目   錄
 

第一章 國外關鍵信息基礎設施安全動態

（一）羅克韋爾修復Stratix工業交換機中多個漏洞

（二）美國油田服務公司Gyrodata遭受網絡攻擊泄露員工數據

（三）英國鐵路網絡Merseyrail遭受Lockbit勒索軟件攻擊

（四）Eaton智能電源管理器存在漏洞可中斷電源供應

（五）APT組織Naikon使用新型后門Nebulae攻擊軍事組織

（六）思科Talos發現Linux內核中存在信息泄露漏洞

（七）西班牙多公共管理部門遭受網絡攻擊

（八）美國華盛頓特區警察局遭受Babuk勒索軟件攻擊

（九）150萬政府組織電子郵件地址及密碼泄露

（十）開源軟件工具HashiCorp泄露簽名秘鑰

（十一）密碼管理器Passwordstate遭受供應鏈攻擊

（十二）黑客利用文件共享設備FileZen中兩個漏洞竊取數據

（十三）美國空軍采用零信任保護飛行路線

（十四）俄羅斯SVR將繼續以美國作為攻擊目標

（十五）機票預訂系統Radixx遭受網絡攻擊影響20多家航空公司

（十六）印度配送服務商BigBasket在暗網泄露2000萬用戶信息

 

第一章 國外關鍵信息基礎設施安全動態

（一）羅克韋爾修復Stratix工業交換機中多個漏洞

工業自動化公司羅克韋爾為其部分Stratix交換機發布了固件更新，以解決因使用Cisco IOS XE軟件而帶來的漏洞。

羅克韋爾會定期發布Stratix設備的固件更新，以解決因使用Cisco軟件而引入的漏洞。實際上，羅克韋爾為其Stratix產品發布的大多數安全公告都解決了思科軟件中存在的漏洞。

羅克韋爾最新發布的Stratix公告涵蓋了影響Stratix 5800托管的工業以太網交換機的八個漏洞，其中一個漏洞是與通用工業協議（CIP）相關的特權提升漏洞，也會影響Stratix 8000、8300、5700、5400和5410交換機。

影響多個Stratix產品的高危漏洞CVE-2021-1392 CVSS評分為7.8分，該安全漏洞允許經過身份驗證的本地攻擊者獲取CIP密碼，可稍后使用該密碼將目標設備遠程配置為管理員用戶。

另一個高危漏洞CVE-2021-1403與Cisco IOS XE軟件的Web UI功能有關，可以在未經身份驗證的情況下遠程利用該漏洞進行跨站點WebSocket劫持攻擊，并導致目標設備進入DoS狀態。

另外兩個高危漏洞為未經身份驗證的攻擊者可以利用的DoS漏洞及特權提升漏洞。但是，只有在啟用DECnet協議的情況下，才可以利用DoS漏洞，默認情況下該協議沒有啟用。

其他的安全漏洞均為中危漏洞，可以利用這些漏洞進行OS命令注入和DoS攻擊，但是其中一個漏洞需要對設備進行物理訪問，而其他漏洞則需要一些特權才能被利用。

思科于3月24日發布了針對這些漏洞的公告，其中許多都是思科在2021年3月發布的安全公告中的一部分，羅克韋爾在兩天后發布了自己的公告，美國網絡安全和基礎架構安全局（CISA）4月20日也發布了公告，向工業組織通報了有關漏洞的信息。

羅克韋爾已發布了Stratix 5800交換機的固件更新，在補丁程序可用于其他受影響的設備之前，建議客戶實施緩解措施以降低被利用的風險。
 

參考來源：SecurityWeek http://dwz.date/eT7s
 

（二）美國油田服務公司Gyrodata遭受網絡攻擊泄露員工數據

美國油田服務公司Gyrodata披露，其近日遭受了一起網絡攻擊事件，導致員工敏感信息泄露。

總部位于美國得克薩斯州休斯頓的Gyrodata公司為石油和天然氣、采礦和土木工程項目提供測量和有線服務。

2月21日，Gyrodata在其系統上發現了一個勒索軟件。調查顯示，攻擊者至少在2021年1月16日至2月22日期間訪問了其系統。黑客似乎已經進入了存儲現任和前任雇員信息的服務器，這些信息包括姓名、出生日期、地址、社保號碼、駕照號碼、護照號碼、W-2納稅表格和醫療計劃信息。目前尚不清楚有多少人受到影響，也不清楚該事件是否對業務造成了影響。

Gyrodata表示，它已經開始通知受影響的個人，并為SSN或駕照號碼被泄露的人提供免費的信用監測和身份保護服務。該公司已與一家網絡安全公司簽約，以協助其調查，聯邦執法部門也已接到通知。

研究人員檢查了一些知名的勒索軟件組織的泄密網站，但沒有發現任何關于Gyrodata的信息。網絡犯罪組織通常威脅要在這些網站上發布竊取的信息，以勒索贖金。

網絡安全公司卡巴斯基上個月報告稱，該公司觀察到，在2020年下半年，針對工業控制系統(ICS)計算機的勒索軟件攻擊有所減少，但發達國家的這類攻擊有所增加。2021年初，有人觀察到Cring勒索軟件背后的威脅行為者針對歐洲工業企業發起攻擊，迫使至少一家組織關閉了生產站點。
 

參考來源：SecurityWeek http://dwz.date/eVQs
 

（三）英國鐵路網絡Merseyrail遭受Lockbit勒索軟件攻擊

英國鐵路網絡公司Merseyrail證實其遭受了網絡攻擊事件，勒索軟件組織Lockbit利用其電子郵件系統向員工和記者發送了惡意電子郵件。Merseyrail是英國鐵路網絡，在英格蘭利物浦市地區的68個車站提供火車服務。

Merseyrail總監Andy Heath表示，“我們可以確認Merseyrail最近遭受了網絡攻擊。已經展開了全面調查，并且正在繼續。與此同時，我們已通知相關當局?！?/span>

雖然尚未公開披露這一網絡攻擊事件，但研究人員在4月18日收到一封來自Heith的主題為“Lockbit Ransomware Attack and Data Theft”的電子郵件后，得知了這一事件。這封電子郵件已發送給BleepingComputer、英國的多家報紙以及Merseyrail的工作人員，這似乎是由于Lockbit勒索軟件組織接管了Merseyrail主管的@merseyrail.org Office 365電子郵件帳戶。

在這封電子郵件中，威脅參與者偽裝成Merseyrail的主管，告訴員工上個周末他們遭受了勒索軟件攻擊，黑客竊取了員工和客戶數據。該電子郵件中包含一個圖像鏈接，該圖像顯示了Lockbit據稱在攻擊過程中竊取的員工的個人信息。

在多次嘗試與Merseryrail聯絡并確攻擊后擊，終于在昨晚收到了Merseyrail的聲明。當詢問主管的電子郵件是如何受到損害時，Merseryrail表示，“事件調查正在進行中，我們不宜再作進一步評論?！?/span>

英國信息專員辦公室（ICO）也證實，Merseyrail已經通知了他們這一事件?！癕erseyrail已經讓我們知道了一個事件，我們正在評估提供的信息?！?/span>

在過去的一年中，勒索軟件組織在勒索手段上變得越來越激進。過去，勒索軟件攻擊包括威脅行為者竊取受害者的數據，然后加密他們的文件以強制支付贖金。隨著時間的推移，威脅參與者的策略已經升級為對受害者的網絡和網站進行DDoS攻擊、向客戶和記者發送電子郵件、并威脅要與證券交易所聯系。

不幸的是，盡管這些攻擊仍在進行，但員工和客戶通常是最后一個了解他們的數據和組織發生什么情況的人。使用受害者的電子郵件系統向員工、新聞工作者和客戶宣傳攻擊行為，可能會讓人大吃一驚。
 

參考來源：BleepingComputer http://dwz.date/eWEK

 

（四）Eaton智能電源管理器存在漏洞可中斷電源供應

電源管理解決方案提供商伊頓（Eaton）近日發布了智能電源管理器（IPM）軟件的修補程序，以解決六個潛在的嚴重漏洞，其中包括一個可能允許黑客破壞電源的漏洞。

Eaton的IPM解決方案旨在確保系統正常運行時間和數據完整性，允許組織遠程監控、管理和控制其網絡上的不間斷電源（UPS）設備。

根據Eaton于4月12日和CISA于4月20日發布的安全公告，該IPM產品受到六個高危漏洞影響，這些漏洞可用于SQL注入、命令執行、刪除任意文件、上傳任意文件、以及遠程代碼執行。

雖然某些漏洞只能由經過身份驗證的攻擊者利用，但其他漏洞可以在未經身份驗證的情況下利用，包括針對任意代碼執行的漏洞。

工業網絡安全公司Claroty的研究副總裁Amir Preminger在接受采訪時表示，這些問題是在IPM軟件的一個web服務器界面上發現的，該界面允許用戶配置產品。此web服務器通?？梢詮谋镜鼐W絡訪問，而不是托管在面向公共的服務器上。Claroty向Eaton報告了這六個漏洞。

Preminger解釋表示，“伊頓IPM軟件的目標是使用戶能夠管理其UPS系統。通過利用使用此軟件的服務器，攻擊者可以中斷UPS運行，從而中斷依賴UPS為電源的設備的電源供應。最重要的是，應該對該產品進行修補，因為一些CVE是經過預先認證的，并且在沒有服務器設置先驗知識的情況下，攻擊者可能會利用它們?！?/span>

這些安全漏洞會影響運行1.69之前版本的Eaton IPM和Intelligent Power Manager虛擬設備（IPM VA），以及運行1.68之前版本的Intelligent Power Protector（IPP）。版本1.69和1.68解決了該漏洞，組織還可以阻止端口4679和4680，以防止被利用。
 

參考來源：SecurityWeek http://dwz.date/eVYZ

 

（五）APT組織Naikon使用新型后門Nebulae攻擊軍事組織

Bitdefender研究人員4月28日發布研究報告稱，其發現了APT組織Naikon在針對東南亞軍事組織的多起網絡間諜行動中使用的一個新后門。

APT組織Naikon自2010年以來一直活躍，自2015年以來一直受到關注，攻擊目標是亞太地區APAC的實體。該組織的攻擊目標包括包括菲律賓、馬來西亞、印度尼西亞、新加坡和泰國。主要集中在政府機構、軍隊等知名組織。

Naikon大量利用DLL劫持來執行惡意代碼，BitDefender專家在調查側載技術時發現了一個與NAIKON網絡間諜組織有關的長期活動。

Naikon濫用的合法軟件有：ARO 2012教程8.0.12.0、VirusScan按需掃描任務屬性(McAfee,Inc.)、Sandbox COM Services(BITS)3.55.06(sandbox L.T.D)、Outlook Item Finder 11.0.5510(Microsoft Corporation)、Mobile Popup Application 16.00(Quick Heal Technologies(P)Ltd.)

與該組織之前的行動不同，在最近的攻擊中，該APT組織使用了一個新型后門Nebulae，以獲得受感染系統的持久性。

Bitdefender發布的報告中稱，惡意活動市在2019年6月至2021年3月之間進行。在行動開始市，威脅行為者使用Aria-Body裝載機和Nebulae作為第一階段的攻擊。從2020年9月開始，威脅行為者在他們的工具包中加入了RainyDay后門。

基于對攻擊中使用的命令和控制服務器和工件的分析，研究人員將該威脅行動歸因于APT組織Naikon。該惡意軟件通過添加新的注冊表項來獲得持久性，以便在登錄后系統重新啟動時自動執行惡意代碼。

Nebulae支持常見的后門功能，包括收集LogicalDrive信息、操作文件和文件夾、從命令和控制服務器下載及上傳文件、列出/執行/終止受感染設備上的進程

Bitdefender表示，“到目前為止，我們獲得的數據幾乎沒有說明Nebulae在這一行動中的作用，但是持久性機制的存在可能意味著，在對攻擊者不利的情況下，它被用作受害者的備用訪問點?！?/span>

Naikon APT還提供了一個名為RainyDay（又稱FoundCore）的第一階段有效載荷，用于部署第二階段惡意軟件和工具，包括Nebulae后門。RainyDay后門程序用于執行偵察、上載其反向代理工具和掃描器、執行密碼轉儲工具，執行橫向移動并實現持久性。

參考來源：SecurityAffairs http://dwz.date/eXyG

 

（六）思科Talos發現Linux內核中存在信息泄露漏洞

Cisco Talos近日在Linux內核中發現了一個信息泄漏漏洞CVE-2020-28588。

Linux內核是類Unix操作系統的免費開源核心。此漏洞特別存在于運行Linux的32位ARM設備的/proc/pid/syscall功能中。

TALOS-2020-1211(CVE-2020-28588)是一個信息泄漏漏洞，允許攻擊者能夠查看內核堆棧內存。研究人員首先在Azure Sphere設備(版本20.10)上發現了這個問題，這是一個運行補丁Linux內核的32位ARM設備。

攻擊者可以通過讀取/proc/<PID>/syscall(一個合法的Linux操作系統文件)來攻擊此漏洞，從而無法在網絡上進行遠程檢測。如果利用得當，攻擊者可以利用此信息泄漏成功利用其他未打補丁的Linux漏洞。

Cisco Talos與Linux一起遵循Cisco漏洞披露政策，以確保此問題得到解決，并為受影響的客戶提供更新。

Cisco Talos鼓勵用戶盡快更新這些受影響的產品：Linux內核版本5.10-RC4、5.4.66和5.9.8。Talos已測試并確認此漏洞可利用這些版本的Linux內核。
 

參考來源：Talos http://dwz.date/eW49

 

（七）西班牙多公共管理部門遭受網絡攻擊

西班牙國家統計局（INE）、教育及文化部、司法部、經濟事務部、數字轉型部等不同部門的網站近日遭受了網絡攻擊。此次攻擊導致INE網站關閉了至少12個小時以上，目前已恢復運行。

這是一系列攻擊，以同步方式影響了不同的公共管理部門，并對其網頁造成了一些影響。經濟部的消息來源證實了對Xataka的攻擊，并解釋稱，“不同組織昨天遭受了攻擊影響，攻擊已經得到解決，并且可以正常運行?！?/span>

此次網絡攻擊的目標和來源不得而知。如El Confidencial所述，攻擊“在一定程度上超過了受影響實體的能力”，目前由國家加密中心（CCN）控制，該中心正在評估范圍。

正如經濟事務和數字轉換部對Xataka解釋的那樣，“24日在經濟事務和數字轉換部的某些服務器上檢測到惡意代碼，并已采取了必要措施來遏制這一事件。對數據的影響已經不存在，并且在相關驗證之后，服務在幾個小時內已經恢復?！?/span>

第一個受影響的是INE網站，該網站24日晚6:00 pm左右停止運行。據MuyComputer解釋，出現了一張圖像，其中報告了可能的網絡攻擊，并且與SARA網絡的通信已中斷，這意味著portafirmas、Cl@ve、Geiser或中介平臺的服務已暫停。

SARA是“管理應用系統和網絡”的縮寫。這是2006年開發的中央網絡，用于連接大部分公共管理網站。網絡攻擊者曾試圖影響該關鍵系統，如果受到影響，則可能在主要主管部門造成嚴重問題。

攻擊期間，教育和文化部等網站無法訪問。司法部的網站上也出現了變化，目前仍需要進行注冊才能訪問。以前不需要登錄就可以瀏覽并獲得通知。

四月初，歐盟的幾個機構都受到了安全事件影響。在西班牙，另一次網絡攻擊已導致SEPE的嚴重延誤。歐洲復蘇基金計劃投資高達43.15億歐元，以實現衛生、司法、SEPE、社會保障或領事館的管理現代化。其中一些國家的系統不夠先進，并且對一些網絡攻擊也不夠敏感，因此在2021年這些網絡攻擊一直在持續。
 

參考來源：AsapLand http://dwz.date/eWf6

 

（八）美國華盛頓特區警察局遭受Babuk勒索軟件攻擊

美國華盛頓特區執法機構大都會警察局（DC警察或MPD）近日證實，其遭受了網絡攻擊，勒索軟件組織Babuk泄露了竊取數據的截圖。

華盛頓警方表示，他們知道服務器遭受了入侵，聯邦調查局正在調查此事?！拔覀冎牢覀兊姆掌髟馐芰宋唇浭跈嗟脑L問。在確定全部影響并繼續審查活動的同時，我們已與FBI進行了全面調查?！痹诎l表此聲明之前，Babuk Locker勒索軟件組織表示他們已經入侵了DC警察的網絡并竊取了250 GB未加密文件。

作為此次泄密的一部分，勒索軟件組織發布了據稱是他們在攻擊期間竊取的各種文件夾的截圖。文件夾名稱似乎包含大量與行動有關的文件、紀律記錄，以及與在華盛頓活動的組織成員的文件。

勒索軟件組織在數據泄露頁面上警告稱，MPD有3天的時間聯系他們，否則威脅行為者將開始聯系他們警方的線人。其中一個截圖包括所有文件夾的時間為2021年4月19日，這很可能是威脅行為者竊取數據的時間。

Babuk組織特別指出，其中一份文件的標題與1月6日襲擊首都大樓的抗議活動后的逮捕有關。

今年1月，就曾報道過Babuk Locker勒索軟件，當時他們開始在黑客論壇上操作并泄露受害者的數據。從那以后，該組織慢慢地增加了活動，招募更多的黑客與他們合作，破壞更多的企業網絡。
 

參考來源：BleepingComputer http://dwz.date/eXbP

 

（九）150萬政府組織電子郵件地址及密碼泄露

對在網絡犯罪論壇上免費發布的名為COMB21的100GB海量數據分析發現，其中32.8億個密碼與21.8億個唯一電子郵件地址相關聯。其中還包括150萬個世界各地政府組織的電子郵件地址及密碼，其中美國政府約有62.5萬個，中國政府約有1.8萬個。

這一發現來自于一個名為COMB21的海量100 GB數據集的分析，該數據集是對許多違規行為的匯編，該數據集是今年2月初在一個網絡犯罪論壇上免費發布的，該數據匯集了多年來發生的不同公司和組織的多個泄密數據，是泄露用戶名和密碼最大的數據轉儲之一。

此外，泄漏的數據還包括與來自世界各地政府域的電子郵件地址相關的1,502,909個密碼，與美國政府有關的有625,505個密碼，其次是英國（205,099）、澳大利亞（136,025）、巴西（68,535）、和加拿大（50,726）。

然而，泄漏并不意味著違反了公共管理系統。這些密碼是通過被盜后的密碼哈希破解或通過網絡釣魚攻擊和對不安全的明文連接進行竊聽等技術獲得的。

受此次泄漏影響的美國前十大政府域名如下：

1、國務院-state.gov（29,144）

2、退伍軍人事務部-va.gov（28,937）

3、國土安全部-dhs.gov（21,575）

4、國家航空航天局-nasa.gov（15,665）

5、國稅局-irs.gov（10,480）

6、疾病控制與預防中心-cdc.gov（8,904）

7、司法部-usdoj.gov（8,857）

8、社會保障局-ssa.gov（8,747）

9、美國郵政服務-usps.gov（8,205），以及

10、環境保護署-epa.gov（7,986）

有趣的是，這起泄密事件還包括13份與佛羅里達州Oldsmar水廠電子郵件有關的憑證。但是沒有證據表明2月份使用了破解的密碼來進行網絡攻擊。相比之下，與中國政府領域相關的密碼只有18282個，與俄羅斯相關的密碼只有1964個。

Syhunt創始人兼CVO Felipe Daragon表示，“這表明這些國家/地區中的密碼由本地字母組成，不太容易受到黑客的攻擊。這是相對于羅馬字母而言意外的保護層?！睆娏医ㄗh已公開其信息的用戶更改其現有密碼。
 

參考來源：TheHackerNews http://dwz.date/eWsk

 

（十）開源軟件工具HashiCorp泄露簽名秘鑰

知名開源軟件工具和基礎設施提供商HashiCorp披露，其遭受Codecov供應鏈事件影響。由于Codecov供應鏈攻擊收集開發人員憑證，導致HashiCorp用來簽名和驗證軟件發布的GPG簽名密鑰泄露，作為預防措施，秘鑰已被輪換使用。

Codecov為超過29,000個客戶提供軟件測試和代碼覆蓋服務。4月1日，Codecov獲悉，由于Docker圖像存在漏洞，威脅行為者已經獲得了客戶使用的Bash Uploader腳本的憑據。

Bash Uploaders程序被惡意代碼行修改，這些代碼行將從某些客戶的CI/CD環境中收集的環境變量和機密泄漏到攻擊者控制的服務器。

根據Codecov的調查，Bash Uploader最初的威脅發生在1月31日，使這次攻擊持續了大約兩個月。HashiCorp用來驗證HashiCorp產品下載的簽名哈希的GPG私鑰被泄露。雖然調查沒有發現未經授權使用暴露的GPG密鑰的證據，但該秘鑰已被輪換，以維持可信的簽名機制。

一個新的GPG密鑰已發布，舊的GPG密鑰已撤銷。HashiCorp表示，此事件僅影響了HashiCorp的SHA256SUM簽名機制。

MacOS代碼簽名以及HashiCorp版本的Windows AuthentiCode簽名不受公開私鑰的影響。同樣relases.hashicorp.com上提供的Linux包(Debian和RPM)也不會受到影響。

然而，HashiCorp的建議指出，他們的Terraform產品還沒有打補丁來使用新的GPG密鑰。TerraForm是一個開源的基礎設施即代碼軟件工具，用于安全和可預測地創建、更改和改進基礎設施。

該公司表示，將發布補丁版本的Terraform和相關工具，在自動代碼驗證期間使用新的GPG密鑰。作為事件應對活動的一部分，HashiCorp正在進一步調查Codecov事件是否暴露了任何其他信息，并計劃隨著調查的進展提供相關最新情況。

據早些時候報道，由于Codecov Bash Uploader事件，有數百個Codecov客戶網絡被破壞。美國聯邦調查人員也已經介入，并正在與Codecov和他們的客戶合作，調查此次攻擊的全部影響。因此，預計在接下來的幾周里，不同客戶將公布更多安全信息。隨著軟件供應鏈攻擊成為威脅參與者的最新焦點，它們繼續呈上升趨勢。

就在23日，根報道稱，許多財富500強客戶使用的Passwordstate企業密碼管理器在一次供應鏈攻擊中遭到黑客攻擊。
 

參考來源：BleepingComputer http://dwz.date/eTVt

 

（十一）密碼管理器Passwordstate遭受供應鏈攻擊

開發Passwordstate企業密碼管理器的Click Studios公司通知客戶，攻擊者在入侵Passwordstate網絡后，破壞了該應用的更新機制，在供應鏈攻擊中傳遞惡意軟件。

PasswordState是一種內部密碼管理解決方案，該公司聲稱，全世界2.9萬家公司的37萬多名安全和IT專業人員使用該解決方案。其客戶名單包括來自政府、國防、金融、航空航天、零售、汽車、醫療保健、法律和媒體等多個行業領域的公司，其中許多在《財富》500強排名中。

根據一封發給客戶的關于供應鏈攻擊的通知郵件，客戶可能在4月20日至22日期間下載了惡意升級。Click Studios在一封標題為“確認格式錯誤的文件和基本行動綱領”的電子郵件中告訴客戶，“初步分析表明，使用復雜技術的不良行為者損害了本地升級功能在UTC時間4月20日下午8：33到UTC時間22日上午0：30之間進行的任何本地升級都有可能下載格式錯誤Passwordstate_ipgrade.zip，該文件來自不受Click Studios控制的下載網絡?！?/span>

一旦部署，惡意軟件Moserpass將收集系統信息和密碼狀態數據，然后發送到攻擊者控制的服務器。

SentinelOne首席威脅研究員.A.Guerrero-Saade表示，“攻擊者粗暴地在PasswordState的原始代碼中添加了一個‘Loader’代碼部分，只比舊版本多了4KB。乍一看，Loader可以從上面的C2中提取下一階段的有效負載。還有一些代碼可以解析‘PasswordState’保管庫的全局設置(代理用戶名/密碼等)?！?/span>

Click Studios在4月24日發布的一份安全公告中補充表示，“這個過程提取有關計算機系統的信息，并選擇密碼狀態數據，然后將這些數據發布到壞人CDN網絡上?！?/span>

在上傳收集到的數據后，惡意軟件將休眠1天，然后重新啟動采集和上傳過程。自4月22日上午7點開始，攻擊中使用的CDN服務器不再可用，因為它們已被刪除。

該公司4月25日發布了第二份公告稱，“只有在上述時間段內進行了本地升級的客戶才會受到影響，他們的密碼記錄可能已經被竊取。Click Studios CDN網絡并未受到損害。最初的損害是將就地升級功能指向不受Click Studios控制的CDN網絡?！?/span>

對于加密了密碼信息的客戶來說，在這種情況下，Moserpass不會收集密碼信息并將其上傳到威脅參與者的服務器上。

Click Studios建議在入侵期間升級客戶端的客戶重置其Passwordstate數據庫中的所有密碼。它還建議按如下方式確定密碼重置的優先順序：

1、互聯網暴露系統(防火墻、VPN、外部網站等)的所有憑據；

2、內部基礎設施的所有憑據；

3、所有剩余的憑證。

該公司還通過電子郵件向可能受影響的客戶發送了修復程序，幫助他們刪除Moserpass惡意軟件。

網絡安全公司CSIS在分析了在這次供應鏈攻擊中部署的一個惡意DLL后，共享了包括惡意加載程序哈希和一個命令控制服務器地址在內的攻擊指標(IOCs)。網絡安全公司CrowdStrike也發布了對Passwordstate供應鏈攻擊中Moserpass惡意代碼的分析。
 

參考來源：BleepingComputer http://dwz.date/eWJB
 

（十二）黑客利用文件共享設備FileZen中兩個漏洞竊取數據

威脅行為者正在利用一個流行的文件共享服務器FileZen中的兩個漏洞，來入侵企業和政府系統竊取敏感數據。這是全球黑客攻擊活動的一部分，該行動已成功攻擊了日本首相內閣辦公室。

這些攻擊的目標是日本Soliton公司的流行文件共享網絡設備FileZen，與2020年末2021年初針對Accellion的FTA文件共享系統的攻擊驚人地相似。這兩種設備的工作方式相同，它們被用來存儲無法通過電子郵件發送的大文件。用戶通常在FileZen服務器上上傳文件，然后使用基于web的面板獲取鏈接，以便與其他員工或組織之外的人員共享。

與大多數這些供應商一樣，Soliton提供了基于云的FileZen版本，但也提供了獨立的服務器，可以在高度安全的環境中安裝，以滿足特定的數據隱私要求。

盡管FTA攻擊事件在今年早些時候曝光，但調查人員現在才發現針對FileZen的攻擊企圖，FileZen是一種安裝基地較小的解決方案，主要位于日本境內。

一位熟悉日本調查情況的消息人士表示，黑客似乎在1月份發現了兩個FileZen安全漏洞的組合，他們今年早些時候開始利用這個漏洞。

威脅參與者使用CVE-2020-5639和CVE-2021-20655漏洞攻擊了了保持在線狀態且未置于防火墻后面的FileZen系統。這兩個漏洞分別于2020年12月和2021年2月修復。第一個漏洞允許威脅者在設備上上傳惡意文件，第二個漏洞允許他們以更高的權限運行操作系統命令。

在其網站上發布的支持文件中，Soliton通知其客戶更新到v4.2.8或v5.0.3或更高版本，以修補攻擊者的入侵點并防止未來的入侵。然而，由于攻擊在補丁準備就緒之前就開始了，Soliton也假定客戶系統已經被攻破。該公司現在建議客戶重置所有管理員賬戶密碼，并重置訪問控制(內部防火墻)列表。
 

參考來源：TheRecord http://dwz.date/eVhu

 

（十三）美國空軍采用零信任保護飛行路線

零信任是業務轉型的重要組成部分。信息基礎設施隨著新技術和新地點的發展而擴展，零信任使組織可以集中精力保護數據，不用管數據的來源及使用方式。

現在，美國空軍已采取零信任來改善和保護其飛行路線。嚴格來說，飛行路線是飛機的維護區域，包括跑道和起飛區域，即飛機準備起飛的機場的任何部分。然而，飛行路線中每架飛機的數據必須返回到中央存儲庫進行分析，并確保有足夠的零件可用于保證每臺機器的正常運行時間。

通常，在過去，來自飛機的數據會被傳輸到USB驅動器上，然后直接傳送到掛架中的應用程序，或者傳送到更遠的中央存儲庫。因此，飛行航線包括處于維修位置的飛機、有USB驅動器的維修工程師、和中央服務器。這些就是要采取零信任的內容。

實現零信任的主要推動力是工作流程的數字化。這使得以前在紙上完成的過程可以數字方式進行，但需要更高級別的數字保護，以保護數據和工作流程。

Xage首席執行官Duncan Greatwood表示，“采用零信任模式是飛機維修數字化的一部分。關鍵部分首先是數據的移動，通常是通過USB驅動器的物理載體進行的?！?/span>

這既沒有效率，也沒有最終安全性。因此，新流程的一個重要方面是使用Xage零信任結構將數據安全地進出飛機，同時確保數據的機密性和完整性。

Greatwood表示，“維護工作流程也可以數字化。從歷史上看，這通常是在紙質清單和剪貼板上完成的，通過智能手機把飛機部件的照片發給經理人。我們正在做的是與空軍集成，以使數字化應用程序可以使用工作流程中需要完成的工作在線列表替換紙張，同時在完成工作時添加評論和照片。然后可以收集結果，并將結果零信任傳輸到中央計算機?！?/span>

雖然改善飛行路線的“業務”功能可能是實施基于零信任的網絡解決方案的主要推動力，但Greatwood認為安全性也得到了改善。他表示，“USB密鑰可能會丟失、被盜或被黑客入侵?！崩?010年Stuxnet入侵到了納坦茲。除了在不同地點之間傳遞數據的需求極大提高了安全性。

還必須考慮“內部威脅”。即使在采用更詳細篩選的軍事環境中，這也是一個嚴重的威脅。零信任的關鍵原則是在最短的時間內保持最少的信任。這樣可以確保即使內部人員出于意識形態或財務原因，或者只是出于偶然變壞了，也可以將可能造成的損害降至最低。新的零信任模型將首先在特拉華州的多佛空軍基地推出。

Xage Security由產品副總裁Roman Arutyunov和工程副總裁Susanto Irwan于2017年創立，總部位于加利福尼亞州帕洛阿爾托，Duncan Greatwood是首席執行官，Xage在2018年獲得了1600萬美元的A輪融資。
 

參考來源：SecurityWeek http://dwz.date/eWmD

 

（十四）俄羅斯SVR將繼續以美國作為攻擊目標

美國聯邦調查局(FBI)、美國國土安全部(DHS)和網絡安全和基礎設施安全局(CISA)4月26日聯合發布警告稱，俄羅斯對外情報局(SVR)(又名APT29)將繼續對美國和外國組織發起攻擊。

CISA表示，“SVR活動，包括最近的SolarWinds Orion供應鏈泄露事件，主要針對政府網絡、智庫和政策分析組織以及信息技術公司，旨在收集情報信息。APT29將繼續通過網絡攻擊從美國和外國實體那里尋求情報，使用一系列復雜程度各不相同的初始攻擊技術，再加上受到攻擊的網絡中的秘密入侵技術?！?/span>

26日發布的聯合公告提供了有關APT29戰術、工具、技術和能力的更多信息，這些信息應該有助于保護政府實體、智庫、政策分析組織、信息技術公司和其他潛在的SVR攻擊目標的網絡。在與SVR參與者相關的戰術、技術和程序(TTP)中，聯邦機構表示：

1、密碼噴射：在2018年一個大型網絡的攻擊中，SVR網絡攻擊者使用密碼噴射來識別與管理賬戶關聯的弱密碼。通過訪問管理帳戶，攻擊者修改了網絡上特定電子郵件帳戶的權限，從而允許任何經過身份驗證的網絡用戶讀取這些帳戶。雖然密碼泄漏是從許多不同的IP地址進行的，但一旦攻擊者獲得訪問某個帳戶的權限，該受攻擊的帳戶通常只能從與租用的虛擬專用服務器(VPS)對應的單個IP地址進行訪問。

2、利用零日漏洞：在另一起事件中，SVR攻擊者利用CVE-2019-19781(當時的零日漏洞)攻擊VPN設備來獲取網絡訪問權限。在以暴露用戶憑據的方式利用設備之后，攻擊者使用暴露的憑據向網絡上的系統進行標識和身份驗證。與之前的案例一樣，黑客使用了與受害者位于同一國家的專用VPS，可能是為了讓人覺得網絡流量在正?；顒訒r沒有異常。

3、WELLMESS惡意軟件：2020年，英國、加拿大和美國政府將使用WELLMESS惡意軟件進行的入侵歸咎于APT 29。一旦進入網絡，攻擊者就瞄準了每個組織的疫苗研究庫和Active Directory服務器。這些入侵主要依賴于以內部網絡資源為目標，與歷史上的商業手法背道而馳，可能表明參與者在虛擬環境中正在以新的方式進化。

4、支持SolarWinds的入侵在技術上的相似性：在2020年春夏，SVR網絡運營商使用修改后的SolarWinds網絡監控軟件作為初始入侵載體，開始擴大他們對眾多網絡的訪問。SVR修改并使用受信任的SolarWinds產品作為入侵媒介，也是與SVR歷史上的交易手法明顯背道而馳。

對于安全警報中突出顯示的每個TTP條目，FBI和DHS還分享了建議和緩解措施，以幫助網絡運營商防御使用這些攻擊技術的入侵企圖。

該安全公告是對4月15日發布的上一次安全公告的補充，分享了俄羅斯支持的APT29黑客組織(又名Dukes、CozyBear和Yttrium)利用的漏洞的信息，這些漏洞破壞了美國和世界各地的國家安全和政府相關網絡。

同一天，白宮正式將SolarWinds供應鏈攻擊歸咎于國家黑客組織APT29。多家網絡安全公司(FireEye、MalwareBytes、Mimecast)以及美國各州和聯邦機構在這次行動中遭到攻擊。此外，拜登總統還發布了一項行政命令，禁止來自俄羅斯聯邦政府的從事有害活動的財產。

財政部還對多家俄羅斯科技公司(ERA Technopolis、Pasit、SVA、NeoBit、AST和Positive Technologies)實施制裁，原因是它們涉嫌幫助SVR、俄羅斯聯邦安全局(FSB)和俄羅斯主要情報局(GRU)對美國實體發動網絡攻擊。
 

參考來源：BleepingComputer http://dwz.date/eX3R

 

（十五）機票預訂系統Radixx遭受網絡攻擊影響20多家航空公司

機票預訂系統Radixx 4月22日披露，其應用程序Radixx Res?在4月20日遭受了一起惡意軟件事件，影響了其預訂系統。

Radixx是Sabre Corporation的子公司，Radixx為廉價航空公司提供機票預訂系統。這起事件沒有影響Sabre系統，客戶數據庫也沒有受到影響。然而該事件影響了20家客戶航空公司的預訂能力，Radixx希望在4月22日底之前恢復服務。

受影響的航空公司包括日本Peach Aviation和ZIPAIR、比利時Air Belgium、智利Sky airlines、加拿大Air Transat、越南Vietravel、韓國Aero K airlines、阿曼Salam Air、南非FlySafair、印度Air India Express和哥倫比亞Wingo。

服務中斷使得許多乘客無法通過航空公司的網站進行預訂、更改、刪除或確認預訂，但航班運營沒有受到影響。在某些情況下，乘客被告知他們可以打電話給航空公司處理他們的預訂需求。

在其他情況下，乘客被告知，如果他們需要取消航班，但由于服務中斷而無法取消，航空公司將給予他們航班積分或其他安排來補償他們。在某種程度上，對于初創低成本航空公司來說，服務中斷可能是最嚴重的。Avelo航空公司于4月8日剛剛推出，計劃在4月28日進行首批航班。截至目前航空公司的網站仍在發布道歉信息，服務仍處于中斷狀態。
 

參考來源：DataBreaches http://dwz.date/eXdt

 

（十六）印度配送服務商BigBasket在暗網泄露2000萬用戶信息

知名數據泄露賣家ShinyHunter 4月26日在黑客論壇上免費發布了印度知名在線雜貨配送服務BigBasket的用戶記錄，包含約2000萬條個人信息和哈希密碼。

BigBasket是印度受歡迎的在線雜貨配送服務，人們可以在網上購買食品并將其送到家里。2020年11月，BigBasket向彭博新聞社證實，在ShinyHunter之前試圖以私下銷售的方式出售被盜數據后，他們遭遇了數據泄露。

BigBasket首席執行官Hari Menon表示，“我們發生了數據泄露事件，已經向網絡犯罪警察提起了訴訟。調查人員要求我們不要透露任何細節，因為可能會妨礙調查?！?/span>

就像以前由ShinyHunters私下出售的典型入侵一樣，這個威脅者現在免費發布了整個數據庫，據報道其中包含超過2000萬用戶記錄。該數據庫包括BigBasket客戶信息，包括電子郵件地址、SHA1哈希密碼、地址、電話號碼和其他分類信息。

使用SHA1算法對密碼進行哈希處理，論壇成員聲稱已經破解了200萬個密碼。另一位會員聲稱，有70萬名客戶在他們的賬戶中使用的密碼是“password”。

在過去，ShinyHunters曾負責或參與過其他數據泄露事件，包括Tokopedia、Teespring、Minted、Chatbook、Dave、Promo、Mathway、Wattpad等等。

目前已經確認一些記錄是準確的，包括特定于BigBasket服務的信息，客戶應該謹慎行事，并假設他們的客戶信息也被泄露了。強烈建議所有BigBasket用戶立即使用相同的密碼更改他們在BigBasket和任何其他站點上的密碼。建議使用密碼管理器來幫助管理在不同站點使用的唯一密碼。
 

參考來源：BleepingComputer http://dwz.date/eXxn
 

（如未標注，均為天地和興工業網絡安全研究院編譯）