目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）Linux惡意挖礦軟件新變體攻擊華為云

第二章國外關鍵信息基礎設施安全動態

（一）西門子和施耐德電氣修復了50多個漏洞

（二）霍尼韋爾Experion PKS和ACE控制器存在多個嚴重漏洞

（三）InHand路由器漏洞使許多工業公司面臨遠程攻擊

（四）江森自控旗下ExacqVision視頻監控系統嚴重漏洞可導致遠程攻擊

（五）英國工程巨頭Weir集團遭受勒索軟件攻擊

（六）以色列國防公司EMIT遭受LockBit 2.0勒索軟件攻擊

（七）伊朗APT組織DEV-0343攻擊美國和以色列國防公司

（八）新APT組織ChamelGang攻擊俄羅斯能源及航空組織

（九）APT組織MalKamak以航空航天和電信公司為目標

（十）新加坡以OT技術為重點調整網絡安全戰略

（十一）Facebook及其子公司在全球范圍內同時宕機

（十二）白宮召集30多國召開國際反勒索軟件會議，中俄沒有參加

（十三）CISA發布針對政府機構的遠程訪問指南

（十四）美敦力胰島素泵遙控器因嚴重風險被召回

（十五）威脅組織SnapMC在可30分鐘內進行快速勒索

（十六）美國數字無線運營商Visible的客戶賬號遭黑客入侵

（十七）厄瓜多爾最大私人銀行Banco Pichincha遭受網絡攻擊

（十八）奧林巴斯美國IT系統因網絡攻擊被迫關閉

（十九）勒索軟件組織FIN12活躍攻擊醫療保健行業

（二十）全球最大連鎖酒店之一Meliá遭受網絡攻擊

（二十一）美國媒體集團CMG遭勒索軟件攻擊后中斷了廣播

（二十二）日本跨國電子公司JVCKenwood遭受Conti勒索軟件攻擊

（二十三）巴西電子商務公司因錯誤配置泄露了近18億條記錄

 

 

第一章 國內關鍵信息基礎設施安全動態

（一）Linux惡意挖礦軟件新變體攻擊華為云

一個Linux加密挖掘惡意軟件的新版本曾在2020年用于攻擊Docker容器，現在它的重點是華為云等新的云服務提供商。

TrendMicro的研究人員對新活動進行了分析，解釋了惡意軟件是如何在保留原有功能的同時發展出新功能的。更具體地說，新樣本注釋掉了防火墻規則創建功能，并繼續刪除網絡掃描器以映射其他主機與API相關的端口。然而，新的惡意軟件版本只針對云環境，現在正在尋找并刪除任何其他可能感染系統的加密腳本。

當感染Linux系統時，惡意的coinminer將執行以下步驟，其中包括刪除競爭對手密碼挖掘惡意軟件分銷商創建的用戶。

為了確保在設備上保持持久性，攻擊者使用自己的ssh-RSA密鑰進行系統修改，并將文件權限更改為鎖定狀態。這意味著，即使其他參與者在未來獲得訪問該設備的權限，他們也無法完全控制這臺脆弱的機器。參與者安裝Tor代理服務來保護通信不受網絡掃描檢測和審查，通過它通過所有連接進行匿名化。

在刪除其他威脅參與者創建的用戶后，參與者添加自己的用戶，這是許多以云為目標的加密黑客的常見步驟。然而，與許多其他加密軟件不同的是，惡意軟件將他們的用戶帳戶添加到sudoers列表中，使他們能夠訪問設備的root權限。

在獲得一個設備的立足點后，黑客的腳本將利用遠程系統，并用惡意腳本和密碼器感染它們。在這次攻擊中掃描到的已知漏洞包括：
被刪除的二進制文件(“linux64_shell”、“ff.sh”、“fczyo”、“xlinux”)具有一定程度的混淆特性，TrendMicro已經發現了UPX包裝器被部署用于包裝的跡象。攻擊者已經通過進一步的篡改，根據自動分析和檢測工具集調整二進制文件的隱蔽性。

1、SSH弱密碼；

2、Oracle Fusion中間件（CVE-2020-14882）的Oracle WebLogic Server產品中存在漏洞；

3、Redis未經授權的訪問或弱密碼；

4、PostgreSQL未經授權的訪問或弱密碼；

5、SQLServer弱密碼；

6、MongoDB未經授權的訪問或弱密碼；

7、文件傳輸協議（FTP）弱密碼。

華為云是一項相對較新的服務，但該公司表示其已經為300多萬客戶提供服務。趨勢科技已經向華為通報了這一活動，但尚未收到回應。自今年年初以來，這些以云為目標的加密礦工一直在增加，只要加密價值不斷飆升，參與者就會有動機讓它們變得更強大、更難以檢測。

參考來源：BleepingComputer http://33h.co/98q5k

 

 

第二章 國外關鍵信息基礎設施安全動態

（一）西門子和施耐德電氣修復了50多個漏洞

工業巨頭西門子和施耐德電氣10月12日共計發布了11份安全公告，涉及影響其產品的總共50多個漏洞，這兩家公司已發布了補丁和緩解措施來解決這些漏洞。

西門子發布了五個新公告，涵蓋33個漏洞。其SINEC網絡管理系統的更新修補了15個漏洞，包括可用于執行任意代碼的漏洞。雖然其中一些漏洞為高危漏洞，但利用此漏洞需要身份驗證。

針對其基于SCALANCE W1750D控制器的直接接入點，西門子發布了涵蓋15個漏洞的補丁和緩解措施，其中包括允許遠程未經身份驗證的攻擊者在底層操作系統上引發DoS條件或執行任意代碼的嚴重漏洞。W1750D是來自Aruba的帶有品牌標簽的設備，大部分缺陷都存在于ArubaOS操作系統中。

西門子還通知客戶SIMATIC Process Historian中存在一個嚴重的身份驗證漏洞。攻擊者可以利用該漏洞插入、修改或刪除數據。

另外兩個公告解決了SINUMERIK控制器和RUGGEDCOM ROX設備中的高嚴重性拒絕服務(DoS)漏洞。對于RUGGEDCOM設備，未經身份驗證的攻擊者可能會在某些情況下導致永久性DoS條件。

另一個公告描述了影響施耐德IGSS SCADA系統的兩個嚴重漏洞、一個高危漏洞及一個中危漏洞。最壞的利用場景“可能導致攻擊者在生產中運行IGSS的機器上獲得對Windows操作系統的訪問權限?！?/span>

施耐德電氣發布了六個新公告，涉及20個漏洞。其中一份公告描述了11個Windows漏洞對公司Conext太陽能發電廠產品的影響。微軟在2019年和2020年修補了這些安全漏洞，其中許多漏洞均為嚴重或高危漏洞。

施耐德還向用戶通報了影響spaceLYnk、Wiser For KNX和ellerLYnk產品的高危信息泄露漏洞，以及ConneXium網絡管理器軟件中的高危命令執行漏洞。

最后一個公告描述了兩個AMNESIA:33漏洞對Modicon TM5模塊的影響。AMNESIA:33是去年在四個開源TCP/IP堆棧中發現的33個漏洞的名稱。

參考來源：SecurityWeek http://33h.co/9ezmr

 

 

（二）霍尼韋爾Experion PKS和ACE控制器存在多個嚴重漏洞

美國網絡安全和基礎設施安全局(CISA)10月5日發布了關于影響霍尼韋爾Experion Process Knowledge System C200、C200E、C300和ACE控制器所有版本的多個安全漏洞的公告，這些漏洞可被用來實現遠程代碼執行和拒絕服務(DoS)攻擊。

霍尼韋爾在今年2月初發布的獨立安全通知中指出，“控制組件庫(CCL)可能會被不良行為者修改并加載到控制器中，從而使控制器執行惡意代碼?！惫I網絡安全公司Claroty的Rei Henigman和Nadav Erez發現并報告了這些漏洞。

Experion Process Knowledge System(PKS)是一種分布式控制系統(DCS)，旨在控制從石化煉油廠到核電站等高可靠性和這三個漏洞為：

安全性非常重要的多個部門的大型工業過程。

1、CVE-2021-38397(CVSS得分10.0)，不受限制地上傳危險類型的文件；

2、CVE-2021-38395(CVSS得分9.1)，下游組件使用的輸出中特殊元素的中和不正確；

3、CVE-2021-38399(CVSS得分：7.5)，相對路徑遍歷。

根據Claroty的說法，該問題存在于下載代碼過程中，該過程對于對控制器中運行的邏輯進行編程至關重要，從而使攻擊者能夠模仿該過程并上傳任意CLL二進制文件。研究人員Henigman和Erez表示，“該設備在不執行檢查或消毒的情況下加載可執行文件，使攻擊者能夠在不經過身份驗證的情況下遠程上傳可執行文件和運行未經授權的本地代碼?！?/span>

簡而言之，成功利用這些漏洞可能允許惡意方訪問未經授權的文件和目錄，更糟糕的是，遠程執行任意代碼并造成拒絕服務條件。為了防止將帶有惡意代碼的修改后的CCL加載到控制器，霍尼韋爾通過對每個在使用前經過驗證的CCL二進制文件進行加密簽名，加入了額外的安全增強功能。

建議用戶盡快更新或打補丁，以便完全緩解這些漏洞。

參考來源：TheHackerNews http://33h.co/98sw1

 

（三）InHand路由器漏洞使許多工業公司面臨遠程攻擊

研究人員在InHand Networks制造的工業路由器中發現了幾個嚴重漏洞，可能會使許多組織面臨遠程攻擊，而且似乎沒有可用的補丁。

大約一年前，工業網絡安全公司OTORIO研究人員在工業物聯網解決方案提供商InHand Networks生產的IR615 LTE路由器上發現了這些漏洞。該公司在中國、美國和德國設有辦事處，在四川和浙江設有研發中心，其產品在世界各地使用。InHand表示，其客戶包括西門子、通用電氣醫療保健、可口可樂、飛利浦醫療保健和其他大公司。

根據美國網絡安全和基礎設施安全局(CISA)上周發布的報告，OTORIO研究人員在IR615路由器上總共發現了13個漏洞，包括嚴重的跨站請求偽造(CSRF)、遠程代碼執行、命令注入和弱密碼策略問題，以及不當授權和跨站腳本(XSS)漏洞。惡意行為者可能會利用這些漏洞完全控制受影響的設備，并攔截通信，以竊取敏感信息。

OTORIO表示，它已經識別出數千臺暴露在互聯網上的InHand路由器，可能容易受到攻擊，但是，從互聯網上利用路由器需要對其web管理門戶進行認證。攻擊者可以使用默認憑證對設備進行身份驗證，或者利用暴力攻擊來獲取登錄憑證。路由器的弱密碼策略和一個可以用來枚舉所有有效用戶帳戶的漏洞使暴力破解攻擊變得容易。攻擊者可能會利用這些漏洞潛入某個組織。從InHand設備，攻擊者可以轉移到受害者網絡中的其他工業系統。

OTORIO滲透測試研究員Hay Mizrachi表示，“攻擊者可能會濫用遠程代碼執行漏洞，通過運行CLI命令在設備上獲得第一個立足點，在設備上植入第一個后門作為持久性階段，并開始掃描內部組織網絡，以提升攻擊者權限并轉移到網絡上的敏感資產。最終目標是在組織上獲得域管理員權限。當然，如果存在其他敏感網絡，如OT網絡，攻擊者可以嘗試獲得立足點并中斷產品線的日常運作，從而造成額外的損害和財務成本?！?/span>

OTORIO于2020年11月通過CISA向InHand Networks報告了調查結果。然而，CISA在其咨詢中表示，供應商“沒有響應與CISA合作以緩解這些漏洞的請求”。CISA提供了一些通用緩解措施，以幫助受影響的組織降低被利用的風險。

參考來源：SecurityWeek http://33h.co/98e0j

 

（四）江森自控旗下ExacqVision視頻監控系統嚴重漏洞可導致遠程攻擊

網絡安全公司Tenable研究人員在建筑科技巨頭江森自控(Johnson Controls)旗下的Exacq Technologies生產的視頻監控系統中發現了高度嚴重的漏洞。

Tenable的零日研究團隊在Exacq產品使用的exacqVision web服務中發現了兩個安全漏洞。Tenable、Johnson Controls和美國網絡安全和基礎設施安全局(CISA)最近發布了描述這些漏洞的咨詢公告。

第一個漏洞稱為直通賬戶安全問題，CVSS評分為9.8分。根據Tenable的說法，受影響的網絡服務允許用戶使用網絡瀏覽器從ExacqVision服務器獲取視頻和其他數據。Web服務充當Web客戶端和服務器之間的中介。

Tenable研究人員發現，如果exacqVision服務器配置了一個所謂的直通帳戶(pass through account)，可以用于遠程連接到服務器，未經身份驗證的攻擊者可以濫用它，以這個直通帳戶的特權訪問服務器。

Tenable在公告中表示，“如果直通帳戶具有高權限(即完全管理員角色)，攻擊者可以對exacqVision服務器有更多的訪問權限，包括添加一個具有完全管理員角色的用戶。即使直通帳戶擁有較低的特權(例如，受限制的角色)，攻擊者仍然可以看到更多的特權信息。例如，只有完全管理員或超級用戶角色的用戶才能配置視頻存檔，但較低權限的用戶可以看到存檔配置中的直接搜索用戶名和密碼?！?/span>

第二個漏洞為DoS漏洞，CVSS評分為8.8分?？梢员贿h程的、未經身份驗證的攻擊者利用，通過發送特別制作的消息使服務器崩潰。

Tenable表示，攻擊可以直接從互聯網上發起，攻擊可以從互聯網上訪問的系統，但該公司無法提供有關這些系統的暴露程度的任何信息。

Tenable表示，“如果攻擊者發現exaqVision軟件暴露在互聯網上的一個易受攻擊的實例，他們可能會在不經過身份驗證的情況下獲得對該軟件的管理權限。這將允許他們更改配置、竊取數據、中斷對exaqVision軟件的訪問，或完全禁用它?！?/span>

這些漏洞于7月底報告給供應商，大約一個月后開發了補丁。據Johnson Controls稱，這些漏洞影響32位版本的exacqVision Server 21.06.11.0及更高版本。用戶可以更新到21.9版或升級到64位版本，以防止漏洞被利用。

參考來源：SecurityWeek http://33h.co/98stp

 

（五）英國工程巨頭Weir集團遭受勒索軟件攻擊

10月7日，蘇格蘭跨國工程企業偉爾集團(Weir Group)披露了一項“勒索軟件攻擊企圖”，稱該事件導致了今年9月的“重大臨時中斷”。

該公司在第三季度業務更新說明中表示，“集團目前正在處理9月下半月發生的一起高復雜度勒索軟件攻擊引發的后果。偉爾集團的網絡安全系統與控制機制對威脅活動做出了快速反應與強有力的阻遏處置，包括隔離并關閉IT系統，具體涉及核心企業資源規劃(ERP)與各類工程應用程序?！?/span>

該公司表示，此次攻擊對今年第三季度的訂單沒有影響，因為所有基礎設施都在照常運行，目前他們正在緩解此次事件對客戶的影響。偉爾集團計劃在未來幾周內，按照業務優先級逐步恢復部分功能，但預計2021年第四季度的正常運營仍會因此次事件受到一定影響。

本輪攻擊還導致偉爾集團的出貨、制造與工程系統發生中斷，僅9月因開銷不足與收入延后帶來的間接損失就將達到5000萬英鎊。

偉爾集團強調，“我們對此次事件的取證調查仍在繼續。到目前為止，還沒有證據表明有任何個人或其他敏感數據遭到外泄或加密鎖定。我們將繼續與監管機構與情報部門保持聯系。偉爾集團特此證實，無論是我們自身還是任何有關各方，與攻擊背后的執行者都不存在任何接觸?！?/span>

偉爾集團在全球50多個國家/地區擁有11500多名員工，主要服務于采礦、基礎設施以及石油與天然氣等市場。

參考來源：BleepingComputer http://33h.co/985pv

 

（六）以色列國防公司EMIT遭受LockBit 2.0勒索軟件攻擊

以色列航空航天與國防公司E.M.I.T Aviation Consulting Ltd.遭受了LockBit 2.0勒索軟件攻擊，攻擊者聲稱已從EMIT竊取了數據，并威脅如果不支付贖金，將于2021年10月7日在LockBit 2.0的暗網泄密網站上泄露竊取的文件。

EMIT Aviation Consulting Ltd成立于1986年，該公司設計和組裝完整的飛機、戰術和亞戰術無人機系統以及移動綜合偵察系統。

目前LockBit 2.0勒索軟件團伙尚未共享任何文件作為攻擊證據。目前尚不清楚威脅行為者是如何破壞公司的，以及何時發生安全漏洞。

該組織在這一時期非?；钴S，最近的受害者名單包括Riviana、Wormington&Bollinger、Anaasia Group、Vlastuin Group、SCIS Air Security、Peabody Properties、DATA SPEED SRL、Island Independent Buying Group、Day Lewis、Buffington Law Firm和全球其他數十家公司。

與其他勒索軟件操作一樣，LockBit 2.0實施了勒索軟件即服務模式，并維護了一個附屬網絡。該LockBit勒索軟件組織自2019年9月一直活躍，今年6月份該組織宣布LockBit 2.0 RaaS。在黑客論壇上禁止勒索軟件廣告后，LockBit運營商建立了自己的泄密網站，并宣傳推廣最新版本的LockBit 2.0。

今年8月份，澳大利亞網絡安全中心(ACSC)警告稱，從2021年7月開始，針對澳大利亞組織的LockBit 2.0勒索軟件攻擊將升級。

參考來源：SecurityAffairs http://33h.co/9e9nm

 

（七）伊朗APT組織DEV-0343攻擊美國和以色列國防公司

微軟威脅情報中心(MSTIC)和微軟數字安全部門(DSU)的研究人員發現了一個跟蹤為DEV-0343的惡意活動群集，目標是美國和以色列國防技術公司的Office 365用戶。威脅行為者針對目標組織發起了大規模的密碼噴灑攻擊，這一惡意活動于2021年7月首次被發現。

DEV-0343是微軟威脅情報中心(MSTIC)于2021年7月下旬首次觀察到并開始跟蹤的新活動群集。MSTIC觀察到DEV-0343對250多個Office 365租戶進行了廣泛的密碼噴灑，重點是美國和以色列的國防技術公司、波斯灣入境港或在中東開展業務的全球海運公司。只有不到20個目標用戶被成功入侵，但DEV-0343繼續改進他們的技術，以完善其攻擊。針對啟用了多因素身份驗證(MFA)的Office 365賬戶的密碼噴霧攻擊失敗。

DEV-0343主要面向支持美國、歐盟和以色列政府合作伙伴生產軍用雷達、無人機技術、衛星系統和應急響應通信系統的國防公司。

微軟研究人員表示，這一活動符合德黑蘭的利益，其TTP與另一個與伊朗有關的威脅參與者的TTP類似。進一步的活動瞄準了地理信息系統(GIS)、空間分析、波斯灣地區入境港以及幾家專注于中東業務的海運和貨運公司的客戶。

研究人員推測，攻擊者的目的是獲取商業衛星圖像和專有航運計劃和日志，這些信息可以讓伊朗政府補償其發展中的衛星計劃。DEV-0343背后的威脅行動者利用一系列精心設計的Tor IP地址來混淆他們的基礎設施。

DEV-0343模擬Firefox瀏覽器并使用Tor代理網絡上托管的IP進行廣泛的密碼噴灑。它們在伊朗時間周日至周四上午7：30至晚上8：30(世界標準時間04：00：00至17：00：00)之間最為活躍，活動在伊朗時間上午7：30之前和晚上8：30之后顯著下降。根據規模的不同，他們通常針對組織內的數十到數百個帳戶，并枚舉每個帳戶幾十到數千次。平均而言，針對每個組織的攻擊使用150到1000多個唯一的ToR代理IP地址。DEV-0343操作員通常瞄準兩個Exchange端點-自動發現和ActiveSync-作為他們使用的枚舉/密碼噴射工具的一個功能。這使得DEV-0343能夠驗證活動賬戶和密碼，并進一步改進它們的密碼噴射活動。

微軟已經直接通知了已成為攻擊目標或受到攻擊的客戶，為他們提供了保護賬戶安全所需的信息。

Microsoft建議組織在日志和網絡活動中尋找以下策略，以確定其基礎設施是否受到黑客的攻擊：

1、來自ToR IP地址的大量入站流量，用于密碼噴射活動；

2、在密碼噴灑活動中模擬Firefox(最常用)或Chrome瀏覽器；

3、Exchange ActiveSync(最常見)或自動發現端點的枚舉；

4、使用類似于'o365spray'工具的枚舉/密碼噴射工具；

5、使用自動發現功能驗證帳戶和密碼；

6、觀察到的密碼噴射活動通常在UTC時間04：00：00到11：00：00之間達到峰值；

以下是微軟為緩解DEV-0343攻擊而共享的防御措施列表：

1、啟用多因素身份驗證以減少憑證泄露；

2、對于Office 365用戶，請參閱多因子身份驗證支持；

3、對于消費者和個人電子郵件帳戶，請參閱如何使用兩步驗證；

4、微軟強烈鼓勵所有客戶下載并使用無密碼解決方案；

5、審查并強制實施建議的Exchange在線訪問策略；

6、阻止ActiveSync客戶端繞過條件訪問策略；

7、在可能的情況下阻止來自匿名服務的所有傳入流量。

參考來源：SecurityAffairs http://33h.co/985ye

 

（八）新APT組織ChamelGang攻擊俄羅斯能源及航空組織

Positive Technologies研究人員發現了一個新的、以前未知的APT組織，該組織主要系統地攻擊俄羅斯的燃料和能源綜合體以及航空業。研究人員發現的其他攻擊針對其他9個國家/地區的機構，包括美國、印度、尼泊爾、臺灣和日本。在某些情況下，研究人員發現政府服務器遭到破壞。由于該組織已開始在攻擊中利用ProxyShell漏洞來感染Microsoft Exchange，因此英國的易受攻擊的服務器將來也可能會受到影響。這個名為ChamelGang的組織似乎專注于從受感染的網絡中竊取數據，并于2021年3月進行了首次攻擊。

Positive Technologies威脅分析主管Denis Kuvshinov解釋表示，“針對俄羅斯的燃料和能源綜合體以及航空業并不是唯一的，該行業是受攻擊最頻繁的三個行業之一。但是，后果很嚴重，最常見的是此類攻擊會導致財務或數據丟失。在去年所有案例中，有84%的攻擊是專門為竊取數據而創建的，這會造成重大的財務和聲譽損失。此外，工業公司通常無法檢測到針對其的有針對性的網絡攻擊，因為他們認為自己的防御是b級的，并且這種破壞是極不可能的。但實際上，攻擊者可以在90%以上的時間滲透到工業企業的公司網絡，并且幾乎每一次這樣的入侵都會導致對基礎設施的完全失去控制。超過一半的攻擊導致公司合作伙伴和員工的數據、郵件通信和內部文檔被盜?！?/span>

Positive Technologies事件響應小組在調查俄羅斯燃料/能源和航空生產部門的安全漏洞時發現了ChamelGang的存在。

研究人員發現，為了訪問目標企業的網絡，ChamelGang使用開源JBoss應用服務器平臺上的Web應用程序的易受攻擊版本破壞了一個子公司。通過利用漏洞CVE-2017-12149，犯罪分子能夠在節點上遠程執行命令，該漏洞已在四年多前被RedHat修復。兩周后，該組織能夠攻擊母公司。攻擊者在隔離網段中的其中一臺服務器上獲取了本地管理員的字典密碼，并通過遠程桌面協議（RDP）滲透到網絡中。攻擊者在公司網絡中被忽視了三個月。在檢查之后，攻擊者獲得了對其中大部分的控制權，包括不同網段的關鍵服務器和節點。調查顯示，APT組織專門追查數據，并成功竊取。

在Positive Technologies披露的第二個案例中，攻擊者利用了Microsoft Exchange中的一系列名為ProxyShell的漏洞，包括CVE-2021-34473、CVE-2021-34523、CVE-2021-31207。該漏洞在上個月公開，此后一直被其他APT團體積極利用。攻擊者使用在攻擊時大多數防病毒工具未檢測到的后門獲得了對公司郵件服務器的訪問權限。與第一個案例一樣，犯罪分子追求的是敏感數據，

但檢測人員發現了APT組織，積極的應對措施防止了嚴重的盜竊。攻擊者僅在目標組織的基礎設施內停留了八天，并沒有時間造成太大傷害。

ChamelGang攻擊的一個顯著特點是使用了新的惡意軟件：ProxyT、BeaconLoader和DoorMe后門，這些都是以前未知的。DoorMe是一個被動的后門，這大大增加了其檢測的復雜性。該組織還使用了更為知名的變體，例如FRP、Cobalt Strike Beacon和Tiny shell。

Positive Technologies信息安全威脅響應負責人Denis Goydenko表示，“在我們發現的惡意軟件樣本中，最有趣的是DoorMe后門。這是一個本地IIS模塊，注冊為過濾器，通過它處理HTTP請求和響應。它的操作原理不同尋常：后門只處理那些請求其中設置了正確的cookie參數。在事件調查時，DoorMe沒有被殺毒工具檢測到，雖然安裝這個后門的技術是已知的，但我們最近沒有看到它的使用。后門為出攻擊者在捕獲的系統中擁有廣泛的機會：它可以通過使用cmd.exe和創建新進程來執行命令，以兩種方式寫入文件，以及復制時間戳?？偣矆绦辛肆鶄€不同的命令?！?/span>

該組織被命名為ChamelGang因為它使用可信的網絡釣魚域和操作系統功能來掩蓋惡意軟件和網絡基礎設施。例如，攻擊者注冊仿冒大型國際公司（如Microsoft、TrendMicro、McAfee、IBM和Google）合法服務的網絡釣魚域，包括其支持服務、內容交付和更新。在研究該組織的活動時，研究人員發現了域名newtrendmicro.com、centralgoogle.com、microsoft-support.net、cdn-chrome.com和mcafee-upgrade.com。APT組織還在其服務器上放置了SSL證書，以模仿合法證書（github.com、ibm.com、jquery.com和update.microsoft-support.net）。

Positive Technologies研究人員尚未將ChamelGang與任何特定國家/地區聯系起來。所有受攻擊影響的組織都已收到國家CERT的通知。

參考來源：PositiveTechnologies http://33h.co/9ee8a

 

（九）APT組織MalKamak以航空航天和電信公司為目標

Cybereason Nocturus事件響應團隊發現了一個新的威脅行為者MalKamak，該攻擊者正在利用ShellClient惡意軟件攻擊航空航天和電信行業的組織，該活動被稱為GhostShell。ShellClient是一種遠程訪問木馬，用于竊取受害者的敏感信息。

至少從2018年起，威脅行動者就一直在針對上述行業。GhostShell是一場針對性很強的網絡間諜活動，主要針對中東地區的實體，以及美國、俄羅斯和歐洲的其他受害者。研究人員將這些活動歸因于一個新的與伊朗有關的威脅行為者，名為MalKamak，與APT39組織有一些聯系。

Cybereason分析報告表示，“對ShellClient的運營商和作者身份的評估導致確定了一個名為MalKamak的新伊朗威脅行為者，該行為者至少自2018年以來一直在運營，至今仍無人知曉。此外，我們的研究指出了與其他伊朗國家資助的APT威脅行為者的可能聯系，例如Chafer APT(APT39)和Agrius APT。然而我們評估，MalKamak具有不同于其他伊朗組織的特征?！?/span>

研究人員在7月份對一起事件的調查中首次發現了ShellClient RAT。最近的GhostShell行動(版本4.0.1)中使用的惡意軟件分析顯示，它是在2021年5月22日編譯的。

RAT的第一個版本可以追溯到2018年，是一個簡單的獨立反向shell，經過多年的惡意軟件發展，其作者實現了新功能，如代碼混淆改進、Costura打包程序的使用、及新的持久性方法。一些ShellClient樣本中嵌入的PDB路徑表明，RAT是一個受限或機密項目的一部分，可能與軍事或情報機構的行動有關。

報告顯示，“在GhostShell行動中觀察到的最新的ShellClient版本遵循了濫用云存儲服務的趨勢，這次是流行的Dropbox服務。ShellClient的作者選擇放棄他們之前的C2域，并使用更簡單但更隱蔽的C2通道取代惡意軟件的命令和控制機制，使用Dropbox來竊取數據，并向惡意軟件發送命令。由于其簡單性和與合法網絡流量有效融合的能力，這一趨勢已被越來越多的威脅行動者所采用。報告還包括所有版本和ShellClient樣本的威脅指標?！?/span>

參考來源：SecurityAffairs http://33h.co/98ycy

 

（十）新加坡以OT技術為重點調整網絡安全戰略

新加坡調整了網絡安全戰略，以加強其對操作技術(OT)的關注，提供了新的能力框架，為OT行業部門所需的技能集和技術能力提供指導。修訂后的國家網絡安全路線圖還將加強整體網絡安全態勢，并促進國際網絡合作。

新加坡網絡安全局(CSA)表示，2021年的網絡安全戰略還將建立在保護新加坡關鍵信息基礎設施(CII)和其他數字基礎設施的努力之上。政府組織表示，將與CII運營商合作，加強OT系統的網絡安全，網絡攻擊可能會造成物理和經濟風險。

CSA定義OT系統包括工業控制、建筑管理和交通燈控制系統，包括監控或改變“系統的物理狀態”，如控制鐵路系統。

CSA表示，“許多OT系統在設計上都是獨立的，不連接互聯網或外部網絡。然而，隨著OT系統中新的數字解決方案的引入，提高了自動化程度，并促進了數據收集和分析，這給曾經相對‘安全’的氣隙操作環境帶來了新的網絡安全風險?！?/span>

該報告指出，為了應對此類風險，企業需要一個框架，從中可以獲得管理OT網絡安全所需的流程、結構和技能方面的指導。

《OT網絡安全能力框架》為OT行業部門所需的網絡安全技能和技術能力提供了“更細粒度的細分”和參考。CSA表示，該項目旨在填補OT網絡安全培訓的現有差距。此前，包括CII部門在內的OT系統所有者將接受位于新加坡技能未來(SkillsFuture Singapore)下的ICT技能框架的指導，以確定技能差距并制定培訓計劃。

聯合開發的新的OT安全框架提供了各種工作角色的路線圖以及相應的技術技能和所需的核心競爭力。CSA表示，OT和IT系統所有者都可以參考參考指南，以提供足夠的培訓并規劃員工的職業發展，而培訓提供商可以使用它來確定技術能力和認證，以支持當地的培訓需求。

此外，CSA學院將舉辦路演，以幫助組織根據其業務需求采用OT安全框架。對OT網絡安全的日益關注符合新加坡本周早些時候宣布的更新網絡安全戰略。報告詳細闡述了采取更積極主動的姿態應對數字威脅、推動國家網絡安全態勢、推動網絡安全國際規范和標準的努力。

新加坡的2021年網絡安全戰略進一步認識到建立共識和深化合作的必要性，在這一戰略中，新加坡將尋求倡導基于規則的網絡空間多邊秩序和可互操作的ICT環境。

新加坡目前是聯合國安全不限成員名額工作組(2021-2026年)的主席，新加坡表示，它將為國際網絡規范的討論做出貢獻，并支持全球努力，增強各國保護自己免受網絡威脅的能力。在此，新加坡將呼吁制定和采用網絡安全標準，以便在公民和企業使用的ICT產品和服務中實施最低水平的網絡安全。

新加坡修訂的2021年網絡安全戰略是在2016年推出第一個這樣的計劃五年后出臺的。CSA表示，今后將“探索擴大”該國《網絡安全法》下的監管，以包括CIIs以外的實體和系統。

參考來源：ZDNet http://33h.co/985rh

 

（十一）Facebook及其子公司在全球范圍內同時宕機

截至10月4日下午，Facebook已經連續數小時處于癱瘓狀態，不僅其主站點同時出現了全球范圍內的宕機，其Instagram、WhatsApp、Messenger和Oculus VR子公司也出現了宕機。

據《紐約時報》報道，Facebook的內部交流平臺Workplace也被下線，導致大多數員工無法工作。中斷的原因尚不清楚，但從Facebook和WhatsApp的域名發出的錯誤信息來看，這是一個DNS問題。

截至美國東部夏令時15時29分，Instagram網站顯示“5xx服務器錯誤”。Facebook的邊界網關協議（BGP）路由被破壞，這意味著它失去了根據路徑、網絡策略或網絡管理員配置的規則集做出路由決策的協議。

兩名要求匿名的Facebook安全團隊成員告訴《紐約時報》，大規模停機背后不太可能有網絡攻擊，因為“應用程序背后的技術仍然不同，一次黑客攻擊不可能同時影響所有應用程序?！?/span>

Gurucul首席執行官Saryu Nayyar表示，如果Facebook的宕機確實是由攻擊者造成的，他們可能是對Facebook的商業行為感到憤怒。

根據Down Detector網站收集的狀態信息及檢測問題，這看起來似乎是全球性的問題。網絡中斷在美國東部時間中午前后急劇增加，到美國東部時間15:09時仍在下降，但情況顯然還沒有完全解決。

The Verge網站還報道說，如果用戶已經安裝了Oculus的虛擬現實技術，并且瀏覽器運行正常，那么他們可以加載游戲，但Oculus的社交功能已經關閉，用戶無法安裝新游戲。

參考來源：ThreatPost http://33h.co/98qec

 

（十二）白宮召集30多國召開國際反勒索軟件會議，中俄沒有參加

美國國家安全委員會10月13日召開為期兩天的網絡會議，召集了30多個國家的盟友和合作伙伴，共同對抗勒索軟件威脅。

根據白宮發布的一份概況介紹，2020年全球公開披露的勒索軟件支付額已超過4億美元，2021年第一季度將超過8100萬美元。

反勒索軟件倡議會議是為了應對持續的攻擊，包括對美國Colonial Pipeline、JBS Foods和Kaseya的勒索軟件攻擊，這些攻擊揭示了全球關鍵基礎設施的重大漏洞。

一位高級政府官員在新聞發布會中對記者表示，“我們正在主持并推動一場虛擬會議。來自30多個國家和歐盟的部長和高級官員將加入會議，以加快合作打擊勒索軟件。反勒索軟件倡議將舉行為期兩天的會議，參與者將涵蓋從提高國家彈性的努力、到解決濫用虛擬貨幣來洗錢支付的經驗、我們各自為擾亂和起訴勒索軟件犯罪分子所做的努力、以及作為一種對抗勒索軟件的工具?！?/span>

該會議將涵蓋的領域與拜登政府的反勒索軟件努力一致，即國家恢復力、打擊非法金融、破壞和外交，這些努力按照四個不同的方向組織：

1、破壞勒索軟件基礎設施和威脅行為者：政府正在充分利用美國政府的能力來破壞勒索軟件參與者、協助者、網絡和金融基礎設施；

2、增強抵御勒索軟件攻擊的彈性：政府呼吁私營部門加大投資力度，專注于網絡防御以應對威脅。政府還概述了關鍵基礎設施的預期網絡安全閾值，并引入了關鍵交通基礎設施的網絡安全要求；

3、解決濫用虛擬貨幣進行贖金支付的問題：虛擬貨幣受適用于法定貨幣的反洗錢和打擊恐怖主義融資(AML/CFT)控制措施的約束，并且必須執行這些控制措施和法律。政府正在利用現有能力并獲得創新能力來追蹤和攔截勒索軟件收益；

4、利用國際合作破壞勒索軟件生態系統并解決勒索軟件犯罪分子的安全港問題：負責任的國家不允許犯罪分子在其境內活動而不受懲罰。

作為持續打擊勒索軟件網絡犯罪團伙的一部分，拜登總統還發布了一份美國安全備忘錄，通過為所有者和運營商設定基線性能目標來加強關鍵基礎設施網絡安全。

在Colonial Pipeline和JBS勒索軟件攻擊之后，美國國家安全副顧問Anne Neuberger告訴美國企業要認真對待勒索軟件。白宮新聞秘書Jen Psaki補充表示，如果“俄羅斯政府不能或不愿意”，美國政府將對在俄羅斯境內活動的勒索軟件組織采取行動。

7月，在G7領導人要求俄羅斯搗毀其境內的俄羅斯勒索軟件團伙后，國際刑警組織還敦促全球各地的警察機構和行業合作伙伴共同對抗勒索軟件威脅。

據Kommersant報道稱，盡管莫斯科和華盛頓已設法在幾個領域恢復合作，導致對Evil Corp、TrickBot和REvil團伙的多次打擊，但俄羅斯和中國并未被邀請參加本周的反勒索軟件會議。

這位官員表示，“我們與盟友和合作伙伴合作，讓民族國家對惡意網絡活動負責。在過去幾個月里，我們對俄羅斯和中國的惡意網絡活動給予了最廣泛的國際支持，這證明了這一點。專家組繼續開會以解決勒索軟件威脅，并敦促俄羅斯采取行動打擊源自其領土的犯罪勒索軟件活動。在第一輪討論中，我們沒有邀請俄羅斯參加，原因有很多，包括各種限制?！?/span>

這位官員還表示，拜登政府觀察到俄羅斯政府正在采取措施打擊在其領土上活動的勒索軟件團伙，預計會有更多結果和后續行動?！拔覀兇_實期待俄羅斯政府解決來自俄羅斯境內行為者的勒索軟件犯罪活動。我可以報告說，我們在專家組中進行了坦率和專業的交流，我們已經傳達了這些期望。我們還與俄羅斯分享了有關在其領土上進行的犯罪勒索軟件活動的信息。我們已經看到俄羅斯政府采取了一些措施，并希望看到后續行動?！?/span>

參考來源：BleepingComputer http://33h.co/98bcv

 

（十三）CISA發布針對政府機構的遠程訪問指南

美國網絡安全和基礎設施安全局(CISA)近日發布新的指導文件：可信互聯網連接(TIC)3.0遠程用戶用例。

該文件旨在為聯邦機構提供關于保護其網絡安全的指導，同時確保遠程用戶能夠訪問內部資源，該文件是與管理和預算辦公室(OMB)、聯邦首席信息安全官委員會(FCISO)可信互聯網連接(TIC)小組委員會和總務管理局合作編寫的。

CISA表示，TIC 3.0遠程用戶用例基于2020年春季發布的TIC 3.0臨時遠程工作指南，符合OMB備忘錄M-19-26。該文件是在收到公眾反饋后定稿的。該機構已經發布了收到的評論和修改的摘要，以及附加的TIC 3.0指南。

TIC 3.0遠程用戶用例中總共包含了四項新的安全功能，即用戶意識和培訓、域名監控、應用程序容器和遠程桌面訪問。

TIC 3.0遠程用戶用例定義了當機構用戶從實體機構外部連接到網絡時，機構應采用的網絡和多邊界安全方式。例如，在家或在酒店工作的人員，或從其他地點連接的人員。該用例中包括三種網絡安全模式：保護遠程用戶訪問機構校園、機構認可的云服務提供商和網絡訪問。

該文件顯示，“遠程用戶用例幫助機構在獲得應用程序性能的同時保護安全；通過減少私人鏈接降低成本；通過促進遠程用戶連接到機構認可的云服務和內部機構服務以及支持機構部署的其他選項，改善用戶體驗?！?/span>

參考來源：SecurityWeek http://33h.co/98qc2

 

（十四）美敦力胰島素泵遙控器因嚴重風險被召回

美國食品和藥物管理局(FDA)10月5日發布警告，通知患者醫療設備制造商美敦力(Medtronic)已擴大召回一些無線胰島素泵的遙控器。

FDA警告稱，由于召回問題可能會導致嚴重傷害或死亡，因此將召回歸類為“I類”，即最嚴重的類型。FDA表示，由于潛在的網絡安全風險，召回的遠程控制器與美敦力的MiniMed 508胰島素泵或MiniMed Paradigm系列胰島素泵一起使用。

在10月5日發布的召回安全公告中，美敦力表示，一名外部安全研究人員發現了與MiniMed Paradigm系列胰島素泵和相應的遙控器相關的潛在漏洞。

美敦力表示，“當一起使用時，Paradigm胰島素泵和遙控器允許糖尿病患者輕松地自行輸送推注，由泵提供的胰島素劑量。無需親自接觸他們的胰島素泵。這使用戶能夠在進餐時不間斷地給藥，以幫助將血糖保持在范圍內?！?/span>

然而研究人員發現，與胰島素泵用戶在同一附近的未經授權的個人有可能復制遙控器發出的無線射頻信號，同時發送遠程推注，并在稍后播放這些信號，從而向胰島素泵用戶發送惡意劑量的胰島素。

FDA警告說，利用這一漏洞“可以指導泵向患者過量輸送胰島素，導致低血糖，或停止輸送胰島素，導致高血糖和糖尿病酮癥酸中毒，甚至死亡”。

FDA表示，受召回影響的人群包括使用MiniMed 508胰島素泵或MiniMed Paradigm胰島素泵家族遙控器功能的任何人。使用MiniMed 508胰島素泵或MiniMed Paradigm系列胰島素泵的遠程控制器治療糖尿病患者的醫療保健提供者和護理人員也會受到影響。

FDA指出，受到這個問題影響的遙控器是使用上一代技術的老型號。截至2018年7月，美敦力不再生產或銷售這些遠程控制器。

美國CISA也在10月5日發布了相關漏洞公告，漏洞包括敏感信息的明文傳輸及 捕獲重放身份繞過認證。

參考來源：GovInfoSecurity http://33h.co/98sig

 

（十五）威脅組織SnapMC在可30分鐘內進行快速勒索

NCC Group研究人員發現了一個名為SnapMC的新威脅組織，在30分鐘內，該組織利用未修補的VPN和Web服務器破壞系統，竊取敏感數據，并要求支付贖金，進行快速勒索，但并沒有使用勒索軟件進行文件加密。

文件加密被認為是勒索軟件攻擊的核心組成部分，因為這是給受害者帶來操作中斷的元素。以雙重勒索為目的的數據泄露后來作為針對受害者的另一種手段出現，但總是在加密網絡造成的混亂以后。很快，勒索軟件攻擊者就意識到這種方法的威力，因為許多公司可以從備份中恢復損壞的文件，但不可能恢復文件竊取事件及其后果。

SnapMC并沒有加密目標數據和系統來擾亂業務運營，而是專注于直接敲詐勒索。這種低技術、無勒索軟件、快速的勒索方法，依賴于已知漏洞和現成的補丁。

NCC Group研究報告稱，“在我們看到的來自SnapMC的勒索電子郵件中，受害者有24小時的聯系時間和72小時的談判時間。這些截止日期很少被遵守，因為我們已經看到攻擊者在倒計時為零之前就開始增加壓力?！?/span>

研究人員無法將該組織與任何已知的威脅行為者聯系起來，并以其速度Snap和選擇的mc.exe滲漏工具命名。

作為該組織竊取了數據的證據，SnapMC向受害者提供了一份泄露數據列表，如果他們未能在時間范圍內進行談判，攻擊者就會威脅要發布數據并向客戶和媒體報告違規行為。

研究人員表示，他們已經觀察到SnapMC使用用于ASPX.NET的Telerik UI中的CVE-2019-18935遠程代碼執行漏洞，以及使用SQL注入的Web服務器應用程序成功地破壞了未修補且易受攻擊的VPN。

Lookout云安全高級經理Hank Schless表示，最近VPN漏洞的增加使公司暴露了風險?！半m然VPN解決方案有其一席之地，但在這些解決方案中存在多個漏洞被廣泛利用。確保只有經過授權和安全的用戶或設備才能訪問企業基礎設施，需要針對本地或私有應用程序的零信任網絡訪問(ZTNA)策略，以及針對基于云的應用程序和基礎設施的云訪問安全代理(CASB)功能?！?/span>

去年六月，舊的VPN密碼破壞了Colonial管道。去年7月，SonicWall發布了一個補丁，用于修復在攻擊曝光后公司不再支持的舊VPN模型中的漏洞，這是正在進行的更廣泛的攻擊活動CVE-2019-7418的一部分。接下來，思科系統公司為8,800臺千兆VPN路由器發布了一些補丁，這些路由器易CVE-2021-1609攻擊。

到上月底，美國國家安全局(NSA)和網絡安全與基礎設施安全局(CSIA)向國防部、國家安全系統和國防工業基地發布了指南，以加強其VPN，抵御來自多個民族國家APT行為者的威脅。

除了國家行為者之外，基本的修補程序可以防止這種最新的SnapMC之類的數據敲詐勒索企圖。

Vectra的CTO Oliver Tavakoli表示，完全擺脫攻擊的加密部分是勒索軟件商業模式的“自然演變”。NCC同樣預測，在更短的時間內進行簡單攻擊的趨勢可能會繼續下去。

NCC Group威脅情報團隊預測，數據泄露勒索攻擊將隨著時間的推移而增加，因為與全面的勒索軟件攻擊相比，它需要的時間更少，技術深度知識或技能甚至更少。因此，確保能夠檢測到此類攻擊，并準備好在短時間內執行的事件響應計劃，對于有效緩解SnapMC對組織構成的威脅至關重要。

參考來源：ThreatPost http://33h.co/98d4c

 

（十六）美國數字無線運營商Visible的客戶賬號遭黑客入侵

Verizon旗下的美國數字無線運營商Visible承認，一些客戶的賬戶遭到了黑客攻擊。該公告是由一名員工在Visible的官方sub-reddit上發布的，該員工表示該公司正在調查一起導致少數賬戶遭到破壞的事件。

雖然該公司的聲明提供了有關該事件的有限細節，但該員工建議客戶使用憑據保護帳戶安全，這些憑據也用于暗示潛在的憑據填充攻擊的其他在線服務。

受影響的用戶注意到他們的賬戶存在可疑活動，一些人也報告了欺詐性的信用卡費用，但他們都聲稱無法訪問賬戶并重置密碼。

用戶還在處理隱私泄露問題，因為帳戶儀表板包含敏感的個人詳細信息，例如姓名、家庭住址和付款詳細信息。但是添加到帳戶的任何付款方式都無法刪除，只能添加新的付款方式。在添加、驗證并選擇新方法作為主要方法后，可以刪除舊方法。在數據泄露的情況下，此程序繁瑣且無助于補救情況。

Visible表示，其系統均未遭到黑客入侵，并建議客戶出于謹慎考慮更改密碼和安全問題。盡管該公司將此視為范圍有限的事件，但Visible支持的官方Twitter已承認聊天平臺存在技術問題這一事實引起了人們的懷疑。

Reddit上的安全更新通知是在周一發布的。這意味著，無論是什么困擾著Visible的服務，似乎都是持久的，而且仍然在進行中。

大量Visible用戶提出的一個關鍵點是，缺少雙因素身份驗證作為保護其帳戶的安全選項。雖然雙因素驗證不是最終的安全形式，尤其是基于SMS的安全形式，但它可以提供有效的保護，防止大規模撞庫攻擊，假設這是正在發生的事情。

參考來源：BleepingComputer http://33h.co/985v6

 

（十七）厄瓜多爾最大私人銀行Banco Pichincha遭受網絡攻擊

厄瓜多爾最大的私人銀行Banco Pichincha披露其遭受了網絡攻擊。為了防止攻擊蔓延到其他系統，該銀行關閉了部分網絡，導致銀行業務大面積中斷，ATM無法工作，網上銀行門戶網站顯示維護信息。

在發送給銀行機構的內部通知中，員工被告知，由于技術問題，銀行應用程序、電子郵件、數字渠道和自助服務將無法運行。該內部文件進一步指出，自助服務客戶應該被引導到銀行柜員窗口，以便在網絡中斷期間提供服務。

該聲明顯示，“在過去的幾個小時里，在我們的計算機系統中發現了一個網絡安全事件，導致服務部分癱瘓。我們已立即采取行動，例如將可能受到網絡其他部分影響的系統隔離開來，并請網絡安全專家協助解決調查。目前代理網絡、用于取款和使用借記卡和信用卡付款的ATM機正在運行。此次技術事件并未影響銀行的財務業績。我們重申，我們致力于維護客戶利益，并在最短的時間內通過數字渠道恢復正常護理。我們呼吁保持冷靜，避免造成擁堵，并通過Banco Pichincha的官方渠道隨時了解情況，以避免虛假謠言的傳播?！?/span>

在對該銀行技術問題保持沉默兩天后，Banco Pichincha與10月12日周二下午發表聲明，承認其遭受了導致系統中斷的網絡攻擊。

目前，網上銀行門戶仍然顯示維護消息，但客戶現在可以訪問他們的在線帳戶，移動應用程序仍然因攻擊而關閉。

目前，Banco Pichincha尚未公開披露此次襲擊的性質。然而，網絡安全行業消息人士表示，這是一次勒索軟件攻擊，攻擊者在網絡上安裝了Cobalt Strike信標。勒索軟件團伙和其他威脅行為者通常使用Cobalt Strike來獲得持久性并訪問網絡上的其他系統。

今年2月，Banco Pichincha遭受了名為Hotarus Corp的網絡犯罪分子的網絡攻擊，他們聲稱從銀行網絡中竊取了文件。Pichincha對黑客的說法提出異議，并表示他們的一個提供商遭到破壞。

Banco Pichincha表示，“我們知道有人未經授權訪問了為Pichincha Miles計劃提供營銷服務的供應商的系統。關于這次信息泄露，根據廣泛調查，我們沒有發現銀行系統損壞或訪問的證據，因此，我們客戶財務資源的安全沒有受到損害?！?/span>

參考來源：BleepingComputer http://33h.co/98k13

 

（十八）奧林巴斯美國IT系統因網絡攻擊被迫關閉

奧林巴斯是一家領先的醫療技術公司，在2021年10月10日星期日，其網絡遭受了網絡攻擊，被迫關閉美洲了(美國、加拿大和拉丁美洲)的IT系統。

奧林巴斯在攻擊發生兩天后發表的一份聲明中表示，“在檢測到可疑活動后，我們立即動員了一個包括取證專家在內的專業響應團隊，我們目前正在以最高優先級解決這個問題.作為調查和遏制的一部分，我們已經暫停了受影響的系統，并通知了相關的外部合作伙伴。目前的調查結果表明，該事件已被遏制在美洲，對其他地區沒有已知影響?！?/span>

該公司沒有透露在“潛在的網絡安全事件”期間客戶或公司數據是否被訪問或被盜，但表示將在可用后立即提供有關此次攻擊的新信息。

奧林巴斯表示，“我們正在與適當的第三方合作解決這種情況，并將繼續采取一切必要措施，以安全的方式為我們的客戶和業務合作伙伴提供服務。保護我們的客戶和合作伙伴并保持他們對我們的信任是我們的首要任務?！?/span>

奧林巴斯發言人表示，該公司在對此事件的持續調查中沒有發現數據丟失的證據。在此事件發生之前，勒索軟件攻擊于9月初攻擊了奧林巴斯的EMEA(歐洲、中東、非洲)IT系統。

盡管奧林巴斯沒有分享任何關于攻擊者身份的信息，但在受影響系統上發現的贖金記錄顯示，BlackMatter勒索軟件運營商組織了這次攻擊。同樣的贖金記錄還指向BlackMatter組織過去用來與受害者溝通的Tor網站。

盡管奧林巴斯再次沒有透露有關攻擊其美洲IT系統的攻擊性質的詳細信息，但眾所周知，勒索軟件團伙會在周末和假期進行攻擊以延遲檢測。

FBI和CISA在8月發布的聯合咨詢中表示，他們“觀察到，在美國的假期和周末（辦公室通常關閉）發生的具有高度影響力的勒索軟件攻擊有所增加，最近是2021年的7月4日假期?！?/span>

奧林巴斯在全球擁有超過3.1萬名員工，擁有100多年的醫療、生命科學和工業設備研發歷史。該公司的相機、錄音機和雙目望遠鏡部門被轉移到OM Digital Solutions，后者自2021年1月以來一直在銷售和分銷這些產品。

參考來源：BleepingComputer http://33h.co/98epb

 

（十九）勒索軟件組織FIN12活躍攻擊醫療保健行業

自2018年10月以來，一個積極的、出于經濟動機的威脅行為者已被認定與一系列RYUK勒索軟件攻擊有關，同時與TrickBot關聯的威脅行為者保持密切合作關系，并使用公開可用的工具庫與受害者網絡進行互動，如Cobalt Strike Beacon有效載荷。

網絡安全公司Mandiant將入侵歸因于一個更名為FIN12的俄語黑客組織，之前以UNC1878的名義進行跟蹤，其重點關注收入超過3億美元的醫療保健組織，其中包括教育、金融、制造、和技術部門，位于北美、歐洲和亞太地區。這標志著勒索軟件附屬組織首次被提升為獨特的威脅行為者。

Mandiant研究人員表示，“FIN12依賴合作伙伴來獲得對受害者環境的初始訪問。值得注意的是，FIN12似乎優先考慮速度和更高收入的受害者，與其他勒索軟件威脅參與者廣泛采用的多方面勒索策略不同?！?/span>

使用初始訪問代理來促進勒索軟件部署并不新鮮。2021年6月，企業安全公司Proofpoint調查結果顯示，勒索軟件攻擊者正越來越多地從使用電子郵件作為入侵途徑轉向從已經滲透到主要實體的網絡犯罪企業購買訪問權限，Ryuk感染主要利用通過TrickBot和BazaLoader等惡意軟件家族獲得的訪問。

此外，網絡安全公司KELA在2021年8月對初始訪問經紀人進行的深入分析發現，2020年7月至2021年6月期間，網絡訪問的平均成本為5,400美元，部分參與者采取道德立場，反對與醫療保健公司進行交易訪問。FIN12針對醫療保健行業的目標表明，其最初訪問代理“撒下了更廣泛的網，并允許FIN12參與者在已經獲得訪問權限后從受害者列表中進行選擇?！?/span>

盡管FIN12在2019年末的策略涉及使用TrickBot作為在網絡中保持立足點并執行后期任務的手段，包括偵察、提供惡意軟件植入程序和部署勒索軟件，但該組織此后一直依賴Cobalt Strike Beacon有效載荷用于執行開發后活動。

Mandiant在2021年5月觀察到，在導致部署Cobalt Strike Beacon和WEIRDLOOP有效載荷之前，威脅行為者通過從受感染的用戶帳戶內部分發的網絡釣魚電子郵件活動在網絡中獲得了立足點。據稱，在2021年2月中旬至4月中旬之間發起的攻擊還利用遠程登錄，獲得了受害者Citrix環境的憑據。

FIN12與其他入侵威脅行為者的區別還在于，它很少參與數據盜竊勒索，這是一種在受害者拒絕付款時泄露數據的策略。Mandiant表示，這源于威脅行為者希望迅速采取行動，并打擊目標愿意以最少的談判達成和解以恢復關鍵系統，這也許可以解釋他們對攻擊醫療保健網絡越來越感興趣的原因。

Mandiant研究人員表示，“在涉及數據盜竊的FIN12活動中，勒索贖金的平均時間為12.4天，而在未發現數據盜竊的情況下為2.48天。FIN12在不需要采用額外的勒索方法的情況下取得了明顯的成功，這可能會強化這一觀點。FIN12是我們正在推廣的第一個FIN參與者，他們專注于攻擊生命周期的特定階段，即勒索軟件部署，同時依靠其他威脅參與者來獲得對受害者的初步訪問。這種專業化反映了當前的勒索軟件生態系統，該生態系統由各種松散關聯的參與者組成，但不完全是彼此合作?！?/span>

參考來源：TheHackerNews http://33h.co/9ekzb

 

（二十）全球最大連鎖酒店之一Meliá遭受網絡攻擊

全球最大的連鎖酒店之一美利亞國際酒店集團(Meliá Hotels International)因網絡安全事件而陷入癱瘓。

該事件發生在10月4日星期一凌晨，主要影響了Meliá在西班牙的業務，攻擊者破壞了部分內部網絡和一些基于Web的服務器，包括其預訂系統和公共網站。幾家西班牙新聞媒體將該事件報道為勒索軟件攻擊。

目前還沒有一個勒索軟件團伙公開宣稱對該連鎖酒店的入侵負責，該酒店的名字也沒有被列入任何勒索軟件“泄露網站”的潛在受害者名單，盡管這并不是勒索軟件攻擊的跡象，因為一些勒索軟件團伙并不運營這類網站。

Meliá是世界上客房數量排名第17位、酒店數量排名第25位的連鎖酒店，該公司向西班牙金融機構和執法部門披露了這一事件。這家連鎖酒店還一直在與西班牙電信的網絡安全部門合作，以應對此次攻擊的后果。

據知情人士透露，該公司已經從備份中恢復了系統，系統在幾天內就恢復了運行，酒店繼續像往常一樣為客人提供服務。

Meliá的發言人拒絕進一步置評。西班牙執法部門表示，他們不會對正在進行的調查發表評論。Meliá在40多個國家運營著370多家酒店。

參考來源：TheRecord http://33h.co/98559

 

（二十一）美國媒體集團CMG遭勒索軟件攻擊后中斷了廣播

美國媒體集團Cox Media Group(CMG)披露，其在2021年6月遭到勒索軟件攻擊，導致電視直播和廣播流中斷。該公司通過郵件通知了數百名受到安全漏洞影響并且其個人數據在攻擊中暴露的人。

CMG立即在執法部門的支持下展開調查，還聘請了領先的網絡安全專家來確定攻擊的程度。該公司證實，它沒有支付贖金。

該公司發布的違規通知顯示，“2021年6月3日，CMG遭遇了勒索軟件事件，其中其網絡中的一小部分服務器被惡意威脅行為者加密。CMG在同一天發現了這一事件，當時CMG觀察到某些文件被加密且無法訪問。CMG迅速將其系統下線，作為預防措施，并采取額外措施防止進一步未經授權的訪問?！?/span>

Cox Media Group在最初入侵的同一天發現了安全漏洞，并立即將系統關閉，以避免威脅的傳播。

該公司最近確定，攻擊者試圖刪除服務器上某些HR文件的副本，但沒有成功。根據泄露通知，可能暴露的個人信息包括姓名、地址、社會安全號碼、財務帳號、健康保險信息、健康保險單號、醫療狀況信息、醫療診斷信息和在線用戶憑證，存儲用于人力資源管理。

該公司宣布已采取措施在安全漏洞發生后提高其基礎設施的安全性，例如采用多因素身份驗證協議、執行企業范圍的密碼重置以及部署端點檢測解決方案。

該公司表示，“該公司正在繼續監控和改進其能力，以檢測任何進一步的威脅并避免任何進一步的未經授權的活動。這些步驟包括多因素身份驗證協議、執行企業范圍的密碼重置、部署其他端點檢測軟件、重新對所有最終用戶設備進行映像以及重建干凈的網絡。CMG非常重視個人信息的保護，并承諾回答辦公室可能遇到的任何問題?！?/span>

參考來源：SecurityAffairs http://33h.co/985k1

 

（二十二）日本跨國電子公司JVCKenwood遭受Conti勒索軟件攻擊

日本跨國電子公司JVCKenwood遭受了Conti勒索軟件攻擊，攻擊者聲稱竊取了1.5 TB數據，并要求支付700萬美元贖金。

JVCKenwood是一家總部位于日本的跨國電子公司，擁有16,956名員工，2021年的收入為24.5億美元。該公司以其JVC、Kenwood和Victor品牌而聞名，這些品牌生產汽車和家庭音頻設備、醫療保健和無線電設備、專業和車載攝像頭、及便攜式發電站。

JVCKenwood披露，其在歐洲的銷售公司服務器于9月22日遭到破壞，攻擊者可能在攻擊期間訪問了數據。該公司在一份新聞聲明中表示，“JVCKENWOOD于2021年9月22日檢測到未經授權訪問了JVCKENWOOD集團在歐洲的一些銷售公司運營的服務器。發現進行未經授權訪問的第三方可能會泄露信息。目前，公司外部的專門機構會同有關部門進行詳細調查，目前確認沒有客戶數據泄露，一旦獲得詳細信息，將在公司網站上公布?！?/span>

一位消息人士分享了針對JVCKenwood攻擊中使用的CONTI勒索軟件樣本的贖金記錄。在一次談判中，勒索軟件團伙聲稱竊取了1.5 TB文件，并要求支付700萬美元贖金，以換取不公布數據并提供文件解密程序。

作為竊取數據的證據，攻擊者共享了一個PDF文件，是JVCKenwood員工的護照掃描件。自提供數據被盜證據以來，JVCKenwood代表沒有進一步聯系，表明該公司可能不會支付贖金。

Conti是一個勒索軟件家族，據信由TrickBot威脅組織運營，通常在網絡被TrickBot、BazarBackdoor和Anchor木馬入侵后安裝。多年來，勒索軟件團伙發起了廣泛的攻擊，包括針對塔爾薩市、愛爾蘭衛生服務執行局(HSE)、研華和眾多醫療保健組織的高調攻擊。

最近，Conti組織面臨一些爭議，一個心懷不滿的附屬機構泄露了勒索軟件操作的攻擊手冊，執法部門和研究人員都深入了解他們的策略。上周，FBI、CISA和NSA之間的一份聯合報告警告稱，Conti勒索軟件攻擊可能會升級。

參考來源：BleepingComputer http://33h.co/98xs1

 

（二十三）巴西電子商務公司因錯誤配置泄露了近18億條記錄

據研究人員稱，一家巴西電子商務公司在錯誤配置Elasticsearch服務器后無意中暴露了近18億條記錄，其中包括客戶和賣家的個人信息。

由Anurag Sen領導的SafetyDetectives團隊在6月發現了這一事件，并迅速將泄漏追溯到Hariexpress，這是一家允許供應商管理和自動化其跨多個市場（包括Facebook和亞馬遜）活動的公司。

盡管該公司在研究人員7月初警告泄漏后僅4天就回復了他們，但隨后就無法聯系了。目前可以確認這個問題現在已經被修復。

服務器沒有加密，沒有設置密碼保護。它包含610GB的數據，包括客戶的全名、家庭和送貨地址、電話號碼和賬單細節。被曝光的還有賣家的全名、電子郵件、企業/家庭地址、電話號碼和企業/稅號(CNPJ/CPF)。SafetyDetective無法確認受影響的總人數，因為包含可能重復的電子郵件地址。

SafetyDetectives表示，“如此嚴重的數據泄露很容易影響到數十萬甚至數百萬巴西Hariexpress用戶和電子商務購物者。Hariexpress的服務器泄露的內容也會影響到它自己的業務。我們不知道是否不道德的黑客發現了Hariexpress的不安全Elasticsearch服務器。用戶、快遞員、消費者以及Hariexpress本身都應該了解他們可能面臨的數據泄露風險?！?/span>

其中包括基于合法用戶和商業細節的網絡釣魚和社會工程嘗試，利用CPF信息的退稅和退貨欺詐，甚至從訂購高價值商品的客戶家中偷竊物品。

巴西的數據保護法Lei Geral de Prote??o de Dados(LGPD)顯然賦予了監管者權力，對嚴重違規的公司處以最高為前一年收入2%的罰款，最高可達5000萬巴西雷亞爾(約合1000萬美元)。

參考來源：infosecurity http://33h.co/985i4

 

（如未標注，均為天地和興工業網絡安全研究院編譯）