安全研究
全部分类

关键信息基础设施安全动态周报【2021年第22期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-06-04 17:47
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第22期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第22期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第22期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2021-06-04 17:47
  • 访问量:
详情

目   录
 

第一章 国内关键信息基础设施安全动态

(一)拜登签署行政令,禁止美国投资59家中国企业

(二)台湾工业制造商Korenix固件存在高危漏洞,多工业交换机受到影响

(三)香港警方模拟黑客钓鱼,七成企业中招

第二章 国外关键信息基础设施安全动态

(一)西门子PLC存在高危漏洞,可使黑客远程攻击

(二)全球最大肉类加工企业JBS Foods遭受REvil勒索软件攻击

(三)日本富士胶片疑似遭受勒索软件攻击关闭网络

(四)丹麦情报局帮助美国国家安全局监视欧洲政客

(五)美国加州Azusa警局遭受DoppelPaymer勒索软件攻击

(六)瑞典公共卫生局SmiNet数据库遭受黑客攻击

(七)加拿大邮政供应商遭受勒索软件攻击泄露数据

(八)美国士兵使用抽认卡应用程序意外泄露核信息

(九)美国工程技术生产商PurePower遭受Conti勒索软件攻击

(十)新型勒索软件组织Prometheus出售墨西哥政府数据

(十一)研究人员发现新型勒索软件Epsilon Red

(十二)俄罗斯基础设施服务提供商DDoS-Guard数据在黑客论坛出售

(十三)美国司法部查封黑客组织NOBELIUM攻击美国国际开发署使用的域名

(十四)美国渡轮服务Steamship Authority遭受勒索软件攻击
 

 

第一章 国内关键信息基础设施安全动态

(一)拜登签署行政令,禁止美国投资59家中国企业

美国总统拜登6月3日扩大了对美国投资涉嫌与军方和监视行动有关的中国公司的限制,将更多公司添加到越来越多的黑名单中。

拜登在一项行政命令中,禁止美国投资者在59家中国公司持有财务权益,原因是担心这些公司与中国政府的地缘政治野心有关,这延续了前总统特朗普在与北京讨论时采取的一些强硬策略。

白宫在一份新闻稿中表示,“这项条例允许美国有针对性、有范围地禁止美国对破坏美国及其盟友安全或民主价值观的中国公司进行投资。”

这项措施禁止美元支持中国的国防部门,同时也扩大了美国政府应对中国监控技术公司的威胁的能力,这些公司在中国境内外帮助监视宗教或少数民族,或者以其他方式促进镇压和严重侵犯人权。

被禁的59家公司包括中国航空发动机有限责任公司、Aerosun Corp、福建火炬电子科技公司和华为技术公司。禁令将于美国东部时间8月2日上午12:01生效。

这是迄今为止针对美国最高竞争对手的最有力举措之一,也是拜登政府可能采用或推进特朗普政府为保持对中国的竞争力而使用的许多策略的又一个迹象。

拜登和他的经济顾问还必须决定如何处理一系列关税,以及是否增加对参与新疆地区以穆斯林为主的少数民族大规模拘留的中国官员的制裁。

中国外交部一名代表对拜登政府的这一举动提出了质疑,表示特朗普政府最初的命令是在“完全无视事实”的情况下执行的。特朗普政府之前的命令列出了48家公司的名单。

 

参考来源:CNBC http://t.hk.uy/p6n
 

 

(二)台湾工业制造商Korenix固件存在高危漏洞,多工业交换机受到影响

奥地利网络安全咨询公司SEC Consult研究人员发现,台湾工业网络解决方案提供商Korenix Technology生产的固件产品存在安全漏洞,多家厂商的工业交换机受到这些漏洞的影响。

SEC Consult是Atos旗下的公司,自2020 年4月中旬以来一直在努力修复安全漏洞,但Korenix花了将近一年的时间才发布补丁。

Korenix为其JetNet工业交换机开发的固件也被Westermo用于PMI-110-F2G和Pepperl+Fuchs用于Comtrol RocketLinx工业交换机。Korenix和Westermo均归北尔电子集团所有。SEC Consult表示,这些公司制造的设备共享“部分相似的固件基础”,并且受到相同漏洞的影响。

SEC Consult发现了五种类型的漏洞,为严重及高危漏洞,包括未经身份验证的设备管理、后门帐户、跨站点请求伪造(CSRF)、经过身份验证的命令注入、和TFTP文件读/写问题。

对目标设备具有网络访问权限的攻击者可以对其配置进行未经授权的更改,使其进入DoS状态,并获取敏感信息。可以利用这些漏洞来完全控制设备。

受影响的设备用于重工业、运输、自动化、电力和能源、监控和其他部门。据发现这些漏洞的SEC Consult研究员Thomas Weber称,这些交换机用于网络中的关键位置,攻击者可以利用这些漏洞切断与附加系统的网络连接。

Weber表示,他只看到少数受影响的设备暴露在互联网上。理论上,CSRF漏洞可用于直接从互联网发起攻击,但研究人员指出,在Web浏览器中实施的CSRF保护会使攻击变得更加困难。

Pepperl+Fuchs去年在收到漏洞通知后,发布了一些补丁和解决方法,但由于Korenix固件中存在漏洞,该公司的反应有限。

SEC Consult最初试图让Korenix修补漏洞的尝试失败了,直到2020 年11月下旬,该公司才准备公开调查结果。北尔代表与SEC Consult取得了联系,SEC Consult决定推迟公开其咨询,以便给供应商有更多时间发布补丁。SEC Consult表示,在北尔接管披露程序后,沟通有了显著改善。

除了发布修补漏洞的固件更新外,Korenix还分享了一些防止潜在攻击的建议,包括限制对设备的访问、实施安全最佳实践、以及配置防火墙以保护交换机免受来自网络外部的攻击。

北尔电子表示,已经与SEC Consult就公告的发布时间进行了讨论,但对公告中包含概念验证(PoC)代码表示不满,这些信息可能在针对客户系统的攻击中被利用。
 

参考来源:SecurityWeek http://t.hk.uy/nU7
 

 

(三)香港警方模拟黑客钓鱼,七成企业中招
面对网络安全风险日增,香港警方网罪科首次与46家公司进行钓鱼演习,测试参加者对电子邮箱攻击的敏感度及警觉性,结果发现有近七成公司至少一名员工中招。
邮箱诈骗案及网络钓鱼攻击肆虐全球,去年香港相关案件损失金额近23亿港元,今年第一季度已高达4.8亿港元。据港媒6月1日报道,警方网罪科网络安全组警司范俊业称,一般诈骗犯利用黑客技术入侵目标公司或其商业伙伴的邮箱系统,继而通过假冒邮箱要求存款到一些傀儡银行账户。近期损失最大的邮箱诈骗案发生在去年10月,一家上海汽车零件公司被骗走980万美元。为此,网罪科今年4月联合香港总商会首次举办钓鱼邮箱演习,邀请了46家来自银行、金融、交通、物流、电信、医疗及能源业界的企业共1388人参加。结果显示,1388人中有169人至少打开一封“有毒电邮”,而46家公司中,有近七成即32家公司至少一名员工打开一封或多封“有毒邮箱”,当中最“吸引人”的钓鱼邮箱是云端文件分享,占比超过三成。
网罪科网络安全组总督察叶卓誉称,近期有恶意软件通过钓鱼邮箱化身为PDF文件,用户若打开就会实时受到感染。香港总商会数码、信息及电讯委员会副主席黄玉娟称,商界最普遍的邮箱攻击是冒充银行邮箱,稍不留神点击假邮箱内的链接就会中招。另外,员工在公司计算机开启私人邮箱,也容易被黑客入侵,使公司的计算机网络无法正常运作,继而向公司勒索金钱。
香港暴发疫情以来,特区政府曾要求公务员在家办公,一些私人企业也跟随。香港警方为此提醒市民称,个人计算机多属“低设防”,当中毒后登入其公司的网络,就会如“火烧连环船”般令公司及商业伙伴中招,被黑客进行邮箱勒索。
本文版权归原作者所有,参考来源:环球时报 http://t.hk.uy/nUd



第二章 国外关键信息基础设施安全动态
(一)西门子PLC存在高危漏洞,可使黑客远程攻击
Claroty研究人员发现,西门子的一些PLC中存在一个高危漏洞CVE-2020-15782,可使未经认证的攻击者远程利用。该漏洞CVE-2020-15782是一个高危绕过内存保护问题,允许攻击者通过网络访问TCP端口102来在受保护的内存区域中写或读数据。
西门子表示,该安全漏洞影响了其SIMATIC S7-1200和S7-1500 CPU。西门子已经为一些受影响的设备发布了固件更新,并为尚未发布补丁的产品提供了解决办法。
Claroty表示,通过绕过工程代码通常运行的沙箱并获得对设备内存的直接访问,可以利用该漏洞在西门子S7 PLC上获得本机代码执行。研究人员展示了攻击者如何绕过保护并将外壳代码直接写入受保护的内存。研究人员声称,利用这一漏洞的攻击很难被检测到。
Claroty在研究博客文章中表示,“逃离沙箱意味着攻击者能够从PLC上的任何地方读取和写入,并且可以用恶意代码修补内存中现有的VM操作码以根设备。例如,Claroty能够将ARM/MIPS shellcode直接注入内部操作系统结构,这样当操作系统使用我们选择的特定操作码时,我们的恶意shellcode就会执行,让我们远程执行代码。我们使用这种技术来安装内核级程序,该程序的某些功能完全隐藏在操作系统中。”Claroty描述了PLC沙箱和CVE-2020-15782在攻击中可能扮演的角色。
参考来源:SecurityWeek http://t.hk.uy/puv

(二)全球最大肉类加工企业JBS Foods遭受REvil勒索软件攻击
全球最大肉类生产商JBS Foods于5月31日披露其遭受了网络攻击,影响了澳大利亚及美国的IT系统,致使受影响的系统暂时关闭。JBS位于澳大利大所有的牛羊肉生产都已暂停,引发了对市场供应的担忧。
JBS目前是全球最大的牛肉和家禽生产商和全球第二大猪肉生产商,在美国、澳大利亚、加拿大、英国等地开展业务,在全球拥有245,000名员工,在六大洲190个国家/地区拥有多个品牌。JBS旗下的Primo Foods是澳大利亚最大的火腿、培根、意大利腊肠和香肠生产商,并经营肉类加工厂和牛肉育肥设施。
6月2日,FBI发表关于JBS网络攻击事件的声明。FBI表示攻击JBS的是REvil勒索软件。FBI在声明中表示,“作为打击网络威胁的主要联邦调查机构,打击网络犯罪是FBI的首要任务之一。我们已将JBS攻击归因于REvil,并正在努力将威胁行为者绳之以法。我们将继续专注于施加风险和后果,并让负责任的网络参与者承担责任。我们的私营部门合作伙伴关系对于在发生网络入侵时迅速做出反应并为受我们网络对手影响的受害者提供支持至关重要。”
JBS于6月3日宣布,其所有全球设施均已全面投入运营。该公司的全球业务的生产损失将在下周末完全恢复,从而限制对生产商、消费者和公司员工的任何潜在负面影响。得知入侵后,该公司立即联系了联邦官员并启动了其网络安全协议,包括自愿关闭其所有系统以隔离入侵、限制潜在感染和保护核心系统。此外,该公司的加密备份服务器在攻击期间没有受到感染,因此比预期更快地恢复运营。JBS优先恢复对生产至关重要的系统,以确保食品供应链、生产者和消费者不会受到不利影响。公司目前不知道有任何证据表明任何客户、供应商或员工数据已因这种情况而受到损害或滥用。
参考来源:JBS Foods http://t.hk.uy/py5

(三)日本富士胶片疑似遭受勒索软件攻击关闭网络
富士胶片(FujiFilm)披露,其东京总部6月1日晚遭受了勒索软件攻击,为了防止攻击蔓延,其关闭了部分网络。
富士胶片(FujiFilm)又称富士,是一家总部位于日本东京的日本跨国企业集团,最初以光学胶片和相机起家,现已发展到包括药品、存储设备、复印机和打印机(XEROX)以及数码相机。富士胶片在2020年的收入为201亿美元,在全球拥有37151名员工。
富士在一份声明中表示,“富士公司目前正在对可能从公司外部未经授权访问其服务器进行调查。作为调查的一部分,该网络部分关闭,并与外部通信断开连接。我们想说明我们目前所了解的情况以及公司采取的措施。在2021年6月1日深夜,我们意识到了勒索软件攻击的可能性。因此,我们已采取措施,与全球各实体协调,暂停所有受影响的系统。我们目前正在努力确定问题的程度和规模。对于由此带来的不便,我们向我们的客户和业务合作伙伴表示诚挚的歉意。”
由于部分网络中断,FUJIFILM USA在其网站顶部添加了一条警报,说明他们遇到了影响电子邮件和电话系统的网络问题。
虽然富士没有说明是哪个勒索软件组织对此次攻击负责,但Advanced Intel首席执行官Vitali Kremez表示,FUJIFILM上个月感染了Qbot特洛伊木马。Qbot特洛伊木马的运营商长期以来一直在使用勒索软件操作来提供对受损网络的远程访问。
Kremez表示,“基于我们独特的威胁防御平台Andariel,富士似乎在2021年5月15日感染了Qbot恶意软件。自从地下勒索软件动荡以来,Qbot恶意软件组织目前与REvil勒索软件组织合作。QBot导致的网络感染会自动导致与未来勒索软件攻击相关的风险。”
过去,ProLock和Egregor勒索软件团伙与Qbot合作,但随着这些业务的关闭,REvil勒索软件业务一直在利用僵尸网络。
虽然勒索软件自2012年就开始活跃,但在美国最大燃油管道Colonial及世界最大的肉类生产商JBS遭到攻击后,勒索软件最近引起了全世界的关注。美国政府成立了一个勒索软件特别工作组,为应对日益增长的威胁提出新的政策和指导方针。
参考来源:BleepingComputer http://t.hk.uy/nXy

(四)丹麦情报局帮助美国国家安全局监视欧洲政客
丹麦国家广播电视台(DR)于5月30日报道称,丹麦国防情报局(FE)允许美国国家安全局(NSA)进入丹麦的一个主要互联网和电信枢纽,并允许美国情报机构监视欧洲政治家的通信,对包括默克尔等在内的欧洲政府高官进行监视。
丹麦国家广播电视台的记者近期收到了一份名为《Dunhammer Report》的文件,该文件中包括丹麦当局对此次间谍行动进行调查的结果。BBC方面表示,美国国家安全局已经收集了德国、法国、瑞典和挪威官员的情报。DR将此次行动称为“Dunhammer行动”,该行动通过一些欧洲新闻巨头的联合调查而被揭露。
这项名为“Dunhammer行动”的间谍行动是由欧洲一些最大的新闻机构进行的联合调查发现的。美国国家安全局和丹麦情报部门签署了一项秘密协议,允许网络间谍在2012年至2014年期间窃听敏感通信。美国国家安全局使用监控平台XKeycore监视通过哥本哈根附近德拉戈尔的桑达格尔格尔丹枢纽的通讯。
美国国家安全局使用监视平台XKeyscore来监视通过哥本哈根附近德拉戈的Sandagergårdan中心的通信,该平台在举报人斯诺登泄露的文件中有所描述。NSA工具收集“用户在互联网上所做的几乎所有事情”,XKeyscore提供“最广泛的”在线数据收集,分析电子邮件、社交媒体和浏览历史的内容。
2013年,爱德华·斯诺登泄露的文件解释称,一种名为DNI的演示工具可以让NSA读取存储的电子邮件的内容,它还可以让情报分析师通过一个名为XKeycore的系统追踪用户在Facebook上的活动。国家安全局之所以选择这个特殊的枢纽,是因为它是连接丹麦和斯堪的纳维亚半岛的几条关键海底电缆的连接点。
2014年,由于斯诺登的爆料,丹麦政府官员得知了国家安全局和FE之间的秘密协议,Dunhammer行动被叫停。奇怪的是,国家安全局也在监视丹麦政府的代表。丹麦国防部长TrineBramsen表示,“系统性的监听亲密盟友是不可接受的”。
丹麦政府因几名FE官员参与间谍活动而暂停了他们的职务。报道发表后,斯诺登指责美国总统拜登是这次行动的幕后关键人物,当时他是美国副总统。
参考来源:SecurityAffairs http://t.hk.uy/pyP

(五)美国加州Azusa警局遭受DoppelPaymer勒索软件攻击
美国加州Azusa市警察局3月9日发现其计算机系统的某些方面无法访问。发现后Azusa警方立即联系了其执法合作伙伴,并开始与第三方专家合作,以确定事件的来源和受影响系统的范围。由于该部门的快速反应,所有911、紧急系统和公共安全服务仍然全面运作。调查确定Azusa警察局是复杂勒索软件攻击的受害者,并且某些系统和信息被未经授权的个人访问。警方拒绝与网络犯罪分子合作,也没有支付任何赎金。
2021年4月27日,调查确定在事件期间,未经授权的个人获取了Azusa警察局的某些信息。因此,Azusa警察局与其事件响应合作伙伴一起确定可能受到影响的信息类型。2021年5月20日,调查确定信息可能包括以下内容:社会安全号码、驾照号码、加州身份证号码、护照号码、军人身份证号码、金融账户信息、医疗信息;、健康保险信息、和/或通过使用或操作自动车牌识别系统收集的信息或数据。尽管警察局没有证据表明实际或企图滥用信息,但它非常谨慎地向公众发出通知。
Azusa警察局继续审查其网络安全政策,并采取额外措施进一步加强其安全性,因为它非常重视所有信息的隐私和安全。该部门还设立了一条专门的援助热线,以解决个人可能遇到的问题,并为可能受到影响的个人提供信用监控服务。Azusa警方鼓励个人保持警惕,定期审查和监控他们的信用报告/账户报表是否存在可疑活动。
DoppelPaymer勒索软件组织3月17日将加州Azusa警察局加入其泄露站点,泄露的信息包括有关调查和警察业务的警察记录,以及一些与财务相关的工资信息。
参考来源:AzusaPolice http://t.hk.uy/psV

(六)瑞典公共卫生局SmiNet数据库遭受黑客攻击
瑞典公共卫生局(Folkhälsomyndigheten)5月27日发现,有黑客企图入侵其传染病数据库SmiNet,因此该数据库临时关闭。SmiNet也被用来存储新冠疫情感染统计的电子报告,于27日关闭以调查攻击事件,并于28日晚重新上线。
由于数据库关闭,瑞典公共卫生机构无法从周三下午4点开始报告新冠疫情的完整统计数据。此外,虽然正在对入侵企图进行调查,但不会发布其他更新。虽然到目前为止还没有发现未经授权的人获取敏感信息的证据,但调查至少还需要几天时间才能重新启动报告程序。
瑞典公共卫生局在发布的公告中表示,“瑞典公共卫生局发现有几次企图入侵SmiNet数据库。因此该数据库已被暂时关闭。当局正尽快调查是否有人曾从数据库中访问了敏感的个人资料,并找出并修复可能存在的漏洞。对未经授权获取敏感信息的调查仍在进行中,需要更多的时间来确保统计数据的完整性,以便对疫情做出可靠的评估。因此,新冠肺炎病例统计数据的下一次更新将在6月3日(周四)进行。”
瑞典公共卫生局一位发言人表示:“目前没有迹象表明信息被从数据库中删除,但该机构仍在调查这起事件,并寻找及修复任何安全漏洞。我们非常认真地对待这一事件,并向瑞典警方和瑞典隐私保护局报告了此事。”
参考来源:BleepingComputer http://t.hk.uy/pzM

(七)加拿大邮政供应商遭受勒索软件攻击泄露数据
加拿大邮政运营商Canada Post披露,其第三方解决方案供应商Commport Communications遭受了勒索软件攻击,攻击者窃取了44名邮局商业用户的运输清单,泄露了超过95万名发件人和收件人的数据。
Canada Post是加拿大主要邮政运营商,为1650万个加拿大住宅和商业地址提供服务。Commport Communications是Canada Post的电子数据交换(EDI)解决方案供应商,管理大型包裹业务客户的运输清单数据。
加拿大邮政表示,在对货运清单进行全面审查后,得出结论,97%的数据仅包含收货客户的姓名和地址,其余3%的数据包含电子邮件地址或电话号码。
加拿大邮政表示,其最初于去年11月接到通知,可能存在数据泄露问题。当时,邮局通知其IT子公司Innovapost存在“潜在的勒索软件问题”。此外去年Commport表示其没有发现任何证据表明任何客户数据被泄露。
但在最近的声明中,加拿大邮政表示,上周刚接到Commport的通知,2016年7月至2019年3月的清单数据已被网络攻击者窃取。
据IT World Canada报道,此次攻击很可能是勒索软件组织Lorenz所为。网络安全公司Emsisoft指出,Commport Communications被列在Lorenz的漏洞网站上,声称已于2020年12月20日发布了被盗文件的副本。Lorenz泄露了35.3 GB窃取的数据。
一位研究人员表示Lorenz是一个相对较新的勒索软件组织,今年4月才出现。然而,Emsisoft表示Lorenz的代码基于另一种勒索软件ThunderCrypt,因此专家们认为Lorenz是ThunderCrypt的更名,而不是一个单独的组织。
参考来源:InsuranceBusinessCanada http://t.hk.uy/n4B

(八)美国士兵使用抽认卡应用程序意外泄露核信息
据开源情报机构Bellingcat报告称,驻扎在欧洲的美军士兵在使用抽认卡应用程序帮助他们记住有关详细信息时,可能意外地暴露了有关美国核武器储备的信息。
Bellingcat研究员Foeke Postma表示,士兵们使用Chegg、Cram和Quizlet等学习应用程序来创建抽认卡,在其中存储有关美国核武器可能位于欧洲基地的信息、密码和其他安全细节的信息。
Postma称,他们似乎忘记了将应用程序的设置为“私密”,因此他们的用户名和照片面向公众,而且由于一些士兵使用的照片与LinkedIn个人资料上的照片相同,因此将其与核信息联系起来并不难。
士兵们为什么使用不安全的学习应用程序来记住这些信息还不清楚。Postma在发布报告前几周与美国国防部、北约和欧洲司令部的官员取得了联系,这些带有敏感信息的抽认卡已经被撤下,但是据Motherboard报道,在存档的Wayback Machine网站上可能仍然可以看到。
这些学习类应用程序并没有回复置评请求,发送至美国国防部询问相关涉事士兵是否会面临纪律处分的邮件也没有收到回复。
参考来源:TheVerge http://t.hk.uy/puQ

(九)美国工程技术生产商PurePower遭受Conti勒索软件攻击
美国燃料管理部件生产商PurePower Technologies公司遭受了Conti勒索软件攻击,Conti在其泄露网站上泄露了一部分窃取的敏感文件。
PurePower Technologies总部位于南卡罗来纳州,是Stanadyne旗下公司,是为原始设备制造商(OEM)和售后市场设计和再制造空气和燃料管理部件的领先者,自1999年成立以来生产了超过3000万个柴油喷油器,目前拥有40,000平方英尺的研发中心和200,000平方英尺的生产工厂,并通过了TS16949和国际标准化组织14001认证。因此,总而言之,它是一家产生足够收入的大公司,足以吸引勒索软件参与者的注意。
Conti似乎已从PurePower Technologies公司网络中窃取了敏感和机密数据,包括原理图、技术图纸、财务细节、演示幻灯片、库存清单、供应商合同、设备规格表、服务指南、历史收入详情等。
目前PurePower的网站仍在运行,因前端服务似乎没有中断。然而不知道生产和制造的情况如何,可能已经停机了。目前,该公司尚未发布任何有关数据泄露或黑客入侵的声明。
至于Stanadyne,Conti特别列出了PurePower Technologies,因此认为没有向所有者公司转移。Stanadyne是一家规模更大的实体,在美国、中国、印度和意大利经营燃油泵和喷油器的制造厂。Stanadyne早在2019年2月就报告了一次数据泄露事件,暴露了客户和员工的详细信息。从那时起,该公司一直保持着弹性立场,没有遭受任何妥协。
Conti合作伙伴的活动有增无减,正如联邦调查局此前警告的那样,攻击者通过各种技巧和方法瞄准公司和组织。根据该警告,Conti攻击者通常使用窃取的RDP凭据或发送带有恶意附件的电子邮件来成功地在目标网络上建立立足点。它们存在的一些迹象包括通过端口80、443、8080和8443、新帐户的出现以及终端检测解决方案的禁用。
参考来源:TechNadu http://t.hk.uy/p3E

(十)新型勒索软件组织Prometheus出售墨西哥政府数据
在当今世界,信息和数据意味着金钱,而窃取信息的人现在已经达到了新的复杂程度。报告的数量在过去几年中呈爆炸式增长,并继续迅速增长。
Prometheus是一个新兴的勒索软件组织,在全球各个垂直领域勒索企业。就在最近,该组织公布了据称属于墨西哥政府的被盗数据,这些数据至今仍可出售,可能成为第一个触及拉美主要国家的网络犯罪组织。
洛杉矶网络安全公司Resecsecurity称,泄露的数据可能是从多个电子邮件账户窃取的,原因是ATO/BEC和属于几个墨西哥政府机构的网络资源受损。很难确定这类泄密事件的敏感性和最终影响。墨西哥是美国的主要贸易伙伴,美国是拉美第二大经济体,也是世界第17大出口国。该地区的网络攻击数量正在显著增加。2020年,墨西哥是拉丁美洲网络攻击最多的国家之一。
6月1日,Prometheus公布了27名受害者的数据,这看起来只是他们“职业生涯”的开始。受害者还包括加纳国家天然气公司、塔尔萨心血管卓越中心(美国俄克拉荷马州)、尼亚克酒店(美国纽约州)以及法国、挪威、瑞士、荷兰、巴西、马来西亚和阿联酋的企业。
在他们更新的Logo上,该组织展示了与另一个知名勒索软件组织REvil的联系。虽然REVil还没有证实与这个新组织有任何直接关系,而且这种联系仍然不清楚。该组织有可能使用REVil勒索软件,成为其独立工作的附属公司之一。有趣的是,近一半的受Prometheus影响的受害者支付的赎金或他们的数据已经卖给了其他感兴趣的人。
根据Resecsecurity的说法,在活动的早期阶段,该组织利用了Sonar,这是一种部署在ToR网络提供应用编程接口(http://sonarmsniko2lvfu.onion/?a=docs-api).)中的安全数据传输工具。
当时,这个组织有一个不同的名字,并自称为Prometheus集团。后来,该组织转向一个基于自动票据的系统,在该系统中,受害者可以提供身份证,并以BTC或XMR加密货币提交付款,以便自动进行进一步的解密过程。
TOR中“Prometheus”泄漏站点上的SQL注入漏洞允许泄露操作员的电子邮件地址。后来,威胁参与者发现并修补了该漏洞。
参考来源:SecurityAffairs http://t.hk.uy/p4m

(十一)研究人员发现新型勒索软件Epsilon Red
Sophos研究人员发现,一种名为Epsilon Red的新型勒索软件攻击了美国的一家酒店。
攻击者提供加密货币地址显示,有一笔价值约21万美元的比特币交易,这表明至少有一名受害者同意支付了赎金,攻击者已经获得了收益。
研究人员发现,Epsilon Red使用的勒索信件与REvil勒索软件使用的勒索信件相似,但Epsilon Red的勒索信件写得更好,不包含REvil信件中的一些语法错误。
受害者被告知,他们的文件已被加密,他们的数据已被窃取,除非他们支付赎金,否则将被泄露。但是Sophos指出,勒索软件不包含目标文件类型列表,而是对文件夹中的每个文件进行加密,这可能导致整个系统无法运行。
用Go语言开发的Epsilon Red被描述为“裸机勒索软件”。勒索软件可执行文件很小,因为它仅设计用于扫描系统,以查找它可以加密的文件夹,并执行实际加密。其余任务由十几个PowerShell脚本执行,它们为机器的最终加密负载做准备。
这些PowerShell脚本旨在修改防火墙规则,以允许攻击者的远程连接、禁用或终止可能阻止加密的进程、删除卷影副本,以阻止恢复加密文件、删除Windows事件日志、授予权限提升、卸载安全软件,并获得有价值的数据。
攻击者还被发现使用Remote Utilities,这是一种免费的商业解决方案。Sophos研究人员认为,攻击者使用该工具能够在初始访问点被移除的情况下保持对受感染系统的访问。
Sophos发现的攻击中的初始接入点可能是未打补丁的Microsoft Exchange服务器。攻击者可能利用了ProxyLogon的漏洞,该漏洞在过去几个月已被许多威胁组织利用。
Sophos表示,除了与REvil勒索信件有相似之处外,没有发现与其他网络犯罪组织的任何联系,并指出Epsilon Red这个名字源于漫威漫画中一个X战警的对手,一个有俄罗斯血统的超级士兵,有四个机械手,态度极其恶劣。
参考来源:SecurityWeek http://t.hk.uy/nZ3

(十二)俄罗斯基础设施服务提供商DDoS-Guard数据在黑客论坛出售
俄罗斯在线基础设施服务提供商DDoS Guard遭受了黑客攻击,因为有人将其完整的源代码转储以及整个数据库发布在热门黑客论坛Exploit[.]上出售。Group-IB首先发现了这一点,通过使用KELA的网络情报工具访问不再出现的旧帖子,也能够证实这一点。出售的起始价格定在50万美元,但不到一个小时,就降到了35万美元。
出售的数据包括:DDoS Guard整个基础设施、后端、前端和网络过滤/阻止的完整源代码转储;以及客户名称、站点、真实IP地址、付款信息等的完整数据库转储。
该特定的平台正在为那些不完全在合法范围内运行的网站提供DDoS保护和匿名性,例如盗版网站。最近一个值得注意的例子是Parler,该社交媒体平台在1月份美国国会大厦遭到突袭后,几乎所有大型科技公司都没有提供技术支持。Parler被指控助长暴力和社会政治动荡,因此为了重返网络,它不得不求助于与DDoS Guard等黑幕公司的交易。
这里需要注意的一点是,卖家没有提供数据样本,因此无法验证所报道的黑客攻击的真实性。据Group IB的威胁情报分析员Oleg Dyorov详细介绍,该用户于2021年1月在exploit[.]com上注册了一个帐户,此后一直希望购买各种公司网络的访问权。该用户在论坛上没有任何存款,也没有信誉,因此无法判断这是骗局还是真的销售。
如果数据确实有效,它们的价值将会相当高,尽管目前不能真正评论卖家在这种情况下设定的实际价格标签。有许多版权持有者和其他感兴趣的利益相关者想知道DDoS Guard支持的网站运营商的身份,所以可以想象,许多不同的实体会愿意为这些信息支付大笔资金。
参考来源:TechNadu http://t.hk.uy/p4J

(十三)美国司法部查封黑客组织NOBELIUM攻击美国国际开发署使用的域名
美国司法部近日查获了冒充美国国际开发署(USAID)发起网络钓鱼攻击使用的
两个域名theyardservice[.]com和worldhomeoutlet[.]com,此前微软披露此次攻击是由俄罗斯国家黑客组织NOBELIUM实施的,该组织隶属于俄罗斯外国情报局(SVR)。
司法部查封这两个域的目的是阻止恶意行为者对受害者的持续利用,以及识别受到损害的受害者。然而,从最初的发现到缴获之间,攻击者可能已经部署了额外的后门访问。
为了进行网络钓鱼攻击,NOBELIUM破坏了USAID用于电子邮件活动的联系人帐户。攻击者使用此帐户冒充美国国际开发署,向150多个不同组织(包括政府机构和人权组织)的大约3,000个电子邮件帐户发送网络钓鱼电子邮件。
收到这些电子邮件并单击所附链接的目标收件人将被提示下载HTML附件,这些附件将安装由威胁行为者创建的四种新恶意软件。安装的恶意软件最终会导致安装远程访问软件,例如Cobalt Strike,提供对受害者计算机和网络的完全访问。
司法部国家安全司助理总检察长John C.Demers表示,“上周的行动继续表明,司法部致力于在刑事调查结束之前主动干扰黑客活动。即使在被捕之前,执法仍然是美国政府打击恶意网络活动的更广泛破坏工作的一个组成部分,我们将继续评估所有可能的机会,利用我们独特的权力来应对此类威胁。”
弗吉尼亚州东区代理美国检察官Raj Parekh表示,“网络入侵和鱼叉式网络钓鱼电子邮件攻击会在受影响的计算机网络中造成广泛的破坏,并可能对个人受害者、政府机构、非政府组织和私营企业造成重大伤害。正如法院授权没收这些恶意域名所证明的那样,我们致力于使用所有可用的工具来保护公众和我们的政府免受这些全球黑客威胁。”
联邦调查局华盛顿办事处负责人助理M.D'Antuono表示,“周五法院授权的域名查封反映了联邦调查局华盛顿办事处对我们地区网络受害者的持续承诺。这些行动表明,我们有能力利用我们独特的权限来扰乱我们的网络对手,从而快速响应恶意网络活动。”
联邦调查局网络部门助理局长Bryan Vorndran表示,“联邦调查局仍然致力于破坏这种针对我们的联邦机构和美国公众的恶意网络活动。我们将继续使用我们工具带中的所有工具,并利用我们的国内和国际合作伙伴关系,不仅破坏此类黑客活动,而且将风险和后果强加给我们的对手,以对抗这些威胁。”
大约在5月25日左右,恶意行为者利用美国国际开发署(USAID)在一家已确认的大规模电子邮件营销公司的一个泄露账户,开始了一场大规模的鱼叉式网络钓鱼活动。具体而言,受感染的帐户被用来向一百多个实体的数千个电子邮件帐户发送声称来自USAID电子邮件帐户并包含“特殊警报”的鱼叉式网络钓鱼电子邮件。
当收件人点击鱼叉式网络钓鱼电子邮件的超链接时,受害者计算机会被引导从theyardservice[.]com的子域下载恶意软件。利用最初的立足点,攻击者随后下载了Cobalt Strike工具以保持持续存在,并可能将其他工具或恶意软件部署到受害者的网络。Cobalt Strike具的参与者实例通过theyardservice[.]com的其他子域以及域worldhomeoutlet[.]com接收C2通信。司法部根据法院的扣押令扣押了这两个域名。
参考来源:美国司法部 http://t.hk.uy/ptt

(十四)美国渡轮服务Steamship Authority遭受勒索软件攻击
美国马萨诸塞州渡轮服务Steamship Authority表示,其遭受了勒索软件攻击,影响了票务运营,乘客预订网站一度处于离线状态。
轮船管理局在社交媒体上发表声明称,“伍兹霍尔、玛莎葡萄园岛和楠塔基特Steamship Authority一直是影响运营的勒索软件攻击的目标。前往这两个岛屿的预定行程将继续运营,尽管客户在售票过程中可能会遇到一些延误。”
Steamship Authority表示,这对船舶运营安全没有影响,称这个问题不会影响雷达或GPS功能。由于此次袭击,所有交易都首选现金,客户无法在网上或电话预订或更改车辆预订,所有交易都以现金进行。客户无法在线或通过电话预订或更改车辆预订。
Steamship Authority表示,“处理车辆和乘客票以及停车场费用的信用卡系统可能不可使用。现有的车辆预订将在管理局终端兑现,并且将免除重新安排和取消费用。在某些航站楼和停车场,信用卡系统的使用受到限制,但为了避免延误,现金可能是售票和停车的最佳选择。管理局将继续在内部以及与联邦、州和地方当局合作,以确定攻击的范围和来源。”
此次攻击使轮船管理局成为最新一家受到网络攻击影响的国有企业。
参考来源:WCVB http://t.hk.uy/p5d

(如未标注,均为天地和兴工业网络安全研究院编译)

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号