安全研究
全部分类

关键信息基础设施安全动态周报【2020年第50期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-12-18 17:04
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第50期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第50期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第50期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-12-18 17:04
  • 访问量:
详情

目   录


    第一章 国外关键信息基础设施安全动态
    (一)NI CompactRIO控制器中存在高危漏洞可致生产中断
    (二)多数OT设备中的URGENT/11漏洞及CDPwn漏洞尚未修补
    (三)国家级黑客利用SolarWinds供应链攻击美国多政府机构
    (四)英国地铁营销系统遭受TrickBot恶意钓鱼攻击
    (五)Medtronic产品存在漏洞可使黑客控制心脏设备
    (六)英特尔Habana Labs遭受勒索软件Pay2key攻击
    (七)美国密苏里州独立城遭受勒索软件攻击
    (八)5G网络中存在漏洞可使攻击者窃取凭据并篡改用户身份验证
    (九)新型数据窃取方法AIR-Fi利用RAM生成的Wi-Fi信号窃取数据
    (十)超过4500万张医学图像未受保护可在线公开访问
    (十一)Agent Tesla键盘记录器更新攻击目标并窃取数据
    (十二)惠普企业服务器管理软件中存在超高危零日漏洞
    (十三)Google全球服务宕机50分钟
    (十四)欧盟提出《数位服务法》与《数位市场法》规范科技巨头
    (十五)挪威邮轮公司Hurtigruten遭受勒索软件攻击
    (十六)Facebook关闭APT32在网络攻击中使用的账户

 

    第一章 国外关键信息基础设施安全动态
    (一)NI CompactRIO控制器中存在高危漏洞可致生产中断
    National Instruments(NI) CompactRIO控制器中存在一个高危漏洞,允许远程攻击者破坏组织中的生产过程。
    National Instruments CompactRIO产品是一款坚固耐用的实时控制器,可提供高性能的处理能力、特定于传感器的条件输入/输出以及紧密集成的软件工具链,使其成为工业物联网(IIoT)、监控和控制应用的理想之选。这些控制器用于多个部门,包括重型设备、工业制造、运输、发电和石油和天然气。

 

 

    近日CISA发布了一份安全咨询,警告各组织注意该漏洞。该漏洞编号为CVE-2020-25191,影响20.5之前的驱动程序版本。默认情况下,该漏洞为特定服务的API入口点设置了不正确的权限,允许未经身份验证的用户触发可以远程重新启动设备的功能。
    NI表示目前尚未发现利用此漏洞的野外攻击。攻击者可以反复触发该漏洞以重新启动设备,从而导致长时间拒绝服务(DoS)情况,并可能中断工业过程。
    NI提供了以下缓解措施,以防止黑客针对其产品中的此漏洞:
    1、下载NI CompactRIO 20.5驱动程序;
    2、在主机上安装驱动程序;
    3、将CompactRIO控制器上的固件更新为8.5版或更高版本;
    4、格式化目标以应用新的SafMode默认权限;
    5、对每个受影响的CompactRIO目标重复步骤3和4。
    参考来源:SecurityAffairs http://dwz.date/dBaE

    (二)多数OT设备中的URGENT/11漏洞及CDPwn漏洞尚未修补
    物联网安全公司Armis12月15日称,受Urgent/11漏洞影响的高达97%的OT设备及受CDPwn漏洞影响的80%设备尚未修补。
    Urgent/11是11个不同的漏洞的集合,这些漏洞可以影响任何使用Wind River VxWorks的连接设备,其中包括一个IPnet堆栈。VxWorks是一种实时操作系统(RTOS),第三方硬件制造商已将其嵌入工业、医疗和企业环境的20多亿台设备中。
    受影响的设备,包括施耐德电气和罗克韦尔自动化的可编程逻辑控制器,通常用于生产和制造环境,以执行各种关键任务,例如监视和控制运行各种仪器的物理设备(例如发动机、阀门、泵等)。
    最令人担忧的是,Urgent/11包含6个远程代码执行(RCE)漏洞,攻击者可通过未经验证的网络数据包完全控制目标设备。
    Armis首席执行官兼联合创始人Yevgeny Dibrov表示,“URGENT/11可以使攻击者绕开传统的边界和设备安全性,远程利用并接管任务关键型设备。使用这些设备的每个企业都需要确保对其进行保护。可以利用这些不受管理的物联网设备中的漏洞来操纵数据,破坏物理世界的设备,并使人们的生命处于危险之中。”
    CDPwn包含2月份在Cisco发现协议(CDP)中发现的五个关键漏洞,CDP是一个映射网络上所有Cisco设备的信息共享层。这些漏洞可以让在网络中有立足点的攻击者突破网络分割,远程接管数百万台设备。
    CDP是Cisco专有的网络协议,用于发现有关本地连接的Cisco设备的信息。CDP有助于映射网络中其他Cisco产品的存在,并且几乎在所有Cisco产品中都有实现,包括交换机、路由器、IP电话和IP摄像机。根据Armis的说法,许多这样的设备没有CDP就无法正常工作,并且不能提供关闭CDP的能力。
    ARMIS负责研究的副总裁本·塞里(Ben Seri)表示,缺乏补丁为接管打开了关键环境。这些设备不仅用于日常业务,而且是医疗保健、制造业和能源行业的核心。
    消息传出之际,攻击者仍在继续利用这些漏洞。例如,在10月份,美国国家安全局(NSA)将CDPwn的一个漏洞(CVE-2020-3118)列为目前中国国家支持的黑客组织持续扫描、瞄准和利用的25大漏洞的第24位。
    Seri指出,一些Urgent/11受影响的制造商没有提供更新,但即使是那些提供了更新的厂商,更新受影响设备也是一项劳动密集型的计划,因为它们往往是任务关键型的,让它们离线进行修补通常不是一种选择。与此同时,思科在披露时确实为CDPwn提供了补丁。
    Seri注意到,CDPwn和URGENT/11漏洞组合在一起的情况越来越普遍,这对这些环境构成了非常严重的风险,使攻击者有机会接管Cisco网络设备,在网络中横向移动,并访问输液泵和PLC等任务关键型设备。
    攻击者可以潜入网络,潜伏等待,进行侦察而不被发现,然后实施攻击,可能造成重大的财务或财产损失,影响生产或运营,或影响病人的运送和护理。
    为了保护自己,组织应该尽可能地打补丁,但也应该努力全面了解他们的设备占用空间,对这些设备的活动进行行为分析,并能够补救问题或隔离受危害的设备。
    参考来源:ThreatPost http://dwz.date/dBjj

    (三)国家级黑客利用SolarWinds供应链攻击美国多政府机构
    路透社与华尔街日报引述错消息来源报导,美国的财政部与商务部近日相继遭到黑客攻击,且黑客是先入侵了这些美国政府机关的IT供应商SolarWinds,尽管尚未确定攻击来源,但部份参与调查的人士透露,他们相信相关攻击是源自于俄罗斯所支持的黑客组织,且攻击手法与FireEye被黑事件如出一辙。

 

 

    SolarWinds是美国的软件开发商,主要研发可管理网络、系统及资讯科技基础设施的软件,根据其官网说明,该公司的客户包括全美五百大企业中的425家、前十大电信业者、美国军方、美国国防部、国务院、NSAS、国安局、邮政服务、司法部,以及美国总统办公室。
    SolarWinds近日发布安全公告,指出其IT监控平台SolarWinds Orion Platform遭到高度精密的供应链攻击,且新西兰的网络危机处理中心(CERT NZ)亦对此发布了警告。
    根据报导,除了财政部与商务部之外,还有其它美国机关已被该黑客组织所渗透,且黑客至少侵入驻商务部旗下国家电信与资讯管理局数月之久,该局的电子邮件早就受到监控。
    而SolarWinds则说,该公司在今年3月到6月间发布的SolarWinds Orion Platform 2019.4 HF 5至2020.2.1版本遭到黑客攻击,他们被告知黑客来自海外,且是有特定目标的攻击行动。SolarWinds已发布Orion Platform 2020.2.1 HF 1进行修补,而且计划在12月15日发布2020.2.1 HF 2,呼吁客户在2020.2.1 HF 2公布后应立即部署,因为此一版本不只替换了被攻陷的元件,也提供进一步的安全措施。
    CERT NZ的表达更直接,指出SolarWinds Orion平台有个重大漏洞已遭黑客开采,该漏洞允许黑客于系统上植入后门,进而危害受害者网络并存取资料,包括FireEye与许多采用该平台的美国组织都已沦陷。
    俄罗斯大使馆很快就透过脸书发表声明,指出美国媒体报导当地政府机关遭到俄罗斯黑客攻击是毫无根据的,还说俄罗斯不会在网络空间上执行攻击行动。
    FBI、CISA和国家情报局局长办公室(ODNI)发布联合声明称,确认这一系列攻击已导致黑客入侵了多个美国政府网络。CISA表示,“有证据表明,除了SolarWinds Orion平台以外,还有其他初始访问媒介。但是,这些仍在调查中。”
    CISA还发布了 紧急指令,要求联邦民用机构立即断开或关闭其网络上受影响的SolarWinds Orion产品。此外,Microsoft、FireEye和GoDaddy为SolarWinds后门创建了一个终止开关,可迫使该恶意软件自行终止。
    本文版权归原作者所有,参考来源:iThome http://dwz.date/dBen

    (四)英国地铁营销系统遭受TrickBot恶意钓鱼攻击
    英国地铁证实,其一个营销系统遭受了黑客攻击,该系统被用来发送钓鱼邮件,向客户发送恶意软件。
    英国地铁用户收到了来自“Subcard”的电子邮件,内容是处理所谓的地铁订单。恶意电子邮件包含一个链接,指向一个武器化的Excel文档,其中包含订单确认。Excel文件将安装最新版本的TrickBot恶意软件,该软件最近被英特尔高级公司的vitalikremez发现。
    一位英国地铁发言人表示,“我们意识到我们的电子邮件系统受到了一些干扰,并了解到我们的一些用户收到了未经授权的电子邮件。我们目前正在调查此事,并对给您带来的不便表示歉意。一旦我们有更多信息,我们会立即联系,在此之前,作为预防措施,我们建议客人删除电子邮件。”
    英国地铁披露,负责电子邮件活动的服务器已被黑客入侵。“经过调查,我们没有证据表明客户的账户被黑客入侵。然而,管理我们电子邮件活动的系统已经被破坏,导致涉及名字和电子邮件的网络钓鱼活动。该系统没有任何银行或信用卡的详细信息。危机协议已经启动,受损系统被锁定。我们的首要任务是确保客人及其个人资料的安全,对于由此造成的不便,我们深表歉意。”
英国地铁立即启动事件响应程序,并开始向受影响的客户发送数据泄露通知电子邮件。泄露的数据包括客户的姓名。目前尚不清楚有多少客户受到了影响。
    参考来源:SecurityAffairs http://dwz.date/dAZD

    (五)Medtronic产品存在漏洞可使黑客控制心脏设备
    物联网安全公司Sternum研究人员发现,Medtronic的MyCareLink Smart 25000 Patient Reader产品中存在三个漏洞,可能被利用来控制配对的心脏设备。
    MCL智能患者阅读器(MCL Smart Patient Reader )旨在从患者植入的心脏设备获取信息,然后通过患者的移动设备将数据发送到Medtronic CareLink网络,以便于护理管理。
    Sternum研究人员发现的这三个漏洞可以用来修改或伪造从植入的患者设备传输到CareLink网络的数据。此外,它们还可以让攻击者在MCL智能患者阅读器上远程执行代码,基本上控制配对的心脏设备。然而,利用这些漏洞需要攻击者处于易受攻击产品的蓝牙范围内。

 

    第一个漏洞CVE-2020-25183 CVSS评分为8.0,是一个身份验证协议问题,它允许攻击者绕过MCL智能患者阅读器和Medtronic MyCareLink智能移动应用程序之间的身份验证方法。该漏洞使攻击者能够使用患者智能手机上的另一个移动设备或恶意应用程序来验证患者的Medtronic智能阅读器,从而欺骗该设备,使其以为在蓝牙通信范围内执行时,它正在与原来的Medtronic智能手机应用程序通信。
    第二个漏洞CVE-2020-25187 CVSS评分为8.8,会在经过身份验证的攻击者运行发送给患者阅读器的调试命令时触发。这可能导致堆溢出,从而导致远程代码执行,从而潜在地允许攻击者控制设备。
    第三个漏洞CVE-2020-27252 CVSS评分为8.8,可被利用来在患者阅读器上上传和执行未签名的固件。这可能允许攻击者远程执行代码,从而控制设备。
    Medtronic已经发布了一个固件更新来解决这些漏洞,它可以通过MyCareLink智能应用程序通过相关的移动应用程序商店进行应用。更新应用程序(升级到5.2.0或更高版本)还可以确保患者阅读器在下次使用时自动更新。该公司已经公布了如何应用更新的详细信息。
    作为额外的缓解措施,Medtronic实施了Sternum的增强完整性验证(EIV)技术和先进的检测系统技术,使其能够检测漏洞并监测异常设备活动。Medtronic解释表示,“到目前为止,还没有发现网络攻击、未经授权访问患者数据以及对患者造成伤害。”
    参考来源:SecurityWeek http://dwz.date/dBh5

    (六)英特尔Habana Labs遭受勒索软件Pay2key攻击
    英特尔旗下的以色列人工智能处理器开发商哈瓦那实验室(Habana Labs)遭受了勒索软件Pay2Key攻击,攻击者窃取了机密数据。
    勒索软件Pay2Key运营商已在他们的暗网网站上公布了据称是此次网络攻击中从哈瓦那实验室窃取的文件。这些数据包括Windows域帐户信息、域的DNS区域信息以及业务文档和源屏幕截图。据黑客组织称,他们设法获得了英特尔开发的新人工智能加速器高迪(Gaudi)的信息。

 

 

    攻击者报告说,哈瓦那实验室有“72小时的时间来阻止数据泄露”。目前尚不清楚网络犯罪分子究竟提出了什么赎金要求。
    以色列已经有几家公司和大公司成为勒索者Pay2Key的受害者。第一次攻击事件是在今年10月底记录下来的,而且数量还在增加。犯罪分子通常在午夜后发动袭击,因为公司的IT员工较少。Pay2Key可以通过安全性较差的RDP(远程桌面协议)连接渗透到组织的网络中。攻击者可以在“攻击发生前一段时间”进入公司网络,恶意软件可以在一小时内加密受害者的网络。
    来自Profero的研究人员推测,Pay2Key组织是伊朗工作人员,因为他们使用了由伊朗比特币交易所运营的赎金支付钱包。
    参考来源:SecurityLab http://dwz.date/dBgp

    (七)美国密苏里州独立城遭受勒索软件攻击
    美国密苏里州独立城近日遭受了勒索软件攻击,扰乱了该市的服务,迫使其从攻击中恢复后关闭了IT系统。
    独立城城市经理Zach Walke在一份声明中表示,“独立城最近经历了一次事件,该事件导致技术困难和多种服务中断。这些破坏似乎是勒索软件事件的结果,该事件在被感染之前就已经被发现并停止,可能会感染整个城市网络。”
    Walker进一步表示,他们正在执行完整的系统扫描,并从可用备份中还原加密的计算机。恢复过程正在进一步破坏城市服务,包括发送公用事业账单和在线支付。“为了保护我们系统的完整性,当我们开始注意到某些恶意活动时,我们将所有系统都下线了。当我们自愿将其下线时,遭到破坏的系统之一就是公用事业计费系统。”
    由于该系统的问题,独立城不会因为勒索软件攻击造成的逾期付款收取滞纳金。Walker表示,他们仍在调查攻击者是否窃取了该市的数据,包括居民和雇员的数据。
    不幸的是,现在大多数勒索软件在威胁者部署勒索软件之前就窃取了未加密的文件。这些文件然后用于双重勒索策略。勒索软件组织威胁说,如果不支付赎金,就会在数据泄漏站点上释放文件。

 

   

    威胁行为者表示受害者通常更担心被盗数据被泄露,而不是加密文件的丢失。目前还没有勒索软件组织对此次攻击事件负责。
    参考来源:BleepingComputer http://dwz.date/d9S2


    (八)5G网络中存在漏洞可使攻击者窃取凭据并篡改用户身份验证
    网络安全公司Positive Technologies 12月16日发布《5G独立核心安全评估》报告,该报告讨论了用户和移动网络运营商的漏洞和威胁,这些漏洞和威胁源于使用了新的独立5G网络核心。独立5G网络使用的HTTP/2和PFCP协议中存在的漏洞包括窃取用户配置文件数据、模拟攻击和伪造用户身份认证。
    移动运营商当前正在运行基于上一代4G LTE基础架构的非独立5G网络。这些非独立的5G网络由于存在Diameter和GTP协议中的长期漏洞而面临遭受攻击的风险,Positive Technologies在今年早些时候曾报道过这些漏洞。运营商正在逐渐迁移到独立的基础架构,但这也有其自身的安全考虑。Gartner预计,2022年5G投资将超过LTE/4G,并且通信服务提供商将逐步向其非独立5G网络添加独立功能。
    5G中的技术堆栈可能会让用户和运营商的网络受到攻击。此类攻击可以从国际漫游网络、运营商的网络或提供服务访问的合作伙伴网络执行。例如,用于建立用户连接的数据包转发控制协议(PFCP)具有多个潜在漏洞,例如拒绝服务、切断用户对互联网的访问以及将流量重定向到攻击者,从而使他们能够下行传输用户的数据。Positive Technologies GTP协议研究中强调的正确配置体系结构可以阻止这些类型的攻击。
    HTTP/2协议负责在5G网络上注册和存储配置文件的重要网络功能(NF),也包含一些漏洞。使用这些漏洞,攻击者可以获取NF配置文件,并使用身份验证状态、当前位置和网络访问的用户设置等详细信息来模拟任何网络服务。攻击者还可以删除NF配置文件,从而可能导致财务损失并破坏用户信任。在这些情况下,用户户将无法对网络上潜伏的威胁采取行动,因此运营商需要具有足够的可视性以防范这些攻击。
    Positive Technologies的CTO Dmitry Kurbatov表示:“攻击者可能会在建立独立5G网络时利用攻击者的风险,而运营商将逐渐掌握潜在的漏洞。因此,运营商必须从偏移量出发解决安全考虑。用户攻击可能会造成财务损失和声誉损失,尤其是在厂商竞争激烈的5G网络启动时。面对如此多样化的攻击,强大的核心网络安全体系结构是迄今为止保护用户的最安全方法。当涉及CNI、IoT和互联城市时,5G独立网络安全性问题将进一步受到影响,这将使关键基础设施(如医院,运输和公用事业)面临风险。为了获得对流量和消息传递的完全可见性,运营商需要定期进行安全审计,以检测网络核心组件配置中的错误,以保护自己和用户。”
    参考来源:Telecom Reseller http://dwz.date/dAY7

    (九)新型数据窃取方法AIR-Fi利用RAM生成的Wi-Fi信号窃取数据
    以色列内盖夫本古里安大学研究人员Mordechai Guri近日发表论文称,其发现了一种名为AIR-FI的新型数据泄露技术,该技术科可将RAM卡转换成临时的无线发射器,并从没有Wi-Fi卡的没有联网的气隔计算机内传输敏感数据。
    此类型的技术被安全研究人员称为“秘密数据泄露通道”。它们不是入侵计算机的技术,而是可以用于防御者无法预期的方式窃取数据的技术。这样的数据泄漏通道对于普通用户而言并不危险,但对于气隙网络的管理员而言却是持续威胁。
    气隙系统是隔离本地网络的计算机,没有外部互联网访问。气隙系统通常用于政府、军事或公司网络上,用以存储敏感数据,例如机密文件或知识产权。尽管在普通用户的威胁模型中将AIR-FI视为“特技黑客”,但正是这种攻击类型迫使许多公司重新考虑其存储高价值资产的气隙系统的体系结构。
    AIR-FI技术的核心是任何电子组件都会在电流通过时产生电磁波。由于Wi-Fi信号是无线电波,而无线电基本上是电磁波,因此Guri认为,攻击者植入到气隙系统中的恶意代码可以操纵RAM卡内部的电流,以产生频率与正常Wi-Fi信号频谱一致的电磁波。
    Guri在题为《AIR-FI:从气隙计算机生成隐蔽的WiFi信号》的研究论文中指出,对计算机RAM卡进行完美定时的读写操作,可以使该卡的内存总线发射与微弱Wi-FI信号一致的电磁波。这种信号可以被任何靠近气隙系统的Wi-Fi天线的东西接收,比如智能手机、笔记本电脑、物联网设备、智能手表等。
    Guri表示,他在装有无线接口的不同计算机设备上测试了该技术,该设备被移除了Wi-Fi卡,并能够以高达100b/s的速度将数据泄漏到几米外的设备。
    Guri过去曾调查过数十个其他秘密数据泄漏通道,他说AIR-FI攻击是最容易实施的攻击之一,因为攻击者在运行漏洞利用程序之前无需获得root/admin特权。这样一来,攻击就可以跨任何操作系统运行,甚至可以在虚拟机(VM)内部进行。
    此外,尽管大多数现代RAM卡将能够发出2400 GHz范围内的信号,但Guri表示,较旧的RAM卡可以超频以达到所需的输出。
    Guri提出了公司可以采取的各种对策来保护气隙系统,例如部署信号干扰以防止在气隙网络的物理区域中传输任何Wi-Fi信号。
    参考来源:ZDNet http://dwz.date/dA2j

    (十)超过4500万张医学图像未受保护可在线公开访问
    数字化风险保障公司CybelAngel分析人员12月15日发布报告称,其发现有超过4500万份医疗成像文件(包括X光和CT扫描)可以在未受保护的服务器上自由访问。该研究报告报告是对网络连接存储(NAS)和医学数字成像与通信(DICOM)进行为期6个月的调查的结果,DICOM是医疗专业人员收发医疗数据的事实标准。分析人员发现,包括个人医疗信息(PHI)在内的数百万敏感图像都是未加密和无密码保护的。
    CybelAngel工具扫描了大约43亿个IP地址,并检测到在美国、英国、法国和德国等67个国家/地区的2140台不受保护的服务器上暴露的4500万张独特医学图像。
    分析人员发现,公开获取的医学图像(包括每条记录多达200行的元数据)可能包括PII(个人身份信息;姓名、出生日期、地址等)和PHI(身高、体重、诊断等)。无需用户名或密码即可访问。在某些情况下,登录门户网站接受空白的用户名和密码。
    CybelAngel高级网络安全分析师、该报告作者David Sygula表示:“我们在整个研究过程中没有使用任何黑客工具,这一事实突显了我们能够轻松发现和访问这些文件。这是一个令人关注的发现,证明必须采取更严格的安全流程来保护医护专业人员共享和存储敏感医疗数据的方式。必须确保安全性和可访问性之间的平衡,以防止泄漏成为主要的数据泄露。”
    CybelAngel的CISO Todd Carroll进一步评论表示:“医疗中心与庞大且相互连接的第三方提供商网络合作,而云是共享和存储数据的重要平台。但是,这样的安全漏洞对于数据被泄露的个人以及受法规保护患者数据的医疗机构而言,都是巨大的风险。今年,卫生部门面临着前所未有的挑战,但是,必须保护患者大多数个人记录的安全和隐私,以防止高度机密的数据落入不法之徒。”
    该报告强调了包含高度个人信息(包括勒索软件)的可公开访问图像的安全风险。欺诈是一种特殊的风险,因为这种类型的图像会在暗网上获得溢价。从合规性的角度来看,医疗保健提供者还可能因违反敏感患者信息的规定而受到制裁,例如欧洲的GDPR和美国的HIPAA。
    CybelAngel建议医疗机构可​​以采取简单的步骤来保护它们共享和存储数据的方式,包括:
    1、确定新冠疫情应对措施是否超出您的安全策略:临时NAS设备、文件共享应用和承包商可能会获取您无法执行访问控制的数据;
    2、确保已连接的医学成像设备的正确网络分段:最大限度地减少关键的诊断设备和支持系统对更广泛的业务或公共网络的暴露;
    3、对第三方合作伙伴进行实际审核:评估哪些第三方可能不受管理或不符合要求的策略和协议;
    4、CybelAngel提供免费的、全面的30天数据暴露评估,医疗保健和其他组织可用来评估其风险并发现优先事项。
    参考来源:CybelAngel http://dwz.date/dAye

    (十一)Agent Tesla键盘记录器更新攻击目标并窃取数据
    著名的恶意软件Agent Tesla键盘记录器现已再次更新,扩展了目标定位和改进的数据过滤功能,现在为不太受欢迎的Web浏览器和电子邮件客户端收集存储的凭证。
    Agent Tesla于2014年首次出现,专门从事键盘记录和数据窃取,旨在记录用户的按键操作,以便泄露凭证等数据。研究人员警告说,12月15日披露的最新版本的恶意软件可能会增加攻击数量,因为威胁参与者正在采取行动,采用更新版本。
    Cofense的网络威胁情报分析师Aaron Riley在12月15日的一份分析报告中说:“过渡到Agent Tesla版本的威胁参与者能够瞄准更广泛的存储凭证,包括用于web浏览器、电子邮件、VPN和其他服务的凭证。”
    Agent Tesla的新版本具有以更广泛的存储凭据为目标的功能,例如不太流行的Web浏览器和电子邮件客户端。Riley表示,“这可能表明人们对更专业的市场或特定种类的产品或服务对被盗凭证的兴趣有所增加。”
    Agent Tesla现在包括了获取Pale Moon网络浏览器的凭证的能力,Pale Moon web浏览器是一种源于Mozilla的开放源代码web浏览器,可用于Microsoft Windows和Linux。Bat电子邮件客户端是一种用于Microsoft Windows操作系统的电子邮件客户端,由Ritlabs,SRL开发。
    此前,恶意软件被发现有能力从一些更常见的VPN客户端、FTP和电子邮件客户端以及web浏览器获取配置数据和凭据。其中包括Apple Safari、BlackHawk、Brave、CentBrowser、Chromium、Comodo Dragon、CoreFTP、FileZilla、谷歌Chrome、Iridium、Microsoft IE和Edge、Microsoft Outlook、Mozilla Firefox、Mozilla Thunderbird、OpenVPN、Opera、Opera Mail、Qualcomm Eudora、腾讯QQBrowser和Yandex等。
    Riley表示,该恶意软件现在还可以将TOR与密钥配合使用,以帮助绕过内容和网络安全过滤器。并且,此更新包括新的联网功能,这些功能可以创建一组更强大的渗透方法,包括使用Telegram消息服务。虽然通过Telegram API进行渗透的功能不是什么新鲜事,但它可以指出利用针对C2基础结构的即时消息传递服务的恶意软件的上升趋势。
    Agent Tesla的最新版本显示,恶意软件已经调换了目标。新版本主要针对印度。虽然这以前是Agent Tesla的主要关注点,但研究人员表示,该恶意软件对其他领域的关注较少,比如美国和欧洲。

 

 

    此外,Agent Tesla减少了对科技领域等以前针对的行业的关注,并加大了对互联网服务提供商(ISP)的攻击力度。
    Riley表示,“ISP可能被视为威胁参与者的主要目标,因为其他行业垂直行业都依赖ISP来实现基本功能。一个受到威胁的ISP可能会让威胁的参与者访问与ISP有集成和下游权限的组织。用户也将面临风险,因为ISP经常持有电子邮件或其他重要的个人数据,这些数据可能被用来访问其他帐户和服务。”
    Agent Tesla在过去的一年里多次出现在各种活动中。例如,在2020年4月,在针对石油和天然气行业的有针对性的运动中看到了这一点。在2020年8月,研究人员发现了这种恶意软件利用大流行性病毒并添加了新的功能来帮助它控制企业威胁场景。
    研究人员警告说,一旦威胁参与者意识到最新版本恶意软件的好处,他们可能会更快地过渡,因为新功能可能是必要的。
    参考来源:ThreatPost http://dwz.date/dBkX

    (十二)惠普企业服务器管理软件中存在超高危零日漏洞
    惠普企业(HPE)近日披露,其适用于Windows和Linux的专有HPE Systems Insight Manager(SIM)软件的最新版本中存在一个零日漏洞。
    虽然还没有针对该远程代码执行(RCE)漏洞的安全更新,但是HPE已提供Windows缓解信息,并正在努力解决该零日漏洞。
    零日漏洞是供应商尚未修补的公开披露漏洞,在某些情况下,这些漏洞也经常在野外被积极利用,或者具有公开可用的漏洞POC。
    HPE SIM是一个管理和远程支持自动化解决方案,适用于多个HPE服务器、存储和网络产品,包括但不限于HPE ProLiant Gen10和HPE ProLiant Gen9服务器。
    哈里森·尼尔(Harrison Neal)通过趋势科技的零日活动(Zero Day Initiative)报告的漏洞编号为CVE-2020-7200,并影响HPE Systems Insight Manager(SIM)7.6.x版本。
    HPE将CVE-2020-7200评为超高危漏洞,CVSS评分为9.8。该漏洞允许没有特权的攻击者将其用作不需要用户交互的低复杂度攻击的一部分。该漏洞是由于缺乏对用户提供的数据的正确验证而导致的,该验证可能导致不信任数据的反序列化,从而使攻击者有可能利用它在运行易受攻击的软件的服务器上执行代码。
    HPE没有在安全公告中披露是否也正在野外利用零日漏洞。虽然HPE SIM同时支持Linux和Windows操作系统,而HPE仅发布缓解信息来阻止针对Windows系统的攻击。
    HPE在安全建议中要求禁用允许该漏洞的“联合搜索”和“联合CMS配置”功能。HPE表示一个防止远程代码执行漏洞的完整修复程序将在将来的版本中提供。使用HP SIM管理软件的系统管理员必须使用以下过程来阻止CVE-2020-7200攻击:
    1、停止HP SIM服务
    2、从sim安装路径 del /Q /F C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war中删除C:\Program Files\HP\Systems Insight Manager\jboss\server\hpsim\deploy\simsearch.war
    3、重新启动HP SIM服务
    4、等待HP SIM网页“https://SIM_IP:50000”可访问,然后从命令提示符处执行以下命令:mxtool -r -f tools \ multi-cms-search.xml 1> nul 2> nul
    HPE表示一旦采取缓解措施,HPE SIM用户将不再能够使用联合搜索功能。
    参考来源:BleepingComputer http://dwz.date/dAAU

    (十三)Google全球服务宕机50分钟
    Google在14日凌晨PST时间3:45发生全球服务中断事件,Google很快就理清了原因,指出是因其自动化配额管理系统降低了Google内部的全球单一身分管理系统的容量,使得但凡需要使用者登入的服务全都出现故障,影响所及包括Google云端平台(GCP)与Google Workspace,一直到4:35才恢复正常,整整宕机了50分钟,不过,此事件并未波及Google搜索。
    此次中断的Google服务除了该公司所列出的隶属于GCP服务的Cloud Console、Cloud Storage、BigQuery、Google Kubernetes Engine服务,以及属于Google Workspace的Gmail、Calendar、Docs、Drive、Meet服务之外,由于出问题的是Google的身分管理系统,因此一般使用者的各式服务也同样出现错误信息,包括YouTube、Blogger、Chromecast、Google Play、Google Classroom、Google Maps、Google Assistant及Google Nest等。
    根据Downdector的统计,上报Google Maps出现问题的使用者中,有52%表明无法使用行动程序;上报Gmail有问题的使用者中,有79%无法登录。
    另有媒体报导,由于Google Assistant也出现了故障,而让Nest Hub智慧屏幕装置无法以声控控制所连结的智慧暖气,亦波及依赖GCP的第三方业者,如Pokémon Go。
    本文版权归原作者所有,参考来源:iThome http://dwz.date/dBmP

    (十四)欧盟提出《数位服务法》与《数位市场法》规范科技巨头
    欧盟委员会提出了两项与当地数字政策有关的法案,分别是《数字服务法》与《数字市场法》,前者是用来保护数字服务的用户,后者则是保障数字市场的竞争,外界则预期这两项法案,可能迫使科技巨头面临巨额罚款或是拆分。
    《数字服务法》的目标是为了建立一个更安全的数字空间,以保护所有数字用户的基本权利。该法案主要规范四大类的业者,一是提供网络基础设施的业者,如ISP或网域名称注册商;二是代管服务业者;三是诸如在线服务、行动程序与社交媒体等平台业者;四为可能因传播非法内容,而带来重大伤害的超大型网络平台,而根据欧盟委员会的定义,凡在欧盟地区的触及率超过10%的,都将被视为超大型公司。
    《数字服务法》列举了新的义务,包括必须提供透明度报告,其服务条款必须考量基本权利,有提供信息给使用者的义务,必须设有投诉及补救机制等,还必须与主管机关及研究人员分享数据。具体而言,它们必须提供打击非法商品、服务或内容的措施,协助辨识销售非法商品的卖家,替使用者提供有效的保障,并可监督超大型平台的运作。
    外界分析指出,《数字服务法》的最大功能,就是借由要求平台快速移除非法内容,并协助追查违法商家,否则可能会面临罚款。
    至于《数字市场法》显然就是网络世界的反托拉斯法令。它的目的在于确保公平且开放的数字市场,把大型的网络平台称为守门人(Gatekeeper),并针对这些守门人进行规范。只要是有强大的经济地位,对欧盟市场有重大影响力,或是有强大的媒介地位,都会被视为守门人,并受到DMA的规范。
    欧盟委员会指出,这些大型的守门员平台在特定情况下,必须允许第三方与其平台上的服务互动;允许其企业用户存取它们利用该平台所产生的资料;必须提供广告主必要的工具以验证于该平台曝光的广告;允许企业用户在该平台以外的地方,推广服务及签订合约。
    而禁止这些守门员平台从事的活动,则包括不得在排序上偏坦自家服务;不得禁止消费者连结至该平台之外的服务;以及不得禁止使用者移除任何被预装的软件或程序。
    欧盟委员会认为,《数字市场法》将让那些依赖守门员平台的企业用户,取得更公平的商业环境,也会让新创业者更有机会与之竞争,而无需接受不公平的条款,有望替消费者带来更多的服务及选择。欧盟委员会强调,对大型的守门员平台而言,它们依旧保有所有的创新机会,只是不得以不公平的作法,来对待企业用户与消费者而取得不当利益。
    市场分析指出,对于欧盟的这两项新法令,首当其冲的可能就是Google、苹果、脸书与Amazon等大型科技公司,因为它们既属于受到《数字服务法》规范的超大型公司,也是《数字市场法》的目标,不过,这两项法案预计最快要到两年后才会落实。
    本文版权归原作者所有,参考来源:iThome http://dwz.date/dBnb

    (十五)挪威邮轮公司Hurtigruten遭受勒索软件攻击
    挪威邮轮公司Hurtigruten 12月14日宣布,该公司遭受了一次重大网络攻击,涉及勒索软件攻击,该软件旨在获得数据控制权并换取赎金。
    该公司首席数字官Ole-Marius Moe-Helgesen在一份声明中表示:“这是一次严重的攻击。Hurtigruten的整个全球数字基础设施似乎都受到了冲击。这次攻击似乎是一种勒索软件。”该公司表示,在周日至周一夜间检测到攻击,已向相关当局发出警报。
    勒索软件是一种恶意软件,它会加密目标数据,将所有者锁在自己的系统之外,直到受害者同意支付解密密钥,才能重新进入系统。
    此次攻击发生之际,该公司正与新冠疫情流行造成的损失作斗争。与邮轮行业的其他公司一样,该公司由私人投资者所有。该公司曾在6月份试图重新启动邮轮航线,但在数十名船员和乘客感染病毒后,该公司在9月份再次暂停了邮轮运营,直到年底。
    根据邮轮国际协会(CLIA)的数据,欧洲邮轮行业的年营业额为145亿欧元,雇佣了近5.3万名员工。CLIA估计,与新冠疫情相关的停工给该行业造成的损害可能会使其损失高达255亿欧元。
    参考来源:SecurityWeek http://dwz.date/dBbr

    (十六)Facebook关闭APT32在网络攻击中使用的账户
    Facebook关闭了其平台上的两个账户,越南的黑客组织APT32和一个位于孟加拉国的未知威胁组织利用这些账户和页面发起了钓鱼攻击和恶意软件攻击。
    Facebook头表示,现在已经禁止了这两个组织滥用平台、传播恶意软件和攻击其他账户的行为。一项新的分析称,这两个团伙没有任何的关系,他们利用了“完全不同”的策略来针对Facebook用户进行攻击。
    安全政策主管Nathaniel Gleicher和Facebook网络威胁情报经理Mike Dvilyanski在一篇文章中称,“来自越南组织攻击行动主要在于向目标发送恶意软件,而来自孟加拉国的攻击行动则专注于通过跨平台来攻击账户”。
    APT32,又称OceanLotus,是一个有越南背景的的高级持续性威胁(APT)组织,至少从2013年就开始运作了。最近,又发现该组织与针对亚洲Android用户的间谍活动有关(在4月份被卡巴斯基称为PhantomLance的攻击)。
    Facebook表示,APT32利用平台主要是针对越南的人权活动家,以及多个外国政府(包括老挝和柬埔寨的政府)、非政府组织、新闻机构和一些企业。该威胁组织创建了Facebook页面和账户,以便通过网络钓鱼和恶意软件攻击的方式来锁定特定的用户。APT32使用了各种社会工程学攻击方式,冒充活动家或商业实体,来使得自己的身份显得更加可信。
    在这些页面的伪装下,APT32会说服目标通过合法的Google Play商店下载安卓应用,而这些应用又有各种权限,所以可以对受害者的设备进行监控。谷歌发言人证实,这些攻击中使用的应用已经从Google Play中删除。
    除了手机应用之外,APT32还会利用这些账户来欺骗受害者点击被入侵了的网站,或者是他们自己创建的网站,通过加入恶意(混淆)的JavaScript,入侵受害者设备然后进行水坑攻击。作为这种攻击的一部分,APT32还开发了特定的恶意软件,它将检测受害者的操作系统(Windows或Mac),然后向他们发送一个定制的payload,然后执行恶意代码。
    Facebook还观察到APT32在其攻击中使用了以前使用过的策略,例如使用文件共享服务的链接,包括短链接,并在这些服务中托管恶意文件然后受害者会点击并进行下载。
    Facebook表示,“该组织还使用了微软Windows应用程序中的动态链接库(DLL)进行侧道攻击。他们开发了.exe、.rar、.rtf和.iso格式的恶意文件,还制作了包含恶意链接文本的Word文档。”
    根据Facebook的说法,“我们的调查结果将这一攻击活动与CyberOne集团联系起来,这是越南的一家IT公司,也称为CyberOne Security、CyberOne Technologies、Hành Tinh Company Ltd.、Planet和Diacauso。”
    同时,总部设在孟加拉国的黑客攻击者以当地的社会活动家、记者和少数宗教群体为目标,攻击他们的Facebook账户。Facebook声称,Don's Team(又称Defense of Nation)和犯罪研究与分析基金会(CRAF)在这项攻击活动中发现了与孟加拉国的这两个非营利组织之间的联系。
    该公司称,这些团伙一块举报Facebook用户违反了社区标准的行为,如涉嫌冒充、侵犯知识产权、裸露和恐怖主义等行为。此外,这些团伙据称还入侵了Facebook用户的账户和页面,并达到自己的攻击目的。曾经有多次,页面的管理员账户被入侵后,他们删除了其余管理员,接管并禁用了该页面。
    Facebook警告说,以前已经删除了攻击者使用的平台的账号,这些行为背后的攻击者是一个“狡猾顽固的对手”。
    参考来源:ThreatPost http://dwz.date/dBns

    (如未标注,均为天地和兴工业网络安全研究院编译)

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号