关键信息基础设施安全动态周报【2022年第15期】
发布时间:
2022-04-22
来源:
作者:
访问量:
126
目 录
第一章国外关键信息基础设施安全动态
(一)俄罗斯黑客组织Gamaredon使用Pteredo后门持续攻击乌克兰
(二)勒索软件组织Karakurt与Conti及Diavol有关
(三)威胁行为者使用IcedID恶意软件攻击乌克兰政府机构
(四)美国警告朝鲜黑客组织Lazarus Group使用加密货币木马
(五)美国及其盟友警告俄罗斯黑客针对关键基础设施的威胁
(六)高通及联发科芯片漏洞导致大量安卓设备受到威胁
(七)2022年Pwn2Own竞赛ICS漏洞奖金高达40万美元
(八)美国警告农业部门遭受勒索软件攻击风险增加
(九)北约开展Locked Shields网络防御演习
(十)新暗网市场Industrial Spy出售被盗数据
(十一)联想100多款笔记本电脑存在三个UEFI漏洞
(十二)Sunwing航空公司遭受网络攻击导致航班大规模延误
第一章 国外关键信息基础设施安全动态
(一)俄罗斯黑客组织Gamaredon使用Pteredo后门持续攻击乌克兰
赛门铁克研究人员4月20日发布研究文章称,与俄罗斯有关的威胁组织Gamaredon正在使用定制后门Pteredo变体对乌克兰目标发起激烈攻击。
Gamaredon又名Shuckworm或Armageddon,自2014年首次出现以来,一直在针对乌克兰政府和其他关键设施的开展网络间谍活动。
俄乌冲突以来,这些攻击一直有增无减。虽然该组织的工具和策略很简单,有时甚至很粗糙,但其攻击的频率和持续性意味着它仍然是乌克兰组织面临的主要网络威胁之一。
该组织近期活动的特点之一是在目标计算机上部署了多个恶意软件有效负载。这些有效载荷通常是同一恶意软件Pterodo后门的不同变体,旨在执行类似任务。每个都将与不同的命令和控制(C&C)服务器进行通信。
使用多个变体的最可能原因是,它可以提供一种在受感染计算机上维持持久性的基本方法。如果一个有效载荷或C&C服务器被检测到并被阻止,攻击者可以依靠其他负载并推出更多新变体来进行补偿。
赛门铁克威胁情报部门在最近的攻击中发现了四种不同的Pterodo变体。它们都是具有类似功能的VBS释放器,会部署一个VBScript文件,使用计划任务shtasks.exe来保持持久性,并从C&C服务器下载附加代码。所有嵌入的VBScript都非常相似,并且使用了类似的混淆技术。
在所有四个变体中,威胁行为者使用模糊的VBS投放器,添加计划任务,然后从C2获取其他模块。Pteredo.B是修改后的自解压7-Zip存档,包含多个专注于数据收集和持久性建立的VBScript。Pteredo.C是VBScript-ridden变体,通过API锤击过程启动,以确保它不在分析师的沙箱中运行,依赖于从外部源获取PowerShell脚本并执行它们。Pteredo.D是另一个混淆的VBScript释放器,在获取有效负载、执行命令和擦除早期感染阶段的痕迹之前刷新DNS。Pteredo.E是另一个混合了前三个功能的变体,例如重度混淆和API锤击。
虽然攻击者在最近几周大量使用了Pterodo,但也部署了其他工具。其中包括UltraVNC,是一个开源远程管理/远程桌面软件实用程序。UltraVNC之前曾被Shuckworm用于多次攻击。
除此之外,还使用Process Explorer观察到Shuckworm,这是一种微软系统内部工具,旨在提供有关哪些DLL进程已打开或加载的信息。
虽然Shuckworm不是战术上最复杂的间谍组织,但它通过专注和坚持不懈地针对乌克兰组织来弥补这一点。攻击者似乎正在不断地重新开发Pterodo,以保持在检测前不被发现。
虽然Shuckworm似乎主要集中在情报收集上,但它的攻击也可能是更严重入侵的先兆,如果它获得的对乌克兰组织的访问权被移交给其他俄罗斯支持的行为者。
参考来源:Symantec http://985.so/9qth
(二)勒索软件组织Karakurt与Conti及Diavol有关
Arctic Wolf公司的Tetra Defense研究人员发现,Karakurt网络犯罪组织与Conti和Diavol两个知名勒索软件组织之间存在财务和技术联系,这表明业务运营策略发生了转变,威胁行为者瞄准受害者的机会也在扩大。Karakurt是去年夏天首次发现的出于经济动机的威胁行为者。
研究人员使用基于取证的威胁情报和区块链分析发现,Conti和Diavol这两个认为独立运作的勒索软件组织现在已成为不断发展的Karakurt网络的一部分。Karakurt和Conti之间的关系似乎特别牢固,Karakurt利用了Conti的资源。
研究人员表示,“Karakurt是否是Conti和Diavol特工精心策划的一场混战,或者是整个组织认可的企业,还有待观察。我们可以说的是,这种联系或许可以解释为什么Karakurt能够幸存并蓬勃发展,它的一些只会泄露的竞争对手已经逐渐消亡。”
出于多种原因,这些发现意义重大。这些链接显示Karakurt包含勒索软件,而去年首次发现时似乎并非如此。
Karakurt的名字来源于一种常见于东欧和西伯利亚的毒蜘蛛。该组织最初表现出对数据泄露和后续勒索的唯一兴趣,而不是勒索软件,这使得它能够迅速行动。事实上,Karakurt在运营的最初几个月里,已经有40名受害者,其中95%在北美,其余在欧洲。
通过与勒索软件组织的联系,Karakurt显然正在扩大其视野。然而此举似乎也使Conti受益,这也代表了该组织策略的转变。
Conti此前曾对受害者做出标准承诺,即如果他们向该组织支付赎金,他们将不会成为未来攻击的目标。然而,Tetra Defense最初在一位客户那里发现了Karakurt和Conti之间的联系,该客户声称在已经成为Conti的受害者并支付了赎金要求后,又遭到了另一次勒索企图攻击。
第二次尝试来自一个未知团体,窃取了数据,但没有使用Karakurt的作案手法进行加密。Karakurt似乎没有删除窃取的数据,这似乎也违背了Conti对受害者的承诺。
巧合的是,那次特定的客户事件发生在Conti的艰难时期。孔蒂正与心怀不满、想要获得更多报酬的附属公司作斗争,其中一个人泄露了Conti的剧本和培训材料。研究人员推测,对于两个网络犯罪组织来说,建立联系将是一个互惠互利的场景,并发现了这种联系的财务、技术和其他证据。
在技术方面,研究人员通过创建一个Karakurt入侵数据集,来观察Karakurt和Conti之间的相似之处,已经观察到了十几个。
研究人员表示,“虽然Karakurt攻击可能因工具而异,但在一些Karakurt入侵和早期怀疑与Conti相关的重新勒索之间开始出现一些显著的重叠。”
其中包括使用Fortinet SSL VPN作为入侵的初始点、使用相同的工具进行渗透、在受害者的环境中创建并留下一个名为file-tree.txt的泄露数据的文件列表、以及在远程访问受害者网络时重复使用相同的攻击者主机名。
Tetra研究人员还与Chainalysis及其区块链分析团队合作,分析Conti和Karakurt进行的加密货币交易,揭示了两者之间的财务联系。
研究人员表示,“区块链分析提供了Karakurt与Conti勒索软件联系的一些最早迹象,因为相关交易早于发现Karakurt和Conti的软件和攻击策略的相似性。”
具体而言,Chainalysis确定了属于Karakurt的数十个加密货币地址,分散在多个钱包中,受害者支付的加密货币价值从45,000美元到100万美元不等。
研究人员很快观察到Karakurt钱包向Conti钱包发送了大量加密货币,例如Karakurt的勒索钱包将11.36比特币转移到了Conti钱包中。
Chainalysis还发现了Conti和Karakurt受害者支付地址之间的共享钱包托管。研究人员表示,“几乎毫无疑问,Conti和Karakurt是由同一个人或组织部署的。”
Tetra研究人员还观察到Karakurt和Diavol勒索软件集团之间共享工具和基础设施的使用,这也与危险且广泛使用的木马TrickBot相关联。
具体而言,今年2月至3月期间Jabber聊天的泄露证实,Karakurt和Diavol运营商在同一时期共享攻击者基础设施。
此外,Chainalysis还证实了Diavol与Karakurt和Conti的联系,表明Diavol和Karakurt勒索地址由Conti钱包托管。
研究人员表示,“同样,这种共同的地址所有权几乎完全肯定地证实了Diavol是由Conti和Karakurt背后的同一行为者部署的。”
参考来源:ThreatPost http://985.so/9uin
(三)威胁行为者使用IcedID恶意软件攻击乌克兰政府机构
乌克兰CERT发现,威胁行为者利用IcedID恶意软件针对乌克兰政府机构系统发起网络钓鱼攻击。
IcedID银行木马于2017年首次出现在威胁领域,其功能类似于Gozi、Zeus和Dridex等其他金融威胁。IBM X-Force的专家首先对其进行了分析,并注意到该威胁并没有从其他银行恶意软件中借用代码,但实现了类似的功能,包括发起浏览器中间人攻击,以及拦截和窃取受害者的财务信息。
乌克兰CERT发现的网络钓鱼邮件使用了一个名为Mobilization Register.xls的Excel文档。打开文档并启用嵌入的宏后,它将下载并运行可执行文件,解密并运行GzipLoader,充当IcedID恶意软件的广告加载程序。
乌克兰CERT将网络钓鱼攻击与UAC-0041威胁行为者相关联。攻击者正试图传播IcedID恶意软件,以访问政府网络并收集情报。该恶意软件还可用于加载额外的恶意负载,以进一步危害目标组织。
乌克兰CERT分析显示,“下载的EXE文件将解密并在计算机上运行GzipLoader恶意软件,而GzipLoader又将下载、解密并运行IcedID恶意软件。这种恶意软件也称为BankBot,属于银行木马类,除其他外,还提供身份验证数据的盗窃。”
乌克兰CERT还发布了一份单独公告,警告攻击者以政府组织为目标,利用Zimbra协作套件CVE-2018-6882中的XSS漏洞。
乌克兰CERT发现了由民族国家行为者发起的网络间谍活动,攻击者使用主题为“Volodymyr Zelenskyy颁发金星勋章,为乌克兰武装部队和乌克兰阵亡英雄家属服务”的网络钓鱼消息。
参考来源:SecurityAffairs http://985.so/9ygk
(四)美国警告朝鲜黑客组织Lazarus Group使用加密货币木马
美国FBI、CISA和财政部4月18日联合发布警告称,朝鲜黑客组织Lazarus Group正在针对加密货币和区块链行业的组织使用木马加密货币应用程序。攻击者利用社会工程学诱骗加密货币公司的员工下载和运行恶意Windows和macOS加密货币应用程序。然后Lazarus使用这些木马化工具来访问目标的计算机,在其网络中传播恶意软件,并窃取私钥,允许发起欺诈性区块链交易,并从受害者钱包中窃取加密资产。
Lazarus Group又名APT38、BlueNoroff和Stardust Chollima,是朝鲜国家支持的APT组织,至少自2020年以来开展与加密货币盗窃相关的网络威胁。
朝鲜网络攻击者针对区块链技术和加密货币行业的各种组织,包括加密货币交易所、去中心化金融(DeFi)协议、玩游戏赚加密货币视频游戏、加密货币贸易公司、投资加密货币的风险投资基金、以及大量加密货币或有价值的不可替代代币(NFT)的个人持有者。
Lazarus Group的活动涉及使用各种通信平台对受害者进行社会工程,以鼓励个人在Windows或macOS操作系统上下载木马化的加密货币应用程序。然后,网络攻击者使用这些应用程序访问受害者的计算机,在受害者的网络环境中传播恶意软件,窃取私钥或利用其他安全漏洞。这些活动支持发起欺诈性区块链交易的其他后续活动。
美国政府已确定了一个朝鲜国家支持的恶意网络攻击者,使用的策略与之前确定的Lazarus Group类似。Lazarus Group通过传播加密货币交易应用程序,使用AppleJeus进行木马化加密货币应用程序,目标是个人和公司,包括加密货币交易所和金融服务公司。这些应用程序经过修改,包含有助于盗窃加密货币的恶意软件。截至2022年4月,朝鲜Lazarus Group行为者使用鱼叉式网络钓鱼活动和恶意软件来窃取加密货币,攻击区块链和加密货币行业的各种公司、实体和交易所。这些行为者可能会继续利用加密货币技术公司、游戏公司和交易所的漏洞来筹集和洗钱,以支持朝鲜政权。
入侵始于在各种通信平台上发送给加密货币公司员工的大量鱼叉式网络钓鱼消息,这些员工通常从事系统管理或软件开发/IT运营(DevOps)。这些消息通常模仿招聘活动,并提供高薪工作,以诱使收件人下载带有恶意软件的加密货币应用程序,美国政府将其命名为TraderTraitor。
TraderTraitor是一系列使用跨平台JavaScript代码和使用Electron框架的Node.js运行时环境编写的恶意应用程序。恶意应用程序源自各种开源项目,声称是加密货币交易或价格预测工具。
提供软件核心功能的JavaScript代码与Webpack捆绑在一起。代码中有一个声称是update的函数,其名称为UpdateCheckSync(),用于下载并执行恶意负载。
美国财政部4月14日发布通知称,宣布对朝鲜APT组织Lazarus Group进行制裁,禁止美国机构与该组织进行任何交易。美国政府认为此前6亿美元的Ronin Validator加密货币抢劫案就是由该组织实施的。
赛门铁克4月14日发表博客文章称,Lazarus Group正在针对化工行业组织持续进行间谍活动,包括利用虚假工作机会作为诱饵及社会工程。
参考来源:CISA http://985.so/9u3f
(五)美国及其盟友警告俄罗斯黑客针对关键基础设施的威胁
美国及其盟友4月20日联合发布警告称,俄罗斯国家支持的网络犯罪分子针对乌克兰关键基础设施的威胁风险增加,并为组织提供了缓解建议指南。
美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、国家安全局(NSA)、澳大利亚网络安全中心(ACSC)、加拿大网络安全中心(CCCS)、新西兰国家网络安全中心(NZ NCSC)、英国国家网络安全中心(NCSC-UK)、英国国家犯罪局(NCA),在联合网络防御协作组织的行业成员的贡献下,联合发布了关于俄罗斯国家支持的对关键基础设施的犯罪网络威胁的联合网络安全咨询,这些威胁可能会影响乌克兰境内外的组织。
这是自今年2月俄乌冲突以来,政府网络专家发布的关于俄罗斯针对关键基础设施构成网络威胁的最全面看法。
该公告提供了俄罗斯联邦安全局(FSB)、俄罗斯外国情报局(SVR)、俄罗斯总参谋部主要情报局(GRU)和俄罗斯国防部中央化学与机械科学研究所(TsNIIKhM)行为者恶意网络操作的技术细节。它还包括与俄罗斯结盟的网络威胁组织和网络犯罪组织的详细信息。其中一些网络犯罪组织最近公开承诺支持俄罗斯政府,并威胁要开展网络行动,以报复针对俄罗斯或向乌克兰提供物资支持的国家或组织的网络攻击。
该公告建议所有组织立即采取几项措施来保护其网络,其中包括:优先修补已知被利用的漏洞、实施多因素身份验证、监控远程桌面协议(RDP)、提供最终用户意识和培训。
CISA主任Jen Easterly表示,“我们知道,恶意网络活动是俄罗斯行动手册的一部分。我们还知道,俄罗斯政府正在探索针对美国关键基础设施的潜在网络攻击的选项。今天由CISA和我们的跨机构和国际合作伙伴联合发布的网络安全咨询加强了俄罗斯国家支持和俄罗斯结盟的网络犯罪组织对我们国土的威胁和能力。我们敦促所有组织查看本公告中的指南,并关注如何保护企业业务的持续更新信息。”
FBI网络部门助理主任Bryan Vorndran表示,“FBI专注于揭露和破坏俄罗斯针对我们盟友和我们自己网络的恶意网络活动。我们正在与联邦和国际合作伙伴合作,以快速共享信息,帮助私营企业和公众更好地保护系统免受这些威胁。我们将继续通过我们独特的权威调查这些恶意威胁行为者,并追究他们的责任。合作伙伴和公众可以向我们报告任何可疑活动。”
NSA网络安全总监Rob Joyce表示,“对关键基础设施的威胁仍然非常真实。俄罗斯的局势意味着企业必须投资并采取行动。”
澳大利亚网络安全中心负责人Abigail Bradshaw表示,“最近的情报和破坏性网络攻击的历史实例表明,现在是组织改善其网络安全态势的时候了。特别是,关键基础设施组织应该立即采取行动,来加强防御,而不是等到受到攻击。ACSC随时准备支持其关键基础设施合作伙伴应对我们面临的威胁,通过提高对威胁的认识、分享妥协指标,并提供技术缓解建议。”
加拿大网络安全中心负责人Sami Khoury表示,“俄罗斯拥有强大的网络能力,并且有不负责任地使用这些能力的历史,国家支持的恶意网络活动对世界各地的组织构成真正的风险。通过与我们的合作伙伴一起发布今天的联合咨询,通信安全机构及其加拿大网络安全中心继续支持使威胁信息更加公开,同时提供具体的建议和指导,来帮助防范此类风险。”
新西兰国家网络安全中心主任Lisa Fong表示,“我们目前看到,关键基础设施受到网络攻击的可能性越来越大,这可能会产生严重影响,即使是对非直接目标的国家和组织也是如此。组织应该借此机会考虑他们的安全态势,了解他们的关键系统和风险,包括整个供应链,并做好准备。这份与合作伙伴的联合咨询为组织提供了重要信息,这些信息将帮助其通过识别和减轻他们面临的风险,来建立网络弹性。”
NCSC首席执行官Lindy Cameron表示,“在这个网络威胁加剧的时期,规划和投资于更持久的安全措施从未像现在这样重要。所有组织都必须加快计划,以提高其整体网络弹性,尤其是那些保护我们最关键资产的组织。NCSC继续与国际和执法合作伙伴合作,为组织提供及时可行的建议,提供防止网络攻击的最佳机会,无论它们来自何处。”
NCA网络总干事Rob Jones表示,“近年来,网络攻击的规模和严重程度不断发展,其背后的犯罪集团针对世界各国的关键基础设施。NCA领导英国执法部门应对这一威胁,与一系列国际合作伙伴合作,调查网络犯罪分子并破坏他们所依赖的服务。至关重要的是,组织应通过增强网络弹性并向当局报告任何网络犯罪事件来帮助加强这种响应,以便及时缓解进一步的攻击。”
由于不断发展的情报表明,俄罗斯政府正在探索潜在网络攻击的选项,因此网络安全部门正在为这一强有力的咨询提供多种资源和缓解措施,以帮助网络安全社区抵御来自这些敌对团体的可能网络威胁。敦促高管、领导者和网络防御者实施建议,以准备和减轻网络安全咨询中列出的各种网络威胁。
参考来源:CISA http://985.so/9sxd
(六)高通及联发科芯片漏洞导致大量安卓设备受到威胁
Check Point Research研究人员在高通和联发科芯片上发现了一个ALAC格式的远程代码执行漏洞,可导致攻击者远程访问用户媒体文件和音频对话。
联发科和高通是全球最大的两家移动芯片组制造商,在广泛分布的手机中使用了ALAC音频编码,使数百万安卓用户的隐私面临风险。一项名为ALHACK的研究发现,2021年售出的所有智能手机中有三分之二易受攻击。高通和联发科承认了该漏洞,并提供了补丁和修复。
Apple Lossless Audio Codec(ALAC)也称为Apple Lossless,是一种音频编码格式,由苹果公司开发,于2004年首次推出,用于数字音乐的无损数据压缩。2011年底,Apple将编解码器开源。从那时起,ALAC格式已嵌入到许多非Apple音频播放设备和程序中,包括基于Android的智能手机、Linux和Windows媒体播放器和转换器。
此后,Apple多次更新解码器的专有版本,修复和修补安全问题,但共享代码自2011年以来一直没有修补。许多第三方供应商使用Apple提供的代码作为自己的ALAC的基础实现,并且可以公平地假设其中许多不维护外部代码。
Check Point Research发现,全球最大的两家移动芯片组制造商高通和联发科将易受攻击的ALAC代码移植到其音频解码器中,全球一半以上的智能手机都在使用这些解码器。根据IDC的数据,截至2021年第四季度,在美国销售的所有Android手机中,有48.1%由联发科提供支持,而高通目前拥有47%的市场份额。
研究人员发现,ALAC问题可能会被攻击者通过格式错误的音频文件用于在移动设备上进行远程代码执行攻击(RCE)。RCE攻击允许攻击者在计算机上远程执行恶意代码。RCE漏洞的影响范围从恶意软件执行到攻击者控制用户的多媒体数据,包括来自受感染机器摄像头的流媒体。
此外,非特权Android应用程序可以利用这些漏洞来提升其权限,并获得对媒体数据和用户对话的访问权限。
Check Point Research负责任地向联发科和高通披露了这些信息,并与两家供应商密切合作,以确保这些漏洞得到修复。
联发科将CVE-2021-0674和CVE-2021-0675分配给ALAC问题,这些漏洞已经修复,并发布在2021年12月的联发科安全公告中。Qualcomm在2021年12月的高通安全公告中发布了漏洞CVE-2021-30351的补丁。
参考来源:CheckPoint http://985.so/97ua
(七)2022年Pwn2Own竞赛ICS漏洞奖金高达40万美元
2022年的Pwn2Own是一场专注于工业控制系统的黑客竞赛,于4月19日至21日在迈阿密举行,参赛者总奖金为40万美元。11组参赛者在比赛中针对OPC UA服务器、控制服务器、人机界面和数据网关等产品进行了26次零日攻击。
本次比赛由趋势科技的零日倡议(ZDI)组织,参赛者攻击的产品来自Unified Automation、Iconics、Inductive Automation、Prosys、Aveva、Triangle MicroWorks、OPC Foundation、Kepware和Softing。在Pwn2Own期间利用的安全漏洞被报告后,供应商有120天的时间发布补丁,直到ZDI公开披露。
在32次黑客攻击中,大多数都成功了,只有两次失败,八次涉及先前已知的漏洞,这些错误尝试仍然每次可以赢得5,000美元。
参加此次活动的白帽黑客通常会因远程代码执行漏洞而获得20,000美元,或因DoS漏洞而获得5,000美元。获胜者Computest Sector 7团队因成功绕过OPC UA.NET标准上的可信应用程序检查而获得40,000美元。
这是Pwn2Own参与者可以通过单次漏洞利用获得的最大金额,Computest的尝试涉及ZDI描述的Pwn2Own有史以来最有趣的错误之一。Computest团队获得了最多的积分,总共获得了90,000美元。
该团队使用缺少的身份验证漏洞在Inductive Automation Ignition SCADA控制服务器解决方案上执行代码后赚取了20,000美元,使用不受控制的搜索路径漏洞在AVEVA Edge HMI/SCADA软件中获得远程代码执行并获得了2万美元的奖励,利用无限循环条件触发了针对Unified Automation C++演示服务器的DoS状态并获得了5,000美元。
2020年在第一届以ICS为主题的Pwn2Own中,参与者总共获得了28万美元,由于新冠疫情流行,该活动未在2021年举行。
参考来源:SecurityWeek http://985.so/9t9w
(八)美国警告农业部门遭受勒索软件攻击风险增加
美国联邦调查局警告食品及农业部门组织,勒索软件组织在收获和种植季节的攻击风险增加,特别是在即将到来的春季种植季节。攻击可能导致运营中断,造成经济损失,甚至对全球食品供应链产生负面影响。
美国FBI、农业部、CISA在4月20日联合发布警告称,“勒索软件攻击者可能更有可能在关键的种植和收获季节攻击农业合作社,旨在扰乱运营,造成经济损失,并对食品供应链产生负面影响。威胁行为者可能会将合作社视为有利可图的目标,由于农业合作社在农业生产中扮演着时间敏感的角色,因此愿意支付费用。尽管针对整个农业部门从农场到餐桌范围的勒索软件攻击定期发生,但在关键季节针对农业合作社的网络攻击数量值得注意。”
该警告指出,在2021年秋季收获期间,有六家粮食合作社遭到了勒索软件攻击,以及2022年初针对目标的两次攻击,可能通过中断种子和化肥的供应而影响种植季节。
Recorded Future的情报分析师Allan Liska表示,该警告首次揭示了去年和今年早些时候针对农业目标的勒索软件攻击有多么广泛。
Liska在电子邮件中表示,“虽然已知有几起针对农业合作社的攻击事件,但还有很多没有成为新闻。这可能是以前未知的常见漏洞或初始访问向量的迹象,希望已经得到解决。”
Liska表示,该警告中提到的第三方合作伙伴,例如与勒索软件行为者合作发起攻击的托管服务提供商,也很引人注目。“农业公司不能总是负担得起IT和安全人员的工作,因此他们非常依赖MSP来提供保护、当这些MSP受到损害时,通常没有任何保护措施来保护受害者。”
近几个月来,农业部门经历了越来越多的勒索软件攻击。去年10月,价值数十亿美元的乳制品公司Schreiber Foods的工厂和配送中心因发生网络事件而被迫下线。此前9月份FBI向食品和农业行业发出有关勒索软件威胁的警告。通知称,从2019年到2020年,平均赎金需求翻了一番,平均网络保险支出增加了65%。
大约在同一时间,国土安全部网络安全和基础设施安全局、联邦调查局和国家安全局警告农业部门,BlackMatter勒索软件攻击者将他们作为针对美国关键基础设施的更广泛威胁的一部分。
去年5月,肉类供应商JBS遭到勒索软件攻击,导致该公司支付了1100万美元的勒索赎金。此后不久,黑客用勒索软件攻击了两家粮食合作社。
Emsisoft威胁分析师Brett Callow表示,勒索软件团伙有时会在加密他们已经入侵的网络之前等待。在学年开始前后,对教育部门的攻击通常会激增,勒索软件团伙经常会在夏季对入侵的网络进行加密。勒索软件操作员知道要等待教育机构最容易受到实际攻击的那一刻。Callow认为这与现在相似,因为随着种植季节的开始,农业部门面临着更大的威胁。
Callow在一封电子邮件中表示,“这样做的原因是,他们希望在他们认为目标将面临最大支付压力时发动攻击。但这些延迟有一个积极的方面,意味着组织可能有一个机会之窗,可以在升级为全面的勒索软件攻击之前,识别并消除危害。”
参考来源:CyberScoop http://985.so/9qxf
(九)北约开展Locked Shields网络防御演习
北约合作网络防御卓越中心(CCDCOE)4月19日启动了第十三次年度实弹网络防御演习Locked Shields。
Locked Shields在爱沙尼亚首都塔林举行,将持续到4月22日。这项复杂的国际网络演习有来自32个国家的2,000多名参与者,旨在促进国家、行业以及公共和私人组织之间的合作与协调,以应对国家支持的网络攻击。
自2010年以来,该演习一直在测试国家、军事和民用IT系统对针对关键服务和关键基础设施的攻击的准备情况,模拟对整个国家的真实大规模攻击。
今年的情景涉及北大西洋虚构的岛国Berylia,它是一系列严重破坏性网络攻击的受害者,这些攻击破坏了政府和军事网络、通信、电网和水净化系统的运行。
CCDCOE表示,“此次演习首次包括模拟中央银行的储备管理和金融信息系统。此外,5G独立移动通信平台作为关键基础设施的一部分,为网络防御者提供关于即将到来的技术变革的第一次体验。”
作为红队与蓝队的较量,今年的活动将涉及大约5,500个虚拟化系统,将面临超过8,000次网络攻击。2022年的Locked Shields有24个蓝队参与,每个蓝队平均有50名专家,他们将扮演国家网络快速反应小组的角色,不仅要努力保护复杂的IT系统,还要有效地报告事件,并解决取证、法律、媒体运营和信息战挑战。
此前CCDCOE宣布乌克兰已申请成为会员,参加今年Locked Shields活动的部分专家来自乌克兰。
CCDCOE表示,Locked Shields 2022是与NATO、Arctic Security、Clarified Security、CR14、西门子和TalTech合作组织的,金融服务信息共享和分析中心(FS-ISAC)、Fortinet、微软和SpaceIT的额外参与。
参考来源:SecurityWeek http://985.so/9h09
(十)新暗网市场Industrial Spy出售被盗数据
威胁行为者最近推出了一个名为Industrial Spy的市场,该市场出售从受害组织窃取的数据,并向其成员免费提供被盗数据。
与传统的数据窃取市场不同,数据用于勒索企业并用GDPR罚款威胁他们,Industrial Spy将自己宣传为一个市场,企业可以在其中购买竞争对手的数据,以获取商业机密、制造图表、会计报告和客户数据库。
然而,如果市场被用来勒索受害者购买他们的数据以防止其被出售给其他威胁参与者,这并不奇怪。
Industrial Spy市场提供不同级别的数据产品,其中高级被盗数据包价值数百万美元,而较低级别的数据可以作为单个文件购买,价格仅需2美元。
例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级类别数据。但是大部分数据都作为单独的文件出售,威胁行为者可以以每个2美元的价格购买他们想要的特定文件。
该市场还提供免费的被盗数据包,可能会诱使其他威胁行为者使用该网站。在常规类别中提供数据的一些公司过去曾遭受过勒索软件攻击。因此,威胁行为者可能从勒索软件组织的泄密站点下载了这些数据,然后转售给Industrial Spy。
MalwareHunterTeam安全研究人员首先发现了Industrial Spy市场,创建了恶意软件可执行文件README.txt文件来宣传该网站。执行时,这些恶意软件文件将在设备上的每个文件夹中创建文本文件,其中包含服务描述和Tor站点的链接。
README.txt文本文件中显示,“在那里,您可以免费购买或下载竞争对手的私人和入侵数据。我们公开计划、图纸、技术、政治和军事机密、会计报告和客户数据库。所有这些东西都是从全球最大的公司、企业集团和对每项活动的关注点收集的。我们使用其IT基础设施中的漏洞收集数据。”
经过进一步调查发现,这些可执行文件正在通过其他通常伪装成破解和广告软件的恶意软件下载程序进行分发。例如,通常通过破解分发的STOP勒索软件和密码窃取木马与Industrial Spy可执行文件一起安装。
此外,VirusTotal显示README.txt文件存在于大量密码窃取木马日志集合中,表明这两个程序在同一设备上运行。这表明Industrial Spy网站的运营商可能会与广告软件和破解分销商合作,以分发促进市场的程序。虽然该网站目前尚未广泛使用,但公司和安全研究人员需要密切关注该网站以及其声称要出售的数据。
参考来源:BleepingComputer http://985.so/9hv9
(十一)联想100多款笔记本电脑存在三个UEFI漏洞
联想4月18日发布的安全公告披露了三个安全漏洞,影响至少100款笔记本电脑上的统一可扩展固件接口(UEFI)。其中两个漏洞允许攻击者禁用对存储UEFI固件的SPI闪存芯片的保护,并关闭UEFI安全启动功能,从而确保系统在启动时只能加载原始设备制造商(OEM)信任的代码。另外一个漏洞CVE-2021-3970可能允许本地攻击者以提升的权限执行任意代码。
这三个漏洞均由ESET研究人员发现,并于去年10月负责向联想报告。这些漏洞影响了100多款消费类笔记本电脑型号,包括IdeaPad 3、Legion 5 Pro-16ACH6 H、和Yoga Slim 9-14ITL05,这可能会导致数百万使用易受攻击的设备。
ESET研究人员警告称,攻击者可利用与UEFI相关的两个漏洞CVE-2021-3971和CVE-2021-3972部署并成功执行SPI闪存或ESP植入。
联想产品中与UEFI相关的两个安全漏洞都是由于在生产中引入了两个UEFI固件驱动程序SecureBackDoor和SecureBackDoorPeim,它们仅在制造过程中使用。
CVE-2021-3970是LenovoVariable SMI处理程序中存在的一个潜在漏洞,是由于在某些联想笔记本型号中的验证不足导致的,可能允许具有本地访问权限和提升权限的攻击者执行任意代码。
CVE-2021-3971是在一些消费类联想笔记本设备的旧制造过程中使用的驱动程序存在的潜在漏洞,错误地包含在BIOS映像中,可能允许具有提升权限的攻击者通过修改NVRAM变量来修改固件保护区域。
CVE-2021-3972是在某些消费类联想笔记本设备的制造过程中使用的驱动程序存在潜在漏洞,该驱动程序错误地未停用,可能允许具有提升权限的攻击者通过修改NVRAM变量来修改安全启动设置。
ESET表示,UEFI威胁可能非常隐蔽和危险,因为它们在启动过程的早期执行,然后将控制权转移到操作系统。这意味着,大多数在操作系统级别活动的缓解措施和安全解决方案都是无用的,有效负载的执行几乎是不可避免和不可检测的。
检测它们是可能的,尽管该过程需要更高级的技术,例如UEFI完整性检查、实时分析固件、或监控固件行为和设备是否存在可疑活动。
为防止这些漏洞引发的攻击,联想建议受影响设备的用户将系统固件版本更新到可用的最新版本。这可以通过从设备的支持页面手动安装更新,或借助公司提供的用于更新系统驱动程序的实用程序来完成。
参考来源:BleepingComputer http://985.so/9yex
(十二)Sunwing航空公司遭受网络攻击导致航班大规模延误
加拿大Sunwing航空公司总裁4月19日表示,因其第三方供应商遭受网络攻击,影响其航班网络中断,并对滞留数天的乘客表示道歉。
Sunwing首席执行官Mark Williams接受采访时表示,“显然这是一个可怕的情况,我们没有预料到。当然为此给大家带来的不便,我们深表歉意。我们的目标是让人们按时乘坐新飞机,享受优质服务。不幸的是,由于第三方提供商的系统出现故障,无法按照我们想要的方式执行。”
Williams表示,“第三方供应商已经遭到破坏,因此我们航空公司昼夜不停地为乘客手写登机牌。一个一直运行且从未失败的系统遭到了黑客攻击,发生了网络入侵,无法启动系统。”
Williams表示,对于该网络攻击事件,加拿大和美国的航空当局都希望确保在第三方系统重新启动之前是安全的。Sunwing是唯一一家使用该供应商的加拿大航空公司。
Williams表示,“航空公司系统中有很多敏感信息,加拿大运输部、美国联邦航空局和其他机构非常有兴趣了解发生的事情,并且在确保安全之前不要让系统重新上线。”
Williams不愿意预估何时会启动和运行,因为到目前为止,供应商的更新并不可靠。Williams没有披露是否有任何乘客信息在违规行为中被访问。
由于影响航空公司值机系统的中断持续,试图搭乘Sunwing航班的旅客今天继续面临长达数小时的延误。周日和周一,数百名乘客在Pearson国际机场滞留了一天的大部分时间,Sunwing几乎所有航班都因网络问题而延误。
在4月19日一份声明中Sunwing表示,其值机系统提供商继续遇到系统中断,这将连续第三天影响其航班运营。到周二晚上,大约有21个航班能够起飞。但声明称预计会出现更多的航班延误。
截至周二下午晚些时候,共有七班原定于Pearson国际机场起飞的航班被重新安排在明天。虽然一些航班能够在周二起飞,但大多数航班在延误超过24小时后才起飞。
航空公司声明指出,“我们的第三方系统提供商Airline Choice将继续与有关当局合作,以尽快找到解决系统问题的方法。与此同时,虽然我们继续手动处理航班,但预计会出现更多的航班延误,建议客户在Sunwing.ca上注册航班提醒。”
影响Sunwing值机系统的网络漏洞已经影响到该航空公司服务的所有机场的航班,一些报告称,旅客在加勒比地区滞留数日。一些客户对他们从航空公司收到的信息表示失望。
一名旅客过去三天一直试图从坎昆返回多伦多,但他的航班一再延误。该旅客现在已经预订了今晚返回加拿大的航班,但必须付出巨大的代价,因为没有可用的Sunwing航班。
该旅客表示,“航空公司回避了这一问题。我们不知道该与谁交谈。他们不断告诉我们与多伦多交谈,我们与多伦多交谈,多伦多告诉我们与这里的人交谈。所以这完全是一团糟。我们不会说当地语言,我们来到这里是基于Sunwing值得信赖的来源,即前往度假村并回来。”
Williams表示,由于延误,每个人都会得到一些相当可观的现金补偿,但每个案件都会因延误时间而异。该航空公司为航班被取消的旅客提供酒店优惠券,但前提是他们的家距离机场有一个多小时的车程。居住在GTA的其他旅客将获得豪华轿车代金券。
Williams表示,如果可以的话,航空公司还将允许乘客将假期推迟到今年6月23日。然而,一位行业观察人士表示,航空公司发放的优惠措施不太可能成为传奇的结局。
Travel Secure公司总裁Martin Firestone表示,“这将持续数月,其中将有收据和索赔给Sunwing,给保险公司,这真的是一团糟,最糟糕的是它还没有结束。他们仍然没有对技术问题做出结论,我怀疑它会持续到明天甚至后天,到那时他们已经错过了三天或七天旅行。他们很有可能会在整个行程中离开一段时间。”
Williams表示,Sunwing可能会考虑更换供应商,以避免将来出现类似问题,并表示他希望乘客稍后再尝试该航空公司,以看看真正的Sunwing产品是什么。
参考来源:CP24 http://985.so/9sgg
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯