关键信息基础设施安全动态周报【2021年第41期】
发布时间:
2021-10-22
来源:
作者:
天地和兴
访问量:
1074
目 录
第一章 国内关键信息基础设施安全动态
(一)超大规模物联网僵尸网络Pink影响国内数百万IoT设备
(二)技嘉遭受AvosLocker勒索软件攻击
(三)宏基一周内遭受两次网络攻击
第二章 国外关键信息基础设施安全动态
(一)CISA和FBI联合发布水务系统网络威胁安全公告
(二)美国出台新规定,限制出口攻击性网络工具
(三)美国多部门针对BlackMatter勒索软件联合发布警告
(四)澳大利亚政府发布勒索软件行动计划
(五)美国Sinclair广播电视集团遭受勒索软件攻击
(六)以色列Hillel Yaffe医院遭受重大勒索软件攻击
(七)美国糖果生产商Ferrara Candy遭受勒索软件攻击
(八)阿根廷国家人事登记处RENAPER遭受黑客入侵
(九)Macaw Locker勒索软件是Evil Corp的新变种
(十)REvil勒索软件的Tor站点遭受劫持,可能导致再次关闭
(十一)民族国家黑客Harvester针对南亚电信及政府部门发起攻击
(十二)压缩软件WinRAR试用版存在远程代码执行漏洞
(十三)3D打印平台Thingiverse泄露超22万用户信息
第一章 国内关键信息基础设施安全动态
(一)超大规模物联网僵尸网络Pink影响国内数百万IoT设备
2019年12月,根据安全社区提供的线索,安全研究人员发现了一起大规模的物联网安全事件。多方联合的分析与定位结果显示,此次事件中,黑客通过入侵某网络运营商的家庭用户设备并植入恶意程序,持续地使这些设备变成新的僵尸节点,进而构建起了一个超大规模的僵尸网络。根据所涉运营商和设备厂商的初步评估,被黑客入侵并控制的设备数量超过百万,其中96%以上的受害者分布在中国境内。这次攻击事件中受控的设备数量特别巨大,是历史上已公开领域内的规模最大的物联网僵尸网络。
运营商的家庭用户设备在设计、研发、制造等阶段,需要采购第三方组件,以完成产品功能。由于程序设计不严谨、安全测试不充分等原因,有些组件含有软件或硬件缺陷。这些缺陷在没有暴露之前,叫做0-day漏洞或零日漏洞(没有暴露——0-day,暴露1日——1-day,暴露多日——N-day)。此次事件中,黑客就是利用了设备生产供应链中的某些组件的0-day漏洞,入侵了多个品牌的家庭网关类设备,并在设备上植入了恶意程序。因为在该恶意程序的二进制逆向结果中,多次出现“pink”字符,所以将其命名为Pink。
Pink恶意程序从功能上可以划分为3个模块:植入、驻留、控制。当Pink恶意程序被植入设备并运行后,它会主动封堵设备的自动升级通道,大大增加了应急处置和在线修复的难度,危害程度极高。通过对该事件的深入分析,研究人员认为,此次攻击事件已经超出了僵尸网络的范畴,是一次高级定向攻击事件:
1、高级性:在一般的僵尸网络攻击中,黑客会使用许多通用型的漏洞,以期最广泛地覆盖不同类型、不同品牌、不同固件的在线设备。但是在此次事件中,黑客挖掘了运营商的特定设备、特定固件的0-day漏洞(挖掘特定设备的漏洞,通常比挖掘通用型的漏洞难得多),仅利用0-day漏洞入侵这些特殊设备,并且没有增加其他漏洞用于更广泛的扩散感染;
2、定向性:此次事件中出现的0-day攻击是针对特定品牌的宽带设备设计的,这些设备主要被提供到华北、东北地区,其中北京地区装机量最大。这些设备作为未来家用物联网控制核心,重要性不言而喻。因此研究人员判断,Pink背后的黑手是有目的性地选择攻击目标,这是高级定向攻击的重要判断依据;
3、定制性:在一般的僵尸网络攻击中,黑客会制作适配X86、ARM、MIPS等多种处理器架构的恶意程序,以确保能够最广泛地感染不同的设备。但是在此次事件中,Pink恶意程序仅能适配MIPS架构,而它正是被入侵控制的设备所采用的处理器架构;
4、持久性:在一般的僵尸网络攻击中,攻击者通常在漏洞利用阶段修改crontab定时任务,以实现恶意程序的持久化。但是在此次事件中,Pink恶意程序自己通过修改固件,完成Rootkit来保证自身长期存在于设备中,这是极为罕见的、难度很高的驻留方式,这也是Pink属于高级定向攻击的重要判定依据;
5、潜伏性:在研究人员的持续监测过程中,并未发现Pink有任何外部扫描攻击行为,因此其攻击活动是以特定目标进行的,而常规僵尸网络活动则带有大规模的扫描和探测能力,追求短时间内控制大量设备;Pink恶意程序中,也没有出现任何已知的恶意软件的代码复用行为,在厂商治理后,Pink不再进行更新,这也表明了攻击者更愿意隐匿自身,这与僵尸网络开发者被公布后有意炫耀并持续活跃有本质的区别。
根据NetFlow监测、主动探测等多个维度的数据测算,Pink僵尸网络曾经连接的IP地址数量超过五百万。通过对这些IP地址的定位数据进行统计发现,这些IP主要是某运营商的家庭用户地址。然而家庭用户的IP地址是动态分配的,IP背后已感染设备的真实规模无法被精确估计。2020年初的监测数据显示:在不到1分钟的时间内,向控制服务器C2发起连接的感染端IP数超过百万。另据所涉运营商和设备厂商的初步评估,被黑客入侵并控制的设备数量在数百万级。综上,依据多方独立的测量结果,研究人员认定Pink僵尸网络控制的节点数量在其峰值期超过百万。根据感染IP地址的定位数据,被感染设备主要位于北京(18.8%)、山东(16.4%)、山西(12.6%)、浙江(12.3%)等。
本文版权归原作者所有,参考来源:关键基础设施安全应急响应中心 http://33h.co/94km4
(二)技嘉遭受AvosLocker勒索软件攻击
AvosLocker勒索软件组织声称,入侵了台湾电脑硬件生产商技嘉(Gigabyte),并泄露了数据样本,准备出售剩余的部分。该组织声称窃取了技嘉的主密钥,可能会在供应链攻击中强制硬件下载虚假驱动程序或BIOS更新。
10月20日,AvosLocker勒索软件组织发布了一份声明,宣布其已经入侵了台湾主板/服务器制造商Gigabyte,但没有说明何时及如何攻击的。泄露文件样本显示,数据涉及有关与第三方公司交易的机密细节以及有关员工的可识别信息。
AvosLocker的公告显示,数据涉及Gigabyte和Barracuda Networks之间的保密协议(NDA)。保密协议日期为2007年6月,由Drako代表Barracuda Networks签署,如果是真实的,可能是Barracuda的联合创始人Dean Drako。AvosLocker的声明表示,“Gigabyte公司遭到破坏,这是我们从他们的网络下载的文件样本。样本中泄露了Barracuda NDA+完整目录列表。”
10月21日,PrivacySharks表示,其独立安全研究人员查看了泄露的14.9MB文件proof.zip的内容,该文件据称是从技嘉泄露的。研究人员表示,其中包含以下敏感信息列表:
1、潜在的信用卡详细信息。幸运的是,如果这些文件包含信用卡信息,则信用卡可能已过期,因为此文件夹是2014年的;
2、密码和用户名详细信息;
3、员工工资明细;
4、与顾问签订的人力资源协议以及全名、图片和简历;
5、名为Passports的文件中有10个PDF文档;
6、超过1,500名求职者的信息,包括全名、简历、简历和申请。还有Zoom详细信息,其中包含每个候选人的个人信息;
7、名为Mailchimp的文件夹,其中包含GSM帐户数据库信息,可能包括电子邮件地址;
8、一个zip文件夹,其中包含NDA和价值100,000美元以上的Barracuda交易信息;
9、除了Barracuda,此次泄露的数据还包括来自以下知名公司的各种数据:亚马逊、百思买、黑魔法、暴雪、英特尔和金士顿;
10、一个名为Tree的.txt文件,其中包含133,352行文件夹和在违规中被盗的文件名;
11、来自“夏威夷2019”等旅行的业务费用,包括花在luau饮料、优步旅行和小费上的钱;
12、公司活动的图片,包括圣诞派对、万圣节派对和“托尼的生日”。
PrivacySharks分享了许多显示转储文件树的屏幕截图。除非有人付费解锁文件,否则任何人都无法猜测其中的实际内容。但根据事件响应公司BreachQuest联合创始人兼首席技术官Jake Williams的说法,这些名称表明威胁行为者“专注于质量”,这与勒索软件攻击者通常专注于抓取任何东西的做法不同。
Williams通过电子邮件表示,“文件树中的细节应该让技嘉非常关注,因为他们考虑了这次违规的影响。在大多数双重勒索计划中,数据盗窃的重点是数量而不是质量。此转储中的文件树表明,在这种情况下,威胁行为者专注于质量。AvosLocker嘲笑的文件树(目录列表)似乎是对众多网络犯罪分子有价值的数据类型。”
Williams预测,“合同细节的明显盗窃,例如据称与Barracuda的保密协议,无疑会损害与供应商的关系,并给技嘉造成重大的声誉损失。同样,外人很难仅根据文件和目录名称来评估可能包含或不包含在转储中的商业机密的价值。可以肯定的是,技嘉现在正在狂热地评估目录列表中文件的内容,并评估它们可能发布的影响。”
Gigabyte为AMD和Intel平台设计和制造主板,它还与AMD和Nvidia合作生产显卡和笔记本电脑,包括Nvidia的图灵芯片组以及AMD的Vega和Polaris芯片组。PrivacySharks建议,如果泄漏结果包括技嘉的主密钥,即识别硬件制造商为原始开发商的密钥,威胁行为者可以使用它们来强制硬件下载虚假驱动程序、BIOS更新或更多,就像SolarWinds发生的那样。
在这一点上,PrivacySharks的专家只发现了两个.KEY文件和几个.CRT文件,这表明“该漏洞不包含来自安全/技术部门的数据,或者只包含很少的数据”。然而PrivacySharks提示,技嘉可能会在不久的将来撤销任何密钥。
参考来源:ThreatPost http://33h.co/94b9t
(三)宏基一周内遭受两次网络攻击
台湾电脑制造商宏碁(Acer)在短短一周内遭受了两次网络攻击,分别是位于印度和台湾的服务器系统,攻击者是同一个黑客组织Desorden,该组织称宏碁其他地区的网络也很容易受到攻击。
上周,威胁行为者Desorden向记者发送了电子邮件,声称他们入侵了宏基位于印度的服务器,并窃取了数据,包括客户信息。宏碁随后证实了这一违规行为,但表示这是一次“孤立攻击”,仅影响其在印度的售后服务系统。
该威胁行为者在RAID黑客论坛上称他们从宏碁的服务器上窃取了超过60GB的文件和数据库。作为证据,攻击者提供了一段视频,其中展示了被盗文件和数据库、10,000名客户的记录以及3,000家印度宏碁分销商和零售商的被盗凭证。
不到一周后,Desorden发送电子邮件声称,他们于10月15日入侵了宏基位于台湾的服务器,并窃取了员工和产品信息。
威胁行为者还共享了宏基台湾内部门户的图像和包含宏基员工登录凭据的CSV文件。该组织表示,他们进行攻击是为了证明宏基仍然容易受到攻击。
Demoden表示,“我们没有要求就台湾的违规行为单独付款。这是为了证明我们的观点,即宏碁忽视了他们的网络安全。”
在威胁行为者向公司报告漏洞后不久,宏碁台湾就关闭了易受攻击的服务器。然而黑客组织表示,马来西亚和印度尼西亚的其他服务器仍然容易受到攻击。
宏碁在一份声明中证实了这次攻击,并表示台湾的违规行为仅涉及员工数据。宏基表示,“我们最近检测到我们在印度当地的售后服务系统受到孤立攻击,并在台湾进一步受到攻击。一经检测,我们立即启动安全协议,并对我们的系统进行全面扫描。我们正在通知印度所有可能受影响的客户,而被攻击的台湾系统不涉及客户数据。该事件已向当地执法部门和有关部门报告,对我们的运营和业务连续性没有重大影响。”
除了这两起事件之外,宏碁在2021年3月遭受了另一次网络攻击,REvil勒索软件组织对其网络进行了加密,并要求支付5000万美元的赎金。
如果未支付赎金,Desorden曾有过执行公司违规行为和泄露数据的历史。2021年9月,Desordern声称入侵了嘉里物流的子公司ABX Express,并窃取了200 GB的数据,包括客户的个人信息。
宏碁是一家台湾跨国公司,专门从事硬件和电子产品,是全球第六大个人电脑供应商。该公司在全球40个国家/地区拥有约7,000名员工,2019年收入为83.4亿美元。
参考来源:BleepingComputer http://33h.co/9gp8e
(一)CISA和FBI联合发布水务系统网络威胁安全公告
美国联邦调查局(FBI)、网络安全和基础设施局(CISA)、环境保护局(EPA)和国家安全局(NSA)及网络安全公司Dragos10月14日发布联合公告称,警告美国供水和污水处理系统运营商注意一系列旨在破坏其运营的网络威胁。该公告概述了针对美国供水和废水设施网络、系统和设备的信息和操作技术的网络威胁,并概述了今年供水设施发生的多起勒索软件攻击事件,其中包括针对加利福尼亚州、缅因州和内华达州的攻击,其中一些以前从未报道过。
该公告并未表明针对该特定部门的攻击有可能增加,而只是为了帮助供水设施运营商保护他们的系统。该公告将鱼叉式网络钓鱼列为网络犯罪分子和民族国家用于获取供水系统访问权限的最流行方法之一,并表示该方式经常被部署用于传送恶意负载,包括勒索软件。由于IT和OT系统通常集成在一起,因此攻击者可以访问其中一个。
利用RDP等互联网连接服务是攻击供水系统的另一种工具。由于受到新冠疫情影响,许多供水系统运营商使用RDP和其他工具远程访问系统,这使得他们很容易受到过时操作系统或软件的影响。
WWS系统通常使用过时的控制系统设备或固件版本,这使WWS网络暴露于公开访问和远程可执行的漏洞。这些设备的成功泄露可能导致系统失去控制、拒绝服务或丢失敏感数据。
该警报还提供了过去几年中由恶意内部人员和外部威胁参与者实施的几个攻击示例,包括今年发生的三起之前没有公开的事件。在每一次攻击中,监控和数据采集(SCADA)系统都会受到影响。
在3月份发生的一起事件中,网络罪犯使用未知的勒索软件攻击内华达州的一个供水设施。恶意软件影响了SCADA和备份系统,SCADA系统只提供监控和可见性能力,不是一个完整的工业控制系统。
另一起事件发生在7月份,袭击目标是缅因州的一家设施。黑客部署了ZuCaNo勒索软件,该软件进入了一台废水SCADA计算机。恢复系统一直是手动运行的,直到SCADA计算机恢复使用本地控制和更频繁的操作员的检查。
第三起新披露的攻击发生在8月份。攻击者在加利福尼亚州一家水厂的系统上部署了一款名为Ghost的勒索软件。攻击者在系统内花了一个月的时间,然后在三个监控和数据采集服务器上发布了勒索软件消息。
安全警报还描述了2019年和2020年发生的两起已知事件,其中一起涉及今年早些时候被起诉的一名内部人士。
根据政府的数据,有超过15万个公共供水系统为数百万美国人提供饮用水,废水处理设施处理了大约340亿加仑的废水。美国将水和废水系统归类为国家关键功能,它们的破坏将“对安全、国家经济安全、国家公共卫生或安全,或它们的任何组合产生削弱作用”。
今年早些时候,FBI、CISA、EPA和多州信息共享与分析中心(MS-ISAC)发布了警告,此前威胁分子未经授权进入佛罗里达州一家饮用水处理厂的SCADA系统,据称试图在供水中下毒。
CISA列出了一些操作人员应该注意的问题,包括无法访问某些SCADA系统控制、不熟悉的数据窗口或系统警报、异常的操作参数等等。他们敦促供水设施加强rdp周围的安全控制,并在IT和OT网络之间实施“强有力的”网络分割。
所有设施都应制定应急响应计划,并考虑网络攻击可能对系统运行方式产生的广泛影响。CISA指出,还应该有一些系统,即使系统被接管,也应该在物理上阻止某些危险情况的发生。
参考来源:ZDNet http://33h.co/94w37
(二)美国出台新规定,限制出口攻击性网络工具
美国商务部工业和安全局(BIS)10月20日宣布了一项新的控制措施,禁止美国公司出口和转售软件和硬件工具,这些工具可用于通过恶意黑客活动和侵犯人权来助长独裁行为。该规则建立了一个新的许可例外授权网络安全出口(ACE),禁止在没有许可的情况下向中国和俄罗斯等国家出口和转售这些物品。
该规则将在90天后生效,并将有效禁止出于国家安全(NS)和反恐(AT)原因的“网络安全物品”出口。完整清单包括拥有大规模杀伤性武器或国家安全问题或受到美国武器禁运的国家。
BIS表示,“美国政府反对滥用技术来侵犯人权或进行其他恶意网络活动,这些新规则将有助于确保美国公司不会助长专制行为。”BIS的新规规定,这些项目需要控制,因为它们可能被用来进行恶意网络活动,包括但不限于监视、间谍活动或其他会破坏、拒绝或降低对网络设备访问的行为。
商务部表示,“今天的规则与BIS在瓦森纳安排(WA)多边出口管制制度中的谈判结果一致,并与国会、私营部门、学术界、民间社会和其他利益相关者对先前提议的国际清算银行规则制定的评论一致。”
美国商务部长Gina M. Raimondo补充表示,新规则旨在阻止恶意威胁行为者获取可用于攻击美国实体并威胁美国国家安全的黑客工具,同时允许将其用于合法目的。
Raimondo表示,“美国致力于与我们的多边伙伴合作,阻止某些可用于威胁网络安全和人权的恶意活动的技术的传播。商务部对某些网络安全项目实施出口管制的临时最终规则是一种适当定制的方法,可以保护美国的国家安全免受恶意网络行为者的侵害,同时确保合法的网络安全活动。”
参考来源:BleepingComputer http://33h.co/9g7iy
(三)美国多部门针对BlackMatter勒索软件联合发布警告
美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、和国家安全局(NSA)10月18日联合发布了安全警告,旨在提供有关BlackMatter勒索软件的信息。自2021年7月以来,BlackMatter勒索软件针对多个美国关键基础设施实体,包括两个美国食品和农业部门组织。
该安全警告提供了从在沙盒环境中分析的BlackMatter勒索软件样本,以及受信任的第三方报告中获得的有关网络攻击者策略、技术和程序(TTP)的信息。BlackMatter使用嵌入的、先前已泄露的凭据,利用轻量级目录访问协议(LDAP)和服务器消息块(SMB)协议访问Active Directory(AD)以发现网络上的所有主机。BlackMatter然后在发现主机和共享驱动器时对其进行远程加密。
针对关键基础设施实体的勒索软件攻击可能直接影响消费者对关键基础设施服务的访问。因此,CISA、FBI和NSA敦促所有组织,尤其是关键基础设施组织,应用以下缓解措施来降低BlackMatter勒索软件入侵的风险:
1、实施检测签名;
2、使用强密码;
3、实施多因素身份验证;
4、修复和更新系统;
5、限制对网络资源的访问;
6、实现网络分割和遍历监控;
7、使用管理员禁用工具支持身份和特权访问管理;
8、实施和强制执行备份和恢复政策和程序。
BlackMatter于2021年7月首次出现,是勒索软件即服务(Raas)工具,允许勒索软件的开发人员从针对受害者部署它的网络犯罪附属机构(即BlackMatter参与者)中获利。BlackMatter可能是DarkSide的延续,DarkSide是一个从2020年9月到2021年5月活跃的RaaS。BlackMatter的参与者攻击了许多美国组织,并要求以比特币和门罗币支付80,000到15,000,000美元的赎金。
参考来源:CISA http://33h.co/9g5a9
(四)澳大利亚政府发布勒索软件行动计划
澳大利亚内政部长近日宣布了“澳大利亚政府勒索软件行动计划”,这是该国应对不断上升的威胁采取的一系列新措施。
勒索软件是一个全球性问题,澳大利亚企业并未被排除在代价高昂的服务中断攻击之外。7月份,该国政府警告LockBit活动升级。根据澳大利亚信息专员办公室(OAIC)的一份报告,与2020年下半年相比,2021年上半年由勒索软件攻击引起的数据泄露事件增长了24%。
为了应对这一风险,澳大利亚政府已通过澳大利亚《2020年网络安全战略》批准了为期十年的16.7亿澳元的巨额投资,其中勒索软件计划是该计划的一部分。该勒索软件行动计划亮点包括:
1、成立一个名为Operation Orcus的多机构特别工作组,由澳大利亚联邦警察AFP领导;
2、为所有受害实体引入强制性勒索软件事件报告条款;
3、为各种规模的企业制定提高认识的计划;
4、对国内的网络勒索者和勒索软件实施者实施更严厉的惩罚;
5、更积极地呼吁促进勒索软件攻击,或为网络犯罪分子提供避风港的国家;
6、积极跟踪和拦截已确认链接到勒索软件操作或其他网络犯罪的加密货币交易。
该计划得到了164.9亿澳元的投资支持,其中大约一半用于雇佣额外100名AFP特工。新工作组将承担识别、调查和瞄准网络犯罪分子的角色。
为了进一步加强调查和破坏勒索软件攻击的能力,政府正在寻求通过《2021年监视立法修正案》建立新的权力。
根据这项新立法,澳大利亚联邦警察(AFP)和澳大利亚刑事情报委员会(ACIC)将有权删除或移除与涉嫌犯罪活动相关的数据,允许访问设备和网络,甚至允许接管在线帐户用于调查目的。
这些新的权力将允许执法部门删除在勒索软件攻击期间被盗并存储在攻击者操作的服务器上以用于双重勒索计划的数据。如果受害者不支付赎金,执法部门希望通过删除数据来防止潜在的数据泄露。
在支持受害者方面,该计划还包括610万澳元用于帮助企业从灾难性网络攻击中恢复过来,并培训中小企业如何改善其网络安全状况。
参考来源:BleepingComputer http://33h.co/9g5n7
美国Sinclair广播电视集团10月18日证实,其在周末遭受了勒索软件攻击,攻击者还从公司网络中窃取了数据。
Sinclair的声明表示,“2021年10月16日,公司确定并开始调查并采取措施遏制潜在的安全事件。2021年10月17日,公司发现其环境中的某些服务器和工作站被勒索软件加密,并且某些办公和运营网络中断。数据也取自公司的网络。公司正在努力确定数据包含哪些信息,并将根据其审查采取其他适当措施。发现安全事件后,及时通知高级管理层,公司实施事件响应计划,采取措施遏制事件,并展开调查。聘请了法律顾问、网络安全取证公司和其他事件响应专业人员。该公司还通知了执法部门和其他政府机构。取证调查仍在进行中。虽然公司专注于积极管理此安全事件,但该事件已导致并可能继续导致公司部分业务中断,包括其本地广播电台代表其客户提供本地广告的某些方面。公司正在努力工作,以快速、安全地恢复运营。由于公司正处于安全事件调查和评估的早期阶段,公司目前无法确定该事件是否会对其业务、运营或财务业绩产生重大影响。”
Sinclair Broadcast Group广播电视集团旗下的电视台周末在美国各地出现故障,多位消息人士表示,勒索软件攻击导致停机。
Sinclair广播集团是一家财富500强媒体公司,2020年年收入59亿美元,也是当地领先的体育和新闻提供商,拥有多个全国性网络。其业务包括福克斯(Fox)、美国广播公司(ABC)、哥伦比亚广播公司(CBS)、全国广播公司(NBC)和The CW等185家电视台,包括21个地区性体育网络品牌,在全美87个市场拥有约620个频道,几乎占美国家庭总数的40%。
Sinclair正在努力确定数据包含哪些信息,并将根据其审查采取其他适当的行动。在发现安全事件后,Sinclair及时通知高层管理人员,公司实施事件响应计划,采取措施控制事件,并展开调查。
这是2021年7月影响Sinclair电视台事件后的第二起,此前该公司在发生安全漏洞后,要求所有Sinclair电视台尽快更改密码。
有消息人士称,勒索软件攻击导致了这些重大技术问题。攻击者已经能够通过Sinclair的企业Active Directory域域影响许多电视台,关闭了域的Active Directory服务,通过阻止跨网络访问域资源,导致整个组织和附属机构的广泛中断。
几家公司的资产在这起事件中被关闭,包括电子邮件服务器、广播和新闻编辑室系统,迫使电视台创建Gmail账户,从观众那里接收新闻提示,并使用PowerPoint制作新闻播报图像。
尽管地方体育频道基本上没有受到这起事件的影响,但在一些美国市场,地方NFL比赛被全国性体育节目取代,如保龄球。由于这些持续的问题,一些电视台也被迫切换到Facebook直播而不是常规的新闻播报,而其他电视台则被迫完全推迟晚间新闻播报。
自从Sinclair电视台遭受攻击的报道开始出现以来,其中一些电视台已经设法重新开始广播。然而,很明显,这起事件对他们造成了严重影响。例如,一位消息人士称,尽管KABB已备份,但他们在天气图形方面存在问题。WCHS也已上线,Fox NewsEdge的新闻报道直接从浏览器窗口全屏播放,而WPGH和KOKH也无法显示其标准图形。WBSF和WCWN正在播放不同的节目,从CW节目切换到子频道Charge!。少数节目似乎受到了更严重的影响,如WPFO,进行了半小时的新闻广播,而不是通常的一小时,以及WTAT和WRGB,不得不完全取消新闻广播。
Sinclair发言人表示,他们成为了勒索软件攻击的目标,“Sinclair Broadcast Group最近发现了一起涉及我们网络的网络安全事件。由于该事件,某些设备被勒索软件加密,数据从我们的环境中获取,某些业务运营中断。通知了高级管理层,我们实施了事件响应和业务连续性协议,采取措施控制事件,并展开调查。聘请了一家在类似情况下协助其他公司的网络安全公司,并通知了执法部门和其他政府机构。我们正在努力解决事件并快速安全地恢复运营。在我们努力完成调查的过程中,我们将寻找机会加强我们现有的安全措施。我们感谢您在我们处理此事件时的耐心和理解。”
参考来源:BleepingComputer http://33h.co/94wvt
(六)以色列Hillel Yaffe医院遭受重大勒索软件攻击
位于以色列哈德拉的Hillel Yaffe医疗中心遭受了重大勒索软件攻击,医院系统受到影响,该医院一直在使用替代系统为患者提供治疗。
据耶路撒冷邮报报道,“自从袭击发生以来,没有任何事先警告,医院在治疗患者时一直使用替代系统,并一直在手写患者信息。除了选择性非紧急手术外,医院正常运作。所有关键设备都在正常工作,包括CT和MRI扫描仪。”
由于网络攻击而无法在Hillel Yaffe接受治疗的患者将被转移到内坦亚的Laniado医疗中心。
以色列国家网络局局长Yigal Unna将该事件归类为“重大”攻击。Unna指出,这是第一次勒索软件攻击使以色列一家医院的系统瘫痪。以色列国家网络局宣布,“卫生部已将医院更新为预防措施”。据Maariv媒体报道,这次攻击是由一个新的勒索软件组织发起的,该组织也针对美国的一家医院。
以色列组织和企业在过去两年中遭受了大量攻击,航空航天等一些行业受到的影响更大。
国家网络局报告称,它在2020年通过119热线处理了11,000多个查询,比2019年处理的量增加了约30%。该局向实体提出了大约5,000项请求,以处理使他们遭受攻击的漏洞,并与他们保持联系大约有1,400个实体,涉及未遂或成功的攻击。
参考来源:SecurityAffairs http://33h.co/9g5cu
(七)美国糖果生产商Ferrara Candy遭受勒索软件攻击
美国大型糖果制造商Ferrara Candy遭受了勒索软件攻击,中断了一些设施的运营,该公司正在恢复服务。该事件发生在万圣节前几周,但此次黑客攻击不应影响其万圣节食品供应。
Ferrara Candy公司总部位于美国芝加哥,是Lemonheads、Atomic Fireballs、Keebler和其他公司的母公司。Ferrara Candy表示,攻击者于10月9日用勒索软件攻击了该公司,对系统进行了加密。有关违规行为的具体细节很少,但Ferrara表示,该事件不太可能影响万圣节糖果供应,因为在黑客入侵之前,大部分不给糖就捣蛋的库存已经运往零售商。费拉拉还生产巴赫玉米糖。
该公司表示,执法部门正在调查此事,外部专家将继续帮助恢复系统。Ferrara在10月19日的一份声明中表示,“我们已经在选定的制造工厂恢复了生产,我们正在从全国所有的配送中心发货,接近全部产能。我们现在也在努力处理我们队列中的所有订单。”
此次违规事件是勒索导致美国一家主要组织停止生产的最新例子。这是一个存在多年的问题,在过去18个月中变得更加严重。燃料运输公司Colonial Pipeline、肉类生产商JBS、及总部位于爱荷华州的农业公司New Cooperative等众多其他黑客事件加剧了紧迫感,导致白宫峰会召开,来自30个国家的代表讨论了可能的解决方案。
美国政府18日发布的一份咨询报告警告包括食品生产商在内的美国关键基础设施公司,勒索软件攻击者BlackMatter要求支付80,000至1500万美元的高额款项。该警告表示,“针对食品和农业部门的勒索软件攻击会扰乱运营,造成经济损失,并对食品供应链产生负面影响。”
参考来源:CyberScoop http://33h.co/9g74e
(八)阿根廷国家人事登记处RENAPER遭受黑客入侵
一名黑客入侵了阿根廷政府的IT网络,并窃取了该国所有居民的身份证详细信息,这些数据现在正在私人圈子中出售。遭受黑客攻击目标是国家人事登记处RENAPER。
该机构是阿根廷内政部的一个重要组成部分,其任务是向所有公民发放国民身份证,并将数据以数字格式存储,作为其他政府机构可访问的数据库,是大多数政府查询公民的个人信息的支柱。
本月早些时候,当一个名为@AnibalLeaks的Twitter新注册帐户发布了44位阿根廷名人的身份证照片和个人详细信息,这是有人违反RENAPER的第一个证据。其中包括该国总统阿尔贝托·费尔南德斯、多名记者和政治人物的详细信息,甚至足球巨星莱昂内尔·梅西和塞尔吉奥·阿圭罗的数据。
在图像和个人详细信息在Twitter上发布后的第二天,黑客还在一个著名的黑客论坛上发布了一则广告,表示可以提供查找任何阿根廷用户的个人详细信息。
在Twitter上泄密后,面对媒体的寻味,阿根廷政府在三天后确认了安全漏洞。
内政部在10月13日的新闻稿中表示,其安全团队发现,分配给卫生部的VPN帐户被用于在RENAPER数据库中查询19张照片,“就在这些照片发布在社交网络Twitter上的那一刻。”
官员补充表示,“RENAPER数据库没有遭受任何数据泄露或泄露”,当局目前正在调查八名政府雇员可能在泄露中扮演的角色。
然而,The Record研究人员联系了在黑客论坛上租用RENAPER数据库访问权限的个人,黑客说他们有一份RENAPER数据的副本,这与政府的官方声明相矛盾。该个人通过提供一些阿根廷公民的个人详细信息(包括高度敏感的特拉米特号码)来证明他们的陈述。
该黑客表示,“也许几天后我将发布100万或200万人的数据”。他们还表示,他们计划继续向所有感兴趣的买家出售对这些数据的访问权限。
政府新闻稿表示,其中官员将入侵归咎于可能被盗的VPN帐户,黑客表示“粗心的员工”,间接证实了切入点。
根据黑客在线提供的样本,他们现在可以访问的信息包括姓名、家庭住址、出生日期、性别信息、身份证签发和到期日期、劳工识别码、特拉米特号码、公民号码和政府照片身份证。阿根廷目前估计人口超过4500万,但不清楚数据库中有多少条目。黑客声称拥有这一切。
这是继2017年和2019年Gorra泄露事件之后,该国历史上第二起重大安全漏洞,当时黑客行动主义者泄露了阿根廷政客和警察部队的个人详细信息。
参考来源:TheRecord http://33h.co/9gtu2
(九)Macaw Locker勒索软件是Evil Corp的新变种
Evil Corp黑客组织推出了一种名为Macaw Locker的新型勒索软件,以逃避美国禁止受害者支付赎金的制裁。
Evil Corp黑客组织又名Indrik Spider或Dridex,自2007年以来一直参与网络犯罪活动,但主要是作为其他组织的附属机构。但随着时间的推移,该组织开始专注于自己的攻击,在网络钓鱼攻击中创建和分发一种名为Dridex的银行木马程序。
随着勒索软件攻击变得越来越有利可图,Evil Corp发起了一项名为BitPaymer的活动,通过Dridex恶意软件传送到受感染的公司网络。该黑客组织的犯罪活动最终导致他们在2019年受到美国政府的制裁。由于这些制裁,勒索软件谈判公司将不再为归因于Evil Corp的业务提供赎金支付。
为了绕过美国的制裁,Evil Corp开始以WastedLocker、Hades、Phenoix Locker和PayloadBin等各种名义创建有限使用的勒索软件操作。其他据信但未证明与Evil Corp有关联的勒索软件家族是DoppelPaymer,最近更名为Grief。
本月,奥林巴斯(Olympus)和辛克莱广播集团(Sinclair)的运营受到周末勒索软件攻击的严重干扰。对Sinclair来说,这导致电视广播被取消,播出不同的节目,新闻播音员用白板和纸报道故事。人们发现,这两次攻击都是由一种名为Macaw Locker的新型勒索软件发起的。
Emsisoft首席技术官Fabian Wosar表示,根据代码分析,MacawLocker是Evil Corp勒索软件家族的最新变体。从网络安全行业消息来源获悉,仅有的两个Macaw Locker受害者是Sinclair和Olympus。
消息人士还分享了两次攻击的私人Macaw Locker受害者页面,其中威胁行为者要求支付450比特币做为赎金,即2800万美元,另一起攻击要求支付4000万美元。目前尚不清楚哪个赎金要求与哪家公司相关。
Macaw Locker勒索软件会在进行攻击时加密受害者的文件,并在文件名后附加.macaw扩展名。在加密文件时,勒索软件还会在每个文件夹中创建名为macaw_recover.txt的勒索信件。对于每次攻击,赎金信件都包含Macaw Locker的Tor站点上唯一的受害者协商页面,以及相关的解密ID或活动ID。该组织的暗网谈判网站包含受害者遭遇的简要介绍、免费解密三个文件的工具、以及与攻击者谈判的聊天框。
现在既然Macaw Locker已被暴露是Evil Corp的变种,很可能会看到威胁行为者再次重新命名他们的勒索软件。在Evil Corp停止执行勒索软件攻击或取消制裁之前,这种持续不断的猫捉老鼠游戏可能永远不会结束。然而,这两种情况都不太可能在不久的将来发生。
参考来源:BleepingComputer http://33h.co/94m8t
(十)REvil勒索软件的Tor站点遭受劫持,可能导致再次关闭
一个身份不明的人士劫持了REvil勒索软件运营的Tor支付门户及数据泄露网站,导致REvil勒索软件运营可能再次关闭。
REvil的Tor站点在17日早些时候下线,一名与REvil行动有关的威胁行为者在XSS黑客论坛上发布消息称,有人劫持了该团伙的域名。
该帖子首先是由Recorded Future的Dmitry Smilyanets发现的,并指出一个身份不明的人使用与REvil的Tor站点相同的私钥劫持了Tor隐藏服务(onion域),并且可能拥有这些站点的备份。
一个名为0_neday的威胁行为者在黑客论坛上发帖声称,“但是自从我们今天10月17日从莫斯科时间12:00开始,有人用与我们的密钥相同的密钥提出了登陆和博客的隐藏服务,我的担心得到了证实。第三方有onion服务密钥的备份。”
威胁行为者继续表示,他们没有发现服务器受到威胁的迹象,但将关闭该操作。然后,威胁行为者告诉附属机构通过Tox与他联系,以获取解密密钥,这样附属机构可能会继续勒索受害者,并在支付赎金时提供解密程序。
要启动Tor隐藏服务(.onion域),需要生成一个私钥和公钥对,用于初始化服务。私钥必须是安全的,并且只有受信任的管理员才能访问,因为任何有权访问此密钥的人都可以使用它在自己的服务器上启动相同的.onion服务。由于第三方能够劫持域,这意味着他们也可以访问隐藏服务的私钥。
17日晚上,0_neday再次在黑客论坛主题上发帖,但这一次表示他们的服务器被入侵了,无论是谁做的,都是针对威胁行为者的。目前,尚不清楚是谁破坏了他们的服务器。
由于Bitdefender和执法部门获得了主REvil解密密钥的访问权。并发布了免费的解密器,一些威胁行为者认为FBI或其他执法部门自重新启动以来就可以访问服务器。由于没有人知道REvil成员Unknown发生了什么,威胁行为者也有可能试图重新控制操作。
在REvil通过Kaseya MSP平台中的零日漏洞对公司进行大规模攻击后,REvil运营突然关闭,其面向公众的发言人Unknown消失了。在Unknown没有回来之后,其余的REvil运营商在9月使用备份再次启动了操作和网站。从那以后,勒索软件业务一直在努力招募用户,甚至将附属公司的佣金提高到90%,以吸引其他威胁行为者与他们合作。
由于这次最新的事故,其当前论坛中的操作可能会永远消失。然而,对于勒索软件来说,没有什么好事会永远持续下去,我们很可能很快就会将它们重新命名为一项新的组织。
参考来源:BleepingComputer http://33h.co/9gjpw
(十一)民族国家黑客Harvester针对南亚电信及政府部门发起攻击
赛门铁克研究人员新发现了一个APT组织Harvester,在间谍活动中以IT、电信和政府部门为攻击目标。该以前不为人所知威胁组织可能得到民族国家的支持,正在攻击南亚的组织,重点是阿富汗,这似乎是一场使用新工具集的信息窃取活动。
Harvester组织在2021年6月开始攻击,使用自定义恶意软件和公开可用的工具,最近的活动发生在2021年10月。目标行业包括电信、政府和IT。这些工具的功能、定制开发以及目标受害者都表明Harvester是一个民族国家支持的参与者。
这次活动最值得注意的是攻击者部署的以前没见过的工具集。攻击者在受害机器上部署了一个名为Backdoor.Graphon的自定义后门,以及其他下载器和屏幕截图工具,为攻击者提供远程访问权限,并允许他们监视用户活动并窃取信息。
研究人员没有发现Harvester用来破坏受害者网络的初始感染媒介,但在受害者机器上发现的有关Harvester活动的第一个证据是恶意URL。该组织随后开始部署各种工具,包括其定制的Graphon后门,以获得对网络的远程访问。该组织还试图通过利用合法的CloudFront和Microsoft基础设施进行命令和控制(C&C)活动,将其活动与合法网络流量混合。
Harvester组织在攻击中使用的工具包括:
1、Backdoor.Graphon,使用Microsoft基础架构进行C&C活动的自定义后门;
2、自定义下载器,使用Microsoft基础架构进行C&C活动;
3、自定义屏幕截图器,定期将屏幕截图记录到文件中;
4、Cobalt Strike Beacon,将CloudFront基础设施用于其C&C活动。Cobalt Strike是一个现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程,以及上传和下载文件;
5、Metasploit,一个现成的模块化框架,可用于受害机器上的各种恶意目的,包括权限提升、屏幕捕获、设置持久后门等。
虽然研究人员还没有足够的证据将Harvester的活动归因于特定的民族国家组织,但该组织使用自定义后门、为隐藏其恶意活动而采取的广泛措施以及其目标都表明它是一个国家赞助的参与者。Harvester使用合法的基础设施来托管其C&C服务器以融入正常的网络流量,这是该行为者采取的隐秘步骤的一个例子。
考虑到阿富汗最近发生的巨大动荡,这场运动中针对阿富汗的组织也很有趣。Harvester开展的活动清楚地表明该活动的目的是间谍活动,这是民族国家支持活动背后的典型动机。Harvester最近的活动是在本月早些时候发生的,这意味着相关部门和地区的组织应该警惕这些恶意活动。
参考来源:ThreatPost http://33h.co/9gz6k
(十二)压缩软件WinRAR试用版存在远程代码执行漏洞
Positive Technologies研究人员Igor Sak-Sakovskiy发现,Windows的压缩文件程序WinRAR中存在一个远程代码执行漏洞CVE-2021-35052,影响该程序的试用版,受影响的版本为5.70。
该研究人员表示,“此漏洞允许攻击者拦截和修改发送给应用程序用户的请求。这可用于在受害者的计算机上实现远程代码执行(RCE),该漏洞编号为CVE-2021-35052。我们在WinRAR 5.70版中偶然发现了这个漏洞。”
研究人员安装了该软件并注意到它产生了JavaScript错误,具体错误表明Internet Explorer引擎正在呈现此错误窗口。
经过一系列测试,研究人员发现,试用期结束后,软件开始显示错误消息,三次执行中有一次显示错误消息。用于显示错误的这个窗口使用了编写WinRAR的Borland C++的mshtml.dll实现。研究人员使用Burp Suite作为默认的Windows代理来拦截显示消息时产生的流量。
对WinRAR通过notifier.rarlab[.]com提醒用户免费试用期结束时发送的响应代码的分析表明,如果可以缓存重定向,请将其修改为301 Moved Permanently重定向消息任何后续请求的恶意域。研究人员还发现,访问同一网域的攻击者通过ARP欺骗攻击,远程启动应用程序、检索本地主机信息、运行任意代码。
Sak-Sakovskiy表示,“接下来,我们尝试修改从WinRAR到用户的截获响应。我们没有每次使用恶意内容拦截和更改默认域notifier.rarlab.com响应,而是注意到,如果响应代码更改为301 Moved Permanently,则重定向到恶意域attacker.com将被缓存,所有请求都将转到attacker.com。”
研究人员指出,第三方软件中的漏洞给组织带来了严重的风险,它们可以被利用来访问系统的任何资源,并可能访问托管它的网络。“不可能审核用户可能安装的每个应用程序,因此策略对于管理与外部应用程序相关的风险以及平衡此风险与各种应用程序的业务需求至关重要。管理不当会产生广泛的后果。”
参考来源:SecurityAffairs http://33h.co/9426k
(十三)3D打印平台Thingiverse泄露超22万用户信息
据报道,流行的3D打印平台Thingiverse大约228,000名用户的身份验证详细信息被盗并发布在暗网上。
泄漏的消息不是来自Thingiverse本身,而是来自Have I Being Pwned(HIBP),它在上周收到提示后掌握了泄露帐户的详细信息。此次泄露的信息包括电子邮件地址、用户名、IP、出生日期及密码,HIPB表示这些信息已在黑客论坛上公开。
Thingiverse的母公司MakerBot公关经理Bennie Sham企图淡化这一事件,称这是内部的人为错误导致了一些非敏感信息的泄露,并表示已通知受影响的用户修改密码。
Sham表示,求受影响的Thingiverse用户已被通知要求更新密码,即使没有任何可疑的尝试访问Thingiverse帐户。“我们为此事件表示歉意,并对由此给用户带来的不便表示遗憾。我们致力于通过透明度和严格的安全管理来保护我们宝贵的利益相关者和资产。”
参考来源:TechRadar http://33h.co/9493d
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯