关键信息基础设施安全动态周报【2021年第45期】
发布时间:
2021-11-19
来源:
作者:
天地和兴
访问量:
168
目 录
第一章 国内关键信息基础设施安全动态
(一)工信部发布《“十四五”信息通信行业发展规划》
(二)国家网信办对《网络数据安全管理条例(征求意见稿)》公开征求意见
(三)阿里云ECS被恶意加密货币挖矿软件劫持
第二章 国外关键信息基础设施安全动态
(一)DDS协议存在多个安全漏洞影响关键基础设施
(二)FBI电子邮件服务器遭受黑客攻击发送虚假警告
(三)CISA发布联邦机构网络安全事件及漏洞响应手册
(四)美国FTC发布小型企业勒索软件防御指南
(五)美国国土安全部启动新举措以吸引网络安全人才
(六)威胁行为者使用HTML走私技术进行网络钓鱼攻击
(七)伊朗APT组织利用Fortinet和微软漏洞开展恶意网络攻击
(八)黑客组织MosesStaff攻击以色列组织
(九)美国与以色列合作打击勒索软件攻击
(十)Emotet恶意软件卷土重来
(十一)企业间谍黑客RedCurl使用新策略恢复攻击活动
(十二)微软披露Azure AD中存在高危漏洞
(十三)Mandiant认为Ghostwriter与白俄罗斯有关
第一章 国内关键信息基础设施安全动态
(一)工信部发布《“十四五”信息通信行业发展规划》
11月16日,工业和信息化部发布《“十四五”信息通信行业发展规划》(下称《规划》)。《规划》包括4大部分、26条发展重点、近3万字,描绘了信息通信行业的发展蓝图,是未来五年加快建设网络强国和数字中国、推进信息通信行业高质量发展、引导市场主体行为、配置政府公共资源的指导性文件。
与以往的五年规划相比,本次《规划》一方面进一步凸显了信息通信行业的功能和定位:是构建国家新型数字基础设施、提供网络和信息服务、全面支撑经济社会发展的战略性、基础性和先导性行业。另一方面进一步强化了坚持新发展理念、坚持系统观念方面的有关要求:一是《规划》全面对接国家关于新发展阶段、新发展理念和新发展格局的战略构想和相关规划体系,提出行业高质量发展新思路,设定6大类20个量化发展目标;二是《规划》确定了五个方面26项发展重点和21项重点工程,首次明确提出了加强跨地域跨行业统筹协调的重点任务,并通过增加工程数量进一步明确了任务落地实施的重点和抓手。
《规划》适应信息通信行业内涵扩大和结构变迁的新情况,牢牢把握高质量发展这个主题,内容上呈现以下亮点:
一是《规划》内涵范围与“十三五”相比呈现持续扩大的趋势。基础设施已从以信息传输为核心的传统电信网络设施,拓展为融感知、传输、存储、计算、处理为一体的,包括“双千兆”网络等新一代通信网络基础设施、数据中心等数据和算力设施、以及工业互联网等融合基础设施在内的新型数字基础设施体系。网络和信息服务也从电信服务、互联网信息服务、物联网服务、卫星通信服务、云计算及大数据等面向政企和公众用户开展的各类服务,向工业云服务、智慧医疗、智能交通等数字化生产和数字化治理服务新业态扩展。
二是《规划》系统总结了行业发展取得的瞩目成绩,同时也梳理了现阶段仍存在的几点不足。“十三五”期间,我国信息通信行业总体保持平稳较快发展态势,行业综合实力再上台阶、网络供给和服务能力显著增强、行业管理和改革开放持续深化、安全保障能力不断提升,为下一个五年发展奠定良好基础。同时,面向新阶段我国经济社会高质量发展新要求和满足人民日益增长的美好数字生活新需要,在信息基础设施区域布局、信息通信技术融合应用和产业生态、行业管理能力、网络安全和应急保障四个方面还存在一些短板和弱项,这也将是“十四五”时期信息通信行业着力补短板强弱项的重要方向。
三是《规划》概括了行业“十四五”面临的新形势,认为机遇仍大于挑战。信息通信行业面临5个“新”形势,即新使命、新动能、新空间、新要求、新挑战,这是基于国家宏观环境、行业自身定位和行业发展态势作出的综合判断。从宏观环境看,我国发展仍然处于重要战略机遇期,同时,国际环境日趋复杂,不稳定性不确定性明显增加,国家发展将进入高质量发展阶段,将加快构建“双循环”新发展格局,行业发展必须融入这一战略大局,承担起相应的使命责任。从行业自身看,随着信息通信技术与经济社会融合步伐的加快,信息通信行业在经济社会发展中的地位和作用更加凸显,新阶段、新特征和国家战略新安排,要求信息通信行业承担攻克相关领域技术难题、培育壮大国内新型消费市场、促进全球信息通信领域紧密联动的历史使命,成为夯实数字社会的新底座,成为满足人民美好生活需要、驱动新一轮内生性增长的新动能。在加快新型数字基础设施建设、支撑全社会数字化转型过程中,行业将打开新的增长空间,同时在新兴业态的跨领域协同监管以及网络安全保障能力提升等方面也将面临一些新要求、新挑战。
四是《规划》确立了行业高质量发展新思路和基本原则。高质量发展既是经济社会进入新发展阶段的外部要求,也是行业自身可持续发展的内在要求。《规划》全面贯彻落实党和国家关于新发展阶段、新发展理念和新发展格局的战略构想,在“指导思想”部分提出了“以推动高质量发展为主题”的总体思路,并从方法论、战略和战术三个层面进一步阐述,要求处理好供给与需求、发展与安全、政府作用与市场作用3对重要关系。《规划》提出要把握好3个战略要点,抓好5个着力点。3个战略要点承前启后兼具延续性和前瞻性,一是强调牢牢把握扩大内需这个战略基点,二是在坚定不移推动制造强国、网络强国建设基础上,补充和强调了数字中国建设,三是着重强调要加快推进经济社会数字化发展。5个着力点分别指向新型数字基础设施建设、新技术研发和应用推广、新型行业管理体系建立完善、行业服务质量提升和安全保障能力增强5个方面。《规划》提出的7项“基本原则”,既强调要坚定不移地贯彻创新、协调、绿色、开放、共享五大发展理念,又强调要坚持依法治理和守法经营,坚守网信安全发展底线。
五是《规划》体系化梳理了行业发展定量目标,提出的20个量化目标中“新基建”相关指标占比较高。《规划》在“发展目标”部分提出了到2025年“行业整体规模进一步壮大,发展质量显著提升”“成为建设制造强国、网络强国、数字中国的坚强柱石”的总体目标,并具体从“通信网络基础设施能力、数据与算力设施能力、融合基础设施能力、数字化应用水平、行业治理和用户权益保障能力、网络与数据安全保障能力、绿色发展水平”七方面提出分项目标。《规划》还以表格形式集中列出了6大类共20个量化目标,与“十三五”《规划》相比有不少新变化。一是指标体系进行了重新梳理,共设总体规模、基础设施、绿色节能、应用普及、创新发展、普惠共享六个大类,新设类别进一步强调和呼应了创新引领、绿色环保、惠民共享几项基本原则,更符合当前阶段发展特点和要求。二是指标选取方面有继承有更新,相比“十三五”《规划》保留了5个、调整了7个、新增了8个指标,其中新增指标主要体现在5G、千兆光网、工业互联网等新型数字基础设施部署和应用方面。
六是《规划》瞄准发展目标、聚焦问题短板,分别从新型数字基础设施、数字化发展、行业管理、安全保障以及跨地域跨行业统筹协调五个方面,提出了26项“十四五”期间行业发展和管理的重点方向。
第一,新型数字基础设施建设方面。按照国家发改委有关表述,新型基础设施主要包括信息基础设施、融合基础设施、创新基础设施。结合新发展阶段信息通信行业范畴拓展的实际情况,《规划》将信息基础设施和数字形态的融合基础设施归为新型数字基础设施,作为行业“十四五”期间布局“新基建”的落脚点。《规划》提出5项重点任务,包括全面部署5G、千兆光纤网络、IPv6、移动物联网、卫星通信网络等新一代通信网络基础设施,统筹优化数据中心布局,构建绿色智能、互通共享的数据与算力设施,积极发展工业互联网和车联网等融合基础设施,加快构建并形成以技术创新为驱动、以新一代通信网络为基础、以数据和算力设施为核心、以融合基础设施为突破的新型数字基础设施体系。
第二,数字化发展空间拓展方面。《规划》从需求和供给两个角度,提出5项重点任务。一是从扩大内需、培育新型信息消费角度,提出应聚焦各行业各领域数字化发展需求,加大5G、大数据、人工智能等新技术应用力度,深入拓展数字化生产、生活和社会治理新应用,包括线下生活服务的融合化、智能化、无人化升级,信息服务的无障碍化改造和普及应用,互联网生产服务的和工业互联网的融合创新,数字化社会治理,数字化疫情防控等。二是从深化供给侧结构性改革、提高供给能力角度,提出为了发挥海量数据优势,应在安全可信数据空间建设、数据流通和交易规则建立、数据要素市场培育、工业大数据融合创新等方面发力,推进数据要素流动和应用创新。同时,为了发挥5G等信息通信技术优势,将围绕关键技术攻关、终端产品研发和融合应用探索,优化产业发展环境,加强产业链协同创新,完善数字化服务应用产业生态。
第三,行业管理体系构建方面。聚焦管主体、管资源、管行为三个方面,《规划》提出了深化“放管服”改革、构建新型行业管理体系的6项重点任务。管主体方面,在“十三五”期间,全国电信业务经营许可持证主体由3万家增长至10万余家的基础上,提出需要继续推进行业改革开放,同时进一步简政放权,优化市场许可准入,为企业松绑减负,营造更好的营商环境。管资源方面,针对电信网码号、域名、IP地址、工业互联网标识等基础资源,提出要进一步提升追踪溯源能力,实现科学监管、精准监管、智慧监管。对已成为经济社会发展关键要素的海量数据,要从制定完善数据确权、开放、流通和交易的制度入手,强化跨部门数据共享,推动数据从“持有者”向“使用者”的流动。管行为方面,针对扰乱市场竞争秩序、侵害用户权益等违法违规问题,提出要综合利用行政处罚、信用管理等手段,加强市场监测巡查,加大执法监督力度,树立监管权威,营造公平竞争市场秩序。
第四,安全保障体系和能力建设方面。围绕国家网络安全工作“四个坚持”基本原则和防范化解重大网络安全风险的工作主线,《规划》提出着力完备网络基础设施保护和网络数据安全体系,持续提升新型数字基础设施安全管理水平,打造繁荣发展的网络安全产业和可信的网络生态环境,全面提升行业网络安全应急处置,构建国家网络安全新格局等6项重点任务,以支撑国家网络安全新格局形成。《规划》将行业关键信息基础设施及新型数字基础设施安全保障提到新的战略高度,通过深化网络安全防护和风险管理、防范遏制重大网络安全事件,提升行业关键信息基础设施及新型数字基础设施保障水平。《规划》首次将创新发展网络安全产业作为重要任务之一,通过开展创新示范应用、繁荣网络安全产业生态培育工程等措施,进一步提升网络安全产业核心技术掌控水平,为网络安全保障提供扎实支撑,为数字经济健康发展保驾护航。
第五,跨地域跨行业统筹协调方面。《规划》从贯彻落实国家提出的统筹国内国际两个大局,深入实施区域重大战略、区域协调发展战略出发,提出4项重点任务。首次明确提出了跨地域统筹协调中行业要承担的重点任务,强化了对国家重点区域发展战略、乡村振兴战略、“一带一路”倡议等的衔接落地,具体从区域统筹、城乡协调、国际国内市场布局三个方面提出了具体任务。此外,还强调了统筹发展和绿色发展的理念,提出要强化信息基础设施规划与其他规划衔接,要深化基础设施跨行业共建共享,进一步明确了基础设施跨行业融合共建、提高资源利用效率的方向和思路。
七是为保障规划落地实施、切实指导行业主体开展各项重点工作,《规划》还提出了21项重点工程,每一项重点工程都提出了具体的建设内容,将重点任务细化到操作层面。在建设新型数字基础设施部分设置了5G网络部署、数据中心高质量发展、移动通信核心技术演进和产业推进等9个重点工程。拓展数字化发展空间部分设置了通信大数据应用创新、5G应用创新和产业生态培育2个重点工程。构建新型行业管理体系部分设置了互联网“聚源”、市场监管“聚力”、应急通信“聚能”等5个重点工程。全面加强网络安全保障体系和能力建设部分设置了5G和工业互联网安全创新、网络安全技术产业生态培育、网络安全智慧大脑等4个重点工程。加强跨地域跨行业统筹协调部分设置了新一轮电信普遍服务1个重点工程。
八是为保证任务、工程等高效落地实施,《规划》从法制建设、政策和资金支持、人才队伍建设、统筹实施四个方面提出了具体保障措施。
第一,法制建设方面。鉴于《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规已于近期正式发布,《规划》提出要严格落实好,同时提出积极推动行业期盼多年的《电信法》立法工作。此外,《规划》提出要加强法治宣传教育培训,系统推进普法工作,提升信息通信领域依法行政能力和水平。
第二,政策和资金支持方面。《规划》针对监管力量薄弱问题,再次提出推动建立信息通信行业部、省、市三级管理体制,争取行业管理机构向地市一级延伸。针对建设资金不足问题,提出希望发挥国家级政府投资基金、社会资本产业投资基金、地方专项资金等作用,加大对5G、工业互联网等数字基础设施发展的支持。针对偏远地区网络覆盖存在市场失灵的问题,提出强化资金保障和政策支持。同时,提出深化产融合作等若干举措,引导金融机构加大对信息通信重点领域和薄弱环节的支持力度。
第三,人才队伍建设方面。针对复合型人才和专业型人才紧缺问题,《规划》提出建立完善多层次人才合作培养模式、依托各类引才引智计划集聚国内外高层次人才等举措。针对人才激励问题,提出推动国家人才发展重大项目对信息通信行业人才队伍建设的支持、建立多元化人才评价和激励机制等举措。
第四,统筹实施方面。为强化落地实施取得实效,《规划》提出要坚持有效市场和有为政府相结合的基本原则,并提出加强地方规划和企业规划与本规划的衔接,建立部省、部际及部企沟通协调机制,开展规划实施情况动态监测和评估等几方面举措。
《规划》描绘的信息通信行业五年发展蓝图振奋人心。全行业应沿着规划指引的目标,紧抓数字化发展的历史机遇,直面困难和挑战,汇聚起行业高质量发展的强大合力,一步一个脚印,努力把规划蓝图变为美好现实,为全面建设社会主义现代化国家开好局、起好步作出重要贡献。
本文版权归原作者所有,参考来源:工信部 http://adkx.net/9tqrv
(二)国家网信办对《网络数据安全管理条例(征求意见稿)》公开征求意见
国家网信办11月14日发布关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知。
为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,国家网信办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,现向社会公开征求意见。意见反馈截止时间为2021年12月13日。
意见稿提出,国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。国家建立数据分类分级保护制度,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
本文版权归原作者所有,参考来源:网信办 http://adkx.net/9ttk5
(三)阿里云ECS被恶意加密货币挖矿软件劫持
趋势科技研究人员发现,有威胁行为者禁用了阿里云ECS功能,来进行门罗币加密劫持。
网络犯罪分子的攻击目标是阿里巴巴的弹性计算服务(ECS)实例,禁用了某些安全功能,以进一步实现其加密目标。研究人员表示,阿里巴巴提供了一些独特的选择,使其成为攻击者极具吸引力的目标。
趋势科技表示,阿里云预装了安全代理。虽然禁用安全不是一种新策略,但在这种情况下,攻击者使用加密恶意软件中的一小段特定代码来创建新的防火墙规则,指示安全过滤器传播来自属于阿里巴巴内部区域和区域IP范围的传入数据包。
通常,当加密劫持恶意软件安装在阿里巴巴ECS存储桶中时,安全代理会向用户发送恶意脚本正在运行的通知。在这种情况下,尽管检测到,“安全代理未能清除正在运行的漏洞并被禁用。查看另一个恶意软件样本表明,安全代理在触发入侵警报之前也已被卸载。”
一旦通过了安全功能,恶意软件就会继续安装现成的XMRig加密货币矿工,为门罗币挖矿。
研究人员指出,由于该服务的一些独特功能,以及云实例的配置方式,阿里巴巴的目标正在上升。
研究报告表示,“默认的阿里巴巴ECS实例提供root访问权限。有了阿里巴巴,所有用户都可以选择直接向虚拟机(VM)内的root用户提供密码。”
这与其他云服务提供商构建其存储访问的方式形成鲜明对比。在大多数情况下,最小特权原则是最重要的,有不同的选项,例如不允许通过用户和密码进行SSH身份验证,或允许非对称加密身份验证。
这样,如果网络攻击者获得凭据,仅以低权限访问权限进入将需要他们做出特殊努力来提升权限。默认情况下,其他云服务提供商不允许用户通过SSH直接登录,因此需要权限较低的用户。
研究人员表示,但在默认的阿里巴巴ECS存储桶中,拥有被盗凭据或有效的初始入侵漏洞的攻击者将以尽可能高的特权进入。这为部署高级负载(如内核模块rootkit)和通过运行系统服务建立持久性打开了大门。
鉴于此功能,多个威胁行为者只需插入一段代码片段,删除仅在阿里云ECS中找到的软件,就可以攻击阿里云ECS,这也就不足为奇了。
在影响方面,趋势科技指出,阿里巴巴ECS具有自动扩展功能,服务会根据需求自动扩展计算资源的可用性。这为加密矿工提供了无限的资源。
虽然该功能是免费提供给订户的,但资源使用量的增加会导致额外收费。当账单到达不知情的组织或用户时,加密矿工可能已经产生了额外的成本。此外,合法订阅者必须手动删除感染以清理感染的基础设施。
此外,该恶意软件的代码是模块化的,因此可以轻松地替换另一个恶意软件以在环境中执行该密码矿工。
研究人员表示,“攻击者可以轻松地用另一种恶意软件替换恶意加密矿工,这可能会为他们带来更多利润,或传播到其他工作负载和端点。由于很容易以高用户权限渗入环境,因此可以对项目或基础设施进行后续攻击。”
研究人员建议,为了保护自己免受窃取云资源的威胁行为者的侵害,用户应该创建一个特权较低的用户,来在每个阿里巴巴ECS实例中运行应用程序和服务。同时研究人员还提供了以下额外指导:
1、实践责任共担模型:通读指南,相应地自定义和启用工作负载和项目的安全层;
2、确保有多层恶意软件扫描和漏洞检测工具;
3、定制云项目和工作负载的安全功能:尽管CSP提供了该功能,但要避免在root权限下运行应用程序和使用SSH密码;
4、使用公钥加密进行访问;
5、遵循最小权限原则:根据各自参与项目或应用程序的级别,限制具有最高访问权限的用户数量。
参考来源:ThreatPost http://33h.co/9te9g
第二章 国外关键信息基础设施安全动态
(一)DDS协议存在多个安全漏洞影响关键基础设施
研究人员发现,广泛使用的数据分发服务(DDS)的协议受到漏洞的影响,威胁行为者可能会出于各种目的利用这些漏洞。
DDS由标准开发组织对象管理组(OMG)维护,是用于数据连接的中间件协议和API标准,是关键业务物联网系统的理想选择。DDS已应用于公共交通、空中交通管理、航空航天、自动驾驶、工业机器人、医疗设备、导弹和其他军事系统等领域。DDS已被NASA、西门子和大众汽车等组织以及流行的机器人操作系统(ROS)使用。
DDS有开源和闭源两种实现方式,包括凌华科技、Eclipse(CycloneDDS)、eProsima(Fast DDS)、OCI(OpenDDS)、TwinOaks计算(CoreDX DDS)、Gurum Networks(GurumDDS)和RTI(Connext DDS)。
趋势科技、TXOne Networks、Alias Robotics和凌华科技的研究人员对DDS标准和上述实现方式进行了分析,共发现了十三个漏洞。
研究人员在Black Hat Europe 2021网络安全会议上披露了这一发现,并计划在明年初发表一篇研究论文,详细介绍他们的工作。
与此同时,美国CISA发布了与该研究相关的ICS咨询。CISA表示,“CISA发布此公告是为了尽早通知相关漏洞,并确定缓解措施,以降低这些和其他网络安全攻击的风险。”
据CISA称,CycloneDDS、FastDDS、OpenDDS、Connext DDS和CoreDX DDS已发布补丁,Gurum没有任何补丁。
漏洞包括write-what-where条件、无效结构的不当处理、网络放大、缓冲区分配和缓冲区溢出问题。攻击者可以利用这些漏洞执行任意代码、获取信息或导致拒绝服务(DoS)条件。
然而,研究人员在Black Hat演讲中指出,由于DDS通常部署在本地和控制网络的深处,攻击者不太可能找到暴露在互联网上的系统。
另一方面,研究人员指出DDS仍然可能被攻击者滥用,因为攻击者已经访问目标实体系统,以发现其他端点、横向移动、以及恶意软件命令和控制(C&C)。
研究人员表示,DDS代码库庞大而复杂,这项研究只是触及皮毛。
参考来源:SecurityWeek http://33h.co/9tdya
(二)FBI电子邮件服务器遭受黑客攻击发送虚假警告
美国FBI证实,在11月12日晚,FBI的电子邮件系统发布了虚假警告,这些警报是从真实的FBI地址eims@ic.fbi.gov发送的。
随后11月14日FBI发表声明称,由于软件配置错误,暂时允许攻击者利用执法企业门户(LEEP)发送虚假电子邮件。LEEP是FBI的IT基础设施,用于与执法机构、情报组织和刑事执法部门进行通信。虽然非法电子邮件源自FBI运营的服务器,但该服务器专用于推送LEEP通知,而不是FBI电子邮件服务的一部分。没有威胁行为者访问或破坏了FBI网络上的任何数据或个人身份信息。FBI得知事件后,迅速修复了软件漏洞,警告合作伙伴不要理会虚假电子邮件,并确认FBI网络的完整性。
参考来源:FBI http://33h.co/9t0t9
(三)CISA发布联邦机构网络安全事件及漏洞响应手册
美国CISA于11月16日发布了联邦政府网络安全事件及漏洞响应手册,以响应拜登政府5月签署的行政令。
改善国家网络安全的行政命令责成CISA作为联邦网络安全的运营领导,制定联邦机构运营手册,用于规划和实施网络安全联邦民事机构信息系统的漏洞和事件响应活动。虽然这些手册是为联邦民事机构及其承包商编制的,但CISA表示,这些信息也可能对关键基础设施组织和私营部门公司有用。
新手册为机构提供了一套标准程序,用于识别、协调、修复、恢复和跟踪影响其系统、数据和网络的事件和漏洞的缓解措施。
事件响应手册涵盖了机构在确认可能产生重大后果的恶意网络活动时需要采取的步骤,包括横向移动、数据泄露、涉及多个用户或系统的网络入侵、以及帐户受损。
事件响应计划的第一阶段是准备阶段,包括记录事件响应政策和程序、实施检测可疑和恶意活动的系统、制定人员配备计划、对用户进行网络威胁和通知程序方面的教育,以及利用威胁情报主动识别潜在的恶意活动。
在检测和分析阶段,组织需要采取的步骤包括:通过向CISA和IT领导层报告事件来宣布事件、确定调查范围、收集和保存数据、以及执行技术分析。
在遏制阶段,组织必须隔离受影响的系统和网段、出于合法目的捕获取证图像、更新防火墙过滤、阻止未经授权的访问、关闭端口和相关服务器或服务、更改密码和轮换密钥、以及如果具有成熟功能的高级SOC,监控威胁行为者的活动。
修复和恢复包括:修复受损的IT系统、重新映像受影响的系统、重建硬件、用干净的文件替换受损的文件、安装补丁、重置密码、寻找攻击者对遏制活动做出反应的迹象、将系统重新连接到网络、加强外围安全、测试系统、并监控异常行为的操作。
事件后活动包括记录事件、通知领导层、采取措施预防未来事件、以及改进未来的事件响应活动。
漏洞响应手册描述了在响应紧急和高优先级漏洞时应遵循的高级流程。该手册描述了准备、漏洞响应过程、识别、评估、补救和报告活动。
建议包括:确保遵循有效的漏洞管理实践、主动识别主动利用漏洞的报告、确定环境中是否存在漏洞及其影响、修补或减轻漏洞、以及与CISA共享信息,以便可以帮助其他组织。
参考来源:SecurityWeek http://33h.co/9t4sq
(四)美国FTC发布小型企业勒索软件防御指南
美国联邦贸易委员会(FTC)近日发布了《小型企业勒索软件防御指南》,为小型企业通过阻止威胁行为者针对攻击目标开展社会工程或利用漏洞,来保护其网络免受勒索软件攻击提供了指导。
FTC建议小型企业的技术团队可采取两个步骤来增强其抵御勒索软件攻击的能力,并遵循CISA的《勒索软件指南》及《OT资产不断上升的勒索软件威胁》中的最佳实践。
第一,确保技术团队遵循最佳实践,来抵御勒索软件攻击。关键的保护步骤是设置业务至关重要的信息的离线、异地、加密备份。并与IT员工分享CISA情况说明书。及时了解并掌握联邦政府机构关于防范这些威胁的最新消息,以及其他值得信赖的公私合作伙伴关系的最新消息非常重要。CISA的勒索软件指南是必须阅读的。
第二,为员工安排安全复习。勒索软件不仅仅是IT专业人员的问题。威胁行为者经常使用电子邮件给将员工作为进入系统的入口。通过单击链接或下载附件,粗心的员工可能会无意中将公司的钥匙交给计算机罪犯。有些攻击者使用公开信息或窃取的员工数据来制作更个人化的信息。电子邮件、电话、短信、乍一看可能是合法的商业信函、甚至是来自同事的消息,而不是一开始就拼错的乱七八糟的东西。小型企业最佳防御措施是组建识别网络犯罪的员工队伍。其他的重要保护措施包括:严格的认证程序、要求员工凭证和管理功能的密码又长又复杂。此外,建议员工在不同平台上使用不同的密码,并使用多因素认证。
参考来源:FTC http://33h.co/9tx5k
(五)美国国土安全部启动新举措以吸引网络安全人才
美国国土安全部11月15日公布了一项新计划,使其在招聘和留住网络安全人员方面具有更大的灵活性。网络人才管理系统旨在帮助美国国土安全部的数字安全部门网络安全和基础设施局填补空缺,并保护美国免受勒索软件等在线威胁。
美国国土安全部(DHS)正在建立一个新的人才管理系统,以解决DHS在招聘和留住具备执行DHS动态网络安全任务所需技能的个人方面的历史和持续挑战。网络安全人才管理系统(CTMS)是一种以任务为导向、以人为本、且对市场敏感的人才管理方法。CTMS代表了用于雇用、补偿和培养联邦公务员员工的传统做法的转变,旨在适应网络安全工作、网络安全人才市场和国防部网络安全使命的变化。CTMS将现代化并增强国土安全部招聘和留住关键任务网络安全人才的能力。通过CTMS,国土安全部正在创建一种新型的联邦公务员职位,这些职位的干部和任命的个人称为DHS网络安全服务(DHS-CS)。CTMS将通过专门的招聘、薪酬和发展实践来管理DHS-CS的人才管理。被选中加入DHS-CS的个人将获得当代公共服务职业经验,强调持续学习和对DHS网络安全任务执行的贡献。该规则制定增加了实施和管理CTMS和DHS-CS的法规。
国土安全部部长Alejandro Mayorkas在声明中表示,“随着我们国家继续面临不断变化的威胁形势,我们不能仅仅依靠传统的招聘工具来填补关键任务空缺。国土安全部从根本上重新设想了如何招聘、发展、和留住顶级和多元化的网络安全人才。”
这一努力是在几起重大数字事件之后发生的,包括俄罗斯对SolarWinds的大规模黑客攻击,和对Colonial油气管道等关键基础设施的勒索软件攻击。CISA成立于2018年,在特朗普政府期间,其领导层和高层人员大量减少,在应对或协助各种挑战方面CISA已经捉襟见肘。
新的网络人才管理系统已经酝酿了七年,旨在通过将重点从传统的基准转移到技术技能等新方面,来消除联邦招聘过程中的官僚过程。
该计划的临时规则于15日发布。一旦最终确定,它将允许国土安全部以高达255,800美元的薪水聘请网络安全专业人员,并且在某些情况下,作为与利润更高的私营企业竞争的一部分,最高可达332,100美元。
该计划最初旨在填补CISA和DHS首席信息官办公室的空缺。但是从明年开始,它将用于帮助填补其他几个DHS机构的网络安全职位。
参考来源:TheRecord http://33h.co/9tqbq
(六)威胁行为者使用HTML走私技术进行网络钓鱼攻击
微软安全研究人员11月11日发表博客文章表示,其发现使用HTML走私(HTML Smuggling)技术来传播银行恶意软件和远程访问木马(RAT)的恶意软件活动激增。
虽然HTML走私并不是一种新技术,但微软发现,越来越多的威胁行为者使用这种方法来逃避检测,包括SolarWinds攻击背后的Nobelium黑客组织。
HTML走私是一种用于网络钓鱼活动的技术,使用HTML5和JavaScript在HTML附件或网页的编码字符串中隐藏恶意负载。当用户打开附件或单击链接时,这些字符串会被浏览器解码。
例如,网络钓鱼HTML附件可能包含指向已知网站的无害链接,因此不会被视为恶意链接。但是,当用户单击链接时,JavaScript将解码包含的加密或编码字符串,并将其转换为下载的恶意附件。
由于恶意负载最初是经过编码的,因此它看起来对安全软件无害,并且不会被检测为恶意负载。此外,当JavaScript在目标系统上组装有效负载时,会绕过通常会在外围捕获恶意文件的防火墙和安全防御。
微软研究人员已经在Mekotio传播银行木马程序的活动中使用了这种技术,也可以用于高度针对性的NOBELIUM攻击。HTML走私活动还被用来传播AsyncRAT/NJRAT远程访问木马,或用于破坏网络和部署勒索软件的TrickBot木马。
攻击通常始于钓鱼电子邮件,邮件正文中包含HTML链接或恶意HTML文件作为附件。如果单击其中一个,则会使用HTML走私来传播ZIP文件。该存档包含一个JavaScript文件下载程度,可从命令和控制服务器(C2)获取附加文件,以安装在受害者的设备上。
在某些情况下,创建的档案受密码保护,以防止对端点安全控制进行额外的检测。但是,打开它的密码是在原始HTML附件中提供的,因此受害者必须手动输入。脚本启动后,将执行base64编码的PowerShell命令,下载并安装TrickBot木马或其他恶意软件。
Menlo Security在2020年的一份报告还提到,Duri恶意软件组织是积极使用HTML走私进行有效载荷分发的参与者之一,但该技术至少自2018年以来首次在野外被发现。
微软于2021年7月首次警告称,此类活动突然增加,敦促管理员加强防御能力。Microsoft建议管理员使用行为规则来检查HTML走私的常见特征,包括:
1、附加的ZIP文件包含JavaScript;
2、附件受密码保护;
3、一个HTML文件包含一个可疑的脚本代码;
4、HTML文件解码Base64代码或混淆JavaScript。
对于端点,管理员应阻止或审核与HTML走私相关的活动,包括:
1、阻止JavaScript或VBScript启动下载的可执行内容;
2、阻止潜在混淆脚本的执行;
3、阻止可执行文件运行,除非它们满足普遍性、使用年限或受信任的列表标准。
除此之外,用户还可以通过将.js和.jse文件与记事本等文本编辑器相关联,来阻止自动执行JavaScript代码。最好的防御是教育用户不要打开通过电子邮件和附件中的链接下载的文件。从电子邮件下载的所有文件都应谨慎对待,并在打开前仔细检查。此外,如果附件或电子邮件链接下载了以.js扩展名结尾的附件,则永远不应打开它并自动将其删除。
不幸的是,在默认情况下Windows禁用文件扩展名显示,导致在许多情况下无法看到扩展名。这就是为什么总是建议用户启用查看文件扩展名,以防止打开恶意文件。
参考来源:BleepingComputer http://33h.co/9tkid
(七)伊朗APT组织利用Fortinet和微软漏洞开展恶意网络攻击
美国FBI、CISA、澳大利亚网络安全中心(ACSC)、和英国国家网络安全中心(NCSC)11月17日联合发布安全警报称,伊朗支持的APT组织正在利用Fortinet和Microsoft Exchange ProxyShell漏洞开展恶意网络攻击活动。
FBI和CISA发现,伊朗支持的APT组织至少自2021年3月起利用Fortinet漏洞,至少自2021年10月起利用Microsoft Exchange ProxyShell漏洞,以便在后续操作(包括部署勒索软件)之前获得对系统的初始访问权限。ACSC也发现,该APT组织在澳大利亚使用了相同的Microsoft Exchange漏洞。
伊朗支持的APT组织正在积极针对美国多个关键基础设施部门的广泛受害者,包括运输部门、医疗保健和公共卫生部门、以及澳大利亚组织。FBI、CISA、ACSC和NCSC评估认为,该组织专注于利用已知漏洞,而不是针对特定部门。伊朗政府资助的APT组织可以利用这种访问权限进行后续操作,如数据泄露或加密、和勒索软件。
该警告提供了观察到的策略和技术,以及FBI、CISA、ACSC和NCSC评估的可能与伊朗政府资助的APT活动有关的IOC。FBI、CISA、ACSC和NCSC敦促关键基础设施组织采用该警告的缓解部分中列出的建议,以减轻伊朗政府资助的网络行为者的危害风险。
至少自2021年3月以来,FBI和CISA已经发现伊朗政府支持的APT组织利用Microsoft Exchange和Fortinet漏洞,攻击多个关键基础设施部门的广泛受害者,来进行恶意活动,活动包括:
2021年3月,FBI和CISA观察到这些伊朗政府资助的APT组织在端口4443、8443和10443上扫描Fortinet FortiOS漏洞CVE-2018-13379的设备,并枚举FortiOS漏洞CVE-2020-12812和CVE-2019-5591。伊朗政府资助的APT组织很可能利用这些漏洞来访问易受攻击的网络。
2021年5月,这些伊朗政府资助的APT组织利用Fortigate设备访问托管美国市政府域名的Web服务器。攻击者可能创建了一个用户名为elie的帐户,以进一步启用恶意活动。
2021年6月,这些APT行为者利用Fortigate设备访问与一家专门从事儿童医疗保健的美国医院相关的环境控制网络。APT组织可能利用分配给IP地址91.214.124[.]143和162.55.137[.]20的服务器,进一步对医院网络实施恶意活动。FBI及CISA认为这些IP地址与伊朗政府的网络活动有关。APT组织从IP地址154.16.192[.]70访问了医院的已知用户帐户,FBI和CISA认为该地址与伊朗政府的攻击性网络活动有关。
截至2021年10月,APT组织已利用Microsoft Exchange ProxyShell漏洞CVE-2021-34473,在后续操作之前获得对系统的初始访问权限。ACSC认为该APT组织在澳大利亚也使用了相同的Microsoft Exchange漏洞CVE-2021-34473。
该联合警告中的信息与11月16日微软威胁情报中心(MSTIC)报告中共享的信息一致。微软报告中提供了关于伊朗APT组织的演变以及作为一种不断变化的威胁的适应能力的信息。
微软一直在跟踪六个伊朗威胁组织,这些组织在2020年9月开始的攻击中部署勒索软件并窃取数据。微软发现这些伊朗威胁组织扫描和利用许多产品中的漏洞,包括Fortinet的FortiOS SSL VPN,和易受ProxyShell漏洞影响的Microsoft Exchange服务器。
参考来源:CISA http://33h.co/9tyjf
(八)黑客组织MosesStaff攻击以色列组织
CheckPoint研究人员11月15日发表研究报告表示,自2021年9月以来,一个名为MosesStaff的具有政治动机的新黑客组织与一波针对以色列组织的针对性攻击有关,其目的是在加密网络之前窃取和泄露敏感信息,并且无法重新获得访问权限或进行谈判赎金。迄今为止至少有16名受害者的数据被泄露。
CheckPoint研究人员表示,“该组织公开表示,他们攻击以色列公司的动机是通过泄露被盗的敏感数据并加密受害者的网络来造成损害,没有勒索赎金。用攻击者的话来说,他们的目的是‘打击抵抗,并揭露被占领土上犹太复国主义者的罪行。’”
据说,威胁行为者利用公开已知的漏洞,作为破坏企业服务器并获得初始访问权限的手段,然后部署用于传播其他恶意软件的自定义WebShell程序。一旦进入内部,入侵者就会利用LotL技术在网络中横向移动,并部署恶意软件,通过特制的PyDCrypt恶意软件将机器锁定在加密屏障后面。
这些攻击特别依赖于开源库DiskCryptor来执行卷加密,此外还通过引导加载程序感染系统,从而阻止系统在没有正确加密密钥的情况下启动。研究人员表示,攻击目标是破坏系统,并对受害者造成“不可逆转的伤害”。
也就是说,在某些情况下可以恢复加密文件,因为该组织使用对称密钥机制来生成加密密钥。Check Point没有将攻击者归咎于任何特定国家,理由是缺乏明确的证据,但指出,该组织工具集的一些工件已在第一次攻击前几个月从巴勒斯坦提交给VirusTotal。
MosesStaff还通过Twitter和Telegram来宣传他们的攻击,最近在11月14日报道了其恶意活动。该组织的网站声称,它已经加密了了257多个网站以及总计34 TB的被盗数据和文件。更重要的是,该在线门户网站敦促外界与他们携手“揭露犹太复国主义者在被占领巴勒斯坦的罪行”。
研究人员表示,“MosesStaff仍然很活跃,在他们的社交网络帐户中推送挑衅性的信息和视频。该组织攻击中利用的漏洞不是零日漏洞,因此所有潜在受害者都可以通过立即修补所有面向公众的系统来保护自己。”
参考来源:TheHackerNews http://33h.co/9t33u
(九)美国与以色列合作打击勒索软件攻击
美国财政部11月14日表示,将与以色列合作打击勒索软件,两国将成立一个联合工作组,来解决网络安全问题。美国财政部表示,该工作组将制定一份谅解备忘录,支持与金融部门相关的信息共享,包括网络安全法规和威胁情报。
此前10月份,在白宫与欧盟和包括以色列在内的30多个国家举行了一次关于勒索软件的虚拟会议。财政部副部长Wally Adeyemo当时要求进行国际合作,以解决滥用虚拟货币和破坏勒索软件商业模式的问题。
此次合作是在采取措施打击勒索软件激增的情况下建立的,勒索软件攻击了几家美国大公司,其中包括美国最大的燃料管道公司Colonial,导致燃料输送瘫痪了几天。
美国财政部表示,14日还成立了一个更广泛的美国以色列特别工作组,以解决与金融科技和网络安全相关的问题。该部门在一份声明中说,Adeyemo会见了以色列财政部长Avigdor Lieberman和以色列国家网络局局长Yigal Unna,以建立双边伙伴关系。
参考来源:路透社 http://33h.co/9tqdd
(十)Emotet恶意软件卷土重来
研究人员发现,Emotet僵尸网络在其基础设施被国际执法机构关闭十个月后,在11月14日卷土重来,通过多次垃圾邮件活动向全球邮箱发送恶意文档。
Emotet是一种恶意软件,通过带有恶意附件的垃圾邮件活动传播。如果用户打开附件,恶意宏或JavaScript将下载Emotet DLL,并使用PowerShell将其加载到内存中。加载后,恶意软件将搜索并窃取电子邮件,以用于未来的垃圾邮件活动,并传播通常会导致勒索软件感染的其他有效负载,例如TrickBot或Qbot。
15日,网络安全研究人员Brad Duncan发表了一篇SANS处理程序日记,讲述了Emotet僵尸网络如何开始向多个电子邮件活动发送垃圾邮件,以使用Emotet恶意软件感染设备。
根据Duncan的说法,垃圾邮件活动使用重播链电子邮件来引诱收件人打开附加的恶意Word、Excel和受密码保护的ZIP文件。回复链式网络钓鱼电子邮件是指之前被盗的电子邮件线程与欺骗性回复一起使用,以将恶意软件分发给其他用户。
在Duncan分享的样本中,Emotet使用与丢失钱包、CyberMonday销售、取消会议、政治捐款活动、以及牙科保险终止相关的回复链。这些电子邮件中附有带有恶意宏的Excel或Word文档,或包含恶意Word文档的受密码保护的ZIP文件附件。
目前在新的Emotet垃圾邮件活动中分发了两种不同的恶意文件。第一种是Excel文档模板,声明该文档仅适用于台式机或笔记本电脑,并且用户需要单击“启用内容”才能正确查看内容。另一种恶意Word附件使用Red Dawn模板,并表示由于文档处于“受保护”模式,用户必须启用内容和编辑才能正确查看它。
当打开Emotet附件时,文档模板将提示预览不可用,需要单击“启用编辑”和“启用内容”才能正确查看内容。但是,一旦单击这些按钮,就会启用恶意宏,启动PowerShell命令,以从受感染的WordPress站点下载Emotet加载程序DLL,并将其保存到C:\ProgramData文件夹。
下载后,DLL将使用C:\Windows\SysWo64\rundll32.exe启动,这会将DLL复制到%LocalAppData%下的随机文件夹,然后从该文件夹重新运行DLL。一段时间后,Emotet会在HKCU\Software\Microsoft\Windows\CurrentVersion\Ru下配置一个启动值,以在Windows启动时启动恶意软件。
Emotet恶意软件现在将在后台静默运行,同时等待从其命令和控制服务器执行命令。这些命令可能是搜索电子邮件以窃取、传播到其他计算机或安装其他有效负载,例如TrickBot或Qbot木马。
目前还没有看到Emotet使用的任何额外载荷,这也得到了Duncan的测试证实。Duncan表示,“我只在最近感染了Emotet的主机上看到了垃圾邮件机器人活动。我认为Emotet本周才刚刚重新建立起来,也许我们会在未来几周内看到一些额外的恶意软件有效载荷。”
参考来源:BleepingComputer http://33h.co/9tnta
(十一)企业间谍黑客RedCurl使用新策略恢复攻击活动
Group-IB研究人员11月18日发布研究报告称,其发现企业间谍组织RedCurl恢复了攻击活动,今年多次攻击了一家俄罗斯大型批发公司,每次都使用精心构建的鱼叉式网络钓鱼电子邮件及初始阶段恶意软件。
2018年至2020年期间,该组织以企业间谍活动和文件盗窃为目的进行了26次攻击。Group-IB确定了不同行业的14个受害组织。七个月后,也就是2021年,攻击又开始了。Group-IB的最新报告详细介绍了攻击者的策略和工具如何变化,并揭示了该组织的新受害者。
RedCurl自2018年以来一直活跃,至少对俄罗斯(18次)、乌克兰、加拿大、挪威、英国和德国的企业发起了30次攻击,其中今年发生了4起。
该黑客组织擅长在窃取公司数据之前长时间潜伏在系统中不被发现,长达2到6个月。窃取的数据包括员工记录、法律实体文件、法庭记录、内部文件、电子邮件历史记录。
网络安全公司Group-IB的研究人员注意到RedCurl的活动有七个月的时间间隔,黑客利用这一时间对他们的自定义工具和攻击方法集进行了重大改进。
黑客的最新受害者之一是俄罗斯最大的批发公司之一,该公司为连锁店和其他批发商提供家居、办公和休闲用品。出于未知的原因,RedCurl两次攻击了这家公司,通过冒充公司人力资源部门宣布奖金和政府服务门户的电子邮件获得了初始访问权限。
在这两种情况下,目标都是在员工的计算机上部署一个隐藏在附加文档中的恶意软件下载器RedCurl.InitialDropper,可以启动下一阶段的攻击。在调查过程中,Group-IB发现RedCurl将攻击链从之前观察到的三四个步骤扩展到了五个阶段。
当收件人打开启动初始投放程序的恶意文件时,黑客小心翼翼地不引起任何怀疑,因此他们包含了一个精心制作的诱饵文件,其中包含与该组织相关的内容。Dropper将获取RedCurl.Downloader工具,该工具收集有关受感染机器的信息并将其传送到命令和控制服务器(C2),并启动下一阶段的攻击。
Group-IB发现,黑客现在使用的是RedCurl.Extractor,这是他们在之前的攻击中发现的RedCurl.Dropper的修改版本。该工具的目的只是为攻击的最后一步做准备,这涉及在系统上实现持久性。
研究人员指出,RedCurl已经从典型的批处理和PowerShell脚本的使用转变为可执行文件,并且防病毒软件未能检测到初始感染或攻击者在受害者网络上横向移动。
然而,RedCurl工具集的改进似乎很仓促,因为Group-IB在其中一个命令中发现了一个逻辑错误。一种解释是,该组织几乎没有时间开始攻击,无法正确测试他们的工具。
尽管不像往年那样活跃,但RedCurl保持了其复杂性,并且仍然是一个能够在数月内不被发现的高级威胁行为者。
Group-IB表示,在今年确定的四次攻击中,有两次针对的是同一个目标。然而,他们预计会出现更多受害者,因为RedCurl的更新工具在野外被发现的频率越来越高。
参考来源:Group-IB http://33h.co/9tzpf
(十二)微软披露Azure AD中存在高危漏洞
微软最近缓解了信息泄露漏洞CVE-2021-42306,以防止某些Azure服务将私钥数据存储在Azure Active Directory(Azure AD)应用程序和/或服务主体的keyCredentials属性中,并防止读取以前存储在keyCredentials属性中的私钥数据。
keyCredentials属性用于配置应用程序的身份验证凭据。组织的Azure AD租户中的任何用户或服务都可以访问它,并具有对应用程序元数据的读取访问权限。
该属性旨在接受带有公钥数据的证书以用于身份验证,但带有私钥数据的证书也可能错误地存储在该属性中。通过允许用户冒充受影响的应用程序或服务主体,访问私钥数据可能导致特权提升攻击。
某些微软服务在代表客户创建应用程序时,错误地将私钥数据存储在keyCredentials属性中。微软研究人员进行了调查,没有发现恶意访问这些数据的证据。
受此问题影响的Microsoft Azure服务已通过防止在keyCredentials属性中存储明文私钥信息而得到缓解,Azure AD已通过防止读取任何用户或服务之前在UI中添加的明文私钥数据来缓解。
因此,keyCredentials属性中的明文私钥材料无法访问,从而降低了与在该属性中存储此材料相关的风险。
微软还表示,在2020年10月15日至2021年10月15日期间使用Azure自动化自签名证书创建的所有自动化运行方式帐户都受到此问题的影响。使用Azure Site Recovery(ASR)将VMware预览版部署到Azure DR体验的Azure Migrate服务和客户也可能会受到影响。因此,Azure AD客户应循环查看所有自动化帐户“Run as”证书,以确保没有任何凭据被公开。
参考来源:Microsoft http://adkx.net/9t0xm
(十三)Mandiant认为Ghostwriter与白俄罗斯有关
Mandiant威胁情报团队11月16日发表博客文章表示,其认为Ghostwriter(又名UNC1151)活动与白俄罗斯政府有关。
2020年8月,FireEye安全研究人员发现了一项旨在通过在受感染的新闻网站上传播虚假新闻内容来诋毁北约的虚假信息活动。据FireEye称,该活动被追踪为GhostWriter,至少自2017年3月以来一直在进行,并且符合俄罗斯的安全利益。
与其他虚假信息活动不同,GhostWriter不会通过社交网络传播。相反,该活动背后的威胁行为者滥用新闻网站的受损内容管理系统(CMS)或欺骗电子邮件帐户来传播虚假新闻。
攻击者过去常常用虚假内容替换网站上现有的合法文章,而不是创建新帖子。攻击者散播伪造的内容,包括伪造的新闻文章、引述、通信和其他文件,旨在伪装成来自目标国家的军事官员和政治人物。该活动主要针对联盟特定成员国,包括立陶宛、拉脱维亚和波兰。
GhostWriter运营者专注于传播虚假的引用,例如扎在拉托维亚的21名加拿大士兵感染了新冠病毒,该说法来自于北约欧洲自由党战斗小组指挥官。另外一份捏造的内容是,北约秘书长Jens Stoltenberg在信中表示,大西洋联盟正计划从立陶宛撤军以应对新冠疫情。
Mandiant研究报告表示,白俄罗斯参与了GhostWriter活动。“Mandiant威胁情报团队高度自信地认为UNC1151与白俄罗斯政府有关。2021年4月,我们发布了一份公开报告,详细说明了我们对UNC1151为Ghostwriter信息运营活动提供技术支持的高度自信评估。这一评估,连同观察到的符合白俄罗斯政府利益的Ghostwriter叙述,使我们以适度的信心评估白俄罗斯也可能至少对Ghostwriter活动负有部分责任。我们不能排除俄罗斯对UNC1151或Ghostwriter的贡献。”
2020年8月,Ghostwriter活动传播文章,声称白俄罗斯的抗议活动是由美国和北约精心策划的。自2020年8月选举以来,19次Ghostwriter活动中有16次宣传诽谤波兰和立陶宛政府的言论。
Ghostwriter背后的运营商在2020年大选之前针对白俄罗斯实体,一些被民族国家行为者作为攻击目标的个人(白俄罗斯反对派代表)后来被白俄罗斯政府逮捕。
研究人员收集的敏感技术信息表明,威胁行为者在白俄罗斯军方的控制下在白俄罗斯明斯克开展行动。Mandiant调查了俄罗斯APT可能参与Ghostwriter行动的可能性,但尽管TTP与俄罗斯行动存在高度重叠,但研究人员并未发现俄罗斯政府参与的直接证据。
Mandiant得出结论,“Mandiant非常有信心的人为,Ghostwriter信息操作是为了支持白俄罗斯政府而进行的,并且有中等信心人为,它们是在白俄罗斯的赞助下进行的。”
参考来源:SecurityAffairs http://33h.co/9tpru
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯