指示过度喷洒化学处理剂,将肥沃的土地变成不能世代使用的贫瘠土地。通过拒绝服务攻击,农民在关键时刻播种的能力可能会受到影响,从而阻止农民种植作物。另一个巨大的风险来自这样一个事实,即攻击者可以获得对拖拉机等农业设备的控制,并将其发送到错误的位置,甚至将其驶离农场开到高速公路上。
Sick Codes表示,“我们认为网站停机5分钟,可能是拖拉机驾驶自动轨道离线,然而拖拉机继续行驶、撞到树上、或伤害某人。”Sick Codes表示,如今几乎每个农场都与各种不同的技术相连,包括4G和5G蜂窝网络,以及Wi-Fi和GPS。农业设备现在也越来越多地使用LoRa协议和NTRIP,这有助于提供准确的定位。
在农业设备供应商John Deere的案例中,Sick Codes表示,信息和控制可以通过John Deere运营中心进行远程处理,同事能够远程入侵该中心。
研究人员发现了多个漏洞,包括基本用户名枚举问题。利用这个漏洞,就可以轻松识别设备所有者的用户名。还有一个跨站点脚本(XSS)漏洞,使研究人员能够获得更多信息。XSS是一个非常基本的漏洞,表明他们没有考虑基本漏洞
Sick Codes详细介绍了他如何能够访问远程系统,该系统基本上使他能够控制John Deere运营中心,可以访问的一些联网农业设备。
研究人员指出,所有漏洞信息都已披露给John Deere,而John Deere并未立即做出回应。研究人员随后还让美国政府的网络安全和基础设施安全局(CISA)参与其中,这有助于解决问题。
John Deere并不是研究人员发现问题的唯一农业设备供应商。Sick Codes还发现了Case IH。研究人员了解到,Case IH正在使用可公开访问的Java Melody服务器,该服务器提供对设备操作的可见性和控制。虽然花费了一些时间,但Sick Codes最终还是能够与Case IH取得联系,并且供应商修复了报告的问题。
参考来源:InfoSecurity http://33h.co/w88s0
(六)埃森哲遭受LockBit勒索软件攻击
全球知名IT咨询公司埃森哲遭受了LockBit勒索软件攻击。
埃森哲是一家知名的IT巨头,服务范围广泛,包括汽车、银行、政府、科技、能源、电信等众多行业。埃森哲市值443亿美元,是全球最大的科技咨询公司之一,在50个国家/地区拥有约569,000名员工。
LockBit 2.0勒索软件组织威胁声称,要发布在网络攻击中窃取的埃森哲的文件数据。威胁行为者表示,如果没有支付赎金,将在今晚公布数据。
虽然LockBit并没有展示被盗数据的证据,但他们声称愿意将其出售给任何感兴趣的相关方。LockBit在其数据泄露网站上称,“这些人超越了隐私和安全。我真的希望他们的服务比我作为内部人员看到的更好。如果你有兴趣购买一些数据库,请联系我们。”
有关漏洞何时发生、何时被检测到、其范围或漏洞利用的技术原因的确切细节尚不清楚。
埃森哲表示,受影响的系统已从备份中恢复。“通过我们的安全控制和协议,我们在一个环境中发现了异常活动。我们立即控制了此事并隔离了受影响的服务器。我们从备份中完全恢复了受影响的系统。对埃森哲的运营或客户系统没有影响。”
在Cyble研究团队看到的对话中,LockBit勒索软件组织声称从埃森哲窃取了6 TB的数据,并要求支付5000万美元的赎金。威胁行为者声称已通过公司“内部人员”访问埃森哲的网络。
知情人士称,埃森哲已经向至少一家CTI供应商确认了勒索软件攻击,也在通知更多客户。此外,网络犯罪情报公司Hudson Rock透露,埃森哲有2,500台属于员工和合作伙伴的计算机受到损害。
参考来源:BleepingComputer http://33h.co/w8uqj
(七)亚马逊Kindle电子书中存在严重漏洞
Check Point研究人员发现,全球流行的亚马逊Kindle电子书中存在安全漏洞。通过诱骗受害者打开恶意电子书,攻击者可以利用这些漏洞来针对特定人群,并完全控制Kindle设备,从而开辟一条窃取存储信息的途径。
受害者只需打开一本恶意电子书即可触发漏洞利用。研究人员担心安全漏洞可能允许针对特定人群。Check Point已负责任地向亚马逊披露了其调查结果,亚马逊随后部署了修复程序。自2007年首次亮相以来,估计Kindle已售出数千万台。
Check Point研究人员在全球受欢迎的电子阅读器亚马逊Kindle中发现了安全漏洞。如果被利用,这些漏洞将使威胁行为者能够完全控制用户的Kindle,从而可能导致亚马逊设备令牌或设备上存储的其他敏感信息被盗。漏洞利用是通过在Kindle设备上部署单个恶意电子书来触发的。
该漏洞利用涉及向受害者发送恶意电子书。收到电子书后,受害者只需打开它即可启动漏洞利用,不需要受害者执行其他指示或交互就可以执行攻击。电子书可能被用作针对Kindle的恶意软件,从而导致一系列后果,例如攻击者可以删除用户的电子书,或将Kindle转换为恶意机器人,攻击用户本地网络中的其他设备。
安全漏洞允许威胁行为者针对非常特定的受众。例如,如果威胁行为者想要针对特定人群或人口,威胁行为者可以轻松选择相关语言或方言的流行电子书,来策划针对性很强的网络攻击。
Check Point于2021年2月向亚马逊披露了其调查结果。亚马逊于2021年4月在Kindle固件更新的5.13.5版本中部署了修复程序。修补后的固件会自动安装在连接到互联网的设备上。
Check Point网络研究主管Yaniv Balmas表示,“我们在Kindle中发现了允许攻击者完全控制设备的漏洞。通过向Kindle用户发送一本恶意电子书,攻击者可能会窃取设备上存储的任何信息,包括亚马逊账户凭证及账单信息。与其他物联网设备一样,Kindle通常被认为是无害的,并忽视了安全风险。但我们的研究表明,任何电子设备归根结底都是某种形式的计算机。因此,这些物联网设备容易受到与计算机相同的攻击。每个人都应该意识到使用连接到计算机的任何东西的网络风险,尤其是像亚马逊Kindle这样无处不在的东西。在这种情况下,最让我们震惊的是攻击可能发生的受害者特异性程度,安全漏洞允许攻击者针对非常特定的受众。例如,如果威胁行为者想要针对罗马尼亚公民,他们需要做的就是发布一些免费且受欢迎的罗马尼亚语电子书。威胁行为者可以非常确定其所有受害者实际上都是罗马尼亚人。在网络犯罪和网络间谍世界中,攻击性攻击能力的特异性程度非常受追捧。如果落入坏人之手,这些进攻能力可能会造成严重损害,这让我们非常担忧。再次表明,在真正的攻击者这样做之前,我们可以找到这些类型的安全漏洞,以确保它们得到缓解。亚马逊在我们协调的披露过程中与我们合作,我们很高兴他们为这些安全问题部署了补丁。”
参考来源:CheckPoint http://33h.co/w8wxb
(八)Conti勒索软件关联机构泄露内部培训材料及工具
Conti勒索软件的附属机构成员泄露了该组织的内部培训材料,包括如何在公司内部访问、横向移动和升级访问权限的手册和技术指南,以及在加密文件之前泄露其数据。
Conti勒索软件以勒索软件即服务(RaaS)模式运行,其中核心团队管理恶意软件和Tor站点,而招募的附属机构则执行网络漏洞和加密设备。核心团队赚取赎金的20-30%,而附属公司赚取其余部分。
8月5日,一名安全研究员分享了一个论坛帖子,该帖子由一名愤怒Conti分支机构成员创建,公开泄露了有关勒索软件操作的信息,包括Cobalt Strike C2服务器的IP地址和一个113 MB的档案,其中包含大量用于进行勒索软件攻击的工具和培训材料。
该分支机构表示,之所以他们发布这些材料,是因为在一次攻击中他们只获得了1,500美元,而Conti的其他成员则赚取了数百万美元,并承诺在受害者支付赎金后获得巨额赔偿。同时该组织在俄罗斯黑客论坛上发布了Cobalt Strike信标配置的图像,其中包含勒索软件组织使用的命令和控制服务器的IP地址。
在随后的帖子中,该分支公司共享了一个包含111 MB文件的档案,其中包括黑客工具、俄文手册、培训材料和据称在执行
Conti勒索软件攻击时提供给分支机构的帮助文档。
英特尔研究人员Vitali Kremez表示,培训材料与活跃的Conti案例相匹配。“我们可以根据我们的活跃案例进行确认。这个剧本与我们现在看到的Conti的活跃案例相匹配。总的来说,它是Conti勒索软件渗透测试团队背后渗透测试操作的圣杯。其影响是巨大的,允许新的渗透测试勒索软件操作员逐步提高他们的渗透测试技能以应对勒索软件。此次泄密还显示了他们勒索软件组织的成熟度,以及他们在针对全球公司时的复杂、细致和经验。它还提供了大量的检测机会,包括专注于AnyDesk持久性和Atera安全软件代理持久性以在检测中存活。”
这种泄漏说明了勒索软件即服务操作的脆弱性,因为一个不满意的分支机构可能会导致攻击中使用的精心培育的信息和资源的暴露。
有消息人士称,Conti在得知他正在通过推广不同的身份不明的附属计划从他们的运营中挖走业务后,禁止了渗透测试人员。在被禁止后,该附属公司泄露了Conti的培训材料和工具作为报复。
参考来源:BleepingComputer http://33h.co/w87jy
(九)伊朗黑客组织Charming Kitten使用新型后门LittleLooter
IBM X-Force威胁情报团队安全研究人员发现,与伊朗有关的黑客组织Charming Kitten在其武器库中添加了一个新的Android后门,并成功入侵了与伊朗改革运动相关的个人。
Charming Kitten也称为Phosphorus、TA435及ITG18,至少自2011年以来一直活跃,攻击目标为政府组织、记者、活动家和各种其他实体,包括世界卫生组织(WHO)和总统竞选活动。去年,该组织意外暴露了大约40 GB视频和与其运营相关的其他内容,包括有关如何从在线帐户中窃取数据的培训视频,以及详细介绍成功入侵某些目标的视频片段。
IBM透露,在2020年8月至2021年5月期间,它成功攻击了与伊朗改革主义运动结盟的目标,但也继续犯下各种操作安全错误。最近发现的名为LittleLooter的Android后门似乎是Charming Kitten独有的,为威胁行为者提供了广泛的信息窃取功能,包括视频和实时屏幕录制、电话号码、文件上传/下载、语音通话录音、GPS数据收集、设备信息收集、浏览器历史收集、连接操作、联系信息窃取、图片捕捉以及检索短信和通话列表详细信息。
IBM表示,观察到的活动与该组织“针对感兴趣的伊朗公民的长期行动”相符。作为活动的一部分,黑客“从大约20名与伊朗改革运动结盟的人那里窃取了大约120 GB的信息”,使用与被黑账户相关的合法实用程序。
IBM表示,它没有观察到该组织如何入侵目标帐户,但相信LittleLooter或网络钓鱼/社会工程可能已被用来从他们的目标中获取帐户凭据。被盗信息包括照片、联系人列表、对话和群组成员资格。
IBM表示,“X-Force收集到的关于ITG18活动的信息,结合X-Force在2020年夏天发现的培训视频,继续描绘出可能利用大量人员的威胁行为者。从最初访问个人受害者帐户到仔细审查泄露的数据显示,ITG18操作似乎是手动和劳动密集型。”
安全研究人员表示,该组织通常不仅仅是向受害者发送网络钓鱼信息,还试图与受害者聊天、打电话、甚至视频会议,这表明许多运营商的实际工作。
今年,IBM发现该组织使用的60多台服务器,托管了100多个网络钓鱼域名,表明有大量受害者。然而,研究人员无法估计该组织有多少操作人员。
IBM表示,“自2018年以来,仅X-Force就在可公开访问的ITG18服务器上观察到近2 TB的压缩泄露数据,这可能仅代表该攻击者实际窃取数据的一小部分。”
参考来源:SecurityWeek http://33h.co/w8jur
(十)美国肯塔基大学在渗透测试期间发现数据泄露
美国肯塔基大学表示,在六月初由第三方进行的安全渗透测试中发现了一个安全漏洞。
该漏洞影响了学校的数字驾驶执照平台(DDL),该平台是在2000年代初开发的一个名为开源教学支持工具(OTIS)的教育计划的一部分。DDL的主要目的是为肯塔基州和美国其他州的K-12学校和学院提供免费的在线教学和考试功能,该平台还被大学用于其自身的一些应试能力。
DDL漏洞是在6月初发现的,当时该大学在第三方的帮助下对其平台进行了预定渗透测试。测试发现了DDL平台中的一个漏洞,当大学进一步调查时,发现它在今年早些时候被利用,有35.5万人数据被窃取。
在该学发布的数据泄露通知中显示,随后的调查发现,一名未知威胁行为者在2021年1月8日至2021年2月6日期间利用该漏洞获得访问DDL平台并获取其内部数据库的副本。“该数据库包含了肯塔基和所有50个州和22个国家的学生和老师的姓名和电子邮件地址,超过355000人。”
被窃取的信息包括电子邮件和密码,没有包括SSN号码及财务细节。学校正在通知受影响的学校、学院和学生。该大学表示已修复该漏洞,现在正在将DDL服务器迁移到其集中式服务器系统,以受益于更好的保护。
肯塔基大学首席信息官Brian Nichols表示,“我们知道,我们是受到这些不良行为者攻击的公共和私营部门机构名单中的一员,而且数量还在不断增加。这就是为什么我们必须更加警惕我们部署的缓解措施以保护我们的基础设施和系统。”
参考来源:TheRecord http://33h.co/w80nu
(十一)美国伊利诺伊州残疾儿童学校Hope披露数据泄露事件
美国伊利诺伊州残疾儿童学校Vision for Hope近日发布数据泄露通知,称其发现了一起事件,该事件可能涉及其部分患者或其他个人的个人信息或受保护的健康信息。尽管Hope没有理由相信任何个人信息或受保护的健康信息已被滥用,以进行欺诈或身份盗用,但Hope正在通知可能受影响的患者,告知其已采取的解决事件的步骤,并提供并指导他们如何保护自己。
Hope最近发现,一名身份不明的未经授权人员于2021年2月14日至2021年4月2日期间访问了一名Hope员工的电子邮件帐户。Hope得知事件后立即采取行动保护电子邮件帐户,以防止任何进一步访问。Hope聘请了一家领先的取证安全公司来调查这起事件。作为调查的一部分,Hope在该帐户中搜索了任何个人信息或受保护的健康信息。Hope完成了调查,并于2021年6月4日确定该帐户包含某些个人的个人或受保护的健康信息。这些信息包括姓名、出生日期、社会保险号、驾照号、财务账号、医疗或诊断信息和/或医疗保险信息。
2021年8月3日,Hope开始向其个人信息或受保护健康信息包含在其拥有联系信息的电子邮件帐户中的个人发送书面通知,并为那些社会安全号码和/或驾照号码涉及事件的个人安排了免费身份盗窃保护服务。
被通知的个人应该参考在邮件中收到的关于可以采取哪些措施来保护自己的通知。同样,Hope没有理由相信任何个人信息已被滥用用于欺诈或身份盗用。但作为预防措施,被通知的个人应保持警惕,以防止潜在的欺诈和/或身份盗用,并审查账户报表并密切监控信用报告。如果个人在账户上发现任何可疑活动,应立即通知该账户所在的金融机构或公司。还应立即向适当的执法当局,包括警察和州总检察长报告任何欺诈活动或任何可疑的身份盗窃事件。被通知的个人还可能希望查看由联邦贸易委员会提供的有关欺诈警报、安全/信用冻结以及他们可以采取的避免身份盗用的步骤的提示。
Hope对此次事件可能造成的任何关注或不便深表歉意。Hope正在加强其员工的信息安全程序,并实施更改,以帮助防止此类事件再次发生。
参考来源:Vision for Hope http://33h.co/w8fwx
(十二)美国伊利诺伊州枪支识别系统遭受网络攻击
美国伊利诺伊州政府的一些部门一直在遭受网络攻击。在伊利诺伊州总检察长办公室和伊利诺伊州就业安全部遭受网络攻击之后,伊利诺伊州警察局(ISP)传来了麻烦的消息。8月5日,ISP确认其FOID(枪支所有者身份证明)卡门户网站遭到网络攻击,大约2,000名拥有FOID卡的伊利诺伊人的信息可能已经泄露。
ISP表示,“出于必要,多年前为易用性和便利性而设置的一些在线帐户参数已被适当修改和收紧,以防止未经授权的用户试图进一步扩大身份欺诈的范围。”
ISP新闻稿指出,他们正在与可能个人信息被盗的2,000名FOID卡持有人联系。除了与可能发现其信息已被泄露的人取得联系之外,ISP还表示,他们已经加强了在线安全要求,并限制了FOID卡申请人在其在线FOID帐户中提交的个人信息的使用和访问。其中一些信息可能与从以前任何数量的网络漏洞中非法获得的伊利诺伊州居民个人身份信息相匹配。
伊利诺伊州总检察长Kwame Raoul上周在接受采访时表示,他的办公室在4月份因大规模勒索软件攻击而瘫痪,已经花费了超过250万美元的纳税人资金来重建系统,让办公室重新上线,并通知那些可能在攻击中信息被盗的人。伊利诺伊州就业保障部(IDES)也有类似的问题困扰。
参考来源:1440wrok http://33h.co/w80k7
(十三)美国医疗器械厂商Electromed披露数据泄露事件
医疗器械制造商Electromed表示,一个未经授权的组织入侵了其系统,并获取了客户及员工的数据,没有迹象表明任何客户信息被不当使用。
该公司在一份声明中表示,“我们没有收到任何与此事件相关的身份盗用报告。我们开始通知相关人员,以便他们可以采取措施帮助保护他们的信息。保护客户个人信息的隐私对Electromed很重要,公司对此次事件可能给客户带来的任何不便表示遗憾。”
Electromed表示,将为数据被窃取的人员提供信用监控和身份盗窃保护服务,并已通知客户和员工仔细审查医疗保健提供者和保险公司的声明。该公司表示已采取多项措施来增强其网络安全。
Electromed是一家生产缓解慢性呼吸系统疾病的产品制造商,总部位于美国明尼苏达州新布拉格市。数据泄露对该公司最新的季度业绩没有财务影响。Electromed告诉投资者,预计截至6月30日的季度收入将增长36%,达到约940万美元,这是其财政年度的最后一个季度。该公司预计营业收入约为500,000美元至700,000美元,低于一年前的130万美元,当时它从联邦政府获得了90万美元的疫情救济。
参考来源:StarTribune http://33h.co/w8z7a
(十四)新加坡电信公司StarHub发生数据泄露事件
新加坡电信公司StarHub表示,在第三方数据转储网站上发现了其客户的个人数据,包括电子邮件地址和手机号码。然而该公司称,其客户数据库及数据系统均未遭到破坏。
StarHub在8月6日晚发布的一份声明中表示,该数据泄露是在其网络安全团队在7月6日的“主动在线监视”中发现的。
StarHub在其官网上发布的数据泄露事件通知显示,在公开确认违规行为之前,需要时间来调查该事件并评估影响。然而有关当局已获悉违规行为。
根据StarHub向当地媒体发表的声明,在第三方数据转储网站上发现了一个包含泄露数据的非法上传文件,这些信息似乎可以追溯到2007年。该文件包含在2007年之前订阅StarHub服务的57,191名客户的手机号码、电子邮件地址和身份证号码。StarHub在新加坡提供付费电视服务及宽带和移动电话。所有受影响的客户都来自其消费业务。
StarHub发言人没有透露哪些客户受到影响,或其中有多少是现有客户。还出于安全考虑为由拒绝透露其进行在线监控的频率,只是说StarHub定期进行此类活动。该发言人也没有提供违规原因的细节,只是表示目前没有迹象表明其现有系统受到损害。
StarHub表示,没有任何信用卡或银行账户信息被泄露,目前没有迹象表明泄露的数据被恶意滥用。该公司的信息系统或客户数据库都没有受到损害。该公司其对违规行为的调查,验证了网络基础设施的完整性。事件管理团队正在评估违规行为,数字取证和网络安全顾问正在调查该事件。
StarHub已开始通过电子邮件逐步通知受影响的客户,并通过新加坡信用局提供六个月的免费信用监控服务,以跟踪是否有任何数据可能被不当使用。该服务监控订户的信用报告并通知他们各种预先确定的活动,包括何时对他们的信用档案进行查询以及是否更新了默认记录。
StarHub表示,预计需要两周时间通知所有受影响的客户,并试图从转储站点中删除数据文件,但没有说明是否成功。
StarHub首席执行官Nikhil Eapen在声明中表示,“数据安全和客户隐私对StarHub来说是很重要的事情,我对此事件可能给受影响的客户造成的担忧表示歉意。我们将保持透明,并将让我们的客户了解最新情况。我们正在积极审查当前的保护措施和控制措施,以实施和加速长期安全改进。”
参考来源:ZDNet http://33h.co/we0d6
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
