安全研究
全部分类

关键信息基础设施安全动态周报【2020年第52期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-12-31 16:31
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第51期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第52期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第51期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-12-31 16:31
  • 访问量:
详情

目   录

第一章 国外关键信息基础设施安全动态

(一)日本川崎重工披露数据泄露事件

(二)苏格兰环保局平安夜遭受重大网络攻击

(三)芬兰议会议员电子邮件账户遭受黑客入侵

(四)比利时新冠检测医学实验室遭受勒索软件攻击

(五)美国家电制造商惠而浦遭受勒索软件Nefilim攻击

(六)CISA发布免费Azure/Microsoft 365恶意活动检测工具

(七)美国财政部警告针对COVID-19疫苗研究的勒索软件

(八)俄罗斯加密货币交易所Livecoin遭受黑客攻击

(九)Sangoma遭受勒索软件Conti攻击,泄露超26GB数据

(十)电商应用程序21 Buttons泄露百万用户数据

(十一)任天堂3DS存在严重漏洞 可致MiTM攻击

(十二)日本游戏开发商Koei Tecmo披露数据泄露事件

 

第一章 国外关键信息基础设施安全动态

(一)日本川崎重工披露数据泄露事件

日本川崎重工12月28日披露了一项安全漏洞,该公司发现多个海外办事处对日本公司服务器的未授权访问,该安全漏洞可能导致其海外办事处的信息被盗。

川崎重工有限公司是一家日本公共跨国公司,主要生产摩托车、发动机、重型设备、航空航天和国防设备、机车车辆和船舶,还积极生产工业机器人、燃气轮机、锅炉和其他工业产品。

日本川崎重工(Kawasaki Heavy Industries)宣布了一项安全漏洞,并可能在未经许可的情况下从多个海外办事处访问日本公司的服务器,并可能出现数据泄漏。

该公司发布的声明表示,“2020年6月11日,一次内部系统审计发现,一个海外办事处(泰国)连接到日本的一台服务器,这是不应该发生的。在同一天内,海外办事处和我们的日本办事处之间的通信被完全终止,因为这是未经授权的访问情况。但是,随后发现从其他海外站点(印度尼西亚、菲律宾和美国)对日本的服务器进行了其他未经授权的访问。”

川崎重工株式会社宣布,它受到来自公司外部的未经授权的访问。经过彻底调查,该公司发现,海外办事处的一些信息可能已泄露给外部人士。目前,该公司没有发现向外部网络泄露信息的证据。川崎重工宣布加强了对海外办事处访问的监控行动,同时还限制了从海外访问其日本服务器。

川崎重工(Kawasaki Heavy Industries)对日本和泰国网络中的大约26,000个终端进行了安全审计。10月初,该公司宣布检查海外办事处网络(不包括泰国)中可能受到安全事件影响的大约3,000个终端。11月30日,该公司恢复了海外办事处与日本总部之间终止的网络通信。川崎证实,8月份之后没有未经授权连接到日本的服务器,并表示这次攻击是复杂的,并使用了先进的技术来避免被发现。

该公司声明表示,“为此,自确认未经授权进入以来,川崎特别项目组聘请了一家独立的外部安全专家公司,一直在调查并实施对策。他们的调查证实,未知内容的信息有可能被泄露给第三方。不过,目前,我们没有发现任何证据显示有人向外界泄露包括个人信息在内的信息。”

其他知名日本公司今年也受到网络攻击,包括国防承包商帕斯科(Pasco)、神户制钢(Kobe Steel)、以及三菱电机(Mitsubishi Electric)。
 

参考来源:SecurityAffairs http://dwz.date/dJAC

 

(二)苏格兰环保局平安夜遭受重大网络攻击

苏格兰环境保护局(SEPA)在平安夜凌晨遭受了重大网络攻击。

该公司执行董事大卫·皮里(David Pirie)表示,尽管核心监管、监测、洪水预报和预警服务仍在继续,但组织内部和组织之间的通信受到了严重影响。

David Pirie表示,“在平安夜过后一分钟,SEPA系统遭受了重大且持续的网络攻击。这次攻击正在影响我们的联络中心、内部系统、流程和内部通信。我们立即制定了稳健的业务连续性安排,核心监管、监测、洪水预报和预警服务正在调整并继续运营。我们的应急管理团队正在与苏格兰政府、苏格兰警察和国家网络安全中心合作,以应对看似复杂的犯罪行为。在我们继续与

Resilience合作伙伴保持密切联系的同时,我们要求那些现在希望与我们联系的人通过我们在Facebook和Twitter上的社交媒体渠道(@ScottishEPA)联系我们。”
 

参考来源:STV News http://dwz.date/dHQt

 

 

(三)芬兰议会议员电子邮件账户遭受黑客入侵

芬兰中央刑事警察局12月28日宣布,芬兰议会在2020年秋遭受了网络攻击,黑客访问了芬兰议会的IT系统,黑客能够访问一些议会议员的电子邮件。国家调查局正在调查该网络攻击事件,并得到了芬兰议会的支持。

国家调查局首席检查官特罗·穆尔曼(Tero Muurman)在一份声明中表示,犯罪者“显然能够在间谍活动中获得使外国受益或损害芬兰的情报”。警方没有确认任何嫌疑人。

攻击者以事件中的多人为目标,执法部门于2020年秋季开始对此事进行调查。穆尔曼表示,警方正在与国际伙伴合作以查明攻击者身份。目前尚不清楚究竟有多少位议员受到影响。

芬兰议会议长阿努·维赫维莱宁(AnuVehviläinen)将这一事件描述为对芬兰民主的攻击。Vehviläinen在一份声明中表示,“我们不能接受任何由政府或非政府实体实施的敌对网络活动。”

国家立法机关是民族国家黑客的长期攻击目标,他们可能正在寻求有关其他国家国内政治的情报。就在几个月前,挪威官员指责俄罗斯军方黑客Fancy Bear或APT28入侵并窃取了挪威国会议员的电子邮件帐户信息。今年早些时候,欧盟还指责俄罗斯政府的黑客在2015年入侵德国议会。

尽管俄罗斯黑客经常针对欧洲的政治资产发起攻击,但克里姆林宫并不是唯一拥有针对国家立法机构的黑客组织的政府。例如,据报道,澳大利亚情报部门指责中国对2019年对该国议会发起攻击。
 

参考来源:CyberScoop http://dwz.date/dJRv
 

 

(四)比利时新冠检测医学实验室遭受勒索软件攻击

比利时安特卫普区的一个密切致力于控制Covid-19流行病的医学实验室AML成为网络攻击的受害者,黑客要求勒索赎金。黑客在实验室网站上安装了勒索软件,使其陷入瘫痪。与勒索软件攻击的典型情况一样,黑客在解密网站之前要求支付赎金。

AML是一家私营企业,每天处理约3000个Covid-19测试,约占全国总数的5%。因此,它是该国应对Covid-19危机的最大私人实验室。

今早试图联系AML网站失败。ICT经理Maarten Vanheusden表示,“经过我们安全团队的广泛分析,我们决定断开网络连接,以防万一。通过这种方式,我们可以一步一步看到到底感染了什么。目前尚未发现有数据被盗。此次勒索事件的动机为勒索敲诈,目前还不知道攻击者来源。”

目前尚不清楚这次攻击是否发生了数据盗窃。勒索软件攻击本身的目的通常只是对勒索钱财感兴趣,然而数据窃贼试图掩盖自己的行踪,而勒索软件攻击者则恰恰相反。

该实验室向安特卫普检察官办公室报告了这起攻击事件,案件目前由联邦计算机犯罪部门处理。

据VRT报道称,AML攻击是一系列针对Covid-19大流行相关网站的攻击中的最新一次。本月早些时候,位于阿姆斯特丹的欧洲药品管理局(EMA)成为攻击目标。黑客们获得了辉瑞corona疫苗的相关文件。
 

参考来源:TheBrusselsTimes http://dwz.date/dKxT

 

(五)美国家电制造商惠而浦遭受勒索软件Nefilim攻击

美国家电制造商惠而浦近日遭受了勒索软件Nefilim攻击,攻击者在加密设备前窃取了数据,并威胁称如果不支付赎金将会公开全部数据。

惠而浦是全球最大的家用电器制造商之一,旗下有KitchenAid、Maytag、Brastemp、Consul、Hotpoint、Indesit、Bauknecht等品牌。惠而浦在全球59个制造和技术研究中心拥有77,000名员工,2019年的收入约为200亿美元。

12月26日周末,Nefilim勒索软件组织公布了在勒索软件攻击中从惠而浦窃取的文件。泄露的数据包括员工福利、住宿要求、医疗信息要求、背景调查等相关文件。

 

 

网络安全行业消息人士称,Nefilim勒索软件组织在12月的第一个周末攻击了惠而浦。惠而浦在声明中证实了此次攻击,并称其系统已从攻击中完全恢复。

惠而浦在电子邮件中称,“我们生活在每个行业都普遍存在非法网络犯罪的时代。数据隐私是惠而浦公司的重中之重,我们在技术和流程方面进行投资以保护我们的员工、数据、运营。上个月我们在惠而浦公司的环境中发现了勒索软件,该恶意软件被迅速检测并控制。目前没有泄露任何消费者信息,目前没有任何运营影响。”

Nefilim不是一个特别活跃的勒索软件,但过去以攻击其他大型知名受害者而闻名。Nefilim攻击的其他受害者包括 Orange SA、Dussman Group、Luxottica和Toll Group。

截至12月28日惠而浦的系统已完全恢复,并没有像最初所说的那样缓慢恢复。
 

参考来源:BleepingComputer http://dwz.date/dKwj

 

 

(六)CISA发布免费Azure/Microsoft 365恶意活动检测工具

美国CISA 12月24日通过GitHub发布恶意活动免费侦测工具Sparrow.ps1,适用于组织内的Azure/Microsoft 365环境,以协助侦测可能遭到危害的帐号或应用程序,可能是用来辨识与SolarWinds Orion遭黑事件相关的攻击行为。

 

 

Sparrow.ps1是由CISA的云端安全团队所打造,它并不是全面性侦测工具,只是以最近不同产业的Azure/Microsoft 365环境遭到攻击的案例作为参考,以侦测是否有行动可疑的帐号及应用程序,辨识出类似的身分与认证攻击行动。

Sparrow.ps1会在所要分析的机器上检查及安装必要的PowerShell模组,以察看Azure/Microsoft 365中的危害指标,列出Azure AD网域,以及检查Azure服务主体及其Microsoft Graph API许可,来辨识潜在的恶意行为。

CISA并未公布相关攻击的细节,但有网络安全媒体暗示该机构所指称的安全意外,可能与SolarWinds Orion攻击事件有关。根据微软的说明,黑客先入侵了网络管理业者SolarWinds所提供的软件,这类就地部署的软件通常具备高权限,黑客利用其内部管理权限来获取SAML令牌签章证书,再利用盗来的SAML令牌伪造云端用户令牌,在冒充用户登入之后,再新增可存取既有应用或服务主体的凭证,继而呼叫Microsoft 365 API来窃取邮件。
 

本文版权归原作者所有,参考来源:iThome http://dwz.date/dKAt
 

 

(七)美国财政部警告针对COVID-19疫苗研究的勒索软件

美国财政部金融犯罪执法网络(FinCEN)12月28日发布警告称,勒索软件正在积极针对疫苗研究机构。FinCEN要求金融机构保持警惕,勒索软件正在针对疫苗交付业务以及制造疫苗所需供应链为攻击目标。

美国食品药品监督管理局(FDA)于同一天发布了两项紧急使用COVID-19疫苗授权。FinCEN还在11月与来自金融机构、技术公司和联邦政府机构的代表进行了在线交流,以讨论对勒索软件日益增长的担忧。同时FinCEN在10月份发布了勒索软件咨询,内容涉及在勒索软件攻击后使用金融系统促进勒索支付。同一天,外国资产控制办公室(OFAC)警告那些协助受害者支付赎金的组织,他们的行为可能违反法规,因此面临制裁风险。

FinCEN还警告称,欺诈者和犯罪分子利用公众对COVID-19疫苗的兴趣来分发恶意软件。FinCEN补充说:“COVID-19疫苗欺诈可能包括出售未经批准和非法销售的疫苗、出售经批准的伪造版本的疫苗、以及对合法疫苗的非法转移。欺诈者表示会在比疫苗分发计划更快的向向潜在受害者提供疫苗,并收取一定费用。金融机构及其客户应警惕此类利用有关COVID-19疫苗的虚假信息来诱骗受害者的网络钓鱼计划。”

在过去两个月中,美国联邦机构、食品和药物管理局(FDA)、联邦贸易委员会(FTC)、国土安全部国际刑警组织(DHS-ICE)、国际刑警组织(INTERPOL)和欧洲刑警组织(Europol)都发出了类似的警告。

根据FTC统计数据,今年有超过27.5万名美国人因与COVID-19相关的骗局而造成经济损失超过2.11亿美元。包括国家黑客在内的威胁行为者今年全年都以参与COVID-19疫苗冷链和研究的组织为攻击目标。
 

参考来源:BleepingComputer http://dwz.date/dJUN

 

(八)俄罗斯加密货币交易所Livecoin遭受黑客攻击

俄罗斯加密货币交易所Livecoin在平安夜遭受了黑客攻击,黑客入侵了该交易所的网络,并获得了某些服务器的控制权。对此Livecoin在其网站上发布了一条消息,警告客户停止使用其服务。

该信息显示,“亲爱的客户,我们要求您停止使用我们的所有服务:不要存款,不要交易,不要使用API。我们正受到精心策划的攻击,正如我们所设想的,这是在过去几个月里准备好的。我们失去了对所有服务器、后端和节点的控制。因此,我们无法及时停止我们的服务。我们的新闻频道也被破坏了。目前,我们部分控制前端,因此我们能够发布此公告。我们正在努力找回我们的服务器、节点和资金,我们全天候工作。新闻和下一个更新将在未来几天。我们正在和当地警方联系。我们正在尽力克服这个问题。”

 

 

该平台的管理员通知其用户,他们已经失去了对一些服务器的控制权,这次攻击似乎是精心策划的。

攻击发生在12月23日至24日的夜间,攻击者将汇率修改为荒谬的值,即正常值的15倍。比特币的汇率被设置为超过$45万/BTC,而ETH的价值从$600/ETH增加到$15,000。有人推测,EXMO和Livecoin交易所都是被同一个攻击者入侵的,因为他们使用了同一个钱包1A4PXZE5j8v7UuapYckq6fSegmY5i8uUyq。

Livecoin建议用户停止存入资金和进行交易。Livecoin表示,它已通知了当地执法部门。一旦释放了汇率,攻击者就开始套现账户,赚取巨额利润。加密货币交易所将安全漏洞通知了当地执法部门。

12月31日,Livecoin网站显示的消息为:

 

 

参考来源:SecurityAffairs http://dwz.date/dK5X

 

 

(九)Sangoma遭受勒索软件Conti攻击,泄露超26GB数据

Sangoma 12月24日披露了一起数据泄露事件,其遭受了勒索软件Conti攻击,攻击者窃取了26GB文件并在网上公布。

Sangoma是一家IP语音硬件和软件提供商,以广受欢迎的开源FreePBX PBX电话系统而闻名,该系统允许组织在其网络上创建廉价的公司电话系统。

12月23日,Conti勒索软件组织在他们的勒索软件数据泄露网站上公布了超过26 GB的数据,这些数据是在最近的网络攻击中从Sangoma窃取的。泄露的数据包括与公司会计、财务、收购、员工福利和工资以及法律文件相关的文件。

 

 

Sangoma 12月24日证实,勒索软件攻击导致其公司和员工的私人和机密信息在线发布,并导致数据泄露。Sangoma在公司官网披露,“Sangoma宣布,由于对该公司一台服务器遭受了勒索软件攻击,昨天该公司的私有和机密数据在网上发布。公司已开展全面调查,以完全确定此数据泄露的程度,并与第三方网络安全专家紧密合作以支持这些工作。目前没有迹象表明客户帐户被盗用,也没有任何Sangoma产品或服务因此违规而受到影响。在调查仍在继续且出于谨慎考虑的同时,该公司建议客户更改其Sangoma密码。”

该攻击背后的勒索软件名为Conti,初于2019年12月底发现用于独立的攻击中,并于2020年6月开始活跃攻击。该勒索软件与Ryuk勒索软件共享代码,并且已知由TrickBot木马分发。Conti运营者破坏公司网络并横向扩散,直到获得对域管理员凭据的访问权限,以部署用于加密设备的勒索软件有效载荷。
 

参考来源:BleepingComputer http://dwz.date/dGCb
 

 

(十)电商应用程序21 Buttons泄露百万用户数据

网络安全公司vpnMentor研究人员发现,知名电子商务应用程序21 Buttons泄露了欧洲数百位名有影响力人物的私人数据。
21 Buttons允许用户分享他们的服装照片和他们所穿品牌的链接,然后他们的粉丝可以使用该应用直接从相关品牌购买他们喜欢的衣服。有许多不同的平台在互联网上为自己开辟了一个细分市场。21 Buttons在Android平台上的下载量超过500万次,这是一个主要面向时尚产业的社交网站。时尚影响者可以通过他们的个人资料获得佣金。

2020年11月2日,vpnMentor专家发现21 Buttons应用程序使用了一个错误配置的AWS存储桶,导致数百名网红的数据泄露。

vpnMentor在发布的报告中写道,“该公司将来自应用程序的超过5000万条数据存储在一个配置错误的AWS云存储桶中。在这些数据中,我们发现了21 Buttons向欧洲各地的100位有影响力人物支付的佣金发票,这是基于他们的个人资料所创造的销售价值。这些发票暴露了大量有关个人影响者在21 Buttons上的收入信息,以及难以置信的敏感个人信息。”

发现时,错误配置的AWS bucket包含超过5000万个文件,包括的敏感信息如全名、地址、财务信息(即银行账号、贝宝电子邮件地址)、照片和视频。海量数据包括超过400张发票,这些发票提供了各个品牌向网红支付佣金的信息。

受数据泄露影响的主要人物有:Carlota Weber Mazuecos、Freddy Cousin Brown、Marion Caravano、Irsa Saleem、Danielle Metz。

S3 bucket中包含的数据可以被威胁参与者用于执行多种恶意活动,包括网络钓鱼攻击、欺诈和身份盗窃、跟踪和骚扰

vpnMentor的研究人员指出,自他们首次向公司报告这一发现以来,数据在网上暴露了一个多月。直到12月22日,vpnMentor才收到了21Buttons的回复,但目前还不清楚它是否保护了数据。目前还不可能确定是否有人访问了这些暴露的数据。

21 Buttons也可能会因为数据泄露而面临负面反应和其他后果,包括罚款和法律行动、失去客户和合作伙伴、以及负面宣传。
 

参考来源:SecurityAffairs http://dwz.date/dK7T

 

(十一)任天堂3DS存在严重漏洞 可致MiTM攻击

安全研究人员发现了一个影响任天堂3DS游戏机的高度严重的漏洞。利用此漏洞可允许攻击者对游戏玩家进行MITM攻击。这位研究人员报告了这个漏洞,赢得了12000美元以上的巨额赏金。

据报道,一名安全研究人员发现了一个影响任天堂3DS掌上游戏机的严重安全漏洞,任天堂3DS手持游戏机现已停产。该漏洞存在于任天堂3DS对数字证书的处理中。由于证书验证不正确,攻击者有可能伪造证书并执行中间人MITM攻击。

研究人员在漏洞报告中所述,“建立SSL/TLS连接时,SSL系统模块无法正确验证x509证书。实际上,SSL系统模块在验证证书链时不会检查签名,从而允许任何人伪造证书并执行MitM攻击或欺骗受信任的服务器。”

利用这个漏洞可能会导致危险的后果,因为攻击者可能欺骗任何服务器来欺骗目标玩家。这包括欺骗eShop服务器和提取用户信息、欺骗连接到游戏服务器、或仅仅执行MiTM间谍通信和窃取数据。此漏洞影响到所有固件版本为11.13或以下的任天堂3DS游戏机,该漏洞严重程度被为9-10分。

在2020年6月发现该漏洞后,研究人员通过他们的HackerOne漏洞赏金计划向任天堂报告了此事。因此,任天堂开发了一个补丁来解决这个漏洞。最终,在发布任天堂3DS固件11.14版的同时部署了补丁。

所以,任天堂3DS的用户必须确保使用最新的固件版本更新来保护其设备。除了修补漏洞,任天堂还向这位研究人员提供了12,168美元的巨额奖金。研究人员将这个漏洞命名为“SSLoth”,他在分享了GitHub上的技术细节。
 

参考来源:LatestHackingNews http://dwz.date/dK7m

 

(十二)日本游戏开发商Koei Tecmo披露数据泄露事件

日本游戏开发商Koei Tecmo近日披露了一起数据泄露事件,其被盗数据被发布到一个黑客论坛,故该公司将其欧洲和美国网站下线了。

Koei Tecmo以其广受欢迎的PC和游戏机游戏而闻名,包括Nioh 2、HyRule Warriors、Atelier Ryza、Dead or Alive等。

12月20日,一名攻击者声称,他于12月18日通过发送给一名员工的鱼叉式网络钓鱼侵入了koeitecmoeurope.com网站。一个拥有6.5万用户的论坛数据库被盗,这名攻击者声称在网站上植入了一个Web Shell,以便继续访问。攻击者销售宣传中称,“在我发现的shell上有FTP凭据,如果你购买了shell,我会很高兴与你分享这些凭据,以及他们的twitter帐户的多个twitter秘密。”

在一个黑客论坛上的帖子中,攻击者试图以0.05比特币(约合1300美元)的价格出售论坛数据库,以及0.25比特币(约合6500美元)的价格出售Web shell访问权限。12月23日,同一个攻击者在同一个黑客论坛上免费泄露了数据库。

 

 

该数据库样本包括论坛成员的电子邮件地址、IP地址、哈希密码、用户名、出生日期和国家。在得知泄露的数据后,Koei Tecmo将美国(https://www.koeitecmoamerica.com/))和欧洲(KoeitecmoEurope.com)网站下线,并显示“由于此网站上可能发生外部网络攻击,因此我们在调查此问题时暂时将其关闭。”

在得知此次攻击后,Koei Tecmo发布了一份数据泄露公告,称其英国子公司网站上的一个论坛遭到入侵,被盗数据在网上泄露。该数据泄露公告显示,“在由KTE运营的网站内,“论坛”页面和已注册的用户信息(大约65,000个条目)已确定为可能已被泄露的数据。可能已被黑客泄露的用户数据包括帐户名和相关密码(已加密)和注册的电子邮件地址。”

Koei Tecmo表示,这次入侵只影响了论坛,而不是网站的其他部分,这个数据库中没有存储任何财务信息。该游戏公司已经确定“这是一次勒索软件攻击的可能性很低”,而且没有对该公司提出任何威胁或要求。出于高度谨慎,Koei Tecmo在调查此次攻击时切断了英国子公司KTE的内部网络。

Koei Tecmo并不是今年第一个受到网络攻击的游戏开发商。今年早些时候,Crytek和Ubisoft受到Egregor勒索软件操作的打击,Capcom遭受了Ragnar Locker勒索软件攻击,1TB的数据被盗。
 

参考来源:BleepingComputer http://dwz.date/dGXc
 

(如未标注,均为天地和兴工业网络安全研究院编译)

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号