关键信息基础设施安全动态周报【2022年第20期】
发布时间:
2022-05-27
来源:
作者:
天地和兴
访问量:
910
目 录
第一章国外关键信息基础设施安全动态
(一)OAS平台存在多个严重漏洞使关键工业部门面临信息泄露风险
(二)Python及PHP开源软件包遭受黑客入侵
(三)印度SpiceJet航空因遭受勒索软件攻击导致乘客滞留
(四)通用汽车遭受撞库攻击泄露车主信息
(五)格陵兰医疗系统遭受严重网络攻击
(六)美司法部更新CFAA法案不对道德黑客进行指控
(七)威胁行为者利用虚假PoC漏洞利用传播恶意软件
(八)美国防部警告需加紧行动在人工智能领域与中国竞争
(九)GoodWill勒索软件要求受害者捐助贫困人士以换取解密秘钥
(十)攻击者可利用PayPal中的漏洞从用户账户窃取资金
(十一)Snake键盘记录器通过恶意PDF传播
(十二)民族国家恶意软件将出现在暗网上
第一章 国外关键信息基础设施安全动态
(一)OAS平台存在多个严重漏洞使关键工业部门面临信息泄露风险
思科Talos研究人员发现,开放自动化软件(OAS)平台存在多个严重安全漏洞,可导致设备访问、拒绝服务和远程代码执行。
OAS平台是一种广泛使用的数据连接解决方案,它将工业设备(PLC、OPC、Modbus)、SCADA系统、物联网、网络点、自定义应用程序、自定义API和数据库结合在一个整体系统下。OAS平台是一种通用且灵活的硬件和软件连接解决方案,可促进来自多个供应商的专有设备和应用程序之间的数据传输,并将它们连接到公司特定的产品、定制软件等。
OAS被米其林、沃尔沃、英特尔、JBT AeroTech、美国海军、Dart石油天然气、通用动力、AES风力发电和其他几个知名工业实体使用。因此,平台中的漏洞可能会使关键工业部门面临中断和机密信息泄露的风险。
根据Cisco Talos的报告,OAS平台版本16.00.0112及更低版本容易受到一系列高危漏洞影响,可能会造成破坏性攻击。
CVE-2022-26833的CVSS评分为9.4分,涉及OAS中未经身份验证的访问和使用REST API功能。攻击者可以通过向易受攻击的端点发送一系列特制的HTTP请求来触发对该漏洞的利用。
REST API旨在为默认用户提供对配置更改和数据查看的编程访问权限,Talos研究人员能够通过发送带有空白用户名和密码的请求进行身份验证。
第二个严重漏洞CVE-2022-26082的CVSS评分为9.1分,是OAS Engine SecureTransferFiles模块中的文件写入漏洞。发送到易受攻击的端点的一系列特制网络请求可能导致任意远程代码执行。
思科表示,“通过向OAS平台发送一系列格式正确的配置消息,可以将任意文件上传到底层用户允许的任何位置。默认情况下,这些消息可以发送到TCP/58727,如果成功,将由具有普通用户权限的用户oasuser处理。”
这使远程威胁行为者能够将新的authorized_keys文件上传到oasuser的.ssh目录,从而可以通过ssh命令访问系统。
Cisco Talos发现的其他漏洞均为高危漏洞,CVSS为7.5分,包括:CVE-2022-27169通过网络请求获取目录列表、CVE-2022-26077针对帐户凭据的信息泄露、CVE-2022-26026拒绝服务和数据链接丢失、CVE-2022-26303和CVE-2022-26043外部配置更改以及新用户和安全组的创建。
思科针对上述每个漏洞提供了缓解建议,包括禁用服务和关闭通信端口,因此如果无法升级到更新版本的OAS,则可能会有一个具有某些功能或方便权衡的解决方案。
否则,建议升级到更新版本的OAS平台。上述两个严重漏洞的安全修复程序已在2022年5月22日作为安全更新发布的版本16.00.0.113中发布。
在运行错综复杂的数据连接系统的工业环境中,升级滞后是可以预料的,但在这种情况下,由于所披露漏洞的严重性,立即采取行动至关重要。
参考来源:BleepingComputer http://985.so/dkkb
(二)Python及PHP开源软件包遭受黑客入侵
软件开发人员和网络安全专家发现了一种新的软件供应链黑客,试图获取亚马逊网络服务(AWS)云凭证。
Python有8年历史的CTX和PHP的phpass两个流行的开源软件包遭受了入侵,导致开发人员争先恐后地了解他们面临的威胁。据信共有300万用户受到开源软件包泄露的影响,并且已经有报告称该攻击影响了一家企业。
建议依赖任一软件包的企业检查是否没有在任何项目上自动更新。如果存在潜在的危害,专家建议更新所有凭据。应该特别分析上周内所有受影响的开源包的下载。
该事件最初是由一个人发现的,他注意到CTX包已更新,包含恶意代码。CTX库致力于允许开发人员使用点符号来访问字典中的项目。
添加到库中的代码将所有用户的环境变量(例如访问凭据)发送到URL。一位交叉引用与URL域相关的其他项目的黑客发现PHP包也受到了损害。
phpass包是一个可移植的PHP密码哈希框架,安装量超过250万。添加到phpass的恶意代码显示,该程序包试图定位AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY,然后再将它们发送回与受损Python库中包含的域相同的域。
对Python的CTX的更改,包括添加到phpass中的相同恶意代码,最初是由别名为SocketPuppets的用户在两天前宣布的。在查看了社交媒体的帖子历史后,该账户声称已经发布了媒体博客,其中包含看似在线别名Aydinnyunus的联系信息。
查看与aydinnyunus相关的社交媒体、GitHub和StackExchange帐户,该身份指向一名大学生,尽管尚未确定官方归属。
根据一项分析,在维护者的域名过期并且攻击者上周注册后,Python库似乎受到了破坏,从而允许他们通过注册相应的电子邮件来接收原始库以接收密码重置电子邮件。
根据另一项分析,phpass的维护者删除了他们的账户,并且由于近十年前创建该软件包的同一用户名现在属于一个使用了9天的账户,因此认为攻击者已经使用了该用户名。
Python CTX库已被Python Package Index删除,目前仍仍可在GitHub上使用。
由于2021年底围绕Log4Shell漏洞的担忧,近几个月来人们更加关注开源软件供应链。这个关键且极难定位的漏洞震惊了网络安全社区,并考虑到潜在的后果,它使安全专业人员对企业面临的类似威胁保持高度警惕。
几个月后,Spring4Shell漏洞再次引发恐慌,该漏洞再次针对开源Java库,尽管修复来得更快,而且报告的后果远没有Log4Shell严重。
尽管如此,这些备受瞩目的发现仍然给安全行业留下了担忧,MITRE上周宣布已经构建了一个原型框架,该框架有助于在像Log4Shell引起的大恐慌再次发生之前识别软件中的漏洞。
参考来源:ITPro http://985.so/dwd9
(三)印度SpiceJet航空因遭受勒索软件攻击导致乘客滞留
印度廉价航空公司SpiceJet通知其客户,其遭受了勒索软件攻击,影响了部分系统,并导致航班起飞延误。
根据该航空公司社交媒体渠道发布的公告,其IT团队成功阻止了此次攻击,因此一切恢复正常运行状态。然而Twitter和Facebook上的多个客户报告仍然反映了持续存在问题,声称航班延误,无法通过电话进行客户服务,并且预订系统仍然不可用。
目前只有SpiceJet的主页在正常工作,而大多数底层系统和网页都无法加载。不过航班状态表是可以访问的,并且显示所有目的地有大量延误,从两到五个小时不等。
根据公开数据,SpiceJet是印度第二大航空公司,运营由102架飞机组成的机队,服务于60多个目的地,拥有超过14,000名员工,并拥有约15%的当地市场份额。
因此,影响其运营的网络攻击会影响印度和国际目的地的大量乘客,而这些数小时的延误会转化为重大的经济损失。
对此SpiceJet发言人发布声明表示,“昨晚,某些SpiceJet系统面临勒索软件攻击,影响了我们的飞行运营。虽然我们的IT团队在很大程度上控制并纠正了这种情况,但这对我们的航班产生了连锁反应,导致航班延误。一些飞往限制夜间运营的机场的航班已被取消。SpiceJet正在就此问题与专家和网络犯罪当局保持联系。”
2020年1月,SpiceJet证实了一起数据泄露事件,该事件允许未经授权的个人访问该航空公司的一个保护不力的服务器上的数据库备份文件。该文件包含上个月使用SpiceJet服务的1,200,000名乘客的未加密信息,包括姓名、航班信息、电话号码、电子邮件地址和出生日期。
2021年由于新冠疫情限制,SpiceJet遭遇了严重的财务困境,导致其机队停飞,年收入损失28%,直接威胁到其业务的可持续性。
很容易假设,这种可怕的财务状况并没有为投资网络安全和事件响应留下太多空间,这可能是本案中勒索软件攻击者成功发起攻击的原因。
参考来源:BleepingComputer http://985.so/dbiw
(四)通用汽车遭受撞库攻击泄露车主信息
美国汽车制造商通用汽车披露,其上个月遭受了凭证填充攻击,该攻击暴露了一些客户的信息,并允许黑客用奖励积分兑换礼品卡。
通用汽车运营一个在线平台,帮助雪佛兰、别克、GMC和凯迪拉克车主管理账单、服务和兑换奖励积分。车主可以将GM奖励积分兑换为GM车辆、汽车服务、配件和购买OnStar服务计划。
通用汽车透露,他们在2022年4月11日至4月29日期间检测到了恶意登录活动,并确认黑客在某些情况下将客户奖励积分兑换为礼品卡。
通用汽车在发送给受影响客户的数据泄露通知中解释表示,“我们写信是为了跟进我们给您的电子邮件,告知您一个数据事件,涉及您最近兑换奖励积分的身份,似乎未经您的授权。”
通用汽车表示,他们将为所有受此违规影响的客户恢复奖励积分。但是,这些违规行为并不是通用汽车被黑客入侵的结果,而是由针对其平台上的客户的一波撞库攻击引起的。凭据填充攻击是指威胁行为者使用在其他站点的数据泄露中泄露的用户名/密码组合集合来访问网站上的用户账户。
通用汽车在另一份数据泄露通知中解释表示,“根据迄今为止的调查,没有证据表明登录信息是从通用汽车本身获得的。我们认为,未经授权方获得了对客户登录凭据的访问权限,这些凭据以前在其他非GM站点上被泄露,然后在客户的通用汽车账户上重复使用这些凭据。”
当黑客成功入侵通用汽车账户后,可以访问存储在该网站上的某些信息,包括以下个人详细信息:姓名、个人电子邮件地址、个人地址、与账户绑定的注册家庭成员的用户名和电话号码、最后已知和保存的收藏夹位置信息、当前订阅的OnStar套餐、家庭成员的头像和照片、个人资料图片、搜索和目的地信息。
黑客入侵通用汽车账户时可获得的其他信息包括汽车里程历史、服务历史、紧急联系人、Wi-Fi热点设置(包括密码)等。但是GM账户不包含出生日期、社会安全号码、驾驶执照号码、信用卡信息或银行账户信息,因此这些信息没有被泄露。
GM要求受影响的用户在再次登录他们的账户之前重置他们的密码。除了重置密码外,通用汽车还建议受影响的个人向银行索取信用报告,并在案件需要时进行安全冻结。
通用汽车的在线站点不支持双重身份验证,这会阻止撞库攻击成功。但是,可以添加客户必须用于所有购买的PIN。
至于受影响的客户数量,通用汽车只向加州总检察长办公室提交了一份通知样本,因此该州受影响的客户数量略低于5,000。
参考来源:BleepingComputer http://985.so/dm3q
(五)格陵兰医疗系统遭受严重网络攻击
格陵兰政府证实,其医院系统遭受了严重的网络攻击。政府官员没有回应遭受的是否是勒索软件攻击,但声称医疗保健系统的数字网络因该事件而崩溃,被迫重新启动所有IT系统和服务器,医院工作人员无法访问任何患者医疗记录。
政府在声明中表示,“因此,卫生服务部门的服务受到严重限制,预计等待时间会增加,有可能在约定的时间内徒劳无功。紧急询问当然会继续得到满足,可以通过电话联系卫生服务部门。目前的技术分析表明,公民的数据没有受到损害,也没有被复制,但对网络攻击程度的调查仍在进行中。卫生服务部门将在运营正常化时报告。”
一位政府发言人告诉格陵兰新闻媒体Sermitsiaq,攻击始于5月9日,根据对网络上留下的技术痕迹的检查,可能与4月份的先前攻击有关。
政府官员表示,3月25日发生了另一起网络攻击,迫使格陵兰议会取消了该周的所有会议,数字系统瘫痪,政府努力向公民分配社会福利金。格陵兰的人口约为56,000人。据Sermitsiaq称,政府在去年12月遭到另一次网络攻击。
近年来,医疗保健组织一直是勒索软件团体和其他恶意黑客的主要目标。全球数百家医院遭到袭击,其中一些最大的事件涉及爱尔兰和新西兰的医疗保健系统。
爱尔兰HSE在2021年5月14日表示,“HSE IT系统受到重大勒索软件攻击。我们已采取预防措施关闭我们所有的IT系统,以保护它们免受这种攻击,并让我们与我们自己的安全合作伙伴一起全面评估情况。”
Conti勒索软件组织于2021年5月袭击了爱尔兰的卫生服务主管,对该国的医院造成了数周的干扰。爱尔兰拒绝支付2000万美元的赎金,现在估计它最终可能会花费1亿美元从袭击中恢复过来。爱尔兰国务部长Ossian Smyth表示,这可能是对爱尔兰国家最重大的网络犯罪攻击。
据FBI称,该组织在去年同样使新西兰的数十家医院瘫痪,并特别关注美国的医疗保健和急救网络,包括执法机构、紧急医疗服务、911调度中心和市政当局。
参考来源:TheRecord http://985.so/d9i8
(六)美司法部更新CFAA法案不对道德黑客进行指控
美国司法部5月19日宣布修订算机欺诈和滥用法案(CFAA),将不再对道德黑客提出指控。
该政策首次规定,不应向善意的安全研究提起诉讼。善意安全研究是指仅出于善意测试、调查和/或纠正安全漏洞或漏洞的目的访问计算机,而此类活动的执行方式旨在避免对个人或公众造成任何伤害,从活动中获得的信息主要用于促进被访问计算机所属的设备、机器或在线服务类别或使用此类设备、机器或在线服务的人的安全性或保障。
副司法部长Lisa O. Monaco表示,“计算机安全研究是提高网络安全的关键驱动力。该部门从来没有兴趣将善意的计算机安全研究作为犯罪起诉,今天的公告通过为善意的安全研究人员提供清晰度来促进网络安全,这些研究人员为了共同利益而根除漏洞。”
新政策明确规定了长期以来的做法,“该部门执行CFAA的目标是通过维护个人、网络所有者、运营商和其他人的合法权利来促进隐私和网络安全,以确保其信息系统中存储信息的机密性、完整性和可用性。”
因此,该政策明确了不起诉涉及某些法院和评论员的假设的CFAA违规行为。违反交友网站的服务条款,美化在线约会资料;在招聘、住房或租赁网站上创建虚构账户;在禁止社交网站上使用化名;检查工作中的运动成绩;在工作中支付账单;或违反服务条款中包含的访问限制本身不足以引起联邦刑事指控。
该政策将司法部的资源集中在被告根本没有被授权访问计算机,或被授权访问计算机的一部分(例如电子邮件账户),并且尽管知道该限制,但仍访问了其授权访问权限未扩展到的计算机部分,例如其他用户的电子邮件。
但是新政策承认,声称进行安全研究并不是恶意行为者的免费通行证。例如,发现设备中的漏洞以勒索其所有者,即使声称是研究,也不是出于善意。该政策建议检察官就这一因素的具体应用咨询刑事司的计算机犯罪和知识产权科(CCIPS)。
所有希望根据《计算机欺诈和滥用法》起诉案件的联邦检察官都必须遵守新政策,并在提出任何指控之前咨询CCIPS。如果CCIPS反对,检察官必须先通知副检察长(DAG),并且在某些情况下获得DAG的批准,然后再对CFAA案件提出指控。新政策取代了2014年发布的早期政策,并立即生效。
参考来源:DOJ http://985.so/dkmq
(七)威胁行为者利用虚假PoC漏洞利用传播恶意软件
Cyble研究人员发现了虚假的PoC漏洞,是由威胁行为者创建的,旨在向网络安全社区的成员传播恶意软件。
5月19日研究人员报告称,GitHub托管了伪装成PoC漏洞利用的恶意软件,用于攻击微软在2022年4月补丁星期二更新中修复的几个Windows漏洞。这些伪造的PoC漏洞已被GitHub删除,并作为可执行文件交付,运行时可能会打开系统的后门。
PoC声称针对CVE-2022-24500和CVE-2022-26809,都可以被利用在Windows系统上远程执行代码。虽然没有迹象表明这些漏洞已被用于攻击,但一些网络安全公司确实警告声称可能构成严重风险,例如CVE-2022-26809被认为是可蠕虫病毒。
威胁情报公司Cyble分析了虚假的PoC漏洞利用,并确定威胁行为者很可能利用这些漏洞来针对信息安全社区的成员,Cyble还在网络犯罪论坛上发现了讨论这些漏洞的帖子。
伪造的PoC似乎是由同一威胁者创建的,是.NET二进制文件,包含一个名为ConfuserEx的开源应用程序保护程序。执行时会显示虚假消息,显然表明尝试利用CVE-2022-24500或CVE-2022-26809失败。
执行此例程后,文件运行一个隐藏的PowerShell命令,该命令传递Cobalt Strike Beacon有效载荷,可用于下载其他恶意软件和横向移动。
Cyble解释表示,“通常,从事信息安全工作的人员会使用漏洞来检查漏洞。因此这种恶意软件可能仅针对来自该社区的人。因此,信息安全社区成员在下载任何PoC之前检查来源的可信度变得至关重要。”
目前还不清楚是否有人真的执行了虚假的PoC攻击,以及他们的系统是否确实受到了损害。然而,社区的一些成员指出,研究人员可能会在沙箱环境中测试虚假漏洞,这将大大限制影响。
威胁行为者瞄准网络安全社区的情况并不少见。去年,谷歌警告称,朝鲜黑客一直针对各种公司和组织的安全研究人员,利用零日漏洞、虚假社交媒体资料、恶意网站,甚至成立了一家虚假渗透测试公司。
参考来源:SecurityWeek http://985.so/dmqm
(八)美国防部警告需加紧行动在人工智能领域与中国竞争
美国军方高级人工智能专家5月25日表示,五角大楼必须加紧行动,以确保美国在未来人工智能将决定战场上的成功的时代占据霸权地位。
五角大楼联合人工智能主任Michael Groen中将在大西洋理事会召集的听众讨论人工智能在国家安全中的问题时表示,中国的目标是到2030年在人工智能领域主导世界。Groen表示,到2030年,人工智能将成为一个价值16万亿美元的产业,并将显著提高中美两国的GDP。
Groen表示,国防部必须重塑自我,以应对挑战,并认为五角大楼需要做更多工作,将各分支机构联合起来,充当行动者,而不是协调机构。Groen引用亚马逊创始人杰夫贝索斯2002年的指示,即所有亚马逊组件必须与一个组织范围的数据集一起工作,Groen表示,五角大楼必须以同样的方式领导其各个组件更加统一。
Groen表示,“现在是国防部同样关注使用数据解决问题的时候了,应该从数据的角度来思考问题,克服文化障碍,真正成为一家可以战胜任何对手的企业,并具有同等水平的有竞争力,并拥有纳税人期望的生产力和效率。显然,竞争就在我们身边。”
Groen承认,对于一个因官僚主义而陷入困境的机构来说,适应存在固有的困难,在国防部寻求与中国人工智能机器较量时,他正致力于提高国防部的效率。
Groen说表示,“当然,随着新技术遇到遗留流程、遗留组织和遗留技术,该部门的实施始终是一个挑战。当然,实施是成功转型的关键,而实施极具挑战性,因为人工智能和相关技术不仅跨越服务领域,而且几乎跨越部门的每条程序线或流程线。”
Groen表示,中国目前正在执行其第十四个五年计划,以实现其到2030年实现人工智能主导的目标,而美国目前正在制定其第14个基于人工智能的计划目标备忘录(POM),该备忘录涉及国防部如何分配未来的资金以满足其战略目标。Groen暗示,美国和中国正在为争夺人工智能的主导地位而展开激烈的竞争,“这些日期,也许是令人不安的,也许是舒服的,在一定程度上重叠。”
Groen的讲话是在大西洋理事会斯考克罗夫特战略与安全中心发布的一份新报告中发表的,该报告侧重于国家安全和国防中的人工智能。报告警告称,“如果不采取有意、协调和立即的行动,美国在利用将主宰未来动能和非动能战场的制胜技术方面有可能落后于竞争对手。”
参考来源:CyberScoop http://985.so/dm8g
(九)GoodWill勒索软件要求受害者捐助贫困人士以换取解密秘钥
CloudSEK威胁情报研究人员发现,新型勒索软件GoodWill要求受害者执行三项任务以获取解密密钥,包括向无家可归者捐款、养活贫穷儿童、并为有需要的患者提供经济援助。GoodWill勒索软件可能会导致暂时或永久的数据丢失,还可能导致运营停止,从而导致巨额收入损失。
数字风险监控服务还报告称,他们将GoodWill勒索软件运营商的电子邮件ID追踪到了一家提供端到端托管安全服务的印度IT安全解决方案/服务提供商。
值得注意的是,该活动于2022年3月在印度新德里被发现。根据CloudSEK对GoodWill勒索软件活动的分析,“据称运营商有兴趣促进社会正义,而不是传统的财务原因。”
GoodWill勒索软件是用.NET编写的,并配备了UPX数据包。恶意软件休眠722.45秒以中断动态分析,并利用AES_Encrypt功能和AES算法加密数据。
其中一个名为GetCurrentCityAsync的字符串可以检测受感染设备的地理位置。GoodWill勒索软件可以加密系统上的每一个文件,包括数据库、照片和视频,受害者无法访问数据,除非他们获得解密密钥。
根据CloudSec博客文章,攻击者分享了一份长达三页的赎金记录,要求受害者执行三项任务以获取解密密钥,希望他们向无家可归者捐款、养活贫困儿童、以及为有需要的患者提供经济援助。
在这个公益勒索软件活动中,攻击者要求人们向无家可归者捐赠衣服。有趣的是,攻击者要求人们向至少五个不幸的孩子提供肯德基、多米诺骨牌或必胜客等高端连锁店的食物。他们要求受害者在社交媒体上发布他们慈善活动的照片和视频。
此外,受害者向需要紧急医疗但在附近任何医院都负担不起的人提供经济援助,录制音频,并将其发送给GoodWill勒索软件运营商。
一旦受害者完成这些任务,攻击者就会要求在Instagram或Facebook上分享一条消息,以证明他们已经转变为一个人道的个体。验证后,攻击者向受害者发送一个用于数据恢复的解密工具包。
参考来源:HackRead http://985.so/dkgb
(十)攻击者可利用PayPal中的漏洞从用户账户窃取资金
据TheHackerNews报道,网名为h4x0r_dz的安全研究人员在PayPal中发现了一个未修补的漏洞,该漏洞可允许攻击者诱骗用户通过单击完成由攻击者控制的交易,从而窃取资金。
这种攻击利用了不可见的覆盖页面或显示在可见页面顶部的HTML元素。在点击合法页面时,用户实际上是在点击由攻击者控制的覆盖合法内容的元素。
该研究人员在7个月前向PayPal漏洞赏金计划报告了该漏洞,证明攻击者可以通过利用点击劫持窃取用户的资金。研究人员在专为计费协议设计的www.paypal[.]com/agreements/approve端点上发现了该漏洞。端点应该只接受billingAgreementToken,但专家发现它不是真的。
研究人员在帖子中表示,“我发现我们可以传递另一种代币类型,这会导致从受害者的PayPal账户中窃取资金。攻击者能够在iframe中加载一个敏感的paypal.com端点,当攻击者点击‘点击这里’时,就会购买东西。”
受害者点击页面上的任何地方,就会向攻击者的PayPal汇款,也可以利用该问题来订阅允许PayPal付款的服务。
研究人员表示,“有一些在线服务可以让您使用Paypal将余额添加到账户中,例如steam。我可以使用同样的漏洞,强迫用户向我的账户充值。或者我可以利用这个漏洞,让受害者为我创建/支付Netflix账户。”
研究人员针对此问题发布了一个PoC漏洞利用,该漏洞目前尚未修补。PayPal尚未对该漏洞进行奖励。
参考来源:SecurityAffairs http://985.so/d9n8
(十一)Snake键盘记录器通过恶意PDF传播
HP Wolf Security研究人员Patrick Schlapfer发现,虽然大多数恶意电子邮件活动使用Word文档来隐藏和传播恶意软件,但最近发现的一个活动使用恶意PDF文件和一个存在22年的Office RCE漏洞来传播Snake键盘记录器恶意软件。
HP Wolf Security研究人员发表博客文章称,该活动旨在通过附加的PDF文件欺骗受害者,该文件声称拥有有关汇款支付的信息。相反,它会加载信息窃取恶意软件,使用一些狡猾的规避策略来避免检测。
在题为《PDF恶意软件尚未死亡》的博客文章中Schlapfer表示,“虽然Office格式仍然很流行,但这次活动显示了攻击者如何使用武器化的PDF文档来感染系统。”
Schlapfer表示,事实上,在过去十年中,使用恶意电子邮件活动的攻击者更喜欢将恶意软件打包成Microsoft Office文件格式,尤其是Word和Excel。据研究人员称,仅在2022年第一季度,HP Wolf Security阻止的恶意软件中就有近一半(45%)使用了Office格式。“原因很清楚,用户熟悉这些文件类型,用于打开它们的应用程序无处不在,而且它们适合社会工程诱饵。”
尽管如此,研究人员发现,虽然新活动确实在文件诱饵中使用了PDF,但它后来使用Microsoft Word来提供最终的有效负载,即Snake键盘记录器。据Fortinet称,Snake键盘记录器是一种使用.NET开发的恶意软件,于2020年底首次出现,旨在从受害者的设备中窃取敏感信息,包括保存的凭据、受害者的击键、受害者的屏幕截图和剪贴板数据。
HPW Wolf Security团队在3月23日注意到一个新的基于PDF的威胁活动,其中包含异常感染链,不仅涉及PDF,还涉及一些逃避检测的技巧,例如嵌入恶意文件、加载远程托管的漏洞和shellcode加密。
攻击者使用包含名为REMMITANCE INVOICE.pdf的PDF文档作为附件的电子邮件来攻击受害者。如果有人打开该文件,Adobe Reader会提示用户打开一个名称相当奇怪的.docx文件。
攻击者偷偷将Word文档命名为“已得到验证”。然而PDF、Jpeg、xlsx、.docx使文件名看起来好像是Adobe Reader提示的一部分。
docx文件作为嵌入文件对象存储在PDF中,如果单击该文件,会打开Microsoft Word。如果禁用受保护的视图,Word将从Web服务器下载富文本格式.rtf文件,然后在打开文档的上下文中运行该文件。
研究人员解压了.rtf的内容,是一个Office Open XML文件,发现隐藏在document.xml.rels文件中的URL,不是Office文档中的合法域。
连接到此URL会导致重定向,然后下载名为f_document_shp.doc的RTF文档。该文档包含两个格式不正确的OLE对象,揭示了利用CVE-2017-11882的shellcode,研究人员称这是方程式编辑器中存在四年多的远程代码执行漏洞。
方程式编辑器是默认安装的应用程序,Office套件用于在Microsoft Word文档中插入和编辑复杂方程式作为对象链接和嵌入(OLE)项。
然而事实证明,攻击者在活动中利用的漏洞实际上是微软在2017年修复的漏洞,但实际上早在17年前就已经存在,现在已经有22年历史了。
作为攻击的最后一步,研究人员在检查的一个OLE对象的末尾发现了存储在OLENativeStream结构中的shellcode。该代码最终解密了一个密文,该密文被证明是更多的shellcode,然后执行后生成一个名为fresh.exe的可执行文件,该可执行文件加载Snake键盘记录器。
参考来源:ThreatPost http://985.so/d9df
(十二)民族国家恶意软件将出现在暗网上
国际刑警组织秘书长Jurgen Stock警告声称,民族国家恶意软件将在几年内出现在暗网上。
在俄乌冲突期间,由民族国家行为者和非国家行为者开发的恶意软件对全球关键基础设施和组织构成严重风险。威胁行为者可以对军用恶意代码执行逆向工程,并在野外攻击中使用他们自己的版本。该场景还为虚假标记行动打开了大门,民族国家行为者可以使用冲突中使用的网络武器,并在野外攻击中使用它们,从而无法确定归属。
国际刑警组织秘书长Jurgen Stock在瑞士达沃斯世界经济论坛上,在CNBC主持的小组讨论中表示,“这是现实世界中的一个主要问题,战场上使用的武器将被有组织的犯罪集团使用。这同样适用于数字武器,也许今天由军方使用,由军方开发,明天将可供犯罪分子使用。”
在俄乌冲突的头几个月,安全公司观察到多次针对乌克兰政府实体和组织的攻击。与俄罗斯有关的APT组织使用擦除器来破坏目标系统,在某些情况下,这些攻击袭击了在其他地区运营的公司,例如VIASAT。
欧盟指责俄罗斯于2月24日对由Viasat运营的乌克兰KA-SAT卫星网络发起网络攻击。这次网络攻击导致乌克兰的通信中断和中断,还影响了几个欧盟成员国。由于这次攻击的蔓延,德国的5,800台Enercon风力涡轮机无法访问。SentinelLabs的安全研究人员调查了这次攻击,发现了一个以前未被发现的破坏性擦除器,被跟踪为AcidRain,攻击了路由器和调制解调器。
Stock敦促政府和执法部门加强合作,以防止民族国家恶意软件在暗网上扩散。“一方面,我们了解正在发生的事情,另一方面,我们需要私营部门的数据。我们需要你的网络泄露报告。没有你的报告,我们是盲目的。这是我们需要弥合的差距,而不仅仅是执法部门要求在信息孤岛之间架起桥梁。”
关键基础设施和供应链的风险更大,提高其安全级别至关重要。
参考来源:SecurityAffairs http://985.so/d926
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯