安全研究
全部分类

关键信息基础设施安全动态周报【2022年第37期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-09-23 17:33
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第37期】天地和兴播报。

关键信息基础设施安全动态周报【2022年第37期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第37期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2022-09-23 17:33
  • 访问量:
详情

目   录

第一章 国内关键信息基础设施安全动态

(一)美驻华使领馆过度采集中方雇员信息

第二章 国外关键信息基础设施安全动态

(一)NSA发布OT/ICS关键基础设施保护指南

(二)iBoot电源分配单元存在严重漏洞可远程关闭设备

(三)Kingspan水箱管理系统存在严重漏洞尚未修复

(四)Python中存在15年的漏洞可导致代码执行

(五)BlackCat勒索软件升级数据泄露工具

(六)LockBit勒索软件构建器在线泄露

(七)俄罗斯APT组织Sandworm冒充乌克兰电信公司传播恶意软件

(八)眼镜反光可在视频会议期间泄露信息

(九)波黑议会遭受网络攻击导致运营中断

(十)美国航空公司遭受网络钓鱼泄露员工数据

(十一)威胁行为者可窃取Microsoft Teams凭证


第一章 国内关键信息基础设施安全动态

(一)美驻华使领馆过度采集中方雇员信息

“美国驻华使领馆要求中方雇员上报社交账号、财产以及邻居亲友信息,是否违法?”近日,曾在美国驻华使领馆工作的李明(化名)在某社交平台发出这样一个问题,表示美国驻华使领馆每隔几年就要对里面的中方雇员做一次所谓的“背调”(背景调查)。特别是表格上明确备注,中方雇员填写的所有信息可能会提交给美国情报部门,中方雇员敢怒不敢言。李明认为,美国对外宣称保护隐私、尊重人权,但其行为是典型的“双标”。美国驻华使领馆内侵犯中方雇员个人隐私的情况是否真的存在?《环球时报》记者近日采访李明等曾在美驻华使领馆工作的人士,在他们看来,旁人眼中“还算体面”的工作并不光鲜:美方涉嫌以“背调”为由强迫中方雇员提交个人、家庭甚至邻居的信息,这些信息甚至可能被“分享”给美国情报部门;调查时美方咄咄逼人的谈话方式,会让人有被审讯的感觉。《环球时报》记者13日就此话题询问美国驻华大使馆,但截至发稿,邮件只显示对方“已读”,而并未回复。相关专家认为,美方做法是典型的数据过度采集行为,根据我国《个人信息保护法》第三条,美国的做法完全违背了相关规定。

李明清楚地记得自己填写背景调查表时的情景。当时那间房子里只有他和一名负责此项工作的中方雇员,填完表格并签字确认后,被要求当面宣读表格里一句“承诺性的话语”。这让李明感到有些尴尬和诡异,像是自己加入了某个神秘组织。“背调”这样一种在入职新工作时很常见的形式,在美驻华使领馆却变了味道,过度采集个人信息和带有威胁性的规定让很多中方雇员忧心忡忡。曾在美驻华使领馆工作的赵平(化名)证实了李明的困扰,他告诉《环球时报》记者,所有中方雇员在入职时都要接受背景调查,此后每5年还要重新进行一次。赵平的总体感受是对中方雇员的调查越来越严格,涉及隐私的问题越来越多,追溯过往的时段越来越长。曾有中方雇员对此表达过不满,但美方回应说,“这是按照上级要求统一执行”。

《环球时报》记者近日获得的一份名为《海外背景调查问卷》(Overseas Vetting Questionnaire)的表格,即为李明和赵平提到的“安全背景调查”的重要内容。该表格分为“填表说明”和“正式表格”两部分,其说明部分一方面提到“提供信息为自愿行为”,却紧接着出现一段颇具威胁意味的文字:“但如果您不提供所需的相关信息,您的背景调查将无法完成,由此会影响您获得联邦合同雇佣关系或相关需要一定逻辑能力以及身体素质才能获取的权限……故意隐瞒、误报,提供虚假信息将影响您获取或延续联邦合同雇佣关系……还将导致对您的职业发展、工作状态产生负面影响,包括但不限于解除雇佣关系或被起诉。”

“无所不包”是这份“调查问卷”给《环球时报》记者留下的第一印象,即使用极小号字,也要足足10多页A4纸才能打印完。其内容涉及个人基本情况、居住史、3名7年内非亲属社会关系(的信息)、7年内境外旅行情况、是否被美国及其他外国政府调查等。而中国雇员还需要填写一份额外的《背景调查补充表格》,其中除了几乎所有的亲属信息外,竟然还要提供一位邻居的信息,而且是必填项。赵平说,曾有美国使领馆的同事向他的邻居要电话,遭到邻居质疑:“美国人是不是不信任你们中国员工啊?”赵平还透露说:“这种不信任其实一直都存在。比如使领馆安检人员会在进出口安检处不定期翻包,还曾让中方员工脱鞋接受检查。”

针对中方雇员个人隐私的调查并不仅仅限于纸面上。《环球时报》记者获悉,美驻华使领馆设有专职背景调查官员,并配备中方雇员作为协助美方官员工作的安全调查员,要求“最好具备在中国政法机关或调查公司等工作经历”。

据李明介绍,除了要求中方雇员每5年接受一次背景调查这种例行规定外,安全调查员有时还会直接要求中方雇员提供微信等个人社交媒体账号和个人电子邮箱等。有的同事提供之后,会马上把微信号换掉。

除了常规调查,有时美使领馆安全官还会直接与中方雇员进行安全审查谈话。“态度趾高气扬,问话咄咄逼人,令人厌烦。”赵平向《环球时报》记者描述了这类安全审查谈话的情景,他不满地表示:“谈话人和被谈话人共处一室,谈话人会事先拿出很多材料摆在被谈话人面前,类似于警匪片中的审讯现场,然后被谈话人每回答一个问题,谈话人就去材料中找相应的依据,再不断挑战被谈话人的答案。”李明也表示,这是整个调查流程中最让人感到不适的环节。“很多人在接受背景调查员面谈的时候都非常恼火,听说一个同事还当场拍桌子表示不满。虽然大家对这个调查有很多不满,认为侵犯了个人隐私,但是没办法,你可以不做,但你要解释为什么不做,解释不出来,调查就不能通过,调查不通过工作就会受影响。当然,也没有人不去接受调查,这就是雇佣关系不平等的表现。”

本文版权归原作者所有,参考来源:环球时报 http://985.so/byxuv


第二章 国外关键信息基础设施安全动态

(一)NSA发布OT/ICS关键基础设施保护指南

美国国家安全局(NSA)和CISA在9月22日联合发布了有关如何保护美国关键基础设施的OT和ICS的指南.该联合公告分享了恶意行为者用来破坏IT支持的OT和ICS资产的所有步骤的信息,这些资产提供了更大的攻击面,并列出了安全专业人员可以采取的防御措施。

美国国家安全局表示,“近年来,包括APT组织在内的网络攻击者已经将OT/ICS系统作为目标,以实现政治收益及经济优势,并可能执行破坏性影响。最近,攻击者开发了用于扫描、破坏和控制目标OT设备的工具。”

该公告还表示,对运营、控制和监控日常关键基础设施和工业流程的OT和ICS资产的威胁日益增加。OT/ICS设计是公开可用的,还有大量利用IT和OT的工具系统。

 

在公告中包括有关如何在每个步骤中阻止威胁行为者攻击的详细信息,包括尝试收集情报、获得初始访问权限、或在受损的关键基础设施系统中部署和执行恶意工具。

但是一些防御者可能无法实施一些推荐的安全策略,这些策略可能有助于缓解许多用于针对关键基础设施控制系统的常见策略。NSA和CISA提供了一些安全最佳实践,以应对攻击者的策略、技术和程序(TTP):

1、限制系统信息暴露:操作和系统信息以及配置数据是关键基础设施操作的关键要素。对此类数据保密的重要性怎么强调都不为过。

2、识别并保护远程访问点:所有者/运营商必须详细掌握所有已安装的系统,包括控制系统网络中正在或可能正在运行的远程接入点。创建完整的“连接清单”是确保系统访问安全的关键步骤。

3、限制工具和脚本:限制在控制系统上执行合法任务的合法用户访问网络和控制系统应用工具和脚本。完全删除工具和脚本并修补嵌入式控制系统组件以发现可利用的漏洞通常是不可行的。因此,谨慎地对特别易受攻击的进程和组件应用访问和使用限制,以限制威胁。

4、进行定期安全审计:此类审计旨在识别和记录应消除的系统漏洞、实践和程序,以改善网络防御态势,并最终防止恶意网络行为者能够造成其预期效果。

5、实施动态网络环境:一点点改变就可以大大破坏恶意行为者先前获得的访问权限。

该公告表示,“对于OT/ICS防御者来说,预测网络行为者的TTP至关重要,将IT专业知识与工程技术相结合。防御者可以使用本公告中列出的缓解措施来限制未经授权的访问,锁定工具和数据流,并阻止恶意行为者实现其预期效果。”

该公告基于在2021年之前关于阻止针对OT控制系统的恶意攻击的指导,以及从2020年开始关于如何保护互联网暴露的OT资产的指导。

此前拜登政府最近为促进和升级关键基础设施安全而采取了几项举措。例如2021年7月,一份国家安全备忘录指示CISA和NIST为关键基础设施所有者和运营商制定网络安全绩效目标和指南,以帮助加强美国关键基础设施的安全。

4月,五眼网络安全机构还警告全球关键基础设施维护者,俄罗斯支持的黑客组织可能针对乌克兰境内和境外的组织的风险增加。当时,建议网络防御者优先修补积极利用的安全漏洞,为最终用户提供培训,实施多因素身份验证,以及保护和监控远程桌面协议(RDP)资产。

今年1月,FBI、CISA和NSA发布了类似的联合公告,揭露了针对美国关键基础设施组织的多个俄罗斯威胁组织,包括APT29、APT28和Sandworm。

参考来源:BleepingComputer http://985.so/byrrn

 

(二)iBoot电源分配单元存在严重漏洞可远程关闭设备

Claroty研究人员发现,Dataprobe的iBoot电源分配单元(PDU)中存在严重漏洞,可使恶意行为者远程入侵产品并关闭连接的设备,从而可能在目标组织内造成破坏。研究人员总共发现了七个漏洞,包括允许未经身份验证的远程攻击者执行任意代码。

受影响的PDU提供了一个Web界面和一个云平台,用于配置产品和控制每个单独的插座,以进行远程电源管理。Censys数据显示,有2,000多个PDU直接暴露在互联网上,其中近三分之一是iBoot PDU。

Claroty研究人员表示,黑客除了可以利用这些暴露在互联网上的设备外,攻击者还可以通过提供设备管理页面访问的云平台,访问未直接暴露于网络的设备。

使用此云平台,客户可以从网络访问其设备,而无需直接将设备暴露在互联网上,这允许用户将设备保留在防火墙或网络地址转换(NAT)路由器后面。

然而新发现的这些漏洞可被利用绕过NAT和防火墙,实现任意代码执行,使攻击者能够切断PDU控制的所有设备的电源。攻击者还可以获得在受感染网络中横向移动所需的凭据。

这七个漏洞的CVE编号为CVE-2022-3183至CVE-2022-3189,包括操作系统命令注入、路径遍历、敏感信息暴露、不正确的访问控制、不正确的授权、以及服务器端请求伪造(SSRF)。

美国CISA也发布了一份公告,向组织通报这些漏洞,受影响的产品已部署在多个国家和行业,包括关键制造业。

Dataprobe已通过发布固件版本1.42.06162022修复了该漏洞,并建议用户更新固件,还建议禁用未使用的简单网络管理协议(SNMP)。

参考来源:SecurityWeek http://985.so/byx2w

 

(三)Kingspan水箱管理系统存在严重漏洞尚未修复

研究人员发现,爱尔兰Kingspan公司生产的水箱管理系统存在远程利用严重漏洞。该漏洞是由于缺乏正确实施的访问控制规则而导致的,允许未经身份验证的攻击者查看或修改设备的设置。该设备在全球范围内被使用,然而供应商并没有修复该漏洞。

存在漏洞的水箱管理系统由爱尔兰建筑材料公司Kingspan的水和能源部门生产。Kingspan TMS300 CS水箱管理系统通过屏幕、网络服务器、应用程序、在线门户或电子邮件提供水箱液位信息,具有有线和无线多罐液位测量、警报以及互联网或本地网络连接功能。

研究人员Maxim Rupp发现了该漏洞,攻击者无需身份验证即可访问设备的设置,只需导航到特定的URL,可以通过浏览Web界面或通过暴力攻击来识别这些URL。该漏洞编号为CVE-2022-2757,CVSS得分为9.8。

Rupp解释表示,这些设备可以配置为从互联网访问,只要攻击者可以访问设备的Web界面,就可以从任何地方利用安全漏洞。根据产品文档,攻击者可以在利用此漏洞后更改各种设置,包括与传感器、储罐详细信息和警报阈值相关的设置。暴露的设置可能允许黑客对目标组织造成一些破坏。

据CISA称,受影响的产品在全球范围内用于水和废水系统领域。目前该漏洞仍未修补。“Kingspan尚未回应与CISA合作以缓解这些漏洞的请求。CISA鼓励受影响产品的用户联系Kingspan客户支持以获取更多信息。”对此CISA为缓解此类漏洞带来的风险提供了一些一般性建议。

参考来源:SecurityWeek http://985.so/bhfhx

 

(四)Python中存在15年的漏洞可导致代码执行

Python编程语言中存在一个超过15年的安全漏洞,可能会影响超过350,000个开源存储库,并可能导致代码执行。该漏洞编号为CVE-2007-4559,从未收到补丁,唯一的缓解措施是警告开发人员关注该风险。

该漏洞位于Python tarfile包中,在使用未经处理的tarfile.extract()函数或tarfile.extractall()的内置默认值的代码中,是一个路径遍历漏洞,使攻击者能够覆盖任意文件。

自2007年8月首次报告以来,CVE-2007-4559的技术详细信息已经发布。虽然没有关于攻击中利用该漏洞的报告,但该漏洞代表了软件供应链中的风险。

今年早些时候,Trellix一名研究人员在调查另一个安全问题时重新发现了CVE-2007-4559。Trellix是一家提供扩展检测和响应(XDR)解决方案的新企业,由McAfee Enterprise和FireEye合并而成。

Trellix高级威胁研究团队漏洞研究员Charles McFarland表示,“在调用tarfile.extract()tarfile.extractall()之前,未能编写任何安全代码来清理成员文件,会导致目录遍历漏洞,从而使不良行为者能够访问文件系统。”

该漏洞源于Python的tarfile模块中的extract函数中的代码明确信任TarInfo对象中的信息,“并加入了传递给extract函数的路径和TarInfo对象中的名称”。

漏洞披露后不到一周,Python漏洞跟踪器上的一条消息宣布该问题已解决,修复正在更新文档,并警告“从不受信任的来源提取档案可能很危险”。

通过分析影响,Trellix研究人员发现,该漏洞存在于数千个开源和闭源软件项目中。研究人员抓取了一组257个更有可能包含易受攻击代码的存储库,并手动检查了其中的175个,以查看它们是否受到影响,这表明其中61%很脆弱。

对其余存储库运行自动检查将受影响的项目数量增加到65%,这表明存在广泛问题。然而这个小样本集仅作为估算GitHub上所有受影响的存储库的基准。

Charles McFarland表示,“在GitHub的帮助下,我们能够获得一个更大的数据集,其中包含588,840个独特的存储库,其中包含在其python代码中的import tarfile。”

使用手动验证的61%的漏洞率,Trellix估计有超过350,000个易受攻击的存储库,其中许多用于帮助开发人员更快地完成项目的机器学习工具,例如GitHub Copilot。

这种自动化工具依赖于来自数十万个存储库的代码来提供“自动完成”选项。如果他们提供不安全的代码,问题就会在开发人员不知情的情况下传播到其他项目。


进一步研究该问题,Trellix发现易受CVE-2007-4559攻击的开源代码“跨越了众多行业”。正如预期的那样,受影响最大的是开发部门,其次是网络和机器学习技术。

Trellix漏洞研究员Kasimir Schulz在一篇技术博客文章中描述了在Windows版本的Spyder IDE中利用CVE-2007-4559的简单步骤。Spyder IDE是一种用于科学编程的开源跨平台集成开发环境。

研究人员表明,该漏洞也可以在Linux上利用。研究人员设法在Polemarch IT基础设施管理服务的测试中升级文件写入并实现代码执行。

除了引起对漏洞及其带来的风险的关注外,Trellix还为超过11,000个项目创建了补丁。修复程序将在受影响的存储库的分支中提供。稍后将通过拉取请求添加到主项目中。

由于受影响的存储库数量众多,研究人员预计未来几周将有超过70,000个项目得到修复。然而达到100%的目标是一项艰巨的挑战,因为维护者也需要接受合并请求。

参考来源:BleepingComputer http://985.so/byxwb

 

(五)BlackCat勒索软件升级数据泄露工具

赛门铁克研究人员发现,BlackCat勒索软件开发人员一直在努力改进策略、技术和程序(TTP),如今可能比以往任何时候都更加危险。

BlackCat又名ALPHV、Noberus、Corei、FIN7、和Carbon Spider,是勒索软件即服务(RaaS),是俄罗斯相关或基于勒索软件组织和附属机构的更广泛家族中的久负盛名的参与者,其中许多通过一个模糊且通常难以破译的联盟和互联网络建立起来的。

BlackCat至少可以追溯到十年前,当时建立了一种名为Carbanak的恶意软件,但现在更出名的是勒索软件操作,据称与BlackMatter组织有联系,BlackMatter组织从DarkSide攻击Colonial Pipeline获得了灵感。BlackCat勒索软件在2022年初,因一系列针对欧洲燃料物流和运输服务运营商以及美国教育机构的大胆抢劫而臭名昭著。

该恶意软件本身是用Rust编码的,是一组多平台语言之一,RaaS运营商越来越重视这种语言的灵活性,以及快速轻松地针对Windows和Linux环境的能力。

现在赛门铁克表示,其已经观察到勒索软件和Coreid的整体作案手法发生了一系列重大更新。

赛门铁克表示,“Noberus运营的不断更新和改进表明,Coreid正在不断调整其勒索软件运营,以确保其尽可能有效。联邦调查局于2022年4月发布警告称,在2021年11月至2022年3月期间,全球至少有60个组织受到了Noberus勒索软件的攻击,现在受害者的数量可能是该数字的许多倍。”

2022年6月发布的一项新更新包括用于加密非标准架构的ARM版本,并引入了一项功能,通过重新启动网络进入安全模式,将新的加密功能添加到Windows版本中。

该组织还更新了加密程序本身,添加了新的重启逻辑,并简化了Linux加密过程。7月份的另一次更新增加了对被盗数据的索引,使该组织的数据泄露网站可以通过关键字和文件类型等参数进行搜索。

但组织并没有就此止步。8月份赛门铁克表示,其观察到Exmatter数据泄露工具的更新版本与BlackCat一起用于攻击,此前曾有人看到该工具与BlackMatter勒索软件一起使用,旨在从选定目录中窃取特定文件类型,并在部署勒索软件之前将其上传到攻击者的服务器。

截至今年夏天,Exmatter包括对其窃取的文件类型进行了改进,除了SFTO和WebDav之外,还增加了文件传输协议(FTP)功能,创建列出已处理文件的报告的能力,破坏文件的能力,以及自毁选项等。它也被广泛重写,可能是为了避免被发现。

一家BlackCat附属公司使用Eamfo信息窃取程序来针对Veeam备份软件存储的凭据,通过连接到Veeam SQL数据库并进行特定查询来实现,LockBit和Yanluowang也可能使用过。

针对Veeam进行凭据盗窃是一种成熟的技术,从恶意的角度来看,这项技术非常有用,因为它可以实现权限升级和横向移动,因此可以提供更多数据访问权限以进行窃取和加密。

赛门铁克表示,“毫无疑问,Coreid是目前最危险和最活跃的勒索软件开发商之一。该组织自2012年以来一直存在,因使其Carbanak恶意软件从全球组织窃取资金而闻名,银行、酒店和零售业是其首选目标。该组织的三名成员于2018年被捕,并于2020年改变策略,并启动了勒索软件即服务操作。其勒索软件及其附属程序的不断发展表明,这个老练且资源丰富的攻击者几乎没有打算很快去任何地方。”

参考来源:ComputerWeekly http://985.so/byrvu

 

(六)LockBit勒索软件构建器在线泄露

有一名心怀不满的开发人员在推特账户上泄露了LockBit勒索软件加密程序的构建器。

在6月份,经过两个月的测试,LockBit勒索软件发布了加密程序3.0版本,代号为LockBit Black。新版本承诺“让勒索软件再次伟大”,增加新的反分析功能、勒索软件漏洞赏金计划和新的勒索方法。

然而,LockBit似乎遭到了破坏,有人在Twitter上泄露了LockBit 3.0构建器。安全研究人员3xp0rt表示,一位名为Ali Qushji的推特新注册用户表示,他们的团队入侵了LockBits服务器,并找到了LockBit 3.0勒索软件加密程序的构建器。

随后VX-Underground表示,9月10日,一位名为protonleaks的用户联系了他们,并分享了该构建器的副本。然而VX-Underground表示,LockBit的公共代表LockBitSupp声称他们没有被黑客入侵,而是一个心怀不满的开发人员泄露了私人勒索软件构建器。

VX-Underground在推特中表示,“我们就此联系了Lockbit勒索软件组织,发现这个泄密者是Lockbit勒索软件组织雇用的程序员。他们对Lockbit的领导层感到不满,并泄露了构建器。”

无论私人勒索软件构建器是如何被泄露的,这不仅对LockBit勒索软件运营造成了严重打击,而且对企业也是如此,越来越多的威胁行为者会使用LockBit来发起攻击。

泄露的LockBit 3.0构建器允许任何人快速构建启动自己的操作所需的可执行文件,包括加密器、解密器、和以特定方式启动解密器的专用工具。该构建器由四个文件组成,包括一个加密密钥生成器、一个构建器、一个可修改的配置文件、和一个用于构建所有文件的批处理文件。

包含的config.json可用于自定义加密器,包括修改赎金记录、更改配置选项、决定终止哪些进程和服务,甚至指定加密器将发送数据的命令和控制服务器。

通过修改配置文件,任何威胁行为者都可以根据自己的需要对其进行自定义,并修改创建的赎金记录以链接到他们自己的基础设施。

执行批处理文件时,构建器将创建成功启动勒索软件活动所需的所有文件。对泄露的勒索软件生成器进行了测试,并且能够轻松自定义,以使用自己的本地命令和控制服务器,加密文件,然后解密。

这并不是第一次在网上泄露勒索软件构建器或源代码,导致其他发起自己操作的威胁行为者的攻击增加。2021年6月,Babuk勒索软件构建器被泄露,允许任何人为Windows和VMware ESXi创建加密器和解密器,其他威胁行为者在攻击中使用这些加密器和解密器。

2022年3月,当Conti勒索软件遭遇数据泄露时,其源代码也被在线泄露,该源代码很快被NB65黑客组织用来对俄罗斯发起勒索软件攻击。

参考来源:BleepingComputer http://985.so/bygzw

 

(七)俄罗斯APT组织Sandworm冒充乌克兰电信公司传播恶意软件

俄罗斯国家支持的APT组织Sandworm伪装成电信提供商,以使用恶意软件攻击乌克兰实体。Sandworm继续以多种方式瞄准乌克兰,包括自定义恶意软件和CyclopsBlink等僵尸网络。

Sandworm又名BlackEnergy、TeleBots和UAC-0113,自2000年以来一直活跃,在俄罗斯GRU特殊技术主要中心(GTsST)的74455单元的控制下运行。该组织也是NotPetya勒索软件的开发者,该软件在2017年6月攻击了全球数百家公司,造成数十亿美元的损失。

今年4月,Sandworm以乌克兰的能源设施为目标,使用一种新的Industroyer ICS恶意软件(INDUSTROYER2)和新版本的CaddyWiper Wiper。该APT黑客组织在今年发起了多次攻击,包括对乌克兰能源基础设施的攻击,以及美国政府在4月拆除的名为CyclopsBlink的持久僵尸网络的部署。

从2022年8月起研究人员观察到,Sandworm使用的指挥和控制(C2)基础设施有所增加。C2基础设施依赖于伪装成乌克兰电信服务提供商的动态DNS域。国家支持的黑客使用其基础设施,通过HTML走私技术,包括Colibri Loader和Warzone RAT,传递多个恶意负载。

Recorded Future报告表示,“从DarkCrystal RAT过度到Colibri Loader和Warzone RAT明,UAC-0113正在扩大但继续使用公开的商品恶意软件。”

Recorded Future在分析C2基础设施时发现,在6月关于UAC-0113的报告中报告的域可能伪装成乌克兰电信公司Datagroup,另一个域冒充另一家乌克兰电信公司Kyivstar。在7月至8月期间,研究人员注意到,另外两个域的可能用于冒充乌克兰电信运营商EuroTransTelecom。

攻击链以鱼叉式网络钓鱼消息开始,假装来自乌克兰电信提供商,发送给受害者,试图诱骗他们访问恶意域。这些消息是用乌克兰语编写的,攻击中使用的主题与军事行动、报告等有关。

研究人员发现,在多个域中存在同一个网页,用乌克兰语显示“Odesa地区军事管理局”文本,以及英文“文件自动下载”。

网页的HTML包含一个base64编码的ISO文件,在访问网站时会自动下载该文件。威胁行为者使用了HTML走私技术。HTML走私是一种利用合法HTML5和JavaScript功能进行恶意软件传递的高度规避技术。恶意负载通过HTML附件或网页中的编码字符串传递。恶意HTML代码是在目标设备上的浏览器中生成的,该目标设备已经在受害者网络的安全范围内。

WarZone RAT恶意软件可能已经过时,但仍然提供强大的功能,例如绕过UAC、隐藏远程桌面、cookie和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳(CMD)和进程管理。

参考来源:SecurityAffairs http://985.so/by2n0

 

(八)眼镜反光可在视频会议期间泄露信息

研究人员设计了一种方法,可在视频会议期间通过参会者的眼镜和其他反光物体泄露文本。

研究人员表示,由于新冠疫情流行,视频会议工具在过去几年中被广泛采用,攻击者可能会使用视频工具来泄露无意中反射在眼镜等物体上的信息。

研究人员在论文中表示,“使用数学建模和人体实验,这项研究探讨了新兴网络摄像头可能在多大程度上泄漏网络摄像头捕捉到的镜片反射所发出的可识别文本和图形信息。”

不断发展的网络摄像头技术可能会导致光学攻击,这种攻击依赖于使用多帧超分辨率技术来重建反射内容。研究人员设计了一个名为“网络摄像头偷窥攻击”的威胁模型,在重建和识别720p摄像头捕获的高度小于10 mm的文本时,可以获得超过75%的准确率。

研究人员指出表示,“我们进一步将这种威胁模型应用于具有不同攻击者能力的网络文本内容,以找到文本变得可识别的阈值。我们对20名参与者的用户研究表明,当今的720p网络摄像头足以让攻击者在大字体网站上重建文本内容。”

攻击者还可以依靠网络摄像头窥视来识别受害者正在使用的网站。此外他们认为,4k网络摄像头将允许攻击者轻松重建流行网站上的大多数标题文本。

为了减轻网络摄像头偷窥攻击带来的风险,研究人员提出了近期和长期的缓解措施,包括使用可以模糊视频流眼镜区域的软件。一些视频会议解决方案已经提供了模糊功能,尽管没有进行微调。

然而研究人员表示,由于不同的个体面临不同程度的潜在信息泄漏,主要基于反射的质量,因此推荐或实施单一的保护设置是不可行的。

网络摄像头窥视攻击模型使用基于人类的识别来评估反射识别的局限性,但学者们认为,可以使用更复杂的机器学习模型来提高攻击性能。然而机器学习可能会面临一系列问题,主要是由于个人环境条件不同。

参考来源:SecurityWeek http://985.so/by24w

 

(九)波黑议会遭受网络攻击导致运营中断

波斯尼亚和黑塞哥维那(波黑)官员正在调查一起网络攻击事件,该事件影响范围广泛,已经导致波黑议会运营中断。

近两周来,波黑议会的网站一直处于关闭状态,当地新闻媒体Nezavisne与几位议员进行了交谈,他们被告知甚至不要打开电脑,禁止访问他们的电子邮件账户和官方文件。

波黑检察官办公室发言人Boris Grubešić表示,他们在几天前接到此案,“当日值班的检察官向执法机构的官员发出了必要的指示,目的是澄清案件的所有情况,保护IT系统的网络安全和波黑机构的能力。此案正在进行中,因此现阶段无法提供任何其他额外信息。”

人民院代表Zlatko Miletić告诉Nezavisne,议员无法完成任何工作,攻击始于9月8日或9日左右。但消息人士向Nezavisne证实,此次攻击涉及勒索软件。《萨拉热窝时报》报道称,攻击发生后,议会的主要服务器被关闭。

议会发言人表示,“用户无法访问服务器,电子邮件地址和官方网站都处于非活动状态。”一些议员表示,他们被告知不要打开电脑,部分原因是担心勒索软件会传播到他们的设备上。

Miletić对政府的网络安全专家持批评态度,声称在攻击发生前没有人关心。“有足够的时间购买足够的技术手段,也就是额外保护那些服务器。他们必须明白,安全领域需要投资。没有设备就没有安全。这些技术手段很昂贵,但我们必须不可避免地获得它们。不仅是议会,还有所有处理存储各种数据的机构。这是一个很好的教训。”

另一位议员Dušanka Majkić对政府计算机上的数据表示担忧,并指出她的设备上有可追溯到2004年的文件。

随着对塞族共和国的分裂努力的担忧日益增加,该国正处于政治动荡之中。如果勒索软件攻击的传言得到证实,这将是今年勒索软件组织利用政治纠纷发动攻击的最新事件。

现已解散的Conti勒索软件组织对哥斯达黎加发动了毁灭性攻击,新总统称该组织企图“在过渡时期威胁该国的稳定”。三周前,黑山政府遭到勒索软件攻击,现任政府通过不信任投票被罢免。

近年来,世界各地的其他几个议会都面临着勒索软件组织和黑客的攻击。就在上周,阿根廷首都的立法机构处理了一次勒索软件攻击,该攻击破坏了其内部操作系统和Wi-Fi网络。

参考来源:TheRecord http://985.so/bhfyz

 

(十)美国航空公司遭受网络钓鱼泄露员工数据

美国航空公司(American Airlines)9月16日向客户披露,其最近发生了数据泄露事件,此前攻击者入侵了一批未公开数量的员工电子邮件账户,并获得敏感个人信息的访问权限。目前没有证据表明暴露的数据被滥用。

美国航空公司在7月5日发现了该漏洞,立即保护了受影响的电子邮件账户,并聘请了一家网络安全取证公司来调查安全事件。

该航空公司在通知信件中表示,“在2022年7月,我们发现一名未经授权的行为者入侵了有限数量的美国航空公司团队成员的电子邮件账户。在发现事件后,我们保护了适用的电子邮件账户,并聘请了第三方网络安全取证公司进行取证调查,以确定事件的性质和范围。”

在攻击中暴露并可能被威胁行为者访问的个人信息可能包括员工和客户的姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾驶执照号码、护照号码和某些医疗信息。

该航空公司表示,将为受影响的客户提供两年免费的Experian IdentityWorks会员资格,以帮助检测和解决身份盗用问题。

美国航空公司补充说表示,“虽然我们没有证据表明您的个人信息被滥用,但我们建议您注册Experian的信用监控。此外,您应该保持警惕,包括定期查看您的账户报表和监控免费信用报告。”

该公司尚未披露受影响客户的数量以及在事件中遭到入侵的电子邮件账户数量。美国航空公司企业传播高级经理Andrea Koos表示,员工的账户在一次网络钓鱼活动中遭到入侵,但拒绝透露有多少客户和员工受到影响,而是说这是“非常少数。”

Koos表示,“美国航空公司意识到此次网络钓鱼活动,导致未经授权访问有限数量的团队成员邮箱。这些电子邮件账户中包含极少数客户和员工的个人信息。虽然我们没有证据表明任何个人信息被滥用,但数据安全至关重要,我们为客户和团队成员提供了预防性支持。我们目前还在实施额外的技术保障措施,以防止未来发生类似事件。”

美国航空公司也在2021年3月遭遇数据泄露事件,当时全球航空信息技术巨头SITA证实,黑客入侵了其服务器,并获得了包括美国航空公司在内的全球多家航空公司使用的乘客服务系统(PSS)的访问权限。

美国航空公司是全球机队规模最大的航空公司,主线拥有超过1,300架飞机,拥有超过120,000名员工,每天运营近6,700个航班,飞往50多个国家/地区的约350个目的地。

参考来源:BleepingComputer http://985.so/bym6q

 

(十一)威胁行为者可窃取Microsoft Teams凭证

Vectra研究人员发现了一种攻击路径,允许具有文件系统访问权限的恶意行为者窃取任何登录的Microsoft Teams用户的凭据。由于攻击者不需要提升权限即可读取这些文件,因此任何恶意行为者都可以利用该方法获得本地或远程系统访问权限。该问题影响了所有商业和政府社区云桌面团队的Windows、Mac和Linux客户端。

微软已经意识到这个问题,并在8月下旬表示,该问题没有达到立即维修的标准。Vectra研究人员表示,在微软开始更新Teams桌面应用程序之前,他们不建议使用完整的Teams客户端,并建议客户考虑专门使用基于Web的Teams应用程序。

研究人员表示,安全团队应该在Microsoft Edge中使用基于Web的Teams客户端,该客户端具有多个操作系统级别的控件来保护令牌泄漏。

Teams Web应用程序功能强大,支持通过桌面客户端启用的大多数功能,从而将组织的生产力影响降至最低。对于必须使用已安装的桌面应用程序的客户,除了官方的Teams应用程序外,任何进程都可以访问关键应用程序文件,这一点至关重要。

Vectra SaaS Protect首席技术官Aaron Turner表示,据Vectra团队所知,微软没有改变立场。在Vectra与客户的互动中,只有那些极度暴露于复杂攻击者的组织才会认真考虑消除端点上的Teams.exe应用程序,例如国防承包商和关键基础设施运营商,并迫使用户通过托管浏览器通过Teams进行协作。

Turner表示,与他交谈过的大多数组织都计划实施端点检测和响应监控策略,以监视系统进程未经授权访问存储令牌的文件存储位置的任何情况。

Turner表示,“Microsoft Teams拥有数亿月度用户,已成为当今新的远程工作现实的重要组成部分。由于其市场份额,以及该平台在商业、非营利和政府协作中所扮演的角色,攻击者将专注于整个Teams生态系统,以寻找破坏身份并获得未经授权访问通过Teams共享的数据的方法。”

Turner补充表示,Vectra的Connor Peoples首先发现了该漏洞,并与Microsoft协调其发现。Turner表示,微软可以做出一些改进,来支持Windows和MacOS的Electron应用程序。这些改进还应该有助于防止未来的漏洞,例如最近披露的与XSS攻击和使用GIF的潜在命令和控制活动有关的其他问题。

Turner表示,“我们赞同其他安全研究人员的指导,即在Teams Electron应用程序得到显着改进之前,通过托管浏览器使用Microsoft Teams会更安全。”

参考来源:SCMagazine http://985.so/by2g4

 

(如未标注,均为天地和兴工业网络安全研究院编译)

扫二维码用手机看

天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有: 北京天地和兴科技有限公司      京ICP备17065546号-1    京公网安备 11010802040756号

扫一扫关注

天地和兴微信公众号