安全研究
全部分类

关键信息基础设施安全动态周报【2021年第46期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-11-26 16:03
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第46期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第46期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第46期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-11-26 16:03
  • 访问量:
详情

 

目   录

第一章 国内关键信息基础设施安全动态

(一)联发科芯片存在窃听漏洞,37%安卓智能手机受到影响

第二章 国外关键信息基础设施安全动态

(一)丹麦风电制造商Vestas遭受网络攻击导致IT系统中断

(二)伊朗马汉航空遭受网络攻击

(三)英国交通部网站被恶意篡改

(四)Lantronix工业及企业Wi-Fi模块存在多个漏洞

(五)美国CISAFBI警告关键基础设施在节假日期间警惕网络攻击

(六)美国监管机构要求银行必须在36小时内报告重大网络事件

(七)新型恶意软件Tardigrade针对生物制造业开展攻击

(八)黑客渗透进入印度尼西亚国家警察服务器窃取警察数据

(九)AppGallery应用商店中超900万安卓设备感染木马

(十)新加坡星展银行连续两天服务中断

(十一)新型勒索软件Memento使用受密码保护的WinRAR文档绕过加密保护

(十二)黑客利用微软MSHTML漏洞窃取凭据

(十三)GoDaddy泄漏120万托管WordPress用户信息

(十四)易受攻击的蜜罐80%24小时内遭受入侵

(十五)英国数据存储公司Stor-A-File遭受网络攻击泄露敏感信息

 

 

 

第一章 国内关键信息基础设施安全动态

(一)联发科芯片存在窃听漏洞,37%安卓智能手机受到影响

Check Point研究人员对联发科的音频数字信号处理器(DSP)固件进行逆向工程,发现了几个安全漏洞,可导致权限提升,并执行任意代码,从而允许攻击者在用户不知情的情况下进行大规模窃听活动。

联发科是中国台湾智能手机芯片领导者,2020年第三季度全球约37%智能手机使用联发科系统级芯片,包括来自小米、OppoRealmeVivo等。

Check Point发现的漏洞中CVE-2021-0661CVE-2021-0662CVE-2021-0663三个已在10月份的联发科安全公告中修复,第四个CVE-2021-0673将在下个月的安全公告中修复。

这些漏洞意味着,所有使用联发科芯片的智能手机都容易受到窃听攻击或恶意软件感染,如果未安装安全更新,则无需用户交互。对于供应商不再支持的大量旧设备,可能永远不会收到安全更新。

联发科处理器使用数字信号处理器(DSP)的专用音频处理单元,来减少CPU负载,并提高音频播放质量和性能。该单元通过驱动程序和IPC系统从Android用户空间中的应用程序接收音频处理请求。从理论上讲,没有特权的应用程序可以利用漏洞来操纵请求处理程序,并在音频芯片上运行代码。音频驱动程序不直接与DSP通信,而是将IPI消息转发到系统控制处理器(SCP)

通过对负责音频通信的Android API进行逆向工程,Check Point进一步了解了系统的工作原理,发现了以下漏洞:不正确的边界检查导致越界写入和本地权限提升漏洞CVE-2021-0661CVE-2021-0662CVE-2021-0663CVE-2021-0673的详细信息将于下个月披露。

通过利用这些漏洞,攻击者可能会执行本地权限提升攻击,向DSP固件发送消息,然后在DSP芯片本身上隐藏或运行代码。联发科已取消通过用于利用CVE-2021-0673AudioManager使用参数字符串命令的功能,从根本上缓解了该问题。

联发科即将于202112月发布的安全公告中发布有关CVE-2021-0673漏洞的更多详细信息。其他三个漏洞CVE-2021-0661CVE-2021-0662CVE-2021-0663已通过202110月补丁级别或更高版本发布的Android安全更新得到解决。

同时,如果使用的联发科技设备运行的是较旧的补丁级别,请确保安装来自信誉良好的供应商的移动保护套件,并避免从Play商店外部安装APK等危险做法。

参考来源:BleepingComputer http://33h.co/90cfq

 

 

 

第二章 国外关键信息基础设施安全动态

(一)丹麦风电制造商Vestas遭受网络攻击导致IT系统中断

丹麦风力涡轮机制造商Vestas披露,其遭受了网络攻击,导致IT系统关闭。

Vestas是风力涡轮机制造、安装、服务行业领导者,在全球拥有25,000名员工,在16个国家设有制造工厂,年营业收入超过10亿美元,在北美安装超40,000兆瓦,服务超过36,000兆瓦。

对此Vestas发布声明表示,其在1119日遭受了网络安全事件。为了应对该问题,防止攻击蔓延,关闭了多个业务部门和地点的IT系统。客户、员工和其他利益相关者可能会受到IT系统关闭的影响。初步调查结果表明,该事件影响了Vestas的部分内部IT基础设施,并且数据已被泄露。

作为Vestas网络安全危机管理体系的一部分,Vestas正在与内部和外部合作伙伴合作,以完全控制问题并恢复系统。

目前工作和调查仍在进行中,没有迹象表明该事件影响了第三方运营,包括客户和供应链运营。Vestas的制造、施工和服务团队能够继续运营,但作为预防措施,一些运营IT系统已被关闭。Vestas已经开始逐步且有控制地重新开放所有IT系统。

参考来源:Vestas http://33h.co/90h4t

 

(二)伊朗马汉航空遭受网络攻击

伊朗第二大私营航空公司马汉航空(Mahan Air)1121日遭受了网络攻击,导致网站离线,并可能数据丢失。

马汉航空在推特上表示,应对黑客攻击对他们来说并不奇怪,因此即使造成了一些损失,航班时刻表也不会受到影响。即使人们无法访问马汉的网站,所有国际和国内航班仍照常运行,没有任何变化或延误。攻击已在短时间内成功挫败,没有造成实际影响。

马汉航空表示,继马汉航空系统遭到网络攻击的消息传出后,据悉,由于马汉航空在国内航空业的地位,该公司多次在不同时间遭到此类攻击,因此可能会被损坏。这是正常现象,马汉网络安全团队一直采取明智及时的行动,挫败了这些攻击。因此,特此公告,所有马汉航班将按照时间表运行,未来的航班将按照之前的时间表运行。

马汉航空公司在2011年因支持伊朗伊斯兰革命卫队(IRGC)的成员而被列入美国制裁名单。2019年,美国财政部发布了一份关于马汉航空公司运营的声明,马汉航空公司已经将伊斯兰革命卫队卡塔尔武装部队的特工、武器、设备和资金运送到国外,以支持IRGC-QF的地区行动,并且还为真主党运送了武器和人员。自叙利亚内战爆发以来,马汉航空公司经常向叙利亚运送战斗机和物资,以支持阿萨德政权,这导致了大规模暴行和平民流离失所。

尽管马汉航空的行动违背了美国的战略利益,导致了20207月的实际军事行动,但对最近事件负责的黑客似乎并不是美国人。对马汉航空公司的网络攻击负责的攻击者是Hooshyarane Vatan,他将伊斯兰革命卫队视为他们的敌人,并表示他们为伊朗阿拉伯少数民族阿瓦士少数民族的权利而战。

黑客声称窃取了揭露马汉航空公司与伊斯兰革命卫队合作的机密文件,并威胁要公布马汉活动的姓名、号码和证据。黑客声称,黑掉马汉航空公司是阻止腐败军团对城市和阿瓦士和胡齐斯坦人民的掠夺和侵占计划的第一步。利用我们从马汉航空公司的内部网络获得的机密文件,我们将证明马汉参与了伊斯兰革命卫队的犯罪活动,我们还将表明圣城旅正在叛乱团体中掠夺人民和伊朗国家的金钱和资源。而外国民兵挥霍金钱,同时以同样的被压迫人民为掩护,空运武器、设备和弹药。该威胁行为者声称,他们有证据证明航空公司在民用航班上隐藏了军用货物,以保护其免受攻击。

参考来源:BleepingComputer http://33h.co/9053i

 

 

 

(三)英国交通部网站被恶意篡改

英国交通部(DfT)的一个网站1125日被恶意篡改,提供色情服务。

正常情况下,英国交通部的charts.dft.gov.uk网站为公众和部门的业务计划提供各种DfT服务的商业计划文件和重要统计数据,如公共交通利用率、道路通达时间、和驾驶考试。

该网站目前已无法访问,但几个小时前,访问该网站会显示一些色情服务。

The Crow首先发现了这一事故,还发现整个dft.gov.uk域本身都被重定向到WordPress插件页面,而交通部似乎正在调查该问题。

在测试中,研究人员发现dft.gov.uk官方网站出现了一个受密码保护的WordPress页面eu-hauliers.dft.gov.uk,整个dft.gov.uk被重定向到一个密码保护的WordPress页面。

尽管该charts.dft.gov.uk网站出现色情内容的确切原因尚不清楚,但该子域似乎确实有一个指向Amazon S3实例的CNAME DNS记录。违规NSFW实例仍然位于charts.dft.gov.uk.s3-website-eu-west-1.amazonaws.com,显示非法内容。charts.dft.gov.uk网站目前已无法访问。

目前尚不清楚,这是否仅仅是域劫持案例,即Charts站点指向的一个悬空的AWS S3实例,被威胁行为者认领并用于提供成人内容,或者攻击者是否获得了足够的权限访问DfT注册商系统,并更改了charts.dft.gov.ukDNS条目。第二种情况更具挑战性,并且会引发一些关于DfT数字基础设施安全性的严重问题。

这也不是第一次发现政府网站提供露骨内容。今年九月,在攻击者利用多个政府网站使用的Laserfiche Forms软件产品中的漏洞后,美国政府网站被滥用发送伟哥广告和成人内容垃圾邮件。今年七月,vid.me域名被第三方获得,包括《华盛顿邮报》和《赫夫邮报》在内的主要新闻网站的访问者看到新闻故事中的嵌入视频被色情取代。

目前英国交通部的主要网站DfT.gov.uk的访问权已经恢复。然而,系统管理员似乎已经完全停止了charts.dft.gov.uk的访问,而charts.dft.gov.uk已经无法访问。

参考来源:BleepingComputer http://33h.co/9fxnd

 

 

(四)Lantronix工业及企业Wi-Fi模块存在多个漏洞

思科Talos威胁情报研究人员在Lantronix的嵌入式Wi-Fi模块PremierWave 2050中发现了21个漏洞,其中大多为严重漏洞或高危漏洞,该模块是专门为关键工业及商业应用设计的。

受影响的产品PremierWave 2050企业Wi-Fi模块提供始终在线的5G Wi-Fi连接,专为关键任务操作而设计,提供企业级安全性。研究人员在Lantronix PremierWave 2050版本8.9.0.0R4上复现了这些漏洞。

Talos研究人员发现的漏洞包括操作系统命令注入、远程代码执行、信息泄露、文件覆盖和本地文件包含。远程攻击者可以利用这些漏洞完全破坏PremierWave 2050操作系统。

PremierWave 2050Web Manager中存在多个漏洞,这是一个可通过Web访问的应用程序,允许用户配置2050网关的设置。攻击者可以利用其中一些漏洞来执行一系列恶意操作,包括执行任意代码、以及删除或替换目标设备上的文件。

其中13个漏洞可能允许恶意用户以某种方式操纵Web管理器,例如溢出固定大小的缓冲区,从而允许他们执行任意代码。这些漏洞都需要攻击者首先向Web Manager进行身份验证。

此外,还有5个目录遍历漏洞,可能导致本地文件包含或覆盖。Web ManagerFsBrowseCleanr功能中还有另一个目录遍历漏洞CVE-2021-21896,攻击者可以删除目标设备上的文件。另一个目录遍历漏洞CVE-2021-21886可能导致攻击者在向目标设备发送特制HTTP请求后查看某些文件和目录名称。

最后,思科研究人员还发现了本地文件包含漏洞CVE-2021-21878,攻击者可以利用此漏洞绕过某些限制,并通过创建中间符号链接来泄露以前无法访问的文件的内容。

Talos研究工程师Matt Wisema表示,威胁行为者可以做什么取决于模块嵌入系统的功能。理论上很难推测对现实世界的影响,因为该设备的存在仅仅是为了为构建在其上的其他系统提供无线连接和执行环境。PremierWave 2050中的漏洞可能会使大量其他系统受到远程攻击。该模块旨在用于敏感、关键任务、工业和商业应用,很可能在设备上运行易受攻击的服务,而最终用户不知道他们的设备甚至包含Lantronix设备。作为潜在易受攻击设备的一个例子,PremierWave 2050固件中的硬编码字符串表明,至少有一家医疗设备制造商正在使用Lantronix设备,这些字符串的位置使得他们很可能使用易受攻击的服务。

Wiseman表示,虽然利用所有这些漏洞都需要身份验证,但PremierWave 2050固件包含可以在线找到的默认凭据,第三方设备制造商或最终用户可以更改这些默认凭据。系统会通知管理员默认密码的使用情况,但通知存在于配置页面中,距离主页两次点击。鉴于PremierWave 2050旨在作为在其上构建其他系统的基础,最终用户很可能不会使用,甚至不知道该界面,因此不会更新密码。如果凭据已更改,攻击者(尤其是在旧版本中)可能会通过嗅探经过身份验证的用户的流量来获取凭据。

Lantronix是一家总部位于加利福尼亚的公司,为物联网和远程环境管理(REM)提供连接和工程服务。

参考来源:SecurityWeek http://33h.co/904sk

 

 

(五)美国CISAFBI警告关键基础设施在节假日期间警惕网络攻击

美国CISAFBI1122日联合发布警报称,提醒关键基础设施合作伙伴及公共/私人组织,在假日期间警惕恶意网络攻击。节假日期间正是威胁行为者破坏组织、企业和关键基础设施的关键网络和系统的好时机。

在即将到来的假期期间,任何组织的高管、领导者和员工都可以主动采取行动保护自己免受网络攻击,包括可能的勒索软件攻击。在节假日期间,办公室经常关闭,员工在家与朋友和家庭相聚,因此组织更容易受到网络攻击。

尽管CISAFBI目前都没有发现任何具体威胁,但最近的2021年趋势表明,恶意网络攻击者会在假期和周末发起严重且有影响力的勒索软件攻击。包括此前的独立日和母亲节周末。

CISAFBI强烈敦促所有实体,尤其是关键基础设施合作伙伴,检查当前的网络安全态势,并实施最佳实践和缓解措施,以管理网络威胁带来的风险。具体而言,CISAFBI敦促用户和组织采取以下行动,来保护自己免于成为下一个受害者:

1、确定周末和假期的IT安全员工,在发生事件或勒索软件攻击时,他们可以激增;

2、为远程访问和管理帐户实施多因素身份验证;

4、强制使用强密码,并确保不会在多个帐户中重复使用;

4、如果使用远程桌面协议(RDP)或任何其他具有潜在风险的服务,请确保其安全,并受到监控;

5、提醒员工不要点击可疑链接,并进行练习以提高认识。

此外,CISAFBI建议对网络犯罪分子用来访问网络的多种技术保持警惕,包括:

1、网络钓鱼诈骗,例如冒充慈善组织的电子邮件;

2、欺骗信誉良好的企业的欺诈网站,恶意行为者可能会瞄准用户在网上假日购物时经常访问的网站;

3、未加密的金融交易。

最后,如果组织成为勒索软件攻击的受害者,为了降低严重业务/功能降级的风险,请查看并更新事件响应和通信计划。如果组织受到勒索软件事件的影响,这些计划应列出要采取的措施以及要联系的联系人。CISAFBI敦促用户和组织立即采取这些行动来保护自己免受这种威胁。

参考来源:CISA http://33h.co/90t8i

 

 

 

(六)美国监管机构要求银行必须在36小时内报告重大网络事件

美国金融监管机构1118日最终规定,银行必须在36小时内向联邦官员报告重大网络安全事件。

20225月开始,财务主管将需要更加坦诚地处理计算机系统故障和中断,如勒索软件或拒绝服务攻击,这些攻击有可能破坏客户访问其账户的能力,或影响更大的金融系统。

该规定名为银行机构及其银行服务提供商计算机安全事件通知要求,由货币监理署、美联储系统理事会、联邦存款保险公司批准。目前没有特定窗口要求银行必须向有关机构报告此类事件。

最终批准之际,国会正在权衡关键基础设施所有者和运营商的更广泛报告规则,以及运输安全管理局已开始对领先的管道、铁路和航空运输公司施加报告要求。

对于银行来说,36小时的时间介于国会的主要提案大约72小时和TSA规定的12小时之间。银行业监管机构于去年12月首次提出该要求,今年春季,行业团体对其部分内容提出批评。他们在规则的最终版本中赢得了让步。

例如最初版本表示,如果银行真诚地相信他们遭受了重大网络事件,就必须报告事件。银行业组织表示,这可能导致对各种事件的过度报告,而不是他们明确确定发生了某些事情的情况。

最终规定指出,在仔细考虑这些评论后,这些机构正在用银行组织的决心取代诚信标准。这些机构同意评论者的意见,他们批评提议的真诚地相信标准过于主观和不精确。因此,这些机构已从通知事件的定义中删除了诚信语言,并在最终通知要求中替代了确定标准。银行政策研究所表示,它支持最终规则。

BPI负责技术和风险战略的高级副总裁Heather Hogsett表示,网络事件通知鼓励监管机构和银行之间尽早合作,以便监管机构在银行努力应对和调查事件的同时,了解可能对整个金融体系产生更广泛影响的情况。

除了向联邦官员报告的要求外,该规则还规定了银行何时必须向客户报告网络事件。

证券业和金融市场协会宣布,它已经完成了最新的有900名参与者的网络安全演习。该集团首席执行官兼总裁Kenneth Bentsen表示,金融服务行业是首要目标,每天面临数以万计的网络攻击。加强监管标准和监督的协调,以减少重复或冗余规则的数量,将有助于公司将更多资源投入到安全领域,并更好地保护投资者。

参考来源:CyberScoop http://33h.co/9fmgp

 

 

(七)新型恶意软件Tardigrade针对生物制造业开展攻击

生物经济信息共享和分析中心(BIO-ISAC)1122日发布报告称,其发现一个APT组织正在使用一种名为Tardigrade的新型自定义恶意软件,攻击生物制造设施。攻击者使用自定义恶意软件在受感染的网络中传播,并在不被发现的情况下长时间窃取数据。自2021年春季以来,该行为者一直在积极瞄准该领域的实体。

BIO-ISAC成员BioBright表示,这些攻击的明显迹象是以特殊的勒索软件感染的形式出现,攻击者留下的赎金票据并未表明对接收任何付款的真诚兴趣。这些勒索软件部署的目的可能是隐藏实际有效载荷的传播,这是一种恶意软件变种,嵌套在受感染的系统中,像蠕虫一样传播并泄露文件。

BIO-ISAC表示,威胁行为者使用的Tartigrade是自定义恶意软件SmokeLoader的变体,该版本通过网络钓鱼或U盘传送,以某种方式在目标组织的场所找到。该恶意软件特别有趣,因为它可以从内存中重新编译加载程序,而不会留下一致的签名,因此识别、跟踪和删除要困难得多。

SmokeLoader充当威胁行为者的隐形入口点,下载更多有效载荷、操作文件和部署其他模块。过去的SmokeLoader版本严重依赖外部方向,但该变体可以自主运行,甚至无需C2连接。即使C2宕机,恶意软件仍会根据内部逻辑和高级决策能力继续横向移动,甚至可以选择性识别文件进行修改。

BIO-ISAC表示,截至20211025日,SmokeLoader可以隐藏在Virus Total中使用的大约一半的反病毒引擎中。威胁行为者的目标是网络间谍活动,也可能是运营中断,但他们的恶意软件对于受感染的系统来说可能是一个持续存在的问题,即使它不再与命令和控制服务器通信。

BIO-ISAC建议采取以下措施,来遵循标准网络分段的做法,保持关键生物基础设施的离线备份,并查询关键生物基础设施组件的交付周期。

1、查看生物制造网络分段;

2、与生物学家和自动化专家合作,为公司创建重要资产分析;

3、测试和执行关键生物基础设施的离线备份;

4、查询关键生物基础设施组件的交付中期;

5、使用具有行为分析功能的防病毒软件;

6、参加网络钓鱼检测培训;

7、保持警惕。

建议使用具有强大行为分析能力的安全软件,这样即使SmokeLoader改变签名和渗漏方法,也可以检测到可疑行为并发出警报。目前这些攻击的来源尚不清楚。

在报告中BIO-ISAC表示,提交给VirusTotalintserrs644.dll文件是基于SmokeLoader的新Tardigrade恶意软件加载程序。然而Advanced IntelVitali Kremez及其他研究人员表示,这个DLL实际上是一个使用Conti的加密程序打包的Cobalt Strike HTTP信标,与SmokeLoader无关。

参考来源:BleepingComputer http://33h.co/907tb

 

 

(八)黑客渗透进入印度尼西亚国家警察服务器窃取警察数据

印度尼西亚警方正在调查一名黑客的指控,该黑客表示,他们窃取了数千名警察的个人数据,这是一连串网络攻击中的最新一起,突显了该国的数字漏洞。

据当地媒体报道,一名自称来自巴西的黑客使用现已暂停的Twitter账号声称,通过渗透印度尼西亚国家警察服务器获得了28,000名警察的数据。黑客表示,泄露的信息包括姓名、家庭住址、电子邮件、电话号码和血型。

警方发言人Dedi Prasetyo表示,目前我们正在处理此案,网络犯罪部门正在调查此事。

这起事件发生之前,同一名黑客上月声称对印度尼西亚网络和加密局(BSSN)进行了攻击。BSSN没有立即回应就最近的数据泄露事件发表评论的请求。

这些黑客攻击凸显了印度尼西亚国家机构的数字安全漏洞,该国拥有世界上最大的在线市场之一。8月,卫生部新冠疫情应用程序的一个漏洞暴露了130万人的个人数据和健康状况。就在同一周,总统自己的疫苗证书被泄露。一个月后,警方证实,他们还在调查一起被称为Mustang Panda的组织对该国情报机构和10个政府部门的黑客行为。

根据国家网络机构的数据,印度尼西亚的网络攻击有所增加,从1月到8月记录了8.88亿次攻击。当地非政府组织政策研究与倡导研究所执行主任Wahyudi Djafar呼吁,提高印度尼西亚数据泄露调查的透明度。他指出,挑战在于,每次发生涉及公共机构的数据泄露事件时,都没有一个追究责任的调查过程。

参考来源:WTVB http://33h.co/9fmeu

 

 

(九)AppGallery应用商店中超900万安卓设备感染木马

Doctor Web恶意软件分析师1123日发表文章称,其在AppGallery应用商店中发现了数十款游戏,其中内置了Android.Cynos.7.origin木马。该木马旨在收集用户的手机号码。至少有9,300,000Android设备用户安装了这些危险游戏。

Android.Cynos.7.originCynos程序模块变种的一个。该模块可以集成到Android应用程序中,以实现获利。该平台至少在2014年就已为人所知。它的一些版本具有相当激进的功能:发送优质短信、拦截收到的短信、下载和启动额外模块、以及下载和安装其他应用程序。Doctor Web研究人员发现的该版本的主要功能是收集有关用户及其设备的信息并显示广告。

包含Android.Cynos.7.origin的应用程序会要求用户授权拨打和管理电话的权限,这允许木马获得对某些数据的访问。当用户授予权限时,木马会收集以下信息,并将其发送到远程服务器:

1、用户手机号;

2、基于GPS坐标或移动网络和Wi-Fi接入点数据的设备位置;

3、各种移动网络参数,如网络代码和移动国家代码,以及GSM Cell ID和国际GSM位置区号;

4、设备的各种技术规格;

5、来自木马应用程序元数据的各种参数。

乍一看,手机号码泄露似乎是一个无关紧要的问题。但实际上,它会严重伤害用户,尤其是考虑到儿童是游戏的主要目标受众。即使手机号码注册给成人,下载儿童游戏也很可能表明孩子是真正使用手机的人。父母是否希望上述有关手机的数据不仅传输到未知的外国服务器,而且还传输给其他任何人,这是非常值得怀疑的。

研究人员在AppGallery上的190款游戏中发现了Android.Cynos.7.origin,例如模拟器、平台游戏、街机游戏、策略游戏和射击游戏。超过9.300.000名用户已下载这些游戏。安装数量根据AppGallery上列出的每个应用程序的下载数量计算。其中一些游戏针对讲俄语的用户,有俄语本地化、标题和描述。其他的则针对中国或国际用户,例如安装超过142,000台的驾驶学校模拟器、超过427,000台的猫猫冒险、超过2,000,000台的快点躲起来

Doctor Web已将其发现的威胁通知了华为。目前包含该木马的应用程序已从AppGallery中删除。

华为相关人员表示,“AppGallery的内置安全系统迅速识别了这些应用程序中的潜在风险。我们现在正在积极与受影响的开发人员合作,对他们的应用程序进行故障排除。一旦我们确认这些应用程序全部清除,它们将重新在AppGallery上列出,以便消费者可以再次下载他们最喜欢的应用程序并继续享受它们。保护网络安全和用户隐私是华为的首要任务。我们欢迎所有第三方监督和反馈,以确保我们兑现这一承诺。我们将继续与我们的合作伙伴密切合作,同时采用最先进和创新的技术来保护我们用户的隐私。

参考来源:DrWEB http://33h.co/9069i

 

 

(十)新加坡星展银行连续两天服务中断

新加坡星展银行(DBS)1123日起一些客户无法访问网上银行及手机银行服务,数千名客户投诉。24日恢复服务几小时后,再次遭遇中断。这是该银行11年来最大业务中断事件。

新加坡央行24日表示,在DBS网上银行连续第二天中断后,将考虑对星展集团控股有限公司采取监管行动。新加坡金融管理局银行和保险团队助理董事总经理Marcus Lim表示,这是一次严重的破坏,新加坡金融管理局希望星展银行进行彻底调查,以确定根本原因,并采取必要的补救措施。MAS将在调查后考虑采取适当的监管行动。

星展银行24日向客户保证,尽管存在技术问题,但客户的存款和资金是安全的。

此次中断,包括其支付应用程序的中断,是这家东南亚最大银行自2010年来一次重大故障导致客户数小时无法从ATM机取款以来遭受的最大一次中断,这导致新加坡金融管理局对其采取监管行动。

星展银行新加坡地区负责人Shee Tse KoonFacebook视频中表示,昨天,我们发现我们的访问控制服务器存在问题,这就是许多人无法登录的原因。我想向您保证,您的存款和资金是安全的。客户可以使用银行的分行和电话银行服务。

在星展银行第一次修复网络几个小时后,再次发生中断,导致了客户愤怒。Shee表示,星展银行及其第三方工程供应商已经解决了这个问题,服务在午夜刚过就恢复了,但问题在24日早上再次出现。该银行的Facebook帖子吸引了2,500多条评论,用户表示他们无法登录他们的数字银行账户,而一些人则要求赔偿。

星展银行在印度尼西亚、印度和香港等地开展业务,但其最大的零售和财富管理市场在新加坡,它是零售银行业务的市场领导者。在过去十年中,集团首席执行官Piyush Gupta引导该银行投资数十亿美元,来升级其技术基础设施,采用了云计算并将其服务数字化。

用户Tan Kim Lam表示,银行基础设施的一个组成部分可以使整个服务停机超过24小时,而且还在继续。在当前的期望和标准中有点不可接受。

用户Samson Joseph表示,停机时间太长了,令人失望。是时候更换银行了。我期待星展银行做得更好。

参考来源:Reuters http://33h.co/9fepv

 

 

(十一)新型勒索软件Memento使用受密码保护的WinRAR文档绕过加密保护

Sophos研究人员发现,新型勒索软件Memento在加密文件过程中被终端保护程序阻止,随后选择用合法文件压缩程序WinRAR将文件加密,然后删除原始文件。

今年10月,Sophos研究人员发现了Memento勒索软件,该软件采用了一种奇怪的方法来阻止对受害者文件的访问。该勒索软件将文件复制到受密码保护的WinRAR压缩文件中,使用的是合法文件压缩程序WinRAR的重命名免费版本。然后Memento勒索软件对密码进行加密,并从受害者的系统中删除原始文件。

该组织最初尝试直接加密文件,但该行为被防御解决方案阻止。然后它改变了策略,使用上述流程,并要求100万美元来恢复文件。该团伙还允许以0.099 BTC的价格恢复单个文件。与其他组织一样,如果受害者不支付赎金,Memento会威胁数据泄露。

Python勒索软件是使用PyInstaller编译的,一旦阻止对文件的访问,就会发出赎金通知,指示受害者通过Telegram进行联系。Sophos还注意到,攻击者还在多台机器上部署了一个基于Python的开源键盘记录器,并随后使用远程桌面协议和SSH在网络内进行移动。

该组织利用了VMware vCenter Server中的CVE-2021-21972漏洞初始访问目标网络。vCenter ServerVMware的集中管理实用程序,用于从一个集中位置管理虚拟机、多个ESXi主机和所有相关组件。该漏洞可能会被远程未经身份验证的攻击者利用,而无需用户交互。

VMware在发布的建议中表示,“vSphere客户端(HTML5)vCenter Server插件中包含远程代码执行漏洞。VMware已评估此问题的严重性,CVSSv3分数为9.8,是严重漏洞。可以通过网络访问端口443的恶意行为者可能会利用此问题,在托管vCenter Server的底层操作系统上以不受限制的特权执行命令。

该问题会影响适用于所有默认安装的vROPvCenter Server插件。无需存在vROP即可使该端点可用。VMware提供了禁用解决方案。VMware2月解决了该漏洞,但仍有大量的安装没有修补,Memento等组织将其操作重点放在了漏洞利用上。


一旦获得对目标网络的访问权,入侵者首先尝试使用RDP扩大其影响范围,然后在几周后开始使用WinRAR压缩文件集合进行渗漏。勒索软件运营商将档案移动到共享驱动器上的一个目录中,他们可以通过RDP访问该目录,然后使用JeticoBCWipe数据擦除实用程序。

Sophos表示,对勒索软件的修改改变了其行为,以避免检测到加密活动。现在,crypt代码不再加密文件,而是将未加密形式的文件放入存档文件中,使用WinRAR的副本,将每个文件保存在其自己的存档中,文件扩展名为.vaultz。每个文件在存档时都会生成密码。然后密码本身就被加密了。这些变体是在第一次尝试后数小时构建和执行的。该恶意软件是由攻击者使用RDP和窃取的凭据手动传播的。

Sophos表示,在其调查的攻击中,受害者没有支付赎金,因为他们使用备份来恢复文件。

参考来源:SecurityAffairs http://33h.co/90j8z

 

 

(十二)黑客利用微软MSHTML漏洞窃取凭据

SafeBreach Labs研究人员发现了一个新的伊朗威胁行为者,利用Microsoft Windows MSHTML平台中一个已经解决的远程代码执行(RCE)漏洞,利用新的基于PowerShell的窃取程序,攻击讲波斯语的受害者,该程序旨在从受感染的机器中获取大量详细信息。

SafeBreach Labs研究人员Tomer Bar1124日发表报告中表示,该窃取程序是一个PowerShell脚本,简短具有强大的收集功能,仅约150行,就可以为攻击者提供大量关键信息,包括屏幕截图、Telegram文件、文档收集、以及有关受害者环境的大量数据。近一半的目标来自美国,这些攻击可能针对居住在国外的伊朗人,并可能被视为对伊朗伊斯兰政权构成威胁

网络钓鱼活动始于20217月,利用了远程代码执行漏洞CVE-2021-40444,可以使用特制的Microsoft Office文档加以利用。微软于20219月修补了该漏洞,几周前就出现了有关该漏洞在野外被利用的报道。


微软表示,攻击者可以制作恶意ActiveX控件,供托管浏览器渲染引擎的Microsoft Office文档使用。然后,攻击者必须说服用户打开恶意文档。将帐户配置为具有较少用户权限的用户与使用管理用户权限操作的用户相比,该系统受到的影响可能较小。

SafeBreach描述的攻击序列始于目标接收鱼叉式网络钓鱼电子邮件,该电子邮件带有Word文档附件。打开该文件会触发CVE-2021-40444的漏洞利用,导致执行名为PowerShortShellPowerShell脚本,该脚本能够隐藏敏感信息,并将其传输到命令和控制(C2)服务器。

虽然在915日,即微软发布漏洞修补程序的第二天,发现了与部署信息窃取者有关的感染,上述C2服务器也被用来收集受害者的GmailInstagram凭据,

此次攻击活动是同一威胁行为者在20217月发起的两次网络钓鱼活动的一部分。

这是利用MSTHML渲染引擎漏洞进行的一系列攻击中的最新一次,微软此前披露了一个有针对性的网络钓鱼活动,该活动滥用该漏洞作为分发自定义Cobalt Strike信标加载程序的初始访问活动的一部分。

参考来源:TheHackerNews http://33h.co/9fxw0

 

 

(十三)GoDaddy泄漏120万托管WordPress用户信息

域名注册及网络托管商GoDaddy1122日披露其遭受了黑客攻击,泄漏了120万托管的WordPress用户的敏感数据,包括数据库用户名和密码、电子邮件地址和私有SSL密钥。

GoDaddy首席信息安全官Demetrius Comes表示,未经授权的第三方访问了WordPress托管环境。在发现可疑活动后,立即在IT取证公司的帮助下开展调查,并联系了执法部门。未经授权的第三方使用泄露的密码访问了托管WordPress的旧代码库中的配置系统。

发现此事件后,GoDaddy立即从系统中阻止了未经授权的第三方。目前调查仍在进行中,但已经确定,自202196日起,未经授权的第三方利用访问了以下客户信息:

1、多达120万活跃和不活跃的托管WordPress客户的电子邮件地址和客户编号被暴露,电子邮件地址的暴露存在网络钓鱼攻击的风险;

2、暴露了在配置时设置的原始WordPress管理员密码,如果这些凭据仍在使用中,将重置密码;

3、对于活跃客户,sFTP和数据库用户名和密码被暴露。已经重置了两个密码;

4、对于一部分活跃客户,SSL私钥已公开。正在为这些客户颁发和安装新证书。

目前调查正在进行中,正在直接联系所有受影响的客户,提供具体细节。GoDaddy将从这次事件中吸取教训,并且已经采取措施,通过额外的保护层来加强供应系统。

1123GoDaddy证实,多个转售GoDaddy托管WordPress的品牌受到了影响,包括:tsoHostMedia Temple123RegDomain FactoryHeart InternetHost Europe

参考来源:SEC http://33h.co/907ri

 

 

(十四)易受攻击的蜜罐80%24小时内遭受入侵

Palo Altos NetworksUnit 42研究人员进行了一项新研究,部署了320个蜜罐,发现其中80%的蜜罐在24小时内遭受入侵,所有蜜罐在一周内遭受入侵。恶意行为者不断扫描互联网以查找可被利用以访问内部网络或执行其他恶意活动的暴露服务。这些蜜罐在全球范围内部署,包括北美、亚太地区和欧洲。部署的蜜罐包括远程桌面协议(RDP)、安全外壳协议(SSH)、服务
器消息块(SMB)Postgres数据库服务。

不安全公开的服务是云环境中最常见的错误配置之一。这些服务可在互联网上发现,并且可能对同一基础架构中的云工作负载构成重大风险。REvilMespinoza等勒索软件组织会利用暴露的服务来获得对受害者环境的初始访问权限。研究人员使用全球部署的320个节点的蜜罐基础设施,旨在更好地了解针对公共云中暴露服务的攻击。

Unit 42研究人员在蜜罐基础设施中部署了远程桌面协议(RDP)、安全外壳协议(SSH)、服务器消息块(SMB)Postgres数据库的多个实例。研究人员发现,320个蜜罐中有80%24小时内遭到入侵,所有蜜罐都在一周内遭到入侵。主要发现:

1SSH是受攻击最多的应用程序。攻击者和入侵事件的数量远高于其他三个应用程序;

2、受攻击最多的SSH蜜罐在一天内被攻破169次;

3、平均而言,每个SSH蜜罐每天被入侵26次;

4、一名威胁行为者在30秒内破坏了我们全球80Postgres蜜罐中的96%

585%的攻击者IP仅在一天内被观察到。这个数字表明基于IP的第3层防火墙无效,因为攻击者很少重复使用相同的IP来发起攻击。今天创建的恶意IP列表明天可能会过时。

漏洞管理的速度通常以天或月为单位。攻击者可以在几分钟内找到并破坏蜜罐,这一事实令人震惊。这项研究证明了不安全暴露服务的风险。结果重申了快速缓解和修补安全问题的重要性。当错误配置或易受攻击的服务暴露在互联网上时,攻击者只需几分钟即可发现并破坏该服务。安全修复的时间安排没有任何误差。

为了有效保护云服务,Unit 42建议管理员执行以下操作:

1、创建防护栏以防止特权端口被打开;

2、创建审计规则来监控所有开放的端口和暴露的服务;

3、创建自动响应和补救规则以自动修复错误配置;

4、在应用程序前面部署下一代防火墙(WFAVM系列)。

最后,始终安装最新的安全更新,因为威胁行为者会在新漏洞发布时急于利用这些漏洞。

参考来源:Palo Altos Networks http://33h.co/9fb4m

 

 

(十五)英国数据存储公司Stor-A-File遭受网络攻击泄露敏感信息

英国数据存储公司Stor-A-File遭受了重大网络攻击,导致堕胎、艾滋病毒检测、心理健康问题等敏感医疗信息在网上泄露。Stor-A-File的客户包括GP诊所、NHS医院信托、地方议会、律师事务所和会计师。

攻击者要求以比特币支付300万英镑的赎金,但当Stor-A-File拒绝时,黑客将

大量文件泄露在暗网中,包括Marie Stopes和英国怀孕咨询服务(BPAS)经营的诊所堕胎的英国妇女的详细信息,包括姓名、出生日期、家庭住址、电话号码,甚至胎儿扫描。其他泄露的信息涉及患有厌食症、成瘾和勃起功能障碍的人。

俄罗斯黑客组织Clop声称,被盗文件还包含在科威特的英国军事人员和从事军事情报工作的人员的姓名,尽管无法核实。

国防部表示,在调查期间,无法发表评论。信息专员办公室和国家犯罪局也在进行调查,可以对未能保护客户数据安全的公司处以数百万英镑的罚款。

英国军事情报部门的前上Philip Ingram表示,私人医疗数据,包括与女性堕胎记录有关的深层个人信息,是你能想象到的最令人震惊和可怕的违规行为。这再次表明,这些黑客团伙真的不在乎他们伤害了谁。

Stor-A-File拥有90名员工,由SimonHelen Cockbill夫妇于1977年创立。该公司在92日发现了这次攻击,当时员工无法登录他们的电脑,屏幕上出现要求汇出400万美元的比特币或泄露材料的信息。

Stor-A-File一位发言人表示,我们认为与犯罪分子打交道是不负责任的,只会助长这种活动的延续。警方建议在任何情况下都不要这样做。一旦确定,我们的客户就会被告知他们的任何数据可能已被泄露。国家犯罪署一直在为受此事件影响的一些人提供支持和建议。我们对可能引起的任何担忧深感遗憾。

参考来源:DailyMail http://33h.co/9fb11

 

 

 

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有: 北京天地和兴科技有限公司      京ICP备17065546号-1    京公网安备 11010802040756号

扫一扫关注

天地和兴微信公众号