安全研究
全部分类

关键信息基础设施安全动态周报【2021年第7期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-02-20 16:22
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第7期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第7期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第7期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-02-20 16:22
  • 访问量:
详情

目   录

 

第一章 国外关键信息基础设施安全动态

(一)西门子修复了PLM产品中21个文件解析漏洞

(二)起亚汽车美国公司遭受勒索软件DoppelPaymer攻击

(三)美国安全认证公司UL遭受勒索软件攻击

(四)杀毒软件公司Emsisoft披露数据泄露事件

(五)支付处理服务ATFS遭受Cuba勒索软件攻击,美国多机构发布数据泄露通告

(六)拜登政府准备采取行动应对SolarWinds供应链攻击

(七)俄罗斯黑客组织Sandworm针对IT监控软件Centreon发起攻击

(八)勒索软件Egregor相关成员在乌克兰被捕

(九)印度APT组织Confucius使用新型安卓监控软件监视巴基斯坦军事人员

(十)朝鲜黑客企图窃取辉瑞疫苗数据

(十一)美国司法部指控三名朝鲜APT组织Lazarus成员窃取超13亿美元

(十二)朝鲜通过网络攻击提升核武器研发能力
 

 

第一章 国外关键信息基础设施安全动态

(一)西门子修复了PLM产品中21个文件解析漏洞

西门子近日发布了九条新安全公告,涉及影响西门子多款产品中的多个漏洞。

最大的公告涉及21个影响JT2Go的安全漏洞,JT2Go是一种用于JT数据(ISO标准化的3D数据格式)的3D查看工具,Teamcenter Visualization为组织提供文档、2D工程图和3D模型提供可视化解决方案。这些产品由专门从事产品生命周期管理(PLM)解决方案的西门子数字工业软件公司生产。

所有这些漏洞都与这些产品如何解析某些类型的文件有关。攻击者可以诱使目标用户打开恶意文件,从而可以利用它们进行任意代码执行、数据提取和DoS攻击。由于使用开放设计联盟(ODA)工程图SDK,许多问题都会影响西门子产品。官方发展援助针对这些漏洞发表了自己的建议。

上个月,西门子向客户通报了JT2Go和Teamcenter Visualization中的18个类似的文件解析漏洞。

卡内基梅隆大学CERT协调中心(CERT/CC)的Will Dormann向西门子通报了严重的特权升级问题,该问题影响了完全集成管理员(TIA)门户。CERT/CC网站上也发布了有关此漏洞的建议。

在DIGSI 4(SIPROTEC 4和SIPROTEC Compact保护设备的操作和配置软件)中还发现了一个高严重性的特权升级漏洞。

西门子还向客户通报了严重的“Zip-Slip”漏洞,会影响SINEC和SINEMA网络管理产品。该漏洞使经过身份验证的攻击者可以上传文件或修改现有文件,并可能实现任意代码执行。

西门子还向客户通报了影响RUGGEDCOM产品的六个中度和高度严重的DoS问题。这些缺陷与IPsec有关,并且会影响网络安全服务(NSS)和Libreswan组件。

西门子还发布了CVE-2020-28388的咨询报告,CVE-2020-28388是网络安全公司Forescout本周披露的九个TCP/IP堆栈漏洞之一。这些漏洞被统一跟踪为NUMBER:JACK,使攻击者能够劫持或欺骗TCP连接。

同时施耐德电气2月9日发布了一个新的公告,告知客户存在三个影响部分PowerLogic功率计量产品的漏洞。其中两个漏洞的严重性很高,可让中间人攻击者在拦截用户和设备之间的Telnet和HTTP通信时获取凭据。第三个漏洞是一个中等严重程度的CSRF错误,可以利用它代表合法用户执行操作。施耐德已开始发布受影响产品的固件更新。
 

参考来源:SecurityWeek http://dwz.date/ekhf
 

 

(二)起亚汽车美国公司遭受勒索软件DoppelPaymer攻击

起亚汽车美国公司(KMA)2月13日经历了一次全国性大规模IT网络中断事件,影响了IT服务器、自助电话服务、经销商平台和电话支持。KMA遭受的是勒索软件DoppelPaymer攻击,勒索赎金为2000万美元,以换取解密程序及不泄露被盗数据。

起亚汽车美国公司(KMA)总部位于加利福尼亚州尔湾,是起亚汽车公司的子公司。KMA在美国拥有近800家经销商,其汽车和SUV在佐治亚州西点市制造。

起亚汽车美国公司正在遭受一场全国性IT中断故障,这已经影响了他们的移动UVO Link应用程序、电话服务、支付系统,车主门户以及经销商使用的内部站点。在访问其网站时,用户会收到一条消息,表明起亚“正在经历IT服务中断,影响了一些内部网络”。

 

 

起亚的一位车主在推特上称,当他们试图提取新车时,一家经销店告诉他们,由于勒索软件攻击服务器已关闭。当就此事联系起亚是,KMA称他们正在努力解决此故障问题。

相关研究人员获得了勒索软件组织DoppelPaymer涉嫌对KMA发起网络攻击时留下的勒索信件。该勒索信件显示,攻击者攻击了起亚的母公司现代汽车美国公司,现代汽车似乎不受此攻击事件影响。

 

 

该勒索信件中有一个链接指向DoppelPaymer Tor支付网站上的一个私人受害者页面,该页面再次声明攻击目标是“现代汽车美国公司”。Tor受害着页面称,他们从起亚汽车美国公司窃取了“大量”数据,如果该公司未与威胁行为者进行谈判,它将在2-3周内发布数据。

DoppelPaymer以在对设备进行加密之前先窃取未加密的文件,然后在其数据泄漏站点上发布部分内容以进一步迫使受害者付款而闻名。

 

 

为了防止数据泄漏并获得解密程序,DoppelPaymer要求支付404个比特币,价值约2000万美元。如果没有在特定时间范围内支付赎金,金额将增加到600比特币,即3000万美元。DoppelPaymer操作尚未表明已窃取了哪种类型的数据。根据起亚服务中断的数量,预计会有大量受影响的服务器。

Emsisoft称,窃取未加密文件已成为勒索软件操作中用来强迫受害者付款的一种广泛使用的策略,这种行为已经影响了全球1,300多家公司。根据Emsisoft的2020年勒索软件状态报告,“在全球范围内,1300多家公司丢失了包括知识产权和其他敏感信息在内的数据,其中许多位于美国。请注意,这仅仅是在泄漏站点上发布数据的公司的数量,没有考虑为防止这种情况而付费的公司。”

过去遭受DoppelPaymer攻击的其他知名受害者包括富士康、仁宝、PEMEX(墨西哥石油公司)、加利福尼亚的托伦斯市、纽卡斯尔大学、乔治亚州霍尔县、Banijay Group SAS和Bretagne Télécom。

在起亚汽车美国公司的声明中表示,他们没有任何证据表明他们遭受了“勒索软件”攻击。该声明称,“起亚汽车美国有限公司目前正在经历一次长时间的系统中断。受影响的系统包括起亚车主门户网站、UVO移动应用程序和消费者事务网站门户。对于给受影响的客户带来的任何不便,我们深表歉意,并正在努力在不影响我们业务的情况下尽快解决此问题。我们也知道在线上有人猜测起亚受到“勒索软件”攻击。目前,我们可以确认没有证据表明起亚或任何起亚数据都受到“勒索软件”攻击。”

在此事件报道后,许多现代和经销商员工称现代也受到了无法解释的中断影响。在2月13日现代汽车美国公司发给起亚经销商并的电子邮件中,现代汽车表示包括其内部经销商站点hyundaidealer.com在内的多个系统已关闭。经销商技术人员使用的服务也受到了影响。此后,其中一些服务现已恢复。

在一份与起亚措辞类似的声明中,现代汽车称他们没有证据表明存在“勒索软件”攻击。该声明称,“目前,我们可以确认我们没有证据表明现代汽车美国公司卷入了“勒索软件”攻击。”
 

参考来源:BleepingComputer http://dwz.date/em7X

 

(三)美国安全认证公司UL遭受勒索软件攻击

美国最大的安全认证公司Underwriters Laboratories(UL)近日遭受了勒索软件攻击,该攻击对其服务器进行了加密,并导致服务器在恢复时关闭了系统。

UL是美国最大、历史最悠久的安全认证公司,在40多个国家/地区拥有14,000名员工和办事处。如果你曾经看过电器、笔记本电脑、电视遥控器、灯泡甚至是Apple USB充电器的背面,则可以立即识别出设备上刻有的UL徽标。公司发布新产品时,通常会将其提交给UL,以根据国家认可的安全性和可持续性标准进行测试和认证。根据进行的测试及其结果,该产品将获得各种UL认证。

UL在上周末遭受了勒索软件攻击,该攻击者对其数据中心中的设备进行了加密。为了防止攻击进一步蔓延,该公司关闭了系统,使某些员工无法执行其工作。UL告知员工请勿与威胁行为者联系或访问与勒索软件操作有关的任何网站。据熟悉该攻击事件的知情人士称,UL决定不支付赎金,而是从备份中恢复。由于恢复设备需要花费时间,因此攻击导致myUL客户端门户在恢复时保持脱机状态。

 

 

在一份声明中,UL证实攻击发生在2月13日,并且正在调查该攻击。该声明称,“UL在2021年2月13日检测到其系统上存在异常活动,并立即采取预防措施来应对这种情况,包括关闭系统,与一家领先的网络安全公司合作,以帮助我们调查并提醒有关当局。我们的当务之急是恢复我们的系统,以最大程度地减少对客户的干扰。在我们从调查中了解到更多信息之前,我们无法推测可能受到影响的信息类型。如果我们确定数据受到影响,我们将采取适当的措施。”

目前尚不清楚勒索软件是由什么恶意软件进行的攻击,以及它们是否窃取了未加密的文件。由于大多数针对企业的勒索软件操作会窃取未经加密的文件,以用于双重勒索策略,因此勒索软件团伙很可能在攻击过程中窃取了数据。
 

参考来源:BleepingComputer http://dwz.date/emWb

 

(四)杀毒软件公司Emsisoft披露数据泄露事件

防病毒解决方案提供商Emsisoft 2月4日披露,有一个测试系统发生了数据泄露,第三方访问了包含技术日志的公开数据库。

Emsisoft称,由于配置不当,导致测试系统的数据库暴露在互联网上。该数据库最初于2021年1月18日公开,直到2月3日发现数据泄露为止。受影响的系统用于评估和基准化从Emsisoft产品和服务生成的日志数据的存储和管理。

Emsisoft表示,该公司立即使系统下线,并对此事进行了调查。结果发现,数据库中唯一的个人信息涉及来自7个不同组织的14个电子邮件地址。

受影响的系统以及其他几个系统是为评估日志和事件数据的存储选项而设置的,并以生产中的日志记录作为种子。未经授权的第三方可以访问其中一个数据库,并且至少有一个“个人可以访问该数据库中包含的部分或全部数据”。

Emsisoft称,“相关的被盗数据包括我们的端点保护软件在正常使用期间生成的技术日志,例如更新协议,并且通常不包含任何个人信息,例如口令、口令哈希、用户帐户名、账单信息、地址或任何其他类似信息。”

据Emsisoft称,存储在数据库中的14个客户电子邮件地址已包含在扫描日志中,因为在用户的电子邮件客户端中检测到了恶意电子邮件。攻击是自动进行的,并非专门针对公司。

Emsisoft称,“此外,我们的流量日志表明,仅访问了部分受影响的数据库,而不是整个数据库。但是,由于技术限制,无法准确确定访问了哪些数据行。”

Emsisoft表示,暴露的系统无法提供对生产系统或数据库的访问,并且已通知事件受影响的用户。该公司还指出,它采取了额外的安全措施以确保不会发生类似事件。
 

参考来源:SecurityWeek http://dwz.date/ejST

 

(五)支付处理服务ATFS遭受Cuba勒索软件攻击,美国多机构发布数据泄露通告

广泛使用的支付处理自动资金转帐服务(ATFS)近日遭受了勒索软件攻击,引发了美国加州和华盛顿众多城市和机构发布数据泄露通告。

自动资金转账服务(AFTS)被华盛顿和美国其他州的许多城市和机构用作支付处理器和地址验证服务。由于用于计费和验证客户和居民的数据种类繁多,此攻击可能会产生巨大而广泛的影响。

该攻击发生在2月3日左右,当时一个名为Cuba勒索软件的网络犯罪团伙窃取了未加密的文件并部署了勒索软件。此后,网络攻击对AFT的业务运营造了成重大影响,使其网站不可使用,并影响了付款处理。当人们访问其网站时,会收到一条消息,显示“由于技术问题,AFTS网站和所有相关的付款处理网站不可用”。

黑客开始在其数据泄露网站出售AFTS被盗的数据,攻击是由一个名为“Cuba勒索软件”的网络犯罪行动实施的。像其他人工操纵的勒索软件一样,Cuba会破坏网络,在服务器中缓慢传播,同时窃取网络凭据和未加密的文件,最后通过部署勒索软件来加密设备来结束攻击。根据数据泄露页面显示,Cuba勒索软件组织声称窃取了“财务文件、与银行雇员的往来信件、帐户变动、资产负债表和税务文件”。

 

 

如果勒索软件组织找不到数据的购买者,他们可能会免费发布数据,从而使其他威胁行为者可以使用该数据。

由于据称Cuba勒索软件窃取了大量潜在数据,使用AFTS作为支付处理器或地址验证服务的城市已经开始披露潜在的数据泄露事件。泄露的潜在数据因城市或机构而异,但可能包括名称、地址、电话号码、车牌号、VIN编号、信用卡信息、扫描的纸质支票和帐单明细。

一些发布数据泄露通告的城市和机构包括:加州车辆管理局、华盛顿州柯克兰市、华盛顿州林伍德市、华盛顿州门罗市、华盛顿州雷蒙德市、华盛顿州西雅图市、莱克伍德水区、埃弗里特港。
 

参考来源:BleepingComputer http://dwz.date/enb6

 

(六)拜登政府准备采取行动应对SolarWinds供应链攻击

美国国家安全副顾问安妮·纽伯格(Anne Neuberger)在对SolarWinds供应链攻击事件的最新调查消息中称,拜登政府正在准备“采取行动”,以解决已暴露的安全缺陷。

最近被任命为这次攻击事件调查协调员的纽伯格2月17日在白宫新闻发布会上发表了评论,她称,“我们正在进行近12项工作,可能会有8项通过,这将是即将采取的行政行动的一部分,以解决我们在审查这起事件时发现的差距。”纽伯格称,调查人员认为,有9个联邦机构以及100个私营部门组织受到了攻击。

这起供应链攻击是黑客在SolarWinds的Orion网络监控平台的更新中植入了一个名为“Sunburst”的后门后发起的。然后,该公司的18,000位客户下载了此更新,其中一些进一步受到了后续攻击的攻击。

纽伯格还指出,要从黑客攻击的网络中完全清除恶意代码将需要几个月的时间。纽伯格承认,很难评估SolarWinds攻击的整个范围。纽伯格称,“由于缺乏本地可见性,因此作为一个国家,我们选择兼顾隐私和安全。因此,情报界在很大程度上没有对私有部门网络的可见性。黑客从美国内部发起了黑客攻击,这进一步使美国政府难以观察其活动。即使在联邦网络内部,文化和权威也抑制了可见性,这是我们需要解决的问题。”

调查SolarWinds供应链攻击的机构表示,这很可能是与俄罗斯有联系的黑客组织开展的网络间谍活动的一部分。

纽伯格没有提供任何关于白宫行政行动可能包含的细节。但是安全专家指出,拜登白宫可以制定一些措施来解决由这次黑客事件引起的网络安全问题。

汤姆·凯勒曼(Tom Kellermann)是VMware网络安全战略负责人,也是美国特勤局网络调查咨询委员会成员。他建议拜登政府应更改联邦机构的结构,并让部门CISO直接向秘书报告,使领导者可以更好地访问有关网络威胁的信息。凯勒曼称,“自从建立了CISO的职位以来,大多数报告都会向组织内的首席信息官报告。但是,CISO到CIO的报告结构代表着潜在的治理危机。CISO的防御态度经常与CIO的正常运行时间、可用性和内容驱动的目标冲突。与此结构有关的另一个担忧是,网络安全措施可能排在第二位。”

凯勒曼称,拜登政府还应该呼吁跨联邦网络以及为代理机构提供IT和网络服务的托管服务提供商实施威胁搜寻,以更好地检测安全漏洞并确定黑客入侵的企图。白宫可以要求网络检测和响应平台必须与端点保护平台集成在一起,以增加另一层保护。

凯勒曼还呼吁拜登对应对此次入侵和其他黑客攻击的威胁组织做出回应。“我建议立即对Turla、Sandworm和APT28和APT29进行适当的网络响应。”这几个都是与俄罗斯有明显联系的黑客组织。

拜登总统为COVID-19经济纾困提出的1.9万亿美元提案中,有90亿美元用于改善联邦一级的网络安全。其中,6.9亿美元将用于网络安全和基础设施安全局的一个项目,该项目旨在改善政府机构之间的监视和事件响应。

纽约佩斯大学赛登伯格计算机科学与信息系统学院副教授达伦·海斯(Darren Hayes)也指出,美国政府可能对其认为对SolarWinds袭击负责的人施加经济或其他制裁。海斯称,“拜登政府应该强烈考虑加大制裁力度。对网络攻击的归属在历史上是有问题的,特别是因为像中国和俄罗斯这样的国家将利用其国家中的非官方组织发动这些攻击。最终,我们知道这些政府已经批准了与其政策相符的网络攻击。”

2月18日,微软公布了针对SolarWinds事件对自己调查的最终评估报告。微软是受SolarWinds供应链后续攻击影响的几家科技公司之一。微软表示,没有将其内部系统用作攻击其他目标的启动点,并且黑客从未访问过Microsoft的绝大多数源代码。该公司表示,当访问某些代码存储库时,攻击者仅访问了有限数量的文件。根据该更新,黑客获得了访问用于Microsoft Azure、Intune和Exchange产品某些组件的某些代码的权限。

微软在更新中称,“攻击者使用的搜索词表明预期会集中于试图寻找秘密。我们的开发策略禁止代码中的秘密,我们运行自动化工具来验证遵从性。由于检测到活动,我们立即启动了存储库当前和历史分支的验证过程。”

2月9日,参议员马克·沃纳和马克·鲁比奥致信联邦调查局、国家情报局局长办公室、美国国家安全局和CISA,批评该机构对SolarWinds联合调查缺乏协调。然后,白宫正式宣布纽伯格将担任此次调查的负责人。

在2月17日的简报中,纽伯格指出,联邦政府正在制定方法,以减轻黑客攻击的风险,并解决两位参议员提到的政府安全缺陷。纽伯格称,“我们在白宫所做的一件事情是协调一系列问题,以评估这一点并将其整合在一起。每个机构的情况各不相同。当然,这会对国家安全产生影响,这就是我们正在考虑的因素,我们如何管理这种风险以及如何应对未来。”

卢比奥和华纳2月18日宣布,参议院情报委员会将在周二举行关于SolarWinds供应链攻击的公开听证会,证人将包括SolarWinds、Microsoft、CrowdStrike和FireEye的高管。
 

参考来源:infoRiskToday http://dwz.date/emXb

 

(七)俄罗斯黑客组织Sandworm针对IT监控软件Centreon发起攻击

法国国家网络安全机构ANSSI 2月15日发布报告称,俄罗斯黑客组织Sandworm利用IT监控软件Centreon进行了长达四年的入侵活动,导致多家法国实体遭到入侵。该事件可追溯到2017年,一直持续到2020年。该事件主要影响到信息技术提供商,特别是网络主机提供商。

在受到攻击的系统上,ANSSI发现了一个以webshell的形式存在的后门,这个后门掉在几个暴露在互联网上的Centreon服务器上。这个后门被确认为P.A.S.webshell,版本号3.1.4。在相同的服务器上,ANSSI发现了另一个与ESET描述的相同的后门,名为Exaramel。

此后Centreon 2月16日澄清表示,所谓的黑客渗透了开放源代码开发人员使用的其2015年之前的旧版本免费软件,商业用户不受此影响。自过时的版本发布以来,Centreon又发布了八个主要版本。

Centreon确认没有客户受到影响。根据Centreon与ANSSI的讨论,该活动仅针对约15个实体,它们都是过时的开放源代码版本(v2.5.2)的用户,该版本已有5年不受支​​持了。Centreon当前正在与所有客户和合作伙伴联系,以帮助他们验证其安装是否最新并符合ANSSI的健康信息系统指南。

Centreon建议所有仍在生产中使用其开源软件过时版本的用户将其更新为最新版本,或与Centreon及其认证合作伙伴网络联系。
 

参考来源:Centreon http://dwz.date/emBJ

 

(八)勒索软件Egregor相关成员在乌克兰被捕

据报道,法国和乌克兰执法部门的一次联合行动致使勒索软件Egregor的几名相关成员在乌克兰被捕。

据《France Inter》2月12日首次报道,在法国当局可以追查乌克兰境内个人的赎金支付情况后,执法部门实施了逮捕。被捕的人认为是Egregor的分支机构,其工作是入侵公司网络并部署勒索软件。France Inter还报告称,一些个人提供了后勤和财政支持。

在过去的一年中,Egregor攻击了许多法国组织,包括Ubisoft、Ouest France、以及最近的Gefko。据报道,该行动是在去年秋天巴黎大审判庭在接到有关勒索组织的投诉后展开的调查活动。

目前,Egregor的Tor网站处于离线状态,包括付款站点和操作的数据泄漏站点。由于无法访问Tor付款站点,受害者无法联系勒索软件组织、支付赎金或下载以前支付赎金的解密程序。目前还不清楚勒索软件组织的基础设施问题是否与执法行动有关。

Egregor作为勒索软件即服务(RaaS)运作,在此联盟会员与勒索软件开发人员合作进行攻击并分摊勒索付款。在这样的伙伴关系中,勒索软件开发人员负责开发恶意软件并运行支付站点。同时,分支机构负责入侵受害者的网络并部署勒索软件。作为此安排的一部分,开发人员赚取赎金的20%至30%,而联盟会员赚取赎金的70%至80%。

Egregor于2020年9月中旬启动,就在最大的勒索软件组织之一Maze关闭其业务时,Egregor成立了。当时,威胁行动者表示,Maze的分支机构转移到了Egregor RaaS,从而使新的勒索软件操作可以与经验丰富且技术熟练的黑客一起启动。

去年十一月,勒索软件组织与Qbot恶意软件合作获得对受害者网络的访问权限,进一步增加了攻击量。由于Egregor在相对较短的时间内增长如此之快,受害者不得不排队等候商讨勒索软件付款。

在12月初,Egregor突然开始放慢速度,发动的攻击量少得多。在Egregor向ID Ransomware提交的统计数据显示,自2020年12月9日开始攻击量急剧下降。

 

 

上个月,赎金谈判公司Coveware的首席执行官比尔·西格尔(Bill Siegel)表示,他们也看到了Egregor攻击的下降,并告诉我们分支机构可能已经转移到另一个RaaS。

一月份,Egregor的数据泄漏站点离线了大约两个星期,当它再次联机时,该站点出现了问题。这种不寻常的活动导致其他威胁行为者怀疑Egregor是否受到执法部门的入侵或破坏。Egregor活动的减少是否与执法有关,还是勒索软件操作的起伏不定目前尚不清楚。

在网络安全公司Kivu最近发布的一份新报告中,研究人员指出,Egregor自成立以来已经聚集了200多名受害者,并且由10-12名核心成员和20-25名半独家审查成员成员组成。

遭受Egregor攻击的一些知名公司包括Barnes and Noble、Kmart、Cencosud、Randstad、温哥华TransLink Metro System、和Crytek。
 

参考来源:BleepingComputer http://dwz.date/emC3

 

(九)印度APT组织Confucius使用新型安卓监控软件监视巴基斯坦军事人员

移动安全公司Lookout威胁情报团队2月11日发布博客文章称,其发现了两种新型Android监视软件,Hornbill和SunBird。研究人员认为该活动与APT组织Confucius有关,该组织是一个著名的印度国家赞助的APT组织。Hornbill和SunBird具有完善的功能,可以过滤短信消息内容、加密的消息收发应用程序内容、地理位置、联系信息、呼叫日志以及文件和目录列表。监视软件的目标人员是与巴基斯坦军事和核当局和克什米尔的印度选举官员。

据先前报道,Confucius组织于2017年首次利用了手机恶意软件ChatSpy1。根据这一新发现,Lookout研究人员发现,在使用SunBird进行ChatSpy之前,Confucius可能一直在监视移动用户长达一年之久。SunBird活动于2017年首次由Lookout研究人员发现,但似乎不再活跃。该APT组织的最新恶意软件Hornbill仍在积极使用,并且Lookout研究人员最近在2020年12月观察到了新样本。

Lookout安全情报工程师Apurva Kumar表示,“Hornbill和SunBird的一个突出特点是他们非常重视通过WhatsApp渗透目标的通信。在两种情况下,监视软件都以各种方式滥用Android可访问性服务来泄露通信,而无需root访问。SunBird还可以记录通过WhatsApp的VoIP服务进行的呼叫,在BlackBerry Messenger和imo等应用程序中泄露数据,并在受感染的设备上执行攻击者指定的命令。”

Hornbill和SunBird似乎都是商业Android监视工具的演进版本。Hornbill很可能源自与早期商业监视产品MobileSpy相同的代码库。同时,SunBird可以重新链接到负责旧版商业间谍软件工具BuzzOut的印度开发人员。Lookout研究人员的理论认为,SunBird的root也存在于跟踪软件中,这一理论得到了他们在2018年发现的恶意软件基础设施过滤数据中发现的内容的支持。所发现的数据包括有关跟踪者受害者的信息,以及针对在本国的巴基斯坦国民以及在阿拉伯联合酋长国(阿联酋)和印度出国旅行的人的活动。
 

参考来源:Lookout http://dwz.date/emEa

 

(十)朝鲜黑客企图窃取辉瑞疫苗数据

据路透社报道,韩国情报官员声称,朝鲜黑客试图通过入侵美国制药公司辉瑞来窃取COVID-19疫苗和治疗数据。

最近几个月,全球执法机构以及微软和卡巴斯基发出警告称,有大量国家资助的黑客针对COVID-19制药商和供应链企业发起攻击。

据路透社报道,除了辉瑞成为攻击目标外,韩国国家情报局还声称,其挫败了朝鲜入侵韩国研发新冠疫苗公司的企图。

路透社报道,由于国际制裁禁止朝鲜与之进行大部分国际贸易,朝鲜被指控求助于黑客大军“填补资金短缺的金库”。因此,一些健康专家推测,该国的黑客似乎更愿意出售被盗的数据,而不是使用它来开发自家生产的疫苗。

美国哥伦比亚广播公司CBS新闻报道,朝鲜领导人金正恩一再坚持该国没有冠状病毒病例,不过外界专家对朝鲜的说法持怀疑态度。

尽管如此,据路透社报道,预计到今年上半年,朝鲜将通过COVAX疫苗共享计划收到近200万剂阿斯利康-牛津COVID-19疫苗。

数月来,执法官员和安全公司一直警告说,朝鲜和俄罗斯黑客的目标是参与COVID-19疫苗研发的研究机构。

安全公司卡巴斯基于12月警告称,朝鲜APT组织Lazarus Group攻击了了一个未透露姓名的国家卫生部和一家参与制造冠状病毒疫苗以窃取信息的药物制造商。同样在12月,国际刑警组织警告称,与COVID-19疫苗相关的有组织犯罪活动可能激增。

微软在去年11月发布的一份报告警告称,俄罗斯的Strontium、朝鲜的Zinc和Cerium三个国家支持的APT组织将全球参与COVID-19疫苗和治疗开发的公司作为攻击目标。安全研究人员也将Strontium称为FancyBear或APT28,Zinc又名Lazarus Group,Cerium似乎是一个新的组织。

去年夏天,由美国国家安全局、网络安全和基础设施安全局、英国国家网络安全中心和加拿大通信安全机构发布的联合咨询报告称,俄罗斯网络间谍组织APT29(又名Cozy Bear或Dukes)的攻击目标是研究机构,极有可能窃取与COVID-19疫苗开发和测试有关的信息和知识产权。

一些专家警告说,医疗保健行业面临的网络威胁不太可能消退。私营/公共卫生部门协调委员会网络安全执行主任格雷格·加西亚(Greg Garcia)表示,“国家赞助的工业间谍活动经过了时间的考验,就像在科学考试中偷窥同学的肩膀作弊一样常见。新冠疫情可能加剧了为炫耀权利、利润和国家健康利益而进行的欺骗竞争。但是,间谍活动不会随着疫情结束而终结。”

国家网络安全联盟执行总监Kelvin Coleman也提供了类似的评估,他表示:“只要疫苗数据持续变化和发展以应对疫情,就会继续看到不良行为者试图从多个漏洞中窃取疫苗。疫苗数据的攻击面远不止于研究机构、实验室或公司环境中的数据。如今,整个疫苗供应链都处于危险之中。就连负责疫苗运输和储存的冷藏公司也受到恶意软件的打击,而存放疫苗的医院也受到勒索软件的攻击。这与疫苗分发开始之前的环境完全不同。医疗保健部门实体需要保持警惕。继续进行教育和宣传工作,例如采取内部步骤以确保员工可以更轻松地发现网络钓鱼企图。最后,医疗设备和连接到网络的任何设备均已安装了最新的安全更新和固件,是重要的步骤。实际上,网络罪犯经常使用的攻击类型不一定是新颖的、突破性的或高科技的。这些策略并没有改变,因为它们仍然有效,并且所攻击的环境是目标丰富的,却缺乏基本防护经常被忽略。例如,强大的字母数字密码、整个系统的多重身份验证、防火墙和文件级加密措施。”
 

参考来源:GovInfoSecurity http://dwz.date/emFz

 

(十一)美国司法部指控三名朝鲜APT组织Lazarus成员窃取超13亿美元

美国司法部2月17日指控与朝鲜APT组织Lazarus Group有关的三名成员,参与了网络攻击,从全球各组织盗取了超13亿美元的金钱和加密货币。

此次指控包括针对两名朝鲜官员Jon Chang Hyok(31岁)及Kim Il(27岁),扩大了司法部2018年最初针对Park Jin-hyok的指控。2018年美国司法部指控Park Jin-hyok涉嫌参与WannaCry及2014年针对索尼影业娱乐的攻击。

 

 

该司法部指控新闻称,“今天启动的一项联邦起诉书指控三名朝鲜计算机程序员参与广泛的犯罪阴谋,进行一系列破坏性的网络攻击,从金融机构和公司窃取和勒索超过13亿美元的金钱和加密货币,以创造和部署多个恶意加密货币应用程序,并开发和欺诈性地销售区块链平台。”

这些官员被指控对美国和国外的组织进行了多次黑客攻击,其中包括:

1、对娱乐业的网络攻击:2014年11月对索尼影业娱乐公司进行的网络攻击是是为了报复有关朝鲜领导人遇刺的小说《采访》电影。其他攻击包括2014年12月对AMC电影院的黑客攻击以及2015年对Mammoth Screen的入侵。

2、从银行进行的网络抢劫:从2015年到2019年,该APT组织试图从越南、孟加拉国、台湾、墨西哥、马耳他和非洲的银行中窃取超过12亿美元。

3、网络ATM现金盗窃:通过ATM现金盗窃计划(美国政府称其为“FASTCash”),包括2018年10月从BankIslami Pakistan Limited(BankIslami)盗窃610万美元。

4、勒索软件和网络勒索:该APT组织于2017年5月创建了WannaCry 2.0勒索软件,并于2017年至2020年进行了勒索。勒索者在窃取敏感数据并部署了其他勒索软件后试图勒索受害者。

5、创建和部署恶意加密货币应用程序:从2018年3月到至少2020年9月开发多个恶意加密货币应用程序,这将为朝鲜黑客提供受害计算机的后门。

6、针对加密货币公司和盗窃加密货币:针对数百家加密货币公司和盗窃价值数千万美元的加密货币。

7、针对美国国防承包商、能源公司、航空航天公司、技术公司、美国国务院和美国国防部的鱼叉式钓鱼活动。

8、创建假的加密货币公司并发布Marine Chain Token。该计划使投资者能够购买在区块链支持下的海上船舶的部分所有权,这将使朝鲜能够秘密地从投资者那里获得资金,控制海上船舶的权益,并逃避美国的制裁。

司法部长助理约翰·德默斯(John Demers)将这三名黑客和Lazarus Group定义为“世界领先的银行抢劫犯”。

司法部还指控加拿大公民民Ghaleb Alaumary帮助Lazarus Group通过其活动获得的非法资金进行洗钱。“联邦检察官今天还对加拿大安大略省密西沙加市37岁的加利布·阿劳玛里(Ghaleb Alaumary)提起了指控,指控他在朝鲜阴谋中充当洗钱者,以及其他犯罪计划。Alaumary同意对这项指控认罪,并于2020年11月17日提交给洛杉矶地区法院。Alaumary是从事ATM提款计划、网络银行抢劫、商业电子邮件泄露(BEC)计划和其他在线欺诈计划的黑客的大量洗钱者。”该男子在美国和加拿大经营一个洗钱网络,该网络将非法资金转给了受朝鲜黑客控制的其他帐户。
 

参考来源:美国司法部 http://dwz.date/em9J

 

(十二)朝鲜通过网络攻击提升其核武器研发能力

联合国专家称,朝鲜通过利用联合国制裁,利用网络攻击来帮助其计划筹集资金,并继续向其武器库寻求海外材料和技术,实现了其核武器和弹道导弹的现代化。

监测朝鲜东北亚制裁问题的专家小组2月8日在发给安理会成员的报告中称,一个未透露身份的国家表示,朝鲜“从2019年到2020年11月虚拟资产的总盗窃额约为3.164亿美元”。

该小组称,调查发现,与朝鲜有联系的网络参与者在2020年继续对金融机构和虚拟货币兑换所进行业务,以赚钱来支持其大规模毁灭性武器和弹道导弹计划。专家称,在武器发展方面,金正恩政府还生产了裂变材料,这是生产核武器的重要成分,并维护了其核设施。

该报告显示,“它在阅兵式上展示了新的近程、中程、潜射和洲际弹道导弹系统。它宣布准备测试和生产新型弹道导弹弹头,并开发战术核武器,并升级了其弹道导弹基础设施。”

专家小组建议安全理事会对四名朝鲜男子进行制裁:Choe Song Chol、Im Song Sun、Pak Hwa Song、和Hwang Kil Su。

自从2006年对朝鲜进行首次核试验爆炸以来,安理会对朝鲜实施了越来越严厉的制裁。已禁止该国大部分出口,并严重限制了其进口,试图向平壤施加压力,要求其放弃其核弹道导弹计划。

但是该报告的摘要以及美联社获得的一些主要发现和建议明确表明,朝鲜仍然能够逃避制裁和发展其武器,并能够非法进口精炼石油,进入国际银行渠道并开展“恶意网络活动”。

在2017年进行的试验后,朝鲜军火库升级为对美国的主要威胁,其中包括一枚据称是热核弹头的爆炸试验,以及显示其洲际弹道导弹可以深入美国本土的飞行试验。

一年后,金正恩开始与韩国以及当时的美国总统唐纳德·特朗普(Donald Trump)进行外交,但在2019年,美国拒绝了朝鲜提出的大规模制裁减免要求,以换取部分放弃核武器能力的零碎协议。

去年,在COVID-19大流行中,朝鲜本已遭受重创的经济进一步恶化,导致金正恩关闭了该国的边界。专家们说,这严重限制了合法和非法转移货物以及人员流动。

朝鲜官方媒体2月9日报道,在朝鲜政治会议上,金正恩严厉批评其政府的经济机构具有未指明的消极态度和“自我保护的倾向”。他的讲话是在上个月执政党代表大会上发表的,他呼吁加强国家对经济的控制,同时还誓言将继续全力以赴以扩大他的核计划,朝鲜认为这对美国是一种威慑力量,从而保证了金氏王朝的继续存在。

在外交努力陷入僵局的情况下,金正恩必须重新与总统拜登重新开始,总统拜登此前曾称他为“暴徒”,并批评特朗普出席峰会,而不是大幅削减核武器。

2019年8月,联合国专家小组称,朝鲜网络专家非法获得“估计高达20亿美元”的收益,用于资助其武器项目。

该小组在新报告中表示,它调查了位于联合国制裁黑名单中的朝鲜主要情报机构侦察总局的“恶意”活动,包括“针对虚拟资产和虚拟资产服务提供商,以及针对国防公司。”

专家称,朝鲜继续清洗被盗的加密货币,特别是通过中国的场外虚拟资产经纪人,以获得政府支持的法定货币,如美元。专家小组表示,它正在调查2020年9月针对某加密货币交易所的黑客攻击,该攻击导致价值约2.81亿美元的加密货币被盗,并且区块链上的交易表明这笔2.81亿美元的黑客与2020年10月的2300万美元的第二次黑客攻击有关。专家说:“基于攻击媒介和随后对非法所得进行洗钱的初步分析,强烈表明与朝鲜有关。”

一个不愿透露姓名的国家称,朝鲜还继续利用自由信息技术平台,利用与全球金融体系相同的方法,通过虚假识别、使用虚拟专用网络服务,以及在香港建立前沿公司,继续产生非法收入。

专家说,他们调查了企图违反联合国武器禁运的行为,包括列入黑名单的公司的非法行为。他们援引了韩国矿业发展贸易公司的说法,指称朝鲜进行了军事合作,并将该国的海外外交使团用于商业目的。该小组表示,它还调查了“该国继续通过使用精心设计的替代品通过直接交付和船对船的转让继续非法进口精炼石油。”

该小组引用了某匿名国家的图像、数据和计算结果,这些数据表明,去年1月1日至9月30日之间,朝鲜收到的精炼石油产品运输量超过了安全理事会设定的年度最高上限500,000桶“数倍”。

联合国制裁措施禁止朝鲜出口煤炭,专家小组表示,自2020年7月下旬以来,煤炭的运输似乎已基本暂停。去年,朝鲜继续违反制裁规定转让捕鱼权,据某匿名成员国称,朝鲜在2018年因捕鱼赚1.2亿美元。

根据2017年的一项制裁决议,所有在海外工作的朝鲜国民将在2019年12月22日之前被遣返。专家说,他们调查了在撒哈拉以南非洲赚钱的朝鲜工人以及军需工业部派遣的信息技术工人。
 

参考来源:SecurityWeek http://dwz.date/encb
 

 

如未标注,均为天地和兴工业网络安全研究院编译)

 

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号