关键信息基础设施安全动态周报【2022年第24期】
发布时间:
2022-06-25
来源:
作者:
天地和兴
访问量:
104
目 录
第一章 国内关键信息基础设施安全动态
(一)西北工业大学遭境外网络攻击,警方已立案侦查
第二章 国外关键信息基础设施安全动态
(一)工业设备存在56个OT漏洞Icefall
(二)以色列虚假空袭警报响彻近一个小时,疑似遭受伊朗网络攻击
(三)立陶宛因对俄实施禁运令遭受网络攻击
(四)Apple Safari中存在长达五年之久的漏洞在野外被利用
(五)新型DFSCoerce NTLM中继攻击可控制Windows域
(六)俄罗斯加强对乌克兰盟友的网络攻击
(七)Automation Direct的PLC及HMI产品存在高危漏洞
(八)APT组织ToddyCat攻击欧洲及亚洲知名实体
(九)俄罗斯RSOCKS僵尸网络被查封关闭
(十)汽车配件制造商Nichirin遭受勒索软件攻击
(十一)美国Flagstar银行泄露150万客户数据
第一章 国内关键信息基础设施安全动态
(一)西北工业大学遭境外网络攻击,警方已立案侦查
西北工业大学6月22日发布声明称,其学校电子邮件系统遭受网络攻击,对学校正常教学生活造成负面影响。有黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,给学校正常工作和生活秩序造成重大风险隐患。经公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。
西北工业大学在声明中表示,此次网络攻击事件中,有来自境外的黑客组织和不法分子向该校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,给学校正常工作和生活秩序造成重大风险隐患。
长期以来,西北工业大学高度重视网络安全工作,经常性开展网络安全宣传教育,定期开展网络安全检查和技术监测,明确主动防御策略,全面采取技术防护措施。全校师生网络安全意识和敏锐性逐年提高,来自境外的钓鱼邮件暂未造成重要数据泄露,暂未引发重大网络安全事件,校园网络安全和广大师生的个人信息安全得到有效维护。
为进一步查明事实,依法处理相关黑客组织和不法分子的网络攻击行为,采取有力措施筑牢校园网络安全屏障,维护广大师生合法权益,西北工业大学已就遭受境外网络攻击情况向公安机关报案,并保留进一步追诉的权利。
在此西北工业大学提醒广大互联网用户:网络空间不是法外之地,发送钓鱼邮件、侵犯公民个人信息属于犯罪行为。请广大网民文明用网、规范用网,严格遵守《中华人民共和国网络安全法》,共同营造清朗网络空间。
对此,西安市公安局碑林分局6月23日发布警情通报。
通报显示,2022年4月12日15时许,碑林警方太白路派出所接到西北工业大学信息化建设与管理处报警称:该校电子邮件系统发现一批以科研评审,答辩邀请和出国通知等为主题的钓鱼邮件,内含木马程序,引诱部分师生点击链接,非法获取师生电子邮箱登录权限,致使相关邮件数据出现被窃取风险。同时,部分教职工的个人上网电脑中也发现遭受网络攻击的痕迹。上述发送钓鱼邮件和发起网络攻击的行为对西北工业大学校内信息系统和广大师生的重要数据造成重大安全威胁。
接警后,碑林警方立即组织网安大队开展调查取证,初步掌握了相关事实,提取了木马程序和钓鱼邮件样本并依法固定了相关证据。
目前,碑林警方已根据中华人民共和国《刑法》第285条之规定对此案进行立案侦查,并对提取到的木马和钓鱼邮件样本进一步开展技术分析。初步判定,此事件为境外黑客组织和不法分子发起的网络攻击行为。
碑林警方提示:网络安全无小事,任何个人和组织在遇到危害网络安全的行为时,有权依照《中华人民共和国网络安全法》第十四条之规定,向当地公安机关网安部门举报,公安机关将依法对相关违法犯罪行为予以坚决打击。
本文版权归原作者所有,参考来源:央广网 http://985.so/iis2
第二章 国外关键信息基础设施安全动态
(一)工业设备存在56个OT漏洞Icefall
Forescout的Vedere Labs研究人员披露了56个漏洞,会影响在关键基础设施环境中使用的OT设备,这些漏洞统称为OT:ICEFALL。
有10家OT供应商的设备受到影响,包括Honeywell、Motorola、Omron、Siemens、Emerson、JTEKT、Bently Nevada、Phoenix Contract、ProConOS和Yokogawa。
这些漏洞分为四个主要类别:不安全的工程协议、弱加密或损坏的身份验证方案、不安全的固件更新、以及通过本机功能执行的远程代码。
利用这些漏洞,具有目标设备网络访问权限的攻击者可以远程执行代码、更改OT设备的逻辑、文件或固件、绕过身份验证、破坏凭据、导致拒绝服务或产生各种操作影响。允许固件操作或远程代码执行的漏洞占总数的35%。
受OT:ICEFALL影响的产品普遍存在于石油和天然气、化工、核能、发电和配电、制造、水处理和配电、采矿和楼宇自动化等关键基础设施的支柱行业。其中许多产品以“设计安全”的形式出售,或已通过OT安全标准认证。
滥用OT设备的设计不安全的本机功能是现实世界ICS攻击者的首选作案手法,例如Industroyer2、TRITON和INCONTROLLER。这表明需要强大的OT感知网络监控和深度数据包检测功能。
Vedere的研究确定了社区向识别“设计不安全”漏洞的转变。就在几年前,OT:ICEFALL中的一些众所周知的漏洞不会被分配CVE ID,因为假设每个人都知道OT协议是不安全的。相反,研究人员认为CVE是一个社区认可的标志,通过帮助推动供应商解决问题和资产所有者评估风险和应用补丁,来帮助提高漏洞的可见性和可操作性。
除了网络监控之外,OT:ICEFALL的缓解措施包括将OT/ICS网络与公司网络和互联网隔离,将网络连接限制为仅允许特定的工程工作站,并尽可能持续减少。
参考来源:Forescout http://985.so/iinu
(二)以色列虚假空袭警报响彻近一个小时,疑似遭受伊朗网络攻击
以色列城市耶路撒冷和埃拉特在6月19日晚响起了空袭警报,持续了近一个小时,可能是由伊朗黑客发起的网络攻击触发的。
以色列军方调查发现,警报很可能是由网络攻击触发的,攻击目标似乎是市政公共广播系统,而不是军方系统。虽然尚未得到证实,但主要嫌疑人是伊朗,其黑客经常以以色列组织和系统为目标。
工业网络安全公司Radiflow联合创始人兼首席执行官Ilan Barda表示,“伊朗的这次警报攻击是虚假信号还是意外触发,还有待观察,但市政网络安全的缺乏是显而易见的。如果这是为了扰乱平民生活,那么在宗教节日或大型集会期间进行这一事件以破坏安全感会更有意义。”
Barda补充表示,“警报可能是在黑客仍在探索市政府安全系统漏洞时触发的,或者是一个虚假标志,被用作分散注意力,因为另一次尚未公布的网络攻击正在进行中。这方面的一个例子是2017年伊朗对沙特阿拉伯阿美石油公司的网络攻击,其中发现了一个安全漏洞,随后数千台计算机系统遭到破坏,导致毁灭性的崩溃或爆炸。攻击市政府会使城市或地区陷入停顿,影响供应链、食品配送等等,从而使一个城市陷入困境。”
大约两年前,黑客袭击了以色列的多个供水和污水处理设施。这些攻击与伊朗有关,攻击者当时似乎了解工业控制系统(ICS)黑客攻击。
就在几个月前,伊朗声称挫败了针对政府和私人实体拥有的公共服务的大规模网络攻击。最近,一个流亡的伊朗反对派组织声称,其控制了德黑兰市政府运营的许多网站,以及该市数千个监控摄像头。
近年来,伊朗关键基础设施经常成为网络攻击的目标,包括航空公司、核设施、铁路系统、港口、燃料服务和通信基础设施。其中一些袭击被归咎于以色列。
参考来源:SecurityWeek http://985.so/iit8
(三)立陶宛因对俄实施禁运令遭受网络攻击
因立陶宛对俄罗斯铁路货物实施禁运令,黑客组织Cyber Spetsnaz准备攻击立陶宛的政府资源和关键基础设施。该组织宣布了多个协同DDoS攻击目标,要攻击的资源分布在参加过先前和当前活动的成员和志愿者中。
局势升级的原因是维尔纽斯拒绝允许钢铁和铁矿石穿越俄罗斯飞地加里宁格勒。据英国广播公司和其他新闻机构报道,在此次活动之前,俄罗斯警告立陶宛铁路封锁的后果,但没有具体说明将如何进行。
据洛杉矶网络安全公司Resecurity专家称,预计活动将考虑到战争冲突,并遵循当今的地缘政治议程。多位消息人士一致认为,Cyber Spetsnaz开始获得更多关注,并涉及多个具有DDoS能力的可靠攻击者。
该组织正在利用相对具有成本效益的DDoS手段和方法,通过攻击受威胁的WEB资源、网站、物联网设备和属于同意加入该活动的其他独立参与者的僵尸网络,从而产生巨大的DDoS威力。这种活动的真正影响可能与实践中声称的不同,主要目标是产生短期中断或暂时无法获得资源。
几位立陶宛网络安全专家准备保护国家资源。攻击目标清单是立陶宛关键基础设施资源的综合清单。当前的攻击目标包括:物流公司(Adrem、Talga);交通基础设施(Transimeksa、Kelprojektas);立陶宛主要金融机构(中央银行、证券交易所、瑞典银行、SEB等);ISP(Tele2、Telia、Penki、Mezon、Cgates、Fastlink);机场(维尔纽斯机场、考纳斯机场、帕兰加机场、希奥利艾机场);能源公司(Ignitis Grupe、能源部、Aedilis);主要媒体(Delfi、Nedelia、ZW);政府网络资源(总统、外交部、司法部、警察)。
6月20日Cyber Spetnaz的一个名为Zarya的部门宣布对www.mna.gov.lv进行攻击,这是新活动的首要目标之一。
参考来源:SecurityAffairs http://985.so/cm28
(四)Apple Safari中存在长达五年之久的漏洞在野外被利用
Google Project Zero研究人员披露,Apple Safari网络浏览器中的一个漏洞在野外被积极利用长达五年之久。该漏洞编号为CVE-2022-22620,CVSS评分为8.8分,是高危漏洞,影响iOS、iPadOS、macOS和Safari。该漏洞在2013年首次修复,但在2016年发现了绕过修复的方法。
CVE-2022-22620是WebKit中的一个释放后使用漏洞,会影响浏览器的渲染引擎。攻击者可以通过创建恶意组合的Web内容来利用此零日漏洞,从而执行任意代码。
Apple于2022年2月上旬在其所有平台上发布了针对该漏洞的补丁,其中包括:Safari、iOS、iPadOS、及macOS。
就2013年和2022年历史API的有用性而言,这两个漏洞有几个重要的相似之处。尽管如此,漏洞利用方法却彼此不同。
随着这些变化,零日漏洞在休眠几年后,以僵尸的方式复活。Google Project Zero的Maddie Stone表示,这些问题对于Safari来说并不罕见。Stone进一步强调,需要花必要的时间来分析代码和补丁,以便减少需要重复修复的情况,并且更好地了解更改对我们系统安全性的影响。
Stone表示,“2016年10月和2016年12月的提交都非常大。10月的提交更改了40个文件,增加了900个,删除了1225个。12月的提交更改了95个文件,增加了1336个,删除了1325个。对于任何开发人员或审阅者来说,都无法详细了解这些提交中每个更改的安全含义,尤其是因为它们是相关的到生存期语义。”
参考来源:GBHackers http://985.so/cbf0
(五)新型DFSCoerce NTLM中继攻击可控制Windows域
研究人员发现了一种名为DFSCoerce的Windows NTLM中继攻击,使用Microsoft的分布式文件系统MS-DFSNM来完全接管Windows域。
许多组织使用Microsoft Active Directory证书服务,这是一种公钥基础结构(PKI)服务,用于对Windows域上的用户、服务和设备进行身份验证。但是,此服务容易受到NTLM中继攻击,即威胁行为者强制或强制域控制器对攻击者控制下的恶意NTLM中继进行身份验证。
然后,该恶意服务器将通过HTTP将身份验证请求中继或转发到域的Active Directory证书服务,并最终被授予Kerberos票证授予票证(TGT)。此票证允许威胁行为者假设网络上任何设备的身份,包括域控制器。
一旦模拟了域控制器,就将拥有提升的权限,允许攻击者接管域并运行任何命令。为了强制远程服务器对恶意NTLM中继进行身份验证,威胁行为者可以使用各种方法,包括MS-RPRN、MS-EFSRPC(PetitPotam)和MS-FSRVP协议。
虽然Microsoft已经修补了其中一些协议,以防止未经身份验证的强制,但通常会发现绕过,使这些协议继续被滥用。
本周,安全研究员Filip Dragovic发布了一个概念验证脚本,用于一种名为DFSCoerce的新NTLM中继攻击,该攻击使用Microsoft的分布式文件系统(MS-DFSNM)协议来中继针对任意服务器的身份验证。
DFSCoerce脚本基于PetitPotam漏洞利用,但它不使用MS-EFSRPC,而是使用MS-DFSNM,是一种允许通过RPC接口管理Windows分布式文件系统(DFS)的协议。
测试过新的NTLM中继攻击的安全研究人员表示,它很容易让对Windows域具有有限访问权限的用户成为域管理员。防止此类攻击的最佳方法是遵循微软关于减轻PetitPotam NTLM中继攻击的建议。
缓解措施包括在域控制器上禁用NTLM、在Active Directory证书服务服务器上禁用Web服务、以及启用对身份验证和签名功能的扩展保护以保护Windows凭据,例如SMB签名。
其他缓解方法包括使用Windows的内置RPC过滤器或RPC防火墙来防止服务器被强制通过MS-DFSNM协议。但是目前尚不清楚阻止DFS RPC连接是否会导致网络出现问题。
Microsoft在其环境中防止DFSCoerce攻击的指南中表示,“这项技术需要一个已经过身份验证的用户帐户,我们建议客户使用最佳安全实践,例如启用多因素身份验证,并尽快安装所有可用的安全更新。”
参考来源:BleepingComputer http://985.so/cbp0
(六)俄罗斯加强对乌克兰盟友的网络攻击
微软6月22日发布报告表示,俄罗斯情报机构已加强对在俄乌冲突后与乌克兰结盟的国家政府的网络攻击。自冲突开始以来,与多个俄罗斯情报机构(包括GRU、SVR和FSB)相关的威胁行为者试图破坏全球数十个国家的实体,优先考虑政府。
微软总裁兼副主席Brad Smith表示,“微软威胁情报中心MSTIC已检测到俄罗斯对乌克兰以外42个国家/地区的128个目标的网络入侵活动。这些代表了一系列可能直接或间接支持乌克兰国防的战略间谍目标,其中49%是政府机构。”
正如所料,这些攻击中的绝大多数主要集中在从目前在北约和西方对俄罗斯战争的反应中发挥关键作用的国家的政府机构获取敏感信息。
非政府组织(NGO)也成为另外12%的袭击目标,这可能是因为它们作为人道主义团体参与支持乌克兰难民和平民,或者作为专注于外交政策的智囊团。其余的攻击主要针对关键经济或国防工业部门的组织,以及能源或IT公司。
Smith补充表示,“虽然这些目标遍布全球,但所观察到的活动中有63%涉及北约成员国。根据MSTIC的观察,俄罗斯的网络间谍活动比其他任何国家都更关注美国的目标,美国的目标占乌克兰以外全球总数的12%。”
微软进一步透露,自俄乌冲突开始以来,俄罗斯支持的攻击者已经成功完成了29%的攻击。在四分之一的入侵中,他们还能够泄露被盗数据。
4月微软发布了另一份报告,重点关注俄罗斯针对乌克兰的网络攻击。俄罗斯支持的国家黑客是数百次针对该国基础设施和公民的企图的幕后黑手。攻击还传播了破坏性恶意软件,旨在摧毁关键系统,并破坏平民对可靠信息和关键生命服务的访问。
在2月23日至4月8日期间超过30次针对数十个乌克兰组织的破坏性攻击中,32%直接针对政府机构,而超过40%旨在破坏关键基础设施。
微软还注意到军事行动和网络攻击之间的直接联系,黑客攻击的时间与俄罗斯的围攻和导弹袭击的时间非常接近。
3月下旬,谷歌威胁分析小组(TAG)观察到由COLDRIVER俄罗斯威胁小组协调针对北约和欧洲军事实体发起的网络钓鱼攻击。3月初的另一份Google TAG报告包含与俄乌冲突有关的恶意活动的更多细节,还揭露了俄罗斯、中国和白俄罗斯国家黑客危害乌克兰和欧洲组织和官员的行为。
Smith补充表示,“俄罗斯的入侵部分依赖于网络战略,该战略至少包括三个不同的、有时是协调的努力,即乌克兰境内的破坏性网络攻击、乌克兰境外的网络渗透和间谍活动、以及针对世界各地人民的网络影响行动。这场战争让俄罗斯这个主要的网络强国不仅反对国家联盟。乌克兰的网络防御严重依赖于国家、公司和非政府组织的联盟。”
参考来源:BleepingComputer http://985.so/cmbv
(七)Automation Direct的PLC及HMI产品存在高危漏洞
工业网络安全公司Dragos研究人员发现,Automation Direct公司的一些PLC和HMI产品存在多个高危漏洞,可能允许攻击者造成破坏并对目标设备进行未经授权的更改。
对此美国CISA已经发布安全建议,并已通知组织。Automation Direct已修复了部分PLC和HMI产品中的高危漏洞。
Automation Direct总部位于美国乔治亚州卡明市,提供范围广泛的工业控制系统(ICS)。该公司直接在美国和加拿大销售其设备,但产品也通过国际分销商出售给世界其他地区的组织。
CISA已发布了三条安全建议,其中涉及影响C-more EA9工业触摸屏HMI的两个漏洞,包括影响安装程序的DLL劫持漏洞和与凭据传输不安全相关的问题。有权访问目标系统的攻击者通常可以利用DLL劫持漏洞,以提升权限执行代码。中间人(MitM)攻击者可以利用不安全的凭据传输来截取HMI Web服务器的用户凭据,并使用这些凭证登录系统。
随着固件版本6.73的发布,这些安全漏洞已得到修补。将HMI放在VPN后面并禁用Web服务器功能可以降低被利用的风险。Shodan搜索显示,数十个HMI直接暴露在互联网上,主要位于美国。
CISA的另外两项公告涉及DirectLOGIC PLC中的漏洞,一项针对串口通信,一项针对以太网通信。
一些带有以太网通信模块的DirectLOGIC设备受到两个漏洞的影响。攻击者可以通过发送特制数据包来访问控制器,这些数据包会导致设备进入拒绝服务(DoS)条件,或导致控制器以明文形式返回其密码。然后,攻击者可以使用该密码访问控制器并进行恶意更改。具有串口通信的PLC受到密码泄露漏洞的影响。
Automation Direct已发布固件版本2.72,以防止设备泄露密码。该供应商还增加了针对暴力攻击的保护措施,并就用户如何降低风险分享了一些建议。一些受影响的产品已经停产,并建议用户考虑将他们的设备升级到更新的型号。Dragos发现的这些漏洞编号为CVE-2022-2003、CVE-2022-2004、CVE-2022-2005和CVE-2022-2006。
参考来源:SecurityWeek http://985.so/iis8
(八)APT组织ToddyCat攻击欧洲及亚洲知名实体
卡巴斯基研究人员发现了一个名为ToddyCat的新APT组织,至少自2020年12月以来攻击欧洲和亚洲实体。威胁行为者最初针对台湾和越南的实体发起了网络间谍活动,该APT针对Microsoft Exchange服务器进行零日攻击。
攻击者利用该漏洞在目标系统上建立China Chopper Web Shell,这是与中国有关的威胁行为者常用的恶意代码。该工具允许攻击者在公开的Web服务器上安装PHP、ASP、ASPX、JSP和CFM Web Shell后门。一旦安装了China Chopper Web Shell,攻击者就可以通过暴露的网站完全访问远程服务器。ToddyCat使用web shell启动了涉及Samurai后门和Samurai木马的多级攻击链。
从2月26日到3月初,攻击者开始利用ProxyLogon漏洞对欧洲和亚洲的组织进行攻击。
卡巴斯基分析表示,“我们怀疑该组织于2020年12月开始利用Microsoft Exchange漏洞,但我们没有足够的信息来证实这一假设。无论如何值得注意的是,所有在12月至2月期间被感染的目标机器都是Microsoft Windows Exchange服务器。攻击者利用未知漏洞入侵了服务器,攻击链的其余部分与3月份使用的相同。”
第一波攻击专门针对Microsoft Exchange Server,被复杂的被动后门Samurai入侵。Samurai后门能够执行C#代码,并具有模块化架构,它允许操作员完全控制目标系统。该恶意软件还允许执行横向移动并加载其他恶意有效负载,包括一个名为Ninja的未知利用后工具包。
根据卡巴斯基的说法,Ninja是APT小组使用的一种协作工具,允许多个操作员同时在同一台机器上工作。它提供了大量命令来远程控制受感染的系统、避免检测并执行广泛的恶意活动。
研究人员观察到与该APT相关的其他针对多个国家实体的攻击,包括阿富汗、印度、印度尼西亚、伊朗、吉尔吉斯斯坦、马来西亚、巴基斯坦、俄罗斯、斯洛伐克、泰国、英国和乌兹别克斯坦。
卡巴斯基总结表示,“ToddyCat是一个复杂的APT组织,使用多种技术来避免检测,从而保持低调。我们无法将这些攻击归因于一个已知的组织,还有很多关于此次行动的技术信息我们还没有。受影响的政府和军方组织表明,该组织专注于非常引人注目的目标,并且可能用于实现可能与地缘政治利益相关的关键目标。根据我们的遥测,该组织对东南亚的目标表现出浓厚的兴趣,但他们的活动也影响到亚洲和欧洲其他地区的目标。”
参考来源:SecurityAffairs http://985.so/cmrw
(九)俄罗斯RSOCKS僵尸网络被查封关闭
美国司法部(DoJ)与德国执法合作伙伴共同查获了一个名为RSOCKS的俄罗斯僵尸网络的基础设施,该网络入侵了全球数百万台计算机和其他电子设备。
通常,僵尸网络是许多连接互联网的设备,每个设备运行一个或多个僵尸程序。僵尸网络可用于执行分布式拒绝服务攻击、窃取数据、发送垃圾邮件,并允许攻击者访问设备及其连接。
RSOCKS僵尸网络主要针对物联网(IoT)设备,包括工业控制系统、时钟、路由器、音频/视频流设备和智能车库开门器,这些设备连接到互联网并可以通过互联网进行通信,因此被分配有IP地址。目前RSOCKS僵尸网络正在攻击其他类型设备,包括Android设备和传统计算机。
美国检察官RandyGrossman表示,“RSOCKS僵尸网络入侵了全球数百万台设备。网络犯罪分子无论在哪里活动,都不会逃脱法律制裁。我们将与全球的公共和私人合作伙伴合作,不懈地追捕他们,同时使用我们掌握的所有工具来破坏他们的威胁,并起诉负责人。”
通常,真正的服务向其客户提供收费的IP地址,该服务提供对其从互联网服务提供商(ISP)租用的IP地址的访问。RSOCKS僵尸网络允许其客户访问分配给被黑客入侵的设备的IP地址。
美国司法部解释表示,RSOCKS僵尸网络通过互联网透明网络,而不是暗网网站,以每日、每周和每月的费率将受感染设备的IP地址出租给网络犯罪分子。
客户每天为访问2,000台代理计算机的费用为30美元,每天为访问90,000台代理的费用为200美元。客户可能会下载与其关联的IP地址和端口列表,并通过受感染的受害者设备路由恶意互联网流量,以隐藏流量的真实来源。这可能最终导致凭证填充和匿名化的大规模攻击。
联邦调查局(FBI)于2017年初开展了一项秘密行动,从RSOCKS进行了隐藏购买,以绘制其基础设施和受害者的地图,使其能够确定大约325,000台受感染的设备。
调查人员分析表示,RSOCKS僵尸网络通过暴力攻击破坏了受害者设备。大型公共和私人实体受到影响,包括大学、酒店、电视演播室和电子制造商,以及家庭企业和个人。
FBI特别负责人Stacey Moy表示,“这次行动破坏了一个高度复杂的俄罗斯网络犯罪组织,该组织在美国和国外进行网络入侵。我们打击网络犯罪平台是确保美国网络安全的关键组成部分。我们今天宣布的行动证明了FBI与国际和私营部门合作打击外国威胁行为者的持续承诺。”
参考来源:GBHackers http://985.so/cmhk
(十)汽车配件制造商Nichirin遭受勒索软件攻击
日本汽车和摩托车软管制造商Nichirin的美国子公司遭受了勒索软件攻击,导致该公司网络离线。该事件发生在6月14日,Nichirin的其他子公司没有受到影响。
该公司将优先恢复系统,以恢复业务运营。Nichirin目前正在调查网络攻击的全部影响,未经授权的访问是如何发生的,以及是否有信息泄露影响。该事件迫使该公司关闭了一些生产控制系统,并转向手动流程。由于网络攻击也影响了产品分销,并且订单是手动完成的,因此客户可能会延迟收到订单。
Nichirin生产用于汽车和摩托车的软管以及家用产品。该公司的业务遍及全球,在中国以及亚洲、北美和欧洲的其他地区设有生产基地。
Nichirin警告客户注意明显来自该公司的虚假电子邮件。“如果您回复这些电子邮件,则存在欺诈、病毒感染或泄露和滥用个人信息的风险。请不要回复任何不明邮件、访问URL、打开任何附件等,并立即删除该邮件。”
几个主要勒索软件组织的泄密网站还没有提到Nichirin。但是如果攻击是最近发生的,则该公司可能会在以后出现在泄密网站上,届时网络犯罪分子决定对受害者施加更大压力,或者确信自己不会获得报酬。
就在日本汽车零部件巨头Denso遭到勒索软件攻击几个月后,对Nichirin的攻击就发生了。Pandora勒索软件组织对该事件负责,声称窃取了1.4Tb的数据。
BlackFog首席执行官Darren Williams表示,“我们继续看到针对汽车、基础设施和政府部门制造商的威胁行为者。网络犯罪分子继续以基础设施较旧、在产品和人员方面缺乏网络安全投资的组织为目标。这些行业在攻击方面继续超过其他市场。这提醒人们,即使是供应链中最小的贡献者,也必须尽自己的一份力量来抵御网络攻击。”
参考来源:SecurityWeek http://985.so/cmbr
(十一)美国Flagstar银行泄露150万客户数据
美国Flagstar银行披露,其发生了数据泄露事件,有150万客户数据遭到泄露。经过调查,该银行于6月2日发现,黑客在去年12月发起了网络攻击,入侵了银行公司网络,访问了敏感的客户详细信息,包括全名和社会安全号码。
Flagstar是一家总部位于美国密歇根州的金融服务提供商,也是美国最大的银行之一,总资产超过300亿美元。
Flagstar在通知中表示,“在得知该事件后,我们立即启动了事件响应计划,聘请了在处理此类事件方面经验丰富的外部网络安全专业人员,并将此事报告给联邦执法部门。我们没有证据表明任何信息被滥用。尽管如此,出于非常谨慎的考虑,我们希望让您了解这一事件。”
Flagstar为受影响的个人提供免费的两年身份监控和保护服务。根据提交给缅因州总检察长办公室的信息,数据泄露影响了美国1,547,169人。
这是一年内第二次影响Flagstar及其客户的重大安全事件。2021年1月,勒索软件组织Clop通过利用零日漏洞入侵了Accellion FTA服务器,导致Flagstar客户端和员工数据的间接泄露。
该事件影响了与Accellion开展业务的众多实体,包括庞巴迪、新加坡电信、新西兰储备银行和华盛顿州审计署。
这一违规行为导致Flagstar银行被Clop勒索,其客户的数据暴露给网络犯罪分子,金融机构终止了与Accellion平台的合作。被盗数据样本包括姓名、社会安全号码、地址、税务记录和电话号码,最终在Clop的数据泄露网站上公布。
参考来源:BleepingComputer http://985.so/icky
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
