目   录

第一章 国外关键信息基础设施安全动态

（一）西门子修复SIMATIC HMI高危漏洞

（二）工业企业成为勒索软件重点关注目标

（三）IoT设备交互数据将促进下一代业务发展

（四）法国网络安全公司StormShield遭受黑客攻击泄露防火墙源代码

（五）SolarWinds修复了产品中的三个漏洞

（六）SonicWall零日漏洞被威胁者使用

（七）政府外包商Serco遭受勒索软件Babuk攻击已泄露超1TB数据

（八）英国研究与创新局UKRI遭受勒索攻击，泄露1.3万用户数据

（九）美国无线运营商Uscellular泄露用户个人数据

（十）勒索软件FonixCrypter退出江湖并发布解密密钥

（十一）NSA警告的恶意软件Drovorub尚未找到样本

（十二）黑客组织Rocke使用新型恶意软件Pro Ocean

（十三）APT组织Lebanese Cedar入侵250台服务器

（十四）缅甸因军事政变而导致互联网中断

（十五）软件开发商Wind River泄露了员工个人数据

（十六）英国房地产代理商Foxtons客户数据在暗网泄露

 

第一章 国外关键信息基础设施安全动态

（一）西门子修复SIMATIC HMI高危漏洞

近日西门子为SIMATIC HMI发布了修补程序，以修补其存在的一个高危漏洞，该漏洞可被远程攻击以完全控制设备。SIMATIC HMI面板设计用于操作员控制和监控机器和设备工厂。

趋势科技和Moxa之间的以IIoT安全为重点的合资企业TXOne Networks的研究员Ta-Len Yen发现，这些产品受到与Telnet服务相关的身份验证问题的影响。西门子表示，受影响的启用了Telnet的设备不需要任何身份验证，从而使远程攻击者可以完全访问设备。

西门子表示，该漏洞（CVE-2020-15798）影响SIMATIC HMI Comfort Panel，包括为极端条件设计的SIPLUS产品以及SIMATIC HMI KTP Mobile Panel。修补程序包含在v16更新3a和更高版本中。所有以前的版本都会受到影响。

除了安装可用的修补程序之外，组织还可以禁用Telnet来防止利用此漏洞的潜在攻击。西门子指出，受影响的设备默认不启用Telnet。

TXOne的Yen表示，他还没有发现很多可以从互联网上定位的设备，，但是他指出，可能有一些配置可以使它们在互联网上可访问。

据研究人员称，攻击者可以利用此漏洞将HMI用作目标网络的立足点，设备运行Windows CE，没有端点保护可用。

他还认为，攻击者可以使用受感染的HMI设备访问其他系统，例如传感器和PLC，或者通过发送“怪异值”来禁用它们。攻击者还可能在HMI中显示不正确的信息，以避免在他们进行可能对工业组织造成损害的其他恶意活动时引起怀疑。

Yen表示，该漏洞还可以利用来欺骗设备，并暂时阻止操作员与工厂流程进行交互。研究人员指出，也有可能滥用HMI进行加密货币挖矿，但这种情况不太可能，因为在经济上不可行。

美国网络安全和基础设施安全局（CISA）也发布了一份警告，以警告工业组织此漏洞带来的风险。趋势科技的零日倡议（ZDI）与CISA一起帮助协调了披露工作，还将在未来一段时间内发布有关此漏洞的公告。
 

参考来源：SecurityWeek http://dwz.date/eg7b

 

（二）工业企业成为勒索软件重点关注目标

勒索软件攻击对任何组织来说都是一种潜在的危险，勒索软件变种包括Conti、Egregor、Maze和许多其他变种仍然成功地影响了所有行业的受害者，但也有一些行业是犯罪组织更关注的目标。

勒索软件攻击之所以成功，是因为许多组织无法承受其网络在持续一段时间内停止服务的代价，因此许多企业仍在采取他们认为最快、最简单的途径，通过向犯罪分子提供勒索要求来恢复网络。

网络安全公司Digital Shadows最近的一份报告调查了2020年哪些行业最容易成为勒索软件的目标。在过去的12个月里，几乎所有行业都发现自己与勒索软件团伙打交道，但工业产品和服务是最受攻击的目标，占勒索软件攻击的29%，即几乎三分之一。这一数字超过了针对建筑、科技和零售业这三个最具针对性行业的攻击总数。

制造商和基础设施很容易成为勒索软件攻击的诱人目标，因为这些部门的组织需要24小时不间断地运作，无论是运营工厂生产线还是运营公用设施工厂。如果他们不能提供这些服务，将会对供应链的下游产生广泛的影响。

Digital Shadows的网络威胁情报分析师杰米•哈特（Jamie Hart）表示，“由于无法操作的时期会对客户产生重大影响，因此工业组织将承受更大的支付赎金的压力。这可能会导致人们认为，即与其他行业的组织相比，这一领域的组织更有可能支付赎金需求。”

此外，这些系统往往也在不断使用，这可能会造成另一个问题，因为运营商可能不愿意让他们离线，以应用稳定的例行软件补丁流，以保护免受勒索软件帮派访问的安全漏洞。这是因为在许多工业环境中，过时的、不受支持的技术仍然很常见。

哈特表示，“这一垂直领域的组织严重依赖过时的系统，因此需要作出重大努力来维持漏洞管理。此外，这些系统对这些组织的日常运营至关重要，将它们离线进行修补是一项重要的任务。”

因此，这种对旧系统的依赖和对持续正常运行时间的需求，使得工业工厂成为勒索软件攻击的诱因。对于网络犯罪分子来说，这一切都与金钱有关，他们之所以把目标对准工厂，是因为他们知道有钱可以赚，可能是针对一个愿意付出代价的软目标。

专门从事工业网络安全的Dragos公司首席执行官兼联合创始人Rob Lee表示，“勒索企业是一回事，勒索一个每天有1500万条生产线的工业工厂是另一回事，对勒索软件运营商来说，这将是极其诱人的。”

大多数勒索软件会针对商业网络上的个人电脑和服务器（这通常足以关闭运营），但有些勒索软件也会进一步针对工业系统。有一些专业的勒索软件运营商正在寻求采取更进一步的攻击来赚钱，比如专门针对工业控制系统（ICS）的勒索软件变种EKANS。

工厂里的勒索软件加密ICS系统的前景令人担忧，但这些团伙也有可能以关键基础设施为目标，试图勒索能源、水和其他公用事业。这些产品不是组织和个人几天内都可以不用的，如果一个网络犯罪分子有能力关闭一个城市的权力，那么影响将是无处不在。

有一些可能是国家资助的黑客入侵关键基础设施供应商并篡改系统的例子，比如Stuxnet，一种恶意软件攻击，通过将离心机旋转到最大程度，对伊朗核计划造成了实质性损害。还有一个工业化生产商（也称为Crashoveride），于2016年12月在乌克兰大片地区造成电网停电。

不可避免地，在国家支持的网络攻击者的领导下，网络犯罪分子将紧随其后，美国国家安全局（NSA）泄露的黑客工具EternalBlue的使用证明了这一点，该工具不仅有助于推动破坏性攻击，如朝鲜的WannaCry战役和俄罗斯的NotPetya攻击，而且被网络犯罪分子用来分发勒索软件、恶意软件、加密货币矿工和其他恶意有效载荷。

现在，网络犯罪分子越来越多地转向以工业控制系统为目标，因为他们了解以前的攻击是如何工作的，并试图模仿勒索软件活动中的技术和程序。

DomainTools的高级安全研究员Joe Slowik表示，“我们发现越来越多的勒索软件参与者对进入这些领域更感兴趣，他们设计的技术非常粗糙，但是却涉及到诸如终止进程以扩展加密活动之类的技术。”

Ekans勒索软件于2020年初首次被记录在案，其设计目标是工业环境中的Windows机器，包括与许多工业控制系统特定功能相关的命令和进程，目的是作为勒索软件攻击的一部分阻止它们。

这是一个纯粹为了经济利益而设计的网络犯罪行动，尤其是公用事业提供商不能等待数周才能恢复网络，因此可能被迫支付赎金，希望应用解密密钥解决眼前的问题。

但是加密工业控制系统不同于加密企业业务网络，这些系统可以控制在世界上有实际存在的机器，这些机器的中断可能会导致不可预见的后果。关闭工厂和关闭个人电脑不太一样。

Slowik表示，“试图将工业运营勒索为勒索的蓄意意图，以及如果以错误的方式终止这些东西的无意影响，不仅会导致经典的勒索软件问题，而且可能导致严重的后果。”

当前，针对工业控制系统的勒索软件仍然很少发生，即使更广泛的工业环境仍然经常发现自己处于勒索软件攻击的接收端。但是在这两种情况下，这些组织都可以做一些事情，将成为勒索软件攻击受害者的可能性降到最低。

未修补的安全漏洞可能允许勒索软件和其他恶意软件进入网络并在网络中传播，因此强烈建议在发布关键安全更新后立即应用这些更新，因为它们可以防止已知漏洞。虽然短暂中断部分网络以确保应用了补丁程序可能会很痛苦，但这比成为网络攻击的受害者要轻松。

除此之外，如果由于某种原因而无法接收安全更新的任何内容，都应该从网络的其余部分中进行分割（即使它甚至需要完全面向互联网），以帮助防止网络罪犯使用更脆弱的网络。系统作为通往网络其余部分的网关。

至关重要的是，工业组织现在应该加强其网络安全，而不是在已经来不及防范潜在的破坏性攻击的时候。
 

参考来源：ZDNet http://dwz.date/egfM
 

（三）IoT设备交互数据将促进下一代业务发展

英国物联网解决方案提供商Eseye发布《2021年物联网十大趋势观察报告》预测，从用户与“事物”的交互中挖掘出来的数据，将创造出比在线数字服务数据所能收集到的更丰富、更大、更详细的丰富数据。

亚马逊、Facebook和Netflix已经从我们的在线行动中获取了大量的消费者使用和行为数据。这些数据被存储、分析并用于重塑我们的购物方式，促进我们的社交互动，并将我们的娱乐作为定制的个性化、数据驱动的服务提供。这对创造新的个性化服务和新的商业模式产生了连锁反应。现在，据预测，物联网数据将在未来几年推动更多层次的创新。

位于英国Guildford的物联网专家Eseye认为，2021年及以后，组织能够利用这些数据做的事情将发生巨大变化，物联网数据即将开启重大创新。该公司的《2021年物联网十大趋势观察报告》预测，数据洞察将从数字交互转向物理交互，由于用户与“物”的交互而不是数字服务，大量数据将从新来源中被挖掘。

随着更多物联网设备的部署，它们产生的数据将使通过传统在线渠道收集的数据相形见绌。这些数据将创造出丰富的数据，比以往任何时候的在线数据都更大、更详细。根据这份报告，这种转变将使新的商业模式出现，新的产品和服务被创造出来，数据采集者对人类行为的理解将达到新的水平。

Eseye的首席执行官Nick Earle表示，“发明互联网的人绝对不会预料到Uber和Netflix这样的服务的出现。同样，我们也只能猜测，一旦物联网企业家能够访问数十亿设备的数据，这些设备捕捉了我们生活和商业的方方面面的丰富智能，他们将会想出什么东西。我们预计，这将是一波比第一波物联网采用更大的创新浪潮。”

物联网有很多机会。它可以通过打印物联网电路、电池等技术进步，提供对食品供应链的实时可见性，并在商品上的柔性标签上提供蜂窝连接。与消费品和工业产品的集成可以为品牌提供与客户的直接联系，并使原始设备制造商更接近最终用户。

随着我们慢慢走出新冠疫情影响，各组织将寻找新的创新方式来生存。物联网数据可能会颠覆几乎所有行业的商业模式和流程。

无论这是从城市中心转移到家庭工作，使用分析来分析店内行为，还是移动网络运营商合作提供物联网所需的覆盖，数据收集都将为企业提供大量引领创新的洞察力。当前的经济放缓正迫使企业降低成本，增加客户价值。物联网创新有可能实现这两个方面。

此外，这种创新需求发生在物联网成本和成熟度达到允许主流采用的水平之时，收集到的见解可能会推动创新多年。随着物联网越来越多地融入消费和工业产品，它可以为品牌提供它们甚至可能需要的所有洞察力，以引领超越Uber和Netflix的前进道路。所有品牌需要的是接受这个概念，投资物联网，并开始收集数据。
 

参考来源：ZDNet http://dwz.date/egDC

 

（四）法国网络安全公司StormShield遭受黑客攻击泄露防火墙源代码

法国网络安全公司StormShield透露，他们的系统遭受了黑客攻击，威胁者可以访问该公司的支持票证系统，并窃取了Stormshiel网络安全防火墙软件的源代码。

StormShield是一家法国领先的网络安全公司，致力于开发UTM（统一威胁管理）防火墙设备、端点保护解决方案和安全文件管理解决方案。StormShield的SNi40是唯一获得法国国家信息安全局（ANSSI）一级安全认证（CSPN）的工业防火墙。

在2月3日新发布的安全公告中，StormShield披露，其用作支持票证系统的技术门户遭到破坏，并且可能使威胁参与者能够审查技术交流。

StormShield在公告称，“最近，Stormshield团队发现了一个安全事件，导致未经授权访问技术门户，特别是我们的客户和合作伙伴使用该技术门户来管理他们对我们产品的支持票证。与某些账户有关的个人数据和技术交流可能已经咨询过。我们立即在门户网站上通知帐户所有者，并通知法国当局。为预防起见，所有帐户的密码均已重设，并且我们对门户网站采取了其他措施为了加强其安全性。有关帐户中的所有支持票和技术交流已经过审核，并将结果传达给了客户。针对此事件的进一步调查显示，Stormshield网络安全部分源代码存在泄漏。此信息也已传达给我们的客户”

StormShield发现，威胁者在进一步调查后的攻击过程中访问了其SNS（Stormshield网络安全）源代码的某些源代码。他们的调查并不表明源代码已被修改。

随着Stormshield网络安全（SNS）固件为公司的UTM防火墙提供动力，公司源代码的泄漏可能使威胁参与者更容易找到攻击者可以用来利用设备的漏洞。由于法国政府，国防机构和欧洲SMB市场普遍使用StormShield SNS设备，因此这一泄漏尤其令人担忧。

为了安全起见，StormShield预计会更改用于确保SNS（Stormshield网络安全）固件版本和更新的完整性的代码签名证书。

在获悉攻击事件后，ANSSI发布了安全公告，声明他们“决定对SNS和SNI产品的资格和认可进行观察”。
 

参考来源：BleepingComputer http://dwz.date/egFj
 

（五）SolarWinds修复了产品中的三个漏洞

Trustwave安全研究人员2月3日发表博客文章称，其发现了SolarWinds产品中的三个漏洞。这三个都是严重漏洞，其中最严重的漏洞允许以高特权远程执行代码，这些漏洞可能使攻击者滥用企业IT管理工具来控制Windows系统。在最近的SolarWinds攻击或任何“野外”攻击中，没有漏洞被利用。但是，鉴于这些漏洞的严重性，研究人员建议受影响的用户尽快进行修补。研究人员将于2月9日发布POC代码。

SolarWinds Orion中的两个漏洞和SolarWinds Serv-U FTP中的一个漏洞是在12月发现SolarWinds被黑客入侵并且其软件更新受到破坏以便向18,000个Orion客户分发恶意软件之后披露的。这次黑客攻击是针对其他技术供应商的更广泛运动的一部分，这是近年来最大的网络事件之一。

最严重的漏洞（CVE-2021-25275）可能使攻击者能够利用Orion与Microsoft Message Queue（MSMQ）一起使用的漏洞来访问后端中的安全凭据，并获得对整个Windows服务器的完全控制。这可以用来窃取信息或向Orion添加新的管理员级别用户。

第二个漏洞（CVE-2021-25274）可能允许未经身份验证的远程用户以允许完全控制基础Windows操作系统的方式运行代码。这又可能导致未授权访问敏感系统和服务器。

第三个漏洞（CVE-2021-25276）与SolarWinds Serv-U FTP有关，允许任何可以在本地或通过RDP远程登录的人添加管理员帐户以及访问网络和服务器时带来的所有权限，从而可能使攻击者能够访问敏感信息。

Trustwave威胁情报经理Karl Sigler表示，“所有这些漏洞都有可能完全破坏运行有价值软件的Windows服务器。Orion不像Office套件，它被网络管理员和其他拥有大量特权并可以访问网络上有价值数据的人使用。”

Trustwave向SolarWinds披露了他们的发现，并发布了安全补丁以关闭漏洞并防止被利用。

SolarWinds发言人表示，“所有软件产品中都有不同程度的漏洞，但是我们了解到，目前对SolarWinds的审查越来越严格。Trustwave宣布的有关Orion 2020.2.4的漏洞已通过2021年1月25日发布的修复程序得到解决。关于Serv-U 115.2.2的问题将通过2021年2月3日发布的修复程序得到解决。我们一直致力于与客户和其他组织合作，以负责任的方式识别和补救我们产品组合中的所有漏洞。今天的公告与此过程保持一致。”

目前没有证据表明网络攻击者已经成功使用了这些漏洞。

Sigler表示，“我们永远不会百分之百说这些野外没有被利用，但我认为我们已经击败了坏人，我想我们能够在它们被发现之前就找到它们，并希望在他们学会如何利用他们之前把补丁安装到位。”因此，建议组织制定一项策略，尽快应用必要的安全补丁程序，以防止出现三个最新发现的漏洞。

参考来源：ZDNet http://dwz.date/egmZ

 

（六）SonicWall零日漏洞被威胁者使用

网络安全公司NCC Group 1月31日表示，其检测到针对SonicWall网络设备中的零日漏洞的积极攻击企图。有关该漏洞性质的细节尚未公布，以防止其他威胁行为者研究该漏洞并发动自己的攻击。

NCC Group安全研究人员Rich Warren表示，“本周早些时候，我们已经看到一个威胁行为体使用了它。当时我们只是设了个蜜罐，所以没有得到完整的请求。这导致我们根据请求路径进行了一些反向工程，并发现了我们认为攻击者使用的漏洞。”
NCC的研究人员称，他们在周末通知了SonicWall该漏洞和攻击。

研究人员相信，他们发现了与SonicWall 1月23日披露的安全漏洞相同的零日漏洞，即一名神秘的威胁行为者利用该漏洞进入SonicWall自己的内部网络。

1月23日披露的零日漏洞影响到安全移动访问（SMA）网关，这是一种在政府和企业网络中用于向远程员工提供内部网资源访问的网络设备。SonicWall列出了受1月23日零日影响的SMA 100系列设备。

SonicWall发言人没有回复置评请求，以确认NCC研究人员是否发现了相同的零日或新的零日。不过，该公司还是悄悄地更新了1月23日的安全公告，列出了NCC的调查结果，并承诺在2月2日之前解决问题。它列出了受影响的物理和虚拟SMA 100 10.x设备：SMA 200、SMA 210、SMA 400、SMA 410、SMA 500V。

NCC在Twitter上回应了分享更多攻击细节以便安全专家保护客户的请求，建议设备所有者限制哪些IP地址可以访问SonicWall设备的管理界面，仅允许授权人员的IP。他们还建议为SonicWall设备帐户启用多因素身份验证(MFA)支持。

参考来源：ZDNet http://dwz.date/eev8
 

（七）政府外包商Serco遭受勒索软件Babuk攻击已泄露超1TB数据

运营英国新冠肺炎检测与追踪系统部分业务的跨国外包公司Serco近日遭受了勒索软件Babuk攻击。

英国服务业企业Serco证实，该公司遭受了攻击。该公司拥有5万名员工，在全球范围内管理着数百份合同。然而，该公司没有对此事的影响或是否已支付赎金发表评论。不过，该公司声称，只有其在欧洲大陆的业务受到了影响，这意味着NHS的检测和跟踪没有受到影响。

在发现上传到VirusTotal的Babuk勒索软件样本后，媒体得知了这一事件。其中包括一封给Serco的赎金纸条，攻击者在纸条中声称：“我们已经在你的网络内浏览了大约三个星期，复制了超过1TB的数据。”

据报道，这张纸条暗示，北约和比利时军队等Serco合作伙伴可能有文件在袭击中被曝光。然而，目前还没有任何证据表明任何被盗信息被公布在网上。

关于新变种Babuk的信息相对较少，不过据称，迄今为止，在袭击事件中，赎金费用没有超过8.5万美元。据安全供应商Cyberint称，该组织的泄露网站声称，该组织不以医院、学校或年收入低于400万美元的公司为目标。

Serco在2019年的收入超过10亿英镑，这将使该公司成为勒索软件的诱人目标。

NHS的检测和追踪计划经经常因检测结果缓慢和追踪接触者无效而受到批评。政府决定集中流程，让私营部门来运营，而不是借鉴地方卫生部门的经验，这也激怒了许多专家。然而，卫生部长Matt Hancock上周在推特上说，超过90%的检测结果将在第二天返回，同样数量的接触者也被联系到，并被告知要自我隔离。
 

参考来源：infoSecurity Magazine http://dwz.date/egEc

 

（八）英国研究与创新局UKRI遭受勒索攻击，泄露1.3万用户数据

英国研究与创新局(UKRI)正在处理一起勒索软件攻击事件，攻击者对数据进行了加密，并影响了其两项服务，一项是向订阅用户提供信息，另一项是对该机构不同部门进行同行审查的平台。

UKRI是英国政府的一个公共机构，负责科学和研究的投资。它在全国各地运作，预算超过60亿英镑，由商业、能源和工业战略部资助。该机构是大型勒索软件组织的一个有吸引力的目标，这些勒索软件组织的攻击目标是拥有大量资金来支付数据解密费用的组织。

UKRI发布的一份声明称，其发生了一次网络攻击，导致“数据被第三方加密”。由于该事件调查正在进行中，关于这起袭击的细节或谁是幕后黑手的披露很少。UKRI的通知说，“我们已经向国家犯罪局、国家网络安全中心和信息专员办公室报告了这一事件。”

受这一事件影响的两项服务是总部设在布鲁塞尔的英国研究办公室(UKRO)的门户网站，该门户网站向订户提供信息服务，以及英国研究办公室理事会用于其同行审查活动的外联网。这两项服务都已暂停。

在调查的这一点上，没有证据表明攻击者从UKRI的系统中窃取了任何数据，但该机构指出，黑客已经泄露了授权申请，并审查了来自外联网服务的信息。

此外，UKRO订阅服务有1.3万用户，黑客可能已经窃取了他们的非敏感个人信息。如果调查发现数据被盗，UKRI将联系受影响的个人。

参考来源：BleepingComputer http://dwz.date/egBq

 

（九）美国无线运营商Uscellular泄露用户个人数据

美国无线运营商UScellular近日披露了一起数据泄露事件，泄露了其客户的个人信息，并将其电话号码转移到其他运营商。

UScellular公司是美国第四大无线运营商，截至2020年第二季度在23个州的426个市场拥有超过490万客户。该公司于2021年1月6日发现了安全漏洞，并确定入侵发生在今年早些时候，即2021年1月4日。

威胁者诱骗在零售商店工作的UScellular员工下载和安装恶意软件。恶意软件允许攻击者使用员工的账户访问客户关系管理系统，然后访问公司客户的个人信息，包括电话号码。

UScellular的数据泄露通知显示，“2021年1月6日，我们检测到一次数据安全事件，未经授权的个人可能已经获得了您的无线客户帐户和无线电话号码的访问权限。一些零售店的员工被未经授权的个人成功诈骗，并将软件下载到商店的电脑上。由于员工已经登录到客户零售管理（“CRM”）系统，因此下载的软件允许未经授权的个人远程访问商店计算机，并在员工的凭据下进入CRM系统。”

攻击者进入了客户账户，并将他们的无线号码转移到了另一家运营商。UScellular向执法部门和某些州机构报告了这一事件。

泄露的客户详细信息包括姓名、地址、PIN码、电话号码以及有关无线服务、使用情况和账单(CPNI)的信息。UScellular补充表示，即使社会保险号和支付卡信息出现在CRM中，它们也很可能没有被曝光，因为它们被“屏蔽”了。

这一消息在一份数据泄露通知中得到证实，该通知最初由美国移动运营商在其网站上发布，但目前已不再提供。

针对这一事件，该公司从零售店的电脑中删除了恶意软件，并为受影响的员工重置了密码。UScellular还更改了用户和用户授权联系人的PIN和安全问题/答案。

数据泄露通知书显示，“我们还与那些已转移号码的用户进行了合作，提供了一个新的临时号码，同时检索被欺诈移植的号码或根据客户的选择提供新号码。携带号码后，未经授权的个人无法访问客户移动设备上的信息，例如联系人或应用程序。尽管如此，我们还是建议这些客户在监控和审查其在线账户和财务报表时，注意未经授权的访问和交易，并建议更改在线账户的用户名和密码。”
 

参考来源：SecurityAffairs http://dwz.date/eg8G

 

（十）勒索软件FonixCrypter退出江湖并发布解密密钥

勒索软件FonixCrypter其中一名管理员1月30日宣布，已正式关闭FonixCrypter项目，并于隔天发布解密密钥。

该勒索软件也被称为FonixCrypter和Xonif，自2020年6月开始运行，此后发现了几种变体。勒索软件会将.FONIX，.XINOF，.Fonix或.repter扩展名添加到加密文件中。

该名FonixCrypter管理员在Twitter上使用的帐号为fnx，似乎是为了关闭FonixCrypter并发布解密密钥才建立了Twitter帐号，根据他的说法，当初是由于财务状况不佳才启动了FonixCrypter项目，现在则省悟应该把能力用在可以帮助他人的地方，并向所有被勒索的受害者道歉。

Fnx表示，该团队很快就会发表一个恶意程序分析网站，把能力用在正途。

在社交平台上的另一条消息中，该小组发布了一个链接，该链接指向恢复加密文件所需的主RSA密钥以及一个示例解密器，受害人可以使用这些链接来恢复其文件而无需支付赎金。

他们还宣布，受害者可以向XINOF[@]cock.li发送电子邮件，以免费解密其文件。此外，Fonix运营商还提供了帮助安全研究人员创建勒索软件解密工具的工具。

不过，Fonix团队的成员似乎意见不一，因为有一名拒绝关闭该专案的管理员还在出售FonixCrypter服务。在关闭公告中，运营商还表示，勒索软件的源代码已被删除，已无法再被用来加密与勒索。但警告说，参与该项目的某些人可能试图通过向他人出售假代码来欺骗他人。

另一方面，安全研究人员Allan Liska已验证该解密密钥的有效性，确认它是有效的，只是每个文档必须个别解锁。不过，新西兰网络安全公司Emsisoft已打算利用黑客发布的解密密钥，打造更有效率的解密工具。
 

本文版权归原作者所有，参考来源：iThome http://dwz.date/egBB

 

（十一）NSA警告的恶意软件Drovorub尚未找到样本

此前NSA和FBI发布了有关Drovorub Linux恶意软件的详细信息，称该恶意软件与俄罗斯政府支持的黑客有关。然而至今为止，该恶意软件对私营企业来说还是个谜，还没有网络安全公司找到该恶意软件的单个样本。甚至一位研究人员暗示该恶意软件是美国故意虚构的。

2020年8月，美国国家安全局（NSA）和联邦调查局（FBI）发布了一项联合网络安全公告，其中详细介绍了一种名为Drovorub的恶意软件。据该机构称，Drovorub被设计为针对Linux系统的，这是俄罗斯总参谋部总情报局（GRU）第85主要特别服务中心（GTsSS）军事部门26165进行的网络间谍活动的一部分，该活动与俄罗斯间谍组织的攻击有关，该威胁组织被追踪为APT 28、Fancy Bear、Sednit或Strontium。

由NSA和FBI发布的长达45页的报告将Drovorub描述为“Linux恶意软件工具集”，其中包括带有内核模块rootkit、文件传输和端口转发工具以及命令与控制（C＆C）服务器的植入物。

在咨询报告中称，“当部署在受害机器上时，Drovorub植入物（客户端）将提供与参与者控制的C2基础架构直接通信的功能、文件下载和上传功能、以“root”身份执行任意命令、以及将网络流量转发到网络上其他主机的端口。”

该通报共享有关Drovorub如何工作，如何被检测以及组织如何保护其系统免受涉及恶意软件攻击的信息。

去年11月，法国工业巨头施耐德电气发布了一项警告，警告客户有关Drovorub对其某些产品构成的潜在威胁，但是该公司表示，它还没有发现任何涉及该恶意软件的实际事件，其警报是根据NSA咨询中的信息发布的。

然而事实上，私有部门中似乎没有人见过Drovorub攻击或恶意软件样本。研究人员已与几家主要的网络安全解决方案提供商进行了联系，但似乎没有人获得实际样本，或者至少他们目前不愿意共享任何信息。尽管美国国家安全局（NSA）的咨询意见包含Snort规则、Yara规则和其他技术性信息，可以很容易地找到样本受感染系统上的恶意软件。

联系的公司包括Bitdefender、赛门铁克、ESET、趋势科技、CrowdStrike、Google的Chronicle、卡巴斯基、FireEye、微软和ReversingLabs。

趋势科技前瞻总监罗伯特·麦克阿德尔（Robert McArdle）威胁研究通过电子邮件表示，“这是一个非常高级的样本，由一个非常复杂的威胁行为体以非常有针对性的方式对少数选定的目标使用。因此，从本质上讲，只有其中一个受害者披露了该样本，你才会得到这样的样本，而且如果这些受害者本身高度敏感，他们不太可能披露样本。”

ESET表示尚未在野外发现Drovorub或任何类似的恶意软件。ESET研究人员Anton Cherepanov表示，“与大规模传播的恶意软件不同，它看起来像是针对少数受害者的定向入侵。除此之外，通常Linux服务器没有适当的安全软件。这就是为什么很难在野外找到这种恶意软件的样本的原因。”

研究人员还联系了国家安全局和联邦调查局，以查看这些机构是否与私营部门共享了样本，或者它们是否有计划这样做。NSA没有回应，FBI表示，除了该通报中已发布的内容之外，没有其他任何其他信息可共享。

大卫·乔纳森·布雷克（David Jonathon Blake）在最近出版的400页的书中也提到了Drovorub，该书名为《为Guccifer2.0加载：跟随数字地缘政治的足迹》。布莱克在他的书中甚至暗示，德罗沃布（Drovorub）是美国部署的虚假标志，以使其看起来好像俄罗斯正在准备对关键基础设施发动袭击。

作者说他不是一个安全专家，但声称在过去的几年中（大部分时间都是全职）一直在研究自己认为是由美国建立和实施的虚假国旗行动，谴责俄罗斯的各种网络攻击。该书暗示即使是2016年对民主党全国委员会的袭击实际上也是由美国机构进行的，是技术研究和投机活动的结合，听起来很像阴谋论。

在他们的报告中，美国国家安全局（NSA）和联邦调查局（FBI）很少分享有关如何将Drovorub与俄罗斯情报联系起来的信息。作为与归因相关的示例，它们提供了恶意软件用于C＆C的IP地址185.86.149.125，据称该地址在某个时候被Microsoft先前链接到Strontium的IP访问。

Blake说185.86.149.125与位于拉脱维亚的物理服务器相关联，但IP地址也已连接到一个域，该域显然是由某人在俄罗斯城市中注册的，该城市已知是GRU的存在。但是作者声称，同一域（在2018年的很短时间内）解析为一个IP地址，该地址始终属于一家向美国政府提供服务的大型美国科技公司。
 

参考来源：SecurityWeek http://dwz.date/eghu

 

（十二）黑客组织Rocke使用新型恶意软件Pro Ocean

Palo Alto Networks研究人员发现，网络犯罪组织Rocke正在使用一种名为Pro-Ocean的新型加密恶意软件，来攻击易受攻击的Apache ActiveMQ、Oracle WebLogic和Redis安装程序。该恶意软件是Monero加密货币矿工的变种，该矿工于2019年由Unit 42的研究人员首次发现。

新的恶意软件实现了新的和改进的rootkit和蠕虫功能，它继续通过利用Oracle WebLogic(CVE-2017-10271)和Apache ActiveMQ(CVE-2016-3088)服务器等已知漏洞来攻击云应用程序。

Palo Alto Networks分析表示，“Pro-Ocean利用已知的漏洞瞄准云应用程序。在分析中，我们发现Pro-Ocean针对的是Apache ActiveMQ(CVE-2016-3088)、Oracle WebLogic(CVE-2017-10271)和Redis(不安全实例)。如果该恶意软件在腾讯云或阿里云上运行，它将使用之前恶意软件的确切代码卸载监控代理，以避免被发现。”

在安装之前，Pro-Ocean还试图删除其他恶意软件，如Luoxk、BillGates、XMRig和Hashfish。一旦安装完毕，恶意代码就会试图杀死大量使用CPU的任何进程。安装脚本是用Bash编写的，并进行了模糊处理，它用于执行多个任务，为Pro-Ocean miner的部署做好系统准备。对代码的分析显示，它是专门针对云应用程序设计的，其目标包括阿里云和腾讯云。

下面是脚本执行的任务列表：

1、尝试删除其他恶意软件和矿工(如Luoxk,BillGates,XMRig和Hashfish)；

2、删除所有可能由其他恶意软件设置的cron任务；

3、禁用iptables防火墙，以便恶意软件可以完全访问互联网；

4、在恶意软件运行在腾讯云或阿里云的情况下，它会使用与之前恶意软件完全相同的代码卸载监控代理，以避免被发现；

5、查找SSH密钥并尝试使用它们感染新机器。

为了避免被检测到，加密货币Monero miner使用本机Linux功能LD_PRELOAD。LD_PRELOAD强制二进制文件先加载特定的库，允许预加载的库覆盖来自任何库的任何函数。使用LD_PRELOAD的一种方法是将精心制作的库添加到/etc/ld.so.preload中。

Pro-Ocean部署了XMRig miner 5.11.1来挖掘Monero，与2019版本不同的是，它使用Python感染脚本来实现“可蠕虫”功能。此脚本通过查询在线服务“标识”检索受感染机器的IP公共地址。然后试图感染同一16位子网中的所有机器(例如10.0.X.X)。恶意代码试图对子网中的每台机器执行公开攻击。

成功利用上述漏洞后，Python脚本将提供一个有效负载，用于下载另一个从远程HTTP服务器获取Pro-Ocean的脚本。

Palo Alto Networks的研究人员认为，威胁参与者可能会扩大可利用的漏洞列表，以尽可能针对更多的云应用程序。

Roke Group至少自2018年以来一直活跃于Cisco Talos，他们的加密挖掘业务随着时间的推移不断发展，已经具有新的功能和规避技术。
 

参考来源：SecurityAffairs http://dwz.date/eg8j

 

（十三）黎巴嫩APT组织Cedar入侵250台服务器

安全公司Clearsky 1月28日发表博客文章表示，他们发现至少有250台服务器被黎巴嫩APT组织Cedar攻击，该组织是一个与真主党激进组织有联系的黑客组织，与入侵美国、英国、以色列、埃及、沙特阿拉伯、黎巴嫩、约旦、巴勒斯坦权力机构和阿联酋的电信运营商和互联网服务提供商有关。

长达一年的黑客活动始于2020年初，被以色列网络安全公司Clearsky发现。在ClearSky发布的一份报告中，研究人员发现至少有250台网络服务器遭到Cedar组织的黑客攻击。

该报告称，“这些攻击似乎旨在收集情报并窃取包含敏感数据的公司数据库。对于电信公司，可能包含通话记录和客户私人数据的数据库也被访问过。”

Clearsky研究人员表示，这些攻击遵循一个简单的模式。Cedar运营商使用开源黑客工具扫描互联网，寻找未修补的Atlassian和Oracle服务器，然后部署漏洞攻击，获取对服务器的访问权限，并安装一个web shell供将来访问。随后利用这些Web Shell对公司内部网络进行了攻击，并从中窃取了私人文档。

Clearsky表示，黑客在攻击面向互联网的服务器时，利用了以下漏洞：

1、CVE-2019-3396 in Atlassian Confluence

2、CVE-2019-11581在Atlassian Jira

3、Oracle Fusion中的CVE-2012-3152

一旦获得对这些系统的访问权限，攻击者就会部署web shell，如ASPXSpy、Caterpillar 2、Mamad Warning和一个名为JSP file browser的开源工具（也可以用作web shell）。

在内部网络上，攻击者部署了一种更强大的工具，名为Explosive remote access特洛伊木马（RAT），这是一种专门用于数据外泄的工具，他们过去也使用过这种工具。

Clearsky表示，他们能够将这些袭击与真主党的网络部队联系起来，因为Explosive RAT是Cedar组织迄今为止唯一使用的工具。

此外，研究人员还表示，攻击者在操作中会出错，经常在两次入侵之间重复使用文件。这使得Clearsky能够追踪全球各地的攻击，并将它们与该组织联系起来。

Clearsky表示，“这项行动使我们能够对Cedar的目标进行识别，并根据部门和原产国对其进行分类。我们在全球范围内发现了254台受感染的服务器，其中135台与我们在事件响应调查中在受害者网络中识别出的文件共享相同的哈希值。”

根据这些扫描，以下是该组织一些更知名的受害者的名单，包括埃及的沃达丰(Vodafone)、阿联酋的埃蒂萨拉特(Etisalat)、沙特阿拉伯的SaudiNet和美国的Frontier Communications。
 

参考来源：ZDNet http://dwz.date/eg94

 

（十四）缅甸因军事政变而导致互联网中断

2月1日，缅甸的互联网连接急剧下降，原因可能是军方夺取了政权，政府关闭了网络连接，此举遭到了美国总统乔·拜登和数字自由活动人士的谴责。

缅甸军方拘留了包括总统温敏和国务资政昂山素季在内的高级文官政客，昂山素季所在的政党在11月的选举中赢得了议会多数席位。军方拥有的一家电视台表示，在军方指控选举舞弊后，缅甸国防军总司令敏昂莱将军将接管国家一年。

跟踪数字自由的NetBlocks表示，缅甸的网络连通性一度下降了50%，后来又恢复到正常水平的75%。NetBlocks表示，这种中断模式表明，中央向电信供应商发出了断网令。据报道，在断网的同时，军方下令关闭国家媒体，并关闭电话线。

致力于数字权利的非营利组织Access Now的高级国际顾问兼亚太政策主管Raman Jit Singh Chima表示，“为了阻止民主过渡而关闭互联网和中断电信，是不可接受的。在这样的时刻切断网络连接，常常被用来掩盖虐待和镇压，并为有罪不罚提供便利。缅甸所有当局，包括军方，必须立即采取行动，恢复该国和所有人民不间断的连接，无论他们的政治信仰是什么。”

在独裁领导人领导的国家，在动荡时期，互联网中断并非罕见。例如，白俄罗斯在8月份似乎封锁了主要网站和记者的虚拟专用网络。

拜登谴责缅甸军方夺取政权的行为，并威胁可能会采取惩罚措施。还表示，军方应该取消电信限制。拜登在一份声明中表示，“美国根据缅甸民主进程取消了过去十年对缅甸的制裁。如果这一进展出现逆转，就必须立即对我们的制裁法律和当局进行审查，然后采取适当行动。”

参考来源：CyberScoop http://dwz.date/egBK

 

（十五）软件开发商Wind River泄露了员工个人数据

嵌入式系统软件全球领导者Wind River Systems近日披露了一起数据泄露事件，该事件发生在2020年9月29日左右，攻击者访问了员工的个人信息，导致员工的个人信息被盗。

Wind River声称其技术存在于超过20亿种产品中，它开发了运行时软件、中间件、开发和仿真平台。

在该公司发送给其员工的数据泄露通知书中写道，“我们的外部专家最近确定，包含您个人信息的一个或多个文件在2020年9月29日左右从我们的网络中非法下载，您的个人信息可能已经泄露。”

该公司尚未发现下载的文件中包含的信息被滥用，也还没有在网上找到被盗的文件。攻击者访问的人员记录可能包括出生日期、驾照号码、国民身份证号、社会保险号、护照或签证号、健康详细信息和/或财务帐户信息。

Wind River尚未提供有关攻击者如何破坏公司的信息，也没有提供受影响员工的数量。
 

参考来源：SecurityAffairs http://dwz.date/egjW

 

（十六）英国房地产代理商Foxtons客户数据在暗网泄露

2020年10月，母公司Foxtons Group发生了恶意软件攻击，随后英国房地产代理商Foxtons的客户财务详细信息可在暗网上随意获得。承认该事件影响了专门从事抵押经纪业务的子公司Alexander Hall，Foxtons当时还是向客户保证，没有“敏感数据”被盗。

但是有消息称，任何人只要能进入黑暗网，就可以查看2010年之前Foxtons Group客户的16,000张卡的详细信息、地址和私人信件，例如已付费的详细信息。

Inews报告称，自恶意软件攻击发生两天后，至少从2020年10月12日开始提供个人信息。从那时起，文件已被查看超过15,000次。该公司被指控自上个月以来就知道数据的可用性，并且没有告知其客户，特别是那些受到违规影响的客户。根据其网站，房地产代理商Foxtons拥有“超过300万条客户记录”。

ProPrivacy的数字隐私专家Ray Walsh对IT Pro表示，“去年10月从Foxtons Group窃取的敏感消费者数据在暗网中随意可见并不令人惊讶。毕竟，这是这类黑客攻击的重点。”

Walsh指出，在这次攻击中被盗的信用卡信息中，有大约20％的卡仍处于活动状态，“这意味着需要立即通知这些消费者，以便他们可以取消其卡，并通过其对帐单核对是否存在任何违规行为。如果Foxtons在袭击发生后两天就知道了这次违规的全部情况，并且没有警告消费者，那将是一个令人震惊的失职行为，但我们现在必须等待ICO调查来评估发生了什么以及罚款多少，Foxtons应该面临何种罚款。”

据报道，Foxtons公司去年向信息专员办公室（ICO）通报了这起袭击事件，但Walsh认为“很可能即将面临罚款”。“在黑暗网络中发现的某些数据早于2010年，并且黑客建议将较旧的信息用于宣传该黑客行为，同时秘密出售更多最新记录。如果这是真的，那么对消费者的风险就更大了，至关重要的是，Foxtons立即联系可能陷入困境的所有客户。”

但是，Foxtons的一位发言人表示，该公司“已经通过取证分析检查了所有失窃的数据，并确认该数据既旧又不完整，因此无法由第三方使用，并且不可能对受影响的客户造成财务损失或伤害。已经作出了所有必要的披露，并在当时向FCA和ICO提供了完整的攻击详细信息。我们感到满意的是，该攻击并未导致丢失任何可能损害客户的数据，并相信FCA和ICO对我们的回应感到满意。”
 

参考来源：ITPro http://dwz.date/egkA
 

（如未标注，均为天地和兴工业网络安全研究院编译）