关键信息基础设施安全动态周报【2022年第29期】
发布时间:
2022-07-29
来源:
作者:
访问量:
88
目 录
第一章 国外关键信息基础设施安全动态
(一)数字安全公司Entrust遭受黑客攻击泄露内部数据
(二)意大利税务机构遭受LockBit勒索软件攻击
(三)Moxa Nport设备存在高危漏洞关键基础设施面临风险
(四)西班牙辐射警报系统遭受网络攻击
(五)威胁行为者在漏洞披露15分钟内就开始扫描漏洞
(六)数据泄露成本创历史新高
(七)Lightning Framework恶意软件针对Linux系统
(八)新型Luna勒索软件可跨Windows、Linux和ESXi系统
(九)美国运输安全管理局更新管道网络安全指令
(十)受害者向勒索者支付的赎金金额持续下降
(十一)威胁行为者使用GoMet后门攻击乌克兰软件公司
(十二)乌克兰广播电台遭受黑客攻击播放有关泽连斯基健康状况虚假信息
第一章 国外关键信息基础设施安全动态
(一)数字安全公司Entrust遭受黑客攻击泄露内部数据
数字安全领域知名企业Entrust最近在其网站上宣布,其遭受了黑客攻击,攻击者突破了他们的防火墙,并通过网络漏洞从内部系统中窃取了数据。
Entrust是一家在线信任和身份管理公司,专门从事在线信任和身份的部署和管理,提供各种安全服务,例如加密通信、安全数字支付、身份证签发解决方案。
该公司安全服务被美国的几个关键政府机构和组织使用。因此根据此次事件的性质和所提供的服务,很明显,大量关键组织会感受到这次攻击的影响,包括以下关键机构和组织:能源部、国土安全部、财政部、卫生与公共服务部、退伍军人事务部、农业部。
在6月18日发生的网络攻击中,Entrust遭到破坏,重要的公司数据被黑客窃取。直到最近,在安全研究员Dominic Alvieri发布屏幕截图之后,Entrust客户才收到了违规通知。
屏幕截图本身似乎是一份安全通知,发给Entrust的客户。已在发送给Entrust客户的安全通知中确认存在安全漏洞。目前尚不清楚所涉及的数据是否完全是企业数据,或者是否还包括客户和供应商的数据。
据推测,这次攻击是由一个著名的勒索软件团伙实施的,目的是向公司勒索钱财。目前尚不清楚攻击期间使用的加密的确切性质,甚至设备是否已加密。
一旦有关被盗数据的公开信息公布,很可能会揭露攻击背后的勒索软件操作。已确认Entrust与一家领先的网络安全公司正在执法机构的帮助下积极调查此次攻击。目前似乎并未影响公司运营。
参考来源:GBHackers http://985.so/b2jzw
(二)意大利税务机构遭受LockBit勒索软件攻击
LockBit勒索软件组织声称,其入侵了意大利国税局(L'Agenzia delle Entrate),并窃取了100GB的数据,包括公司文件、扫描件、财务报告和合同,如果意大利税务机构在8月1日之前不支付赎金要求,这些数据将在网上泄露。对此意大利当局正在展开调查。
意大利税务局在其网站上分享了一份关于“涉嫌从税务信息系统中窃取数据”的官方声明,要求Sogei SpA公司对此事件进行调查。Sogei是一家负责管理财政部技术基础设施的经济和财政部拥有的上市公司。
Sogei SpA表示,“从进行的技术调查来看,Sogei排除了该机构网站可能发生的网络攻击。”Sogei SpA还管理其他意大利机构使用的IT基础设施,包括司法部、内政部和教育部、州检察长和财政部。
Sogei发言人表示,“没有针对金融管理局的技术平台和基础设施的网络攻击。由于调查正在进行中,无法提供进一步的细节。”
该公司还在其网站上分享了一份官方声明,称没有发现网络攻击影响意大利税务局的证据。
Sogei表示,“关于对税务信息系统的所谓网络攻击,Sogei spa告知,从进行的第一次分析开始,没有发生网络攻击,也没有从金融管理局的平台和技术基础设施中窃取数据。因此,从进行的技术调查中,Sogei排除了对税务局网站的网络攻击。”
Sogei SpA补充表示,它目前正在合作并支持由意大利国家网络安全局和邮政警察协调的正在进行的联合调查。
LockBit勒索软件团伙于2019年9月首次以勒索软件即服务(RaaS)的形式浮出水面,并在勒索软件团体被禁止在网络犯罪论坛上发帖后,于2021年6月以LockBit 2.0的形式重新出现。
今年2月,FBI发布了一个紧急警报,其中包含与LockBit勒索软件攻击相关的危害指标,占2022年5月所有已知勒索软件攻击的40%,要求该RaaS附属机构针对的组织紧急报告任何事件。
上个月,LockBit发布了LockBit3.0,推出了第一个勒索软件漏洞赏金计划、新的勒索策略、和Zcash加密货币支付选项。
参考来源:BleepingComputer http://985.so/b27kh
(三)Moxa Nport设备存在高危漏洞关键基础设施面临风险
Moxa制造的广泛使用的工业连接设备NPort5110中存在两个高危漏洞,可造成重大破坏。目前漏洞均已修复。
Moxa是总部位于台湾的工业网络和自动化解决方案提供商,CVE-2022-2043和CVE-2022-2044是高危漏洞,影响了Moxa的NPort5110设备服务器,该服务器旨在将串行设备连接到以太网网络。远程攻击者可以利用这些漏洞使目标设备进入拒绝服务(DoS)状态。
Moxa和CISA已针对这些漏洞发布了公告。Moxa表示只有固件版本2.10受到影响,并指示客户联系其技术支持部门寻求帮助。CISA要求受影响的组织联系Moxa以获取安全补丁。
丹麦工业网络安全公司En Garde Security研究员Jens Nielsen报告了这些漏洞。En Garde Security所有者Mikael Vingaard表示,其公司的研究部门在2022年3月上半月发现了这些漏洞,当时向供应商提供了概念验证(PoC)脚本和显示漏洞利用的视频。
Vingaard表示,虽然Moxa NPort设备不应该暴露在互联网上,但实际上许多设备都可以通过网络访问。Shodan搜索显示超过5,000台设备,虽然可能有一些蜜罐,但Vingaard表示,不可能都是蜜罐。
利用这两个漏洞只需要与目标设备建立网络连接。漏洞利用可以在几秒钟内执行,并且可以通过互联网自动化和执行。
受影响的NPort设备在全球范围内使用,包括能源、关键制造和运输系统等关键基础设施领域。有报道称,这些类型的设备在2015年对乌克兰电网的攻击中成为破坏目标,导致严重停电。
利用En Garde研究人员发现的漏洞可能会导致这些部门的关键服务中断,Vingaard将易受攻击的Moxa设备描述为“我们社会重要基础设施服务的一小部分”。
Vingaard解释表示,第一个DoS漏洞允许攻击者使目标设备停止响应合法命令。“重新控制设备的唯一方法是让工作人员关闭或打开设备电源,这需要有人亲自到场。这可能经常在偏远地区造成问题,在那里可能需要大量时间才能让人员到达现场,而在重新获得控制权的时间可能很重要的情况下,并不理想。”
第二个漏洞是越界问题,攻击者可以访问和/或覆盖设备上的元素,从而导致数据崩溃或损坏。这可能使系统无法运行,在某些情况下,可能导致设备永久损坏。
参考来源:SecurityWeek http://985.so/b20u2
(四)西班牙辐射警报系统遭受网络攻击
西班牙警方宣布逮捕了两名黑客,他们在2021年3月至2021年6月之间对西班牙放射性警报网络(RAR)进行了网络攻击。
这两名被捕者是与民防和紧急情况总局(DGPGE)签订合同维护RAR系统的公司的前员工,因此他们对其运作以及如何进行有效的网络攻击有深入的了解。
两名被捕人员非法访问DGPGE的网络,并试图删除控制中心的RAR管理Web应用程序。与此同时,两人对传感器发起了单独攻击,摧毁了遍布西班牙的800个传感器中的300个,基本上破坏了了它们与控制中心的链接,并中断了数据交换。
在当局发现违规行为并在国家警察网络犯罪部门的帮助下立即展开调查后,针对RAR的网络破坏活动于2021年6月停止。最终,在追踪黑客的踪迹一年之后,警方可以找到网络攻击的负责人。
国家警察局表示,“经过一年的调查,警方对被破坏传感器的所有通信以及与入侵计算机系统相关的数据进行了详尽的技术分析,这些数据的来源可能位于马德里市中心一家知名酒店的公用网络中,从而确定了网络攻击的作者。”
警方公告显示,“在马德里和圣阿古斯丁德瓜达利克斯进行的同一行动中,在马德里第39号调查法院的两项命令的保护下,对两所房屋和一家公司进行了搜查,发现了许多与事实有关的计算机和通信设备调查。”
西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营着七座核反应堆,该计划满足了其大约20%的国家电力需求。
RAR系统的作用是检测放射性水平的突然上升,并发出警报,以帮助当局采取保护措施、检测和补救问题。RAR包括部署在该国特定地点的800个伽马辐射传感器,每个传感器都通过电话线连接到DGPCE总部的控制中心。
网络攻击阻止了其中300个传感器将其读数传回中心,从而导致西班牙无法立即对过度辐射事件做出响应,面临严重风险。警方的公告中没有提供进一步的细节,因此破坏的原因尚不清楚。
参考来源:BleepingComputer http://985.so/b20i3
(五)威胁行为者在漏洞披露15分钟内就开始扫描漏洞
Palo Alto研究人员发现,攻击者利用零日漏洞的速度越来越快,攻击者通常会在漏洞发布后的15分钟内开始扫描漏洞。黑客一直在监视软件供应商公告板上是否有新的漏洞公告,可以利用这些漏洞公告对公司网络进行初始访问或执行远程代码执行。
Palo Alto Unit 42在《2022事件响应报告》中涵盖了600起事件响应案例,其中包括2021年最严重的漏洞Exchange Server ProxyShell和ProxyLogon漏洞、持久性Log4Shell漏洞、SonicWall零日漏洞和Zoho ManageEngine漏洞。
Unit 42在报告中表示,“每当公布新漏洞时,我们的威胁情报团队都会观察到对对易受攻击系统的广泛扫描。”
另一个使攻击者迅速扫描互联网以查找受影响设备的主要漏洞是F5 Big-IP软件中的严重漏洞,CISA在5月将其添加到其不断增长的已知被利用漏洞目录中。Palo Alto Networks在推出漏洞签名后的10小时内对其进行了2,500次扫描。
虽然网络钓鱼仍然是最大的初始访问方法,占事件响应案例的37%,但软件漏洞占31%。暴力凭证攻击(如密码喷洒)占9%,而较小的类别包括先前泄露的凭证(6%)、内部威胁(5%)、社会工程(5%)和滥用信任关系/工具(4%)。
被确定为初始访问来源的漏洞中,超过87%属于六个漏洞类别之一。最常见的初始访问漏洞是Exchange Server ProxyShell漏洞,占响应案例中的55%。微软在2021年初为ProxyShell和相关的ProxyLogon漏洞打了补丁,但也成为了包括Hive勒索软件团伙在内的几个威胁行为者的首要目标。
Log4j仅占14%,其次是SonicWall(7%)、ProxyLogon(5%)、Zoho ManageEngine(4%)和FortiNet(3%),其他漏洞占剩余的13%。
仅查看涉及勒索软件的事件响应案例,22%来自Conti组织,其次是LockBit2.0(14%)。其余勒索软件团伙各占不到10%,包括Hive、Dharma、PYSA、Phobos、ALPHV/BlackCat、REvil和BlackMatter。
该公司预测,由于利润丰厚的勒索软件和非加密勒索攻击以及全球经济压力,将看到更多涉及不熟练的威胁行为者参与网络犯罪的案件。
由于执法部门成功地将加密钱包追踪到其所有者,以及加密货币的不稳定性,Unit42还预测商业电子邮件欺诈可能会增加,价值430亿美元,在公开讨论中被破坏性勒索软件攻击所掩盖。
参考来源:ZDNet http://985.so/b20bt
(六)数据泄露成本创历史新高
IBM Security研究表明,数据泄露的全球平均成本达到了435万美元的历史最高水平,组织缺乏零信任原则,正在推高这些成本。
IBM Security委托Ponemon Institute进行了这项研究,研究指出,在过去两年中,全球平均数据泄露成本攀升了近13%,高达83%的组织经历了不止一次数据泄露。
该《2022年数据泄露成本》报告研究了2021年3月至2022年3月期间遭受数据泄露影响的约550家企业,IBM Security表示,这些数据涵盖了全球17个国家/地区的组织。
报告指出,泄露后的后果会产生萦绕效应,会有挥之不去的效果,在遭受数据泄露后一年多的泄露成本加起来超过了一半。
IBM Security表示,“在报告的过去两年中,泄露成本增加了近13%,调查结果表明,这些事件也可能导致商品和服务成本上升。”大约60%的受调查组织“因泄露而提高了产品或服务价格”。
该研究呼吁特别关注关键基础设施组织承担的成本,平均泄露成本达到482万美元,远高于其他行业企业的平均成本。
IBM Security研究发现,金融服务、工业、技术、能源、运输、通信、医疗保健、教育和公共部门行业的公司受到勒索软件攻击的严重影响,28%的公司受到数据盗窃和勒索泄露的影响。
更糟糕的是,该研究发现,大约20%的关键基础设施组织因第三方业务合作伙伴受到损害而遭受破坏。
IBM Security表示,在接受这项研究调查的550家组织中,拥有全面部署安全AI和自动化系统的公司表现更好,与没有此类防御措施的组织相比,这些组织的违规成本降低至约305万美元。
IBM Security表示,“这65.2%的平均违规成本存在差异,完全部署的315万美元与未部署的620万美元之间,代表了研究中最大的成本节约。与没有安全AI和自动化的公司相比,拥有全面部署安全AI和自动化的公司平均缩短了74天的时间来识别和遏制违规行为,也就是违规生命周期,从323天缩减至249天。使用安全性人工智能和自动化在两年内增长了近五分之一,从2020年的59%上升到2022年的70%。”
该研究还发现,实施零信任原则的公司能够更好地管理数据泄露造成的成本。在参与该研究的550家组织中,高达60%的组织没有部署零信任安全措施,从而推高了违规后成本。“与部署零信任的组织相比,未部署零信任的组织平均要承担100万美元的违规成本。”
报告指出,“在关键基础设施组织中,79%没有部署零信任。这些组织平均遭受540万美元的违规成本,比全球平均水平高出100万美元以上。”
该研究连续第12年发现,医疗保健行业的平均违规成本最高,在1000万美元范围内。金融机构的成本第二高,平均为597万美元,其次是药品,为501万美元,技术为497万美元,能源为472万美元。
该研究还发现,成为勒索软件攻击受害者的组织并没有显着降低成本,即使在支付赎金要求以检索有价值的数据之后也是如此。
研究发现,“选择支付威胁赎金要求的勒索软件受害者,与选择不支付赎金的受害者相比,平均违规成本仅减少了610,000美元,不包括赎金成本。考虑到赎金支付的高昂成本,财务损失可能会更高,这表明简单地支付赎金可能不是一种有效的策略。”
研究还发现,安全云部署存在重大差距,约43%的受访者处于“早期阶段或尚未开始在其云环境中应用安全实践”。
参考来源:SecurityWeek http://985.so/b2736
(七)Lightning Framework恶意软件针对Linux系统
Intezer研究人员发现了一种以前没有被检测到的恶意软件,名为Lightning Framework,以Linux系统为目标,恶意代码具有模块化结构,并且能够安装rootkit。
Intezer发表的研究报告表示,“Lightning Framework是一种新的没有被检测到的Linux恶意软件,具有模块化插件和安装rootkit的能力。很少见到针对Linux系统开发的如此复杂的框架。”
Lightning框架可以安装多种类型的rootkit,并运行不同的插件。该框架能够在受感染的机器上打开SSH。该框架由下载器和核心模块组成,可以使用许多插件来扩展其功能,其中一些是开源工具。
下载程序的主要功能是获取其他组件并执行核心模块。核心模块旨在接收来自C2的命令并执行插件。该恶意软件尚未在野外被发现,其某些组件(在源代码中引用)尚未被发现和分析。
该恶意软件使用仿冒域名来逃避检测,例如,下载程序伪装成Seahorse GNOME密码和加密密钥管理器来逃避检测。当数据采用JSON结构时,核心模块和下载模块都通过TCP套接字与C2通信。
研究分析表示,“C2存储在一个多态编码的配置文件中,对于每个创建都是唯一的。这意味着将无法通过哈希等技术检测到配置文件。密钥内置在编码文件的开头。”
如果操作员执行RunShellPure命令,该框架还可以使用被动通信模式。这会使用Linux.Plugin.Lightning.Sshd插件在受感染机器上启动SSH服务,该插件是一个具有硬编码私钥和主机密钥的OpenSSH守护程序。操作员可以使用自己的SSH密钥打开SSH进入受感染的机器。
研究人员发现,该恶意软件还通过使用分时扫描修改恶意工件的时间戳来隐藏其存在。这些文件的最后修改时间已被编辑以匹配whoami、find或su。该框架还使用它可以部署的rootkit之一隐藏其进程ID(PID)和任何相关的网络端口。
核心模块通过在/etc/rc.d/init.d/下创建一个名为elastisearch的脚本来实现持久性,该脚本在系统启动时执行。这个名字似乎是拼写错误的elasticsearch。
研究分析表明,“Lightning Framework是一个有趣的恶意软件,因为针对Linux开发的如此庞大的框架并不常见。虽然我们没有所有文件,但我们可以根据我们拥有的模块的字符串和代码推断出一些缺失的功能。”
参考来源:SecurityAffairs http://985.so/b2jxw
(八)新型Luna勒索软件可跨Windows、Linux和ESXi系统
卡巴斯基安全研究人员最近发现了一个名为Luna的新勒索软件系列,是由Rust编写的,可用于加密多个操作系统设备,包括Windows、Linux和ESXi。Luna的命令行选项非常简单,仍在开发中,加密方案结合了x25519和AES,可以轻松移植到不同的平台,并帮助规避静态分析。
Luna是继BlackCat和Hive之后使用Rust编写的第三个勒索软件。Luna是通过勒索软件论坛上的广告在暗网上被发现的。Luna似乎是专门为讲俄语的恶意行为者设计和定制的。
与其他勒索软件不同,Luna的命令行选项非常简单,该程序仍处于早期开发阶段。这可以归因于其设计的简单性,这限制了程序的功能。
Luna的密钥交换协议采用X25519椭圆曲线Diffie-Hellman算法和AES算法,兼顾高安全性和速度。在此过程中,Curve25519作为关键成分之一,发挥着至关重要的作用。
研究人员能够获得另一个名为Black Basta的勒索软件活动的详细信息。这种新的勒索软件变种Black Basta自2022年2月以来一直存在,但直到最近才被发现。
每个加密文件名都附加了.basta扩展名,并在每个文件夹中创建了一个名为readme.txt的赎金记录。此外,Black Basta勒索软件可以通过在安全模式下启动Windows系统来绕过多个端点安全解决方案。
由于Rust平台还相对未知,这种新勒索软件背后的团队能够以可扩展的方式开发和部署该新勒索软件。只需进行相对较少的修改,即可将源代码移植到各种平台。Luna勒索软件还具有使用跨平台语言规避静态代码分析尝试的能力。
据Luna称,网络犯罪团伙越来越多地使用跨平台勒索软件从受害者那里勒索钱财,使用的语言包括Rust和Go。
目前,关于受害者使用Luna勒索软件加密的内容的信息非常少,很可能会有任何后果,因为该组织刚刚被发现,其活动仍在记录中。
参考来源:GBHackers http://985.so/b25km
(九)美国运输安全管理局更新管道网络安全指令
美国运输安全管理局(TSA)更新了其关于石油和天然气管道网络安全的指令,为所有者和运营商实现其描述的目标提供了更大的灵活性。
2021年5月,与俄罗斯有关的网络犯罪组织针对Colonial Pipeline发起了勒索软件攻击,迫使其关闭系统。对此TSA发布了一项指令,要求管道所有者和运营商提高防御能力,并在发生攻击时与当局合作。
然而,这些不灵活和令人困惑的要求给管道行业带来了一些严重的问题。管道和网络安全行业的组织和专家抱怨说,一些要求似乎是为IT系统而不是OT设计的最佳实践。将IT安全原则应用于OT可能会导致严重的中断和安全问题。例如,一条规则要求在相当短的时间内重置所有工业系统的密码,这在OT系统中比在IT系统中要困难得多。
Politico在5月报道称,此类问题导致许多管道组织要求采取变通措施及更多时间来遵守,TSA网络安全团队对此进行了响应。
最新版本的安全指令名为Security Directive Pipeline-2021-02C,于7月27日生效,并于2023年同日到期,旨在通过为业主和运营商提供更多灵活性,来解决其中许多问题。
TSA表示,新规则是根据从行业收到的反馈制定的,重点关注“基于性能的措施,而不是规定性的措施,以实现关键的网络安全成果。”这些成果包括制定网络分段策略和控制措施,以确保OT在IT受损时的安全,并制定访问控制措施,以防止未经授权访问关键系统。
管道组织还需要建立持续的威胁和异常监控和检测策略和程序,以及降低利用未打补丁的系统的风险。组织还需要制定网络安全实施和事件响应计划,并且必须制定网络安全评估计划,来主动测试和审核其网络安全措施的有效性。
Xage公司首席执行官Duncan Greatwood评论表示,“也许最强烈的结果是TSA正在寻求为运营商用来增强网络安全的方法提供更多选择。虽然这个想法已经出现在去年的法规草案中,但是以替代方法的名义,这个想法现在被称为补偿控制,已经成为所需保护的核心。”这有助于保护关键基础设施。
Greatwood补充表示,“TSA表示,大多数运营资产缺乏强大内置安全性的关键基础设施元素都不需要被连根拔起。相反,这些关键资产将需要补偿控制来保护它们。换句话说,这是一种保护易受攻击资产的方法,以弥补它们缺乏内置的安全功能。几个月前,TSA批准了对北美最大的石油和天然气管道运营商之一的补偿控制。运营商通过网格覆盖采用访问控制,允许他们在750多个站点推出零信任解决方案,而不会对其现有的5000多个运营技术资产产生任何影响。该战略的批准表明,TSA愿意评估和批准补偿控制,以实现网络强化石油和天然气管道基础设施的最终目标。”
工业网络安全公司Dragos服务副总裁Ben Miller赞扬政府制定了基于与行业利益相关者合作的新指令。“新的重点是基于绩效,而非规定性的措施,以实现战略网络安全成果,并适应系统和运营的差异,这将有助于支持该行业和个别公司的不同需求和挑战。此外,TSA将与所有者和运营商合作,确定日期和其他决策,使其成为对话,而不是命令,并帮助改进战术执行。此外,专注于持续监控和审计,以评估成果的实现,以及批准使用补偿控制,这对所有管道所有者和运营商来说是一个重大改进。”
TSA还宣布,它打算启动正式的规则制定程序,将安全指令公开征求公众意见。
OT网络安全公司SynSaber首席技术官Ron Fabela表示,“这是任何成功的监管框架的关键,也是对指令的一个受欢迎的补充。”
埃森哲高级董事总经理兼全球网络安全行业集团负责人Jim Guinn表示,最新的指令修改为管道所有者和运营商提供了个性化,防御战略和变得更有弹性和灵活性。“虽然我们正在取得进展,但仍有改进的空间,包括维持常青资产库存和替代措施的信息共享实践,这将有助于更好地确保整个能源价值链的安全。”
虽然新的安全指令更好地区分了IT和OT,但仍有一些问题需要解决。
SynSaber的Fabela表示,“在获得批准的网络安全实施计划(CIP)之前,之前的安全指令要求仍然有效。尽管计划必须在90天内提交,但没有关于何时批准的时间表,因此在快速执行要求以及跟踪此类行动的合规管理开销方面,仍然需要仔细平衡时间、资源和运营风险。例如,之前的指令要求对OT系统进行完整的密码重置,而新指令只需要一个计划,其中包括记忆的秘密身份验证器重置的时间表。这对行业来说意味着详细考虑其实施计划中包含和批准的内容。随着这些指令转向TSA的审计审查,了解管道运营的细微差别并争取不中断运营的可衡量和可实现的要求将是一项挑战。”
XIoT网络安全公司NetRise首席执行官兼美国能源部前网络安全负责人Thomas Pace指出,更新指南中的一个关键组成部分是,修补关键网络系统上的固件漏洞。“目前,大多数石油和天然气运营商缺乏对其XIoT系统上实际运行的固件的可见性,更不用说这些设备存在哪些漏洞了。与IT系统不同,XIoT设备经常运行各种漏洞,而运营商和制造商都不知道这些漏洞。对于石油和天然气运营商来说,这是一个现实的要求,TSA和CISA需要围绕受信任的工具来扫描固件中的漏洞,并通过所需的软件材料清单创建更多信息共享,以确保每个人都睁大眼睛。”
参考来源:SecurityWeek http://985.so/b27xz
(十)受害者向勒索者支付的赎金金额持续下降
Coveware发布的今年第二季度勒索软件统计数据显示,支付给勒索者的赎金金额有所下降,这一趋势自2021年第四季度以来一直在持续。尽管平均付款有所增加,但中位数却大幅下降。
2022年第二季度,平均赎金为228,125美元,比22年第一季度增长8%。然而,赎金支付的中位数为36,360美元,与上一季度相比急剧下降了51%。
这延续了自2021年第四季度以来的下降趋势,勒索软件支付的平均值(332,168美元)和中位数(117,116美元)均达到峰值。
Coveware在报告中表示,“这一趋势反映了RaaS附属机构和开发人员向中端市场的转移,攻击的回报风险更加一致,且风险更低。我们还看到,当勒索软件团体要求高得不可思议的赎金数额时,大型组织拒绝考虑谈判。”
该公司表示,本季度目标公司的规模中位数进一步下降,攻击者正在寻找规模较小但财务状况良好的组织来进行颠覆。
在过去一个季度最活跃的勒索软件群体方面,Coveware收集的统计数据显示,BlackCat以16.9%的已发布攻击位居榜首,其次是LockBit,占13.1%。
Coveware观察到的另一个新趋势是创建了许多较小的勒索软件即服务(RaaS)操作,这些操作从最近解散的集团中吸引附属机构,并执行较低级别的机会主义攻击。
86%的报告案件涉及双重勒索方法,这种方法在本季度仍在继续,威胁要在加密之前泄露文件被盗。在许多情况下,尽管收到了赎金,但威胁行为者仍继续勒索或泄露被盗文件。
数据泄露是许多攻击者的主要勒索方法,这意味着许多事件不涉及文件加密。这导致勒索软件攻击的平均停机时间降至24天,与2022年第一季度相比减少了8%。
参考来源:BleepingComputer http://985.so/b20v5
(十一)威胁行为者使用GoMet后门攻击乌克兰软件公司
思科Talos研究人员发现,有威胁行为者利用GoMet后门攻击乌克兰大型软件开发公司,该公司生产的软件供乌克兰的各个国有组织使用。
研究人员认为,攻击者可能与俄罗斯有关,并以该软件公司为目标,企图发动供应链攻击。目前尚不清楚攻击是否成功。对恶意代码的分析表明,这是GoMet开源后门的略微修改版本。
Talos研究人员指出,只有两个记录在案的高级威胁行为者使用此后门的案例。第一次发生在2020年,攻击者通过利用F5BIG-IP中的CVE-2020-5902漏洞入侵网络后释放了这个后门。最近第二次后门事件中攻击者在成功利用Sophos Firewall中的CVE-2022-1040漏洞后部署了恶意软件。
最初的GoMet于2019年3月31日在GitHub上发布,直到2019年4月2日才提交,但作者自首次出现以来没有添加任何功能。
Talos发布的研究表明,“后门本身是一个用Go编程语言编写的相当简单的软件,几乎包含攻击者在远程控制代理中可能想要的所有常用功能。代理可以部署在各种操作系统或架构上。GoMet支持作业调度(通过Cron或任务调度程序,具体取决于操作系统)、单个命令执行、文件下载、文件上传或打开shell。GoMet的另一个显著特点在于其菊花链能力,攻击者可以借此访问网络或机器,然后使用相同的信息访问多个网络和计算机,从一个植入的主机连接到另一个。这样的功能可以允许从其他完全孤立的主机与互联网进行通信。”
研究人员注意到,攻击者更改了攻击中使用的版本,cronjob被配置为每两秒运行一次,而不是每小时运行一次。如果连接失败,此更改可防止长达一小时的睡眠。另一个变化与恶意软件在C2无法访问的情况下执行的操作有关,它将休眠5到10分钟之间的随机时间。
Talos研究人员发现了这个后门的两个样本,它们有细微的差别,但很可能使用相同的源代码。
Talos研究表明,“我们检测到的恶意活动包括由GoMet投放器创建的虚假Windows更新计划任务。此外,该恶意软件使用了一种有点新颖的持久性方法。枚举了自动运行值,而不是创建一个新的值,并用恶意软件替换了一个现有的好软件自动运行可执行文件。这可能会避免检测或阻碍法医分析。”
Talos检测到的样本具有硬编码的C2的IP地111.90.139[.]122,并通过默认端口上的HTTPS与之联系。服务器使用2021年4月4日颁发的自签名证书。
Talos研究表明,“在这种情况下,我们看到一家软件公司被放置了后门,旨在实现额外的持久访问。我们还观察到,威胁行为者采取积极措施,通过混淆样本和利用新的持久性技术来防止检测到他们的工具。可以通过多种方式利用这种访问权限,包括更深入的访问或发起额外的攻击,包括软件供应链受损的可能性。这提醒我们,尽管网络活动未必上升到许多人预期的水平,但乌克兰仍然面临着一个资金充足且意志坚定的对手,可以通过各种方式造成损害,这只是其中最新的例子。”
参考来源:SecurityAffairs http://985.so/b258a
(十二)乌克兰广播电台遭受黑客攻击播放有关泽连斯基健康状况虚假信息
乌克兰广播运营商TAVR Media遭受了网络攻击,播放了一条虚假信息,声称乌克兰总统泽连斯基处于病危状态并接受重症监护。对此泽连斯基在Instagram账户上发布了一段视频,声称该报道是俄罗斯威胁行为者发布的虚假新闻,自己身体感觉良好。
对此乌克兰国家特别通信和信息保护局(SSSCIP)表示,“网络犯罪分子散布谣言声称,乌克兰总统泽连斯基正在接受重症监护,他的职责由最高拉达主席Ruslan Stefanchuk履行。”
TAVR Media是总部位于基辅的控股公司,监管着九个主要广播电台,包括Hit FM、Radio ROKS、KISS FM、Radio RELAX、Melody FM、Nashe Radio、Radio JAZZ、Classic Radio和Radio Bayraktar。
在Facebook上的另一篇文章中,TAVR Media披露其服务器和网络成为网络攻击的目标,并且正在努力解决该问题。该公司还强调,“没有关于乌克兰总统泽连斯基健康问题的信息是真实的。”
这些虚假新闻在下午12点至2点之间播出,促织泽连斯基本人在Instagram上发帖声称,“我从来没有像现在这样感到健康。”
入侵的来源尚不清楚,一些威胁行为者利用持续的俄乌冲突发起了一系列网络攻击。乌克兰CERT警告声称,大量的PowerPoint文件被用来部署Agent Tesla恶意软件,针对乌克兰国有组织。
参考来源:TheHackerNews http://985.so/b2jnv
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯
