關鍵信息基礎設施安全動態周報【2021年第9期】
 

目   錄

第一章 國內外關鍵信息基礎設施安全動態

（一）羅克韋爾PLC存在身份驗證繞過漏洞

（二）德國Genua防火墻存在身份驗證繞過漏洞

（三）APT組織Lazarus利用ThreatNeedle后門攻擊國防工業組織

（四）美國國家安全局發布零信任安全模型

（五）法國造船廠Beneteau遭受網絡攻擊

（六）Ryuk勒索軟件發現新變體

（七）FireEye發現與SolarWinds有關新型惡意軟件Sunshuttle

（八）微軟研究人員新發現與SolarWinds有關的三款新型惡意軟件

（九）印度疫苗生產商遭受黑客攻擊

（十）美國右翼社交平臺Gab泄露用戶70GB數據

（十一）馬來西亞航空公司遭受長達九年的數據泄露事件

（十二）意大利100多家銀行遭受Ursnif特洛伊木馬攻擊

（十三）乳制品集團Lactalis遭受網絡攻擊

（十四）亞洲食品分銷商JFC International遭受勒索軟件攻擊

（十五）荷蘭電子票務平臺TicketCounter泄露190萬用戶信息

（十六）字節跳動同意為TikTok數據收集支付9200萬美元進行和解

第一章 國內外關鍵信息基礎設施安全動態

（一）羅克韋爾PLC存在身份驗證繞過漏洞

研究人員發現，遠程攻擊者可以利用一個嚴重的身份驗證繞過漏洞CVE-2021-22681來攻擊羅克韋爾公司生產的可編程邏輯控制器(PLC)。成功利用此漏洞可能會使遠程未經身份驗證的攻擊者繞過驗證機制并連接到Logix控制器。該漏洞可能會使未經授權的第三方工具更改控制器的配置或應用程序代碼。

韓國Soonchunhyang大學、Claroty和卡巴斯基的研究人員獨立向羅克韋爾報告了這個漏洞。該漏洞的CVSS得分為10。

該漏洞影響的產品版本為：羅克韋爾軟件版本：RSLogix 5000版本16到20、Studio 5000 Logix Designer版本21及更高版本。羅克韋爾Logix控制器：CompactLogix 1768、CompactLogix 1769、CompactLogix 5370、CompactLogix 5380、CompactLogix 5480、ControlLogix 5550、ControlLogix 5560、ControlLogix 5570、ControlLogix 5580、DriveLogix 5560、DriveLogix 5730、DriveLogix 1794-L34、Compact GuardLogix 5370、Compact GuardLogix 5380、GuardLogix 5570、GuardLogix 5580、SoftLogix 5800。

該問題存在于Logix Designer軟件中，該軟件使用保護較差的專用加密密鑰來驗證與控制器的通信。Claroty在帖子中表示，“這個密鑰沒有得到足夠的保護，使得遠程未經驗證的攻擊者可以繞過驗證機制，通過模仿工程工作站連接到控制器。能夠提取密鑰的攻擊者將能夠向任何Rockwell Logix控制器進行身份驗證?！?/span>

密鑰用于對與羅克韋爾PLC的所有通信進行數字簽名，然后PLC驗證簽名并驗證公司工程軟件。獲得密鑰的攻擊者冒充工程軟件并控制PLC。
 

參考來源：SecurityAffairs http://dwz.date/euVU
 

（二）德國Genua防火墻存在身份驗證繞過漏洞

奧地利網絡安全咨詢公司SEC Consult發現，德國網絡安全公司Genua開發的防火墻設備中存在一個嚴重漏洞。Genua Genugate設備負責保護機器對機器的通信，保護內部網絡免受外部威脅，并對內部網絡進行分段。

Genua Genugate是世界上唯一獲得德國政府“高度防御”評級的防火墻。此外，它還遵守北約限制和歐盟限制的“數據安全條例”，該漏洞影響所有版本的Genugate防火墻。

據SEC Consult發現，防火墻的管理界面容易受到CVE-2021-27215身份驗證繞過漏洞的攻擊。對管理界面具有網絡訪問權限的威脅參與者可以輕松利用該漏洞并登錄到管理面板，無需輸入登錄憑據即可成為超級用戶。

SEC Consult解釋說，在獲得管理員/根用戶訪問權限后，攻擊者有可能重新配置防火墻，包括“防火墻規則集、電子郵件過濾配置、web應用程序防火墻設置、代理設置等”。例如，攻擊者可以更改整個防火墻的配置以訪問無法訪問的系統，或者將組織的流量重新路由到“攻擊者控制的代理服務器”。

SEC Consult在其建議中強調了盡快修補漏洞的必要性?！敖涍^認證和批準的環境要求只能通過嚴格分離的網絡訪問管理接口。不過，這是一個非常關鍵的安全漏洞，必須立即修補?！痹摴具€發布了一段視頻，解釋了攻擊是如何運作的。

Genua產品廣泛應用于政府、軍事、制造和來自不同部門的組織。然而發現漏洞被的事實證明，即使是世界上最好的軟件也不是完美無缺的。

SEC Consult于2020年被IT行業巨頭Atos收購。Atos德國公司的Armin Stock發現了這個漏洞。研究結果于2021年1月報告給了Genua，該公司在幾天內發布了一個補丁。
 

參考來源：HackRead http://dwz.date/evzY

 

（三）APT組織Lazarus利用ThreatNeedle后門攻擊國防工業組織

卡巴斯基研究人員2月25日發布文章稱，其發現APT組織Lazarus自2020年初以來一直使用定制的ThreatNeedle后門攻擊國防工業組織，該后門的主要目標是提取機密信息，并通過在受感染的網絡中橫向移動將其發送給攻擊者。到目前為止，已有十幾個國家/地區的組織受到影響。

Lazarus是當今最多產的威脅參與者之一。Lazarus至少從2009年起就開始活躍，參與了大規模的網絡間諜活動、勒索軟件活動、甚至是對加密貨幣市場的攻擊。盡管他們近幾年來一直專注于金融機構，但到2020年初，他們似乎已將國防工業添加到他們的攻擊目標。

ThreatNeedle最初的感染是通過魚叉式網絡釣魚進行的，在這種情況下，目標服務器會收到包含惡意Word附件或指向公司服務器上托管的鏈接的電子郵件。通常情況下，這些電子郵件聲稱具有與疫情流行有關的緊急更新，并且據稱來自受人尊敬的醫療中心。

一旦打開惡意文檔，惡意軟件將被釋放并進入部署過程的下一個階段。此活動中使用的ThreatNeedle惡意軟件屬于一個名為Manuscrypt的惡意軟件家族，該家族屬于Lazarus組織，以前曾被發現攻擊加密貨幣業務。安裝完成后

ThreatNeedle能夠完全控制受害者的設備，這意味著它可以執行從操作文件到執行接收到的命令的所有操作。

該活動中最有趣的技術之一是，該組織能夠從辦公室IT網絡（包含可訪問互聯網的計算機的網絡）和工廠的受限網絡（其中包含關鍵任務資產和具有高度敏感數據但不能訪問網絡的計算機）中竊取數據。根據公司政策，這兩個網絡之間不應傳遞任何信息。但是，管理員可以連接到兩個網絡來維護這些系統。Lazarus能夠控制管理員工作站，然后建立一個惡意網關來攻擊受限制的網絡，并從那里竊取和提取機密數據。

為了保護組織免受后門攻擊，卡巴斯基建議：

1、對員工進行廣泛的網絡安全意識培訓；

2、教導并讓員工了解內部政策；

3、從IT網絡與OT網絡分段；

4、向安全團隊提供最新的威脅情報；

5、使用專門的OT網絡安全，包括但不限于流量監視、分析和威脅檢測。
 

參考來源：卡巴斯基 http://dwz.date/euQg

 

（四）美國國家安全局發布零信任安全模型

美國國家安全局（NSA）近日發布了有關安全專業人員如何采用零信任安全模型來保護企業網絡和敏感數據的指南，這份名為《擁抱零信任安全模型》的文件詳細介紹了安全模型的優點和挑戰，還就在現有網絡中實現零信任提出了一系列建議。

借助一系列系統設計原則和網絡安全管理策略，零信任模型假設發生了違規事件或這種情況是不可避免的，并且消除了對系統、節點和服務的信任，需要通過實時信息進行連續驗證。
零信任允許管理員限制訪問并控制設備、進程和用戶與數據進行交互的方式，從而消除濫用泄露的憑據、遠程利用以及內部威脅。

NSA在文件中指出，“使用零信任主體設計的系統應該能夠更好地解決現有威脅，但是過渡到這樣的系統需要仔細計劃，以避免在過渡過程中削弱安全態勢。NSA繼續監視測有助于零信任解決方案的技術，并將根據需要提供其他指導?！?/span>

NSA稱，要應對現代威脅環境，就需要積極的系統監視和管理，防御作戰能力，假設任何對關鍵資源的請求都可能是惡意的，假設任何設備或基礎設施受到損害，接受與訪問關鍵資源相關的風險，以及為快速評估和補救做好準備。

在零信任情況下，每個用戶、應用程序/工作負載、設備和數據流都被認為是不可信的，默認情況下拒絕訪問，資源受到保護并在假設它們可能已受到損害的情況下進行操作，并且以安全的方式提供對所有資源的訪問。

NSA指出，零信任解決方案的設計意味著定義任務結果，首先保護數據/資產/應用/服務（DAAS）并保護訪問路徑，確定誰需要訪問DAAS，創建控制策略，并不斷尋找通過全面了解所有活動（檢查所有流量日志）來發現可疑活動。

NSA還解釋稱，實施零信任需要時間和精力，并且要獲得完整的利益，還需要其他功能才能過渡到成熟的零信任體系結構。此外，沒有必要一次遷移到成熟的零信任體系結構，因為這樣的實現會隨著時間的推移而成熟，從而使防御者能夠跟上威脅的步伐。

實施“零信任”時面臨的挑戰可能包括企業內部缺乏“可能來自領導、管理員或用戶”的全面支持，可伸縮性、持續應用訪問控制決策、以及不斷采用默認拒絕安全策略造成的疲勞。

NSA稱，“零信任心態致力于通過盡可能消除信任，并驗證和定期重新驗證每個允許的訪問，來保護關鍵數據和訪問路徑。但是，實施零信任不應輕舉妄動，要實現這一目標將需要大量資源和持久性?！?/span>
 

參考來源：SecurityWeek http://dwz.date/euJn
 

（五）法國造船廠Beneteau遭受網絡攻擊

法國船只制造商Groupe Beneteau稱其此前遭受了網絡攻擊，目前系統仍在恢復中。

該造船廠成立于1884年，總部位于法國旺德，在法國、美國、波蘭、意大利和中國均有分公司，擁有員工8000多名。主要從事船只和休閑住宅兩大業務。

上周，Beneteau宣布其部分服務器遭到惡意軟件入侵，為此其已斷開所有信息系統的連接，以防止惡意軟件傳播。攻擊發生幾天后，該公司表示，其多個生產部門，特別是位于法國的生產部門，不得不放慢生產速度或被迫停止生產。

Beneteau已立即開始恢復操作，其中包括“部署備份應用程序和系統”，以幫助其安全地恢復活動，即使它處于“降級模式”。

該公司還透露，它已與有關部門取得聯系，并將繼續對該事件進行調查，而其團隊將專注于恢復所有系統。然而，一周后，這家造船廠仍在努力進行恢復行動。

Beneteau在2月25日發布的更新中表示，預計其部分工廠的生產將在2月26日逐步恢復。但是，該公司未提供有關其所有系統何時將再次全面投入運營的信息。該公司還表示：“該集團正在繼續進行調查，以找到解決方案，以將其IT系統恢復到正常且安全的運營方式?！?/span>

盡管Beneteau沒有共享有關其所針對的惡意軟件的信息，但該攻擊似乎帶有勒索軟件攻擊的痕跡。
 

參考來源：SecurityWeek http://dwz.date/evax

 

（六）Ryuk勒索軟件發現新變體

法國國家網絡安全局在調查2021年初的一次攻擊時發現了一種新型Ryuk勒索軟件變體，該變體具有類似蠕蟲的功能，能夠在受感染的網絡內橫向移動，傳播到受害者本地網絡上的其他設備。

Ryuk勒索軟件至少從2018年開始活躍，并且據信由俄羅斯網絡犯罪分子操縱，它參與了許多備受矚目的攻擊，研究人員估計該企業的價值為1.5億美元。Ryuk長期以來一直與TrickBot惡意軟件相關聯，該惡意軟件據說是由同一個組織操縱的。但是，即使在微軟和其他組織嘗試搗毀TrickBot之后，該勒索軟件的操作仍在繼續。該勒索軟件有時也通過Emotet分發，Ryuk自2020年9月以來一直嚴重依賴BazarLoader進行分發，網絡釣魚電子郵件被用作攻擊媒介。

法國國家信息系統安全局（ANSSI）在最近發布的一份報告中表示，其發現了一個Ryuk樣本，該樣本可能會在今年早些時候自動在受感染的網絡中傳播。

盡管勒索軟件能夠對網絡共享和可移動驅動器上的數據進行加密，但長期以來一直依賴于使用其他惡意軟件進行初始部署，并且之前并未顯示出類似蠕蟲的功能。

Ryuk結合使用對稱（AES）和非對稱（RSA）算法進行加密，結束受感染系統上的特定進程，將.RYK擴展名附加到加密文件，可以使用局域網喚醒功能打開工作站，以及銷毀所有卷影副本以防止數據恢復。

新發現的Ryuk版本具有勒索軟件中通常具有的所有功能，并具有在本地網絡上復制自身的功能。為了傳播到其他計算機，勒索軟件將已復制的可執行文件復制到帶有rep.exe或lan.exe后綴的已標識網絡共享上，然后在遠程計算機上創建計劃任務。

ANSSI解釋表示，“通過使用計劃任務，惡意軟件會在Windows域內進行機器之間的傳播。一旦啟動，它就會在可以訪問Windows RPC的每臺可訪問的計算機上傳播?！盇NSSI指出，所識別的樣本似乎并未包含阻止其執行的機制，這意味著該設備可能會被反復感染。
 

參考來源：SecurityWeek http://dwz.date/euRU

 

（七）FireEye發現與SolarWinds有關新型惡意軟件Sunshuttle

FireEye在遭受SolarWinds供應鏈攻擊的組織的服務器上發現了一個新的“復雜的第二階段后門”。該新型惡意軟件稱為Sunshuttle，是由一家美國實體在2020年8月上傳到一個公共惡意軟件庫中的。

FireEye研究人員Lindsay Smith、Jonathan Leathery、Ben Read認為，Sunshuttle與SolarWinds供應鏈攻擊背后的威脅行為者有聯系。

FireEye表示，“Mandiant在受到UNC2452危害的受害者身上觀察到了Sunshuttle，并有跡象表明它與UNC2542有關，但是我們尚未完全驗證這種聯系。Sunshuttle是基于GO的惡意軟件，具有逃避檢測功能。目前，還不知道用于安裝后門的感染媒介，但它很可能作為第二階段后門被使用。新的Sunshuttle后門是一個復雜的第二階段后門，它通過其用于C2通信的“融合”流量功能展示了簡單而優雅的檢測回避技術。Sunshuttle將作為第二階段的后門，在與其他SUNBURST相關工具一起進行網絡偵察?！?/span>

如果FireEye與SolarWinds黑客背后的國家黑客建立的聯系得到證實，那么Sunshuttle將是調查供應鏈攻擊時發現的第五種惡意軟件。

目前，策劃攻擊的威脅行為者被追蹤為UNC2452（FireEye）、StellarParticle（CrowdStrike）、SolarStorm（Palo Alto Unit 42）、Dark Halo（Volexity）。

CrowdStrike發現，Sunspot惡意軟件在SolarWinds的Orion IT管理軟件的開發環境中發現，被用于在Orion平臺構建中注入后門。

在Sunburst（Solorigate）后門的惡意軟件是過程中的組織系統第二階段的攻擊部署使用木馬獵戶座通過該平臺內置的自動更新機制的構建。

FireEye發現了第三種名為Teardrop的惡意軟件，這是一個以前未知的僅內存刪除程序以及攻擊者用來部署定制Cobalt Strike信標的后利用工具。

賽門鐵克發現了第四項惡意軟件Raindrop，一種類似于SolarWinds黑客使用的Teardrop的惡意軟件，用于在利用后的過程中發送Cobalt Strike信標。

在調查供應鏈攻擊時，Palo Alto Networks Unit 42和Microsoft發現了SuperNova，一種不與UNC2452關聯但也使用木馬化的Orion版本提供的惡意軟件。
 

參考來源：BleepingComputer http://dwz.date/ev9X

 

（八）微軟研究人員新發現與SolarWinds有關的三款新型惡意軟件

微軟威脅情報中心及微軟365 Defender研究團隊安全研究人員3月4日披露了其關于SolarWinds供應鏈攻擊事件的新發現，其發現了黑客作為第二階段有效載荷部署在受害者的網絡上的三款新型惡意軟件，分別為GoldMax、Sibot和GoldFinder。微軟將在攻擊中使用Sunburst后門和Teardrop惡意軟件的攻擊者追蹤命名為Nobelium。

Nobelium黑客在2020年8月至2020年9月的后期活動中使用了這些惡意軟件。不過，據信早在2020年6月，Nobelium就將它們投放到了受到威脅的SolarWinds客戶的系統上。

微軟表示：“微軟評估，攻擊者使用新型惡意軟件來維持持久性并在非常特定和針對性的網絡上執行操作，甚至在事件響應期間逃避了最初的檢測。它們是為特定網絡量身定制的，經過評估，在參與者通過泄露的憑證或SolarWinds二進制文件獲得訪問權限后，并通過TEARDROP和其他手動按鍵盤操作橫向移動后被引入?！?/span>

根據Microsoft的說法，這些惡意軟件具有以下功能：

GoldMax：基于Go的惡意軟件，用作隱藏惡意活動和逃避檢測的命令和控制后門。它還具有誘餌網絡流量生成器，用于用看似良性的流量隱藏惡意網絡流量。

Sibot：基于VBScript的惡意軟件，用于維護持久性并使用第二階段腳本下載其他惡意軟件有效載荷。

GoldFinder：“最可能”基于Go的惡意軟件，用作自定義HTTP跟蹤器工具，用于檢測服務器和重定向器，例如受感染設備與C2服務器之間的網絡安全設備。

4日早些時候，FireEye還分享了在組織的服務器上發現的另一個新的第二階段后門的信息，這個后門是在一個被SolarWinds黑客入侵的組織的服務器上發現的。

FireEye研究人員認為，被稱為Sunshuttle的新惡意軟件與追蹤為UNC2452（FireEye）、StellarParticle（CrowdStrike）、SolarStorm（Palo Alto Unit 42）、Dark Halo（Volexity）和現在的Nobelium（Microsoft）的SolarWinds黑客有關。

盡管Microsoft和FireEye在他們今天披露的惡意軟件之間沒有任何聯系，但Sunshuttle和GoldMax似乎根據他們共享的C2域及其隱藏C2流量的能力來指定相同的惡意軟件種類。

微軟表示，“這些功能從先前已知锘工具和攻擊模式不同，并重申了攻擊者的復雜性。在攻擊的所有階段，參與者都表現出對網絡中常見的軟件工具、部署、安全軟件和系統以及事件響應團隊經常使用的技術的深入了解?！?/span>

微軟上個月還表示，SolarWinds黑客下載了數量有限的Azure、Intune和Exchange組件的源代碼。3月1日，SolarWinds披露，截至2020年12月，去年供應鏈攻擊造成的支出約為350萬美元。預計在下一個財政期間，將產生高額的額外費用。

參考來源：BleepingComputer http://dwz.date/ev8B

 

（九）印度疫苗生產商遭受黑客攻擊

據報道，兩家印度疫苗生產商和牛津大學實驗室成為了黑客攻擊的最新目標，他們是在試圖竊取COVID-19研究數據。

路透社援引總部位于日本東京的網絡安全公司Cyfirma的報道稱，中國政府支持的黑客組織APT10（又名Stone Panda）最近幾周攻擊了兩家印度制藥商的IT系統，該兩家印度制藥企業的冠狀病毒疫苗正在該國的免疫計劃中使用。據路透社報道，該公司表示，黑客發現制藥公司Bharat Biotech和印度血清學研究所（SII，全球最大的疫苗生產商之一）的IT基礎架構和供應鏈軟件中存在漏洞。

Cyfirma稱，黑客行為背后的明顯動機是試圖泄露制藥公司的知識產權。據新聞機構報道，SII正在為許多國家/地區生產阿斯利康疫苗，并將很快開始批量生產Novavax疫苗。

同時，上周《福布斯》報道稱，總部位于英國牛津大學的結構生物學部門（Strubi）遭受了黑客入侵，其設備用于制備目標生物化學樣品。據《福布斯》報道，Strubi的科學家雖然沒有直接參與牛津大學阿斯利康疫苗的研發工作，但該疫苗仍屬于該大學的其他部門，但科學家一直積極參與研究Covid-19細胞如何工作以及如何阻止其造成傷害。牛津大學向《福布斯》證實了這一事件，英國情報機構政府通訊總部的分支機構國家網絡安全中心正在調查這一事件。

美國新澤西州基恩大學網絡安全中心主任Stanley Mierzwa稱，參與COVID-19研究的組織需要評估所有連接到其網絡的IoT設備和設備，以確保適當的安全性。他表示，“越來越多的這些設備，包括實驗室設備、傳感器和監視系統、可能正在連接到基于IP的網絡。如果沒有適當的安全性來實施和更新，它們可能會引入網絡漏洞?！?/span>

一些執法機構和安全供應商已發出有關醫療行業網絡攻擊激增的警告，其中包括針對參與COVID-19疫苗和治療開發及其供應鏈的機構的網絡攻擊。

上個月，韓國官員警告說，朝鮮黑客企圖攻擊從制藥商輝瑞（Pfizer）竊取COVID-19疫苗和治療數據。去年12月，幫助評估和授權藥物和疫苗（包括用于COVID-19的藥物和疫苗）的歐洲藥物管理局（European Medicines Agency）承認其遭到了網絡攻擊。該機構稱，調查顯示，一些與COVID-19藥品和疫苗有關的非法訪問文件已經在互聯網上泄露。

同時，全球執法機構以及微軟和卡巴斯基都發布了警報，警告政府發起的針對COVID-19制藥商和供應鏈參與者的黑客激增。歐洲刑警組織和國際刑警組織在12月發布了通知，警告與COVID-19疫苗有關的有組織犯罪活動可能激增。

在美國，網絡安全和基礎設施安全局（CISA）在12月發布了一份咨詢報告，援引IBM警告組織的報告，警告參與COVID-19疫苗生產和分銷的組織針對冷藏和運輸供應鏈開展全球網絡釣魚活動。

去年夏天，美國國家安全局、網絡安全和基礎設施安全局、英國國家網絡安全中心和加拿大通信安全機構發布的聯合咨詢報告稱，俄羅斯的黑客組織APT29（又名Cozy Bear或The Dukes）針對研究機構的目標是“極有可能竊取與COVID-19疫苗的開發和測試有關的信息和知識產權”。

一些安全專家預測，對COVID-19研究人員和疫苗供應鏈的攻擊將繼續發展。英國律師事務所數據保護和網絡安全總監馬克·亨德利（Mark Hendry）表示，“在資產存在價值并進行交換的地方，這些資產將成為攻擊目標，攻擊者將在尋找新的攻擊方法之前尋找供應鏈中的薄弱環節。成功的攻擊目前似乎主要來自政府支持的黑客團體，目的是滲透IP，盡管這些攻擊有影響，但據報道尚未影響到公眾受到嚴重傷害或疫苗接種工作受到不適當干擾的程度?！?/span>

亨德利表示，最近的一些攻擊將目標對準用于制備生化樣品的機器?！傲钊藫鷳n的是，準備的疫苗劑量本身可能會成為篡改的目標。那些參與疫苗劑量分配的人也可能成為攻擊目標。任何篡改或延遲分發，特別是需要超冷存儲的疫苗變體，都可能對公眾的福祉產生嚴重影響。公眾對疫苗安全性的關注可能會因持續成功的網絡攻擊而惡化。因此，疫苗供應鏈中每個組織都有責任為公共利益保護疫苗信息、系統和產品?！?/span>
 

參考來源：infoRisk http://dwz.date/euuj
 

（十）美國右翼社交平臺Gab泄露用戶70GB數據

黑客組織DDoSecrets近日泄露了美國右翼社交網絡平臺Gab.com用戶的70GB敏感數據。

Gab是一個右翼社交網絡平臺，聲稱提供“言論自由”，沒有任何審查制度。Gab是極端主義者的避風港，這些極端人士包括白人至上主義者、新納粹分子、白人民族主義者、極端右翼人士、和QAnon陰謀理論者。

2020年2月26日，Gab.com發表了一篇博客文章，提到了與黑客有關的謠言，并否認其遭受了數據泄露。隨后該公司在一周前神秘下線了一段時間，并堅稱比特幣錢包垃圾郵件存在一些問題，僅影響了幾個帳戶。

Gab的首席執行官安德魯·托爾巴（Andrew Torba）聲稱，記者與他們聯系，并談論了該數據泄露事件，這可能泄露了帖子、DMs、個人資料和哈希密碼的檔案。Torba繼續為該公司辯護，并表示沒有獨立證據證明發生的違規行為，還聲稱他們的網站無論如何也不會收集有關用戶的大量個人信息。

然后，Torba指責未透露姓名的記者與黑客合作抹黑其聲譽，從而轉移了責任。Torba承認，Gab意識到其網站很容易受到SQL注入攻擊的威脅，并在上周對其進行了修補，隨后進行了安全審核。

聲稱對此次攻擊負責的黑客組織名為DDoSecrets。該組織的創始人艾瑪·貝斯特（Emma Best）稱自己為類似WikiLeaks的透明組織或黑客主義者組織，而不是黑客。

Wired報道稱，“DDoSecrets稱，一個自稱為“JaXpArO和我的匿名復興計劃”的黑客行動主義者從Gab的后臺數據庫中竊取了這些數據，試圖暴露該平臺的大部分右翼用戶?！?/span>

研究人員確認，在DDoSecrets上一個以“GabLeaks”為標題的帖子下泄露了70GB的數據，泄漏的內容包括70 GB的Gab公共帖子、私人帖子、用戶個人資料、用戶哈希漏洞、DMs、和群明文密碼，以及與15,000個用戶以純文本格式進行的19,000個聊天中的70,000多條消息。

在Twitter上，Best被問及Gab的數據是否包括國會大廈起義視頻/圖片？作為回應，貝斯特補充表示，“沒有，但是大學可以輕松地使用數據來檢索上傳到Gab的媒體?！?/span>

最初，DDoSecrets于2019年11月開始泄漏大量數據。他們的第一個數據泄漏屬于開曼國民銀行，當時該銀行的2TB數據在網上被泄露。2020年6月，同一小組開始了一項名為BlueLeaks的行動，并從美國200多個警察局和融合中心轉儲了296 GB的數據。這些泄密事件使當局感到不安，并迫使德國警察扣押了位于德國茨維考的DDoSecrets服務器。

另一方面，Gab是右翼的“言論自由”社交網絡，他們聲稱堅持美國憲法的第一修正案，并允許其平臺上進行各種形式的政治言論，但非法活動、暴力、打擾、色情、剝削兒童和垃圾郵件除外。此外，他們反對任何形式的審查，這就是為什么多年來也禁止超過25家服務提供商禁止使用它們的原因，包括App Store、支付處理器、托管提供商、甚至VISA。
 

參考來源：HackRead http://dwz.date/eum8

 

（十一）馬來西亞航空公司遭受長達九年的數據泄露事件

馬來西亞航空公司披露，其遭受了長達9年的數據泄露事件，該事件暴露了其Enrich?？陀媱澲谐蓡T的個人信息。從3月1日開始，馬來西亞航空公司開始向其Enrich獎勵計劃的成員發送電子郵件，以通知他們受到數據泄露的影響。

據馬來西亞航空公司稱，此次入侵發生在一家第三方IT服務提供商，該提供商通知馬來西亞航空，其在2010年3月至2019年6月期間的會員數據被泄露?！榜R來西亞航空公司收到其第三方IT服務提供商的數據安全事件的通知，該事件涉及2010年3月至2019年6月之間馬來西亞航空公司常旅客計劃Enrich成員的一些個人數據。該事件并未發生以任何方式影響馬航自己的IT基礎架構和系統?！?/span>

泄露的會員信息包括會員姓名、聯系方式、出生日期、性別、?？吞柎a、狀態、獎勵等級。這些被泄露的數據不包括Enrich會員的行程、預訂、票務，也不包括任何身份證或支付卡信息。

雖然馬航表示，沒有暴露任何密碼，也沒有濫用的證據，但馬航建議用戶無論如何都要更改密碼?！叭绻荅nrich計劃的成員，則應立即登錄到您的帳戶并更改密碼。如果在其他站點使用此密碼，則也應在此更改?！蹦壳吧胁磺宄卸嗌俪蓡T受到這一違規行為的影響。

馬來西亞航空公司進一步警告稱，他們不會通過電話聯系會員更新信息。因此，如果您接到馬航關于這一違規事件的電話或詢問進一步信息，應立即保持可疑并掛斷電話。威脅分子利用數據泄露中發現的數據進行惡意攻擊是很常見的，并且所有Enrich成員都應該警惕來自航空公司的電子郵件、短信和電話。

參考來源：BleepingComputer http://dwz.date/euZ8

 

（十二）意大利100多家銀行遭受Ursnif特洛伊木馬攻擊

Avast研究人員3月2日發布研究文章稱，知名特洛伊木馬Ursnif已攻擊了100多家意大利銀行。此次攻擊的幕后操作者竊取了金融機構的金融數據和憑證。

Ursnif是一種惡意軟件，于2007年以銀行木馬的身份誕生，但經過多年的發展，一直是持續不斷的威脅。多年來，Ursnif的目標用戶是全球許多國家/地區的用戶，這些用戶通常使用母語的電子郵件誘餌進行傳播。Ursnif影響最大的國家包括意大利，這一事實反映在研究人員獲得的信息中。

Avast發表的分析報告稱，“通過分析這些信息，我們的研究人員發現了可用于幫助保護Ursnif過去和現在的受害者的信息。具體來說，我們發現了用戶名、密碼、信用卡、銀行和支付信息，這些信息似乎是被惡意軟件運營商從受害者那里竊取的。在我們獲得的信息中，我們看到了100多家意大利銀行成為攻擊目標的證據。還有單個支付處理器的1700多張憑證被盜?！?/span>

根據Avast的數據，至少有100家意大利銀行成為Ursnif特洛伊木馬的攻擊目標，在一個案例中，騙子從某一個支付處理商那里竊取了1700多套憑證。

Ursnif是當今通過惡意垃圾郵件活動傳遞的最廣泛的常見威脅之一。大約13年前出現在威脅領域，自2014年其源代碼在網上泄露，就開始流行起來，這使一些威脅行為者有機會開發自己的版本。

Avast研究人員與受影響的支付處理機構和銀行以及意大利當局和金融機構（包括CERTFin）分享了他們的研究結果。利用這些信息，公司和機構可以采取措施保護他們的客戶，幫助他們從Ursnif的影響中恢復過來。
 

參考來源：avast http://dwz.date/ev7V

 

（十三）乳制品集團Lactalis遭受網絡攻擊

全球領先的乳制品集團Lactalis披露其遭受了網絡攻擊，未知攻擊者破壞了該公司的一些系統。

Lactalis Group在全球51個國家擁有85000名員工，向全球100多個國家出口乳制品。Lactalis控制著多個領先的國際品牌，包括Président、Galbani、Lactel、Santal和Parmalat。

在2月26日發布的一份新聞稿中，Lactalis表示，在攻擊期間，其網絡上只有有限數量的計算機受到了攻擊。該公司表示，“Lactalis Group檢測到其部分IT網絡遭到入侵。我們立即采取措施遏制了這次襲擊，并已通知主管部門。我們的調查結果表明，有惡意的第三方試圖侵入我們的服務器?！?/span>

Lactalis還補充表示，根據對這起事件的持續調查，沒有數據泄露需要報告。Lactalis稱，“我們的IT團隊得到了網絡安全領域公認的專家的充分動員和支持，我們的調查顯示，目前還沒有數據泄露?！?/span>

Lactalis還將受網絡攻擊影響的所有公司網站的IT系統離線?！癓actalis團隊正在努力保護我們的客戶、合作伙伴和員工的利益。這就是為什么我們主動采取限制措施，限制我們訪問公共互聯網網絡的原因?！?/span>

雖然Lactalis表示，在攻擊期間沒有數據被被竊取，但威脅行為者通常會竊取敏感信息和文件，同時通過受感染的網絡進行傳播。這類攻擊通常會導致敲詐勒索企圖，如果不支付贖金，被盜數據就會被發布在數據泄露網站上。

隨后，Lactalis發言人發表了如下聲明，“我們檢測到一部分IT網絡受到攻擊，并立即采取了措施倆限制此事件影響，并已通知有關當局。作為預防措施，我們已主動限制了對公共互聯網網絡的訪問，并且我們正在努力在正常條件下進行所有活動。調查結果表明，惡意第三方正在試圖入侵我們的服務器。在網絡安全專家的支持下，我們的IT團隊已全面動員以應對這一令人遺憾的事件。在此階段，尚未發現任何數據泄露事件，我們將繼續按照承諾進行正常運營?！?/span>
 

參考來源：BleepingComputer http://dwz.date/etNK

 

（十四）亞洲食品分銷商JFC International遭受勒索軟件攻擊

亞洲食品的主要分銷商和批發商JFC International 2月25日透露，該公司最近成為勒索軟件攻擊的目標，破壞了其某些IT系統。JFC將該事件成為數據泄露事件，所以攻擊者可能獲得了一些信息。

這次攻擊只影響了JFC International的歐洲集團，該集團表示已將有關事件通知當局、員工和商業伙伴。

該公司在其歐洲網站上發布的一份聲明中稱，“一項由內部專家和外部網絡專家共同進行的全面深入調查立即啟動，目前正在進行中。由于安全原因，短暫中斷后，歐洲的正常業務將開始運作。受影響的服務器得到了保護?！?/span>

JFC International是日本食品制造商Kikkoman的子公司，已經以各種形式存在了一個多世紀。除了從其他公司進口品牌產品外，JFC還向零售商和飯店提供其自己的產品。
 

參考來源：SecurityWeek http://dwz.date/euZr

 

（十五）荷蘭電子票務平臺TicketCounter泄露190萬用戶信息

荷蘭電子售票平臺Ticketcounter近日遭受了數據泄露，該平臺的一個包含190萬個獨立電子郵件地址的用戶數據庫從一個不安全的中轉服務器上泄露。

Ticketcounter是荷蘭的一個電子售票平臺，允許動物園、公園、博物館和活動等客戶提供其場館的在線門票。2月21日，一名黑客在一個黑客論壇上創建了一個話題，打算出售竊取的售票處數據庫，但很快就撤了帖子。

起初，人們認為是出于對荷蘭警方的顧慮，才將其移除。然而，威脅者表示，他們不害怕執法，他們刪除這個帖子因為數據庫是私下出售的。從數據庫樣本中可以看到，暴露的數據包括姓名、電子郵件地址、電話號碼、IP地址和哈希密碼。

Ticketcounter證實了數據泄露的消息。Ticketcounter首席執行官Sjoerd Bakker表示，他們將一個數據庫復制到Microsoft Azure服務器上，以測試用虛假數據替換個人數據的“匿名化過程”，這應該是一個透明的模型。不幸的是，在復制數據庫之后，它沒有得到適當的保護，威脅參與者能夠下載它。

Bakker表示，在威脅行為者出售數據庫后不久，黑客還聯系了Ticketcounter，要求支付7個比特幣(約合33.7萬美元)才不會泄露數據。威脅者警告說，如果Ticketcounter沒有付款，他們將聯系Ticketcounter的所有合作伙伴，提醒他們這一漏洞。

TicketCounter領先了一步，已經聯系了他們所有的客戶，并分享了被盜的信息。由于實際購票者是TicketCounter客戶的客戶，各場館已被建議向受影響的人發出各自的數據泄露通知。

Bakker表示，TicketCounter正在為他的客戶創建各種資源，以促進這些數據泄露通知。其中包括查找小工具、常見問題解答和電子郵件模板，客戶可以與客戶共享以了解入侵情況。

在沒有收到付款后，這個威脅者今天在一個黑客論壇上免費發布了數據庫。

被盜的數據庫已經被威脅行為者提供給了Have I Been Pwned的Troy Hunt，并被添加到數據泄露查找服務中。對于那些擔心他們可能已經受到影響的人，可以提交自己的電子郵件到Have I Been Pwned，以查看是否包括在泄露的數據中。

由于受影響的并不是Ticketcounter的直接顧客，大多數用戶將不得不等到相關的場館披露數據泄露。在等待期間，建議用戶更改密碼，并且應該使用唯一的密碼，這樣一個網站的入侵不會影響到其他網站。建議使用密碼管理器來記錄所有的密碼。由于數據庫已經免費發布，那些受影響的人也應該小心那些試圖竊取更多敏感信息的網絡釣魚郵件。
 

參考來源：BleepingComputer http://dwz.date/etNS

（十六）字節跳動同意為TikTok數據收集支付9200萬美元進行和解

TikTok中國母公司字節跳動已同意向美國用戶支付9200萬美元的賠償金，這些用戶參與了一場集體訴訟，指控視頻分享應用程序未能獲得他們的同意收集數據，違反了嚴格的伊利諾伊州隱私法。

聯邦訴訟指控TikTok違反了伊利諾伊州生物識別隱私法，該法律允許對未經同意（包括通過面部和指紋掃描）收集消費者數據的公司提起訴訟。伊利諾伊州是唯一一個法律允許人們為這種未經授權的數據收集尋求金錢賠償的州。

TikTok在一封電子郵件聲明中表示，“雖然我們不同意這些說法，但我們希望把精力集中在為TikTok社區打造安全快樂的體驗上，而不是經歷漫長的訴訟?！?/span>

去年2月，Facebook同意根據同一法律達成5.5億美元的和解協議。TikTok的和解協議仍必須由聯邦法官批準。

隱私權倡導者稱贊該法律是美國在此類數據的商業使用中最強大的保護形式，并且它在技術行業和其他企業削弱該法律的不斷努力中幸存下來。

伊利諾伊州是擁有管理生物識別數據使用法律的三個州之一。但是另外兩個州德克薩斯州和華盛頓州，不允許個人提起訴訟，而是將執法權委托給他們的司法部長。
 

參考來源：美聯社 http://dwz.date/euUH

 

（如未標注，均為天地和興工業網絡安全研究院編譯）