安全研究
全部分类

关键信息基础设施安全动态周报【2021年第1期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-01-08 16:50
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第1期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第1期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第1期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-01-08 16:50
  • 访问量:
详情

目 录

第一章 国内关键信息基础设施安全动态

(一)特朗普签署行政令禁止与八款中国应用软件进行交易

(二)超2亿中国公民数据在暗网上出售
 

第二章 国外关键信息基础设施安全动态

(一)英国基础设施管理公司Amey遭受勒索软件Mount Locker攻击

(二)美国Apex实验室遭受勒索软件攻击并泄露数据

(三)Zyxel防火墙和AP控制器中存在后门,十万设备受影响

(四)美国多政府机构发布联合声明称SolarWinds攻击事件归咎于俄罗斯APT组织

(五)美国白宫发布《国家海事网络安全计划》

(六)Fortinet WAF中存在多个漏洞可使公司网络被黑客入侵

(七)美国Cornelia市再次遭受勒索软件攻击

(八)日产因Git服务器配置错误导致源代码泄露

(九)安全研究人员发现新型勒索软件Babuk

(十)美国政府启动“Hack the Army 3.0”漏洞赏金计划

(十一)美国电信公司T-Mobile数十万名用户电话号码被泄露

(十二)FBI警告关于勒索软件Egregor的攻击

(十三)新型恶意软件使用WiFi BSSID来识别受害者

(十四)朝鲜黑客组织Thallium针对金融行业发起供应链攻击

 

第一章 国内关键信息基础设施安全动态

(一)特朗普签署行政令禁止与八款中国应用软件进行交易

美国总统特朗普1月5日签署了一份行政令,禁止八款中国应用软件进行交易,包括支付宝、CamScanner、QQ钱包、SHAREit、腾讯QQ、Vmate、微信支付和WPS Office。特朗普视这八款软件为对美国国家安全、经济和外交政策构成威胁。

该行政令称,“由中国开发或控制的某些联网移动和桌面应用程序及其他软件在美国的传播速度和普遍性继续威胁着国民安全、外交政策和美国经济。目前,必须采取措施解决这些与中国有联系的软件应用程序带来的威胁。通过访问智能手机、平板电脑和计算机等个人电子设备,与中国连接的软件应用程序可以访问和捕获来自用户的大量信息,包括敏感的个人身份信息和私人信息。这种数据收集有可能使中国政府能够访问美国人的个人和专有信息,这将使中国能够追踪联邦雇员和承包商的位置,以及建立个人信息档案。美国必须对开发或控制与中国相关的软件应用程序的人采取积极行动,以保护我们的国家安全。”
 

参考来源:WhiteHouse http://dwz.date/dQ4a
 

 

(二)超2亿中国公民数据在暗网上出售

在一次例行暗网监控中,Cyble研究团队发现了多个帖子,其中威胁行为者正在出售涉嫌与中国公民有关的数据。数据可能是从多个受欢迎的中国服务(包括湖北公安县、微博和QQ等)中窃取的。

公安县是中国湖北省南部的一个县,南部与湖南接壤,归荆州市管理。威胁行为者提供了据称来自公安县的999名中国公民的户口登记样本数据,以作为黑客攻击的证据。共有730万中国公民的数据可供出售,这些记录包括身份证、性别、姓名、生日、手机号码、地址和代码。专家们还发现有与微博平台用户有关的数据出售。

 

 

在对样本数据进行分析的过程中,注意到在Excel表格中列出了微博号和各自的手机号。这个威胁者在暗网上出售4180万中国用户的详细信息。

Cyble的研究人员还发现,一个威胁行为者提供了腾讯旗下QQ即时通讯软件和门户网站用户的记录。这个威胁者在暗网上出售了1.92亿中国用户的信息。

通过对样本数据的分析,研究人员发现在Excel表格中存在QQ号和相应的手机号。与中国公民有关的档案总数量超过2亿。
 

参考来源:SecurityAffairs http://dwz.date/dQTp

 

第二章 国外关键信息基础设施安全动态

(一)英国基础设施管理公司Amey遭受勒索软件Mount Locker攻击

英国为监管和公共部门提供基础设施支持服务的公司Amey在2020年中旬遭受了勒索软件Mount Locker攻击。

 

 

Amey是英国最大的服务于公共和受监管部门(如国防、电力、铁路等关键基础设施)的公司之一,是西班牙跨国公司Ferrovial的子公司。Amey市值20亿美元,拥有19,000多名员工,主要从事土木工程、运输、空中监视(即通过无人驾驶车辆)、国防、电力和废物管理等领域。截至2019年,Amey经营着伦敦港区轻轨(DLR)线和曼彻斯特Metrolink电车。与Keolis合作,Amey还经营威尔士铁路运输服务。

2020年12月16日左右,Mount Locker勒索软件组织攻击了Amey的计算机系统,并于12月26日开始在其泄漏站点的某些部分中发布Amey的专有数据。泄漏的文件包括合同、财务文件(包括银行对账单和贷款记录)、保密合伙协议、保密协议、Amey与英国政府部门和理事会之间的通信、护照扫描、驾驶执照以及公司雇员和董事的身份证件、财务报告、就业记录(新雇用要约和辞职信)、技术蓝图(如曼彻斯特Metrolink铁路的技术图纸)、会议记录等。值得一提的是,泄露的数据包含大量的Amey子公司Amey国防服务有限公司的文件及合同。

 

 

Amey国防服务公司的前身是CarillionAmey有限公司,是Amey的私有分支机构,为包括英国武装部队在内的军事机构提供基础设施管理和支持服务。但是,Amey在电子邮件中澄清表示,此事件并未影响Amey的国防IT环境,并且Amey国防数据单独存储在国防IT环境中。

同样,第三方与Amey的土木工程咨询公司Amey Ow Ltd之间达成了一些协议,该公司为航空、中央政府、国防、教育、地方政府以及铁路和公路领域的客户提供服务。泄露的数据集中存在的其他Amey公司文件涉及较小的子公司,例如Amey Utility Services Ltd ,该公司为英国的水和电力部门提供服务。

起初,勒索软件组织将5%的数据压缩至416MB的压缩文档中并泄露。截至2020年1月3日,威胁者称其窃取的整个数据库的大小为143GB,其中大约一半(65 GB)已在泄密网站上公布。

当勒索软件运营商在网络攻击的早期阶段无法与受害者协商赎金数额时,勒索软件运营商通常会泄露部分数据。这是威胁行为者从受影响方勒索金钱时采取的另一种策略。而在其他情况下,如果受害人拒绝支付赎金,威胁行动者可能选择在暗网论坛上悄悄拍卖客户数据,而不是泄露数据。到目前为止,还不知道Amey和Mount Locker之间正在进行任何赎金谈判。

当被问及有关网络攻击的详细信息时,Amey发言人称,“12月16日,Amey意识到了一个复杂的IT安全事件,在此事件中,我们的部分数据遭到了破坏。我们已将此事件报告给信息专员办公室、国家网络安全中心和国家犯罪局。”

该公司还表示,这起网络攻击很早就被发现,并且他们正在努力最大程度地减少造成的破坏。“Amey具有完善的跟踪软件和病毒缓解策略,这意味着该事件很早就被发现了。在整个事件中,我们一直在与世界领先的网络安全专家合作,并继续与客户合作,以​​将任何干扰降到最低。”

尽管该公司已迅速向英国相关当局(包括ICO,NCSC和NCA)报告了网络攻击,但Amey可能需要一些时间来评估此网络攻击对其客户和合作伙伴的全部影响,并提供更多详细信息。
 

参考来源:SecurityReport http://dwz.date/dQvt

 

(二)美国Apex实验室遭受勒索软件攻击并泄露数据

美国纽约医学检测实验室Apex近日披露其遭受了网络攻击,攻击者加密了一些IT系统致其无法访问。勒索软件DoppelPaymer于12月15日在其泄露站点上发布了Apex的数千个文件,包括患者数据及员工信息。

2020年7月25日,纽约州法明代尔市Apex实验室发现其成为网络攻击的受害者,其环境中的某些系统已加密且无法访问。Apex是一个为个人、医生和医疗机构提供医学检验服务的实验室。在第三方取证和网络安全专家的协助下,Apex迅速保护了其网络,恢复了受影响的数据,于2020年7月27日恢复运行,并立即开始对该事件进行调查。经过彻底的第三方网络取证分析,调查初步确定,没有证据表明未经授权访问或获取患者信息。然而,2020年12月15日,Apex得知黑客其博客上发布了有关攻击的信息,并列出了获取的数据,其中包含一些患者的个人和健康信息。

在得知数据泄露后,Apex在取证专家的协助下,对文件进行了审查,以确定哪些信息受到了影响,并确保将数据从黑客的博客中删除。据信,此信息可能是在2020年7月21日至2020年7月25日之间从Apex的系统获取的。

尽管调查仍在进行中,但在这一点上,据信所获取的数据包括部分患者的信息:患者姓名、出生日期、检查结果以及一些人的社会安全号码和电话号码。此外,除了作为网络攻击的一部分提取这些数据之外,Apex不知道任何实际或尝试滥用的任何信息。Apex正在准备书面通知,邮寄给受影响的个人,并在其网站上发布通知。

Apex会认真对待此事件和个人信息安全。Apex正在持续调查此事件。作为Apex对信息安全的持续承诺的一部分,该公司通知了执法部门,并正在审查和增强现有的政策和程序,以减少发生类似未来事件的可能性。尽管Apex不认为此事件会引起身份盗用或欺诈,但与往常一样,个人应通过重新审阅帐户对帐单、监控信用报告以及对可疑活动的好处的说明保持警惕,以防身份盗用和欺诈。发现可疑活动的个人应酌情向其医疗机构、金融机构和/或执法机构报告活动。
 

参考来源:Apex Laboratory http://dwz.date/dQtU

 

(三)Zyxel防火墙和AP控制器中存在后门,十万设备受影响

荷兰网络安全公司EYE的Niels Teusink在一些Zyxel设备的最新4.60补丁固件中发现了一个秘密的硬编码管理账户。超过10万台Zyxel设备可能容易受到秘密后门的攻击,该后门是由用于更新防火墙和AP控制器固件的硬编码凭据引起的。

 

 

该帐户不显示在Zyxel用户界面,并有一个登录名zyfwp和静态明文密码。由于这个漏洞的严重性,故决定不发布密码。
Teusink发现该账户可以通过SSH和web界面登录脆弱的设备。由于SSL VPN接口与web接口在同一个端口上运行,Teusink发现许多用户已经允许在互联网上访问443端口。

据Teusink报道,“由于这些设备上的SSLVPN与网络接口在同一个端口上运行,很多用户已经将这些设备的443端口暴露在互联网上。使用Project Sonar的公开数据,我能够识别出荷兰大约3.000台Zyxel USG/ATP/VPN设备。全球有超过100.000台设备将他们的网络接口暴露在互联网上。”

VPN设备漏洞极其危险,因为它们可用于创建新的VPN帐户以访问内部网络,或创建端口转发规则以使内部服务可公开访问。Teusink警告称:“例如,有人可以更改防火墙设置来允许或阻止某些流量。他们还可以拦截流量或创建VPN账户来访问设备背后的网络。再加上像Zerologon这样的漏洞,这可能会对中小型企业造成毁灭性的影响。”

这些类型的漏洞已成为威胁参与者的最爱,他们利用Pulse Secure、Fortinet和Citrix NetScaler VPN漏洞部署勒索软件或危害内部公司网络来窃取数据。受影响设备的管理员应尽快将其设备升级到最新固件。

在一份建议中Zyxel感谢EYE的披露,并表示他们使用硬编码凭据通过FTP提供自动固件更新。Zyxel的建议称:“在某些Zyxel防火墙和AP控制器的zyfwp用户帐户中发现了一个硬编码凭据漏洞。该帐户旨在通过FTP向连接的接入点提供自动固件更新。”

ZyXEL发布了ZLD V4.60补丁程序,删除易受攻击的ATP、USG、USG Flex和VPN设备中的硬编码凭据。ZyXEL声明使用早期固件或SD-OS的ATP、USG、USG FLEX和VPN防火墙不受影响。NXC AP控制器的修补程序预计将于2021年4月发布。

 

 

受影响的Zyxel产品和修补程序列表如下:
 

参考来源:BleepingComputer http://dwz.date/dQTB

 

(四)美国多政府机构发布联合声明称SolarWinds攻击事件归咎于俄罗斯APT组织

美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、国家情报局局长办公室(ODNI)、和国家安全局(NSA)成立的网络统一协调小组(UCG)1月5日发表联合声明称,其将SolarWinds供应链攻击归咎于俄罗斯APT组织。

UCG协调调查涉及联邦政府网络的重大网络事件,并发布补救措施。UCG声称,SolarWinds供应链攻击是由来自俄罗斯的APT组织精心策划的。

UCG确认,大约有18,000个Solar Winds Orion产品的客户受到了影响,但是只有少数客户受到了影响。政府专家还确定了受影响的美国政府机构不到十个。

该声明取消了特朗普总统关于此次攻击是由与中国有联系的黑客组织精心策划的说法,并证实了华盛顿邮报发表的指责俄罗斯黑客组织APT29有关的报告。

俄罗斯政府否认参与了这次黑客攻击。
 

参考来源:CISA http://dwz.date/dPYw
 


 

(五)美国白宫发布《国家海事网络安全计划》

美国白宫政府1月5日发布了《国家海事网络安全计划》,该计划重点介绍了在未来五年内缩小海上网络安全差距和漏洞的多项优先行动,并列出了最重要的事项,以减轻威胁并为关键的海事部门提供安全保障。

海事部门包括数十万条主要水道、造船厂、港口和桥梁,为美国国内生产总值贡献了约5.4万亿美元。

该计划在较高级别上围绕建立定义海事威胁的全球标准、加强威胁情报和信息共享,以及增加海事部门网络安全工作人员的优先事项和目标。

白宫表示,“IT在整个海事部门的扩散正在引入以前未知的风险,如2017年6月的NotPetya网络攻击所证明的那样,该攻击使全球海事行业瘫痪了几天多。该计划阐明了美国政府如何才能最好地减轻对国家安全和经济繁荣的潜在灾难性风险。”对IT和OT的日益依赖将继续提高海上贸易的效率和可靠性。该计划要求高度重视消除冲突的政府角色和责任。

该计划称,“一些MTS运营商缺乏控制关键系统安全的能力,因为不同的公共和私有实体拥有并运营这些互连的系统。尽管网络安全标准和框架广泛可用,但企业通常缺乏有效实施这些资源或专业知识,使他们容易受到网络安全破坏的影响。”

由于没有一个实体拥有、控制、管理或监管整个海域使用的业务或网络,因此该计划要求NSC(国家安全委员会)的工作人员确定法律权限方面的差距,并确定消除冲突角色和职责的效率MTS网络安全标准。

该计划的其他优先事项包括:建立风险模型,以提供海上网络安全标准和最佳实践;加强港口服务合同和租赁中的网络安全要求;提高美国政府与私营部门之间的信息共享水平。

白宫声称,“需要可靠且可操作的情报来增强海上网络安全”。并指出将建立机制与海事行业利益相关者共享未分类的机密信息,从而增加对可操作信息的访问,以保护海上IT和OT网络。

此外,该计划还呼吁根据合作伙伴的意见建立一个国际“港口OT风险框架”,并在国际上加以推广。该计划还致力于培养网络安全专家和强大的员工队伍,以管理和保护港口和船舶系统。

工业网络安全公司Claroty的首席产品官Grant Geyer表示,“过去几年,机会主义勒索软件感染和有针对性的国家力量预测的双重威胁证明了网络攻击对国家安全和商业供应链的影响。我们看到了一些例子,这些例子表明,在2017年商业海事企业受到NotPetya感染的情况下,可能会造成大规模破坏,以及伊朗披露其港口活动在2020年受到网络攻击而中断的情况。”

Geyer继续表示,“将这些高度脆弱的的OT海洋环境与OT安全方面的严重专业知识相结合,会给关键基础设施带来巨大风险。

对《于国家海上网络安全计划》而言,令我印象深刻的是有目的地侧重于确保减轻关键船舶和港口系统的风险,并专注于发展海上网络安全的专业知识和职业道路。”
 

参考来源:SecurityWeek http://dwz.date/dQzb

 

(六)Fortinet WAF中存在多个漏洞可使公司网络被黑客入侵

Positive Technologies的安全研究员Andrey Medov在Fortinet的FortiWeb Web应用程序防火墙(WAF)中发现了多个严重漏洞,攻击者可能利用这些漏洞来入侵企业网络。

Fortinet已为其CVE-2020-29015、CVE-2020-29016、CVE-2020-29018、CVE-2020-29019四个漏洞发布了补丁程序,这些漏洞可被利用来进行拒绝服务攻击并执行未经授权的代码或命令。远程攻击者无需身份验证即可利用其中的三个漏洞,一个SQL注入漏洞及两个缓冲区溢出漏洞,CVSS评分为6.4。

Positive Technologies的首席安全研究员Andrey Medov发现了这些漏洞,并表示他不同意Fortinet的评估。

Medov表示:“我们认为这些漏洞比供应商给出的等级更为严重。例如,CVE-2020-29016可以启用代码执行,这种风险通常被评级为9.8分超威漏洞,它极有可能被利用。此外,我们发现的三个漏洞无需授权攻击者即可利用他们,表明他们非常严重。”

这些漏洞是在FortiWeb管理界面中发现的。Medov解释说:“如果从企业外部访问管理面板,则攻击者可以利用这些漏洞并进一步对企业网络进行攻击。”研究人员称,漏洞披露过程耗时120天。

用户应尽快安装可用的补丁,因为已知威胁行为体(包括与国家有关的行为体)会利用Fortinet产品中的漏洞进行攻击。

供应商建议客户升级到FortiWeb版本:

1、6.2.4或更高版本可解决CVE-2020-29015缺陷;

2、6.3.6或更高版本可解决CVE-2020-29016和CVE-2020-29018;

3、6.3.8或更高版本可解决CVE-2020-29019。
 

参考来源:SecurityWeek http://dwz.date/dQWM
 

 

(七)美国Cornelia市再次遭受勒索软件攻击

美国Cornelia市在2020年12月26日清晨遭受了勒索软件攻击,是该市在过去两年内遭受的第四次勒索软件攻击。

Cornelia市管理者Donald Anderson 12月29日称,在圣诞节期间,Cornelia市收到了圣诞节礼物,即恶意软件攻击。专家称,这可能不是最后一起事件,但这是该市在不久的将来可能会看到的加剧趋势的一部分。

尽管在2019年9月发生的上一次攻击之后,为了更好地屏蔽系统,该市花费了近30,000美元用于防火墙升级,但黑客仍然能够脱机接管该州的行政管理和数据系统。

该市管理者在一份声明中称,他们“非常谨慎地预料到了这种情况,而且在调查情况并恢复数据的同时也中断了我们的网络”。由于上述情况的严重性,上述情况不仅受到国家官员的监视,而且来自外部的专家也已介入调查此事。

根据Anderson的说法,该市的本地服务,如紧急电话线、垃圾收集站和公用事业等,完全没有受到干扰,并且运行正常。电子邮件服务和市政厅电话也在正常情况下运行。但是,由于该城市的软件数据系统已关闭,因此员工和本地人处于僵持状态,因为他们既无法查找账单余额,也无法接受用于城市服务的任何种类的信用卡付款。

尽管该城市的大多数功能不受此攻击的影响,但勒索软件攻击背后的运营商仍然能够使新安装的水处理厂无法运营。

Anderson进一步补充称,“根据他们的说法,勒索软件背后的商业模式通常不会从在互联网上出售城市雇员或我们公民的个人信息中牟利,而是从城市中收取款项。”同时,该市官员否认透露任何进一步的信息,并要求该市居民提供合作与支持,告诉他们要保持耐心,并保持冷静,直到问题解决为止。
 

参考来源:EHackingNews http://dwz.date/dQRk

 

(八)日产因Git服务器配置错误导致源代码泄露

日产北美公司(Nissan North America)开发和使用的移动应用程序和内部工具的源代码在该公司错误配置其一台Git服务器后在网上泄露。日产在运行的Bitbucket Git服务器上的默认凭据为admin/admin。

瑞士软件工程师蒂莉·科特曼(Tillie Kottmann)本周在接受采访时表示,泄密源于一台Git服务器,该服务器在互联网上暴露了默认用户名和密码组合admin/admin。Kottmann从匿名消息来源了解到泄密事件,并在1月4日分析了日产的数据,他表示Git存储库包含以下源代码:日产NA移动应用、日产ASIST辅助诊断工具的一些部件、经销商业务系统/经销商门户、日产内部核心移动库、日产英菲尼迪NCAR/ICAR服务、客户获取和保留工具、销售/市场研究工具+数据、各种营销工具、车辆物流门户网站、车联网服务/日产物联网、以及其他各种后台和内部工具。

 

 

SMAT/webscrape是数据科学/市场研究团队开发的一个工具,它可以从https://t.co/5h9U6RLYge上按邮政编码刮取所有目前的汽车促销信息。

Git服务器是Bitbucket的一个实例,从1月4日开始在Telegram频道和黑客论坛上共享的Torrent链接的形式传播数据后,Git服务器昨日被下线。

日产发言人证实了这一事件,该日产代表在电子邮件中表示:“日产立即就不当访问公司专有源代码进行了调查。我们认真对待此事,并确信在本次安全事件中没有访问来自消费者、经销商或员工的任何个人数据。受影响的系统已经得到保护,我们相信,在暴露的源代码中没有任何信息会使消费者或他们的车辆处于危险之中。”

瑞士研究人员在2020年5月发现了类似配置错误的GitLab服务器,泄露了多款梅赛德斯-奔驰应用程序和工具的源代码,之后他们收到了关于日产Git服务器的线报。梅塞德斯最终承认了泄露,而负责保管泄露数据的科特曼也应梅塞德斯的要求,从他们的服务器上删除了这些数据。
 

参考来源:ZDNet http://dwz.date/dQFd
 

 

(九)安全研究人员发现新型勒索软件Babuk

安全研究人员发现近日了一个新型勒索软件家族Babuk,针对公司网络发起攻击,并警告称该软件已至少加密了4个组织的文件。

据安全研究人员Chuong Dong称,该勒索软件非常标准,并且缺乏迷惑性,但是他警告称,网络犯罪分子已经通过使用强大的加密技术获得了成功。Dong表示,“尽管使用了业余编码实践,但迄今为止,利用椭圆曲线Diffie-Hellman算法的强大加密方案已被证明可以有效地攻击许多公司。”

 

 

Dong表示,与其他勒索软件家族类似,Babuk使用多线程加密等技术,还滥用Windows Restart Manager,类似于Conti和REvil勒索软件。

Babuk使用ChaCha8加密、SHA256哈希和椭圆曲线Diffie-Hellman(ECDH)算法的专有实现来生成密钥并交换密钥,以保护密钥和加密文件。此外,对于每个恶意软件样本,作者都使用单个私钥。

如果未提供命令行参数,则勒索软件仅加密本地计算机。使用参数,它既可以只在本地加密,也可以在加密本地计算机后转移到加密网络共享。

Babuk还包括在开始加密操作之前关闭特定服务和进程的功能。它针对多种备份服务以及数据库、办公应用程序、浏览器和电子邮件客户端的进程。它使用Windows重新启动管理器终止进程,以确保文件可以加密,并尝试在加密之前和之后删除卷影副本。

Babuk使用的密钥生成机制相当复杂,旨在确保受害者无法恢复其文件,但允许攻击者轻松生成解密所需的共享机密。Dong表示,但是多线程的方法可以认为是中等的。
 

参考来源:SecurityWeek http://dwz.date/dQ2D

 

(十)美国政府启动“Hack the Army 3.0”漏洞赏金计划

美国政府1月6日宣布与网络安全平台HackerOne合作,启动了一项漏洞悬赏计划“Hack the Army 3.0”。

该计划“Hack the Army 3.0”的目标是帮助美国陆军保护其数字资产和系统免受网络攻击,该计划将于1月6日至2月17日进行,并且对军方和民间白帽黑客开放。然而,只有民间白帽子发现漏洞才能获得经济奖励。

该项目是由国防数字服务局(DDS)实施的,仅限邀请,因此并非所有人都可以参与,但国防部确实有一项持续的漏洞披露计划,任何人都可以通过该计划随时报告安全漏洞,以换取“感谢”。

美国陆军网络司令部作战主管Adam C. Volant准将说:“漏洞悬赏计划是保护陆军关键网络、系统和数据的独特而有效的‘力量倍增器’,建立在我们陆军和国防部安全专业人员的努力之上。通过在世界上最好的军事和民间道德黑客的帮助下‘众包’解决方案,我们补充了现有的安全措施,并提供了一种识别和修复漏洞的额外手段。Hack the Army 3.0是建立在我们之前的漏洞赏金计划的成功经验和教训的基础上发展起来的。”

DDS已经进行了14次公共漏洞奖励,涵盖了面向公众的网站和应用程序,以及10个涵盖内部资产的私人项目。在2019年10月和11月进行的上一次黑客攻击陆军计划中,政府为146个有效漏洞支付了27.5万美元的奖励。

去年,五角大楼还为入侵空军4.0(Hack The Air Force 4.0)计划的400多个漏洞支付了29万美元。2016年,美国国防部宣布了首个漏洞悬赏计划,自那以后推出的计划修补了数千个漏洞,并为此支付了数百万美元。
 

参考来源:SecurityWeek http://dwz.date/dQVt

 

(十一)美国电信公司T-Mobile数十万名用户电话号码被泄露

美国第三大电信公司T-Mobile近日承认其客户资料库遭受黑客入侵,电话号码及通话纪录等信息被泄露。

T-Mobile内部的网络安全部门发现,该公司系统遭到非经授权的恶意存取,致使部份用户帐号中的客户专属网络信息(Customer proprietary network information,CPNI)被黑客不法存取。可能泄露的CPNI包括用户的电话号码、用户帐号下的号码数量,有些还包含无线服务执行时搜集的通话信息。

该公司表示他们已在发现时切断恶意活动,且已展开调查并通报执法机关。

不过T-Mobile表示,泄露的资料并不包含用户姓名、住家地址或电子邮件信箱、信用卡及银行资讯、社会安全号码、税籍编号、密码等。

T-Mobile表示,只有少部份用户受影响,数量小于0.2%。T-Mobile为仅次于AT&T及Verizon的电信公司,据该公司11月公布的最新资料,其用户超过1亿,推估计此次约有20万人资料遭到泄露。

外泄的电话号码可能被用来发送钓鱼简讯,借发送假冒的URL骗取用户造访钓鱼网站,以骗取用户密码。
 

参考来源:iThome http://dwz.date/dQUZ

 

 

(十二)FBI警告关于勒索软件Egregor的攻击

美国联邦调查局(FBI)1月6日发布了私有行业通知(PIN),以警告私有组织有关Egregor勒索软件攻击的信息。

Egregor勒索软件于2020年9月首次出现在威胁领域,此后该团伙声称已经危害了150多个组织。已知的受害者名单包括Barnes and Noble、Cencosud、Crytek、Kmart、Ubisoft和大温哥华运输公司TransLink。众所周知,Egregor的目标是受感染组织的打印机,用来打印赎金票据。Egregor经常从目标网络窃取文件,如果受害者拒绝付款,运营商就会将受害者的数据发布到泄露网站。

FBI在通知中称,“FBI评估Egregor勒索软件是一种勒索软件即服务模式。在此模型中,多个不同的个人参与实施单个入侵和勒索软件事件。由于部署Egregor的参与者众多,部署过程中使用的战术、技术和程序(TTP)差异很大,给防御和缓解带来了巨大的挑战。Egregor勒索软件利用多种机制危害企业网络,包括瞄准与企业网络或设备共享访问权限的企业网络和员工个人帐户。”

威胁攻击者利用带有恶意附件的网络钓鱼邮件作为攻击载体,利用不安全的远程桌面协议(RDP)或虚拟专用网络(Virtual Private Networks)获得对网络的访问权限。一旦获得目标网络的访问权限,威胁攻击者就会尝试提升权限并使用Cobalt Strike、Qakbot/Qbot、Advanced IP Scanner和AdFind进行横向移动。

联邦调查局还补充说,勒索软件运营商利用Rclone(有时更名或隐藏为svchost)和7zip等工具进行数据泄露。FBI不鼓励受害者支付赎金,并敦促他们向当地FBI办公室报告事件。

该警报称,“FBI不鼓励向犯罪分子支付赎金。支付赎金会鼓励对手攻击其他组织,鼓励其他犯罪行为者参与勒索软件的分发或可能资助非法活动。支付赎金也不能保证受害者的档案会被追回。”

以下是联邦调查局为防范Egregor的攻击而提供的缓解措施:

1、离线备份关键数据;

2、确保关键数据的副本位于云中或外部硬盘或存储设备上;

3、保护您的备份,并确保无法从数据所在的系统访问数据以进行修改或删除;

4、在所有主机上安装并定期更新防病毒或防恶意软件;

5、只使用安全网络,避免使用公共Wi-Fi网络;

6、使用双因素身份验证,不要点击电子邮件中未经请求的附件或链接;

7、优先修补面向公众的远程访问产品和应用程序,包括最近的RDP漏洞(CVE-2020-0609、CVE-2020-0610、CVE-2020-16896、CVE-2019-1489、CVE-2019-1225、CVE-2019-1224、CVE-2019-1108);

8、检查可疑的.bat和.dll文件、包含侦测数据的文件(如.log文件)和渗出工具。

9、通过限制访问、使用多因素身份验证或强密码安全地配置RDP。
 

参考来源:SecurityAffairs http://dwz.date/dQWW
 

 

(十三)新型恶意软件使用WiFi BSSID来识别受害者

恶意软件运营商想要知道他们感染的受害者的位置,通常依靠一种简单的技术,即获取受害者的IP地址,并检查IP-to-geo数据库,如MaxMind的GeoIP,以获得受害者的大致地理位置。虽然这项技术不是很精确,但它仍然是根据用户电脑上的数据确定用户实际物理位置的最可靠方法。

然而SANS互联网风暴中心的安全研究员Xavier Mertens在2020年12月22日发表的一篇博文显示,他发现了一种新型恶意软件,在上一种技术的基础上使用了依赖于获取受感染用户的BSSID的技术。

BSSID是“基本服务集标识符”(Basic Service Set Identifier,),它基本上是用户通过WiFi连接的无线路由器或接入点的MAC物理地址。

在Windows系统下,可以通过以下命令查看BSSID:netsh wlan show interfaces | find "BSSID"。

Mertens表示,他发现的恶意软件正在收集BSSID,然后对照亚历山大·迈尔尼科夫维护的免费BSSID-to-geo数据库进行检查。这个数据库收集了已知的BSSID和它们最后被发现的地理位置。这些类型的数据库现在非常常见,当用户无法直接访问手机的位置数据时,移动应用程序运营商通常会使用这些数据库作为跟踪用户的替代方法。

根据Mylnikov的数据库检查BSSID可以让恶意软件有效地确定受害者用来访问互联网的WiFi接入点的物理地理位置,这是一种非常准确地发现受害者地理位置的方法。

同时使用这两种方法允许恶意软件操作员使用第二种BSSID方法确认初始的基于IP的地理位置查询是正确的。

恶意软件运营商通常会检查受害者的位置,因为有些组织只想让受害者出现在特定国家(如国家赞助的运营),或者他们不想在本国感染受害者(以避免引起当地执法部门的注意和避免起诉)。

然而,IP-to-geo数据库以其极不准确的结果而闻名,因为电信公司和数据中心倾向于在自由市场上获取或租用IP地址块。这导致一些IP块从其初始/实际所有者分配给全球其他地区的不同组织。

使用第二种方法来双重检查受害者的地理位置目前还没有被广泛采用,但这种技术有明显的好处,其他恶意软件操作肯定会欣赏并决定在未来使用。
 

参考来源:ZDNet http://dwz.date/dPnv

 

(十四)朝鲜黑客组织Thallium针对金融行业发起供应链攻击

ESTsecurity安全响应中心(ESRC)1月3日发布报告称,朝鲜黑客组织Thallium针对一家私人股票投资通讯服务公司的用户发动了一次软件供应链攻击。Thallium修改了该私人股票投资消息应用程序,以发送恶意代码。

Thallium主要依靠网络钓鱼攻击,如通过微软Office文档来攻击受害者。Thallium利用了多种方式,如出售受污染的Windows安装程序和带有宏指令的Office文档以攻击投资者。

黑客组织Thallium使用Nullsoft Scriptable Install System(NSIS)制作了一个Windows可执行文件,NSIS是一种面向微软Windows的流行脚本驱动安装程序编写工具。除了合法的股票投资应用程序的合法文件之外,该可执行文件还包含恶意代码。

ESTsecurity研究人员展示了攻击者利用“XSL脚本处理”技术的至少两种方式。在股票投资平台的合法安装程序中,攻击者注入特定命令,从一个流氓FTP服务器获取恶意XSL脚本,并通过内置的wmic.exe工具在Windows系统上执行该脚本。

 

 

最终的安装程序与Nullsoft的NSIS重新打包在一起,给人一种印象,用户正在安装真正的股票投资应用程序,而在后台悄无声息地运行恶意脚本。攻击的下一阶段是执行VBScript,在%ProgramData%目录下创建名为“OracleCache”、“PackageUninstall”和“USODrive”的文件和文件夹。然后,有效载荷连接到托管在frog.smtper[.]co上的命令和控制(C2)服务器已接收额外的命令。

 

 

通过在误导性目录“Office 365__\Windows\Office”下创建称为“激活”的恶意计划任务,该恶意软件通过指示Windows Scheduler每15分钟运行一次释放的代码来实现持久性。威胁攻击者对受感染的系统进行侦查,并在进行初步筛选后,在计算机上部署了远程访问特洛伊木马(RAT),以进一步进行其危险的活动。

ESTsecurity研究人员还观察有Microsoft Office文档(如包含宏的Excel电子表格)正在分发上述XSL脚本有效负载。

ESTsecurity研究人员在报告中称:“ESRC正在关注这样一个事实,即Thallium组织正在使用‘XSL脚本处理’技术,不仅用于基于恶意文档的鱼叉式网络钓鱼攻击,还用于包括供应链攻击在内的利基攻击。”

根据研究人员的说法,威胁行为者攻击用户股票投资用户的原因尚不清楚。不管这种攻击的目的是为了赚钱还是对交易者进行间谍活动,供应链攻击已成为这些时代的常见麻烦。
 

参考来源:BleepingComputer http://dwz.date/dPYp


 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号