安全研究
全部分类

关键信息基础设施安全动态周报【2020年第40期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-10-10 16:41
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第40期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第40期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第40期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-10-10 16:41
  • 访问量:
详情

  目 录

  第一章 国外关键信息基础设施安全动态

  (一)微软发布《数字防御报告》回顾网络安全趋势

  (二)Group-IB发现针对俄罗斯的黑客组织OldGremlin

  (三)针对埃及的网络攻击活动使用Mac和Linux平台的间谍软件FinSpy

  (四)研究人员发现新型百万美元级别勒索软件Mount Locker

  (五)美国及澳大利亚Office 365服务中断

  (六)国际海事组织遭受网络攻击

  (七)MontysThree攻击俄罗斯工业组织

  (八)Ttint僵尸网络攻击Tenda路由器

  (九)阿联酋国际航空公司数据在多个暗网论坛上泄露

  (十)印尼即将成为第五个修改数据隐私法的东盟国家

  (十一)美国查获伊朗用于虚假信息的域名

  (十二)今年第三季全球勒索软件攻击大幅增加50%

  (十三)德国科技巨头Software AG公司遭受勒索软件攻击

  (十四)新的HEH僵尸网络可以擦除路由器和IoT设备

 

  第一章 国外关键信息基础设施安全动态

  (一)微软发布《数字防御报告》回顾网络安全趋势

  近日微软发布了《数字防御报告》,利用其在桌面、服务器、企业和云生态系统上的优势,总结了当今企业面对网络犯罪和民族国家攻击时所面临的最大威胁。该报告长达88页,包含了2019年7月至2020年6月的数据,主要包括了四个方面,分别为网络犯罪、勒索软件组织、供应链安全以及民族国家APT组织。

  毫无疑问,2020年将因COVID-19流行而被铭记。尽管一些网络犯罪组织使用COVID-19主题吸引和感染用户,但微软表示,这些操作只是一般恶意软件生态系统的一小部分,大流行似乎在今年的恶意软件攻击中起了最小的作用。企业部门中的电子邮件网络钓鱼也一直在增长,并已成为主要的媒介。大多数网络钓鱼诱饵都集中在Microsoft和其他SaaS提供商周围,而被欺骗最多的5个品牌包括Microsoft,UPS,Amazon,Apple和Zoom。

  微软表示,它在2019年阻止了130亿个恶意和可疑邮件,其中超过10亿个包含的URL的建立是为了发起凭据网络钓鱼攻击的明确目的。成功的网络钓鱼操作通常也被用作企业电子邮件妥协(BEC)欺诈的第一步。微软表示,骗子可以访问高管的电子邮件收件箱,观看电子邮件通信,然后诱骗被黑用户的业务合作伙伴将发票支付到错误的银行账户中。

  

 

  微软还表示,网络钓鱼并不是进入这些账户的唯一途径。黑客也开始对传统的电子邮件协议(例如IMAP和SMTP)采用密码重用和密码喷洒攻击。由于通过IMAP和SMTP登录不支持此功能,因此攻击者还可以绕过多因素身份验证(MFA)解决方案,因此在最近几个月中,这些攻击特别受欢迎。此外,微软表示,还看到越来越多的网络犯罪组织滥用基于公共云的服务来存储攻击中使用的工件,而不是使用自己的服务器。此外,如今,群组也在以更快的速度更改域和服务器,主要是为了避免被发现并留在雷达之下。

  参考来源:ZDNet http://dwz.date/cFQN

 

  (二)Group-IB发现针对俄罗斯的黑客组织OldGremlin

  安全公司Group-IB近日发布博客文章称,其发现了一个新型网络犯罪组织,该组织在过去六个月里多次故意利用恶意软件和勒索软件攻击俄罗斯企业。该组织名为OldGremlin,使用一种名为TinyCryptor(又名decr1pt)的新型病毒勒索软件来进行有针对性的攻击。

  Group-IB高级DFIR分析师奥列格·斯库尔金(Oleg Skulkin)表示,“迄今为止,他们只针对俄罗斯企业。对于讲俄罗斯语的组织来说,这是非常不正常的,他们有一个潜规则,即不在俄罗斯和后苏联国家内工作。”

  OldGremlin攻击通常始于带有恶意软件标记的ZIP文件的鱼叉式网络钓鱼电子邮件,该电子邮件通常会使用名为TinyNode的后门特洛伊木马感染受害者组织。这使攻击者在公司的网络上有了最初的立足点,在那里黑客横向扩散到其他系统,然后在攻击的最后阶段部署勒索软件。

  一旦对网络进行加密,OldGremlin团队通常会使用留在受感染系统上并返回ProtonMail地址的消息要求大约50,000美元的赎金付款。

  Skulkin表示,Group-IB已经在8月份确定了OldGremlin组织,但该组织的攻击可追溯至3月份,其网络钓鱼电子邮件使用了多种诱饵,从冒充新闻记者寻求采访到利用反政府集会在白俄罗斯是对话的开场白。

  

 

  正如Skulkin所指出的那样,对俄罗斯实体的攻击很少见,但以前也发生过。通常,像Silence和Cobalt之类的组织在俄罗斯起步时很小,然后才向外扩展业务,先扩展到附近国家,然后再扩展到全世界。

  KELA产品经理Raveed Laeb在采访中表示,“如果他们是俄罗斯人,那将是不寻常的事,但并非闻所未闻。就在几周前,我们注意到一个 初始访问代理在一个俄语论坛上为一家俄罗斯银行提供了RCE,而MagBo在俄语上提供了多个webshel​​l网站。他们也有可能不是俄罗斯人,但确实在独联体国家以外活动。例如,反俄罗斯乌克兰国民可能有双重动机攻击俄罗斯实体,包括财政和意识形态。”

  参考来源:ZDNet http://dwz.date/cFfN

 

  (三)针对埃及的网络攻击活动使用Mac和Linux平台的间谍软件FinSpy

  国际特赦组织9月25日揭露了一项针对埃及民间社会组织的新监视活动的细节,该活动使用以前未公开版本的针对Linux和macOS系统的FinSpy间谍软件。

  FinSpy由一家德国公司开发,是一款功能极其强大的间谍软件,作为一种合法的执法工具出售给世界各地的政府,但也被暴虐和可疑的政权用来监视活动人士。

  FinSpy,也称为FinFisher,可以同时针对台式机和移动操作系统,包括Android、iOS,Windows、macOS和Linux,以获得间谍功能,包括秘密打开其网络摄像头和麦克风、在键盘上记录受害者的所有内容、拦截通话、并泄露数据。

  根据人权组织国际特赦组织(Amnesty International)的说法,新发现的竞选活动与NilePhish无关,NilePhish是一个以攻击埃及NGO进行一系列攻击而闻名的黑客组织,涉及较旧版本的FinSpy、网络钓鱼技术和恶意Flash Player下载。

  

 

  

 

  相反,新的未知黑客组织使用了适用于Linux、macOS、Android和Windows的FinSpy新版本,他们认为该黑客组织自2019年9月起由政府资助并活跃。

  特赦组织正在积极追踪和监视NilePhish的活动,并在VirusTotal上上传了所有新的恶意软件样本,这些发现是其正在进行的工作的一部分。当新的二进制文件发现自己在虚拟机上运行时,这些新的二进制文件将被混淆并阻止恶意活动,这给专家分析恶意软件带来了挑战。此外,即使没有扎根目标智能手机,间谍软件仍会尝试使用先前披露的漏洞利用来获得root用户访问权限。

  研究人员表示,“ Linux样本中可用的模块与MacOS样本几乎相同。这些模块使用AES算法进行加密,并使用aplib压缩库进行压缩。AES密钥存储在二进制文件中,但是IV以及最终解压缩文件的MD5哈希存储在每个配置文件中。间谍软件使用HTTP POST请求与Command&Control(C&C)服务器通信。使用7F模块提供的功能对发送到服务器的数据进行加密,使用自定义压缩器进行压缩,并进行base64编码。”

  同时,研究人员还提供了入侵指标(IoC),以帮助研究人员进一步调查这些攻击,并检查用户的计算机是否属于受到攻击的计算机。

  参考来源:The Hacker News http://dwz.date/cFqZ

 

  (四)研究人员发现新型百万美元级别勒索软件Mount Locker

  

 

  MalwareHunterTeam安全研究人员Michael Gillespie近日发现,一个名为Mount Locker的新型勒索软件正在活跃,会在加密之前先窃取受害者的文件然后索要数百万美元的赎金。从2020年7月底开始,Mount Locker开始攻击公司网络并部署其勒索软件。

  在某些情况下,Mount Locker组织会要求支付数百万美元的赎金。在加密文件之前,Mount Locker还会窃取未加密的文件,并威胁受害者,如果不支付赎金,数据将被发布。例如,Mount Locker告诉一名受害者,他们窃取了400 GB的数据,如果未付款,他们将与受害者的竞争对手、媒体、电视频道和报纸联系。最终,受害者没有付款,他们的数据被发布到勒索软件数据泄漏站点。该数据泄漏站点当前列出了四个受害者,只有一个受害者泄漏了文件。

  Mount Locker使用ChaCha20加密文件,并使用嵌入式RSA-2048公钥对加密密钥进行加密。勒索软件在加密文件时将以.ReadManual.ID格式添加扩展名,例如将加密1.doc并将其重命名为1.doc.ReadManual.C77BFF8C。然后,勒索软件将在注册表中注册该扩展名,以便单击加密文件时,它将自动加载勒索便笺。HKCU\Software\Classes\.C77BFF8C\shell\Open\command\ @="explorer.exe RecoveryManual.html"

  

 

  勒索注释的名称为RecoveryManual.html,其中包含有关如何访问Tor站点以与勒索软件操作员进行通信的说明。Tor网站只是一个聊天服务,受害者可以在其中商讨赎金或提出问题。不幸的是,该勒索软件是安全的,目前无免费恢复文件。

  参考来源:BleepingComputer http://dwz.date/cFqy

 

  (五)美国及澳大利亚Office 365服务中断

  从9月28日美国东部时间下午5:15开始,美国和澳大利亚的Office 365用户开始难以登录其电子邮件账户或访问电子邮件。尝试登录账户时,会出现AADSTS90033错误提示。此次中断影响了电子邮件服务、Microsoft Teams、Office.com、Power Platform和Dynamics365。

  

 

  Microsoft最初表示,他们确定了导致中断的原因,但是在Roll Back之后中断依然没有得到解决。微软status.office.com页面显示:“我们已确定,我们基础设施的一个特定部分没有及时处理身份验证请求。我们正在为这个问题采取缓解措施。同时,我们正在将流量重新路由到备用系统,以进一步缓解受影响的用户。我们正在努力探索其他缓解方法。” Microsoft开始尝试通过不同的服务器重新路由流量,并且一些用户报告说可以再次登录。

  参考来源:BleepingComputer http://dwz.date/cFRz

 

  (六)国际海事组织遭受网络攻击

  全球航运业在一周内遭受了第二次网络攻击,这引发了人们对供应链中断的担忧,供应链已经在紧张地运送货物,进入通常的消费需求旺季。

  国际海事组织(International Marine Organization)是联合国的一个机构,也是该行业的监管机构。该组织周四在一份声明中表示,它遭受了“针对该组织IT系统的复杂网络攻击”。该公司表示,国际海事组织的一些基于网络的服务目前不可用,此次入侵正在影响其公共网站和内部系统。

  在那次攻击之前,少数人持股的CMA CGM本周早些时候披露,其信息系统受到攻击。按运力计算,CMA CGM是全球第四大集装箱班轮。这家总部位于法国马赛的公司周四表示,办公室正在“逐渐重新连接到网络,从而改善预订和文档的处理时间”。

  近年来,一连串的网络事件困扰着航运业,其中最大的一起是2017年哥本哈根的美联社穆勒-马士基(AP Moller-Maersk)遭受的一次入侵,造成了约3亿美元的损失。

  虽然现在就断言最近的攻击将被证明是对全球贸易的短暂刺激还是引发更广泛的破坏还为时过早,但Bloomberg Intelligence的Lee Klaskow等物流专家表示,网络威胁“肯定是短期内的逆风和令人头疼的”。

  对于仍在等待季节性周期恢复一些正常状态的航运公司来说,最新网络攻击行为的时机尤其糟糕。

  从纸巾和口罩到蹦床和电脑显示器,大流行使供应链失去了同步,因为消费者被迫在家工作,并在网上购买必需品。

  对托运人的需求最初是由于预计新冠肺炎停工导致的深度衰退而减少的,但由于电子商务采购保持强劲,企业正在补充库存,对托运人的需求并未真正减弱。

  因此,自今年年初以来,跨越太平洋运输货物集装箱的基准成本增加了两倍。

  参考来源:Thenational http://dwz.date/cKmf

 

  (七)MontysThree攻击俄罗斯工业组织

  卡巴斯基实验室的研究人员发现了一个新的威胁因素,被追踪为MontysThree,由讲俄语的成员组成,目标是俄罗斯工业组织。

  MontysThree组织在以网络间谍为目的的高度定向攻击中使用了一种名为MT3的工具集。

  根据专家的说法,MontysThree至少从2018年开始就一直活跃,但卡巴斯基没有发现这个组织与其他已知的高级持续威胁(APT)之间有任何联系。

  MontysThree Actor采用模块化结构,专家分析了用C++编写的四个模块:加载器、内核、HttpTransport和LinkUpdate。

  加载器允许传送主要有效载荷,专家注意到它隐藏在一个自解压的RAR存档中。为了诱骗受害者打开,档案会参考电话清单、医学测试结果或技术文档,以说服目标组织的员工下载文件。

  加载器将主要有效载荷隐藏在位图图像文件中,主要有效载荷使用加密来逃避检测和保护C&C通信。

 

 

  该恶意软件允许操作员搜索特定的Microsoft Office和Adobe Acrobat文档并窃取它们,捕获屏幕截图,并收集受攻击计算机上的信息。恶意软件能够将窃取的数据存储在主要的云服务上,包括Google、Microsoft和Dropbox,这是隐藏恶意流量的常用技术。

  恶意软件的代码中出现了许多工件,这表明它的开发人员是讲俄语的程序员,而且它的目标是西里尔文Windows版本。

  卡巴斯基指出,从传播和持续性的方法来看,MontysThree的战役并不像其他威胁行为体那样复杂。

  恶意软件的某些方面,如同时登录RAM和文件、将加密密钥保存在同一个文件中、在远程RDP主机上运行一个不可见的浏览器等,表明开发人员并非专业人员。

  参考来源:Securityaffairs http://dwz.date/cKpt

 

  (八)Ttint僵尸网络攻击Tenda路由器

  据中国网络安全公司奇虎360旗下360 Netlab的研究人员称,一个新的基于Mirai的僵尸网络正在针对Tenda路由器的零日漏洞。

  名为Ttint的Remote Access特洛伊木马(RAT)与任何Mirai后代一样,包含分布式拒绝服务功能,但也实现了12项远程访问功能,包括Socket5代理、修改路由器DNS和iptables以及运行系统命令。

  为了规避对Mirai僵尸网络生成的典型流量的检测,Ttint使用WSS(WebSocket Over TLS)协议与命令和控制(C&C)服务器通信,并且还使用加密。

  僵尸网络的活动最初是在2019年11月发现的,当时攻击者开始滥用Tenda路由器(CVE-2020-10987)中的第一个零日漏洞。第二个漏洞在2020年8月开始被利用,但360 Netlab表示,该供应商尚未回复其报告该漏洞的电子邮件。

  研究人员说,Ttint的行为相对简单,它在运行时删除自己的文件,修改进程名称,操纵看门狗,并可以防止设备重启。在建立到C&C的连接后,它会发送设备信息并开始等待指令。

  该恶意软件具有之前在Mirai中观察到的许多功能,例如随机进程名称、配置信息加密、支持多个DDoS攻击向量,或者一次只有一个恶意软件实例在运行。不过,与Mirai不同的是,它使用的是WebSocket协议。

  Ttint中实现的功能允许攻击者远程访问路由器的内部网,劫持网络访问以可能窃取敏感信息,设置通信量转发规则,并利用反向外壳作为本地外壳。恶意软件还可以自我更新或杀死自己的进程,并可以执行中央与中央情报局发布的命令。

  该威胁总共支持22个命令,其中包括许多用于发起DDoS攻击的命令。

  建议Tenda路由器用户检查其设备上的固件,并确保在必要时安装了可用的更新。他们还应该监控和阻止360 NetLab共享的相关IOC。

  参考来源:Securityaffairs http://dwz.date/cKp4

 

  (九)阿联酋国际航空公司数据在多个暗网论坛上泄露

  Cyble的网络安全研究人员发现,一名威胁分子在黑暗网络的两个平台上免费分享阿联酋国际航空公司泄露的数据。

  暗网上数据的可用性可能会给组织带来严重的风险,威胁行为者可能会利用这些数据进行多次恶意攻击。

  Cyble发现了数据泄露事件,这是其日常监控的一部分。

  阿联酋国际航空联运公司是满足所有旅行和物流要求的领先公司。它拥有200多名员工,收入约为2.5亿美元。

  数据泄漏是由于服务器配置错误而导致的,其中服务器包含60个目录,每个目录约有5,000个文件。

  

 

  数据泄露首次报告于2020年5月30日,该数据已由Kelvinsectteam集体发布在网上。

  据Cyble称,现在,另一个威胁参与者正在多个暗网论坛上传播相同的数据,以期成名。

  参考来源:Securityaffairs http://dwz.date/cKj9

 

  (十)印尼即将成为第五个修改数据隐私法的东盟国家

  今年早些时候,印度尼西亚与包括马来西亚、新加坡、菲律宾和泰国在内的东盟四国一道颁布了有关个人数据保护的法律。

  1月28日,印度尼西亚通信和信息技术部宣布,个人数据保护法的最终草案已经提交给印尼总统。

  亲民党的法律草案目前正与众议院和其他有关政府官员进行讨论。新闻界获悉,他们预计该法律草案将于今年颁布。

  印尼对该法律的修改与欧盟的GDPR非常相似。根据GDPR和有关个人数据处理的一般条例,该法案草案几乎赋予了数据主体的所有权利。

  一些主要亮点包括:

  l 在处理任何可能构成个人数据的数据之前,必须得到用户的“明确同意”

  l 明确定义了数据主体请求的响应时间表。

  l 如果发生违约,所有数据控制员有责任在3天内通知用户和部长。

  l 在不遵守规定的情况下,数据控制员可能会被处以2007亿卢比的罚款或2至7年的刑役,这与GDPR的处罚非常相似。

  个人数据保护法草案中的一些关键条款包括:

  l 个人资料

  可以通过电子或非电子系统直接或间接识别的数据本身或与其他信息相结合的任何数据。

  l 一般个人资料v特定个人资料

  与GDPR敏感个人数据的概念一致,该法案明确区分了一般个人数据和特定个人数据。

  l 数据控制器与数据处理器

  数据控制者是决定目的、控制数据处理的一方,比如电商平台。而数据处理者是代表数据控制者处理数据的人,例如,第三方支付系统提供商。

  草案明确规定,只要有关的数据处理员按照所给出的指示行事,数据控制员应对任何数据处理活动承担法律责任。如果情况并非如此,数据处理商应承担全部法律责任。

  l 禁止营利和/或分析

  严格禁止未经“明确同意”将个人数据获利或进行分析。

  l 离岸数据传输

  该草案对离岸数据传输制定了严格的规定。仅在以下情况下才允许进行离岸数据传输:

  l 接收方(国家或组织)与个人数据保护法草案具有相同或更高级别的数据保护。

  l 数据控制者与海上接收者之间已签订正式合同,并尽职调查以保护数据。

  l 印度尼西亚与接收方所在的国家之间有一项国际协议。

  参考来源:Securityaffairs http://dwz.date/cKqt

 

  (十一)美国查获伊朗用于虚假信息的域名

  美国本周宣布,它总共查获了92个域名,这些域名是一个与伊朗有关联的对手在全球造谣活动中利用的。

  尽管其中四个域名假装是真正的新闻机构,但它们被伊朗伊斯兰革命卫队(IRGC)控制,以传播伊朗针对美国的宣传,而其余的网站则在向其他国家传播宣传。

  这些域名的使用方式违反了美国对伊朗政府和IRGC实施的制裁。

  截至2019年4月,美国已将IRGC定为外国恐怖组织。该组织被发现向真主党、哈马斯和塔利班等恐怖组织提供物质支持。

  10月7日,根据扣押令,美国查封了92个违反联邦法律运营的域名。其中四个是根据外国代理人注册法(FARA)查获的,该法要求提交关于活动和收入的定期登记报表。

  司法部解释说,这些域名针对的是美国境内的受众,没有按照FARA的规定进行适当注册,而且也没有告知受众伊朗革命卫队和伊朗政府控制着发布的内容。

  其余88个域名也伪装成新闻机构,针对西欧、中东和东南亚的受众,散布亲伊朗的虚假信息。

  所有这些域名都被美国的公司拥有和经营,但伊朗政府和伊朗革命卫队在没有外国资产控制办公室(OFAC)许可的情况下使用这些域名。根据《国际紧急经济权力法》(IEEPA),向伊朗政府提供服务需要许可证。

  Mandiant威胁情报公司高级分析主管约翰·胡尔特奎斯特(John Hultquist)在一封电子邮件评论中称,与这些领域有关的活动最初是在2018年报告的,但司法部现在已将其与伊斯兰革命卫队联系起来。

  参考来源:SecurityWeek http://dwz.date/cKqT

 

  (十二)今年第三季全球勒索软件攻击大幅增加50%

  以色列网络安全公司Check Point本周指出,由于有利可图,勒索软件在今年第三季平均每天的攻击行动比今年上半年大幅增加了50%,平均每10秒就有一个新的受害者,而遭到相关攻击最频繁的前5个国家分别是美国、印度、斯里兰卡、俄罗斯与土耳其。

  根据Check Point的统计,今年第三季时,有超过500个印度组织遭到勒索软件攻击、超过450个美国组织被攻击、俄罗斯的攻击数量为200,土耳其接近200,亦有超过150个斯里兰卡的组织被攻击。

  Check Point分析,COVID-19灾情很可能是造成勒索软件升温的原因之一,因为企业为了快速因应疫情所带来的冲击,往往忽略了IT系统,使得黑客集团有机会开采安全漏洞并渗透组织网络。

  此外,在某些案例中,受害组织也情愿选择简单地支付赎金,而非自行处理遭勒索软件加密的档案或恢复IT系统,这形成了一个恶性循环:相关攻击的成功率愈高,发生的频率也愈高。

  今年以来,勒索软件也加入了新的「双重勒索」策略,在加密前先下载受害组织的大量机密资料,同时以加密文档及公布机密信息作为要挟,也有黑客趁着疫情期间锁定医院与医疗研究机构展开攻击,置病人的生死于风险中。

  事实上,在遭到勒索软件攻击的产业分布中,健康医疗产业所占的比例已从今年第二季的2.3%,增加到第三季的4%,同时该产业也是美国最常被黑客锁定的目标对象。

  Check Point曾于今年7月列出市场最受欢迎的十大勒索软体,前五名依序是Emotet、Dridex、Agent Tesla、Trickbot与Formbook,而知名的Ryuk虽未在前十名的名单中,但它却因锁定大型企业展开目标式攻击而备受瞩目,且它从今年7月以来,每周平均攻击了20个组织。

  Check Point呼吁全球组织应该教育员工辨识网络钓鱼邮件,持续进行系统与资料备份,定时修补安全漏洞,更进一步的防御还包括加强端点及网络保护机制。

  参考来源:IThome http://dwz.date/cKrh

 

  (十三)德国科技巨头Software AG公司遭受勒索软件攻击

  Clop勒索软件团伙要求德国技术公司Software AG支付超过2000万美元。

  全球最大的软件公司之一Software AG上周末遭遇勒索软件攻击,该公司尚未完全从事件中恢复过来。

  一个名为“Clop”的勒索软件团伙已于10月3日侵入该公司内部网络,加密文件,并索要2000多万美元以提供解密密钥。

  今天早些时候,在谈判失败后,Clop帮派在黑客在暗网上运营的一个网站(所谓的泄密网站)上发布了公司数据的截图。

  屏幕截图显示了员工护照和身份证扫描、员工电子邮件、财务文档以及来自公司内部网络的目录。

 

 

  Software AG周一披露了这一事件,当时该公司透露,“由于恶意软件攻击”,其内部网络正面临中断。

  该公司表示,对客户的服务,包括其基于云的服务,仍然没有受到影响,它不知道“任何客户信息被恶意软件攻击访问”。这一声明在两天后的一份新闻稿中被撤销,当时Software AG承认发现了数据被盗的证据。

  整个星期,包括今天在内,关于袭击的信息一直留在其官方网站主页上。

  本周早些时候,安全研究人员MalwareHunterTeam发现了一份针对Software AG的勒索软件二进制文件副本。2000多万美元的赎金要求是勒索软件攻击中提出的最大赎金要求之一。

  Software AG是德国第二大公司,在70个国家和地区拥有1万多家企业客户。该公司一些最知名的客户包括富士通、Telefonica、沃达丰、DHL和空中客车。其产品线包括业务基础设施软件,如数据库系统、企业服务总线(ESB)框架、软件体系结构(SOA)和业务流程管理系统(BPMS)。

  参考来源:ZDnet http://dwz.date/cKGe

 

  (十四)新的HEH僵尸网络可以擦除路由器和IoT设备

  新发现的僵尸网络包含可以清除受感染系统,例如路由器,服务器和物联网(IoT)设备中所有数据的代码。

  僵尸网络名为HEH,它通过对任何Telnet端口(23和2323)在线暴露的与互联网连接的系统发起暴力攻击来进行传播。

  如果设备使用默认或易于猜测的Telnet凭据,则僵尸网络将获得对系统的访问权限,并在其中立即下载安装HEH恶意软件的七个二进制文件之一。

  这种HEH恶意软件不包含任何攻击性功能,例如发起DDoS攻击的能力,安装加密矿工的能力或运行代理并为不良行为者传递流量的代码。

  唯一存在的功能是使受感染的设备陷入困境并迫使它们在Internet上执行Telnet暴力攻击以帮助放大僵尸网络。允许攻击者在受感染设备上运行Shell命令的功能;以及第二种功能的变体,该功能执行预定义的Shell操作列表,这些操作将擦除所有设备分区。

  HEH由来自中国技术巨头奇虎360网络安全部门Netlab的安全研究人员发现,并在今天发布的报告中首次进行了详细介绍。

  由于这是一个相对较新的僵尸网络,因此Netlab研究人员无法判断设备擦除操作是否是有意的,还是只是编码不良的自毁例程。

  但是,不管其目的是什么,如果触发了此功能,都可能导致成百上千的设备瘫痪且功能异常。这可能包括家用路由器,物联网(IoT)智能设备,甚至Linux服务器。僵尸网络可以使用安全性较弱的Telnet端口(甚至Windows系统)感染任何东西,但HEH恶意软件仅在* NIX平台上有效。

  由于擦除所有分区也会擦除设备的固件或操作系统,因此此操作可能会暂时对设备进行砖块操作,直到重新安装它们的固件或操作系统。

  然而,在某些情况下,这可能意味着永久封存系统,因为一些设备所有者可能不知道如何在他们的物联网设备上重新安装固件,而可能只是选择扔掉旧设备,转而购买新设备。

  目前,NetLab表示,它检测到可以在以下CPU架构x86(32/64)、ARM(32/64)、MIPS(MIPS32/MIPS-III)和PPC上运行的HEH样本。

  HEH虽然还没有封住任何设备,但它不会是第一个擦除物联网设备的僵尸网络。前两个是BirckerBot和Silex。

  参考来源:ZDnet http://dwz.date/cKGg

  (如未标注,均为天地和兴工业网络安全研究院编译)

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号