关键信息基础设施安全动态周报【2022年第3期】
发布时间:
2022-01-21
来源:
作者:
天地和兴
访问量:
795
目 录
第一章 国内关键信息基础设施安全动态
(一)美国正审查阿里巴巴云业务是否构成国家安全风险
第二章 国外关键信息基础设施安全动态
(一)乌克兰政府网站遭受大规模网络攻击
(二)SysJoke恶意软件可跨Windows、Mac和Linux平台窃取敏感数据
(三)拜登签署国家安全备忘录以改善国家网络安全
(四)欧盟模拟攻击芬兰电力公司以测试网络防御能力
(五)德国国防承包商Hensoldt遭受Lorenz勒索软件攻击
(六)红十字国际委员会遭受大规模网络攻击
(七)新型勒索软件White Rabbit与黑客组织FIN8有关
(八)俄罗斯联邦安全局FSB逮捕REvil勒索软件组织成员
(九)思科StarOS漏洞可导致代码执行和信息泄露
(十)欧洲刑警组织关闭勒索软件组织使用的VPNLab
(十一)新一轮Qlocker勒索软件攻击QNAP NAS设备
第一章 国内关键信息基础设施安全动态
(一)美国正审查阿里巴巴云业务是否构成国家安全风险
在美国政府加强对中国科技企业与美国企业往来的把关之际,据三位知情人士透露,拜登政府正在审查电商巨头阿里巴巴的云业务,以判定它是否对美国国家安全构成风险。
这些消息人士表示,调查重点是该公司如何存储包括个人信息和知识产权在内的美国客户数据,以及中国政府是否有存取这些数据的权限。其中一位知情人士表示,北京方面阻碍美国用户访问其存储在阿里云上信息的可能性也是个隐忧。
美国监管机构最终可能选择强制该公司采取措施,降低云业务构成的风险,或者干脆禁止海内外美国人使用该服务。
其中一位消息人士和一名前特朗普政府官员表示,特朗普政府时期的美国商务部对阿里巴巴的云业务表达了关切,但拜登政府在上台后启动了正式审查。
据研究公司Gartner的数据,阿里巴巴在美国的云业务规模不大,年度营收估计不到5,000万美元。但如果监管机构最终决定阻止美国企业与阿里云之间的交易,这将损害该公司最具前景的业务之一的利润,并对公司整体声誉造成打击。
美国商务部发言人表示,不对“是否存在交易审查”发表评论。中国驻华盛顿大使馆没有回应置评请求。
阿里巴巴未予置评。阿里巴巴在最新年报中确实表达了对在美国运营的类似担忧,称与阿里巴巴有合同的美国公司“可能会被禁止继续与我们做生意,包括履行涉及我们云服务的合约义务”。
美国商务部下属一个名为情报与安全办公室(office of Intelligence and Security)的小部门负责牵头对阿里巴巴云业务的调查。该部门成立于特朗普政府时期,旨在行使新赋予的广泛权力,禁止或限制美国企业与来自中国、俄罗斯、古巴、伊朗、朝鲜和委内瑞拉等“海外敌对”国家的互联网、电信和科技公司之间进行交易。
其中一名消息人士说,该部门特别关注中国的云服务提供商,因为越来越担心中国政府可能窃取数据以及中断接入访问。
阿里巴巴被研究公司Canalys列为全球第四大云服务提供商,拥有约400万客户,并称云业务是集团“增长的第二支柱”。2020年该业务营收增长50%达到92亿美元,但仅占总营收的8%。
在美中两国科技紧张关系开始加剧之前,阿里巴巴曾经对发展美国的云业务雄心勃勃。2015年,阿里巴巴在矽谷推出了云计算中心,是公司在中国以外的第一个云计算中心,计划与亚马逊AMZN.O、微软MSFT.O以及Alphabet旗下的谷歌GOOGL.O一较高下。后来,公司还在那里和弗吉尼亚州进一步增设了数据中心。
一位知情人士表示,随着美中紧张关系升级,该公司在特朗普任期内缩减了在美国的战略规模。
本文版权归原作者所有,参考来源:路透社 http://33h.co/kuzkx
第二章 国外关键信息基础设施安全动态
(一)乌克兰政府网站遭受大规模网络攻击
乌克兰数十个政府网站在1月14日遭受了黑客网络攻击,导致网站暂时关闭。受影响的包括乌克兰外交部、教育和科学部、财政部、国防部、国家紧急事务局、内阁在内的70多个网站。乌克兰政府正在调查这起袭击事件,并表示有证据是由俄罗斯支持的威胁行为者发起的。
在受到攻击的网站上,俄语、乌克兰语和波兰语显示以下信息,“乌克兰!您的所有个人数据都已发送到公共网络。您计算机上的所有数据都已损坏且无法恢复。所有关于你的信息都被破坏。这是你的过去、和未来。适用于沃希尼亚、乌努帕、加利西亚、波兰和历史地区。”
据记者Kim Zetter称,攻击者显然利用了10月CMS中的一个漏洞CVE-2021-32648,这一消息后来得到了国家CERT的证实。
CERT-UA发布的公告显示,“1月13日至14日晚间,包括外交部、教育科技部等在内的多个政府网站遭到黑客攻击。在这些网站的主页上张贴了挑衅性的信息。初步信息显示,网站的内容没有改变,个人数据也没有泄露。根据处理可能的攻击向量的结果,不排除攻击者使用10月CMS漏洞。”
乌克兰CERT声称个人数据尚未被攻击者窃取,并就如何恢复受害网站提供了建议。
微软在1月13日发现了针对乌克兰政府的恶意软件。研究人员认为,此次攻击归因于一个名为DEV-0586的新兴威胁组织,与过去活动相关的TTP没有重叠。
微软威胁情报中心发布的文章表示,“MSTIC评估,该恶意软件看起来像勒索软件,但缺乏赎金恢复机制,具有破坏性,旨在使目标设备无法操作,而不是获得赎金。目前,基于微软的可见性,我们的调查团队已经在数十个受影响的系统上发现了恶意软件,随着我们调查的继续,这个数字可能会增加。”
然而路透社在独家新闻中推测,这些攻击是由与白俄罗斯有关的APT组织Ghostwriter(又名UNC1151)发起的。
据路透社报道,“国家安全和国防委员会副秘书长Serhiy Demedyuk告诉路透社,乌克兰将周五的袭击事件归咎于一个名为UNC1151的组织,该组织用有威胁性的信息破坏了政府网站,并称这是幕后更具破坏性行动的掩护。”
威胁行为者的目标是提供关键行政部门或应急响应功能的政府机构。目前微软研究人员还不清楚有多少组织受到了此次活动的打击,微软专家发现数十个系统受到了wiper的攻击,但警告称,随着调查的继续,感染数量预计会增加。
攻击链分为两个阶段,在第一阶段,恶意软件会覆盖Master Boot Record,以显示伪造的赎金信件,要求以比特币支付10,000美元的勒索软件。
在第二阶段,Stage2.exe充当托管在Discord频道上的恶意文件损坏程序的下载文件。恶意代码搜索具有数百个不同扩展名的文件,然后用固定数量的0xCC字节覆盖其内容,并用看似随机的四字节扩展名重命名每个文件。
据微软称,此活动与网络犯罪勒索软件活动不一致。勒索软件有效载荷通常是针对每个受害者定制的。在本案中,在多个受害者身上观察到了相同的赎金有效载荷。所有勒索软件都会加密文件系统上文件的内容。恶意软件会覆盖没有恢复机制的MBR。
勒索信件中很少指定明确的支付金额和加密货币钱包地址,但是DEV-0586指定了。在所有DEV-0586入侵中都观察到相同的比特币钱包地址,唯一在1月14日有一次小额转账。
通信方法很少只有Tox ID,是与Tox加密消息传递协议一起使用的标识符。通常有些网站设有支持论坛或多种联系方式,包括电子邮件,以使受害者更容易成功联系。
大多数犯罪勒索信件都包含一个自定义ID,受害者被指示在他们的通信中发送给攻击者。这是将勒索软件操作后端的自定义ID映射到特定于受害者的解密密钥的过程的重要部分。然而在本案中,赎金记录不包含自定义ID。
参考来源:SecurityAffairs http://33h.co/kr23v
(二)SysJoke恶意软件可跨Windows、Mac和Linux平台窃取敏感数据
Intezer安全研究人员在野外检测到了一个新型跨平台恶意软件SysJoker,能够感染Windows、macOS和Linux系统,可以窃取用户敏感数据,疑似是APT组织开发的。
去年12月,研究人员在调查针对一家教育机构的攻击时发现了该后门的Linux变体。后来研究人员确定了该恶意软件的Mac和Windows PE版本,并表示Linux和Mac版本在VirusTotal中完全没有被检测到。
对VirusTotal中发现的C2域注册和样本的分析表明,SysJoker至少自2021年下半年以来一直处于活动状态。SysJoker伪装成系统更新,研究人员认为它是为了感染特定目标而开发的。
Intezer的报告表示,“SysJoker伪装成系统更新,并通过解码从Google Drive上托管的文本文件中检索到的字符串来生成其C2。在我们的分析中,C2更改了3次,表明攻击者处于活动状态,并正在监视受感染的机器。根据受害者和恶意软件的行为,我们评估SysJoker是针对特定目标的。”
带有.ts后缀用于TypeScript文件的后门已上传到VirusTotal,专家认为可能的攻击媒介是通过受感染的npm包。C2是通过解码从Google Drive上的文本文件中提取的字符串生成的。
SysJoker的行为对于所有三个操作系统都是相似的,使用LOtL命令收集有关机器的信息。根据从C2服务器接收到的指令,SysJoker实现了多种功能,例如执行命令、投放和运行额外的有效负载。
对指令名称的分析表明,该恶意软件还支持显然与尚未实施的自删除机制相关的命令。专家认为,SysJoker是由高级威胁行为者开发的,原因如下:
1、代码是从头开始编写的,这对于Linux恶意软件来说是罕见的;
2、攻击者注册了至少4个不同的域,并为三种不同的操作系统从头开始编写恶意软件;
3、研究人员尚未发现攻击者发送的第二阶段或命令。这表明攻击是特定的,通常适合高级参与者。
Intezer表示,“基于恶意软件的功能,我们评估攻击的目标是间谍活动以及横向移动,这也可能导致勒索软件攻击作为下一阶段之一。”
参考来源:SecurityAffairs http://33h.co/ku1nk
(三)拜登签署国家安全备忘录以改善国家网络安全
美国总统乔拜登1月19日签署了一份国家安全备忘录,旨在改善国家安全和情报界系统的网络安全。
根据拜登2021年5月的行政命令,该备忘录要求国家安全系统“采用与联邦民用网络所要求的相同的网络安全措施”。它还赋予国家安全局监督网络安全改进的新权力,该机构现在还将收集有关影响国家安全系统的事件的报告。
NSA将有权发布自己的紧急指令,并要求其管辖范围内的机构按照2022年制定的具体时间表采取具体行动缓解网络威胁。
白宫在一份情况说明书中表示,该备忘录“建立在拜登政府保护我们国家免受来自民族国家行为者和网络犯罪分子的复杂恶意网络活动的工作的基础上”。官员们表示,该备忘录“提高了我们最敏感系统的网络安全标准”。
该指令详细说明了2021年行政命令的规定如何适用于“国家安全系统”,该系统将由NSA局长Paul Nakasone将军指定,还制定了如何实施这些要求的时间表和指南。
参议院情报特别委员会主席、弗吉尼亚州民主党参议员Mark Warner赞扬了这份备忘录,但呼吁立法提高影响关键基础设施的网络事件的透明度。Warner表示,“除了其他优先事项外,这项国家安全管理要求联邦机构报告网络犯罪分子和国家资助的黑客破坏其系统的行为。现在是国会采取行动的时候了,通过我们的两党立法,要求关键基础设施所有者和运营商在72小时内报告此类网络入侵。”
顶级网络安全专家表示,这份备忘录对联邦网络来说是富有成效的一步。VMware网络安全战略负责人、美国特勤局网络调查咨询委员会成员Tom Kellermann表示,“美国网络空间被围困。我从未见过如此系统性的冲击。这份备忘录具有战略意义,将显著提高我们国家安全系统的长期安全性。”
1月18日,美国国家安全局网络安全主管Rob Joyce在推特上表示,“这份国家安全备忘录有很好的工具,可以帮助美国国家安全局作为联邦团队的一部分保护最敏感的网络!”
同样在推特上,国家网络总监Chris Inglis表示,该备忘录标志着网络政策的“联邦一致性”又向前迈出了一步。
同样,全球网络联盟总裁兼首席执行官、国土安全部国家网络安全中心前主任Phil Reitinger表示,“赋予NSA更大的责任和权力是相当有意义的,在使用与其相关的云系统方面,就像增加专注于零信任架构也是如此。”
白宫官员表示,该备忘录将通过要求机构识别其国家安全系统,并向美国国家安全局报告发生在其上的网络事件,来帮助提高“网络安全事件的可见性”。NSA被认为是美国机密系统的“国家管理者”。
该备忘录还要求各机构采取行动,保护或减轻对这些系统的网络威胁。也就是说,它授权NSA制定“具有约束力的操作指令”,要求各机构针对已知或可疑的安全威胁和漏洞采取行动。
政府官员表示,该指令的授权模仿了国土安全部通过CISA监督民间政府网络的行为。该备忘录还“指示NSA和DHS共享指令,并相互学习,以确定一个机构指令中的任何要求是否应该被另一个机构采用。”
该备忘录还要求各机构确保跨域解决方案,或在机密和非机密系统之间传输数据的工具的安全。政府官员补充表示,“攻击者可以寻求利用这些工具来访问我们的机密网络,而NSM会采取果断行动来减轻这种威胁。”
白宫补充表示,将要求相关机构清点他们的跨域解决方案,美国国家安全局将制定安全标准和测试要求,以更好地保护这些系统。
根据备忘录,国防部、联邦调查局、中央情报局和国家情报总监办公室将有责任创建一个框架,以对国家安全系统进行事件响应活动。
到3月,拥有处理敏感或机密国家安全数据系统的机构必须更新其零信任和云采用计划。到4月,国家安全系统委员会将为云中的国家安全IT系统建立“最低”安全控制。到7月,各机构将被要求确认其相关系统正在使用多因素身份验证和加密协议来处理静态数据和传输中的数据。
该指令还规定国防和情报机构提供六个月内记录可能不合规或未能使用NSA批准的加密算法的系统。他们还将负责设定更换时间表。
在19日发布的简报中表示,“网络安全是拜登政府的国家安全和经济安全的当务之急,拜登政府继续以前所未有的方式优先考虑和提升网络安全”。
官员们指出,为改善电力和管道行业的网络安全,已采取了“突飞猛进”的措施,已经让为9000万美国人提供服务的大约150家公用事业公司承诺部署特定的网络安全控制措施。拜登还发布了一份备忘录,建立了自愿的网络安全目标,并对关键基础设施的供应商抱有期望。“我们将继续与私营部门密切合作,将网络安全作为其维持业务连续性努力的核心部分。”
参考来源:InfoRiskToday http://33h.co/kuzd1
(四)欧盟模拟攻击芬兰电力公司以测试网络防御能力
欧盟从1月14日开始进行了模拟网络攻击,目标是一家虚拟的芬兰电力公司,目的是测试其网络防御响应能力。网络演习对测试基础设施的弹性至关重要,欧盟担忧其设施抵御潜在网络攻击的能力,并寻求通过此方法加强数字防御。
此次模拟攻击是为期六周的演习的一部分,旨在对欧洲各国的应变能力进行压力测试,加强成员国之间的准备和合作,并提高联合应对的有效性。预计测试将在2月底的欧盟外长会议上结束。
在模拟演习中,攻击目标是一家芬兰大型能源公司,在该公司使用的软件中检测到了重大网络安全事件。该软件在欧洲各行业和成员国中广泛使用,有可能将影响扩散到整个欧洲。欧盟预计将启动成员国的网络问题工作组,以监测影响并找出危机的根源,并采取可能的行动来减轻攻击的后果。
参考来源:Bloomberg http://33h.co/kurwy
(五)德国国防承包商Hensoldt遭受Lorenz勒索软件攻击
德国跨国国防承包商Hensoldt证实,其英国子公司的一些系统在勒索软件攻击中遭到破坏。
德国国防跨国公司Hensoldt为国防、航空航天和安全应用开发传感器解决方案,在法兰克福证券交易所上市,2020年营业额为12亿欧元。该公司根据一项特殊协议在美国运营,该协议允许其申请机密和敏感的美国政府合同。
其产品包括美国陆军、美国海军陆战队和美国国民警卫队在M1艾布拉姆斯坦克、各种直升机平台和LCS(濒海战斗舰)上使用的雷达阵列、航空电子设备和激光测距仪。Hensoldt正在为kta财团建造的德国-挪威U212 CD潜艇配备下一代全数字光电设备。
虽然Hensoldt尚未就这一事件发表公开声明,但Lorenz勒索软件团伙已声称发动了此次袭击。Hensholdt发言人通过电子邮件证实了Lorenz的这一说法,但并没有提供有关该事件的更多信息。
Hensoldt公共关系主管Lothar Belz表示,“我可以确认,我们英国子公司的少数移动设备受到了影响。然而出于明显的原因,我们不会透露此类案件的更多细节。”
Lorenz勒索软件组织在攻击期间从Hensholdt的网络中窃取的文件数量并不清楚。自2021年12月17日首次创建Hensoldt泄漏页面以来,Lorenz团伙以密码保护档案的形式在数据泄漏网站上发布的所有被盗文件的95%。
Lorenz于2021年4月开始运营,此后一直以全球企业组织为目标,要求每位受害者支付数十万美元的赎金。该勒索软件团伙还向其他威胁行为者出售被盗数据,以迫使受害者支付赎金。该勒索软件团伙还将向其他威胁行为者出售受害者内部网络的访问权限以及任何被盗数据。
如果所有受密码保护的RAR文件都泄露后受害者还是没有支付赎金,Lorenz还将公开访问数据泄露档案的密码,任何下载泄露档案的人都可以公开被盗文件。
6月,荷兰网络安全公司Tesorion发布了免费的Lorenz勒索软件解密软件,受害者可以使用它来恢复一些文件类型,包括Office文档、PDF文件、图像和视频。
参考来源:BleepingComputer http://33h.co/kuusk
(六)红十字国际委员会遭受大规模网络攻击
本周,红十字国际委员会(ICRC)发现了针对托管信息的计算机服务器的复杂网络安全攻击。此次攻击泄露了超过515,000名高度脆弱人群的个人数据和机密信息,包括因冲突、移民和灾难而与家人分离的人、失踪人员及其家人以及被拘留者。这些数据来自世界各地至少60个红十字会和红新月会国家红会。
在这次袭击之后,红十字国际委员会最紧迫的担忧是,对红十字与红新月网络寻求保护和援助的人们及其家人来说,这次违规行为带来的潜在风险,包括公开分享的机密信息。当人们失踪时,他们的家人和朋友的痛苦和不确定性是强烈的。
红十字国际委员会总干事Robert Mardini表示,“对失踪人员数据的攻击使家庭的痛苦更加难以忍受。我们都感到震惊和困惑的是,这些人道信息会成为攻击目标并受到损害。这种网络攻击使那些已经需要人道主义服务的弱势群体面临更大的风险。”
红十字国际委员会没有立即表明是谁实施了这次网络攻击。这次网络攻击针对的是与红十字国际委员会签订数据存储合同的瑞士外部公司。目前还没有任何迹象表明被泄露的信息已被泄露或公开共享。
Mardini表示,“虽然我们不知道谁应对这次袭击负责,也不知道他们为什么要发动袭击,但我们确实要向向他们发出呼吁。你的行为可能会对那些已经承受了无数痛苦的人造成更大的伤害和痛苦。你现在拥有的信息背后的真实人物和真实家庭是世界上最没有权力的人。请做正确的事。不要分享,出售、泄露或以其他方式使用这些数据。”
红十字国际委员会与更广泛的红十字与红新月网络共同开展了一项名为“重建家庭联系”的项目,旨在让因冲突、灾难或移民而离散的家庭成员重聚。由于这次袭击,红十字国际委员会被迫关闭支持其恢复家庭联系工作的系统,影响了红十字与红新月运动让失散家庭成员团聚的能力。该组织正在尽快确定解决方法以继续这项重要的工作。
Mardini表示,“红十字与红新月运动每天平均帮助12名失踪者与家人团聚,这意味着每天有十几个家庭团聚。像这样的网络攻击危及这项基本工作。我们非常认真地对待这一违规行为。我们正在与我们在全球的人道主义合作伙伴密切合作,以了解袭击的范围,并采取适当的措施在未来保护我们的数据。”
参考来源ICRC http://33h.co/kuftc
(七)新型勒索软件White Rabbit与黑客组织FIN8有关
趋势科技研究人员最近在野外发现了一个名为White Rabbit的新型勒索软件家族,可能与黑客组织FIN8有关。
FIN8是一个出于经济动机的威胁行为者,多年来一直被发现以金融组织为目标,主要是通过部署POS恶意软件来窃取信用卡详细信息。
该White Rabbit勒索软件是勒索软件专家Michael Gillespie在寻找恶意软件样本时首次发现的。趋势科技研究人员在报告中研究分析了在2021年12月针对美国银行的攻击期间获得的White Rabbit勒索软件样本。
该勒索软件可执行文件是一个小的有效负载,文件大小为100KB,需要在命令行执行时输入密码才能解密恶意负载。其他以前曾使用过执行恶意负载密码的勒索软件包括Egregor、MegaCortex和SamSam。一旦使用正确的密码执行,勒索软件将扫描设备上的所有文件夹并加密目标文件,为加密的每个文件创建勒索信件。
例如,一个名为test.txt的文件被加密为test.txt.scrypt,并创建一个名为test.txt.scrypt.txt的勒索信件。在加密设备时,可移动驱动器和网络驱动器也是攻击目标,Windows系统文件夹被排除在加密之外,以防止操作系统无法使用。
赎金通知告知受害者,他们的文件已被泄露,并威胁如果不满足要求,将发布和/或出售被盗数据。
受害者支付赎金的最后期限为四天,之后攻击者威胁要将被盗数据发送给数据保护机构,从而导致数据泄露GDPR处罚。被盗文件的证据被上传到paste[.]com和file[.]io等服务,同时在Tor协商网站上为受害者提供与攻击者的实时聊天通信频道。
Tor站点包括一个“主页”,用于显示被盗数据的证据,以及一个聊天区域,受害者可以在其中与威胁行为者交流,并协商赎金金额。
趋势科技在勒索软件的部署阶段发现了FIN8和White Rabbit有关的证据。该新型勒索软件使用了前所未有的Badhatch版本,又名Sardonic,这是一个与FIN8相关的后门。通常攻击者将自己的自定义后门保留在自己的隐私中,并继续私下开发它们。
这一发现也得到了Lodestone研究人员对同一勒索软件系列的另一份报告的证实。他们也在White Rabbit攻击中发现了Badhatch,同时他们还注意到类似于去年夏天与FIN8相关的活动的PowerShell复制品。
Lodestone报告结论表示,“Lodestone确定了许多TTP,这表明White Rabbit如果独立于FIN8运行,则与更成熟的威胁组织有密切关系,或者正在模仿它们。”
目前,White Rabbit仅限于针对少数实体,但被认为是一种新兴威胁,未来可能对公司构成严重威胁。可采取以下标准反勒索软件措施来遏制:
1、部署跨层检测和响应解决方案;
2、为攻击预防和恢复创建事件响应手册;
3、进行勒索软件攻击模拟,以识别差距并评估性能;
4、执行备份、测试备份、验证备份、并保留脱机备份。
参考来源:BleepingComputer http://33h.co/kurji
(八)俄罗斯联邦安全局FSB逮捕REvil勒索软件组织成员
俄罗斯联邦安全局(FSB)1月14日表示,其突袭了REvil勒索软件团伙的藏身之处,逮捕了14名人员,并没收了大量现金、加密货币、电脑和汽车。
FSB对莫斯科、圣彼得堡、列宁格勒和利佩茨克地区的25个地址进行了突袭,逮捕了14名疑似REvil勒索软件成员,缴获了超过4.26亿卢布、60万美元和50万欧元的现金,以及加密货币钱包、电脑和20辆昂贵汽车。
FSB在新闻稿中表示,“根据俄罗斯刑法第187条‘非法流通支付手段’,被拘留的‘有组织犯罪组织’成员被指控犯罪。”
作为俄罗斯内部情报机构的FSB表示,它是应美国当局的要求开展行动的,美国当局已获知调查结果。此前,拜登总统和美国当局在去年夏天多次向俄罗斯总统普京施压,要求其打击俄罗斯地下网络犯罪生态系统,该生态系统藏有许多当今顶级勒索人员。
REvil团伙是去年最活跃的勒索软件团队之一,对JBS Foods的攻击负责,该攻击影响了5月美国和澳大利亚的肉类供应,以及在7月4日周末对IT提供商Kaseya进行了攻击。在美国当局开始向俄罗斯官员施压后,REvil团伙在7月关闭了行动,但随后在9月试图卷土重来,随后他们的一些暗网服务器被美国当局查封,并从犯罪地下永久消失。
除了今天在俄罗斯的逮捕行动外,还有其他七名REvil组织成员也在2021年FBI和欧洲刑警组织协调的行动中被捕,其中许多人是对该组织不断增加的袭击次数的报复。FSB尚未公布被拘留的任何嫌疑人的姓名,俄罗斯新闻媒体RBC确定其中一名嫌疑人为Roman Muromsky,塔斯社确定另一名成员是Andrei Bessonov。
FSB补充表示,美国主管当局的代表被告知了此次行动的结果,强调了俄罗斯与美国当局的罕见合作。由于俄罗斯政府没有引渡本国公民的法律机制,因此嫌疑人不太可能在美国面临指控。
参考来源:TheRecord http://33h.co/ku812
(九)思科StarOS漏洞可导致代码执行和信息泄露
思科1月19日披露其修复了ASR 5000网络设备上运行的StarOS软件的冗余配置管理器(RCM)中的一个严重漏洞CVE-2022-20649,未经身份验证的攻击者能够在运行易受攻击软件的设备上获得具有根级权限的远程代码执行(RCE)。
RCM提供基于StarOS的用户平面功能的冗余,是思科专有的节点/网络功能。漏洞CVE-2022-20649的CVSS得分为9.0分,可以在没有身份验证的情况下远程利用,以在已配置容器的上下文中使用根级权限执行代码。
在特定服务上,调试模式未正确启用,从而允许攻击者连接到设备,并导航到此类服务以利用该漏洞。攻击者需要执行详细的侦察,以允许未经身份验证的访问。该漏洞也可以被经过身份验证的攻击者利用。
CVE-2022-20649的补丁还解决了一个中危漏洞CVE-2022-20648,该漏洞可能允许未经身份验证的远程攻击者泄露机密信息,存在该漏洞是因为调试服务未正确过滤传入连接。
RCM的21.25.4版本解决了这两个安全漏洞。思科鼓励所有仍在使用21.25之前的RCM版本的客户迁移到固定版本。
思科还宣布针对Snort检测引擎的Modbus预处理器和多个思科产品的CLI实施中的高危漏洞提供了补丁。
漏洞CVE-2022-20685的CVSS得分为7.5,是缓冲区溢出漏洞,可允许远程、未经身份验证的攻击者通过受影响的设备发送精心设计的Modbus流量来导致拒绝服务(DoS)条件。思科宣布提供软件更新以解决多个产品中的漏洞,包括FTD、Cybervision、Meraki MX、UTD和Snort。
影响CLI在各种产品上的实施的漏洞为CVE-2022-20655,CVSS得分为8.8,是高危的流程参数的验证不足漏洞。攻击者可利用该漏洞注入命令,这些命令将以管理框架进程的特权级别执行,该进程通常以root身份运行。
思科针对此漏洞发布了两份公告,一份详细说明了ConfD设备管理框架的补丁,另一份涉及针对各种网络设备发布的修复程序。思科没有发现任何这些漏洞被用于恶意攻击。
参考来源:SecurityWeek http://33h.co/krbde
(十)欧洲刑警组织关闭勒索软件组织使用的VPNLab
本周,执法部门针对VPNLab.net的用户和基础设施的非法滥用VPN服务采取了行动。VPN提供商的服务旨在提供屏蔽通信和互联网访问,被用于支持严重的犯罪行为,例如勒索软件部署和其他网络犯罪活动。
1月17日,德国、荷兰、加拿大、捷克共和国、法国、匈牙利、拉脱维亚、乌克兰、美国和英国以协调的方式采取了破坏性行动。执法当局现已查封或破坏了托管VPNLab.net服务的15台服务器,使其不再可用。该行动由德国汉诺威警察局中央刑事办公室牵头,在EMPACT安全框架目标网络犯罪对信息系统的攻击下进行。
VPNLab.net成立于2008年,提供基于OpenVPN技术和2048位加密的服务,每年只需60美元即可提供在线匿名。该服务还提供双VPN,服务器位于许多不同的国家。这使得VPNLab.net成为网络犯罪分子的热门选择,他们可以使用其服务继续犯罪,而不必担心被当局发现。
在多次调查发现犯罪分子使用VPNLab.net服务促进恶意软件分发等非法活动后,执法部门对该提供商产生了兴趣。其他案例显示,该服务用于建立勒索软件活动背后的基础设施和通信设置,以及勒索软件的实际部署。同时调查人员发现该服务在暗网上做广告。
调查结果表明,一百多家企业面临网络攻击的风险。执法部门正在直接与这些潜在受害者合作,以减轻他们的风险。
欧洲刑警组织欧洲网络犯罪中心负责人Edvardas Šileris表示,“根据这项调查采取的行动清楚地表明,犯罪分子正在想尽办法在网上隐藏他们的踪迹。我们进行的每一次调查都会为下一次调查提供信息,而获得的有关潜在受害者的信息意味着我们可能已经预防了几次严重的网络攻击和数据泄露。”
汉诺威警察局局长Volker Kluwe表示,“该行动的一个重要方面还表明,如果服务提供商支持非法行动,并且不提供有关执法当局合法要求的任何信息,则这些服务不是防弹的。这次行动显示了国际执法机构有效合作的结果,这使得关闭全球网络并摧毁此类品牌成为可能。”
欧洲刑警组织的欧洲网络犯罪中心(EC3)通过其分析项目CYBORG为行动日提供支持,该项目组织了60多次协调会议和3次现场研讨会,并提供分析和取证支持。在欧洲刑警组织海牙总部主办的联合网络犯罪行动特别工作组(J-CAT)的框架内促进了信息交流。欧洲司法组织组织了一次协调会议,为行动做好准备,并提供支持,以实现所有相关成员国之间的跨境司法合作。
参考来源:Europol http://33h.co/kuvf8
(十一)新一轮Qlocker勒索软件攻击QNAP NAS设备
研究人员发现,Qlocker勒索软件正在全球范围内开展攻击活动,QNAP NAS设备自1月6日起开始受到影响,受感染的设备上出现了名为!!!READ_ME.txt的勒索信件。
去年5月,台湾供应商QNAP警告其客户,更新在其网络附属存储(NAS)设备上运行的HBS 3灾难恢复应用程序,以防止Qlocker勒索软件感染。4月底,专家警告称,一种名为Qlocker的新型勒索软件每天都会感染数百台QNAP NAS设备。攻击背后的威胁行为者正在利用一个授权不当漏洞CVE-2021-28799,可允许他们登录到NAS设备。
QNAP发布的安全公告显示,“针对QNAP NAS的勒索软件活动始于2021年4月19日。被称为Qlocker的勒索软件利用CVE-2021-28799攻击运行某些版本的HBS 3的QNAP NAS。”
根据勒索软件识别服务ID-Ransomware创建者Michael Gillespie提供的统计数据,这些攻击于4月20日首次被发现,感染数量已飙升至每天数百次。
一旦勒索软件感染了设备,它会将NAS上的所有文件移动到受密码保护的7z档案中,并要求支付550美元的赎金。然后它还会删除快照以防止从备份中恢复数据,并在每个受影响的文件夹中放置名为!!!READ_ME.txt的勒索信件,勒索信件包含通过Tor站点与勒索软件运营商取得联系的说明。
勒索软件运营商要求支付0.02到0.03比特币的赎金。受影响的QNAP用户已向ID-Ransomware服务提交了数十份勒索信件和加密文件。
在论坛中有用户表示,“似乎2022年1月6日出现了新版本的QLocker勒索软件,我们称之为QLocker2,并将旧的称为QLocker1。我们还不确定与原始版本有什么不同,但似乎用户在感染后无法连接到NAS。最新的应用程序和固件似乎也无济于事。也可能是QLocker1勒索软件再次被使用,没有新版本存在。我们会看看情况是否如此。目前还不清楚以前的恢复方法是否仍然有效。”
2021年12月,另一波ech0raix勒索软件攻击开始针对QNAP NAS设备。eCh0raix勒索软件至少从2019年就开始活跃,当时来自安全公司Intezer和Anomali的专家分别发现了针对NAS设备的勒索软件样本。
NAS服务器是黑客的特权目标,因为它们通常存储大量数据。勒索软件的目标是QNAP制造的保护不力或易受攻击的NAS服务器,威胁者利用已知漏洞或进行暴力攻击。
该勒索软件被Intezer追踪为QNAPCrypt,被Anomali追踪为eCh0raix,是用Go编程语言编写的,并使用AES加密来加密文件。恶意代码将.encrypt扩展名附加到加密文件的文件名中。
今年5月,QNAP向客户发出警告,攻击者针对其NAS设备进行eCh0raix勒索软件攻击,并利用Roon服务器的零日漏洞进行攻击。攻击者使用弱密码感染了QNAP NAS设备。在4月19日至4月26日期间,eCh0raix感染的报告激增。在同一时期,QNAP还警告其用户AgeLocker勒索软件正在爆发。
2019年,Anomali研究人员报告了一波针对Synology NAS设备的eCh0raix攻击,威胁行为者对其进行了暴力攻击。
参考来源:SecurityAffairs http://33h.co/kuv3w
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯