关键信息基础设施安全动态周报【2021年第39期】
发布时间:
2021-09-30
来源:
作者:
天地和兴
访问量:
1075
目 录
第一章 国外关键信息基础设施安全动态
(一)美国主要港口休斯顿港遭受民族国家黑客攻击
(二)美国医疗中心UHC遭受Vice Society勒索软件攻击
(三)Cisco发布影响IOS XE软件的三个严重漏洞补丁
(四)NanoMQ平台存在零日漏洞,一亿IoT设备受到影响
(五)SonicWall修复SMA 100系列中任意文件删除漏洞
(六)欧洲主要呼叫中心供应商GSS遭受勒索软件攻击
(七)研究人员发现大规模网络钓鱼即服务活动BulletProofLink
(八)FamousSparrow间谍组织攻击酒店及政府组织
(九)大规模网络钓鱼活动针对多国政府部门窃取凭证
(十)Malwarebytes发现针对俄罗斯国防机构的黑客攻击活动
(十一)欧盟正式将Ghostwriter黑客事件归因于俄罗斯
(十二)墨西哥政府卫生机构Inmegen泄露新冠患者信息
(十三)印度27家金融机构遭受Drinik银行木马攻击
(十四)哥伦比亚房地产经纪公司Coninsa Ramon泄露超十万客户信息
(十五)南非Debt-IN公司泄露百万客户个人信息
(十六)泰国1.06亿游客个人信息在网上泄露
(一)美国主要港口休斯顿港遭受民族国家黑客攻击
美国主要港口之一休斯顿港在八月份遭受了一次网络攻击,攻击者是一名民族国家黑客,该攻击对休斯顿港系统没有影响。
港口官员周四发表的一份声明称,休斯顿港管理局(Port of Houston)在8月份成功抵御了一次网络攻击。休斯顿港按照《海上运输安全法》(MTSA)的指导,遵循设施安全计划,没有影响运营数据或系统。
周四上午,网络安全和基础设施安全局局长Jen Easterly在参议院委员会听证会上披露了这起攻击事件。她认为这次攻击是由一个利用Zoho用户身份验证设备零日漏洞的民族国家黑客实施的。
Easterly表示,“我们正在与我们的跨部门合作伙伴和情报界密切合作,以更好地了解这个威胁行为者,从而确保我们不仅能够保护系统,而且最终能够让这些行为者承担责任。”
俄亥俄州共和党参议员Rob Portman表达了对关键基础设施遭到攻击的担忧,并敦促美国当局“回击这些继续对我们的公共和私营部门实体进行调查并犯下这些罪行的民族国家黑客。”
9月中旬,FBI、CISA和海岸警卫队网络司令部(CGCYBER)发布了一份联合报告,警告称民族国家APT组织正在积极利用Zoho ManageEngine ADSelfService Plus软件中的严重漏洞CVE-2021-40539。ManageEngine ADSelfService Plus是自助密码管理和单点登录解决方案。
该联合公告表示,“这一联合建议是联邦调查局、美国海岸警卫队网络司令部和网络安全和基础设施安全局之间分析努力的结果,目的是强调与积极利用ManageEngine ADselfService Plus中新发现的漏洞CVE-2021-40539相关的网络威胁。对ManageEngine ADSelfService Plus的攻击,会对关键基础设施公司、经美国批准的国防承包商、学术机构和其他使用该软件的实体构成严重风险。”
根据美国机构的说法,威胁行为者可以触发该漏洞放置webshell,使对手能够进行利用后的活动,如破坏管理员凭据、进行横向移动、并窃取注册表配置单元和Active Directory文件。
9月初,Zoho在其ManageEngine ADSelfService Plus中发布了一个安全补丁,以解决认证绕过漏洞CVE-2021-40539。该公司还警告称,这一漏洞已经被野外攻击所利用。
参考来源:SecurityAffairs http://33h.co/9bhqs
(二)美国医疗中心UHC遭受Vice Society勒索软件攻击
总部位于美国加利福尼亚州的美国医疗中心(United Health Centers,UHC)遭受了Vice Society勒索软件攻击。该攻击影响了UHC所有地点,并导致患者数据被盗,导致整个网络关闭。
UHC是加利福尼亚州的一家医疗服务提供商,拥有21个社区医疗中心,服务于弗雷斯诺、金斯和图拉雷县。
UHC表示,网络攻击导致所有地点的IT系统中断,他们已经开始对电脑进行重新镜像,并从离线备份中恢复数据。
本周,Vice Society勒索软件团伙泄露了一些文件,这些文件据称是该组织在8月份的攻击中从UHC窃取的。泄露的文件包含敏感信息,如患者福利、财务文档、患者实验室结果和审计。此外,UHC尚未在其网站上披露此次攻击或患者数据的潜在泄露。
Vice Society是一个相对较新的勒索软件,于2021年6月启动,其数据泄露网站上列出的公司中有20%是医疗行业的。虽然一些勒索软件组织禁止攻击医院和医疗设施,但不幸的是,越来越多的新勒索软件组织并未禁止此类攻击。
参考来源:BleepingComputer http://33h.co/9bhwn
(三)Cisco发布影响IOS XE软件的三个严重漏洞补丁
网络设备制造商思科系统(Cisco Systems)发布了影响其IOS XE网络操作系统的三个严重安全漏洞的修复补丁,远程攻击者可滥用这些漏洞,以管理权限执行任意代码,并在易受攻击的设备上触发拒绝服务(DoS)状态。
列这三个漏洞为:
1、CVE-2021-34770(CVSS分数10.0分),Catalyst 9000系列无线控制器的Cisco IOS XE软件CAPWAP远程代码执行漏洞;
2、CVE-2021-34727(CVSS分数9.8分),Cisco IOS XE SD-WAN软件缓冲区溢出漏洞;
3、CVE-2021-1619(CVSS分数9.8分),Cisco IOS XE软件NETCONF和RESTCONF身份验证绕过漏洞。
其中最严重的是CVE-2021-34770逻辑错误漏洞,发生在CAPWAP(无线接入点的控制和供应)数据包的处理过程中,该数据包使中央无线控制器能够管理一组无线接入点。攻击者可以通过向受影响的设备发送特制的CAPWAP数据包来利用此漏洞。成功利用此漏洞可使攻击者以管理权限执行任意代码,或导致受影响的设备崩溃并重新加载,从而导致DoS条件。
第二个漏洞CVE-2021-34727涉及在接受设备的传入网络流量时边界检查不足,从而允许攻击者传输专门设计的流量,从而导致以根级别权限执行任意代码或导致设备重新加载。启用SD-WAN功能的1000系列集成服务路由器(ISR)、4000系列ISR、ASR 1000系列聚合服务路由器和云服务路由器1000V系列受到该漏洞的影响。
第三个漏洞CVE-2021-1619与Cisco IOS XE软件的身份验证、授权和记帐(AAA)功能中的“未初始化变量”有关,该变量可允许经过身份验证的远程对手安装、操作或删除网络设备的配置,或损坏设备上的内存,从而导致拒绝服务。
Cisco还解决了影响IOS XE软件不同组件以及Cisco接入点平台和Cisco SD-WAN vManage软件的15个高危漏洞和15个中危漏洞。建议用户和管理员应用必要的更新,以减轻恶意参与者的任何潜在利用风险。
参考来源:TheHackerNews http://33h.co/9m8x3
(四)NanoMQ平台存在零日漏洞,一亿IoT设备受到影响
Guardara研究人员发现,NanoMQ平台中存在一个高危零日漏洞,可导致系统崩溃、传感器、医疗设备损坏等结果。NanoMQ广泛使用于IoT设备中,致使上万家企业的一亿多台设备容易受到攻击。
Guardara研究人员使用其技术在NanoMQ中发现了一个零日漏洞。NanoMQ是EMQ的一个开源平台,可以实时监控物联网设备,然后充当“消息代理”来发送检测到异常活动的警报。EMQ的产品用于监测出院患者的健康状况、检测火灾、监测汽车系统、智能手表、智慧城市应用等。
Guardara在一份新闻稿中表示,“Guardara使用其技术检测了多个问题,这些问题导致EMQ的NanoMQ产品在测试期间崩溃。这些漏洞的存在意味着任何依赖NanoMQ的系统都可能被完全损坏。”
Guardara首席执行官Mitali Rakhit表示,该漏洞的CVSS评分为7.1,是高危漏洞。该漏洞的危险程度取决于使用NanoMQ的设置。该漏洞是由内存缓冲区范围内的操作限制不当引起的。
Guardara的Zsolt Imre在GitHub上解释表示,问题在于MQTT数据包长度。MQTT是物联网的消息传递协议标准,设计为一种极其轻量级的发布/订阅消息传递传输,用于连接远程设备,代码占用空间小,只需最少的网络带宽。因此MQTT广泛应用于使用低带宽智能传感器的各种行业,例如汽车、制造、电信、石油和天然气等。
Imre表示,“在NanoMQ的实现中,当MQTT数据包长度被篡改且低于预期时,memcpy操作会收到一个大小值,该值使源缓冲区位置指向或指向未分配的内存区域,导致NanoMQ崩溃。”
Imre继续表示,“问题似乎在于有效载荷长度的计算方式,怀疑异常的数据包长度msg_len比used_pos的值更小,因此减法结果为负数。但是memcpy期望大小为size_t,它是无符号的。因此由于将负数转换为size_t,长度变成了一个非常大的正数。”
Rakhit补充表示,攻击者利用该漏洞并使系统崩溃所需的只是基本的网络和脚本技能。这些类型的拒绝服务攻击可能非常危险,因为它们会影响关键任务设备的可用性。
Guardara表示,“这可能会使数百万人生命和重要财产处于危险之中。NanoMQ中的技术用于从常见设备收集实时数据,包括智能手表、汽车传感器和火灾探测传感器。消息代理用于通过传感器监测患者出院时的健康参数,或通过运动检测传感器防止盗窃。”
软件开发商已发布修复程序,包含NanoMQ的设备用户应向其供应商查询设备固件的更新。
此次披露正值对物联网设备(包括遥控器、蓝牙设备、家庭安全系统等)的攻击数量激增之际。卡巴斯基本月早些时候发布的一份报告显示,2021年上半年,针对物联网设备的网络攻击增加了100%以上,今年迄今为止发起的攻击达到了惊人的15亿次。
卡巴斯基安全专家Dan Demeter表示,“从智能手表到智能家居配件,由于物联网设备已经成为我们日常生活的重要组成部分,网络犯罪分子巧妙地将注意力转移到了这一领域。我们看到,一旦用户对智能设备的兴趣上升,攻击也会加剧。”
参考来源:ThreatPost http://33h.co/9a0hm
(五)SonicWall修复SMA 100系列中任意文件删除漏洞
SonicWall已经修复了一个严重的安全漏洞,该漏洞影响了多个安全移动访问(Secure Mobile Access,SMA)100系列产品,该漏洞可以让未经身份验证的攻击者远程获得目标设备的管理访问权限。
SMA 100系列设备容易受到针对不适当访问控制漏洞CVE-2021-20034的攻击,包括SMA 200、210、400、410和500v。目前还没有消除攻击向量的临时缓解措施,SonicWall强烈敦促受影响的客户尽快部署安全更新以解决该漏洞。
成功利用该漏洞攻击可让攻击者从未打补丁的SMA 100安全访问网关中删除任意文件,重新启动到出厂默认设置,并可能获得对设备的管理员访问权。
该公司表示,“该漏洞是由于对受限制目录的文件路径进行了不当限制,可能导致任意删除文件。”
SonicWall要求使用SMA 100系列设备的组织立即登录MySonicWall.com,将设备升级到补丁固件版本。该公司没有发现任何证据表明这个关键的预认证漏洞目前正在被利用。
自2021年初以来,SonicWall SMA 100系列电器多次成为勒索软件团伙的目标,最终目标是横向进入目标组织的网络。
例如,Mandiant追踪的一个名为UNC2447的威胁组织利用SonicWall SMA 100设备上的CVE-2021-20016零日漏洞,部署了一种名为FiveHands的新型勒索软件。
在2021年2月底发布安全更新之前,他们的攻击目标是多个北美和欧洲组织。今年1月,针对SonicWall内部系统的攻击也利用了同样的漏洞,后来又被肆意滥用。
7月份,SonicWall警告称,针对未修补的寿命结束(EoL)SMA 100系列和安全远程访问(SRA)产品的勒索软件攻击风险增加。
CrowdStrike和Coveware安全研究人员对SonicWall的警告表示,勒索软件活动仍在进行。三天后,CISA证实了研究人员的发现,警告称,威胁行动者的目标是之前修补过的SonicWall漏洞。
HelloKitty勒索软件在SonicWall发布紧急安全通知之前的几周一直在利用该漏洞CVE-2019-7481。
SonicWall最近透露,其产品在全球215个国家和地区有超过50万的商业客户在使用,其中许多被部署在世界上最大的组织、企业和政府机构的网络上。
参考来源:BleepingComputer http://33h.co/9bysg
(六)欧洲主要呼叫中心供应商GSS遭受勒索软件攻击
Covisian是欧洲最大的客户服务和呼叫中心提供商之一,该公司的西班牙和拉丁美洲分部GSS遭受了一场勒索软件攻击,导致该公司大部分IT系统被冻结,所有西班牙语客户群的呼叫中心瘫痪。
本周,西班牙和拉丁美洲的公司和政府机构的呼叫中心和自动客户支持电话服务一直无法接通。
据知情人士透露,受影响的服务包括沃达丰西班牙、MasMovil ISP、马德里供水公司、电视台和许多私营企业。
在一封致受影响客户的信中,GSS官员表示,他们已经关闭了所有受到此次攻击影响的内部系统,目前正在使用基于谷歌的系统作为替代方案。
GSS表示,“在事件得到解决之前,所有应用程序都无法工作。没有提供恢复工作的时间表。勒索软件攻击不可避免。”
Covisian的一名发言人表示,这次攻击是9月18日星期六由Conti团伙实施的。Covisian表示,即使Conti团伙以从受攻击的网络中窃取数据而闻名,但“没有任何个人数据泄露的证据”,该事件没有影响到其任何客户。
Covisian在欧洲其他国家提供客户支持服务,但此次攻击仅限于GSS网络。
西班牙国家网络安全研究所INCIBE没有回复记者就GSS事件发表评论的请求。
在GSS受到攻击之前,一个勒索软件团伙也在本月早些时候袭击了TTEC公司,该公司在美国各地提供类似的呼叫中心和客户支持服务。
参考来源:TheRecord http://33h.co/9by9w
(七)研究人员发现大规模网络钓鱼即服务活动BulletProofLink
微软研究人员发现了一个名为ProofLink(又名Anthrax)的大规模网络钓鱼即服务(PhaaS)操作,该操作为其客户提供网络钓鱼工具包、电子邮件模板以及托管和自动化服务,以进行网络钓鱼攻击并开展恶意活动。BulletProofLink服务非常便宜,允许威胁行为者在没有特定技术能力的情况下进行网络钓鱼活动。
微软在调查网络钓鱼活动期间发现了这一操作,该活动在攻击者控制的站点或BulletProofLink作为其PhaaS服务的一部分提供的站点上使用BulletProofLink网络钓鱼工具包。OSINT Fans于2020年10月首次记录了该操作。
BulletProofLink操作提供了100多个模仿流行品牌和服务的网络钓鱼模板,研究人员估计它是当今攻击企业的许多网络钓鱼活动的罪魁祸首。
BulletProofLink自2018年以来一直活跃,它被多个威胁行为者以一次性或按月订阅的商业模式使用。BulletProofLink经营一家在线商店,来宣传他们每月高达800美元的服务,如果客户订阅他们的时事通讯,该组织还为客户的订单提供10%的欢迎折扣。
微软研究人员将这种大规模网络钓鱼活动称为“双重盗窃”,它指的是一种策略,即如果PhaaS运营商在其默认配置中使用网络钓鱼工具包,则服务客户在网络钓鱼攻击中窃取的凭据也会发送到PhaaS运营商控制的服务器。双重盗窃策略使PhaaS运营商的利润最大化,运营商还通过在地下网络犯罪中出售受害者的证件赚取利润。
微软表示,“有了网络钓鱼工具包,运营商只需为要发送的凭据添加一个辅助位置,并且希望网络钓鱼工具包的购买者不会更改代码来删除凭据。对于BulletProofLink网络钓鱼工具包来说,情况确实如此,如果使用该服务的攻击者在一周结束时收到凭据和日志,而不是自己进行活动,PhaaS运营商会保持对他们转售的所有凭据的控制。在勒索软件和网络钓鱼中,提供资源以促进攻击的运营商通过确保以尽可能多的方式使用被盗数据、访问权限和凭据来最大限度地提高货币化。此外,受害者的凭据也可能最终进入地下经济。”
参考来源:SecurityAffairs http://33h.co/9avfk
(八)FamousSparrow间谍组织攻击酒店及政府组织
ESET研究人员发现了一个名为FamousSparrow的新网络间谍组织,攻击世界各地的酒店、政府和私营组织并收集数据。攻击者利用了ProxyLogon漏洞、自定义后门SparrowDoor、及两个自定义版本的Mimikatz。
据ESET表示,后门的恶意行为包括:重命名或删除文件;创建目录;关闭进程;发送文件属性、文件大小、文件写入时间等信息;提取指定文件的内容;将数据写入指定文件;或者建立一个交互式的反向shell;还有一个终止开关,用于从受害机器中删除持久性设置和所有SparrowDoor文件。由于FamousSparrow的攻击目标是世界各地的政府组织,这表明FamousSparrow的意图是间谍活动。
ProxyLogo远程代码执行(RCE)漏洞于3月被披露,有10多个APT组织利用该漏洞通过外壳代码建立对全球交换邮件服务器的访问。根据ESET遥测,FamousSparrow在微软发布该问题的补丁后的第二天就开始利用这些漏洞。
根据ESET的说法,在FamousSparrow的案例中,它利用该漏洞部署了SparrowDoor,这在其他许多针对的酒店中也出现过。研究人员指出,这些额外的活动发生在ProxyLogon之前和之后,可以追溯到2019年8月。在能够确定初始妥协向量的情况下,研究人员发现FamousSparrow的惯用手法似乎是利用面向互联网的易受攻击的Web应用程序。
ESET研究人员表示,“我们认为FamousSparrow利用了Microsoft Exchange ProxyLogon、Microsoft SharePoint和Oracle Opera中已知的远程代码执行漏洞,这些漏洞被用来投放各种恶意样本。这再次提醒我们,快速修补面向互联网的应用程序至关重要,或者如果无法快速修补,则根本不要将它们暴露在互联网上。”
ESET表示,一旦目标受到威胁,FamousSparrow就会使用一系列自定义工具感染受害者,包括:
1、用于横向运动的Mimikatz变体;
2、一个将ProcDump放到磁盘上并使用它转储lsass进程的小实用程序,可能是为了收集内存中的机密,例如凭据;
3、Nbtscan,一种NetBIOS扫描器,用于识别LAN中的文件和打印机;
4、SparrowDoor后门的加载器。
研究人员表示,加载程序通过DLL搜索顺序劫持来安装SparrowDoor。“合法的可执行文件Indexer.exe需要库K7UI.dll才能运行。因此,操作系统按照规定的加载顺序在目录中查找DLL文件。由于存储Indexer.exe文件的目录在加载顺序中处于最高优先级,因此它容易受到DLL搜索顺序劫持。这正是恶意软件加载的方式。”
持久性是通过注册表运行键和使用硬编码在二进制文件中的XOR加密配置数据创建和启动的服务来设置的。然后,恶意软件在端口433上与命令和控制(C2)服务器建立加密的TLS连接,该服务器可以代理也可以不代理。
然后,恶意软件通过调整SparrowDoor进程的访问令牌以启用SeDebugPrivilege来实现权限提升。SeDebugPrivilege是一种合法的Windows实用程序,用于调试除自己计算机之外的计算机上的进程。拥有SeDebugPrivilege的攻击者可以“调试系统拥有的进程,此时他们可以将代码注入进程并执行任何人/添加的网络本地组管理员的逻辑等价物,从而将自己(或其他任何人)提升为管理员”。
之后,SparrowDoor嗅出并将受害者的本地IP地址、与后门进程关联的远程桌面服务会话ID、用户名和计算机名称发送给C2,并等待命令返回,以启动其间谍活动。
FamousSparrow主要针对酒店,但ESET观察到其他部门的目标,包括政府、国际组织、工程公司和律师事务所。该组织实际上已经脱胎换骨,攻击分散在全球范围内,针对巴西、布基纳法索、加拿大、以色列、法国、危地马拉、立陶宛、沙特阿拉伯、南非、中国台湾、泰国和英国。
参考来源:ThreatPost http://33h.co/9acv9
(九)大规模网络钓鱼活动针对多国政府部门窃取凭证
Cyjax研究人员发现了一场针对亚太和欧洲、中东和非洲国家的多个政府部门的大型凭据收集活动。研究人员分析了50多个主机名,其中许多冒充乌兹别克斯坦、白俄罗斯和土耳其等多个国家的外交部、财政部或能源部,以及冒充乌克兰和巴基斯坦海军的主要情报局。目前尚不清楚攻击者如何传播凭证收集页面,因为尚未发现任何网络钓鱼电子邮件。然而网络钓鱼链接是最有可能的传播方法。
该活动可能始于2020年春季,这是域名首次转移到当前主机的时间。在发现时,仍有15个网络钓鱼页面处于活跃状态,针对吉尔吉斯斯坦、白俄罗斯、格鲁吉亚、土库曼斯坦、乌克兰、乌兹别克斯坦、巴基斯坦海军等政府,以及一些冒充Mail.ru电子邮件服务的网页。
此活动中的域通常以mail开头,并且经常包含目标政府部门的完整域作为攻击者域上的主机名。在这次活动中,攻击者只注册了五个域:通过Tucows或PublicDomainRegistry,使用OVH SAS或VDSINA来托管站点。
此活动背后的威胁行为者似乎正在瞄准这些政府部门的电子邮件门户,这可能是情报收集活动的一部分。访问政府部门,特别是外交部,是大多数民族国家黑客组织的目标的关键部分。该活动的主要目标似乎是白俄罗斯、乌克兰和乌兹别克斯坦,网络钓鱼页面数量最多。
更普遍的目标表明,这可能是代表民族国家工作的高级持续威胁(APT)的工作。然而,虽然这可能是一场网络犯罪活动,希望在地下论坛上充当访问代理,但许多目标国家是俄罗斯卫星或俄罗斯本身,许多网络犯罪分子没有针对这些国家/地区的国家法律的关注执法。因此,考虑到目标狭窄和缺乏直接经济利益,研究人员认为这项活动更符合国家资助的APT活动。
对用于托管多个域且目前用作主机的OVH IP地址145.239.23.7的分析发现,与新冠疫情期间针对乌克兰发起的APT活动存在潜在联系。Cyjax分析发现,之前披露的恶意主机名cloud-seuirty[.]ggpht[.]ml是在类似时间创建的,并且使用的凭据收集页面模板与我们在此活动中看到的其他模板相同。针对乌克兰的攻击被私人网络安全行业的一些人追踪为Operation TrickyMouse,与UNC1151和Hades(又名Sandworm)有初步联系。
参考来源:Cyjax http://33h.co/9a60d
(十)Malwarebytes发现针对俄罗斯国防机构的黑客攻击活动
Malwarebytes情报小组报告称,微软零日漏洞MSHTML(CVE-2021-40444)已成为威胁行为者针对俄罗斯政府攻击的利用重点。Malwarebytes研究人员截获了钓鱼电子邮件附件,显示攻击者试图以俄罗斯组织为目标,括内政部和国家火箭中心。
CVE-2021-40444漏洞涉及ActiveX,是一个老漏洞,但它是最近被发现的,很快攻击者开始在黑客论坛上分享其PoCs、教程和漏洞,让感兴趣的人士获得关于如何发起自己的攻击的逐步说明。
对此微软发布了缓解指南,禁用新的ActiveX控件安装,并在其最新的补丁周二报告中发布了补丁。但是,修补时间比人们利用漏洞所需的时间要长。
Malwarebytes分析的第一个模板创建后,看起来就像以副总裁马克耶夫院士命名的股份公司国家火箭中心的内部通信。
据Malwarebytes称,这封钓鱼邮件声称,人力资源部门正在检查员工的个人数据,并敦促他们在邮件中填写表格或回复邮件。为了填写表单,接收者必须启用编辑功能,这将触发漏洞利用。
GREC Makeyev是俄罗斯太空和火箭工业的战略防御和工业综合体。该设施也是该国主要的固体和液体燃料战略导弹系统开发商。因此,它是俄罗斯最主要的火箭和宇宙技术研发中心之一。
位于莫斯科的俄罗斯内政部也是类似行动的目标。研究人员指出,针对俄罗斯实体的网络犯罪证据非常罕见。考虑到攻击者的目标是该国的太空/火箭开发商,似乎有可能是国家支持的黑客实施了这些攻击。
根据Malwarebytes的文章,攻击主要依赖于MSHTML。当接收者打开受感染的MS Office文档并运行任意代码以使系统感染更多恶意软件时,它会加载一个专门设计的ActiveX控件。
在这封恶意邮件中,研究人员称另一份附件来自莫斯科内政部。此附件可用于瞄准其他有希望的目标。这份文件的俄文标题是:“非法活动通知”。这封邮件敦促受害者在7天内归还填好的表格。
参考来源:HackRead http://33h.co/9m8hv
(十一)欧盟正式将Ghostwriter黑客事件归因于俄罗斯
欧盟已正式将俄罗斯与名为Ghostwriter的黑客行动联系起来,该行动的攻击目标是是欧盟知名官员、记者和公众。
欧洲理事会官员在9月24日的一份新闻稿中表示,“这些恶意网络活动通过访问计算机系统和个人账户并窃取数据,针对欧盟的众多议员、政府官员、政治家、新闻界和民间社会成员。此类活动是不可接受的,因为它们试图威胁我们的完整性和安全、民主价值观和原则以及我们民主国家的核心功能。”
欧盟官员表示,这些黑客活动与联合国所有成员国认可的正常国家行为形成鲜明对比。这些攻击也被视为明显企图破坏欧盟的民主制度和程序,包括但不限于提供虚假信息和信息操纵。
本月早些时候,德国还将Ghostwriter的恶意网络活动与军事情报机构GRU联系起来。德国议会今年至少三次成为攻击目标。
德国安全局在9月26日联邦选举前发现多次有人试图窃取德国议员的个人登录信息,这可能是为虚假信息运动做准备的一部分。
德国外交部发言人Andrea Sasse表示,“德国政府有可靠的信息,根据这些信息,Ghostwriter的活动可以归因于俄罗斯国家的网络行为者,特别是俄罗斯的GRU军事情报机构。”
今年3月,德国还表示,俄罗斯军事情报黑客组织GhostWriter是针对多名议员的鱼叉式网络钓鱼攻击的主要嫌疑人。据信,他们侵入了7名德国联邦议会(Bundestag)议员和31名德国地区议会议员的电子邮件账户。
欧洲理事会补充表示,“欧盟及其成员国强烈谴责这些恶意网络活动,所有相关方必须立即制止。我们敦促俄罗斯联邦遵守负责任的网络空间国家行为规范。欧盟将在即将举行的会议上重新讨论这个问题,并考虑采取进一步措施。”
根据FireEye报告显示,从2017年3月开始,Ghostwriter一直在推动与俄罗斯安全利益一致的各种信息。这些攻击一直持续到2021年,FireEye发现了另外20多起被认为是Ghostwriter活动一部分的事件。
FireEye表示,“Ghostwriter活动利用传统的网络威胁活动和信息作战策略来宣传旨在削弱北约凝聚力并破坏当地对该组织在立陶宛、拉脱维亚和波兰的支持的叙事。”该黑客组织使用伪装成分析师和记者的虚构角色,通过欺骗性电子邮件帐户和受感染的网站传播反北大西洋公约组织(NATO)的言论,以针对立陶宛、拉脱维亚和波兰的受众。
参考来源:BleepingComputer http://33h.co/9b32g
(十二)墨西哥政府卫生机构Inmegen泄露新冠患者信息
墨西哥政府卫生机构Inmegen近日遭受了CoomingProject黑客组织攻击,该组织声称此前攻击了南非国家航天局。Inmegen组织参与了新冠病毒检测及研究。
到目前为止,公开转储的数据有限,但它似乎包括一个名为COVID的数据库,其中包含许多与收集新冠病毒患者信息相关的表格。例如,一张表包含400条记录,其中包含姓名、年龄、出生日期、电子邮件、电话和其他详细信息等字段。转储中的其他文件包含指定患者的测试结果,例如一个文件夹包含20多个.pdf文件。
ComingProject的网站称他们不是勒索软件组织。他们没有说明对这个受害者提出了什么要求,也没有说明他们从受害者那里获得了多少数据。该组织声称他们已经从Inmegen及其合作伙伴处窃取了50 GB数据。
数据转储中最奇怪的是,其中包含了一个名为README的文件,这可能是赎金票据的副本。打开它,却发现似乎是KelvinSecTeam的广告或列表。Telegram上的@KelvinSecTeam频道有600多个成员,但他们的频道中没有提及ComingProject或Inmegen,因此这有点令人不解,可能只是一个错误。
参考来源:DataBreaches http://33h.co/9brwd
(十三)印度27家金融机构遭受Drinik银行木马攻击
印度联邦网络安全机构CERT-In在一份咨询警报中表示,印度网络空间出现了一种潜伏在针对使用安卓智能手机的银行家的银行木马病毒。此外,CERT-In声称,该病毒已经攻击了超过27家金融机构。
网络钓鱼恶意软件似乎伪装成“所得税退税”,这是一种针对个人信息的社会工程恶意软件,并且可以“有效地危及客户敏感信息的机密性,并导致大规模攻击和金融欺诈”。据观察,印度的银行客户正成为一种新型移动银行活动的目标,这种活动使用的是Drinik安卓恶意软件。
入侵过程中,受害者将被提示填写个人身份信息,下载并安装恶意APK文件,以便在钓鱼网站上完成必要的验证,就像在税务服务网站上一样。受害者将获得一个链接,将其重定向到网络钓鱼网站。如果用户在网站上没有输入任何信息,Android应用程序就会显示与表单相同的屏幕,并要求用户填写后继续操作。
此外,姓名、PAN号码、Aadhaar号码、永久地址、生日、手机号码和财务信息,如银行详细信息、账号、IFSC代码、CIF号码、借记卡、到期日期、CVV和PIN,都包含在用户要求填写的数据中。
一旦用户提交了详细信息,程序就会声称可以将退款金额存入用户的银行帐户,并且每当用户输入金额并选择“转账”选项时,应用程序就会显示错误并显示错误的升级页面。在安装更新的屏幕显示期间,特洛伊木马会将有关用户的信息转发给攻击者。攻击者随后使用这些详细信息生成特定于银行的移动银行屏幕,并将其呈现在用户的机器上。然后,用户被要求输入攻击者捕获的移动银行凭据。
该建议提出了几项应对措施,以阻止此类攻击和恶意软件,例如从官方应用商店下载应用程序、在Android上安装适当的更新和补丁、使用安全的互联网浏览工具、在点击邮件中的链接之前进行详细研究、并通过检查绿色浏览器锁定来寻找真正的加密证书。
参考来源:EHackingNews http://33h.co/9bnmv
(十四)哥伦比亚房地产经纪公司Coninsa Ramon泄露超十万客户信息
WizCase安全团队近日发现了影响哥伦比亚房地产开发公司Coninsa Ramon在线数据库的重大漏洞。该漏洞泄露了客户的姓名、照片、地址等信息,预计该事件影响超过10万人,任何人无需密码或登录凭据即可查看此信息,并且数据未加密。
由Ata Hakcil领导的道德网络研究人员团队在Coninsa Ramon的数据库中发现了一个漏洞。Coninsa Ramon是哥伦比亚的一家大型房地产开发公司,专门从事建筑、工程、建筑和房地产服务,为哥伦比亚各个行业的个人和公司提供服务,包括:住房、商业、工业、机构和基础设施。
该漏洞是由于AWS S3存储桶配置错误造成的,该存储桶包含超过550万个文件,总计超过1TB数据。错误配置的存储桶暴露了来自公司的数据,以及来自估计超过100,000名客户的个人识别信息(PII)。这些客户中的大多数是个人,但也有一些是公司。存储桶中发现的数据主要是发票,但也包含收入单据、报价单、账户报表和调整单据。所有文件的日期都在2014年至2021年之间。
这些文件暴露了客户信息,例如姓名、电话号码、电子邮件、家庭地址、为遗产支付的金额和资产价值。错误配置的存储桶还包含一个数据库备份,该备份暴露了其他详细信息,例如个人资料图片、用户名和哈希密码。但是似乎没有暴露任何信用卡或银行信息。
此次泄露总共暴露了1.12TB数据,其中包含超过550万份文件。根据查看文件样本,研究人员估计,错误配置揭示了1400亿至2000亿美元的交易,或至少460亿美元的年度交易历史。从长远来看,这大约占哥伦比亚经济总量的14%。
该存储桶包含有关公司内部服务的更多信息,并暴露了加密不良的弱点。此外研究人员Coninsa Ramon网站中发现了多种形式的恶意后门代码。上传到网站的后门文件可能会让不法分子持续访问网站的后端,可以允许修改网站,甚至在其中添加自己的欺诈页面。研究人员确认错误配置的存储桶中存在这些恶意文件,但是无法确认这些文件是否曾被使用过。
参考来源:WizCase http://33h.co/9bbsz
(十五)南非Debt-IN公司泄露百万客户个人信息
Debt-IN是许多南非金融服务机构的专业债务追偿解决方案合作伙伴,该公司宣布,网络犯罪分子发起的勒索软件攻击导致消费者和员工个人信息的严重数据泄露。泄露的信息可能包括客户姓名和联系方式、就业和工资信息以及债务相关信息,包括欠Debt-IN的付款和余额。
今年4月,有人怀疑有超过140万南非消费者和个人信息从Debt-IN服务器上被非法访问,但这一违规行为直到最近才被曝光,因为Debt-IN和金融服务客户之间的保密消费者数据和通话录音已被张贴在只有专业网络浏览器才能访问的隐藏网站上。
Debt-IN正在与监管机构、执法机构和其他网络安全合作伙伴密切合作,以快速收集事实、解决问题并向客户提供持续信息。虽然调查正在进行中,分析可能会发生变化,但迄今为止的调查结果表明,没有进一步的违规行为,并且增强的数据保护措施仍然安全到位。
Debt-IN已立即采取适当的行动,来加强现有的安全措施,并减轻违规行为的任何进一步潜在影响,包括组建一支由备受推崇且具有全球经验的网络违规和取证专家组成的团队,与Debt-IN合作处理该事件。
首席执行官Mark Essey表示,“Debt-IN对此次网络攻击深表遗憾,对于此次数据泄露给我们的客户及其客户带来的不便和焦虑,我们深表歉意。我们非常重视这件事。在这个高度复杂的信息安全威胁和全球每天估计有170亿次网络攻击的时代,Debt-IN致力于尽其所能保护客户的信息。我们重申,我们将此次攻击视为恶意网络犯罪分子的行为。从检测到此数据泄露之时起,我们的指导原则就是将客户放在首位,我们将继续这样做。”
参考来源:Debt-IN http://33h.co/9ai6v
(十六)泰国1.06亿游客个人信息在网上泄露
Comparitech研究人员发现,超过1.06亿曾前往泰国的国际旅客的个人详细信息在没有密码的情况下暴露在网络上,泄露的信息包括全名、护照号码、抵达日期等。
Comparitec网络安全研究负责人Bob Diachenko于2021年8月22日发现了该数据库,并立即通知了泰国当局,泰国当局承认了这一事件,并在第二天保护了数据。
Diachenko推测,在过去十年中前往泰国的任何外国人都可能在事件中暴露了他们的信息,他甚至确认数据库包含他自己的名字及条目。
值得注意的是,数据库的IP地址仍然是公开的,但目前数据库本身已被蜜罐取代。任何尝试访问该地址的人现在都会收到消息,“这是蜜罐,所有访问都已记录。”
泰国当局对Diachenko的披露做出了迅速反应,但目前不知道数据在被索引之前暴露了多长时间。蜜罐实验表明,攻击者可以在几个小时内找到并访问不安全的数据库。泰国当局坚称,数据未被任何未经授权的方访问。
Elasticsearch数据库总计约200GB,包含多项资产,包括超过1.06亿条记录的集合,每条记录包含以下部分或全部信息:抵达泰国日期、姓名、性别、护照号、居留身份、签证类型、泰国入境卡号码。
在过去十年左右的时间里去过泰国的任何外国人都可能在数据库中有记录。有很多人希望他们的旅行历史和居住身份不被公开,因此对他们来说存在明显的隐私问题。所有暴露的信息都不会对大多数数据主体构成直接的财务威胁。没有包括财务或联系信息。虽然护照号码对个人来说是唯一的,但它们是按顺序分配的,并不是特别敏感。例如,护照号码不能单独用于开设银行账户或以他人的名义旅行。
参考来源:Comparitech http://33h.co/9bat0
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯