关键信息基础设施安全动态周报【2021年第48期】
台湾网络设备供应商威联通(QNAP)12月7日发布警告称,其NAS设备成为了比特币矿工的攻击目标。一旦NAS受到感染,CPU使用率会变得异常高,其中名为oom_reaper的进程可能会占用总CPU使用率的50%左右。此进程模仿了仿具有相同名称的正常合法内核进程。然而,合法的内核进程PID通常低于1000,而比特币矿工PID通常大于1000。QNAP强烈建议用户立即采取行动保护设备。
参考来源:QNAP
Fortinet研究人员发现,一种名为Moobot的僵尸网络正在利用海康威视产品的网络服务器中的严重命令注入漏洞,获取受害者敏感数据。Moobot是基于Mirai的DDoS僵尸网络,该漏洞编号为CVE-2021-36260,可通过发送包含恶意命令的特制消息来远程利用。海康威视已于今年9月份发布了漏洞补丁,然而并非所有用户都安装了安全更新,Moobot正在利用未修复的漏洞从受害者那里提取敏感数据。
参考来源:BleepingComputer
据环球时报报道,最新的一份网络安全事件分析报告显示,来自中国台湾地区的网络攻击组织“绿斑”在2021年持续对中国大陆发动攻击活动。从攻击目标地域分布来看,北京位居首位,其次是紧邻台湾岛的福建省。绿斑APT组织近期攻击目标主要为中国大陆的高校、科研机构、政府单位、航空航天、军事等机构,目标通常是窃取高价值数据和机密信息,钓鱼邮件是惯用攻击手段。建议相关行业提高安全意识、注意防护。
本文版权归原作者所有,参考来源:环球网
(一)澳大利亚电力供应商CS Energy遭受勒索软件攻击
澳大利亚电力供应商CS Energy在11月27日遭受了勒索软件攻击,发电站的安全和运营没有受到影响,发电和输电也没有受到影响。勒索软件破坏了该公司网络上的设备,该网络迅速与其他内部网络隔离,以防止恶意软件传播。该公司正在努力恢复受影响的系统,并表明没有迹象显示此次攻击是由国家支持的威胁行为者实施。疑似此次的攻击者是Conti勒索软件组织。
参考来源:CS Energy
(二)美国科罗拉多电力公司DMEA遭受网络攻击
美国科罗拉多州电力公司DMEA披露,其在11月7日遭受了网络攻击,未经授权的第三方访问了内部网络系统,影响了支付处理、计费、账户访问等功能,导致DMEA失去了90%的内部网络功能,保存文档及电子表格等数据损坏,20多年前的大部分历史数据丢失。该事件还影响了电话和电子邮件,电网和光纤网络没有受到事件的影响。DMEA表示没有敏感数据泄露。
参考来源:DMEA
(三)日立能源多款产品存在安全漏洞
美国CISA近日发布了六条安全公告,披露日立能源的多款产品中存在30多个安全漏洞,其中大多数影响第三方开源组件如OpenSSL、LibSSL、libxml2和GRUB2,包括RTU500系列双向通信接口、Relion保护和控制IED、零售运营和交易对手结算和计费软件、变压器资产性能管理边缘软件、以及PCM600更新管理器。攻击者可利用这些漏洞重新启动设备、执行任意代码、导致拒绝服务(DoS)条件、安装不受信任的软件包、窃听流量、以及访问或修改数据。日立已发布了受影响产品的修补程序及缓解措施。
参考来源:SecurityWeek
(四)美国TSA发布铁路行业网络安全指令
美国运输安全管理局12月2日发布了针对铁路行业的安全指令,将加强高风险货运铁路、客运铁路和轨道交通部门的网络安全,以应对对关键基础设施日益增长的威胁。该指令要求符合条件的铁路所有者和运营商指定一名网络安全协调员、在24小时内向网络安全和基础设施安全局报告网络安全事件、在180天内制定并实施网络安全事件响应计划、并完成网络安全漏洞评估。
参考来源:InfoRiskToday
(五)FBI警告Cuba勒索软件攻击49个美国关键基础设施
美国FBI在12月2日发布警告称,Cuba勒索软件组织已破坏了美国关键基础设施部门至少49个组织的网络,收到的勒索赎金超过4000万美元,受影响的组织包括但不限于金融、政府、医疗保健、制造和信息技术部门。Cuba勒索软件通过Hancitor恶意软件下载程序传播。该警报分享了Cuba勒索软件组织的威胁指标IoC、该组织采用的TTP、以及缓解建议。FBI建议不要支付赎金,因为支付勒索赎金并不能保证可以防止数据泄露或未来的攻击。
参考来源:BleepingComputer
(六)加密货币交易所Bitmart遭受黑客攻击损失近2亿美元
加密货币交易公司Bitmart证实,其遭受了大规模黑客攻击,以太坊(ETH)热钱包和币安智能链(BSC)热钱包存在大规模安全漏洞,总损失为1.5亿美元。据区块链分析公司Pechsheild称,Bitmart的损失高达近2亿美元。黑客总共窃取了20种不同的代币,包括Binance币、SafeMoon和Shiba Inu。BitMart是交易量最大的集中式加密货币交易所之一,其首席执行官Sheldon Xia在攻击发生后表示,Bitmart承诺将自掏腰包,弥补在攻击中受到影响的用户的损失。
参考来源:InfoRiskToday
(七)美国政府员工手机遭受Pegasus间谍软件攻击
据路透社及华盛顿邮报报道,有多名美国政府员工的iPhone手机近几个月来遭受了Pegasus间谍软件攻击,涉及11名美国大使馆或国务院员工。受影响的人员涉及美国驻乌干达首都坎帕拉大使馆的官员,使用的是海外电话号码注册的iPhone。Pegasus间谍软件由以色列公司NSO Group开发,该公司向数十个国家的政府客户授权软件,允许其秘密窃取文件、窃听对话、和跟踪其目标的移动。
参考来源:WashingtonPost
(八)Emotet恶意软件可直接安装Cobalt Strike
研究人员发现,Emotet僵尸网络现在可以直接在受感染的设备上安装Cobalt Strike,让威胁行为者可以直接访问目标系统并安装勒索软件。同时,自上个月Emotet重出江湖以来,Emotet通过TrickBot迅速传播,该恶意软件为勒索软件组织提供了进入受感染机器的后门。这预示着一系列勒索软件攻击即将发生,因此警告各组织要做好准备。
参考来源:ThreatPost
(九)谷歌关闭Glupteba僵尸网络并起诉运营商
谷歌威胁分析小组发现并破坏了Glupteba僵尸网络,该网络已感染全球超过100万台Windows PC,每天增加数千台新的受感染设备。该网络使用了比特币区块链的备份机制,通过伪造盗版软件、视频、恶意文档、流量分配系统等进行传播。安装后,该僵尸网络会窃取用户的凭证和数据、挖掘加密货币、滥用受害者资源、建立代理、通过受感染的机器和路由器引导互联网流量。
参考来源:BleepingComputer
(十)SonicWall的VPN设备存在多个严重漏洞
SonicWall在12月8日披露,其安全移动访问(SMA)100系列VPN设备中存在8个安全漏洞,可允许未经身份验证的远程用户以root身份执行代码。其中最严重的漏洞CVE-2021-20038是未经身份验证的基于堆栈的缓冲区溢出问题,CVSS评分为9.8分。如果被利用,可允许未经身份验证的远程攻击者以设备中的nobody用户身份执行代码,这意味着该用户以root身份进入。攻击者可以继续完全控制设备、启用和禁用用户帐户和应用程序的安全策略和访问权限。
参考来源:ThreatPost
(十一)17个攻击气隙网络的恶意框架
ESET研究人员表示,仅在2020年上半年,就检测到了四种不同的攻击气隙网络的恶意框架,总数达到17个,并为攻击者提供了进行网络间谍活动和泄露机密信息的途径。所有框架都使用USB驱动器作为物理传输介质,将数据传入和传出目标气隙网络。主要的攻击基于Windows的操作系统,超过75%的框架利用USB驱动器上的恶意LNK或AutoRun文件来执行气隙系统的初始入侵或在气隙网络内横向移动。气隙是保护SCADA和工业控制系统的最常见方式之一,APT组织越来越多地将目光投向关键基础设施。
参考来源:TheHackerNews
(十二)威胁行为者利用奥密克戎变体作为诱饵进行网络钓鱼诈骗
威胁行为者已经开始利用奥密克戎变体作为话题,伪装成英国国家卫生服务(NHS),发送虚假钓鱼邮件,来窃取个人数据及银行详细信息。发送钓鱼电子邮件的地址是contact-nhs@nhscontact.com,但是其实与NHS无关。点击邮件中的链接将跳转到虚假的NHS网站,要求受害者输入姓名、出生日期、家庭住址、手机号码和电子邮件地址,以及要求受害者支付小额费用,来窃取受害者的付款详细信息。
参考来源:Which?
(十三)到2025年30%的关键基础设施组织将遭遇安全漏洞
据Gartner预测,到2025年,30%的关键基础设施组织将遇到安全漏洞,这将导致运营或任务关键型网络物理系统停止。到2025年,攻击者将把关键基础设施网络物理系统武器化,来攻击人类。随着时间推移,支撑关键基础设施的技术变得更加数字化和互联,从而造成网络物理系统安全风险,结果导致黑客和各种威胁行为者的攻击面大幅增加。
参考来源:Gartner
(如未标注,均为天地和兴工业网络安全研究院编译)
点击“在看”鼓励一下吧
