目   錄
 

第一章 國內關鍵信息基礎設施安全動態

（一）《2020年工業信息安全態勢報告》發布

第二章 國外關鍵信息基礎設施安全動態

（一）巴西兩家電力公司遭受勒索軟件攻擊

（二）美國佛羅里達州供水設施被黑客遠程攻擊投毒

（三）工業網絡中披露的漏洞數量急劇增加

（四）勒索軟件Ziggy關閉并釋放解密密鑰

（五）神秘黑客組織攻擊多個斯里蘭卡網站域名

（六）新型網絡釣魚攻擊方法使用摩爾斯電碼隱藏惡意URL

（七）Plex Media服務器被濫用進行DDoS攻擊

（八）Realtek Wi-Fi模塊中存在嚴重漏洞

（九）多個勒索軟件組織之間存在經濟聯系

（十）Agent Tesla嘗試篡改微軟AMSI來繞過殺毒軟件檢測

（十一）微軟Azure Functions存在提權漏洞可逃離Docker主機

 

第一章 國內關鍵信息基礎設施安全動態

（一）《2020年工業信息安全態勢報告》發布

2月5日，國家工業信息安全發展研究中心“2020年工業信息安全態勢報告”線上發布會成功舉辦，正式發布了《2020年工業信息安全態勢報告》。

報告指出，2020年，全球工業信息安全呈現技術應用化發展、事件爆發式增長、政策多維度深化、風險彌漫性擴散等特征，危機中孕育希望，機遇與挑戰并存。放眼技術趨勢，圍繞威脅誘捕、數據保護、供應鏈安全、人工智能等的技術應用從理論走向實踐；回顧安全事件，新型冠狀病毒全球大流行致使利用疫情實施的網絡攻擊層出不窮，針對工業領域的勒索攻擊頻發；跟蹤政策進展，主要國家圍繞工業控制系統安全、工業數據安全、智能制造安全等領域出臺一系列法規標準，推動各項措施走向深耕；追溯風險威脅，低防護聯網工業控制系統數量激增，高危漏洞占比居高不下，重點行業面臨嚴峻的安全挑戰。

展望2021，建議秉持監測、防護、應急“三位一體”理念，緊密圍繞建設態勢感知網絡、建立防護應急體系、保護工業數據安全、打造專業技術隊伍，推進實施“四個一”安全保障措施，切實維護國家工業信息安全。
 

本文版權歸原作者所有，參考來源：國家工業信息安全發展研究中心 http://dwz.date/ejaN

 

第二章 國外關鍵信息基礎設施安全動態

（一）巴西兩家電力公司遭受勒索軟件攻擊

巴西兩家主要電力公司Centrais Eletricas Brasileiras（Eletrobras）和Companhia Paranaense de Energia（Copel）宣布，在過去一周他們遭受了勒索軟件攻擊。這兩起勒索軟件攻擊都擾亂了運營，并迫使這兩家公司暫時中止了部分系統。

這兩家公司都是由國家控制的，且都是該國的關鍵電力企業。Copel是巴拉那州最大的電力公司，而Eletrobras是拉丁美洲最大的電力公司，并且還擁有Eletronuclear，這是一家從事核電站建設和運營的子公司。

對于Eletrobras而言，此事件發生在其Eletronuclear子公司，是勒索軟件攻擊。它影響了一些管理網絡服務器，對核電廠Angra 1和Angra 2的運營沒有影響。

該公司在2月3日發布的新聞通告中表示，由于明顯的安全原因，這兩座核電站的運營均與管理網絡斷開，因此國家互連系統的電力供應不受影響。在檢測到攻擊后，Eletronuclear暫停了其部分系統，以保護網絡的完整性。該公司與托管安全服務團隊一起隔離了惡意軟件，并限制了攻擊的影響。該通告缺乏詳細信息，也沒有說明攻擊是否同時也存在數據泄露，因為勒索軟件運營商通常會在部署加密例程之前從受害者網絡竊取數據。

對于Copel而言，攻擊者是Darkside勒索軟件組織，該組織聲稱已竊取了1000 GB以上的數據，并且該緩存包含敏感的基礎結構訪問信息以及高層管理人員和客戶的個人詳細信息。

根據黑客的說法，他們可以訪問該公司的CyberArk解決方案以進行特權訪問管理，并且可以在Copel的本地和互聯網基礎結構中泄露純文本密碼。除此之外，Darkside聲稱他們擁有超過1000GB屬于Copel的敏感數據，其中包括網絡地圖、備份方案和時間表、Copel主站點的域區域以及互聯網域。他們還聲稱已經泄露了存儲Active Directory（AD）數據的數據庫-NTDS.dit文件，該文件包含有關域中所有用戶的用戶對象、組、組成員身份和密碼哈希的信息。

盡管AD數據庫沒有純文本密碼，但是有一些工具可以脫機破解哈?；蛟谒^的“哈希傳遞”攻擊中使用它們，而哈希攻擊本身就是密碼。

與其他勒索軟件運營商不同，Darkside不會在其泄漏站點上提供被盜數據。相反，他們建立了一個分布式存儲系統來托管六個月。這些緩存的訪問由組織成員審核。這意味著雖然Copel的數據不是免費提供的，但包括黑客在內的第三方都可以輕松獲取它。

Copel是巴拉那州最大的公司，也是電力行業中第一家在紐約證券交易所上市的巴西公司。入侵的日期尚未公布，但Copel在2月1日星期一向美國證券交易委員會（SEC）提交的文件中宣布了這一事件。該公司檢測到攻擊，并立即采取行動以阻止其在網絡中傳播。一項調查已經開始，以確定這次襲擊的全部影響?？梢钥隙ǖ氖?，主要系統未受影響，電力供應以及電信服務繼續正常運行。

Copel表示，“運營和保護系統檢測到攻擊，公司立即遵循安全協議，包括中止其計算機環境的運行以保護信息的完整性。正在對發生的事情進行全面評估，公司正在采取必要步驟以恢復正常狀態?！蹦壳吧胁磺宄﨏opel網絡有多少部分受到了攻擊的影響，或者黑客是否能夠部署加密例程。
 

參考來源：BleepingComputer http://dwz.date/ehq6
 

（二）美國佛羅里達州供水設施被黑客遠程攻擊投毒

美國佛羅里達州Oldsmar市的水處理系統2月5日遭受了黑客入侵，并試圖將氫氧化鈉（NaOH）的濃度提高到極其危險的水平，提高了100倍以上。

氫氧化鈉（NaOH，也稱為堿液和苛性鈉）常見于家用清潔劑中，但如果高濃度攝入則會非常危險。然而在較低的水平時，水處理設施會使用它來調節酸度（pH）并去除重金屬。

該事件發生在2月5日下午1:30分，通過一個遠程桌面軟件進行，該軟件允許授權用戶遠程解決系統問題。警長鮑勃·古鐵里耶（Bob Gualtieri）在接受路透社采訪時稱，黑客遠程訪問了工廠員工計算機上的軟件程序TeamViewer，以控制其他系統。

一位工廠操作員說，他們觀察到有人控制了鼠標，并用它來更改控制城市水處理功能的軟件。入侵者在系統內部花費了三到五分鐘，并將氫氧化鈉含量從百萬分之100更改為百萬分之11,100。隨后操作員立即撤銷了這一操作，由于操作員立即進行了干預，Oldsmar的人口沒有受到威脅。隨后工廠操作員切斷了對系統的遠程訪問。

該市市長埃里克·塞德爾（Eric Seidel）表示，Oldsmar水處理系統設置了冗余，如果水的化學含量達到危險水平，將會發出警報。

警長鮑勃·古鐵里耶表示，“即使水廠操作員沒有迅速撤消增加的氫氧化鈉量，這些水也要花24到36個小時才能到達供水系統，并且有多余的地方對水進行檢查，然后才能被釋放?！本L補充稱，目前還沒有逮捕任何人，也沒有該違規行為是起源于美國還是國外的信息。Pinellas縣警長辦公室、聯邦調查局和特勤局正在調查此事。

該事件不是對水處理設施的第一次攻擊。從表面上看，這不是一次復雜的入侵。根據Mandiant威脅情報團隊的說法，自去年以來，涉及技能水平較低的攻擊者試圖遠程訪問工業控制系統的事件數量有所增加。

Mandiant表示，“許多受害者似乎是被任意選擇的，例如小型關鍵基礎設施資產所有者和為有限的人群服務的運營商。通過與這些系統的遠程交互，攻擊者參與了影響有限的行動，通常包括操縱物理過程中的變量。鑒于工業過程通常由專業工程師設計和監控，這些事件都沒有對人員或基礎設施造成損害，因為采用了安全機制來防止意外修改?！?/span>

在過去的二十年中，對水處理設施的襲擊已經發生了好幾次。在引起公眾關注的最古老的事件發生在2000年，發生在澳大利亞的一個廢水處理設施，是一個內部工作。對公司不滿的員工Vitek Boden使用竊取的設備來訪問SCADA控制器，并將80萬公升未經處理的污水排放到Maroochy郡的水道中。

2011年，一名自稱“pr0f”的黑客對DHS關于伊利諾伊州斯普林菲爾德市水泵故障的報告做出了回應。黑客的截圖顯示他們可以進入南休斯頓的污水處理廠。

在2016年，Verizon在其《數據泄露摘要》中報告說，黑客主義者能夠入侵一家供水公司，該公司的IT網絡運行在過時的軟件和硬件設備上。
 

參考來源：BleepingComputer http://dwz.date/ejph

 

（三）工業網絡中披露的漏洞數量急劇增加

工業網絡安全公司Claroty最新發布的2020年半年度ICS風險和漏洞報告顯示，攻擊者、研究人員和防御者同時參與了一場競賽，尋找隱藏在工業網絡中的網絡安全漏洞。該報告分析了2020年下半年ICS網絡中所有公開披露的漏洞，發現披露的ICS漏洞比2019年增加了近25%，漏洞最多的行業包括關鍵制造業、能源、醫療保健、供水設施、食品和飲料以及商業設施等重要基礎設施。

更糟糕的是，超過71％的漏洞可遠程利用，并且2020年下半年披露的每個漏洞都在MITRE的2020 CWE最危險的25個軟件漏洞名單上排名都很高，因為它們易于利用且可能造成災難性影響。

在2020年下半年，Claroty統計了來自59個ICS供應商的449個漏洞。全年共有893個。2018年全年披露的ICS漏洞總數為672，而2019年的總數為716個。報告稱，這些報告越來越多地來自獨立研究人員。實際上，Claroty發現2020年下半年有50位新研究人員發表了披露信息，而他們在前兩年沒有發表過披露。

Claroty研究副總裁Amir Preminger對Threatpost解釋稱，“隨著越來越多的組織嘗試了解新的攻擊環境，第二次半年度報告使ICS研究轉向安全研究小組的強勁增長，ICS研究出現了轉變。隨著進入市場并專注于ICS安全的玩家數量的增加，（發現的）漏洞自然會增加?！?/span>

攻擊者也在加大對工業網絡的壓力。例如，Claroty觀察到Snake勒索軟件查殺清單中增加了工業流程。Preminger稱，“ICS環境已經成為網絡犯罪分子更具吸引力的目標，這種動機不僅在于什么會造成最大的破壞，而且還包括他們可以使用的設備。攻擊將變得越來越復雜和有針對性，因此，組織使用不同的檢測墻并深入實踐安全性非常重要?！?/span>

該報告解釋稱，“盡管ICS和SCADA漏洞研究日趨成熟，但仍有數十年的安全問題尚未發現。目前，攻擊者可能在利用它們方面具有優勢，因為維護者經常會受到正常運行時間要求的限制，并且越來越需要針對可能導致進程中斷或操作的可利用漏洞的檢測能力?！?/span>

該報告還補充說，有關SolarWinds攻擊的頭條新聞使每個行業的CISO對他們的網絡范圍以及可能要攻擊它們的人都三思而行。Preminger還說，“民族國家參與者顯然正在研究網絡外圍的許多方面，而網絡犯罪分子也特別關注ICS流程，這強調了對安全技術的需求，例如在工業環境中基于網絡的檢測和安全的遠程訪問?！?/span>

好消息是該行業開始做出反應。Preminger稱，“令人振奮的是，安全研究界對ICS的興趣日益增長，因為我們必須更加清楚地了解這些漏洞，以使威脅保持一定距離。發現更多的漏洞意味著整個行業更加安全，因此看到安全界認真對待這一點，這是令人放心的?！?/span>
 

參考來源：ThreatPost http://dwz.date/ehJ5

 

（四）勒索軟件Ziggy關閉并釋放解密密鑰

安全研究員M.Shahpasandi發現，勒索軟件Ziggy管理員在Telegram上宣布，他們將關閉其操作并將釋放所有解密密鑰，該行動是由于最近的執法活動加劇及對加密受害者的愧疚。

勒索軟件管理員在接受采訪時表示，他們創建這個勒索軟件是為了生活在“第三世界國家”時賺錢。該管理員對他們的行為感到內疚，并對最近針對Emotet和Netwalker勒索軟件的執法行動感到擔憂之后，管理員決定關閉并釋放所有密鑰。

2月7日，Ziggy勒索軟件管理員發布了一個SQL文件，其中包含用于加密受害者的922個解密密鑰。對于每個受害者，SQL文件列出了解密其加密文件所需的三個密鑰。勒索軟件管理員還發布了解密程序，受害者可以將其與SQL文件中列出的密鑰一起使用。

除了解密程序和SQL文件之外，勒索軟件管理員還共享了包含脫機解密密鑰的其他解密程序的源代碼。勒索軟件感染使用脫機解密密鑰來解密未連接到互聯網或命令和控制服務器無法訪問時受感染的受害者。勒索軟件管理員還與勒索軟件專家Michael Gillespie共享了這些文件，Emsisoft將很快發布解密程序。

Emsisoft的Brett Callow表示，“釋放秘鑰，不管是自愿還是非自愿，都是最好的結果。這意味著過去的受害者可以恢復他們的數據，而不需要支付贖金或使用開發人員的解密程序，因為該程序可能包含后門或漏洞。當然，這也意味著要可以擔心一個勒索軟件組織。最近與Emotet和Netwalker行動有關的個人被捕，可能會讓一些參與者感到恐慌。如果是這樣，我們很可能會看到更多的團體停止行動，交出他們的秘鑰?！?/span>

雖然勒索軟件管理員似乎很誠實地打算關閉并釋放密鑰，但研究人員始終建議等待安全公司的解密程序，而不要使用威脅者提供的解密程序。

上周，Fonix勒索軟件操作也關閉并釋放了密鑰和解密程序。Ziggy管理員表示他們是Fonix勒索軟件組織的朋友，來自同一國家。
 

參考來源：BleepingComputer http://dwz.date/ehRp

 

（五）神秘黑客組織攻擊多個斯里蘭卡網站域名

一個神秘的黑客組織2月6日攻擊了多個斯里蘭卡（.lk）網站的DNS記錄，并將用戶重定向到一個網頁上，該網頁詳細描述了影響當地居民的各種社會問題。盡管受到影響的大多數域名是本地企業網站和新聞網站，但Google.lk和Oracle.lk兩個知名域名也受到了影響。

在當局進行干預之前，相關消息已在Google.lk上顯示了幾個小時。該消息重點介紹了當地茶葉種植業、新聞自由、被指控腐敗的政治階級和司法制度以及種族、少數民族和宗教問題。

這次襲擊發生在斯里蘭卡正式民族獨立日2月4日之后的2天，即2月6日星期六，這說明了民族主義的信息。

斯里蘭卡國家頂級域名空間管理者NIC.lk 2月6日在其網站上發布的消息證實了這一攻擊。該組織表示，“LK域注冊系統出現了一個問題，即2月6日星期六清晨，這影響了在.LK中注冊的一些域。這一問題迅速得到了處理，并在大約上午8.30時解決了該問題?！?/span>

斯里蘭卡電信監管委員會也通過一條推文證實了這一事件。有關攻擊和受影響域數量的詳細信息尚未公開。此次攻擊在斯里蘭卡并沒有被忽視，盡管事件僅發生了幾個小時，周末仍有幾位用戶在推特上發布了有關此事件的消息。這是第二起與NIC.lk組織有關的網絡安全事件。2013年，黑客使用SQL注入攻擊來破壞其數據庫并竊取有關.lk域所有者的數據。

參考來源：ZDNet http://dwz.date/ehZA

 

（六）新型網絡釣魚攻擊方法使用摩爾斯電碼隱藏惡意URL

從上周開始，有威脅參與者開始利用摩爾斯電碼以釣魚形式來隱藏惡意URL，從而繞過安全的郵件網關和郵件過濾器。研究人員沒有找到任何關于摩爾斯電碼在過去用于網絡釣魚攻擊的相關信息，因此這是一項新型有針對性的混淆技術。

塞繆爾·莫爾斯和阿爾弗雷德·維爾發明了莫爾斯電碼，是通過電報線傳輸信息的一種方式。當使用莫爾斯電碼時，每個字母和數字都被編碼為一系列的點（短音）和破折號（長音）。

在Reddit上的一篇帖子中首次得知這一攻擊后，研究人員找到了自2021年2月2日以來上傳到VirusTotal的大量定向攻擊樣本。
網絡釣魚攻擊開始于一封電子郵件，郵件主題為“Revenue_Payment_Invoice 2月2日/03/2021”，假裝是該公司的發票。

此電子郵件包含一個HTML附件，其命名方式看起來像是該公司的Excel發票。這些附件的命名格式為‘[COMPANY_NAME]_INVOICE_[NUMBER]._xlsx.hTML’。在文本編輯器中查看附件時，可以看到它們包含將字母和數字映射到莫爾斯代碼的JavaScript。例如，字母‘a’映射到‘.-’，字母‘b’映射到‘-...’，如下所示。

然后，腳本調用decdeMorse()函數將摩爾斯電碼字符串解碼為十六進制字符串。該十六進制字符串被進一步解碼成注入到HTML頁面中的JavaScript標記。這些插入的腳本與HTML附件相結合，包含呈現假Excel電子表格所需的各種資源，該電子表格聲明他們的登錄超時并提示他們再次輸入密碼。

一旦用戶輸入密碼，表單就會將密碼提交到遠程站點，攻擊者可以在那里收集登錄憑據。該攻擊具有很強的針對性，威脅參與者使用logo.clearbit.com服務在登錄表單中插入收件人公司的徽標，使其更具說服力。如果徽標不可用，它將使用通用的Office 365徽標。

研究人員發現11家公司成為此次網絡釣魚攻擊的目標，包括SGS、Dimensional、Metrohm、SBI（Mauritius）Ltd、NUOVO Imie、普利司通、Cargeas、ODDO BHF Asset Management、Dea Capital、Equinti和Capital Four。

隨著郵件網關越來越善于檢測惡意電子郵件，網絡釣魚欺詐每天都變得越來越復雜。因此，在提交任何信息之前，每個人都必須密切關注URL和附件名稱。如果有可疑的東西，收件人應該聯系他們的網絡管理員進一步調查。由于此仿冒電子郵件使用具有雙擴展名（xlxs和HTML）的附件，因此務必啟用Windows文件擴展名，以便更容易發現可疑附件。
 

參考來源：BleepingComputer http://dwz.date/ejbc

 

（七）Plex Media服務器被濫用進行DDoS攻擊

安全公司Netscout 2月4日發布警告稱，DDoS租用服務已找到一種濫用Plex Media服務器來反彈垃圾流量并放大分布式拒絕服務（DDoS）攻擊的方法。

該公司警告Plex Media Server設備的所有者，Plex Media Server是一款Windows、Mac和Linux的Web應用程序，通常用于視頻或音頻流以及多媒體資產管理。該應用程序可以安裝在常規的Web服務器上，或者通常與網絡附加存儲（NAS）系統，數字媒體播放器或其他類型的多媒體流IoT設備一起提供。

PLEX MEDIA服務器在路由器NAT中存在漏洞。Netscout稱，當啟動運行Plex Media Server應用程序的服務器/設備并將其連接到網絡時，它將通過簡單服務發現協議（SSDP）對其他兼容設備啟動本地掃描。

當Plex Media Server發現啟用了SSDP支持的本地路由器時，就會出現問題。發生這種情況時，Plex Media Server將向路由器添加一個NAT轉發規則，將其Plex Media SSDP（PMSSDP）服務直接在互聯網上的UDP端口32414上公開。

由于SSDP協議多年來一直被認為是擴大DDoS攻擊規模的完美載體，因此Plex Media服務器成為DDoS租用操作的多汁且未開發的DDoS bot來源。

Netscout表示，攻擊者只需要掃描互聯網上啟用此端口的設備，然后濫用它們來放大發送給DDoS攻擊受害者的Web流量。根據Netscout的說法，放大系數約為4.68，Plex Media服務器將傳入的PMSSDP數據包從52個字節放大到281個字節左右，然后再將其發送給受害者。

Netscout表示，它掃描了互聯網，發現27000臺Plex媒體服務器暴露在網上，這些服務器可能被濫用以進行DDoS攻擊。此外，一些服務器已經被濫用。Netscout表示，它不僅看到使用Plex Media服務器的DDoS攻擊，而且這種媒介現在正變得越來越普遍。

Netscout稱，“像通常使用更新的DDoS攻擊媒介的情況一樣，在高級攻擊者最初使用了定制的DDoS攻擊基礎結構后，似乎已經將PMSSDP武器化并添加到所謂的引導程序/壓力源DDoS-租用服務，將其置于一般攻擊者的承受范圍之內?！?/span>

根據Netscout的說法，過去的PMSSDP攻擊已達到2-3 Gbps，但是服務器可以與其他媒介結合使用，以進行更大的攻擊。

這是Netscout關于今年在野外發現新型DDoS攻擊媒介的第二次警告。一月份，Netscout警告稱Windows遠程桌面協議（RDP）服務器也被濫用用于DDoS攻擊。

Plex發言人表示，該公司目前正在開發一個補丁程序，該補丁程序“為那些可能意外暴露的服務器增加了一層額外的保護”，該公司計劃很快發布該補丁程序。
 

參考來源：ZDNet http://dwz.date/ehrb

 

（八）Realtek Wi-Fi模塊中存在嚴重漏洞

以色列物聯網安全公司Vdoo研究人員在Realtek RTL8195A Wi-Fi模塊中發現了6個嚴重漏洞，這些漏洞可能被用來獲得根訪問權限，并控制設備的無線通信。

Realtek RTL8195AM是一款高度集成的單芯片，具有低功耗機制，非常適合多個行業的物聯網(IoT)應用。該模塊實現了一個“AMEBA”API，允許開發人員通過Wi-Fi、HTTP和MQTT與設備通信，MQTT是一種適用于小型傳感器和移動設備的輕量級消息傳遞協議。

Realtek提供了自己的“Ameba”API用于該設備，這使得任何開發者都可以通過Wi-Fi、HTTP、mDNS、MQTT等輕松通信。作為模塊Wi-Fi功能的一部分，該模塊支持WEP、WPA和WPA2認證模式。

研究人員發現的漏洞是與Wi-Fi模塊在認證過程中的WPA2四次握手機制相關的堆棧溢出和越界問題。Vdoo發現的漏洞還會影響其他模塊，包括RTL8711AM、RTL8711AF和RTL8710AF。

最嚴重漏洞是遠程堆棧溢出漏洞CVE-2020-9395，攻擊者可在易受攻擊的RTL8195模塊附近利用該漏洞將其完全接管。攻擊者不需要知道Wi-Fi網絡密碼(PSK)，也不需要知道該模塊是充當Wi-Fi接入點還是客戶端。

研究人員還發現了一個拒絕服務漏洞、三個允許攻擊者利用Wi-Fi客戶端設備的漏洞、和任意代碼執行漏洞。這些漏洞分別為：

VD-1406(CVE-2020-9395)基于堆棧的緩沖區溢出漏洞；

VD-1407(CVE-2020-25853)越界讀取漏洞；

VD-1408(CVE-2020-25854)基于堆棧的緩沖區溢出漏洞；

VD-1409(CVE-2020-25855)基于堆棧的緩沖區溢出漏洞；

VD-1410(CVE-2020-25856)基于堆棧的緩沖區溢出漏洞；

VD-1411(CVE-2020-25857)基于堆棧的緩沖區溢出漏洞。

為了解決這個問題，用戶必須從Realtek的網站上下載Ameba SDK的更新版本。最新版本的Ameba Arduino(2.0.8)包含上述所有問題的修復程序。
 

參考來源：SecurityAffairs http://dwz.date/ejqV

 

（九）多個勒索軟件組織之間存在經濟聯系

使全球互聯網系統處于癱瘓狀態的勒索軟件數量眾多表明，可能有無數的獨立黑客在竊取受害者的數據。

最新研究表明，數字勒索軟件之間的聯系比他們表面上看起來更緊密。與執法機構合作的軟件公司Chainalysis的研究人員2月4日表示，他們發現了一些聯系，表明使用Maze、Egregor、SunCrypt和DoppelPaymer黑客之間存在合作關系。

這些組織都以勒索軟件即服務的形式運作，這意味著他們將自己的惡意軟件出租給附屬機構，這些附屬機構隨后會進行勒索軟件攻擊，這可能會讓歸類變得更加困難。根據該研究博客稱，研究人員通過一系列中間人追蹤了最近向Maze組織支付的一些贖金，確定Maze與一個疑似SunCrypt的人分享了部分贖金。Maze一直與針對包括佳能(Canon)和施樂(Xerox)在內的受害者的攻擊有關，如果受害者拒絕付款，Maze通常公布竊取的數據。

研究人員在博客中表示，這筆交易表明，Chainalyst沒有確定中間人的身份，它同時是SunCrypt和Maze的附屬機構。

Chainanalysis還發現證據表明，Maze和Egregor都曾通過中介機構將資金送到一家大型加密貨幣交易所的存款地址，這表明這兩個組織可能與同一家經紀人合作，將加密貨幣贖金轉換為現金。

Chainanalysis還發現了證據，表明與Egregor相關的錢包過去曾向Doupelma管理員支付過費用，這表明他們可能是附屬機構。包括Sophos在內的公司已經確定Egregor集團依賴于附屬戰略，幫助攻擊者避免被發現，同時也迫使黑客瓜分攻擊收益。

Chainanalysis的這項新研究為這四種勒索軟件開辟了新的視角，有助于惡意軟件研究人員和當局開發新的方法，來阻止勒索軟件背后的犯罪分子。

研究人員在博客中指出：“雖然我們不能肯定Maze、Egregor、SunCrypt或Doppelpaymer有相同的管理員，但我們可以相對肯定地說，其中某些組織有共同的附屬機構。通過追查洗錢服務或腐敗的場外交易（OTC）經紀人等不良行為者，執法可能會嚴重阻礙Maze和Egregor的盈利能力，而不會真正抓住這些組織的管理人員或附屬機構?！?/span>

Chainalysis懷疑，Maze和Egregor使用的某未透露姓名的場外交易經紀商可能也是Doppelpaymer、WastedLocker和Netwalker使用的。這可能表明，針對該經紀商的任何行動，鑒于其影響范圍，都可能造成大量調查或保護性收益。

盡管多年來勒索軟件一直在攻擊學校、地方政府和公司，但直到最近，研究人員才開始表明，涉案罪犯的數量實際上更加集中。今年1月，ChainAnalysis發布的研究結果顯示，從勒索軟件支付中獲益的攻擊者數量實際上可能遠小于勒索軟件的數量。

此前有一些跡象表明，Maze、Egregor,、SunCrypt、Doppelpaymer可能以某種方式聯系在一起。SunCrypt之前聲稱是Maze網絡的一部分。根據早期的研究，Maze和Egregor在代碼上也有相似之處。

除了鎖定受害者系統和索要贖金外，每一種勒索軟件都暴露了受害者信息，以使受害者更有可能付款，一些勒索軟件行為者已經開始利用這種相對較新的方法，以幫助確保他們從自己的努力中獲利。

一些研究人員長期以來一直認為，勒索軟件病毒和操作之間存在聯系。例如，GandCrab宣布于2019年退役，但研究人員已將該組織與Sodinokibi或Revil的較新版本的勒索軟件聯系起來。
 

參考來源：CyberScoop http://dwz.date/ehq7

 

（十）Agent Tesla嘗試篡改微軟AMSI來繞過殺毒軟件檢測

Sophos研究人員2月2日表示，遠程訪問特洛伊木馬(RAT)的兩個新變種針對的是微軟反惡意軟件接口(AMSI)，這是一種旨在防止惡意軟件感染的掃描和分析軟件。

Agent Tesla現在將試圖篡改AMSI，以降低其防御能力，并在執行點移除端點保護。如果成功，這將允許惡意軟件部署其全部負載。

Agent Tesla于2014年首次被發現，是一只用.NET編寫的RAT。這種惡意軟件通常通過釣魚活動和惡意電子郵件附件傳播，用于獲取帳戶憑證、竊取系統數據，并為攻擊者提供遠程訪問受損PC機的機會。

網絡釣魚郵件樣本包括包裹投遞通知、自稱為目錄的附件、與COVID-19有關的個人防護用品，當用于針對組織時，它們還可能涉及開具發票等關鍵業務問題。

Sophos稱，這種惡意軟件正在不斷開發中，其中包括一個.NET下載程序，它可以調用和捕獲托管在合法網站上的惡意代碼，其中包括以Base64編碼和混淆方式發布的Pastebin。這些“代碼塊”被合并在一起，進行解碼和解密，以形成主加載器。

如果AMSI已成功解除武裝，則會安裝此加載程序并可在不受任何干擾的情況下運行，全面部署Agent Tesla，以便截取屏幕截圖、記錄鍵盤輸入、竊取保存在剪貼板上的數據，以及從瀏覽器、電子郵件客戶端、應用程序等獲取憑據。

這款名為Tesla 2和Tesla 3的惡意軟件的其他更新包括在攻擊名單上增加了用于竊取憑證和增強迷惑的應用程序，以及操作員在連接到指揮控制(C2)服務器時使用Tor客戶端和Telegram的消息API的選項。目標應用程序包括Opera、Chromium、Chrome、Firefox、OpenVPN和Outlook。

犯罪人員還可以選擇通過在系統啟動時執行惡意軟件來保持持久性，如果愿意，還可以遠程卸載Agent Tesla。如果在目標系統上檢測到該惡意軟件的另一個舊版本，并且選擇了保持持久性的選項，則版本2和版本3都將刪除該惡意軟件。

Sophos表示，在2020年12月，Agent Tesla的有效載荷占所有惡意郵件附件的約20%。
 

參考來源：ZDNet http://dwz.date/ejvd
 

（十一）微軟Azure Functions存在提權漏洞可逃離Docker主機

Intezer Lab網絡安全研究員Paul Litvak披露了微軟Azure Functions中一個未修補的漏洞，攻擊者可能利用該漏洞升級特權，并逃離托管它們的Docker容器。

專家及其同事正在調查Azure計算基礎設施。

Intezer Lab在發表的博客文章中稱，“我們在Azure Functions中發現了一個新的漏洞，該漏洞允許攻擊者升級權限并將Azure Functions Docker容器轉移到Docker主機。經過內部評估，微軟確定該漏洞不會對功能用戶造成安全影響，因為Docker主機本身受到Hyper-V邊界的保護?！?/span>

Azure Functions是一種事件驅動的按需計算體驗，它擴展了現有的Azure應用程序平臺，能夠實現由Azure或第三方服務以及本地系統中發生的事件觸發的代碼。Azure Functions可以由HTTP請求觸發，并且只運行幾分鐘，正好可以及時處理事件。用戶的代碼在Azure托管容器上運行并提供服務，而無需用戶管理自己的基礎結構。研究人員發現，代碼沒有被安全地分割開來，可能被濫用以逃避對底層環境的訪問。

研究人員創建了一個HTTP觸發器，以便在Functions容器上立足，然后他們編寫了一個反向shell，在Functions執行后連接到他們的服務器，以便操作一個交互式shell。

研究人員注意到，他們在具有“SandboxHost”主機名的端點中以無特權的“app”用戶身份運行，因此他們使用容器查找屬于具有“root”權限的進程的套接字。研究人員發現了三個具有開放端口的特權進程，一個沒有已知漏洞的NGINX，以及MSI和Mesh進程。

Intezer在“Mesh”過程中發現了一個漏洞，可以利用該漏洞升級到容器中的根目錄。在攻擊的最后階段，研究人員擴展了分配給容器的權限，以逃離Docker容器并在主機上運行任意命令。研究人員發布了一個PoC漏洞代碼，該代碼設置了一個帶有squashfs的反向外殼，以提升Azure Functions中的權限，并逃離Docker環境。
 

參考來源：SecurityAffairs http://dwz.date/ejb2

 

（如未標注，均為天地和興工業網絡安全研究院編譯）