关键信息基础设施安全动态周报【2021年第43期】
发布时间:
2021-11-05
来源:
作者:
访问量:
640
目 录
第一章 国外关键信息基础设施安全动态
(一)美国国务院将设立专门网络办公室
(二)欧洲议会通过网络安全指令草案
(三)NSA及CISA发布5G云基础设施安全指南
(四)多伦多公共交通系统遭受勒索软件攻击
(五)英国工党披露数据泄露事件
(六)巴布亚新几内亚财政部遭受勒索软件攻击
(七)巴基斯坦国家银行遭受破坏性网络攻击
(八)乌克兰安全局披露Armageddon黑客组织对乌克兰进行5000多次攻击
(九)威胁行为者Balikbayan Foxes冒充菲律宾政府传播RAT恶意软件
(十)伊朗黑客组织Black Shadow攻击以色列互联网托管公司Cyberserve
(十一)新型攻击方法Trojan Source可将漏洞隐藏在源代码中
(十二)FBI发布警告Ranzy Locker勒索软件攻击超过30家组织
(十三)FBI发布警告HelloKitty勒索软件组织增加DDoS攻击策略
(十四)BlackMatter勒索软件组织关闭
(十五)Mekotio银行木马卷土重来
(十六)知名珠宝商Graff遭受Conti勒索软件攻击
第一章 国外关键信息基础设施安全动态
(一)美国国务院将设立专门网络办公室
美国国务卿Antony Blinken表示,美国国务院将成立一个网络空间和数字政策局,由参议院任命的大使领导,以推进其网络安全外交努力。此举是对具有挑战性的全球威胁形势的回应,包括据信经常在俄罗斯境内进行的勒索软件攻击。
10月27日,Blinken在国务院讨论现代化工作时正式宣布了该办公室。Blinken证实,“我打算在国会的支持下,成立一个新的网络空间和数字政策局,任命一名大使领导,并任命一名新的关键和新兴技术特使。这两人将至少在第一年向副国务卿Wendy Sherman汇报工作。”
Blinken在发给该部门工作人员的一封电子邮件中表示,“这种结构将为我们提供更大的领导力和责任感,以推动跨机构和国外的外交议程,并在非凡的工作基础上进一步发展。我们希望确保技术为民主服务,反击错误信息,维护互联网自由,减少滥用监视技术,我们希望促进合作,一项技术一项技术地推进这一议程,一个问题一个问题地推进,民主伙伴站在我们一边。”Blinken将网络安全列为该部门现代化的关键支柱之一,并呼吁将该部门IT预算增加50%。
在特朗普政府将网络外交置于中心舞台的努力不平衡之后,国务院内部开始关注网络安全。2017年,时任国务卿Rex Tillerson将一个前网络安全办公室与另一个局合并,引发了安全界的批评。
在特朗普总统任期即将结束之际,时任国务卿庞佩奥重建了一个网络安全办公室,名为网络空间安全和新兴技术局,但共和党和民主党立法者都对其设置和时机持批评态度。据报道,即将上任的拜登政府审查了蓬佩奥的提议,似乎正在推进类似的模式。
据The Hill报道,国务院发言人Ned Price表示,新办公室将专注于国际网络空间安全、国际数字政策和数字自由。国防部新任关键和新兴技术特使将领导与盟友和合作伙伴以及跨多边论坛的外交努力。
美国空军前网络和安全技术经理、Vectra AI公司技术总监Tim Wade表示,“可以说,这是另一个迹象,表明强大的民族国家不太清楚是将网络冲突归类为军事领域还是外交领域,还是两者兼而有之。关于国家办公室的一个明显问题是,在制定政策规范和制定国家安全战略时,他们将如何管理与美国国防部网络司令部的管辖权重叠。”
据CNN报道,Price表示,“即使成立了这个新局,这些问题将在整个部门、整个政府中普遍存在。所以它不会被明确定义,但我们确实看到了确保我们有一个专注于这些问题的局的巨大价值。”目前还没有人被任命为大使或特使。
宣布后,几位长期以来一直主张设立类似办公室的立法者对此举表示赞赏。缅因州参议员Angus King在推特上表示,“随着网络空间成为现代战争和侵略的战场,网络局正是我们保护美国网络和制定国际规范所需要的。我们与拜登政府的做法完全一致,这正是我们更好地协调网络外交和围绕网络安全制定国际规范所需的举措。”
ThycoticCentrify公司公共部门副总裁Bill O'Neill在讨论国务院的倡议时表示,“这清楚地表明,联邦政府正在继续将网络安全作为优先事项。通过将该局整合到国务院,现任政府正在发出信号,该国的网络防御措施将继续作为国内目标,以及全球外交优先事项。”
该部门的举动与众议院外交事务委员会高级成员德克萨斯州众议员迈克麦考尔提出的法案相媲美。众议院通过的《网络外交法》将要求国务院设立一个类似的办公室,并优先考虑整个机构的网络安全。
奥巴马和特朗普政府的前国务院网络安全问题协调员Christopher Painter也在Twitter上赞扬了这一努力,他表示,“这是一个伟大的发展和强大的结构。我早就说过,一个新的网络局需要跨领域的权威,并在组织中处于高层。这既包括广泛和适当的授权,也包括向副国务卿报告。更妙的是,因为了解网络及其重要性,以及安全、经济和人权问题如何相互依存。很高兴看到这些问题再次获得应有的关注、资源和优先权。”
ThycoticCentrify的O'Neill表示,“办公室的三个主要任务,很可能被解释为加强推动全球合作,以从多边平台打击民族国家行为者,包括实施和执行国际标准和政策、完善补救策略和攻击归因措施、或为长期监管数字技术创建新的主动框架。”
参考来源:InfoRiskToday http://33h.co/9qrc9
(二)欧洲议会通过网络安全指令草案
2021年10月28日,欧洲议会工业、研究和能源委员会通过了一项关于网络安全的指令草案(NIS2指令)。NIS2指令将扩大现有NIS指令的范围,以适用于“重要部门”,如废物管理、邮政服务、化学品、食品、医疗设备制造商、数字提供商和电子产品生产商,以及“基本部门”。NIS2指令强加了与事件响应、供应链安全、加密和漏洞披露义务相关的特定网络安全要求。NIS2指令还旨在在欧盟成员国之间建立更好的合作和信息共享,并创建一个共同的欧洲漏洞数据库。
新的法律草案将在风险管理、报告义务和信息共享方面规定更严格的网络安全义务。根据该草案,欧盟国家必须采取更严格的监管和执法措施,并协调其制裁制度。
与现有立法相比,新指令将迫使更多实体和部门采取措施。新的安全条款将涵盖能源、交通、银行、卫生、数字基础设施、公共行政和航天部门等“基本部门”。此外,新规则还将保护所谓的“重要部门”,例如邮政服务、废物管理、化学品、食品、医疗器械制造、电子、机械、机动车辆和数字提供商。立法将涵盖选定部门的所有大中型公司。
具体而言,要求包括事件响应、供应链安全、加密和漏洞披露等条款。成员国将能够识别具有高安全风险的较小实体,而网络安全将成为最高管理层的责任。
该指令还为不同当局和成员国之间更好的合作和信息共享建立了一个框架,并创建了一个欧洲漏洞数据库。
最初的网络安全指令是在2017年制定的,但欧盟国家以不同的方式实施,从而使单一市场分散,导致网络安全水平不足。欧洲议会议员表示,鉴于当前的网络安全威胁水平很高,因此非常需要更新的立法。
欧洲议会议员Bart Groothuis表示,“网络犯罪在2019年翻了一番,勒索软件在2020年增加了两倍,但我们的公司和机构在网络安全上的支出比美国少41%。我们必须加强欧盟的网络安全,并创建工具以在网络事件发生时共同处理。我们无法阻止所有网络犯罪的发生,但我们可以比以往更好地保护自己,也比其他人更好。这项新立法使欧盟成为一个安全的工作和经商场所。”
欧洲议会强调,网络攻击不仅是全球增长最快的犯罪形式之一,而且规模、成本和复杂程度也在不断增长。2017年,Cybersecurity Ventures预测,到2021年,全球勒索软件损害成本将达到200亿美元,是2015年的57倍。它还预测,到2021年,公司将从2016年的每40秒遭受一次勒索软件攻击上升到每11秒遭受一次勒索软件攻击。
欧盟网络安全机构(ENISA)最新发布的《2021年威胁展望》报告指出,网络安全攻击在2020年和2021年持续增加,不仅在载体和数量方面,而且在影响方面。新冠病毒大流行也对网络安全威胁格局产生了影响。
参考来源:EuropeanParliament http://33h.co/9sm7d
(三)NSA及CISA发布5G云基础设施安全指南
美国CISA及NSA近日发布5G云基础设施指南,旨在保护云本地5G网络免受企图通过破坏云基础设施进行拒绝访问攻击。CISA及NSA向构建和配置5G云基础设施的服务提供商和系统集成商发布了该建议,包括云服务提供商、核心网络设备供应商、和移动网络运营商。
该指南由四部分组成,以2021年5月持久安全框架(ESF)继5G研究小组之后发布的白皮书为基础,该研究小组探索5G网络固有的潜在威胁向量和漏洞。这也是与政府和行业专家合作确定影响5G安全的风险的直接结果。
该指南表示,“5G网络是云端原生网络,对于希望拒绝或降低网络资源或以其他方式破坏信息的网络威胁行为者来说,是一个有利可图的目标。为了应对这种威胁,必须安全地构建和配置5G云基础设施,具备检测和响应威胁的能力,为部署安全网络功能提供强化环境。”
今日发布了该指南的第一部分,侧重于减轻已破坏5G云系统的威胁行为者的横向移动企图。CISA和NSA表示,5G服务提供商和系统集成商可以实施以下措施,来阻止和检测5G云中的横向移动:
1、在5G云中实施安全身份和访问管理(IdAM);
2、使5G云软件保持最新状态,并没有已知漏洞;
3、在5G云中安全配置网络;
4、锁定隔离网络功能之间的通信;
5、监测对抗性横向运动的迹象;
6、开发和部署分析以检测复杂的对抗性存在。
有关5G基础设施潜在威胁向量的更多信息,可参阅CISA及NSA和国家情报局长办公室联合发布的白皮书。白皮书提供了5G威胁向量的概述,以及有关政策和标准威胁场景、供应链威胁场景和5G系统架构威胁场景的详细信息。
NSA网络安全总监Rob Joyce表示,“构建和配置5G云基础设施的服务提供商和系统集成商,可以应用本指南,尽自己的一份力量,来改善我们国家的网络安全。”
5G云基础设施安全指南的另外三个部分将重点关注:
第二部分:安全隔离网络资源:确保客户资源之间有安全隔离,重点是保护支持虚拟网络功能运行的容器堆栈。
第三部分:保护传输中、使用中和静态数据:确保网络和客户数据在数据生命周期的所有阶段(静态、传输中、处理中、销毁时)都受到保护。
第四部分:确保基础设施的完整性:确保5G云资源(例如容器镜像、模板、配置)不被未经授权修改。
参考来源:BleepingComputer http://33h.co/9qptd
(四)多伦多公共交通系统遭受勒索软件攻击
多伦多交通委员会表示,10月28日周四晚,多伦多公共交通机构遭受了勒索软件攻击,扰乱了司机和通勤者使用的多个系统。
多伦多交通委员会(TCC)在10月29日周五的新闻稿中表示,“TCC的一名IT人员发现了这一异常网络活动。直到今天中午,黑客扩大了对网络服务器的攻击,影响都很小。”
据TTC发言人Stuart Green称,该事件影响了内部系统,例如该机构的内部电子邮件服务器,和基于视频的驾驶员通信系统TTC Vision。在问题得到解决之前,操作人员被迫使用无线电进行通信,
除了TTC后端系统外,该事件还影响了面向客户的服务器。截至目前,为残疾人提供的交通工具Wheel-Trans的预订门户仍处于离线状态。此外,此次攻击还影响了在车站平台屏幕、内部旅行计划应用程序、和TTC网站上显示有关TTC车辆的实时信息的能力。
但尽管遭到袭击,公共交通路线并未中断,公共汽车、电车和地铁列车继续正常运行。
11月2日上午,Green表示,Vision系统的部分功能已重新上线,包括操作员通信和车辆跟踪。然而电子邮件、Wheel Trans在线预订、车辆到站预报服务没有恢复,也没有恢复时间表。IT部门仍未确定所涉及的勒索软件种类或攻击者是否复制了任何数据。
11月2日下午,在线预订系统重新上线。11月3日下午,车辆预报服务重新上线。
参考来源:TheRecord http://33h.co/9q7n7
(五)英国工党披露数据泄露事件
英国工党披露了一起数据泄露事件,管理其数据的服务提供商遭受了勒索软件攻击。英国工党已通知了有关当局和成员,其部分信息受到安全漏洞的影响。在外部专家的帮助下,调查仍在进行中,以确定事件的严重程度。
数据泄露通知显示,“2021年10月29日,第三方告知我们发生了网络攻击事件。第三方告诉我们,该事件导致大量当事人数据在其系统上无法访问。在收到有关这些事项的通知后,我们立即聘请了第三方专家,并立即将事件报告给了有关当局,包括国家犯罪署(NCA)、国家网络安全中心(NCSC)和信息专员办公室(ICO)。”
泄露的数据包括成员、注册和附属支持者以及其他向工党提供信息的个人提供的信息。
工党建议可能受到影响的成员对可疑活动(即可疑电子邮件、电话或短信)保持警惕,并在可能的情况下启用双因素身份验证(2FA)。
参考来源:Labour http://33h.co/9qzt7
(六)巴布亚新几内亚财政部遭受勒索软件攻击
巴布亚新几内亚财政部长兼代理财务主管John Pundari证实,财政部综合财务管理系统遭受了勒索软件攻击,扰乱了政府的支付和运营。该系统管理着数亿美元的外援资金,但攻击者要求巴布亚新几内亚支付比特币赎金,因此而被禁用。
Pundari表示,政府没有向任何黑客或第三方支付赎金,并补充表示,该系统现已“完全恢复”。但作为预防措施,他表示,政府不允许受影响的网络完全使用,同时清理了服务器环境并采取了临时措施。
Pundari在一份声明中表示,“巴布亚新几内亚政府和人民可以放心,政府的金融服务将照常继续。财政部意识到其数据的安全性和完整性。因此,将逐步恢复对所有政府机构的服务,包括国家以下级别的服务,以避免损害或允许任何进一步传播此恶意软件或其他病毒。”
巴布亚新几内亚的网络安全环境很脆弱,它已经开始依赖其发展伙伴的技术援助。然而,根据2020年由巴布亚新几内亚国家网络安全中心委托澳大利亚资助的一份报告,中国电信巨头华为在巴布亚新几内亚建造的一个数据中心暴露了政府的机密文件被盗。
悉尼洛伊研究所太平洋岛屿项目主任Jonathan Pryke表示,巴布亚新几内亚的财政拮据使其无法建立一个强大的网络安全环境。他表示,其系统暴露在外,政府可能不得不重新开始建设安全网络,这需要大量投资。但Pryke表示,在巴布亚新几内亚优先事项列表中,网络安全远未达重要位置。
参考来源:RNZ http://33h.co/9qjta
(七)巴基斯坦国家银行遭受破坏性网络攻击
据消息人士称,巴基斯坦国家银行(NBP)遭受了破坏性网络攻击。该事件发生在10月29日周五至周六的晚上,影响了银行的后端系统,并影响了用于连接银行分行的服务器、控制银行ATM网络的后端基础设施、以及银行移动应用程序。
据该银行及熟悉此次攻击及当前调查人士称,虽然此次攻击导致一些系统瘫痪,但没有资金丢失的报告。该银行在30日的一份声明中表示,“已立即采取措施隔离受影响的系统。”
系统恢复工作在周末全面展开。截至11月1日周一,NBP报告称,已有1,000多家分支机构正常营业,并为客户提供服务,全国所有ATM机均已全面恢复。
但是,尽管NBP官员进行了明确的沟通,但遭受黑客攻击的消息并没有阻止一些惊慌失措的客户在周一早上冲向ATM取款。再加上当地新闻媒体的一些不准确报道,即多达9家不同的银行遭到黑客攻击,巴基斯坦政府不得不介入并发表声明,以平息情绪,并防止周一所有巴基斯坦银行发生挤兑。
巴基斯坦国家银行表示,“一些关于银行网络安全攻击的假新闻正在流传,包括首席发言人Abid Qamar先生的言论。根据这些假新闻,有9家银行受到攻击,资金被提取,数据被盗。SBP拒绝接受这些消息。除了NBP之外,没有一家银行面临过网络攻击。此外,到目前为止,还没有发现任何经济损失或数据泄露。SBP正在密切监视局势,并将通过官方渠道分享有关该事件的任何更新或信息。”
据知情人士透露,该事件目前并未作为勒索软件攻击进行调查,而是作为破坏企图进行调查。
巴基斯坦安全研究员Rafay Baloch在Twitter上分享了一张截图,声称是其中一个受影响的NBP系统。屏幕截图显示,Windows计算机由于缺少引导配置文件错误而无法启动。
参考来源:TheRecord http://33h.co/9sa71
(八)乌克兰安全局披露Armageddon黑客组织对乌克兰进行5000多次攻击
乌克兰安全局(SSU)11月4日披露,与俄罗斯联邦安全局(FSB)克里米亚分支有关的黑客组织Armageddon(又名Gamaredon)对乌克兰的公共当局和关键基础设施进行了5,000多次网络攻击。
SSU已成功识别了攻击者的姓名、拦截了他们的通信、并获得了他们参与攻击无可辩驳的证据,尽管他们使用FSB专有的恶意软件和工具来保持匿名和在线隐藏。该组织的5名成员已被告知涉嫌叛国罪。
这五名Armageddon APT组织成员分别为:FSB塞瓦斯托波尔分部SCO第四部分负责人Chernykh Mykola Serhiiovych、FSB塞瓦斯托波尔分部SCO第四部分副主任Sklianko Oleksandr Mykolaiovych、FSB塞瓦斯托波尔分公司SCO第四部分官员Starchenko Anton Oleksandrovych、Sushchenko Oleh Oleksandrovych、及Miroshnychenko Oleksandr Valeriiovych。
ARMAGEDON黑客组织是FSB的一个特殊项目,专门针对乌克兰。这条“工作线”由位于莫斯科的FSB第18中心(信息安全中心)协调。
自2014年俄罗斯入侵以来,该组织已进行了5,000多次网络攻击,并试图感染1,500多个政府计算机系统。攻击目标包括:
1、控制关键基础设施(发电厂、供热和供水系统);
2、窃取和收集情报,包括访问受限的信息(与安全和国防部门、政府机构有关);
3、信息和心理影响;
4、封锁信息系统。
目前正在进行调查和取证检查,以将FSB员工因以下罪行绳之以法:间谍、未经授权干扰计算机、自动化系统等工作、创建恶意软件或硬件以供使用、分发或销售。
SSU不断采取措施遏制和消除俄罗斯对乌克兰的网络侵略。SSU网络安全部、SSU调查人员、与乌克兰国防部主要情报局联合开展了此次行动,并在总检察长办公室的监督下进行。
参考来源:SSU http://33h.co/9s2ez
(九)威胁行为者Balikbayan Foxes冒充菲律宾政府传播RAT恶意软件
Proofpoint研究人员新发现了一个非常活跃的威胁行为者,名为Balikbayan Foxes或TA2722,冒充多个菲律宾政府传播恶意软件Remcos及NanoCore。
在整个2021年,该组织的一系列活动冒充多个菲律宾政府实体,包括卫生部、菲律宾海外就业管理局(POEA)和海关局。其他相关活动伪装成沙特阿拉伯王国马尼拉大使馆(KSA)和DHL菲律宾。这些消息针对北美、欧洲和东南亚的各个行业,其中顶级行业包括航运、物流、制造、商业服务、制药、能源和金融。
Proofpoint评估,该行为者的目标是直接或间接与菲律宾政府有联系的组织,其持续欺骗电子邮件地址和提供旨在冒充政府实体的诱饵。例如航运、运输和物流公司会经常在停靠港与海关官员接触。此外,制造和能源公司支持并维护大型供应链运营,可能需要与劳工和海关组织进行通信。
所有活动都分发了Remcos或NanoCore远程访问木马(RAT)。Remcos和NanoCore通常用于信息收集、数据窃取操作、受感染计算机的监视和控制。虽然恶意软件的相关基础设施会随着时间的推移而发生变化,但发件人的电子邮件却被重复使用了很长一段时间。
2020年,菲律宾政府实体发布了多个警报,警告用户使用诸如菲律宾新冠病毒感染信息和POEA劳工信息等主题进行诱饵相关活动。
威胁行为者使用伪造的电子邮件地址进行鱼叉式网络钓鱼攻击。发件人电子邮件在很长一段时间内被重复使用。攻击者使用了多种诱饵,包括新冠病毒感染率、计费、发票和咨询。
Proofpoint将活动分为两个不同的威胁活动集群。在所有情况下,信息诱饵都是英文的。包含多种威胁分发机制:
1、OneDrive URL链接到带有嵌入式UUE文件的RAR文件;
2、带有嵌入式OneDrive链接或其他恶意URL的PDF电子邮件附件,会导致下载和运行恶意软件的压缩可执行文件(.iso文件);
3、包含宏的压缩MS Excel文档,如果启用,则会下载恶意软件。
Remcos是一种可在线购买的商品远程访问工具。NanoCore也是商品恶意软件,由Aeonhack用.NET编写。该代码使用Eazfuscator.NET 3.3进行了混淆。NanoCore RAT在各种黑客论坛上出售,NanoCore包括许多功能和插件。Remcos和NanoCore RAT均由众多网络犯罪威胁参与者使用许多不同的交付技术和诱饵进行分发。
该组织至少自2018年8月以来一直活跃,在2020年10月之前每月进行多次活动。威胁行为者于2021年9月重新开始活动,使用伪装成菲律宾海关CPRS的网络钓鱼消息,并包含指向凭证收集的链接页。
Proofpoint高度自信地评估TA2722是一个高度活跃的威胁行为者,利用菲律宾政府的主题,并针对东南亚、欧洲和北美的各种组织。此威胁行为者很可能正试图获得对目标计算机的远程访问权限,这些计算机可用于收集信息或安装后续恶意软件或参与商业电子邮件入侵(BEC)活动。
参考来源:Proofpoint http://33h.co/9q025
(十)伊朗黑客组织Black Shadow攻击以色列互联网托管公司Cyberserve
伊朗黑客组织Black Shadow在10月30日晚泄露了多家以色列公司的数据,如约会应用程序Atraf、巴士公司Dan、及旅游预订公司Pegasus。
10月30日早,该组织泄露了巴士应用程序Kavim的数据,并在Telegram上表示,“他们没有联系我们,所以第一批数据在这里。如果你不联系我们,情况会更糟。”并附上了一张似乎是以色列公民个人信息数据库的照片。
Kavim在10月30日下午发表声明称其知道这起安全事件,“我们得知事件后,公司立即联系了交通运输部、网络安全总部,并聘请了该领域的外部专业人员,对事件进行了全面、专业和独立的调查。”他们还就泄露个人信息向用户道歉,并表示将努力防止此类事件再次发生。
该组织10月29日周五宣布,他们入侵了以色列互联网公司Cyberserve服务器,并迅速将其关闭,并威胁要泄露数据。Cyberserve是一家网络托管公司,这意味着它为各行各业的其他公司提供服务器和数据存储。伊朗黑客获取的数据涵盖了广泛的业务:从旅游预订公司Pegasus到巴士公司Dan,甚至以色列儿童博物馆。
除此之外,Cyberserve负责开发LGBTQ约会网站Atraf,该网站自周六早些时候就一直处于关闭状态。值得担忧的是,黑客可能会访问敏感信息,从而导致网站用户的敏感信息被公开。
该组织在Telegram中表示,“再一次问好!我们有消息要告诉你,你今天可能无法连接到许多站点。Cyberserve及其客户受到了我们的伤害。你一定会问,数据呢?和往常一样,我们有很多。如果您不希望它被我们泄露,请尽快与我们联系。”
黑客组织Black Shadow尚未泄露他们声称拥有的大量数据,尽管自攻击宣布以来,被入侵的网站一直处于离线状态,因为黑客关闭了CyberService服务器,从而使其客户的网站瘫痪。
该组织此前攻击了以色列汽车保险公司Shirbit和金融公司KLS,要求支付比特币作为赎金,并在Cyberserve未能付款时关闭服务器。2020年12月对Shirbit的攻击是当时针对以色列公司的最大网络攻击,Black Shadow要求50个比特币作为赎金。2020年的一项调查显示,以色列公司在2020年向黑客支付了超过10亿美元的赎金,预计2021年的数字还会增加。
在Black Shadow之前的攻击中,受影响的公司声称该组织是伊朗人。去年对Shirbit的攻击导致以色列客户的私人文件被公开,包括结婚证、财务文件、身份证扫描件和医疗文件。黑客还威胁说,如果不付款,就会将数据出售给情报机构。
网络安全顾问Einat Meyron表示,“攻击组织的身份不太重要。就被攻击的公司而言,出于保险和声誉的原因,他们显然希望将这次袭击归咎于伊朗。实际上,没有必要通过避免行使基本防御来让攻击者更容易。有必要毫无疑问地证明这是一个伊朗组织,由于诽谤的影响,这既不重要也不重要,因为伊朗的归属并不一定表明这是一个‘伊朗任务’。”Meyron进一步解释表示,为伊朗政权工作的团体不太可能在随机地点的记录上“浪费能源”,而是旨在对关键基础设施造成重大破坏。
目前尚不清楚Cyberserve是否计划支付Black Shadow想要的赎金,或者黑客组织计划如何公开泄露数据。
参考来源:TheJerusalemPost http://33h.co/9qtwj
(十一)新型攻击方法Trojan Source可将漏洞隐藏在源代码中
剑桥大学研究人员发现了一种新型攻击方法,名为Trojan Source,可以滥用Unicode将漏洞偷偷隐藏在代码中,影响了软件开发人员使用的许多编译器、解释器、代码编辑器、和代码存储库前端服务。
Unicode是世界上大多数书写系统中一致编码、表示和处理文本的标准。有些语言是从左到右书写的(如英语),而另一些是从右到左书写的例如希伯来语和阿拉伯语)。但是,Unicode提供了一项功能,称为双向(Bidi)算法,用于需要混合两种类型的书写时。例如,在用从左到右的语言写成的句子中,用从右到左的语言写一个单词。
剑桥大学研究人员发现,Bidi可以被滥用来创建代码,以一种方式显示在代码编辑器中,但编译器会对其进行不同的解释。威胁行为者可以利用这种方法向广泛使用的开源软件提交恶意代码,查看代码的个人可能会看到看似无害的代码,但实际上却引入了漏洞。
攻击的另一个变体利用同形文字,即视觉上几乎相同的字符。攻击者可以利用此方法在上游包中定义可从目标代码调用的同形文字函数。
研究人员在一篇研究论文中表示,“对源代码的攻击对有动机的攻击者来说既极具吸引力又极具价值,因为恶意插入的后门可以被合并到签名代码中,并在野外长期存在。此外,如果后门被插入到许多其他应用程序下游包含的开源软件组件中,这种攻击的影响范围可能非常大。Trojan-Source攻击引入了将此类漏洞隐形插入源代码的可能性,从而完全绕过了当前针对它们的主要控制,即人工源代码审查。这会使后门更难被发现,并且更容易被攻击者执行。”
C、C++、C#、JavaScript、Java、Rust、Go和Python已被发现受到影响。CVE-2021-42574和CVE-2021-42694已分配给本研究期间发现的漏洞。
研究人员还在Windows、macOS和Linux上进行了测试,以评估广泛使用的代码编辑器,如VS Code、Atom、SublimeText、Notepad、vim和emacs,以及基于网络的服务,如GitHub和BitBucker。它们中的每一个都至少受到Trojan Source攻击的一种变体的影响。
剑桥研究人员扫描了公开可用的源代码,以寻找木马源攻击已被用于恶意目的的迹象。虽然没有证据表明存在Trojan Source攻击,但他们确实看到了类似的技术被利用,尽管许多技术不一定是恶意的。
参考来源:SecurityWeek http://33h.co/9sw9r
(十二)FBI发布警告Ranzy Locker勒索软件攻击超过30家组织
美国联邦调查局10月25日发布警告称,自2020年末至2021年7月,已有30多家美国信息技术、交通运输部门、关键制造业建筑部门、和政府设施学术部门的受害者遭受了Ranzy Locker勒索软件攻击,对此FBI向可能面临风险的组织发出紧急警报。
根据CISA发布的警报,大多数受害者在针对远程桌面协议(RDP)的暴力凭据攻击后受到威胁,以获得对目标网络的访问权。
据FBI称,最近的受害者报告表示,恶意黑客利用Microsoft Exchange Server中的已知漏洞和网络钓鱼攻击破坏系统。一旦部署到位,使用Ranzy Locker勒索软件的人会从受感染的网络中窃取文件,通常会窃取个人信息、客户详细信息和财务记录,然后再部署勒索软件以加密整个系统的文件。受害者会在受影响的文件夹中找到赎金票据,要求支付加密货币以换取解锁加密文件的密钥,并防止泄露的文件通在暗网泄露。
Ranzy Locker遵循勒索软件即服务(RaaS)商业模式,将更复杂的攻击基础设施置工作交给注册成为附属机构手中。任何人都可以租用像Ranzy Locker这样的勒索软件来进行自己的攻击,实使其变得更加危险。
如果只有一个组织使用Ranzy Locker来攻击公司,那么受害者人数将受到有限资源的限制。但是,当所有人都可以使用勒索软件时,没有什么能阻止任何人尝试碰碰运气并发起攻击。因此,组织机构清楚地知道需要关准什么很重要,FBI的紧急警报包括与Ranzy Locker相关IOC以及用于检测威胁的Yara规则。
此外,FBI就如何减轻勒索软件威胁提出了一些建议:
1、对所有数据进行定期备份,作为气隙、密码保护的离线副本存储。确保这些副本不可从原始数据所在的任何系统进行修改或删除;
2、实施网络分段,这样网络上的所有机器都不能从其他机器访问;
3、在所有主机上安装并定期更新杀毒软件,并启用实时检测;
4、更新/补丁发布后,立即安装更新/补丁操作系统、软件和固件;
5、查看新的或无法识别的用户帐户的域控制器、服务器、工作站和活动目录;
6、审核具有管理权限的用户帐户,并以最低权限配置访问控制。不要给所有用户管理权限;
7、禁用未使用的远程访问/远程桌面协议(RDP)端口,并监视远程访问/RDP日志中的任何异常活动;
8、考虑为从组织外部收到的电子邮件添加电子邮件横幅;
9、禁用收到的电子邮件中的超链接;
10、登录帐户或服务时使用双重身份验证。
参考来源:Tripwire http://33h.co/9qit1
(十三)FBI发布警告HelloKitty勒索软件组织增加DDoS攻击策略
美国联邦调查局(FBI)近日发布紧急警报,警告私营行业合作伙伴,HelloKitty勒索软件组织(又名FiveHands)已将分布式拒绝服务(DDoS)攻击添加到其勒索策略库中。
在与CISA联合发布的通知中,FBI表示,如果受害者不遵守赎金要求,勒索软件组织将在DDoS攻击中关闭受害者官方网站。
HelloKitty因在加密之前从受害者的受感染服务器中窃取敏感文件而闻名。泄露的文件会被用来当做筹码,威胁要在数据泄露网站上泄露被盗数据,从而迫使受害者支付赎金。
联邦调查局表示,“在某些情况下,如果受害者没有迅速做出反应,或没有支付赎金,威胁行为者将在受害者公司面向公众的网站上发起分布式拒绝服务(DDoS)攻击。Hello Kitty攻击者要求以比特币支付不同金额的赎金,这些赎金是为每个受害者量身定制的,与评估的受害者支付能力相称。如果没有支付赎金,威胁行为者会将受害者数据发布到Babuk网站的有效负载,或将其出售给第三方数据代理。”
该勒索软件运营商使用多种方法来破坏目标网络,包括利用泄露的凭据和SonicWall产品中最近修补的安全漏洞,如CVE-2021-20016、CVE-2021-20021、CVE-2021-20022、CVE-2021-2002。
HelloKity是一种人工操作的勒索软件操作,自2020年11月开始活跃,并于2021年1月首次被FBI发现。该组织此前在2月份破坏并加密了CD Projekt Red的系统,并声称窃取了Cyberpunk 2077、Witcher 3、Gwent和其他游戏的源代码。HelloKitty随后声称有人购买了从CD Projekt Red窃取的文件,但从未得到证实。
至少从2021年7月开始,该勒索软件组织使用针对VMware的ESXi虚拟机平台的Linux变体。在企业目标迁移到使用虚拟机以更有效地使用资源和更轻松的设备管理之后,HelloKitty只是针对Linux服务器的多个勒索软件组织之一。
通过以虚拟机为目标,勒索软件运营商现在可以使用单个命令同时加密多个服务器,从而节省时间和精力。根据受害者在ID Ransomware平台上提交的内容,HelloKitty在7月和8月开始在攻击中使用Linux变体后立即大幅增加了活动。HelloKitty勒索软件及其变体又名DeathRansom或Fivehands。
参考来源:BleepingComputer http://33h.co/9q074
(十四)BlackMatter勒索软件组织关闭
BlackMatter勒索软件组织宣布,迫于执法部门压力,将关闭其业务。安全研究人员vx-underground于11月3日发现,该组织11月1日在其RaaS门户网站上发布了公告,“由于某些与当局压力相关的无法解决的情况,该项目已关闭。在最新消息发布后部分团队不再可用。48小时后,整个基础设施将关闭,可以向公司发出邮件以进行进一步沟通,或在聊天对话框中输入“获得解密程序”来获取解密程序。我们祝你一切顺利,我们很高兴工作。”
BlackMatter关闭的消息是在过去两周发生的两起重大事件之后发布的。在该组织作出这一决定之前,美国和俄罗斯当局最近宣布加强合作,以遏制以俄罗斯为基地的网络犯罪组织,如FIN7网络犯罪团伙。
10月份,美国CISA、FBI和NSA发布了一份公告,其中提供了有关BlackMatter勒索软件操作和防御建议的详细信息。该公告提供了与勒索软件组织相关的策略、技术和程序(TTP)的信息,这些信息是通过对BlackMatter勒索软件样本的分析以及可信赖的第三方报告获得的。
该BlackMatter组织自七月底开始运营,是Darkside和REvil的继任者。与其他勒索软件操作一样,BlackMatter也建立了泄漏站点,在该站点上发布从受害者那里窃取的数据,然后再对其系统进行加密。
BlackMatter勒索软件即服务(RaaS)首先被Recorded Future研究人员发现,该组织正在使用两个网络犯罪论坛(例如Exploit和XSS)上发布的广告建立附属网络。
该组织正在招募能够访问年收入超过1亿美元或更大的大型企业网络的骗子,试图用其勒索软件感染他们。该组织正在美国、英国、加拿大或澳大利亚寻找企业网络。
BlackMatter勒索软件运营商宣布,他们不会针对医疗保健组织、关键基础设施、国防工业组织和非营利公司。8月,该组织实施了针对VMware ESXi虚拟机平台的Linux加密器。BlackMatter运营商已经袭击了许多美国组织,并要求以比特币和门罗币支付80,000至15,000,000美元的赎金。
最近,由多个州的执法部门进行的一项国际行动允许关闭并扣押REVIL勒索软件组织使用的攻击基础设施。上周,欧洲刑警组织、挪威警方和其他当局开展的一项联合行动导致12人因勒索软件攻击全球组织而被捕,包括关键基础设施运营商。嫌疑人参与了针对71个国家/地区的受害者的1,800多次勒索软件攻击,攻击者主要针对大型公司。该组织的受害者名单还包括在2019年遭到袭击的挪威巨头Norsk Hydr,在勒索软件攻击发生后仅一周,该公司就宣布损失超过4000万美元。
参考来源:SecurityAffairs http://33h.co/9qzwu
(十五)Mekotio银行木马卷土重来
CheckPoint研究人员发现,Mekotio银行木马背后的运营商重新浮出水面,其感染流程发生了变化,以躲避安全软件监视,在过去三个月中发起了近100次攻击。
Check Point Research研究人员表示,“主要特征之一是模块化攻击,它使攻击者能够仅更改整体的一小部分,以避免检测。”据称,最新一波攻击主要针对位于巴西、智利、墨西哥、秘鲁和西班牙的受害者。
这一发展是在西班牙执法机构于2021年7月逮捕了该网络犯罪团伙的16人之后发生的,这些人与经营Mekotio和另一种名为Grandoreiro的银行恶意软件有关,这是针对欧洲金融机构的社会工程活动的一部分。
Mekotio恶意软件的进化版本旨在通过攻击链来破坏Windows系统,该攻击链以伪装成待处理税收收据的网络钓鱼电子邮件开始,并包含指向ZIP文件的链接或作为附件的ZIP文件。单击打开ZIP存档会触发批处理脚本的执行,该脚本又会运行PowerShell脚本以下载第二阶段的ZIP文件。
这个二级ZIP文件包含三个不同的文件,一个自动热键(AHK)解释器、一个AHK脚本和Mekotio DLL负载。PowerShell脚本然后调用AHK解释器来执行AHK脚本,该脚本运行DLL负载,以从网上银行门户窃取密码并将结果泄露回远程服务器。
恶意模块的特点是使用简单的混淆技术,例如替换密码,使恶意软件具有改进的隐身能力,并使大多数防病毒解决方案无法检测到。
Check Point的Kobi Eisenkraft表示,“为了进入金融机构,Mekotio银行木马窃取用户名和密码,这是是非常危险的。因此,逮捕行动阻止了西班牙帮派的活动,但并未阻止Mekotio背后的主要网络犯罪集团。”
强烈建议拉丁美洲的用户使用双因素身份验证来保护他们的帐户免受接管攻击,并注意相似的域、电子邮件或网站中的拼写错误以及来自陌生发件人的电子邮件。
参考来源:TheHackerNews http://33h.co/9s2zc
(十六)知名珠宝商Graff遭受Conti勒索软件攻击
Conti勒索软件组织攻击了上流社会珠宝商Graff,并勒索要求支付数百万美元的赎金,不然就要公布其客户的私人信息,包括世界领导人、知名演员、亿万富翁等。
该公司的客户是全球最富有的人,包括唐纳德·特朗普、大卫·贝克汉姆、汤姆·汉克斯、塞缪尔·杰克逊、亚历克·鲍德温、和菲利普·格林爵士。作为黑客攻击的证据,该组织已在其泄密网站上公布了与大卫·贝克汉姆、奥普拉、和唐纳德·特朗普的购买相关的文件。
Conti是一家俄罗斯勒索软件组织,泄露了69,000份机密文件,包括客户名单、发票、收据和信用记录。Conti声称,所发布的信息涉及Graff约11,000名客户,仅占被盗文件的1%。
对顾客隐私的影响可能大于购买珠宝的价值,一些购买可能会显示出恋人与重要人物之间的尴尬关系。目前不能排除,如果Graaf拒绝支付赎金,该组织可能会出于上述原因试图勒索其客户。
Graaf发言人对《每日邮报》表示,“遗憾的是,我们与其他许多企业一样,最近成为了专业和坚定的犯罪分子进行复杂的网络攻击的目标。我们的安全系统提醒我们,注意他们的入侵活动,使我们能够迅速做出反应并关闭网络。我们通知了相关执法机构和ICO,并一直在与他们合作。我们已通知了个人数据受到影响的相关人员,并建议他们采取适当的步骤。我们能够在几天内重建和重启我们的系统,关键是没有无法挽回的数据丢失。”
该公司通知了包括ICO在内的英国当局,并宣布将能够在几天内从攻击中恢复其系统。此时,已经有数千人访问了泄漏站点,挖掘已发布的文件,并寻找敏感信息。
Conti勒索软件组织是最活跃、最具攻击性的勒索软件团伙之一。9月份,CISA、FBI和NSA警告称,针对美国组织的Conti勒索软件攻击数量有所增加。Conti勒索软件运营商运行私人勒索软件即服务(RaaS),该恶意软件于2019年12月底出现在威胁领域,并通过TrickBot感染进行分发。专家推测,这些运营商是俄罗斯网络犯罪组织Wizard Spider的成员。
自2020年8月以来,该组织启动了泄密网站,以威胁其受害者发布被盗数据。今年5月美国FBI透露,Conti勒索软件组织已经攻击了至少16个医疗保健和急救组织。
八月份,Conti的一家附属公司向其RaaS客户泄露了集团提供的培训材料,并公布了其中一家运营商的信息。Conti运营商向其附属公司提供服务,并维持每笔赎金支付的20-30%。
参考来源:SecurityAffairs http://33h.co/9q51w
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
