关键信息基础设施安全动态周报【2021年第42期】
发布时间:
2021-10-29
来源:
作者:
天地和兴
访问量:
801
目 录
第一章 国外关键信息基础设施安全动态
(一)富士电机修复了工厂监控软件漏洞
(二)工业公司使用的AUVESY的Versiondog数据管理产品存在17个安全漏洞
(三)思科SD-WAN产品中存在命令注入漏洞可导致任意代码执行
(四)德国汽车零配件制造商Eberspächer遭受勒索软件攻击,导致生产系统瘫痪
(五)美国全国步枪协会(NRA)遭受Grief勒索软件攻击
(六)印度政府发布电力行业网络安全指南
(七)北约发布首个人工智能战略
(八)澳大利亚起草在线隐私法案以加强数据安全
(九)韩国通信运营商KT因配置错误出现大规模断网
(十)乳制品公司Schreiber Foods遭受网络攻击导致牛奶加工厂关闭
(十一)英国大型连锁超市Tesco网站遭受黑客入侵导致网络中断
(十二)多个电子邮件运营商遭受大规模DDoS攻击
(十三)黑客组织Nobelium攻击全球多家IT供应链组织
(十四)Groove勒索软件组织呼吁其他勒索软件组织攻击美国公共部门
(十五)NPM库UAParser.js被嵌入加密挖矿恶意软件
(十六)70%的家庭WiFi网络可被快速破解
第一章 国外关键信息基础设施安全动态
(一)富士电机修复了工厂监控软件漏洞
日本电气设备公司富士电机(Fuji Electric)在其Tellus工厂监控和操作产品中修补了六个的漏洞。
研究人员Michael Heinzl和Kimiya发现了这些安全漏洞,是在Tellus Lite V-Simulator和V-Server Lite产品中发现的,这两款产品在全球范围内被用于远程监控和运营工厂。4.0.12.0之前的版本会受到影响。
美国网络安全和基础设施安全局(CISA)10月26日发布了一份建议,告知各机构这些漏洞和可用的修补程序。
这些漏洞包括各种与内存相关的问题,可以利用这些问题进行DoS攻击、任意代码执行、获取潜在的敏感信息。这些漏洞均为高危漏洞。
这些问题是通过趋势科技的零日计划(ZDI)报告的,利用漏洞需要用户交互,即打开专门制作的文件。
ZDI发布了许多警告,描述了这些漏洞的各种变体,其中大多数漏洞是由于对用户提供的数据缺乏适当的验证造成的。ZDI在8月下旬发布了0Day状态的公告,表示补丁还没有发布。然而,ZDI当时指出,补丁将在10月份由供应商发布。
参考来源:SecurityWeek http://33h.co/9nn42
(二)工业公司使用的AUVESY的Versiondog数据管理产品存在17个安全漏洞
在AUVESY公司的Versiondog数据管理产品中,研究人员共发现了17个漏洞,其中包括许多被评为严重和高危漏洞。
这些漏洞是由工业网络安全公司Claroty的员工发现的,并披露给了总部位于德国的AUVESY,该公司专门从事自动化生产的数据管理。AUVESY已修补所有漏洞
受影响的产品Versiondog提供自动备份和版本控制功能,并且可以与广泛的工业系统集成,该产品已被雀巢、可口可乐、卡夫食品、默克和几家汽车巨头等大公司使用。
VersionDog在世界上一些最大的工业企业内部运行,自动存储软件版本,记录它们,并安全地备份数据,这些数据可以与当前的无错误版本进行比较,以确保工厂高效运行。对产品处理的信息的任何破坏或篡改都可能对工业过程的安全和完整性造成毁灭性的后果。
Versiondog中发现的漏洞包括远程攻击者可利用这些漏洞绕过身份验证、提升权限、获取硬编码密钥、执行任意代码、操纵文件和数据并导致拒绝服务。
已在Versiondog的OS Server API、Scheduler和WebInstaller组件中发现安全漏洞。其中6个为严重漏洞,9个为高危漏洞。
根据Claroty的说法,供应商不仅发布了针对漏洞的修补程序(8.1版中包含修复程序),还解决了这些和其他安全问题的根本原因。
美国网络安全和基础设施安全局(CISA)也发布了一份建议,向组织通报这些漏洞。
Claroty曾将此描述为漏洞披露过程中的“成功案例”,但在过去几年中,有很多情况是在未提供补丁的情况下披露了潜在的严重漏洞,供应商只有在披露引起媒体注意后才采取行动。Claroty在8月份报告称,2021年上半年披露了600多个影响工业控制系统(ICS)产品的漏洞,其中70%以上被评为严重或高危。
参考来源:SecurityWeek http://33h.co/9np2d
(三)思科SD-WAN产品中存在命令注入漏洞可导致任意代码执行
思科近日披露其SD-WAN产品中存在一个高危漏洞CVE-2021-1529,允许经过身份验证的本地攻击者以root权限执行任意命令。思科SD-WAN容易受到IOS IE操作系统中高高危权限提升漏洞影响,可能导致任意代码执行。
思科的SD-WAN产品组合允许各种规模的企业使用各种网络技术(包括标准互联网连接)通过云连接不同的办公地点。每个位置的设备都能为公司广域网中的任何连接提供高级分析、监控、特定于应用程序的性能规范和自动化。与此同时,IOS XE是运行这些设备的供应商操作系统,是Linux内核和运行在该内核之上的单体应用程序的组合。
漏洞CVE-2021-1529是一个操作系统命令注入问题,它使攻击者能够直接在通常无法访问的操作系统上执行意外的、危险的命令。它专门存在于Cisco IOS XE SD-WAN软件的命令行界面(CLI)中,允许经过身份验证的本地攻击者以root权限执行任意命令。
思科10月20日发布公告表示,“该漏洞是由于系统CLI的输入验证不足造成的。成功的攻击可以允许攻击者以root权限在底层操作系统上执行命令。”
该公告指出,开发路径将涉及到对一个易受攻击的设备进行身份验证,并向系统CLI提交“精心制作的输入”。成功的攻击将使攻击者能够读取和写入系统上的任何文件,以任何用户的身份执行操作,更改系统配置,安装和删除软件,升级操作系统和/或固件,以及更多,包括后续访问公司网络。
CVE-2021-1529在CVSS漏洞严重性级别上的评级为7.8,研究人员和网络安全和基础设施安全局(CISA)警告称,企业应该尽快修补漏洞。
Sevco Security联合创始人Greg Fitzgerald警告称,一些组织的网络上可能仍有过时的盒子,这可能是此类漏洞的隐患。“绝大多数组织在修补他们所知道的系统漏洞方面做得很好。当企业对其资产库存没有完全的可见性时,问题就出现了,因为即使响应最快的IT和安全团队也无法修补他们不知道已连接到其网络的资产的漏洞。对于试图访问您的网络或数据的恶意行为者来说,废弃和未知的IT资产通常是阻力最小的路径。”
这只是思科今年修补的最新SD-WAN漏洞。今年1月,它修复了多个严重的缓冲区溢出和命令注入SD-WAN错误,其中最严重的可能被未经身份验证的远程攻击者利用,以root权限在受影响的系统上执行任意代码。
今年5月,思科解决了SD-WAN vManage软件的两个关键安全漏洞,其中一个漏洞可能允许未经身份验证的攻击者在公司网络上执行远程代码执行(RCE)或窃取信息。就在上个月,思科披露了影响IOS XE软件及其SD-WAN的两个关键安全漏洞,其中最严重的是允许未经认证的RCE和拒绝服务(DoS)。
参考来源:ThreatPost http://33h.co/9nhak
(四)德国汽车零配件制造商Eberspächer遭受勒索软件攻击,导致生产系统瘫痪
德国跨国企业Eberspächer Group遭受了勒索软件攻击,官网、邮件、办公网络、生产系统等纷纷瘫痪。由于无法正常协调生产并管理客户订单,该公司只得通知部分工厂员工在宕机处理期间留在家中带薪休假。
Eberspächer集团为全球几乎所有顶级汽车品牌供应空调、供暖及排气系统。Eberspächer集团目前雇用了10000多名员工,在28个国家的80个地点设有生产工厂,并以建造空调、供暖和排气系统而闻名,该集团为当今几乎所有顶级汽车品牌提供这些系统。
该公司25日在其网站上发布的一条消息表示,“Eberspächer集团是一次有组织网络攻击的目标,IT基础设施受到影响。为了保护我们的客户、员工和合作伙伴,我们立即采取了必要的措施,有针对性地反击攻击。”
在周日上午检测到的攻击发生后,该公司的官方网站、电子邮件系统、办公网络、客户门户和生产系统都被关闭。由于没有能力协调生产和管理客户订单,该公司已告诉一些工厂员工在处理停电期间留在家里休带薪假期。
Eberspächer Group瑞典子公司CEO Marie Wiström在接受瑞典国家公共电视广播公司SVT采访时指出,“我们的员工在家中继续正常领取薪水,我们也会及时向他们通报情况。”据德国新闻媒体SR报道,身在德国及罗马尼亚的工人们收到厂方要求,需要待在家中。
虽然该公司没有披露周末这次攻击事件的具体细节,但德国汽车新闻网站Automobilwoche报道称,斯图加特检察官办公室的一位女发言人将事件定性为“蓄意破坏计算机并意图勒索”。
目前受影响系统仍未恢复,也未能通过电话或电子邮件联系到Eberspächer Group的发言人。不过该公司在Twitter上宣布,供车主远程启动Eberspächer加热装置的Easy Start门户网站现已重新上线。
参考来源:TheRecord http://33h.co/9nh6k
(五)美国全国步枪协会(NRA)遭受Grief勒索软件攻击
Grief勒索软件运营商声称已经入侵了美国全国步枪协会(NRA)的计算机系统,并已将其添加到泄漏网站,威胁要泄露被盗数据。NRA被添加到该组织泄密网站的受害者组织名单中,该团伙还公布了一组文件,作为黑客攻击的证据。Grief勒索软件组织在其泄密网站上发布了13份据称属于NRA的文件,包括拨款申请和会议记录,并威胁说,如果NRA不支付勒索赎金,将发布更多文件。Grief声称拥有更多的文件。
研究人员将Grief勒索软件与DoppelPaymer的操作联系起来,DoppelPaymer被认为是Evil Corp的一部分。Evil Corp最近发布了一款名为Macaw Locker的新勒索软件,以逃避美国禁止受害者支付赎金的制裁。
Evil Corp网络犯罪集团又名Dridex、Indrik Spider、和TA505,自2007年以来一直活跃在网络犯罪活动中。该组织最初通过开发和传播臭名昭著的Dridex银行木马开展业务,然后转而采用勒索软件操作,使用BitPaymer勒索软件感染受害者的计算机网络。
2019年,美国司法部(DoJ)指控俄罗斯公民Maksim V和Igor Turashev传播臭名昭著的Dridex银行木马,并参与国际银行欺诈和计算机黑客计划。
美国政府宣布了对勒索软件谈判公司的制裁,这些公司将在支付赎金时支持Evil Corp集团的受害者。由于这些制裁,Evil Corp推出了几个勒索软件操作,使用不同的勒索软件,如wastdlocker、Hades、Phoenix Locker和PayloadBin。
参考来源:SecurityAffairs http://33h.co/9nnsp
(六)印度政府发布电力行业网络安全指南
为了创建安全的网络生态系统,电力部和中央电力局(CEA)发布了网络安全指南,概述了提高电力部门网络安全准备水平所需的行动。这些规范是在与利益相关者讨论并获得网络安全专家机构的意见后制定的。其中包括印度计算机应急响应小组(CERT-In)、国家关键信息基础设施(NCIIPC)、国家大学学者协会(NSCS)和信息技术研究所(IIT-Kanpur),以及随后在电力部进行了审议。
CEA根据《2019年中央电力局(电网连接技术标准)(修订)条例》的规定制定了指导方针,所有电力部门公用事业公司都必须遵守这些规定。根据联邦的新闻报道,这是该行业首次制定网络安全指南。它制定了网络保障框架,加强了监管框架,并建立了安全威胁预警、漏洞管理和安全威胁响应机制。它还可以保护远程操作和服务。
该规范适用于印度供电系统中的所有责任实体和系统集成商、设备制造商、供应商和销售商、服务提供商以及IT硬件和软件OEM(原始设备制造商)。该指南要求从确定的“可信来源”和“可信产品”进行基于ICT的采购,否则产品在用于供电系统网络之前必须进行恶意软件和硬件木马测试。此举将促进网络安全方面的研究和开发,并为在该国公共和私营部门建立网络测试基础设施开辟市场。
鉴于电力部门一直在其核心业务中部署新兴技术,因此需要加强网络安全措施。8月,政府批准了配电部门改革计划,通过使用基于人工智能(AI)的解决方案促进供应基础设施,改善所有配电公司和部门(DISCOM)的运营。在人工智能的帮助下,政府旨在分析通过IT/OT设备生成的数据,例如系统计量、需求预测、时间(ToD)关税、可再生能源(RE)集成和其他预测分析。此外,预付费智能电表每月准备系统生成的能源会计报告,使DISCOM能够就减少损失做出明智的决定。该计划下的资金也将用于开发人工智能驱动的应用程序。
该计划的实施将基于为每个州制定的行动计划,而不是针对该国的一刀切的方法。在2023年3月31日之前,IPDS下确定的项目和总理发展计划(PMDP)下已批准的在查谟、克什米尔和拉达克联合领土下的正在进行的项目可获得资金。该计划的目标是提高整体效率和财务DISCOM的可持续性。在此背景下,有多个目标,例如在未来四年内将总技术和商业(AT&C)损失降低至泛印度水平的12-15%。
参考来源:OpenGov http://33h.co/9n4sk
(七)北约发布首个人工智能战略
人工智能(AI)正在改变全球国防和安全环境,对此北约国防部长发布了首个AI战略,鼓励以负责任的方式促进AI的开发和使用。
以下是北约在国防中使用人工智能的原则:
A.合法性:人工智能应用的开发和使用将依据国家法律和国际法,包括适用的国际人道主义法和人权法。
B.责任和问责:AI应用程序的开发和使用将带有适当的判断和谨慎水平;应适用明确的人力责任,以确保问责制。
C.可解释性和可追溯性:人工智能应用程序将具有适当的可理解性和透明度,包括通过使用审查方法、来源和程序。这包括北约或国家一级的核查、评估和验证机制。
D.可靠性:AI应用程序将有明确的、定义良好的用例。这些能力的安全性、安全性和健壮性将在这些用例的整个生命周期中接受测试和保证,包括通过建立的北约或国家认证程序。
E.可治理性:AI应用程序将根据其预期功能进行开发和使用,并将允许:适当的人机交互、检测和避免意外后果的能力、以及当系统出现意外行为时采取措施的能力,例如离线或停用系统。
F.缓解偏差:将采取积极措施,最大限度地减少人工智能应用程序和数据集开发和使用中的任何意外偏差。
新战略还旨在加速AI在能力开发和交付中的应用并将其纳入主流,提高联盟内部的互操作性。北约鼓励保护和监控其成员国使用的人工智能技术。联盟警告威胁行为者恶意使用人工智能,并敦促采取措施和技术识别和防范这些威胁。
北约盟国已经确认了7个国防和安全的优先技术领域,其中包括人工智能,其他技术包括量子技术、数据和计算、自主、生物技术和人类增强、高超音速技术和太空。北约强调以道德的方式处理这些技术的重要性,所有这些技术都是两用的,非常普遍。
参考来源:SecurityAffairs http://33h.co/9nhdy
(八)澳大利亚起草在线隐私法案以加强数据安全
澳大利亚总检察长提交了新的在线隐私法案的初稿,其中包含对现有隐私法的重大改革。新法案的目标是使支持在线数据保护和安全的立法环境现代化,并制定足够严格的新法律,以强制互联网实体进行数据处理。
在线隐私法案初稿包括以下四个主要目标:
1、制定OP规范,以确定哪些实体受该法规约束,并准确地确定他们将如何应用其规定。
2、执行《隐私法案》,更具体地说是“第13G条”,该条款禁止网络实体侵犯用户的隐私权。
3、使执法机构、国家和外国隐私监管机构能够从在线平台要求信息和/或文件。
4、对不在澳大利亚注册但在该国经营业务的域外实体执行上述所有规定。
OP代码将适用于提供社交媒体服务、数据经纪和任何在线平台的组织,这些组织在过去一年里有超过250万来自澳大利亚的独立访客。
这些实体必须确保其隐私政策明确传达给ots用户,寻求并获得用户的数据收集许可,并确保16岁以下儿童在这方面享有更高的保护。
隐私法案的执行将隐私侵犯的罚款从220万澳元增加到1000万澳元(750万美元)。或者,违规实体将支付从已确认的数据隐私侵权中获得的利益价值的三倍,或其上一年年营业额的10%。
该讨论文件在其200多页中还包含了一些其他更改,如扩大个人信息的定义,将唯一标识符等技术数据包括在内,以及取消员工记录豁免。所有的改革提案都需要在2022年1月10日之前提交给司法部长,因此还有一年多的时间让利益相关者就此事发表意见。不过从初稿来看,澳大利亚显然计划加强对在线用户数据的保护。然而,在线实体有足够的时间游说减少保护,削弱了拟议的隐私变更。
参考来源:BleepingComputer http://33h.co/9n3s1
(九)韩国通信运营商KT因配置错误出现大规模断网
韩国第二大电信运营商KT Corporation在10月25日全国范围内发生了网络中断,导致其所有1650万客户在大约40分钟内无法连接互联网和电话服务,该事件是由大规模DDoS攻击造成的。
在此期间,用户无法使用信用卡、交易股票、或访问在线应用程序,一些大型商业网站也在宕机期间关闭。此后,在全国大部分地区KT用户可以正常上网。网络中断还影响了参加在线课程的学校和学生、延迟了送餐订单、阻止了医生访问患者数据、并中断了商店的信用卡处理。
首尔网络部门的一个调查小组被派往KT总部,以支持电信公司解决他们面临的任何问题。虽然DDoS攻击的场景最初被认为是最有可能导致问题的原因,但该公司后来解释说,是路由错误导致其服务宕机。错误的路由配置是灾难性的,正如在最近的BGP路由事件看到的那样,该问题导致Facebook、Instagram和WhatsApp严重停机。
KT在40分钟内修复了这个问题,但目前没有提供中断的原因,事件仍在调查中。但是据信是BGP配置错误导致了中断。BGP路由错误会导致数据包无法到达指定的IP地址和服务器,导致业务中断,即使业务本身还在运行。有趣的是,电话问题在一些地区仍然存在,不清楚为什么这些地区仍然面临问题。
由于KT的短暂中断,SK电信和LG u +等2家主要通信公司的服务突然超负荷,出现了中断和中断现象。这使人们对问题的性质和规模产生了一些困惑,但很快,IT部门澄清表示,两家公司目前都没有遇到DDoS攻击。
也在调查此事的韩国警方表示,在初步调查中没有发现任何情况表明存在外部网络攻击,同时科学和信息通信技术部仍在对此事进行自己的调查。该部已命令KT调查网络中断对客户造成的损害程度。
参考来源:ZDNet http://33h.co/9n3m8
(十)乳制品公司Schreiber Foods遭受网络攻击导致牛奶加工厂关闭
美国威斯康星州最大的牛奶加工商之一Schreiber Foods本周遭受了网络攻击,据说黑客要求支付250万美元的赎金以解锁其计算机系统,导致威斯康星州牛奶配送陷入混乱。
Schreiber Foods一位发言人表示,该网络攻击事件导致公司工厂和配送中心停止运营了五天,现已恢复接受牛奶配送、生产乳制品和向客户运送产品。
威斯康星州牛奶处理商和运输商表示,在10月23日接到了Schreiber的电话,称该公司的计算机系统出现故障,他们的工厂无法将签订合同的牛奶运往那里。搬运工和调度员被迫寻找替代的牛奶放置处。随着情况持续数天,威斯康星州农民无法确认牛奶是否被被倾倒。
威斯康星州农夫在几天内多次致电Schreiber Foods均未得到回复,但Schreiber Foods通讯总监Andrew Tobisch的电子邮件声明证实,该公司遭遇了“网络事件”,在周五晚上对公司产生了影响,并且他们的团队已经成功地在周一之前恢复并运行了系统。
在周三绿湾新闻公报获得的声明中,Tobisch表示,“我们的工厂和配送中心受到了系统问题影响,影响了接收原材料、运输产品和生产产品的能力。我们在解决问题方面取得了良好进展,我们的工厂和配送中心已开始重新启动。”
Tobisch表示,他无法详细说明赎金要求,也没有确认是否要求赎金,但表示,“网络事件”意味着公司的工厂和配送中心无法使用受影响的系统。“该事件影响了我们所有的地点,但幸运的是,我们有一个专门的响应团队,立即采取行动,并开始努力解决问题。结果我们取得了很大的进步,我们的工厂和配送中心已经开始重新启动。我们正在接收原材料,大多数工厂都在正常运转。”
Schreiber Foods生产天然奶酪、加工奶酪、奶油奶酪和酸奶,是一家员工所有的公司,总部位于威斯康星州Green Bay。该公司网站显示,它在全球拥有30多个分支机构,包括印度、捷克共和国、葡萄牙、法国、墨西哥、西班牙、比利时、巴西、保加利亚、德国和美国。该公司在威斯康星州的工厂包括Richland Center、West Bend和Green Bay。该公司成立于1945年,拥有8,000多名员工。
全国乳制品月刊The Milkweed编辑兼出版商Pete Hardin表示,“这太严重了,Schreiber是美国最大的乳制品营销商之一,包括奶酪和酸奶,他们的供应链可以追溯到威斯康星州的许多奶酪工厂。除了供应链和物流问题之外,该行业不需要这些。”
由于网络攻击,Schreiber无法从其供应商处进行正常的库存订购,其中一些供应商证实黑客攻击是真实的。Hardin补充表示,牛奶在Schreiber工厂进行备份,通常进入工厂的牛奶最终会进入市场作为“劣质”牛奶。该情景导致农民、合作社、奶酪厂和其他从Schreiber购买原料的公司均称为输家。
计算机化的牛奶处理系统涉及现代乳制品厂的生奶摄入量,系统负责测试生奶、确定牛奶的成分以及库存、订购和许多其他功能。Hardin表示,“现在一切都由计算机控制。你把这些数字加起来,就会在全州和全国范围内产生涟漪,可能影响零售和食品服务行业以及农民和其他奶厂。”
这次黑客攻击凸显了乳制品的脆弱性,因为原料产品非常容易腐烂。
Schreiber是一家大型乳制品公司。近年来,该公司在全国快餐汉堡上使用的黄色奶酪的市场份额接近75%,并且是食品服务客户的酸奶油的主要供应商。
威斯康星州拥有众多经验丰富的乳制品行业人士,他们采取了“自食其力”的态度帮助他人摆脱困境,知道有一天他们可能需要其他行业同行的帮助。
Scenic Central Milk Producers Cooperative总经理Terry Hanson证实,Schreiber黑客攻击和关闭事件是真实发生的,他生产的一些牛奶不得不送到其他乳制品厂。他表示,该事件是全国性的。
八个月前,他注意到一家乳制品厂发生了另一起类似的黑客攻击,他质疑为什么公司希望将所有业务置于一个更容易被黑客入侵的计算机化系统下。Hanson表示,该州的一些乳品合作社最有可能在自己的工厂之间处理负载,但对于Scenic Central这样的服务合作社来说,这更具挑战性。“如果这是有计划,我们本可以更好地处理它。当然,它发生在周末,这总是很艰难”。Hanson表示,据他所知,Schreiber将在10月27日星期三恢复运行。
参考来源:WisconsinStateFarmer http://33h.co/9nwj4
(十一)英国大型连锁超市Tesco网站遭受黑客入侵导致网络中断
英国最大超市之一Tesco的网站遭受了黑客攻击,使其网站和购物APP处于脱机状态。Tesco网站连续两天显示错误消息,导致无法将商品加入购物车、预订送货时间或修改现有订单。
该公司发言人表示,“从昨天开始,我们的在线杂货网站和应用程序就一直受到干扰。有人试图干扰我们的系统,导致网站搜索功能出现问题。我们正在努力完全恢复所有服务,并为给您带来的不便深表歉意。没有理由相信这个问题会影响客户数据,我们将继续采取持续行动以确保所有数据保持安全。”
Tesco每周收集130万份在线订单,其中一些购物者已经在社交媒体上抱怨无法访问。Tesco表示,由于“当前的IT问题”,他们无法修改或查看任何订单。
一些顾客在推特上表示,他们已经到别处去满足他们的购物需求。Tesco的主要竞争对手之一充分利用这种情况,吸引了一些转化的购物者。竞争对手Asda在推特上表示,“你好,希望我们能提供帮助。我们有可用的空位,有些是当天或明天的,如果您访问我们的网站或应用程序,它将允许您为您需要的物品下订单:)。”
Tesco关于该问题的最新推文尚未给出明确的解决方案,社交媒体团队不得不在Twitter上通知客户,“我们的IT团队正在竭尽全力,并将尽快让网站和应用程序正常运行。目前我们没有任何更新,也没有预期的时间表,真的非常抱歉。”
参考来源:EuroWeekly http://33h.co/9ye8t
(十二)多个电子邮件运营商遭受大规模DDoS攻击
自10月21日起,至少有八家电子邮件服务提供商遭受了大规模分布式拒绝服务(DDoS)攻击,导致长时间宕机。所有这些都是由同一个威胁行为者实施的,是DDoS勒索活动的一部分。
自10月21日起一直持续到25日周一,受到影响的服务商包括Runbox、Posteo、Fastmail、TheXYZ、Guerilla Mail、Mailfence、Kolab Now和RiseUp,都是提供隐私和安全电子邮件服务的小型公司。
受害者成为DDoS攻击目标,随后向这些组织发送了一封电子邮件,要求索取0.06 BTC(约4,000美元)的赎金。根据电子邮件副本,公司有三天时间付款,攻击者威胁称,如果不付款,他们的网络就会脱机。
Posteo在一篇博客文章中证实了这一点,该公司表示不打算付款。“我们收到了一封威胁信和要钱的要求,我们不会支付所要求的金额。在任何情况下,公司都不能让自己被犯罪分子敲诈。否则这会变得更有吸引力。而且即使付了钱,DDoS攻击往往也不会被阻止。”
据知情人士透露,虽然Fastmail和Runbox尚未确认收到类似的赎金要求,但知情人士表示,这些攻击是由同一攻击者实施的。据信,这两家公司也收到了类似的勒索请求。目前Fastmail和Posteo已经恢复运营,而Runbox正在应对新的攻击。
Runbox和TheXYZ也确认收到了类似的赎金要求。两家公司表示,这些电子邮件是在分别达到50Gbps和256Gbps的DDoS攻击之后发出的。
此外,英国VoIP提供商Voipfone和游戏服务器提供商Sparked上周五也处理了类似的DDoS攻击,但这些攻击是由不同的威胁攻击者实施的,与针对电子邮件提供商的协同攻击无关。
虽然通常被勒索软件团伙精心策划的勒索企图所掩盖,但依赖DDoS攻击迫使公司支付赎金请求的威胁行为者仍然非常活跃。
上个月,俄罗斯、英国、美国和新西兰等几个国家的互联网服务提供商和金融实体遭遇了几起DDoS勒索,其中一些攻击是通过一个名为Meris的新型僵尸网络进行的。
参考来源:TheRecord http://33h.co/9nhqt
(十三)黑客组织Nobelium攻击全球多家IT供应链组织
微软表示,去年SolarWinds黑客攻击背后的俄罗斯支持的Nobelium威胁组织仍在瞄准全球IT供应链,自2021年5月以来,已有140家托管服务提供商(MSP)和云服务提供商受到攻击,至少14家遭到入侵。
这场运动的所有迹象都表明,Nobelium通过侵入服务提供商的方式,损害了一系列重要目标的安全。
就像在之前的攻击中一样,俄罗斯国家黑客使用了一个多样化且不断变化的工具包,包括一长串工具和策略,从恶意软件、密码泄露、令牌盗窃到API滥用和鱼叉式网络钓鱼。这些新攻击的主要目标是为客户部署和管理云服务和类似技术的经销商和技术服务提供商。微软在发现攻击后通知受影响的目标,并在其威胁保护产品中添加检测功能,使这些目标将来能够发现入侵企图。
微软公司副总裁Tom Burt表示,“自5月份以来,我们已经通知了Nobelium瞄准的140多家经销商和技术服务提供商。我们将继续调查,但到目前为止,多达14家经销商和服务提供商已经受到影响。总共有600多名微软用户遭到了数千次攻击,尽管在7月至10月期间成功率非常低。相比之下,在2021年7月1日之前,在过去三年向客户通报了来自所有民族国家行为者的攻击20,500次。”
这表明,Nobelium仍在试图发动类似于他们入侵SolarWinds系统后发起的攻击,目的是获得对感兴趣目标系统的长期访问,并建立间谍和渗出渠道。微软还分享了MSP、云服务提供商和其他技术机构可以采取的措施,以保护其网络和客户免受这些持续的Nobelium攻击。
Nobelium是俄罗斯外国情报局(SVR)的黑客部门,也被追踪为APT29、Cozy Bear、the Dukes。2021年4月,美国政府正式指责SVR部门协调了SolarWinds的“大范围网络间谍活动”,导致多个美国政府机构受到攻击。7月底,美国司法部是最后一个披露在SolarWinds全球黑客狂欢期间27个美国律师办公室遭到入侵的美国政府实体。
今年5月,微软威胁情报中心(MSTIC)也报告了一场针对来自24个国家的政府机构的网络钓鱼行动。今年早些时候,微软详细介绍了三种用于在受损网络上保持持久性的nobelium恶意软件类型:一个名为GoldMax的命令控制后门、一个被跟踪为GoldFinder的HTTP跟踪工具、一个名为Sibott的持久性工具和恶意软件发放程序。
两个月后,他们又发现了四个用于攻击的恶意软件系列Nobelium:一个名为boombox的恶意软件下载程序,一个名为VaporRage的shellcode下载和启动程序,一个名为EnvyScout的恶意HTML附件,以及一个名为NativeZon的加载程序。
参考来源:BleepingComputer http://33h.co/9n3fm
(十四)Groove勒索软件组织呼吁其他勒索软件组织攻击美国公共部门
此前,一个未知的第三方劫持了REvil勒索软件在暗网的域名,随后REvil勒索软件操作再次关闭,因此Groove勒索软件团伙呼吁其他勒索团体攻击美国的公共部门。
作为此次关闭的一部分,一名已知的REvil运营商声称,未知的第三方正在通过修改配置文件“寻找”他们,因此威胁行为者被诱骗进入由未知实体运营的站点。
据路透社报道,REvil的关闭是由包括FBI在内的国际执法行动造成的。
22日,Groove勒索软件团伙发表了一篇俄罗斯博客文章,呼吁所有其他勒索软件组织行动起来,以美国利益为目标。此篇博文还警告勒索软件操作不要针对中国公司,因为如果俄罗斯对国内开展网络犯罪采取更强硬的立场,这些团伙将需要将中国作为避风港。
该博客文章表示,“在美国政府试图对抗我们的困难和艰难时期,我呼吁所有合作伙伴项目停止竞争,团结起来,开始攻击美国公共部门,让这位老头子看看谁是老大。当我们的孩子们在蜜罐上死去时,他将出现在互联网上,他们的网络挤压了他们自己的网络。但他得到了更高的奖励,现在他将因叛国罪入狱,所以让我们帮助我们的国家,打击向美国政府机构出售的网络安全公司。我敦促不要攻击中国公司,因为如果我们的祖国突然背离我们,只好转向我们的好邻居,中国人,我们该何去何从!我相信美国的所有区域都将开放,我本人将亲自努力做到这一点。”
本周,一家荷兰银行的威胁情报研究人员也发现了针对美国利益的攻击。2021年7月,一个名为Orange的威胁行为者在关闭并与脱离最初的Babuk勒索软件运营后推出了RAMP黑客论坛。由于Orange仍然控制着Babuk的Tor站点,他用该网站启动了黑客论坛,并在其中担任管理员。Orange也被认为是Groove勒索软件行动的代表之一。
最近,Orange辞去了论坛管理员的职务,以开展新的活动,但没有提供有关计划内容的任何进一步信息。然而,随后的帖子表明,威胁行为者可能会开始一项新的勒索软件操作,因为他开始积极寻求购买美国医院和政府机构的网络访问权限。Groove的帖子与Orange的论坛帖子相关,表明针对所有美国利益的计划已经计划了一段时间。
今天Groove勒索软件的公告与Orange的论坛帖子相关,表明针对所有美国利益的目标已经计划了一段时间,而REvil执法行动是Groove发布公告的催化剂。目前尚不清楚Orange是否会在Groove操作下对美国组织进行这些攻击,或者发起新的勒索软件运营。
参考来源:BleepingComputer http://33h.co/9yz4y
(十五)NPM库UAParser.js被嵌入加密挖矿恶意软件
美国网络安全和基础设施安全局(CISA)发布警告披露了与GitHub咨询数据库相关的事件。据CISA称,一个加密挖掘恶意软件隐藏在一个流行的JavaScript NPM库uaparer .js中。
该库每周下载量超过600万至800万次,被用于网站和应用程序识别使用的浏览器和系统。NPM平台于2020年成为微软旗下GitHub的一部分。
该警告是在DevSecOps公司Sonatype发现的三个恶意软件包okhsa、klow和klown从NPM存储库中删除几天后发出的。
据报道,在攻击者成功劫持维护者的NPM帐户后,UYAParser.js的三个版本0.7.29、0.8.0、1.0.0被嵌入恶意代码。
经鉴定,运行任何这些版本的设备都可能允许受攻击的人访问敏感和机密信息,甚至让他们控制计算机。怀疑注入恶意代码是为了在目标系统上安装crypto miner。该问题现在在版本0.7.30、0.8.1和1.0.1中进行了修补。
这是由印度尼西亚程序员Faisal Salman开发和维护的,使用化名faisalman发布软件。该程序员在Gitmemory个人资料中写道,他开发的软件被修改并嵌入了恶意代码。“我相信有人劫持了我的NPM帐户,并发布了一些可能安装恶意软件的泄露软件包(0.7.29、0.8.0、1.0.0)。”
在独立警告中,GitHub通知用户,任何运行这个包的计算机都应该被认为是被泄露的,因此,存储在设备上的敏感数据和密钥应该被转移到其他设备上。“该软件包应该被删除,但由于计算机的完全控制权可能已交给外部实体,因此不能保证删除该软件包将删除因安装它而产生的所有恶意软件。”
参考来源:HackRead http://33h.co/9nhh9
(十六)70%的家庭WiFi网络可被快速破解
近日,Cyber Ark安全研究人员Ido Hoorvitch成功破解了以色列特拉维夫5000个WiFi网络样本中的70%,此测试表明家庭WiFi网络安全的形势极为严峻。
Ido Hoorvitch带着WiFi嗅探设备在特拉维夫市中心徘徊,采集了5000个WiFi网络的哈希样本用于研究。接下来,研究人员利用了一个允许检索PMKID哈希的漏洞,该哈希通常是为漫游目的而生成的。
为了收集PMKID哈希,Hoorvitch购买了一个50美元的网卡,可以充当监视器和数据包注入工具,并在Ubuntu上使用WireShark进行嗅探,两者都是免费软件。
PMKID哈希包含网络的SSID、密码、MAC地址和一个静态整数。使用Jens “atom” Steube(Hashcat首席开发人员)先前发现的方法,研究人员收集了可破解以获取密码的PMKID。
Hoorvitch在报告中解释表示,“Atom的技术是无客户端的,不需要像此前的攻击技术那样需要用户连接到网络实时捕获用户登录信息。此外,攻击者只需要捕获单个帧就可实施迫击,避免了其他破解方法中会干扰破解过程的错误密码和格式错误的帧。”
起初,发起“面具攻击”是为了确定是否有用户将手机号码设置为他们的WiFi密码,这在以色列很常见。破解这样的密码就是计算以色列十位数电话号码的所有组合,去掉05开头的两位数,需要计算的只有八位数字。使用标准笔记本电脑,研究人员使用这种方法以每个密码9分钟的平均速度破解了2200个密码。
攻击的下一阶段涉及使用“Rockyou.txt”字典的标准字典攻击。这大大加快了另外1359个密码的破解速度,因为这些密码中大多数只使用小写字符。
通过这种简单且廉价的破解方法,研究人员成功破解了有中东硅谷之称的特拉维夫市大约70%的WiFi网络的密码。研究表明,大多数人并没有为他们的WiFi网络设置强密码,面临被黑客入侵的风险。WiFi密码被黑的后果很严重,任何人都可以访问你的家庭网络,更改路由器设置,并可能通过利用漏洞渗透到个人设备上。
好的密码应该至少有10个字符,并混合使用小写和大写字母、符号和数字。如果想要一个更容易记住的密码,则可以尝试使用包含数字或特殊符号作为分隔符的三字随机密码短语(例如go>up^sec+)。
最后,如果路由器支持漫游或WPS,请全部禁用,因为这些功能会为了方便而牺牲安全性。
参考来源:BleepingComputer http://33h.co/9n3r1
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
