目   錄

第一章 國外關鍵信息基礎設施安全動態

（一）美國核武器承包商Sol Oriens遭受REvil勒索軟件攻擊

（二）美國再生能源公司Invenergy遭受勒索軟件REvil攻擊泄露4TB數據

（三）美國最大丙烷供應商AmeriGas披露數據泄露事件

（四）韓國海運公司HMM電子郵件系統遭受網絡攻擊

（五）CISA警告數百萬聯網攝像頭存在嚴重漏洞

（六）G7領導人呼吁俄羅斯打擊其境內勒索軟件組織

（七）大眾汽車外包商泄露北美330萬車主信息

（八）黑客出售法國電信供應商Free的數據庫訪問權

（九）美國醫療保健企業CVS Health超過十億條記錄在網上曝光

（十）攻擊者利用惡意網站鏈接針對印度政府官員

（十一）以色列國防軍前參謀長計算機遭受伊朗黑客入侵

（十二）伊朗黑客入侵非洲銀行和美國聯邦圖書館網站

（十三）APT組織BackdoorDiplomacy攻擊非洲及中東國家外交組織

（十四）勒索軟件Avaddon關閉運營并釋放解密密鑰

（十五）知名游戲公司EA遭受重大數據泄露

（十六）思科UC第三方配置工具存在三個高危漏洞

 第一章 國外關鍵信息基礎設施安全動態

（一）美國核武器承包商Sol Oriens遭受REvil勒索軟件攻擊

Sol Oriens是美國能源部（DOE）的分包商，與國家核安全局（NNSA）合作研發核武器，上個月遭受了一次網絡攻擊，專家稱此次攻擊來自REvil勒索軟件即服務（RaaS）團伙。

這家位于新墨西哥州阿爾伯克基市的公司的網站至少從6月3日起就無法訪問，但Sol Oriens的官員向?？怂剐侣労?span lang="EN-US">CNBC證實，該公司是在上個月的某個時候意識到這次入侵的。

CNBC的Eamon Javers在推特上發布了該公司的聲明，“2021年5月，Sol Oriens意識到影響我們網絡環境的網絡安全事件。調查正在進行中，但我們最近確定未經授權的個人從我們的系統中獲取了某些文件。這些文件目前正在審查中，我們正在與第三方技術取證公司合作，以確定可能涉及的潛在數據的范圍。我們目前沒有跡象表明此事件涉及客戶機密或與安全相關的關鍵信息。一旦調查結束，我們將致力于通知涉及信息的個人和實體。”

Javers從該公司發布的招聘信息中發現，該公司處理核武器相關問題，招聘信息中包含“高級核武器系統主題、擁有20多年W80-4等核武器經驗的專家”等信息。W80是一種搭載在空射巡航導彈上的核彈頭。

根據存檔版本及其LinkedIn簡介，Sol Oriens是一家“小型、資深的咨詢公司，專注于管理具有強大軍事和空間應用潛力的先進技術和概念”，與“國防部和能源部組織、航空航天承包商、科技公司執行復雜的項目，并致力于確保有發達的技術來維持強大的國防。”

安全公司Emsisoft威脅分析師和勒索軟件專家Brett Clow表示，他發現了發布在Revil暗網博客上的Sol Oriens的內部信息。

據報道，數據包括從2020年9月開始的公司工資表，列出了一些員工的姓名、社保號碼和季度工資。還有一份公司合同分類賬，以及一份概述員工培訓計劃的備忘錄的一部分。備忘錄的頂部有能源部和NNSA國防項目的標志。

目前值得深切關注的是核安全管理局負責維護和確保國家的核武器儲備，并為軍方從事核應用方面的工作，以及其他高度敏感的任務。

據報道，REvil指責分包商Sol Oriens“沒有采取一切必要措施保護其員工的個人數據和合作公司的軟件開發。”

參考來源：ThreatPost http://t.hk.uy/xjj

 

（二）美國再生能源公司Invenergy遭受勒索軟件REvil攻擊泄露4TB數據

6月11日，美國再生能源公司Invenergy向金融時報證實，其遭受了REvil勒索軟件攻擊。

Invenergy是全球最大的再生能源公司之一，主要提供風力發電、太陽能發電、儲存、天然氣與凈水解決方案，迄今已于全球建置了184個專案，生產29,022兆瓦的再生能源，可供超830萬戶的家庭使用。

根據報導，REvil集團成功入侵了Invenergy，竊取了該公司多達4TB的機密信息，卻沒有加密Invenergy的內部資料，但同樣向Invenergy進行勒索，威脅Invenergy若不支付贖金就要公布資料。猜測REvil可能是加密失敗，或者是選擇不加密Invenergy或摧毀Invenergy的業務。

REvil集團宣稱取得了Invenergy的專案信息與合約，還說拿到了該公司執行長Michael Polsky非常私密及火辣的資料，包括Polsky的電子郵件、照片，以及與妻子離婚的細節等。

不論如何，Invenergy向金融時報表示，并不打算支付任何的贖金。

本文版權歸原作者所有，參考來源：iThome http://t.hk.uy/xmv

 

（三）美國最大丙烷供應商AmeriGas披露數據泄露事件

美國最大的丙烷供應商AmeriGas披露了一起短暫的數據泄露事件，該事件持續了8秒，但影響了123名員工。AmeriGas為美國50個州的200多萬客戶提供服務，擁有2500多個經銷地點。

AmeriGas向新罕布什爾州司法部長辦公室報告了本月的數據泄露事件。此次數據泄露的起源是J.J.Keller，他是一家負責向AmeriGas提供美國運輸部合規服務的供應商，該公司幫助AmeriGas進行駕駛記錄檢查、對駕駛員進行藥物和酒精測試，以及其他DOT強制實施的監管檢查。

5月10日，J.J.Keller在其系統上檢測到與公司電子郵件賬戶相關的可疑活動，立即開始調查網絡，發現J.J.Keller的一名員工成為了網絡釣魚郵件的受害者，導致他們的賬戶被盜。在這個簡短的訪問窗口中，威脅參與者可以查看雇員的受威脅帳戶中存在的某些文件。在重置該員工的賬戶憑證后，J.J.Keller立即開始取證活動，以確定這次違約的全部范圍。

5月21日，J.J.Keller通知AmeriGas，這次8秒的入侵暴露了123名AmeriGas員工的記錄，這些記錄在攻擊者可以看到的文件中。根據J.J.Keller的說法，在8秒的入侵期間，黑客獲得了包含123名AmeriGas員工信息的電子表格附件的內部電子郵件，包括實驗室id，社會安全號碼，駕駛執照號碼和出生日期。

AmeriGas在2021年6月4日的數據泄露通知中披露，“到目前為止，我們還不知道有任何實際或試圖濫用此個人數據的行為。”

在這次泄密事件中，只有一名新罕布什爾州居民的信息被曝光，此人已收到事件通知，并得到了免費的信用監控服務。目前，沒有跡象表明任何員工信息被復制或濫用。

 參考來源：BleepingComputer http://t.hk.uy/xnv

 

（四）韓國海運公司HMM電子郵件系統遭受網絡攻擊

韓國遠洋運輸公司HMM于6月15日證實，6月12日其電子郵件系統遭受了病毒攻擊。

HMM表示，“檢測到一個不明的安全漏洞，這導致某些地區對電子郵件Outlook系統的訪問受到限制。截至14日，大部分已確認的損害已經恢復，沒有發現數據泄露。但截至15日，除美國和歐洲以外的所有地區的電子郵件服務器都仍然受到影響”。

HMM建議仍受影響地區的托運人通過電話聯系當地HMM代理處進行預訂和其他查詢。

HMM證實，“除了電子郵件，系統和功能都完全可以運行，這歸功于獨立的基于云的系統，電子郵件系統正在逐步恢復，公司的IT規劃團隊正在繼續調查，以防止進一步的安全事故。HMM將加強安全檢查并采取保護措施。”

HMM歐洲的一名聯系人證實，其核心系統“完全不受影響”，除了“一些不完整的電子郵件服務器問題”外，此次攻擊“對預訂沒有影響”。該人員表示，“我們的電子郵件基本上都已恢復，并為我們在歐洲的工作服務。但到目前為止，我們的網絡彈性似乎很好。”

參考來源：TheLoadStar http://t.hk.uy/xpq

 

（五）CISA警告數百萬聯網攝像頭存在嚴重漏洞

美國CISA于6月15日發布警告稱，數百萬個聯網的安全和家庭攝像頭中存在一個高危漏洞，遠程攻擊者可以利用該漏洞入侵視頻源。到目前為止，還沒有已知的針對野外漏洞的公開利用。

該漏洞編號為CVE-2021-32934，CVSS v3得分為9.1，是通過ThroughTek的供應鏈組件引入的，該組件由幾家安全攝像頭原始設備制造商（OEM）以及諸如嬰兒和寵物監控攝像頭、機器人和電池設備等物聯網設備制造商使用。

未經授權查看這些設備提供的信息可能會帶來無數潛在問題。對于關鍵的基礎設施運營商和企業來說，截取視頻可能會泄露敏感的商業數據、生產/競爭機密、用于物理攻擊的樓層平面圖信息以及員工信息。對于家庭用戶來說，隱私的影響是顯而易見的。

ThroughTek的問題組件是其點對點(P2P)軟件開發工具包(SDK)，據供應商稱，該工具包已經安裝在數百萬臺聯網設備上。它被用來在互聯網上提供對音頻和視頻流的遠程訪問。

Nozomi Networks發現了這個漏洞，并指出P2P的工作方式基于三個架構方面:

1、網絡錄像機NVR(Network Video Recorder)，連接安全攝像頭，代表本地生成音頻/視頻流的P2P服務器。

2、一個離線的P2P服務器，由攝像頭供應商或P2P SDK供應商管理。這個服務器作為一個中間人，允許客戶端和NVR彼此建立連接。

3、從互聯網訪問音頻/視頻流的軟件客戶端，可以是移動應用程序，也可以是桌面應用程序。

Nozomi研究人員在分析ThroughTek的P2P平臺的具體客戶端實現以及通過P2P連接到NVR的Windows客戶端產生的網絡流量時發現，本地設備和ThroughTek服務器之間傳輸的數據缺乏安全的密鑰交換，而是依賴于基于固定密鑰的模糊處理方案。

Nozomi在文章中表示，“在正確的位置設置了幾個斷點后，我們設法識別出有趣的代碼，在這些代碼中，網絡的數據包有效負載被解混。”由于此流量遍歷互聯網，因此能夠訪問它的攻擊者可以重建音頻/視頻流。

Nozomi能夠創建一個概念驗證腳本，從網絡流量中對動態數據包進行解混，但沒有給出進一步的技術細節。值得注意的是，ThroughTek的建議還將設備欺騙和設備證書劫持列為利用該漏洞的其他潛在風險。供應商已在最新版本的固件中修補了該問題。

受影響的版本和補救措施包括：

1、所有3.1.10以下版本；

2、帶有nossl標記的SDK版本；

3、不使用AuthKey進行iot連接的設備固件；

4、使用AVAPI模塊而不啟用DTLS機制的設備固件；

5、使用P2PTunnel或RDT模塊的設備固件。

可采取的行動：

1、如果SDK版本為3.1.10及以上，需要開啟Authkey和DTLS；

2、如果SDK低于3.1.10，請將庫升級到3.3.1.0或3.4.2.0，并開啟Authkey/DTLS。

但是，終端用戶將被迫依賴相機和物聯網制造商來安裝更新，ThroughTek的供應商合作伙伴沒有公開。因為多年來，ThroughTek的P2P庫已經被多個供應商集成到許多不同的設備中，第三方幾乎不可能跟蹤受影響的產品。

物聯網攝像頭的漏洞并不罕見。例如，上個月Eufy家庭安全攝像頭的所有者收到警告，稱其內部服務器存在漏洞，陌生人可以查看、縮放和放大他們的家庭視頻?？蛻粢餐蝗槐辉试S對其他用戶做同樣的事情。

參考來源：ThreatPost http://t.hk.uy/xmR

 

（六）G7領導人呼吁俄羅斯打擊其境內勒索軟件組織

鑒于近期在歐美引起軒然大波的勒索軟件攻擊事件，七國集團成員國呼吁俄羅斯和其他國家打擊在其境內活動的勒索軟件團伙。

七國集團（G7）6月13日在英國康沃爾舉行的為期三天的會議結束時發表公報表示，“我們呼吁所有國家緊急查明并搗毀在其境內運作的勒索軟件犯罪網絡，并追究這些網絡對其行為的責任。特別是，我們呼吁俄羅斯查明、破壞并追究其境內實施勒索軟件攻擊、濫用虛擬貨幣洗錢和其他網絡犯罪的人的責任”。

該聯合聲明由七國集團(G7)成員加拿大、法國、德國、意大利、日本、英國和美國政府簽署。

在此之前，一系列勒索軟件攻擊在新冠疫情大流行期間導致醫院中斷，Colonial管道攻擊導致美國東海岸燃料中斷，以及JBS Foods勒索軟件事件后澳大利亞和美國的牛肉供應問題。

上述攻擊將勒索軟件問題從事件響應報告的最深處帶到白宮每日國家安全簡報上，迫使美國及其G7成員國在全球政治層面采取行動，G7成員國正面臨著破壞性勒索軟件攻擊新浪潮。

目前尚不清楚該公報將如何為打擊勒索軟件團伙的實際斗爭做出貢獻。該模糊聲明，只是敦促其他國家解決他們的問題，并沒有可操作的措施。

據信大多數勒索團伙都在前蘇聯國家境內活動。這些組織中的大多數都在不成文的規則下運作，只要他們專門針對西方國家發動攻擊，并避開俄羅斯及其鄰國，地方當局就會讓他們和平運作。

此前，美國情報部門表示，至少有一個網絡犯罪組織的成員（Evil Corp）在受到保護并與俄羅斯內部情報機構聯邦安全局（FSB）合作開展活動。

英國國家網絡安全中心首席執行官Lindy Cameron稱勒索軟件攻擊是對英國用戶的最大的網絡威脅，遠遠超過民族國家黑客組織，并強調雖然國家資助的組織可能會追捕有限數量的目標，勒索軟件組織不分青紅皂白地進行無聲的間諜活動，并且毫無保留地造成大規模破壞，以獲取贖金。

參考來源：TheRecord http://t.hk.uy/xcb

 

（七）大眾汽車外包商泄露北美330萬車主信息

德國大眾汽車6月11日以電子郵件方式通知其受影響客戶，由于合作的外包商發生長達近2年的信息安全事件，導致330萬北美車主包括姓名、電子郵件及生日等資料泄露。

大眾汽車于今年3月10日接到通知，一個奧迪、大眾及美國、加拿大授權經銷商使用的合作廠商系統遭受了未授權的第三方存取。大眾調查后證實，攻擊者取得了客戶、潛在客戶的個人資料。

這些資料包括2014年到2019年的銷售資料，大眾汽車相信是這家廠商不慎將未做好安全防護的資料庫放在網絡上所致，時間點從2019年8月到2021年5月。

泄露的資料包括車主姓名、個人或公司地址、電子郵件信箱或電話。其中一些還有車主購買、租用或詢問的車型、包括車輛識別碼、車型、年份、顏色。

此外也泄露了和購車、租車、貸款資格相關的敏感個人信息，其中95%為駕照號碼，涉及美國、加拿大9萬多筆，以及很少部份的客戶的生日、社會安全碼及社會保險號、帳號、稅籍編號等。

大眾啟程并未說明這家廠商身份。只表示已經通報執法機關和主管單位，并和外部安全專家著手評估事件范圍，也和廠商采取解決方案。

這是近年最新一起汽車大廠資料泄露事件。2019年以來已有包括本田泄露上億員工資料、豐田日本、澳州及越南遭黑客攻擊。2018年也曾發生福特、豐田、特斯拉、福斯汽車的外部自動化供應商線上資料庫沒有設密碼的烏龍事件。今年4月美國第二大汽車保險公司Geico官網爆出有漏洞，可能允許黑客竊取客戶駕照號碼。

本文版權歸原作者所有，參考來源：iThome http://t.hk.uy/xjK

 

（八）黑客出售法國電信供應商Free的數據庫訪問權

一名黑客獲得了法國電信供應商Free的數據庫訪問權，并向Free公司發出關于SQL注入的警告。由于該黑客沒有收到Free公司的恢復，因此在黑客論壇上出售該公司的數據庫訪問權限，售價為2000美元。Free是Iliad的子公司。

如果賣方說法屬實，買方可能獲得大量有價值和敏感的數據，可能給這家法國公司及其客戶帶來巨大麻煩。值得注意的是，論壇的其他成員也聲稱可以訪問這些數據，這意味著該數據庫很長一段時間都很容易受到攻擊。

對于訪問是否暴露了客戶的詳細信息，黑客做出了肯定的回答。因此，如果該公司證實了這一黑客行為，它將自動被認定為違反GDPR。這將招致該國數據保護局的調查，根據調查結果，還可能被處以巨額罰款。如果Free繼續無視他的信息，他也會很快發布客戶端數據。

如果數據庫訪問被確認為真實，則可能意味著客戶姓名、電子郵件地址、手機號碼、會員憑證、用戶ID、IP地址等信息將被公開。截至目前該事件尚未得到官方證實。

參考來源：TechNadu http://t.hk.uy/xkF

 

（九）美國醫療保健企業CVS Health超過十億條記錄在網上曝光

研究公司WebsitePlanet與研究人員Jeremy Fowler共同發現了一個不受密碼保護的數據庫，其中包含超過10億條記錄。經過調查研究，該數據庫屬于CVS Health。

CVS Health是美國健康看護業務集團，旗下有全美最大藥妝渠道連鎖CVS藥店、Target藥店、健康保險公司Aetna、及健康管理服務Caremark、Omnicare等品牌。

該數據庫大小為204 GB，包含事件和配置數據，包括訪問者ID、會話ID、設備訪問信息的生產記錄，例如訪問該公司域名的訪問者是否使用iPhone或Android手機，以及該團隊所稱的日志系統如何從后端運行的“藍圖”。

公開的搜索記錄還包括藥物、新冠肺炎疫苗和各種CVS產品的查詢，涉及CVS Health和CVS.com。

研究人員表示，“可以將會話ID與他們在會話期間搜索或添加到購物車中的內容進行匹配，然后嘗試使用泄露的電子郵件來識別客戶。”這種不安全的數據庫可以用于有針對性的網絡釣魚，方法是交叉引用系統中記錄的一些電子郵件，可能是通過意外提交搜索，或者交叉引用其他行為。競爭對手也可能對系統中生成和存儲的搜索查詢數據感興趣。

WebsitePlanet向CVS Health發送了一份披露通知，并很快收到了確認數據集屬于該公司的回復，并在同一天限制了公眾訪問。

參考來源：ZDNet http://t.hk.uy/xpQ

 

（十）攻擊者利用惡意網站鏈接針對印度政府官員

多名印度政府官員6月9日成為了惡意網絡鏈接攻擊的目標。包括國防部官員在內的政府官員通過WhatsApp、短信和電子郵件方式收到了惡意網絡鏈接，要求其更新疫苗接種狀態。甚至有官員接到了冒充陸軍醫院的電話。

該惡意消息希望官員們點擊www.covid19india.in.生成一個新冠疫苗接種數字證書。該短信署名為MoHFW，上面寫著，“按照衛生部的指令，在https://covid19india.in上確認你的疫苗接種證明，并生成你的疫苗接種證書。”

當點擊該鏈接時，它將用戶引導到一個類似于官方政府網站“mygov.in”的“@gov.in”網站。用戶被要求在虛假頁面上輸入他們的官方電子郵件和密碼。

在發給國防部一名官員的電子郵件中，分享了一個Google Drive鏈接，假裝正在收集有關武裝部隊接種疫苗后采取的措施信息。一些官員甚至接到電話，來電者說他是從陸軍醫院打來的，該官員需要更新WhatsApp上發送的鏈接上的疫苗接種狀態。

報道稱，官員們被警告不要點擊該鏈接，因為這是一種試圖訪問官方電子郵件和通信的網絡釣魚行為。

參考來源：SecureReading http://t.hk.uy/xkz

 

（十一）以色列國防軍前參謀長計算機遭受伊朗黑客入侵

據《以色列時報》報道，一名為伊朗工作的網絡罪犯攻擊了一名前以色列國防軍參謀長的電腦，并獲得了他整個電腦數據庫的訪問權限。Channel 10表示該黑客是Yaser Balaghi。據報道，他事后吹噓自己黑客行為，但也在不知情的情況下留下了自己身份的痕跡。這以行為迫使伊朗關閉了針對全球1800人的網絡行動，其中包括以色列軍方將領、波斯灣人權捍衛者和學者。

兩周前，以色列網絡安全公司Check Point披露了伊朗的黑客行動，《以色列時報》率先報道了這一行動。Channel 10周二的報道中也強調了Check Point的信息。Check Point首席執行官Gil Shwed在1月底告訴以色列電臺，攻擊開始于兩個月前，目標收到了意在在他們的電腦上安裝惡意軟件的電子郵件。

超過四分之一的收件人打開了郵件，無意中下載了間諜軟件，讓黑客得以從他們的硬盤中竊取數據。

在過去兩年中，以色列遭到了幾次網絡攻擊。據官員稱，一些滲透行動是由與真主黨和伊朗政府有關的黑客實施的。

1月底，能源部長Yuval Steinitz表示，以色列電力管理局遭受到嚴重的網絡攻擊。不過，他沒有具體說明襲擊的來源。今年6月，以色列網絡安全公司ClearSky宣布，它探測到一波來自伊朗的針對以色列和中東目標的持續網絡攻擊，以色列將軍們也在攻擊對象之列。據該公司稱，其目的是間諜活動或其他民族國家利益。

根據ClearSky的說法，黑客使用了定向釣魚等技術，他們利用看似合法和可信的虛假網站來獲取用戶身份數據。他們成功滲透了以色列境內的40個目標和國際上的500個目標。在以色列，攻擊目標包括退休將軍、安全咨詢公司雇員和學術學者。

目前，以色列有173家大到足以吸引風險資本和其他主要投資者的公司。根據以色列風險資本研究中心本月早些時候發布的一份報告，以色列目前有430家網絡公司，自2000年以來，平均每年有52家新的網絡創業公司成立。

參考來源：Softpedia http://t.hk.uy/xnU

 

（十二）伊朗黑客入侵非洲銀行和美國聯邦圖書館網站

據《Iran Briefing》稱，自稱來自伊朗的黑客攻擊了塞拉利昂非洲商業銀行和美國聯邦存放庫計劃的網站，并發布了親伊朗的評論和圖片。

谷歌搜索結果顯示，塞拉利昂商業銀行的網站為“H4ck3D IRANIAN HACKER”。推特截圖顯示了在美國空襲中喪生的前伊斯蘭革命衛隊圣城部隊指揮官Qasem Soleimani的畫像，上面寫著“被伊朗黑客入侵，被伊朗盾牌入侵”。

圖書館項目網站被更改為美國總統唐納德特朗普被拳打腳踢的血腥畫面，以及印有波斯語和英語的消息，顯示“殉難是蘇萊曼尼多年來努力的回報”。

美國國土安全部下屬的網絡安全和基礎設施安全局的一名代表證實了這起入侵事件。發言人表示，“我們知道聯邦寄存圖書館計劃（FDLP）的網站被發布了親伊朗、反美的信息。目前還沒有證據表明這次黑客攻擊是由伊朗政府支持的行為者實施的。”

該網站已被刪除，不再可用。網絡安全和基礎設施安全局（CISA）正與FDLP和其他政府合作伙伴密切關注此事。另一位美國高級官員表示，這只是一起小事件，很可能是伊朗同情者所為。

美國前國務卿蓬佩奧此前表示，伊朗對美國的一種可能報復可能是網絡攻擊，目前尚不清楚黑客是否有官方立場或與伊朗有聯系。

1月2日，伊朗革命衛隊圣城部隊領導人Qasem Soleimani在巴格達被美國暗殺后，美國和伊朗之間的關系仍然高度緊張。伊朗已經發誓要對暗殺事件進行報復，并暗示可能會對美國在中東地區的資產和利益以及美國的盟友發動襲擊。這起黑客攻擊事件發生在美國和伊朗之間的緊張局勢依然高漲的時候。

參考來源：Softpedia http://t.hk.uy/xkb

 

（十三）APT組織BackdoorDiplomacy攻擊非洲及中東國家外交組織

ESET安全研究人員發現了一個新型APT組織BackdoorDiploacy，攻擊目標為非洲及中東國家的外交組織。

該組織自2017年以來一直活躍。ESET高級威脅情報分析師Adam Burgher在6月10日的一份報告中表示，“在幾個非洲國家的外交部以及歐洲、中東和亞洲都發現了受害者。其他目標包括非洲的電信公司和至少一家中東慈善機構。”

ESET研究人員表示，該組織主要依賴于利用暴露于互聯網的設備中的漏洞，例如網絡服務器和網絡設備的管理界面。目標系統包括F5 BIG-IP設備、Microsoft Exchange電子郵件服務器和Plesk Web托管管理面板。

Burgher表示，一旦黑客入侵了目標的系統，他們通常會下載并使用開源掃描工具在網絡中橫向移動，然后再部署代號為Turian的定制惡意軟件。該木馬有Windows和Linux兩個版本，它充當后門，允許黑客與敏感目標交互、搜索他們的系統、并竊取數據。

ESET表示，在某些網絡上，還觀察到BackdoorDiploacy運營者還部署了一種惡意軟件，感染了USB驅動器等可移動媒體設備，試圖傳播到空氣間隙網絡。

參考來源：TheRecord http://t.hk.uy/xcS

 

（十四）勒索軟件Avaddon關閉運營并釋放解密密鑰

勒索軟件組織Avaddon于6月11日關閉了運營，并發布了解密密鑰，受害者可以免費恢復文件。

6月11日早，BleepingComputer收到了一條偽裝成FBI的匿名消息來源，其中包含一個密碼和一個受密碼保護的ZIP文件的鏈接，該文件聲稱是“勒索軟件Avaddon解密密鑰”。攻擊者共計發送了2,934個解密密鑰，每個密鑰對應一個特定的受害者。

BleepingComputer與安全公司Emsisoft共享了解密密鑰，Emsisoft過去曾發布過針對多個勒索軟件的免費解密程序。Emsisoft研究人員Fabian Wosar及Coveware研究人員Michael Gillespie確認這些密鑰是合法的。Emsisoft也已經為Avaddon勒索軟件受害者開發了一個免費的解密程序。

雖然這種情況并不經常發生，但此前曾有勒索軟件組織公開解密秘鑰，作為其關閉或發布新版本勒索軟件時的善意之舉。此前TeslaCrypt、Crysis、AES-NI、Shade、FilesLocker、Ziggy和FonixLocker的解密密鑰已經發布。

Avaddon于2020年6月開始活躍，隨著時間的推移，Avaddon已發展成為規模較大的勒索軟件活動之一，聯邦調查局和澳大利亞執法部門最近發布了與該組織相關的警告。

目前，Avaddon的所有Tor站點都無法訪問，表明勒索軟件運營可能已關閉。此外勒索軟件談判公司和事件響應人員在過去幾天里發現，Avaddon瘋狂地急于完成現有未支付受害者的贖金支付。

Coveware首席執行官Bill Siegel表示，Avaddon的平均贖金需求約為60萬美元。然而，在過去的幾天里，Avaddon一直在向受害者施壓，要求他們支付并接受最后的還價，沒有任何反擊，Siegel表示這是不正常的。

目前尚不清楚Avaddon關閉的原因，但這可能是由于最近對關鍵基礎設施的攻擊后全球執法部門和政府加大了壓力和審查力度。Emsisoft威脅分析師Brett Callow表示，“執法部門最近的行動讓一些威脅行為者感到緊張，這就是結果。”

參考來源：BleepingComputer http://t.hk.uy/xdR

 

（十五）知名游戲公司EA遭受重大數據泄露

知名游戲公司藝電（Electronic Arts，EA）遭受了黑客攻擊，威脅者聲稱已經竊取了大約750 GB的數據，包括游戲源代碼和調試工具。

藝電在一份聲明中證實了數據泄露，稱這“不是勒索軟件攻擊，只是少量代碼和相關工具被盜，我們預計我們的游戲和業務不會受到任何影響。”

出售EA數據的黑客聲稱已經竊取了完整的FIFA源、EA游戲客戶端和用作游戲內貨幣的積分。網絡犯罪分子會利用游戲中的積分進行洗錢活動。黑客沒有透露如何獲得EA網絡訪問權限的細節。

攻擊者聲稱可以訪問EA的所有服務，并告訴愿意為竊取數據支付2800萬美元的客戶，他們也將獲得“利用所有EA服務的全部能力”。

黑客聲稱從藝電的網絡中竊取了大量數據，包括：FrostBite游戲引擎源代碼和調試工具、FIFA 21配對服務器代碼、FIFA 22 API密鑰和SDK和調試工具、調試工具、SDK和API密鑰、EA專有游戲框架、XBOX和索尼私有SDK和API密鑰XB PS和EA PFX和CRT帶密鑰。

攻擊者在各種市場和黑客論壇上發布的推廣被盜數據的帖子，這些帖子使用的是Kela的“Dark Beast”情報服務。

EA發言人表示，“我們正在調查最近的一起網絡入侵事件，其中有少量的游戲源代碼和相關工具被盜。事件發生后，我們已經進行了安全改進，預計不會對我們的游戲或業務造成任何影響。我們正在積極與執法官員和其他專家合作，作為正在進行的刑事調查的一部分。”

EA是多個知名品牌的游戲開發商和發行商，如Madden NFL、EA SPORTS FIFA、Battlefield、The Sims和Need for Speed。藝電在全球擁有超過4.5億注冊玩家，2020財年GAAP凈收入為55億美元。

參考來源：BleepingComputer http://t.hk.uy/xs6

 

（十六）思科UC第三方配置工具存在三個高危漏洞

Rapid研究人員發現，思科統一通信解決方案（Unified Communications，UC）環境中的第三方資源調配工具Akkadian Provisioning Manager中存在三個高危漏洞，可以提升權限實現遠程代碼執行（RCE）。這些漏洞目前尚未修復。

思科的統一通信（UC）套件可實現跨業務的VoIP和視頻通信。Akkadian產品是一種設備，通常用于大型企業，通過自動化幫助管理所有UC客戶端和實例的調配和配置過程。

這些問題都存在于Akkadian平臺版本4.50.18中，如下所示：

1、CVE-2021-31579：硬編碼憑證的使用（CVSS得分8.2分）

2、CVE-2021-31580和CVE-2021-31581：操作系統命令中使用的特殊元素的不當中和（分別使用exec和vi命令；CVSS得分7.9分）

3、CVE-2021-31582：將敏感信息暴露給未經授權的參與者（CVSS得分7.9分）

Rapid7稱，將CVE-2021-31579與CVE-2021-31580或CVE-2021-31581相結合，將允許未經授權的對手獲得對受影響設備的根級shell訪問。這使得安裝密碼加密器、擊鍵記錄器、持久shell和任何其他類型的基于linux的惡意軟件變得很容易。

研究人員表示，CVE-2021-31582可以允許已經通過設備身份驗證的攻擊者更改或刪除本地MariaDB數據庫的內容，該數據庫是MySQL關系數據庫管理系統的免費開源分支。在某些情況下，攻擊者可以恢復主機組織中使用的LDAPBIND憑據，這些憑據用于向目錄服務器驗證客戶端（及其背后的用戶或應用程序）。

除了這些問題，還發現了另外兩個可疑的發現：讀取本地MariaDB證書明文的能力，以及無意中發送了整個GitHub的提交歷史。在撰寫本文時，尚不清楚這些調查結果是否存在獨特的安全問題，但仍應由供應商進行審查。

參考來源：ThreatPost http://t.hk.uy/xmc

 

 （如未標注，均為天地和興工業網絡安全研究院編譯）