关键信息基础设施安全动态周报【2022年第9期】
发布时间:
2022-03-11
来源:
作者:
天地和兴
访问量:
200
目 录
第一章 国外关键信息基础设施安全动态
(一)欧洲卫星遭受网络攻击,导致德国风力涡轮机瘫痪
(二)乌克兰加入北约情报共享网络防御中心
(三)美国财政部警告俄罗斯可通过勒索软件收益逃避制裁
(四)俄罗斯多个政府机构网站遭受网络攻击
(五)FBI警告称Ragnar Locker勒索软件组织已攻击52个关键基础设施组织
(六)APC的UPS设备存在严重漏洞TLSstorm可导致远程攻击
(七)Linux内核存在本地提权高危漏洞Dirty Pipe
(八)Mozilla紧急修复Firefox中两个零日漏洞
(九)西门子修复了100多个漏洞
(十)罗马尼亚Rompetrol加油站遭受Hive勒索软件攻击
(十一)三星遭受Lapsus$勒索软件攻击泄露190GB源代码
(十二)CISA更新了Conti勒索软件组织使用的98个域
第一章 国外关键信息基础设施安全动态
(一)欧洲卫星遭受网络攻击,导致德国风力涡轮机瘫痪
据报道,德国风力涡轮机运营商Tobi Windenergie Verwaltungs GmbH的系统卫星连接出现故障,该公司的MD Dominik Bertrams在Twitter上表示,数千台风力涡轮机的远程监控失败。
该事件发生在2月24日凌晨5点到6点之间,正是俄乌特别军事行动开展的时刻,Bertrams怀疑是俄罗斯黑客发起了网络攻击,失败的原因尚未澄清。
然而,俄罗斯黑客似乎不太可能直接攻击德国风力涡轮机。德国风能协会的一位发言人评论表示,此次中断是由于Viasat公司的KA-Sat通信卫星故障造成的,据称美国的军事通信服务也通过Viasat卫星运行。这表明风力涡轮机控制系统故障可能是针对主要军事目标的网络攻击造成的附带损害。
卫星通信服务提供商Euroskypark也使用KA-Sat网络。在没有移动网络覆盖区域,风力涡轮机使用卫星支持的通信进行控制和远程监控。
Bertrams最初估计,大约3,000台风力涡轮机可能会受到该事件的影响。Handelsblatt文章称,风电场运营商Enercon报告称,其5,800台涡轮机使用Euroskypark的通信渠道,总输出功率为11吉瓦。
德国新能源行业机构Bundesverband Neue Energiewirtschaft表示,然而受此问题影响的涡轮机并不多,大多数系统可能会依赖其他通信渠道。该机构并不了解可能受到该事件影响的光伏系统。如果通信中断,太阳能和风力发电厂会自动切换到“自动驾驶”操作。
德国联邦信息安全办公室2月25日更新了对网络威胁形势的评估,并启动了国家IT危机应对中心。已建议联邦政府、关键基础设施运营商、组织和公司提高警惕,并做好应对准备。
据Orange称,其在法国的子公司Nordnet提供的卫星互联网服务的近9,000名订户在2月24日美国卫星运营商Viasat发生“网络事件”后没有互联网。
bigblu卫星互联网服务的母公司Eutelsat在3月4日也证实,在欧洲,德国、法国、匈牙利、希腊、意大利和波兰的bigblu的40,000名用户中,约有三分之一受到Viasat中断的影响。
在美国,Viasat表示,网络事件导致乌克兰和欧洲其他地方依赖其KA-SAT卫星的客户部分网络中断。Viasat没有提供进一步的细节,只是说警察和国家合作伙伴已收到通知,并正在协助调查。
法国太空司令部负责人Michel Friedling将军表示,发生了网络攻击。“在开始运营后不久的几天里,我们就有一个覆盖欧洲和乌克兰的卫星网络,这是网络攻击的受害者,数以万计的终端在攻击后立即无法运行,这就是民用网络Viasat。”
军事和网络专家担心,俄乌冲突可能导致网络攻击的爆发,这是一场网络世界末日,通过溢出效应对乌克兰和俄罗斯乃至全球的平民造成重大影响。但到目前为止,已经避免了最坏的情况,因为观察到的攻击似乎包含在其影响和地理范围内。
网络安全公司在乌克兰观察到部署了一种新的数据破坏病毒的攻击,其实际影响尚不清楚。在俄罗斯,机构网站无法从国外访问,以保护它们免受经常导致它们无法运行的DOS攻击。
参考来源:pvmagazine http://u6.gg/ksmb6
(二)乌克兰加入北约情报共享网络防御中心
虽然乌克兰尚未成为北约成员国,但该国已被接纳为北约合作网络防御卓越中心(CCDCOE)的贡献参与者。尽管这不会使乌克兰成为北约成员国,但它可能会加强合作,并使其能够获得北约成员国的网络专业知识,并分享自己的网络专业知识。
本周,北约合作网络防御卓越中心(CCDCOE)举行了第30次指导委员会。CCDCOE指导委员会的27个提案国一致投票同意乌克兰作为贡献参加国加入北约CCDCOE。
北约合作网络防御卓越中心主任Col Jaak Tarien强调,“乌克兰在该中心的存在将加强乌克兰与CCDCOE成员国之间的网络专业知识交流。乌克兰可以将网络领域内几个对手的宝贵第一手知识用于研究、演习和训练。”
爱沙尼亚国防部长Kalle Laanet表示,“能力和知识来自经验,乌克兰肯定从以前的网络攻击中获得了宝贵的经验,为北约CCDCOE提供了重要价值。爱沙尼亚作为CCDCOE的东道国,一直是乌克兰在提高其网络安全能力和网络弹性方面的长期合作伙伴,我们欢迎CCDCOE成员同意乌克兰成为成员的决定。”
在乌克兰致函确认其仍有兴趣作为贡献参与者加入北约CCDCOE后,其成员资格在CCDCOE指导委员会中进行投票。该中心已经扩大了其在北约国家之外的成员。
CCDCOE是北约认可的网络知识中心、研究机构、以及培训和演习设施,该国际军事组织专注于跨学科应用研究,以及网络安全领域的咨询、培训和演习,涵盖多个领域,包括技术、战略、运营和法律。
参考来源:CCDCOE http://u6.gg/ks2xp
(三)美国财政部警告俄罗斯可通过勒索软件收益逃避制裁
美国财政部的金融犯罪执法网络(FinCEN)3月7日发布警告称,金融机构要密切关注俄罗斯逃避制裁和限制的方式,包括利用勒索软件。金融机构应识别并快速报告与潜在制裁规避相关的可疑活动,并进行适当的基于风险的调查。
FinCEN的该警告表明,私营机构有责任根据《银行保密法》和其他法律检测“规避制裁活动”并报告。
发出警报之际,联邦立法者对使用加密货币逃避制裁表示担忧,拜登政府3月9日签署了一项关于数字资产的行政命令。
交易平台Coinbase是加密货币行业的一个大玩家,已经表示承诺支持美国和其他国家的制裁,这些国家希望惩罚俄罗斯对乌克兰开展特别军事行动。Coinbase表示,它已经封锁了25,000个与俄罗斯人民或实体有关的账户。
FinCEN的该文件列出了涉及FinCEN所谓的“可兑换虚拟货币”的交易的13个“危险信号”,本质上是比特币或以太坊等加密货币。其中三个危险信号直接适用于可能表示勒索软件收益洗钱的可疑活动:
1、试图通过在几种类型的数字硬币上发起多次快速交易来打破货币监管链,没有明显的相关目的,然后在平台外进行交易。
2、涉及混合服务的资金转移,本质上是一个第三方组织,以隐藏货币来源的方式将货币集中在一起。
3、将机构直接或间接暴露于已被区块链追踪软件识别为与勒索软件相关的交易的活动。
FinCEN表示,金融机构应“迅速报告与潜在逃避制裁相关的可疑活动,并进行适当的基于风险的客户尽职调查,或在需要时加强尽职调查。”
加密货币跟踪公司Chainalysis指出,该警报很重要,“因为俄罗斯网络犯罪分子在整个勒索软件活动中发挥着巨大的作用,一些俄罗斯勒索软件组织已经表达了他们在战争中帮助俄罗斯的意图。”今年早些时候,Chainalysis注意到莫斯科金融公司在加密货币交易中的重要作用。
Coinbase在概述其对制裁的反应时指出,加密货币“具有自然阻止逃避制裁的常见方法的属性”,因为“数字资产交易是可追溯的、永久的和公开的”。
交易平台Binance的创始人Changpeng Zhao表示,鉴于全球采用率相对较低,“加密货币对俄罗斯来说太小了”。
勒索软件仍然是具有已知俄罗斯联系的网络犯罪组织的一个有吸引力的目标。据报道,在最近其数据泄露只有,Conti勒索软件组织通过恶意软件和赎金要求攻击了新目标。
参考来源:CyberScoop http://u6.gg/ksui0
(四)俄罗斯多个政府机构网站遭受网络攻击
俄罗斯数字发展、通信和大众媒体部新闻服务处表示,俄罗斯国家机构网站监控系统的服务在3月8日晚遭受了黑客攻击,导致联邦机构网站运营中断。该系统由经济发展部维护,并整合到多个国家机构的网站中。随后该服务在一小时内恢复。
新闻服务处表示,“国家机构的网站受到网络安全团队的严密保护和全天候监控。直接破坏这些网站很难,因此黑客通过外部服务攻击资源,从而获得访问权限,以展示不正确的内容。”
新闻服务处补充表示,黑客入侵了一个应用程序,该应用程序从外部资源加载到国家机构的网站上。安装该小程序是为了收集访客统计信息。“黑客入侵小程序后,能够在网站页面上发布不正确的内容。该事件被迅速本地化。”
目前,国家机构的网站正在运行。数字发展部表示,包括用户请求和个人数据在内的内容保持完整,并受到可靠保护。
此前多家媒体报道称,黑客入侵了联邦监狱局、联邦法警局、联邦反垄断局、文化部、能源部、联邦国家统计局等多家机构的网站。
参考来源:Interfax http://u6.gg/ksyca
(五)FBI警告称Ragnar Locker勒索软件组织已攻击52个关键基础设施组织
美国联邦调查局(FBI)3月7日发布警报称,勒索软件组织RagnarLocker攻击了10个关键基础设施部门中至少52个实体,包括能源、金融服务、政府、信息技术和制造业的组织。该警报还提供了有关RagnarLocker勒索软件的更多详细信息,包括比特币地址、电子邮箱地址、IoC等信息。
RagnarLocker自2020年春季开始活跃,已参与多次网络攻击,包括2020年11月对Capcom的攻击。RagnarLocker勒索软件攻击者作为勒索软件家族的一部分工作,经常改变混淆技术,以避免检测和预防。
该恶意软件依赖于VMProtect、UPX和自定义打包算法,通常部署在自定义虚拟机内的受感染系统上。它还使用Windows API GetLocaleInfoW来识别系统的位置,并在计算机位于特定国家/地区时终止其进程。
在受感染的机器上,RagnarLocker检查当前感染情况,以防止数据的潜在损坏,识别连接的硬盘驱动器,遍历所有正在运行的进程,并终止与远程管理相关的进程,然后尝试删除所有卷影副本,以防止数据恢复。
接下来,勒索软件会加密所有感兴趣的数据,避免加密特定文件夹中的文件,然后留下一个.txt勒索字条,向受害者提供如何支付赎金的说明。
FBI还提供了一系列关于组织如何防范勒索软件的建议,并鼓励企业报告任何勒索软件攻击,因为这将有助于防御者防止未来发生事件。
此外,联邦调查局建议不要支付赎金,因为这可能会鼓励攻击者针对其他组织,鼓励其他犯罪分子参与分发勒索软件,或资助非法活动。
参考来源:SecurityWeek http://u6.gg/ksupt
(六)APC的UPS设备存在严重漏洞TLSstorm可导致远程攻击
Armis研究人员在APC Smart-UPS设备中发现了三个严重漏洞,统称为TLStorm,这些漏洞可让远程攻击者接管Smart-UPS设备,并对物理设备和IT资产进行极端攻击。不间断电源(UPS)设备为关键任务资产提供应急备用电源,应用于数据中心、工业设施、医院等场所。
APC是施耐德电气的子公司,是全球领先的UPS设备供应商之一,在全球售出超过2000万台设备。如果被利用,TLStorm漏洞允许完全远程接管Smart-UPS设备,并能够进行极端的网络物理攻击。根据Armis的数据,10家公司中有近8家面临TLSstorm漏洞。
Armis调查了APC Smart-UPS设备以及其与各自的远程管理和监控服务进行通信的方式。最新的APC Smart-UPS型号通过云连接进行控制。Armis研究人员发现,攻击者利用TLStorm漏洞可以通过互联网远程接管设备,而无需任何用户交互或攻击迹象。因此,攻击者可以对设备执行远程代码执行(RCE)攻击,进而可以用来改变UPS的操作,从而对设备本身或与其连接的其他资产造成物理损坏。
过去曾发生过针对电网及其内部设备的攻击,其中最著名的是2015年发生的乌克兰电网攻击,其中UPS设备以及许多其他类型的设备遭受远程黑客入侵,导致大规模停电。近期的俄乌冲突事件引发了美国官员的担忧,即美国电网将成为俄罗斯通过网络攻击的目标。TLSStorm漏洞的发现突显了企业环境中负责电源可靠性的设备的波动性,并强调需要采取行动并保护此类设备免受恶意攻击。
不间断电源(UPS)设备为关键任务资产提供紧急备用电源。在电力中断可能导致伤害、业务停机或数据丢失的情况下,UPS设备有助于确保服务器机房、医疗设施、OT/ICS环境、住宅等领域关键技术的高可用性。
研究人员发现的三个漏洞包括云连接Smart-UPS设备使用的TLS实施中的两个严重漏洞,以及第三个严重漏洞,即设计缺陷,其中所有Smart-UPS设备的固件升级都没有正确签名和验证。
其中两个漏洞涉及UPS和施耐德电气云之间的TLS连接。支持SmartConnect功能的设备会在启动时或云连接暂时丢失时自动建立TLS连接。
CVE-2022-22806是TLS身份验证绕过漏洞,TLS握手中的状态混淆导致身份验证绕过,导致使用网络固件升级进行远程代码执行(RCE)。CVE-2022-22805是TLS缓冲区溢出漏洞,数据包重组(RCE)中的内存损坏错误。这些漏洞可以通过未经身份验证的网络数据包触发,无需任何用户交互。
第三个漏洞是设计缺陷,受影响设备上的固件更新未以安全方式进行加密签名。这意味着攻击者可以制作恶意固件,并使用各种路径进行安装,包括互联网、LAN或USB拇指驱动器。这可以让攻击者在此类UPS设备上建立持久的持久性,这些设备可以用作网络中的据点,可以从中进行额外的攻击。CVE-2022-0715可通过网络更新的未签名固件升级(RCE)。
滥用固件升级机制中的缺陷正在成为APT的标准做法,正如最近在对Cyclops Blink恶意软件的分析中所详述的那样,嵌入式设备固件的不当签名是各种嵌入式系统中反复出现的漏洞。
Armis于2021年10月31日向施耐德电气披露了这些漏洞。此后Armis与施耐德电气合作,开发并测试了一个补丁,目前该补丁已普遍可用。
UPS设备调节高压电源,加上它们的互联网连接,使其成为高价值的网络物理目标。在电视剧中,威胁行为者使用APC UPS设备引发爆炸。然而,这不再是虚构的攻击。通过在实验室中利用这些漏洞,Armis研究人员能够远程点燃Smart-UPS设备,并使其冒烟。
由于TLS攻击向量可以源自互联网,因此这些漏洞可以充当企业内部网络的网关。威胁行为者可以使用TLS状态混淆将自己标识为施耐德电气云,并收集有关公司防火墙后面的UPS的信息。然后可以远程更新UPS固件,并将UPS用作勒索软件攻击或任何其他类型的恶意操作的入口点。
网络物理系统(CPS)是计算机化系统,可操作具有真实世界交互的设备,例如自动门、PLC、MRI机器和智能车辆。物联网和CPS设备的日益普及为不良行为者创造了大量新目标。
基于网络的攻击对现实世界造成破坏的破坏性影响不再是理论上的。2014年,一家德国钢铁厂遭到攻击,黑客侵入了该厂的网络,并篡改了高炉停机机制。这次袭击导致了巨大的爆炸,幸运的是没有造成任何人员伤亡。
TLSStorm是三个严重漏洞,其中一个几乎所有APC Smart-UPS设备的固件签名,另外两个与具有SmartConnect功能的Smart-UPS设备的TLS实施有关,该功能可自动将设备连接到施耐德电气管理云。
参考来源:Armis http://u6.gg/kshnt
(七)Linux内核存在本地提权高危漏洞Dirty Pipe
研究人员Max Kellermann披露了一个名为Dirty Pipe的Linux漏洞,允许本地用户通过公开可用的漏洞获取root权限。该漏洞影响Linux Kernel 5.8及更高版本,以及Android设备。该漏洞编号为CVE-2022-0847,允许非特权用户在只读文件中注入和覆盖数据,包括以root身份运行的SUID进程。
Kellermann在研究一个破坏其一位客户的Web服务器访问日志的漏洞后发现了这个漏洞。该漏洞类似于2016年修复的Dirty COW漏洞CVE-2016-5195。
作为Dirty Pipe披露的一部分,Kellerman发布了一个概念验证(PoC)漏洞,允许本地用户将自己的数据注入敏感的只读文件中,消除限制或修改配置,以提供比通常更大的访问权限。
安全研究人员Phith0n说明了他们如何利用该漏洞来修改/etc/passwd文件,从而使root用户没有密码。进行此更改后,非特权用户只需执行su root命令即可获得对root帐户的访问权限。
安全研究人员BLASTY也发布了最新的漏洞利用,通过修补/usr/bin/su命令将root shell放置到/tmp/sh中,然后执行脚本,更容易获得root权限。执行后,用户将获得root权限,如下图所示,在运行5.13.0-27-generic内核的Ubuntu 20.04.3 LTS中。
从2022年2月20日开始,该漏洞已负责任地向各种Linux维护人员披露,包括Linux内核安全团队和Android安全团队。虽然该漏洞已在Linux内核5.16.11、5.15.25和5.10.102中得到修复,但许多服务器继续运行过时的内核,这使得该漏洞的发布对服务器管理员来说是一个重大问题。
此外,由于使用这些漏洞很容易获得root权限,威胁行为者在进行攻击时开始使用该漏洞只是时间问题。恶意软件以前使用过类似的Dirty COW漏洞,尽管它更难利用。
对于提供Linux shell访问权限的网络托管服务提供商或通常提供对多用户Linux系统的shell访问权限的大学而言,此错误尤其令人担忧。
Linux经历了艰难的12个月,披露了许多备受瞩目的特权提升漏洞。其中包括Linux iSCSI子系统中的特权提升漏洞、另一个内核漏洞、扩展伯克利数据包过滤器(eBPF)和Polkit的pkexec组件。
参考来源:BleepingComputer http://u6.gg/ksmf1
(八)Mozilla紧急修复Firefox中两个零日漏洞
Mozilla在3月5日发布了Firefox紧急安全更新,以解决在野外攻击中积极利用的两个零日漏洞CVE-2022-26485和CVE-2022-26486。
这两个漏洞均为Use-after-free严重漏洞,分别位于XSLT参数处理和WebGPU IPC框架中,即程序尝试使用之前已清除的内存。成功利用这些漏洞可能会导致程序崩溃,同时允许在未经许可的情况下在设备上执行命令,包括下载恶意软件以提供对设备的进一步访问。
CVE-2022-26485是XSLT参数处理中的Use-after-free漏洞,在处理过程中删除XSLT参数可能导致可利用的释放后使用。CVE-2022-26486是WebGPU IPC框架中的Use-after-free漏洞,WebGPU IPC框架中的意外消息可能导致释放后使用和可利用的沙箱逃逸。
Mozilla已发布Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0和Focus 97.3.0来修复这两个漏洞。
这些漏洞正在野外被积极利用,因此强烈建议所有Firefox用户立即更新浏览器。Mozilla没有分享有关攻击的详细信息。
参考来源:Mozilla http://u6.gg/ksugw
(九)西门子修复了100多个漏洞
西门子在3月8日发布了15份安全公告,涉及影响其产品的100多个漏洞,其中包括90多个因使用第三方组件带来的安全漏洞。
其中三份公告为严重漏洞,八份公告为高危漏洞,涉及Mendix、COMOS、Simcenter、SIMOTICS、SINEC、RUGGEDCOM和SINUMERIK产品。
另外五份公告涉及影响第三方组件的漏洞,其中一个描述了影响Node.js、cURL、SQLite、CivetWeb和BIND等组件的71个安全漏洞对SINEC INS的影响。
另外一份公告涉及十几个影响COMOS的漏洞,特别是产品使用的Drawings SDK。由开放设计联盟提供的SDK受到漏洞的影响,这些漏洞可以触发信息泄露和使用特制文件执行代码。
另外涉及第三方组件的漏洞与RUGGEDCOM ROX和ROS设备有关,受影响的组件包括NSS和ISC DHCP。利用该漏洞可能导致代码执行、拒绝服务(DoS)或敏感信息泄露。
西门子针对其中许多漏洞发布了修复程序,但对于一些漏洞来说西门子仅提供了缓解措施。
施耐德电气也在补丁星期二发布了三项公告,包括针对APC Smart-UPS设备中的三个严重漏洞。这些漏洞统称为TLStorm,可用于远程入侵和损坏受影响的不间断电源(UPS)设备。
参考来源:SecurityWeek http://u6.gg/ksr2t
(十)罗马尼亚Rompetrol加油站遭受Hive勒索软件攻击
罗马尼亚加油站Rompetrol在3月7日披露,其遭受了复杂的网络攻击,导致其关闭了网站及加油站的Fill&Go服务。据悉此次攻击的幕后黑手是Hive勒索软件组织,赎金为200万美元。
Rompetrol是KMG International的子公司,是罗马尼亚最大炼油厂Petromidia Navodari的运营商,该炼油厂的年加工能力超过500万吨。KMG是最大的石油公司之一,在欧洲、中亚和北非的15个国家开展业务,主要业务涉及炼油、营销、贸易、生产和石油工业服务,如钻井、EPCM和运输。
KMG和Rompetrol的网站截至3月7日都无法访问,Fill&Go应用程序也无法使用,不过该公司的电子邮件系统Microsoft Outlook仍然可以正常工作。KMG已通知罗马尼亚国家网络安全局(DNSC),该局一直与该组织保持联系,以解决问题并提供必要的帮助。
Rompetrol表示,“为了保护数据,该公司暂时暂停了网站和Fill&Go服务的运营,包括车队及私人客户。Rompetrol加油站的活动正常进行,客户可以选择现金或银行卡付款。”
匿名消息表示,攻击者还访问了Petromdia炼油厂的内部IT网络。但是Rompetrol表示,Petromidia炼油厂的运营并未受到影响。
Rompetrol在发送给员工的电子邮件中表示,该攻击是在当地时间6日周日21:00检测到的,影响了大部分IT服务。
据悉,Hive勒索软件组织是攻击Rompetrol的幕后黑手,要求支付200万美元的赎金,以接收解密程序,并避免泄露被盗的数据。
Hive勒索软件组织比其泄密网站显示的更加活跃和激进,自2021年6月下旬行动曝光以来,其附属公司平均每天攻击三家公司。众所周知,该组织采用了多种TTP,这使得组织难以防御其攻击。Hive去年对Memorial Health System的攻击导致手术和诊断手术被取消,以及患者数据被盗。
在攻击发生前,KMG在周末宣布,Rompetrol Rafinare将在3月11日至4月3日期间暂停其运营,作为计划维护的一部分。“技术停工是炼油装置正常运转的必要条件,也是集团总体战略的一部分,通过该战略制定了精确的活动日历,每四年进行一次全面检修,每两年安排一次技术停工。”
参考来源:BleepingComputer http://u6.gg/ksusd
(十一)三星遭受Lapsus$勒索软件攻击泄露190GB源代码
三星3月7日披露了一起数据泄露事件,证实其遭受了网络入侵,威胁行为者可以访问公司的内部数据,并窃取了大量机密信息,包括Galaxy智能手机的源代码。此前Lapsus$勒索软件组织声称从三星电子窃取了大量敏感数据,并泄露了190GB数据作为证据。
Lapsus$在Telegram上宣布了数据样本的可用性,并共享而来一个Torrent文件进行下载,同时还分享了被盗数据中包含的源代码的截图。被盗数据涉及机密的三星源代码包括:
1、设备/硬件,安装在所有三星设备的TrustZone上的每个受信任小程序(TA)的源代码,以及每种类型的TEE操作系统(QSEE、TEEGris等)的特定代码,包括DRM模块和KEYMASTER/GATEKEEPER。
2、所有生物特征解锁操作的算法,包括直接与传感器通信的源代码,低至到最低级别,单个RX/TX比特流。
3、所有最新三星设备的引导加载程序源代码,包括Knox数据和身份验证代码。
4、高通公司提供的各种其他数据和机密源代码。
三星公司证实,攻击导致公司数据泄露,“存在与某些内部公司数据有关的安全漏洞,根据我们的初步分析,此次泄露涉及一些与Galaxy设备操作相关的源代码,但不包括我们消费者或员工的个人信息。目前,我们预计不会对我们的业务或客户产生任何影响。我们已采取措施防止此类事件进一步发生,并将继续为我们的客户提供无中断的服务。”
目前无法确定LAPSUS$组织向三星提出的赎金要求,此前该组织曾勒索芯片制造商英伟达。
参考来源:SecurityAffairs http://u6.gg/ksev7
(十二)CISA更新了Conti勒索软件组织使用的98个域
美国CISA在3月9日更新了关于Conti勒索软件的警报,添加了98个该组织使用的域名。这些域名的注册和命名特征与Conti勒索软件运营中使用的相似,这些新增的域名不包括在此前乌克兰研究人员的泄露中。
该警报声称,Conti网络威胁行为者仍然活跃,据报道,针对美国和国际组织的Conti勒索软件攻击已上升到1,000多起,值得注意的攻击媒介包括Trickbot和Cobalt Strike。
这些域的注册和命名特征类似于传播Conti勒索软件的组织使用的域,其中许多域已被用于恶意操作。但是有些可能会被放弃,或可能巧合地具有相似的特征。
美国CISA、FBI、和CISA此前在去年9月首次发布了该警报,声称针对美国组织的Conti勒索软件攻击数量增加,建议应用相关缓解措施。
最近,Conti宣布支持俄罗斯,因此该组织内部一名乌克兰研究人员通过推特账号ContiLeak泄露了60,694条该组织的内部聊天信息,包括XMPP聊天服务器数据库。随后该账号泄露了Conti勒索软件加密程序、解密程序和构建器的源代码,以及管理面板和BazarBackdoor API。泄露的数据包括有关该组织使用的攻击基础设施的信息,包括基于BazarBackdoor的攻击中使用的域。
参考来源:CISA http://u6.gg/ksyp0
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
