安全研究
全部分类

关键信息基础设施安全动态周报【2021年第17期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-04-30 15:52
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第17期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第17期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第17期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-04-30 15:52
  • 访问量:
详情

目   录
 

第一章 国外关键信息基础设施安全动态

(一)罗克韦尔修复Stratix工业交换机中多个漏洞

(二)美国油田服务公司Gyrodata遭受网络攻击泄露员工数据

(三)英国铁路网络Merseyrail遭受Lockbit勒索软件攻击

(四)Eaton智能电源管理器存在漏洞可中断电源供应

(五)APT组织Naikon使用新型后门Nebulae攻击军事组织

(六)思科Talos发现Linux内核中存在信息泄露漏洞

(七)西班牙多公共管理部门遭受网络攻击

(八)美国华盛顿特区警察局遭受Babuk勒索软件攻击

(九)150万政府组织电子邮件地址及密码泄露

(十)开源软件工具HashiCorp泄露签名秘钥

(十一)密码管理器Passwordstate遭受供应链攻击

(十二)黑客利用文件共享设备FileZen中两个漏洞窃取数据

(十三)美国空军采用零信任保护飞行路线

(十四)俄罗斯SVR将继续以美国作为攻击目标

(十五)机票预订系统Radixx遭受网络攻击影响20多家航空公司

(十六)印度配送服务商BigBasket在暗网泄露2000万用户信息

 

第一章 国外关键信息基础设施安全动态

(一)罗克韦尔修复Stratix工业交换机中多个漏洞

工业自动化公司罗克韦尔为其部分Stratix交换机发布了固件更新,以解决因使用Cisco IOS XE软件而带来的漏洞。

罗克韦尔会定期发布Stratix设备的固件更新,以解决因使用Cisco软件而引入的漏洞。实际上,罗克韦尔为其Stratix产品发布的大多数安全公告都解决了思科软件中存在的漏洞。

罗克韦尔最新发布的Stratix公告涵盖了影响Stratix 5800托管的工业以太网交换机的八个漏洞,其中一个漏洞是与通用工业协议(CIP)相关的特权提升漏洞,也会影响Stratix 8000、8300、5700、5400和5410交换机。

影响多个Stratix产品的高危漏洞CVE-2021-1392 CVSS评分为7.8分,该安全漏洞允许经过身份验证的本地攻击者获取CIP密码,可稍后使用该密码将目标设备远程配置为管理员用户。

另一个高危漏洞CVE-2021-1403与Cisco IOS XE软件的Web UI功能有关,可以在未经身份验证的情况下远程利用该漏洞进行跨站点WebSocket劫持攻击,并导致目标设备进入DoS状态。

另外两个高危漏洞为未经身份验证的攻击者可以利用的DoS漏洞及特权提升漏洞。但是,只有在启用DECnet协议的情况下,才可以利用DoS漏洞,默认情况下该协议没有启用。

其他的安全漏洞均为中危漏洞,可以利用这些漏洞进行OS命令注入和DoS攻击,但是其中一个漏洞需要对设备进行物理访问,而其他漏洞则需要一些特权才能被利用。

思科于3月24日发布了针对这些漏洞的公告,其中许多都是思科在2021年3月发布的安全公告中的一部分,罗克韦尔在两天后发布了自己的公告,美国网络安全和基础架构安全局(CISA)4月20日也发布了公告,向工业组织通报了有关漏洞的信息。

罗克韦尔已发布了Stratix 5800交换机的固件更新,在补丁程序可用于其他受影响的设备之前,建议客户实施缓解措施以降低被利用的风险。
 

参考来源:SecurityWeek http://dwz.date/eT7s
 

 

(二)美国油田服务公司Gyrodata遭受网络攻击泄露员工数据

美国油田服务公司Gyrodata披露,其近日遭受了一起网络攻击事件,导致员工敏感信息泄露。

总部位于美国得克萨斯州休斯顿的Gyrodata公司为石油和天然气、采矿和土木工程项目提供测量和有线服务。

2月21日,Gyrodata在其系统上发现了一个勒索软件。调查显示,攻击者至少在2021年1月16日至2月22日期间访问了其系统。黑客似乎已经进入了存储现任和前任雇员信息的服务器,这些信息包括姓名、出生日期、地址、社保号码、驾照号码、护照号码、W-2纳税表格和医疗计划信息。目前尚不清楚有多少人受到影响,也不清楚该事件是否对业务造成了影响。

Gyrodata表示,它已经开始通知受影响的个人,并为SSN或驾照号码被泄露的人提供免费的信用监测和身份保护服务。该公司已与一家网络安全公司签约,以协助其调查,联邦执法部门也已接到通知。

研究人员检查了一些知名的勒索软件组织的泄密网站,但没有发现任何关于Gyrodata的信息。网络犯罪组织通常威胁要在这些网站上发布窃取的信息,以勒索赎金。

网络安全公司卡巴斯基上个月报告称,该公司观察到,在2020年下半年,针对工业控制系统(ICS)计算机的勒索软件攻击有所减少,但发达国家的这类攻击有所增加。2021年初,有人观察到Cring勒索软件背后的威胁行为者针对欧洲工业企业发起攻击,迫使至少一家组织关闭了生产站点。
 

参考来源:SecurityWeek http://dwz.date/eVQs
 

 

(三)英国铁路网络Merseyrail遭受Lockbit勒索软件攻击

英国铁路网络公司Merseyrail证实其遭受了网络攻击事件,勒索软件组织Lockbit利用其电子邮件系统向员工和记者发送了恶意电子邮件。Merseyrail是英国铁路网络,在英格兰利物浦市地区的68个车站提供火车服务。

Merseyrail总监Andy Heath表示,“我们可以确认Merseyrail最近遭受了网络攻击。已经展开了全面调查,并且正在继续。与此同时,我们已通知相关当局。”

虽然尚未公开披露这一网络攻击事件,但研究人员在4月18日收到一封来自Heith的主题为“Lockbit Ransomware Attack and Data Theft”的电子邮件后,得知了这一事件。这封电子邮件已发送给BleepingComputer、英国的多家报纸以及Merseyrail的工作人员,这似乎是由于Lockbit勒索软件组织接管了Merseyrail主管的@merseyrail.org Office 365电子邮件帐户。

在这封电子邮件中,威胁参与者伪装成Merseyrail的主管,告诉员工上个周末他们遭受了勒索软件攻击,黑客窃取了员工和客户数据。该电子邮件中包含一个图像链接,该图像显示了Lockbit据称在攻击过程中窃取的员工的个人信息。

在多次尝试与Merseryrail联络并确攻击后击,终于在昨晚收到了Merseyrail的声明。当询问主管的电子邮件是如何受到损害时,Merseryrail表示,“事件调查正在进行中,我们不宜再作进一步评论。”

英国信息专员办公室(ICO)也证实,Merseyrail已经通知了他们这一事件。“Merseyrail已经让我们知道了一个事件,我们正在评估提供的信息。”

在过去的一年中,勒索软件组织在勒索手段上变得越来越激进。过去,勒索软件攻击包括威胁行为者窃取受害者的数据,然后加密他们的文件以强制支付赎金。随着时间的推移,威胁参与者的策略已经升级为对受害者的网络和网站进行DDoS攻击、向客户和记者发送电子邮件、并威胁要与证券交易所联系。

不幸的是,尽管这些攻击仍在进行,但员工和客户通常是最后一个了解他们的数据和组织发生什么情况的人。使用受害者的电子邮件系统向员工、新闻工作者和客户宣传攻击行为,可能会让人大吃一惊。
 

参考来源:BleepingComputer http://dwz.date/eWEK

 

(四)Eaton智能电源管理器存在漏洞可中断电源供应

电源管理解决方案提供商伊顿(Eaton)近日发布了智能电源管理器(IPM)软件的修补程序,以解决六个潜在的严重漏洞,其中包括一个可能允许黑客破坏电源的漏洞。

Eaton的IPM解决方案旨在确保系统正常运行时间和数据完整性,允许组织远程监控、管理和控制其网络上的不间断电源(UPS)设备。

根据Eaton于4月12日和CISA于4月20日发布的安全公告,该IPM产品受到六个高危漏洞影响,这些漏洞可用于SQL注入、命令执行、删除任意文件、上传任意文件、以及远程代码执行。

虽然某些漏洞只能由经过身份验证的攻击者利用,但其他漏洞可以在未经身份验证的情况下利用,包括针对任意代码执行的漏洞。

工业网络安全公司Claroty的研究副总裁Amir Preminger在接受采访时表示,这些问题是在IPM软件的一个web服务器界面上发现的,该界面允许用户配置产品。此web服务器通常可以从本地网络访问,而不是托管在面向公共的服务器上。Claroty向Eaton报告了这六个漏洞。

Preminger解释表示,“伊顿IPM软件的目标是使用户能够管理其UPS系统。通过利用使用此软件的服务器,攻击者可以中断UPS运行,从而中断依赖UPS为电源的设备的电源供应。最重要的是,应该对该产品进行修补,因为一些CVE是经过预先认证的,并且在没有服务器设置先验知识的情况下,攻击者可能会利用它们。”

这些安全漏洞会影响运行1.69之前版本的Eaton IPM和Intelligent Power Manager虚拟设备(IPM VA),以及运行1.68之前版本的Intelligent Power Protector(IPP)。版本1.69和1.68解决了该漏洞,组织还可以阻止端口4679和4680,以防止被利用。
 

参考来源:SecurityWeek http://dwz.date/eVYZ

 

(五)APT组织Naikon使用新型后门Nebulae攻击军事组织

Bitdefender研究人员4月28日发布研究报告称,其发现了APT组织Naikon在针对东南亚军事组织的多起网络间谍行动中使用的一个新后门。

APT组织Naikon自2010年以来一直活跃,自2015年以来一直受到关注,攻击目标是亚太地区APAC的实体。该组织的攻击目标包括包括菲律宾、马来西亚、印度尼西亚、新加坡和泰国。主要集中在政府机构、军队等知名组织。

Naikon大量利用DLL劫持来执行恶意代码,BitDefender专家在调查侧载技术时发现了一个与NAIKON网络间谍组织有关的长期活动。

Naikon滥用的合法软件有:ARO 2012教程8.0.12.0、VirusScan按需扫描任务属性(McAfee,Inc.)、Sandbox COM Services(BITS)3.55.06(sandbox L.T.D)、Outlook Item Finder 11.0.5510(Microsoft Corporation)、Mobile Popup Application 16.00(Quick Heal Technologies(P)Ltd.)

与该组织之前的行动不同,在最近的攻击中,该APT组织使用了一个新型后门Nebulae,以获得受感染系统的持久性。

Bitdefender发布的报告中称,恶意活动市在2019年6月至2021年3月之间进行。在行动开始市,威胁行为者使用Aria-Body装载机和Nebulae作为第一阶段的攻击。从2020年9月开始,威胁行为者在他们的工具包中加入了RainyDay后门。

基于对攻击中使用的命令和控制服务器和工件的分析,研究人员将该威胁行动归因于APT组织Naikon。该恶意软件通过添加新的注册表项来获得持久性,以便在登录后系统重新启动时自动执行恶意代码。

Nebulae支持常见的后门功能,包括收集LogicalDrive信息、操作文件和文件夹、从命令和控制服务器下载及上传文件、列出/执行/终止受感染设备上的进程

Bitdefender表示,“到目前为止,我们获得的数据几乎没有说明Nebulae在这一行动中的作用,但是持久性机制的存在可能意味着,在对攻击者不利的情况下,它被用作受害者的备用访问点。”

Naikon APT还提供了一个名为RainyDay(又称FoundCore)的第一阶段有效载荷,用于部署第二阶段恶意软件和工具,包括Nebulae后门。RainyDay后门程序用于执行侦察、上载其反向代理工具和扫描器、执行密码转储工具,执行横向移动并实现持久性。


 

参考来源:SecurityAffairs http://dwz.date/eXyG

 

(六)思科Talos发现Linux内核中存在信息泄露漏洞

Cisco Talos近日在Linux内核中发现了一个信息泄漏漏洞CVE-2020-28588。

Linux内核是类Unix操作系统的免费开源核心。此漏洞特别存在于运行Linux的32位ARM设备的/proc/pid/syscall功能中。

TALOS-2020-1211(CVE-2020-28588)是一个信息泄漏漏洞,允许攻击者能够查看内核堆栈内存。研究人员首先在Azure Sphere设备(版本20.10)上发现了这个问题,这是一个运行补丁Linux内核的32位ARM设备。

攻击者可以通过读取/proc/<PID>/syscall(一个合法的Linux操作系统文件)来攻击此漏洞,从而无法在网络上进行远程检测。如果利用得当,攻击者可以利用此信息泄漏成功利用其他未打补丁的Linux漏洞。

Cisco Talos与Linux一起遵循Cisco漏洞披露政策,以确保此问题得到解决,并为受影响的客户提供更新。

Cisco Talos鼓励用户尽快更新这些受影响的产品:Linux内核版本5.10-RC4、5.4.66和5.9.8。Talos已测试并确认此漏洞可利用这些版本的Linux内核。
 

参考来源:Talos http://dwz.date/eW49

 

(七)西班牙多公共管理部门遭受网络攻击

西班牙国家统计局(INE)、教育及文化部、司法部、经济事务部、数字转型部等不同部门的网站近日遭受了网络攻击。此次攻击导致INE网站关闭了至少12个小时以上,目前已恢复运行。

这是一系列攻击,以同步方式影响了不同的公共管理部门,并对其网页造成了一些影响。经济部的消息来源证实了对Xataka的攻击,并解释称,“不同组织昨天遭受了攻击影响,攻击已经得到解决,并且可以正常运行。”

此次网络攻击的目标和来源不得而知。如El Confidencial所述,攻击“在一定程度上超过了受影响实体的能力”,目前由国家加密中心(CCN)控制,该中心正在评估范围。

正如经济事务和数字转换部对Xataka解释的那样,“24日在经济事务和数字转换部的某些服务器上检测到恶意代码,并已采取了必要措施来遏制这一事件。对数据的影响已经不存在,并且在相关验证之后,服务在几个小时内已经恢复。”

第一个受影响的是INE网站,该网站24日晚6:00 pm左右停止运行。据MuyComputer解释,出现了一张图像,其中报告了可能的网络攻击,并且与SARA网络的通信已中断,这意味着portafirmas、Cl@ve、Geiser或中介平台的服务已暂停。

SARA是“管理应用系统和网络”的缩写。这是2006年开发的中央网络,用于连接大部分公共管理网站。网络攻击者曾试图影响该关键系统,如果受到影响,则可能在主要主管部门造成严重问题。

攻击期间,教育和文化部等网站无法访问。司法部的网站上也出现了变化,目前仍需要进行注册才能访问。以前不需要登录就可以浏览并获得通知。

 

 

四月初,欧盟的几个机构都受到了安全事件影响。在西班牙,另一次网络攻击已导致SEPE的严重延误。欧洲复苏基金计划投资高达43.15亿欧元,以实现卫生、司法、SEPE、社会保障或领事馆的管理现代化。其中一些国家的系统不够先进,并且对一些网络攻击也不够敏感,因此在2021年这些网络攻击一直在持续。
 

参考来源:AsapLand http://dwz.date/eWf6

 

(八)美国华盛顿特区警察局遭受Babuk勒索软件攻击

美国华盛顿特区执法机构大都会警察局(DC警察或MPD)近日证实,其遭受了网络攻击,勒索软件组织Babuk泄露了窃取数据的截图。

华盛顿警方表示,他们知道服务器遭受了入侵,联邦调查局正在调查此事。“我们知道我们的服务器遭受了未经授权的访问。在确定全部影响并继续审查活动的同时,我们已与FBI进行了全面调查。”在发表此声明之前,Babuk Locker勒索软件组织表示他们已经入侵了DC警察的网络并窃取了250 GB未加密文件。

作为此次泄密的一部分,勒索软件组织发布了据称是他们在攻击期间窃取的各种文件夹的截图。文件夹名称似乎包含大量与行动有关的文件、纪律记录,以及与在华盛顿活动的组织成员的文件。

勒索软件组织在数据泄露页面上警告称,MPD有3天的时间联系他们,否则威胁行为者将开始联系他们警方的线人。其中一个截图包括所有文件夹的时间为2021年4月19日,这很可能是威胁行为者窃取数据的时间。

 

 

Babuk组织特别指出,其中一份文件的标题与1月6日袭击首都大楼的抗议活动后的逮捕有关。

今年1月,就曾报道过Babuk Locker勒索软件,当时他们开始在黑客论坛上操作并泄露受害者的数据。从那以后,该组织慢慢地增加了活动,招募更多的黑客与他们合作,破坏更多的企业网络。
 

参考来源:BleepingComputer http://dwz.date/eXbP

 

(九)150万政府组织电子邮件地址及密码泄露

对在网络犯罪论坛上免费发布的名为COMB21的100GB海量数据分析发现,其中32.8亿个密码与21.8亿个唯一电子邮件地址相关联。其中还包括150万个世界各地政府组织的电子邮件地址及密码,其中美国政府约有62.5万个,中国政府约有1.8万个。

 

 

这一发现来自于一个名为COMB21的海量100 GB数据集的分析,该数据集是对许多违规行为的汇编,该数据集是今年2月初在一个网络犯罪论坛上免费发布的,该数据汇集了多年来发生的不同公司和组织的多个泄密数据,是泄露用户名和密码最大的数据转储之一。

此外,泄漏的数据还包括与来自世界各地政府域的电子邮件地址相关的1,502,909个密码,与美国政府有关的有625,505个密码,其次是英国(205,099)、澳大利亚(136,025)、巴西(68,535)、和加拿大(50,726)。

 

 

然而,泄漏并不意味着违反了公共管理系统。这些密码是通过被盗后的密码哈希破解或通过网络钓鱼攻击和对不安全的明文连接进行窃听等技术获得的。

受此次泄漏影响的美国前十大政府域名如下:

1、国务院-state.gov(29,144)

2、退伍军人事务部-va.gov(28,937)

3、国土安全部-dhs.gov(21,575)

4、国家航空航天局-nasa.gov(15,665)

5、国税局-irs.gov(10,480)

6、疾病控制与预防中心-cdc.gov(8,904)

7、司法部-usdoj.gov(8,857)

8、社会保障局-ssa.gov(8,747)

9、美国邮政服务-usps.gov(8,205),以及

10、环境保护署-epa.gov(7,986)

有趣的是,这起泄密事件还包括13份与佛罗里达州Oldsmar水厂电子邮件有关的凭证。但是没有证据表明2月份使用了破解的密码来进行网络攻击。相比之下,与中国政府领域相关的密码只有18282个,与俄罗斯相关的密码只有1964个。

Syhunt创始人兼CVO Felipe Daragon表示,“这表明这些国家/地区中的密码由本地字母组成,不太容易受到黑客的攻击。这是相对于罗马字母而言意外的保护层。”强烈建议已公开其信息的用户更改其现有密码。
 

参考来源:TheHackerNews http://dwz.date/eWsk

 

(十)开源软件工具HashiCorp泄露签名秘钥

知名开源软件工具和基础设施提供商HashiCorp披露,其遭受Codecov供应链事件影响。由于Codecov供应链攻击收集开发人员凭证,导致HashiCorp用来签名和验证软件发布的GPG签名密钥泄露,作为预防措施,秘钥已被轮换使用。

Codecov为超过29,000个客户提供软件测试和代码覆盖服务。4月1日,Codecov获悉,由于Docker图像存在漏洞,威胁行为者已经获得了客户使用的Bash Uploader脚本的凭据。

Bash Uploaders程序被恶意代码行修改,这些代码行将从某些客户的CI/CD环境中收集的环境变量和机密泄漏到攻击者控制的服务器。

 

 

根据Codecov的调查,Bash Uploader最初的威胁发生在1月31日,使这次攻击持续了大约两个月。HashiCorp用来验证HashiCorp产品下载的签名哈希的GPG私钥被泄露。虽然调查没有发现未经授权使用暴露的GPG密钥的证据,但该秘钥已被轮换,以维持可信的签名机制。

一个新的GPG密钥已发布,旧的GPG密钥已撤销。HashiCorp表示,此事件仅影响了HashiCorp的SHA256SUM签名机制。

 

 

MacOS代码签名以及HashiCorp版本的Windows AuthentiCode签名不受公开私钥的影响。同样relases.hashicorp.com上提供的Linux包(Debian和RPM)也不会受到影响。

然而,HashiCorp的建议指出,他们的Terraform产品还没有打补丁来使用新的GPG密钥。TerraForm是一个开源的基础设施即代码软件工具,用于安全和可预测地创建、更改和改进基础设施。

该公司表示,将发布补丁版本的Terraform和相关工具,在自动代码验证期间使用新的GPG密钥。作为事件应对活动的一部分,HashiCorp正在进一步调查Codecov事件是否暴露了任何其他信息,并计划随着调查的进展提供相关最新情况。

据早些时候报道,由于Codecov Bash Uploader事件,有数百个Codecov客户网络被破坏。美国联邦调查人员也已经介入,并正在与Codecov和他们的客户合作,调查此次攻击的全部影响。因此,预计在接下来的几周里,不同客户将公布更多安全信息。随着软件供应链攻击成为威胁参与者的最新焦点,它们继续呈上升趋势。

就在23日,根报道称,许多财富500强客户使用的Passwordstate企业密码管理器在一次供应链攻击中遭到黑客攻击。
 

参考来源:BleepingComputer http://dwz.date/eTVt

 

(十一)密码管理器Passwordstate遭受供应链攻击

开发Passwordstate企业密码管理器的Click Studios公司通知客户,攻击者在入侵Passwordstate网络后,破坏了该应用的更新机制,在供应链攻击中传递恶意软件。

PasswordState是一种内部密码管理解决方案,该公司声称,全世界2.9万家公司的37万多名安全和IT专业人员使用该解决方案。其客户名单包括来自政府、国防、金融、航空航天、零售、汽车、医疗保健、法律和媒体等多个行业领域的公司,其中许多在《财富》500强排名中。

根据一封发给客户的关于供应链攻击的通知邮件,客户可能在4月20日至22日期间下载了恶意升级。Click Studios在一封标题为“确认格式错误的文件和基本行动纲领”的电子邮件中告诉客户,“初步分析表明,使用复杂技术的不良行为者损害了本地升级功能在UTC时间4月20日下午8:33到UTC时间22日上午0:30之间进行的任何本地升级都有可能下载格式错误Passwordstate_ipgrade.zip,该文件来自不受Click Studios控制的下载网络。”

 

 

一旦部署,恶意软件Moserpass将收集系统信息和密码状态数据,然后发送到攻击者控制的服务器。

SentinelOne首席威胁研究员.A.Guerrero-Saade表示,“攻击者粗暴地在PasswordState的原始代码中添加了一个‘Loader’代码部分,只比旧版本多了4KB。乍一看,Loader可以从上面的C2中提取下一阶段的有效负载。还有一些代码可以解析‘PasswordState’保管库的全局设置(代理用户名/密码等)。”

Click Studios在4月24日发布的一份安全公告中补充表示,“这个过程提取有关计算机系统的信息,并选择密码状态数据,然后将这些数据发布到坏人CDN网络上。”

在上传收集到的数据后,恶意软件将休眠1天,然后重新启动采集和上传过程。自4月22日上午7点开始,攻击中使用的CDN服务器不再可用,因为它们已被删除。

该公司4月25日发布了第二份公告称,“只有在上述时间段内进行了本地升级的客户才会受到影响,他们的密码记录可能已经被窃取。Click Studios CDN网络并未受到损害。最初的损害是将就地升级功能指向不受Click Studios控制的CDN网络。”

对于加密了密码信息的客户来说,在这种情况下,Moserpass不会收集密码信息并将其上传到威胁参与者的服务器上。

Click Studios建议在入侵期间升级客户端的客户重置其Passwordstate数据库中的所有密码。它还建议按如下方式确定密码重置的优先顺序:

1、互联网暴露系统(防火墙、VPN、外部网站等)的所有凭据;

2、内部基础设施的所有凭据;

3、所有剩余的凭证。

该公司还通过电子邮件向可能受影响的客户发送了修复程序,帮助他们删除Moserpass恶意软件。

网络安全公司CSIS在分析了在这次供应链攻击中部署的一个恶意DLL后,共享了包括恶意加载程序哈希和一个命令控制服务器地址在内的攻击指标(IOCs)。网络安全公司CrowdStrike也发布了对Passwordstate供应链攻击中Moserpass恶意代码的分析。
 

参考来源:BleepingComputer http://dwz.date/eWJB
 

 

十二)黑客利用文件共享设备FileZen中两个漏洞窃取数据

威胁行为者正在利用一个流行的文件共享服务器FileZen中的两个漏洞,来入侵企业和政府系统窃取敏感数据。这是全球黑客攻击活动的一部分,该行动已成功攻击了日本首相内阁办公室。

这些攻击的目标是日本Soliton公司的流行文件共享网络设备FileZen,与2020年末2021年初针对Accellion的FTA文件共享系统的攻击惊人地相似。这两种设备的工作方式相同,它们被用来存储无法通过电子邮件发送的大文件。用户通常在FileZen服务器上上传文件,然后使用基于web的面板获取链接,以便与其他员工或组织之外的人员共享。

与大多数这些供应商一样,Soliton提供了基于云的FileZen版本,但也提供了独立的服务器,可以在高度安全的环境中安装,以满足特定的数据隐私要求。

 

 

尽管FTA攻击事件在今年早些时候曝光,但调查人员现在才发现针对FileZen的攻击企图,FileZen是一种安装基地较小的解决方案,主要位于日本境内。

一位熟悉日本调查情况的消息人士表示,黑客似乎在1月份发现了两个FileZen安全漏洞的组合,他们今年早些时候开始利用这个漏洞。

威胁参与者使用CVE-2020-5639和CVE-2021-20655漏洞攻击了了保持在线状态且未置于防火墙后面的FileZen系统。这两个漏洞分别于2020年12月和2021年2月修复。第一个漏洞允许威胁者在设备上上传恶意文件,第二个漏洞允许他们以更高的权限运行操作系统命令。

在其网站上发布的支持文件中,Soliton通知其客户更新到v4.2.8或v5.0.3或更高版本,以修补攻击者的入侵点并防止未来的入侵。然而,由于攻击在补丁准备就绪之前就开始了,Soliton也假定客户系统已经被攻破。该公司现在建议客户重置所有管理员账户密码,并重置访问控制(内部防火墙)列表。
 

参考来源:TheRecord http://dwz.date/eVhu

 

(十三)美国空军采用零信任保护飞行路线

零信任是业务转型的重要组成部分。信息基础设施随着新技术和新地点的发展而扩展,零信任使组织可以集中精力保护数据,不用管数据的来源及使用方式。

现在,美国空军已采取零信任来改善和保护其飞行路线。严格来说,飞行路线是飞机的维护区域,包括跑道和起飞区域,即飞机准备起飞的机场的任何部分。然而,飞行路线中每架飞机的数据必须返回到中央存储库进行分析,并确保有足够的零件可用于保证每台机器的正常运行时间。

通常,在过去,来自飞机的数据会被传输到USB驱动器上,然后直接传送到挂架中的应用程序,或者传送到更远的中央存储库。因此,飞行航线包括处于维修位置的飞机、有USB驱动器的维修工程师、和中央服务器。这些就是要采取零信任的内容。

实现零信任的主要推动力是工作流程的数字化。这使得以前在纸上完成的过程可以数字方式进行,但需要更高级别的数字保护,以保护数据和工作流程。

Xage首席执行官Duncan Greatwood表示,“采用零信任模式是飞机维修数字化的一部分。关键部分首先是数据的移动,通常是通过USB驱动器的物理载体进行的。”

这既没有效率,也没有最终安全性。因此,新流程的一个重要方面是使用Xage零信任结构将数据安全地进出飞机,同时确保数据的机密性和完整性。

Greatwood表示,“维护工作流程也可以数字化。从历史上看,这通常是在纸质清单和剪贴板上完成的,通过智能手机把飞机部件的照片发给经理人。我们正在做的是与空军集成,以使数字化应用程序可以使用工作流程中需要完成的工作在线列表替换纸张,同时在完成工作时添加评论和照片。然后可以收集结果,并将结果零信任传输到中央计算机。”

虽然改善飞行路线的“业务”功能可能是实施基于零信任的网络解决方案的主要推动力,但Greatwood认为安全性也得到了改善。他表示,“USB密钥可能会丢失、被盗或被黑客入侵。”例如2010年Stuxnet入侵到了纳坦兹。除了在不同地点之间传递数据的需求极大提高了安全性。

还必须考虑“内部威胁”。即使在采用更详细筛选的军事环境中,这也是一个严重的威胁。零信任的关键原则是在最短的时间内保持最少的信任。这样可以确保即使内部人员出于意识形态或财务原因,或者只是出于偶然变坏了,也可以将可能造成的损害降至最低。新的零信任模型将首先在特拉华州的多佛空军基地推出。

Xage Security由产品副总裁Roman Arutyunov和工程副总裁Susanto Irwan于2017年创立,总部位于加利福尼亚州帕洛阿尔托,Duncan Greatwood是首席执行官,Xage在2018年获得了1600万美元的A轮融资。
 

参考来源:SecurityWeek http://dwz.date/eWmD

 

(十四)俄罗斯SVR将继续以美国作为攻击目标

美国联邦调查局(FBI)、美国国土安全部(DHS)和网络安全和基础设施安全局(CISA)4月26日联合发布警告称,俄罗斯对外情报局(SVR)(又名APT29)将继续对美国和外国组织发起攻击。

CISA表示,“SVR活动,包括最近的SolarWinds Orion供应链泄露事件,主要针对政府网络、智库和政策分析组织以及信息技术公司,旨在收集情报信息。APT29将继续通过网络攻击从美国和外国实体那里寻求情报,使用一系列复杂程度各不相同的初始攻击技术,再加上受到攻击的网络中的秘密入侵技术。”

26日发布的联合公告提供了有关APT29战术、工具、技术和能力的更多信息,这些信息应该有助于保护政府实体、智库、政策分析组织、信息技术公司和其他潜在的SVR攻击目标的网络。在与SVR参与者相关的战术、技术和程序(TTP)中,联邦机构表示:

1、密码喷射:在2018年一个大型网络的攻击中,SVR网络攻击者使用密码喷射来识别与管理账户关联的弱密码。通过访问管理帐户,攻击者修改了网络上特定电子邮件帐户的权限,从而允许任何经过身份验证的网络用户读取这些帐户。虽然密码泄漏是从许多不同的IP地址进行的,但一旦攻击者获得访问某个帐户的权限,该受攻击的帐户通常只能从与租用的虚拟专用服务器(VPS)对应的单个IP地址进行访问。

2、利用零日漏洞:在另一起事件中,SVR攻击者利用CVE-2019-19781(当时的零日漏洞)攻击VPN设备来获取网络访问权限。在以暴露用户凭据的方式利用设备之后,攻击者使用暴露的凭据向网络上的系统进行标识和身份验证。与之前的案例一样,黑客使用了与受害者位于同一国家的专用VPS,可能是为了让人觉得网络流量在正常活动时没有异常。

3、WELLMESS恶意软件:2020年,英国、加拿大和美国政府将使用WELLMESS恶意软件进行的入侵归咎于APT 29。一旦进入网络,攻击者就瞄准了每个组织的疫苗研究库和Active Directory服务器。这些入侵主要依赖于以内部网络资源为目标,与历史上的商业手法背道而驰,可能表明参与者在虚拟环境中正在以新的方式进化。

4、支持SolarWinds的入侵在技术上的相似性:在2020年春夏,SVR网络运营商使用修改后的SolarWinds网络监控软件作为初始入侵载体,开始扩大他们对众多网络的访问。SVR修改并使用受信任的SolarWinds产品作为入侵媒介,也是与SVR历史上的交易手法明显背道而驰。

对于安全警报中突出显示的每个TTP条目,FBI和DHS还分享了建议和缓解措施,以帮助网络运营商防御使用这些攻击技术的入侵企图。

该安全公告是对4月15日发布的上一次安全公告的补充,分享了俄罗斯支持的APT29黑客组织(又名Dukes、CozyBear和Yttrium)利用的漏洞的信息,这些漏洞破坏了美国和世界各地的国家安全和政府相关网络。

同一天,白宫正式将SolarWinds供应链攻击归咎于国家黑客组织APT29。多家网络安全公司(FireEye、MalwareBytes、Mimecast)以及美国各州和联邦机构在这次行动中遭到攻击。此外,拜登总统还发布了一项行政命令,禁止来自俄罗斯联邦政府的从事有害活动的财产。

财政部还对多家俄罗斯科技公司(ERA Technopolis、Pasit、SVA、NeoBit、AST和Positive Technologies)实施制裁,原因是它们涉嫌帮助SVR、俄罗斯联邦安全局(FSB)和俄罗斯主要情报局(GRU)对美国实体发动网络攻击。
 

参考来源:BleepingComputer http://dwz.date/eX3R

 

(十五)机票预订系统Radixx遭受网络攻击影响20多家航空公司

机票预订系统Radixx 4月22日披露,其应用程序Radixx Res™在4月20日遭受了一起恶意软件事件,影响了其预订系统。

Radixx是Sabre Corporation的子公司,Radixx为廉价航空公司提供机票预订系统。这起事件没有影响Sabre系统,客户数据库也没有受到影响。然而该事件影响了20家客户航空公司的预订能力,Radixx希望在4月22日底之前恢复服务。

受影响的航空公司包括日本Peach Aviation和ZIPAIR、比利时Air Belgium、智利Sky airlines、加拿大Air Transat、越南Vietravel、韩国Aero K airlines、阿曼Salam Air、南非FlySafair、印度Air India Express和哥伦比亚Wingo。

服务中断使得许多乘客无法通过航空公司的网站进行预订、更改、删除或确认预订,但航班运营没有受到影响。在某些情况下,乘客被告知他们可以打电话给航空公司处理他们的预订需求。

 

 

在其他情况下,乘客被告知,如果他们需要取消航班,但由于服务中断而无法取消,航空公司将给予他们航班积分或其他安排来补偿他们。在某种程度上,对于初创低成本航空公司来说,服务中断可能是最严重的。Avelo航空公司于4月8日刚刚推出,计划在4月28日进行首批航班。截至目前航空公司的网站仍在发布道歉信息,服务仍处于中断状态。
 

参考来源:DataBreaches http://dwz.date/eXdt

 

(十六)印度配送服务商BigBasket在暗网泄露2000万用户信息

知名数据泄露卖家ShinyHunter 4月26日在黑客论坛上免费发布了印度知名在线杂货配送服务BigBasket的用户记录,包含约2000万条个人信息和哈希密码。

BigBasket是印度受欢迎的在线杂货配送服务,人们可以在网上购买食品并将其送到家里。2020年11月,BigBasket向彭博新闻社证实,在ShinyHunter之前试图以私下销售的方式出售被盗数据后,他们遭遇了数据泄露。

BigBasket首席执行官Hari Menon表示,“我们发生了数据泄露事件,已经向网络犯罪警察提起了诉讼。调查人员要求我们不要透露任何细节,因为可能会妨碍调查。”

就像以前由ShinyHunters私下出售的典型入侵一样,这个威胁者现在免费发布了整个数据库,据报道其中包含超过2000万用户记录。该数据库包括BigBasket客户信息,包括电子邮件地址、SHA1哈希密码、地址、电话号码和其他分类信息。

使用SHA1算法对密码进行哈希处理,论坛成员声称已经破解了200万个密码。另一位会员声称,有70万名客户在他们的账户中使用的密码是“password”。

在过去,ShinyHunters曾负责或参与过其他数据泄露事件,包括Tokopedia、Teespring、Minted、Chatbook、Dave、Promo、Mathway、Wattpad等等。

目前已经确认一些记录是准确的,包括特定于BigBasket服务的信息,客户应该谨慎行事,并假设他们的客户信息也被泄露了。强烈建议所有BigBasket用户立即使用相同的密码更改他们在BigBasket和任何其他站点上的密码。建议使用密码管理器来帮助管理在不同站点使用的唯一密码。
 

参考来源:BleepingComputer http://dwz.date/eXxn
 

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号