关键信息基础设施安全动态周报【2021年第3期】
发布时间:
2021-01-22
来源:
作者:
天地和兴
访问量:
168
目 录
第一章 国内关键信息基础设施安全动态
(一)CICSVD发布《2020年工业信息安全漏洞态势年度简报》
第二章 国外关键信息基础设施安全动态
(一)西门子修复其数字工业软件产品中数十个严重漏洞
(二)俄罗斯铁路监控系统存在漏洞
(三)研究人员披露七个Dnsmasq漏洞
(四)新型恶意软件FreakOut利用关键漏洞攻击Linux设备
(五)SolarWinds供应链攻击事件中发现第四种恶意软件Raindrop
(六)Malwarebytes成为第四家遭受SolarWinds黑客入侵的安全公司
(七)FireEye发布审计SolarWinds黑客攻击技术的网络调查工具
(八)美国FBI发布有关窃取帐户凭据的警报
(九)Reolink P2P摄像机存在安全漏洞,致IoT设备存在风险
(十)黑客ALTDOS声称窃取了孟加拉国企业BEXIMCO数百GB数据
(十一)巴西发生重大数据泄露事件
(十二)法国汽车租赁公司Ucar遭受网络攻击
(十三)法国CHwapi医院遭受勒索软件攻击,上百台手术被迫取消
(十四)Capital Economics 50多万高级管理人员信息在暗网泄露
(十五)趋势科技称人工智能将在2030年取代网络安全人员
第一章 国内关键信息基础设施安全动态
(一)CICSVD发布《2020年工业信息安全漏洞态势年度简报》
1月19日,国家工业信息安全漏洞库(CICSVD)发布《2020年工业信息安全漏洞态势年度简报》。该报告立足于CICSVD收录和发布的漏洞数据,从漏洞总体情况、漏洞成因、受影响产品、单位贡献排名、重要安全漏洞告警等方面进行了重点分析。
2020年,CICSVD共收录工业信息安全漏洞2138个,环比上升22.2%。其中,通用型漏洞2045个,事件型漏洞93个,涉及335家厂商。在收录的通用型漏洞中,超危漏洞379个,高危漏洞899个,高危及以上漏洞占比62.5%。危害程度较高的漏洞有:Treck TCP/IP stack多个安全漏洞、Schneider Electric Easergy T300认证绕过漏洞、WAGO公司I/O-CHECK工业软件缓冲区错误漏洞、ABB Relion 670 Series路径遍历漏洞等。
2020年,在CICSVD收录的通用型漏洞中,超危漏洞379个(占比18.5%),高危漏洞899个(占比44%),中危漏洞716个(占比35%),低危漏洞51个(占比2.5%)。
在漏洞成因分析方面,共涉及31种漏洞成因类型,其中缓冲区错误、输入验证错误、授权问题、资源管理错误、拒绝服务分列前五位。
在受影响产品分类方面,受影响产品共涉及10个大类、66个小类。其中,工业主机设备和软件类、工业生产控制设备类、工业网络通信设备类分列大类的前三位,可编程逻辑控制器(PLC)、组态软件、工业路由器、数据采集与监控系统(SCADA)、工业软件分列小类的前五位。
在受影响产品厂商分析方面,主要涉及德国西门子(Siemens)公司、法国施耐德电气(Schneider Electric)公司、中国台湾研华科技(Advantech)公司、中国台湾摩莎(Moxa)公司、瑞士ABB公司等335家厂商,其中国外厂商占比66.2%,我国厂商占比33.8%。
本文版权归原作者所有,参考来源:CICSVD http://dwz.date/dY8E
第二章 国外关键信息基础设施安全动态
(一)西门子修复其数字工业软件产品中数十个严重漏洞
西门子近日通知客户,其产品开发解决方案中存在数十个漏洞,这些漏洞可利用恶意文件来执行任意代码。
这些安全漏洞是由几个研究人员发现的,并通过趋势科技的零日计划(ZDI)和美国网络安全和基础设施安全局(CISA)协调披露,后者发布了自己的建议。受影响的产品均由均由专门从事产品生命周期管理(PLM)解决方案的西门子数字工业软件公司开发。
西门子和CISA针对影响西门子JT2Go和Teamcenter Visualization的18个漏洞发布了一份咨询公告。JT2Go是一款用于JT数据的3D查看工具,JT数据是一种ISO标准化的3D数据格式。Teamcenter Visualization是为组织提供文档、2D图纸和3D模型的可视化解决方案。
同时西门子发布了针对影响西门子Solid Edge的六个漏洞咨询公告。该解决方案为3D设计、仿真和制造提供软件工具。每个公告中描述的几个漏洞有重叠。
绝大多数漏洞都是高危漏洞,可能会在目标进程的上下文中导致任意代码执行。一个漏洞可能导致信息泄露,被分类为中危漏洞。
代码执行漏洞与在解析某些类型的文件时不正确验证用户提供的数据有关,这会导致内存损坏漏洞。为了进行攻击,攻击者需要说服目标用户打开特制的文件。
可以用来触发漏洞的文件类型包括JT、CG4、CGM、PDF、RGB、TGA、PAR、ASM、PCX、SGI和DFT。尽管对所有这些漏洞的描述都是相似的,但是已经为漏洞的每个变体分配了一个单独的CVE编号。
西门子已开始发布受影响产品的修复程序,并为尚未得到修复的版本提供了解决方案。
西门子还发布了一些公告,描述了其SCALANCE X工业交换机中发现的漏洞。这些安全漏洞被分类为严重漏洞及高危漏洞,可使交换机遭受DoS和中间人攻击。
施耐德电气1月12日发布了三份新的咨询公告,其中一份描述了最近披露的Treck漏洞对其Sepam ACE850多协议通信接口的影响。第二份公告告知客户Operator Terminal Expert(以前的Vijeo XD)和Pro-face BLUE产品中存在高危代码执行漏洞。另一个公告则描述了EcoStruxure Power Build-Rapsody中的两个高危处理特制SSD文件的代码执行漏洞。
参考来源:SecurityWeek http://dwz.date/dYgA
(二)俄罗斯铁路监控系统存在漏洞
Habr网站的一名用户发现了一个漏洞,可利用该漏洞进入俄罗斯铁路的视频监控系统,目前该系统已被关闭。信息安全专家表示,现在俄罗斯铁路公司需要对内部系统进行审计,以确保获得访问权限的攻击者不能在系统中活动。
1月13日上午,一名Habr用户在其博客中表示,其发现了一个漏洞,允许访问俄罗斯铁路的摄像机和内部服务,目前该系统已被关闭。该用户在博客中讲述了他如何利用俄罗斯铁路系统外围的漏洞进入俄罗斯铁路系统。根据他的说法,这个问题与Mikrotik路由器上默认安装的未更改密码有关。
这名黑客警告说:“这个漏洞可能会让攻击者在一周内封锁铁路上的所有摄像头,这将使持有者损失至少1.3亿卢布(180万美元),恢复视频监控至少需要一个月的时间。”
俄罗斯铁路公司无法及时确认有关漏洞及其消除的信息,并强调非法获取计算机信息是刑事犯罪。
信息安全专家Alexey Lukatsky建议,“俄罗斯铁路公司变更账户后,有必要检查其基础设施中是否有外来人员的踪迹,对所有IT系统进行大规模审计,并审查现有的威胁检测情景。”
根据博客作者的说法,俄罗斯铁路公司使用的Mikrotik路由器属于家庭和办公室设备的一部分,用户经常在这类设备和任何制造商的摄像机上留下默认密码。攻击者经常在自动DDoS攻击中使用它。
俄铁路此前曾出现过安全问题:2019年8月,国有垄断企业70.3万名员工的个人数据被公开,2020年11月,俄罗斯铁路奖金网站的数据库又泄露到网络上。
参考来源:EHackingNews http://dwz.date/dYAb
(三)研究人员披露七个Dnsmasq漏洞
以色列安全咨询公司JSOF 1月19日披露了7个Dnsmasq漏洞,统称为DNSpooq,这些漏洞可以被用来对数百万受影响的设备发动DNS缓存欺骗、远程代码执行和拒绝服务等攻击。
Dnsmasq是一款常用的开源域名系统(DNS)转发软件,可为物联网(IoT)和各种其他嵌入式设备添加DNS缓存和动态主机配置协议(DHCP)服务器功能。
目前还不清楚使用易受DNSpooq攻击的Dnsmasq版本的所有公司的完整编号或名称。不过,JSOF在其报告中重点列出了40家供应商,包括Android/Google、Comcast、Cisco、Redhat、Netkit、Qualcomm、Linksys、Netkit、IBM、D-Link、Dell、华为和Ubiquiti。其中三个DNSpooq漏洞编号为CVE-2020-25686、CVE-2020-25684、CVE-2020-25685,允许DNS缓存欺骗攻击。
DNS缓存欺骗是一种攻击方法,允许威胁行为者将设备上的合法DNS记录替换为他们选择的记录。使用这种攻击,威胁参与者可以将用户重定向到他们控制下的恶意服务器,而对访问者来说,他们似乎正在访问合法网站。这使得攻击者可以进行网络钓鱼攻击,窃取证书,或者从被认为是受信任的公司散布恶意软件。
第一次DNS欺骗攻击是由安全研究员Dan Kaminsky在2008年披露的,当时他发现DNS软件可以被用来窃取数据并冒充任何网站名称。
JSOF的报告解释说称,“可能被破坏的流量包括常规互联网浏览以及其他类型的流量,如电子邮件、SSH、远程桌面、RDP视频和语音通话、软件更新等。”假设的攻击场景还包括JavaScript驱动的分布式拒绝服务(DDoS)、反向DDoS,以及经常切换网络的移动设备中的恶意攻击。
其余的缓冲区溢出漏洞编号为CVE-2020-25687、CVE-2020-25683、CVE-2020-25682和CVE-2020-25681,当Dnsmasq配置为使用DNSSEC时,可让攻击者在易受攻击的网络设备上远程执行任意代码。
利用DNSpooq安全漏洞进行攻击非常容易,不需要任何特殊的技术或工具。根据Shodan的数据,目前有超过100万个Dnsmasq服务器暴露在互联网上,而BinaryEdge的数据显示,超过63万个服务器暴露在互联网上,还有数以百万计的路由器、vpn、智能手机、平板电脑、信息娱乐系统、调制解调器、接入点、无人机和其他无法通过互联网访问的类似设备也容易受到攻击。
为了完全减轻试图利用DNSpooq漏洞的攻击,JSOF建议将Dnsmasq软件更新到最新版本2.83或更高版本。JSOF还为那些不能立即更新Dnsmasq的人分享了一个解决方案列表:
1、如果您的环境中没有必要,请将dnsmasq配置为不监听WAN接口。
2、使用选项--dns-ward-max=减少允许转发的最大查询数。默认值为150,但也可以降低。
3、在获得修补程序之前暂时禁用DNSSEC验证选项。
4、使用为DNS提供传输安全性的协议(例如DoT或DoH)。这将减轻Dnspooq的影响,但可能会带来其他安全和隐私方面的影响。在这样做之前,请考虑您自己的设置、安全目标和风险。
5、减少EDNS消息的最大大小可能会减轻一些漏洞。然而,这还没有经过测试,并且与相关RFC5625的建议相悖。
去年,JSOF还披露了Treck的专有TCP/IP堆栈中19个漏洞的集合,这些漏洞被称为Ripple20,用于所有行业的数亿台嵌入式设备。
参考来源:BleepingComputer http://dwz.date/dYCs
(四)新型恶意软件FreakOut利用关键漏洞攻击Linux设备
Check Point安全研究人员发现,新型恶意软件FreakOut正在针对存在漏洞的Linux设备发起攻击,这些Linux设备运行的软件带有支持网络附加存储(NAS)设备或用于开发web应用程序和门户的严重漏洞。
攻击者利用FreakOut恶意软件攻击常见的存在漏洞的TerraMaster操作系统、Zend Framework(Laminas Project)或Liferay Portal,以帮助部署各种各样的网络攻击。
在正在进行的疯狂运动中,这三个软件解决方案的共同点是,它们都拥有庞大的用户基础,并且最近都修复了一些关键漏洞。但是,它们都存在概念验证漏洞利用代码,而且很容易找到。
Zend Framework是一个专业的PHP包集合,其安装数量超过5.7亿。但是,版本3.0.0有一个严重的bug(CVE-2021-3007),可以利用它实现远程代码执行。Liferay Portal是一个供Java开发人员构建服务、用户界面、定制应用程序或实现现成应用程序的平台。7.2.1之前的开源社区版存在严重漏洞(CVE-2020-7961),允许远程执行任意代码。TerraMaster是支持同名NAS设备的操作系统。4.2.06及以下版本存在远程命令执行bug(CVE-2020-28188,同样严重),允许对设备进行完全控制。
Check Point的安全研究人员发现了该FreakOut攻击,并表示受感染的Linux设备加入了一个僵尸网络,可以帮助部署其他网络攻击。他们表示,控制器可以利用受感染的机器挖掘加密货币,在公司网络中横向传播,或者伪装成受攻击的公司瞄准其他目标。Freakout恶意软件是新出现的软件,可用于端口扫描、收集信息、网络嗅探或发动分布式拒绝服务(DDoS)攻击。
感染链首先利用三个关键漏洞中的一个漏洞,然后在受损机器上上传Python脚本(out.py)。攻击者试图使用Python 2运行该脚本,Python 2于2020年到期。Check Point认为,这表明威胁参与者假定受危害的计算机已过时,并且仍安装了Python2。
Check Point在2021年1月8日发现了该攻击,注意到恶意脚本正在从hxxp://gxbrowser[.]net下载。从那时起,研究人员观察了数百次下载代码的尝试。
深入研究后,研究人员发现了这个异常的Python脚本的早期版本。一个版本在今年的第一天就更新了,其中包括评论,甚至还有开发人员的名字,Freak。
研究人员说,比较这两个Python脚本和注释有助于他们了解它可以做什么,是谁做的,以及基于IRC的通信方法。
在19日的一份技术报告中,Check Point提供了大量FreakOut恶意软件功能,以及有关作者和受感染系统的详细信息。
在分析恶意软件时,研究人员发现了用于向受感染主机发送命令的IRC通道的凭据。他们发现,IRC服务器创建于2020年11月下旬,一直在使用300个用户和5个频道运行。最活跃的频道#UPDATE显示有186台受损设备正在回复服务器。
对恶意软件作者的搜索从在Python脚本中找到的Freak名称和IRC bot名称“N3Cr0m0rPh”开始。这些线索指向了一个名为“Fl0urite”的用户,他在2015年一个黑客论坛上发布了IRC机器人广告。
Check Point研究人员表示,虽然当前版本与2015年以来的旧版本存在差异,但有许多相似的功能。为了寻找更多关于恶意软件作者身份的线索,研究人员在Pastebin上发现了2021年1月12日修改后的DarkComet代码,其中将Fl0urite/Freak列为作者。
FrakOut僵尸网络仍处于早期阶段,其当前任务是在受感染的主机上部署XMRig加密货币矿工。然而,Check Point警告称,僵尸网络在短时间内显著增长,并强调恶意软件的其他功能可能被用于更具破坏性的攻击。
参考来源:BleepingComputer http://dwz.date/dYBe
(五)SolarWinds供应链攻击事件中发现第四种恶意软件Raindrop
网络安全公司赛门铁克发现了在SolarWinds供应链攻击中使用的另一款恶意软件Raindrop,是继Sunspot、Sunburst和Teardrop后的第四款恶意软件。赛门铁克称该恶意软件仅在入侵的最后阶段使用,仅部署在少数选定目标的网络上。到目前为止的案件调查中,赛门铁克仅发现了四个Raindrop样本。
要了解Raindrop在这些攻击中的作用和地位,必须首先回顾整个SolarWinds事件的时间线。
根据Microsoft、FireEye、CrowdStrike等发布的报告和信息,SolarWinds攻击事件据信发生在2019年年中,据信与俄罗斯政府有关的黑客入侵了德克萨斯州软件制造商SolarWinds的内部网络。入侵者首先部署了Sunspot恶意软件,他们专门在SolarWinds自己的网络中使用了该恶意软件。CrowdStrike成,攻击者使用该恶意软件修改了SolarWinds Orion应用程序的构建过程,并将Sunburst(Solorigate)恶意软件插入了新版本的IT库存管理系统Orion中。
这些木马化的Orion版本未被发现,并在2020年3月至2020年6月期间活跃在官方的SolarWinds更新服务器上。应用Orion更新的公司还不经意间在其系统上安装了Sunburst恶意软件。
但是,Sunburst恶意软件并不是特别复杂,除了收集有关受感染网络的信息并将数据发送到远程服务器之外,并没有做太多其他事情。
即使有大约18,000个SolarWinds客户感染了Sunburst恶意软件,俄罗斯黑客组织还是精心选择了攻击目标,仅在少数情况下选择升级攻击,例如美国政府机构、微软、或安全公司FireEye等知名目标。
当黑客决定“升级访问权限”时,他们使用Sunburst下载并安装了Teardrop恶意软件。但是赛门铁克表示,在某些情况下,黑客选择部署Raindrop恶意软件,而不是使用更广泛使用的Teardrop。
赛门铁克表示,尽管这两个后门的功能不同,但功能相似,公司称其为“Cobalt Strike Beacon的装载机”。入侵者后来利用这一功能升级并扩大了他们在被黑客入侵的IT网络中的访问范围。
但是,尽管Raindrop和Teardrop都用于相同的目的,但赛门铁克表示,两者之间也存在一些差异,其中大部分在代码级别,如下表所示:
另一个主要区别是这两种恶意软件的部署方式。赛门铁克表示,使用更广泛的Teardrop是由Sunburst恶意软件直接安装的,而Raindrop神秘地出现在Sunburst也被发现的系统上,没有直接证据表明Sunburst触发了其安装。赛门铁克目前正在调查Raindrop的安装方式。
最明显的途径是在以前有关SolarWinds黑客的报告中发现的,其中提到黑客还使用Sunburst恶意软件运行各种无文件的PowerShell负载,其中许多将在被感染主机上留下最少的取证证据。尽管未经证实,但Raindrop可能是这些操作的结果。
但是这里的教训是,调查网络内部SolarWinds事件的安全团队现在还需要扫描是否存在另一种恶意软件Raindrop。赛门铁克发布的报告中包括了其在调查案件中发现的IOC。
参考来源:ZDNet http://dwz.date/dYmU
(六)Malwarebytes成为第四家遭受SolarWinds黑客入侵的安全公司
美国网络安全公司Malwarebytes19日表示,该公司遭到了入侵SolarWinds的黑客攻击,是继Microsoft、FireEye和CrowdStrike后第四家遭受SolarWinds黑客入侵的安全公司。
Malwarebytes表示,其入侵与SolarWinds供应链事件无关,因为该公司未在其内部网络中使用任何SolarWinds软件。相反,Malwarebytes表示,黑客通过利用Office 365租户中的休眠电子邮件保护产品来破坏其内部系统。
Malwarebytes表示,它是12月15日从Microsoft安全响应中心(MSRC)获悉入侵的,该漏洞检测到了来自休眠Office 365安全应用程序的可疑活动。当时,微软正在对其Office 365和Azure基础结构进行审核,以查找由SolarWinds黑客创建的恶意应用程序的迹象,这些黑客在网络安全圈中也称为UNC2452或Dark Halo。
Malwarebytes表示,一旦得知该漏洞,便开始进行内部调查,以确定黑客可以访问哪些内容。Malwarebytes联合创始人兼现任首席执行官Marcin Kleczynski表示:“经过广泛调查,我们确定攻击者仅能访问公司内部电子邮件的一部分。”
Kleczynski称,由于同一个威胁行为人攻破了SolarWinds,然后将SunBurst恶意软件插入SolarWinds Orion应用程序的一些更新中,从而危害了公司的软件,他们还对SolarWinds的所有产品及其源代码进行了非常彻底的审计,寻找任何类似妥协或过去供应链攻击的迹象。
在被披露后,Malwarebytes成为了UNC2452/Dark Halo威胁参与者攻击的第四个主要安全供应商,美国官员将其与俄罗斯政府的网络间谍活动联系在一起。之前的目标公司包括FireEye、微软和CrowdStrike。
参考来源:ZDNet http://dwz.date/dYJM
(七)FireEye发布审计SolarWinds黑客攻击技术的网络调查工具
网络安全公司FireEye 1月19日发布了一份名为《Microsoft 365防御UNC2452的修复和强化策略》报告,阐述了SolarWinds攻击以及黑客破坏其网络的方式。在该报告中专家解释了UNC2452和其他威胁行为者如何破坏基础架构,并从本地网络横向迁移到Microsoft 365云的方法,还为组织提供了有关如何主动强化其环境的建议。
FireEye还在GitHub上分享了一款名为“Azure AD Investigator”的免费工具,企业可以使用该工具来发现其组织是否已被SolarWinds黑客破坏,安全公司将其跟踪为UNC2452。该FireEye GitHub存储库包含一个PowerShell模块,该模块可用于检测与UNC2452的入侵和其他威胁行为者活动相关的工件。
FireEye指出该工具是只读的,这意味着它不会对Microsoft 365环境进行任何更改。
该公司警告说,该工具无法在100%的时间内识别出危害,并且无法区分工件是否是合法管理员活动或威胁参与者活动的结果。
Mandiant研究人员解释说,UNC2452和其他威胁行为者主要使用四种技术进行横向移动:
1、窃取活跃目录的AD FS签名证书,使用该令牌伪造任意用户(Golden SAML),使得攻击者无需密码或多因素身份认证(MFA),即可染指Microsoft 365等资源。
2、在Azure AD中修改或添加受信任的域,使得攻击者控制的新身份(IdP),进而伪造任意用户的令牌(又称Azure AD后门)。
3、染指高特权用户账户(比如全局或应用程序管理员的Microsoft 365资源),接着同步本地用户账户的登录凭据。
4、通过添加恶意凭证来劫持现有Microsoft 365应用程序,以使用分配给该应用程序的合法权限——比如可绕过MFA多因素身份认证来读取电子邮件、以任意用户身份发送电子邮件、以及访问用户的日程等信息。
网络安全与基础设施安全局(CISA)的云取证团队也发布了一个基于powershell的工具,名为Sparrow,它可以帮助管理员检测Azure/Microsoft 365环境中的异常和潜在恶意活动。
CrowdStrike的专家也决定创建自己的工具,因为他们在使用Azure的管理工具枚举分配给第三方经销商和Azure租户中的合作伙伴的权限时遇到了困难。
CrowdStrike发布了CrowdStrike Reporting Tool for Azure(CRT),这是一个免费的社区工具,将帮助组织快速轻松地审查其Azure广告环境中的过度权限,帮助确定配置弱点,并提供降低风险的建议。管理员可以使用CrowdStrike Reporting Tool for Azure(CRT)工具来分析其Microsoft Azure环境,并检查分配给第三方经销商和合作伙伴的权限。
参考来源:SecurityAffairs http://dwz.date/dYMc
(八)美国FBI发布有关窃取帐户凭据的警报
美国联邦调查局(FBI)发布了一份警报,警告正在进行的恶意攻击,这些攻击试图窃取公司账户和凭证,以便从美国和国际员工那里获得网络接入和特权提升。
Vishing(也称为语音网络钓鱼)是一种社会工程攻击,攻击者在语音呼叫期间冒充受信任的实体,以说服他们的目标泄露敏感信息,如银行或登录凭据。
据1月14日发布的私有行业通知称,威胁参与者正在使用互联网协议(VoIP)平台(又称IP电话服务)来攻击全球公司的员工,而忽略了他们的公司级别。该通知显示,“在COVID-19临时庇护所和社会隔离令期间,许多公司不得不迅速适应不断变化的环境和技术。由于这些限制,可能无法完全监视网络访问和特权升级。”
在攻击过程中,攻击者诱骗目标员工登录他们控制的网络钓鱼网页,获取他们的用户名和密码。在许多情况下,一旦他们获得了对公司网络的访问权限,威胁参与者就获得了比预期更大的网络访问权限,从而允许他们使用受攻击员工的帐户提升权限。这使得他们能够进一步进入渗透的网络,通常能够产生重大的经济损失。
联邦调查局称,“在某些情况下,网络罪犯通过公司的聊天室找到了一名雇员,并说服该人登录由网络罪犯操纵的虚假VPN页面。威胁者使用这些凭据登录到公司的VPN,并进行侦查以找到特权更高的人。网络罪犯正在寻找可以执行用户名和电子邮件更改并通过基于云的薪资服务找到员工的员工。网络罪犯使用聊天室消息传递服务来联系并诱骗该员工的登录凭据。”
这是自疫情爆发以来联邦调查局发布的第二次针对员工的虚拟钓鱼攻击预警,因为越来越多的员工已经成为远程工作者。
2020年8月,美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)联合发布了一份联合警告,警告远程工作者正在进行一场针对美国多个行业公司的虚拟钓鱼活动。网络罪犯利用vished凭证,挖掘受害者公司的数据库,获取客户的个人信息,以便在其他攻击中发挥作用。
在8月的攻击中,威胁参与者还使用恶意制作的网站克隆目标公司的内部VPN登录页面,这也使他们能够获得双重身份验证(2FA)或一次性密码(OTP)。在诱骗受害者同意OTP或2FA提示后,骗子获得了他们的手机控制权,并在SIM交换攻击中绕过了2FA和OTP认证。
为了帮助企业和员工减少这类钓鱼攻击,联邦调查局分享了一系列建议:
1、对访问员工帐户实施多因素身份验证(MFA),以最大限度地降低初始泄密的可能性。
2、当雇佣新员工时,应以最小的权限等级授予网络访问权限。对所有员工的网络访问进行定期审查,可以显著降低网络中易受攻击和/或薄弱点受损的风险。
3、积极扫描和监视未授权访问或修改,有助于检测可能的危害,以防止或最大限度地减少数据丢失。
4、应实施网络分段,以将一个大型网络拆分为多个较小的网络,从而允许管理员控制网络流量。
5、应该向管理员颁发两个帐户:一个帐户具有管理员权限,可以进行系统更改,另一个帐户用于发送电子邮件、部署更新和生成报告。
参考来源:BleepingComputer http://dwz.date/dXvE
(九)Reolink P2P摄像机存在安全漏洞,致IoT设备存在风险
Nozomi Networks 实验室发现,常用的安全摄像机Reolink的P2P功能中存在两个漏洞。对此CISA进行了披露,并发布了咨询公告。
Reolink的摄像机和NVR(网络视频录像机)通常由房主和小型企业使用,但是它们以两种方式与关键基础设施和工业运营商相关。第一,它们可能在设施中使用,包括在OT网络上。第二,许多摄像机供应商都使用P2P,如果CCTV解决方案具有此功能,那么了解潜在风险非常重要。
披露的第一个漏洞编号为CVE-2020-25173,是使用硬编码加密秘钥漏洞,CVSS得分为7.7。具有本地网络访问权限的攻击者可以获得固定的加密密钥,这可能会进一步损害本地网络访问范围之外的Reolink P2P摄像机。
第二个漏洞编号为CVE-2020-25169,是敏感信息明文传输漏洞,CVSS得分为9.1。受影响的Reolink P2P产品不能充分保护在本地设备和Reolink服务器之间传输的数据,这可以使攻击者访问敏感信息。
受影响的产品版本包括RLC-4XX系列、RLC-5XX系列及RLN-X10系列。
研究人员建议用户在其Reolink设备上禁用P2P功能,并升级Reolink设备的固件以减轻风险。
参考来源:Nozomi Networks http://dwz.date/dYrt
(十)黑客ALTDOS声称窃取了孟加拉国企业BEXIMCO数百GB数据
黑客组织ALTDOS声称,他们在去年12月入侵了BEXIMCO,但BEXIMCO没有回应他们的要求。ALTDOS声称总共从34个Beximco网站窃取了数百GB的文件、源代码和数据库,其中包括其电信子公司BOL-Online.com。
BEXIMCO是孟加拉国跨国企业,在全球拥有大约70,000名员工。该公司的业务和投资涉及纺织、制药、个人防护用品、陶瓷、房地产开发、建筑、贸易、海洋食品、信息和通信技术、媒体、家庭直达(DTH)服务、金融服务和能源等多个行业。
就像其他黑客一样,ALTDOS提供了一小部分数据样本和屏幕封盖作为证据。尽管其中一份文件包含2018年9月24日至2019年5月17日期间的一些员工出勤信息,但数据样本中没有任何内容是超级敏感的。该文件有56088行,每行都有员工ID号、部门、姓名和电子邮件地址。超过23450个电子邮件地址来自bol-online.com域。其中超过1.9万个电子邮件地址来自beximco.net域。大约有4800人来自gvtel.com。其余的来自各种非公司域名,如gmail.com、yahoo.com和hotmail.com。
ALTDOS提供了截屏视频,显示了各个目录中的文件夹名称,以及下载的数据量(在本例中,42个压缩网站文件夹的压缩大小为13.6 GB,其中一个文件夹可能是个测试文件夹)。
另一个名为“Payment_Info”的文件似乎包含超过65,000行的付款记录,但其中没有任何在银行帐号、信用帐号或交易方名称等方面有问题的内容。
值得注意的是,DataBreaches.net没有看到任何证据表明ALTDOS从该集团的任何部门获得了任何公司知识产权、商业机密或机密通信。当被问及其他证据或文件类型时,ALTDOS的一位发言人表示,他们目前正在仔细检查他们渗入的所有SQL数据库,以评估他们获得的信息,未来将提供更多证据和细节。
目前,BEXIMCO公司并未对此事进行回应。
参考来源:DataBreaches http://dwz.date/dYMD
(十一)巴西发生重大数据泄露事件
PSafe网络安全实验室dfndr 1月19日报告称,巴西数据库中发生了巨大泄漏,该泄漏可能暴露了数百万人的CPF号码和其他机密信息。
据使用人工智能技术识别恶意链接和虚假新闻的专家称,泄漏的数据包含有关1.04亿辆汽车和约4000万家公司的详细信息,这可能会使2.2亿人易受攻击。
泄露数据库中几乎包含所有巴西人的姓名、出生日期和公积金。dfndr实验室主任Emilio Simoni在一份新闻稿中称,最大的风险是该数据将用于网络钓鱼诈骗,诱使他人在假页面上提供更多个人信息。
超过1.04亿辆汽车的信息揭示了重要的细节,例如底盘编号、车牌、城市、颜色、品牌、型号、制造年份、发动机容量甚至所用燃料的类型。对于法人实体来说,泄露了CNPJ、公司名称、商号和成立日期等。
Simoni还澄清说,由于它们是市场上的宝贵信息,因此可以认为它们是在某个暗网论坛中进行非法交易的。他说,尽管部分基础可用于测试,但网络犯罪分子出售“最深入的数据,例如电子邮件、电话、购买力数据和受影响人员的职业”。
在声明中,PSafe既没有告知涉及的公司名称,也不告知信息是如何泄漏的,无论是由于安全漏洞,黑客入侵还是易于访问。新的《数据保护安全法》规定,对此类违规行为的罚款可能高达5000万雷亚尔。
参考来源:Somag News http://dwz.date/dY9p
(十二)法国汽车租赁公司Ucar遭受网络攻击
法国汽车租赁公司Ucar披露,其在今年年初遭受了网络攻击,由于进行了数据备份,经营活动没有受到影响。
Ucar 1月20日透露,该公司在今年早些时候成为了勒索软件的攻击目标。黑客在其服务器中找到一个网关,并进入该服务器。
Ucar秘书长尼古拉斯·马丁表示,“对攻击的全面分析、程度和相关问题仍在进行中。该公司聘请了风险管理咨询公司的IT和网络专家以及取证公司的专业人员,帮助其了解被黑客入侵的数据的性质和数量。由于进行了数据备份,经营活动可以重新开始。代理机构为顾客提供的服务没有中断。网络服务和商业软件均保持运行状态。”马丁表示明确表示将向市场通报调查的进展情况。
参考来源:LesEchos investir http://dwz.date/dYqc
(十三)法国CHwapi医院遭受勒索软件攻击,上百台手术被迫取消
法国Wallonie picarde de Tournai中心医院CHwapi 1月17日晚遭受了勒索软件攻击,所有非紧急行动都被取消。据管理层称,目前没有收到赎金要求。
当地时间1月17日周日晚上8点46分,CHWAPI遭到网络攻击。在300台计算机服务器中,不少于80台受到影响,招生处的个人数据不可使用,工作人员被迫使用旧的纸质数据。没有发生计算机盗窃事件,也没有提出赎金要求。
面对这种情况,1月18日周一取消了约100台手术。根据医生的说法,在会诊方面,大多数都保持了下来。被取消会诊的患者会收到短信或电话通知。
联邦警察计算机犯罪部门的一个小组正在协助医院的计算机专家。医院希望预约的人能在稍后再打电话,因为许多服务都受到此故障的影响。
参考来源:Lavenir http://dwz.date/dYGz
(十四)Capital Economics 50多万高级管理人员信息在暗网泄露
在例行暗网检测中,Cyble研究人员在一个俄语论坛上发现了50多万Capital Economics高级管理人员的信息泄露。
Capital Econics.com是世界领先的独立经济研究公司之一,提供宏观经济、金融市场和行业预测和咨询服务。
在对数据进行分析后,Cyble发现有超过50万行的记录,包含各种重要的用户个人资料。泄露的记录包括电子邮件id、哈希口令、地址等。
Cyble的专家们向其客户通报了这次泄露事件,并指出,企业电子邮件ID的可用性可能会让威胁参与者实施更广泛的恶意活动。
Cyble建议人们:
1、切勿通过电话、电子邮件或短信分享个人信息,包括财务信息。
2、尽可能使用强密码并实施多因素身份验证。
3、定期监控金融交易,如果发现任何可疑活动,请立即与银行联系。
4、在可能和实用的情况下,在计算机、移动设备和其他连接设备上启用自动软件更新功能。
5、在连接的设备(包括PC、笔记本电脑和手机)上使用知名的防病毒和互联网安全软件包。
6、担心自己在暗网中暴露的人可以在 amiBreached.com 上注册,以确定自己是否暴露在暗网中。
7、在未验证其真实性的情况下,不要打开不受信任的链接和电子邮件附件。
KELA的研究人员也表示,这不是Capital Economics数据库第一次被泄露。KELA首席研究官Irina Nesterovsky称,“它最初是在一月初在一个讲英语的论坛上泄漏的,该论坛公开了将近50万人的信息。我们看到它出现的第二个例子是,一个黑客试图在另一个论坛上出售它,声称他有一个数据库,该数据库包含财务公司的SQL,具有50万条记录。当天晚些时候,同一位黑客免费泄露数据库,声称该数据库包含超过50万名C级高管的数据。KELA确认在所有实例中都共享相同的数据库。“500K C level”的标题提高了数据库的重要性,相关用户数据库的总大小约为50万行,而绝大多数都是C级员工。”
参考来源:SecurityAffairs http://dwz.date/dXvJ
(十五)趋势科技称人工智能将在2030年取代网络安全人员
趋势科技近日发布2021年网络安全预测报告《Turning the Tide》,该报告预测远程和基于云的系统将在2021年成为无情的攻击目标,同时41%的的IT领导者认为,到2030年人工智能将取代他们的角色。
这项研究是通过对500名IT主管和经理、首席信息官和首席技术官的访谈而得出的,他们的职业前景并不乐观。
只有9%的受访者相信人工智能绝对不会在未来十年内取代他们的工作。事实上,近三分之一(32%)的人表示,他们认为这项技术最终将实现所有网络安全的完全自动化,几乎不需要人工干预。近五分之一(19%)的人认为,到2025年,攻击者使用人工智能来增强他们的武器库将变得司空见惯。大约四分之一(24%)的受访IT领导者还声称,到2030年,数据访问将与生物特征或DNA数据挂钩,从而使未经授权的访问变得不可能。
在短期内,受访者还预测,到2025年将实现以下结果:随着远程办公成为常态,大多数组织将大大减少对房地产的投资(22%);全国范围的5G将完全改变网络和安全基础架构(21%)。安全性将通过AI进行自我管理和自动化(15%);使用AI增强武器库的攻击者很普遍(19%)。
趋势科技技术总监Bharat Mistry表示,“我们需要对未来持现实态度。虽然人工智能是帮助我们防御威胁的有用工具,但其价值只能与人类专业知识相结合才能发挥出来。”
网络犯罪分子将继续走上赚钱的道路,在他们的攻击中寻求最大的经济回报。各组织和安全团队必须保持灵活和警惕,以防犯罪。
那么企业如何缓解当前的威胁呢?趋势科技建议公司加倍投入最佳实践安全和补丁管理计划,并通过全天候的安全专业知识来增强威胁检测功能,以保护云工作负载、电子邮件、端点、网络和服务器。
它还建议用户进行教育和培训,以将公司的安全最佳实践扩展到家庭,包括建议不要使用个人设备,同时对公司网络和家庭办公室保持严格的访问控制,包括零信任。
尽管科技界的老板认为,自动化将在十年之内淘汰许多岗位,但他们不应该花时间担心工作岗位会在一段时间内过时。IT将适应新的方式或工作方式,并且公司将发展为使用自动化来缓解技能短缺带来的挑战。
参考来源:ZDNet http://dwz.date/dYjT
(如未标注,均为天地和兴工业网络安全研究院编译)
漏洞,攻击,工控安全,天地和兴
相关资讯