目   錄

第一章國外關鍵信息基礎設施安全動態

（一）烏克蘭國防部及主要銀行遭受大規模DDoS攻擊

（二）威脅行為者TA2541多年來一直針對航空和運輸部門

（三）美國警告稱俄羅斯黑客組織攻擊美國國防承包商

（四）FBI警告BlackByte勒索軟件入侵美國關鍵基礎設施組織

（五）Moxa的工業網絡管理軟件Mxview中存在嚴重漏洞

（六）黑客組織ModifiedElephant多年來一直未被發現

（七）國際互聯網協會泄露成員個人信息

（八）NFL超級碗舊金山49人隊遭受BlackByte勒索軟攻擊

（九）Apache Cassandra數據庫軟件存在遠程代碼執行漏洞

（十）Vmware修復了五個高危漏洞

（十一）斯洛文尼亞電視臺PoP TV遭受網絡攻擊

（十二）克羅地亞電話運營商A1 Hrvatska披露數據泄露事件

 

第一章 國外關鍵信息基礎設施安全動態

（一）烏克蘭國防部及主要銀行遭受大規模DDoS攻擊

烏克蘭國防部、武裝部隊、以及Privatbank和Oschadbank兩家國有銀行自2月15日下午開始遭受了大規模DDoS攻擊，導致網站中斷，這由于俄羅斯可能入侵烏克蘭的威脅導致緊張局勢持續。不過沒有跡象表明相對較低級別的DDoS攻擊可能成為更嚴重和更具破壞性的網絡惡作劇的煙霧彈。

至少有10個烏克蘭網站因遭受攻擊而無法訪問，其中包括國防部、外交部和文化部、以及烏克蘭最大的兩家國有銀行Privatbank和Oschadbank。在DDoS攻擊中，網站上充斥著大量垃圾數據包，使其無法訪問。

烏克蘭網絡防御高級官員Victor Zhora表示，“我們沒有任何此次DDoS攻擊隱藏的破壞性行為的任何信息。應急小組正在努力切斷襲擊者并恢復服務?！?/span>

烏克蘭最大的國有銀行Privatbank和國有儲蓄銀行Sberbank的客戶表示在線支付和銀行應用程序存在問題。

網絡管理公司Kentik Inc.互聯網分析主管Doug Madory表示，攻擊者的目標之一是烏克蘭軍隊和Privatbank的托管服務提供商。

烏克蘭信息部戰略通信和信息安全中心官員Zhora在聲明中表示，“儲戶的資金沒有受到威脅，此次襲擊也沒有影響烏克蘭軍隊的通訊?，F在說誰是這次襲擊的幕后黑手還為時過早?！?/span>

該聲明暗示了俄羅斯參與其中，“攻擊者有可能采取了小小惡作劇的策略，因為他的侵略計劃總體上沒有奏效。我們需要分析來自IT提供商的日志?！本W絡攻擊的快速歸因通常很困難，因為攻擊者經常試圖隱藏蹤跡。

私營部門專家兼ISSP網絡安全公司創始人Oleh Derevianko表示，烏克蘭人一直擔心這種“嘈雜”的網絡攻擊可能掩蓋了更險惡的事情。

隨著俄羅斯14號發出信號表明它可能會從邊境撤退，對俄羅斯入侵烏克蘭的擔憂有所緩解，但西方列強要求提供證據。然而，網絡攻擊是俄羅斯總統普京的典型特征，他喜歡試圖讓對手失去平衡。

曾在美國網絡司令部工作的網絡安全公司SightGain的首席執行官Christian Sorensen表示，“這些攻擊正在增加關注和壓力?，F階段的目的是增加談判的影響力?！?/span>

自2014年俄羅斯吞并克里米亞半島并支持烏克蘭東部的分離主義分子以來，烏克蘭一直受到俄羅斯在網絡空間的侵略。1月14日，一場網絡攻擊破壞了烏克蘭國家緊急服務局和汽車運輸保險局的服務器，惡意“擦除器”偽裝成勒索軟件。損失微乎其微，一些網絡安全專家認為，鑒于俄羅斯國家支持的黑客的能力，這是精心設計的。數十個被攻擊的烏克蘭政府網站同時發布的一條消息稱，“害怕并期待最壞的情況?！?/span>

烏克蘭國家安全和國防委員會二號官員Serhii Demediuk稱，1月14日的襲擊是“俄羅斯旨在破壞烏克蘭局勢穩定的全面行動的一部分，旨在破壞我們的歐洲大西洋一體化，并奪取權力?！?/span>

網絡安全公司CrowdStrike隨后在博客文章中表示，隨著普京試圖“降低”和“取消”對烏克蘭機構的信任，此類攻擊很可能會繼續。

2015年和2016年冬天，俄羅斯GRU軍事情報局對烏克蘭電網的襲擊導致暫時斷電。俄羅斯的GRU也被指責為有史以來最具破壞性的網絡攻擊。在2017年，NotPetya病毒針對在烏克蘭開展業務的公司，在全球造成超過100億美元的損失。該病毒也偽裝成勒索軟件，是一種席卷整個網絡的Wiper病毒。

參考來源：SecurityWeek http://33h.co/knscf

 

（二）威脅行為者TA2541多年來一直針對航空和運輸部門

Proofpoint研究人員發現了一個持續活躍的網絡犯罪威脅行為者，自2017年以來一直針對航空、航天、運輸、制造和國防行業，使用可用于遠程控制受感染機器的遠程訪問木馬(RAT)。Proofpoint研究人員將該組織稱之為TA2541。

TA2541是一個持續不斷的網絡犯罪分子，傳播針對航空、航天、運輸和國防等行業的各種遠程訪問木馬(RAT)。自2017年以來，Proofpoint一直在跟蹤這個威脅行為者，發現其一直使用了一致的策略、技術和程序(TTP)。受到攻擊的實體應了解該威脅行為者的TTP，并使用提供的信息進行狩獵和檢測。

TA2541使用與航空、交通和旅行相關的主題。當Proofpoint首次開始跟蹤該攻擊者時，該組織發送了包含宏的Microsoft Word附件，這些附件下載了RAT有效負載。該小組進行了轉型，現在他們更頻繁地發送帶有云服務鏈接的消息，例如托管有效負載的Google Drive。Proofpoint評估TA2541是一個網絡犯罪威脅行為者，因為它使用特定的商品惡意軟件、具有大量消息的廣泛目標、以及指揮和控制基礎設施。

雖然至少自2019年以來，就存在詳細描述類似威脅活動的公開報告，但這是Proofpoint首次共享了TA2541的全面詳細信息。

與許多分發商業惡意軟件的網絡犯罪威脅行為者不同，TA2541通常不會在其社會工程誘餌中使用時事、熱門話題或新聞項目。在幾乎所有觀察到的活動中，TA2541使用的誘餌主題包括與運輸相關的術語，例如飛行、飛機、燃料、游艇、包機等。

自2017年1月以來，TA2541持續進行威脅活動。通常其惡意軟件活動包括數百到數千條消息，但很少一次發送上萬條信息。這些活動影響了全球數百個組織，其目標反復出現在北美、歐洲和中東，消息幾乎總是用英語。

2020年春季，TA2541短暫轉向采用與貨物和航班細節的總體主題一致的新冠疫情相關誘餌主題。例如，他們分發與個人防護設備或新冠病毒測試套件的貨物運輸相關的誘餌。新冠病毒主題的采用很短暫，威脅行為者很快又回到了通用貨物、航班、包機等主題的誘餌上。

自2019年以來，包括Cisco Talos、Morphisec、微軟、Mandiant和獨立研究人員在內的多位研究人員發布了類似活動的數據。Proofpoint可以確認這些報告中的活動與跟蹤為TA2541的威脅參與者重疊。

雖然TA2541從2021年底開始一直使用Google Drive，偶爾使用OneDrive來托管惡意VBS文件，但Proofpoint觀察到該組織開始使用DiscordApp URL鏈接到壓縮文件，該文件導致AgentTesla或Imminent Monitor。Discord是威脅參與者使用的日益流行的內容交付網絡(CDN)。
最近的活動中，Proofpoint觀察到該組織在電子郵件中使用Google Drive URL，導致出現一個混淆的Visual Basic腳本(VBS)文件。如果執行，PowerShell從托管在各種平臺（如Pastetext、Sharetext和GitHub）上的文本文件中提取可執行文件。威脅行為者在各種Windows進程中執行PowerShell，并查詢Windows Management Instrumentation(WMI)以獲取防病毒和防火墻軟件等安全產品，并嘗試禁用內置的安全保護。威脅參行為將在主機上下載RAT之前收集系統信息。

盡管TA2541通常使用URL作為交付的一部分，但Proofpoint也觀察到該行為者利用電子郵件中的附件。例如，威脅行為者可能會將壓縮的可執行文件（如RAR附件）發送到包含URL的嵌入式可執行文件到托管惡意軟件有效負載的CDN。

TA2541在最近一次活動中使用了VBS文件，該活動利用了StrReverse函數和PowerShell的RemoteSigned功能。VBS文件的命名通常與整個電子郵件主題保持一致：戰斗、飛機、燃料、游艇、包機等。

通常TA2541將使用Visual Basic腳本(VBS)文件與他們最喜歡的有效負載之一AsyncRAT建立持久性。這是通過在指向PowerShell腳本的啟動目錄中添加VBS文件來完成的。使用的VBS和PowerShell文件名大多是為了模仿Windows或系統功能而命名的。

TA2541還通過創建計劃任務和在注冊表中添加條目來建立持久性。例如在2021年11月，TA2541使用這兩種方法分發了有效載荷即時監視器。在最近的活動中，vjw0rm和STRRAT還利用了任務創建和向注冊表添加條目。

自2017年以來，Proofpoint觀察到TA2541使用了十幾種不同的惡意軟件有效負載。威脅行為者使用可在犯罪論壇上購買或在開源存儲庫中獲得的商品惡意軟件。目前TA2541更喜歡AsyncRAT，但其他流行的RAT包括NetWire、WSH RAT和Parallax。

TA2541使用的所有惡意軟件都可用于收集信息，并獲得對受感染機器的遠程控制。目前Proofpoint還不知道威脅行為者的最終目的是什么。

雖然AsyncRAT是當前首選的惡意軟件，但自2017年以來，TA2541每年都在改變其惡意軟件的使用方式。威脅行為者通常會在觀察到的活動中僅使用一種或少數RAT，但在2020年，Proofpoint觀察到TA2541分發了超過10種不同類型的惡意軟件，都使用相同的初始感染鏈。

TA2541使用虛擬專用服務器作為其電子郵件發送基礎設施的一部分，并經常將動態DNS用于C2基礎設施。

C2基礎架構和消息工件有多種模式。例如，歷史活動在C2域名以及威脅參與者回復地址中包含術語kimjoy。另一個引人注目的TTP是在TA2541 C2域和包含關鍵字kimjoy、h0pe和grace的有效負載暫存URL中觀察到的常見模式。TA2541還經常使用相同的域注冊商，包括Netdorm和No-IP DDNS，以及托管服務提供商，包括xTom GmbH和Danilenko、Artyom。

通常，活動包含發送給數十個不同組織的數百到數千封電子郵件。盡管Proofpoint觀察到TA2541針對數千個組織，但航空、航天、運輸、制造和國防行業的多個實體經常成為其活動的目標。受害者似乎分布廣泛，表明TA2541不針對具有特定角色和功能的人。

TA2541仍然是一個持續的、活躍的網絡犯罪威脅，尤其是對其最常成為目標部門的實體。Proofpoint高度自信地評估認為，這個威脅行為者將繼續使用在歷史活動中觀察到的相同TTP，而對其誘餌主題、交付和安裝的變化最小。TA2541很可能會在未來的活動中繼續使用AsyncRAT和vjw0rm，并且可能會使用其他商品惡意軟件來支持其目標。

參考來源：Proofpoint http://33h.co/kntak

 

（三）美國警告稱俄羅斯黑客組織攻擊美國國防承包商

美國聯邦調查局(FBI)、國家安全局(NSA)和網絡安全與基礎設施安全局(CISA)聯合發布警告稱，俄羅斯支持的黑客組織一直在攻擊美國的國防承包商(CDC)，以獲取和竊取敏感信息，從而深入了解美國的國防和情報計劃和能力。

CDC是獲得國防部許可的私人實體，可以訪問機密信息，以競標合同或支持國防部項目，可以從各個領域獲得與國防部和情報機構項目有關的信息，包括：

1、指揮、控制、通信和作戰系統；

2、情報、監視、偵察和瞄準；

3、武器和導彈開發；

4、車輛和飛機設計；

5、軟件開發、數據分析、計算機和物流。

自2020年1月以來，俄羅斯黑客組織已經入侵俄羅斯多個CDC網絡，有的至少持續了六個月，定期竊取數百份文檔、電子郵件和其他數據。入侵的實體包括支持美國陸軍、美國空軍、美國海軍、美國太空部隊以及國防部和情報項目的CDC。這些持續的入侵使行為者能夠獲取敏感的、非機密的信息，以及CDC專有和出口控制的技術。通過獲取專有的內部文件和電子郵件通信，攻擊可能能夠調整自己的軍事計劃和優先事項，加快技術開發工作，將美國的意圖告知外交決策者，并鎖定潛在的招募來源。

從歷史上看，俄羅斯國家支持的網絡參與者使用常見但有效的策略來訪問目標網絡，包括魚叉式網絡釣魚、憑據收集、暴力破解/密碼噴射技術，以及針對安全性較弱的賬戶和網絡的已知漏洞利用。這些參與者利用簡單的密碼、未打補丁的系統、和毫無戒心的員工來獲得初始訪問權限，然后再通過網絡橫向移動以建立持久性并泄露數據。

在許多嘗試的入侵中，這些參與者采用了類似的策略來獲得對企業和云網絡的訪問權限，并優先考慮廣泛使用的Microsoft 365環境。在竊取電子郵件和數據時，攻擊者通常通過使用合法憑據和各種惡意軟件來保持持久性。

這些持續的入侵使行為者能夠獲取敏感的非機密信息，以及CDC專有和出口控制的技術。獲得的信息提供了對美國武器平臺開發和部署時間表、車輛規格以及通信基礎設施和信息技術計劃的重要信息。通過獲取專有的內部文件和電子郵件通信，攻擊者可能能夠調整自己的軍事計劃和優先事項，加快技術開發工作，告知外交政策制定者美國的意圖，并瞄準潛在的招募來源。鑒于在非機密CDC網絡上廣泛提供的信息的敏感性，FBI、NSA和CISA預計俄羅斯國家支持的網絡參與者將繼續針對美國的CDC在不久的將來獲取國防信息。

參考來源：CISA http://33h.co/kn1sm

 

（四）FBI警告BlackByte勒索軟件入侵美國關鍵基礎設施組織

美國聯邦調查局(FBI)和美國特勤局(USSS)聯合發布警告稱，BlackByte勒索軟件組織在過去三個月中至少入侵了三個美國的關鍵基礎設施領域組織。

該警告表示，“這項聯合網絡安全咨詢由聯邦調查局(FBI)和美國特勤局(USSS)開發，旨在提供有關BlackByte勒索軟件的信息。截至2021年11月，BlackByte勒索軟件已經危害了多家美國和外國企業，包括至少三個美國關鍵基礎設施部門的實體，涉及政府設施、金融以及食品和農業。BlackByte是一個勒索軟件即服務(RaaS)組織，加密受感染的Windows主機系統上的文件，包括物理和虛擬服務器?！?/span>

BlackByte勒索軟件自2021年9月以來一直活躍，2021年10月，Trustwave的SpiderLabs研究人員發布了一個解密程序，可以讓BlackByte勒索軟件早期版本的受害者免費恢復文件。

政府專家報告稱，該組織利用已知的Microsoft Exchange Server漏洞來訪問某些受害者的網絡。一旦獲得對網絡的訪問權限，威脅行為者就會部署工具來執行橫向移動并提升權限，然后再竊取和加密文件。

該警告包括BlackByte勒索軟件操作的危害指標(IOC)，可以讓防御者檢測到威脅。該警告包括在受感染的Microsoft Internet信息服務(IIS)服務器上發現的可疑ASPX文件的MD5哈希值，以及研究人員觀察到的勒索軟件操作員使用的命令列表。

該警告還提供了緩解措施：

1、對所有數據進行定期備份，以離線存儲為氣隙、密碼保護的副本。確保無法從原始數據所在的任何系統訪問這些副本以進行修改或刪除；

2、實施網絡分段，這樣網絡上的所有機器都不能從其他機器訪問；

3、在所有主機上安裝并定期更新殺毒軟件，并啟用實時檢測；

4、更新/補丁發布后立即安裝更新/補丁操作系統、軟件和固件；

5、查看域控制器、服務器、工作站和活動目錄中是否有新的或無法識別的用戶賬戶；

6、審核具有管理權限的用戶賬戶，并以最低權限配置訪問控制。不要授予所有用戶管理權限；

7、禁用未使用的遠程訪問/遠程桌面協議(RDP)端口，并監控遠程訪問/RDP日志以發現任何異?；顒?；

8、考慮為從組織外部收到的電子郵件添加電子郵件banner；

9、在收到的電子郵件中禁用超鏈接；

10、登錄賬戶或服務時使用雙重身份驗證；

11、對所有賬戶進行例行審計；

12、將所有已識別的IOC輸入到網絡SIEM中，以進行持續監控和警報。

參考來源：SecurityAffairs http://33h.co/kns0i

 

（五）Moxa的工業網絡管理軟件Mxview中存在嚴重漏洞

工業網絡安全公司Claroty研究人員在Moxa的MXview工業網絡管理軟件中發現了五個漏洞，未經身份驗證的攻擊者成功利用這些漏洞可在未修補的MXview服務器上實現遠程代碼執行。這些漏洞的CVSS評分為滿分10.0分，是嚴重漏洞。

MXview的3.x到3.2.2版本受影響，在3.2.4版本中進行了修復，建議用戶升級到3.2.4或更高版本以修復這些漏洞。CISA對此發布了公告，警告該漏洞對組織的影響。

Moxa MXview是一個基于Web的網絡管理系統，用于配置、監控和診斷工業網絡中的網絡設備。該產品使用戶能夠通過網絡瀏覽器管理設備，包括從本地或遠程站點。

Claroty漏洞研究員Noam Moshe表示，“威脅者可通過利用這幾個漏洞來攻擊未修補的Moxa服務器，從而實現遠程代碼執行。像MXview這樣的網絡管理系統不僅可以處理網絡設備和連接的發現，管理員還可以使用它來集中管理網絡上Moxa設備的配置和固件更新。具有這種訪問權限的攻擊者可以操縱這些配置來改變進程并影響設備完整性?！?/span>

CVE-2021-38452是一個文件讀取漏洞，允許未經身份驗證的攻擊者讀取目標操作系統上的任何文件，包括包含明文配置和密碼的文件，包括MQTT代理的密碼。

一旦攻擊者可以訪問MQTT代理，就可以利用CVE-2021-38454和CVE-2021-38458進行遠程代碼執行。CVE-2021-38454是不正確的訪問控制問題，允許遠程連接到內部通信通道。CVE-2021-38458是由于對特殊元素的不當中和，使攻擊者能夠遠程執行未經授權的命令、禁用軟件或讀取和修改其他無法訪問的數據。

訪問控制漏洞CVE-2021-38454允許任何MQTT代理用戶以可能的最高權限執行任意代碼：NT AUTHORITY/SYSTEM。它存在于ping路由的驗證機制中，該機制通過使用ICMP協議ping給定機器來檢查它是否處于活動狀態。

CVE-2021-38460允許密碼泄露，允許攻擊者通過未受保護的傳輸獲取憑據。CVE-2021-38456使用了硬編碼密碼，允許攻擊者使用默認密碼訪問賬戶。

參考來源：Claroty http://33h.co/knsth

 

（六）黑客組織ModifiedElephant多年來一直未被發現

SentinelLabs研究人員發現了一個名為ModifiedElephant的APT黑客組織。該組織自2012年開始運營，并多次針對特定人士。該組織攻擊印度各地的人權活動家、人權捍衛者、學者和律師，進行有針對性的攻擊，目的是植入有罪的數字證據。該組織通過使用商用遠程訪問木馬(RAT)進行操作，并且與商業監控行業有潛在的聯系。使用帶有惡意文檔的魚叉式網絡釣魚來傳遞惡意軟件，例如NetWire、DarkComet和簡單鍵盤記錄器，與基礎設施重疊。

APT黑客組織ModifiedElephant多年以來一直使用了先進的復雜技術保密。然而十年來，他們一直在實施自己的技術并進行不同的攻擊。該組織的威脅行為者使用的策略通常允許其在高度保密的情況下開展行動。所有這些都是SentinelLabs通過威脅行為者在攻擊過程中的點點滴滴連接起來的。

ModifiedElephant威脅組織十多年來一直在進行多次攻擊，包括：在2013年使用電子郵件附件以及虛假的雙重擴展名傳播惡意軟件。2015年該組織的威脅行為者轉移到了受密碼保護的RAR附件，這些附件最初包含合法的誘餌文件。2019年，該組織的運營商開始托管惡意軟件投放網站，不僅如此，還濫用云托管服務。在2020年，運營商使用了300 MB的RAR文件，目的是通過跳過掃描來逃避檢測。

威脅組織ModifiedElephant的主要目標是非常長期的監視，針對的組織和個人包括：記者、人權捍衛者、活動家、和印度法律專業人士。

在進行適當調查后，研究人員沒有發現任何可以表明運營商一直在使用任何后門的鏈接。因此威脅行為者在操作中都沒有使用任何自定義后門。在活動中發現的惡意軟件包括NetWire和DarkComet，這些特洛伊木馬是公開可用的，并被多個威脅行為者使用。

雖然ModifiedElephant黑客組織已經被關注了很長時間，但研究人員正試圖找到所有關鍵環節。到目前為止，ModifiedElephant已經與印度國家利益保持一致，不僅如此，ModifiedElephant攻擊與在不同政治指控案件中逮捕個人之間存在關聯。這種威脅攻擊是非常隱蔽的，因此人們必須保持警惕，使這種威脅組織無法實施計劃行動。

參考來源：GBHacker http://33h.co/knvut

 

（七）國際互聯網協會泄露成員個人信息

Clario研究人員在一個開放且未受保護的Microsoft Azure blob存儲庫中發現了互聯網協會(ISOC)成員的個人信息和登錄詳細信息。

互聯網協會(ISOC)是與互聯網相關的最古老和最重要的國際非營利組織之一，成立于1992年，其使命是通過增強和支持全球個人和組織的互聯網使用，來確保開放的互聯網發展。由于世界上有一半的人沒有在線訪問權限，因此該組織的舉措旨在縮小這種鴻溝，并使人們更容易上網。據該機構稱，其成員現已增長至八萬多人。

Clario研究人員于2021年12月8日在一個開放且未受保護的Microsoft Azure blob存儲庫中發現了不安全的數據，該存儲庫包含數百萬個文件。該團隊隨后與獨立網絡安全研究員Bob Diachenko合作報告了這一事件。

Blob中公開的數據包括ISOC成員的姓名以及住址、電子郵件地址、性別、登錄詳細信息和密碼哈希。信息存儲在json文件中。

研究人員在一份事件報告中指出，“開放且未受保護的Microsoft Azure blob存儲庫包含數百萬個文件，其中包含屬于ISOC成員的個人和登錄詳細信息，并可能危及他們的隱私。根據公開存儲庫的大小和性質，可以假設所有成員的登錄信息和相關信息在一段未定義的時間內對公共互聯網開放?！?/span>

研究人員在泄漏發現當天通過電子郵件向ISOC報告了這一事件。ISOC的回應是對泄露事件展開調查并保護數據。

在12月15日ISOC將安全漏洞歸因于其管理系統提供商的配置錯誤。

ISOC表示，“我們已經確認，MemberNova錯誤地配置了我們使用的協會管理系統，這使得一些互聯網協會成員數據可以公開訪問。我們調查并未發現任何因此問題而惡意訪問成員數據的情況。受此事件影響的個人在假期前收到了違規通知?！?/span>

Clario研究人員表示，違規行為可能會損害社會聲譽，并使ISOC成員面臨網絡攻擊的風險?！坝捎谠摻M織在網絡世界工作，并被視為標準和最佳實踐的擁護者，如果這出來了，可能會特別尷尬?！?/span>

參考來源：InfoSecurityMagazine http://33h.co/kni77

 

（八）NFL超級碗舊金山49人隊遭受BlackByte勒索軟攻擊

NFL舊金山49人隊遭受了BlackByte勒索軟件攻擊，該組織聲稱從49人隊竊取了大量數據，并加密了IT網絡上的文件。

舊金山49人隊在一份聲明中證實了這次攻擊，并表示該事件導致部分IT網絡暫時中斷。雖然舊金山49人隊沒有確認黑客是否成功部署了勒索軟件，但表示，他們仍在恢復系統的過程中，這表明設備可能已被加密。

舊金山49人隊表示，“舊金山49人隊最近發現了一起網絡安全事件，該事件導致公司IT網絡上的某些系統暫時中斷。得知該事件后，我們立即展開調查，并采取措施控制該事件。第三方網絡安全公司參與協助，并通知了執法部門。雖然調查仍在進行中，但我們認為該事件僅限于我們的企業IT網絡。迄今為止，我們沒有跡象表明此事件涉及我們公司網絡之外的系統，例如與李維斯體育場運營或持票人相關的系統。隨著調查的繼續，我們正在努力盡快、盡可能安全地恢復相關系統?！?/span>

為了進行勒索軟件攻擊，威脅行為者會破壞公司網絡，并在竊取數據的同時悄悄地傳播到其他設備。黑客最終部署了加密網絡上所有設備的惡意軟件，同時留下勒索票據，要求支付加密貨幣來換取解密程序。然后，勒索軟件團伙利用被盜文件作為籌碼，威脅稱如果不支付贖金就會將其公開。

BlackByte組織聲稱對舊金山49人隊的攻擊負責，就在NFL為2022年超級碗做準備之際，開始泄露聲稱從舊金山49人隊竊取的文件。

泄露的數據是一個292MB的文件存檔，威脅者稱這些文件是從舊金山49人隊網絡竊取的。BlackByte通常會越來越多地發布其受害者的數據，以進一步迫使受害者付費。雖然不知道在對舊金山49人隊的攻擊期間有多少數據被盜，但BlackByte已經從以前的受害者那里竊取了千兆字節的數據。

BlackByte勒索軟件活動于2021年7月開始，目標針對全球范圍內的企業受害者。與其他組織相比，該勒索軟件團伙并不特別活躍，但他們已經進行了多次成功的攻擊，這意味著企業不應忽視它們。

眾所周知，勒索軟件團伙利用漏洞來獲得對公司網絡的初始訪問權限，這表明需要始終安裝最新的軟件更新。2021年10月，BlackByte操作犯了在多次攻擊中重復使用相同的解密/加密密鑰的重大錯誤。雖然BlackByte迅速修復了這個錯誤，但它允許網絡安全公司Trustwave創建一個免費的解密器，允許一些受害者免費恢復他們的文件。

參考來源：BleepingComputer http://33h.co/kn3gy

 

（九）Apache Cassandra數據庫軟件存在遠程代碼執行漏洞

JFrog安全研究團隊披露了Apache Cassandra數據庫軟件庫中的一個高危遠程代碼執行漏洞。該漏洞編號為CVE-2021-44521，CVSS評分為8.4分。該安全漏洞很容易被利用，并且有可能對系統造成嚴重破壞，僅影響Cassandra的非默認配置。

Cassandra是一個高度可擴展的分布式NoSQL數據庫，由于其分布式特性的優勢而非常受歡迎。Cassandra被Netflix、Twitter、Urban Airship、Constant Contact、Reddit、Cisco、OpenX、Digg、CloudKick、Ooyala等企業使用。Cassandra在DevOps和云原生開發圈中也非常受歡迎，這從它對CNCF項目（例如Jaeger）的支持可以看出。一些公司甚至提供基于Cassandra的基于云的交鑰匙解決方案，例如DataStax，一種無服務器、多云DBaaS。

只有在Cassandra中啟用了為自定義數據處理創建用戶定義函數(UDF)的功能時，安全漏洞才會存在，并且只有在攻擊者有足夠的權限來創建UDF時才能被利用。該配置是非默認的，并已被記錄為不安全配置。

JFrog表示，Cassandra中的UDF可以用Java和JavaScript編寫，后者使用Nashorn引擎，在接受不受信任的代碼時不能保證安全，這意味著應該在沙箱中運行。

事實上，Cassandra確實實現了一個自定義沙箱來限制UDF代碼，但當啟用一系列非默認配置選項時，攻擊者可以濫用Nashorn引擎，逃離沙箱并實現遠程代碼執行。

當Cassandra部署配置為允許UDF和腳本UDF，但不允許UDF線程時，很容易受到攻擊。默認情況下，UDF線程處于啟用狀態，這意味著每個調用的UDF函數都在單獨的線程中運行。啟用UDF后，所有用戶都可以創建和執行任意UDF，包括匿名登錄的用戶。

JFrog在研究過程中還發現了其他幾個問題，包括拒絕服務攻擊，和通過不安全對象反序列化的遠程代碼執行漏洞。CVE-2021-44521在Apache Cassandra的3.0.26、3.11.12和4.0.2版本的中得到解決，建議用戶盡快升級到補丁版本。

Apache的修復程序添加了一個新標志，允許額外不安全的UDF，默認為false，不允許關閉安全管理器，并阻止對java.lang.System的訪問。用戶還可以通過禁用UDF、允許UDF線程（默認配置）、以及拒絕不受信任的用戶的權限來減輕此漏洞的影響。

參考來源：Jfrog http://33h.co/knv48

 

（十）Vmware修復了五個高危漏洞

VMware發布了安全更新，修復了五個高危漏洞，涉及ESXi、Fusion和Workstation產品，攻擊者利用這些漏洞可訪問組織虛擬環境中的工作負載，并導致命令執行和DoS攻擊。

這些漏洞的嚴重等級從5.3至8.4分不等。VMware表示，結合利用這些漏洞可能導致更糟糕的后果，導致更高的嚴重性，因此是高危漏洞。

VMware在2月15日發布的公告指出，修補VMware ESXi、Fusion和Workstation是解決問題的最快方法，但組織也可以從其虛擬機中移除USB控制器作為解決方法。然而這種方法可能無法大規模實現，并且不會像打補丁那樣消除潛在威脅。這五個漏洞包括：

1、CVE-2021-22040：XHCI USB控制器中的釋放后使用漏洞(CVSS 8.4)；

2、CVE-2021-22041：UHCI USB控制器中的雙取漏洞(CVSS 8.4)；

3、CVE-2021-22042：ESXi settingsd未授權訪問漏洞(CVSS 8.2)；

4、CVE-2021-22043：ESXi settingsd TOCTOU漏洞(CVSS 8.2)；

5、CVE-2021-22050：ESXi慢速HTTP POST拒絕服務漏洞(CVSS 5.3)。

在VMware ESXi、Fusion和Workstation的USB控制器中發現了高危漏洞CVE-2021-22040、CVE-2021-22041。如果被利用，在虛擬機上具有本地管理權限的惡意行為者將能夠執行代碼，作為在主機上運行的VM的虛擬機擴展(VMX)進程。VMX進程在VMkernel中運行，負責處理對性能不重要的設備的輸入/輸出(I/O)。

CVE-2021-22042和CVE-2021-22043也是高危漏洞，會影響settingsd命令，該命令負責設置和主機日志等。第一個涉及VMX未經授權訪問settingsd授權票證。這意味著在VMX進程中具有特權的惡意行為者可以訪問作為高特權用戶運行的settingsd服務。

第二個是檢查時間使用漏洞，可以與第一個鏈接在一起，以處理臨時文件的方式存在，允許有權訪問settingsd的攻擊者通過寫入任意文件來提升權限。

最后一個漏洞CVE-2021-22050是中危漏洞，僅影響ESXi平臺，并且可能允許攻擊者通過使用多個請求壓倒rhttpproxy服務，在主機上創建拒絕服務(DoS)條件。成功利用該漏洞需要惡意行為者已經擁有對ESXi的網絡訪問權限。

這是今年影響這三款產品的第二個主要補丁版本。該公司表示，到目前為止，還沒有發現針對這些漏洞的攻擊，但如果過去是前奏，這種情況可能會迅速改變，因此管理員應該迅速修補。

參考來源：threatpost http://33h.co/kncg1

 

（十一）斯洛文尼亞電視臺PoP TV遭受網絡攻擊

斯洛文尼亞最受歡迎的電視頻道Pop TV發生了一起網絡攻擊事件，疑似是勒索軟件攻擊，擾亂了運營。

在聲明中PoP TV表示，該事件發生在2月8日星期二，影響了Pop TV的計算機網絡，并導致每日新聞節目24UR晚間版被取消，在網站上播放了新聞的刪減版本。雖然新聞廣播在第二天恢復，但攻擊也影響了網絡運營的其他部分。

在2月9日發布的第二份聲明中Pop TV表示，這次攻擊還襲擊了一些網絡服務器，包括VOYO，這是一個提供母公司頻道的點播流媒體平臺，以及授權電影和電視劇。這次攻擊阻止了其員工向平臺添加新內容，無法將任何頻道和體育賽事直播進行流媒體傳輸，例如冬奧會，這激怒了許多付費用戶。

斯洛文尼亞新聞媒體Zurnal24報道稱，Pop TV被外國黑客勒索，似乎是一場勒索軟件攻擊。斯洛文尼亞的計算機應急響應小組SI-CERT也發表了一份聲明，確認其正在與電視臺合作應對這次襲擊，但拒絕透露任何其他細節。

在過去的幾年里，幾家主要電視臺都受到了網絡攻擊，包括法國M6（2019年10月）、The Weather Channel（2019年4月）、Cox傳媒集團（2021年6月）、美國Sinclair廣播集團（2021年10月）、葡萄牙的SIC（2021年1月）、和伊朗的IRIB（2021年2月）。

除IRIB事件外，其中大部分是勒索軟件攻擊，攻擊電臺的后端IT基礎設施，導致在恢復系統前離線了數小時，這意味著Pop TV比以前的大多數案例更容易下線。

參考來源：TheRecord http://33h.co/kn380

 

（十二）克羅地亞電話運營商A1 Hrvatska披露數據泄露事件

克羅地亞電信運營商A1 Hrvatska披露了一起數據泄露事件，其10%的用戶數據遭到泄露，涉及約20萬客戶。威脅行為者獲得的數據包括姓名、地址、身份證號、及電話號碼等敏感個人信息，財務數據沒有泄露。A1 Hrvatska的服務和運營沒有受到影響。

A1 Hrvatska表示“不幸的是，盡管采取了先進的保護措施，安全水平不斷提高，但還是發生了數據庫泄露事件，其中一個數據庫泄露了A1部分用戶的部分個人數據。目前正在開展大量工作，查明與安全事件相關的所有事實，到目前為止，計算機取證已確定，可能受到影響的數據不到A1用戶的10%。泄露的數據包括姓名、地址、OIB和電話號碼，銀行卡和賬戶的信息沒有泄露，因為在相關的數據庫中不可用。所有個人數據可能被泄露的用戶都將被直接通知?！?/span>

A1 Hrvatska非常重視這一令人尷尬的情況，并在出現疑似未經授權訪問用戶數據庫的最初跡象后，立即阻止進一步未經授權的訪問，并采取了額外的保護措施。A1Hrvatska遵守最高的安全標準和數據保護，將繼續加大投資以改善安全環境。此次安全事件沒有影響對客戶提供的服務。

參考來源：A1 http://33h.co/kn394

 

（如未標注，均為天地和興工業網絡安全研究院編譯）