安全研究
全部分类

关键信息基础设施安全动态周报【2021年第9期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-03-05 16:14
  • 访问量:

【概要描述】

关键信息基础设施安全动态周报【2021年第9期】

【概要描述】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-03-05 16:14
  • 访问量:
详情

关键信息基础设施安全动态周报【2021年第9期】
 

目   录

第一章 国内外关键信息基础设施安全动态

(一)罗克韦尔PLC存在身份验证绕过漏洞

(二)德国Genua防火墙存在身份验证绕过漏洞

(三)APT组织Lazarus利用ThreatNeedle后门攻击国防工业组织

(四)美国国家安全局发布零信任安全模型

(五)法国造船厂Beneteau遭受网络攻击

(六)Ryuk勒索软件发现新变体

(七)FireEye发现与SolarWinds有关新型恶意软件Sunshuttle

(八)微软研究人员新发现与SolarWinds有关的三款新型恶意软件

(九)印度疫苗生产商遭受黑客攻击

(十)美国右翼社交平台Gab泄露用户70GB数据

(十一)马来西亚航空公司遭受长达九年的数据泄露事件

(十二)意大利100多家银行遭受Ursnif特洛伊木马攻击

(十三)乳制品集团Lactalis遭受网络攻击

(十四)亚洲食品分销商JFC International遭受勒索软件攻击

(十五)荷兰电子票务平台TicketCounter泄露190万用户信息

(十六)字节跳动同意为TikTok数据收集支付9200万美元进行和解


 

第一章 国内外关键信息基础设施安全动态

(一)罗克韦尔PLC存在身份验证绕过漏洞

研究人员发现,远程攻击者可以利用一个严重的身份验证绕过漏洞CVE-2021-22681来攻击罗克韦尔公司生产的可编程逻辑控制器(PLC)。成功利用此漏洞可能会使远程未经身份验证的攻击者绕过验证机制并连接到Logix控制器。该漏洞可能会使未经授权的第三方工具更改控制器的配置或应用程序代码。

韩国Soonchunhyang大学、Claroty和卡巴斯基的研究人员独立向罗克韦尔报告了这个漏洞。该漏洞的CVSS得分为10。

该漏洞影响的产品版本为:罗克韦尔软件版本:RSLogix 5000版本16到20、Studio 5000 Logix Designer版本21及更高版本。罗克韦尔Logix控制器:CompactLogix 1768、CompactLogix 1769、CompactLogix 5370、CompactLogix 5380、CompactLogix 5480、ControlLogix 5550、ControlLogix 5560、ControlLogix 5570、ControlLogix 5580、DriveLogix 5560、DriveLogix 5730、DriveLogix 1794-L34、Compact GuardLogix 5370、Compact GuardLogix 5380、GuardLogix 5570、GuardLogix 5580、SoftLogix 5800。

该问题存在于Logix Designer软件中,该软件使用保护较差的专用加密密钥来验证与控制器的通信。Claroty在帖子中表示,“这个密钥没有得到足够的保护,使得远程未经验证的攻击者可以绕过验证机制,通过模仿工程工作站连接到控制器。能够提取密钥的攻击者将能够向任何Rockwell Logix控制器进行身份验证。”

密钥用于对与罗克韦尔PLC的所有通信进行数字签名,然后PLC验证签名并验证公司工程软件。获得密钥的攻击者冒充工程软件并控制PLC。
 

参考来源:SecurityAffairs http://dwz.date/euVU
 

 

(二)德国Genua防火墙存在身份验证绕过漏洞

奥地利网络安全咨询公司SEC Consult发现,德国网络安全公司Genua开发的防火墙设备中存在一个严重漏洞。Genua Genugate设备负责保护机器对机器的通信,保护内部网络免受外部威胁,并对内部网络进行分段。

Genua Genugate是世界上唯一获得德国政府“高度防御”评级的防火墙。此外,它还遵守北约限制和欧盟限制的“数据安全条例”,该漏洞影响所有版本的Genugate防火墙。

据SEC Consult发现,防火墙的管理界面容易受到CVE-2021-27215身份验证绕过漏洞的攻击。对管理界面具有网络访问权限的威胁参与者可以轻松利用该漏洞并登录到管理面板,无需输入登录凭据即可成为超级用户。

SEC Consult解释说,在获得管理员/根用户访问权限后,攻击者有可能重新配置防火墙,包括“防火墙规则集、电子邮件过滤配置、web应用程序防火墙设置、代理设置等”。例如,攻击者可以更改整个防火墙的配置以访问无法访问的系统,或者将组织的流量重新路由到“攻击者控制的代理服务器”。

SEC Consult在其建议中强调了尽快修补漏洞的必要性。“经过认证和批准的环境要求只能通过严格分离的网络访问管理接口。不过,这是一个非常关键的安全漏洞,必须立即修补。”该公司还发布了一段视频,解释了攻击是如何运作的。

Genua产品广泛应用于政府、军事、制造和来自不同部门的组织。然而发现漏洞被的事实证明,即使是世界上最好的软件也不是完美无缺的。

SEC Consult于2020年被IT行业巨头Atos收购。Atos德国公司的Armin Stock发现了这个漏洞。研究结果于2021年1月报告给了Genua,该公司在几天内发布了一个补丁。
 

参考来源:HackRead http://dwz.date/evzY

 

(三)APT组织Lazarus利用ThreatNeedle后门攻击国防工业组织

卡巴斯基研究人员2月25日发布文章称,其发现APT组织Lazarus自2020年初以来一直使用定制的ThreatNeedle后门攻击国防工业组织,该后门的主要目标是提取机密信息,并通过在受感染的网络中横向移动将其发送给攻击者。到目前为止,已有十几个国家/地区的组织受到影响。

Lazarus是当今最多产的威胁参与者之一。Lazarus至少从2009年起就开始活跃,参与了大规模的网络间谍活动、勒索软件活动、甚至是对加密货币市场的攻击。尽管他们近几年来一直专注于金融机构,但到2020年初,他们似乎已将国防工业添加到他们的攻击目标。

 

 

ThreatNeedle最初的感染是通过鱼叉式网络钓鱼进行的,在这种情况下,目标服务器会收到包含恶意Word附件或指向公司服务器上托管的链接的电子邮件。通常情况下,这些电子邮件声称具有与疫情流行有关的紧急更新,并且据称来自受人尊敬的医疗中心。

一旦打开恶意文档,恶意软件将被释放并进入部署过程的下一个阶段。此活动中使用的ThreatNeedle恶意软件属于一个名为Manuscrypt的恶意软件家族,该家族属于Lazarus组织,以前曾被发现攻击加密货币业务。安装完成后

ThreatNeedle能够完全控制受害者的设备,这意味着它可以执行从操作文件到执行接收到的命令的所有操作。

该活动中最有趣的技术之一是,该组织能够从办公室IT网络(包含可访问互联网的计算机的网络)和工厂的受限网络(其中包含关键任务资产和具有高度敏感数据但不能访问网络的计算机)中窃取数据。根据公司政策,这两个网络之间不应传递任何信息。但是,管理员可以连接到两个网络来维护这些系统。Lazarus能够控制管理员工作站,然后建立一个恶意网关来攻击受限制的网络,并从那里窃取和提取机密数据。

为了保护组织免受后门攻击,卡巴斯基建议:

1、对员工进行广泛的网络安全意识培训;

2、教导并让员工了解内部政策;

3、从IT网络与OT网络分段;

4、向安全团队提供最新的威胁情报;

5、使用专门的OT网络安全,包括但不限于流量监视、分析和威胁检测。
 

参考来源:卡巴斯基 http://dwz.date/euQg

 

(四)美国国家安全局发布零信任安全模型

美国国家安全局(NSA)近日发布了有关安全专业人员如何采用零信任安全模型来保护企业网络和敏感数据的指南,这份名为《拥抱零信任安全模型》的文件详细介绍了安全模型的优点和挑战,还就在现有网络中实现零信任提出了一系列建议。

 

 

借助一系列系统设计原则和网络安全管理策略,零信任模型假设发生了违规事件或这种情况是不可避免的,并且消除了对系统、节点和服务的信任,需要通过实时信息进行连续验证。
零信任允许管理员限制访问并控制设备、进程和用户与数据进行交互的方式,从而消除滥用泄露的凭据、远程利用以及内部威胁。

NSA在文件中指出,“使用零信任主体设计的系统应该能够更好地解决现有威胁,但是过渡到这样的系统需要仔细计划,以避免在过渡过程中削弱安全态势。NSA继续监视测有助于零信任解决方案的技术,并将根据需要提供其他指导。”

NSA称,要应对现代威胁环境,就需要积极的系统监视和管理,防御作战能力,假设任何对关键资源的请求都可能是恶意的,假设任何设备或基础设施受到损害,接受与访问关键资源相关的风险,以及为快速评估和补救做好准备。

在零信任情况下,每个用户、应用程序/工作负载、设备和数据流都被认为是不可信的,默认情况下拒绝访问,资源受到保护并在假设它们可能已受到损害的情况下进行操作,并且以安全的方式提供对所有资源的访问。

NSA指出,零信任解决方案的设计意味着定义任务结果,首先保护数据/资产/应用/服务(DAAS)并保护访问路径,确定谁需要访问DAAS,创建控制策略,并不断寻找通过全面了解所有活动(检查所有流量日志)来发现可疑活动。

NSA还解释称,实施零信任需要时间和精力,并且要获得完整的利益,还需要其他功能才能过渡到成熟的零信任体系结构。此外,没有必要一次迁移到成熟的零信任体系结构,因为这样的实现会随着时间的推移而成熟,从而使防御者能够跟上威胁的步伐。

实施“零信任”时面临的挑战可能包括企业内部缺乏“可能来自领导、管理员或用户”的全面支持,可伸缩性、持续应用访问控制决策、以及不断采用默认拒绝安全策略造成的疲劳。

NSA称,“零信任心态致力于通过尽可能消除信任,并验证和定期重新验证每个允许的访问,来保护关键数据和访问路径。但是,实施零信任不应轻举妄动,要实现这一目标将需要大量资源和持久性。”
 

参考来源:SecurityWeek http://dwz.date/euJn
 

 

(五)法国造船厂Beneteau遭受网络攻击

法国船只制造商Groupe Beneteau称其此前遭受了网络攻击,目前系统仍在恢复中。

该造船厂成立于1884年,总部位于法国旺德,在法国、美国、波兰、意大利和中国均有分公司,拥有员工8000多名。主要从事船只和休闲住宅两大业务。

上周,Beneteau宣布其部分服务器遭到恶意软件入侵,为此其已断开所有信息系统的连接,以防止恶意软件传播。攻击发生几天后,该公司表示,其多个生产部门,特别是位于法国的生产部门,不得不放慢生产速度或被迫停止生产。

Beneteau已立即开始恢复操作,其中包括“部署备份应用程序和系统”,以帮助其安全地恢复活动,即使它处于“降级模式”。

该公司还透露,它已与有关部门取得联系,并将继续对该事件进行调查,而其团队将专注于恢复所有系统。然而,一周后,这家造船厂仍在努力进行恢复行动。

Beneteau在2月25日发布的更新中表示,预计其部分工厂的生产将在2月26日逐步恢复。但是,该公司未提供有关其所有系统何时将再次全面投入运营的信息。该公司还表示:“该集团正在继续进行调查,以找到解决方案,以将其IT系统恢复到正常且安全的运营方式。”

尽管Beneteau没有共享有关其所针对的恶意软件的信息,但该攻击似乎带有勒索软件攻击的痕迹。
 

参考来源:SecurityWeek http://dwz.date/evax

 

(六)Ryuk勒索软件发现新变体

法国国家网络安全局在调查2021年初的一次攻击时发现了一种新型Ryuk勒索软件变体,该变体具有类似蠕虫的功能,能够在受感染的网络内横向移动,传播到受害者本地网络上的其他设备。

Ryuk勒索软件至少从2018年开始活跃,并且据信由俄罗斯网络犯罪分子操纵,它参与了许多备受瞩目的攻击,研究人员估计该企业的价值为1.5亿美元。Ryuk长期以来一直与TrickBot恶意软件相关联,该恶意软件据说是由同一个组织操纵的。但是,即使在微软和其他组织尝试捣毁TrickBot之后,该勒索软件的操作仍在继续。该勒索软件有时也通过Emotet分发,Ryuk自2020年9月以来一直严重依赖BazarLoader进行分发,网络钓鱼电子邮件被用作攻击媒介。

法国国家信息系统安全局(ANSSI)在最近发布的一份报告中表示,其发现了一个Ryuk样本,该样本可能会在今年早些时候自动在受感染的网络中传播。

尽管勒索软件能够对网络共享和可移动驱动器上的数据进行加密,但长期以来一直依赖于使用其他恶意软件进行初始部署,并且之前并未显示出类似蠕虫的功能。

Ryuk结合使用对称(AES)和非对称(RSA)算法进行加密,结束受感染系统上的特定进程,将.RYK扩展名附加到加密文件,可以使用局域网唤醒功能打开工作站,以及销毁所有卷影副本以防止数据恢复。

新发现的Ryuk版本具有勒索软件中通常具有的所有功能,并具有在本地网络上复制自身的功能。为了传播到其他计算机,勒索软件将已复制的可执行文件复制到带有rep.exe或lan.exe后缀的已标识网络共享上,然后在远程计算机上创建计划任务。

ANSSI解释表示,“通过使用计划任务,恶意软件会在Windows域内进行机器之间的传播。一旦启动,它就会在可以访问Windows RPC的每台可访问的计算机上传播。”ANSSI指出,所识别的样本似乎并未包含阻止其执行的机制,这意味着该设备可能会被反复感染。
 

参考来源:SecurityWeek http://dwz.date/euRU

 

(七)FireEye发现与SolarWinds有关新型恶意软件Sunshuttle

FireEye在遭受SolarWinds供应链攻击的组织的服务器上发现了一个新的“复杂的第二阶段后门”。该新型恶意软件称为Sunshuttle,是由一家美国实体在2020年8月上传到一个公共恶意软件库中的。

FireEye研究人员Lindsay Smith、Jonathan Leathery、Ben Read认为,Sunshuttle与SolarWinds供应链攻击背后的威胁行为者有联系。

FireEye表示,“Mandiant在受到UNC2452危害的受害者身上观察到了Sunshuttle,并有迹象表明它与UNC2542有关,但是我们尚未完全验证这种联系。Sunshuttle是基于GO的恶意软件,具有逃避检测功能。目前,还不知道用于安装后门的感染媒介,但它很可能作为第二阶段后门被使用。新的Sunshuttle后门是一个复杂的第二阶段后门,它通过其用于C2通信的“融合”流量功能展示了简单而优雅的检测回避技术。Sunshuttle将作为第二阶段的后门,在与其他SUNBURST相关工具一起进行网络侦察。”

如果FireEye与SolarWinds黑客背后的国家黑客建立的联系得到证实,那么Sunshuttle将是调查供应链攻击时发现的第五种恶意软件。

目前,策划攻击的威胁行为者被追踪为UNC2452(FireEye)、StellarParticle(CrowdStrike)、SolarStorm(Palo Alto Unit 42)、Dark Halo(Volexity)。

CrowdStrike发现,Sunspot恶意软件在SolarWinds的Orion IT管理软件的开发环境中发现,被用于在Orion平台构建中注入后门。

在Sunburst(Solorigate)后门的恶意软件是过程中的组织系统第二阶段的攻击部署使用木马猎户座通过该平台内置的自动更新机制的构建。

FireEye发现了第三种名为Teardrop的恶意软件,这是一个以前未知的仅内存删除程序以及攻击者用来部署定制Cobalt Strike信标的后利用工具。

赛门铁克发现了第四项恶意软件Raindrop,一种类似于SolarWinds黑客使用的Teardrop的恶意软件,用于在利用后的过程中发送Cobalt Strike信标。

在调查供应链攻击时,Palo Alto Networks Unit 42和Microsoft发现了SuperNova,一种不与UNC2452关联但也使用木马化的Orion版本提供的恶意软件。
 

参考来源:BleepingComputer http://dwz.date/ev9X

 

(八)微软研究人员新发现与SolarWinds有关的三款新型恶意软件

微软威胁情报中心及微软365 Defender研究团队安全研究人员3月4日披露了其关于SolarWinds供应链攻击事件的新发现,其发现了黑客作为第二阶段有效载荷部署在受害者的网络上的三款新型恶意软件,分别为GoldMax、Sibot和GoldFinder。微软将在攻击中使用Sunburst后门和Teardrop恶意软件的攻击者追踪命名为Nobelium。

Nobelium黑客在2020年8月至2020年9月的后期活动中使用了这些恶意软件。不过,据信早在2020年6月,Nobelium就将它们投放到了受到威胁的SolarWinds客户的系统上。

微软表示:“微软评估,攻击者使用新型恶意软件来维持持久性并在非常特定和针对性的网络上执行操作,甚至在事件响应期间逃避了最初的检测。它们是为特定网络量身定制的,经过评估,在参与者通过泄露的凭证或SolarWinds二进制文件获得访问权限后,并通过TEARDROP和其他手动按键盘操作横向移动后被引入。”

根据Microsoft的说法,这些恶意软件具有以下功能:

GoldMax:基于Go的恶意软件,用作隐藏恶意活动和逃避检测的命令和控制后门。它还具有诱饵网络流量生成器,用于用看似良性的流量隐藏恶意网络流量。

Sibot:基于VBScript的恶意软件,用于维护持久性并使用第二阶段脚本下载其他恶意软件有效载荷。

GoldFinder:“最可能”基于Go的恶意软件,用作自定义HTTP跟踪器工具,用于检测服务器和重定向器,例如受感染设备与C2服务器之间的网络安全设备。

4日早些时候,FireEye还分享了在组织的服务器上发现的另一个新的第二阶段后门的信息,这个后门是在一个被SolarWinds黑客入侵的组织的服务器上发现的。

FireEye研究人员认为,被称为Sunshuttle的新恶意软件与追踪为UNC2452(FireEye)、StellarParticle(CrowdStrike)、SolarStorm(Palo Alto Unit 42)、Dark Halo(Volexity)和现在的Nobelium(Microsoft)的SolarWinds黑客有关。

尽管Microsoft和FireEye在他们今天披露的恶意软件之间没有任何联系,但Sunshuttle和GoldMax似乎根据他们共享的C2域及其隐藏C2流量的能力来指定相同的恶意软件种类。

微软表示,“这些功能从先前已知锘工具和攻击模式不同,并重申了攻击者的复杂性。在攻击的所有阶段,参与者都表现出对网络中常见的软件工具、部署、安全软件和系统以及事件响应团队经常使用的技术的深入了解。”

微软上个月还表示,SolarWinds黑客下载了数量有限的Azure、Intune和Exchange组件的源代码。3月1日,SolarWinds披露,截至2020年12月,去年供应链攻击造成的支出约为350万美元。预计在下一个财政期间,将产生高额的额外费用。

 

参考来源:BleepingComputer http://dwz.date/ev8B

 

(九)印度疫苗生产商遭受黑客攻击

据报道,两家印度疫苗生产商和牛津大学实验室成为了黑客攻击的最新目标,他们是在试图窃取COVID-19研究数据。

路透社援引总部位于日本东京的网络安全公司Cyfirma的报道称,中国政府支持的黑客组织APT10(又名Stone Panda)最近几周攻击了两家印度制药商的IT系统,该两家印度制药企业的冠状病毒疫苗正在该国的免疫计划中使用。据路透社报道,该公司表示,黑客发现制药公司Bharat Biotech和印度血清学研究所(SII,全球最大的疫苗生产商之一)的IT基础架构和供应链软件中存在漏洞。

Cyfirma称,黑客行为背后的明显动机是试图泄露制药公司的知识产权。据新闻机构报道,SII正在为许多国家/地区生产阿斯利康疫苗,并将很快开始批量生产Novavax疫苗。

同时,上周《福布斯》报道称,总部位于英国牛津大学的结构生物学部门(Strubi)遭受了黑客入侵,其设备用于制备目标生物化学样品。据《福布斯》报道,Strubi的科学家虽然没有直接参与牛津大学阿斯利康疫苗的研发工作,但该疫苗仍属于该大学的其他部门,但科学家一直积极参与研究Covid-19细胞如何工作以及如何阻止其造成伤害。牛津大学向《福布斯》证实了这一事件,英国情报机构政府通讯总部的分支机构国家网络安全中心正在调查这一事件。

美国新泽西州基恩大学网络安全中心主任Stanley Mierzwa称,参与COVID-19研究的组织需要评估所有连接到其网络的IoT设备和设备,以确保适当的安全性。他表示,“越来越多的这些设备,包括实验室设备、传感器和监视系统、可能正在连接到基于IP的网络。如果没有适当的安全性来实施和更新,它们可能会引入网络漏洞。”

一些执法机构和安全供应商已发出有关医疗行业网络攻击激增的警告,其中包括针对参与COVID-19疫苗和治疗开发及其供应链的机构的网络攻击。

上个月,韩国官员警告说,朝鲜黑客企图攻击从制药商辉瑞(Pfizer)窃取COVID-19疫苗和治疗数据。去年12月,帮助评估和授权药物和疫苗(包括用于COVID-19的药物和疫苗)的欧洲药物管理局(European Medicines Agency)承认其遭到了网络攻击。该机构称,调查显示,一些与COVID-19药品和疫苗有关的非法访问文件已经在互联网上泄露。

同时,全球执法机构以及微软和卡巴斯基都发布了警报,警告政府发起的针对COVID-19制药商和供应链参与者的黑客激增。欧洲刑警组织和国际刑警组织在12月发布了通知,警告与COVID-19疫苗有关的有组织犯罪活动可能激增。

在美国,网络安全和基础设施安全局(CISA)在12月发布了一份咨询报告,援引IBM警告组织的报告,警告参与COVID-19疫苗生产和分销的组织针对冷藏和运输供应链开展全球网络钓鱼活动。

去年夏天,美国国家安全局、网络安全和基础设施安全局、英国国家网络安全中心和加拿大通信安全机构发布的联合咨询报告称,俄罗斯的黑客组织APT29(又名Cozy Bear或The Dukes)针对研究机构的目标是“极有可能窃取与COVID-19疫苗的开发和测试有关的信息和知识产权”。

一些安全专家预测,对COVID-19研究人员和疫苗供应链的攻击将继续发展。英国律师事务所数据保护和网络安全总监马克·亨德利(Mark Hendry)表示,“在资产存在价值并进行交换的地方,这些资产将成为攻击目标,攻击者将在寻找新的攻击方法之前寻找供应链中的薄弱环节。成功的攻击目前似乎主要来自政府支持的黑客团体,目的是渗透IP,尽管这些攻击有影响,但据报道尚未影响到公众受到严重伤害或疫苗接种工作受到不适当干扰的程度。”

亨德利表示,最近的一些攻击将目标对准用于制备生化样品的机器。“令人担忧的是,准备的疫苗剂量本身可能会成为篡改的目标。那些参与疫苗剂量分配的人也可能成为攻击目标。任何篡改或延迟分发,特别是需要超冷存储的疫苗变体,都可能对公众的福祉产生严重影响。公众对疫苗安全性的关注可能会因持续成功的网络攻击而恶化。因此,疫苗供应链中每个组织都有责任为公共利益保护疫苗信息、系统和产品。”
 

参考来源:infoRisk http://dwz.date/euuj
 

 

(十)美国右翼社交平台Gab泄露用户70GB数据

黑客组织DDoSecrets近日泄露了美国右翼社交网络平台Gab.com用户的70GB敏感数据。

Gab是一个右翼社交网络平台,声称提供“言论自由”,没有任何审查制度。Gab是极端主义者的避风港,这些极端人士包括白人至上主义者、新纳粹分子、白人民族主义者、极端右翼人士、和QAnon阴谋理论者。

2020年2月26日,Gab.com发表了一篇博客文章,提到了与黑客有关的谣言,并否认其遭受了数据泄露。随后该公司在一周前神秘下线了一段时间,并坚称比特币钱包垃圾邮件存在一些问题,仅影响了几个帐户。

Gab的首席执行官安德鲁·托尔巴(Andrew Torba)声称,记者与他们联系,并谈论了该数据泄露事件,这可能泄露了帖子、DMs、个人资料和哈希密码的档案。Torba继续为该公司辩护,并表示没有独立证据证明发生的违规行为,还声称他们的网站无论如何也不会收集有关用户的大量个人信息。

然后,Torba指责未透露姓名的记者与黑客合作抹黑其声誉,从而转移了责任。Torba承认,Gab意识到其网站很容易受到SQL注入攻击的威胁,并在上周对其进行了修补,随后进行了安全审核。

声称对此次攻击负责的黑客组织名为DDoSecrets。该组织的创始人艾玛·贝斯特(Emma Best)称自己为类似WikiLeaks的透明组织或黑客主义者组织,而不是黑客。

Wired报道称,“DDoSecrets称,一个自称为“JaXpArO和我的匿名复兴计划”的黑客行动主义者从Gab的后台数据库中窃取了这些数据,试图暴露该平台的大部分右翼用户。”

研究人员确认,在DDoSecrets上一个以“GabLeaks”为标题的帖子下泄露了70GB的数据,泄漏的内容包括70 GB的Gab公共帖子、私人帖子、用户个人资料、用户哈希漏洞、DMs、和群明文密码,以及与15,000个用户以纯文本格式进行的19,000个聊天中的70,000多条消息。

 

 

在Twitter上,Best被问及Gab的数据是否包括国会大厦起义视频/图片?作为回应,贝斯特补充表示,“没有,但是大学可以轻松地使用数据来检索上传到Gab的媒体。”

最初,DDoSecrets于2019年11月开始泄漏大量数据。他们的第一个数据泄漏属于开曼国民银行,当时该银行的2TB数据在网上被泄露。2020年6月,同一小组开始了一项名为BlueLeaks的行动,并从美国200多个警察局和融合中心转储了296 GB的数据。这些泄密事件使当局感到不安,并迫使德国警察扣押了位于德国茨维考的DDoSecrets服务器。

 

 

另一方面,Gab是右翼的“言论自由”社交网络,他们声称坚持美国宪法的第一修正案,并允许其平台上进行各种形式的政治言论,但非法活动、暴力、打扰、色情、剥削儿童和垃圾邮件除外。此外,他们反对任何形式的审查,这就是为什么多年来也禁止超过25家服务提供商禁止使用它们的原因,包括App Store、支付处理器、托管提供商、甚至VISA。
 

参考来源:HackRead http://dwz.date/eum8

 

(十一)马来西亚航空公司遭受长达九年的数据泄露事件

马来西亚航空公司披露,其遭受了长达9年的数据泄露事件,该事件暴露了其Enrich常客计划中成员的个人信息。从3月1日开始,马来西亚航空公司开始向其Enrich奖励计划的成员发送电子邮件,以通知他们受到数据泄露的影响。

 

 

据马来西亚航空公司称,此次入侵发生在一家第三方IT服务提供商,该提供商通知马来西亚航空,其在2010年3月至2019年6月期间的会员数据被泄露。“马来西亚航空公司收到其第三方IT服务提供商的数据安全事件的通知,该事件涉及2010年3月至2019年6月之间马来西亚航空公司常旅客计划Enrich成员的一些个人数据。该事件并未发生以任何方式影响马航自己的IT基础架构和系统。”

泄露的会员信息包括会员姓名、联系方式、出生日期、性别、常客号码、状态、奖励等级。这些被泄露的数据不包括Enrich会员的行程、预订、票务,也不包括任何身份证或支付卡信息。

虽然马航表示,没有暴露任何密码,也没有滥用的证据,但马航建议用户无论如何都要更改密码。“如果您是Enrich计划的成员,则应立即登录到您的帐户并更改密码。如果在其他站点使用此密码,则也应在此更改。”目前尚不清楚有多少成员受到这一违规行为的影响。

马来西亚航空公司进一步警告称,他们不会通过电话联系会员更新信息。因此,如果您接到马航关于这一违规事件的电话或询问进一步信息,应立即保持可疑并挂断电话。威胁分子利用数据泄露中发现的数据进行恶意攻击是很常见的,并且所有Enrich成员都应该警惕来自航空公司的电子邮件、短信和电话。

 

参考来源:BleepingComputer http://dwz.date/euZ8

 

(十二)意大利100多家银行遭受Ursnif特洛伊木马攻击

Avast研究人员3月2日发布研究文章称,知名特洛伊木马Ursnif已攻击了100多家意大利银行。此次攻击的幕后操作者窃取了金融机构的金融数据和凭证。

Ursnif是一种恶意软件,于2007年以银行木马的身份诞生,但经过多年的发展,一直是持续不断的威胁。多年来,Ursnif的目标用户是全球许多国家/地区的用户,这些用户通常使用母语的电子邮件诱饵进行传播。Ursnif影响最大的国家包括意大利,这一事实反映在研究人员获得的信息中。

Avast发表的分析报告称,“通过分析这些信息,我们的研究人员发现了可用于帮助保护Ursnif过去和现在的受害者的信息。具体来说,我们发现了用户名、密码、信用卡、银行和支付信息,这些信息似乎是被恶意软件运营商从受害者那里窃取的。在我们获得的信息中,我们看到了100多家意大利银行成为攻击目标的证据。还有单个支付处理器的1700多张凭证被盗。”

根据Avast的数据,至少有100家意大利银行成为Ursnif特洛伊木马的攻击目标,在一个案例中,骗子从某一个支付处理商那里窃取了1700多套凭证。

Ursnif是当今通过恶意垃圾邮件活动传递的最广泛的常见威胁之一。大约13年前出现在威胁领域,自2014年其源代码在网上泄露,就开始流行起来,这使一些威胁行为者有机会开发自己的版本。

Avast研究人员与受影响的支付处理机构和银行以及意大利当局和金融机构(包括CERTFin)分享了他们的研究结果。利用这些信息,公司和机构可以采取措施保护他们的客户,帮助他们从Ursnif的影响中恢复过来。
 

参考来源:avast http://dwz.date/ev7V

 

(十三)乳制品集团Lactalis遭受网络攻击

全球领先的乳制品集团Lactalis披露其遭受了网络攻击,未知攻击者破坏了该公司的一些系统。

Lactalis Group在全球51个国家拥有85000名员工,向全球100多个国家出口乳制品。Lactalis控制着多个领先的国际品牌,包括Président、Galbani、Lactel、Santal和Parmalat。

在2月26日发布的一份新闻稿中,Lactalis表示,在攻击期间,其网络上只有有限数量的计算机受到了攻击。该公司表示,“Lactalis Group检测到其部分IT网络遭到入侵。我们立即采取措施遏制了这次袭击,并已通知主管部门。我们的调查结果表明,有恶意的第三方试图侵入我们的服务器。”

Lactalis还补充表示,根据对这起事件的持续调查,没有数据泄露需要报告。Lactalis称,“我们的IT团队得到了网络安全领域公认的专家的充分动员和支持,我们的调查显示,目前还没有数据泄露。”

Lactalis还将受网络攻击影响的所有公司网站的IT系统离线。“Lactalis团队正在努力保护我们的客户、合作伙伴和员工的利益。这就是为什么我们主动采取限制措施,限制我们访问公共互联网网络的原因。”

虽然Lactalis表示,在攻击期间没有数据被被窃取,但威胁行为者通常会窃取敏感信息和文件,同时通过受感染的网络进行传播。这类攻击通常会导致敲诈勒索企图,如果不支付赎金,被盗数据就会被发布在数据泄露网站上。

随后,Lactalis发言人发表了如下声明,“我们检测到一部分IT网络受到攻击,并立即采取了措施俩限制此事件影响,并已通知有关当局。作为预防措施,我们已主动限制了对公共互联网网络的访问,并且我们正在努力在正常条件下进行所有活动。调查结果表明,恶意第三方正在试图入侵我们的服务器。在网络安全专家的支持下,我们的IT团队已全面动员以应对这一令人遗憾的事件。在此阶段,尚未发现任何数据泄露事件,我们将继续按照承诺进行正常运营。”
 

参考来源:BleepingComputer http://dwz.date/etNK

 

(十四)亚洲食品分销商JFC International遭受勒索软件攻击

亚洲食品的主要分销商和批发商JFC International 2月25日透露,该公司最近成为勒索软件攻击的目标,破坏了其某些IT系统。JFC将该事件成为数据泄露事件,所以攻击者可能获得了一些信息。

这次攻击只影响了JFC International的欧洲集团,该集团表示已将有关事件通知当局、员工和商业伙伴。

该公司在其欧洲网站上发布的一份声明中称,“一项由内部专家和外部网络专家共同进行的全面深入调查立即启动,目前正在进行中。由于安全原因,短暂中断后,欧洲的正常业务将开始运作。受影响的服务器得到了保护。”

JFC International是日本食品制造商Kikkoman的子公司,已经以各种形式存在了一个多世纪。除了从其他公司进口品牌产品外,JFC还向零售商和饭店提供其自己的产品。
 

参考来源:SecurityWeek http://dwz.date/euZr

 

(十五)荷兰电子票务平台TicketCounter泄露190万用户信息

荷兰电子售票平台Ticketcounter近日遭受了数据泄露,该平台的一个包含190万个独立电子邮件地址的用户数据库从一个不安全的中转服务器上泄露。

Ticketcounter是荷兰的一个电子售票平台,允许动物园、公园、博物馆和活动等客户提供其场馆的在线门票。2月21日,一名黑客在一个黑客论坛上创建了一个话题,打算出售窃取的售票处数据库,但很快就撤了帖子。

起初,人们认为是出于对荷兰警方的顾虑,才将其移除。然而,威胁者表示,他们不害怕执法,他们删除这个帖子因为数据库是私下出售的。从数据库样本中可以看到,暴露的数据包括姓名、电子邮件地址、电话号码、IP地址和哈希密码。

 

 

Ticketcounter证实了数据泄露的消息。Ticketcounter首席执行官Sjoerd Bakker表示,他们将一个数据库复制到Microsoft Azure服务器上,以测试用虚假数据替换个人数据的“匿名化过程”,这应该是一个透明的模型。不幸的是,在复制数据库之后,它没有得到适当的保护,威胁参与者能够下载它。

Bakker表示,在威胁行为者出售数据库后不久,黑客还联系了Ticketcounter,要求支付7个比特币(约合33.7万美元)才不会泄露数据。威胁者警告说,如果Ticketcounter没有付款,他们将联系Ticketcounter的所有合作伙伴,提醒他们这一漏洞。

TicketCounter领先了一步,已经联系了他们所有的客户,并分享了被盗的信息。由于实际购票者是TicketCounter客户的客户,各场馆已被建议向受影响的人发出各自的数据泄露通知。

Bakker表示,TicketCounter正在为他的客户创建各种资源,以促进这些数据泄露通知。其中包括查找小工具、常见问题解答和电子邮件模板,客户可以与客户共享以了解入侵情况。

在没有收到付款后,这个威胁者今天在一个黑客论坛上免费发布了数据库。

 

 

被盗的数据库已经被威胁行为者提供给了Have I Been Pwned的Troy Hunt,并被添加到数据泄露查找服务中。对于那些担心他们可能已经受到影响的人,可以提交自己的电子邮件到Have I Been Pwned,以查看是否包括在泄露的数据中。

由于受影响的并不是Ticketcounter的直接顾客,大多数用户将不得不等到相关的场馆披露数据泄露。在等待期间,建议用户更改密码,并且应该使用唯一的密码,这样一个网站的入侵不会影响到其他网站。建议使用密码管理器来记录所有的密码。由于数据库已经免费发布,那些受影响的人也应该小心那些试图窃取更多敏感信息的网络钓鱼邮件。
 

参考来源:BleepingComputer http://dwz.date/etNS

 

 

(十六)字节跳动同意为TikTok数据收集支付9200万美元进行和解

TikTok中国母公司字节跳动已同意向美国用户支付9200万美元的赔偿金,这些用户参与了一场集体诉讼,指控视频分享应用程序未能获得他们的同意收集数据,违反了严格的伊利诺伊州隐私法。

联邦诉讼指控TikTok违反了伊利诺伊州生物识别隐私法,该法律允许对未经同意(包括通过面部和指纹扫描)收集消费者数据的公司提起诉讼。伊利诺伊州是唯一一个法律允许人们为这种未经授权的数据收集寻求金钱赔偿的州。

TikTok在一封电子邮件声明中表示,“虽然我们不同意这些说法,但我们希望把精力集中在为TikTok社区打造安全快乐的体验上,而不是经历漫长的诉讼。”

去年2月,Facebook同意根据同一法律达成5.5亿美元的和解协议。TikTok的和解协议仍必须由联邦法官批准。

隐私权倡导者称赞该法律是美国在此类数据的商业使用中最强大的保护形式,并且它在技术行业和其他企业削弱该法律的不断努力中幸存下来。

伊利诺伊州是拥有管理生物识别数据使用法律的三个州之一。但是另外两个州德克萨斯州和华盛顿州,不允许个人提起诉讼,而是将执法权委托给他们的司法部长。
 

参考来源:美联社 http://dwz.date/euUH

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号