安全研究
全部分类

关键信息基础设施安全动态周报【2020年第21期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-05-29 10:12
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第21期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第21期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第21期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-05-29 10:12
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)美国再将33家中国实体列入“实体清单”

  第二章 国外关键信息基础设施安全动态

  (一)用于石油和天然气行业的艾默生SCADA产品中发现多个漏洞

  (二)日本及欧洲多家工业供应商成为攻击目标

  (三)俄罗斯黑客组织Berserk Bear攻击德国关键基础设施

  (四)CISA、DOE、NCSC联合发布关于保护工业控制系统指南

  (五)国际呼吁政府采取行动保护医疗机构免受网络攻击

  (六)智能汽车中的GNU Glibc内存损坏漏洞致其可被远程控制

  (七)英国能源运营商加入欧洲网络安全网络

  (八)新型RangeAmp攻击可使网站和CDN服务器瘫痪

  (九)恶意软件Blue Mockingbird攻击数千家企业服务器 以挖掘加密货币

  (十)伊朗黑客组织Charming Kitten攻击世界卫生组织WHO

  (十一)俄罗斯黑客组织Turla使用新版恶意软件ComRAT窃取机密数据

  (十二)多个国家的在线商店遭黑客入侵,SQL数据库正被出售

  (十三)卡塔尔新冠追踪应用程序泄露100万用户数据

  (十四)美国佛罗里达州失业系统泄露居民个人数据

  (十五)3个黑客论坛被黑客入侵 大量数据泄露

 

  第一章 国内关键信息基础设施安全动态

  (一)美国再将33家中国实体列入“实体清单”

  路透社23日报道,美国22日表示,继华为被列入之后,将在“实体清单”中增加33家中国企业和机构,意味着这些企业将无法与美国进行任何商业交易。

  美国商务部在一份声明声称,共有9家企业和机构因所谓的“帮助监视维吾尔族”等理由而被列入“实体清单”中,分别为中国公安部法医学研究所、阿克苏华孚纺织有限公司、云从科技有限公司、烽火科技集团及其子公司南京烽火星空通信发展有限公司、东方网力科技股份有限公司及其子公司深网视界、深圳云天励飞技术有限公司以及上海银晨智能识别科技有限公司。

 

  而在另一份声明中,美国商务部说,24家位于中国大陆、香港及开曼群岛等的中国企业、政府机构和商业组织因“为中国军方使用的物品采购提供支持”、“与美国国家安全或外交政策利益背道而驰”而被列入实体清单中,其中包括北京计算机科学研究中心、北京高压科学研究中心、成都精密光学工程研究中心、达闼(香港)有限公司、哈尔滨工程大学、哈尔滨工业大学、精纳(香港)科技有限公司、快急送物流(中国)有限公司、奇虎360有限公司、砺剑天眼科技有限公司。

  被列入实体清单的这些企业很多都专注于人工智能和面部识别领域,而这些领域的市场也是英伟达(Nvidia)和英特尔(Intel)等美国芯片公司一直在大举投资的市场,其中东方网力科技股份有限公司是中国最著名的AI公司之一。

  由日本软银支持的达闼科技是一家云端智能机器人运营商,该公司去年被禁止将技术或技术信息从美国子公司转移到北京办事处。而奇虎360是一家主要的网络安全公司,已通过上市公司私有化过程,并于2015年从纳斯达克退市。该公司最近登上头条新闻,是因为其发现有证据表明,美国中情局(CIA)黑客组织使用网络攻击工具,对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等关键领域相关单位,进行了长达11年渗透的网络攻击。

  美国商务部表示,把这些实体和个人列入“实体名单”,将限制这些公司和组织在没有得到美国政府具体批准的情况下使用含有美国技术的产品。

  路透社指出,最近的行动遵循了美国在试图限制华为影响力时所使用的同样蓝图,与美国去年10月的做法类似。美国商务部曾在去年10月7日将中国新疆维吾尔自治区公安厅、新疆生产建设兵团公安局和海康威视等8家中国企业列入出口管制实体清单。

  当时,中国外交部发言人耿爽在例行记者会上表示,此行径严重违反国际关系基本准则,干涉中国内政。他强调,美方对中方的指责完全是颠倒黑白、一派胡言,只能进一步暴露其干扰新疆反恐努力、阻挠中国稳定发展的险恶用心。

  耿爽表示,美方以所谓人权问题为借口,将中国新疆维吾尔自治区公安厅、新疆生产建设兵团公安局等机构以及8家中国企业列入出口管制实体清单、实施出口限制,这种行径严重违反国际关系基本准则,干涉中国内政,损害中方利益。中方对此表示强烈不满、坚决反对。

  本文版权归原作者所有,参考来源:环球时报 http://dwz.date/aQkb

 

  第二章 国外关键信息基础设施安全动态

  (一)用于石油和天然气行业的艾默生SCADA产品中发现多个漏洞

  卡巴斯基ICS CERT部门研究员Roman Lozko在艾默生OpenEnterprise产品中发现了四个漏洞,艾默生OpenEnterprise是专门为满足专注于石油和天然气生产、传输、分配的组织的要求而设计的SCADA解决方案。该安全漏洞已于2019年12月报告给供应商,并在几个月后发布了补丁程序。

  美国网络安全和基础架构安全局(CISA)和卡巴斯基上周发布了针对三个漏洞的公告。卡巴斯基在较早的公告中描述了另一个漏洞。

  Lozko发现的安全漏洞为基于堆的缓冲区溢出、缺少身份验证、所有权管理不当以及弱加密问题。前两个是最严重的,漏洞编号为CVE-2020-6970和CVE-2020-10640,并且都被评级为严重,它们可以使攻击者在运行OpenEnterprise的设备上以提升的特权远程执行任意代码。

  卡巴斯基安全专家Vladimir Dashchenko表示,“最严重的漏洞使远程攻击者能够以系统特权在具有OpenEnterprise的计算机上执行任何命令,因此可能导致任何可能的后果。”Dashchenko表示,攻击者可以从网络或直接从互联网利用这些漏洞。但是,似乎没有受影响的产品暴露在互联网上的任何实例。Dashchenko解释表示,“根据Shodan的统计数据,目前没有可用的直接暴露的OpenEnterprise SCADA系统,这意味着安装了OpenEnterprise的资产所有者肯定会遵循工业控制系统的基本安全原则。”

  攻击者可以利用另外一个漏洞来提升特权并获取OpenEnterprise用户帐户的密码,但是在两种情况下,利用这些漏洞都需要对目标系统进行本地访问。

  天地和兴工业网络安全研究院编译,参考来源:securityweek http://dwz.date/aNKc

 

  (二)日本及欧洲多家工业供应商成为攻击目标

  5月28日,卡巴斯基ICS CERT的专家发现,威胁攻击者针对日本、意大利、德国、英国的工业企业设备和软件供应商进行了复杂的攻击。攻击者使用恶意的Microsoft Office文档,PowerShell脚本以及各种使难以检测和分析恶意软件的技术。

  卡巴斯基ICS CERT负责人Evgeny Goncharov表示,“我们可能只是猜测,对电力和能源组织供应商的关注可能表明,攻击者正在寻求进入电力和能源企业的切入点。”Goncharov称,他们在IT系统上检测到恶意活动,但在OT网络中未检测到。攻击者显然一直在尝试窃取身份验证凭据。

  根据卡巴斯基的说法,攻击始于向目标组织发送的网络钓鱼电子邮件。这些电子邮件是自定义的,使用目标语言编写,并且恶意软件仅在确保受感染机器上的操作系统语言与网络钓鱼电子邮件中的语言匹配后才开始进行其活动。

  网络钓鱼电子邮件中包含Microsoft Office文档,其中包含恶意宏脚本,当受害者触发宏脚本时,该宏脚本将解密并执行PowerShell脚本。该脚本旨在从图像托管服务(例如Imgur或imgbox)下载图像,图像的URL是从列表中随机选择的。

 

 

  该图像包含恶意软件提取的数据,以生成另一个PowerShell脚本,该脚本又创建另一个PowerShell脚本,该脚本是流行的密码窃取工具Mimikatz的混淆版本。

  卡巴斯基指出,使用隐写术将恶意代码隐藏在图像中,并使用合法服务托管该图像,使得在下载时使用网络流量监控工具检测到此类恶意软件几乎是不可能的。在这些攻击中观察到的另一种有趣的技术涉及使用异常消息作为恶意有效负载的解密密钥。

  卡巴斯基表示, “这项技术可以帮助恶意软件在沙盒类的自动分析系统中逃避检测,如果研究人员不知道受害者的电脑上使用了什么语言包,那么分析恶意软件的功能就会明显变得更加困难。上述技术的使用,结合感染的精确性,表明这些是针对性攻击。令人担忧的是,攻击受害者包括工业企业的承包商。如果攻击者能够获得取承包商组织员工的凭据,这可能会导致一系列负面后果,从窃取敏感数据到通过承包商使用的远程管理工具攻击工业企业。”

  天地和兴工业网络安全研究院编译,参考来源:securityweek http://dwz.date/aQeV

 

  (三)俄罗斯黑客组织Berserk Bear攻击德国关键基础设施

  据一份德国政府机密信息报告显示,一个与克里姆林宫相关的黑客组织继续长期致力于针对德国能源、水力、电力领域公司。

  根据德国情报和安全机构上周发送给关键基础设施运营商的备忘录显示,调查人员于2020年初发现了黑客在某德国公司长期妥协的证据。

  据BSI、BND、BfV联邦机构发出警报称,该黑客组织名为Berserk Bear,被一些行业分析师怀疑是代表俄罗斯联邦情报局(FSB)运营的,一直利用供应链访问德国公司的IT系统。

  该警告表示,“攻击者的目标是使用公开可用的以及专门编写的恶意软件,将自己永久锚定在IT网络中窃取信息,甚至获得对生产系统(OT网络)的访问权。” 没有证据表明任何公司的工业网络有遭受破坏性攻击。这些机构没有回应置评请求。

  Berserk Bear在美国最为人所知,长达数年收集美国能源公司的数据,特朗普政府在2018年将此归咎于俄罗斯政府。分析人士表示,这是俄罗斯可以召集的少数几个黑客小组之一,以监视工业计算机网络。另一个组织被称为Sandworm,据信代表俄罗斯GRU军事情报局开展活动,因在2015年和2016年切断乌克兰电力供应而声名狼藉。

  Berserk Bear不那么显眼。该组织利用waterholing感染网站,然后挑选高价值的登录凭据,来破坏欧洲和北美关键基础设施公司的IT网络。根据网络安全公司CrowdStrike的一份报告称,在2018年,黑客组织在能源、航海、制造业等多个领域进行了广泛的全球侦察,并且还针对了美国政府组织。

  这与德国公司第一次遇到Berserk Bear。2018年,德国主要网络安全机构之一BSI也指控黑客组织试图破坏德国能源和电力公司的IT网络。

  工业网络安全公司Dragos的首席执行官Robert M. Lee表示,他的分析师知道该组织的历史,以及他的公司称为Allanite的一系列相关黑客袭击德国和美国电力公司的历史。Lee表示,“在过去几年中,他们一直积极攻击并瞄准了包括美国在内的众多公用事业公司。到目前为止,他们还没有表现出破坏公共事业运营的能力或意图。不过,鉴于他们对工业控制系统的关注和广泛的针对性,我们将继续对其进行跟踪并向社会报告。”

  德国智库SNV的网络安全专家Sven Herpig对这一建议表示欢迎,并敦促德国企业注意这一警告。他表示,该警告中有关于如何发现并保护其免受入侵的具体建议。

  俄罗斯驻华盛顿特区大使馆未回应对德国机构报告的置评请求。

  天地和兴工业网络安全研究院编译,参考来源:cyberscoop http://dwz.date/aPna

 

  (四)CISA、DOE、NCSC联合发布关于保护工业控制系统指南

  5月22日,美国网络安全和基础设施安全局(CISA)、能源部(DOE)、英国国家网络安全中心(NCSC)联合发布《工业控制系统网络安全最佳实践》。提供了针对ICS的推荐网络安全实践。该两页的信息图表总结了ICS常见的风险考虑因素、短期和长期的网络安全事件影响、保护ICS流程的最佳做法,并重点介绍了NCSC在安全设计原则和运营技术方面的产品。

  工业控制系统(ICS)对于支持美国关键基础设施和维护国家安全至关重要。ICS所有者和运营商面临各种对手的威胁,其意图包括收集情报和破坏国家关键职能。随着ICS所有者和运营商采用新技术来提高运营效率,他们应该意识到将运营技术(OT)连接到企业信息技术(IT)系统和物联网(IoT)设备所带来的额外网络安全风险。

  天地和兴工业网络安全研究院编译,参考来源:USCERT http://dwz.date/aNMh

 

  (五)国际呼吁政府采取行动保护医疗机构免受网络攻击

  2020年5月26日,来自政府、企业界、国际和非政府组织以及学术界的40多名现任和现任国际领导人呼吁世界各国政府立即采取果断行动,预防和制止针对医院、医疗机构、研究机构和国际当局在当前全球流行病中提供重症监护和指导组织的网络攻击。签署方要求各国政府,包括联合国在内,共同努力,重申并重新遵守禁止此类行动的国际规则,并与民间社会和私营部门共同努力,以确保尊重和保护医疗设施,并追究攻击者的责任。

  此前最近几周,包括捷克共和国、法国、西班牙、泰国和美国在内的医疗机构、世界卫生组织等国际组织以及其他卫生机构均遭到网络攻击。这些攻击的范围从旨在破坏初级和紧急医疗网络以换取报酬的勒索软件操作到旨在破坏和破坏应对大流行病的更广泛因素的虚假信息活动,包括测试和疫苗研究设施。如果攻击成功,这些攻击就会中断医疗保健的提供,并给医疗保健提供者带来了额外的费用。他们强调,在当今比以往任何时候都更需要医疗服务的时代,该行业容易受到网络攻击。

  红十字国际委员会主席、呼吁签署人彼得·莫雷尔表示, 我们正处于现代历史上最紧急的健康危机之中,这些袭击威胁着全人类。我们必须采取集体行动,以确保这一威胁得到解决,并且已经脆弱的医疗体系,尤其是在受到战争和暴力影响的国家中,网络运营不会给他们带来进一步的风险。

  这项行动呼吁的背景是在COVID-19大流行的背景下,包括在联合国安全理事会和联合国大会授权的两个网络程序中,就网络稳定性和对医疗机构的网络攻击进行了重要讨论。

  CyberPeace Institute首席执行官StéphaneDuguin表示,“由于医疗保健专业人员在现实世界中保护我们,因此,公民社会、行业、政府应该集体采取行动在网络空间保护他们。在这项努力中,人类需要政府通过树立基调和榜样来共同努力,以确保医疗保健受到保护,并对肇事者追究责任。”

  其他著名的签署者包括前俄罗斯外交部长伊戈尔·伊万诺夫、前联合国人权事务高级专员Zeid Raad Al Hussein、世界卫生组织前总干事陈冯富珍、墨西哥前总统埃内斯托·塞迪略、和微软总裁布拉德·史密斯。签署者还包括7名诺贝尔奖获得者。

  这封信刊登在《纽约时报》和《卫报》上的整版印刷广告中,特别呼吁所有政府立即采取行动,包括明确宣称针对医疗保健设施的网络运营是非法和不可接受的,并与民间社会和私营部门合作,以确保医疗设施受到尊重和保护。

  天地和兴工业网络安全研究院编译,参考来源:CyberPeace Institute http://dwz.date/aNMX

 

  (六)智能汽车中的GNU Glibc内存损坏漏洞致其可被远程控制

  近日,思科客户体验评估与渗透团队(CX APT)的最新研究发现,ARMv7的GNU libc中存在一个内存损坏漏洞,使Linux ARMv7系统易于攻击,此漏洞编号为TALOS-2020-1019 / CVE-2020-6096。

  据Talos Intelligence博客称,暴露的已连接车辆上的安全威胁和网络攻击可能包括软件漏洞、基于硬件的攻击、甚至可能会远程控制车辆。

  如今,汽车已成为融合了机械和计算机系统的复杂机器,这一点已被广泛接受。更多的传感器和设备正在帮助汽车测量和了解其外部和内部位置,温度和其他环境变量以及与其他物体的距离。该报告表示,“这些传感器为驾驶员提供实时信息,将车辆连接到全球车队网络,并且在某些情况下,会积极使用和解释该遥测数据来驾驶车辆。”

  汽车可以将移动和云组件集成在一起,以改善驾驶员体验,包括空中更新,远程起停和监控。这些系统在通过移动网络,WiFI,蓝牙,DAB,USB连接的车辆中引入了许多不同的攻击媒介。

  但是Pen Test Partners的Andrew Tierney表示,该漏洞不仅限于车辆,而且将更广泛地涉及IoT。Tierney表示,“虽然这是一个有趣的错误,但我们之前从未发现它,但我们不知道为什么Talos强调这是一个车辆问题。虽然确实有90%以上的车辆IVI(卫星导航主机)是基于ARM / Linux的,因此在某些配置中可能会受到攻击,但此问题影响了IoT和包括工业控制在内的其他嵌入式系统。这是一个重大的安全漏洞,不仅会影响汽车,还会影响物联网。尽管汽车OEM可能很快就解决了这一问题,但我们担心许多较旧且可能不受支持的嵌入式系统永远不会打补丁。这是物联网和ICS黑客在未来几年中无法使用的漏洞。”

  该报告提供了技术细节,并补充表示,“ CX APT IoT安全实践专门致力于识别连接的车辆组件中的漏洞。CX APT与Cisco Talos一起披露了该漏洞,而libc库维护者计划在8月发布修复此漏洞的更新。”

  HackerOne技术项目经理Niels Schweisshelm 认为发现并报告此漏洞是一个很大的肯定。Schweisshelm表示, “预见与容易受到网络犯罪分子攻击的汽车相关的风险并不需要花费太多的想象力。这里的好消息是,此漏洞是在不良行为者有机会利用它之前发现的。与其他所有人类开发的代码一样,漏洞将存在于汽车软件中,在被利用之前找到它们非常重要。凭借复杂的车载软件及其附带的安全问题,汽车品牌开始在其数字资产上利用黑客提供的安全保护,以确保在使用汽车时我们都尽可能安全。随着我们走向无人驾驶的未来,这一趋势需要继续。”

  天地和兴工业网络安全研究院编译,参考来源:SCMagazine http://dwz.date/aQfy

 

  (七)英国能源运营商加入欧洲网络安全网络

  英国国家电网天然气传输(NGGT)和国家电网电力传输(NGET)现已成为欧洲网络安全网络(ENCS)的最新成员,此举旨在更好地保护欧洲能源部门免受网络攻击。NGGT和NGET现在将与欧洲的一些主要公用事业组织,进行有关网络威胁的信息共享。

  ENCS已经在整个配电和传输层面致力于欧洲电力和天然气的网络安全。除了分享专业知识外,隶属于该集团的能源组织还协作进行能力建设,进行培训,并为智能电表等一系列组件提供安全测试和标准。

  NGGT和NGET都是国家电网公司(National Grid plc)的一部分,NGET是世界上最大的投资方拥有的能源公用事业公司,致力于为英国的客户安全有效地提供电力和天然气。

  ENCS的常务董事Anjos Nijk表示,“就网络安全而言,国家电网已跻身于最先进的运输系统运营商(TSO)之列,并且通过加入ENCS,它表明了其对进一步改善的承诺,当然,也为我们的会员带来了丰富的经验,我们的会员将从中受益。能源部门之间的联系越来越紧密,至关重要的是我们中希望保护能源部门的人们也必须这样做。”

  NGGT和NGET成为第一个加入ENCS的英国组织。

  美国国家电网公司网络与控制系统工程经理Paul Lee补充表示:“我们在所有运营基础架构和IT领域均采取了强有力的网络安全措施,以防范网络威胁,但我们的会员身份将帮助我们从ENCS知识中受益我们与其他成员共享信息的基础,有助于增强对所有关键基础架构的保护。”

  能源部门一直是网络犯罪分子的攻击目标。上个月,据称能源公司EDP遭受了1000万欧元的勒索软件威胁。

  天地和兴工业网络安全研究院编译,参考来源:infosecurity http://dwz.date/aQgs

 

  (八)新型RangeAmp攻击可使网站和CDN服务器瘫痪

  近日,中国研究人员发现了一种滥用HTTP数据包以扩大Web流量并关闭网站和内容分发网络CDN的新方法。该项新型DoS技术名为RangeAmp,利用了HTTP范围请求属性的错误实现。

  HTTP范围请求是HTTP标准的一部分,并且允许客户端(通常是浏览器)仅从服务器请求文件的特定部分(范围)。创建此功能是为了在受控(暂停/恢复操作)或非受控(网络拥塞或断开连接)情况下暂停和恢复流量而创建的。该HTTP范围请求标准已经在互联网工程任务组(IETF)讨论一了五年以上,但是,由于它的实用性,已经被浏览器、服务器、CDN实现。

  一组中国研究人员发现,攻击者可以使用格式错误的HTTP范围请求来放大Web服务器和CDN系统在必须处理范围请求操作时的反应。

  研究小组表示存在两种不同的RangeAmp攻击。第一种称为RangeAmp小字节范围(SBR)攻击。在这种情况下,攻击者向CDN提供程序发送格式错误的HTTP范围请求,该请求会放大流向目标服务器的流量,最终使目标站点崩溃。

 

 

  第二种称为RangeAmp重叠字节范围(OBR)攻击。在这种情况下,攻击者向CDN提供程序发送格式错误的HTTP范围请求。在这种情况下,流量通过其他CDN服务器进行了漏斗式传输,流量在CDN网络内部被放大,从而崩溃CDN服务器,并使CDN和许多其他目标站点无法访问。

  研究人员表示,他们对13个CDN提供商进行了RangeAmp攻击测试,发现所有攻击者都容易受到RangeAmp SBR攻击,并且有六种在以某些组合使用时也容易受到OBR变体的攻击。这些袭击非常危险,需要最少的资源来进行。在这两种方法中,RangeAmp SBR攻击可以最大程度地放大流量。研究人员发现,攻击者可以使用RangeAmp SBR攻击将流量从原来的724倍增加到43,330倍。

 

 

  RangeAmp OBR攻击更难进行,因为六个易受攻击的CDN需要采用特定的(主代理)配置,但是在满足条件时,OBR攻击还可以用于使CDN网络内部的流量膨胀,放大系数高达初始数据包大小的近7,500倍。

  在这两种方法中,OBR攻击被认为更加危险,因为攻击者可能会破坏CDN提供商网络的整个区块,从而一次破坏成千上万个网站的连接。

  研究人员表示,在过去的几个月中,他们一直在与受影响的CDN提供商静默联系,并透露RangeAmp攻击的详细信息。在13个CDN提供商中,有12个做出了积极的回应,这些提供商要么已经推出,要么说他们计划推出对其HTTP Range Request实现的更新。该列表包括:Akamai、阿里云、Azure、Cloudflare、CloudFront、CDNsun、CDN77、Fastly、G-Core Labs、华为云、KeyCDN、腾讯云。

  研究人员表示,“不幸的是,尽管我们已经多次向他们发送了电子邮件,并试图联系他们的客户服务,但StackPath并未提供任何反馈。总的来说,我们已尽最大努力以负责任的方式报告漏洞并提供缓解措施。相关的CDN供应商在本文发表之前已经有将近七个月的时间来实施缓解技术。”

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/aP3S

 

  (九)恶意软件Blue Mockingbird攻击数千家企业服务器 以挖掘加密货币

  云安全公司Red Canary的恶意软件分析师于5月初发现,威胁组织Blue Mockingbird自2019年12月来一直使用加密货币挖掘恶意软件来攻击了数千个企业系统。该组织运行的面向公众的服务器ASP.NET为UI组件使用Telerik框架的应用程序。黑客利用CVE-2019-18935漏洞在受攻击的服务器上植入 Web Shell。然后使用Juicy Potato技术的一种版本来获得管理员级别的访问权限,并修改服务器设置以获得(重新)引导持久性。一旦获得对系统的完全访问权限,他们将下载并安装XMRRig版本,这是一种用于Monero(XMR)加密货币的流行加密货币挖掘应用程序。

  Red Canary专家表示,如果面向公众的IIS服务器连接到公司的内部网络,该组织还将尝试通过安全性较差的RDP(远程桌面协议)或SMB(服务器消息块)连接在内部进行传播。

  Red Canary在本月初电子邮件采访中表示,他们对该僵尸网络的运行没有完整的了解,但他们认为,迄今为止,僵尸网络至少造成了1000例感染,这仅仅是因为它们的可见性有限。

  Red Canary发言人表示,“像任何安全公司一样,我们对威胁状况的了解有限,并且无法准确地知道此威胁的全部范围。尤其是这种威胁已经影响了我们监视其端点的组织中的很小一部分。但是,我们在较短的时间内观察到了这些组织中的大约1000例感染。”但是, Red Canary称,受影响的公司数量可能更高,甚至那些认为安全的公司也有遭受攻击的风险。

  这是因为易受攻击的Telerik UI组件可能是运行在其最新版本上的ASP.NET应用程序的一部分,但是,Telerik组件可能是许多已过期的版本,仍然使公司容易受到攻击。许多公司和开发人员甚至可能都不知道Telerik UI组件是否是其应用程序的一部分,这又使公司容易受到攻击。

  自从有关漏洞的详细信息公开以来,过去一年来,这种混乱就被攻击无情地利用了。例如,在4月下旬发布的公告中,美国国家安全局(NSA)将Telerik UI CVE-2019-18935漏洞列为用于在服务器上植入Web Shell的最被利用的漏洞之一。在上周发布的另一项安全公告中,澳大利亚网络安全中心(ACSC)还将Telerik UI CVE-2019-18935漏洞列为2019年和2020年攻击澳大利亚组织的最被利用的漏洞之一。

  在许多情况下,组织可能无法选择更新其易受攻击的应用程序。在这些情况下,许多公司将需要确保在防火墙级别阻止对CVE-2019-18935的利用尝试。

  万一没有网络防火墙,公司需要在服务器和工作站级别寻找危害的迹象。Red Canary在这里发布了一份报告,其中包含危害指标,公司可以使用该报告扫描服务器和系统中是否存在Blue Mockingbird攻击的迹象。

  Red Canary表示,“一如既往,我们发布此类信息的主要目的是帮助安全团队制定可能用于威胁技术的检测策略。通过这种方式,我们认为对安全性而言,评估其检测事物的能力非常重要像基于COR_PROFILER的持久性和通过Telerik漏洞利用进行的初始访问。”

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/aQhC

 

  (十)伊朗黑客组织Charming Kitten攻击世界卫生组织WHO

  谷歌威胁分析小组TAG 5月27日报告发现,与伊朗有关的威胁组织Charming Kitten继续对医疗保健专业人员发动攻击,其中包括世界卫生组织(WHO)的员工。

  伊朗黑客组织Charming Kitten也被称为APT35、Ajax Security Team、NewsBeef、Newscaster和Phosphorus,至少从2011年开始活跃,主要针对中东,美国和英国的个人和组织。

  路透社于四月初首次报道了伊朗黑客对世卫组织工作人员的攻击。路透社表示,攻击始于3月2日,他们的目标是帮助攻击者获得账户密码。WHO当时表示,据其所知,没有一次黑客尝试是成功的。伊朗否认了这些指控。

  Google再次警告说,政府支持的黑客正在利用新冠肺炎冠状病毒疫情进行攻击。上个月,google表示,其安全团队发现有十几个团体使用新冠肺炎的诱饵进行钓鱼和恶意软件攻击。在4月份发布的另一份报告中,谷歌表示,它每天都会看到数百万封与冠状病毒相关的恶意电子邮件。

  谷歌在该报告中称,观察到来自黑客雇用公司的新活动,这些公司很多都位于印度,这些公司创建的Gmail帐户看起来像是属于WHO的。虚假账户的目标是多个国家的咨询、金融服务和医疗保健部门的商业领袖,包括美国、英国、加拿大、印度、斯洛文尼亚、塞浦路斯和巴林。

  诱饵本身鼓励个人注册WHO的直接通知,以随时了解与COVID-19相关的公告,并链接到攻击者托管的网站,这些网站与WHO的官方网站非常相似。这些网站通常设有虚假的登录页面,提示潜在的受害者放弃他们的Google帐户凭证,偶尔还会鼓励个人放弃其他个人信息,如他们的电话号码。

  至于虚假宣传活动,google表示,自3月以来,它已经删除了1000多个YouTube频道。这些有针对性的频道似乎是一场大规模、协调的运动的一部分,虽然他们大多推送垃圾信息、非政治内容,但也有一些发布了中文政治内容。

  谷歌定期分享国家支持的黑客行动的信息,并向这些行动中的目标客户发出警报。去年发出的警报数量(公司发出了近40,000条警告)与前一年相比减少了25%,而在4月份只发送了1755条警报。

  天地和兴工业网络安全研究院编译,参考来源:securityweek http://dwz.date/aQha

 

  (十一)俄罗斯黑客组织Turla使用新版恶意软件ComRAT窃取机密数据

  ESET的安全研究人员发现,俄罗斯威胁组织Turla在最近的攻击中使用了恶意软件ComRAT的更新版本可以连接到Gmail以接收命令,该更新后的后门程序能够使用Gmail网络UI接收命令并窃取数据,试图窃取机密文件。

  Turla集团也称为Snake,已经运营了至少10年,主要针对欧洲,中亚和中东的政府。它已经入侵了多个主要组织,包括2008年的美国国防部和2014年的瑞士国防公司RUAG。

  它用来窃取重要信息的一种方法是恶意后门comRAT,据信该程序于2007年首次发布。 ESET恶意软件研究员Matthieu Faou指出:“根据受害者情况和在同一台被攻破的机器上发现的其他恶意软件样本,我们认为Comrat只由Turla使用。”

  ESET发现了第四版恶意软件在2020年1月仍活跃的证据,自2017年以来,该恶意软件已经攻击了至少三个政府机构。运营商使用OneDrive和4shared等公共云服务来窃取数据。

  新版本使用了全新的代码库,并且比以前的版本复杂得多。它可以在受攻击的计算机上执行许多新操作,例如执行其他程序和渗出文件,同时具有逃避安全软件的独特功能。

  Faou解释表示,“这表明该组织的水平很高,以及他们长期停留在同一台机器上的意图。此外,最新版本的Comrat恶意软件家族,由于使用了Gmail Web界面,能够绕过某些安全控制,因为它不依赖于任何恶意域。”

  天地和兴工业网络安全研究院编译,参考来源:infosecurity http://dwz.date/aQmH

 

  (十二)多个国家的在线商店遭黑客入侵,SQL数据库正被出售

  黑客正在出售从多个国家的在线商店窃取的SQL数据库。该数据库总共包含1620000行,公开的记录包括了电子邮件地址、名称、哈希密码(例如bcrypt、MD5)、邮政地址、性别、出生日期等。

  通过在网上公开的不安全的服务器,黑客入侵网站、窃取数据库并留下了赎金信息:勒索0.06个BTC(按当前价格485美元),如果受害人在10天内不支付赎金,他们就有会面临数据库泄露的风险。

  根据观察,几个用来交赎金的黑客钱包已经收到了100多笔交易,总金额是5.8比特币(按当前价格47150美元)。而这些钱包的使用记录最是在2019年9月20日,最近的一次是从5月20日开始的,仅本月就有9个使用记录。可见,该黑客非常活跃。

  目前,黑客提供了31个数据库,并提供了一个样本供买方检查数据的真实性。而一些数据库的日期为2016年,但数据始于2020年3月28日。

  同时,列出的大多数数据库来自德国的在线商店,其余来自巴西、美国、意大利、印度、西班牙和白俄罗斯。而所有被黑的商店运行着Shopware、JTL-Shop、PrestaShop、OpenCart和CMS电子商务(v2)。

  这不是攻击者第一次针对未受保护的数据库,专家已经观察到有几起针对未受保护的MongoDB数据库的攻击。

  天地和兴工业网络安全研究院编译,参考来源:securityaffairs http://dwz.date/aQk4

 

  (十三)卡塔尔新冠追踪应用程序泄露100万用户数据

  国际特赦组织(Amnesty International)5月26日警告称,卡塔尔备受争议的强制性冠状病毒接触者追踪应用程序中的一个安全漏洞暴露了超过一百万用户的敏感信息。

  该漏洞已在上周五被特赦组织警告后在周五修复,该漏洞使用户的ID号、位置和感染状态容易受到黑客的攻击。

  从上周五开始,对该应用程序的隐私担忧已成为居民和因坐牢而痛苦的市民的强制性要求,这已经引起了罕见的反弹,并迫使官员们提供保证和让步。用户和专家批评了安装该应用程序所需的一系列权限,包括访问Android设备上的文件以及允许该软件拨打无提示电话。

  尽管坚持认为这种前所未有的访问是系统正常运行的必要条件,但官员们表示,他们将解决隐私问题,并在周末发布了重新编写的软件。

  人权组织在一份声明中表示,“国际特赦组织的安全实验室能够访问敏感信息,包括人们的姓名、健康状况和用户指定禁闭地点的GPS坐标,因为中央服务器没有适当的安全措施来保护这些数据。虽然大赦国际承认卡塔尔政府为遏制新冠肺炎疫情蔓延所做的努力和采取的行动,以及迄今采取的措施,例如获得免费医疗,但所有措施都必须符合人权标准。”

  卡塔尔的275万人中,超过4.7万人的呼吸道疾病检测呈阳性,占该国人口的1.7%,已有28人死亡。与其他国家一样,卡塔尔也开始使用手机来追踪人们的动向并跟踪他们与谁接触,从而使官员能够监控冠状病毒感染并标记可能的传染性。

  卡塔尔卫生部周二在一份声明中说:“ Ehteraz应用程序的用户隐私和平台安全性至关重要。”该应用程序的全面更新已于5月24日星期日推出,具有面向所有用户的扩展安全性和隐私功能。

  但特赦组织表示,Etheraz的意思是“预防措施”,它继续允许当局在任何时候对用户进行实时位置跟踪。

  该组织安全实验室负责人Claudio Guarnieri表示:“这是一个巨大的安全漏洞,也是卡塔尔联系人追踪应用程序中的一个根本性缺陷,恶意攻击者很容易就能利用这些漏洞。卡塔尔当局必须撤消强制使用该应用程序的决定。”

  天地和兴工业网络安全研究院编译,参考来源:securityweek http://dwz.date/aQkK

 

  (十四)美国佛罗里达州失业系统泄露居民个人数据

  佛罗里达州经济机会部透露,近期佛罗里达州失业系统遭受数据泄露,一些提出失业申请的居民的个人信息可能已经泄露。

  佛罗里达经济机会部DEO发言人帕吉·兰德鲁姆表示,该机构已通知了与失业申请相关涉及数据泄露事件的部分98人。该机构没有透露何时发生此违规事件、及有多少人受到影响、及获取了什么信息。

  兰德鲁姆表示,违规行为在官员得知后一小时内得到解决。在非常谨慎的情况下,该部门正在向受影响的个人免费提供身份保护服务。建议受害者报告其财务帐户中任何未经授权的活动。

  自从冠状病毒大流行导致该州大批企业倒闭以来,DEO已收到超过200万份要求佛罗里达州寻求失业救济的索赔,尽管只有160万份索赔得到了验证。佛罗里达州不到一百万的失业工人获得了超过26亿美元的福利。

  奥兰多州参议员琳达·斯图尔特在致管理服务部部长乔纳森·萨特的信中对这一违规行为表示关注。斯图尔特表示,“鉴于DEO在处理失业申请方面的往绩,我相信您会非常关注我的担忧,即所有补救措施都已迅速采取,佛罗里达人可以放心,现在他们的个人信息已经得到保护并受到保护。来自未来的攻击。”兰德鲁姆表示DEO尚未收到任何恶意活动的报告。

  天地和兴工业网络安全研究院编译,参考来源:美联社 http://dwz.date/aP6A

 

  (十五)3个黑客论坛被黑客入侵 大量数据泄露

  Cyble的研究人员发现,黑客论坛Sinful Site、SUXX.TO、Nulled的数据遭到破坏,泄露了其完整的数据库,包含用户详细个人信息。

  此类黑客论坛是黑客及网络犯罪分子的聚集地,在论坛里进行一般性讨论并共享相关资源。论坛成员共享及出售的内容包括泄露的数据、黑客工具、恶意软件、教程等。该数据库已于2020年5月泄露。

  SUXX.TO和Nulled的数据库包含其用户的详细信息,这些信息已于2020年5月20日转储。Sinful Site的完整数据库包括私人消息,已于2020年5月15日转储。目前,黑客论坛Sinful网站的网站已关闭。

  天地和兴工业网络安全研究院编译,参考来源:cyble http://dwz.date/aPus

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号