目   錄

第一章國外關鍵信息基礎設施安全動態

（一）美國CISA警告三菱工業控制器易受遠程攻擊

（二）俄羅斯互聯網巨頭Yandex遭遇史上最大DDoS攻擊

（三）聯合國在今年早些時候遭受黑客攻擊

（四）威脅行為者冒充美國交通部進行釣魚攻擊

（五）日本科技巨頭奧林巴斯遭受BlackMatter勒索軟件攻擊

（六）美國德克薩斯州共和黨網站遭受黑客組織Anonymous攻擊

（七）網絡服務提供商Epik遭受Anonymous黑客攻擊

（八）南非國家航天局披露公共FTP服務器數據泄露

（九）南非司法和憲法發展部遭受勒索軟件攻擊

（十）以色列巴伊蘭大學拒絕支付250萬美元贖金，導致大量數據泄露

（十一）舊版IBM System X服務器存在高危漏洞

（十二）威脅組織TeamTNT開展新攻擊活動Chimaera，攻擊全球數千組織

（十三）OMIGOD零日漏洞使Azure用戶面臨風險

（十四）Bitdefender發布REvil勒索軟件免費解密程序

（十五）持續集成供應商Travis CI泄露數千用戶機密數據

（十六）美國密蘇里州Delta醫療中心遭受Hive勒索軟件攻擊

（十七）惠普OMEN驅動軟件漏洞影響數百萬臺游戲電腦

（十八）針對Chrome的新測信道攻擊Spook.js可繞過站點隔離保護

（十九）新的Zloader攻擊針對德國和澳大利亞的金融行業

（二十）GetHealth因數據庫配置錯誤泄露6000萬多條用戶記錄

（二十一)電信運營商MyRepublic泄露八萬用戶個人數據

 

 

 

第一章 國外關鍵信息基礎設施安全動態

（一）美國CISA警告三菱工業控制器易受遠程攻擊

美國CISA發布了緊急安全通知，警告公眾三菱電機(Mitsubishi Electric)生產的MELSEC iQ-R系列CPU模塊存在一系列漏洞，該模塊在關鍵制造業中使用。目前還沒有針對這些漏洞的修復補丁，因此CISA敦促易受攻擊產品的用戶盡快采取緩解措施。如果不能快速響應緊急情況，用戶將面臨未經授權的遠程訪問、CPU模塊訪問、DoS、網絡流量嗅探等風險。

這些漏洞如下：

1、CVE-2021-20594，暴力遠程強制模塊獲取合法用戶名，CVSS 5.9分；

2、CVE-2021-20597，通過嗅探網絡流量獲取未受保護的憑據，CVSS 7.4分；

3、CVE-2021-20598，通過使用已知用戶名和錯誤密碼遠程嘗試登錄，鎖定合法用戶(拒絕服務)，CVSS 3.7分。

易受攻擊的產品是所有版本的R08/16/32/120SFCPU和所有版本的R08/16/32/120PSFCPU。三菱已經承諾推出針對前兩個漏洞的固件修復，而第三個漏洞將自動修復。在此之前，建議用戶應用以下緩解措施:

1、當需要訪問互聯網時，可以使用防火墻或VPN等方式防止未經授權的訪問；

2、在局域網內使用，并通過防火墻阻止不受信任的網絡和主機的訪問；

3、使用IP過濾功能來限制可訪問的IP地址；

4、通過USB注冊用戶信息或更改密碼。如果已經注冊了用戶信息或通過網絡更改了用戶密碼，請通過USB修改密碼。此緩解措施適用于CVE-2021-20597。

由于這三個漏洞都可以被遠程利用，CISA對此發布了警報。因此，最小化所有控制系統和設備的網絡暴露是關鍵，在網絡掃描中不顯示漏洞是避免麻煩的關鍵步驟。另一個好的做法是將這些設備置于嚴格的防火墻之后，并將它們與業務網絡的關鍵部分隔離。

參考來源：TechNadu http://33h.co/wvk4x

 

（二）俄羅斯互聯網巨頭Yandex遭遇史上最大DDoS攻擊

俄羅斯互聯網巨頭Yandex在9月9日證實，遭遇了俄羅斯互聯網歷史上規模最大的DDoS攻擊，俄羅斯互聯網的設計宗旨是獨立于萬維網，并確保該國在互聯網關閉時的恢復能力。

專門針對這類攻擊提供保護的美國公司Cloudflare也證實了此次大規模DDoS攻擊的規模。Yandex已與第三方安全公司合作，為客戶提供DDoS保護。

Yandex的另一位消息來源證實了這一信息，指出該公司在遏制DDOS攻擊方面遇到了困難，并在本周繼續進行。

僵尸網絡被稱為Mēris，這波由全新僵尸網路Mēris發起的DDoS攻擊，已經持續數周。目前還沒有關于DDoS攻擊類型和攻擊量峰值的消息。

給Yandex提供DDoS保護的合作伙伴Qrator Labs首席執行官Alexander Lyamin認為，DDoS攻擊是由一個新型DDoS僵尸網絡發起的。Lyamin和他的團隊在8月到9月間觀察到一波針對其客戶的大規模攻擊，惡意流量是由一個全新的僵尸網絡產生的，該僵尸網絡由波羅的海地區一家供應商的被攻擊設備組成。

波羅的海地區的供應商被懷疑是拉脫維亞公司MikroTik，該供應商泄露的設備在過去幾年被多個僵尸網絡使用。威脅行為者利用了目標設備中運行舊軟件的已知漏洞，因為用戶沒有打補丁。

參考來源：SecurityAffairs http://33h.co/wvxss

 

（三）聯合國在今年早些時候遭受黑客攻擊

據彭博社(Bloomberg)率先報道稱，聯合國9月9日四證實，其計算機網絡在今年早些時候遭到了一次網絡攻擊。

聯合國秘書長發言人Stéphane Dujarric表示，“我們可以確認，不明身份的攻擊者在2021年4月入侵了聯合國的部分基礎設施。聯合國經常成為網絡攻擊的目標，包括持續的活動。我們還可以確認，已經檢測到與早些時候的入侵有關的進一步攻擊，并正在作出回應?！?/span>

威脅行為者竊取了包含敏感信息的大量文件，這些文件可能被用來攻擊政府間組織內部的機構。據彭博社報道，攻擊者使用了從暗網購買了竊取的聯合國雇員憑證。

網絡安全公司Resecurity研究人員發現，入侵點是聯合國專有的項目管理軟件Umoja。然后攻擊者在目標網絡中獲得立足點，并進行橫向移動，尋找敏感數據。攻擊中使用的Umoja賬戶似乎沒有受到雙因素認證的保護，因為該軟件供應商在7月份才提供了安全功能。

Resecurity首席執行官Gene Yoo表示，“像聯合國這樣的組織是網絡間諜活動的高價值目標，攻擊者進行入侵的目的是危及聯合國網絡內的大量用戶，以便進一步長期收集情報?！?/span>

第一次進入聯合國網絡是在4月5日，攻擊者一直活躍到8月7日。攻擊者很可能參與了網絡間諜活動，威脅的性質或目標以及沒有勒索意圖表明，參與攻擊的是民族國家行為者。

發現此次攻擊的Resecurity公司今年早些時候與聯合國分享了其調查結果，并幫助該國際組織確定安全漏洞的程度。聯合國發言人杜加里克宣布，聯合國安全小組已經發現了這次攻擊。

最初，聯合國專家稱沒有數據被竊取，但Resecurity團隊發現了數據泄露的證據。聯合國和其他國際機構是網絡犯罪分子和民族國家行為者的特殊目標，不幸的是，在暗網上很容易找到這些機構雇員的登錄證書可供出售。

2020年1月，一份泄露給新人道主義的聯合國內部機密報告顯示，該組織在日內瓦和維也納辦公室的數十臺服務器被“入侵”。聯合國人權辦公室是受到復雜網絡攻擊的辦公室之一，黑客能夠破壞活動目錄、訪問工作人員名單和電子郵件地址等詳細信息。攻擊者沒有獲取密碼。

參考來源：SecurityAffairs http://33h.co/w1zii

 

（四）威脅行為者冒充美國交通部進行釣魚攻擊

電子郵件安全提供商INKY副總裁Roger Kay在9月15日發布的報告中表示，在8月16日至18日期間，INKY研究人員檢測到41封網絡釣魚電子郵件，有威脅行為者利用美國參議院此前通過的一萬億基礎設施法案為誘餌，冒充美國交通部(USDOT)開展釣魚活動，使用多種策略來逃避安全監測，如創建新域名及模仿聯邦網站，使其看起來合法。

該活動針對可能與美國交通部合作的工程、能源和建筑等行業的公司，向潛在受害者發送了一封初始電子郵件，其中告知他們美國交通部正在邀請他們提交部門項目的投標，并單擊帶有“單擊此處投標”字樣的藍色大按鈕。

Kay表示，這些電子郵件本身是從transportgov[.]net域名發起的，該域名由亞馬遜于8月16日注冊。WHOIS透露了該網站的創建日期，似乎表明該網站是專門為網絡釣魚活動而建立的。

對于熟悉政府網站的任何人來說，政府網站通常都有.gov后綴，該域名會顯得可疑。然而Kay觀察到，“對于快速通讀的人來說，域名似乎至少在現實中大致范圍內?！?/span>

Kay表示，“如果人們上鉤并點擊按鈕，會被引導到transportation.gov.bidprocure.secure.akjackpot[.]com網站，該網站包含一些聽起來令人放心的子域，如transportation、gov、secure等。然而該網站的基本域名akjackpot[.]com實際上是在2019年注冊的，托管的可能是馬來西亞在線賭場。要么網站被劫持，要么網站所有者本身就是使用它來冒充美國交通部的網絡釣魚者?！?/span>

一旦進入虛假投標網站，受害者就會被指示點擊“投標”按鈕，并與他們的電子郵件提供商登錄，以連接到“網絡”。該網站還指示他們，如果有任何問題，請聯系另一個假域名的虛構人員mike.reynolds@transportationgov[.]us。

一旦受害者關閉指令，他們將被指向一個真實的USDOT網站的相同副本，攻擊者通過將HTML和CSS從政府網站復制到他們的釣魚網站上創建了該網站。

Kay表示，奇怪的是，威脅行為者還復制并粘貼了有關如何驗證實際美國政府網站的真實警告，這可以提醒精明的受害者他們正在被騙，因為他們意識到網絡釣魚站點的域名以.com結尾，而不是以.gov或.mil結尾。

在假冒的USDOT網站上，受害者被邀請單擊紅色的“單擊此處投標”按鈕，該按鈕會顯示帶有Microsoft徽標和“通過電子郵件提供商登錄”的說明的憑據收集表單。第一次嘗試輸入憑據時會遇到ReCAPTCHA挑戰，通常被合法站點用作額外的安全設備。然而Kay表示，此時攻擊者已經獲取了憑據。

Kay表示，如果再次嘗試輸入憑據，則會出現一條虛假的錯誤消息，然后他們會被指向真實的USDOT網站，這是釣魚者通常作為其序列的最后一步執行，優雅但可能不必要的攻擊。

Kay表示，雖然攻擊者在他們的活動中沒有使用任何特定的新網絡釣魚技巧，但正是一種新模式中的策略組合使他們能夠通過安全的電子郵件網關獲取電子郵件?！巴ㄟ^創建一個新域名、利用時事事件、冒充知名品牌并發起憑據收集操作，網絡釣魚者提出了一種與已知攻擊完全不同的攻擊，以逃避標準檢測方法?！?/span>

Kay觀察到，尤其是使用新創建的域名，可以讓釣魚郵件順利通過標準電子郵件身份驗證，即SPF、DKIM和DMARC?！坝捎谶@些域是全新的，代表了零日漏洞。它們以前從未出現過，也沒有出現在傳統反網絡釣魚工具通常引用的威脅情報源中。毫無瑕疵，這些網站看起來并沒有惡意?！?/span>

參考來源：ThreatPost http://33h.co/w1x9k

 

（五）日本科技巨頭奧林巴斯遭受BlackMatter勒索軟件攻擊

日本科技巨頭奧林巴斯(Olympus)發布聲明稱，其歐洲、中東和非洲計算機網絡遭受了勒索軟件攻擊，目前正在調查事件的嚴重程度。據Techcrunch援引知情人士的話稱，勒索軟件攻擊發生在9月8日。被攻擊計算機上留下的贖金條稱，攻擊來自勒索軟件組織BlackMatter。

該公司在聲明中寫道，“在發現可疑活動后，我們立即動員了包括取證專家在內的專業應急小組，目前我們正以最高優先級努力解決這個問題。作為調查的一部分，我們已經暫停了受影響系統的數據傳輸，并通知了相關的外部合作伙伴。目前正在努力確定問題的嚴重程度，并將繼續提供最新信息。我們對由此造成的任何不便表示歉意?！?/span>

BlackMatter組織于7月底開始運作，聲稱是Darkside和Revil的繼任者。與其他勒索軟件操作一樣，BlackMatter也建立了泄密網站，在對受害者的系統進行加密之前，它會在泄密網站公布從受害者那里泄露的數據。

BlackMatter勒索軟件最先由Record Future研究人員發現，該團伙正在利用在Develope和XSS兩個網絡犯罪論壇上發布的廣告，建立一個附屬網絡。該組織正在招募能夠進入大型企業網絡的黑客，這些企業的年收入在1億美元或更高，試圖用其勒索軟件感染他們。該集團正在美國、英國、加拿大或澳大利亞尋找企業網絡。

BlackMatter勒索軟件運營商宣布，他們不會針對醫療保健組織、關鍵基礎設施、國防工業組織和非營利性公司。今年8月，該團伙針對VMware ESXi虛擬機平臺實施了Linux加密器。

總部位于日本的奧林巴斯為醫療和生命科學行業生產光學和數字復印技術。直到最近，該公司還在生產數碼相機和其他電子產品，直到1月份出售了陷入困境的相機部門。

參考來源：SecurityAffairs http://33h.co/wve60

 

（六）美國德克薩斯州共和黨網站遭受黑客組織Anonymous攻擊

9月11日上午，美國德克薩斯州共和黨官方網站遭到了Anonymous黑客攻擊，該網站隨后被關閉。

在德克薩斯州限制性墮胎法于9月1日生效后，Anonymous組織發起了Operation Jane活動，目標是任何試圖執行該法律的人。該組織通過入侵德克薩斯州共和黨網站完成了自己的使命。

德州共和黨官網Texasgop.org的主頁顯示著ANONYMOUS IS LEGION字樣，而且網站的主菜單被改為了YourAnonNews、Operation Jane、lanned Parenthood和Mudkip（Pokemon）。被黑客入侵的網站還包含一個指向Zodiac Killer維基百科頁面的鏈接。

在給Daily Dot的一份聲明中，德克薩斯州共和黨主席Matt Rinaldi表示，該組織將加強網站的安全?！爸С謮櫶サ暮诳驮谖覀冴P閉網頁之前更改了網頁一小段時間。我們將提高安全性，并感謝黑客為我們提供籌款機會，我們將用這些資金來促進德克薩斯州更加健全的墮胎立法?！?/span>

眾所周知，Anonymous會入侵網站以發表支持其信仰的聲明。作為Operation Jane活動的一部分，該組織還敦促Twitter用戶增加德克薩斯州生命權網站的流量，以阻止其表現。

參考來源：DailyDot http://33h.co/w109q

 

（七）網絡服務提供商Epik遭受Anonymous黑客攻擊

黑客組織Anonymous聲稱已從Epik獲得了數千兆字節的數據。Epik為各種客戶提供域名、托管和DNS服務，其中包括德克薩斯州共和黨、Gab、Parler和8chan及其他右翼網站。被盜數據已發布。該黑客組織表示，該數據集大小超過180GB，包含該公司十年的數據。

Anonymous表示，該數據集是“追蹤研究人員、活動家以及幾乎所有人都無法了解的互聯網法西斯一面的實際所有權和管理所需的一切?！比绻@些信息是正確的，那么Epik客戶的數據和身份現在可能會落入激進主義者、研究人員以及幾乎任何好奇的人的手中。

Epik是一家域名注冊商和網絡服務提供商，以服務右翼客戶而聞名。由于客戶托管的令人反感。且有時是非法的內容，其中一些已被更主流的IT提供商拒絕。

在本月德克薩斯心跳法案簽署成為法律后，Anonymous組織開始了名為Operation Jane的活動。限制性墮胎法允許個人（不一定是政府機構或警察）執行為期六周的墮胎禁令。根據該法案，任何德克薩斯州居民都可以對任何實施或幫助協助非法墮胎的人提起民事訴訟，并要求至少10,000美元的損失賠償。

記者Steven Monacelli發現了Anonymous組織的“新聞稿”。

數據集中包括各種SQL數據庫，其中包含與Epik托管的每個域名相關聯的客戶記錄。其中泄露數據集的一小部分包括Epik員工郵箱，其中包含Epik首席執行官Rob Monster的信件。DDoSecrets還通過其他方式提供了數據集。

Epik表示，“我們不知道有任何違規行為。我們非常重視客戶數據的安全性，我們正在調查指控?！?/span>

Anonymous還篡改了Epik的知識庫，以嘲笑該公司否認違規行為?！?021年9月13日，一群自稱為Anonymous的孩子說，他們設法得到了我們所有的數據，然后將其發布。修改后的知識庫如存檔副本所示。他們聲稱包括所有用戶數據，包括用戶名、密碼、電子郵件、支持查詢、破壞我們擁有的所有服務。當然這不是真的，我們不會愚蠢到讓這種情況發生?！?/span>

知識庫頁面最后諷刺地說，“這是我們自己寫的，這顯然不是被黑賬戶的一部分?！盓pik隨后刪除了該頁面。

參考來源：ARSTechnica http://33h.co/w17p5

 

（八）南非國家航天局披露公共FTP服務器數據泄露

南非國家航天局(SANSA)證實，其知道自2021年9月6日以來在網上流傳的數據，但聲稱共享的包中沒有任何敏感信息。相反，被公開的被盜信息大多是研究文件，不會影響任何員工，也不會危及該機構的任何項目。此外，SANSA還澄清表示，他們沒有遭受網絡入侵，文件轉儲是由一個公共FTP服務器接收的，該服務器過去曾用于共享非敏感文件。

該機構刪除了對該服務器的訪問權限，通知了南非數據保護監管機構，并正在通知受影響的各方。大部分是在2016年向中介機構提交了一些PII的學生申請者，其他文件和論文都是研究材料和雜項文件。SANSA表示，他們已經向存儲被盜數據的網站發送了刪除請求。

值得注意的是，RaidForums是一個流行的明網黑客空間，大多數公開數據泄露遲早都會在這里公布?？偠灾?，16GB的被盜數據現在已經公開，并將繼續被傳播和轉載。

DarkTracer還在CoomingProject泄密門戶網站上找到了另一篇帖子，將SANSA列為受害者。目前尚不清楚該團伙是否威脅在RF上發布的內容之外泄露更多數據。不過，到目前為止，還沒有任何證據表明任何機密或敏感數據是由任何泄密來源在網上發布的。

SANSA在聲明最后表示，沒有進一步試圖訪問其系統或數據，沒有針對它們的勒索軟件攻擊，也沒有提出任何要求。因此，這看起來像是對公開數據偶發的外泄，所以雖然這肯定是航天局的一個錯誤，但看起來并沒有什么太嚴重的事情。不過，如果你是2016年在這里申請的，要警惕網絡釣魚和詐騙郵件。

參考來源：TechNadu http://33h.co/wv81f

 

（九）南非司法和憲法發展部遭受勒索軟件攻擊

南非司法和憲法發展部遭到勒索軟件攻擊，導致保釋服務癱瘓。這一事件沒有影響當月的兒童撫養費，因為撫養費已等到出路。該部門聲稱，勒索軟件運營商沒有竊取任何數據。

該部門透露，安全漏洞發生在9月6日，資訊科技人員通知執法部門，并正與他們合作，盡快恢復運作。

發言人在聲明中表示，這導致所有信息系統都被加密，內部員工和公眾都無法訪問。因此該部門提供的所有電子服務，包括發出授權書、保釋服務、電郵及本署網站，均受到影響。

總檢察長辦公室正在使用一種手動程序，為需要埋葬親人的遺屬提供必要的文件。目前還沒有披露感染其系統的勒索軟件家族。

參考來源：SecurityAffairs http://33h.co/wv8is

 

（十）以色列巴伊蘭大學拒絕支付250萬美元贖金，導致大量數據泄露

在以色列巴伊蘭大學拒絕支付黑客索要的約250萬美元贖金后，數十萬份包含巴伊蘭大學學生和講師個人詳細信息的文件和名單在網上泄露。

網絡攻擊大約發生在三周前，名為darkrypt的黑客勒索贖金。在Shin Bet安全機構和國家網絡局的建議下，以色列中部大學進行了談判，但沒有付款。

該學校沒有支付這筆錢，因此黑客在網站和Telegram群組中泄露了研究、實驗室文件、論文和包含數千人個人信息的列表，總計約20 TB。

據Ynet新聞網站報道，包括支付系統在內的在線巴伊蘭系統已經崩潰，但該大學表示這與網絡攻擊無關，將在數小時內修復。

據稱一些學生的詳細信息被泄露，且在線密碼被更改，并將他們鎖定在某些系統之外，因此他們計劃起訴這所大學。

參考來源：TheTimesOfIsrael http://33h.co/wfdrq

 

（十一）舊版IBM System X服務器存在高危漏洞

IBM于2020年停產的兩款舊版的旗艦服務器機型將不會因命令注入漏洞而打補丁。

聯想表示，2019年停產的兩款舊版IBM System X服務器機型容易受到攻擊，并且不會收到安全補丁。然而，該公司正在提供緩解措施。

IBM System x 3550 M3和IBM System x 3650 M3這兩個型號都容易受到命令注入攻擊。該漏洞使得攻擊者能夠通過名為集成管理模塊(IMM)的易受攻擊的應用程序在任一服務器型號的操作系統上執行任意命令。

IMM用于系統管理功能。在System x型號的背板上，串行和以太網連接器使用IMM進行設備管理。根據聯想發布的公告，該漏洞存在于IMM固件代碼中，可能允許通過認證的SSH或Telnet會話執行操作系統命令。

SSH或Secure Shell是一種加密網絡通信協議，允許兩臺計算機通信或共享數據。Telnet是另一種網絡協議，允許遠程用戶登錄到同一網絡上的另一臺計算機。默認情況下，Telnet不會加密通過其連接發送的數據。

該漏洞編號為CVE-2021-3723，是由Denver Abrey發現的。

2020年6月，IMM最新版本(稱為im2)中發現了8個漏洞，其中3個是高危漏洞。這些錯誤與負責實現SSH2協議(稱為libssh2)的客戶端代碼中的漏洞有關。

System x 3550 M3和System x 3650 M3都是作為中型企業解決方案于2011年4月5日推出的。2015年6月30日，聯想宣布這兩個系統都已停產，但將在5年內接受安全更新。

根據聯想安全公告，系統x 3550和3650的軟件和安全支持截至2019年12月31日。聯想建議停止使用這兩臺服務器，但提供了緩解策略：

1、禁用SSH和Telnet。登錄IMM web界面后，可以在導航窗格的安全與網絡協議部分進行操作，；

2、初始化配置時，修改管理員默認密碼；

3、強制執行強密碼；

4、僅將訪問權限授予受信任的管理員。

參考來源：ThreatPost http://33h.co/wv8r5

 

（十二）威脅組織TeamTNT開展新攻擊活動Chimaera，攻擊全球數千組織

AT&T的Alien Labs研究人員發現，威脅組織TeamTNT發起了一項針對多個操作系統和應用程序的新攻擊活動Chimaera，該活動使用多個shell/批處理腳本、新的開源工具、加密貨幣礦工、TeamTNT IRC機器人等。

Alien Labs研究表明，這個新發現的活動中使用的命令和控制(C&C)服務器包含感染統計數據，表明TeamTNT自2021年7月25日以來一直在運行此活動，在短短幾個月內就造成了全球數千例感染。

TeamTNT正在使用新的開源工具從受感染的機器上竊取用戶名和密碼。

該組織攻擊目標包括各種操作系統，包括Windows、不同的Linux發行版，包括Alpine（用于容器）、AWS、Docker和Kubernetes。該運動已經活躍了大約一個月，導致全球數千例感染。截至2021年8月30日，許多惡意軟件樣本的防病毒(AV)檢測率仍然為零，而其他惡意軟件樣本的檢測率較低。

自2020年中以來，TeamTNT一直是最活躍的威脅組織之一，活動通常使用開源工具進行惡意活動。部分導入工具列表包含：

1、Masscan和端口掃描程序，以搜索新的感染候選者；

2、libprocesshider用于直接從內存中執行機器人；

3、7z解壓下載的文件；

4、b374k shell是一個php web管理員，可用于控制受感染的系統；

5、Lazagne是一種適用于多種Web操作系統的開源工具，用于從眾多應用程序中收集存儲的憑據。

 

2021年7月，TeamTNT開始使用新工具運行Chimaera活動，并首次在其網站上公開發布感染統計數據。目前Alien Labs分析的許多樣本在VirusTotal上的檢測率為零或很低。然而防御者可以主動強化他們的系統，國家安全局(NSA)和CISA在今年8月發布了“Kubernetes強化指南”，防御者可參考本指南，以了解如何更好地防御類似TeamTNT使用的攻擊。

參考來源：AT&T http://33h.co/wf75k

 

（十三）OMIGOD零日漏洞使Azure用戶面臨風險

在9月份的補丁星期二，微軟修復了開放管理基礎設施(OMI)軟件代理中存在的四個零日漏洞，統稱為OMIGOD，這些漏洞可使Azure用戶受到攻擊。這四個漏洞為：CVE-2021-38647以root身份未經身份驗證的RCE漏洞(CVSS 9.8分)、CVE-2021-38648權限提升漏洞(CVSS 7.8分)、CVE-2021-38645權限提升漏洞Wiz研究團隊報告了這些漏洞，攻擊者可利用OMIGOD漏洞遠程執行代碼或提升Azure上運行的易受攻擊的Linux虛擬機的權限。研究人員估計，數以千計的Azure客戶和數百萬個端點可能面臨攻擊風險。(CVSS 7.8分)、CVE-2021-38649權限提升漏洞(CVSS 7.0分)。

Wiz的研究報告表示，“當客戶在云中設置Linux虛擬機時，當他們啟用某些Azure服務時，OMI代理會在不知情的情況下自動部署。除非打上補丁，否則攻擊者很容易利用這四個漏洞升級為root權限，并遠程執行惡意代碼，如加密文件以獲取贖金。我們將這四個零日漏洞命名為OMIGOD，因為這是我們發現它們時的反應。我們保守估計數以千計的Azure客戶和數百萬個端點受到影響。在我們分析的一小部分Azure租戶樣本中，超過65%的租戶在不知不覺中處于危險之中?！?/span>

OMI是一個用C編寫的開源項目，允許用戶跨環境管理配置，它用于各種Azure服務，包括Azure自動化及Azure Insights。

最嚴重的漏洞是CVE-2021-38647遠程代碼執行漏洞，CVSS得分為9.8。未經身份驗證的遠程攻擊者可以通過HTTPS向偵聽易受攻擊系統上的OMI的端口發送特制消息來利用此漏洞。

研究人員表示，“使用單個數據包，攻擊者只需刪除身份驗證標頭即可成為遠程機器上的root用戶，就這么簡單。由于簡單的條件語句編碼錯誤和未初始化的auth結構的組合，任何沒有授權標頭的請求的權限默認為uid=0、gid=0，即root。當OMI對外暴露HTTPS管理端口(5986/5985/1270)時，此漏洞允許遠程接管?！?/span>

Microsoft發布了修補的OMI版本1.6.8.1，為了降低利用CVE-2021-38647 RCE漏洞進行攻擊的風險，微軟建議限制對OMI偵聽端口5985、5986、1270的網絡訪問。

參考來源：SecurityAffairs http://33h.co/w1zmg

 

（十四）Bitdefender發布REvil勒索軟件免費解密程序

網絡安全公司Bitdefender與值得信賴的執法合作伙伴合作，發布了REvil勒索軟件免費解密程序，適用于7月13日之前被REvil勒索軟件加密的所有受害者。

今年7月13日，REvil的部分基礎設施下線，導致未支付贖金的受感染受害者無法恢復其加密數據。該解密工具現在將為這些受害者提供收回對其數據和資產的控制權的能力。Bitdefender沒有分享如何獲得主解密密鑰或所涉及的執法機構的詳細信息。

Bitdefender威脅研究和報告主管Bogdan Botezatu表示，“根據我們的博客文章，我們從一個值得信賴的執法合作伙伴那里收到了密鑰。不幸的是，這是我們現在可以自由披露的唯一信息。一旦調查取得進展并結束，將在批準后提供更多細節?！?/span>

REvil勒索軟件受害者可以從Bitdefender下載主解密程序，并立即解密整個計算機，或指定要解密的特定文件夾。

為了測試解密程序，研究人員使用今年早些時候攻擊中使用的REvil樣本加密了一臺虛擬機。加密文件后，可以使用Bitdefender的解密程序輕松恢復文件。

REvil勒索軟件又名Sodinokibi，被認為是現已“退休”的勒索軟件組織GandCrab的更名或繼任者。自2019年推出以來，REvil對知名公司進行了多次攻擊，包括JBS、Coop、Travelex和Grupo Fleury。最后，在7月2日使用Kaseya零日漏洞的大規模攻擊中，勒索軟件組織加密了全球60家托管服務提供商和1,500多家企業。

 

      在面臨國際執法部門的嚴密審查以及俄羅斯和美國之間日益加劇的政治緊張局勢后，REvil于7月13日突然停止運營并消失了。當REvil被關閉時，Kaseya神秘地收到了主解密程序，允許MSP及其客戶免費恢復文件。

Bitdefender表示，在7月13日之前遭受REvil加密的受害者可以使用此解密程序，因此勒索軟件操作的消失可能與此次執法調查有關。Kaseya獲得針對其客戶進行攻擊的REvil主解密密鑰也可能與同意調查有關。

雖然REvil在本月早些時候又開始攻擊受害者，但這款解密程序的發布對于在勒索軟件團伙消失后選擇不付款或根本無法付款的現有受害者來說是一個巨大的福音。

參考來源：BLeepingComputer http://33h.co/w1jjd

 

（十五）持續集成供應商Travis CI泄露數千用戶機密數據

德國持續集成供應商Travis CI修補了一個嚴重漏洞CVE-2021-41077，該漏洞暴露了簽名密鑰、API密鑰和訪問憑證，可使數千個組織面臨風險。Travis CI建議組織應立即更改其機密。鑒于潛在影響，該公司因沒有詳細地描述安全問題而受到批評。

以太坊加密貨幣項目的團隊負責人Péter Szilágyi在推特上表示，“任何人都可以泄露這些秘密，并橫向移動到1000多個組織中?！痹撀┒从蒄elix Lange發現，并于9月7日向Travis CI報告。Travis CI表示從9月3日開始修補這個問題，這表明它在收到通知之前已經發現了這個問題，但時間表尚不清楚。

持續集成測試是開發人員確保其軟件構建能夠跨不同系統環境運行的過程。截至2018年，約有90萬個開源項目正在使用Travis CI。根據Travis CI的解釋，該漏洞的影響意味著，如果公共存儲庫被分叉，有人可以提交拉取請求，然后訪問附加到原始公共存儲庫的機密。

澳大利亞軟件開發人員Patrick Dwyer表示，“Travis CI的文檔表明，機密不應該對外部拉取請求可用。Travis CI肯定存在了一個漏洞，并使這些秘密公開?！?/span>

澳大利亞軟件和DevOps工程師Geoffrey Huntley表示，Travis CI的漏洞對軟件開發人員和任何使用來自使用Travis CI的項目的軟件的組織構成了供應鏈風險?！皩τ贑I提供者來說，泄露機密就是泄露源代碼，這是你永遠不想做的最糟糕的事情之一?！?/span>

Travis CI發布了一個安全公告，但有些人認為鑒于漏洞的嚴重性，這還不夠。Szilágyi在一條推文中聲稱Travis CI低估了這個問題，并默默地修補了它。

Travis CI在其網站上的兩個地方提到了該漏洞。第一個是在其博客上，標題為安全公告，內容只有兩句話，“作為支持團隊的提醒，所有用戶都應該按照公司的安全流程定期循環秘密。如果您不確定如何執行此操作，請聯系支持人員，我們很樂意為您提供幫助?！?/span>

此外Travis CI在社區論壇上發布了包含更多細節的帖子。但Travis CI似乎并沒有警告組織如何檢測他們的秘密是否被盜。

Dwyer表示，組織可以審查他們最近的拉取請求，看看它們中是否有任何可疑的。但是Travis CI的稀疏通知并沒有提供很多指導。Immersive Labs首席應用程序安全SME負責人Sean Wright表示，Travis CI應該執行審計，以確定誰受到此漏洞的影響，并通知這些組織。

參考來源：InfoRiskToday http://33h.co/w1u2b

 

（十六）美國密蘇里州Delta醫療中心遭受Hive勒索軟件攻擊

美國密蘇里州Delta醫療中心(MDMC)遭受了Hive勒索軟件攻擊。然而，到目前為止，MDMC對攻擊守口如瓶，并沒有證實或否認這一說法。

Hive聲稱在8月23日加密了MDMC的文件，并竊取了95000名患者完整信息，包括姓名、生日、社會安全號、地址、電話、郵編、性別、種族、醫療診斷信息等，以及患者及員工的財務信息，共計400 GB。

9月10日晚上，Hive發布了據稱來自MDMC的數據。對數據的檢查證實了這一說法，即數據來自MDMC。威脅行為者發布了兩個屏幕截圖，其中一個是健康信息，還有一個10GB的轉儲文件，轉儲文件中包含多年前的帶有PII和PHI的文件夾。

轉儲中的一個目錄有62個文件夾，暴力牌每天的許可數據。每個文件夾包含多個日期。每天的登記表上都有入院日期、病人姓名、賬號、診斷、住的房間和床號，以及入院醫生。這些文件夾的日期從2006年到2013年不等。

泄露的數據還包括其他辦理保險帳單及其他事項。研究人員確定這些數據確實來自MDMC或與他們的病人有關，并不是轉儲文件中的所有文件夾都有實際內容。

Hive的轉儲文件已經發布在一個流行的文件共享網站上，似乎很快就被刪除了，但是如果周五被轉儲的文件只有Hive聲稱的400GB轉儲文件中的10GB，那么可能還會有更多的內容，盡管它不一定是個人身份信息或受保護的健康信息。數據也可能不是來自MDMC的系統，而是來自業務伙伴或供應商的系統，但在MDMC做出響應之前，數據將不清楚。但是有些文件看起來像是病人文件，上面滿是MDMC的名稱和徽標。

DataBreaches.net于11日通知MDMC，盡管他們對多次詢問都沒有任何回應，但該網站將公布這一泄密事件，因為患者數據正在被轉儲，患者需要得到警告，以便他們采取措施保護自己。

參考來源：DataBreaches http://33h.co/w10rh

 

（十七）惠普OMEN驅動軟件漏洞影響數百萬臺游戲電腦

數百萬HP OMEN筆記本電腦和臺式機游戲電腦面臨高度嚴重漏洞的攻擊，該漏洞可使威脅參與者觸發拒絕服務狀態或提升權限并使安全解決方案失效。該安全漏洞CVE-2021-3437是在預裝在所有惠普OMEN臺式機和筆記本電腦上的Omen Gaming Hub軟件使用的驅動程序中發現的。

CVE-2021-3437是由于HP選擇使用部分復制自開源驅動程序WinRing0.sys的易受攻擊的代碼來構建HpPortIox64.sys驅動程序造成的，OMEN Gaming Hub軟件使用該驅動程序來讀/寫內核內存、PCI配置、IO端口和特定型號的寄存器(MSR)。

Omen游戲中心可以通過超頻、針對各種游戲配置文件優化系統設置、調整游戲設備和配件的照明等功能來提升玩家的游戲體驗。

該軟件也可以從微軟商店下載，并安裝在任何帶有惠普OMERN品牌外設配件的Windows 10電腦上，全球數百萬臺個人電腦都會受到該漏洞的影響。

SentinelOne研究人員表示，“一個可被利用的內核驅動程序漏洞可能會導致一個未經授權的用戶訪問系統，因為任何人都可以在本地使用易受攻擊的驅動程序。如果利用此嚴重漏洞，計算機上的任何用戶(即使沒有權限)都可以提升權限并在內核模式下運行代碼。一旦攻擊者獲得了目標HP OMERN設備上的系統權限，他們就可以輕松地禁用安全產品、用惡意負載覆蓋系統組件、破壞底層操作系統或執行他們選擇的任何其他惡意任務?！?/span>

受此漏洞影響的軟件產品包括:

1、HP OMEN游戲中心11.6.3.0之前的版本；

2、HP omen Gaming Hub SDK 1.0.44之前的軟件包。

惠普已于7月27日通過Microsoft應用商店發布了針對此高度嚴重漏洞的修補程序，并在早些時候發布了安全警告。

SentinelOne還在14日的報告中分享了他們的發現，警告用戶更新軟件，并防范使用CVE-2021-3437漏洞的攻擊者。

SentinelOne警告表示，“雖然到目前為止，我們還沒有看到任何跡象表明這些漏洞已被廣泛利用，但使用任何帶有OMEN Gaming Hub使用的易受攻擊的驅動程序的OMEN品牌PC都會使用戶容易受到攻擊。因此，我們敦促OMEN PC用戶確保他們立即采取適當的緩解措施?！?/span>

參考來源：BleepingComputer http://33h.co/wvetn

 

（十八）針對Chrome的新測信道攻擊Spook.js可繞過站點隔離保護

新發現的針對Google Chrome瀏覽器的旁路攻擊可能允許攻擊者使用Spectre攻擊繞過Web瀏覽器的安全保護并提取敏感信息。Spook.js是一種專門針對Chrome的新型瞬時執行側通道攻擊。盡管谷歌努力通過安裝嚴格的站點隔離來最小化Spectre，但惡意JavaScript代碼在某些情況下仍然可以提取信息。

攻擊者控制的網頁可以獲知用戶當前正在查看同一網站中的哪些其他頁面，從這些頁面收集敏感信息，甚至恢復自動填寫的登錄憑據，例如用戶名和密碼。如果用戶下載惡意擴展，攻擊者可能會從Chrome擴展(如憑據管理器)獲取數據。

Spectre在2018年成為全球新聞，利用當代CPU優化功能中的漏洞來繞過安全措施，這些安全措施禁止不同的程序訪問彼此的內存空間。這使得攻擊者能夠通過攻擊不同的應用程序和進程與處理器和片上存儲器的交互方式，竊取多個網站的敏感信息，從而允許對不同類型的應用程序(包括網絡應用程序)進行廣泛的攻擊。

Google Chrome實現了嚴格的站點隔離，禁止多個網頁共享同一進程。它還將每個進程的地址空間劃分為單獨的32位沙箱，盡管是64位應用程序。

站點隔離是Chrome的一項安全功能，可針對某些類型的安全漏洞提供額外保護。這使得不值得信任的網站更難訪問或竊取您在其他網站上的帳戶的信息。

密歇根大學、阿得雷德大學、喬治亞理工學院和特拉維夫大學的研究人員表示，盡管有這些保障措施Sooj.js，但這些措施不足以保護用戶免受基于瀏覽器的投機性攻擊。

研究人員表示，“更具體地說，我們展示了Chrome的嚴格站點隔離實施基于其eTLD+1域整合網頁，允許攻擊者控制的頁面從其他子域的頁面中提取敏感信息。接下來，我們還將展示如何繞過Chrome的32位沙箱機制。我們通過使用類型混淆攻擊來實現這一點，該攻擊暫時強制Chrome的JavaScript引擎對錯誤類型的對象進行操作。Web開發人員可以立即將不受信任的、用戶提供的JavaScript代碼與其網站的所有其他內容分開，將所有用戶提供的JavaScript代碼托管在具有不同eTLD+1的域中。通過這種方式，Strict Site隔離不會將攻擊者提供的帶有潛在敏感數據的代碼整合到同一個進程中，即使對于Spook.js來說，數據也是遙不可及的，因為它不能跨越進程邊界?！?/span>

參考來源：EHackingNews http://33h.co/wvxu5

 

（十九）新的Zloader攻擊針對德國和澳大利亞的金融行業

正在進行的Zloader攻擊活動使用一種新型感染鏈在受害者的計算機上禁用Microsoft Defender Antivirus來以逃避檢測。根據微軟統計數據，Microsoft Defender Antivirus是預裝在運行Windows 10的10億多個系統上的反惡意軟件解決方案。

攻擊者還將惡意軟件的傳遞媒介從垃圾郵件或釣魚電子郵件更改為通過Google Adword發布的TeamViewer Google廣告，將目標重定向到虛假下載網站。從那里，他們被誘騙下載簽名和惡意MSI安裝程序，這些安裝程序旨在在他們的計算機上安裝Zloader惡意軟件有效載荷。

SentinelLabs安全研究人員Antonio Pirozzi和Antonio Cocomazzi在研究報告中表示，“這項研究中分析的攻擊鏈表明，為了達到更高的隱蔽性，攻擊的復雜性是如何增加的。第一階段的Dropper已經從經典的惡意文檔變成了隱形的、簽名的MSI有效載荷。它使用反向二進制文件和一系列LOLBA來破壞防御，并代理它們有效載荷的執行?！?/span>

Zloader也稱為Terdot和DELoader，是一種銀行業特洛伊木馬程序，最初發現于2015年8月，當時它被用來攻擊幾個英國金融目標的客戶。與Zeus Panda和Floki Bot一樣，該惡意軟件幾乎完全基于十多年前在線泄漏的Zeus v2特洛伊木馬源代碼。

銀行特洛伊木馬的目標是從澳大利亞、巴西到北美的世界各地的銀行，試圖通過網絡注入獲取金融數據，這些網絡注入利用社會工程來說服受感染的客戶分發授權碼和憑據。

最近，它還被用于交付勒索軟件有效載荷，如Ryuk和Egregor。Zloader還具有后門和遠程訪問功能，還可以用作惡意軟件加載程序，在受感染的設備上進一步刪除有效負載。

根據SentinelLabs的研究，這一最新活動主要針對德國和澳大利亞銀行機構的客戶。

參考來源：BleepingComputer http://33h.co/wv85b

 

（二十）GetHealth因數據庫配置錯誤泄露6000萬多條用戶記錄

一個包含超過6100萬條與可穿戴技術和健身服務相關的記錄的不安全數據庫被暴露在網上。9月13日，WebsitePlanet與網絡安全研究員Jeremiah Fowler表示，該數據庫屬于GetHealth。

總部位于紐約的GetHealth是一家“從數百種可穿戴設備、醫療設備和應用程序獲取健康數據的統一解決方案”，該公司的平臺能夠從Fitbit、Misfit Wearables、Microsoft Band、Strava和Google Fit等來源獲取與健康相關的數據。

2021年6月30日，該團隊在網上發現了一個沒有密碼保護的數據庫。研究人員表示，數據庫中包含了超過6100萬條記錄，其中包括大量的用戶信息，其中一些可以被認為是敏感的，例如姓名、出生日期、體重、身高、性別和GPS日志，以及其他數據集。

研究人員發現，在對一組大約20,000條記錄進行抽樣以驗證數據時，大多數數據來源來自Fitbit和蘋果的HealthKit。這些信息是純文本的，而ID似乎是加密的。地理位置的結構與美國/紐約、歐洲/都柏林相似，顯示用戶分布在世界各地。這些文件還顯示了數據存儲的位置，以及網絡如何從后端運行和配置的藍圖。

其中有16.71 GB數據引用了GetHealth，表明該公司是潛在的所有者，一旦發現當天的數據被驗證，Fowler就私下將他的發現通知了該公司。GetHealth反應迅速，系統在幾個小時內就得到了保護。同一天，該公司的首席技術官表示，安全問題現在已經解決了，并感謝了這位研究人員。

目前還不清楚這些記錄暴露了多久，也不清楚還有誰可能訪問過數據集，在數據庫被禁止公眾訪問之前，還無法確定受影響的確切人數。

參考來源：ZDNet http://33h.co/wv8m8

 

（二十一)電信運營商MyRepublic泄露八萬用戶個人數據

MyRepublic是一家亞太電信運營商和互聯網服務提供商，在新加坡、新西蘭和澳大利亞開展業務。MyRepublic Singapore于9月10日披露，其在2021年8月29日發現了一起未經授權的數據訪問事件，并已采取行動支持其客戶降低任何可能的風險。未經授權的數據訪問發生在用于存儲MyRepublic移動客戶個人數據的第三方數據存儲平臺上。目前對數據存儲設施的未授權訪問已得到保護，事件已得到控制。

MyRepublic已將此問題通知Infocomm媒體發展局和個人數據保護委員會，并將繼續與這些當局合作。MyRepublic還啟動了其網絡事件響應團隊，其中包括新加坡畢馬威等外部專家顧問團隊，與MyRepublic的內部IT和網絡團隊密切合作以解決事件。

MyRepublic首席執行官Malcolm Rodrigues表示，“在MyRepublic，客戶的隱私和安全對我們非常重要。與您一樣，我們對所發生的事情感到失望，對于由此造成的任何不便，我個人深表歉意。我和我的團隊與相關當局和專家顧問密切合作，以確保和控制事件的發生，我們將繼續支持受影響的客戶的每一步，幫助他們解決這個問題?！?/span>

根據MyRepublic的調查，未經授權的訪問影響了新加坡的79,388名移動用戶。受影響的數據存儲平臺包含與客戶移動服務應用相關的身份驗證文件，包括：

1、對于受影響的新加坡公民、永久居民以及就業和受撫養人準證持有人：身份證正反面的掃描件；

2、對于受影響的外國人：住址證明文件，例如水電費賬單的掃描件；

3、對于現有移動服務的受影響客戶：姓名和手機號碼。

沒有跡象表明其他個人數據受到影響，例如帳戶或付款信息。MyRepublic系統沒有受到損害，MyRepublic的服務沒有運行影響。MyRepublic將通過新加坡信用局(CBS)向所有受影響的客戶提供使用免費信用監控服務的提議。

Rodrigues補充表示，“雖然沒有證據表明任何個人數據被濫用，但作為預防措施，我們正在聯系可能受到影響的客戶，讓他們了解情況，并為他們提供任何必要的支持。我們還在審查所有內部和外部系統和流程，以確保此類事件不再發生?！?/span>

參考來源：MyRepublic http://33h.co/wf8ks

 

（如未標注，均為天地和興工業網絡安全研究院編譯）