关键信息基础设施安全动态周报【2022年第2期】
发布时间:
2022-01-14
来源:
作者:
天地和兴
访问量:
798
目 录
第一章 国外关键信息基础设施安全动态
(一)西门子及施耐德电气修复了40个漏洞
(二)H2数据库中存在类似Log4Shell的漏洞
(三)美国白宫因Log4j漏洞举办开源软件安全峰会
(四)美国警告俄罗斯黑客针对关键基础设施的网络威胁
(五)印度APT组织Patchwork用RAT感染了自己
(六)英国国防部长警告俄罗斯潜艇威胁海底电缆
(七)NetUSB内核模块存在漏洞影响数百万路由器
(八)伊朗黑客组织APT35利用Log4Shell漏洞传播PowerShell后门
(九)FBI警告称FIN7黑客组织利用BadUSB攻击国防企业
(十)FinalSite遭受勒索软件攻击导致数千学校网站关闭
(十一)黑客组织MuddyWater与伊朗情报机构MOIS有关
(十二)美国化学品公司Element Solutions披露网络安全事件
(十三)松下服务器遭受黑客入侵数月泄露求职者个人数据
第一章 国外关键信息基础设施安全动态
(一)西门子及施耐德电气修复了40个漏洞
西门子和施耐德电气在1月11日共计发布了12份安全公告,涉及影响其产品的共计40个漏洞,这两家公司已发布了补丁或缓解措施来解决这些漏洞。
西门子发布了五份公告,涉及14个漏洞,其中最严重的是影响SICAM A8000设备的两个漏洞。其中一个严重漏洞与未记录的调试端口有关,该端口使用硬编码的默认凭据,使攻击者能够访问设备上的管理调试shell。第二个中危漏洞允许未经身份验证的攻击者访问日志文件和诊断数据。
西门子的另一份公告描述了影响COMOS工厂工程软件的两个高危漏洞和两个中危漏洞,攻击者可利用这些漏洞执行任意代码或命令。
另外一份公告与Nucleus RTOS漏洞有关,该漏洞名为NUCLEUS:13,该公告解决了这些漏洞对PLUSCONTROL设备的影响。
其余公告解决了SIPROTEC 5产品中的中危信息泄露漏洞,以及可用于在SICAM PQ Analyzer中实现持久性或DoS条件的低危漏洞。西门子已针对所有这些安全漏洞发布了补丁和/或缓解措施。
施耐德发布了七份公告,涉及26个漏洞。其中一份公告描述了Easergy P5中压保护继电器中的两个高危漏洞,这些漏洞可能允许攻击者破坏或完全控制设备,这可能导致电网失去保护。Easergy P3继电器也有类似影响的漏洞。
另一个公告解决了EcoStruxure Power Monitoring Expert产品中的两个高危漏洞和两个中危漏洞,可利用这些漏洞获取信息或破坏系统。
此外施耐德还向客户通报了影响ConneXium Tofino防火墙产品的六个高危及中危漏洞,利用这些漏洞可能导致服务中断或配置更改,从而允许恶意网络流量。
其他公告涉及Codesys的第三方组件中存在的10个漏洞、Modicon M340控制器中的DoS和CSRF漏洞,以及Easergy T300 RTU中可能导致代码执行或DoS条件的漏洞。施耐德还针对其产品中发现的漏洞发布了补丁和/或缓解措施。
参考来源:SecurityWeek http://33h.co/ke3iq
(二)H2数据库中存在类似Log4Shell的漏洞
Jfrog研究人员在H2开源Java SQL数据库中发现了一个与Log4Shell漏洞类似的严重RCE漏洞CVE-2021-42392,可能允许攻击者在易受攻击的系统上执行远程代码。该漏洞与Log4J问题不同,不会广泛传播。
研究人员表示,该漏洞与Log4j中的Log4Shell漏洞(JNDI远程类加载)具有相同的根本原因。H2是一种流行的开源Java SQL数据库,提供了一种轻量级的内存解决方案,不需要将数据存储在磁盘上。
Web平台Spring Boot及IoT平台ThingWorks等各种项目中都在使用H2。H2包是前50名最受欢迎的Maven包之一,有7000个工件依赖关系。
JFrog在文章中表示,尽管这是一个具有类似根本原因的关键问题,基于以下因素,CVE-2021-42392不应像Log4Shell那样普遍:
1、与Log4Shell不同,此漏洞具有“直接”影响范围。这意味着处理初始请求的服务器(H2控制台)是受到RCE影响的服务器。与Log4Shell相比,这没有那么严重,因为易受攻击的服务器应该更容易找到。
2、在H2数据库的普通发行版上,默认情况下H2控制台仅侦听本地主机连接,从而使默认设置安全。这与在Log4j的默认配置中可利用的Log4Shell不同。但是值得注意的是,H2控制台也可以轻松更改为监听远程连接。
3、许多供应商可能正在运行H2数据库,但没有运行H2控制台。尽管除了控制台之外还有其他向量可以利用此问题,但这些其他向量与上下文相关,不太可能暴露给远程攻击者。
H2漏洞允许H2数据库框架中的多个代码路径将未经过滤的攻击者控制的URL传递给javax.naming.Context.lookup函数。这允许远程代码库加载,也称为Java代码注入或远程代码执行。
文章表示,“具体来说,org.h2.util.JdbcUtils.getConnection方法将驱动程序类名称和数据库URL作为参数。如果驱动程序的类可分配给javax.naming.Context类,则该方法会实例化一个对象并调用查找方法。”
研究人员警告表示,此漏洞最严重的攻击向量是通过基于H2 Web的控制台。它嵌入在H2数据库中,在运行H2包JAR时默认在http://localhost:8082上可用。
文章表示,“对控制台的访问受到登录表单的保护,它允许将驱动程序和url字段传递给JdbcUtils.getConnection的相应字段。这会导致未经身份验证的RCE,因为在使用潜在恶意URL执行查找之前,未验证用户名和密码。”
运行暴露于LAN或WAN的H2控制台的管理员会受到远程代码执行攻击,建议立即将其H2数据库安装更新到版本2.0.206。研究人员还指出,很多开发者工具都依赖于H2数据库,专门暴露了H2控制台。
CVE-2021-42392漏洞影响H2数据库版本1.1.100至2.0.204,已在2.0.206版本中解决。
参考来源:SecurityAffairs http://33h.co/kerk6
(三)美国白宫因Log4j漏洞举办开源软件安全峰会
美国科技巨头和联邦机构1月13日在白宫召开会议,讨论开源软件安全问题,以应对令业界和网络领导者担忧的广泛存在的Log4j漏洞。与会者包括苹果、Facebook和谷歌等公司,以及构建Log4j的Apache,这是一个无处不在的网站开源日志框架。
一位高级政府官员表示,“在Log4j事件的基础上,本次会议的目的是促进重要的讨论,以提高开源软件的安全性,并集思广益,新的合作如何能够迅速推动改进。”
鉴于上个月发现的Log4Shell漏洞可能会影响多达数亿台设备,并且联邦官员、企业和安全研究人员竞相控制潜在的后果,因此召开此次会议。
这是拜登在白宫多次召开网络安全峰会中的最新一次。此次开源软件安全会议应国家安全顾问Jake Sullivan的邀请,由国家安全委员会副顾问Anne Neuberger主持。
高级官员表示,“开源软件加快了创新步伐,带来了巨大的社会和经济效益,但被广泛使用和维护的开源软件是一个关键国家安全问题,正如我们正在经历的log4j漏洞。这个问题并不新鲜,在这次会议上,我们一起讨论解决这个问题的现有努力、已经取得的成效、以及可以采取的其他措施,以确保我们所有人基本上都依赖的开源软件的安全。”
完整的技术参与者名单包括Akamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Facebook/Meta、GitHub、Google、IBM、Linux Open Source Foundation、Microsoft、Oracle、RedHat和VMware。
参加会议的联邦机构包括商务部、国防部、能源部和国土安全部、网络安全和基础设施安全局、国家标准与技术研究所、国家科学基金会、国家网络主任办公室和科技政策办公室。
参考来源:CyberScoop http://33h.co/kez99
(四)美国警告俄罗斯黑客针对关键基础设施的网络威胁
美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家安全局(CSA)1月11日联合发布警告称,警惕俄罗斯黑客针对关键基础设施的网络威胁。该警告是持续网络安全使命的一部分,旨在警告组织网络威胁,并帮助网络安全社区降低这些威胁带来的风险。该警告概述了俄罗斯国家支持的网络行动、常见的战术、技术和程序(TTP)、检测动作、事件响应指南、以及缓解措施,旨在帮助网络安全社区降低这些威胁带来的风险。
CISA、FBI和NSA鼓励网络安全社区,特别是关键基础设施网络防御者,采取更高的意识状态,并进行主动威胁搜寻。此外,CISA、FBI和NSA强烈敦促网络防御者遵循以下缓解措施,这些缓解措施将通过降低入侵或严重业务退化的风险,来帮助组织提高功能弹性。
1、做好准备。确认报告流程并最大限度地减少IT/OT安全覆盖范围内的人员差距。创建、维护和执行网络事件响应计划、恢复计划和运营连续性计划,以便在技术系统中断或需要离线时,保持关键功能和运营的运行。
2、增强组织的网络态势。遵循身份和访问管理、保护控制和架构以及漏洞和配置管理的最佳实践。
3、提高组织警惕性,随时报告相关威胁。
该警告总结了此前俄罗斯黑客组织利用的14个漏洞,以及一些攻击事件。威胁行为者利用常见但有效的策略来获得对目标网络的初始访问权限,包括鱼叉式网络钓鱼、暴力破解、以及利用已知漏洞攻击安全性较弱的账户和网络。
参考来源:CISA http://33h.co/keqt5
(五)印度APT组织Patchwork用RAT感染了自己
Malwarebytes Labs研究人员发现,与印度有关的APT组织Patchwork利用RAT感染了自己的一台计算机。Patchwork又名Dropping Elephant,使用了名为Ragnatela的BADNEWS后门的新变体。
该APT组织至少从2015年开始就一直活跃,之前的行动针对世界各地的军事和政治人士,对巴基斯坦的组织表现出特别的兴趣。2021年底,Malwarebytes研究人员观察到APT组织的攻击目标是是研究人员,重点是分子医学和生物科学的教职员工。
在最近的一次活动中,Patchwork组织使用武器化的RTF文件进行了鱼叉式网络钓鱼活动,以传播BADNEWS(Ragnatela)远程管理木马(RAT)的变种。恶意RTF文件冒充巴基斯坦当局,并利用Microsoft公式编辑器中的漏洞来传递和执行最终有效负载(RAT)。Malwarebytes研究人员表示,该有效负载作为OLE对象存储在RTF文档中。
Ragnatela RAT是在11月下旬开发的,用于网络间谍活动。Ragnatela RAT允许威胁参与者执行的恶意操作包括:通过cmd执行命令、截图、记录击键、收集受害者机器中所有文件的列表、在特定时间段收集受害者机器中正在运行的应用程序列表、攻击附加有效载荷、上传文件。
此次活动的受害者包括巴基斯坦国防部、伊斯兰阿巴德国防大学、生物科学学院、巴基斯坦拉合尔大学UVAS、国际化学与生物科学中心、HEJ化学研究所,卡拉奇SHU大学,Molecular医学。
Malwarebytes报告表示,“另一个无意的受害者是威胁行为者本人,似乎已经感染了自己的RAT开发机器。我们可以看到他们同时运行VirtualBox和VMware来进行Web开发和测试。他们的主机拥有双键盘布局,英语和印度语。多亏了攻击者自己的恶意软件捕获的数据,我们能够更好地了解谁坐在键盘后面。该组织利用虚拟机和VPN来开发、推送更新和检查受害者。与其他一些东亚APT组织一样,Patchwork不像俄罗斯和朝鲜APT组织那样复杂。”
参考来源:SecurityAffairs http://33h.co/kes4m
(六)英国国防部长警告俄罗斯潜艇威胁海底电缆
英国国防部长Sir Tony Radakin表示,俄罗斯潜艇威胁到了海底网络电缆网络。网络电缆是社会的关键基础设施,多项活动严重依赖全球海底电缆网络,包括金融交易和通信。
根据CSIS发布的一份报告,“仅在金融领域,海底电缆每天就承载着约10万亿美元的金融传输。随着对数据需求的增长,对海底电缆的依赖将继续增加。在向云服务转变和5G网络普及的推动下,在不久的将来,带宽需求几乎每两年翻一番。”
海底电缆允许使用光纤在国家和大陆之间高速传输数据,因此海底电缆的安全至关重要,情报机构正在提醒政府注意可能来自恶意国家的攻击。
海底电缆承载了超过95%的国际数据,被认为是最具成本效益和最可靠的连接,全球有源电缆的数量约为400多条,覆盖130万公里。
2020年10月,英国盟军国防部长收到一份机密报告,敦促解决跨大西洋海底电缆的安全问题。北约还强调了联盟保护这一关键基础设施的重要性,但许多专家认为,这些电缆的安全水平仍然无法有效保护它们。
CSIS报告表示,“事实上,近年来,随着北约对海底电缆重要性和脆弱性的认识,俄罗斯对跨大西洋海底电缆,特别是北大西洋海底电缆的关注也相应增加。莫斯科有两种主要方式可以直接威胁电缆,潜艇和可以部署自主或载人潜水器的水面舰艇。”
Radakin表示,任何破坏水下电缆的企图都可被视为战争行为。英国陆军司令担心克里姆林宫可能会利用其潜艇破坏水下电缆,并补充表示,在过去的20年中,俄罗斯潜艇和水下活动显着增加。“这意味着莫斯科可能会冒着风险,并可能利用世界上真正的信息系统,即遍布世界各地的海底电缆。这是世界上所有信息和交通主要传输的地方,俄罗斯已经增强了威胁这些海底电缆并可能利用这些海底电缆的能力。”
在此期间,英国情报部门和皇家海军一直在跟踪俄罗斯潜艇的活动,担心遭到袭击。英国国防部最近证实,一艘皇家海军护卫舰部署的拖曳阵列声纳在2020年北大西洋行动期间击中了一艘俄罗斯潜艇。英国电视台第五频道的摄制组拍摄了一部名为《战舰:海上生活》的纪录片,记录了此次碰撞。
伦敦国际战略研究所智囊团海军高级研究员Nick Childs表示,“这很可能是一次意外,因为拖曳阵列不容易被潜艇精确探测到,故意碰撞会给潜艇带来一些风险。然而有报道称,至少在冷战期间发生了一起事故,一艘英国核潜艇征服者号从一艘苏联舰艇上截获了一个拖曳阵列,但据报道该潜艇经过特殊改装并配备了相应装备。”
Tony还解释表示,与包括俄罗斯在内的其他国家一样,英国正致力于开发高超音速导弹,以实现远程能力。世界各地的安全专家多次警告表示,海底电缆窃听是出于间谍目的。威胁者可以通过在电缆制造过程中插入后门来实现这一目标,目标是陆上登陆站和将电缆连接到陆地网络的设施,或者在海上窃听电缆。专家们还担心网络攻击可能会侵入私人公司用来管理通过海底电缆的数据流量的网络管理系统。
参考来源:SecurityAffairs http://33h.co/kespz
(七)NetUSB内核模块存在漏洞影响数百万路由器
SentinelOne的网络安全研究人员在KCodes NetUSB组件中发现了一个严重漏洞CVE-2021-45608,该漏洞是一个缓冲区溢出漏洞,远程攻击者可利用该漏洞在内核中执行代码并进行恶意活动。该漏洞存在于不同供应商的数百万终端用户路由器中,包括Netgear、TP-Link、Tenda、EDiMAX、D-Link和西部数据。
NetUSB是KCodes开发的产品,允许网络中的远程设备与连接到路由器的USB设备进行交互。用户可以使用计算机上允许与网络设备通信的驱动程序,通过网络与打印机或插入路由器的硬盘进行交互。
根据SentinelOne发布的报告,攻击者可以通过端口20005向连接互联网的路由器发送精心设计的命令。“在通过各种二进制文件浏览各种路径时,遇到了一个名为NetUSB的内核模块。事实证明,该模块正在侦听IP 0.0.0.0上的TCP端口20005。如果没有防火墙规则来阻止它,那就意味着它正在侦听WAN和LAN。谁不喜欢远程内核错误?”
该漏洞是由SentinelOne研究人员Max Van Amerongen发现的,并表示这个问题不容易被利用。好消息是,SentinelOne没有发现任何针对CVE-2021-45388的积极利用尝试。
SentinelOne向KCodes报告了该问题,并于10月该公司发布了安全更新以解决此漏洞。报告表示,“此漏洞影响全球数百万台设备,在某些情况下可能完全可以远程访问。由于受此漏洞影响的供应商数量众多,我们直接将此漏洞报告给KCodes,以便分发给他们的被许可人,而不是仅针对TP-Link或Netgear设备。这可以确保所有供应商都能收到补丁,而不是只有一个。虽然我们不会为此发布任何漏洞利用,但尽管开发一个漏洞涉及相当大的复杂性,但未来仍有可能公开。我们建议所有用户遵循上述补救信息,以减少任何潜在风险。”
然而目前还不知道哪些供应商已经应用了该公司发布的安全更新,目前只有Netgear为其受影响的记性发布了安全更新。
2015年5月,来自SEC Consult漏洞实验室的安全专家Stefan Viehbock报告了一个严重漏洞CVE-2015-3036,该漏洞可能影响数百万使用KCodes NetUSB组件的路由器和物联网设备。攻击者可以利用NetUSB中的漏洞远程劫持设备或造成拒绝服务攻击。
参考来源:SecurityAffairs http://33h.co/keqcg
(八)伊朗黑客组织APT35利用Log4Shell漏洞传播PowerShell后门
Check Point研究人员发现,与伊朗有关的黑客组织APT35利用Log4Shell漏洞一个传播新的PowerShell后门。APT35又名Charming Kitten或Phosphorus。
研究人员详细介绍了基于模块化PowerShell的框架CharmPower的使用,该框架允许攻击者建立持久性、收集信息和执行命令。
APT35组织在漏洞公开披露仅四天后就开始尝试在公开系统中利用Log4j漏洞。该组织使用了一种公开可用的开源JNDI漏洞利用工具包来利用Log4Shell漏洞。攻击者使用的工具包随后从GitHub中删除,因为它被广泛滥用而收到警报。
为了利用该漏洞,攻击者向目标的公开资源发送精心制作的请求,然后从攻击者的服务器检索恶意Java类并在易受攻击的机器上执行。该类运行带有base64编码有效负载的PowerShell命令,该有效负载处理与C2的通信,并最终接收并执行其他有效负载。
主模块执行以下操作:
1、验证网络连接。执行后,脚本通过使用参数向google.com发出HTTP POST请求来等待活动的互联网连接。
2、基本系统枚举。该脚本收集Windows操作系统版本、计算机名称和路径中文件。
3、检索C&C域。恶意软件解码从硬编码URL检索到C&C域。
4、接收、解密、执行后续模块。一次数据收集完成后,恶意软件通过定期向接收到的域上的以下URL发送HTTP POST请求,来开始与C&C服务器的通信。
C&C服务器可以通过发送NoComm或使用要执行的模块的Base64字符串来响应。NoComm(No Command)会导致脚本继续发送POST请求。主要组件下载的模块要么是PowerShell脚本要么是C#代码。
每个模块都是由威胁参与者根据在侦察阶段收集并由主模块发送的数据自动生成的。每个模块都包含一个硬编码的机器名称和一个硬编码的C&C域。C2发送的附加模块包括应用、截屏、过程、系统信息、命令执行、清理。
Check Point研究人员发现了CharmPower与网络间谍组织使用的Android间谍软件之间的代码相似之处。
Check Point研究报告表示,“每次发布新的严重漏洞时,整个InfoSec社区都会屏住呼吸,直到最担心的事情成真。现实世界的利用场景,尤其是国家支持的参与者。正如我们在本文中所展示的,Log4j漏洞的等待时间只有几天。它的简单性和易受攻击的设备数量广泛相结合,使其成为对APT35等参与者非常有吸引力的漏洞。在这些攻击中,攻击者仍然使用与之前的许多攻击相同或相似的基础设施。然而从他们利用Log4j漏洞的能力和CharmPower后门的代码片段来看,攻击者能够迅速改变策略,并为攻击的每个阶段积极开发不同的实现。”
参考来源:Security http://33h.co/kefa5
(九)FBI警告称FIN7黑客组织利用BadUSB攻击国防企业
美国联邦调查局(FBI)在1月6日发布的警告中表示,出于经济动机的FIN7网络犯罪集团以美国国防工业为目标,使用包含恶意USB设备的软件包来部署勒索软件。
攻击者邮寄包含带有LilyGO标志的BadUSB或Bad Beetle USB设备的包裹,这些设备通常在互联网上出售。
自2021年8月起,攻击者使用美国邮政服务(USPS)和联合包裹服务(UPS)将恶意包裹邮寄给运输和保险行业的企业,并从2021年11月开始将恶意包裹邮寄给国防公司。
FIN7运营商冒充亚马逊和美国卫生与公众服务部(HHS),诱骗目标打开包裹并将USB驱动器连接到他们的系统。自8月以来,FBI收到的报告称,这些恶意包裹还包含有关新冠疫情指南或伪造礼品卡的信件,以及伪造的感谢信,具体取决于冒充的实体。
受害者将USB驱动器插入他们的计算机后,会自动注册为人机接口设备(HID)键盘,即使在可移动存储设备关闭的情况下也可以运行。然后它开始注入击键,以在受感染的系统上安装恶意软件有效负载。
FIN7在此类攻击中的最终目标是访问受害者的网络并使用各种工具,例如Metasploit、Cobalt Strike、Carbanak恶意软件、Griffon后门和PowerShell脚本,在受感染的网络中部署勒索软件,包括BlackMatter和REvil。
这些攻击是在两年前FBI警告的另一系列事件之后发生的,当时FIN7运营商冒充百思买,并通过USPS将带有恶意USB的类似包裹邮寄给酒店、餐馆和零售企业。
此类攻击者的报告于2020年2月开始浮出水面。一些目标还报告说,黑客通过电子邮件或电话向他们施压,要求他们将驱动器连接到他们的系统。至少从2020年5月开始,FIN7发送的恶意包还包括旨在诱骗目标降低警惕的泰迪熊等物品。
类似FIN7所尝试的攻击被名为HID或USB驱动攻击,只有当受害者愿意或被骗将未知USB设备插入其工作站时,攻击才能成功。公司可以通过允许其员工仅根据其硬件ID连接USB设备,或是否经过安全团队审查来防御此类攻击。
参考来源:BleepingComputer http://33h.co/ketjw
(十)FinalSite遭受勒索软件攻击导致数千学校网站关闭
学校网站服务提供商FinalSite遭受了勒索软件攻击,导致全球数千所学校的网站访问中断,使用FinalSite托管的学校网站无法访问或显示错误。目前受影响的大部分功能均已恢复。
Finalsite是一家软件即服务(SaaS)提供商,为K-12学区和大学提供数字营销和通信解决方案,为115个不同国家8,000多所学校和大学提供服务,并且每年推出300个新网站。
Finalsite于1月4日在其状态页面上告知客户,其一直在调查该中断事件,并在1月6日披露该事件是由勒索软件攻击其环境中的某些系统引起的。
勒索软件攻击似乎导致Finalsite托管的数千个学校网站下线。到1月6日,该公司已开始恢复受影响的网站,但指出有些网站可能仍会遇到性能和其他问题。
该公司表示,“我们可以完全访问我们的文件和数据。取证调查正在进行中,目前我们没有证据表明我们的数据或客户数据已被盗取。如果我们在调查过程中确定其他情况,我们将迅速采取行动通知并采取一切适当行动。”
目前还不知道哪个勒索软件组织对此事件负责。
网络犯罪分子使用勒索软件攻击学校并不少见。一年前FBI和CISA发布警告,因针对K-12学校的勒索软件攻击显著增加。建议教育机构采取措施保护其系统,但是如果学校完全依赖第三方服务提供商,并且该提供商的系统受到损害,例如该Finalsite事件,学校就无能为力。
参考来源:SecurityWeek http://33h.co/ke005
(十一)黑客组织MuddyWater与伊朗情报机构MOIS有关
美国网络司令部USCYBERCOM已正式将伊朗支持的MuddyWatter黑客组织与伊朗情报与安全部MOIS联系起来。
MOIS是伊朗政府的主要情报机构,负责协调该国的情报和反间谍活动,以及支持伊斯兰政权在伊朗境外实现目标的秘密行动。
美国网络司令部1月12日表示,“这些威胁行为者在工业界被称为MuddyWater,是从事伊朗情报活动的组织的一部分,并且已经看到使用各种技术来维持对受害者网络的访问。MuddyWater是伊朗的一个威胁组织,此前业界曾报道称其主要针对中东国家,也针对欧洲和北美国家。MuddyWater是伊朗情报与安全部MOIS的下属部门。”
该网络间谍组织又名SeedWorm或TEMP.Zagros,于2017年首次被发现,以主要针对中东实体并不断升级其武器库而闻名。
虽然该组织相对较新,但伊朗赞助的APT组织非常活跃,攻击目标是电信、政府IT服务和石油行业。MuddyWater将其攻击范围扩大到中亚和西南亚的政府和国防实体,以及来自北美、欧洲和亚洲的众多私人和公共组织。
USCYBERCOM的网络国家任务部队CNMF与FBI合作,还共享了伊朗黑客组织的运营商在间谍活动和恶意活动中使用的多个恶意软件样本。
样本包括PowGoop的多个变体,是一个DLL加载程序,旨在解密和运行基于PowerShell的恶意软件下载程序。部署在使用PowGoop加载程序和Mori后门设备上的JavaScript样本也在VirusTotal上共享。Mori后门具有DNS隧道通信功能并用于间谍活动。
美国军事司令部表示,“如果你看到这些工具的组合,伊朗MOIS组织MuddyWater可能在你的网络中。已经看到MuddyWater使用各种技术来维持对受害者网络的访问。其中包括侧载DLL,以诱使合法程序运行恶意软件,并混淆PowerShell脚本以隐藏命令和控制功能。”
参考来源:BleepingComputer http://33h.co/keqmj
(十二)美国化学品公司Element Solutions披露网络安全事件
美国特种化学品公司Element Solutions在1月5日披露,其发生了一次网络安全事件。该公司已检测到其部分IT系统遭到了网络入侵,在发现事件后该公司迅速采取行动遏制了入侵,并实施业务连续性和数据恢复协议。
该公司在声明中表示,作为事件响应的一部分,公司聘请了领先的网络安全专家并通知了相关执法部门。预计这一事件的影响将是有限的,并没有改变公司对2022年的EBITDA预期。对于2021财年,公司正在重新确认其先前宣布的指引,并预计调整后的EBITDA将达到或高于其指导范围。
Element Solutions发布的该违规行为简要描述表明,其可能涉及勒索软件。研究人员已经检查了所有主要勒索软件组织的泄密网站,但目前该公司似乎并未在其中任何一个网站上列出。
Element Solutions总部位于美国佛罗里达州,是一家领先的特种化学品公司,其业务制定了广泛的解决方案,以提高人们每天使用的产品的性能。该公司的解决方案用于电子电路、汽车系统、通信基础设施、工业表面处理、海上能源和消费包装等行业的制造过程。Element Solutions拥有大约4,400名员工,业务遍及50多个国家/地区。2020年该公司报告的净销售额为18.5亿美元。
参考来源:ElementSolutions http://33h.co/kesht
(十三)松下服务器遭受黑客入侵数月泄露求职者个人数据
日本科技巨头松下证实,其一台服务器发生了数据泄露事件,未经授权的攻击者访问了求职者的个人信息。
黑客从2021年6月22日开始非法访问了松下海外子公司的文件服务器,直到2021年11月3日才结束。
松下1月7日证实,黑客访问了求职者的敏感数据,此前仅提及在入侵期间访问的一些数据。攻击者访问的数据包括:一些与申请工作职位和实习的个人有关的个人信息;业务伙伴的详细信息,包括人员,然而这些信息主要是标准的业务联系方式;业务伙伴提供的业务相关信息和公司内部产生的信息。
松下表示,没有发现与个人客户相关或包含个人信息的文件托管在被黑客攻击的服务器上。
然而目前不知道有多少个人信息可能落入了网络犯罪分子的手中,只能假设该公司认为分享该特定细节不会有帮助,并且可能希望这是一个比实际更小的数字。
已向松下申请工作或实习的受影响的个人以及可能因安全事件而暴露业务相关信息的业务合作伙伴发出通知。
松下表示,在攻击发生后,已加强了安全性,“在检测到未经授权的访问后,公司立即向相关部门报告了该事件,并实施了安全对策,包括防止外部访问网络的措施。松下对由此事件造成的任何担忧或不便表示最诚挚的歉意。”
这不是松下第一次遭受黑客攻击。2020年11月,攻击者公布了他们从Panasonic India窃取的4GB数据,包括与供应商的未清账户余额、银行账户详细信息、电子表格和密码列表。到目前为止,没有迹象表明在最近一次攻击中被盗的任何数据已经在网上泄露。
参考来源:Bitdefender http://33h.co/ket66
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯