安全研究
全部分类

​关键信息基础设施安全动态周报【2020年第35期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-09-04 17:28
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第35期】天地和兴播报。

​关键信息基础设施安全动态周报【2020年第35期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第35期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-09-04 17:28
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)商务部、科技部调整发布《中国禁止出口限制出口技术目录》

  (二)印度宣布禁用118款中国App

  (三)美国国防部表示中国正朝着新型“智能化”作战方式迈进

  第二章 国外关键信息基础设施安全动态

  (一)马斯克证实特斯拉工厂曾遭受网络攻击

  (二)挪威议会内部电子邮件系统遭受网络攻击

  (三)CenturyLink因BGP路由器配置问题导致大规模互联网中断

  (四)Cisco IOS XR软件中存在DoS漏洞

  (五)QNAP NAS设备存在远程代码执行漏洞

  (六)MoFi路由器存在四个尚未修复的漏洞

  (七)CISA及FBI联合发表声明否认俄罗斯暗网泄露美国选民信息

  (八)美国司法部起诉朝鲜黑客 追讨其窃取的280个加密货币

  (九)Qbot木马使用新型模块收集受害者敏感数据

  (十)新型Windows恶意软件KryptoCibule针对加密货币用户

  (十一)Google Play应用商店中多款应用程序存在广告欺诈恶意软件Terracotta

  (十二)伊朗APT组织Pioneer Kitten出售企业网络访问权限

  (十三)澳大利亚发布自愿性物联网网络安全行为准则

 

  第一章 国内关键信息基础设施安全动态

  (一)商务部、科技部调整发布《中国禁止出口限制出口技术目录》

  8月28日,商务部、科技部调整发布《中国禁止出口限制出口技术目录》(商务部 科技部公告2020年第38号,以下简称《目录》)。

  本次《目录》调整先后征求了相关部门、行业协会、业界学界和社会公众意见,共涉及53项技术条目:一是删除了4项禁止出口的技术条目;二是删除5项限制出口的技术条目;三是新增23项限制出口的技术条目;四是对21项技术条目的控制要点和技术参数进行了修改。

  根据《中华人民共和国技术进出口管理条例》,凡是涉及向境外转移技术,无论是采用贸易还是投资或是其他方式,均要严格遵守《中华人民共和国技术进出口管理条例》的规定,其中限制类技术出口必须到省级商务主管部门申请技术出口许可,获得批准后方可对外进行实质性谈判,签订技术出口合同。

  本文版权归原作者所有,参考来源:中国政府网 http://dwz.date/ct3t

 

  (二)印度宣布禁用118款中国App

  印度电子和信息化部9月2日发布禁令,禁止了118款应用程序,声称这些程序正在“窃取并秘密传输”用户数据至印度境外的服务器,从而损害了印度的主权和国防。在这份应用程序列表中,包括百度、微信、PUBG、新浪新闻在内的一些著名的中国应用程序。

  外交部在一份声明中表示:“这些数据的汇编、挖掘和分析,被敌视印度国家安全和国防的分子挖掘和分析,最终会侵犯印度的主权和完整,这是一个非常严重和紧迫的问题,需要采取紧急措施。”

  除了持有腾讯旗下的微信和PUBG之外,腾讯的许多应用程序也都被封锁,包括新的VooV视频会议工具、微云存储服务和关注列表应用程序。

  本周早些时候,巴基斯坦电信局(PTA)阻止了对五款约会和直播应用程序的访问,这五款应用程序分别是Tinder、Tag、Skout、Grindr和SayHi。

  管理局在一份声明中表示:“考虑到通过上述应用程序流传输不道德/不雅内容的负面影响,PTA向上述平台的管理层发出通知,目的是删除约会服务,并根据巴基斯坦当地法律对直播内容进行监管。由于平台没有在规定的时间内对通知作出回应,因此管理局发布了阻止上述申请的命令。”

  自6月份以来,中国和印度在士兵之间的边境冲突后经历了日益紧张的局势,冲突造成20名印度士兵死亡,75多人受伤。当月晚些时候,印度禁止了59款中国应用程序,包括TikTok、UC Browser、微博和微信。

  9月2日,微信的禁令扩大到企业微信、微信阅读和政府微信。

  被印度屏蔽的118个应用程序的完整名单如下:

  1.AFK Arena

  2.Alipay

  3.AlipayHK

  4.Amour: video chat & call all over the world.

  5.AppLock

  6.AppLock Lite

  7.APUS Flashlight: Free & Bright

  8.APUS Launcher Pro: Theme, Live Wallpapers, Smart

  9.APUS Launcher: Theme, Call Show, Wallpaper, HideApps

  10.APUS Message Center: Intelligent management

  11.APUS Security: Antivirus, Phone security, Cleaner

  12.APUS Turbo Cleaner 2020: Junk Cleaner, Anti-Virus

  13.Arena of Valor: 5v5 Arena Games

  14.Art of Conquest: Dark Horizon

  15.Baidu

  16.Baidu Express Edition

  17.Beauty Camera Plus: Sweet Camera & Face Selfie

  18.Bike Racing: Moto Traffic Rider Bike Racing Games

  19.Buy Cars: offer everything you need, special offers and low prices

  20.CamCard: Business Card Reader

  21.CamCard Business

  22.CamCard for Salesforce

  23.CamOCR

  24.Carrom Friends: Carrom Board & Pool Game-

  25.Chief Almighty: First Thunder BC

  26.Chess Rush

  27.Cleaner: Phone Booster

  28.Creative Destruction NetEase Games

  29.Crusaders of Light NetEase Games

  30.Cut Cut: Cut Out & Photo Background Editor

  31.Cyber Hunter

  32.Cyber Hunter Lite

  33.Dank Tanks

  34.Dual Space: Multiple Accounts & App Cloner

  35.Dawn of Isles

  36.FaceU: Inspire your Beauty

  37.Fighting Landlords: Free and happy Fighting Landlords

  38.Gallery HD

  39.Gallery Vault: Hide Pictures And Videos

  40.Game of Sultans

  41.GO SMS Pro: Messenger, Free Themes, Emoji

  42.HD Camera: Beauty Cam with Filters & Panorama

  43.HD Camera Pro & Selfie Camera

  44.HD Camera Selfie Beauty Camera

  45.Hide App: Hide Application Icon

  46.Hi Meitu

  47.HUYA LIVE: Game Live Stream

  48.LifeAfter

  49.InNote

  50.iPick

  51.Kitty Live: Live Streaming & Video Live Chat

  52.Knives Out-No rules, just fight!

  53.Lamour Love All Over The World

  54.Learn Chinese AI-Super Chinese

  55.Legend: Rising Empire NetEase Games

  56.Little Q Album

  57.LivU Meet new people & Video chat with strangers

  58.Ludo All Star: Play Online Ludo Game & Board Games

  59.Ludo World-Ludo Superstar

  60.Mafia City Yotta Games

  61.Malay Social Dating App to Date & Meet Singles

  62.MARVEL Super War NetEase Games

  63.Message Lock (SMS Lock)-Gallery Vault Developer Team

  64.MICO Chat: New Friends Banaen aur Live Chat karen

  65.Mobile Legends: Pocket

  66.Mobile Taobao

  67.Murderous Pursuits

  68.Music: Mp3 Player

  69.Music player: Audio Player

  70.Music Player: Audio Player & 10 Bands Equalizer

  71.Music Player: Bass Booster - Free Download

  72.Music Player: MP3 Player & 10 Bands Equalizer

  73.MV Master: Make Your Status Video & Community

  74.MV Master: Best Video Maker & Photo Video Editor

  75.Netease News

  76.Onmyoji NetEase Games

  77.Parallel Space Lite: Dual App

  78.Penguin E-sports Live assistant

  79.Penguin FM

  80.Photo Gallery HD & Editor

  81.Photo Gallery & Album

  82.Pitu

  83.PUBG MOBILE Nordic Map: Livik

  84.PUBG MOBILE LITE

  85.Rangers Of Oblivion: Online Action MMO RPG Game

  86.Ride Out Heroes NetEase Games

  87.Rise of Kingdoms: Lost Crusade

  88.Road of Kings- Endless Glory

  89.Rules of Survival

  90.ShareSave by Xiaomi: Latest gadgets, amazing deals

  91.Sina News

  92.Small Q brush

  93.Smart AppLock (App Protect)

  94.Soul Hunters

  95.Super Clean - Master of Cleaner, Phone Booster

  96.Super Mecha Champions

  97.Tantan - Date For Real

  98.Tencent Watchlist (Tencent Technology)

  99.Tencent Weiyun

  100.Ulike - Define your selfie in trendy style

  101.U-Dictionary: Oxford Dictionary Free Now Translate

  102.Video Player All Format for Android

  103.Video Player: All Format HD Video Player

  104.VPN for TikTok

  105.VPN for TikTok

  106.VooV Meeting: Tencent Video Conferencing

  107.Warpath

  108.Web Browser: Fast, Privacy & Light Web Explorer

  109.Web Browser: Secure Explorer

  110.Web Browser & Fast Explorer

  111.WeChat reading

  112.Government WeChat

  113.WeChat Work

  114.Yimeng Jianghu-Chu Liuxiang has been fully upgraded

  115.Youku

  116.ZAKZAK Pro: Live chat & video chat online

  117.ZAKZAK LIVE: live-streaming & video chat app

  118.Z Camera: Photo Editor, Beauty Selfie, Collage

  参考来源:ZDNet http://dwz.date/ct2t

 

  (三)美国国防部表示中国正朝着新型“智能化”作战方式迈进

  美国国防部9月1日在向国会提交的年度报告中指出,中国正在摆脱“信息化”作战方式,并采用新型技术来支持“智能化”的方法。中国认为人工智能、云计算、大数据分析、量子信息和无人系统等新兴技术正在推动向智能化战争的转变。中国领导人相信,这种转变将带来一场军事革命,并最终支持未来的战斗,预计这将需要更快的处理和信息融合,以更快地做出决策和指挥控制。

  去年的报告只在有关中国军民融合战略的一节中提到了这一新方法一次。今年的报告指出,向智能化战争的转变正在通过中国的军民融合发展战略来引领。

  美国国防部的报告称,“信息化”战争正在发生转变,2016年国防部的一份报告援引中国军方的著作将其描述为“一种削弱对手获取、传输、处理能力的不对称方式,在战争中利用信息,迫使对手在冲突爆发前投降。”其中大部分是通过中国的战略支援部队来完成的。战区级司令部成立于2016年,拥有国家与战略空间资产、网络空间、电子战、信息作战和心理战有关的信息能力。

  中国认为信息优势(包括拒绝向敌人提供信息)是战场上取得成功的关键。因此,一场超越信息化的智能化作战行动,以人工智能等新兴技术来打击和削弱系统,是至关重要的。

  国防部称,中国人民解放军计划将技术作为这项新战争战略的一部分,以支持地面、空中和海上的无人系统;支持信息作战;启用新的指挥和控制模式;并通过人工智能辅助网络分析和频谱管理改善网络和电子战。

  该报告指出,“解放军利用大数据的能力,将取决于其获取大量高质量外国军队数据的能力。此外,未来冲突的复杂性可能会对解放军招募、培训和留住理解和操作未来‘智能化’系统所需的高能力和技术熟练的人员提出挑战。“将指挥和控制下放给较低的梯队可能与解放军的中央指挥控制结构背道而驰。

  参考来源:C4ISRNET http://dwz.date/ctu2

 

  第二章 国外关键信息基础设施安全动态

  (一)马斯克证实特斯拉工厂曾遭受网络攻击

  特斯拉联合创始人兼首席执行官埃隆·马斯克(Elon Musk)在Twitter上证实,特斯拉位于内华达州工厂Gigafactory于8月初曾遭受网络攻击,随后被联邦调查局击败。

  内华达州特斯拉Gigafactory是位于内华达州里诺附近的锂离子电池和电动汽车工厂。该设施由特斯拉拥有并运营,为特斯拉电动汽车和固定存储系统提供电池组。

  根据关注特斯拉的独立博客Testrati 8月27日的报告,据称内华达州工厂的一名雇员与一名俄罗斯国民接触,此人出价100万美元用恶意软件感染该公司并破坏其网络。该报道称,该员工向特斯拉官员报告了这一事件,特斯拉官员向联邦调查局发出了警报。

  特斯拉联合创始人兼首席执行官马斯克在推特上回应表示,“这是一次严重的攻击。”

  Teslarati的报告与8月23日在内华达州美国地方法院提起的刑事诉讼一致。投诉指控 Egor Igorevich Kriuchkov试图招募工人在一家未具名的公司引入恶意软件。

  根据司法部的诉讼显示,“阴谋的目的是招募一家公司的雇员,将同谋者提供的恶意软件秘密传播到公司的计算机系统中,从公司的网络中窃取数据,并威胁要在线披露数据,除非公司支付了同谋者的赎金。”

  投诉概述了Kriuchkov在试图说服员工安装恶意软件时的详细招募工作。Kriuchkov首先通过WhatsApp与特斯拉员工联系,他的电话是通过共同好友提供的。两人随后于8月1日至8月3日与一些同事见面并进行了社交旅行,他们去了太浩湖。在这次旅行中,克里奥科夫(Kriuchkov)拒绝在任何照片中露面,并为该团体在这次旅行中的所有活动付费,声称他在酒店赌博并赢了一些钱。这是两个涉嫌犯罪活动的人试图招募他人的两个明显迹象。

  Red Canary情报总监凯蒂·尼克尔斯Katie Nickels表示:“起诉书包含有关俄罗斯国民指导员工使用的贸易机的许多细节,例如在手机上使用WhatsApp和飞行模式。我们经常将这种贸易手段与相当先进的对手联系起来,通常是进行间谍活动的对手,但在这份起诉书中没有提到间谍活动。”

  据称,在与特斯拉员工的跟进会议中,Kriuchkov后来解释说,他为一个未具名的集团工作,该集团将为该员工支付巨额资金,后来商定最多100万美元,以在特斯拉的系统上安装恶意软件。

  据称,Kriuchkov宣布的计划是对公司发起外部分布式拒绝服务(DDoS)攻击,这将吸引公司安全人员的全部注意力,并掩盖第二次网络攻击。第二次攻击将利用恶意软件从计算机网络中窃取数据,并将其带给幕后的网络罪犯手中。这些网络犯罪分子稍后会联系该公司,并威胁说,如果该公司未支付大笔赎金,便会将数据公开。

  在就此事件与官员联系后,这名员工假装同意该计划,并在FBI的安排下在与Kriuchkov的会面中录下了对话内容。

  最终,在与联邦调查局联系后,Kriuchkov连夜从内华达州里诺开车前往洛杉矶,试图飞离美国,但最终于8月22日被联邦调查局逮捕。

  该事件是内鬼对公司构成威胁的一个例子。根据Verizon数据违规调查报告,内部威胁正在上升。Bloomberg最近的一份报告还强调了在家工作的趋势如何影响这一威胁。

  Vectra的EMEA主管Matt Walmsley在电子邮件中表示,“对特斯拉和FBI识别和阻止所报告的攻击表示敬意,但在大多数情况下,组织不能依靠外部的事先通知或协助。因此,安全团队需要敏捷,因为时间是他们处理勒索软件攻击和恶意内部行为的最宝贵资源。”

  参考来源:threatpost http://dwz.date/csA6

 

  (二)挪威议会内部电子邮件系统遭受网络攻击

  挪威议会Stortinget 9月1日表示,其内部电子邮件系统遭受了网络攻击,黑客破坏了民选代表和员工的电子邮件帐户,从中窃取了大量信息。

  Stortinget董事玛丽安·安德里亚森(Marianne Andreassen)表示,此事件目前正在调查中,因此无法提供任何有关攻击背后的原因或被黑帐户数量的详细信息。

  挪威情报机构今日早些时候在其Twitter帐户上发布的一份声明表示,挪威情报机构目前正在调查此事件。在调查仍在进行的同时,安德里亚森表示,Stortinget已经开始将这一事件通知受影响的代表和员工。最早报道有关攻击事件的当地媒体还报道表示,议会的IT人员已关闭其电子邮件服务,以防止黑客窃取更多数据。

  在该事件发生之前,针对挪威的网络攻击很少见。据当地媒体报道,2018年1月,一个黑客组织窃取了挪威一半以上人口的医疗保健数据。2019年2月,网络安全公司Rapid7和Recorded Future透露, 中国黑客入侵了一家为欧洲公司提供基于云的商业软件解决方案的挪威公司Visma,并利用这种访问方式攻击了该公司的客户。2020年5月,网路诈骗者骗取了挪威国家投资基金Norfund的1000万美元,以BEC方式进行了攻击 。

  参考来源:ZDNet http://dwz.date/csD9

 

  (三)CenturyLink因BGP路由器配置问题导致大规模互联网中断

  美国互联网服务提供商CenturyLink 8月30日遭受重大技术故障,因其Level3 CA3数据中心的配置错误,在整个互联网上造成了严重破坏。

  CenturyLink BGP路由错误导致了整个互联网的连锁反应,导致大量与互联网连接的服务中断,如Cloudflare,Amazon,Garmin,Steam,Discord,Blizzard等。

  

 

  CenturyLink的状态页面显示,“我们的技术团队正在调查影响CA3数据中心某些服务的问题。确保我们服务的可靠性是我们的重中之重。随着事件的进展,我们将继续提供状态更新。如果您需要进一步的支持,请通过以下方式与我们联系help@ctl.io。”

  此后,此故障已得到解决,服务正在缓慢恢复,某些区域所花的时间比其他区域要长。

  根据客户的报告,CenturyLink在BGP路由中似乎犯了一个错误,这导致了当今的广泛问题。云托管提供商Cloudhelix今天也遇到了问题,并指出CenturyLink已确认这是BGP问题。

  尽管CenturyLink / Level(3)尚未发布正式的事后报告,但状态消息会发布到puck.nether.net停机邮件列表中,可以深入了解导致停机的原因。

  格林威治标准时间2020年8月30日10:04,CenturyLink确定了一个会影响多个市场用户的问题。IP网络运营中心(NOC)参与其中,并且初步研究发现,有问题的Flowspec公告阻止了Border Gateway Protocol( BGP)在CenturyLink网络中跨多个元素建立。IP NOC部署了全局配置更改以阻止有问题的Flowspec公告,从而允许BGP开始正确建立。随着更改通过网络传播,IP NOC观察到所有关联影响警报清除的服务,服务恢复到稳定状态。

  为了使Internet正常工作,Internet服务提供商、数据中心和网络提供商通过边界网关协议(BGP)路由协议通告其路由和管理的IP地址。如果出现问题,阻止网络的BGP路由器宣布其管理的路由,则将导致该网络的中断。

  Flowspec是BGP路由协议的安全扩展,允许网络工程师快速将过滤和防火墙规则部署到大量BGP路由器,以阻止分布式拒绝服务(DDoS)攻击。

  根据上面的状态报告,从其CA3-Mississauga数据中心部署了Flowspec规则以可能阻止攻击。但是,此规则阻止CenturyLink的BGP路由器正确宣布其路由的IP地址,从而导致整个网络中断。

  Cloudflare首席执行官Matthew Prince表示,CenturyLink中断导致全球互联网流量下降了3.5%。Cloudflare受到了短暂影响,但是他们的系统将48个城市的流量重定向到其他网络提供商,直到问题解决。

  Prince在博客中解释,“在10:03 UTC和10:11 UTC之间,我们的系统在我们所连接的48个城市中自动禁用CenturyLink / Level(3),并在备用网络提供商之间重新路由了流量。”

  参考来源:BleepingComputer http://dwz.date/cs7N

 

  (四)Cisco IOS XR软件中存在DoS漏洞

  思科8月29日发布警告表示,威胁行为者正试图利用高危DoS漏洞CVE-2020-3566攻击其运营商级路由器Cisco IOS XR网络操作系统。

  Cisco IOS XR网络操作系统当前可在多个路由器系列上运行,包括NCS 540和560,NCS 5500、8000和ASR 9000系列路由器。如果在多播路由下配置了活动接口,则此漏洞会影响运行任何版本的Cisco IOS XR软件的所有Cisco设备。坏消息是,思科尚未解决该漏洞,思科发布了包括缓解措施的安全建议。

  Cisco IOS XR软件的距离矢量多播路由协议(DVMRP)功能中存在一个漏洞,使得未经身份验证的远程攻击者能够耗尽受影响设备的进程内存。

  2020年8月28日,思科产品安全事件响应团队(PSIRT)发现有人试图在野外利用此漏洞进行攻击。

  该漏洞是由于对Internet组管理协议(IGMP)数据包的队列管理不足造成的,攻击者可以通过向易受攻击的设备发送巧尽心思构建的IGMP通信量来利用该漏洞。成功的攻击可能导致内存耗尽,导致其它进程不稳定,包括内部和外部路由协议。建议用户运行show igmp interface命令,以确定其设备上是否启用了组播路由。在未启用组播路由的IOS XR路由器上运行该命令将产生空输出。

  该建议指出,根据客户的需要,有多种缓解措施可供客户使用,例如,实施速率限制器以降低流量速率并增加成功利用漏洞所需的时间。用户还可以向现有接口访问控制列表(ACL)或新ACL实施访问控制项(ACE),以拒绝到启用了组播路由的接口的入站DVRMP流量。

  思科还建议通过进入IGMP路由器配置模式,为无需处理IGMP流量的接口禁用IGMP路由。

  参考来源:SecurityAffairs http://dwz.date/ctnc

 

  (五)QNAP NAS设备存在远程代码执行漏洞

  360 Netlab研究人员8月31日发表博客文章称,QNAP NAS设备存在远程代码执行RCE漏洞。

  研究人员发现,问题出在CGI程序中。用户注销时,根据Cookie中的字段名选择相应的注销功能时使用。问题在于QPS_SID、QMS_SID和QMS_SID不过滤特殊字符,直接调用snprintf函数拼接curl命令字符串并调用系统函数来运行字符串,从而使命令注入成为可能。

  未经验证的远程攻击者可以利用该漏洞使用authLogout.cgi可执行文件,因为在调用系统函数运行命令字符串之前,它不会从输入中筛选出特殊字符。这种行为使得命令注入成为可能,并允许远程代码执行。

  

 

  360 Netlab的研究人员于5月13日向QNAP-PSIRT报告了该漏洞,8月12日,该供应商确认,该问题已在之前的安全更新中得到解决,但仍有QNAP NAS设备在线需要升级。 QNAP于2017年7月21日发布固件版本4.3.3解决了该漏洞。供应商建议的修复程序替换了用于运行命令字符串的函数。

  研究人员注意到,成功利用后,两个攻击者IP(219.85.109.140和103.209.253.252)使用通过wget http://165.227.39.105:8096/aaa文件下载的相同有效负载。

  360 Netlab指出,攻击者并没有利用僵尸网络完全自动化攻击,当时他们的真实目的仍然是个谜。 研究人员总结表示,“我们建议QNAP-NAS用户及时检查和更新固件,同时检查异常进程和网络连接。”360 Netlab发布的这份报告包括危害指标(IOC)以及所有受影响的QNAP固件版本列表。

  在八月初,该公司敦促其用户更新Malware Remover应用程序,以防止NAS设备被QSnatch恶意软件感染 。

  美国网络安全和基础设施安全局(CISA)和英国国家网络安全中心(NCSC)也发布了一份关于正在进行的大规模传播QSnatch数据窃取恶意软件的活动的联合咨询。

  参考来源:SecurityAffairs http://dwz.date/ctkj

 

  (六)MoFi路由器存在四个尚未修复的漏洞

  网络安全公司CRITICAL START研究人员发现,截至9月1日,加拿大网络设备供应商MoFi Network仅修补了安全研究人员于今年5月向公司报告的十个漏洞中的六个。未打补丁的是一个命令注入漏洞,和三个硬编码的无文档记录的后门机制,所有这些都会影响该公司的MOFI4500-4GXeLTE路由器系列。

  这些设备都是功能非常强大的商务路由器,mofi将其描述为“为企业或客户制造的高性能任务关键型企业坚固金属路由器”。MOFI4500-4GXeLTE路由器通过LTE(4G)上行链路为商业用户提供高带宽连接,通常由互联网服务提供商或其他需要确保无法使用正常有线互联网连接的远程业务点接入互联网的公司部署。

  网络安全公司CRITICAL START称,在今年早些时候发现了MOFI4500-4GXeLTE路由器固件中的十个漏洞。十个漏洞包括一系列广泛的问题,一个比一个严重,所有问题均在下表中详细说明。

  

 

  CRITICAL START表示已通知MoFi安全人员该漏洞,但是当该公司在今年早些时候发布固件更新时,它只包含十个漏洞中的六个的补丁。上表黄色的四行表示MoFi尚未修补的四个漏洞。MoFi没有回复为什么没有修复这四个漏洞。

  由于漏洞列表中包含相当多的后门,人们可能会认为这些漏洞对僵尸网络操作员很有吸引力,事实上也的确如此。利用这十个漏洞只需要攻击者与设备的Web管理界面直接连接即可。CRITICALSTART表示,默认情况下,所有网络接口都可以通过LAN(内部)和WAN(外部)访问此界面。

  然而,CRITICAL START表示,由于ISP使用了许多MOFI4500-4GXeLTE路由器,因此其中一些设备具有某种程度的最低限度保护,从而阻止了攻击者轻松地进行黑客攻击。

  例如,如何利用这些漏洞的一个这样的场景是通过嵌入在广告中的恶意代码。当ISP员工或ISP网络上的客户访问带有这些广告之一的网站时,恶意代码会在浏览器(位于ISP的LAN中)内运行,并代表攻击者攻击MOFI4500-4GXeLTE路由器。

  这意味着,从长远来看,阻止访问路由器的管理WAN接口可能不是完全有效的解决方案,最终需要应用固件更新来修补其余错误并防止将来的攻击。由于这些漏洞带来的危险,CRITICALSTART表示,它还将其发现通知了US-CERT,该组织似乎在幕后努力保护这些设备的安全。

  CRITICALSTART在观察到可上网的MoFi设备数量在夏季下降了40%以上后得出了这一结论,从6月25日的14,000台设备下降到8月25日的约8,200台设备。CRITICALSTART研究小组表示:“我们怀疑这是US-CERT与ISP合作限制网络访问的结果。”

  参考来源:ZDNet http://dwz.date/ct3A

 

  (七)CISA及FBI联合发表声明否认俄罗斯暗网泄露美国选民信息

  9月1日,俄罗斯通讯社Kommersant发表文章称,今年3月份一名俄罗斯黑客入侵了美国密歇根州数据库,获得了760多万密歇根州选民的选民记录。对此,CISA及FBI联合发表声明表示,他们今年没有看到针对美国选民注册数据库和投票系统的任何网络攻击。

  根据Kommersant的说法,该黑客还声称拥有康涅狄格州、阿肯色州、佛罗里达州、北卡罗来纳州选民的选民记录,但数量较少,并且自7月以来一直在黑客论坛上免费提供所有数据库。尽管美国各州的大多数选民记录都是免费提供的,但黑客声称,至少密歇根州的选民数据库中包含了本来应该是保密的字段,如电子邮件和生日。

  在CISA和FBI于推特上联合发表的声明中,他们声称这种黑客攻击从未发生过,CISA和FBI今年没有在选民登记数据库或任何涉及投票的系统上遭受网络攻击。

  此外,在当天晚些时候, 密歇根州和康涅狄格州的官员们还向NBC新闻记者凯文·科利尔(Kevin Collier)发表声明,否认他们被黑客入侵的说法。这两个州还提醒美国选民,他们各自的选民数据库是公开的,任何人都可以免费获取,或者通过提交FOIA(信息自由法)请求,实际上Kommersant报告为无中生有。

  尽管如此,这并没有阻止Kommersant文章在网上流传,并引起了一些美国选民的恐慌,该报道在今天早些时候在Twitter US上流行。成千上万的美国人在一个俄罗斯新闻网站上分享一个故事,却没有质疑它的报道或真实性,这在当天晚些时候被终止了。当天晚些时候,Facebook和Twitter宣布关闭了一家由俄罗斯赞助的新闻网站,因为该网站发表了关于美国政治的误导性文章。

  参考来源:ZDNet http://dwz.date/ctfM

 

  (八)美国司法部起诉朝鲜黑客 追讨其窃取的280个加密货币

  8月27日,美国司法部(DoJ)对朝鲜提起民事没收申诉,起诉书详细说明了2019年两起国家支持的朝鲜黑客入侵虚拟货币交易所的具体攻击行为。攻击者窃取了280个加密账户,价值约2.5亿美元,并通过中国的洗钱网络将被盗资金输送出去。美国政府的目标是夺取280个非法加密货币账户的控制权。

  美国司法部刑事司代理助理总检察长Brian Rabbitt在一份新闻声明中表示,“今天的行动公开暴露了朝鲜网络黑客计划与中国一个加密货币洗钱网络之间正在进行的联系。”

  根据美国司法部的说法,起诉书中概述的两起黑客攻击分别发生在2019年7月和9月。调查人员表示,一名黑客涉嫌窃取了价值超过27.2万美元的替代加密货币和代币,包括Proton代币、PlayGame代币和IHT房地产协议代币,然后通过“几个中间地址和其他虚拟货币交易所”洗钱。在起诉书中称,这名行为者将加密货币转换为比特币、Tether或其他形式的加密货,这一过程被称为‘跳链’,以便混淆交易路径。

  在另一次攻击中,美国司法部表示,一名与朝鲜有关的黑客获得了一家未具名公司的虚拟货币钱包、该公司在其他平台上持有的资金,以及该公司合作伙伴持有的资金。据联邦调查局称,黑客窃取了近250万美元,并通过另一家虚拟货币交易所的100多个账户洗钱。

  去年9月,美国政府制裁了朝鲜的APT组织,包括多产的Lazarus组织,即高调的WannaCry勒索软件攻击和针对索尼影视娱乐(Sony Pictures Entertainment)的网络攻击的幕后黑手。制裁冻结了任何与美国相关的金融资产,并禁止美国与Lazarus及其两个据称的子集团Blunowoff和Andariel进行任何交易。据信,这两个子集团都属于朝鲜的主要情报局侦察总局(RGB)。

  Lazarus最近与一场网络钓鱼活动有关,研究显示,该活动通过LinkedIn的消息针对一家加密货币公司的管理员。F-Secure的研究人员表示,这场出于财务动机的活动通过发送到目标个人LinkedIn账户的LinkedIn消息,瞄准了世界各地的企业。

  美国司法部的申诉是美国政府打击其所说的与朝鲜有关的网络犯罪活动的最新举措,尽管美国政府自己也承认,很难完全遏制朝鲜广泛的黑客活动。

  美国司法部国家安全司助理司法部长约翰·德默斯(John Demers)在一份新闻声明中表示:“尽管朝鲜不太可能停止试图掠夺国际金融部门,为一个失败的经济和政治政权提供资金,但今天这样的行动向私营部门和外国政府发出了一个强有力的信息,表明与我们合作对抗这一威胁的好处。”

  参考来源:threatpost http://dwz.date/ctqG

 

  (九)Qbot木马使用新型模块收集受害者敏感数据

  CheckPoint研究人员发现,针对Microsoft Outlook用户的QBot木马活动中出现了新趋势。QBot木马运营商正在使用新策略来劫持合法电子邮件对话,并窃取受害者的个人和财务数据。威胁参与者正在采用一个新模块,该模块专门用于收集和破坏受感染系统上的电子邮件线程。

  QBot(又名Qakbot和Pinkslipbot)自2008年以来一直活跃,被恶意软件用来收集受害者的浏览数据和银行凭证以及其他财务信息。根据专家的说法,QBot木马已经感染了全球超过100,000个系统。它的模块化结构允许运营商实施新功能以扩展其功能。

  CheckPoint的研究人员观察到,由于Emotet感染,QBot的新变种在3月至8月的几次活动中传播。研究人员估计,7月份发生的其中一场运动影响了全球约5%的组织。大多数感染是在美国和欧洲的组织中观察到的,针对性最强的行业是政府、军事和制造业。

  垃圾邮件消息包含指向.ZIP文件的URL,这些URL提供VBS内容,这些内容旨在从六个硬编码的加密URL之一下载有效负载。 感染系统后,最新的QBot变体中的新模块将实现一个电子邮件收集器,该电子邮件收集器将提取Outlook客户端中包含的所有电子邮件线程,并将其上载到攻击者的C2服务器。 攻击者可以劫持电子邮件线程以传播恶意软件。

  

 

  Check Point的专家分析了针对性的、被劫持的电子邮件线程的示例,其中涉及与Covid-19,纳税提醒和工作招聘内容有关的主题。研究人员记录了多个QBots模块,其中包括:

  l可执行文件更新 –使用较新版本或较新的漫游器列表更新当前可执行文件。

  l电子邮件收集器模块-使用API从受害者的Outlook客户端提取所有电子邮件线程,并将其上载到硬编码的远程服务器。

  lHooking Module-该模块将自身注入到所有正在运行的进程中,并挂钩相关的API函数。

  lWeb注入文件-该文件向注入器模块提供网站列表和JavaScript代码,如果受害者访问这些网站中的任何一个,都会注入这些代码。

  lPassword Grabber模块-下载MimiKatz并尝试获取密码的大型模块。

  lHVNC插件-允许通过远程VNC连接控制受害者机器,例如代表他执行银行交易。

  lJS Updater Loader-解密并编写Javascript更新程序脚本。

  lCookie Grabber模块-针对流行的浏览器:IE、Edge、Chrome和Firefox。

  研究人员总结表示,“如今,Qbot比以前危险得多,它有活跃的垃圾邮件运动,感染组织,它还设法利用像Emotet这样的第三方感染基础设施进一步传播威胁。看起来Qbot背后的威胁组织多年来一直在改进他们的技术。”

  参考来源:SecurityAffairs http://dwz.date/ct4y

 

  (十)新型Windows恶意软件KryptoCibule针对加密货币用户

  网络安全公司ESET 9月2日发布了一份报告,详细介绍了一种新型Windows恶意软件,该公司将其命名为KyptoCibule。ESET表示,该恶意软件至少从2018年12月开始活跃,但至今才浮出水面。KyptoCibule针对的是加密货币用户,该恶意软件的主要三个功能是(1)在受害者系统上安装加密货币挖掘器,(2)窃取加密货币钱包相关文件,(3)替换操作系统剪贴板中的钱包地址,以劫持加密货币支付。

  这些功能是恶意软件创建者广泛开发工作的结果,自从2018年末KyptoCibule的第一个版本以来,他们一直在慢慢地向KyptoCibule的代码中添加新的项目。

  

 

  根据ESET的说法,恶意软件已经慢慢演变成错综复杂的多组件威胁,远远超过我们在大多数其他恶意软件品系中看到的情况。目前,该恶意软件通过盗版软件的Torrent文件传播。ESET表示,下载这些Torrent的用户将安装他们想要的盗版软件,但他们也会运行恶意软件的安装程序。此安装程序设置依赖于计划任务的重启持久性机制,然后安装KyptoCibule恶意软件(启动器)、操作系统剪贴板劫持程序模块以及Tor和Torrent客户端的核心。

  ESET表示,KyptoCibule使用Tor客户端与在暗网上托管的命令与控制(C&C)服务器进行安全通信,而Torrent客户端用于加载Torrent文件,这些文件最终将下载其他附加模块,如代理服务器、密码挖掘模块以及HTTP和SFT服务器,所有这些都对恶意软件的操作方式中的一个或多个任务有用。

  

总而言之,KryptoCibule对加密货币用户来说是个坏消息,因为这显然是由了解现代恶意软件操作的人员设计的。然而,ESET表示,尽管威胁相当复杂,但KyptoCibule的传播似乎仅限于两个国家,即捷克共和国和斯洛伐克。ESET研究人员表示,几乎所有传播带有KyptoCibule的盗版软件的恶意Torrent,都只能在两国流行的文件共享网站uloz.to上找到。

 

  这种有限的分发似乎是从一开始就计划好的,因为CryptoCibule还包含一个功能,可以检查受害者计算机上是否存在防病毒软件,并且此模块只检查ESET、AVAST和AVG。这三家公司都是总部位于捷克共和国和斯洛伐克的防病毒公司,最有可能安装在大多数目标用户的计算机上。

  然而,这种恶意软件目前只分布在全球的一小部分地区,这一事实不排除这种情况在未来会继续存在。用户应该保持警惕,避免像KyptoCibule这样的威胁的最简单方法就是不要安装盗版软件。过去十年的多份报告均警告用户,大多数盗版软件的Torrent文件通常都带有恶意软件,因此不值得冒险。

  参考来源:ZDNet http://dwz.date/ctz6

 

  (十一)Google Play应用商店中多款应用程序存在广告欺诈恶意软件Terracotta

  安全公司White Ops的Satori威胁情报与研究团队发现,Google Play应用商店中的几款Android应用程序在用户的移动设备上安装了广告欺诈恶意软件Terracotta。

  White Ops与Google共享了调查结果,Google已迅速从Google Play商店中删除了这些的Android应用程序。根据Google的说法,这些应用程序是一个名为Terracotta的广告欺诈僵尸网络的一部分。

  自2019年底以来, White Ops Satori威胁情报与研究团队一直在积极跟踪Terracotta僵尸网络。Terracotta运营商将应用程序上传到Google Play应用程序,并向用户承诺,如果在其设备上安装这些应用程序,将会免费提供商品,如优惠券、鞋子、门票。

  WhiteOps发布的报告表示,“TERRACOTTA恶意软件向Android用户提供免费商品,以换取下载应用程序,包括用户从未收到的鞋子、优惠券和音乐会门票。一旦安装了该应用程序并激活了该恶意软件,该恶意软件便使用该设备生成非人为的广告印象,这些印象似乎是合法的Android应用程序中显示的广告。”

  在2020年6月的一个星期内,该活动产生了超过20亿个欺诈性投标请求,该恶意软件感染了65,000多个设备,并欺骗了5,000多个应用程序。该恶意软件欺骗用户等待两周才能收到免费产品,而其设备上安装的应用程序则在后台运行。

  

 

  恶意应用程序以隐身方式下载并执行WebView浏览器的修改版。该浏览器用于通过加载广告并从非人工产生的广告展示中获取收益来进行广告欺诈。

  根据WhiteOps研究人员的说法,Terracotta僵尸网络使用了先进的技术来避免检测。专家指出,Google已从应用商店中删除了多个应用程序,但某些设备似乎仍然受到感染。Google还禁用了所有用户设备上的恶意应用程序。

  Google发言人表示,“ 由于我们与White Ops合作调查TERRACOTTA广告欺诈行为,他们的关键发现帮助我们将案件与以前发现的移动应用程序关联起来,并确定了其他不良应用程序。这使我们能够迅速采取行动,以保护用户、广告商和更广泛的生态系统。当我们确定违反政策时,我们将采取行动。”

  参考来源:SecurityAffairs http://dwz.date/cs57

 

  (十二)伊朗APT组织Pioneer Kitten出售企业网络访问权限

  CrowdStrike研究人员8月31日发表博客文章称,APT组织Pioneer Kitten怀疑与伊朗政府有关联,自2017年以来一直在运作,目的是获得并保持对持有对伊朗“可能有情报利益”敏感数据的实体的访问权。该组织行为表明,Pioneer Kitten很可能是一个为支持伊朗政府而运营的合同组织,而不是伊朗自己经营的组织。 该组织的目标主要是北美和以色列实体,重点是技术、政府、国防和医疗保健。

  2020年7月下旬,一个与PIONEER KITTEN有关的威胁组织被确定在地下论坛上出售对受感染网络的访问权的广告。该活动表明,PIONEER KITTEN可能会尝试实现收入流多样化,同时有针对性地支持伊朗政府。该类型的PIONEER KITTEN索赔相关的组织已经危及实体将显著情报价值伊朗政府。因此,PIONEER KITTEN的这种商业活动不太可能会受到伊朗政府的制裁,因为这种访问的商业销售将对潜在的情报收集业务产生重大的负面影响。

  该攻击者的技术在很大程度上依赖于对面向互联网的资产的远程外部服务的利用,并利用这些资源进入目标环境。Pioneer Kitten对与VPN和网络设备相关的漏洞攻击感兴趣,特别是CVE-2019-11510、CVE-2019-19781和CVE-2020-5902。在该组织的操作过程中,主要依赖于开源工具。

  该组织采用机会主义模式,大多数攻击都集中在北美和以色列实体上。该组织似乎对科技、政府、国防和医疗保健部门最感兴趣。然而,该组织目标行业也包括航空、媒体、学术界、工程、咨询和专业服务、金融服务、制造业和零售业。

  参考来源:DarkReading http://dwz.date/ctuV

 

  (十三)澳大利亚发布自愿性物联网网络安全行为准则

  澳大利亚政府发布了一项自愿行为准则,以保护澳大利亚物联网安全。

  该自愿性《行为准则:保障消费者物联网安全》旨在为业界提供有关如何设计具有网络安全功能的IoT设备的最佳实践指南。该准则适用于在澳大利亚连接到互联网收发数据的所有IoT设备,包括智能冰箱、智能电视、婴儿监视器和安全摄像机等日常设备。

  澳大利亚内政部长彼得·达顿(Peter Dutton)表示:“与互联网连接的设备越来越多地成为澳大利亚家庭和企业的一部分,其中许多设备的安全功能差,使业主容易受到风险。制造商应通过设计内置的安全性来开发这些设备。澳大利亚人在购买这些设备时应考虑安全功能,以保护自己免受网络犯罪分子的未经请求的访问。”

  该自愿行为准则基于13项原则。这些原则包括:不复制默认密码或弱密码以及使用多因素身份验证;实施包括公共联系点在内的漏洞披露政策,以便安全研究人员和其他人员可以报告任何网络安全问题;保持软件安全更新;避免在设备和软件中使用硬编码的凭据,从而安全地存储凭据。

  该准则还规定,制造商应确保根据1988年《隐私法》和《澳大利亚隐私原则》等数据保护法保护个人数据;尽量减少暴露的攻击面;确保通讯安全;通过验证IoT设备上的软件并使用安全的提升机制来确保软件完整性;使系统具有抗故障能力;并监视系统遥测数据的安全异常。

  此外,尽管是自愿的,但该行为准则还鼓励物联网制造商让消费者在处置设备时轻松删除个人数据;简化设备的安装和维护;并确保验证通过用户界面,API和网络界面接收的任何数据。

  除了行为准则外,澳大利亚信号局的澳大利亚网络安全中心(ACSC)还发布了一份指南,以帮助制造商实施物联网行为准则、此外,ACSC还为消费者和中小型企业发布了IoT指南,介绍了在购买、使用和处置IoT设备时如何保护自己免受网络威胁。

  澳大利亚国防部长琳达·雷诺兹(Linda Reynolds)表示:“提高互联网连接设备的安全性和完整性对​​于确保能够享受其提供的好处和便利而不会成为网络犯罪分子的受害者至关重要。”

  澳大利亚政府于去年11月发布了该草案,并于随后在全国范围内与各行各业进行了行业磋商,包括网络安全、政府、非营利性倡导组织、关键基础设施提供商、以及国内外消费者。该行为准则也是政府2020年网络安全战略的关键成果。

  去年7月,澳大利亚在伦敦与五眼国家共同签署了一份关于关物联网安全的意向书。政府认为,自愿行为准则与英国提供的指导方针保持一致,并以其为基础,并且与”其他国际标准”保持一致。

  参考来源:ZDNet http://dwz.date/csEE

 

  (如未标注,均为天地和兴工业网络安全研究院编译)

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号