关键信息基础设施安全动态周报【2021年第46期】
Check Point研究人员对联发科的音频数字信号处理器(DSP)固件进行逆向工程,发现了几个安全漏洞。攻击者可利用这些漏洞提升权限,向DSP固件发送消息,操纵请求处理程序,然后在DSP芯片上隐藏或运行代码,从而允许攻击者在用户不知情的情况下进行大规模窃听活动。所有使用联发科芯片的智能手机都容易受到窃听攻击或恶意软件攻击。
参考来源:BleepingComputer
(一)丹麦风电制造商Vestas遭受网络攻击导致IT系统中断
丹麦风力涡轮机制造商Vestas披露,其在11月19日遭受了网络攻击,为了防止攻击蔓延,关闭了多个业务部门和地点的IT系统。客户、员工和其他利益相关者可能会受到IT系统关闭的影响。初步调查结果表明,该事件影响了Vestas的部分内部IT基础设施,并且数据已被泄露。目前没有迹象表明第三方运营受到影响,IT系统正在逐步恢复。
参考来源:Vestas
(二)伊朗马汉航空遭受网络攻击
伊朗第二大私营航空公司马汉航空(Mahan Air)11月21日遭受了网络攻击,导致网站离线,并可能数据丢失。尽管网站无法访问,但是国际和国内航班没有受到影响,没有造成延误。黑客组织Hooshyarane Vatan对此次攻击负责,声称窃取了马汉航空与伊斯兰革命卫队合作的机密文件,并且威胁要公布证据文件。
参考来源:BleepingComputer
(三)英国交通部网站被恶意篡改
英国交通部(DfT)的一个网站charts.dft.gov.uk在11月25日被恶意篡改,提供色情服务。正常情况下,该网站为公众和部门的业务计划提供各种DfT服务的商业计划文件和重要统计数据。目前该网站已无法访问,DfT的主网站DfT.gov.uk已经恢复访问,DfT尚未对此事置评。
参考来源:BleepingComputer
(四)Lantronix工业及企业Wi-Fi模块存在多个漏洞
思科Talos威胁情报研究人员在Lantronix的嵌入式Wi-Fi模块PremierWave 2050中发现了21个漏洞,其中大多为严重漏洞或高危漏洞,该模块是专门为关键工业及商业应用设计的。研究人员发现的漏洞包括操作系统命令注入、远程代码执行、信息泄露、文件覆盖和本地文件包含,远程攻击者可利用这些漏洞完全破坏PremierWave 2050操作系统。
参考来源:SecurityWeek
(五)美国CISA及FBI警告关键基础设施在节假日期间警惕网络攻击
美国CISA和FBI在11月22日联合发布警报称,提醒关键基础设施合作伙伴及公共/私人组织,在假日期间警惕恶意网络攻击。节假日期间正是威胁行为者破坏组织、企业和关键基础设施的关键网络和系统的好时机。在节假日期间,办公室经常关闭,员工在家与朋友和家庭相聚,因此组织更容易受到网络攻击。CISA和FBI敦促所有实体主动采取行动,保护自己免受网络攻击。
参考来源:CISA
(六)美国监管机构要求银行必须在36小时内报告重大网络事件
美国银行监管机构11月18日批准了一项规定,要求银行在发现任何重大网络安全事件后在36小时内必须向政府报告。当重大网络攻击已经或可能影响银行运营、提供银行产品和服务的能力、或美国金融部门的稳定性时,银行必须报告重大网络攻击。如果网络攻击已经或可能会影响客户四个小时或更长时间,银行服务提供商还必须“尽快”通知客户。
参考来源:CyberScoop
(七)新型恶意软件Tardigrade针对生物制造业开展攻击
生物经济信息共享和分析中心(BIO-ISAC)11月22日发布报告称,其发现一个APT组织正在使用一种名为Tardigrade的新型自定义恶意软件,攻击生物制造设施。攻击者使用自定义恶意软件在受感染的网络中传播,并在不被发现的情况下长时间窃取数据。自2021年春季以来,该行为者一直在积极瞄准该领域的实体。
参考来源:BleepingComputer
(八)黑客渗透进入印度尼西亚国家警察服务器窃取警察数据
一名巴西黑客声称,其通过渗透印度尼西亚国家警察服务器获得了28,000名警察的数据,泄露的信息包括姓名、家庭住址、电子邮件、电话号码和血型。目前印度尼西亚警方正在调查这一事件,这凸显了印度尼西亚网络安全风险。
参考来源:WTVB
(九)AppGallery应用商店中超900万安卓设备感染木马
Doctor Web恶意软件分析师发现,AppGallery应用商店中有190多个应用程序中内置了Android.Cynos.7.origin木马,会收集用户的手机号码、位置坐标、网络参数、及设备规格。威胁行为者将恶意软件隐藏在Android应用程序中,伪装成模拟器、平台游戏、街机游戏、策略游戏和射击游戏,面向中文、英语、以及俄语用户,至少有930万Android设备用户安装了这些危险游戏。
参考来源:DrWEB
(十)新加坡星展银行连续两天服务中断
新加坡星展银行(DBS)自11月23日起一些客户无法访问网上银行及手机银行服务。24日恢复服务几小时后,再次遭遇中断,数千名客户投诉。这是该银行11年来最大业务中断事件。星展银行24日向客户保证,尽管访问控制服务器存在问题,但客户的存款和资金是安全的。新加坡金融管理局表示考虑对该银行采取监管行动。
参考来源:Reuters
(十一)新型勒索软件Memento使用受密码保护的WinRAR文档绕过加密保护
Sophos研究人员发现,新型勒索软件Memento在加密文件过程中被终端保护程序阻止,随后选择用合法文件压缩程序WinRAR将文件加密,然后删除原始文件。
参考来源:SecurityAffairs
(十二)黑客利用微软MSHTML漏洞窃取凭据
SafeBreach Labs研究人员发现了一个新的伊朗威胁行为者,利用Microsoft Windows MSHTML平台中一个已经解决的远程代码执行漏洞CVE-2021-40444,利用新的基于PowerShell的窃取程序,攻击讲波斯语的受害者,该程序旨在从受感染的机器中获取大量详细信息,包括屏幕截图、Telegram文件、文档收集、以及有关受害者环境的大量数据。
参考来源:TheHackerNews
(十三)GoDaddy泄漏120万托管WordPress用户信息
域名注册及网络托管商GoDaddy在11月22日披露其遭受了黑客攻击,泄漏了120万托管的WordPress用户的敏感数据,包括数据库用户名和密码、电子邮件地址和私有SSL密钥。未经授权的第三方使用泄露的密码访问了托管WordPress的旧代码库中的配置系统。
参考来源:SEC
(十四)易受攻击的蜜罐80%在24小时内遭受入侵
Palo Altos Networks的Unit 42研究人员进行了一项新研究,部署了320个蜜罐,发现其中80%的蜜罐在24小时内遭受入侵,所有蜜罐在一周内遭受入侵。恶意行为者不断扫描互联网以查找可被利用以访问内部网络或执行其他恶意活动的暴露服务。这些蜜罐在全球范围内部署,包括北美、亚太地区和欧洲。部署的蜜罐包括远程桌面协议(RDP)、安全外壳协议(SSH)、服务器消息块(SMB)和Postgres数据库服务。
参考来源:Palo Altos Networks
(十五)英国数据存储公司Stor-A-File遭受网络攻击泄露敏感信息
英国数据存储公司Stor-A-File遭受了重大网络攻击,导致敏感医疗信息在网上泄露。攻击者要求支付300万英镑的赎金,由于该公司拒绝支付,黑客在暗网上泄露了大量文件,包括敏感的个人及医疗信息。
参考来源:DailyMail
(如未标注,均为天地和兴工业网络安全研究院编译)
点击“在看”鼓励一下吧
