安全研究
全部分类

关键信息基础设施安全动态周报【2022年第11期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2022-03-25 17:23
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第11期】天地和兴播报。

关键信息基础设施安全动态周报【2022年第11期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第11期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2022-03-25 17:23
  • 访问量:
详情

 

目   录

第一章国外关键信息基础设施安全动态

(一)微软及Okta遭受Lapsus$黑客攻击

(二)Anonymous攻击俄罗斯石油管道公司Transneft泄露79GB数据

(三)北约和七国集团领导人承诺防御俄罗斯报复性网络攻击

(四)FBI警告俄罗斯黑客对美国能源公司感兴趣

(五)美国警告称Avoslocker勒索软件攻击美国关键基础设施部门

(六)美国警告称美国和国际卫星通信网络面临威胁

(七)Vmware修复Carbon Black平台两个严重漏洞

(八)黑客组织Anonymous窃取雀巢10GB敏感数据

(九)俄罗斯肉类生产商Miratorg遭受BitLocker加密攻击

(十)EXOTIC LILY是与Conti勒索软件组织有关的初始访问代理

(十一)美国乳品公司Hood发生网络安全事件导致生产关闭

(十二)信用机构TransUnion南非部门遭受勒索软件攻击

 

 

第一章 国外关键信息基础设施安全动态

(一)微软及Okta遭受Lapsus$黑客攻击

微软及身份访问管理公司Okta证实,其遭受了Lapsus$黑客组织攻击。Lapsus$获得了微软产品的37GB源代码,Okta约2.5%客户受到影响。英国警方在牛津逮捕了一名16岁的英国少年,疑似是Lapsus$的成员。Lapsus$组织此前攻击了英伟达、三星、育碧、电信公司沃达丰、电商巨头Mercado等知名公司。

Lapsus$黑客组织声称,其获得了微软产品的37GB源代码,包括Bing和Cortana。随后微软调查发现,其一个账户被盗用,授予了有限访问权限。微软网络安全响应团队立即修复了受损账户,以防止进一步活动。然而微软指出,它并不依赖代码的保密性作为安全措施,并已向客户保证,暴露的代码不会导致风险升高,客户代码或数据并未受到损害。

Lapsus$黑客组织微软称其为DEV-0537,该组织引起的混乱和持续的争议证实了攻击面和第三方供应商依赖关系暴露了几乎无法防御的攻击面。更糟糕的是,它证实即使是资源最充足、拥有最优秀安全人才的组织,也可能成为技术娴熟、积极主动的攻击者的受害者。

微软在声明中警告表示,承认其自己的系统在备受瞩目的攻击中受到损害。“该组织以使用纯粹的敲诈勒索和破坏模式而闻名,但没有部署勒索软件有效载荷。”该事件实际上是一个组织松散的组织在成功对全球多个组织进行黑客攻击后留下破坏痕迹的故事。

微软证实,“本周,Lapsus$组织公开声称,他们已经获得了微软的访问权限,并泄露了部分源代码。观察到的活动不涉及客户代码或数据。我们的调查发现,一个帐户被盗用,授予有限访问权限。当攻击者公开披露他们的入侵行为时,我们的团队已经根据威胁情报调查了被入侵的帐户。这一公开披露升级了我们的行动,允许我们的团队在行动中进行干预和打断,从而限制了更广泛的影响。”

微软警告说,Lapsus$组织已将其目标名单扩大到世界各地的组织,包括政府、技术、电信、媒体、零售和医疗保健部门的实体,并在现场事件中使用厚颜无耻的策略监视事件响应者。

微软表示,“众所周知,DEV-0537还加密货币交易所接管个人用户账户,以消耗加密货币资产。描述的策略包括基于电话的社会工程、SIM交换、黑客攻击员工个人账户,甚至向内部人员支付访问权限到公司网络。DEV-0537似乎没有掩盖它的踪迹。他们甚至宣布对社交媒体的攻击,或宣传他们从目标组织的员工那里购买凭证的意图。”

Lapsus$没有泄露Okta的任何实际数据,发布了几张截图,证明其获得了Okta客户账户的访问权限,可重置密码并访问权限提升的管理面板。

对于市值为230亿美元的上市公司Okta而言,Lapsus$的截图和嘲讽的发布导致了公共关系的崩溃,包括多次尝试准确描述影响范围,以及知名网络安全领导人的严厉批评。

在多次隐晦淡化威胁严重性的声明之后,Okta最终确认,其366名客户(大约2.5%)可能受到影响,并且他们的数据可能已被查看。

该公司安全负责人David Bradbury发布了一个时间表,证实Okta在1月中旬得到了这一事件的消息,但在三个月后Lapsus$发布屏幕截图之前没有公开传达任何信息。

Okta是一家为大约15,000人提供身份和访问管理技术的公司,该公司早些时候曾声称,攻击者在五天的时间内对笔记本电脑的访问受到限制,并且客户没有受到影响,但混乱和缺乏透明度并没有让客户满意。

Tenable董事长兼首席执行官Amit Yoran在LinkedIn上发表的给Okta的一封公开信中直言不讳的表示,“两个月太长了,这种入侵应该在Okta在1月份检测到或进行取证分析后披露。没有发布入侵指标,没有发布最佳实践,也没有发布关于如何减轻任何潜在风险增加的指导。作为客户,我们只能说Okta没有联系我们。而且据我们所知,我们不受违规行为的影响。出于非常谨慎的考虑,我们正在采取我们认为合乎逻辑的行动,来最大限度地减少风险。”

多位CISO证实,即使是最成熟的安全计划,Lapsus$事件也增加了重大成本。

德克萨斯州达拉斯一家金融服务公司的一位著名安全负责人表示,“每次出现Twitter截图时,我们都必须启动事件响应流程,看看我们是否被卷入其中。显然,当提到Okta的名字时,你会竖起耳朵。这一切都是相互关联的。如果微软受到威胁,我们就必须紧急行动。如果Okta受到威胁,我们就必须紧急行动。你假设最坏的情况,并希望确定和限制影响范围。我们真的依赖供应商保持透明和诚实。如果我不能依靠你保持透明和及时,我可能会寻找替代方案。”

Lapsus$事件还凸显了供应商和第三方提供商之间数据共享和数据访问的软肋,以及多种黑客技术可以结合起来造成严重损害的方式。“请记住,这不涉及花哨的零日漏洞。Lapsus$事件表明,攻击者不必使用零日漏洞或漏洞利用。他们正在利用一个数据到处流动的整个系统,而我们真的没有控制权来管理它。”

Microsoft建议组织采用内部风险管理手册,以减轻Lapsus$组织使用的社会工程和以身份为中心的策略造成的损害。其中包括对来自所有位置的所有用户强制使用多因素身份验证技术,甚至包括感知可信环境。MFA的推出还应包括所有接口基础设施,即使是来自本地位置的基础设施。

Redmond还敦促企业使用现代身份验证选项,连接到AzureAD的OAuth或SAML,来启用基于风险的登录检测,并加强和监控云安全部署,以发现恶意活动的迹象。

参考来源:SecurityWeek http://u6.gg/k7nzm

 

(二)Anonymous攻击俄罗斯石油管道公司Transneft泄露79GB数据

黑客组织Anonymous在3月17日声称,其攻击了俄罗斯石油管道公司Transneft的内部研发部门Omega公司,并窃取了79GB的电子邮件数据,将其发布在泄密托管网站Distributed Denial of Secrets上。

3月17日,泄密托管网站Distributed Denial of Secrets发布了一个链接,包含俄罗斯石油管道公司Transneft研发部门Omega公司的79GB电子邮件。

Transneft总部位于莫斯科,是世界上最大的管道公司。作为一家俄罗斯国有企业,根据对俄罗斯的制裁条款,它现在被禁止接受美国市场的投资。其内部研发部门Omega公司生产一系列用于石油管道的高科技声学和温度监测系统,专注于泄漏检测。

电子邮件泄漏似乎包含公司员工多个电子邮件账户的内容,不仅包括电子邮件信息,还包括包含发票和产品运输详细信息的文件附件,以及显示服务器机架和其他设备配置的图像文件。一些电子邮件的时间戳在3月15日,也就是泄露数据出现在网上的几天前。

不同寻常的是,根据电子邮件上传随附的一份秘密通知,消息来源将泄密事件归咎于希拉里·克林顿。在2月份接受MSNBC采访时,克林顿采取了非常规的措施,鼓励Anonymous组织对俄罗斯发起网络攻击。

尽管乌克兰政府积极鼓励针对俄罗斯政府目标的黑客行动主义,但对于知名美国政客来说,采取这种立场并不常见。克林顿的声明可能是为了回应她的前总统竞争对手特朗普在2016年请求俄罗斯黑客在民主党全国委员会的电子邮件遭到破坏后公开她的私人电子邮件。

尽管数据泄露已成为黑客活动分子支持乌克兰的一项关键策略,但到目前为止,它们对战争进程的总体影响不大。尽管分析人士最初预计,这场冲突将包括明显的网络战,但它在很大程度上未能实现,部分原因是俄罗斯军方继续以常规方式摧毁乌克兰的住房和基础设施。

参考来源:TheVerge http://u6.gg/k7dn5

 

(三)北约和七国集团领导人承诺防御俄罗斯报复性网络攻击

北约、七国集团领导人和欧盟3月24日在布鲁塞尔召开了一系列峰会,承诺加强防御俄罗斯对乌克兰和其他盟国的网络攻击,并誓言改善威胁信息共享,并惩罚相关责任人。美国总统拜登参加了有关紧急会议。

几天前,拜登及其白宫警告称,情报可能发生变化,这表明俄罗斯总统普京面临严峻形势,可能正在寻求报复试图在乌克兰战争中惩罚他的联盟,可能会使用网络攻击。世界各国领导人表示,他们不会容忍此类袭击。

北约国家元首和政府首脑在声明中表示,“我们正在加强我们的网络能力和防御,在发生来自俄罗斯的网络攻击时相互提供支持。我们准备好让那些在网络空间伤害我们的人付出代价,并正在加强信息交流和态势感知,加强公民准备,并加强我们应对虚假信息的能力。”

本月早些时候,北约承认乌克兰是其合作网络防御卓越中心的贡献参与者。七国集团在3月24日发表声明,部分涉及数字防御。

七国集团声明中表示,“我们将继续努力支持乌克兰,保护其网络免受网络事件的影响。为了准备应对俄罗斯对我们所采取行动的任何恶意网络响应,我们正在采取措施,通过加强我们协调一致的网络防御和提高我们对网络威胁的共同认识,来提高我们各自国家基础设施的恢复能力。我们还将努力追究那些在网络空间从事破坏性、破坏性或破坏稳定活动的行为者。”

参考来源:CyberScoop http://u6.gg/k7ycn

 

(四)FBI警告俄罗斯黑客对美国能源公司感兴趣

美国联邦调查局警告称,自俄乌特别军事行动开始以来,俄罗斯黑客对能源公司的兴趣有所增加,尽管FBI没有提供任何迹象表明计划进行特定的网络攻击。

美联社在3月22日获得的一份FBI报告称,俄罗斯黑客已扫描了至少5家能源公司和至少18家其他公司的漏洞,包括国防工业基础和金融服务。该公告没有指明任何公司名称。

扫描网络中的漏洞很常见,并不表示攻击即将发生,尽管该活动有时可能是攻击的前兆。尽管如此,联邦调查局周五发出的警告强调了拜登政府由于俄罗斯与乌克兰的战争而加剧的网络安全问题。

3月21日周一白宫表示,有不断变化的情报表明,俄罗斯正在考虑对美国的关键基础设施发起网络攻击,白宫负责网络和新兴技术的国家安全副顾问安妮·纽伯格在白宫新闻发布会上表示失望,一些关键基础设施实体未能修复可能被俄罗斯黑客利用的已知软件漏洞。

与此同时,CISA在3月22日召集了超过13,000名行业利益相关者的电话会议,警告未来网络攻击的可能性,并强调立即采取行动保护自己的必要性。

FBI报告分享了140个IP地址,据称这些地址至少自2021年3月以来就与扫描美国的关键基础设施有关。自上个月俄乌冲突开始以来,这种扫描有所增加,导致未来入侵的可能性更大。

该公告称,尽管FBI承认扫描活动很常见,但IP地址与之前“针对外国关键基础设施进行破坏性网络活动”的网络参与者有关。在这种情况下,扫描活动“可能表明侦察处于早期阶段”。

参考来源:美联社http://u6.gg/k7ns3

 

(五)美国警告称Avoslocker勒索软件攻击美国关键基础设施部门

美国联邦调查局(FBI)与美国财政部和金融犯罪执法网络(FinCEN)3月17日发布联合公告称,AvosLocker勒索软件正在被用于针对美国关键基础设施的攻击。

该公告表示,“AvosLocker是一种勒索软件即服务(RaaS),基于其附属组织,针对美国多个关键基础设施部门的受害者,包括但不限于金融服务、关键制造和政府设施部门。AvosLocker声称直接处理赎金谈判,以及在其附属机构攻击目标后发布和托管泄露的受害者数据。因此,AvosLocker入侵指标(IOC)在针对AvosLocker恶意软件的指标和针对负责入侵的个人关联公司的指标之间有所不同。”该联合公告包括网络防御者可以用来检测和阻止威胁的妥协指标(IOC)。

AvosLocker于2021年9月出现在威胁环境中,自1月以来,该组织通过实施对加密Linux系统的支持来扩大其目标,特别是VMware ESXi服务器。

AvosLocker运营商此前声称发布了一款名为AvosLinux的Linux变体,声称该恶意软件能够支持Linux和ESXi服务器。AvosLocker勒索软件将.avoslinux扩展名附加到所有加密文件的文件名中,然后在包含加密文件的每个文件夹中放置赎金记录。

该公告显示,在某些情况下,AvosLocker勒索软件运营商通过电话将受害者作为目标,鼓励他们去洋葱网站进行谈判,并威胁要在线泄露被盗数据。在某些情况下,该团伙还在谈判期间威胁并实施分布式拒绝服务(DDoS)攻击。

AvosLocker泄密网站声称在美国、叙利亚、沙特阿拉伯、德国、西班牙、比利时、土耳其、阿拉伯联合酋长国、英国、加拿大、中国和中国台湾都有受害者。

在某些情况下,AvosLocker谈判者还在谈判期间威胁并发起分布式拒绝服务(DDoS)攻击,可能是在受害者不合作的情况下,以说服他们遵守他们的要求。

参考来源:SecurityAffairs http://u6.gg/k7dmv

 

(六)美国警告称美国和国际卫星通信网络面临威胁

美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)3月17日发布警告称,美国和国际卫星通信(SATCOM)网络可能面临威胁,成功入侵SATCOM网络可能会给SATCOM网络提供商的客户环境带来风险。

鉴于当前的地缘政治形势,CISA的Shields Up倡议要求所有组织大幅降低报告和共享恶意网络活动迹象的门槛。为此,CISA和FBI将在新信息可用时更新该联合网络安全警告,以便SATCOM提供商及其客户可以采取与其环境相关的额外缓解措施。

CISA和FBI强烈鼓励关键基础设施组织和其他作为SATCOM网络提供商或客户的组织审查和实施以下缓解措施,以加强SATCOM网络安全。

1、在SATCOM设备的入口和出口点实施额外监控,以寻找异常流量;

2、对用于访问和/或管理SATCOM网络的所有账户使用安全的身份验证方法,包括多因素身份验证;

3、通过授权策略执行最小特权原则。尽量减少不必要的身份特权。考虑分配给个人账户的权限,以及分配给非人员账户的权限,例如分配给软件或系统的权限。账户权限应明确定义、范围狭窄,并根据使用模式定期审核;

4、审查信任关系。审查与IT服务提供商的现有信任关系。众所周知,威胁行为者利用提供商与其客户之间的信任关系来访问客户网络和数据;

5、在SATCOM提供商租用或提供的所有通信链路上实施独立加密;

6、加强操作系统、软件和固件的安全性;

7、监控网络日志中的可疑活动以及未经授权或异常的登录尝试;

8、创建、维护和实施网络事件响应计划、恢复计划和运营连续性计划,以便在包括SATCOM网络在内的技术系统中断或需要离线时保持关键功能和运营能够运行。

参考来源:CISA http://u6.gg/k7dt5

 

(七)Vmware修复Carbon Black平台两个严重漏洞

VMware修复了Carbon Black应用程序控制平台的两个严重任意代码执行漏洞CVE-2022-22951和CVE-2022-22952,CVSS均为10分,威胁行为者可利用这些漏洞在受影响的Windows系统上执行任意代码。只有经过身份验证的具有高权限的攻击者才能利用这些漏洞。

Carbon Black App Control是一款允许列出解决方案的应用程序,旨在使安全运营团队能够锁定新旧系统,以防止不必要的更改、简化合规流程,并为公司系统提供保护。

安全研究人员Jari Jääskelä发现并报告了这些漏洞。VMware在公告中表示,“VMware Carbon Black App Control中的多个漏洞已私下报告给VMware。可以使用更新来修复受影响的VMware产品中的这些漏洞。”

第一个漏洞CVE-2022-22951是Carbon Black App Control中的操作系统命令注入漏洞,是由于不正确的输入验证导致远程代码执行。通过网络访问VMware App Control管理界面的经过身份验证的高权限恶意行为者可能能够在服务器上执行命令,因为不正确的输入验证会导致远程代码执行。

第二个漏洞CVE-2022-22952是VMware Carbon Black App Control中的文件上传漏洞,攻击者可以通过上传特制文件来触发该漏洞。对VMware App Control管理界面具有管理访问权限的恶意行为者可通过上传特制文件,在安装了AppC服务器的Windows实例上执行代码。

受影响的版本包括8.5.x、8.6.x、8.7.x和8.8.x,VMware通过发布8.5.14、8.6.6、8.7.4和8.8.2版本解决了这些漏洞,建议客户立即安装安全更新。

参考来源:SecurityAffairs http://u6.gg/k7nw1

 

(八)黑客组织Anonymous窃取雀巢10GB敏感数据

黑客组织Anonymous在3月22日在推特上宣布,其入侵并窃取了瑞士食品饮料公司雀巢的10GB敏感数据,因为雀巢决定继续在俄罗斯运营。泄露的敏感数据包括电子邮件、密码、及商业客户数据。目前Anonymous已泄露了超过五万雀巢企业客户的数据样本。

在俄乌冲突爆发之后,尽管众多竞争对手向雀巢施加压力,要求其切断与俄罗斯的联系,但是雀巢继续在俄罗斯运营,持续向俄罗斯提供必需品,因此黑客组织Anonymous呼吁全面抵制雀巢产品。

在强烈的公众压力下,已有400多家跨国企业部分或完全退出俄罗斯市场,切断与俄罗斯的关系,以抗议俄乌特别军事行动。

雀巢本月早些时候宣布,将暂停从俄罗斯出口其所有产品,但婴儿配方奶粉等必需品除外。雀巢还表示,不会将Nespresso或其他产品进口到俄罗斯,但婴儿配方奶粉、谷物和治疗性宠物食品除外。

雀巢为其留在俄罗斯的决定进行了辩护,声称不会从其在俄罗斯的业务中获利。随着战争升级和伤亡人数增加,乌克兰加大了要求雀巢离开俄罗斯的压力。

乌克兰总理Denys Shmyhal透露,他与雀巢公司首席执行官马克施耐德就“留在俄罗斯市场的副作用”进行了交谈。Shmyhal表示,“很遗憾的是,他的声音震耳欲聋。向恐怖主义国家纳税意味着杀死手无寸铁的儿童和母亲。我希望雀巢能尽快改变主意。”

参考来源:TheTechOutlook http://u6.gg/k7r55

 

(九)俄罗斯肉类生产商Miratorg遭受BitLocker加密攻击

俄罗斯联邦兽医和植物检疫监督机构Rosselkhoznadzo发布报告称,总部位于莫斯科的肉类生产商和分销商Miratorg Agribusiness Holding遭受了一次重大的网络攻击,对其IT系统进行了加密。该事件影响了Miratorg的所有子公司。

该机构指出,攻击者利用Windows BitLocker功能加密文件,实质上是执行勒索软件攻击。攻击背后的原因似乎是破坏,而不是财务,因为Miratorg是俄罗斯最大的食品供应商之一。

遭受入侵的是兽医服务和从事该领域的公司使用的国家信息系统VetIS,这可能是供应链攻击,但这需要从多方面证实。

Rosselkhoznadzor的公告表示,“很可能这一事件是西方集体对俄罗斯发动的信息和经济全面战争。我们被迫做出这一假设,因为在十多年间,VetIS以及与之集成的数万个俄罗斯和外国软件系统从未发生过此类事件。当然,人们可以假设这只是一个巧合,但鉴于VetIS本身正在遭受持续攻击,这种假设对我们来说似乎极不可能,自西方向我们宣战以来的时间太短了。”

Miratorg还发表了一份声明,称已经在努力消除后果,并恢复其业务的正常运作。该公司承诺,攻击不会影响其对俄罗斯公民的供应和发货,这表明对其交付业务的影响有限。

该公司还就攻击者的动机发表了声明,“Miratorg旗下多家公司的信息系统遭到信息攻击,导致部分企业的活动受到干扰。修复工作正在进行中,所有系统将尽快恢复正常运行。鉴于该国最大的企业和政府机构受到越来越多的黑客攻击,可以假设,该事件是对该国最大的肉类加工企业之一不友好。Miratorg公司向合作伙伴和客户保证,供应和运输不会中断,向俄罗斯公民提供食品将照常进行。”

为了减少网络攻击的影响,联邦机构将暂时取消对产品运输的严格文件要求,以协助Miratorg及其子公司运输货物。此外,它将接受手写证书,并允许访问联邦平台Mercury在需要时发布正式文件。

为了缓解客户在这些关键时期对食品安全的担忧,Rosselkhoznadzor强调,Miratorg拥有良好的声誉记录,因此考虑到这一点,因此做出了例外处理。

最后,该机构建议俄罗斯所有使用VetIS的公司在非易失性媒体上创建其文件和数据库的备份,并将“过度形式主义”放在一边,互相帮助。

参考来源:BleepingComputer http://u6.gg/k7481

 

(十)EXOTIC LILY是与Conti勒索软件组织有关的初始访问代理

谷歌威胁分析小组发现了一个名为EXOTIC LILY的出于经济动机的威胁行为者,是与Conti和Diavol勒索软件有关的初始访问代理,利用微软MSHTML中的零日漏洞CVE-2021-40444。

经过进一步调查确定,EXOTIC LILY是一个初始访问代理,使用大规模网络钓鱼活动来破坏目标企业网络,然后将这些网络的访问权限出售给勒索软件团伙。在高峰期,EXOTIC LILY在一天内向650个组织发送了5,000多封电子邮件,显示了网络钓鱼活动的广泛性。

直到2021年11月,该组织似乎都针对特定行业,例如IT、网络安全和医疗保健,但最近攻击了各种各样的组织和行业,没有特别关注的行业。

在分析黑客组织的活动后,微软威胁分析小组(TAG)发现,威胁行为者主要在工作日的美国东部时间上午9:00到下午5:00工作,而在周末的活动很少。

虽然认为网络犯罪分子从事朝九晚五的常规工作可能很奇怪,但最近的Conti Leaks显示,许多威胁行为者像企业一样开展业务,要求休假,向经理报告,并领取工资。

此外,该组织成员在与目标共享链接之前执行后端技术任务,例如自定义业务提案模板或将恶意软件有效负载上传到合法的文件共享服务。

从操作的角度来看,攻击链遵循严格的形式,从注册欺骗域开始,然后使用它发送电子邮件,与目标建立关系,最后通过文件托管服务共享有效载荷。

使用的域与被欺骗组织的实际域名相同,但在不同的TLD上注册,例如.us、.co或.biz。行为者通过开源情报获取目标的电子邮件地址,或使用网站的联系表发送虚假提案。

EXOTIC LILY运营商甚至在LinkedIn上创建了虚假的社交媒体账户,声称他们在这个被欺骗的组织中工作,使用AI生成或直接从实际员工那里窃取的图像。这一切都是为了完善合法性的虚假形象,同时严格围绕讨论提案的设计或服务要求进行初始沟通。

一旦受害者放松警惕,谷歌TAG称攻击者通过TransferNow、TransferXL、WeTransfer或OneDrive共享下载链接,从而导致下载BazarLoader恶意软件。Abnormal Security上周披露的类似BazarLoader网络钓鱼活动中使用了这些相同的文件共享服务。

首次发现时,该组织的恶意软件以文档文件的形式出现,试图利用CVE-2021-40444漏洞。随后攻击者将交付表单更改为包含BazarLoader DLL和LNK快捷方式的ISO档案。

谷歌研究人员在这些样本中发现了定制的迹象,但这可能是由向EXOTIC LILY提供恶意软件的其他参与者完成的。本月,该小组继续使用ISO文件,但现在合并了一个包含自定义加载程序的DLL,这是以前使用的第一阶段加载程序的高级变体。

该加载程序会释放一种名为Bumblebee的恶意软件,使用WMI收集系统信息,并将所有内容泄露到C2。Bumblebee还可以接收来自远程参与者的命令,并下载和运行额外的有效载荷,此时提取的文件是Cobalt Strike。

虽然EXOTIC LILY的活动与Conti自己的业务重叠,但谷歌威胁分析师认为,它是一个完全专注于建立初始网络访问的独特威胁行为者。

谷歌研究报告表示,“虽然该组织与其他团体的关系性质仍不清楚,但EXOTIC LILY似乎作为一个独立的实体运作,专注于通过电子邮件活动获取初始访问权限,后续活动包括部署Conti和Diavol勒索软件,这是由一组不同的威胁行为者。”

值得注意的是,最近Conti内部消息的泄露反映了一个蓬勃发展的犯罪集团,其专门部门具有独特的角色和中央协调。此外,Conti/Ryuk的运营一直与TrickBot组织及其恶意软件操作有着密切的联系,即Diavol、TrickBot、BazarBackdoor和Anchor。

最近研究人员发现,Conti勒索软件操作已经控制了TrickBot恶意软件系列的开发,这得到了Conti泄漏中暴露的Conti管理人员之间的对话的支持。因此,如果Conti有自己的内部团队,专注于高级鱼叉式网络钓鱼和部署这些感染的初始网络访问,那就不足为奇了。

然而谷歌TAG表示,虽然垃圾邮件操作可能是由Conti自己运营的,但Conti泄漏中没有关于垃圾邮件的对话表明它是一个外部组织。

谷歌TAG表示,“在Conti泄密事件中,Conti成员提到垃圾邮件发送者是通过外包合作的人,例如提供定制的加密恶意软件样本等。然而,大多数垃圾邮件发送者似乎并没有出现在聊天中或积极交流,因此得出的结论是,他们作为一个单独的实体运营。”

参考来源:BleepingComputer http://u6.gg/k7u75

 

(十一)美国乳品公司Hood发生网络安全事件导致生产关闭

美国乳品公司Hood在3月18日表示,其发生了网络安全事件,迫使其暂时关闭了全国13家乳品厂。在Hood恢复设施运营之前,可能导致一些客户的交货延迟。

Hood发言人Lynne Bohan表示,在上周得知影响IT系统的事件后,出于非常谨慎的考虑,Hood决定停止生产。“我们感谢员工的辛勤工作和努力,感谢客户的耐心和理解。”

长期以来,黑客一直以拥有敏感信息的组织为目标,例如联邦政府、或燃料分配网络等关键基础设施。与俄罗斯有关的组织被指责去年针对Colonial管道和JBS肉类包装设施的两次重大网络攻击。随着俄乌冲突的进展,人们越来越担心来自莫斯科的更多攻击。但Hood事件表明,网络威胁甚至可以延伸到最有益健康的消费品,即使是有175年历史的制造商Hood也不能幸免。

Bohan表示,在停产期间,Hood无法生产产品或接收新的原材料,包括牛奶。该公司试图转移其交货,但数量不详的牛奶必须“处理”。

Hood还要求其大约3,000名员工在其IT团队和其他人员解决该问题时不要使用公司提供的设备。目前尚不清楚Hood向杂货店的配送是否受到干扰。

波士顿网络安全公司Rapid7首席研究员Bob Rudis表示,在公司发布更多信息之前,很难推测Hood发生了什么。但由于该公司称这种情况为“网络安全事件”,这很可能是一次攻击。“听起来差不多就是这个样子。攻击者可以对内部系统做很多事情,让Hood关闭一切。”

黑客可能已经部署了拒绝服务攻击,这将使Hood的内部网络不可用,导致其系统不断重启,或引入恶意软件。Rudis表示,即使Hood最初不知道是什么导致了这个问题,公司关闭其设施并阻止员工访问公司设备是明智之举。这可能允许Hood控制问题,而不是让它级联成一个更大的问题,这可能需要更长的时间来解决。

Hood总部位于美国林恩菲尔德,自19世纪中叶在查尔斯顿成立以来,这家日益全国化的公司已发展到年销售额约27亿美元,工厂远至弗吉尼亚和加利福尼亚。Hood以自己的品牌销售奶制品,以及其他品牌,包括Blue Diamond Almond Breeze、Planet Oat和Green's Ice Cream。它的产品养活了几代新英格兰人,它的牛奶盒是整个地区学校零食时间的共同特征。

CVS、Shaw's、Star Market和Stop & Shop在波士顿销售Hood牛奶、冰淇淋和酸奶油,这些公司代表没有回答有关他们是否预计产品交付延迟的问题。

但本周早些时候,新罕布什尔州的一个学区敲响了警钟。新罕布什尔州彼得伯勒Contoocook Valley学区的一位发言人表示,其食品供应商Fresh Picks Cafe周二通知他们,Hood经历了一次“严重的网络黑客攻击”,导致该公司关闭。

发言人在博客上发布的一篇通知家庭情况的通知显示,称如果牛奶供应不足,他们将提供水或果汁作为替代品。毕竟Hood是该地区最大的八盎司包装牛奶生产商。

到目前为止,Contoocook Valley仍然有给学生的牛奶供应。但是为了满足美国农业部关于可报销学校午餐的指导方针,该学区寻求州政府的豁免,以防由于Hood中断而无法获得新鲜牛奶。

发言人Colleen Quinn表示,在马萨诸塞州,没有学校要求这样的豁免,或向中小学教育部表达对Hood牛奶情况的担忧。代表地区奶农的波士顿非营利组织New England Dairy的发言人Michael DeAngelis表示,他预计不会因为这起事件而导致“学校和其他地方的牛奶短缺。”

Rudis表示,尽管Hood工厂重新开始运作,大多数制造商品的公司都有手动备份系统,这些系统通常与其内部网络分离。这些手动计划通常用于防止停电或风暴,但在网络攻击期间也可能会有所帮助。“Hood可能有一个很好的计划,因为其设施似乎只关闭了几天,这让他们有时间处理内部系统。”

参考来源:TheBostonGlobe http://u6.gg/k7xs3

 

(十二)信用机构TransUnion南非部门遭受勒索软件攻击

征信公司TransUnion南非公司遭受了N4aughtysecTU黑客组织的网络攻击,该组织要求对4TB泄露数据支付1500万美元的赎金。黑客组织N4aughtysecTU自称来自巴西,访问并拥有TransUnion 5400万南非人的个人记录。

TransUnion已确认,犯罪第三方通过滥用授权客户的凭据获得了对其南非服务器的访问权限。

TransUnion在声明中表示,“犯罪第三方通过滥用授权客户的凭据获得了对TransUnion South Africa服务器的访问权限。我们收到了敲诈勒索要求,但不会得到支付。发现此事件后,TransUnion South Africa立即暂停了客户的访问,聘请了网络安全和取证专家,并展开了调查。作为预防措施,TransUnion South Africa将我们服务的某些要素下线。这些服务已经恢复。我们认为该事件影响了一台隔离服务器,该服务器持有我们南非业务的有限数据。我们正在与执法部门和监管机构合作。”

TransUnion是第二家遭受黑客入侵的信用机构。2020年,消费者、商业和信用信息服务机构Experian经历了一次数据泄露事件,将多达2400万南非人和793749个商业实体的一些个人信息暴露给了涉嫌欺诈者。TransUnion是一家美国消费者信用报告机构,它收集和汇总全球30多个国家超过10亿个人消费者的信息。

该黑客组织通过Telegam声称,其拥有的信息包括信用评分、银行详细信息和身份证号码等任何内容。该组织表示,IT系统非常脆弱,以至于TransUnion使用的密码就是“Password”一词。该黑客组织声称早在2012年就入侵了TransUnion系统而未被发现。

该黑客组织声称,“我们是N4ughtySec集团黑客,自2012年以来,我们已经入侵了TransUnion South Africa。我们拥有超过4TB的所有客户信息,这些信息包括200多家公司。我们已与TransUnion取得联系,他们已收到我们的赎金要求。他们在2022年3月11日星期五收到了警报。”

该黑客组织表示,他们在TransUnion系统上发现了CEO Lee Naik的个人信息,随后通过个人手机联系了他。

N4ughtySec威胁TransUnion,如果不支付赎金,将暴露数据或针对客户。N4aughtysecTU要求TransUnion在未来7天内以比特币支付2.23亿兰特的赎金,约合1500万美元。

N4ughtySec威胁声称,“如果他们不付款,我们将攻击他们所有的企业客户。我们将数据分组,政党、政府官员、政府官员、议会官员、法官、检察官等。”

TransUnion在一份声明中表示,在发现事件后,立即暂停了授权客户的访问,聘请了网络安全和法医专家,并展开了调查。作为预防措施,TransUnion South Africa将其服务的某些部分下线。

据该公司声称,这些服务已经恢复,该事件影响了一台隔离服务器,该服务器保存了南非业务的有限数据,并且正在与执法部门和监管机构合作。

TransUnion南非首席执行官Lee Naik表示,“我们正在就这一事件与南非的客户进行交流。随着调查的进展,我们将通知并协助个人数据可能受到影响的个人。我们将免费向受影响的消费者提供身份保护产品。我们持有的信息的安全和保护是TransUnion的首要任务。我们知道,这样的情况可能会令人不安,TransUnion South Africa仍然致力于帮助任何信息可能受到影响的人。”

参考来源:ITWeb http://u6.gg/k7u4m

 

 

 

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号