安全研究
全部分类

关键信息基础设施安全动态周报【2022年第32期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-08-19 16:09
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第32期】天地和兴播报。

关键信息基础设施安全动态周报【2022年第32期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第32期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-08-19 16:09
  • 访问量:
详情

 

目   录

第一章 国内关键信息基础设施安全动态

(一)小米手机因使用联发科芯片可允许伪造交易

(二)Realtek SDK存在安全漏洞影响大量网络设备

第二章 国外关键信息基础设施安全动态

(一)工业恶意软件通过USB传播破坏OT系统

(二)Evil PLC攻击可将PLC武器化

(三)研究人员花费25美元成功攻击SpaceX星链

(四)俄罗斯黑客组织Killnet攻击美国军火商洛克希德马丁

(五)英国饮用水供应商遭受Clop勒索软件攻击

(六)霍尼韦尔Alerton建筑系统存在安全漏洞

(七)伊朗威胁行为者攻击以色列航运及关键部门

(八)阿根廷科尔多瓦司法机构遭受Play勒索软件攻击

(九)美国悬赏1000万美元以获取Conti勒索软件组织成员信息

(十)美国针对Zeppelin勒索软件发布警告

 

 

第一章 国内关键信息基础设施安全动态

(一)小米手机因使用联发科芯片可允许伪造交易

Check Point研究人员发现,小米智能手机上的支付系统存在安全问题,该系统依赖联发科芯片提供负责签署交易的可信执行环境(TEE)。攻击者可以利用这些缺陷,使用第三方非特权应用程序签署虚假支付包。攻击者可利用该漏洞劫持支付系统并使支付服务不可用,或将交易从用户的移动钱包签名到威胁行为者的账户。由于小米是全球第三大手机制造商,尤其是在亚洲市场,预计黑客可以利用的资金可达到数十亿美元。

在联发科芯片上运行的小米手机使用Kinibi TEE架构,该架构创建了一个单独的虚拟飞地,用于存储签署交易所需的安全密钥。该空间旨在运行小米thhadmin等受信任的应用程序,该应用程序负责安全管理,包括腾讯Soter嵌入式移动支付框架生物认证平台,该框架为第三方应用程序提供API以集成支付能力。

微信支付和支付宝等应用程序攻击拥有超过10亿用户,依靠腾讯Soter API来安全地验证支付包并实现金融交易。

 

Check Point安全研究人员发现,小米使用的可信应用程序格式存在缺陷,即缺乏版本控制。这为降级攻击打开了大门,这意味着威胁行为者可以用旧的易受攻击的版本替换更新、更安全的应用程序。

研究人员能够在腾讯Soter可信应用程序中使用另一个漏洞CVE-2020-14125,该漏洞允许攻击者在非特权用户的情况下提取私钥并签署虚假支付包。

研究人员绕过了小米和联发科的安全补丁,用MIUI 10.4.1.0中的应用程序覆盖MIUI 12.5.6.0上的thhadmin应用程序,开辟了许多利用可能性。在使用Java代码调用Soter应用程序中的initSigh函数后,使用SoterService作为代理建立通信链接。

对于基于联发科的小米手机的用户,应用6月份Android 2022安全更新非常重要,该更新解决了CVE-2020-14125漏洞。Soter密钥泄漏漏洞是第三方问题,小米只能确认供应商正在修复,因此未来应该会提供补丁。

如果无法完全禁用移动支付,请尽量减少设备上安装的应用程序数量,让操作系统保持最新,并使用可以检测和阻止可疑行为的移动安全套件。

参考来源:BleepingComputer http://985.so/bd6ec

 

(二)Realtek SDK存在安全漏洞影响大量网络设备

台湾半导体公司Realtek制造的eCos SDK存在一个高危漏洞,可能会使许多供应商的网络设备遭受远程攻击。该漏洞编号为CVE-2022-27255,是高危漏洞,是基于堆栈的缓冲区溢出,远程攻击者可在使用SDK的设备上造成崩溃或实现任意代码执行。可以使用特制的SIP数据包通过WAN接口执行攻击。

Realtek eCos SDK提供给生产路由器、接入点和中继器的公司,由RTL819x系列SoC提供动力。SDK实现了路由器的基本功能,包括Web管理界面和网络堆栈。供应商可以在此SDK之上构建,以向设备添加自定义功能及其品牌。

Realtek在3月宣布提供修补程序时,向客户通报了eCos SDK漏洞,然而由使用SDK的OEM来确保将补丁分发到最终用户设备。

总部位于阿根廷的网络安全公司Faraday Security研究人员发现了该漏洞。Faraday研究人员Octavio Gianatiempo在DEF CON会议上详细介绍了这一发现。

研究人员表示,可以直接从互联网远程利用该漏洞,入侵以默认设置运行的受影响路由器,成功利用不需要用户交互。“易受攻击的代码是网络堆栈的一部分,如果设备连接到互联网,攻击者只需发送一个数据包即可控制设备。”

Gianatiempo表示,他们已经确定了大约20家在其产品中使用易受攻击的SDK的供应商,包括Tenda、Nexxt、Intelbras和D-Link,但是可能还有其他受影响的供应商尚未确定。“由于缺乏对供应链的可见性,识别受影响OEM产品的过程非常艰巨。”

虽然没有迹象表明该漏洞已在野外被利用,但可能有大量设备由于该漏洞而受到攻击,因此可能对恶意行为者很有吸引力。

Faraday进行了Shodan搜索,发现了60,000多个易受攻击的路由器,其管理面板暴露在外。此外,根据产品页面上显示的销售柜台显示,拉丁美洲最大的电子商务网站Mercadolibre已售出130,000台受此漏洞影响的设备。

 

Gianatiempo解释表示,“默认情况下不启用管理面板,因此暴露设备的总数应该更多。远程识别受影响的路由器需要触发漏洞,这超出了研究范围。”

威胁行为者会在其攻击中针对Realtek SDK漏洞。去年,研究人员在漏洞披露几天后发现了对漏洞的利用。

参考来源:SecurityWeek http://985.so/bdzin

 

 

第二章 国外关键信息基础设施安全动态

(一)工业恶意软件通过USB传播破坏OT系统

霍尼韦尔发布报告显示,去年在工业设施中使用的USB驱动器上发现的恶意软件中,有很大一部分能够针对和破坏工业控制系统(ICS)。该报告重点关注其专用安全产品之一在进入其客户工业环境的USB驱动器上发现的恶意软件。

霍尼韦尔对数据分析发现,工业特定恶意软件的百分比已从2021年的30%和2020年的11%增加到今年的32%。旨在通过USB传播或专门利用USB进行感染的恶意软件的百分比增加到52%,显著高于2021年的37%。

可能导致OT系统中断的恶意软件也略有增加,这包括失去控制或失去可视性。具体来说,霍尼韦尔产品在USB驱动器上检测到的恶意软件中有81%具有破坏性,高于2021年的79%。

超过四分之三的恶意软件是特洛伊木马,51%提供远程访问或远程控制功能,该数据与去年相同。霍尼韦尔表示,“这强化了我们的怀疑,即攻击者故意利用USB可移动媒体作为初始攻击媒介,尝试建立远程连接,以下载额外的有效负载、泄露数据,并建立命令和控制。”

霍尼韦尔总结表示,“显然,USB传播的恶意软件正被用作针对工业目标的大型网络攻击活动的一部分。利用USB可移动媒体的能力绕过网络防御和绕过许多这些设施依赖于保护的气隙,已经发生了调整。持续的努力对于防御日益增长的USB威胁是必要的,强烈建议使用强大的USB安全控制。”

 

参考来源:SecurityWeek http://985.so/bd3q5

 

(二)Evil PLC攻击可将PLC武器化

工业网络安全公司Claroty的Team82研究人员开发了一种新型攻击,名为Evil PLC攻击,可将PLC武器化,以利用工程工作站,并进一步入侵OT和企业网络。在工程工作站上立足的攻击者可以访问工程师连接该机器的OT网络上的任何其他内容,包括其他PLC。

PLC是控制每个关键基础设施部门制造过程不可或缺的工业设备。多年来,PLC一直是攻击的焦点,Stuxnet、Incontroller/Pipedream等多种工业控制系统恶意软件都以PLC为目标。威胁行为者试图访问和控制PLC,以修改监督的流程、造成中断、物理损坏、并威胁人身安全。

Evil PLC攻击可将PLC武器化,以利用工程工作站,即用于配置和维护PLC的强大平台。这些工作站应用程序通常是OT网络和企业网络之间的桥梁,能够破坏和利用工程工作站漏洞的攻击者可以轻松进入内部网络,在系统之间横向移动,并进一步访问其他PLC和敏感系统。

攻击目标是每天在工业网络上工作的工程师,他们对PLC进行配置和故障排除,以确保公用事业、电力、水务、重工业、制造业和汽车等关键行业的流程的安全性和可靠性。Evil PLC攻击的目标包括七家自动化公司:罗克韦尔自动化、施耐德电气、通用电气、贝加莱、信捷、OVARRO和艾默生。

OT网络可能有数十个监控工业流程的PLC,物理破坏进程的攻击者需要首先对这些控制器进行广泛的枚举,以便找到正确的目标。

Evil PLC攻击将PLC变成了工具,而不是目标。通过将PLC进行武器化,攻击者可能反过来危害工程师的工作站。工作站是与过程相关信息的最佳来源,并且可以访问网络上的所有其他PLC。通过这些访问和信息,攻击者可以轻松地更改任何PLC上的逻辑。

诀窍是引诱工程师连接到受感染的PLC,最快的方法是在PLC上引起故障。这是工程师进行响应的典型场景,使用其工程工作站应用程序作为故障排除工具来进行连接。

Team82研究团队对这种新型攻击方法进行了研究,在七个工程工作站平台中每一个都发现了漏洞,能够对PLC进行武器化,在PLC到工程工作站上载过程中涉及元数据传输、配置和文本代码。

Evil PLC攻击有三种不同的攻击场景:武器化PLC以实现初始访问、攻击集成商、以及PLC武器化为蜜罐。

参考来源:Claroty http://985.so/bde79

 

(三)研究人员花费25美元成功攻击SpaceX星链

比利时鲁汶大学安全研究人员Lennert Wouters在Black Hat安全会议期间披露,其花费25美元自制了一块电路板,成功攻击了SpaceX的星链(Starlink)卫星互联网系统。研究人员利用一系列硬件漏洞成功访问了星链系统,在设备上运行自定义代码并获得对星链系统的控制权。

作为破解芯片(modchip)设计过程的一部分,Wouters基于对星链天线的扫描创建了一个适合现有星链电路板的布局。通过将modchip直接焊接到Starlink PCB,他能够将其连接到现有的Starlink PCB。该套件包含的组件包括:树莓派微控制器、闪存、电子开关、和电压调节器。

该工具在连接星链天线后还会发起故障注入攻击,从而导致系统暂时短路。因此Wouters能够绕过Starlink的安全措施,以进入系统的锁定区域。

Wouters的攻击利用了引导加载程序中的错误,并在该引导加载程序上运行了故障。之后他部署了补丁固件,使他能够通过使用后来的引导加载程序来控制该盘。

自2018年以来,3000多颗小型卫星的发射已经为地面网络无法到达且多年来无法到达的地点提供互联网接入。随着越来越多的卫星发射,其运行的安全性将变得越来越重要,卫星互联网系统已经成为恶意黑客的目标。

在俄乌冲突期间,俄罗斯袭击了一颗为整个欧洲提供互联网通信的卫星,据估计整个欧洲约有30,000个互联网连接中断,甚至在其他关键基础设施以及航空导航系统中也感受到了这一事件的影响。

去年,研究人员向Starlink通报了这些漏洞,该公司通过其漏洞赏金计划向Wouters支付了发现漏洞的费用。Starlink表示,“由于攻击需要对用户终端进行物理访问,因此只影响单个设备,而不是由于故障过程而受到损害的整个系统。Starlink的整体系统不受此问题影响。”

参考来源:GBHackers http://985.so/bdrat

 

(四)俄罗斯黑客组织Killnet攻击美国军火商洛克希德马丁

据莫斯科时报报道,俄罗斯黑客组织Killnet声称对航空航天和国防巨头洛克希德马丁公司发起了DDoS攻击。Killnet声称从洛克希德马丁公司的一名员工那里窃取了数据,并威胁要分享这些数据。

Killnet组织自今年3月以来一直活跃,是一个支持俄罗斯的组织,专门从事DoS或DDoS攻击,对意大利、罗马尼亚、摩尔多瓦、捷克共和国、立陶宛、挪威和拉脱维亚等表示支持乌克兰的政府发起DDoS攻击。

洛克希德·马丁公司生产美国向乌克兰提供的高机动火箭炮系统(HIMARS),对俄军发挥了巨大作用。因此洛克希德马丁公司自然成为俄罗斯黑客组织的目标。

在该组织在Telegram上分享的一段视频中,声称窃取了洛克希德马丁公司员工的个人信息,包括姓名、电子邮件地址、电话号码和图片。

Killnet组织还分享了两份包含俄语消息的电子表格,“如果你无事可做,你可以给洛克希德马丁恐怖分子发电子邮件,他们制造武器后果的照片和视频!让他们意识到他们创造了什么以及他们做出了什么贡献。”

目前无法确定这些数据的真实来源。洛克希德马丁公司知道Killnet的说法,但没有对此发表评论。

洛克希德马丁公司表示,“我们知道这些报道,并制定了政策和程序来减轻对业务的网络威胁。我们对我们强大、多层次的信息系统和数据安全的完整性仍然充满信心。”

参考来源:SecurityAffairs http://985.so/bdust

 

(五)英国饮用水供应商遭受Clop勒索软件攻击

英国饮用水供应商South Staffordshire Water发表声明表示,其遭受了网络攻击,导致IT中断,安全和供水系统没有受到影响。

South Staffordshire Water每天为160万消费者提供3.3亿升饮用水,安全和配水系统仍在运行,因此IT系统的中断不会影响向其客户或其子公司Cambridge Water和South Staffs Water的客户供应安全水。

该公司在声明中解释表示,“这要归功于我们一直以来对供水和质量的强大系统和控制,以及我们团队为应对这一事件的快速工作,并在预防的基础上实施额外措施。”

此外,South Staffordshire水务公司向其客户保证,所有服务团队都照常运营,因此不存在因网络攻击而导致长时间中断的风险。

与此同时,Clop勒索软件组织通过其洋葱网站上的公告声称,Thames Water是其受害者,声称已经访问了SCADA系统,从而对1500万客户造成伤害。Thames Water是英国最大的水供应商和废水处理供应商,服务于大伦敦地区和泰晤士河周边地区。

黑客声称已告知Thames Water水务公司其网络安全缺陷,并声称对对该事件负责,没有加密数据,只从受感染的系统中泄露了5TB数据。

 

然而在赎金支付谈判破裂后,攻击者发布了第一个被盗数据样本,其中包括护照、水处理SCADA系统的屏幕截图、驾驶执照等。

Thames Water水务公司通过一份声明正式对这些说法提出质疑,称有关Clop入侵其网络的报道是网络诈骗,其运营已满负荷运转。

该事件的一个关键细节是,在公开的证据中,Clop提供了一个包含用户名和密码的电子表格,其中包含South Staff Water和South Staffordshire的电子邮件地址。

其中一份发送给目标公司的泄露文件明确写给了South Staffordshire PLC。因此很可能Clop认错了受害者,或者他们试图使用虚假证据敲诈一家更大的公司。

这次攻击发生在英国消费者面临严重干旱的时期,英国八个地区实施了配水政策和软管禁令。网络犯罪分子不会随意选择目标,因为在严重干旱期间攻击供水商可能会施加无法克服的压力,来迫使他们支付要求的赎金。

不过要实现这一点,Clop必须将其威胁转移到正确的实体,但考虑到这件事已经引起公众关注,现在可能为时已晚。8月17日Clop纠正了错误,现在将South Staffordshire Water列为勒索网站上的受害者。

参考来源:BleepingComputer http://985.so/bd7e2

 

(六)霍尼韦尔Alerton建筑系统存在安全漏洞

OT和IoT网络安全公司SCADAfence发现,工业巨头霍尼韦尔旗下品牌Alerton制造的广泛使用的楼宇管理系统中存在潜在严重安全漏洞。

研究人员在Alerton Compass软件中发现了四个漏洞,分别是产品的人机界面(HMI)、上升控制模块(ACM)和视觉逻辑组件。这是首次在Alerton产品中发现的CVE漏洞。

SCADAfence将很快发布博客文章,详细介绍其调查结果。与此同时,该公司发布了一份新闻稿,指出NVD条目为四个安全漏洞中的每一个提供了一些技术信息。

其中两个漏洞为高危漏洞,可以通过向目标系统发送特制数据包来进行攻击。未经身份验证的远程攻击者可以在控制器上进行配置更改或编写未经授权的代码,这两者都可能导致控制器功能发生变化。如果攻击者在控制器上写入恶意代码,受害者需要重写程序才能恢复原来的操作功能。恶意更改不会反映在用户界面中,这使得攻击更有可能被忽视。

研究人员使用Shodan搜索引擎寻找暴露在互联网上的Alerton系统,找到了240个结果,其中绝大多数在美国,在加拿大有十几个。大多数暴露的系统是HMI和控制器。

SCADAfence安全研究团队负责人Yossi Reuven证实,可以直接从互联网上利用这些漏洞。SCADAfence描述了几种涉及利用漏洞的理论上的最坏情况。

例如,黑客可以针对建筑物的管理系统造成“灾难性破坏”,或者可以篡改医疗保健、制药或食品生产设施中的温度,在这些设施中保持一定的温度至关重要。恶意行为者还可以远程关闭通风系统,这可能会给使用危险化学品的制造设施带来安全风险。

SCADAfence表示,霍尼韦尔有望很快发布补丁。与此同时,SCADAfence为受影响的Alerton客户分享了一系列建议,包括确保其OT网络是隔离的、正确配置楼宇自动化系统(BAS)防火墙、创建和维护ACM基线配置、禁用外部网络上的BAS协议段、并在不需要的所有端口上禁用以太网。

参考来源:SecurityWeek http://985.so/be26g

 

(七)伊朗威胁行为者攻击以色列航运及关键部门

Mandiant研究人员一直在跟踪一个威胁活动组织,命名为UNC3890,该组织与伊朗有关,通过社会工程诱饵和水坑攻击针对以色列航运、政府、能源和医疗保健组织。该活动自2020年底开始活跃,到2022年中仍在进行。

UNC3890至少使用了两种独特的工具,SUGARUSH的后门和SUGARDUMP浏览器凭证窃取程序。UNC3890还使用多种公开可用的工具,如METASPLOIT框架和NorthStar C2。

UNC3890运行一个由C2服务器组成的互联网络。C2服务器托管域名和虚假登录页面,欺骗Office 365等合法服务、LinkedIn和Facebook等社交网络,以及人工智能机器人玩偶的虚假工作机会和虚假广告。C2服务器与多个目标通信,以及与针对以色列航运业的水坑通信,特别是处理和运输敏感组件的实体。

尽管该组织的攻击目标主要集中在以色列地区,但其中一些目标是全球性组织,这意味着可能会在其他地区产生连锁反应。主要攻击目标是政府、航运、能源、航空和医疗保健部门。

以色列航运非常受关注。研究人员分析中表示,“虽然我们认为这个攻击者专注于情报收集,但收集到的数据可能会被用来支持各种活动,从黑客攻击到发动近年来困扰航运业的动能战攻击。”

UNC3890的初始访问是通过水坑和凭证收集,凭证获取使用该组织的C2服务器伪装成合法服务来获取凭据并发送网络钓鱼诱饵。这些服务器托管域名和虚假登录页面,以欺骗Office 365等合法服务、LinkedIn和Facebook等社交网络,并提供虚假工作机会和虚假广告。研究人员还发现了一个UNC3890服务器,其中包含可能用于社会工程攻击的Facebook和Instagram信息。

攻击者使用的一种可能的网络钓鱼诱饵很可能是一个伪装成工作机会但旨在安装Sugardump的.xls文件,这是威胁组织使用的两个独特工具之一。Sugardump是一种凭证收集工具,能够从基于Chromium的浏览器中提取密码。

第二个工具是Sugarush,一个用于与嵌入式C2建立连接并执行CMD命令的后门。UNC3890使用的其他工具包括Unicorn(用于执行PowerShell降级攻击并将shellcode注入内存的工具)、Metasploit和Northstar C2(为渗透测试和红队开发的开源C2框架)。

已发现多个版本的Sugardump,最早可追溯到2021年初,有两种变体。第一个版本存储凭据而不并不泄露,可能是未完成的恶意软件,或者被设计为与其他工具一起用于渗透过程。

第二个版本可追溯到2021年底或2022年初,使用SMTP进行C2通信,使用Yahoo、Yandex和Gmail地址进行渗漏。研究人员还注意到与特定网络钓鱼诱饵的联系,一段社会工程视频,其中包含一个人工智能驱动的机器人娃娃的广告。此版本具有更复杂的凭据窃取功能,并且能够在渗透之前从Firefox、Chrome、Opera和Edge浏览器中提取。

第三个版本的日期为2022年4月,使用HTTP进行通信,并与虚假的NexisLexis工作机会相关联作为诱饵。该诱饵以XLS文件的形式提供,其中包含尝试执行嵌入式PE文件的宏。收集的数据使用AES加密,使用嵌入式密码的SHA256作为加密密钥。密码包含单词Khoda,在波斯语中意为上帝,并进一步表明开发人员会说波斯语。该版本的.NET项目被命名为yaal,这是波斯语中马鬃的意思。

研究人员将Sugarush描述为“一个小而有效的后门”,在TCP上建立了一个反向shell。检查互联网连接,如果连接存在,Sugarush会通过端口4585与嵌入式C&C地址建立新的TCP连接,并等待应答。答案被解释为用于执行的CMD命令。

在代码中发现的线索和对以色列目标的关注相结合,导致Mandiant以“适度的信心”认为UNC3890是一个与伊朗有关的潜在新威胁组织。

参考来源:SecurityWeek http://985.so/bdic8

 

(八)阿根廷科尔多瓦司法机构遭受Play勒索软件攻击

阿根廷科尔多瓦司法机构遭受了勒索软件攻击,导致其关闭了IT系统,据报道攻击者是Play勒索软件组织。攻击发生在8月13日星期六,导致司法机构关闭IT系统及其在线门户,中断还迫使人们使用笔和纸来提交官方文件。

在Cadena 3共享的“网络攻击应急计划”中,司法机构证实其受到了勒索软件的攻击,并与微软、思科、趋势科技和当地专家合作调查此次攻击。

该计划表示,“2022年8月13日星期六,科尔多瓦法院的技术基础设施遭受了网络攻击,勒索软件损害了其IT服务的可用性。”

 

Clarín报道称,消息人士称,此次攻击影响了司法机构的IT系统及其数据库,使其成为“历史上对公共机构最严重的攻击”。

 

虽然司法机构尚未披露此次攻击的细节,但记者Luis Ernest Zegarra在推特上表示,该司法机构遭到了将.Play扩展名附加到加密文件的勒索软件攻击,此扩展与2022年6月启动的新Play勒索软件操作有关。

与所有勒索软件操作一样,威胁行为者将破坏网络并加密设备。加密文件时,勒索软件将附加.PLAY扩展名。然而与大多数勒索软件操作都会留下冗长的赎金票据,以向受害者发出可怕威胁不同,Play赎金票据异常简单。Play的ReadMe.txt赎金记录不是在每个文件夹中创建,而是仅在硬盘驱动器的根目录(C:\)中创建,并且仅包含单词PLAY和联系电子邮件地址。

安全研究人员员Mauro Eldritch表示,攻击中使用了不同的电子邮件,因此电子邮件地址可能与科尔多瓦司法机构的攻击无关。

目前尚不清楚Play是如何入侵司法机构网络的,但作为3月份Lapsus$入侵Globant的一部分,员工电子邮件地址列表被泄露,这可能导致威胁行为者能够进行网络钓鱼攻击以窃取凭据。目前没有与勒索软件组织相关的数据泄漏或任何数据在攻击期间被盗的迹象。

这不是阿根廷政府机构第一次遭受勒索软件攻击。2020年9月,Netwalker勒索软件组织攻击了国家移民局,并索要400万美元的赎金。

参考来源:BleepingComputer http://985.so/bdz8d

 

(九)美国悬赏1000万美元以获取Conti勒索软件组织成员信息

美国国务院宣布悬赏1000万美元,以获取与Conti勒索软件组织有关的五个特定人员的信息。

总部位于俄罗斯的Conti网络犯罪集团在全球范围内造成了严重破坏。根据FBI的数据,截至2022年1月,有1,000多名与Conti勒索软件相关的攻击受害者,支付的金额超过1.5亿美元。

美国国务院8月11日表示,该机构正在寻求有关Conti的信息,这些人员被称为Tramp、Dandis、Professor、Reshaev和Target。5月6日宣布的先前奖励提议承诺提供1000万美元的信息,用于识别和/或定位在Conti内部担任“关键领导职位”的人员。任何人若能提供信息,导致任何国家/地区的任何人因阴谋参与Conti变体勒索软件攻击而被捕或被定罪,则可获得额外500万美元的奖励。

美国国务院在公告中表示,“如果你有与Conti、TrickBot、Wizard Spider等黑客组织联系在一起的信息,被称为Tramp、Dandis、Professor、Reshaev或Target的黑客,或任何针对美国关键基础设施的外国政府的恶意软件或勒索软件,您可能有资格获得奖励。”目前尚不清楚这些特定个人的信息是从哪里来的。

机构官员在拉斯维加斯举行的年度网络安全会议Black Hat上宣布了这一消息,该会议汇集了来自世界各地的网络安全专家和政策制定者。

Rewards for Justice计划是美国国务院内为信息支付奖励的四个项目之一,其他项目与战争罪、毒品恐怖主义和跨国有组织犯罪有关。在其近40年的存在中,该计划已支付了大约2.5亿美元,主要与反恐有关。关键基础设施奖励计划于去年宣布。

参考来源:CyberScoop http://985.so/bemsv

 

(十)美国针对Zeppelin勒索软件发布警告

美国FBI和CISA在8月11日联合发布警告称,Zeppelin勒索软件最近恢复活跃,采用了新的入侵和加密策略,会多次加密文件,攻击目标包括医疗保健组织、国防承包商、教育机构、制造商、以及技术公司。

该警告包括Zeppelin勒索软件以前及最新的战术、技术和程序(TTP)以及威胁指标(IOC),以帮助组织防范该勒索软件。FBI和CISA建议组织应用相关缓解措施,以减少勒索软件事件的影响。

Zeppelin勒索软件是基于Delphi的Vega恶意软件家族的衍生产品,用作勒索软件即服务(RaaS)。从2019年到至少2022年6月,攻击者使用此恶意软件攻击了广泛的企业和关键基础设施组织,包括国防承包商、教育机构、制造商、技术公司,尤其是医疗保健和医疗行业的组织。众所周知,Zeppelin威胁组织要求用比特币支付赎金,初始金额从几千美元到超过一百万美元不等。

Zeppelin攻击者通过RDP攻击、利用SonicWall防火墙漏洞、和网络钓鱼活动访问受害者网络。在部署Zeppelin勒索软件之前,攻击者会花费一到两周的时间来映射或枚举受害网络,以识别数据飞地,包括云存储和网络备份。Zeppelin威胁行为者可以将Zeppelin勒索软件部署为.dll或.exe文件,或包含在PowerShell加载程序中。

在加密之前,Zeppelin威胁组织会泄露敏感的公司数据文件,以在受害者拒绝支付赎金的情况下出售或发布。一旦勒索软件被执行,一个随机的九位十六进制数字将作为文件扩展名附加到每个加密文件,例如file.txt.txt.C59-E0C-929。带有赎金记录的文本文件留在受感染的系统上,通常在桌面上。

 

FBI观察到,Zeppelin攻击者在受害者网络中多次执行恶意软件,为每个攻击实例创建不同的ID或文件扩展名,这导致受害者需要几个唯一的解密密钥。

FBI和CISA建议不要支付赎金,因为无法保证恢复加密文件,支付勒索软件会鼓励非法勒索行为。同时鼓励组织报告与Zeppelin运营商的任何互动,包括日志、比特币钱包信息、加密文件样本和解密文件。

为了降低勒索软件攻击的风险,FBI和CISA建议组织定义恢复计划、实施多因素身份验证、使所有操作系统、软件和固件保持最新、实施强密码策略、分段网络、禁用未使用的端口和服务、审核用户账户和域控制器、实施最低权限访问策略、查看域控制器、服务器、工作站和活动目录,维护数据的脱机备份、并使用网络监控工具识别、检测和调查异常活动和指示勒索软件的潜在遍历。

参考来源:CISA http://985.so/bdr9q

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号