安全研究
全部分类

关键信息基础设施安全动态周报【2022年第28期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-07-22 16:47
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第28期】天地和兴播报。

关键信息基础设施安全动态周报【2022年第28期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第28期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-07-22 16:47
  • 访问量:
详情

 

目   录

第一章 国内关键信息基础设施安全动态

(一)滴滴违法违规被罚80.26亿元

第二章 国外关键信息基础设施安全动态

(一)2022年上半年披露681个ICS漏洞

(二)工业控制系统遭受恶意木马攻击

(三)GPS车辆跟踪器存在多个严重漏洞

(四)美国网络安全审查委员会声称Log4j漏洞影响可长达十年

(五)新型Retbleed攻击影响Intel及AMD处理器

(六)记者和媒体成为APT组织首选攻击目标

(七)HolyGhost勒索软件与朝鲜有关

(八)阿尔巴尼亚遭受大规模境外网络攻击

(九)大规模钓鱼活动使用中间人攻击绕过多因子认证

(十)美国罗德岛污水系统运营商遭受勒索软件攻击

(十一)印度洪水监测系统遭受勒索软件攻击

 

 

第一章 国内关键信息基础设施安全动态

(一)滴滴违法违规被罚80.26亿元

根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实,滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。

7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

经查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。

此前,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。

本文版权归原作者所有,参考来源:国家网信办 http://985.so/bmfti

 

第二章 国外关键信息基础设施安全动态

(一)2022年上半年披露681个ICS漏洞

工业资产和网络监控公司SynSaber分析发现,美国网络安全和基础设施安全局(CISA)在2022年上半年披露了681个工业控制系统(ICS)产品漏洞,其中大约13%没有补丁,并且可能永远无法修复,也就成为了永久漏洞。

SynSaber统计了CISA披露的681个漏洞,略高于2021年上半年。值得注意的是,CISA并未针对所有公开披露的ICS漏洞发布公告,这意味着1月至6月期间披露的实际问题数量可能会更高。

然而在某些情况下,即使漏洞确实有补丁,由于复杂的互操作性和保修限制,应用它可能不是一项简单的任务。组织可能需要等待受影响的OEM供应商批准补丁,并且需要在采取任何步骤之前确定运营风险。

CISA在2022年上半年公开的漏洞中,超过22%的漏洞为严重漏洞,42%的漏洞为高危漏洞。

然而在ICS情况下,CVSS分数可能会产生误导。SynSaber建议组织查看某些指标,以确定漏洞是否可以在其环境中实际利用。例如如果利用漏洞需要用户交互、本地/物理访问或目标系统上的提升权限,那么就不太可能被利用。

在这种特殊情况下,利用46个漏洞需要访问和用户交互,198个需要用户交互。在681个ICS漏洞中,超过一半需要软件补丁,34%需要固件更新,12%需要协议更新。

SynSaber评估表明,大约40%的漏洞应该立即解决,8%的漏洞不容易解决,可能需要补偿控制以防止利用。

SynSaber在报告中表示,“仅仅查看报告的CVE的绝对数量可能会让资产所有者感到不知所措,但当我们了解CVE的相关性和可操作性的百分比,这些数字似乎就不那么令人生畏了,至少目前,这些CVE仍然是永久漏洞。”

参考来源:SecurityWeek http://985.so/bmf32

 

(二)工业控制系统遭受恶意木马攻击

Dragos研究人员发现,有恶意软件伪装成可破解PLC、HMI和项目文档的密码破解软件,正在网络上热销。然而该密码破解软件根本没有破解密码,而是利用固件中的漏洞根据命名检索密码。威胁攻击者利用Sality恶意软件攻击工业控制系统,通过PLC密码破解软件创建僵尸网络。Sality僵尸网络可进行密码破解及加密货币挖掘活动。

Dragos研究人员发现,有恶意软件伪装成可破解PLC、HMI和项目文档的密码破解软件,正在网络上热销。然而该密码破解软件根本没有破解密码,而是利用固件中的漏洞根据命名检索密码。威胁攻击者利用Sality恶意软件攻击工业控制系统,通过PLC密码破解软件创建僵尸网络。Sality僵尸网络可进行密码破解及加密货币挖掘活动。

然而,任何信息安全专业人员都知道不要下载和运行不受信任的软件,谁会买这种密码破解软件呢?例如,电力公司工程师小王刚刚晋升为高级工程师,他的同事老李在工作了30年后退休了。小王需要更新Hector在Automation Direct的DirectLogic 06 PLC上编写的一些梯形逻辑。在启动PLC编程软件DirectSOFT后,弹出提示需要输入密码。

小王不知道密码,老李又退休了,正巧小王在网上看到了PLC密码破解软件的广告,决定试一试。小王的安全意识同事小赵提醒不要将这种不必要的风险引入OT环境,然而小王认为这项任务时间紧迫,就购买了该软件并在工程工作站上运行。

小王成功恢复了PLC密码,但几分钟后发现工程工作站系统行为异常。小王对密码破解软件进行了逆向工程,并发现该软件根本没有破解密码,而是利用了固件中的一个漏洞,使其能够根据命令检索密码。

此外,该软件是一个恶意软件植入程序,用Sality恶意软件感染机器,并将主机变成Sality僵尸网络的主机。

Dragos研究人员证实,嵌入在恶意软件植入程序中的密码检索漏洞通过串行连接成功恢复了Automation Direct的DirectLogic 06 PLC密码。用户只需要从Windows机器连接到PLC,然后指定通信的COM端口,并单击READPASS按钮,一两秒后,密码就会显示给用户。

此前针对DirectLogic PLC的研究已经成功实现了破解技术,然而Dragos发现,这个漏洞并没有破解密码的加密版本,相反,恶意软件释放程序会将特定的字节序列发送到COM端口。

通过捕获该漏洞发送的串行流量,Dragos研究人员可以在恶意软件释放程序之外重新创建该漏洞。该恶意软件包含仅串行版本的漏洞利用,要求用户从工程工作站(EWS)直接串行连接到PLC。Dragos研究人员能够成功地通过以太网重新创建漏洞利用,从而大大增加了此漏洞的严重性。

该漏洞编号为CVE-2022-2003,并已负责任地向Automation Direct披露,Automation Direct已发布固件更新来解决该问题。

Sality是一个P2P僵尸网络,用于分布式计算任务,例如密码破解和加密货币挖掘。Sality感染可能会导致未知攻击者远程访问EWS。Dragos认为,该攻击者同时具有破坏工业流程的能力,出于财务动机,并且可能不会直接影响OT流程。

Sality使用进程注入和文件感染来维持主机上的持久性,滥用Window的自动运行功能,通过USB、网络共享和外部存储驱动器上传播自身的副本。这个特定的Sality样本还释放了剪贴板劫持恶意软件,该恶意软件每半秒检查一次剪贴板中的加密货币地址格式。如果被发现,攻击者会用威胁行为者拥有的地址替换该地址。这种实时劫持是从想要转移资金的用户那里窃取加密货币的有效方式,并且攻击者更有可能是出于经济动机。

为了不被发现,Sality释放了内核驱动程序,并启动了一项服务,以识别任何潜在的安全产品,例如防病毒系统或防火墙,并终止它们。据报道,Sality能够对与防病毒相关的URL进行IP过滤,并将释放任何包含已知连接到防病毒供应商网站的特定关键字的传出数据包。这可能会产生监管影响,由于Sality会阻止任何传出连接,因此防病毒系统将无法接收违反可靠性标准CIP-007-6的更新。虽然Sality多次尝试隐藏,但很明显感染正在发生。CPU峰值飙升至100%,并触发了多个Windows Defender警报。

参考来源:Dragos http://985.so/bmf55

 

(三)GPS车辆跟踪器存在多个严重漏洞

网络安全公司BitSight研究人员发现,Micodus MV720 GPS车辆跟踪器中存在6个漏洞,169个国家的超过150万辆汽车受到影响。攻击者可利用这些漏洞远程中断受影响车辆的关键功能,跟踪人员并远程禁用汽车。

BitSight研究人员去年发现了这些漏洞,自2021年9月以来,一直试图负责任地向中国GPS跟踪器供应商Micodus披露其发现。然而努力并未成功,安全漏洞仍未修补。

研究人员在Micodus MV720 GPS跟踪器中发现了六个漏洞,该跟踪器的价格约为20美元,并且可以广泛使用,但BitSight认为同一供应商的其他产品也可能受到影响。

Micodus表示,其150万台跟踪设备部署在169个国家/地区,这些产品用于政府、军事、执法、航空航天、工程、航运、制造等行业。

BitSight分析的设备模型提供GPS跟踪、防盗、燃油切断、地理围栏和远程控制功能,可以使用通过SMS或通过移动和Web应用程序发送的命令进行控制。

该产品受到硬编码和默认密码、身份验证损坏、跨站点脚本(XSS)和不安全的直接对象引用(IDOR)问题的影响。威胁行为者可以使用各种攻击向量,包括中间人(MitM)、通过移动应用程序绕过身份验证,以及重新编程跟踪器以使用攻击者控制的IP地址作为其API服务器。

BitSight警告程,在每种情况下,远程攻击者都可以完全控制GPS跟踪器,能够访问位置和其他信息,并解除警报和切断燃料。

BitSight描述了涉及利用这些漏洞的几种可能情况,例如黑客可以跟踪知名人士以及普通个人、实施犯罪、入室盗窃。

以利润为导向的网络犯罪分子可能会禁用个人汽车或公司的整个车队,并要求赎金。如果车辆在行驶时被禁用,可能会产生严重的安全隐患。

BitSight警告说,由于政府和军事组织也使用Micodus GPS跟踪器,因此利用这些漏洞可能会对国家安全产生影响。

BitSight无法准确确定正在使用的设备数量,但监控与Micodus服务器的连接显示超过230万个连接,其中包括90,000个到Web接口端口的连接,这被认为是对独特客户的相当准确的测量。

用户数量最多的国家是墨西哥、智利、巴西、俄罗斯、西班牙、波兰、乌克兰、南非和摩洛哥。研究人员已识别出一些使用Micodus GPS追踪器的组织,包括南美和东欧的国家军队、西欧的执法和政府组织,以及北美的一个政府部门。

在无法直接向供应商报告其发现后,BitSight联系了美国网络安全和基础设施安全局(CISA),CISA为漏洞分配了五个CVE编号,CVE-2022-2107、CVE-2022-2141、CVE-2022-2199、CVE-2022-34150和CVE-2022-33944,CISA也发布了安全咨询。

BitSight提供了每个漏洞的技术细节,并建议Micodus客户停止使用受影响的跟踪器,直到发布补丁,目前没有解决方法。

参考来源:SecurityWeek http://985.so/bmfwq

 

(四)美国网络安全审查委员会声称Log4j漏洞影响可长达十年

美国国土安全部网络安全审查委员会7月14日发布报告称,Log4j漏洞可能会在未来十年或更长时间内带来安全风险。虽然没有迹象表明由于Log4j漏洞而受到任何重大网络攻击,但它仍将“在未来几年内被利用”。

委员会主席、国土安全部副部长Rob Silvers表示,Log4j是历史上最严重的软件漏洞之一。

Log4j漏洞于去年年底公开,使得基于互联网的攻击者能够轻松控制从工业控制系统到web服务器和消费电子产品的一切。该漏洞被利用的第一个明显迹象出现在微软旗下的非常流行的在线游戏《我的世界》中。

该漏洞的发现引发了政府官员的紧急警告,以及网络安全专业人员为修补易受攻击的系统所做的巨大努力。

委员会表示,“有点令人惊讶”的是,Log4j漏洞的利用程度低于专家的预期。目前没有任何对关键基础设施系统的“重大”Log4j攻击,但指出一些网络攻击没有报告。未来的攻击很可能在很大程度上是因为Log4j经常嵌入其他软件,组织很难在系统中找到运行。这项活动还没有结束。

Log4j以Java编程语言编写,记录计算机上的用户活动,由少数志愿者在开源Apache软件基金会的赞助下开发和维护,非常受商业软件开发人员的欢迎。

委员会就减轻Log4j漏洞的影响以及总体上改善网络安全提出了一些建议,包括建议大学和社区学院将网络安全培训作为计算机科学学位和认证计划的必要部分。

网络安全审查委员会以国家运输安全委员会为蓝本,该委员会审查飞机失事和其他重大事故,并由拜登去年5月签署的一项行政命令授权。由15名成员组成的委员会由FBI、国家安全局和其他政府官员以及私营部门的人士组成。新委员会的一些支持者批评国土安全部花了这么长时间才启动和运行。

拜登的行政命令指示委员会对名为SolarWinds的大规模俄罗斯网络间谍活动进行首次审查。俄罗斯黑客能够入侵多个联邦机构,包括属于国土安全部高级网络安全官员的账户,尽管该活动的全部后果仍不清楚。

Silvers表示,国土安全部和白宫一致认为,审查Log4j漏洞是更好地利用新委员会的专业知识和时间。

参考来源:APNews http://985.so/bm7hh

 

(五)新型Retbleed攻击影响Intel及AMD处理器

研究人员发现了一种名为Retbleed的新型推测执行攻击,影响多款老款AMD及Intel处理器,攻击者可利用这些漏洞绕过当前防御,并执行基于Spectre的攻击,诱使处理器运行需要内存中敏感数据的指令,从而获取敏感信息。影响AMD的漏洞编号为CVE-2022-29900,影响Intel的漏洞编号为CVE-2022-29901。

苏黎世联邦理工学院的研究人员Johannes Wikner和Kaveh Razavi发现了该攻击,影响英特尔酷睿CPU从第6代到第8代,以及2017年至2019年间发布的AMD Zen 1、Zen 1+、Zen 2。

推测执行是一种优化技术,允许CPU在知道未来任务是否需要之前执行计算。当目标地址已知时,将遵循包含在指令中的直接分支。当没有关于目的地的线索,但从已经执行的分支中预测出来时,就会发生间接分支。Spectre攻击利用这些猜测,诱使处理器运行需要内存中敏感数据的指令。

研究人员在报告中表示,“Retbleed(CVE-2022-29900和CVE-2022-29901)是推测执行攻击系列的新成员,这些攻击利用分支目标注入来泄露信息,我们称之为Spectre-BTI。与其他推测攻击不同,Retbleed通过利用间接跳转或调用触发有害的分支目标推测,利用返回指令。这意义重大,因为它破坏了我们目前的一些Spectre-BTI防御。”

研究人员指出,许多操作系统使用一种称为retpoline的防御机制,其工作原理是用返回代替间接跳转和调用。Retpolines于2018年首次设计,用于防止Spectre-BTI攻击。可以利用返回指令作为推测执行的攻击向量,并预测间接分支等语句。

然而,苏黎世联邦理工学院的研究人员找到了一种方法,可以像间接分支一样强制预测返回操作,并在内核地址空间中注入分支目标,而不考虑用户的权限。

研究人员表示,“我们发现,我们可以在AMD和Intel CPU上触发微架构条件,这会像间接分支一样强制返回预测。我们还构建了必要的工具来发现Linux内核中满足这些条件的位置。我们发现,我们可以注入驻留在内核地址空间内的分支目标,即使作为非特权用户也是如此。即使我们不能访问内核地址空间内的分支目标,分支到这样的目标会导致页面错误,分支预测单元会在观察到分支时自我更新,并假设它是合法执行的,即使它是到内核的地址。”

研究人员表示,“在Intel上,当保存返回目标预测的返回堆栈缓冲区下溢时,返回开始表现得像间接跳转。这发生在执行深度调用堆栈时。我们发现了超过一千个可以由系统调用触发的此类条件。英特尔CPU的间接分支目标预测器已在之前的工作中进行了研究。”

研究人员表示,“在AMD上,无论其返回地址堆栈的状态如何,返回都将表现得像一个间接分支。事实上,通过使用间接跳转来毒化返回指令,AMD分支预测器将假定它将遇到间接跳转而不是返回,并因此预测间接分支目标。这意味着我们可以通过系统调用获得的任何回报都可以被利用,而且有很多回报。”

英特尔和AMD芯片制造商都通过发布软件补丁解决了这个问题。

参考来源:SecurityAffairs http://985.so/bmjft

 

(六)记者和媒体成为APT组织首选攻击目标

Proofpoint研究人员发现,自2021年以来,各国的APT组织都在以记者和媒体为攻击目标,或者伪装成记者或媒体,因为他们有非公开信息的独特访问权,可获得符合国家利益的敏感信息,并有助于扩大网络间谍活动。

Proofpoint重点关注中国、朝鲜、伊朗和土耳其的APT组织。所有攻击者都试图通过网络钓鱼攻击来破坏目标的电子邮件和社交媒体账户,在某些情况下冒充记者。

Proofpoint在报告中表示,“针对记者的工作电子邮件账户是迄今为止APT参与者使用的最常见的攻击点。值得注意的是,记者正在与外部的、外国的、通常是半匿名的各方进行交流,以收集信息。这种外联活动增加了网络钓鱼的风险,因为与普通用户相比,记者与未知收件人的交流通常是必要的。验证或获取对此类账户的访问权限可能成为威胁行为者对媒体组织网络进行后期攻击或获取所需信息的入口点。”

通过不同平台发送的引诱电子邮件和消息使用了收件人感兴趣的政治焦点。研究人员发现的活动利用各种技术,包括恶意软件在目标网络上建立立足点。攻击者还使用网络信标进行侦察。

Proofpoint追踪了APT组织TA412(又名Zirconium)针对美国记者的活动。民族国家行为者使用包含网络信标(如跟踪像素、跟踪信标和网络错误)的网络钓鱼电子邮件,在电子邮件正文中嵌入超链接的不可见对象。有针对性的驻美记者参与了有关内部政治和国家安全的调查。

活动中使用的网络钓鱼邮件的主题取自美国最近的新闻文章,这些文章与当时感兴趣的政治话题有关,包括前总统唐纳德特朗普的活动、对美国国会大厦的袭击、与中国有关的美国政治运动、以及近日美国对俄乌冲突的立场。

Proofpoint还观察到,另一个APT组织TA459在2022年4月下旬攻击媒体机构的员工。威胁行为者使用包含恶意Royal Road RTF附件acknowledge.doc的电子邮件,如果打开该附件,将会传播Chinoxy后门。

网络信标,通常称为跟踪像素、跟踪信标或网络错误,在电子邮件正文中嵌入了一个超链接的不可见对象,启用后,会尝试从参与者控制的服务器检索良性图像文件。

专家们还观察到与朝鲜有关的TA404组织(又名Lazarus)在2022年初针对一家美国媒体组织。攻击者使用带有工作机会的网络钓鱼信息作为诱饵。

报告表示,“这个活动符合预期的行为。它始于使用为每个收件人定制的URL的侦察网络钓鱼。这些URL模拟了一个带有登录页的职位发布,旨在看起来像一个品牌职位发布网站。如果受害者与包含唯一目标ID的URL进行交互,解析域的服务器将收到电子邮件已送达的确认,并且预期目标已与之交互。此请求还提供有关计算机或设备的识别信息,允许主机跟踪预期目标。”

研究人员还观察到被追踪为TA482的土耳其威胁行为者,定期对以美国记者和媒体组织为主的社交媒体账户进行凭证收集活动。

该报告还详细介绍了TA453等与伊朗有关的APT针对记者和报纸的活动。威胁行为者经常伪装成记者,监视目标并获取他们的证件。

报告表示,“针对记者和媒体组织并不新鲜。APT组织无论隶属于哪个国家,都拥有并且很可能始终拥有以记者和媒体组织为目标的授权,并将使用相关角色来推进其目标和收集优先事项。从收集敏感信息的意图到试图操纵公众认知的企图,记者或新闻媒体可以提供的知识和访问权限在公共空间中是独一无二的。与追求其他更坚定的利益目标相比,例如政府实体,以媒体部门为目标还降低了APT组织失败或被发现的风险。”

参考来源:SecurityAffairs http://985.so/bm7q5

 

(七)HolyGhost勒索软件与朝鲜有关

微软研究人员发现,朝鲜黑客组织一直在使用HolyGhost勒索软件攻击全球中小型企业。一年多以来该勒索软件一直很活跃,攻击目标包括制造业、银行、学校等。该勒索软件也遵循双重勒索策略,如果不支付赎金就在泄露网站上公布受害者的姓名及被盗数据。

微软威胁情报中心(MSTIC)研究人员正在追踪名为DEV-0530的HolyGhost勒索软件团伙,该威胁行为者首次出现是在2021年6月。

与2021年10月出现的后续基于Go的版本相比,早期的HolyGhost勒索软件变种被归类为SiennaPurple(BTLC_C.exe),并没有很多功能。微软跟踪了SiennaBlue(HolyRS.exe、HolyLocker.exe和BTLC.exe)等较新的变体,并指出它们的功能随着时间的推移而扩展,包括多个加密选项、字符串混淆、公钥管理和互联网/内网支持。

研究人员表示,DEV-0530成功入侵了多个目标,主要是中小型企业,受害者包括银行、学校、制造组织以及活动和会议策划公司。

微软威胁情报中心表示,“受害者学表明,这些受害者最有可能成为机会的目标。MSTIC怀疑DEV-0530可能利用了面向公众的Web应用程序和内容管理系统上的CVE-2022-26352(DotCMS远程代码执行漏洞)等漏洞来获得对目标网络的初始访问权限。”

HolyGhost攻击者遵循典型的勒索软件攻击模式,并在受感染系统上部署加密例程之前窃取数据。攻击者在受感染的机器上留下了赎金记录,还通过电子邮件向受害者发送了一个指向被盗数据样本的链接,以宣布他们愿意协商赎金以换取解密密钥。

通常威胁行为者要求支付1.2到5个比特币之间的小额支出,按当前汇率最高约10万美元。即使需求量不大,攻击者也愿意谈判,有时会将价格降低到最初需求的三分之一以下。

这一细节、罕见的攻击率以及受害者的随机选择,都增加了一个理论,即HolyGhost勒索软件操作可能不受朝鲜政府控制。相反,为平壤政权工作的黑客可能会为了个人经济利益自己这样做。

不过,与国家支持的黑客组织的联系是存在的,因为属于HolyGhost的电子邮件账户与朝鲜侦察总局下属Lazarus的威胁行为者Andariel之间存在通信。这两个群体之间的联系更加紧密,因为两者都“从相同的基础设施集运行,甚至使用具有相似名称的自定义恶意软件控制器”。

HolyGhost的网站目前已关闭,但攻击者利用其作为合法实体的能见度很低,来帮助受害者改善他们的安全状况。此外,他们声称自己的行动是为了“缩小贫富差距”和“帮助穷人和挨饿的人”。

与勒索软件行业的其他参与者一样,HolyGhost向受害者保证,如果他们得到报酬,就不会出售或泄露被盗数据。

微软的报告包括一组建议的措施,以防止感染HolyGhost有效负载,以及在调查恶意软件时发现的一些危害指标。

HolyGhost是第二个与朝鲜有关的勒索软件行动。上周,来自FBI、CISA和美国财政部的联合咨询警告称,在朝鲜政府的支持下,Maui勒索软件针对医疗机构开展攻击。

参考来源:BleepingComputer http://985.so/bm79k

 

(八)阿尔巴尼亚遭受大规模境外网络攻击

阿尔巴尼亚遭受了大规模境外网络攻击,导致所有政府系统在遭受网络攻击后关闭,攻击目标为处理许多政府服务的国家信息社会机构(AKSHI)的服务器。网络攻击后,政府服务全部中断。

阿尔巴尼亚国家信息社会机构(AKSHI)在声明中表示,“为了抵御这些前所未有的危险袭击,我们被迫关闭政府系统,直到攻击者的袭击被压制。”

部长理事会在新闻稿中表示,“阿尔巴尼亚正遭受前所未有的大规模网络攻击。这次犯罪网络攻击是同步的,来自阿尔巴尼亚境外。为了不让这次攻击破坏我们的信息系统,国家信息社会局暂时关闭了在线服务和其他政府网站。”

大部分面向民众的服务都被中断,只有一些重要服务仍在运行,例如在线报税,因为它们是由非攻击目标的服务器提供的。

前总理兼反对党领袖萨利·贝里沙对其政府的网络态势持批评态度。“政府怎么会让几乎所有重要服务都通过这个网站?这是怎么发生的?在没有针对网络犯罪的专业警务机制的情况下,如何开展此类举措?”

微软以及Jones Group团队正在帮助AKSHI减轻攻击的影响,并恢复操作。

去年12月,阿尔巴尼亚总理埃迪·拉玛为政府国家数据库中个人记录的大量泄露而道歉。暴露的记录包括大约637,000人的个人身份证号码、就业和工资数据。2021年4月,在阿尔巴尼亚议会选举之前,类似事件暴露了国家数据库中的身份证记录。

参考来源:SecurityAffairs http://985.so/bmfn0

 

(九)大规模钓鱼活动使用中间人攻击绕过多因子认证

微软研究人员发现了一场大规模网络钓鱼活动,该活动不仅试图窃取目标组织的密码,而且还能够绕过多因素身份验证(MFA)防御,目前已破坏了上万个组织。攻击者使用中间人攻击(AiTM)反向代理站点,伪装成Office 365登录页面,请求MFA代码,然后使用它们登录真实站点。

微软在报告中声称,一旦黑客通过使用被盗密码和会话cookie侵入电子邮件收件箱,就会利用访问权限对其他目标发起商业电子邮件妥协(BEC)攻击。

通过在受害者的电子邮件账户上创建规则,攻击者可以确保即使受害者后来更改了密码,他们也能够保持对传入电子邮件的访问。

全球疫情以及由此导致的居家办公的员工增加,推动了多因素身份验证的采用率上升。然而,网络犯罪分子在面对受MFA保护的账户时并没有认输。与没有加强安全性的账户相比,具有MFA的账户肯定不会那么容易被侵入,但这并不意味着它是不可能的。

例如,像Modlishka这样的反向代理网络钓鱼工具包会模拟登录页面,并要求不知情的用户输入他们的登录凭据和MFA代码。然后将收集到的数据传递到真正的网站,允许网络犯罪分子访问该网站。

随着越来越多的人认识到MFA的好处,可以预期投入精力绕过MFA的网络犯罪分子的数量将会增加。

微软建议,组织应使用其他技术和最佳实践来补充MFA,其中包括启用条件访问策略(例如测试登录是否来自受信任的IP地址和合规设备)、在电子邮件和Web网关部署反网络钓鱼防御、检测异常邮箱活动(例如创建可疑的收件箱规则,以及具有不寻常特征的登录。)

微软表示,“虽然AiTM网络钓鱼试图绕过MFA,但重要的是,MFA实施仍然是身份安全的重要支柱。MFA在阻止各种威胁方面仍然非常有效。它的有效性是AiTM网络钓鱼首先出现的原因。”

参考来源:tripwire http://985.so/bmjs0

 

(十)美国罗德岛污水系统运营商遭受勒索软件攻击

美国罗德岛州普罗维登斯地区运行污水系统的纳拉甘西特湾委员会(Narragansett Bay Commission)的计算机系统遭受了勒索软件攻击。

该委员会发言人Jamie R. Samons在电子邮件中承认了这一攻击事件,并表示,“上周,纳拉甘西特湾委员会发现了一起网络安全事件,涉及对其网络中某些计算机和系统的数据进行加密。”

虽然发言人没有具体说明是勒索软件攻击,但此类攻击通常涉及黑客加密受害者计算机系统上的数据,并在支付赎金之前拒绝提供解码数据的密钥。

Samons没有说明是否支付了赎金,并声称受到攻击的系统并不是控制污水系统运行的系统,废水收集和处理服务没有中断,并立即联系了执法部门。目前尚不清楚攻击期间是否获取了客户信息。

Samons表示,“如果确定任何人的个人信息可能会受到与此事件有关的未经授权的访问或获取,纳拉甘西特湾委员会将根据适用法律立即通知相关人员。值得注意的是,纳拉甘西特湾委员会不会在其系统上存储任何客户的支付信息或社会安全号码。”

委员会正在加强其系统的安全措施,并对员工进行“有关数据安全”的培训。

参考来源:TheProvidenceJournal http://985.so/bm7cr

 

(十一)印度洪水监测系统遭受勒索软件攻击

印度果阿洪水监测系统遭受了勒索软件攻击,导致所有文件都被加密,无法访问。攻击者要求支付加密货币,以换取解密洪水检测站的数据。

该州政府水资源部门一直在维护数据,执行工程师Sunil Karmarkar在向警方网络安全小组投诉时表示,“服务器一直受到勒索软件的网络攻击。在攻击下,所有文件都使用eking扩展加密,无法访问。在弹出和存储的文件中,攻击者要求使用比特币加密货币来解密数据。袭击发生在2022年6月21日午夜12点至凌晨2点之间。数据的完整性已被更改,因此无法备份以前的数据。该服务器全天候在互联网线路上运行,由于没有防病毒软件和过时的防火墙,攻击得到了缓解。”

该投诉于6月24日提交,但于7月7日曝光。

位于Panaji的数据中心服务器存储洪水监测系统在果阿主要河流的15个地点的数据,以监测河流的洪水水位,作为灾害管理的一部分,以控制洪水的可能性。

洪水监测系统、自动雨量计和气象仪的数据存储在位于州首府水资源部总部的服务器中,而服务器由海得拉巴的ASTRA Microwave Products Limited维护。

由于黑客攻击,该部门现在无法再访问与不同站点的电池电压相关的数据,与12个站点相关的数据包,丢失了所有无法在本地备份的旧数据,并且也丢失了由于全州持续旺盛的季风活动,也丢失了当前大量河流的实时数据。

参考来源:HindustanTimes http://985.so/bm5ef

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号