安全研究
全部分类

关键信息基础设施安全动态周报【2021年第4期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-01-29 16:53
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第4期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第4期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第4期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-01-29 16:53
  • 访问量:
详情

目   录
 

 

第一章 国内关键信息基础设施安全动态

(一)印度宣布将永久禁止59款中国APP

(二)TikTok修复了应用程序中泄露用户隐私的漏洞

第二章 国外关键信息基础设施安全动态

(一)富士电气SCADA/HMI产品中存在多个高危漏洞

(二)霍尼韦尔子公司Matrikon OPC产品中存在严重漏洞

(三)数百家工业组织在SolarWinds事件中遭受Sunburst恶意软件攻击

(四)奥地利起重机制造商Palfinger遭受网络攻击

(五)美国包装企业WestRock遭受勒索软件攻击影响了IT和OT系统

(六)又有四家网络安全公司成为SolarWinds供应链攻击目标

(七)俄罗斯警告美国可能因SolarWinds事件发起报复性攻击

(八)亚洲零售连锁运营商Dairy Farm遭受REvil勒索软件攻击

(九)朝鲜黑客利用社交网络攻击网络安全研究人员

(十)英特尔披露因内部错误导致数据泄露

(十一)勒索软件Avaddon利用DDoS攻击受害者

(十二)澳大利亚证券监管机构服务器存在安全漏洞

(十三)执法部门查封Netwalker勒索软件暗网

(十四)全球执法部门联合破获Emotet僵尸网络的基础设施

(十五)巴西燃料分销商Ultrapar遭受网络攻击

 

第一章 国内关键信息基础设施安全动态

(一)印度宣布将永久禁止59款中国APP

综合《印度时报》和路透社等外媒26日消息,印度电子和信息技术部发布最新通知,将永久禁止59款中国手机应用程序,包括TikTok(抖音海外版)、百度、Wechat(微信国际版)和UC浏览器等。

 

 

印度Livemint网援引一位消息人士的话说,这一通知是上周发布的。根据《印度时报》的说法,此次永久禁令是印度电子和信息技术部的官员“不满”这些中国公司回应印度政府提出的各种质疑后出台的,这些所谓的质疑包括它们的数据收集和数据处理方法,以及围绕数据安全和隐私的问题。

 

 

《印度时报》在报道中也提到此事称,自去年6月起,印度政府已对267款应用程序(不同批次)采取了“前所未有的”行动。印度电子信息技术部去年6月29日宣布,禁止包括TikTok、微信、微博在内的59款中国应用。7月28日,印度电子信息技术部称印度政府已决定开展第二轮禁用中国网络程序的决定,该禁令涉及47个中国公司开发的程序。同年9月2日,印度电子和信息技术部又发布公告,宣布禁用百度搜索等118款中国手机应用程序。之后的11月24日,印度电子和信息技术部再次发布公告,宣布禁用全球速卖通、钉钉等43款中国背景手机应用程序。
 

本文版权归原作者所有,参考来源:环球网 http://dwz.date/ecfr
 

 

(二)TikTok修复了应用程序中泄露用户隐私的漏洞

Check Point研究团队发现了TikTok移动应用程序的查找好友功能中的一个漏洞,如果利用该漏洞,攻击者将能够访问用户的个人资料详细信息以及与其帐户相关的电话号码。这将使攻击者能够建立一个用户及其相关电话号码的数据库,然后用于恶意活动。
Check Point Research将此问题通知了TikTok的开发人员和安全团队。TikTok负责任地部署了一个解决方案,以确保其用户可以安全地继续使用该应用程序。

Check Point Research在1月26日发布的博客文章中称,尽管这个漏洞只影响那些将电话号码与其帐户链接或使用电话号码登录的用户,但成功利用该漏洞可能导致数据泄露和隐私侵犯。TikTok已部署了修复程序,以解决Check Point研究人员负责任地披露信息之后出现的漏洞。

新发现的错误位于TikTok的“查找朋友”功能中,该功能使用户可以将他们的联系人与服务同步,以识别潜在的关注对象。联系人通过HTTP请求以列表的形式上载到TikTok,该列表由哈希的联系人姓名和相应的电话号码组成。

下一步,该应用程序将发送第二个HTTP请求,该请求将检索与上一个请求中发送的电话号码相关的TikTok配置文件。该响应包括个人资料名称、电话号码、照片和其他与个人资料相关的信息。

 

 

虽然每天每位用户和每台设备的上传和同步联系人请求限制为每天500个联系人,但Check Point研究人员发现了一种方法,可以通过掌握设备标识符,服务器设置的会话cookie,唯一的标识符来解决此限制。使用SMS登录到帐户并在运行Android 6.0.1的模拟器中模拟整个过程时设置的称为“X-Tt-Token”的令牌。

值得注意的是,为了从TikTok应用程序服务器请求数据,HTTP请求必须包含X-Gorgon和X-Khronos标头以进行服务器验证,以确保消息不被篡改。但是通过修改HTTP请求(攻击者想要同步的联系人数量)并使用更新的消息签名重新签名,该缺陷使得可以自动进行大规模上载和同步联系人的过程,并创建数据库关联帐户及其连接的电话号码。

这并不是第一次发现流行的视频共享应用程序包含安全漏洞。2020年1月,Check Point研究人员在TikTok应用程序中发现了多个漏洞,这些漏洞可能被利用来持有用户帐户并操纵其内容,包括删除视频、上传未经授权的视频、公开私人“隐藏”视频以及泄露保存在帐户上的个人信息。

然后在4月,安全研究人员Talal Haj Bakry和Tommy Mysk暴露了TikTok中的漏洞,这些漏洞使攻击者可以通过将应用程序重定向到托管假冒视频集合的假服务器来显示伪造视频,包括来自经过验证的帐户的视频。

最终,TikTok于去年10月与HackerOne建立了漏洞赏金合作伙伴关系,以帮助用户或安全专家指出该平台的技术问题。根据该计划,严重漏洞(CVSS评分9-10)有资格获得$6,900到$14,800的奖金。

Check Point产品漏洞研究负责人Oded Vanunu表示,“我们这次的主要动机是探索TikTok的隐私。我们很好奇是否可以将TikTok平台用于获取私人用户数据。事实证明答案是肯定的,因为我们能够绕过TikTok的多种保护机制,从而导致隐私权受到侵犯。拥有这种程度敏感信息的攻击者可以执行一系列恶意活动,例如鱼叉式网络钓鱼或其他犯罪行为。”
 

参考来源:TheHackerNews http://dwz.date/ecrH

 

第二章 国外关键信息基础设施安全动态

(一)富士电气SCADA/HMI产品中存在多个高危漏洞

美国网络安全与基础设施安全局(CISA)1月26日发布公告,通知工业组织,日本富士电气生产的一些SCADA/HMI产品存在五个潜在的严重漏洞。

受影响的产品是Tellus Lite V-Simulator和V-Server Lite。TELUS和V-Server SCADA/HMI产品旨在帮助用户监控和操作其工厂,包括远程位置。CISA表示,这些产品在世界各地使用,特别是在关键的制造业领域。

多名研究人员通过趋势科技的零日计划(ZDI)和CISA向富士电机报告了这些漏洞,这些漏洞被描述为缓冲区溢出、越界读/写和未初始化的指针问题,可被用来执行任意代码。攻击者可以通过诱骗目标用户打开恶意的项目文件来利用这些漏洞。

根据CISA的说法,这些漏洞会影响Tellus Lite V-Simulator和V-Server Lite 4.0.10.0之前的版本,这些版本应该会修补这些漏洞。这次更新显然是在2020年10月发布的。

值得注意的是,ZDI在供应商未能在120天的最后期限内发布补丁后,于2020年9月发布了针对其中一些漏洞的建议。这些公告是在当时以零日状态发布的。ZDI可能很快也会公布描述剩余漏洞的建议。

ZDI的公开通报显示,这些漏洞是由于“缺乏对用户提供的数据的正确验证”引起的,这导致内存损坏,并最终导致远程执行代码。
 

参考来源:SecurityWeek http://dwz.date/ecGY
 

 

(二)霍尼韦尔子公司Matrikon OPC产品中存在严重漏洞

霍尼韦尔子公司Matrikon生产的OPC UA产品存在四个潜在的严重漏洞。

开放平台通信(OPC)是一种用于操作技术(OT)系统的通信协议,广泛用于保证各种工业控制系统之间的互操作性。2010年,霍尼韦尔以约1.4亿美元收购了Matrikon,该公司专门从事与供应商无关的OPC UA(统一体系结构)和基于OPC的工业控制自动化数据互操作性产品。

作为对OPC UA安全分析的一部分,工业网络安全公司Claroty的研究人员发现Matrikon的OPC-UA Tunneller产品设计用于将OPC-UA客户端和服务器与OPC-Classic架构集成,受四个严重性和高严重性漏洞的影响,这些漏洞可用于远程代码执行、DoS攻击和获取潜在有价值的信息。它们中的大多数都可以被利用来使服务器崩溃,而在某些情况下,有些则可能导致远程代码执行。

美国网络安全和基础设施安全局(CISA)21日发布了一份ICS咨询报告,向工业组织通报这些漏洞。霍尼韦尔发布了一项更新,应该会修补这些漏洞。

霍尼韦尔在一封电子邮件声明中表示,“我们已采取适当的措施来补救这种情况,并发布了该软件的更新。我们强烈建议我们的客户立即升级到6.3.0.8233版本。”

Claroty在Matrikon OPC UA Tunneller中发现的最严重的漏洞(基于其CVSS得分9.8)是一个堆缓冲区溢出漏洞,它允许攻击者远程执行任意代码或造成DoS条件。另一个被评为严重级别的漏洞可被利用来获取可用于在目标组织的网络上执行其他活动的信息。

Claroty在25日发表的一篇博客文章中称,“通过利用这些漏洞,攻击者可以控制目标缓冲区外部被覆盖的内存空间,并可以将函数指针重定向到他们的恶意代码。换言之,利用这些漏洞的攻击者还可以实现远程代码执行并接管OPC服务器。”

该公司表示,利用这些漏洞需要网络访问目标OPC服务器或OPC隧道程序(取决于OT网络架构),但不需要身份验证。这些漏洞可以通过网络远程利用。然而,这些系统通常不直接面向互联网,因为它们是在封闭的OT网络中使用的。在某些情况下,资产所有者决定将这些与OPC相关的产品开放到网络上,但这种情况并不常见。

作为对OPC安全研究的一部分,Claroty还发现了工业自动化解决方案提供商Kepware和Softing Industrial Automation生产的产品中的漏洞。CISA于2020年12月披露了Kepware漏洞,而Softing产品问题是在2020年7月披露的。

Claroty在Kepware漏洞被披露后表示,未经验证的远程攻击者可以利用Kepware漏洞访问OPC服务器进行任意代码执行、数据泄漏和DoS攻击。

该公司还指出,其研究人员发现的漏洞可能也会影响其他供应商的产品,因为使用了第三方库,如由Softing开发的库,以及Kepware制造的白标产品。

OPC是OT网络的通信枢纽,集中支持无法交换信息的专有设备之间的通信。Claroty在博客中称,“OPC是OT网络的通信中心,集中支持专有设备之间的通信,否则这些专有设备将无法交换信息。它深深地嵌入了许多产品配置和以OPC为中心的开发和使用数据中。OPC的广泛应用的另一个原因是,许多供应商已经将使用OPC进行通信的部分网络连接到云上。这就将工业物联网设备引入了方程式,既可以接收又可以交换设备和过程信息的设备。”
 

参考来源:SecurityWeek http://dwz.date/ebkq

 

(三)数百家工业组织在SolarWinds事件中遭受Sunburst恶意软件攻击

卡巴斯基ICS CERT部门1月25日发表博客文章称,在ISolarWinds供应链攻击事件中,有数百家工业组织遭受了Sunburst恶意软件攻击。

SolarWinds对此次攻击的分析显示,多达1.8万名客户可能收到了Orion监控产品的木马更新。这些更新包含了Sunburst后门,使攻击者能够访问受害者的系统,允许他们部署其他有效载荷到其感兴趣的组织。

通过对Sunburst恶意软件使用的命令和控制(C&C)机制,特别是DNS响应的分析,研究人员可以确定哪些组织可能收到了Sunburst,哪些组织可能被SolarWinds黑客进一步攻破。

卡巴斯基的工业网络安全研究人员分析了近2000个受Sunburst影响的域名,估计其中大约32%与工业组织有关。其中大多数是制造业组织,其次是公用事业、建筑、运输和物流、石油和天然气、采矿和能源。卡巴斯基表示,他们分布在美洲、欧洲、亚洲和非洲的各个国家,包括美国、加拿大、伊朗、荷兰、俄罗斯、沙特阿拉伯和乌干达。

 

 

卡巴斯基已经确定,大约有200名客户收到了恶意的SolarWinds更新,其中包括20多个工业领域的客户。

卡巴斯基高级安全研究员Maria Garnaeva表示,“SolarWinds软件已高度集成到全球不同行业的许多系统中,因此,Sunburst攻击的规模无与伦比,最初受到攻击的许多组织可能对攻击者并不感兴趣。尽管我们没有这些受害者遭受第二阶段攻击的证据,但我们不应该排除将来发生这种攻击的可能性。因此,对于可能成为攻击受害者的组织来说,至关重要的是要排除感染并确保他们具有正确的事件响应程序。”
 

参考来源:SecurityWeek http://dwz.date/ecHx

 

(四)奥地利起重机制造商Palfinger遭受网络攻击

奥地利起重机及其他机械生产商Palinger 1月25日表示,其遭受了持续的全球网络攻击,破坏了该公司处理订单和设备发货的能力。

该公司IT基础架构已中断,包括发送和接收电子邮件及ERP系统。该集团在全球的大部分地区都受到影响。目前尚无法估计攻击的确切范围和持续时及其后果。

Palinger在其网站上发表的声明中表示,整个公司的电子邮件服务在一次事件中中断,这起事件“对其IT基础设施造成了巨大影响”。可能的嫌疑犯、使用的恶意软件以及恢复过程的可能长度在公布时都还不清楚。

Palfinger在保持IT支持其物流运作方面存在重大风险。该公司网站显示,该公司在亚洲、欧洲、北美和南美拥有33个制造和组装基地,2019年营收超过20亿美元。

工业网络安全公司Nozomi Networks的联合创始人安德里亚·卡卡诺(Andrea Carcano)称,“在制造业,时间就是金钱,因此Palfinger的IT服务中断以及订单处理和发货延迟,都会导致收入损失。”

近年来,一系列勒索软件攻击了制造商,暴露了该行业在保护日益数字化的工厂方面的困难。作为回应,美国制造商正采取更多措施,通过美国国家技术与标准研究所实施的一项联邦计划,确保供应链的安全。

虽然没有证据表明支持Palfinger制造过程的工业计算机网络遭到破坏,但这个问题是业界更广泛的关注点。两年前,安全供应商Trend Micro的研究人员展示了遥控器使用的射频协议中的漏洞如何让黑客移动建筑工地和工厂的起重机和其他大型机械。
 

参考来源:CyberScoop http://dwz.date/ecC4

 

(五)美国包装企业WestRock遭受勒索软件攻击影响了IT和OT系统

美国包装业巨头WestRock 25日披露,该公司最近遭受了勒索软件攻击,影响了IT和OT系统。

该公司几乎没有透露关于这起事件的细节,该事件是在1月23日发现的,当时该公司迅速启动了响应和遏制协议。WestRock在一份新闻稿中说,已经通知了执法部门,客户正在了解这一事件的最新情况。

WestRock表示:“系统恢复工作正在进行中,并正在尽快实施,团队正在努力维护公司的业务运营,并尽量减少对客户和队友的影响。尽管WestRock一直在积极处理该事件,并将继续这样做,但它已经造成并可能持续造成公司部分业务的延误,并可能导致收入和增量成本的推迟或损失,从而可能对WestRock的财务业绩产生不利影响。”

在勒索事件被披露后,WestRock(NYSE:WRK)的股价25日上午下跌了4%以上。

尽管对OT系统的影响程度尚不清楚,但工业网络安全公司和专家早就对勒索软件造成的威胁发出警告。IBM和工业网络安全公司Dragos去年发布的一份报告警告称,至少有七个勒索软件以工业软件为目标。并且警告说,为制造厂和公用事业提供动力的工业控制系统(ICS)是专门从事勒索软件攻击的威胁组的主要目标。美国网络安全与基础设施安全局(CISA)去年报告说,美国一处天然气压缩设施遭受了勒索软件攻击,导致整个管道资产的运营关闭了两天。
 

参考来源:SecurityWeek http://dwz.date/ecAD

 

(六)又有四家网络安全公司成为SolarWinds供应链攻击目标

正如大多数专家上个月预测的那样,随着时间的推移,企业有时间审核内部网络和DNS日志,SolarWinds供应链攻击的影响越来越大。

本周,Mimecast、Palo Alto Networks、Qualys和Fidelis四家网络安全供应商证实,其公司安装了SolarWinds应用程序Orion木马版本。

本周最重要的公告来自电子邮件安全产品供应商Mimecast。两周前,该公司披露了一个重大安全漏洞,黑客入侵了其网络,并使用其安全产品之一使用的数字证书来访问其某些客户的Microsoft 365帐户。在1月26日的博客更新中,Mimecast表示此事件与网络上安装的木马版本的SolarWinds Orion应用程序有关。Mimecast现已证实,SolarWinds黑客滥用其证书来追随Mimecast客户。

另一个主动透露与SolarWinds相关事件的安全供应商是网络安全软件和网络设备的供应商Palo Alto Networks。Palo Alto Networks在接受《福布斯》调查记者托马斯·布鲁斯特采访时表示,他们在2020年9月和2020年10月发现了两个与SolarWinds软件有关的安全事件。“我们的安全运营中心立即隔离了服务器,进行了调查,并验证了我们的基础架构是安全的。”

但是该公司表示,他们将这些违规行为作为单独的事件进行了调查,并未发现更广泛的供应链攻击。在几个月后黑客入侵了其他安全供应商FireEye时,才发现了这起攻击。Palo Alto Networks表示,对与9月和10月与SolarWinds相关的入侵事件的调查没有多大收获,并得出结论,未成功进行攻击,并且没有破坏任何数据。

但是《福布斯》的报道还引用了网络安全公司Netresec的创始人埃里克·赫耶姆维克的发现,他25日发表了一份报告,详细介绍了SolarWinds黑客用来将第二阶段有效负载部署到他们认为具有高价值的受感染网络中的23个新域。这23个新域中有两个是“corp.qualys.com”,这表明网络安全审核巨头Qualys可能已成为攻击者的目标。

但是,Qualys在向《福布斯》发表的声明中说,入侵规模没有看上去的那么大,并声称其工程师在实验室环境中为测试目的在其主要网络之外安装了特洛伊木马版的SolarWinds Orion应用程序。

Qualys表示,随后的调查没有发现进一步恶意活动或数据泄露的任何证据。但是,一些安全研究人员并不相信该公司的声明,认为“corp.qualys.com”域名表明黑客确实可以访问其主要网络而不是该公司声称的实验室环境。

第四个也是最新的重大信息披露是26日由网络安全公司Fidelis首席信息安全官克里斯•库比克通过博客文章形式披露的。

这位Fidelis高管表示,作为“软件评估”的一部分,他们也在2020年5月安装了SolarWinds Orion应用程序的特洛伊木马版本。“软件安装的源头是一台配置为测试系统的机器,该机器与我们的核心网络隔离,而且很少通电。”

Fidelis表示,尽管攻击者已努力提高他们在Fidelis内部网络中的访问权限,但该公司认为测试系统“已被充分隔离,并且启动的频率太低,攻击者无法将其带入攻击的下一阶段。”

本周的披露的信息致使SolarWinds黑客攻击的网络安全厂商总数达到了8个。此前披露的攻击来自FireEye(最初发现整个SolarWinds供应链攻击的首次入侵)、Microsoft(入侵者访问了公司的某些源代码)、CrowdStrike(入侵失败)和 Malwarebytes(攻击者访问了公司的某些电子邮件账户)。
 

参考来源:ZDNet http://dwz.date/ecma

 

(七)俄罗斯警告美国可能因SolarWinds事件发起报复性攻击

近日俄罗斯政府向俄罗斯境内组织发出安全警告,称美国可能因SolarWinds供应链攻击事件对俄罗斯网络进行报复性攻击。

2020年12月,SolarWinds网络管理公司披露,他们遭受了一次复杂的网络攻击事件,影响其18,000个客户遭受供应链攻击。美国政府认为,此次攻击是由一个俄罗斯政府资助的黑客组织发动的,该组织的目标是从知名的美国企业和政府机构窃取电子邮件和文件等云数据。

在回答有关网络攻击的问题时,白宫新闻秘书詹·普萨基表示,美国可能会对发起攻击的人进行报复。NBC新闻报道称,“对于任何网络攻击,我们保留在我们选择的时间和方式作出回应的权利。但我们的团队今天才刚刚起步,他们刚刚开始使用电脑。”

尽管俄罗斯继续否认其参与了此次攻击,但俄罗斯的NKTsKI向俄罗斯组织发出警告,要求其改善网络安全。NKTsKI 2021年1月21日发布的安全警告称,“面对不断的指控,美国及其盟国的代表参与组织了对俄罗斯联邦的计算机攻击,并且面对他们对俄罗斯联邦关键信息基础设施的“报复”攻击的威胁,我们建议采取以下措施来提高信息资源的安全性。”

俄罗斯国家计算机事件协调中心(NKTsKI)是联邦安全局(FSB)的一部分,

旨在检测、预防和应对针对俄罗斯基础设施和企业的网络攻击。在一份名为“针对目标计算机攻击的威胁”的警告中,NKTsKI警告俄罗斯组织和机构执行以下步骤以提高网络安全性。

1、更新组织的现有计划、说明和准则以应对计算机事件;

2、使用社会工程技术向员工通知可能的网络钓鱼攻击;

3、对网络信息安全和防病毒工具进行审核,确保它们在所有重要的网络节点上均正确设置并正常运行;

4、避免使用第三方DNS服务器;

5、使用多因素身份验证来远程访问组织的网络;

6、确定用于访问公司网络的受信任软件列表,并限制未包含在其中的资金的使用;

7、确保在重要元素信息基础结构上正确记录网络和系统事件,组织其收集和集中存储;

8、对于信息基础架构的重要元素,请确保具有正确的备份数据频率;

9、确保用于区分网络上设备访问权限的现有策略正确;

10、通过防火墙限制对内部网络服务的访问,如果您需要共享它们,请通过非军事区进行组织;

11、要使用外部资源(包括互联网),请通过组织的内部服务使用终端访问;

12根据密码策略更新所有用户的密码;

13、为传入和传出的电子邮件提供防病毒保护;

14、更加警惕地监视系统安全性;

15、确保您具有软件必需的安全更新;

过去,美国避免对其他对美国进行网络攻击的国家进行公开报复。如果美国发动报复性攻击,则可能不会公开披露。

至今,美国和受影响的组织仍在调查和应对SolarWinds供应链攻击。就在本周,Malwarebytes透露,SolarWinds漏洞背后的同一组织也获得了访问其内部Office 365电子邮件帐户的权限。
 

参考来源:BleepingComputer http://dwz.date/ecfK

 

(八)亚洲零售连锁运营商Dairy Farm遭受REvil勒索软件攻击

大型亚洲零售连锁运营商Dairy Farm Group本月遭受了REvil勒索软件攻击,攻击者声称要求支付3000万美元的赎金。

这家乳业集团在亚洲拥有1万多家门店、23万名员工。2019年,该乳业集团的年销售额超过270亿美元。该集团在亚洲市场经营众多食品杂货、便利店、健康美容、家居和餐厅品牌,包括Wellcome、Giant、Cold Storage、Hero、7-Eleven、Rose Pharmacy、GNC、Mannings、Ikea、Maxims等。

本周,一名威胁攻击者声称,勒索软件组织REvil在2021年1月14日左右破坏了Dairy Farm Group的网络并加密了设备。赎金金额为3000万美元,带该数额尚未得到验证。为了证明攻击者有权访问Dairy Farm网络,威胁参与者分享了Active Directory用户和计算机的屏幕截图。

 

 

攻击者声称,在攻击发生7天后,他们仍然可以访问该网络,包括完全控制Dairy Farm的公司电子邮件。他们表示,这些电子邮件将被用于网络钓鱼攻击。攻击者表示,“Dairy Farm不能关闭他们的网络,因为如果关闭网络业务将停止。REvil的合作伙伴仍然在攻击这家公司,超过3万台主机。”

Dairy Farm公司证实,他们本月遭受了一次网络攻击,但该公司只有不到2%的设备受到了影响。Dairy Farm通过电子邮件表示,“在Dairy Farm,保护我们的系统是当务之急。上周四,我们发现了影响不到2%的业务服务器事件。这些服务器已脱机并隔离。作为额外的预防措施,我们启动了全面的保护措施。并在外部安全专家的支持下进行了彻底的调查,采取了更多的安全措施,并进一步加强了我们的监视系统。我们所有的商店都是开放的,在所有市场上交易和服务我们的客户,只有在国家或地方政府出台COVID-19限制措施时才会关闭。”

黑客声称仍能访问该网站,并仍在从网络上下载数据。Dairy Farm表示,他们没有发现在攻击过程中有任何数据被盗。屏幕截图显示,在攻击发生后,威胁参与者仍然可以访问电子邮件和计算机。例如,下图是攻击者泄露的Dairy Farm内部的一封电子邮件。

 

 

由于Revil以在攻击期间窃取数据,然后威胁称如果不支付赎金就释放数据而闻名,因此发现被盗数据在晚些时候泄露也就不足为奇了。自圣诞节假期以来,大型企业的攻击再次增加,正如Dairy Farm攻击和正在进行的针对起重机制造商Palfinger的全球网络攻击一样。
 

参考来源:BleepingComputer http://dwz.date/ebJN

 

(九)朝鲜黑客利用社交网络攻击网络安全研究人员

谷歌26日表示,一个朝鲜政府黑客组织攻击了从事漏洞研究的网络安全社区成员。

谷歌威胁分析小组(TAG)发现了这些攻击,TAG是一个专门追踪高级持续性威胁(APT)组织的谷歌安全团队。

谷歌在早些时候发布的一份报告中表示,朝鲜黑客利用Twitter、LinkedIn、Telegram、Discord和Keybase等各种社交网络上的多个个人资料,使用虚假的人物角色联系安全研究人员。谷歌表示,在某些情况下也使用了电子邮件。

Google Tag安全研究员Adam Weidemann表示,“在建立初步沟通后,参与者会询问目标研究人员是否愿意一起合作进行漏洞研究,然后向研究人员提供一个Visual Studio项目。”

Visual Studio项目包含在目标研究人员的操作系统上安装恶意软件的恶意代码。该恶意软件充当后门,联系远程指挥和控制服务器并等待命令。这个恶意软件与Lazarus Group相关联,这是一个著名的朝鲜国家支持的行动。

但Wiedemann表示,攻击者并不总是向他们的目标分发恶意文件。在其他一些情况下,他们要求安全研究人员访问他们在blog上托管的博客。谷歌表示,该博客存在恶意代码,在访问该网站后感染了安全研究人员的电脑。研究人员的系统上被安装了恶意服务,内存后门将开始向参与者拥有的命令和控制服务器发送信号。

但Google Tag也补充表示,许多访问该网站的受害者也在运行“完全修补和最新的Windows10和Chrome浏览器版本”,但仍然受到感染。

有关这些基于浏览器的攻击的细节仍不清楚,但一些安全研究人员认为,这个朝鲜组织很可能利用Chrome和Windows 10零日漏洞的组合来部署恶意代码。

Google Tag的报告中列出了这名朝鲜演员用来引诱和欺骗信息安全社区成员的虚假社交媒体资料的链接列表。谷歌建议安全研究人员查看他们的浏览历史,看看他们是否与这些配置文件中的任何一个进行了交互,或者是否访问了恶意用户博客.br0vvnn.io域。

 

 

如果已被感染,则需要采取一些措施来调查自己的系统。以安全研究人员为攻击目标的原因非常明显,因为这可能会让朝鲜组织窃取受感染研究人员发现的漏洞,这些漏洞可以被该威胁组织用于自己的攻击,而开发成本几乎为零。与此同时,一些安全研究人员已经在社交媒体上透露,他们收到了来自攻击者账户的信息,尽管没有人承认系统受到了攻击。
 

参考来源:ZDNet http://dwz.date/ecEN
 

 

(十)英特尔披露因内部错误导致数据泄露

电脑芯片制造商英特尔披露,其遭受了数据泄露事件,原因是发生了内部错误,公司网络并没有受到影响,这也促使了英特尔提前发布了季度收益报告。

英特尔首席财务官George Davis对英国《金融时报》表示,英特尔认为有威胁分子从其网站窃取了财务敏感信息,因此,该公司预计将发布季度收益报告,以避免攻击者利用这些数据进行股市操作。该公司证实,攻击者没有破坏公司网络。

该报纸援引Davis的话说,“一张信息图表从我们的公关编辑部网站上被黑掉了。”该报援引一位不愿透露姓名的公司发言人的话称,英特尔已被告知该图像在公司外部传播。

现在,该公司排除了黑客行为,并确认事件是由内部错误引起的,以下是该公司发表的声明:“我们的盈利信息图的URL在我们的盈利公布之前被无意中公开了,并被第三方访问。一旦我们意识到这一情况,我们立即发布了我们的收益公告。英特尔的网络

有受到损害,我们已经调整了我们的流程,以防止未来发生这种情况。”
 

参考来源:SecurityAffairs http://dwz.date/ea5A

 

(十一)勒索软件Avaddon利用DDoS攻击受害者

近日勒索软件组织Avaddon正在使用DDoS攻击来迫使受害者与他们联系并支付勒索赎金。

2020年10月,勒索软件组织SunCrypt和RagnarLocker开始使用这种新型策略,利用针对受害者网络或网站的DDoS攻击作为强迫他们支付勒索赎金的额外工具。分布式拒绝服务(DDoS)攻击是指威胁参与者向网站或网络连接发送超出其处理能力的请求,从而使服务无法访问。

当公司遭受勒索软件攻击时,许多受害者会从备份中恢复,从而不与攻击者联系。勒索软件组织Avaddon现在使用DDoS攻击来摧毁受害者的站点或网络,直到受害者与他们联系并开始进行谈判。

Avaddon在勒索软件数据泄漏站点上称,“此外,他们的站点目前正在遭受DDoS攻击,我们将对其进行持续攻击,直到他们与我们联系为止。”

 

 

Avaddon当前正在进行DDoS攻击的受害者的网站现在已无法访问。

 

 

Emsisoft威胁分析师Brett Callow称,“威胁攻击者将勒索软件和DDoS攻击结合在一起并不奇怪,DDoS价格便宜且简单,在某些情况下可能有助于说服一些公司快速支付赎金且是最不痛苦的选择。犯罪分子对公司施加的压力越大,就有更好的机会获得付款。”

当Maze引入双重勒索策略时,其他勒索软件团伙迅速采用了该方法。现在判断威胁者是否会同样采用DDoS攻击还为时过早。
 

参考来源:BleepingComputer http://dwz.date/ea5z

 

(十二)澳大利亚证券监管机构服务器存在安全漏洞

澳大利亚证券和投资委员会透露,该组织服务器存在安全漏洞,其中一台服务器被一个未知的威胁参与者访问。

澳大利亚证券投资委员会(ASIC)是澳大利亚政府的一个独立委员会,负责保险、证券和金融服务的监管,同时也是澳大利亚国家企业监管机构,负责消费者保护。该委员会还为若干类型的组织维持一个可搜索的商业信息数据库。存储的数据包括当前和历史信息,包括但不限于地址和办公地点。

据ASIC透露,2021年1月15日发生的这起事件与委员会用来传输信息的Accellion软件有关。ASIC表示,“事件涉及未经授权访问一台服务器,该服务器包含与最近的澳大利亚信贷牌照申请相关的文件。虽然调查仍在进行中,但似乎存在一些风险,即一些有限的信息可能已经被威胁行为者查看。目前ASIC还没有任何证据表明澳大利亚信贷许可证申请表或任何附件被打开或下载。”

为了应对该安全漏洞,ASIC已禁止访问受影响的服务器,并正在努力提供另一种信用申请提交渠道。澳大利亚证券监管机构正在努力让受影响的系统重新上线,并在外部网络安全专家的帮助下对此次攻击进行调查。该委员会表示,除受影响的服务器外,没有其他系统受到影响。

新西兰储备银行也在本月早些时候披露,他们遭受了一次数据泄露,攻击者破坏了包含敏感数据的文件共享服务,该服务由Accellion的FTA(文件传输应用程序)驱动。这是一个部署在本地的遗留服务,允许用户与外部收件人安全地共享大型和敏感文件。Accellion在圣诞节前夕修补了用于破解新西兰储备银行文件共享服务的漏洞。

据称,Accellion于12月24日发布了补丁,新西兰储备银行于12月25日遭受了攻击。尽管Accellion仍然支持传统的FTA服务,但至少从2019年12月开始,Accellion也一直在敦促客户迁移到新的Kiteworks平台。
 

参考来源:BleepingComputer http://dwz.date/ecDk

 

(十三)执法部门查封Netwalker勒索软件暗网

美国和保加利亚执法部门已查获与Netwalker勒索软件行动有关的暗网网站。

Netwalker是一项勒索软件即服务(RaaS)业务,于2019年底开始运营,其附属机构被招募来分发勒索软件并感染受害者,以换取60%至75%的赎金。

事实证明,这种勒索软件操作对威胁参与者来说非常有利可图,8月份的一份报告估计,他们在短短5个月内就赚了2500万美元。

1月27日,Netwalker勒索软件、支付和数据泄露网站被执法部门查获,在此显示了一份来自联邦调查局和保加利亚执法部门的查获通知。

 

 

扣押通知上称,这次行动是由美国司法部、联邦调查局、保加利亚国家调查局和保加利亚打击有组织犯罪总局共同执行的。作为针对NetWalker勒索软件的协调执法行动的一部分,这个隐藏的网站已被联邦调查局(FBI)查封。

目前,美国联邦调查局还没有公布任何有关这次行动的信息,因此不清楚执法部门是否能够在这次行动中找回解密密钥,也不清楚是否有人被捕。

由于Netwalker是目前最活跃的勒索软件家族之一,访问解密密钥可以让许多受害者免费恢复他们的文件。恢复解密密钥对执法部门来说也将是一个巨大的胜利,因为勒索软件的操作对破坏具有显著的抵抗力。

Netwalker针对的知名受害者包括Equinix、Enel集团、阿根廷移民机构、加州大学旧金山分校(UCSF)和K-Electric。
 

参考来源:BleepingComputer http://dwz.date/ecJ4

 

(十四)全球执法部门联合破获Emotet僵尸网络的基础设施

欧洲和北美执法机构开展国际合作,成功地破坏了Emotet僵尸网络的基础设施。

 

 

Emotet是过去十年最流行的僵尸网络之一,最早出现于2014年,是一种银行特洛伊木马,但后来演变成了一种恶意软件下载程序,许多网络犯罪分子利用它来传播恶意有效负载。

正如欧洲刑警组织所描述的,Emotet已经成为“全球范围内计算机系统的主要门户”,因为它的运营商向从事数据盗窃或勒索等活动的网络犯罪集团出售受感染计算机的访问权。Emotet的运营商使用自动化技术,通过恶意电子邮件附件传播木马,利用各种诱饵诱骗受害者打开木马。其中一些邮件伪装成发票和发货通知,而另一些邮件则以COVID-19为主题。

邮件中附加或链接到的恶意文档会要求用户启用宏,从而允许恶意代码在后台运行并安装Emotet。Emotet随后充当了一个加载器,因为它的运营商允许其他网络犯罪分子租用僵尸网络来部署自己的恶意软件,包括银行木马、勒索软件和其他恶意应用程序。据悉,TrickBot特洛伊木马和Ryuk勒索软件是通过Emotet分发的。

Emotet的基础设施包括全球数百台服务器,允许运营商管理受感染的计算机,传播到新的机器,为其他犯罪集团提供服务,并提高网络的弹性。

为了摧毁僵尸网络,执法和司法当局“从内部”控制了基础设施,受感染的机器现在被重新定向到这个由执法部门控制的基础设施。

荷兰、法国、德国、美国、加拿大、英国、立陶宛和乌克兰当局在欧洲刑警组织和欧洲司法组织的协调下,在这次行动中进行了合作。
 

参考来源:SecurityWeek http://dwz.date/ecJg

 

(十五)巴西燃料分销商Ultrapar遭受网络攻击

巴西燃料分销商Ultrapar 1月25日通过证券文件披露,该公司此前遭受了网络攻击,并采取了安全和控制措施,其公司及子公司的操作系统已逐步恢复,可完全正常运营。

巴西燃料分销商Ultrapar Participações S.A. 1月25日通过证券文件披露,该公司此前遭受了网络攻击,并于1月12日发布了攻击警告通知,但没有透露细节。该公司采取了所有安全和控制措施,并于1月14日逐步恢复了公司及其子公司的操作系统。

该披露文件称,目前该公司及其子公司的关键信息系统100%已全面运行,业务再次全面展开。该公司遭受的是勒索软件攻击。
 

 

(如未标注,均为天地和兴工业网络安全研究院编译)

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号