安全研究
全部分类

关键信息基础设施安全动态周报【2021年第26期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-07-02 17:01
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第26期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第26期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第26期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-07-02 17:01
  • 访问量:
详情

  

第一章 国内关键信息基础设施安全动态

(一)台湾Zyxel防火墙及VPN服务器遭受网络攻击

第二章 国外关键信息基础设施安全动态

(一)德国菲尼克斯电气多款工业产品存在高危漏洞

(二)黑客利用思科ASA设备中的XSS漏洞

(三)微软在Netgear路由器中发现三个漏洞

(四)西部数据NAS设备遭受零日漏洞攻击

(五)ATMNFC系统和POS机中存在一个严重漏洞

(六)日本飞机加油公司JAFS遭受勒索软件攻击

(七)普京电视直播连线遭受黑客DDoS攻击

(八)CISA发布勒索软件攻击自我评估安全工具

(九)微软发现俄罗斯黑客组织Nobelium发起新攻击

(十)英美机构联合警告俄罗斯威胁组织开展大规模暴力攻击

(十一)Babuk Locker勒索软件的构建器在网上泄露

(十二)俄罗斯黑客已在丹麦中央银行网络中潜伏超过半年

(十三)奔驰美国公司泄露约1000名客户和潜在买家数据

(十四)研究人员发布Lorenz勒索软件免费解密程序

(十五)LinkedIn 7亿用户数据在暗网出售


 

第一章 国内关键信息基础设施安全动态

(一)台湾Zyxel防火墙及VPN服务器遭受网络攻击

台湾网络设备公司Zyxel警告客户,其一小部分安全产品如防火墙及VPN服务器正在遭受持续攻击。

该公司将这些攻击归咎于一个复杂的威胁行为者,并指出这些攻击会挑出启用了远程管理或SSL VPN的设备,即运行本地ZLD固件的USG/ZyWALLUSG FLEXATPVPN系列,这意味着目标设备可通过互联网公开访问。

ZyxelTwitter上分享的一封电子邮件显示,威胁行为者尝试通过WAN访问设备,如果成功,他们将绕过身份验证,并使用未知用户帐户建立SSL VPN隧道,例如zyxel_slIvpnzyxel_tszyxel_vpn_test,以操纵设备的配置。


目前尚不清楚这些攻击是利用Zyxel设备中先前已知的漏洞,还是利用零日漏洞来破坏系统,同样不清楚的是攻击的规模和受影响的用户数量。为了减少攻击面,该公司建议客户禁用来自WANHTTP/HTTPS服务,并实施受限制的地理IP列表,以便仅从受信任的位置启用远程访问。

今年早些时候,Zyxel修补了其固件中的一个严重漏洞,删除了一个硬编码用户帐户zyfwpCVE-2020-29583),攻击者可以利用该帐户以管理权限登录,并损害设备的机密性、完整性和可用性。


企业VPN和其他网络设备在一系列旨在寻找进入企业网络的新途径的活动中成为攻击者的首要目标,威胁行为者能够在网络内横向移动,并为间谍活动和其他经济活动收集敏感情报。

参考来源:TheHackerNews http://t.hk.uy/4bT

  

第二章 国外关键信息基础设施安全动态

(一)德国菲尼克斯电气多款工业产品存在高危漏洞

德国工业解决方案提供商菲尼克斯电气(Phoenix Contact)上周通知客户,在其多款产品中共发现了10个漏洞。

根据菲尼克斯电气和德国CERT@VDE发布的公告,多家研究人员和公司向该公司报告了这些漏洞。德国CERT@VDE负责协调与工业自动化相关的网络安全问题。

菲尼克斯通过固件更新解决了许多漏洞,但有的漏洞仅提供了防止攻击的建议。

菲尼克斯电气的TC路由器、FL MGUARD模块、ILC 2050 BI楼宇控制器和PLCNext产品受到两个漏洞的影响:一个高危安全绕过问题和一个中危拒绝服务(DoS)漏洞。

SMARTRTU AXC远程终端和自动化系统、CHARX控制模块化交流充电控制器、EEM-SB37x电表和PLCNext产品受到高危漏洞影响,可利用该漏洞在设备上安装恶意固件。

菲尼克斯电气透露,FL SWITCH SMCS系列交换机受到三个安全漏洞的影响,可利用这些漏洞进行DoS和跨站点脚本(XSS)攻击,可以利用XSS漏洞将恶意代码注入设备的基于Web的管理界面。

用于将串行接口集成到现有以太网网络中的FL COMSERVER UNI产品受到一个高危DoS漏洞影响。

另一个公告披露了AXL F BKIL BK总线耦合器中的漏洞。该漏洞与存在用于FTP访问的硬编码密码有关,它可以让攻击者读取设备的加密监控信息

菲尼克斯电气的ILC1x1工业控制器受到高危DoS漏洞的影响,该漏洞可以使用特制的IP数据包触发。

菲尼克斯电气Classic Line工业控制器是专为在封闭工业网络中使用而开发和设计的,通信协议和设备访问不具有身份验证措施。远程攻击者可以使用特制的IP数据包,在PLC的网络通信模块上造成拒绝服务。

Automation Worx软件套件中存在远程代码执行漏洞。该安全漏洞为高危漏洞,但利用该漏洞需要访问和操作配置文件,并在受害系统上对其进行解析。

参考来源:SecurityWeek http://t.hk.uy/4dx

 

 (二)黑客利用思科ASA设备中的XSS漏洞

思科ASA设备中存在一个XSS漏洞CVE-2020-3580Positive Technologies研究人员624日在Twitter上发布了该漏洞PoC利用,随后不久就有黑客扫描并积极利用该漏洞。

思科于202010月首次披露了该漏洞并发布了修复程序。然而,针对CVE-2020-3580的初始补丁不完整,并于20214月发布了进一步的修复程序。

该漏洞可允许未经身份验证的威胁行为者向思科ASA设备的用户发送有针对性的网络钓鱼电子邮件或恶意链接,以在用户浏览器中执行JavaScript命令。思科表示,成功利用此漏洞可能允许攻击者在界面上下文中执行任意脚本代码,或者允许攻击者访问基于浏览器的敏感信息。

在修复漏洞并为设备升级留出足够时间后,安全研究人员通常会发布概念验证(PoC)漏洞利用,以分享组织如何检测和防止相关攻击。624日,Positive Technologies研究人员在Twitter上发布了针对思科ASA CVE-2020-3580漏洞的PoC利用。


 

当用户访问特制的恶意网页时,该漏洞将在用户浏览器中显示JavaScript警报,但是恶意网页可能已执行其他JavaScript命令来执行恶意活动。

PoC发布后不久,Tenable报告称,威胁行为者正在积极利用受影响设备上的漏洞,但没有透露正在执行哪些恶意活动。Tenable表示,“Tenable还收到一份报告,称攻击者正在野外利用CVE-2020-3580

由于威胁行为者现在正在积极利用该漏洞,因此管理员必须立即修补易受攻击的Cisco ASA设备,以便威胁行为者无法利用它们。

参考来源:BleepingComputer http://t.hk.uy/4uN

 

 (三)微软在Netgear路由器中发现三个漏洞

微软研究人员在Netgear DGN-2200v1系列路由器固件中发现了多个漏洞,这些漏洞可以让攻击者绕过身份验证、访问存储的凭证,甚至接管设备。

研究人员在研究Microsoft Defender for Endpoint的新设备发现功能中的设备指纹时发现了安全问题。专家注意到非IT人员拥有的一台设备试图访问Netgear DGN-2200v1路由器的管理端口,然后调查了这一异常行为。流量是TLS加密的,因此研究人员将重点放在路由器上,并调查是否存在可被威胁攻击者利用的安全漏洞。

微软发现了三个漏洞,Netgear追踪为PSV-2020-0363PSV-2020-0364PSV-2020-0365,并向供应商报告了这些漏洞,供应商修复了这些漏洞并发布了安全建议。攻击者可以利用这些漏洞绕过对路由器管理页面的身份验证,从而接管路由器。

这种攻击场景对组织来说非常危险,因为它可能会导致网络遭到破坏,从而使威胁行为者能够破坏目标的基础设施。


研究人员从Netgear的网站下载了该设备的固件,并注意到异常通信使用的是httpd服务器的标准端口。网站上提供的存档是一个.zip文件,其中包含发行说明(.html)和固件镜像本身(.chk文件)。在.chk文件上运行binwalk最终解压文件系统(squash-fs)

研究人员使用QEMU模拟器对HTTPd二进制代码进行了静态分析和动态分析。分析显示,未经身份验证的页面包括一些伪代码,作为HTTPd中的第一页处理代码,自动批准某些页面,如“form.css”“func.js”

研究人员还发现,可以使用旁路攻击发现路由器凭据。他们还利用第一个绕过身份验证的漏洞,利用其他现有漏洞恢复了路由器使用的用户名和密码。

研究人员将重点放在路由器的配置备份\恢复功能上,滥用身份验证绕过了得到的文件:hxxp://router_addr:8080/NETGEAR_DGN2200[.]cfg?pic[.]gif.。对备份/恢复功能进行反向工程研究人员达到了他们的目标。用户名很可能是‘admin’的变体,也可以用同样的方法检索。

微软表示,经过一些准备步骤后,内容用一个常量密钥“NtgrBak”进行DES加密。这使得攻击者能够远程获取明文密码(存储在加密的NVRAM中)。用户名可以是“admin”的变体,也可以用同样的方法检索。通过这项研究,我们展示了通过端点发现服务发现的与路由器的简单异常连接是如何驱使研究人员在一个流行路由器上发现漏洞的。路由器是网络的组成部分,因此保护支持其功能的程序非常重要。

参考来源:SecurityAffairs http://t.hk.uy/4Q8

 

(四)西部数据NAS设备遭受零日漏洞攻击

西部数据(WD)629日证实,最近针对其一些较旧的网络附加存储(NAS)设备的攻击涉及利用零日漏洞。

此前,My Book LiveMy Book Live Duo设备的许多所有者在WD社区论坛上报告称,他们的设备已启动出厂重置,导致所有文件被擦除。目前WD社区的此话题中有近900条消息。

WD最初表示,攻击者利用了CVE-2018-18472,这是一个旧漏洞,知道目标设备IP地址的远程攻击者以超级用户权限执行任意命令。但是,在进一步分析之后,WD确认,攻击也利用了零日漏洞。

这个名为CVE-2021-35941的新漏洞已被利用来将设备重置为出厂设置,无需身份验证即可利用该安全漏洞。

CVE-2018-18472被用来在脆弱的NAS设备上安装恶意软件,CVE-2021-35941被用来将它们重置为出厂设置,在某些情况下,这两个漏洞显然是由同一个攻击者所利用。

提供互联网可见性和风险评估产品的Censys公司也分析了这些攻击,称CVE-2018-18472被利用来提供一个脚本,用于安装和执行恶意软件,导致受影响的设备加入僵尸网络。该公司发现的证据表明,多个威胁者正试图控制WD设备。

Censys最初发现了超过5.5万台暴露在互联网上的设备,后来指出,绝大多数尚未下线的设备已经受到了攻击。大部分被黑客攻击的NAS设备位于美国、英国和加拿大。

My Book LiveMy Book Live Duo产品已经停产,最新的固件更新发布于2015年。WD表示,其新产品没有受到影响,并声称没有证据表明其云服务、固件更新服务器或客户凭证受到了损害。

WD表示,该公司计划为受此次攻击影响的客户提供数据恢复服务,该服务将于7月份上线。该公司还将提供一个以旧换新计划,帮助客户升级到不容易受到这些攻击的新设备。

参考来源:SecurityWeek http://t.hk.uy/4Qa

 

(五)ATMNFC系统和POS机中存在一个严重漏洞

IOActive网络安全研究人员Joseph Rodriguez在自动取款机的NFC系统和POS中检测到了一个非常严重的漏洞。

这些ATM网络攻击具有很高的风险,在ATM攻击中,威胁行为者需要物理访问USB端口,因此威胁行为者在白天进行此类攻击是相当危险的。研究人员声称,这种攻击通常会损坏自动取款机的某些部分。但威胁行为者更喜欢这种攻击方法,因为直接闯入银行,然后找到不同的方法来接触ATM更危险,这些方法也需要更多的技能。

使用手机的NFCAndroid应用程序是威胁行为者执行此类攻击的更容易的方法。在调查了整个攻击之后,Rodriguez了解到,只要使用一个专有的Android应用程序以及一个带有NFC模块的智能手机,就可以轻松在这些设备上安装某种勒索软件。不仅如此,在这种情况下,如果可以连接ATM电脑,可以很容易地通过点击智能手机来取款。

Wired报道,这种攻击不仅会利用自动取款机,还会以许多不同的方式利用其他自动售货机,比如获取支付卡信息、放入恶意软件等。

这种攻击可以用于很多方面,威胁行为者可以很容易地链接攻击,还可以向自动取款机的计算机发送一个独特的有效负载,这样做将帮助他们只需轻敲手机就可以获得自动取款机里的现金。

然而,由于与ATM供应商签订了保密协议,Rodriguez尚未披露有关该漏洞的任何关键细节。但这次攻击持续影响着大量现代机器,因此Rodriguez决定在接下来的几周内披露一些技术细节。

参考来源:GBHackers http://t.hk.uy/4NA

 

(六)日本飞机加油公司JAFS遭受勒索软件攻击

提供飞机加油业务的日本机场加油(JAFS)公司透露,其服务器受到了未经授权的访问,感染了勒索软件,没有对加油业务造成影响。

据该公司介绍,该公司网络从621日凌晨开始发生故障,经调查发现,该服务器受到未经授权访问而感染了勒索软件,数据被加密。

攻击者称,要是以服务器内的数据恢复作为交换条件,就要支付虚拟货币。但是攻击者没有提到数据窃取。

勒索软件的类型以及服务器内部是否存在个人信息和机密信息等详细信息尚未披露,该事件目前正在调查中,因此未获得任何评论。

该公司向主管部门报告了此事件,并与警方协商。此外,该公司否认了此次故障对加油服务及相关业务的影响。

参考来源:SecurityNEXT http://t.hk.uy/45w

 

(七)普京电视直播连线遭受黑客DDoS攻击

俄罗斯国营电视台Rossiya 24表示,630日与俄罗斯总统普京进行的直播电视电话会议遭受了强大的网络攻击。

在该直播节目中,俄罗斯全国各地的民众可以实时向总统普京提出问题,并现场连线。

630日的直播连线活动持续了近4个小时,多次遇到连接问题,特别是在来自偏远地区的通话。

Rossiya 24的一位主持人告诉普京,我们的数字系统现在正面临强大的DDoS攻击。一位来自西伯利亚西南部库兹巴斯地区的来电者遇到了连接问题。

普京表示,你在开玩笑吗?真的吗?原来我们在库兹巴斯有黑客。库兹巴斯是俄罗斯的偏远地区。

俄罗斯最大的电信提供商Rostelecom向新闻机构证实了此次攻击事件,称正在采取措施阻止这些非法活动。普京发言人佩斯科夫对俄新社表示,攻击的起源尚不清楚。

今年6月初,普京与美国总统拜登举行峰会,网络安全是会议议程上的主要议题之一。拜登政府今年4月对俄罗斯实施了制裁,因SolarWinds事件攻击了联邦组织和100多家美国公司。并且美国还指责俄罗斯干预其选举,称干预是由俄罗斯安全部门或与克里姆林宫有关联的黑客进行的。克里姆林宫方面一再否认这些指控。

参考来源:法新社 http://t.hk.uy/4GW

 

(八)CISA发布勒索软件攻击自我评估安全工具

为了应对日益猖獗的勒索软件攻击,美国网络安全及基础设施安全局(CISA)在630日更新的网络安全评估工具(CSET)中,发布了一个新的勒索软件就绪评估(Ransomware Readiness AssessmentRRA)模块,以协助各组织对抗勒索软件与自攻
击中恢复的能力。

CSET是个独立的桌面程序,能够协助组织系统性地评估网络的安全性,且同时适用于信息技术与工业控制系统网络,早已通过GitHub分享。RRACSET的新模块,专门用来评估组织面对勒索软件攻击时的防御与恢复能力,CISA也在RRA中列出了不同等级的勒索软件威胁准备度,以让网络安全成熟度不一的组织都能从中受益。

RRA可用来评估组织的网络安全状态,特别是针对勒索软件攻击,以系统化、规范及可复制的方式,来提供公认的标准与最佳实作建议;也能指导组织藉由系统化的程序来评估其营运与信息技术网络的安全实作;再通过基于图表及表格的分析仪表板来呈现评估结果,包含摘要与细节。

在勒索软件攻击当道的时代,CISA强烈建议所有组织利用RAA进行自我评估。

本文版权归原作者所有,参考来源:iThome http://t.hk.uy/4Pr

 

(九)微软发现俄罗斯黑客组织Nobelium发起新攻击

 

微软威胁情报中心发现,威胁行为者Nobelium正在发起新的网络攻击。攻击者使用密码喷射及暴力攻击企图猜测密码,并获得对微软客户帐户的访问权限。微软表示,大多数攻击没有成功,目前已有三个实体成功遭受攻击。

黑客组织Nobelium也被称为APT29Cozy BearThe Dukes,据信为俄罗斯国家支持的威胁行为者,对去年的SolarWinds供应链攻击事件负责。

微软表示,此类活动并不新鲜,建议每个人都采取安全预防措施,例如启用多因素身份验证,以保护其环境免受此类攻击和类似攻击。该活动针对特定客户,主要是IT公司(57%),其次是政府(20%),非政府组织和智库以及金融服务的比例较小。该活动主要集中在美国,约占45%,其次是英国的10%,以及少量来自德国和加拿大,总共有36个国家成为攻击目标。

作为对这一持续活动的调查的一部分,微软研究人员还在其一位客户支持代理的机器上检测到信息窃取恶意软件,该机器可以访问微软少数客户的基本帐户信息。攻击者有可能使用此信息发起很有针对性的攻击,作为其更广泛活动的一部分。

微软迅速做出回应,移除了访问权限并保护了设备。目前调查正在进行中,微软确认,其支持代理配置了最低限度的权限集,这是对客户信息的零信任最低特权访问方法的一部分。微软正在通知所有受影响的客户,并支持其确保帐户安全。

此活动强调了最佳实践安全预防措施的重要性及对每个人的重要性,例如零信任架构和多因素身份验证。

参考来源:微软安全响应中心 http://t.hk.uy/4xx

 

(十)英美机构联合警告俄罗斯威胁组织开展大规模暴力攻击

美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和英国国家网络安全中心(NCSC71日联合发布了一份网络安全建议,警告与俄罗斯总参谋部情报局(GRU)有关联的威胁行为者APT28正在进行涉及暴力攻击技术的全球网络行动。


APT 28又称为Fancy BearPawn StormSednitStrontiumTsar Team,攻击目标为世界各地的各类型组织。

据这些英美机构称,全球数百个组织都曾遭受过该组织的暴力访问尝试,特别是在美国和欧洲。攻击目标组织包括政府和军队、政治顾问和政党、国防承包商、能源公司、物流公司、智库、大学、律师事务所和媒体公司。

该安全警告表示,恶意网络攻击者通常通过大量登录尝试,使用暴力破解技术来发现有效凭据,有时使用先前泄露的用户名和密码,或者通过猜测最常见密码的变体。虽然暴力破解技术并不新鲜,但GTsSS独特地利用软件容器来轻松扩展其暴力尝试。

该攻击活动始于2019年中,利用Kubernetes集群进行了广泛、分布式和匿名的暴力访问尝试。虽然其中一些尝试直接来自该集群中的节点,但在大多数情况下,攻击是通过Tor网络和各种商业VPN服务进行的。

暴力攻击与已知漏洞的利用相结合,例如过去几个月在许多攻击中利用的Microsoft Exchange漏洞。该文章表示,大部分暴力活动针对使用Microsoft 365云服务的组织,但黑客还针对其他服务提供商以及本地电子邮件服务器。

Mandiant威胁情报分析副总裁John Hultquist在一封电子邮件中表示,“APT28作为军事情报机构网络部门的一部分,定期对这些目标进行情报收集。该组织的主要任务是对政策决策者、外交官、军队和国防工业进行例行收集,而这类事件并不一定预示着黑客和泄密活动等行动。尽管我们尽了最大努力,但我们不太可能阻止莫斯科进行间谍活动。这是一个很好的提醒,GRU仍然是一个迫在眉睫的威胁,考虑到即将到来的奥运会,这一点尤其重要,他们很可能试图破坏这一事件。

该安全警报还包括已知的TTP信息、检测和缓解建议、IP地址、用户代理、以及与攻击相关的Yara规则。

大约一年前,微软曾警告称,APT28一直在美国和英国机构中的数万个帐户收集Office365凭据。

参考来源:SecurityWeek http://t.hk.uy/4KU

 

(十一)Babuk Locker勒索软件的构建器在网上泄露

Babuk Locker勒索软件的构建器本周在网上泄露,这使得任何想要进入勒索软件领域的潜在犯罪集团都可以轻松获得高级勒索软件,而几乎无需开发工作。


 

根据The Record获得并测试的泄漏副本,Babuk Locker的构建器可用于创建自定义版本的Babuk Locker勒索软件,用于加密托管在Windows系统、基于ARM的网络存储连接(NAS)设备和VMWare ESXi服务器上的文件。此外,对于通过应用程序生成的每个Babuk加密器,构建器还生成可用于从每个受害者恢复加密文件的解密程序。

Babuk Locker勒索软件组织在四月底高调攻击了华盛顿特区警察局,随后宣布退出勒索业务。两个月后Babuk Locker的构建器发生了泄露。据信,该组织在5月下旬将其勒索软件泄漏站点更名为Payload.bin,并开始作为其他勒索软件组织的第三方主机运营,这些勒索软件组织希望泄露从受害者那里窃取的文件,但又不想经营自己的泄露网站。

目前尚不清楚Babuk组织是否试图在交易中将他们的勒索软件构建器出售给第三方,或者构建器是否被竞争对手或白帽安全研究人员泄露。但无论幕后发生了什么,该组织的构建器在本周早些时候被上传到VirusTotal恶意软件扫描门户网站时在网上泄露了消息。该文件是由英国安全研究员Kevin Beaumont发现的。

Babuk构建器泄露事件发生前两周,Paradise勒索软件构建器的源代码也在一个公共黑客论坛上共享。虽然这两起事件被认为是无关的,但都引起了网络安全专家的关注,他们认为,低效率的网络犯罪组织现在将采用这两种工具来进行未来潜在的有破坏性的攻击。

Beaumont表示,希望这可以用来推动检测和解密的研究。改进检测的一个很好的起点是了解Babuk软件的工作原理。

参考来源:The Record http://t.hk.uy/4aM

 

(十二)俄罗斯黑客已在丹麦中央银行网络中潜伏超过半年

俄罗斯国家黑客侵入了丹麦中央银行(Danmark Nationalbank),并植入恶意软件,在没有被发现的情况下访问网络超过半年。

这次入侵是去年SolarWinds供应链攻击的一部分,美国将该事件归咎于俄罗斯对外情报局(SVR)通过其黑客部门(通常被称为APT29The DukesCozy Bear,或Nobelium)进行的黑客活动。

这一事件是在Version2以信息自由为由,从丹麦央行获得官方文件后才披露的。

SolarWinds被认为是最复杂的供应链攻击之一,因为全世界有18000个组织下载了IT管理平台SolarWinds Orion的特洛伊木马版本。

尽管黑客可以长期访问,但该行表示,除了第一阶段的攻击之外,没有发现任何妥协的证据,就像数千个安装了特洛伊木马版本的SolarWinds Orion的组织一样。这表明丹麦中央银行只是这次更大规模攻击的受害者,并不是黑客感兴趣的目标,就像许多美国联邦机构的情况一样。

Version2的一份电子邮件声明中,该行承认受到了SolarWinds供应链攻击的影响,并在得知这一妥协后立即采取了行动。

网络安全公司FireEye在检测到黑客在其网络上的存在后,于202012月披露了SolarWinds攻击。黑客们的攻击目标是美国的实体,他们的目标是获取特定目标的云资产,特别是电子邮件,包括多个政府机构。

微软上周五表示,黑客组织Nobelium一直在进行新的攻击活动,至少有三个实体被攻击。微软对这些攻击的调查发现,其一名客户支持代理的计算机上存在一个窃取信息的特洛伊木马程序,为有限数量的客户提供访问权限。

今年4月,美国政府为SolarWinds间谍活动提供了明确的归属,称俄罗斯SVR是此次攻击的策划者,通过黑客组织Cozy Bear实施的攻击。

白宫指出,该事件的范围事关国家安全和公共安全问题。对此,美国财政部已对多家俄罗斯科技公司实施制裁,这些公司帮助俄罗斯情报机构对美国采取恶意行动。

参考来源:BleepingComputer http://t.hk.uy/4Pa

 

(十三)奔驰美国公司泄露约1000名客户和潜在买家数据

梅塞德斯-奔驰美国公司624日发布了一则关于数据泄露的声明,大约1000名客户和对该公司汽车感兴趣的买家的敏感个人信息被泄露。从目前的情况来看,安全漏洞是由于数据库泄露导致的,该数据库涉及到201411日至2017619日期间该网站访问者输入的信息。该事件并没有直接发生在梅赛德斯-奔驰的任何系统上,而是发生在该汽车品牌签约的一个供应商系统上。

供应商估计,只有不到1000人受到了威胁。不过,由于梅赛德斯-奔驰尚未结束对这一事件的独立调查,外界对这一数据的准确性有所保留。暴露的数据集包括驾照号码、社会安全号码、信用卡信息和出生日期。总共有160万条与1000客户相关的记录在网上被曝光。

所有这些都没有被谷歌搜索编入索引,所以要访问暴露的数据库的信息,就必须使用专门的搜索引擎和软件工具。梅赛德斯-奔驰在2021611日得知了这一事件,但第一次错误配置的日期还不清楚,所以曝光时间可能会很长。

所有暴露的个人都已经收到了关于这次安全事件的个性化通知,同时公司也通知了相应的政府机构。此外,所有在网上表格中输入信用卡信息的受影响客户现在将获得24个月的信用监测服务,费用将由梅赛德斯-奔驰承担。

 参考来源:TechNadu http://t.hk.uy/4Nf

 

(十四)研究人员发布Lorenz勒索软件免费解密程序

荷兰网络安全公司Tesorion发布了Lorenz勒索软件的免费解密程序,允许受害者免费恢复部分文件而无需支付赎金。

Lorenz是一种人工操作的勒索软件。于20214月开始运行,此后列出了12名受害者,在数据泄露网站上公开他们窃取的数据。Lorenz并不是特别活跃,与其他业务相比,最近几个月已经开始逐渐减少。

Lorenz勒索软件解密工具可以从NoMoreRansom下载,并允许受害者恢复他们的一些加密文件。与其他包含实际解密密钥的勒索软件解密程序不同,Tesorion的解密程序的操作方式不同,只能解密某些文件类型。

Tesorion研究人员Gijs Rijnders表示,只有具有已知文件结构的文件才能被解密,例如Office文档、PDF文件、某些图像类型和电影文件。虽然解密程序不会解密所有文件类型,但它仍然允许那些不支付赎金的人恢复重要文件。

解密程序可以毫无问题地解密已知的文件类型,如XLSXLSX文件。但是,它不会解密未知文件类型或不常见文件结构的文件。

除了提供解密程序外,Tesorion还提供了对Lorenz勒索软件使用的加密技术的深入分析。Rijnders在博客文章中解释表示,该软件实施的加密方式中的一个错误会导致数据丢失,这将导致即使支付了赎金也无法解密文件。这个错误的结果是,对于每个大小为48字节倍数的文件,最后48字节都会丢失。即使设法从恶意软件作者那里获得解密程序,这些字节也无法恢复。

参考来源:BleepingComputer http://t.hk.uy/446

 

(十五)LinkedIn 7亿用户数据在暗网出售

7亿LinkedIn用户数据在暗网上出售,是迄今为止LinkedIn最大的数据泄露事件之一。这些数据是从LinkedIn服务器及其他来源获得的。

622日在某热门黑客论坛上,有一名用户发布了7亿LinkedIn用户数据进行销售。该用户发布了一个包含100LinkedIn用户的数据样本,其中包括:电子邮件地址、姓名、电话号码、物理地址、地理位置记录、LinkedIn用户名和个人资料UR
L、个人和专业经验/背景、性别、其他社交媒体帐户和用户名等。

该用户声称,完整的数据库包含7亿LinkedIn用户个人信息。根据LinkedIn网站信息,LinkedIn拥有7.56亿用户,这意味着92%LinkedIn用户都可以在这些记录中找到。

根据RestorePrivacy研究人员分析样本数据及于其他公开信息交叉核对,似乎所有数据都是真实的,并且与真实用户相关。此外,数据似乎是最新的,样本从2020年到2021年。虽然研究人员在检查的样本中没有找到登录凭据或财务数据,但仍有大量信息可供不良行为者利用以获取经济利益。

研究人员直接联系了在黑客论坛上发布数据出售的用户,他声称这些数据是通过利用LinkedIn API来收集人们上传到网站的信息而获得的。

LinkedIn通过电子邮件解释,并非所有数据都可以通过LinkedIn API获取。相反,一些数据可能来自其他来源。LinkedIn甚至发表了一份声明,表示他们初步调查发现这些数据是从LinkedIn和其他各种网站上抓取的。

RestorePrivacy研究人员联系了LinkedIn,就该数据泄露事件发表评论。LinkedIn证实这些数据是从他们的服务器以及其他来源中抓取的,但声称没有公开LinkedIn成员的私人数据。请注意,这里私人数据的定义是主观的。

LinkedIn的声明表示,我们的团队调查了一组出售的LinkedIn数据。我们要明确表示,这不是数据泄露,也没有泄露任何LinkedIn成员的私人数据。我们的初步调查发现,这些数据是从LinkedIn和其他各种网站上抓取的,其中包括今年早些时候在我们20214月的抓取更新中报告的相同数据。

需要注意的是,LinkedIn并没有否认数据是从他们的服务器中获取的。他们只是指出:一些数据也是从其他各种网站获得的。他们不会将泄露的数据视为私人数据。

虽然这次最新的LinkedIn泄漏没有包含任何财务记录或登录凭据,但仍然存在严重后果,这使7亿多人面临以下风险:身份盗窃、网络钓鱼尝试、社会工程学攻击、账户被黑客攻击。

网络犯罪分子可以将泄露文件中的信息与其他数据结合使用,以创建其潜在受害者的完整详细资料。此外,不良行为者可以使用可用数据,特别是用户名、电子邮件和个人信息,来访问其他帐户。

最重要的是,这些信息使LinkedIn用户面临被不良行为者利用的更高风险。一旦私人数据泄露,就无法挽回。

参考来源:RestorePrivacy http://t.hk.uy/4zy

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号