安全研究
全部分类

关键信息基础设施安全动态周报【2019年第11期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-10-24 15:14
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第11期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第11期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第11期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-10-24 15:14
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态简讯

  (一)新型Masked勒索病毒袭击工控行业

  (二)国家电网公司发布《泛在电力物联网白皮书2019》

  (三)关键信息基础设施边界识别刻不容缓

  第二章 海外关键信息基础设施安全动态简讯

  (一)Talos专家发现施耐德电气Modicon PLC存在11个漏洞

  (二)Winnti Group计划对亚洲制造商进行毁灭性的供应链攻击

  (三)TeamViewer发布官方声明:火眼提到的攻击事件并非最近发生

  (四)Linux曝出Sudo提权漏洞 受限用户亦可运行root命令

  (五)不安全的Docker主机受到新的Graboid Cryptojacking蠕虫攻击

  (六)全球运输和邮递服务公司Pitney Bowes遭受勒索软件攻击

  (七)黑客组织FIN7将新型RAT恶意软件加载到ATM制造商的软件中

  (八)伊朗黑客创建可信网络钓鱼来窃取图书馆访问权限

  (九)Cyberbit发现欧洲某国际机场存在大量比特币挖掘恶意软件

  第一章 国内关键信息基础设施安全动态简讯

  (一)新型Masked勒索病毒袭击工控行业

  近日,一位工控安全领域的朋友前来咨询,遇到加密后文件后缀为.masked的勒索病毒,并发来勒索的相关信息和病毒样本,此勒索病毒运行之后会修改桌面背景。在每个加密的文件目录下,会生成两个超文件HTML的勒索提示文件。使用TOR打开勒索病毒解密网站,显示RUSH GANG 1.3,要解密文件,只能通过邮件联系黑客,黑客的邮件联系方式为backupyourfiles@420blaze.it。

  该勒索病毒使用了反调试的方法,阻止安全分析人员对样本进行调试分析。设置了自启动注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun。遍历主机磁盘,生成勒索提示超文件HTML文件,并将解密出来的勒索提示信息写入到HTML文件中,然后遍历磁盘文件进行加密,加密后的文件后缀为masked。

  近日,多位工控安全的朋友前来咨询,勒索病毒针对工控行业的攻击似乎也越来越多了,各位工控企业一定要做好勒索病毒的防范措施,以防被勒索病毒勒索加密,千万不能掉以轻心,黑客无时无刻不在寻找着新的攻击目标。

  本文版权归原作者所有,参考来源:Freebuf

  

图片1

 

  (二)国家电网公司发布《泛在电力物联网白皮书2019》

  2019年10月14日,国家电网有限公司在京召开发布会,发布《泛在电力物联网白皮书2019》,旨在通过建枢纽、搭平台、促共享,凝聚各方共识,构建开放共建、合作共治、互利共赢的能源生态,形成共同推进泛在电力物联网建设的磅礴力量。

  《白皮书》称,泛在电力物联网就是围绕电力系统各环节,充分运用5G、移动互联、人工智能等新技术,实现电力系统各环节的互联互通,人机交互,打造一个状态全面感知、信息高效处理、应用便捷灵活的智慧服务系统。目前试点包括电动汽车充电环节、家庭用电管理、电力数据分析等多个领域。

  据国网电动汽车公司总经理沈建新介绍,把汽车的通信协议与电网的通信协议,通过技术实现无缝衔接,能够实现车主在充电的时候不需要采用传统的扫码包括注册来充电,只需要把充电枪插到电动汽车的充电接口,就可实现电动汽车车主无感支付充电。

  泛在电力物联网建设分为两个阶段,第一阶段到2021年初步建成泛在电力物联网,第二阶段到2024年建成泛在电力物联网,今年已明确了57项建设任务和25项综合示范。业内认为,此举对于增加电网的感知能力、互动能力、提升电网效率具有重要意义。

  本文版权归原作者所有,参考来源:中国新闻网

  (三)关键信息基础设施边界识别刻不容缓

  近日,在2019第七届互联网安全大会上,中国电子商会自主可控技术委员会理事长冯燕春作了题为《关键信息基础设施边界识别刻不容缓》的主题报告,对关键信息基础设施边界识别的概念、进展与标准工作进行了深度解读。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标,必须采取有效措施,切实做好国家关键信息基础设施安全防护,而将关键信息基础设施元素与其它信息基础设施区分开来是做好安全防护工作的前提和基础。

  关键信息基础设施(Critical Information Infrastructure,CII)的概念最初起源于美国。早在 1977 年,美国总统关键基础设施保护委员会指出,美国国家安全高度依赖信息和通信、银行和金融、能源、运输等关键基础设施,这些基础设施一旦遭到攻击会给整个国家带来严重后果。就我国而言,习近平总书记在网络安全和信息化工作座谈会上的讲话中指出,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标,必须采取有效措施,切实做好国家关键信息基础设施安全防护。2017 年 6月 1 日,我国正式实施了《网络安全法》,对关键信息基础设施做了明确的定义。

  关键信息基础设施边界,就是指当运营者被国家有关部门确认为是CII 运营者后,需要识别自身运营的哪些网络设施、信息系统是关键业务持续、稳定运行所必须的,应当被纳入 CII 保护范围。通俗地来讲,是应该把边界识别概念定义为一旦业务被定为关键业务,也明确运营者之后,需要从保障业务安全运行的角度搞清楚应该保护什么。

  国内外相关实践经验表明,在CII 运营者的所有信息基础设施中,有些网络设施、信息系统对保障关键业务持续、稳定运行是非常关键的“Critical”,有些仅仅是比较重要的“Important”,甚至有一些信息设施对关键业务是无关紧要的“Unimportant”。因此,将关键的信息基础设施与其它信息基础设施区分开来,是开展关键信息基础设施保护的第一步,也是 CIIP 保护的前提和基础,对明确保护对象、实施重点保护具有重要意义。

  目前,大家都还停留在关键信息基础设施保护的表面上,只是宏观地去讲哪些是该保护的。至于到底落在哪个系统和网络内,或者属于哪个责任部门,还是不清楚。因此,要想做下去,只有解决好关键基础设施识别认定,这样才能落下去。

  当前,CII 边界识别工作刻不容缓。如今,《关键信息基础设施保护条例》《网络安全审查办法》《个人信息出境安全评估办法》等正在陆续出台,这些法律法规的落实需要明确 CII 边界。如何指导运营者梳理自身运营的网络设施、信息系统纳入 CII 保护范畴内,也是一个急需解决的问题。希望大家能够关注和积极参与相关工作。

  本文版权归原作者所有,参考来源: 网信军民融合

  海外关键信息基础设施安全动态简讯

  (一)Talos专家发现施耐德电气Modicon PLC存在11个漏洞

  近日,思科Talos的专家们发现了11个安全漏洞,这些漏洞影响了施耐德电气的某些型号的Modicon可编程逻辑控制器(PLC)。受影响的型号是Modicon M580,M340,BMENOC 0311,BMENOC 0321,Quantum,Premium、Modicon BMxCRA、和140CRA。其中M580 PLC型号受所有漏洞影响,会影响Modbus的实施,FTP 和 TFTP协议以及 REST API。施耐德电气发布了四项建议以解决漏洞。

  通过CVE-2019-6841和CVE-2019-6851之间的代码跟踪TFTP和REST API中的漏洞,攻击者可以通过向受影响的设备发送特制请求来利用它们。TFTP协议中的漏洞(跟踪为CVE-2019-6851)是一个文件和目录信息公开问题,使用该协议时,可能会导致从控制器公开信息。REST API受三个漏洞CVE-2019-6848,CVE-2019-6849,CVE-2019-6850的影响。CVE-2019-6848是一个未捕获的异常问题,可通过在控制器/通信模块的REST API上发送特定数据来利用该漏洞导致拒绝服务情况。CVE-2019-6849是一个信息泄露漏洞,使用控制器/通信模块的REST API提供的特定Modbus服务时,可能导致敏感信息泄露。CVE-2019-6850是另一个信息泄露漏洞,当使用控制器/通信模块的REST API读取特定的寄存器时,可能导致敏感信息泄露。

  Talos研究人员在5月和7月向施耐德电气报告了该漏洞。并向施耐德提供了一系列建议以防止利用这些问题。 Talos的博客文章还包含了可以检测利用尝试的SNORT规则。

  天地和兴安全研究院翻译整理,参考来源:Security Affairs

  (二)Winnti Group计划对亚洲制造商进行毁灭性的供应链攻击

  近日,ESET的安全专家透露,他们观察到APT组织Winnti Group正在不断更新其武器库,使用新型模块化Windows后门来感染亚洲知名移动硬件和软件制造商的服务器。ESET的研究人员还发现,该APT组织使用了ShadowPad恶意软件的更新版本。根据研究人员的说法,该犯罪团伙自2007年以来一直活跃至2013年,最初是由卡巴斯基发现的。

  专家认为,有多个APT组织在Winnti的保护下 ,包括Winnti、Gref、PlayfullDragon、APT17、DeputyDog、Axiom、BARIUM、LEAD、PassCV、Wicked Panda、和ShadowPad。

  专家们分析了最近针对亚洲游戏产业的供应链攻击,并注意到在后门中使用了独特的PortReuse。ESET发表的文章表示,他们分析了Winnti Group使用的该程序来寻找更多的可执行文件,以发掘用于供应链攻击的其他受感染软件。然而他们发现的并不是最初想要的。他们没有找到受损的软件,而是发现了一个使用相同的新监听模式模块化后门封隔器,开发者称之为PortReuse。该后门注入一个正在侦听TCP端口的正在运行的进程,重用一个已经打开的端口。它挂钩接收功能,并等待魔术数据包触发恶意行为。合法流量会转发到实际应用程序,因此它实际上不会阻止受感染服务器上的任何合法活动。

  这种后门有时称为“被动网络植入”。在针对视频游戏开发商的攻击中,恶意软件是通过游戏官方更新服务器传播的。

  PortReuse后门具有模块化架构,专家发现其组件是通过命名管道进行通信的独立进程。专家使用不同的NetAgent但使用相同的SK3检测到多个PortReuse变体。专家发现的每个变体都针对不同的服务和端口,包括TCP上的DNS(53),HTTP(80),HTTPS(443),远程桌面协议(3389)和Windows远程管理(5985)。并通过以下方式为后门恶意软件提供服务:嵌入到.NET应用程序中,启动初始Winnti Packer;在VB脚本中,该脚本会调用.NET对象,该对象会启动;在直接位于入口点的可执行文件中。

  端口重用不需要命令和控制(C2)服务器,而是利用NetAgent在打开的套接字上侦听。攻击者只需要直接连接到受感染的主机即可。PortReuse后门不使用C&C服务器;它等待发

  

图片2

 

  送“魔术”数据包的传入连接。为此,它不会打开其他TCP端口;它注入到现有过程中以“重用”已经打开的端口。

  ESET识别出一家被PortReuse后门变种攻击的公司,该后门使用GET请求并检查服务器和Content-Length标头将自身注入Microsoft IIS。专家们使用Censys搜索引擎发现了八台受PortReuse感染的计算机。该公司总部位于亚洲,是主要移动硬件和软件制造商,专家联系了该组织并向发出了感染警报。

  专家认为,Winnti Group 可能正在计划通过破坏该组织来进行毁灭性的供应链攻击。Winnti集团在2019年仍然非常活跃,并将继续瞄准游戏和其他行业。ShadowPad恶意软件的更新表明他们仍在开发和使用它。相对较新的PortReuse恶意软件还显示他们更新了武器库,并为自己提供了另一种长期攻击受害者的途径。

  天地和兴安全研究院翻译整理,参考来源:Security Affairs

  (三)TeamViewer发布官方声明:火眼提到的攻击事件并非最近发生

  全球知名的远程控制软件TeamViewer上周末被爆出安全事件,这起事件源起国外安全公司火眼举办的安全会议。火眼首席安全架构师在推特上拍摄会议的现场图片,图片列举近些年多起网络攻击事件其中也包括TeamViewer。这名安全架构师还在推特上表示所有安装TeamViewer的计算机都可能被控制,这条推文迅速引起大量用户恐慌。

  值得注意的是火眼发布的图片里标注的是2017-2018年间,在此前报道中也提到攻击可能并不是近期发生的。不过多数媒体报道引用的信息源声称是近期监测到的攻击,于是国内很多使用TeamViewer的用户选择立即卸载。

  该安全事件被广泛报道后曾联系过TeamViewer团队进行咨询,不过由于周末该公司德国总部并未进行回应。直到昨天晚间该公司才在社区公布官方声明,在声明中TeamViewer表示火眼安全会议中提到的是历史安全事件。所以潜在的攻击问题并不会影响现在还在使用TeamViewer的用户,至于具体时间自然指的是2017-2018年间。该公司还联系火眼安全公司对此事件进行澄清,火眼发布的声明也表示TeamViewer近期并未发生潜在安全问题。

  火眼首席安全架构师作为最新发布消息的人也发布澄清声明,在声明中该架构师表示推文指

  

图片3

 

  的是此前的安全事件。在少数情况下恶意软件是通过TeamViewer进行部署的,也就是火眼图片中展示的通过该软件进行多渠道入侵等。最后火眼首席架构师强调此前推文指的并不是TeamViewer当前的软件或者是服务器等基础设施遭到攻击者入侵。

  

图片4

 

  日前知名安全公司火眼(FireEye)首席安全架构师在推特上爆料TeamViewer遭到黑客攻击并泄露用户的账号密码。这个黑客团体被称为APT41 (高级持续威胁),火眼在推特上称黑客可在任意安装TeamViewer的电脑上进行访问。从火眼首席安全架构师发布的图片来看这应该是火眼举办的安全会议上展示的演示文稿,火眼并未透露具体细节。不过这家安全公司是业界知名的安全研究团体,所以发布的消息可信度为百分之百,只是攻击时间暂时无法确定。因为在展示的图片上关于TeamViewer被黑标注的是2017-2018,按理说这个数字指的应该是攻击发生的时间段。图片还显示通过该软件进行传送文件的记录,记录显示时间为 2017年7月4日,所以火眼说的应该不是最新攻击。

  本文版权归原作者所有,参考来源:CNBeta

  (四)Linux曝出Sudo提权漏洞 受限用户亦可运行root命令

  作为 Linux 中最常使用的重要实用程序之一,Sudo 几乎安装在每一款 UNIX 和 Linux 发行版上,以便用户调用和实施核心命令。然而近期曝出的一个提权漏洞,却直指 sudo 的一个安全策略隐患 —— 即便配置中明确不允许 root 用户访问,该漏洞仍可允许恶意用户或程序,在目标 Linux 系统上以 root 用户身份执行任意命令。

  据悉,Sudo 特指“超级用户”。作为一个系统命令,其允许用户以特殊权限来运行程序或命令,而无需切换使用环境(通常以 root 用户身份运行命令)。默认情况下,在大多数 Linux 发行版中(如屏幕快照所示),/ etc / sudoers 的 RunAs 规范文件中的 ALL 关键字,允许 admin 或 sudo 分组中的所有用户,以系统上任何有效用户的身份运行任何命令。然而由于特权分离是 Linux 中最基本的安全范例之一,因此管理员可以配置 sudoers 文件,来定义哪些用户可以运行哪些命令。

  这样一来,基板限制了用户以 root 身份运行特定或任何命令,该漏洞也可允许用户绕过此安全策略,并完全控制系统。Sudo 开发者称: “只要 Runas 规范明确禁止 root 访问、首先列出 ALL 关键字,具有足够 sudo 权限的用户就可以使用它来以 root 身份运行命令。”据悉,该漏洞由苹果信息安全部门的 Joe Vennix 追踪发现(CVE-2019-14287)。且想要利用这个 bug,只需 Sudo User ID -1 或 4294967295 。

  这是因为将用户 ID 转换为用户名的函数,会将 -1(或无效等效的 4294967295)误认为 0,而这正好是 root 用户 User ID 。此外,由于通过 -u 选项指定的 User ID 在密码数据库中不存在,因此不会运行任何 PAM 会话模块。综上所述,该漏洞影响最新版本 1.8.28 之前的所有 Sudo 版本。庆幸的是,几个小时前,各大 Linux 发行版都已经在向用户推送新版本了。

  

图片5
图片6

 

  本文版权归原作者所有,参考来源:cnBeta

  (五)不安全的Docker主机受到新的Graboid Cryptojacking蠕虫攻击

  近日,来自Palo Alto Networks的研究人员在Shodan搜索引擎上进行搜索后,发现有2,000多个不安全的Docker服务暴露于公共网络。他们发现了一个新的使用Docker映像的加密劫持活动,该蠕虫遵循看似不稳定的计划传播蠕虫,该计划使矿工一次在受感染主机上活动约四分钟。Docker容器是与操作系统隔离的环境,其中包含应用程序在任何受支持的基础架构上运行它们的代码和依赖关系。

  在他们的分析中,研究人员从Graboid的命令和控制(C2)服务器中发现了一个脚本,该脚本检索了具有2,000多个IP地址的列表,这表明攻击者已经在扫描易受攻击的主机。目前尚不清楚其中有多少被感染,因为该恶意软件从列表中随机选择了下一个目标。

  破坏其中之一后,攻击者发送远程命令从Docker Hub下载“ pocosow / centos” Docker映像并进行部署。该映像具有用于与其他Docker主机进行通信的Docker客户端。加密矿活动(Monero)通过称为“ gakeaws / nginx”的单独容器进行,该容器作为nginx Web服务器。

  'pocosow / centos'也用于从C2下载一组四个脚本并执行它们:live.sh-发送有关受感染主机上可用CPU的信息;worm.sh-下载易受攻击的主机列表,选择新目标并通过Docker客户端在其上部署“ pocosow / centos”;cleanxmr.sh-停止随机主机上的加密活动;xmr.sh-从易受攻击的主机列表中选择一个随机地址,并部署加密矿容器“ gakeaws / nginx”。

  Palo Alto Networks发现,Graboid接收了来自15台受到威胁的主机的命令,其中14台存在于易受攻击的IP列表中,最后一台存在50多个已知漏洞,这清楚地表明攻击者专门出于恶意软件控制目的而对它们进行了攻击。

  涉及Graboid加密劫持操作的两个容器已被下载数千次。CenOS伪装者的拉力超过10,000,而Nginx伪装者的拉力约为6,500。

  Graboid不断向C2服务器查询新的易受攻击的主机,并使用Docker客户端工具远程下载和部署受感染的容器。

  天地和兴安全研究院翻译整理,参考来源:BleepingComputer

  

图片7

 

  (六)全球运输和邮递服务公司Pitney Bowes遭受勒索软件攻击

  2019年10月14日,全球运输和邮寄服务公司Pitney Bowes宣布,其系统受到了勒索软件攻击,该攻击对某些系统进行了加密,导致部分系统中断,从而影响了客户对某些服务的访问。目前,该公司没有证据表明客户或员工数据被不当访问。该公司已聘请外部安全公司来支持其调查在安全漏洞。

  Pitney Bowes是一家全球性技术公司,在电子商务,运输,邮件,数据和金融服务领域提供商业解决方案,并并为全球超过150万客户提供数十亿笔交易。

  目前邮件系统产品已被攻击瘫痪,该公司确认以下系统当前无法正常工作:客户无法在其邮寄机上补充邮资或上传交易;英国和加拿大的SendPro Online;SendSuite Live、SendSuite Express、SendSuite Tracking(SST)的托管实例;会计解决方案,例如Inview,业务经理和客户清单管理;无法访问帐户和Pitney Bowes耗材网上商店,这也影响订阅AutoInk和Supplies App的客户。

  该公司指出,尽管客户要等到系统恢复后才能为其邮资计费机充值,但如果他们有资金也可以直接打印邮资。拥有Mail360和MIPro许可产品的客户无法访问帐户、数据实现、以及某些支持页面,因为以及软件和数据市场下载不可用。对于商务服务客户,受影响的服务包括履行、交付、退货、以及Presort服务。软件和数据产品不受勒索软件攻击的影响,因为它们不访问后端Pitney Bowes网络的系统。

  天地和兴安全研究院翻译整理,参考来源:Security Affairs

  (七)黑客组织FIN7将新型RAT恶意软件加载到ATM制造商的软件中

  近日,FireEye的Mandiant小组的研究人员发现,黑客组织FIN7在其恶意工具包中添加了新工具,这种恶意软件可以加载多个有效负载,并可将负载直接传送到内存中。该组织已将这个模块连接到ATM制造商NCR Corporation的合法远程管理软件中。FireEye称这种新型内存内恶意软件为BOOSTWRITE。在BOOSTWRITE加载程序使用启动时从其运算符接收到的加密密钥对嵌入式有效负载进行解密之后,新识别的称为RDFSNIFFER的RAT到达受感染的计算机。

  BOOSTWRITE使用DLL搜索顺序劫持技术将其自己的恶意DLL加载到受感染系统的内存中,从而使其能够下载初始化向量(IV)和解密嵌入式有效负载所需的解密密钥。一旦下载了密钥和IV,恶意软件就会对嵌入的有效载荷进行解密,并对结果进行完整性检查。有效载荷应该是PE32.DLL,如果测试通过,它们将被加载到内存中而不接触文件系统。在分析发现的BOOSTWRITE样本之一时,研究人员发现该装载机被用来放置两个有效载荷:Carbanak后门和新发现的RDFSNIFFER模块。

  

图片8

 

  即使大多数样本都未签名,但最近回收的BOOSTWRITE样本之一仍使用MANGO ENTERPRISE LIMITED签发的代码签名证书签名。该样本在所有VirusTotal反恶意软件引擎的监视下飞行,因为它们都不是其中任何一个。通过利用代码证书固有的信任,FIN7增加了绕过各种安全控制并成功损害受害者的机会。

  RDFSNIFFER模块作为有效载荷而落入被感染目标的计算机上,具有远程访问特洛伊木马(RAT)功能,它使FIN7黑客能够劫持NCR Aloha Command Center Client应用程序的实例,并通过现有的合法2FA会话与受害系统进行交互。 每当在受感染的计算机上执行合法软件时,RDFSNIFFER就会将自身加载到NCR Corporation的RDFClient进程中。

  这使恶意软件可以监视或更改使用RDFClient建立的连接,从而为其操作员提供高效的中间人攻击工具。该模块还包含一个后门组件,使它能够将命令注入到活动的RDFClient会话中。此后门使攻击者可以上传,下载,执行和/或删除任意文件。

  天地和兴安全研究院翻译整理,参考来源:BleepingComputer

  (八)伊朗黑客创建可信网络钓鱼来窃取图书馆访问权限

  2019年10月14日,网络安全公司Proofpoint的研究人员在一份报告中表示,威胁组织Silent Librarian正在不断更新其策略和技术,以用于在其登录网络钓鱼页面上使用准确且与潜在受害者有关的信息和警报。安全研究人员以不同的名称(TA407,Cobalt Dickes,Mabna Institute)追踪该组织。他们都认为该组织与伊朗政府有关,其目的是从全球大学窃取知识产权。从6月到10月,其网络钓鱼活动更加频繁,主要攻击目标是北美的大学,其中许多在美国和欧洲。

  近年来,Silent Librarian在网络钓鱼电子邮件中的用语已经随着时间而发展。但是,主题基本保持不变,最普遍的是无法访问图书馆资源、帐户过期等这些常见诱饵。

  研究人员认为,多年来,这种信息在Silent Librarian中是经典之作。

  在Proofpoint观察到的另一则网络钓鱼邮件中,攻击者发送了关于活动不足的虚假通知,据称这导致帐户关闭。指示受害者登录其图书馆帐户以继续访问图书馆资源。消息中的语言

  

图片9

 

  看起来很有说服力,如果登录过程无法顺利进行,则会提供联系方式。

  为了使电子邮件可信,攻击者使用了目标大学的品牌图像。通过几乎实时跟踪身份验证门户的变化并将其整合到网络钓鱼页面中,可以进一步维护合法性的基础。

  该威胁参与者使用的方法并不复杂,但这些活动的继续证明了它们对于实现Silent Librarian所设定的目标是有效的。尽管美国司法部去年为此活动指控了9名黑客,但这项活动仍在进行中。起诉书说,这些黑客要么是伊朗公司Mabna Institute的雇用,要么是其附属机构,该公司在该国情报机构的指导下进行了协调的网络入侵。目的是从大学窃取知识产权并通过多个网站出售。

  SecureWorks的研究人员在9月的一份报告中说,Silent Librarian影响了30多个国家的至少380所大学。仅在7月和8月,该小组就针对60所大学。

  尽管其他参与者在混淆,基础架构和方法上更为成熟,但Silent Librarian在破坏新账户和窃取可用于经济收益的凭证方面仍然多产且有效。他们继续使用Freenom服务免费注册域名,正如在9月的一次竞选中注意到的那样,当时使用了16个.tk和.cf域。Proofpoint的报告中提供了自1月以来观察到的域的完整列表。

  典型的Silent Librarian攻击流程始于使用受感染大学的帐户创建缩短的URL。这将被发送给另一所大学的收件人,他们应该是身份验证门户的用户。

  

图片11

 

  高等教育机构是该威胁参与者的主要目标。建议他们实施并强制执行双重身份验证,以使黑客访问受保护的资源非常困难。

  天地和兴安全研究院翻译整理,参考来源:BleepingComputer

  (九)Cyberbit发现欧洲某国际机场存在大量比特币挖掘恶意软件

  近日,Cyberbit表示其计算机安全软件帮助了欧洲某国际机场发现了大规模加密货币挖矿软件,大部分工作站都感染了这种恶意软件。Cyberbit没有透露机场名称,并表示标准类型的防病毒软件无法检测到加密货币矿工,包括机场系统网络上的这种。

  Cyberbit的端点检测和响应(EDR)技术分析了系统性能和用户活动,并查找了异常数据。加密采矿软件的高处理要求提供了未经授权的进程正在运行的线索。Cyberbit研究人员说,入侵者创造了一种已知的加密矿工的变种,允许它通过严重依赖于以前发现的特征码和攻击模型的反病毒软件的计算机安全防御程序溜走。Cyberbit的方法是实时查找IT系统中的异常行为,并识别没有轻易识别的签名或方法的攻击。

  发现受感染的国际机场引发了一个问题:还有多少个国际机场存在未知恶意软件?加密矿工从机场IT系统窃取计算周期可能会在大范围甚至更大范围内造成广泛的影响。机场信息系统可能会减慢速度,甚至可能出现故障,从而在出发和到达的旅客中造成混乱,并带来许多其他问题。加密矿工的处理要求较高,因此相对易于检测,但是大多数恶意软件都很小,并且设计得比较谨慎,因此很难检测。

  天地和兴安全研究院翻译整理,参考来源:ZDNet

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号