关键信息基础设施安全动态周报【2022年第6期】
发布时间:
2022-02-18
来源:
作者:
天地和兴
访问量:
574
目 录
第一章国外关键信息基础设施安全动态
(一)乌克兰国防部及主要银行遭受大规模DDoS攻击
(二)威胁行为者TA2541多年来一直针对航空和运输部门
(三)美国警告称俄罗斯黑客组织攻击美国国防承包商
(四)FBI警告BlackByte勒索软件入侵美国关键基础设施组织
(五)Moxa的工业网络管理软件Mxview中存在严重漏洞
(六)黑客组织ModifiedElephant多年来一直未被发现
(七)国际互联网协会泄露成员个人信息
(八)NFL超级碗旧金山49人队遭受BlackByte勒索软攻击
(九)Apache Cassandra数据库软件存在远程代码执行漏洞
(十)Vmware修复了五个高危漏洞
(十一)斯洛文尼亚电视台PoP TV遭受网络攻击
(十二)克罗地亚电话运营商A1 Hrvatska披露数据泄露事件
第一章 国外关键信息基础设施安全动态
(一)乌克兰国防部及主要银行遭受大规模DDoS攻击
乌克兰国防部、武装部队、以及Privatbank和Oschadbank两家国有银行自2月15日下午开始遭受了大规模DDoS攻击,导致网站中断,这由于俄罗斯可能入侵乌克兰的威胁导致紧张局势持续。不过没有迹象表明相对较低级别的DDoS攻击可能成为更严重和更具破坏性的网络恶作剧的烟雾弹。
至少有10个乌克兰网站因遭受攻击而无法访问,其中包括国防部、外交部和文化部、以及乌克兰最大的两家国有银行Privatbank和Oschadbank。在DDoS攻击中,网站上充斥着大量垃圾数据包,使其无法访问。
乌克兰网络防御高级官员Victor Zhora表示,“我们没有任何此次DDoS攻击隐藏的破坏性行为的任何信息。应急小组正在努力切断袭击者并恢复服务。”
乌克兰最大的国有银行Privatbank和国有储蓄银行Sberbank的客户表示在线支付和银行应用程序存在问题。
网络管理公司Kentik Inc.互联网分析主管Doug Madory表示,攻击者的目标之一是乌克兰军队和Privatbank的托管服务提供商。
乌克兰信息部战略通信和信息安全中心官员Zhora在声明中表示,“储户的资金没有受到威胁,此次袭击也没有影响乌克兰军队的通讯。现在说谁是这次袭击的幕后黑手还为时过早。”
该声明暗示了俄罗斯参与其中,“攻击者有可能采取了小小恶作剧的策略,因为他的侵略计划总体上没有奏效。我们需要分析来自IT提供商的日志。”网络攻击的快速归因通常很困难,因为攻击者经常试图隐藏踪迹。
私营部门专家兼ISSP网络安全公司创始人Oleh Derevianko表示,乌克兰人一直担心这种“嘈杂”的网络攻击可能掩盖了更险恶的事情。
随着俄罗斯14号发出信号表明它可能会从边境撤退,对俄罗斯入侵乌克兰的担忧有所缓解,但西方列强要求提供证据。然而,网络攻击是俄罗斯总统普京的典型特征,他喜欢试图让对手失去平衡。
曾在美国网络司令部工作的网络安全公司SightGain的首席执行官Christian Sorensen表示,“这些攻击正在增加关注和压力。现阶段的目的是增加谈判的影响力。”
自2014年俄罗斯吞并克里米亚半岛并支持乌克兰东部的分离主义分子以来,乌克兰一直受到俄罗斯在网络空间的侵略。1月14日,一场网络攻击破坏了乌克兰国家紧急服务局和汽车运输保险局的服务器,恶意“擦除器”伪装成勒索软件。损失微乎其微,一些网络安全专家认为,鉴于俄罗斯国家支持的黑客的能力,这是精心设计的。数十个被攻击的乌克兰政府网站同时发布的一条消息称,“害怕并期待最坏的情况。”
乌克兰国家安全和国防委员会二号官员Serhii Demediuk称,1月14日的袭击是“俄罗斯旨在破坏乌克兰局势稳定的全面行动的一部分,旨在破坏我们的欧洲大西洋一体化,并夺取权力。”
网络安全公司CrowdStrike随后在博客文章中表示,随着普京试图“降低”和“取消”对乌克兰机构的信任,此类攻击很可能会继续。
2015年和2016年冬天,俄罗斯GRU军事情报局对乌克兰电网的袭击导致暂时断电。俄罗斯的GRU也被指责为有史以来最具破坏性的网络攻击。在2017年,NotPetya病毒针对在乌克兰开展业务的公司,在全球造成超过100亿美元的损失。该病毒也伪装成勒索软件,是一种席卷整个网络的Wiper病毒。
参考来源:SecurityWeek http://33h.co/knscf
(二)威胁行为者TA2541多年来一直针对航空和运输部门
Proofpoint研究人员发现了一个持续活跃的网络犯罪威胁行为者,自2017年以来一直针对航空、航天、运输、制造和国防行业,使用可用于远程控制受感染机器的远程访问木马(RAT)。Proofpoint研究人员将该组织称之为TA2541。
TA2541是一个持续不断的网络犯罪分子,传播针对航空、航天、运输和国防等行业的各种远程访问木马(RAT)。自2017年以来,Proofpoint一直在跟踪这个威胁行为者,发现其一直使用了一致的策略、技术和程序(TTP)。受到攻击的实体应了解该威胁行为者的TTP,并使用提供的信息进行狩猎和检测。
TA2541使用与航空、交通和旅行相关的主题。当Proofpoint首次开始跟踪该攻击者时,该组织发送了包含宏的Microsoft Word附件,这些附件下载了RAT有效负载。该小组进行了转型,现在他们更频繁地发送带有云服务链接的消息,例如托管有效负载的Google Drive。Proofpoint评估TA2541是一个网络犯罪威胁行为者,因为它使用特定的商品恶意软件、具有大量消息的广泛目标、以及指挥和控制基础设施。
虽然至少自2019年以来,就存在详细描述类似威胁活动的公开报告,但这是Proofpoint首次共享了TA2541的全面详细信息。
与许多分发商业恶意软件的网络犯罪威胁行为者不同,TA2541通常不会在其社会工程诱饵中使用时事、热门话题或新闻项目。在几乎所有观察到的活动中,TA2541使用的诱饵主题包括与运输相关的术语,例如飞行、飞机、燃料、游艇、包机等。
自2017年1月以来,TA2541持续进行威胁活动。通常其恶意软件活动包括数百到数千条消息,但很少一次发送上万条信息。这些活动影响了全球数百个组织,其目标反复出现在北美、欧洲和中东,消息几乎总是用英语。
2020年春季,TA2541短暂转向采用与货物和航班细节的总体主题一致的新冠疫情相关诱饵主题。例如,他们分发与个人防护设备或新冠病毒测试套件的货物运输相关的诱饵。新冠病毒主题的采用很短暂,威胁行为者很快又回到了通用货物、航班、包机等主题的诱饵上。
自2019年以来,包括Cisco Talos、Morphisec、微软、Mandiant和独立研究人员在内的多位研究人员发布了类似活动的数据。Proofpoint可以确认这些报告中的活动与跟踪为TA2541的威胁参与者重叠。
虽然TA2541从2021年底开始一直使用Google Drive,偶尔使用OneDrive来托管恶意VBS文件,但Proofpoint观察到该组织开始使用DiscordApp URL链接到压缩文件,该文件导致AgentTesla或Imminent Monitor。Discord是威胁参与者使用的日益流行的内容交付网络(CDN)。
最近的活动中,Proofpoint观察到该组织在电子邮件中使用Google Drive URL,导致出现一个混淆的Visual Basic脚本(VBS)文件。如果执行,PowerShell从托管在各种平台(如Pastetext、Sharetext和GitHub)上的文本文件中提取可执行文件。威胁行为者在各种Windows进程中执行PowerShell,并查询Windows Management Instrumentation(WMI)以获取防病毒和防火墙软件等安全产品,并尝试禁用内置的安全保护。威胁参行为将在主机上下载RAT之前收集系统信息。
尽管TA2541通常使用URL作为交付的一部分,但Proofpoint也观察到该行为者利用电子邮件中的附件。例如,威胁行为者可能会将压缩的可执行文件(如RAR附件)发送到包含URL的嵌入式可执行文件到托管恶意软件有效负载的CDN。
TA2541在最近一次活动中使用了VBS文件,该活动利用了StrReverse函数和PowerShell的RemoteSigned功能。VBS文件的命名通常与整个电子邮件主题保持一致:战斗、飞机、燃料、游艇、包机等。
通常TA2541将使用Visual Basic脚本(VBS)文件与他们最喜欢的有效负载之一AsyncRAT建立持久性。这是通过在指向PowerShell脚本的启动目录中添加VBS文件来完成的。使用的VBS和PowerShell文件名大多是为了模仿Windows或系统功能而命名的。
TA2541还通过创建计划任务和在注册表中添加条目来建立持久性。例如在2021年11月,TA2541使用这两种方法分发了有效载荷即时监视器。在最近的活动中,vjw0rm和STRRAT还利用了任务创建和向注册表添加条目。
自2017年以来,Proofpoint观察到TA2541使用了十几种不同的恶意软件有效负载。威胁行为者使用可在犯罪论坛上购买或在开源存储库中获得的商品恶意软件。目前TA2541更喜欢AsyncRAT,但其他流行的RAT包括NetWire、WSH RAT和Parallax。
TA2541使用的所有恶意软件都可用于收集信息,并获得对受感染机器的远程控制。目前Proofpoint还不知道威胁行为者的最终目的是什么。
虽然AsyncRAT是当前首选的恶意软件,但自2017年以来,TA2541每年都在改变其恶意软件的使用方式。威胁行为者通常会在观察到的活动中仅使用一种或少数RAT,但在2020年,Proofpoint观察到TA2541分发了超过10种不同类型的恶意软件,都使用相同的初始感染链。
TA2541使用虚拟专用服务器作为其电子邮件发送基础设施的一部分,并经常将动态DNS用于C2基础设施。
C2基础架构和消息工件有多种模式。例如,历史活动在C2域名以及威胁参与者回复地址中包含术语kimjoy。另一个引人注目的TTP是在TA2541 C2域和包含关键字kimjoy、h0pe和grace的有效负载暂存URL中观察到的常见模式。TA2541还经常使用相同的域注册商,包括Netdorm和No-IP DDNS,以及托管服务提供商,包括xTom GmbH和Danilenko、Artyom。
通常,活动包含发送给数十个不同组织的数百到数千封电子邮件。尽管Proofpoint观察到TA2541针对数千个组织,但航空、航天、运输、制造和国防行业的多个实体经常成为其活动的目标。受害者似乎分布广泛,表明TA2541不针对具有特定角色和功能的人。
TA2541仍然是一个持续的、活跃的网络犯罪威胁,尤其是对其最常成为目标部门的实体。Proofpoint高度自信地评估认为,这个威胁行为者将继续使用在历史活动中观察到的相同TTP,而对其诱饵主题、交付和安装的变化最小。TA2541很可能会在未来的活动中继续使用AsyncRAT和vjw0rm,并且可能会使用其他商品恶意软件来支持其目标。
参考来源:Proofpoint http://33h.co/kntak
(三)美国警告称俄罗斯黑客组织攻击美国国防承包商
美国联邦调查局(FBI)、国家安全局(NSA)和网络安全与基础设施安全局(CISA)联合发布警告称,俄罗斯支持的黑客组织一直在攻击美国的国防承包商(CDC),以获取和窃取敏感信息,从而深入了解美国的国防和情报计划和能力。
CDC是获得国防部许可的私人实体,可以访问机密信息,以竞标合同或支持国防部项目,可以从各个领域获得与国防部和情报机构项目有关的信息,包括:
1、指挥、控制、通信和作战系统;
2、情报、监视、侦察和瞄准;
3、武器和导弹开发;
4、车辆和飞机设计;
5、软件开发、数据分析、计算机和物流。
自2020年1月以来,俄罗斯黑客组织已经入侵俄罗斯多个CDC网络,有的至少持续了六个月,定期窃取数百份文档、电子邮件和其他数据。入侵的实体包括支持美国陆军、美国空军、美国海军、美国太空部队以及国防部和情报项目的CDC。这些持续的入侵使行为者能够获取敏感的、非机密的信息,以及CDC专有和出口控制的技术。通过获取专有的内部文件和电子邮件通信,攻击可能能够调整自己的军事计划和优先事项,加快技术开发工作,将美国的意图告知外交决策者,并锁定潜在的招募来源。
从历史上看,俄罗斯国家支持的网络参与者使用常见但有效的策略来访问目标网络,包括鱼叉式网络钓鱼、凭据收集、暴力破解/密码喷射技术,以及针对安全性较弱的账户和网络的已知漏洞利用。这些参与者利用简单的密码、未打补丁的系统、和毫无戒心的员工来获得初始访问权限,然后再通过网络横向移动以建立持久性并泄露数据。
在许多尝试的入侵中,这些参与者采用了类似的策略来获得对企业和云网络的访问权限,并优先考虑广泛使用的Microsoft 365环境。在窃取电子邮件和数据时,攻击者通常通过使用合法凭据和各种恶意软件来保持持久性。
这些持续的入侵使行为者能够获取敏感的非机密信息,以及CDC专有和出口控制的技术。获得的信息提供了对美国武器平台开发和部署时间表、车辆规格以及通信基础设施和信息技术计划的重要信息。通过获取专有的内部文件和电子邮件通信,攻击者可能能够调整自己的军事计划和优先事项,加快技术开发工作,告知外交政策制定者美国的意图,并瞄准潜在的招募来源。鉴于在非机密CDC网络上广泛提供的信息的敏感性,FBI、NSA和CISA预计俄罗斯国家支持的网络参与者将继续针对美国的CDC在不久的将来获取国防信息。
参考来源:CISA http://33h.co/kn1sm
(四)FBI警告BlackByte勒索软件入侵美国关键基础设施组织
美国联邦调查局(FBI)和美国特勤局(USSS)联合发布警告称,BlackByte勒索软件组织在过去三个月中至少入侵了三个美国的关键基础设施领域组织。
该警告表示,“这项联合网络安全咨询由联邦调查局(FBI)和美国特勤局(USSS)开发,旨在提供有关BlackByte勒索软件的信息。截至2021年11月,BlackByte勒索软件已经危害了多家美国和外国企业,包括至少三个美国关键基础设施部门的实体,涉及政府设施、金融以及食品和农业。BlackByte是一个勒索软件即服务(RaaS)组织,加密受感染的Windows主机系统上的文件,包括物理和虚拟服务器。”
BlackByte勒索软件自2021年9月以来一直活跃,2021年10月,Trustwave的SpiderLabs研究人员发布了一个解密程序,可以让BlackByte勒索软件早期版本的受害者免费恢复文件。
政府专家报告称,该组织利用已知的Microsoft Exchange Server漏洞来访问某些受害者的网络。一旦获得对网络的访问权限,威胁行为者就会部署工具来执行横向移动并提升权限,然后再窃取和加密文件。
该警告包括BlackByte勒索软件操作的危害指标(IOC),可以让防御者检测到威胁。该警告包括在受感染的Microsoft Internet信息服务(IIS)服务器上发现的可疑ASPX文件的MD5哈希值,以及研究人员观察到的勒索软件操作员使用的命令列表。
该警告还提供了缓解措施:
1、对所有数据进行定期备份,以离线存储为气隙、密码保护的副本。确保无法从原始数据所在的任何系统访问这些副本以进行修改或删除;
2、实施网络分段,这样网络上的所有机器都不能从其他机器访问;
3、在所有主机上安装并定期更新杀毒软件,并启用实时检测;
4、更新/补丁发布后立即安装更新/补丁操作系统、软件和固件;
5、查看域控制器、服务器、工作站和活动目录中是否有新的或无法识别的用户账户;
6、审核具有管理权限的用户账户,并以最低权限配置访问控制。不要授予所有用户管理权限;
7、禁用未使用的远程访问/远程桌面协议(RDP)端口,并监控远程访问/RDP日志以发现任何异常活动;
8、考虑为从组织外部收到的电子邮件添加电子邮件banner;
9、在收到的电子邮件中禁用超链接;
10、登录账户或服务时使用双重身份验证;
11、对所有账户进行例行审计;
12、将所有已识别的IOC输入到网络SIEM中,以进行持续监控和警报。
参考来源:SecurityAffairs http://33h.co/kns0i
(五)Moxa的工业网络管理软件Mxview中存在严重漏洞
工业网络安全公司Claroty研究人员在Moxa的MXview工业网络管理软件中发现了五个漏洞,未经身份验证的攻击者成功利用这些漏洞可在未修补的MXview服务器上实现远程代码执行。这些漏洞的CVSS评分为满分10.0分,是严重漏洞。
MXview的3.x到3.2.2版本受影响,在3.2.4版本中进行了修复,建议用户升级到3.2.4或更高版本以修复这些漏洞。CISA对此发布了公告,警告该漏洞对组织的影响。
Moxa MXview是一个基于Web的网络管理系统,用于配置、监控和诊断工业网络中的网络设备。该产品使用户能够通过网络浏览器管理设备,包括从本地或远程站点。
Claroty漏洞研究员Noam Moshe表示,“威胁者可通过利用这几个漏洞来攻击未修补的Moxa服务器,从而实现远程代码执行。像MXview这样的网络管理系统不仅可以处理网络设备和连接的发现,管理员还可以使用它来集中管理网络上Moxa设备的配置和固件更新。具有这种访问权限的攻击者可以操纵这些配置来改变进程并影响设备完整性。”
CVE-2021-38452是一个文件读取漏洞,允许未经身份验证的攻击者读取目标操作系统上的任何文件,包括包含明文配置和密码的文件,包括MQTT代理的密码。
一旦攻击者可以访问MQTT代理,就可以利用CVE-2021-38454和CVE-2021-38458进行远程代码执行。CVE-2021-38454是不正确的访问控制问题,允许远程连接到内部通信通道。CVE-2021-38458是由于对特殊元素的不当中和,使攻击者能够远程执行未经授权的命令、禁用软件或读取和修改其他无法访问的数据。
访问控制漏洞CVE-2021-38454允许任何MQTT代理用户以可能的最高权限执行任意代码:NT AUTHORITY/SYSTEM。它存在于ping路由的验证机制中,该机制通过使用ICMP协议ping给定机器来检查它是否处于活动状态。
CVE-2021-38460允许密码泄露,允许攻击者通过未受保护的传输获取凭据。CVE-2021-38456使用了硬编码密码,允许攻击者使用默认密码访问账户。
参考来源:Claroty http://33h.co/knsth
(六)黑客组织ModifiedElephant多年来一直未被发现
SentinelLabs研究人员发现了一个名为ModifiedElephant的APT黑客组织。该组织自2012年开始运营,并多次针对特定人士。该组织攻击印度各地的人权活动家、人权捍卫者、学者和律师,进行有针对性的攻击,目的是植入有罪的数字证据。该组织通过使用商用远程访问木马(RAT)进行操作,并且与商业监控行业有潜在的联系。使用带有恶意文档的鱼叉式网络钓鱼来传递恶意软件,例如NetWire、DarkComet和简单键盘记录器,与基础设施重叠。
APT黑客组织ModifiedElephant多年以来一直使用了先进的复杂技术保密。然而十年来,他们一直在实施自己的技术并进行不同的攻击。该组织的威胁行为者使用的策略通常允许其在高度保密的情况下开展行动。所有这些都是SentinelLabs通过威胁行为者在攻击过程中的点点滴滴连接起来的。
ModifiedElephant威胁组织十多年来一直在进行多次攻击,包括:在2013年使用电子邮件附件以及虚假的双重扩展名传播恶意软件。2015年该组织的威胁行为者转移到了受密码保护的RAR附件,这些附件最初包含合法的诱饵文件。2019年,该组织的运营商开始托管恶意软件投放网站,不仅如此,还滥用云托管服务。在2020年,运营商使用了300 MB的RAR文件,目的是通过跳过扫描来逃避检测。
威胁组织ModifiedElephant的主要目标是非常长期的监视,针对的组织和个人包括:记者、人权捍卫者、活动家、和印度法律专业人士。
在进行适当调查后,研究人员没有发现任何可以表明运营商一直在使用任何后门的链接。因此威胁行为者在操作中都没有使用任何自定义后门。在活动中发现的恶意软件包括NetWire和DarkComet,这些特洛伊木马是公开可用的,并被多个威胁行为者使用。
虽然ModifiedElephant黑客组织已经被关注了很长时间,但研究人员正试图找到所有关键环节。到目前为止,ModifiedElephant已经与印度国家利益保持一致,不仅如此,ModifiedElephant攻击与在不同政治指控案件中逮捕个人之间存在关联。这种威胁攻击是非常隐蔽的,因此人们必须保持警惕,使这种威胁组织无法实施计划行动。
参考来源:GBHacker http://33h.co/knvut
(七)国际互联网协会泄露成员个人信息
Clario研究人员在一个开放且未受保护的Microsoft Azure blob存储库中发现了互联网协会(ISOC)成员的个人信息和登录详细信息。
互联网协会(ISOC)是与互联网相关的最古老和最重要的国际非营利组织之一,成立于1992年,其使命是通过增强和支持全球个人和组织的互联网使用,来确保开放的互联网发展。由于世界上有一半的人没有在线访问权限,因此该组织的举措旨在缩小这种鸿沟,并使人们更容易上网。据该机构称,其成员现已增长至八万多人。
Clario研究人员于2021年12月8日在一个开放且未受保护的Microsoft Azure blob存储库中发现了不安全的数据,该存储库包含数百万个文件。该团队随后与独立网络安全研究员Bob Diachenko合作报告了这一事件。
Blob中公开的数据包括ISOC成员的姓名以及住址、电子邮件地址、性别、登录详细信息和密码哈希。信息存储在json文件中。
研究人员在一份事件报告中指出,“开放且未受保护的Microsoft Azure blob存储库包含数百万个文件,其中包含属于ISOC成员的个人和登录详细信息,并可能危及他们的隐私。根据公开存储库的大小和性质,可以假设所有成员的登录信息和相关信息在一段未定义的时间内对公共互联网开放。”
研究人员在泄漏发现当天通过电子邮件向ISOC报告了这一事件。ISOC的回应是对泄露事件展开调查并保护数据。
在12月15日ISOC将安全漏洞归因于其管理系统提供商的配置错误。
ISOC表示,“我们已经确认,MemberNova错误地配置了我们使用的协会管理系统,这使得一些互联网协会成员数据可以公开访问。我们调查并未发现任何因此问题而恶意访问成员数据的情况。受此事件影响的个人在假期前收到了违规通知。”
Clario研究人员表示,违规行为可能会损害社会声誉,并使ISOC成员面临网络攻击的风险。“由于该组织在网络世界工作,并被视为标准和最佳实践的拥护者,如果这出来了,可能会特别尴尬。”
参考来源:InfoSecurityMagazine http://33h.co/kni77
(八)NFL超级碗旧金山49人队遭受BlackByte勒索软攻击
NFL旧金山49人队遭受了BlackByte勒索软件攻击,该组织声称从49人队窃取了大量数据,并加密了IT网络上的文件。
旧金山49人队在一份声明中证实了这次攻击,并表示该事件导致部分IT网络暂时中断。虽然旧金山49人队没有确认黑客是否成功部署了勒索软件,但表示,他们仍在恢复系统的过程中,这表明设备可能已被加密。
旧金山49人队表示,“旧金山49人队最近发现了一起网络安全事件,该事件导致公司IT网络上的某些系统暂时中断。得知该事件后,我们立即展开调查,并采取措施控制该事件。第三方网络安全公司参与协助,并通知了执法部门。虽然调查仍在进行中,但我们认为该事件仅限于我们的企业IT网络。迄今为止,我们没有迹象表明此事件涉及我们公司网络之外的系统,例如与李维斯体育场运营或持票人相关的系统。随着调查的继续,我们正在努力尽快、尽可能安全地恢复相关系统。”
为了进行勒索软件攻击,威胁行为者会破坏公司网络,并在窃取数据的同时悄悄地传播到其他设备。黑客最终部署了加密网络上所有设备的恶意软件,同时留下勒索票据,要求支付加密货币来换取解密程序。然后,勒索软件团伙利用被盗文件作为筹码,威胁称如果不支付赎金就会将其公开。
BlackByte组织声称对旧金山49人队的攻击负责,就在NFL为2022年超级碗做准备之际,开始泄露声称从旧金山49人队窃取的文件。
泄露的数据是一个292MB的文件存档,威胁者称这些文件是从旧金山49人队网络窃取的。BlackByte通常会越来越多地发布其受害者的数据,以进一步迫使受害者付费。虽然不知道在对旧金山49人队的攻击期间有多少数据被盗,但BlackByte已经从以前的受害者那里窃取了千兆字节的数据。
BlackByte勒索软件活动于2021年7月开始,目标针对全球范围内的企业受害者。与其他组织相比,该勒索软件团伙并不特别活跃,但他们已经进行了多次成功的攻击,这意味着企业不应忽视它们。
众所周知,勒索软件团伙利用漏洞来获得对公司网络的初始访问权限,这表明需要始终安装最新的软件更新。2021年10月,BlackByte操作犯了在多次攻击中重复使用相同的解密/加密密钥的重大错误。虽然BlackByte迅速修复了这个错误,但它允许网络安全公司Trustwave创建一个免费的解密器,允许一些受害者免费恢复他们的文件。
参考来源:BleepingComputer http://33h.co/kn3gy
(九)Apache Cassandra数据库软件存在远程代码执行漏洞
JFrog安全研究团队披露了Apache Cassandra数据库软件库中的一个高危远程代码执行漏洞。该漏洞编号为CVE-2021-44521,CVSS评分为8.4分。该安全漏洞很容易被利用,并且有可能对系统造成严重破坏,仅影响Cassandra的非默认配置。
Cassandra是一个高度可扩展的分布式NoSQL数据库,由于其分布式特性的优势而非常受欢迎。Cassandra被Netflix、Twitter、Urban Airship、Constant Contact、Reddit、Cisco、OpenX、Digg、CloudKick、Ooyala等企业使用。Cassandra在DevOps和云原生开发圈中也非常受欢迎,这从它对CNCF项目(例如Jaeger)的支持可以看出。一些公司甚至提供基于Cassandra的基于云的交钥匙解决方案,例如DataStax,一种无服务器、多云DBaaS。
只有在Cassandra中启用了为自定义数据处理创建用户定义函数(UDF)的功能时,安全漏洞才会存在,并且只有在攻击者有足够的权限来创建UDF时才能被利用。该配置是非默认的,并已被记录为不安全配置。
JFrog表示,Cassandra中的UDF可以用Java和JavaScript编写,后者使用Nashorn引擎,在接受不受信任的代码时不能保证安全,这意味着应该在沙箱中运行。
事实上,Cassandra确实实现了一个自定义沙箱来限制UDF代码,但当启用一系列非默认配置选项时,攻击者可以滥用Nashorn引擎,逃离沙箱并实现远程代码执行。
当Cassandra部署配置为允许UDF和脚本UDF,但不允许UDF线程时,很容易受到攻击。默认情况下,UDF线程处于启用状态,这意味着每个调用的UDF函数都在单独的线程中运行。启用UDF后,所有用户都可以创建和执行任意UDF,包括匿名登录的用户。
JFrog在研究过程中还发现了其他几个问题,包括拒绝服务攻击,和通过不安全对象反序列化的远程代码执行漏洞。CVE-2021-44521在Apache Cassandra的3.0.26、3.11.12和4.0.2版本的中得到解决,建议用户尽快升级到补丁版本。
Apache的修复程序添加了一个新标志,允许额外不安全的UDF,默认为false,不允许关闭安全管理器,并阻止对java.lang.System的访问。用户还可以通过禁用UDF、允许UDF线程(默认配置)、以及拒绝不受信任的用户的权限来减轻此漏洞的影响。
参考来源:Jfrog http://33h.co/knv48
(十)Vmware修复了五个高危漏洞
VMware发布了安全更新,修复了五个高危漏洞,涉及ESXi、Fusion和Workstation产品,攻击者利用这些漏洞可访问组织虚拟环境中的工作负载,并导致命令执行和DoS攻击。
这些漏洞的严重等级从5.3至8.4分不等。VMware表示,结合利用这些漏洞可能导致更糟糕的后果,导致更高的严重性,因此是高危漏洞。
VMware在2月15日发布的公告指出,修补VMware ESXi、Fusion和Workstation是解决问题的最快方法,但组织也可以从其虚拟机中移除USB控制器作为解决方法。然而这种方法可能无法大规模实现,并且不会像打补丁那样消除潜在威胁。这五个漏洞包括:
1、CVE-2021-22040:XHCI USB控制器中的释放后使用漏洞(CVSS 8.4);
2、CVE-2021-22041:UHCI USB控制器中的双取漏洞(CVSS 8.4);
3、CVE-2021-22042:ESXi settingsd未授权访问漏洞(CVSS 8.2);
4、CVE-2021-22043:ESXi settingsd TOCTOU漏洞(CVSS 8.2);
5、CVE-2021-22050:ESXi慢速HTTP POST拒绝服务漏洞(CVSS 5.3)。
在VMware ESXi、Fusion和Workstation的USB控制器中发现了高危漏洞CVE-2021-22040、CVE-2021-22041。如果被利用,在虚拟机上具有本地管理权限的恶意行为者将能够执行代码,作为在主机上运行的VM的虚拟机扩展(VMX)进程。VMX进程在VMkernel中运行,负责处理对性能不重要的设备的输入/输出(I/O)。
CVE-2021-22042和CVE-2021-22043也是高危漏洞,会影响settingsd命令,该命令负责设置和主机日志等。第一个涉及VMX未经授权访问settingsd授权票证。这意味着在VMX进程中具有特权的恶意行为者可以访问作为高特权用户运行的settingsd服务。
第二个是检查时间使用漏洞,可以与第一个链接在一起,以处理临时文件的方式存在,允许有权访问settingsd的攻击者通过写入任意文件来提升权限。
最后一个漏洞CVE-2021-22050是中危漏洞,仅影响ESXi平台,并且可能允许攻击者通过使用多个请求压倒rhttpproxy服务,在主机上创建拒绝服务(DoS)条件。成功利用该漏洞需要恶意行为者已经拥有对ESXi的网络访问权限。
这是今年影响这三款产品的第二个主要补丁版本。该公司表示,到目前为止,还没有发现针对这些漏洞的攻击,但如果过去是前奏,这种情况可能会迅速改变,因此管理员应该迅速修补。
参考来源:threatpost http://33h.co/kncg1
(十一)斯洛文尼亚电视台PoP TV遭受网络攻击
斯洛文尼亚最受欢迎的电视频道Pop TV发生了一起网络攻击事件,疑似是勒索软件攻击,扰乱了运营。
在声明中PoP TV表示,该事件发生在2月8日星期二,影响了Pop TV的计算机网络,并导致每日新闻节目24UR晚间版被取消,在网站上播放了新闻的删减版本。虽然新闻广播在第二天恢复,但攻击也影响了网络运营的其他部分。
在2月9日发布的第二份声明中Pop TV表示,这次攻击还袭击了一些网络服务器,包括VOYO,这是一个提供母公司频道的点播流媒体平台,以及授权电影和电视剧。这次攻击阻止了其员工向平台添加新内容,无法将任何频道和体育赛事直播进行流媒体传输,例如冬奥会,这激怒了许多付费用户。
斯洛文尼亚新闻媒体Zurnal24报道称,Pop TV被外国黑客勒索,似乎是一场勒索软件攻击。斯洛文尼亚的计算机应急响应小组SI-CERT也发表了一份声明,确认其正在与电视台合作应对这次袭击,但拒绝透露任何其他细节。
在过去的几年里,几家主要电视台都受到了网络攻击,包括法国M6(2019年10月)、The Weather Channel(2019年4月)、Cox传媒集团(2021年6月)、美国Sinclair广播集团(2021年10月)、葡萄牙的SIC(2021年1月)、和伊朗的IRIB(2021年2月)。
除IRIB事件外,其中大部分是勒索软件攻击,攻击电台的后端IT基础设施,导致在恢复系统前离线了数小时,这意味着Pop TV比以前的大多数案例更容易下线。
参考来源:TheRecord http://33h.co/kn380
(十二)克罗地亚电话运营商A1 Hrvatska披露数据泄露事件
克罗地亚电信运营商A1 Hrvatska披露了一起数据泄露事件,其10%的用户数据遭到泄露,涉及约20万客户。威胁行为者获得的数据包括姓名、地址、身份证号、及电话号码等敏感个人信息,财务数据没有泄露。A1 Hrvatska的服务和运营没有受到影响。
A1 Hrvatska表示“不幸的是,尽管采取了先进的保护措施,安全水平不断提高,但还是发生了数据库泄露事件,其中一个数据库泄露了A1部分用户的部分个人数据。目前正在开展大量工作,查明与安全事件相关的所有事实,到目前为止,计算机取证已确定,可能受到影响的数据不到A1用户的10%。泄露的数据包括姓名、地址、OIB和电话号码,银行卡和账户的信息没有泄露,因为在相关的数据库中不可用。所有个人数据可能被泄露的用户都将被直接通知。”
A1 Hrvatska非常重视这一令人尴尬的情况,并在出现疑似未经授权访问用户数据库的最初迹象后,立即阻止进一步未经授权的访问,并采取了额外的保护措施。A1Hrvatska遵守最高的安全标准和数据保护,将继续加大投资以改善安全环境。此次安全事件没有影响对客户提供的服务。
参考来源:A1 http://33h.co/kn394
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯