关键信息基础设施安全动态周报【2022年第26期】
发布时间:
2022-07-08
来源:
作者:
天地和兴
访问量:
88
目 录
第一章 国外关键信息基础设施安全动态
(一)Raspberry Robin蠕虫病毒已感染数百个组织网络
(二)野外零日漏洞一半是现有漏洞变体
(三)SessionManager后门攻击Microsoft IIS服务器
(四)ZuoRAT木马攻击SOHO路由器
(五)Django框架存在高危SQL注入漏洞
(六)以色列特拉维夫地铁建设遭受网络攻击
(七)美国防部针对公开资产启动漏洞赏金计划
(八)德国公布应对卫星网络攻击计划
(九)AstraLocker勒索软件关闭运营并发布解密程序
(十)朝鲜黑客组织Lazarus攻击Harmony区块链公司窃取1亿美元加密货币
(十一)万豪酒店证实遭受网络攻击泄露信息
(十二)美国IT服务提供商SHI遭受恶意网络攻击
第一章 国外关键信息基础设施安全动态
(一)Raspberry Robin蠕虫病毒已感染数百个组织网络
微软发现,Windows蠕虫Raspberry Robin已经感染了数百个组织的网络。Raspberry Robin是Red Canary网络安全研究人员发现的一种Windows蠕虫病毒,该恶意软件通过可移动USB设备传播。
恶意代码使用Windows Installer访问与QNAP关联的域并下载恶意DLL,该恶意软件使用TOR出口节点作为备份C2基础设施。
Raspberry Robin恶意软件于2021年9月首次被发现,针对技术和制造业的组织。初始访问通常是通过受感染的可移动驱动器,通常是USB设备。
研究人员表示,“Raspberry Robin通常是通过受感染的可移动驱动器引入的,通常是USB设备。Raspberry Robin蠕虫通常以快捷方式.lnk文件的形式出现,伪装成受感染USB设备上的合法文件夹。在受Raspberry Robin感染的驱动器连接到系统后不久,UserAssist注册表项就会更新,并在解密时记录引用.lnk文件的ROT13加密值的执行情况。q:\erpbirel.yax解密为d:\recovery.lnk。”
该恶意软件使用cmd.exe读取并执行存储在受感染外部驱动器上的文件,它利用msiexec.exe与用作C2的恶意域进行外部网络通信,以下载和安装DLL库文件。
然后msiexec.exe启动一个合法的Windows实用程序fodhelper.exe,该实用程序又运行rundll32.exe来执行恶意命令。由fodhelper.exe启动的进程以提升的管理权限运行,无需用户账户控制提示。寻找fodhelper.exe作为父进程,可以检测到威胁。
现在微软证实,威胁是在多个客户的网络上发现的,包括技术和制造部门的组织。微软通过发送给Microsoft Defender for Endpoint订阅者的私人威胁情报咨询警告其客户。
微软认为,Raspberry Robin对组织来说代表着高风险,因为它可能被威胁行为者用作目标网络的入口点,并传播额外的恶意有效负载。
参考来源:SecurityAffairs http://985.so/bbw5d
(二)野外零日漏洞一半是现有漏洞变体
截至2022年6月15日,谷歌已检测并披露了18个2022年在野外利用的零日漏洞,并发现至少有9个零日漏洞是之前修复过的漏洞的变体,至少有一半的零日漏洞可以通过更全面的修复和回归测试来预防。
除此之外,这些零日漏洞中有4个是2021年野外零日漏洞的变体,从最初的野外零日漏洞补丁仅仅过去了12个月,攻击者就带着漏洞变体出现了。这意味着在许多情况下,攻击并不那么复杂。相反,利用该漏洞威胁行为者能够通过不同的路径触发已知漏洞。
例如,最近发现的Windows平台的Follina漏洞CVE-2022-30190是MSHTML零日漏洞CVE-2021-40444的变体。另一个Windows漏洞CVE-2022-21882是去年没有正确修复的野外零日漏洞CVE-2021-1732的变体。
当人们想到零日漏洞利用时,通常认为这些漏洞利用技术非常先进,以至于没有希望捕获和阻止它们。然而事实并非如此,今年截至目前为止,至少一半的零日漏洞与先前的漏洞密切相关。
2022年发现的许多野外零日漏洞是由于之前的漏洞没有完全修补造成的,例如:Windows win32k(CVE-2022-21882)和Chromium属性访问拦截器漏洞(CVE-2022-1096),对概念验证漏洞利用的执行流程进行了修补,但没有解决根本原因问题,攻击者能够通过不同的路径触发原始漏洞。WebKit和Windows PetitPotam漏洞,尽管最初的漏洞之前已经被修补,但有时候出现了退化,因此攻击者可以再次利用相同的漏洞。iOS IOMobileFrameBuffer漏洞(CVE-2022-22587),通过检查大小是否小于某个数字来解决缓冲区溢出问题,但没有检查该大小的最小界限,是去年零日漏洞CVE-2021-30983的变体。
2022年在野外被利用的漏洞影响了Apple iOS、Confluence、Chrome、Linux、WebKit以及Windows等产品。
当在野外检测到零日漏洞时,就是攻击者的失败。为了正确解决零日漏洞,谷歌研究人员建议平台安全团队和其他独立安全研究人员投资于根本原因分析、变体分析、补丁分析和漏洞利用技术分析。
参考来源:ProjectZero http://985.so/bb2ug
(三)SessionManager后门攻击Microsoft IIS服务器
卡巴斯基研究人员发现了一个新SessionManager后门,自2021年3月以来一直针对Microsoft ISS服务器进行攻击。攻击目标包括非洲、南美、亚洲、欧洲、俄罗斯和中东的非政府组织、政府、军事和工业组织。
卡巴斯基表示,“由于类似的受害者,以及使用常见的OwlProxy变体,我们认为恶意IIS模块可能已被GELSEMIUM威胁行为者利用,作为间谍活动的一部分。”
SessionManager是用C++开发的,是一些IIS应用程序加载的恶意本机代码IIS模块,用于处理不断发送到服务器的合法HTTP请求。
这些恶意模块通常期待来自其运营商的看似合法但经过特殊设计的HTTP请求,根据运营商的隐藏指令触发操作,然后将请求透明地传递给服务器,以便像任何其他请求一样对其进行处理。
SessionManager的功能包括:读取、写入和删除受感染服务器上的任意文件;从受感染的服务器执行任意二进制文件,也就是远程命令执行;建立与受感染服务器可以访问的任意网络端点的连接,以及在此类连接中进行读写。
卡巴斯基发现,尽管仍在调查这些攻击,但之前发现的大多数恶意软件样本仍部署在24个组织的34台服务器上,直到2022年6月仍在运行。
此外在最初发现几个月后,仍然没有被流行的在线文件扫描服务标记为恶意软件。操作员试图从SessionManager下载和执行的工具包括用于Mimikatz DLL、Mimikatz SSP、ProcDump的基于PowerSploit的反射加载程序,以及来自Avast的合法内存转储工具。
研究人员表示,为了避免被安全产品检测到,SessionManager操作员试图通过Windows服务管理器命令行运行启动器脚本来进行额外的恶意执行。从2021年11月起,操作员试图利用自定义PyInstaller打包的Python脚本来混淆命令执行尝试。
卡巴斯基研究人员认为,作为全球间谍活动的一部分,SessionManager IIS后门被Gelsemium威胁行为者在这些攻击中利用。
自2014年以来,该黑客组织一直很活跃,当时G DATA在调查Operation TooHash网络间谍活动时发现了一些恶意工具。2016年,新的Gelsemium妥协指标在HITCON会议期间的Verint Systems演示中浮出水面。
卡巴斯基高级安全研究员Pierre Delcher表示,“自2021年第一季度以来,利用交换服务器漏洞一直是网络犯罪分子的最爱,他们希望进入目标基础设施。最近发现的SessionManager一年来一直检测不佳,目前仍然在野外部署。对于交换服务器而言,我们再怎么强调都不为过。过去一年的漏洞已使它们成为完美的目标,无论恶意意图如何,因此如果还没有发现,则应该仔细审核并监控隐藏的植入物。”
参考来源:GBHackers http://985.so/bb91f
(四)ZuoRAT木马攻击SOHO路由器
Lumen Technologies威胁情报部门Black Lotus Labs研究人员发现了一种名为ZouRAT的远程访问木马,针对小型办公室/家庭办公室(SOHO)设备攻击远程工作人员,近两年来一直没有被发现。
ZouRAT已部署在北美和欧洲的设备上,作为针对远程工作者的复杂活动的一部分,该活动可能由国家资助的威胁行为者进行。研究人员估计,至少有80个实体可能受到影响。
这些攻击始于2020年10月,针对华硕、思科、DrayTek和NETGEAR的SOHO路由器中的已知漏洞进行初始访问,然后攻击者可以枚举网络上的其他设备,并横向移动到更多系统。
Black Lotus Labs研究人员还发现证据表明,受感染网络上的工作站可能感染了两种自定义RAT,使攻击者能够下载和上传文件、运行命令并实现持久性。
ZuoRAT是专门针对SOHO路由器的多阶段RAT,能够枚举内部LAN、收集通过受感染设备传输的数据、并执行DNS和HTTP劫持等中间人攻击。
据Black Lotus Labs称,使用SOHO路由器进行网络枚举和流量劫持意味着该活动背后的威胁行为者具有高度的复杂性,可能暗示是一个国家支持的组织。
攻击中使用的Windows加载程序获取远程资源,可能会加载功能齐全的第二阶段代理。根据环境不同,代理可能是自定义RAT(用C++编写的CBeacon或用Go编写的GoBeacon,具有跨平台功能)或Cobalt Strike Beacon(用于代替CBeacon或GoBeacon)。
研究人员表示,ZuoRAT代理框架可以分为两个组件,一个包含可以自动运行的功能,另一个包含可能需要通过其他命令调用的功能。第一个组件旨在对网络进行深入侦察,而第二个组件包含其他命令,可能由根据第一个组件收集的信息下载的模块运行。
Black Lotus Labs表示,“我们观察了大约2,500个嵌入式功能,其中包括从密码喷射到USB枚举和代码注入等模块。我们重点关注LAN枚举功能,为攻击者提供了针对LAN环境的额外目标信息,以及随后的DNS和HTTP劫持功能,以及传统上防御者难以检测的攻击方式。”
研究人员还确定了模糊的、多阶段的命令和控制(C&C)基础设施,可能旨在服务于恶意软件感染的各个阶段。此外,C&C使用了中国的第三方基础设施,例如语雀和腾讯。
攻击者使用专用虚拟专用服务器(VPS)进行初始攻击,然后滥用路由器作为代理来隐藏C&C通信,并通过定期轮换代理路由器来避免检测。
参考来源:SecurityWeek http://985.so/bbwt4
(五)Django框架存在高危SQL注入漏洞
Django是一个免费且开源的基于Python的Web框架,已在其最新版本中修补了一个高危SQL注入漏洞CVE-2022-34265,存在于Django主要版本4.1、4.0和3.2中,发布的最新版本及补丁可以修补该漏洞。
预计有数以万计的网站使用Django作为其模型模板试图框架,其中不乏一些知名品牌,因此升级或修复此类Django漏洞至关重要。
Django团队发布了Django 4.0.6和Django 3.2.14版本,以修复该高危SQL注入漏洞,并敦促开发人员尽快升级或修补Django实例。
漏洞CVE-2022-34265允许威胁行为者通过提供给Trunc(kind)和Extract(lookup_name)函数的参数来攻击Django Web应用程序。
公告显示,“如果将不受信任的数据用作kind/lookup_name值,Trunc()和Extract()数据库函数就会受到SQL注入影响。将查找名称和种类选择限制到已知安全列表的应用程序不受影响。”
换句话说,如果应用程序在将这些参数传递给Trunc和Extract函数之前执行某种类型的输入清理或转义,则应用程序不会受到攻击。Aeye安全实验室的研究员Takuto Yoshikai发现了该漏洞。
对于无法升级到固定Django版本4.0.6或3.2.14的用户,团队已经提供了可应用于现有受影响版本的补丁。解决该问题的补丁已应用于Django的主要分支以及4.1、4.0和3.2版本分支。
Django团队进一步表示,“这个安全版本缓解了这个问题,但我们已经确定了与日期提取和截断相关的数据库API方法的改进,这将有利于在其最终版本之前添加到Django 4.1中。这将影响使用Django 4.1候选版本1或更新版本的第三方数据库后端,直到能够更新API更改。对于给您带来的不便,我们深表歉意。”
Django安全政策规定,任何潜在的安全问题都可以通过电子邮件私下报告,而不是使用Django的Trac实例或公共邮件列表。
参考来源:BleepingComputer http://985.so/bb942
(六)以色列特拉维夫地铁建设遭受网络攻击
据伊朗半官方法尔斯通讯社报道,以色列特拉维夫地铁的操作系统和服务器遭到了大规模网络攻击。
该报告基于巴勒斯坦激进组织Sabareen的Telegram频道。伊朗经常会在网络上散布谣言,试图让谣言看起来是真实的。在其他时候使用这种方法来传播想要向公众传达的信息。
据法尔斯报道,在有关攻击的报道之后,有澄清说网络攻击实际上是针对一家参与特拉维夫地区地铁系统建设的公司。该地铁最终将增加特拉维夫的轻轨,但仍在建设中,并卷入了以色列的政治争端。
据报道,这是犹太复国主义政权的政府网站和服务器第二次成为来自伊拉克的网络攻击的目标。这种类型的最新攻击可以追溯到去年6月底。最近发生了多起网络攻击事件,去年发生的网络攻击事件使犹太复国主义政权最大的运输公司瘫痪。
Sabareen的Telegram频道声称,伊拉克黑客以以色列数字情报为目标,伊拉克的黑客组织Al-Tahera也参与其中。
伊朗的Kayhan News也报道了这起事件。4月Sabareen的Telegraph频道声称黑客攻击了以色列机场管理局,据说是对美国杀害伊斯兰革命卫队圣城旅指挥官卡西姆·苏莱曼尼的报复。
参考来源:TheJerusalemPost http://985.so/bb9px
(七)美国防部针对公开资产启动漏洞赏金计划
美国国防部(DoD)启动了一项为期一周的漏洞赏金计划,以奖励在国防部拥有的可公开访问的资产中发现高危及严重漏洞的研究人员。
这个名为Hack US的新程序是在HackerOne平台上运行的国防部漏洞披露程序(VDP)的简短扩展,将于7月4日至7月11日期间向全世界的漏洞猎人和安全研究人员开放。
DoD/HackerOne发布的公告显示,“从2022年7月4日到2022年7月11日,只有在国防部拥有、运营或控制的任何可公开访问的信息系统、网络财产或数据上发现高危及严重漏洞才有资格获得赏金。此次参与的赏金池总额为110,000美元。75,000美元将按先提交、先授予的原则分配给漏洞提交,直到该75,000美元的资金池完全用完为止。35,000美元将用于漏洞奖励。”
该机构表示,在资金用尽后收到的提交将作为国防部VDP内的正常提交处理。“奖金的发放速度比烟花更快,只有高危及严重漏洞才能有资格获得赏金。题奖金可用于国防部不同领域的最佳发现。”
提供的最高漏洞赏金奖励为1,000美元,但国防部承诺为该事件的最佳发现提供5,000美元。国防部还宣布,这项挑战对全球公众开放,即使是政府雇员也可以在下班时参加。
参考来源:SecurityWeek http://985.so/bbam2
(八)德国公布应对卫星网络攻击计划
德国联邦信息安全办公室(BSI)发布了一份针对空间基础设施的IT基线保护配置文件,担心攻击者可能将目光转向太空。
该文件于6月30日发布,是空中客车国防与航天公司、德国航空航天中心(DLR)的德国航天局和BSI等机构一年工作的成果。该文件重点关注定义卫星网络安全的最低要求。
该指南将各种卫星任务的保护要求从“正常”到“非常高”分类,目标是覆盖尽可能多的任务。该文件还旨在涵盖从卫星制造到卫星运行的信息安全。
“正常”类别与有限且可控的损坏相关。“高”是严重限制卫星系统运行的后果严重的损害。至于“非常高”,攻击可能导致关闭并对运营商或制造商造成生存威胁的灾难性影响。
尽管该文档更多的是需要注意的基线,而不是一组简单的说明。卫星生命周期的各个阶段包括设计、测试、运输、试运行和最终退役。然后是用于支持航天器本身的网络和应用程序,一直到子网或服务器机房的级别。
随着卫星变得越来越智能,攻击面也越来越大。此外,扰乱星座和通信是冲突的另一个前沿。今年早些时候,欧洲航天局(ESA)邀请黑客对其OPS-SAT航天器(在受控环境中)进行破解,以了解和处理漏洞。
太空网络安全越来越重要。就在十多年前,两颗由美国维护的环境监测卫星遭遇“干扰”,而反卫星武器造成的破坏难以估量,网络战仍在继续蔓延。
该文件甚至考虑了卫星在其生命周期结束后的处理方式。该航天器可能包含各种加密秘密,如果被送往墓地轨道,则需要对其进行监控。
该文件警告表示,“即使所有要求都得到实施,也无法实现100%的安全性。针对各种设施的信息技术的有针对性攻击正在增加。已知系统中的安全漏洞正被越来越快地利用。通过适当的更新来及时纠正问题并不总是可能的。”这也同样适用于地面和轨道。
参考来源:TheRegister http://985.so/bb9fp
(九)AstraLocker勒索软件关闭运营并发布解密程序
AstraLocker勒索软件组织正在关闭运营,并计划转向加密劫持。勒索软件开发者向VirusTotal恶意软件分析平台提交了一个带有AstraLocker解密程序的ZIP存档。
经确认,该解密程序是合法的,并且对其中一个解密程序与最近的AstroLocker活动中加密的文件进行了测试,可以正常工作。虽然只测试了一个解密程序,并成功解密了加密的文件,但其他解密程序可能可以解密在之前的活动中加密的文件。
AstraLocker开发人员表示,“这很有趣,有趣的事情总有一天会结束。我正在关闭操作,解密程序在zip文件中,很干净。我会回来的。我现在不想再处理勒索软件了,我要去加密了。”
虽然开发人员没有透露AstraLocker关闭背后的原因,但很可能是由于最近的报道引起了突然宣传关注,这将使该行动成为执法部门的目标。
AstraLocker勒索软件的通用解密程序目前正在开发中,未来将由Emsisoft发布,Emsisoft是一家以帮助勒索软件受害者进行数据解密而闻名的软件公司。
虽然这不会像我们希望的那样经常发生,但其他勒索软件组织已经向安全研究人员发布了解密密钥和解密程序,作为关闭或发布新版本时的善意姿态。
过去发布的解密工具列表包括Avaddon、Ragnarok、SynAck、TeslaCrypt、Crysis、AES-NI、Shade、FilesLocker、Ziggy和FonixLocker。
正如威胁情报公司ReversingLabs最近透露的那样,与其他勒索软件相比,AstraLocker使用了一种有点非正统的方法来加密受害者的设备。
AstraLocker的运营商不会首先破坏设备,通过黑客攻击或从其他威胁行为者那里购买访问权限,而是直接使用恶意Microsoft Word文档从电子邮件附件中部署有效负载。
AstroLocker攻击中使用的诱饵是隐藏带有勒索软件有效负载的OLE对象的文档,当目标单击打开文档时显示的警告对话框中运行后,将部署勒索软件有效载荷。
在对现在受到攻击的设备上的文件进行加密之前,勒索软件将检查是否在虚拟机中运行、终止进程、并停止会阻碍加密过程的备份和AV服务。
根据ReversingLabs的分析,AstraLocker是基于泄露的Babuk Locker勒索软件源代码,这是一种在2021年9月退出该领域的有缺陷但仍然很危险的病毒。此外AstraLocker勒索信件中的一个门罗币钱包地址也与Chaos勒索软件运营商有关。
参考来源:BleepingComputer http://985.so/bb95v
(十)朝鲜黑客组织Lazarus攻击Harmony区块链公司窃取1亿美元加密货币
威胁行为者从区块链公司Harmony窃取了价值1亿美元的加密货币。研究人员发现攻击者疑似是朝鲜的黑客组织Lazarus。
Harmony公司向当局报告了这一事件,联邦调查局正在几家网络安全公司的帮助下调查这起网络盗窃案。
Harmony的Horizon Bridge允许用户将其加密资产从一个区块链转移到另一个区块链,该公司立即停止了该桥以防止进一步交易,并通知其他交易所。该公司还提供100万美元的赏金以换取资金的返还。
区块链安全公司CertiK发布了对该事件的详细分析,证实攻击者能够访问Horizon的multiSig钱包的所有者,然后从Harmony中抽走资金。
CertiK分析表示,“2022年6月23日上午11:06:46+UTC,Harmony链和以太坊之间的桥梁经历了多次攻击。我们的专家分析已经确定了十二个攻击交易和三个攻击地址。通过这些交易,攻击者在桥上获得了各种代币,包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。这些交易的价值各不相同,但从49,178美元到41,200,000美元不等。攻击者通过以某种方式控制MultiSigWallet的所有者直接调用confirmTransaction(),以从Harmony的桥上转移大量代币来实现这一点,这导致Harmony链上的总资产损失约为9700万美元,攻击者已将该链整合到一个主地址中。”
6月27日,威胁行为者已开始通过Tornado Cash混合器服务转移资金,约3900万美元,以清洗非法利润。好消息是,区块链安全公司Elliptic即使在使用混合服务之后也能够分析交易。据Elliptic称,与朝鲜有关的Lazarus APT是这次袭击的幕后黑手。
Elliptic分析表示,“根据黑客行为的性质以及随后对被盗资金的清洗,有强烈迹象表明,朝鲜的Lazarus组织可能对此次盗窃负责。据信,Lazarus从交易所和DeFi服务中窃取了超过20亿美元的加密资产。盗窃是通过破坏多重签名钱包的加密密钥进行的,可能是通过对Harmony团队成员的社会工程攻击,Lazarus组织经常使用这种技术。”
据该公司称,威胁行为者可能通过针对Harmony团队成员的社会工程攻击,破坏了多重签名钱包的加密密钥。Elliptic研究人员指出,在相对较短的时间内,被盗资金停止从Tornado Cash中转出,与亚太时区的夜间时间一致。
Elliptic分析表示,“Tornado中的存款在很长一段时间内的规律性表明,正在使用自动化过程。从Ronin Bridge窃取的资金有非常类似的程序性洗钱活动,被认为是Lazarus所为,以及与该组织有关的一些其他攻击。”
此后,Harmony已通知所有加密货币交易所,并让执法部门和区块链取证公司帮助追回被盗资产。还为网络窃贼提供了“最后一次机会”,可以在格林威治标准时间2022年7月4日晚上11点之前匿名将资金退回,并保留1000万美元并返还剩余金额。
参考来源:SecurityAffairs http://985.so/bbxpb
(十一)万豪酒店证实遭受网络攻击泄露信息
全球知名连锁酒店万豪7月5日证实,其计算机网络遭受了身份不明的黑客入侵,然后进行勒索。这是该酒店遭受的网络攻击中最新的一次。
据databreaches报道,该事件发生在大约一个月前,攻击者是一个自称工作了大约五年的国际组织。
万豪酒店一位发言人表示,“该公司意识到有威胁行为者使用社会工程欺骗的万豪酒店的一名员工,让其访问该员工的电脑。访问仅在一天内发生了很短的时间。万豪在威胁者联系公司进行勒索之前就发现并调查了这起事件,并且没有付款。”该公司已通知执法部门。
威胁行为者声称从巴尔的摩机场万豪酒店的一名员工那里窃取了大约20GB的数据,其中包括信用卡信息和有关客人和员工的机密信息。攻击者向万豪的众多员工发送了电子邮件,告知此次违规行为,并且至少与万豪进行了有限的沟通。
万豪发言人表示,“事件确实涉及访问大约20GB的文件,但所涉及文件的大小并不代表内容。”
攻击者提供了被盗文件样本,并展示了截图,显示了自2022年1月以来航空公司机组人员的预订日志和信用卡授权表格。同时攻击者还共享了另一个相对较新的文件。
万豪表示,大部分被盗信息是关于酒店运营的非敏感内部业务文件,并将根据需要通知300-400人和监管机构。
万豪酒店过去曾遭受过严重的数据泄露,在2018年11月该公司披露黑客入侵了其子公司品牌的一个预订系统,并窃取了大约5亿客人的个人数据。许多美国官员和私人分析人士指责中国政府在2014年至2018年间进行了这次黑客攻击。2020年3月披露的违规行为使黑客获得了多达520万客人的数据。
参考来源:CyberScoop http://985.so/bb93x
(十二)美国IT服务提供商SHI遭受恶意网络攻击
美国IT服务提供商SHI遭受了恶意网络攻击,该公司已迅速采取措施,被迫将部分系统离线,包括公共网站和电子邮件,尽量减少对系统和运营的影响。目前没有证据表明客户数据在攻击期间被泄露,SHI供应链中没有第三方系统受到影响。
SHI声称是北美最大的IT解决方案提供商之一,2021年的收入为123亿美元,在美国、英国和荷兰的运营中心在全球拥有5,000名员工,为全球超过15,000家企业、企业、公共部门和学术客户组织提供服务。
SHI在声明中表示,“在7月4日假期周末期间,SHI成为专业恶意软件攻击的目标。得益于SHI的安全和IT团队的快速反应,该事件被迅速确定并采取了措施,以尽量减少对SHI系统和运营的影响。预防措施包括在调查攻击和评估这些系统的完整性时,使一些系统脱机,包括SHI的公共网站和电子邮件。”
在攻击发生后,SHI在其网站上警告客户及访问者,其信息系统正在进行维护,可能发生持续中断。一些网站页面返回Amazon CloudFront/S3 SHI错误。
截至7月6日,SHI员工可以再次访问电子邮件,SHI的IT团队继续致力于以安全可靠的方式使其他系统恢复完全可用。客户可以通过电子邮件和电话完全访问其客户团队和专家。
虽然对该事件的调查仍在进行中,并且SHI正在与包括FBI和CISA在内的联邦机构联络,但没有证据表明客户数据在攻击期间被泄露。SHI供应链中没有第三方系统受到影响。SHI将在恢复正常业务时通知客户。
参考来源:SHI http://985.so/bbabr
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯