安全研究
全部分类

关键信息基础设施安全动态周报【2021年第48期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-12-10 15:41
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第48期】天地和兴播报。

关键信息基础设施安全动态周报【2021年第48期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2021年第48期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-12-10 15:41
  • 访问量:
详情

目   录

第一章 国内关键信息基础设施安全动态

(一)QNAP警告NAS设备中存在比特币矿工

(二)海康威视产品遭受Moobot僵尸网络攻击

(三)台湾APT组织今年持续对大陆发起网络攻击

第二章 国外关键信息基础设施安全动态

(一)澳大利亚电力供应商CS Energy遭受勒索软件攻击

(二)美国科罗拉多电力公司DMEA遭受网络攻击

(三)日立能源多款产品存在安全漏洞

(四)美国TSA发布铁路行业网络安全指令

(五)FBI警告Cuba勒索软件攻击49个美国关键基础设施

(六)加密货币交易所Bitmart遭受黑客攻击损失近2亿美元

(七)美国政府员工手机遭受Pegasus间谍软件攻击

(八)Emotet恶意软件可直接安装Cobalt Strike

(九)谷歌关闭Glupteba僵尸网络并起诉运营商

(十)SonicWallVPN设备存在多个严重漏洞

(十一)17个攻击气隙网络的恶意框架

(十二)威胁行为者利用奥密克戎变体作为诱饵进行网络钓鱼诈骗

(十三)到202530%的关键基础设施组织将遭遇安全漏洞

 

 

 

 

第一章 国内关键信息基础设施安全动态

 

 

(一)QNAP警告NAS设备中存在比特币矿工

台湾网络设备供应商威联通(QNAP)127日发布警告称,其NAS设备成为了比特币矿工的攻击目标。一旦NAS受到感染,CPU使用率会变得异常高,其中名为oom_reaper的进程可能会占用总CPU使用率的50%左右。此进程模仿了仿具有相同名称的正常合法内核进程。然而,合法的内核进程PID通常低于1000,而比特币矿工PID通常大于1000

QNAP强烈建议用户立即采取行动保护设备。为保护设备免受感染,QNAP建议采取以下措施:

1、将QTSQuTS Hero更新到最新版本;

2、安装恶意软件删除程序并将其更新到最新版本;

3、为管理员和其他用户帐户使用更强的密码;

4、将所有已安装的应用程序更新到最新版本;

5、不要将NAS暴露在互联网上,或避免使用默认的系统端口号4438080

如果怀疑NAS已感染比特币矿工,重新启动NAS也可能会删除恶意软件。

参考来源:QNAP http://33h.co/9i17e

 

 

(二)海康威视产品遭受Moobot僵尸网络攻击

Fortinet研究人员126日发布研究报告表示,其发现一种名为Moobot的僵尸网络正在利用海康威视产品的网络服务器中的严重命令注入漏洞,获得受害者敏感数据。该漏洞编号为CVE-2021-36260,可通过发送包含恶意命令的特制消息来远程利用。海康威视已于今年9月份发布了漏洞补丁,然而并非所有用户都安装了安全更新,Moobot正在利用未修复的漏洞受害者那里提取敏感数据。

研究人员发现,有大量有效载荷试图利用此漏洞来探测设备状态,或从受害者那里提取敏感数据,其中Moobot是基于MiraiDDoS僵尸网络。

该漏洞的利用相当简单,因为它不需要身份验证,并且可以通过向公开暴露的易受攻击的设备发送消息来触发。在利用CVE-2021-36260的各种有效载荷中,Fortinet发现了一个伪装成macHelper的下载器,它使用hikivision参数获取并执行Moobot。该恶意软件还会修改重启等基本命令,使其无法正常运行,并阻止管理员重启受感染的设备。

Fortinet研究人员发现了MoobotMirai之间的共同点,例如随机字母数字字符串生成器函数中使用的数据字符串。此外,Moobot还采用了Satori的一些元素,SatoriMirai的另一种变体,其作者2020年夏天被捕并被判刑。

MoobotSatori的相似之处包括:使用单独的下载程序、/usr/sbin*进程的分支、用Moobot可执行文件覆盖合法的macHelper文件。

这并不是Moobot第一次在野外被发现,Unit 42研究人员于20212月首次发现了它。然而该僵尸网络仍在添加新的CVE的事实表明,它正在积极开发和丰富新的目标潜力。

Moobot的目标是将受感染的设备整合到DDoS群中。设备加入DDoS群会导致能耗增加、磨损加速、并导致设备无响应。

C2发送SYN flood命令以及目标IP地址和端口号进行攻击。C2服务器可能发送的其他命令包括0x06用于UDP泛洪、0x04用于ACK泛洪、0x05用于ACK+PUSH泛洪。

保护IoT设备免受僵尸网络攻击的最佳方法是尽快应用可用的安全更新,将它们隔离在专用网络中,并用强密码替换默认凭据。

参考来源:BleepingComputer http://33h.co/9ivx7

 

 

(三)台湾APT组织今年持续对大陆发起网络攻击

根据环球时报报道,最新的一份网络安全事件分析报告显示,来自中国台湾地区的网络攻击组织绿斑2021年持续对中国大陆发动攻击活动。从攻击目标地域分布来看,北京位居首位,其次是紧邻台湾岛的福建省。

这份分析报告来自中国网络安全公司微步在线,《环球时报》记者8日获得的这份报告显示,绿斑APT组织从2007年开始活动,2013年组织背景被曝光,显示来源于中国台湾地区,主要针对政府部门、航空、军事相关科研机构进行攻击,目标是窃取高价值数据和机密信息,鱼叉钓鱼邮件是其惯用攻击手段。

报告显示,从2021年年初至今,绿斑”APT组织对国内多家重点大学发动了大规模定向钓鱼攻击活动,通常目的为窃取目标用户的账密信息。从目前检测到的攻击情报分析,该组织无论目的是采集邮箱情报信息还是投放窃密木马,都是依托钓鱼邮件方式将采集邮箱信息的钓鱼链接投送到攻击目标。

据微步在线网络安全研究响应中心负责人察罕介绍,今年捕获到的绿斑有针对性的攻击行动,无论是进行行业划分,还是地域划分,攻击范围都很广泛。从行业划分上看,攻击对象排名首位的是高校,占比50%。其次是科研机构和政府单位,占比均为15%。针对高校位居攻击对象首位,察罕透露,绿斑2021年攻击对象中有很大一部分是涉及台海两岸关系的研究人员。

此外,被攻击行业除了上述两大类之外,还涉及航空航天、能源、医疗等领域。就攻击目标的地域分布来看,主要目标集中在北京,占比53%;排名第二的是福建省,占比9%。不言而喻,北京是政治经济中心,而福建紧邻台湾,战略意义都非同一般。

根据察罕的介绍,绿斑组织攻击行为的特点很明显,攻击目标聚焦于热点事件及热点人物,敏感度高。比如,11月份以来,针对大陆地区疫情情况,绿斑开始以疫情防控承诺书新冠变种病毒核酸应检人员及注意事项疫情期间单位门禁管制措施等内容为标题,对相关人员发起攻击。从2021年上半年至今,绿斑还通过伪造攻击目标域名对攻击目标在职人员和关联单位/个人进行攻击,涉及到的攻击目标基本事关国家安全、稳健发展的职能或研究单位。

报告指出,由于该组织近期的攻击目标主要为大陆地区的高校、政府、航空航天、科研与海岸建设机构,建议相关行业提高安全意识、注意防护。

本文版权归原作者所有,参考来源:环球网 http://33h.co/9i6qk

 

 

 

 

第二章 国外关键信息基础设施安全动态

 

(一)澳大利亚电力供应商CS Energy遭受勒索软件攻击

澳大利亚电力供应商CS Energy1127日遭受了勒索软件攻击,发电没有受到影响,CS Energy的发电站继续向全国电力市场发电和输送电力,并表明此次攻击并非由国家支持的威胁行为者实施。

首席执行官Andrew Bills表示,勒索软件破坏了其公司网络上的设备,该网络迅速与其他内部网络隔离,以防止恶意软件传播。CS EnergyICT系统和保障措施具有隔离和保护层,这使其能够控制和保护其关键基础设施,以确保昆士兰的电力连续性。其Kogan CreekCallide发电站的安全和运营没有受到影响,发电和输送也没有受到影响。

该公司正在努力恢复受影响的系统,目前没有迹象表明网络事件是基于国家的攻击。现在的重点是恢复网络的安全性,并为员工、客户和业务合作伙伴提出任何问题提供支持。

疑似此次的攻击者是Conti勒索软件组织,Conti已在其泄露网站上列出了CS Energy,但是并未泄露相关文件。

Bills表示,在意识到这一事件后,我们迅速采取了进一步行动,将企业网络与CallideKogan Creek发电站进行物理隔离,以便这些发电机可以避免受到影响。并制定业务连续性流程,以遏制这一事件。我们继续逐步恢复我们的系统,并与网络安全专家以及相关的州和联邦机构密切合作。

CS Energy位于澳大利亚昆士兰,是当地政府所有,为昆士兰的数百万家庭以及大型商业和工业客户提供电力。澳大利亚国家电力市场(ANEM)旨在确保有足够的发电量和网络容量来安全地满足客户需求,即使在输电线路和发电机意外中断的情况下也是如此。

参考来源:CS Energy http://33h.co/9cwkt

 

 

(二)美国科罗拉多电力公司DMEA遭受网络攻击

美国科罗拉多州电力公司DMEA披露,其遭受了网络攻击,造成重大中断和破坏。

DMEA2021117日发现其成为恶意网络攻击的受害者,导致内部网络服务无法完全使用,影响了DMEA提供支持服务的能力,例如支付处理、计费、SmartHub访问和帐户更改。

未经授权的第三方有针对性地尝试访问DMEA内部网络系统的部分内容,导致DMEA失去了90%的内部网络功能,并且很大一部分数据已损坏,例如保存的文档、电子表格和表单,并声称20多年前的大部分历史数据丢失。该事件还影响了电话和电子邮件,电网和光纤网络没有受到事件的影响。

DMEA立即开始与取证和网络安全专家团队合作,调查事件的范围及其对DMEA和成员的影响,该调查仍在进行中。DMEA目前的运营功能有限,并专注于尽可能高效、经济和安全地完成我们的调查和恢复服务。

DMEA致力于恢复网络并恢复正常运营,但这需要时间,并且需要分阶段进行。DMEA将与会员合作,确保恢复正常不会在假期期间造成不必要的困难。在2022131日之前,已暂停所有罚款和因未付款而断开连接的费用。如有必要,还将提供临时付款安排选项。

事件发生后,DMEA立即聘请取证专家进行调查。取证团队确认,DMEA网络环境中没有泄露敏感数据。DMEA始终鼓励所有成员遵循密码安全的最佳实践,包括尽可能使用双因素身份验证。

DMEA非常有信心的表示,没有任何敏感的成员或员工信息被泄露。DMEA预计在126日至10日这一周恢复会员支付功能。

Delta-Montrose Electric Association(DMEA)是一家成员所有和地方控制的农村电力合作社,为科罗拉多州蒙特罗斯、德尔塔和甘尼森县的34,000多个客户提供服务。它是Touchstone能源合作社的一部分,该合作社联盟在美国拥有750多个成员。

参考来源:DMEA http://33h.co/9irrz

 

 

(三)日立能源多款产品存在安全漏洞

美国CISA近日发布了六条安全公告,披露日立能源的多款产品中存在安全漏洞。

日立能源(Hitachi Energy)是电气能源产品和服务提供商,已经发布了受影响产品的修补程序及缓解措施。有一些产品的修复程序将在未来几个月内发布。日立能源已在其网站上发布了针对这些漏洞的公告。CISA并未在公告中披露所有受影响的产品。

日立能源最近完成对ABB电网事业公司的收购,成立新公司日立ABB电网有限公司,日立出资占比80.1%

CISA发布的六条公告涵盖了30多个漏洞,其中绝大多数影响第三方开源组件,如OpenSSLLibSSLlibxml2GRUB2

CISA的公告中披露影响的产品包括日立能源的RTU500系列双向通信接口、Relion保护和控制IED、零售运营和交易对手结算和计费(CSB)软件、变压器资产性能管理(APM)边缘软件、以及PCM600更新管理器。

攻击者可利用这些漏洞重新启动设备、执行任意代码、导致拒绝服务(DoS)条件、安装不受信任的软件包、窃听流量、以及访问或修改数据。

有些漏洞可以通过发送特制的消息来远程利用,然而有的漏洞更加难以利用,并且需要管理员权限。

日立能源的公告称,其没有恶意利用这些漏洞的证据,影响开源组件的漏洞细节已公开披露。

参考来源:SecurityWeek http://33h.co/9ix9h

 

 

(四)美国TSA发布铁路行业网络安全指令

美国运输安全管理局122日发布了针对高风险货运铁路、客运铁路和轨道交通的新安全指令,表示将加强整个运输部门的网络安全,以应对对关键基础设施日益增长的威胁。

该指令要求符合条件的铁路所有者和运营商:

1、指定一名网络安全协调员;

2、在24小时内向网络安全和基础设施安全局报告网络安全事件;

3、在180天内制定并实施网络安全事件响应计划;

4、完成网络安全漏洞评估,以确定潜在漏洞。

美国国土安全部部长Alejandro Mayorkas表示,这些新的网络安全要求和建议将有助于保护旅行公众的安全,并保护关键基础设施免受不断变化的威胁。国土安全部将继续与各级政府和私营部门的合作伙伴合作,以提高在全国范围内关键基础设施的弹性。

TSA机构官员表示,制定这些指令是基于需要立即发布以保护运输安全的决定。国土安全部还表示,在制定其战略时,它已寻求行业利益相关者和联邦合作伙伴的意见,并表示CISA提供了有关威胁和对策方面的专家指导。TSA还发布了指导意见,建议低风险的地面运输所有者和运营商自愿实施相同的措施。

云安全公司Coalfire副总裁John Dickson表示,我们还没有目睹Colonial管道级别的铁路行业事件,但勒索软件中断,更不用说有针对性的攻击,都是一种可能的情况。如果没有监管推动,铁路行业,尤其是货运部分,不太可能自行改善其网络安全卫生。”Coalfire为国土安全部和其他联邦机构提供服务。

其他专家表示,TSA在报告噪音时可能会不知所措。美国国家安全局精英黑客团队前成员Jake Williams表示,从高层次上看,这些指令似乎完全合理,但与往常一样,问题在于细节。从表面上看,铁路运营商必须报告在环境中发现的每一件商品恶意软件,即使防病毒软件或EDR阻止了该恶意软件的执行。

安全公司BreachQuest联合创始人兼首席技术官Williams表示,“TSA很可能会错过隐藏在噪音中的重要报告,这实际上可能会降低铁路安全,在至少在短期内,因为人手不足的团队将资源用于报告而不是网络安全。

TSA表示,它最近更新了航空安全计划,要求机场和航空公司运营商指定一名网络安全协调员,并在24小时内向CISA报告事件。TSA打算扩大这些要求,并为较小的运营商发布额外的指导。但私营组织和行业贸易团体对指令表示担忧,包括与行业和相关要求的协商水平。

例如10月,代表所有公共交通方式的美国交通协会(APTA)总裁兼首席执行官Paul Skoutelas在给立法者的一封信中表示,24小时报告要求将对网络响应和缓解产生负面影响,因为在事件响应最为关键时,将人员和资源转移到报告中

参考来源:InfoRiskToday http://33h.co/9iugy

 

 

(五)FBI警告Cuba勒索软件攻击49个美国关键基础设施

美国FBI122日发布警告称,Cuba勒索软件组织已破坏了美国关键基础设施部门至少49个组织的网络,收到的勒索赎金超过4000万美元。该警报分享了Cuba勒索软件组织的威胁指标IoC、该组织采用的TTP、以及缓解建议。

FBI表示,截至202111月初,美国联邦调查局已经确定,Cuba(古巴)勒索软件已经入侵了五个关键基础设施部门的至少49个实体,包括但不限于金融、政府、医疗保健、制造和信息技术部门。古巴勒索软件行为者要求至少7400万美元,并收到至少4390万美元的赎金。

Cuba勒索软件通过Hancitor恶意软件下载程序在受害者的网络上传播,这使得勒索软件组织可以更轻松地访问以前受感染的公司网络。Hancitor是恶意软件,与勒索软件组织合作,帮助其获得对目标网络的初始访问权限。Hancitor下载程序至少自2016年以来一直活跃,以提供信息窃取程序、远程访问木马(RAT)和其他类型的勒索软件而闻名。Hancitor分发Vawtrak信息窃取木马,从那以后它转而使用密码窃取程序,包括PonyFicker、以及最近的Cobalt Strike

为了对受害者的系统进行初步入侵,Hancitor使用网络钓鱼电子邮件和被盗凭据、利用Microsoft Exchange漏洞,或通过远程桌面协议(RDP)工具闯入。一旦使用Hancitor提供的访问权限,Cuba勒索软件运营商将使用合法的Windows服务(PowerShellPsExec和各种其他未指定的服务)远程部署勒索软件有效负载,并使用.cuba扩展名加密文件。

安装勒索软件后,会传播另外两个文件,以窃取密码并获得将临时TMP文件写入系统的能力,该文件包含用于内存注入的API调用,利用被盗凭据,古巴勒索软件威胁行为者使用特定用户帐户登录受感染的网络。

为降低该勒索软件家族的危害风险,建议组织使用强大且唯一的密码、使用双因素身份验证、保持所有软件更新、阻止对管理共享的不必要访问、实施网络分段、扫描网络以查找异常活动、并采用防火墙和反恶意软件等保护解决方案。

在发布警告后,FBI还要求在其企业网络中检测到Cuba勒索软件活动的系统管理员和安全专业人员与当地FBI网络小组分享其掌握的任何相关信息。共享的信息有助于帮助识别该勒索软件组织背后的攻击者,有用的信息包括:显示与外国IP地址之间的通信的边界日志、比特币钱包信息、解密器文件、加密文件的良性样本。

FBI不鼓励支付勒索赎金,并建议不要付款,因为支付勒索赎金并不能保证可以防止数据泄露或未来的攻击。相反,这会促使勒索软件组织针对更多的受害者,并激励其他网络犯罪组织进行类似的非法活动。然而FBI承认,勒索软件攻击会企业造成伤害,因为高管可能被迫考虑支付赎金以保护股东、客户或员工。FBI强烈敦促向当地联邦调查局外地办事处报告此类事件。

参考来源:BleepingComputer http://33h.co/9is8k

 

 

(六)加密货币交易所Bitmart遭受黑客攻击损失近2亿美元

加密货币交易公司Bitmart证实,其遭受了大规模黑客攻击,总损失为1.5亿美元。据区块链分析公司Pechsheild称,Bitmart的损失高达近2亿美元。BitMart是交易量最大的集中式加密货币交易所之一,其首席执行官Sheldon Xia在攻击发生后表示,Bitmart承诺将自掏腰包,弥补在攻击中受到影响的用户的损失。

124日发布的正式声明中,BitMart证实了这一事件,并表示,我们今天发现了与我们的一个以太坊(ETH)热钱包和一个币安智能链(BSC)热钱包有关的大规模安全漏洞。目前我们仍在总结可能使用的方法。黑客能够提取价值约1.5亿美元的资产。

允许加密货币所有者接收和发送代币的热钱包面向互联网,因此容易受到潜在攻击。相反,冷钱包或硬件钱包使加密资产保持离线状态。

中国区块链分析公司PeckShield安全专家在Twitter上表示,根据以太扫描数据,相关损失似乎更高,以太坊钱包损失价值约为1亿美元,币安链钱包损失价值约为9600万美元。

BitMart的服务包括现货交易、期货交易以及借贷和抵押服务,其一位发言人表示,我们将与执法部门密切合作解决问题。我们正在跟踪黑客的活动,并尽最大努力追回被盗资产。加密社区应该共同打击黑客活动。感谢大家对BitMart的支持。

安全公司Proofpoint首席信息安全官Andrew Rose表示,对于攻击者来说,抢劫加密货币与勒索软件攻击相比非常有利,勒索软件攻击可能需要更长的时间,需要更多的努力和投资,并且在66%的情况下没有任何回报。加密货币平台因其市场支持犯罪行业而得以发展,但并不像集体钱包中的数字所显示的那样成熟。

BitMart首席执行官Sheldon Xia126日也在推特上表示,“BitMart已经完成了初步安全检查,并确定了受影响的资产,此次泄露主要是由私钥被盗造成的。我们也在与多个项目团队交谈,以确认最合理的解决方案,例如代币交换。不会损害用户资产。我们需要时间做出适当的安排,在此期间您的理解将不胜感激。存款和取款功能将从7日开始逐步开始。

6日更新的声明中,BitMart确认其受影响的热钱包在平台上携带一小部分资产,其他钱包安全且未受伤害

PeckShield也评论了这一事件,非常简单:转出、交换和清洗。该公司表示,数千万美元开始流入一个被Etherscan称为BitMart Hacker的地址。黑客总共窃取了20种不同的代币,包括Binance币、SafeMoonShiba Inu

据报道,一旦拥有资金,威胁行为者就会使用去中心化交易聚合器1inch来获取以太币,然后使用隐私混合器Tornado Cash,这可以通过将非法代币与干净的加密货币混合来混淆资金,使收益更加困难供执法部门追查。

关于攻击的范围,英国国家航空交通服务局的前CISO兼网络安全负责人Rose表示,货币不受监管的性质可能导致平台无法通过美联储或金融行为监管局的审计。大笔资金由经验和成熟度都很低的在线公司持有,攻击者已经注意到了。

美国司法部和财政部前员工Michael Fasanello表示,此次攻击肯定会在交易所客户的眼中引起与BitMart相关的信任问题。这些黑客攻击的范围和频率也将激起全球监管机构的兴趣。毫无疑问,监管即将到来。

区块链智能集团培训和监管事务主管Fasanello表示,公司应该在网络安全方面不遗余力。同样,由于没有联邦存款保险公司的保险,这些黑客的受害者,即交易所本身及其客户,都会束手无策。

参考来源:InfoRiskToday http://33h.co/9i0vq

 

 

(七)美国政府员工手机遭受Pegasus间谍软件攻击

据路透社及华盛顿邮报报道,有多名美国政府员工的iPhone手机近几个月来遭受了Pegasus间谍软件攻击,涉及11名美国大使馆员工或国务院员工。Pegasus间谍软件是以色列公司NSO Group开发的,该公司向数十个国家的政府客户授权软件,允许其秘密窃取文件、窃听对话、和跟踪其目标的移动。

这是首个证实的Pegasus被用来攻击美国官员的案例。一个月前,美国官员将NSO Group列入黑名单,指控其外国政府客户对不明身份的大使馆雇员、政治活动家、人权工作者和其他人进行黑客攻击。

这些行动是在Pegasus项目7月发布之后发生的,华盛顿邮报和其他16家新闻机构对NSO Group活动进行了调查,调查结果显示,美国外交官和其他大使馆雇员受到Pegasus的威胁,尤其是当他们使用海外电话号码时。

据知情人士透露,黑客攻击集中在美国驻乌干达首都坎帕拉大使馆,至少其中一些攻击目标是担任外交官的美国公民。上个月,Apple开始提醒那些可能受到名为FORCEDENTRY的已知Pegasus漏洞攻击的人,并起诉该公司,试图阻止其在未来使用Apple产品。

Pegasus对美国官员的黑客攻击突显了很大程度上不受监管的全球间谍软件市场构成的国家安全威胁,这使得强大的恶意软件可供全球各国使用,无论自身的技术能力如何。以色列政府控制着NSO Group可以提供产品的领域,但没有全球监管框架,也没有定期检测私人间谍软件公司客户滥用行为的系统。

在海外工作的美国外交官成为攻击目标的消息有助于解释美国商务部上个月将NSO Group和另一家以色列公司Candiru列入黑名单的举动,这是一项相对罕见的针对来自亲密盟友的企业的举动。美国公司被禁止与实体名单上的公司做生意。另外两家公司,一家来自俄罗斯,另一家来自新加坡,与NSO同时加入名单。

美国国家安全委员会在123日的一份声明中表示,我们一直非常担心像NSO Group的软件这样的商业间谍软件对美国人员构成严重的反间谍和安全风险,这也是拜登政府将参与开发和传播这些工具的几家公司列入商务部实体名单的原因之一。

Pegasus无需任何操作(如单击链接或通知),即可远程传送。一旦Pegasus渗透到设备中,它实质上将智能手机变成了间谍设备,允许操作员(通常是情报或执法官员)做用户可以做的任何事情,包括打开麦克风、检查照片、通过电子邮件发送文件、以及随着时间的推移跟踪位置,社交媒体和联系人列表也有助于与他人建立关系。

Citizen Lab研究人员John Scott Railton表示,这是对外交官的直接安全威胁,因为Pegasus意味着可以实时跟踪人们的位置。”Citizen Lab跟踪Pegasus和其他间谍软件在全球的使用情况,并首先发现了Pegasus

NSO曾表示,Pegasus仅打算调查犯罪分子、恐怖分子和其他严重威胁安全。NSO在一份声明中表示,由于有报道称Pegasus已被使用攻击美国外交官员,其已暂停了客户的账户,但拒绝透露客户姓名。NSO长期以来一直尊重美国的利益,并坚持认为Pegasus在技术上不具备使用美国+1电话号码入侵手机的能力。目前尚不清楚收到入侵警报的外交官的电话号码是在美国还是外国。

NSO发言人Oded Hershkovitz表示,在收到询问后,在根据我们的合规政策进行任何调查之前,由于指控的严重性,我们决定立即终止相关客户对系统的访问。到目前为止,我们还没有收到任何信息或电话号码,也没有任何迹象表明使用了NSO的工具。除了独立调查之外,NSO将与任何相关政府机构合作,并提供我们将获得的完整信息。

知情人士表示,这些iPhone属于在美国驻坎帕拉大使馆工作的美国公民和当地居民。这些手机都使用苹果的云存储系统iCloud连接到国务院的电子邮件地址。这些联系使调查人员能够将他们识别为政府雇员。

自从Apple开始就可能的攻击向其用户发出警报以来,包括乌干达、泰国和萨尔瓦多在内的许多国家/地区的人们都报告说收到了警告。乌干达民主党领袖、政治家Norbert Mao上个月在推特上表示,当你一觉醒来,收到来自Apple的威胁通知,说你的iPhone成为了目标,你就会知道来自国家资助的网络恐怖分子的网络恐怖主义是真实的。乌干达驻华盛顿大使馆立即回复置评请求。

这些启示可能会进一步加剧联邦官员与NSO近年来支持的有影响力的华盛顿人物网络之间的紧张关系。特朗普政府司法部副检察长Rod J. Rosenstein在法庭上为NSO辩护,以应对Facebook旗下的消息服务WhatsApp正在进行的诉讼,该诉讼指控NSO对其客户进行间谍活动。

尽管Pegasus项目发现了针对律师、学者和政治活动家的广泛滥用行为,但美国和其他地方的政府官员对针对外交官和其他官员使用间谍软件表示特别关注。参议院情报委员会成员参议员Ron Wyden表示,让客户能够入侵美国政府雇员的公司对美国的国家安全构成威胁,政府应该这样对待。我想确保国务院和联邦政府的其他部门拥有检测黑客行为并迅速做出反应的工具。联邦机构不应该依赖私人公司的慷慨来知道他们的手机和设备何时被黑客入侵。

参考来源:WashingtonPost http://33h.co/9i5ea

 

 

(八)Emotet恶意软件可直接安装Cobalt Strike

研究人员发现,Emotet僵尸网络现在可以直接在受感染的设备上安装Cobalt Strike,让威胁行为者可以直接访问目标。同时Check Point研究人员发现,自上个月Emotet重出江湖以来,Emotet通过TrickBot的迅速传播及其行为可能表明,一系列勒索软件攻击即将发生,因此警告各组织要做好准备。

11月中旬,CryptolaemusG DATAAdvIntel的研究人员透露,其发现TrickBot木马启动了臭名昭著的Emotet的新加载程序,Emotet被称为世界上最危险的恶意软件

Cryptolaemus研究人员在Twitter上警告表示,现在已经观察到Emotet直接在受感染的设备上安装Cobalt Strike,这种行为可以让威胁行为者直接访问在目标系统上安装勒索软件。我们已经证实,Emotet正在E5机器人上投放CS信标。没有TrickBot或其他中间垃圾,直接到CS和横向移动到DC/网络的关键部分。大家需要注意这一点,并需要做好准备。

128日,Check Point Research发布了一份报告,警告由于TrickBot正在传播Emotet样本,勒索软件攻击即将来临,特别是TrickBot仅在10个月内就在149个国家/地区聚集了140,000名受害者。

Check Point研究人员在过去六个月中发现了223个不同的TrickBot活动,攻击目标是政府、金融和制造业,其中葡萄牙和美国的地理区域位居榜首。

研究人员表示,虽然223个活动中有129个在7月份停止活动,这一事实似乎表明,TrickBot活动的规模有所下降,但事实并非如此。结合所有其他事实,我们可以得出结论,情况恰恰相反。尽管活动数量减少,但受害者人数继续增加,活动变得更加大规模和广泛针对性。

此外,研究人员在报告中表示,TrickBot最近发现的Emotet传播是未来勒索软件攻击的有力指标,因为该恶意软件为勒索软件团伙提供了进入受感染机器的后门。随着Emotet的回归,并使用Trickbot恶意软件作为交付服务,恶意软件领域正在尽最大努力尽可能地具有威胁性和有效性。

根据Check Point的说法,TrickBotEmotet是历史上最大的两个僵尸网络,是亲密无间的伙伴,过去经常被威胁行为者组合在一起发起多次攻击。通常,是Emotet使用其庞大的网络将TrickBot作为有效载荷,传送到有针对性的电子邮件网络钓鱼活动中,尽管TrickBot也提供了Emotet样本,这是目前危险的场景。

Emotet2014年作为一种银行木马开始存在,并不断发展成为一种全方位服务的威胁传递机制。根据Check Point的说法,Emotet僵尸网络曾经是一个霸道的威胁,它控制着超过150万台机器,能够用额外的银行木马、特洛伊木马和勒索软件感染这些机器。研究人员在报告中表示,事实上,在Emotet鼎盛时期,Emotet造成的损失估计约为25亿美元。20211月,国际执法机构对支持该系统的数百个僵尸网络服务器的网络进行了合作,Emotet似乎已停止使用。

TrickBot也是一种银行木马,最初于2016年发现,并于202010月受到执法部门的严重打击,直到去年12月才重新出现。现在这两个僵尸网络都卷土重来并一起被武器化,它们传播勒索软件的能力令人担忧,攻击数量创历史新高,使国际执法部门夜不能寐。

Check Point表示,Emotet自恢复以来还增加了新功能,攻击者利用这10个月的中断时间来升级该软件,这包括使用椭圆曲线密码代替RSA密码、改进其控制流扁平化方法、通过使用模仿合法软件的恶意Windows应用程序安装程序包增加初始感染等。

Check Point表示,Emotet现在也重新使用恶意文档来传播其样本,并与TrickBot一起使用,Check Point详细介绍了以这种方式进行的Emotet感染。具体而言,研究人员使用PowerShell分析了从多个来源加载的恶意Excel文档,其中包含脚本以下载Emotet有效负载。

研究人员表示,总体而言,这种新颖的Emotet活动与TrickBot的持续扩散相结合,只会给安全领域带来麻烦,尤其是对于勒索软件的潜在爆炸性增长。“Emotet不是一种可以掉以轻心的威胁,正如过去所见,它可以发展到可怕的范围。因为众所周知,Emotet过去会传播各种勒索软件,因此Emotet的回归还可能导致勒索软件攻击的增加。

参考来源:ThreatPost http://33h.co/9iiea

 

 

(九)谷歌关闭Glupteba僵尸网络并起诉运营商

谷歌威胁分析小组(TAG)发现并破坏了Glupteba僵尸网络,该网络已感染全球超过100万台Windows PC。该网络使用了比特币区块链的备份机制,通过伪造盗版软件、视频、恶意文档、流量分配系统等进行传播。安装后,该僵尸网络会窃取用户的凭证和数据、挖掘加密货币、滥用受害者资源、建立代理、通过受感染的机器和路由器引导互联网流量。

谷歌127日宣布,其已采取行动破坏了Glupteba僵尸网络。Glupteba网络目前控制着全球超过100万台Windows PC,每天增加数千台新的受感染设备。Glupteba是一种支持区块链的模块化恶意软件,至少自2011年以来一直针对全球Windows设备,包括美国、印度、巴西和东南亚国家。

这种恶意软件背后的威胁行为者主要是通过按安装付费(PPI)网络将有效载荷分发到目标设备上,并伪装成免费、可下载的软件、视频或电影的流量分配系统(TDS)购买的流量。感染主机后,它可以挖掘加密货币、窃取用户凭据和cookie、并在Windows系统和物联网设备上部署代理,这些代理随后会作为住宅代理出售给其他网络犯罪分子。

作为谷歌破坏僵尸网络的协同努力的一部分,谷歌接管了Glupteba的关键命令和控制(C2)基础设施,该基础设施使用比特币区块链备份机制,在主要C2服务器停止响应时增加恢复力。

谷歌威胁分析集团的Shane HuntleyLuca Nagy表示,我们相信,这一行动将对Glupteba的运营产生影响显著。然而,Glupteba的运营商可能会试图通过使用比特币区块链上编码数据的备份命令和控制机制来重新控制僵尸网络。谷歌已终止了分发Glupteba6300万个Google Docs1,313Google帐户、908个云项目、和870Google Ads帐户。

谷歌还在纽约南区对两名俄罗斯被告(Dmitry StarovikovAlexander Filippov)和其他15名身份不明的人提出了临时限制令和投诉。17名被告是操作和协调Glupteba攻击的人,其最终目标是窃取用户帐户和信用卡信息、在受感染设备上销售广告展示位置和代理访问权限、以及在计算机欺诈和滥用、商标侵权和其他计划中挖掘加密货币。

Glupteba僵尸网络运营商提供的在线服务中,谷歌表示出售对加载了被盗凭据的虚拟机的访问权限(dont[.]farm)、代理访问权限(awmproxy)、以及出售信用卡号(extracard)以用于其他恶意诸如在谷歌广告上投放恶意广告和付款欺诈等活动。

谷歌负责安全的副总裁Royal Hansen和总法律顾问Halimah DeLaine Prado表示,不幸的是,Glupteba使用区块链技术作为一种弹性机制在这里值得注意,并且正在成为网络犯罪组织中越来越普遍的做法。区块链的去中心化特性使僵尸网络能够更快地从中断中恢复,使其更难关闭。我们正在与行业和政府密切合作,打击此类行为,因此即使Glupteba回归,互联网也会得到更好的保护。

参考来源:BleepingComputer http://33h.co/9ic2t

 

 

(十)SonicWallVPN设备存在多个严重漏洞

SonicWall128日披露,其安全移动访问(SMA)100系列VPN设备中存在8个安全漏洞,可允许未经身份验证的远程用户以root身份执行代码。

SMA 100系列旨在提供对企业资源的端到端安全远程访问,无论这些资源托管在本地、云还是混合数据中心。在建立用户和设备身份和信任后,还为应用程序提供策略强制访问控制。

其中最严重的漏洞CVE-2021-20038是未经身份验证的基于堆栈的缓冲区溢出问题,CVSS评分为9.8分。如果被利用,可允许未经身份验证的远程攻击者以设备中的nobody用户身份执行代码,这意味着该用户以root身份进入。攻击者可以继续完全控制设备、启用和禁用用户帐户和应用程序的安全策略和访问权限。

漏洞CVE-2021-20038是因为在处理来自设备的Apache httpd服务器中使用的HTTP GET方法的环境变量时使用了strcat()函数。该漏洞是由于SonicWall SMA SSLVPN Apache httpd服务器的mod_cgi模块环境变量的GET方法使用了一个strcat基于堆栈的缓冲区。

此外CVE-2021-20045CVSS评分为9.4分,是基于文件浏览器堆和堆栈的缓冲区溢出,允许以root身份远程执行代码(RCE)SonicWall公告表示,此漏洞是由于sonicfiles RAC_COPY_TO(RacNumber 36)方法造成的,该方法允许用户将文件上传到SMB共享,并且可以在没有任何身份验证的情况下调用。Sonicfiles APIRacNumber 36映射到上传文件Python方法,这与filexplorer二进制文件相关联,这是一个用C++编写的自定义程序,容易受到许多内存安全问题的影响。

漏洞CVE-2021-20043CVSS评分为8.8分,是基于堆的缓冲区溢出,允许根级代码执行,但需要身份验证才能利用。它可以在getBookmarks函数中找到,也是由于未检查使用strcat造成的。该漏洞是由于RAC_GET_BOOKMARKS_HTML5(RacNumber 35)方法造成的,该方法允许用户列出他们的书签。

SonicWall已针对这些漏洞发布了补丁,这些漏洞影响了其SMA 200210400410500v产品的版本。启用了WAFSMA 100系列设备也受到大多数漏洞影响。

到目前为止,没有证据表明这些漏洞正在被广泛利用,但鉴于SonicWall设备是网络攻击者的热门目标,因此修补应该被提上日程。

七月份,SonicWall发布了紧急安全警报,警告客户即将发生的使用被盗凭据的勒索软件活动正在积极针对SMA 100系列及其安全远程访问(SRA)VPN设备中的已知漏洞。三月份,发现Mirai僵尸网络的新变种针对SonicWall设备(以及D-LinkNetgear)中的已知漏洞。一月份,安全公司Tenable警告称,高度复杂的威胁行为者正在利用CVE-2021-20016,这是SMA 100设备中的一个关键SQL注入漏洞。

参考来源:ThreatPost http://33h.co/9iiii

 

 

(十一)17个攻击气隙网络的恶意框架

ESET研究人员121日发布研究报告表示,仅在2020年上半年,就检测到了四种不同的旨在攻击气隙网络的恶意框架,使此类工具包总数达到17个,并为攻击者提供了进行网络间谍活动和泄露机密信息的途径。

ESET研究人员表示,所有框架都旨在执行某种形式的间谍活动,并且所有框架都使用USB驱动器作为物理传输介质,将数据传入和传出目标气隙网络。

气隙是一种网络安全措施,旨在通过将系统与其他不安全网络(包括局域网和公共互联网)进行物理隔离,来防止对系统的未授权访问。这也意味着传输数据的唯一方法是连接物理设备,例如USB驱动器或外部硬盘。鉴于该机制是保护SCADA和工业控制系统(ICS)的最常见方式之一,通常国家支持的APT组织越来越多地将目光投向关键基础设施,希望用恶意软件渗透到气隙网络中,以监视感兴趣的目标。

ESET表示,主要的攻击基于Windows的操作系统,不少于75%的框架利用USB驱动器上的恶意LNKAutoRun文件来执行气隙系统的初始入侵或在气隙网络内横向移动。

一些知名的威胁行为者使用的框架包括:DarkHotel组织的RetroRamsay框架、Sednit组织的USBStealer框架、Tropic Trooper组织的USBFerry框架、Equation Group组织的Fanny框架、Goblin Panda组织的USBCulprit框架、Mustang Panda组织的PlugX框架、Turla Group组织的Agent.BTZ框架。

研究人员表示,所有框架都设计了自己的方法,但它们都有一个共同点:无一例外,它们都使用武器化的USB驱动器。连接和离开框架之间的主要区别在于驱动器的武器化方式。

虽然连接的框架通过在联网系统上部署恶意组件,来监控新USB驱动器的插入,并自动将攻击气隙系统所需的攻击代码放入其中,但像Brutal KangarooEZCheeseProjectSauron这样的离线框架依赖于攻击者故意感染他们自己的USB驱动器以后门目标机器。

也就是说,在没有USB成为公共线程的情况下,从气隙环境中秘密传输数据仍然是一个挑战。尽管已经设计了许多方法,来通过利用以太网电缆、Wi-Fi信号、计算机的电源装置,甚至LCD屏幕亮度的变化作为新颖的旁道,来秘密地抽取高度敏感的数据,但野外攻击利用这些技术还有尚未观察到。

作为预防措施,建议拥有关键信息系统和敏感信息的组织防止在连接的系统上直接访问电子邮件、禁用USB端口并清理USB驱动器、限制在可移动驱动器上执行文件、并对气隙系统进行定期分析以找出任何迹象的可疑活动。

研究人员表示,维护一个完全气隙的系统会带来额外保护的好处。但就像所有其他安全机制一样,气隙不是灵丹妙药,不能阻止恶意行为者利用过时的系统或不良的员工习惯。

参考来源:TheHackerNews http://33h.co/9ij9z

 

(十二)威胁行为者利用奥密克戎变体作为诱饵进行网络钓鱼诈骗

威胁行为者已经开始利用奥密克戎变体作为话题诱饵,发送虚假钓鱼邮件,来窃取个人数据及银行详细信息。

英国消费者保护组织Which?发现,有威胁行为者伪装成英国国家卫生服务(NHS),利用新出现的奥密克戎变体为话题,发送主题为免费奥密克戎检测的虚假钓鱼电子邮件。Which?认为,与奥密克戎相关的诈骗短信、电子邮件和电话很快会出现。

威胁行为者会迅速利用最新趋势和热门话题,在人们感到恐慌和焦虑时不经思考就匆忙的打开电子邮件。此前威胁行为者也在新冠疫情期间利用过类似的策略,例如在疫苗及健康码首次推出时。

为了增加对电子邮件的信任,用于分发钓鱼电子邮件的恶意地址是contact-nhs@nhscontact.com。该电子邮件地址看起来是真实的,但其实与真正的NHS无关。如果收件人点击立即获取按钮或点击电子邮件正文中的URL,将被带到声称提供新冠疫情奥密克戎PCR测试的虚假NHS网站。

该虚假网站要求受害者输入姓名、出生日期、家庭住址、手机号码和电子邮件地址。最后该网站还要求支付1.24英镑,这笔费用应该用于支付测试结果的配送费用。这样做的目的不是窃取金额本身,而是窃取受害者的付款详细信息,例如电子银行凭据或信用卡详细信息。在该步骤中,受害者还被要求输入母亲的姓名,攻击者可以在随后的帐户接管尝试中使用该姓名来绕过安全问题。

参考来源:Which http://33h.co/9ikkg

 

 

(十三)到202530%的关键基础设施组织将遭遇安全漏洞

Gartner预测,到2025年,30%的关键基础设施组织将遇到安全漏洞,这将导致运营或任务关键型网络物理系统停止。

关键基础设施安全已成为世界各国政府的首要关注点,美国、英国、欧盟、加拿大和澳大利亚各自确定了被视为关键基础设施的行业,例如通信、运输、能源、水利、医疗保健、和公共设施。在一些国家,关键基础设施是国有的,而在其他国家,例如美国,私营企业拥有并经营其中的大部分。

Gartner研究主管Ruggero Contu表示,许多国家的政府现在意识到,几十年来,国家关键基础设施一直是一个未公开的战场。他们现在正在采取措施,要求对支撑这些资产的系统实施更多安全控制。

Gartner的一项调查显示,38%的受访者预计,2021年在运营技术(OT)安全方面的支出增加5%10%,另有8%的受访者预测增幅将超过10%。然而根据Gartner的说法,这可能不足以应对多年来在该领域的投资不足问题。

Contu表示,除了需要迎头赶上之外,还有越来越多的日益复杂的威胁。关键基础设施的所有者和运营商也在努力为即将到来的加强监管做准备。

随着时间推移,支撑关键基础设施的技术变得更加数字化和互联,无论是与企业IT系统还是相互连接,从而造成网络物理系统安全风险。结果导致黑客和各种威胁行为者的攻击面大幅增加。

在关键基础设施领域,组织需要更加关注现实世界对人类和环境的危害,而不是信息窃取。Gartner预测,到2025年,攻击者将把关键基础设施网络物理系统武器化,以成功伤害或杀死人类。

Gartner建议关键基础设施领域的安全和风险管理(SRM)领导者开发一种整体的安全方法,以便协调一致地管理ITOT和物联网(IoT)安全。Contu表示,“SRM领导者应该加快努力,以发现、绘制和评估其环境中所有网络物理系统的安全态势。投资威胁情报,并加入行业团体,以随时了解安全最佳实践、即将发布的任务、以及对政府实体的意见请求。

参考来源:Gartner http://33h.co/9ivvk

 

 

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有: 北京天地和兴科技有限公司      京ICP备17065546号-1    京公网安备 11010802040756号

扫一扫关注

天地和兴微信公众号