关键信息基础设施安全动态周报【2021年第50期】
发布时间:
2021-12-24
来源:
作者:
天地和兴
访问量:
1199
目 录
第一章 国内关键信息基础设施安全动态
(一)联想笔记本电脑存在权限提升漏洞
(二)新版本Abcbot僵尸网络攻击中国云托管服务提供商
第二章 国外关键信息基础设施安全动态
(一)mySCADA的HMI/SCADA产品中存在严重安全漏洞
(二)超过35,000个Java包受Log4j漏洞影响
(三)攻击者利用Log4j漏洞攻击比利时国防部
(四)美国联邦机构网络存在后门
(五)英国警方机密数据遭受Clop勒索软件攻击
(六)巴西卫生部一周内遭受两次勒索软件攻击
(七)德国医疗服务提供商CompuGroup遭受勒索软件攻击
(八)戴尔BIOS更新导致笔记本电脑和台式机无法启动
(九)新型恶意软件DarkWatchman利用Windows注册表逃避检测
(十)德国音响制造商森海塞尔泄露客户数据
(十一)澳大利亚招聘公司Finite遭受重大数据泄露
(十二)美国波特兰McMenamins连锁酒店遭受勒索软件攻击
(十三)加拿大度假村Big White发布数据泄露警报
(十四)Sharp Boys黑客组织攻击以色列网站泄露个人信息
第一章 国内关键信息基础设施安全动态
(一)联想笔记本电脑存在权限提升漏洞
NCC Group安全研究人员在联想笔记本电脑的ImControllerService服务中检测到权限提升漏洞,包括ThinkPad和Yoga等顶级机型。威胁行为者可利用该漏洞提升至管理员权限,并执行任意命令。所有低于1.1.20.3版本的Lenovo System Interface Foundation的ImControllerService组件都容易受到此特权提升漏洞影响。
该特定服务是Lenovo System Interface Foundation的一个组件,可帮助Lenovo设备Lenovo Companion、Lenovo Settings和Lenovo ID等通用应用程序进行通信。该服务默认预装在许多联想型号上,包括Yoga和ThinkPad设备。
联想笔记本电脑中存在的漏洞为CVE-2021-3922和CVE-2021-3969。CVE-2021-3922是一个竞争条件漏洞,可允许本地攻击者连接IMController子进程的命名管道进行连接和交互。CVE-2021-3969是一个A Time of Check Time of Use(TOCTOU)漏洞,可允许本地攻击者提升权限。
2021年10月29日,NCC Group将这些发现报告给联想,联想在2021年11月17日发布了安全更新,并于2021年12月14日发布了相关公告。
在Lenovo笔记本电脑中,为了与Lenovo Companion、Lenovo Settings和Lenovo ID等通用应用程序进行通信,System Interface Foundation Service可帮助笔记本电脑执行此操作。此服务是Lenovo提供的基本服务之一,所有Lenovo笔记本电脑型号均默认预装该服务。因此,如果此服务被禁用,则联想的默认应用程序将无法正常工作。
ImController需要传送所有文件并从联想服务器安装,还负责执行子进程,并按照要求完成系统配置和维护任务。SYSTEM权限是用户最需要的权限,存在于Windows中,通常使用户能够在其系统上执行所有类型的命令。一旦用户完全控制了SYSTEM权限,就可以完全控制系统,这就是为什么还可以执行系统设备中存在的命令的原因。
为了缓解这个漏洞,用户必须将软件更新到最新版本,包括拥有联想笔记本电脑或台式机的用户,并且拥有ImController版本1.1.20.2或更旧版本。可遵循以下几个简单步骤,以确定运行的版本:打开文件资源管理器并转到C:\Windows\Lenovo\ImController\PluginHost\,右键单击Lenovo.Modern.ImController.PluginHost.exe并选择属性,点击详细信息选项卡,就可以读取文件版本。
不建议正式删除“ImController组件”或“Lenovo System Interface Foundation”,因为删除这些组件会导致联想笔记本电脑或系统出现异常。
参考来源:GBHackers http://33h.co/kmbqy
(二)新版本Abcbot僵尸网络攻击中国云托管服务提供商
CadoSecurity研究人员最近发现了Abcbot僵尸网络的新版本,是一个恶意Shell脚本,该脚本在过去几个月主要针对腾讯、百度、阿里云等云服务提供商。在下载用于连接到僵尸网络的额外ELF可执行文件之前,shell脚本会针对目标主机通过SSH进行额外的攻击,删除竞争威胁对手的进程,并保持自身状态。
11月,奇虎360的Netlab安全团队的研究人员发现了Abcbot僵尸网络,该僵尸网络针对Linux系统发起分布式拒绝服务(DDoS)攻击。自11月以来360共分析了六个版本的僵尸网络。趋势科技研究人员于10月首次记录了该机器人的早期版本。基于代码中的函数名称和其他相似之处,CadoSecurity研究人员认为新发现的shell脚本是Abcbot活动中使用的安装程序的更新版本。趋势科技最初发现了一个早期版本,该样本与其报告中分析的样本相似,但有一些显著差异。
执行时,shell脚本会依次调用多个函数,第一个名为nameservercheck的函数会禁用SELinux保护并创建后门。该机器人还会在同一系统上中断竞争对手的恶意软件,包括加密挖掘和以云为中心的恶意软件。该机器人还会删除SSH密钥并插入自己的密钥,以保证对受感染主机的独占访问。
研究人员表示,“除此之外,shell脚本还展示了在以前版本中看到的类似功能,威胁行为者会删除类似攻击留下的SSH密钥,并插入自己的密钥以保证对主机的访问。还下载了趋势科技观察到的额外ELF二进制负载,并将其保存为abchello。然而用于下载第三个有效载荷的代码似乎被注释掉了。”
目前,Abcbot僵尸网络的规模仍然未知。“最后,如果根用户的.ssh目录中存在SSH known_hosts文件和相应的公钥,脚本会遍历已知主机,依次连接到每个主机,并使用前面提到的数据传输工具安装其自身的副本。这允许恶意软件以类似蠕虫的方式传播,并确保相关主机的快速入侵。”
参考来源:CadoSecurity http://33h.co/kmt1t
第二章 国外关键信息基础设施安全动态
(一)mySCADA的HMI/SCADA产品中存在严重安全漏洞
安全漏洞研究人员Michael Heinzl在捷克工业自动化公司mySCADA的myPRO产品中发现了十多个安全漏洞,其中一些为严重漏洞。美国CISA已针对这些漏洞发布了两份公告,一份在8月份发布,另一份在12月21日发布。
myPRO是一种人机界面(HMI)和监督控制和数据采集(SCADA)系统,专为可视化和控制工业过程而设计。该产品可以在Windows、macOS和Linux上运行,包括服务器、PC甚至嵌入式设备。受影响的产品在全球范围内用于能源、食品和农业、水和交通系统部门。大部分客户都在欧洲。
Heinzl发现的第一轮漏洞于7月发布的8.20.0版本进行了修复,而第二轮漏洞则于11月初发布的8.22.0版本进行了修复,这两次mySCADA都表示这是安全更新。值得注意的是,一些ICS供应商将安全补丁隐藏在更大的更新中,从而客户没有意识到潜在的风险。
8.20.0版本修补了4个高危漏洞,可利用这些漏洞获取敏感信息或远程上传任意文件,而无需身份验证。8.22.0版修复了8个漏洞,其中七个是严重漏洞。其中一个严重漏洞可用于绕过身份验证,另一个漏洞与后门帐户有关,而其余漏洞可被未经身份验证的攻击者远程利用,以进行操作系统命令注入。
Heinzl表示,受影响的应用程序在系统启动时以提升的权限执行,默认情况下会侦听所有网络接口上的TCP端口80/443。未经身份验证的远程攻击者可以利用这些漏洞来完全控制产品以及底层系统。在某些系统和基础设施配置下,有可能直接从互联网上利用这些漏洞。
Heinzl今年在许多工业产品中发现了安全漏洞,其中包括台达电子和富士电机的安全漏洞。
参考来源:SecurityWeek http://33h.co/km63v
(二)超过35,000个Java包受Log4j漏洞影响
Google研究人员发现,超过35,000个Java软件包受到最近披露的log4j漏洞影响,在整个软件行业产生了广泛影响。Java软件包是最重要的Java软件包存储库,占Maven中央存储库的8%以上。这些漏洞允许攻击者通过利用日志库log4j公开的不安全JNDI查找功能来执行远程代码执行。该可利用功能在该库的许多版本中默认启用。截至12月19日,仅log4j-core的生态系统受到影响的数字就超过了17,000个包,约占生态系统的4%,25%的受影响软件包有可用的固定版本。
自12月9日披露以来,该漏洞因其严重性和广泛影响而吸引了信息安全生态系统。作为一种流行的日志工具,log4j被软件行业的数以万计的软件包(在Java生态系统中称为工件)和项目使用。用户对其依赖项和传递依赖项缺乏可见性,这使得修补变得困难,这也使得很难确定该漏洞的完整爆炸半径。使用帮助理解开源依赖项的项目Open Source Insights,Google研究人员调查了Maven Central Repository中所有工件的所有版本,以确定基于JVM的语言的开源生态系统中问题的范围,并跟踪正在进行的缓解受影响包的工作。
截至2021年12月16日,研究人员发现来自Maven Central的35,863个可用Java工件依赖于受影响的log4j代码。这意味着Maven Central上超过8%的所有软件包至少有一个版本受此漏洞影响。这些数字不包括所有Java包,例如直接分发的二进制文件,但Maven Central是生态系统状态的有力代表。就生态系统影响而言,8%是巨大的。影响Maven Central的公告对生态系统的平均影响为2%,中位数低于0.1%。
直接依赖项约占受影响工件的7,000个,这意味着其任何版本都依赖于受影响的log4j-core或log4j-api版本,如CVE中所述。大多数受影响的工件来自间接依赖项,即自己的依赖项的依赖项,这意味着log4j没有明确定义为工件的依赖项,而是作为传递依赖项被拉进来。
如果工件至少有一个版本受到影响,并且发布了一个不受影响的更稳定的版本,就将工件视为已修复。如果受log4j影响的工件已更新到2.16.0或完全删除其对log4j的依赖,则该工件被视为已修复。目前已修复了近五千件受影响的工件,这代表了log4j维护者和更广泛的开源消费者社区的快速响应和巨大努力。这留下了超过30,000个工件受到影响,其中许多依赖于另一个工件进行修补并且可能被阻止。
参考来源:Google http://33h.co/km0wv
(三)攻击者利用Log4j漏洞攻击比利时国防部
比利时国防部遭受了严重的网络攻击,使得国防部部分计算机网络一直处于瘫痪状态。国防部表示,这次攻击是Apache广泛使用的软件Log4j中的安全漏洞造成的。该漏洞对全球企业网络构成重大风险,因为许多知名应用程序使用受影响的软件来保存日志。比利时国防部是利用该漏洞的第一个政府受害者。
发言人Olivier Séverin表示,“国防部在周四发现了针对其具有互联网访问权限的计算机的网络攻击。国防部已迅速采取措施,隔离受影响的部分。目前首要任务是保持国防网络的运行。整个周末,我们的团队都被动员起来控制问题,使得活动得以持续运行,并警告合作伙伴。”
科技公司通过Log4j来监控其应用程序是否正常工作。如果程序中的某处出现故障,则会通过Log4j向制造商发送错误消息,然后制造商可以确定是否需要修复。Amazon、Apple、Cloudflare、Tesla、Minecraft和Twitter等公司都使用Log4j。据Check Point称,伊朗黑客组织Charming Kitten或APT 35利用了Log4j中的漏洞对以色列境内的七个目标发起攻击,其中包括政府网站。
比利时网络安全中心发言人Katrien Eggers表示,他们也向比利时公司发出了关于Apache Log4j软件问题的警告,任何尚未采取行动的组织都可能在未来几天或几周内出现重大问题。由于该软件分布广泛,因此很难估计漏洞将如何被利用,以及利用的规模有多大。
参考来源:DeStanddarrd http://33h.co/kmhaj
(四)美国联邦机构网络存在后门
网络安全公司Avast在12月16日发布报告称,一个威胁行为者获得了访问权限,并为美国联邦政府机构的内部网络设置了后门,据悉该机构是美国国际宗教自由委员会(USCIRF)。
USCIRF的任务是监督国外宗教和信仰自由的权利,然后向总统、国务卿和美国国会提出政策建议。该机构在制定美国关于侵犯人权和可能对行为不端国家实施的制裁方面的政策方面发挥着主要作用,因此,它很可能获得世界各地当前侵权行为的报告。但是尽管USCIRF处理的数据具有敏感性,该机构在通知其内部网络出现安全漏洞后没有做出回应。
Avast研究人员表示,他们在其网络上发现了两个恶意文件的痕迹,有效地让攻击者完全控制了内部系统。“根据我们对相关文件的分析,我们认为有理由得出结论,攻击者能够拦截并可能泄露该组织中的所有本地网络流量。这可能包括与其他美国政府机构以及其他专注于国际权利的国际政府和非政府组织(NGO)交换的信息。我们还有迹象表明,攻击者可以在受感染系统的操作系统上下文中运行他们选择的代码,从而使他们能够完全控制。”
Avast表示,由于该机构拒绝与其研究人员互动,因此除了检测到的两个文件外,无法详细说明整个攻击链。Avast认为此次攻击是典型的APT攻击活动。研究人员发现,该活动与趋势科技2018年发布的“红色签名行动”存在一些细微联系,但如果不对当前的攻击进行更广泛的了解,证据不足以做出正式的归因。
参考来源:TheRecord http://33h.co/kmxub
(五)英国警方机密数据遭受Clop勒索软件攻击
据英国每日邮报报道,黑客组织Clop对英国IT公司Dacoll进行了钓鱼攻击,获得了Dacoll管理的英国国家警察计算机(PNC)的机密数据,包括1300万人的个人信息和记录。由于Dacoll拒绝支付赎金,Clop在暗网的泄露站点上发布了被盗数据。赎金金额没有透露。
泄露的文件包括从国家自动车牌识别(ANPR)系统中获取的驾驶者图像、视频以及被拍到超速行驶的司机面部特写图像。目前尚不清楚Clop可能会在暗网上发布哪些额外的、更敏感的信息,这些信息可能会被欺诈者窃取。
国家安全专家、英国军事情报部门前上校Philip Ingram表示,“这是对一家为英国各地警察部队提供能力的公司的极其严重的违规行为。这种数据泄露造成的损失是难以估量的,因为它使人们对多个公共和私人组织之间管理敏感执法数据的网络安全安排产生了质疑。”
Dacoll总部位于西洛锡安,由电气工程师Brian Colling于1969年创立,他在为英国皇家空军服役之前曾修理过家用电器。这位88岁的老人已将公司发展成为英国范围内的IT解决方案提供商,拥有160名员工。Dacoll的子公司之一NDI Technologies为英国90%的警察部队提供“关键”服务,让警察可以远程访问PNC。另一家Dacoll公司NDI识别系统为警察、英格兰公路局和DVLA使用的ANPR系统提供IT支持。
国家网络安全中心的一位发言人表示,“我们知道这起事件,并与执法伙伴合作,以充分了解和减轻任何潜在影响。”
在过去两年中,Clop通过勒索软件黑客攻击赚取了数百万英镑。受害者包括石油巨头壳牌、美国旗星银行和加州大学。与许多勒索软件组织一样,它会向员工发送“网络钓鱼”电子邮件,这些电子邮件看似真实,但实际上包含一种复杂的病毒,可在打开时收集数据。
面对敏感材料泄露的情景,一些公司支付了赎金,其中包括美国保险巨头CNA Financial,据报道该公司今年早些时候支付了4000万美元。此外上个月Clop攻击了英国数据存储公司Stor-A-File,其客户包括GP医生、NHS医院信托、地方议会、律师事务所和会计师。
国家犯罪署发言人表示,其知道了Dacoll发生的该事件,正在支持调查。Dacoll的一位发言人表示,“我们可以确认,我们是10月5日网络事件的受害者。我们能够迅速恢复到正常的运营水平。该事件仅限于没有链接到任何客户网络或服务的内部网络。”
参考来源:DailyMail http://33h.co/kmk71
(六)巴西卫生部一周内遭受两次勒索软件攻击
虽然组织宣布遭受勒索软件攻击并不罕见,但一周内遭受两次还是不寻常的。巴西卫生部在相隔仅四天内就遭受了两次重大袭击,正在考虑延长处理新冠苗接种数据的系统的停机时间,并试图从该情况中恢复过来。
目前尚不清楚这两次勒索软件攻击是否来自同一来源,但第一次可能具有激进主义成分。一个名为Lapsus$ Group的黑客组织声称,他们攻击并删除了颁发巴西数字接种证书所需的疫苗接种数据。后续攻击不太成功,但针对相同的数据,并造成足够的破坏,延迟了卫生部系统的恢复。为了应对该事件,巴西卫生部员工停止办公,并在严重攻击后将疫苗接种数据离线。
第一次勒索软件攻击发生在12月10日,使卫生部的所有网站都下线了一段时间。Lapsus$ Group向卫生部发送了一条消息,声称对此次攻击事件负责,声称他们从新冠病毒跟踪程序中提取了大约50 TB的数据,随后将这些数据从该机构的服务器中删除。
由于黑客要求卫生部与他们联系以恢复数据,这可能是一种标准的勒索软件攻击事件。在此之前,巴西卫生监管局(Anvisa)于9月遭受了攻击,此前该机构宣布将对入境的国际旅客实施新的筛查程序。Anvisa的工作人员阻止了一场世界杯预选赛,并告诉四名来自阿根廷的球员因为不遵守新规定而离开球场,因此该事件变得知名。
无论如何,卫生部在与疫苗接种数据相关的安全性方面经历了糟糕的一年。11月,一名员工在将一份机密的医院电子表格上传到公共Github帐户时,无意中将1600万新冠患者的记录泄露到了互联网,电子表格包含用户名、密码和私钥,用于登录各种政府账户以及患者记录。一周后,一名网络开发人员将密码留在了卫生部网站的页面代码内,又有2.43亿条患者记录被泄露。
卫生部在第一次勒索软件攻击后发表声明,称其有被盗疫苗接种数据的备份。结果证明这是非常幸运的,因为在12月14日发生了第二次攻击,目标是许多相同的系统。虽然这似乎并没有以数据被盗或删除而告终,但勒索软件攻击确实使用于跟踪新冠治疗的ConecteSUS应用程序离线了一段时间。公务员也被送回家至少一天,因为系统中断使他们无法完成工作。
接二连三的勒索软件攻击已将针对国际旅客的新要求推迟了至少一周。在否决了疫苗护照的想法后,联邦政府转而实施了一项要求,即国际入境者必须隔离五天,并在获准自由行动之前接受新冠检测。该计划主要由Anvisa而不是卫生部处理,因此疫苗接种数据的中断不太可能将其推迟更长时间。
对于巴西居民,第二次勒索软件攻击所针对的ConecteSUS应用程序用于个人跟踪新冠测试和状态。该应用程序基本上提供了对与新冠治疗相关的任何医疗记录的访问权限:测试、疫苗接种、住院时间以及为治疗而开出的药物。卫生部表示,该应用程序的数据已得到备份,但该应用程序在第一次攻击一周后仍然无法使用。
尽管该国已决定不使用疫苗护照,但国际旅行等活动仍需要通过该应用程序获得的国家疫苗接种证书。某些雇主以前也可以要求员工提供疫苗接种数据,但最近的法院裁决禁止这样做。巴西卫生部正在考虑延长处理新冠疫苗接种数据的系统的停机时间,因为它试图从仅相隔四天内发生的两次勒索攻击中恢复过来。
尽管ConecteSUS似乎无法完全访问患者的医疗记录,但它包含的疫苗接种数据可能对受害者构成危险。它提供了可用于身份盗窃和有针对性的诈骗的元素。被黑客攻击的医疗信息通常不会被直接使用,而是被添加到暗网上的现有信息包中,称为fullz,这些信息基本上是个人的公共和私人信息档案,这些档案主要是由数据泄露造成的。一旦足够完整,这些包就可以用于各种各样的欺诈。
参考来源:CPOMagazine http://33h.co/kmi26
(七)德国医疗服务提供商CompuGroup遭受勒索软件攻击
德国CompuGroup Medical是一家医疗保健软件提供商,在12月20日披露其遭受了网络攻击,医生、药房、实验室、诊所可能都会受到影响。该公司遭受的是勒索软件攻击,影响了部分内部IT系统的可用性,包括电子邮件和电话服务,因此采取应对措施隔离了部分服务。客户系统及客户数据不受影响。为了应对该事件,该公司重新建立了紧急电话号码和电子邮件渠道,以提供客户支持服务。
该公司在12月20日下午4:40发布通知表示,“我们的内部系统正在遭受攻击。保护我们客户的数据是我们的首要任务。因此,我们隔离了我们服务的主要部分。我们正在逐步检查关键服务以恢复正常运行。目前,我们没有迹象表明攻击已经影响到客户系统。调查正在进行中。”
随后在12月20日晚10:50发布通知表示,“我们受到了所谓的勒索软件攻击,并立即采取了应对措施。我们的绝大多数客户系统都已启动并运行,并被认为是安全的,因此我们的客户能够工作。目前,我们没有迹象表明攻击已影响客户系统或客户数据。这次攻击影响了我们一些内部系统的可用性,如电子邮件和电话服务。因此,在我们逐步恢复系统的同时,我们的服务和热线可用性会受到影响。我们客户系统的可用性和数据完整性仍然是我们的首要任务。我们将继续密切监控所有系统,并与所有相关部门合作。我们会及时更新最新进展。”
在12月21日下午7:30发布的通知中表示,“在昨天遭受的勒索软件攻击后,我们迅速做出反应,我们的综合对策证明是有效的。我们的客户系统继续正常运行。因此,在我们的系统上运行的医疗保健专业人员的业务运营基本保持不变。此外,我们目前的取证分析支持对我们的客户系统和数据没有影响。我们之前曾表示,我们的内部系统已受到影响,导致我们的支持热线和电子邮件渠道无法使用。我们已经能够为我们的客户重新建立紧急热线和电子邮件渠道。因此,我们正在逐步重建和扩展我们服务渠道的可用性。客户系统的可用性和数据完整性仍然是我们的首要任务。我们将继续密切监控所有系统,并与所有相关部门合作。”
在12月22日晚8:30的最新更新中表示,“在勒索软件攻击之后,我们在修复中断方面取得了进一步进展。在过去的几个小时里,我们通过设置紧急电话号码和替换电子邮件地址以供客户支持,从而不断提高我们的可用性。此外,我们的内部系统正在逐步恢复运行。即使我们在响应时间和功能方面遇到限制,我们最重要的业务运营仍能正常运行。我们客户系统的可用性和数据完整性仍然是我们的首要任务。我们将继续密切监控所有系统,并与所有相关部门合作。”
CompuGroup Medical SE & Co. KGaA(CGM)是一家总部位于德国科布伦茨的上市软件公司,是领先的国际医疗保健软件供应商之一,拥有约8000名员工和7.46亿欧元收入。它生产应用软件以支持医疗实践、药房、医学实验室和医院的医疗和组织活动。该公司在56个国家/地区拥有超过150万用。自2013年9月以来,CompuGroup Medical的股票一直是TecDAX股票市场指数的组成部分。
参考来源:BornCity http://33h.co/kmnz3
(八)戴尔BIOS更新导致笔记本电脑和台式机无法启动
据报道,最近发布的戴尔BIOS更新导致多台笔记本电脑和台式机型号出现严重的启动问题。受影响的型号包括戴尔Latitude笔记本电脑5320和5520,以及戴尔Inspiron 5680和Alienware Aurora R8台式机。尽管受影响的系统可以启动,但用户表示外围灯和显示器不会打开,启动时会直接进入蓝屏,然后再次关闭。
在戴尔官方社区网站和Reddit等社交媒体平台上共享的客户报告显示,最新的BIOS版本将导致启动问题,包括Latitude笔记本电脑1.14.3版本、Inspiron的2.8.0版本、以及Aurora R8的1.0.18版本。
一位受影响的客户表示,“今天将我的5320的BIOS升级到新的1.14.3版本后,笔记本电脑无法启动。按下电源按钮时,按钮上的灯会显示大约10秒钟,然后再次关闭。有时整个键盘会亮起,但笔记本电脑很快就会关机,但有时笔记本电脑会打开并显示“未设置时间,请运行安装程序”错误,按“继续”后,笔记本电脑然后将再次关闭。它已经启动了几次,但在关闭之前显示蓝屏一段时间。”
在戴尔发布更新来解决导致引导问题的错误之前,最简单的修复方法是降级到以前的固件版本。一位Latitude用户建议,“如果您确实设法让它们启动,那么每次关闭并重新启动时,都会抱怨“未设置时间”。如果您能让它们恢复到1.13.0,显然可以解决该启动问题,并存活足够长的时间。”
一些受影响的用户分享了详细的过程,可用于使用SupportAssist OS Recovery将其BIOS降级到旧版本,以解决此问题。受此问题影响的笔记本电脑可能仍然存在启动问题,直到断开电池连接,按下电源按钮15秒,然后再次开机之前重新插入电池和充电器。但是也可以选择首先尝试戴尔官方指南,了解如何降级系统BIOS、修复无法启动的计算机、解决POST问题、以及使用SupportAssist OS Recovery解决启动问题。
参考来源:BleepingComputer http://33h.co/kmz1m
(九)新型恶意软件DarkWatchman利用Windows注册表逃避检测
Prevailion研究人员在地下网络犯罪中发现了一种名为DarkWatchman的新型恶意软件,是种轻量级且功能强大的JavaScript RAT,搭配C#键盘记录器,威胁行为者是俄罗斯组织。该恶意软件最初在11月初被发现,攻击者使用带有恶意ZIP附件的网络钓鱼电子邮件分发该恶意软件。
这些ZIP文件附件包含一个使用图标来模拟文本文档的可执行文件。这个可执行文件是一个自安装的WinRAR压缩文件,将安装RAT和键盘记录器。如果打开,用户会看到一条诱饵弹出消息,内容显示“未知格式”,但实际上有效载荷已安装在后台。
DarkWatchman是一种非常轻的恶意软件,JavaScript RAT的大小仅为32kb,编译后仅占用8.5kb的空间。该软件利用了大量living off the land的二进制文件、脚本和库,并结合了隐蔽方法来在模块之间传输数据。
DarkWatchman的迷人之处在于它为键盘记录器使用了Windows注册表无文件存储机制。每次用户登录Windows时,系统都会创建一个计划任务来启动DarkWatchman RAT,而不是将键盘记录器存储在磁盘上。启动后,DarkWatchmen将执行一个PowerShell脚本,该脚本使用.NET CSC.exe命令编译键盘记录器,并将其启动到内存中。
Privilion研究人员Matt Stafford和Sherman Smith在研究报告中表示,“键盘记录器作为模糊的C#源代码分发,作为Base64编码的PowerShell命令处理并存储在注册表中。当RAT启动时,它执行这个PowerShell脚本,然后反过来编译键盘记录器(使用CSC)并执行它。键盘记录器本身不与C2通信或写入磁盘。相反,它将其键盘日志写入用作缓冲区的注册表项。在其操作期间,RAT会在将记录的击键发送到C2服务器之前清除该缓冲区。”
因此,注册表不仅用作隐藏编码的可执行代码的地方,还用作保存被盗数据的临时位置,直到它被泄露到C2。在C2通信和基础设施方面,DarkWatchman使用DGA(域生成算法)和10个项目种子列表,每天生成多达500个域。这为其提供了出色的运营弹性,同时使通信监控和分析变得非常具有挑战性。
DarkWatchman的功能能力包括:执行EXE文件(返回或不返回输出)、加载DLL文件、在命令行上执行命令、执行WSH命令、通过WMI执行杂项命令、执行PowerShell命令、评估JavaScript、从受害者机器上传文件到C2服务器、远程停止和卸载RAT和键盘记录器、远程更新C2服务器地址或回拨超时、远程更新RAT和键盘记录器、设置自动启动JavaScript以在RAT启动时运行、用于C2弹性的域生成算法(DGA)、如果用户具有管理员权限,则会使用vssadmin.exe删除卷影副本。
Privilion认为,DarkWatchman可能是由勒索软件团体量身定制的,这些团体需要通过强大而隐蔽的工具为其能力较弱的附属机构提供支持。该恶意软件可以远程加载额外的有效载荷,因此它可以用作后续勒索软件部署的隐蔽第一阶段感染。由于DarkWatchman可以在初始立足点后与攻击者控制的域进行通信,因此勒索软件操作员可以接管并部署勒索软件或直接处理文件泄露。这种方法会将附属公司的角色降级为网络渗透者的角色,同时RaaS操作更加临床和高效。
参考来源:BleepingComputer http://33h.co/km7np
(十)德国音响制造商森海塞尔泄露客户数据
根据vpnMentor研究报告,德国音频设备制造商森海塞尔(Sennheiser)在亚马逊网络服务(AWS)的服务器处于不安全状态,该服务器存储了森海塞尔超过28,000名客户大约55 GB的个人信息。
AWS存储桶在需要存储大型数据文件的企业中很受欢迎,但是定义AWS S3存储桶的安全设置非常重要,森海塞尔没有确保这一点。
据VpnMentor研究人员Noam Rotem和Ran Locar称,Sennheiser使用AWS S3存储桶来存储大型数据文件,其中包含从客户收集的数据。该数据库是一个旧的云帐户,其中包含28,000名客户的数据,并在2015-2018年间收集,该数据库自2018年以来一直处于休眠状态。
研究人员表示,该数据库可能很旧,但这些信息对网络犯罪分子来说是宝贵的。研究人员于2021年10月28日联系了Sennheiser,告知其服务器未受保护和数据泄露。
该存储桶包含申请森海塞尔产品样本的个人和企业数据,包括姓名、电子邮件ID、家庭地址、电话号码、员工姓名和公司名称。
此类数据足以让网络犯罪分子执行各种攻击,例如网络钓鱼诈骗或身份盗用。暴露的AWS服务器立即得到了Sennheiser的保护,但令人担忧的是,此类敏感数据对公众开放了这么长时间。
vpnMentor表示,“一旦我们确认Sennheiser对数据泄露负责,我们就联系了该公司,以通知它并提供帮助。几天后Sennheiser进行了回复,并要求我们提供调查结果的详细信息。我们向不安全的服务器公开了URL,并提供了有关其包含内容的更多详细信息。尽管没有再次收到公司的回复,但几小时后服务器就得到了保护。”
参考来源:HackRead http://33h.co/kmyvr
(十一)澳大利亚招聘公司Finite遭受重大数据泄露
澳大利亚招聘公司Finite遭受了Conti勒索软件攻击,导致重大数据泄露,包括许多澳大利亚主要公司和政府机构的求职者和员工的个人详细信息可能被暴露。黑客访问并发布了敏感数据,包括简历、工作机会、合同、时间表和疫苗证书,其目的可能是勒索赎金。Finite拥有很多澳大利亚主要客户,包括Coles、Westpac、AMP以及国防部、卫生和内政部。
Conti黑客组织已发布了12,000多个文件,并威胁要发布更多文件。该黑客组织在其网站上表示,其窃取了超过300 GB的数据,包括财务、合同、客户数据库、电话号码、地址、护照和各种其他敏感个人信息。
Finite Recruitment在声明中表示,“这些数据与10月份发生的一次性网络事件有关,该事件仍在调查中,调查结束后将通知受影响的各方。Finite Group的一小部分数据已被下载并发布在暗网上。”澳大利亚网络安全中心表示,“该黑客组织将泄露的信息托管在洋葱路由器(TOR)网络上,从而使托管非法获取材料的Conti威胁行为者更加匿名。”
然而,该组织最近似乎在一个所有互联网用户都可以访问的常规网站上发布泄露的数据,可以使用标准Web浏览器查看和访问泄露的文件。已经公布的数据包括通过该公司求职的澳大利亚人的个人详细信息,包括简历、工资信息、背景调查、犯罪历史检查和签证检查。
很多企业、银行和政府机构因与Finite的关系而被卷入泄密事件,包括Westpac、ME Bank、Coles、Adairs、AMP、Suez Australia、NBN Co以及国防部、内政部和健康。一些Finite Recruitment客户表示,他们知道泄密事件,然而其他客户则没有得到通知。
联邦卫生发言人表示,该部门使用了一系列雇佣公司,包括Finite Group APAC Pty Ltd,但没有与这些提供商共享“任何敏感或机密数据”。一位发言人表示,“该部门尚未收到Finite Group APAC Pty Ltd就任何安全漏洞或数据丢失发来的任何信件。”
Coles与Finite Recruitment签订了服务协议,并被列在泄露文件中,表示正在对违规行为进行自我调查。Coles发言人表示,“我们已经直接与Finite接触,以了解他们正在采取哪些措施来调查事件和保护系统,并评估对Coles承包商或团队成员的任何影响。”
澳大利亚国立大学也被列入违规名单,在一份声明中表示,还没有被告知这次数据泄露事件,但补充说没有任何迹象表明其系统目前受到威胁。内政部发言人表示,其没有与Finite共享敏感机密数据,它有强大的安全设置,并且没有受到这次数据泄露的影响。国防部发言人表示,国防部已获悉这一事件,并与FinXL合作管理国防部的资产。该事件对国防网络没有影响,国防部不会与Finite共享任何敏感的机密数据。
Conti是一个位于俄罗斯的勒索软件犯罪组织。堪培拉网络安全研究员Robert Potter表示,Conti是一个高度专业化的黑客组织,在窃取数据和索取赎金之前,使用各种知名工具来访问目标网络。勒索软件攻击的工作原理是加密受害者的数据,使其无法访问。然后将向受害者出售解密密钥以重新访问该数据。如果受害者不屈服于攻击者的要求,可能会永久失去对数据的访问权限。
Conti的附属公司会使用一种称为“双重勒索”的技术,威胁受害者如果不支付赎金,就会发布被盗数据。Potter表示,该组织变得越来越厚颜无耻,并且对最近针对的目标持开放态度。Conti越来越意识形态化,有时会使用俄罗斯外交政策的谈话要点,这表明这可能是一种吸引为他们提供保护的人的策略。Conti之前曾因攻击知名组织而成名,要求大量金钱作为赎金,以换取同意不发布完整数据泄露。
监控潜在网络犯罪事件的网络安全和情报公司ProDraft表示,自2020年以来,其已发现来自567家不同公司的数据在Conti的勒索网站上共享。ProDraft还表示,其团队已注意到最近Conti攻击的激增。Conti已表明自己是一个特别无情的团体,不分青红皂白地针对医院、紧急服务提供者和警察调度员。
Conti作为勒索软件即服务(RaaS)提供,允许附属公司根据需要使用勒索软件,只要赎金支付的一部分作为佣金与Conti运营商共享。ProDraft研究发现,自2021年7月以来,Conti已通过勒索软件付款收到了500多个比特币,价值3280万美元。
Potter表示,Conti非常老练,他们采用“几乎精算的方法”来确定赎金金额,甚至将目标锁定为接近他们认为组织保险所能涵盖的金额。多数遭受勒索软件攻击的澳大利亚组织没有支付任何费用,这是正确的举措,然而至少有一笔巨额赎金来自Conti所针对的澳大利亚组织。
参考来源:ABCNews http://33h.co/kmw0g
(十二)美国波特兰McMenamins连锁酒店遭受勒索软件攻击
美国波特兰酒店和啤酒连锁店McMenamins遭受了网络攻击,导致其许多计算机系统无法运行。攻击者可能已经访问了其部分员工记录,但并未涉及客户数据。McMenamins表示没有支付任何赎金,并拒绝透露有关黑客要求的任何细节。据消息人士称,此次攻击的是Conti黑客组织。
在勒索软件攻击中,攻击者通常会接管组织的计算机系统,阻止访问或威胁要发布机密信息,除非支付赎金。McMenamins表示,攻击发生在12月12日,没有任何地点因此次攻击而关闭,但McMenamins被迫关闭了IT系统、信用卡系统和公司电子邮件,以防止攻击进一步蔓延,攻击导致在线预订系统瘫痪,因此正在通过电话预订酒店,但无法提供房价或预订特定房型,也无法购买和兑换礼品卡。
McMenamins在波特兰西北地区经营着56家酒店、电影院、酒吧和餐厅,大部分位于从尤金到西雅图的5号州际公路沿线,许多地点都位于经过修复的学校、酒店、旅馆和剧院。
McMenamins在声明中表示,“网络犯罪分子部署了恶意软件,锁定了公司系统,并阻止了对关键信息的访问。该家族企业已向FBI报告了这一事件,并正在与一家网络安全公司合作,以确定攻击的来源和全部范围。”
McMenamins表示,这次攻击使公司电子邮件和信用卡扫描仪脱机,迫使公司求助于其他支付系统。单独的支付处理服务管理客户支付信息,并表示没有迹象表明攻击破坏了这些系统。不过,员工数据可能已被泄露,可能包括工人的姓名、地址、电子邮件地址、电话号码、生日、社会安全号码和银行账户信息。
McMenamins表示,它将为员工提供身份保护服务,因为它正在努力确定攻击的范围。该公司的员工人数为2,700人,低于疫情前的3,000人。
该公司家族成员Brian McMenamin表示,“让这次违规行为特别令人沮丧,它进一步加剧了我们员工在过去两年中所承受的压力和艰辛。鉴于此次违规对我们的系统造成的影响,我们要求我们的客户在我们处理交易和预订的方式进行临时调整时给予我们的员工额外的宽限期。我们希望这个假期将成为我们所有人的积极转折点,并感谢我们忠实客户和合作伙伴的耐心和理解。”
在过去几年中,对企业系统的黑客攻击和勒索软件攻击变得越来越普遍,这通常归因于在海外工作的网络犯罪分子。这使得当局特别难以调查此类入侵并追究窃贼的责任。
参考来源:OregonLive http://33h.co/kmkwf
(十三)加拿大度假村Big White发布数据泄露警报
加拿大度假村Big White发布警告称,其服务器上可能存在恶意软件,因此可能导致数据泄露。恶意访问的数据可能包括个人和商业信息,例如姓名、地址、银行信息、电子资金转账安排和CRA商业编号。
在12月20日Big White发送给所有供应商的电子邮件中,总裁兼首席执行官Peter Plimmer表示,该公司的服务器在9月10日之前的某个时间遭受了未经授权的入侵。“虽然我们不知道您的个人和/或商业信息有任何实际滥用,但我们正在向您和其他可能受影响的各方提供有关该事件的通知,以及您可以采取哪些措施来保护自己免受可能的身份盗用或欺诈。”
Big White度假村无法确定未经授权的入侵发生的确切时间,但其技术事件响应团队表示,他们认为这可能发生在2021年上半年。Plimmer表示,“入侵者似乎在我们的服务器上放置了恶意软件,并且通过这样做,可能获得对存储在这些服务器上的某些个人数据的访问权限,包括与您在我们这里的供应商/供应商帐户相关的个人信息和银行数据。”
受影响的服务器已断开连接并从服务中移除,所有数据已移至新服务器。该度假村无法确定访问或复制了哪些信息和银行数据。Plimmer表示,度假村一直在与网络安全提供商合作,并将与适当的执法部门联系并提供合作。该度假村建议其供应商监控银行对账单,并向相关金融机构报告任何可疑活动。
参考来源:Penticton Herald http://33h.co/kmny0
(十四)Sharp Boys黑客组织攻击以色列网站泄露个人信息
Sharp Boys黑客组织在12月18日入侵了两个以色列徒步旅行网站Tiyuli和Lametayel,泄露了10万用户的信息,并出售了大约300万人的信息,泄露的数据包括电子邮件、地址、照片和电话号码。
两个受影响的网站是Tiyuli和Lametayel。Tiyuli是一个提供以色列各地徒步旅行、景点、地图和睡觉地点信息的网站,Lametayel是一家徒步旅行和体育用品连锁店,其网站还提供徒步旅行信息。截至12月18日晚上,这两个网站均已关闭。
黑客在消息中表示,“嗨,lametayel.co.il和tiuli.com被黑了!所有数据库都在出售。我们有500 GB的数据可供出售,其中包括大约300万用户的电子邮件、密码和电话号码。”Sharp Boys没有提及任何赎金要求,目前还不清楚此次攻击是否出于民族主义动机。
Lametayel表示,在周六下午在其网站上发现了可疑活动,并关闭了所有网站,并阻止了对网站的访问,并补充说正在检查这个问题。
上周,网络安全提供商Check Point报道称,伊朗黑客组织Charming Kitten或APT 35试图利用开源软件日志系统Log4j中的漏洞攻击以色列的七个目标,企图攻击被阻止。今年10月,多个以色列网站遭到Black Shadow黑客组织攻击,泄露了数十万用户的个人信息。
参考来源:TheJerusalemPost http://33h.co/kmy41
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
