关键信息基础设施安全动态周报【2021年第36期】
发布时间:
2021-09-10
来源:
作者:
天地和兴
访问量:
676
目 录
第一章 国内关键信息基础设施安全动态
(一)台湾Moxa铁路通信设备存在60个漏洞,可被黑客利用造成严重破坏
(二)香港加密货币交易所Bilaxy遭到攻击,预计损失超过2100万美元
第二章 国外关键信息基础设施安全动态
(一)美国电力公司FirstEnergy遭受黑客未经授权登录账户
(二)微软警告IE浏览器中的零日漏洞被积极利用
(三)新西兰第三大电信运营商遭到DDoS攻击,全国大范围断网
(四)英国两家ITSP服务提供商遭受Revil勒索软件组织DDoS攻击
(五)俄罗斯多家银行遭受大规模DDoS攻击,导致部分服务暂时中断
(六)美国太平洋城市银行遭受AVOS Locker勒索软件攻击
(七)美国FBI警告针对食品和农业领域的勒索软件攻击
(八)阿富汗成为勒索软件攻击主要目标
(九)特斯拉“全自动驾驶”人工智能软件在黑客社区泄露
(十)Babuk勒索软件完整源代码在黑客论坛上泄露
(十一)黑客泄露了约50万个Fortinet VPN帐户密码
(十二)O.MG数据线可以从苹果设备远程窃取数据
(十三)REvil勒索软件服务器再次神秘上线
(十四)Conti勒索软件利用ProxyShell漏洞攻击Exchange服务器
(十五)Ragnar Locker勒索软件组织警告受害者不要联系执法部门
(十六)新型恶意软件PRIVATELOG利用CLFS日志文件躲避检测
(十七)霍华德大学遭受勒索软件攻击在线课程取消
(十八)法国3900万人详细信息在暗网出售
(十九)黑客声称窃取了700万以色列个人数据
(二十)摩洛哥200万个人数据泄露
第一章 国内关键信息基础设施安全动态
(一)台湾Moxa铁路通信设备存在60个漏洞,可被黑客利用造成严重破坏
台湾工业网络和自动化公司Moxa制造的铁路和其他类型的无线通信设备受到近60个漏洞的影响。
Atos旗下的网络安全咨询公司SEC Consult透露,该公司的一名研究人员在Moxa设备中发现了两个新漏洞,以及几个引入了数十个漏洞的过时第三方软件组件。
根据SEC Consult的说法,Moxa设备受到命令注入漏洞和反映的跨站点脚本(Xss)漏洞的影响,经过身份验证的攻击者可以利用该漏洞来危害设备的操作系统(CVE-2021-39279),而跨站点脚本(Xss)漏洞可以使用特别构建的配置文件(CVE-2021-39278)进行攻击。
这些产品还受到过去十年中在第三方组件(如GNU C库(glibc)、BusyBox中的DHCP客户端、Dropbear SSH软件、Linux内核和OpenSSL)中发现的50多个其他漏洞的影响。
Moxa针对这些漏洞发布了两份单独的警告,其中一个影响专门为铁路设计的TAP-323、WAC-1001和WAC-2004系列设备。TAP-323设备是专为车地无线通信设计的轨旁无线接入点,而WAC设备是轨道无线接入控制器。
Moxa正在为TAP-323和WAC-1001产品提供补丁,但WAC-2004系列设备已停止使用,供应商已建议客户实施缓解措施,以降低被利用的风险。
SEC研究人员Thomas Weber表示,虽然他们还没有进行分析以确定XSS和命令注入漏洞是否可以链接,但他相信这是可能的。攻击者需要诱骗经过身份验证的用户单击一个链接,该链接将触发XSS以获取在系统上进行身份验证所需的信息,并利用命令注入进行攻击。
如果攻击者获得了对受影响设备的web管理界面的访问权,并且获得了登录凭据,那么他们就能够通过持久访问接管整个设备。只需要利用设备凭据来进行命令注入,就可以访问内部网络。
对于铁路运营的具体影响,研究人员表示,黑客可能造成的破坏很难估计,但这取决于“通过该设备发送的信息的关键程度”。
命令注入漏洞可能允许经过身份验证的攻击者通过永久性地封锁设备来中断无线通信。攻击者也可以简单地从web界面关闭设备。
Moxa的WDR-3124A系列无线路由器和OnCell的G3470A-LTE系列工业蜂窝网关也受到了同样的60个漏洞的影响。供应商已经针对这些产品发布了单独的建议。只针对蜂窝网关发布了补丁,但对于使用已停产产品的组织,提供了缓解措施。
Weber指出,虽然在大多数情况下,攻击需要访问目标设备所在的网络,但根据Shodan的搜索,大约60个受影响的蜂窝网关可能会受到来自互联网的攻击。
参考来源:SecurityWeek http://33h.co/wzbx2
(二)香港加密货币交易所Bilaxy遭到攻击,预计损失超过2100万美元
8月29日,香港加密货币交易所Bilaxy遭受了黑客入侵,该黑客入侵了其系统上的一个热钱包,导致一个钱包中价值超过2100万美元的295枚ERC-20币被盗。Bilaxy成立于2018年,在塞舌尔共和国获得许可。
据Investing.com报道,此次Bilaxy黑客事件是本月发生的第20起DeFi黑客事件。Bilaxy通过其Telegram频道证实了这一事件,并表示加密货币交易所于周六下午6点至7点之间遭遇黑客攻击,导致295个不同的ERC-20币被盗。
HOGE是Bilaxy上提供的众多代币之一,在推特上表示,攻击者已将其在Bilaxy上的所有加密货币转移到该钱包,使HOGE的成本下降了35%。Bilaxy随后将所有未被盗的代币放入一个所谓的“冷钱包”,以确保它们不会被黑客入侵,然后以系统维护的名义关闭了服务器。
Bilaxy已经停止了其网站上的交易,并已建议客户暂时不要将代币用于交易。该网站将暂停服务至少2周,因为它将分析黑客和更新系统架构,而专业团队将检查并尝试找回被盗的ERC-20代币。
Bilaxy尚未披露黑客获得的资金的美元价值。然而,根据未经证实的指控,交易所可能损失了高达4.5亿美元。
Hoge Finance表示,此次攻击包括对约300种加密货币的攻击和转移,主要是Tether(USDT)、USD Coin(USDC)、Uniswap(UNI)等。Bilaxy的10亿Hoge币几乎全部转移到了其他钱包中,据估计,该平台共被盗了2200万美元。
此次黑客攻击正值Liquid交易所试图从8月中旬发生的近1亿美元的入侵中恢复过来。Liquid周日恢复了许多代币的存取款,包括ERC-20和基于Stellar的USDC、Dai和GYEN。
参考来源:EHackingNews http://33h.co/wzw2p
第二章 国外关键信息基础设施安全动态
(一)美国电力公司FirstEnergy遭受黑客未经授权登录账户
美国电力公司FirstEnergy披露,其检测到有黑客多次未经授权尝试登陆客户账户,因此禁用了在线账户,并就该问题向客户提出建议,并要求客户需要重新设置密码才能访问在线账户。
FirstEnergy在9月6日发表的声明中表示,“我们最近检测到涉及多次未经授权尝试登录客户帐户的可疑活动。作为我们安全流程的一部分,我们会定期监控FirstEnergy的网站和客户在线账户,以帮助确保您的账户安全。”
FirstEnergy发言人Jennifer Young表示,“上周的攻击活动有所增加,于是周五晚上我们采取措施锁定了所有客户账户。具体而言,出于谨慎考虑,我们已禁用所有在线帐户访问,并要求我们的客户重置密码,以访问其FirstEnergy的我的帐户。”
Young表示,“该问题涉及凭证填充。有人购买了一份凭证清单,然后在各种网站上试用。我们在全美共有大约600万客户,其中只有一部分拥有在线帐户。”这些账户可用于在线支付账单、检查持续停电的状态、分析用电量和提交电表读数、以及接收电子邮件和文本警报。
该公司表示,“虽然这些尝试中的绝大多数都没有成功,但我们意识到,已经完成了一些未经授权的登录。黑客使用的凭据可能来自FirstEnergy外部,并且只有一小部分成功。即便如此,也没有证据表明黑客访问了任何敏感的客户信息。”
Young表示,“我们的电力服务没有受到影响。对我们的运营没有影响。但是,由于这一最新问题,在密码更新过程完成之前将无法访问您的帐户。”
该公司官网上信息显示,“要重置密码,请输入与您的在线个人资料相关联的用户名和电子邮件地址。然后,您将收到一个链接,以完成密码更新过程,其中包含设置强密码的最佳实践。”
Young表示,“当你在线设置密码时,不要重复使用旧密码。如果有人把旧密码列在某个清单上,至今仍然可以使用。”
FirstEnergy是一家总部位于美国俄亥俄州阿克伦市的电力公司,是美国最大的上市的电力系统之一,纽约证券交易所代码为FE,为中西部和中大西洋地区的600万客户提供服务,连接中西部和中大西洋地区大约24,000英里的输电线路,总容量超过3,500兆瓦的发电机组,以及运营超过269,000英里配送线路,致力于为客户提供安全、可靠和响应迅速的服务,是Penelec、West Penn Power等多家电力公司的母公司。
参考来源:TheIndianaGazette http://33h.co/wtr8q
(二)微软警告IE浏览器中的零日漏洞被积极利用
微软9月7日发布警告称,一个影响Internet Explorer的零日漏洞被积极利用,该漏洞正被用来通过利用武器化的Office文档来劫持易受攻击的Windows系统。
漏洞CVE-2021-40444是源于MSHTML的远程代码执行漏洞,CVSS评分为8.8。MSHTML又名Trident,是Internet Explorer的专有浏览器引擎,用于在Office中呈现Web内容,包括Word、Excel和PowerPoint文档。
微软表示,正在调查有关影响Microsoft Windows的MSHTML远程代码执行漏洞的报告,微软知道有针对性的攻击试图通过使用特制的Microsoft Office文档来利用此漏洞。
攻击者可以手工创建一个恶意ActiveX控件,供托管浏览器呈现引擎的Microsoft Office文档使用。然后,攻击者必须说服用户打开该恶意文档。与拥有管理用户权限的用户相比,帐户被配置为拥有较少用户权限的用户受到的影响较小。
微软赞扬了来自EXPMON和Mandiant的研究人员报告了这一漏洞,但该公司没有透露更多的细节,包括攻击的性质、利用这一漏洞的对手的身份,以及他们在现实世界中的攻击目标。
EXPMON在一条推文中表示,它在检测到针对微软Office用户的“高度复杂的零日攻击”后发现了该漏洞,并已于周日将其发现转交给微软。漏洞利用使用了逻辑缺陷,因此漏洞利用完全可靠且危险。
但是,如果Microsoft Office以默认配置运行,即从Web下载的文档在受保护的视图或Application Guard for Office中打开,则当前的攻击可以被抑制,目的是防止不受信任的文件访问受危害系统中的受信任资源。
在调查完成后,微软预计将发布一个安全更新,作为其周二补丁每月发布周期的一部分,或“根据客户需求”发布一个带外补丁。在此期间,微软敦促用户和机构禁用ie浏览器中的所有ActiveX控件,以减少任何潜在的攻击。
参考来源:TheHackerNews http://33h.co/wzwy1
(三)新西兰第三大电信运营商遭到DDoS攻击,全国大范围断网
新西兰第三大电信运营商Vocus NZ于9月3日表示,他们对一次网络攻击做出了回应,引发了大范围网络中断。
Vocus在澳大利亚和新西兰提供零售、批发和企业电信服务。该公司表示,其系统阻止了针对一名用户的拒绝服务(DDoS)攻击,该公司称,由于目前全国大部分地区都在远程办公,此次断网恐怕在全国范围内都造成了严重破坏。Vocus公司对网络攻击的响应措施很可能引发了连锁反应,全国多地断网达30分钟,导致包括奥克兰、惠灵顿和克赖斯特彻奇等在内的多个大城市的vocus客户受到影响。
该公司一名发言人表示,“我们正与该平台的供应商密切合作,以了解发生这种情况的原因”。
已经就此事向Arbor DDoS保护供应商Netscout征求意见。目前网络服务似乎已经恢复正常。
参考来源:Reuters http://33h.co/wzw5u
(四)英国两家ITSP服务提供商遭受Revil勒索软件组织DDoS攻击
据报道,REvil勒索软件团伙正在使用DDoS攻击英国两家互联网和电话服务提供商VoIP Unlimited和Voipfone,并索取巨额赎金。
英国的两家互联网和电话服务提供商(ITSP),即位于南海岸的VoIP Unlimited和位于伦敦的Voipfone,在遭受一系列大规模DDoS攻击后,其服务中断了数天。
VoIP Unlimited声称,在该公司遭受大规模DDoS攻击后,攻击者提出了“巨额赎金要求”。据The Register报道,英国通信委员会已确认这些攻击是由臭名昭著的REvil勒索软件组织(又名Sodinokibi)实施的。其他英国会话启动协议提供商也是REvil的攻击目标,这表明该团伙已针对英国VoIP公司发起了精心策划的DDoS攻击活动。目前,尚不清楚其他ITSP服务提供商是否也受到影响。
根据Voipfone的状态页面,该公司的短信服务和呼入/呼出电话遭受了中断,因为该公司在英国夏令时9月3日12:09之前持续收到新的DDoS攻击。
在9月4日的状态更新中,该公司解释称,第一次攻击发生在周一,一直持续到周二。目前其服务已经恢复,但仍面临更多DDoS攻击的风险。
在9月2日的一条推文中,该公司透露“正在处理来自海外犯罪分子的基于DDoS勒索的攻击。”
据VoIP Unlimited的MD Mark Pillow称,攻击始于英国夏令时8月31日下午2点左右。攻击者发起了一次“规模惊人且复杂的DDoS攻击,伴随着巨额赎金要求”,导致该公司一些网络部分或完全失去了互联网连接服务。
然而,使用其以太网和宽带服务的用户并未受到影响。该公司在一封电子邮件中表示,在解决问题后,商业宽带服务再次上线,但他们怀疑攻击者很快就会卷土重来。目前,VoIP Unlimited的状态页面显示其服务已经恢复。
据Register报告,这两次攻击似乎都是同一组人在银行假日周末发起的,在那期间,他们的网络充斥着来自数千台受感染设备的虚假流量。
参考来源:HackRead http://33h.co/wzmtn
(五)俄罗斯多家银行遭受大规模DDoS攻击,导致部分服务暂时中断
9月2日深夜发生的一次新的大规模DDoS攻击导致俄罗斯主要银行的系统故障,并使其部分服务无法使用。因此,一些大型银行在一段时间内遇到了支付和卡服务方面的问题。VTB、Sberbank和Alfa-Bank抵御了攻击,但它们的互联网提供商Orange Business Services遭遇了重大困难。
银行有关人士表示,“通过互联网提供的所有设备,包括通过电线连接的地面点、自动取款机、POS终端,都有一段时间无法正常工作。”
VTB报告表示,“我们合作伙伴及其通信提供商的IT服务面临DDoS攻击,影响了远程服务渠道的客户支付。”
俄罗斯联邦储蓄银行Sberbank报告称,9月2日,一家外部服务提供商发生故障,可能导致个别服务的运营出现短暂延迟。
Alfa-Bank表示,Downdetector资源记录的一些报告可能与当地互联网提供商之一的问题有关。
Orange Business Services俄罗斯和CIS的运营总监Olga Baranova表示,自8月9日以来,该公司的网络威胁监控中心一直在记录对金融客户的攻击,包括使用容性攻击(如Amplification),以及使用加密协议(HTTPS)的攻击。这些攻击至今仍在继续,最强大的攻击约为100 Gbps。此外,就检测到的攻击数量而言,今年8月与去年全年相当。
放大攻击主要针对通信通道,而HTTPS或应用层攻击则直接针对应用程序。这种类型的DDoS攻击是最危险的,它们很难检测和消除,因为它们可以模拟合法的流量。
参考来源:EHackingNews http://33h.co/wzwec
(六)美国太平洋城市银行遭受AVOS Locker勒索软件攻击
Pacific City Bank是一家美国社区银行,专注于位于加利福尼亚州的韩裔美国人社区,并提供商业银行服务。该银行遭到AVOS Locker勒索软件运营商的攻击,声称从该金融机构窃取了敏感文件。
2021年9月4日星期六,勒索软件团伙将该银行添加到其泄密站点,并发布了一些屏幕截图作为黑客攻击的证据。
AVOS Locker在泄露网站上表示,“太平洋城市银行为企业和消费者提供卓越的银行和金融服务,但他们的安全性很可怕。如果他们拒绝谈判,我们将泄露我们掌握的所有数据。附件是一
些被泄露的文件。”
该勒索软件组织还发布了一个ZIP档案,名为proof,其中包含一系列据称是从银行窃取的文件。
参考来源:SecurityAffairs http://33h.co/wz2xj
(七)美国FBI警告针对食品和农业领域的勒索软件攻击
美国联邦调查局的互联网犯罪投诉中心发布了一份警报,警告食品和农业部门的相关公司,注意越来越多的勒索软件攻击威胁。据该机构称,这些勒索软件攻击的影响对小型到大型企业都是毁灭性的。
食品和农业部门物联网设备的增长使威胁行为者能够发起勒索软件攻击。研究表明,大多数食品公司现在的运营和流程都依赖物联网设备和智能技术。攻击者正在寻求利用这些设备来实现其恶意目标。
联邦调查局进一步指出,攻击者的目标是大型、成熟的组织,以通过赎金赚取更多的钱,而较小的公司将成为软目标。威胁行为者正试图扩大他们的企业攻击范围。如果他们可以针对这些部门,将对食品供应链产生负面影响。他们可以轻松利用IoT设备中的网络漏洞并窃取数据或加密系统。
该警告称,针对食品/农业部门的勒索软件攻击将影响各地的企业,从小规模农场到大型生产商、制造商、加工商、餐馆、市场等。将会有足够的生产力损失、个人和专有信息被盗、财务损失和对目标组织的声誉损害。
无论是哪个行业,都应遵守避免勒索软件攻击的基本步骤,包括:
1、安装杀毒软件并保持更新;
2、定期扫描网络漏洞,特别是0 Day;
3、保持浏览器上的防火墙处于激活状态;
4、不要在网上分享个人信息或任何敏感数据,除非确定平台的真实性;
5、千万不要点击声称系统感染了恶意程序并需要“点击”进行清理的的可疑链接或弹出窗口;
6、随时准备备份,以防数据丢失;
7、将数据保存在云中,这可以保护文件并使数据恢复更容易;
8、保持计算机上的操作系统和其他关键应用程序的更新。
参考来源:HackRead http://33h.co/wzmdr
(八)阿富汗成为勒索软件攻击主要目标
最近塔利班接管了阿富汗政府,给这个国家带来了很多混乱。然而网络犯罪分子看到,该国的这种混乱是他们受益的另一个机会。
根据Atlas VPN团队的数据分析,上个月,阿富汗成为全球勒索软件攻击的主要目标。如今在塔利班统治的土地上,为公司员工和客户提供安全保障将极其困难。
在过去30天内,网络犯罪分子在阿富汗发起了1.77%的勒索软件攻击。黑客注意到,目前在塔利班统治的国家的企业非常脆弱。在企业努力适应新的政治制度的同时,他们也不得不担心勒索软件的兴起。由于供应链和运输中断,塔利班政变使当地小公司难以继续经营。
对当地阿富汗企业的成功勒索软件攻击可能会彻底摧毁它。当成千上万的阿富汗人站在人群中取款时,该公司将很难支付赎金,因为银行所有者担心完成商业交易。
巴布亚新几内亚等其他国家遭受了1.69%的勒索软件攻击。巴基斯坦紧随其后,受到1.36%的攻击威胁。
Atlas VPN的网络安全作家和研究员William Sword分享了他对针对阿富汗的勒索软件攻击的看法,“在这个充满挑战的时期,威胁行为者正在阿富汗发动勒索软件攻击。虽然组织必须解决熟练劳动力短缺和切断对外关系的问题,但网络攻击可能意味着公司的倒闭,使阿富汗的经济形势更加恶化。”
大多数勒索软件的工作原理类似,都是对用户的信息进行加密,并要求支付赎金以解除锁定。
在过去一个月里,14.64%的勒索软件攻击使用了特洛伊木马.Win32.want.m恶意软件,成为最受欢迎的恶意软件。该家族属于WannaCry类型的恶意软件,用于加密用户文件。
随后的是,黑客在9.79%的攻击中使用了特洛伊木马win32.Crypmodadv.gen勒索软件。一旦注入特洛伊木马,就会加密受害者的计算机,同时放置一个要求金额的赎金票据。
接下来的是特洛伊木马WIN32.Phny.a勒索软件,有9.32%的网络犯罪分子使用。最后是win32.Crypren.gen及Win32.Wanna.zbu恶意软件,分别用于5.64%和5.13%的勒索软件攻击。
参考来源:TelemediaOnline http://33h.co/wt7vn
(九)特斯拉“全自动驾驶”人工智能软件在黑客社区泄露
特斯拉的“全自动驾驶”人工智能软件在黑客社区泄露,使得美国以外的特斯拉车主也能使用该套件。
全自动驾驶(FSD)套件是特斯拉期待已久的功能。到目前为止,某些支付高达10,000美元的美国特斯拉车主已被授予对启用该功能的测试版软件的有限测试访问权限。到目前为止,美国以外的特斯拉汽车还没有资格使用该软件,因为为该系统提供动力的人工智能目前仅针对美国路标进行培训。
但据报道,该软件现已泄露给特斯拉黑客社区,让北美以外的特斯拉车主有机会自动驾驶车辆。
乌克兰的一位特斯拉车主在Youtube上发布了一段视频,视频显示他开车穿过基辅街道时,他车上运行着FSD测试版软件。虽然由于道路不同,这辆车会遇到一些问题,但表现却非常出色。
全自动驾驶软件可以直接下载到特斯拉汽车上。使用一系列传感器和强大的人工智能,它使司机能够在他们的卫星导航中输入一个位置,然后汽车将尝试驾驶到该位置。
目前,驾驶员需要不断监督车辆,并对任何事故承担法律责任。在一些特斯拉司机卷入碰撞事故后,该软件本身因其安全性而受到批评。然而,理论上它确实能让汽车自动驾驶,而无需驾驶员转向、刹车或加速。
参考来源:DailyStar http://33h.co/wtt52
(十)Babuk勒索软件完整源代码在黑客论坛上泄露
一名威胁行为者在俄语黑客论坛上泄露了Babuk勒索软件的完整源代码。
Babuk Locker又名Babyk,是一种勒索软件操作,在2021年初开始运营,在针对企业的双重勒索攻击中窃取和加密其数据。在攻击华盛顿特区大都会警察局(MPD)并感受到美国执法部门的压力后,该组织在4月底宣布停止运营。然而,该组织有成员分裂出来,重新启动了Babuk V2勒索软件,至今仍然在继续加密受害者。
vx-underground安全研究小组首先发现了这一事件,Babuk组织的一名成员在一个流行的俄语黑客论坛上发布了其勒索软件的完整源代码。该名成员声称,自己是癌症晚期,决定要像人类一样生活,因此发布了源代码。
泄露的文件包含威胁参与者创建功能性勒索软件可执行文件所需的所有内容,包括适用于VMware ESXi、NAS和Windows加密器的不同Visual Studio Babuk勒索软件项目。Windows文件夹包含Windows加密器、解密器以及私钥和公钥生成器的完整源代码。下图是Windows加密器中加密例程的源代码。
Emsisoft首席技术官和勒索软件专家Fabian Wosar以及McAfee Enterprise研究人员证实,泄漏似乎是合法的。Wosar还表示,泄漏可能包含过去受害者的解密密钥。
Babuk勒索软件使用椭圆曲线加密(ECC)作为其加密程序的一部分,泄漏内容包括为勒索软件团伙的特定受害者编译的加密器和解密器的文件夹。Wosar表示,这些文件夹还包含曲线文件,这些文件可能是这些受害者的ECC解密密钥,但尚未得到证实。总共有15个文件夹,其中可能包含解密密钥的曲线文件。
Babuk Locker有一段肮脏的公开历史,因为背叛而导致团队分裂。从Babuk勒索软件团伙的一名成员那里获悉,该团伙在华盛顿特区大都会警察局(MPD)遭到攻击后分裂了。攻击发生后,据称“管理员”想泄露MPD数据进行宣传,而其他组织成员则反对。
数据泄露后,该组织与最初的管理员分裂,管理员成立了Ramp网络犯罪论坛,其余的人则启动了Babuk V2,在那里继续进行勒索软件攻击。在管理员启动Ramp网络犯罪论坛后不久,就遭受了一系列DDoS攻击,使新网站无法使用。管理员将这些攻击归咎于他的前合作伙伴,而Babuk V2团队则表示不对此负责。
为了增加该组织的争议,一个Babuk勒索软件构建器在一个文件共享站点上被泄露,并被另一个组织用来启动他们自己的勒索软件操作。
参考来源:BleepingComputer http://33h.co/w713k
(十一)黑客泄露了约50万个Fortinet VPN帐户密码
黑客泄露了近50万个Fortinet VPN登录名和密码名单,据称这些登录名和密码是去年夏天从可利用的设备上窃取的。虽然攻击者声称利用Fortinet漏洞已经修补,但他们声称许多VPN凭据仍然有效。
这是一起严重的泄露事件,因为VPN凭据可能允许攻击者访问网络,以执行数据外泄、安装恶意软件和执行勒索软件攻击。
Fortinet的凭据列表是由一个名为Orange的黑客免费泄露的,他是新成立的RAMP黑客论坛的管理员,也是Babuk勒索软件的前操作员。
在Babuk团伙成员之间发生争执后,Orange分道扬镳成立了RAMP,现在被认为是新的Groove勒索软件运营的代表。
7日,黑客在RAMP论坛上发布了一个帖子,上面有一个文件的链接,据称该文件包含数千个Fortinet VPN账户。与此同时,Groove勒索软件的数据泄露网站上出现了一篇帖子,也在宣传Fortinet VPN泄露事件。
这两篇文章都指向了一个托管在Tor存储服务器上的文件,Groove团伙使用该服务器托管被盗文件,迫使勒索软件受害者支付赎金。
对该文件的分析显示,它包含了超过12,856台设备的498,908名用户的VPN证书。虽然没有测试泄漏的任何凭据是否有效,但可以确认检查的所有IP地址都是Fortinet VPN服务器。
英特尔公司进行的进一步分析表明,这些IP地址是用于全球设备的,其中2959个设备位于美国。
英特尔CTO Kremez表示,现已修补的Fortinet CVE-2018-13379漏洞被利用来收集这些凭据。另一位网络安全行业消息人士称,他能法地验证至少一些泄露的凭据是有效的。然而有的消息来源出了不同的答案,有些人说许多凭据有效,而另一些人则表示大多数凭据无效。
目前还不清楚为什么威胁行为者公布了这些凭据,而不是自己使用,但据信这是为了宣传RAMP黑客论坛和Groove勒索软件即服务的运营。
Groove是一种相对较新的勒索软件操作,目前只有一名受害者被列在他们的数据泄露网站上。然而,通过向网络犯罪社区提供免费赠品,他们希望招募其他攻击者加入他们的附属系统。
虽然不能合法地验证凭据列表,但可以采取预防措施。包括强制重置所有用户的密码,以确保安全,并检查日志,以防可能的入侵。如果有任何可疑之处,应立即确保安装了最新的修补程序,进行更彻底的调查,并确保重置用户密码。
参考来源:BleepingComputer http://33h.co/wzwii
(十二)O.MG数据线可以从苹果设备远程窃取数据
2019年在DEFCON上,一位IT安全研究人员介绍了一种名为O.MG数据线的Lightning数据线,允许远程攻击者从Apple设备窃取数据。现在,O.MG数据线的升级版已经发布,配备了额外的功能。
O.MG数据线就类似于任何标准Lightning转USB数据线一样,在2019年由安全研究员MG进行了演示,然后与网络安全供应商Hak5合作,为渗透测试人员和安全研究人员大规模生产数据线。
这些数据线称为MG,有多种不同版本,包括Lightning转USB-C。这些数据线看起来与其他配件制造商的数据线相似,这使它们成为令人担忧的原因,因为它们会破坏设备的安全性。
售价120美元的O.MG数据线看起来就像Apple的Lightning数据线,以USB-A和USB-C格式出售。然而,它与周围其他数据线的不同之处在于它附带的许多独特功能。
例如,其地理围栏功能允许用户在检查其位置后触发或阻止来自设备的有效载荷,以防止从其他设备收集的击键或有效载荷泄漏。
此外,根据Vice的Joseph Cox的说法,O.MG数据线能够更改键盘映射并伪造USB设备的身份。它有一个微小的植入芯片,与真正电缆中的芯片大小相同。这就是为什么识别恶意代码变得如此困难的原因。植入物消耗了USB-C连接器外壳长度的一半,但数据线可以照常运行。
O.MG数据线可以记录连接到任何设备的击键,包括Mac键盘、iPhone或iPad,并将数据发送给超过一英里以外的攻击者。
攻击者必须使用数据线和基于Web的简单应用程序建立Wi-Fi热点。此外,攻击者可以非常方便地记录击键或将恶意软件部署到Apple设备上。
参考来源:Hackread http://33h.co/wzb0s
(十三)REvil勒索软件服务器再次神秘上线
REvil勒索软件的暗网服务器在9月7日突然重新启动,此前REvil的服务器已经关闭了两个月。目前尚不清楚这是否标志着REvil勒索软件组织的回归,或者是执法部门打开的服务器。
7月2日,REvil勒索软件组织(又名Sodinokibi)利用Kaseya VSA远程管理软件中的零日漏洞对大约60家托管服务提供商(MSP)及其1,500多家企业客户进行加密。然后REvil要求MSP支付500万美元来获得解密程序,或要求每个企业支付44,999美元来获得加密拓展。该组织还要求支付7000万美元的主解密密钥来解密所有Kaseya受害者,但很快将价格降至5000万美元。
攻击发生后,勒索软件组织面临来自执法部门和白宫的越来越大的压力。白宫警告称,如果俄罗斯不对境内的威胁行为者采取行动,美国将自行采取行动。不久之后,REvil勒索软件团伙消失了,他们所有的Tor服务器和基础设施都被关闭。直到今天,还不清楚发生了什么,但这使得希望谈判的勒索软件受害者无法这样做,也无法恢复文件。
神秘的是,Kaseya后来收到了攻击受害者的主解密密钥,并表示该秘钥来自受信任的第三方。据信,俄罗斯情报部门从威胁行为者那里收到了解密密钥,并将其转交给了FBI,以示善意。
9月7日,Tor支付/谈判站点和REvil的Tor'Happy Blog'数据泄露站点突然重新上线。REvil数据泄露网站上最新的受害者是在2021年7月8日添加的,就在REvil神秘失踪前五天。
与功能正常的数据泄漏站点不同,Tor协商站点似乎尚未完全运行。虽然它显示了登录屏幕,但不允许受害者登录该站点。该组织的http://decoder.re/目前仍处于离线状态。
目前尚不清楚该勒索软件团伙是否重新开始运作,服务器是否被错误地重新打开,或者这是执法部门的行动。
参考来源:BleepingComputer http://33h.co/wt7xk
(十四)Conti勒索软件利用ProxyShell漏洞攻击Exchange服务器
Sophos研究人员发现,Conti勒索软件组织正在使用最近披露的ProxyShell漏洞入侵微软Exchange服务器,并破坏公司网络。
ProxySell是一个漏洞利用程序,包含CVE-2021-34473、CVE-2021-34523、CVE-2021-31207三个微软Exchange漏洞,可允许在未修补的易受攻击的服务器上进行未经身份验证的远程代码执行。这三个漏洞是由Devcore的Orange Tsai在Pwn2Own 2021黑客大赛上发现的。
虽然微软已在5月份发布了这三个漏洞的修补更新,但研究人员最近发布了有关利用这些漏洞的技术细节,威胁行为者可在攻击中使用,包括利ProxyShell漏洞来删除webshell、后门和部署LockFile勒索软件。
美国FBI报告称,Conti组织参与了400多次网络攻击,勒索金额高达2500万美元。勒索软件组织LockFile已使用ProxySell漏洞进行攻击,现在Conti也使用该漏洞。
Sophos研究人员9月3日发布研究文章称,攻击者在目标网络上启动最终勒索软件有效载荷之前,已经获得了技术经验和驻留时间。
此外,Conti勒索软件可以在一分钟内访问目标网络,并设置远程Web Shell。在此之后,他们安装了第二个web shell作为备份。30分钟后,攻击者生成部署在目标网络、域控制器和域管理员中的计算机的完整列表。
为了执行这些命令,需要一个小时来获取域管理员帐户的凭据,再过48小时,他们泄露了大约1 TB数据,最后,他们在48小时内将Conti勒索软件部署到网络上的每台机器上。
今年5月份微软修复了ProxySell这三个漏洞,升级了Exchange服务器,但是由于电子邮件停机,一些组织离开Exchange服务器而没有应用补丁,这使得攻击者可以扫描易受攻击的系统。
一旦攻击者成功进入网络,攻击者就会为“管理员”创建一个新邮箱,并在Microsoft Exchange“cmdlet”的帮助下放置一个新角色,帮助他们远程执行Shell命令。\\127.0.0.1\C$\inetpub\wwwroot\aspnet_client\aspnetclient_log.aspx。
随后,攻击者在服务器的本地主机地址中创建一个web shell,并执行一个以base64编码的PowerShell脚本。在下一阶段,攻击利用编码命令滥用服务控制管理器,在放置web shell的目录上执行目录查找。
在侦察阶段,攻击者使用另一个PowerShell命令从文本文件中检索域计算机列表,并收集有关网络配置、域管理员、主动连接到系统的用户、本地安全机构子系统服务的进程ID等信息。
一旦他们收集了所有必要的数据,攻击者就会投放一个可执行文件SVN.exe,并在系统上执行该文件,然后与位于芬兰的C2服务器建立连接。一旦入侵的初始阶段完成,窃取凭据的攻击者就会使用他们破解的现有域管理员帐户开始横向移动。
该帐户用于创建从Exchange服务器到另一台服务器的RDP连接。一分钟后,该服务器的日志显示域管理员帐户下载并安装AnyDesk远程桌面软件作为服务。
最后,攻击者借助PowerShell文件在多台服务器中部署了名为Rclone的文件复制实用程序。稍后该日期转移到Mega文件共享服务,其中包括远程驱动器的地址以及该帐户的用户名和密码。在该入侵事件发生后的第5天,Conti攻击者开始部署勒索软件并开始加密文件。
四个批处理脚本从四台服务器运行,分别为1help.bat、2help.bat、3help.bat和4help.bat。批处理文件反复调用勒索软件可执行文件x64.exe,每次迭代都针对网络上每个Windows系统上的特定驱动器,使用默认文件共享名称。
ProxyShell和其他对已知微软Exchange漏洞的攻击现在非常频繁。建议组织尽快更新和修补本地Exchange Server的服务器。
参考来源:GBHackers http://33h.co/wtkpu
(十五)Ragnar Locker勒索软件组织警告受害者不要联系执法部门
Ragnar Locker勒索软件组织警告称,如果受害者联系FBI等执法机构,他们将泄露受害者的被盗数据。Ragnar Locker此前曾用勒索软件攻击知名公司,要求支付数百万美元的赎金。
在Ragnar Locker的暗网泄密网站上发布的公告中,该组织威胁要发布在勒索软件攻击后寻求执法和调查机构帮助的受害者的完整数据。该威胁还适用于联系数据恢复专家以尝试解密和进行协商过程的受害者。在任何此类事件中,该组织都会在其onion站点上发布受害者的完整数据。
勒索软件运营商表示,聘请“专业谈判人员”的受害组织只会使恢复过程变得更糟。这是因为这些谈判者经常与隶属于联邦调查局和类似机构的数据恢复公司合作。该勒索软件组织在数据泄露站点上的说明显示,“因此,从这一刻起,我们警告所有客户,如果您将聘请任何恢复公司进行谈判,或者您将向警方/联邦调查局/调查人员发送请求,我们将认为这是一种敌对意图,我们将开始立即发布整个数据。”
Ragnar Locker攻击者以手动部署勒索软件有效载荷来加密受害者的系统而闻名。他们花时间进行侦察,以在数据加密阶段之前发现网络资源、公司备份和其他可以窃取的敏感文件。
据报道,Ragnar Locker过去的受害者包括日本游戏制造商Capcom、计算机芯片制造商ADATA和航空巨头Dassault Falcon。在Capcom的案例中,该组织对网络上的2,000台设备进行了加密,并要求支付11,000,000美元的赎金以换取解密器。
Ragnar Locker的最新声明给受害者带来了额外的压力,考虑到当前网络攻击日益增多的环境,世界各国政府都强烈建议不要支付赎金。
英国内政大臣Priti Patel今年五月表示,“政府坚决发对支付赎金,包括当赎金被勒索软件锁定时。向勒索软件支付赎金并不保证成功。”
FBI也不支持支付赎金,因为这样做并不能保证保护网络免受数据泄露或未来的攻击。相反,FBI鼓励勒索软件受害者联系当地的FBI现场办公室。支付赎金会促使犯罪分子攻击更多受害者,并激励其他网络犯罪团体效仿他们进行非法活动。
参考来源:BleepingComputer http://33h.co/wtzpu
(十六)新型恶意软件PRIVATELOG利用CLFS日志文件躲避检测
FireEye的Mandiant高级实践团队发现了一个新型恶意软件PRIVATELOG及其安装程序STASHLOG,并披露了该新型恶意软件家族的详细信息。该勒索软件家族依靠通用日志文件系统(CLFS)来隐藏注册表事务文件中的第二阶段有效负载,以逃避检测机制。关于威胁行为者的身份或其动机的细节仍不清楚。
尽管该恶意软件尚未在针对客户环境的实际攻击中被检测到,或被发现启动任何第二阶段的有效载荷,但Mandiant怀疑PRIVATELOG可能仍在开发中,由研究人员完成,或作为高度针对性活动的一部分部署。
CLFS是Windows中的通用日志子系统,内核模式和用户模式应用程序(如数据库系统、OLTP系统、消息客户端和网络事件管理系统)都可以访问它,用于构建和共享高性能事务日志。
Mandiant研究人员在9月1日发表的博客文章中解释,“由于文件格式没有被广泛使用或记录,因此没有可以解析CLFS日志文件的可用工具。这为攻击者提供了以方便的方式将其数据隐藏为日志记录的机会,因为这些数据可以通过API函数访问。”
PRIVATELOG和STASHLOG具有允许恶意软件在受感染设备上停留并避免检测的功能,包括使用模糊字符串和控制流技术,这些技术明确旨在使静态分析变得繁琐。更重要的是,STASHLOG安装程序接受下一阶段的有效负载作为参数,其内容随后存储在特定的CLFS日志文件中。
PRIVATELOG是一个名为“prntvpt.dll”的未模糊64位DLL,利用一种称为DLL搜索顺序劫持的技术,以便在受害程序调用时加载恶意库,在本例中是一种称为“PrintNotify”的服务。
研究人员表示,“与STASHLOG类似,PRIVATELOG首先枚举默认用户配置文件目录中的*.BLF文件,并使用具有最早创建日期时间戳的.BLF文件,然后使用该文件解密和存储第二阶段的有效负载。”
Mandiant建议组织应用YARA规则来扫描内部网络,以查找恶意软件的迹象,并注意与端点检测和响应(EDR)系统日志相关的“进程”、“图像加载”或“文件写入”事件中的潜在危害指标(IoC)。
参考来源:TheHackerNews http://33h.co/w768e
(十七)霍华德大学遭受勒索软件攻击在线课程取消
美国霍华德大学9月6日宣布,其遭受了勒索软件攻击,并正在调查该事件,并取消了9月7日周二的课程。9月8日的在线课程及混合课程也取消了,改为当面授课。
据学校官员称,他们的信息技术团队在9月3日上周五在学校网络上检测到异常活动。由于异常活动,学校的企业技术服务(ETS)关闭了学校的网络进行调查。校园内将部署替代Wi-Fi系统,但要到周三才能使用。
学校在一份声明中表示,“有关情况仍在调查中。ETS及其合作伙伴一直在努力全面解决这一事件,并尽快恢复运营。我们目前正在与领先的外部取证专家和执法部门合作,全面调查该事件及其影响。迄今为止,还没有任何个人信息被访问或泄露的证据。但是我们的调查仍在进行中,我们将继续努力澄清所发生事件事实,以及所获取的信息。”
据官员称,学校正在与取证专家和执法部门合作调查这起事件。到目前为止,没有任何个人信息被访问或泄露的证据。
周三将再次取消在线和混合课程,以便IT团队有更多时间调查事件,校园将只对基本员工开放。
学校官员表示,“这是一个高度动态的情况,保护所有敏感的个人、研究和临床数据是我们的首要任务。我们正在与FBI和华盛顿特区政府联系,我们正在安装额外的安全措施,以进一步保护大学及个人数据免受犯罪加密。”
霍华德大学二年级学生Tahir Scott对没有WIFI表示沮丧,他说他不能经常做家庭作业,因为很多家庭作业都在网上。“我们被告知更改密码、检查用户名,以确保没有人试图使用它来登录。”
网络安全公司Recorded Future高级情报分析师Allan Liska表示,勒索软件攻击经常发生在假期前后,并指出发生在母亲节周末的Colonial管道攻击。“学院和大学对勒索软件组织变得更具吸引力,因为他们可以要求更高的报酬。”这是今年针对学院或大学的第20次攻击。
参考来源:7News http://33h.co/wtgn9
(十八)法国3900万人详细信息在暗网出售
法国正在经历一场大规模的数据泄露事件,涉及3900万人的全名、邮政地址、电子邮件地址和电话号码。这一数字占法国总人口的一半以上,因此数据泄露的影响可能是巨大的,尽管许多条目可能是重复的。该数据库最近出现在暗网市场上,黑客提供了一个10万人的“小”名单作为样本,以吸引潜在买家。
法国IT新闻媒体“Zataz”的Damien Bancal得知免费样品的存在,他决定查看一下数据是否有效。但是,数据库中包含的信息似乎是真实的,而且似乎来自各种在线资源。该数据是最近泄露的有关法国人的数据的汇编,包括巴黎、马赛、里昂、甚至格尔扎、尤塞尔或勒布尔热这样的法国小城镇。
那些暴露姓名、电子邮件、地址和电话号码的人现在面临着被网络钓鱼者或从事社会工程骗局的骗子欺骗的风险。此外,暴力攻击的基础也已经奠定,因为攻击者现在有一些信息可以开始利用。目前,该数据库还没有添加到任何在线检查中,因为它没有被任何人购买,也没有全部泄漏,因此如果你认为你可能被包括在内,请保持警惕。
参考来源:TechNadu http://33h.co/wzmnr
(十九)黑客声称窃取了700万以色列个人数据
一个名为Sangkancil的黑客声称从以色列政府网站CITY4U窃取了700万以色列人的个人信息。以色列政府利用该网站处理理财产税、罚款和水电费等工作。
如果这些指控属实,这将是以色列历史上最严重的侵犯隐私行为事件之一。以色列目前人口约为940万人,大约80%人口的数据落入黑客手中。以色列国家网络局表示,正在调查这一信息,但泄露的文件可能是旧信息。
攻击者9月5日在Telegram上发布了一个帖子,声称入侵了以色列市政当局。随后从9月6日周一开始,该攻击者在Telegram和黑客在线论坛上发布了一些支持他这一说法的文件和图像,包括色列身份证、驾驶执照和税单等。攻击者没有透露数据出售的价格,并暗示可能在未来几天透露更多信息。
Sang Kancil是印度尼西亚和马来西亚流行的一系列寓言的名字。
参考来源:TheTimesOfIsrael http://33h.co/wtr7m
(二十)摩洛哥200万个人数据泄露
法国网络安全网站Zataz于9月3日表示,超过200万摩洛哥人的个人数据被黑客泄露。
网络窥探人们的个人信息是一件非常令人担忧的事情。据Zataz称,私人和个人数据的故意泄露发生在9月3日周五晚上。网络攻击暴露了200万摩洛哥网民的身份、职业、雇主名称和电子邮件地址。
Zataz创始人Damien Bancal表示,“一名黑客使用纳粹主义创始人Adolphe Hitler的名字,将摩洛哥王国男女的个人账户放在三个免费的云空间中。黑客引发了第二次个人数据泄露,这一次涉及拉巴特穆罕默德五世大学,其中包含2013年至2020年超过2,181份简历。这次大规模数据库泄露背后的黑客没有解释他是如何提取与大学生相关的信息的。”
黑客利用社交网站Linkedin来检索此信息。包含泄露信息的数据库已在暗网上已流传了数周。黑客非法共享的隐私信息包括电气、土木和工业工程、计算机工程、机械、计算机建模和电信工程专业学生的邮政地址、照片和电子邮件。
同一消息来源宣布,大约4000万法国人的数据也在暗网上出售,这表明“被盗数据库背后的黑客已经制定了真正的营销计划,将收集到的所有数据进行转售。”
摩洛哥于9月8日星期三举行选举,竞选活动中的个人数据使用成为一个严重问题,公民抱怨隐私受到了侵犯。
参考来源:MoroccoWorldNews http://33h.co/wt0rw
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
