20230605-5th域安全微讯早报-NO.133
网络空间安全对抗资讯速递
2023年06月05日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-133 星期一
今日热点导读
1、加拿大表示它正面临来自网络攻击的日益严重的威胁
2、化学品制造商面临越来越严重的噩梦般的网络攻击
3、俄罗斯复兴保险遭遇网络攻击后客户数据库被泄露
4、新的Google Workspace漏洞允许攻击者追踪机密商业信息
5、新的Linux勒索软件BlackSuit显示出与Royal惊人的相似之处
6、保险公司预测灾难性“网络事件”的费用为330亿美元
7、苹果否认了俄罗斯联邦安全局指称的与美国间谍合作监视俄iPhone用户的说法
8、CISA命令政府机构修补用于数据盗窃的MOVEit漏洞
9、Atomic钱包黑客导致超过3500万美元的加密货币被盗
10、黑客劫持合法网站以托管信用卡窃取脚本
11、新的信息窃取恶意软件Vidar攻击的目标是在线卖家
12、瑞士当局正在调查对政府IT承包商Xplain公司的网络攻击
资讯详情
1、加拿大表示它正面临来自网络攻击的日益严重的威胁
https://japantoday.com/category/world/canada-facing-rising-threat-from-cyberattacks-defence-minister
2、化学品制造商面临越来越严重的噩梦般的网络攻击
如果您要列出您不希望因网络攻击而突然和灾难性关闭的地方,化学制造厂将排在相当高的位置。除了停止业务运营和生产之外,有害物质被释放到人群和周围环境中的噩梦场景也一直存在。但此类攻击正变得越来越普遍和复杂。例如,英国政府2021年的一项研究发现,对化学工业的袭击造成13亿英镑的损失。多年来,此类攻击也针对行业中越来越多的参与者。例如,2017年,攻击者能够控制沙特阿拉伯一家石化厂的重要安全系统。药品制造商、化学品经销商,甚至危险废物处理场都是该行业中受到攻击影响的其他参与者。与此同时,1月,黑客对以色列化工厂 发起了多次攻击。虽然迄今为止还没有任何攻击造成破坏性后果,但网络犯罪分子日益狡猾,加上日益紧张的地缘政治环境,这意味着噩梦般的场景可能比以往任何时候都更近。因此,至关重要的是,化学品制造商应竭尽全力加强对网络攻击的防御。数字化改进了流程和效率,但也增加了黑客可以用来攻击组织的入口点数量。那么制造业是受攻击最严重的行业也就不足为奇了,占2022年所有网络攻击的近四分之一。还值得注意的是,随着大国之间的地缘政治紧张局势继续加剧,化学品制造商可能会成为国家支持的网络犯罪分子更有利可图的目标。那些国家资助的行为者也将知道为了对敌国造成最大破坏而瞄准哪些制造商,无论是化肥制造商、药品生产商还是食品生产商。
https://betanews.com/2023/06/03/chemical-manufacturers-cyberattack/
3、俄罗斯复兴保险遭遇网络攻击后客户数据库被泄露
网络上出现了复兴保险公司(Renaissance Insurance)网站客户数据库公开的消息。该文件包含超过700,000名用户的个人数据,包括全名、电子邮件地址、电话号码、哈希密码和登录信息。数据日期为2015年2月至2023年5月底。通过网站 lk.renins.ru/password-recovery上的密码恢复表单检查泄漏的随机电子邮件地址表明它们是有效的。这表明黑客获得了对公司真实数据库的访问权限。Renaissance Insurance证实了网站的一个部分——eOSAGO服务遭到黑客攻击的事实。该公司表示,它能够迅速处理黑客企图,并且不超过2%的客户群可能受到该问题的影响。同时,公司确保客户的支付和护照数据完全安全,客户无需更改访问eOSAGO个人账户的口令。Renaissance Insurance客户数据泄露已成为近期在俄罗斯发生的众多事件之一。早些时候,互联网上出现了来自Sberthank奖励计划、Sportmaster、Yandex.Food、Delivery Club、CDEK、VTB、Wildberries甚至交警基地用户的数据。据 Group-IB称,去年网络上出现了14亿条俄罗斯人的个人数据记录。
https://www.securitylab.ru/news/538669.php
4、新的Google Workspace漏洞允许攻击者追踪机密商业信息
Mitiga网络安全研究人员在Google Workspace中发现了 一个严重漏洞,允许攻击者从Google Drive下载文件,而不会在系统日志中留下任何痕迹。这给企业带来了非常真实的数据泄露风险,公司只有在被勒索时才能发现这些风险。该漏洞在于,对于拥有免费Cloud Identity免费许可证的Google Workspace用户,不会创建磁盘日志,其中会记录文件操作。但是,对于拥有付费Google Workspace Enterprise Plus许可的用户,当然会创建此类日志。这一事实使组织对潜在的数据泄露攻击视而不见。这不仅适用于买不起许可证的小型组织,问题要严重得多。“在Google Workspace中,当您将新用户添加到您的域时,默认情况下会使用免费许可证,这意味着即使使用付费批量许可证,您也不会收到来自新用户个人驱动器的任何活动日志。这是一个主要问题,因为如果没有这些日志,您将无法看到用户可能将数据上传到他们的个人驱动器,”Mitiga云安全研究团队负责人 Or Aspir解释说。研究人员已经确定了两种主要的攻击场景。第一种是破坏企业现有员工的特定帐户。黑客可以吊销被黑帐户的许可证,从共享磁盘复制必要的数据(毕竟,吊销许可证后先前授予的访问权限不会消失)并从“他的”磁盘下载它们。第二种情况是内部攻击。如果一个心怀不满的员工离开了公司,他可以“悄悄地”将他需要的所有公司数据提前复制到自己的磁盘中,而他仍然可以访问。然后,当他被解雇并且他的执照被吊销时,他可以从他的驱动器下载所有这些数据,而无需通知公司。研究人员已就此问题联系谷歌,但尚未收到回复。Mitiga为企业提供了临时措施,可以在Google Workspace中定期进行威胁搜索并监控任何用户活动。
https://www.securitylab.ru/news/538663.php
5、新的Linux勒索软件BlackSuit显示出与Royal惊人的相似之处
对名为BlackSuit的新型勒索软件Linux变体的分析涵盖了与另一个名为Royal的勒索软件家族的显着相似之处。Trend Micro检查了针对Linux机器的x64 VMware ESXi版本,表示它发现Royal和BlackSuit之间存在“极高的相似度”。趋势科技研究人员指出:“事实上,它们几乎完全相同,功能相似度为98%,块相似度为99.5%,基于二进制文件比较工具BinDiff的跳转相似度为98.9%。”对 Windows工件的比较确定了93.2%的功能相似性、99.3%的基本块相似性以及98.4%的基于BinDiff的跳转相似性。BlackSuit于2023年5月初首次曝光,当时 Palo Alto Networks Unit 42引起了人们对其同时针对Windows和Linux主机的能力的关注。与其他勒索软件组织一样,它运行双重勒索方案,窃取和加密受感染网络中的敏感数据,以换取金钱补偿。与单个受害者相关的数据已列在其暗网泄漏站点上。趋势科技的最新调查结果显示,BlackSuit和Royal都使用OpenSSL的AES进行加密,并利用类似的间歇加密技术来加速加密过程。除了重叠之外,BlackSuit合并了额外的命令行参数,并在枚举和加密期间避免了具有特定扩展名的不同文件列表。“BlackSuit勒索软件的出现表明它要么是同一作者开发的新变种,要么是使用相似代码的山寨版,要么是Royal勒索软件团伙的分支机构,对原家族进行了修改, ”趋势科技表示。鉴于Royal是以前的Conti团队的一个分支,网络安全公司推测,“BlackSuit也可能是从最初的Royal勒索软件团伙中的一个分裂组织中脱颖而出的”。这一发展再次凸显了勒索软件生态系统的不断变化,即使新的威胁行为者出现以调整现有工具并产生非法收益。
https://thehackernews.com/2023/06/new-linux-ransomware-strain-blacksuit.html
6、保险公司预测灾难性“网络事件”的费用为330亿美元
根据Guy Carpenter的一份新报告,一场“200年一遇”的灾难性网络事件可能会给网络保险行业造成330亿美元的损失。再保险公司的Through the Looking Glass报告使用了三个建模平台来计算其估计值:CyberCube、Cyence和Moody's RMS。它向其中提供了与近200万个网络政策相关的专有数据。损失从156亿美元到334亿美元不等,涵盖三种可能的情况:云中断、数据盗窃和勒索软件/恶意软件。所有三个供应商的模型都认为,勒索软件可能是重大网络事件中成本最高的来源,CyberCube估计其损失超过300亿美元。云事件产生的损失水平相对较低,模型考虑了云提供商的“强大的应急措施”。“数据盗窃事件是我们观察到供应商之间分歧最大的事件”,报告指出。“Cyence和Moody RMS将事件解释为200年重现期内该子集中最不重要的事件,而CyberCube的解释证明比云事件更大。”该行业的潜在损失并不反映200年一遇的事件造成的总损失,而仅反映那些拥有必须支付保险单的组织。这就是为什么它们在一定程度上反映了该行业最近的增长。Guy Carpenter声称全球保费现在价值140亿美元,其中美国的保费为90亿美元。这比2019年大幅攀升,当时美国市场的数字仅为26亿美元。报告指出,越来越多的担忧包括对云的日益依赖、系统和设备的互连性更强、更高级的网络攻击以及更严格的监管要求的常见怀疑。然而,这家再保险公司非常有信心,即使是重大的全球网络事件,该行业也能够承担成本。
https://www.infosecurity-magazine.com/news/insurers-predict-33bn-catastrophic/
7、苹果否认了俄罗斯联邦安全局指称的与美国间谍合作监视俄iPhone用户的说法
苹果公司否认了俄罗斯联邦安全局 (FSB)与美国间谍合作监视俄罗斯iPhone用户的说法。该公司在一份声明中表示,它“从未与任何政府合作为任何苹果产品安装后门,也永远不会”。FSB 的指控是在媒体报道美国情报机构利用iPhone软件中的漏洞获取数千名俄罗斯公民的数据后提出的。据FSB称,Apple向美国提供了有关俄罗斯iPhone用户的位置、联系方式和通信往来的信息。Apple坚称,未经法院命令,它不会让任何人访问其产品和服务,并且它会不断改进其安全技术,以保护其客户免受网络攻击。该公司还强调,它尊重全球用户的人权和隐私。
https://www.securitylab.ru/news/538675.php
8、CISA命令政府机构修补用于数据盗窃的MOVEit漏洞
CISA已将Progress MOVEit Transfer管理文件传输(MFT)解决方案中的一个被积极利用的安全漏洞添加到其已知漏洞列表中,并命令美国联邦机构在6月23日之前修补其系统。关键漏洞(跟踪为CVE-2023-34362)是一个SQL注入漏洞,允许未经身份验证的远程攻击者访问MOVEit Transfer的数据库并执行任意代码。根据2022年11月的约束性操作指令(BOD 22-01),一旦将此安全漏洞添加到CISA的已知利用漏洞目录中,联邦民事行政部门(FCEB)必须修补此安全漏洞。虽然BOD 22-01主要针对联邦机构,但强烈建议私营公司也优先考虑保护他们的系统免受这种积极利用的MOVEit传输漏洞的攻击。Progress建议所有客户修补他们的MOVEit Transfer实例,以阻止利用尝试和潜在的漏洞。那些不能立即应用安全更新的人也可以禁用所有HTTP和HTTPS流量到他们的MOVEit传输环境,以关闭攻击面。目前,互联网上有超过2500台MOVEit Transfer服务器,其中大部分位于美国。Mandiant首席技术官Charles Carmakal表示,至少从5月27日起,黑客就开始利用CVE-2023-34362作为零日漏洞,4天后Progress公开披露了这一漏洞,并开始测试易受攻击系统的安全补丁。Carmakal告诉BleepingComputer:“过去几天发生了大规模利用和广泛的数据盗窃。”“虽然Mandiant还不知道威胁行为者的动机,但组织应该为潜在的勒索和窃取数据的发布做好准备。”
https://www.bleepingcomputer.com/news/security/cisa-orders-govt-agencies-to-patch-moveit-bug-used-for-data-theft/
9、Atomic钱包黑客导致超过3500万美元的加密货币被盗
Atomic钱包的开发人员正在调查用户钱包中加密货币大规模被盗的报道,据报道,有超过3500万美元的加密货币被盗。原子钱包是一个移动和桌面加密钱包,允许用户存储各种加密货币。该钱包支持多种操作系统,包括Windows、Android、iOS、macOS和Linux。6月3日,Atomic Wallet在推特上表示,他们收到了钱包被盗的报告,并已开始调查这个问题。“我们收到了钱包被盗的报告。我们正在尽我们所能调查和分析局势。随着我们获得更多信息,我们将相应地分享。”3日发布的一条推特表示,他们正在与第三方安全公司合作调查这一事件,并阻止被盗资金在交易所出售。“最新的进展是,调查仍在与领先的安全公司共同努力下进行。该团队正在研究可能的攻击媒介,”开发人员3日发推文说。“目前还没有得到证实。支援小组正在收集受害者地址。联系了主要的交易所和区块链分析公司,以追踪和阻止被盗资金。”区块链侦探ZachXBT一直在收集从原子钱包受害者那里被盗的资金交易,并表示由于这种妥协,超过3500万美元的加密货币被盗。“在我的图表上,比特币、ETH、Tron、BSC、ADA、Ripple、Polkadot、Cosmos、Algo、Avax、XLM、LTC和Doge的被盗资金刚刚超过1400万美元,”ZachXBT解释道。研究人员后来表示,额外的交易使被盗金额超过3500万美元。根据加密安全研究机构Tay的数据,被盗原子钱包资产的最早交易发生在6月2日(周五)21:45 UTC。原子钱包的用户周六早上开始在Twitter和开发者的Telegram频道上报告,他们的原子钱包中的加密货币被盗。
https://www.bleepingcomputer.com/news/security/atomic-wallet-hacks-lead-to-over-35-million-in-crypto-stolen/
10、黑客劫持合法网站以托管信用卡窃取脚本
一项新的Magecart信用卡窃取活动劫持了合法网站,充当“临时”指挥和控制(C2)服务器,在目标电子商务网站注入和隐藏浏览器。Magecart攻击是指黑客侵入在线商店,注入恶意脚本,在结账时窃取顾客的信用卡和个人信息。据Akamai的研究人员监测,它已经危及美国,英国,澳大利亚,巴西,秘鲁和爱沙尼亚的组织。这家网络安全公司还指出,许多受害者在一个多月后才意识到自己被入侵,这证明了这些攻击的隐蔽性。攻击者的第一步是识别易受攻击的合法站点,并对其进行黑客攻击,使其承载恶意代码,将其用作攻击的C2服务器。通过使用具有良好声誉的合法网站分发信用卡刷卡器,威胁行为者可以逃避检测和阻止,并且无需建立自己的基础设施。接下来,攻击者将一小段JavaScript注入目标商务网站,从之前被攻破的网站获取恶意代码。Akamai在报告中解释说:“虽然目前还不清楚这些网站是如何被攻破的,但根据我们最近对类似攻击活动的研究,攻击者通常会在目标网站的数字商务平台(如Magento、WooCommerce、WordPress、Shopify等)或网站使用的易受攻击的第三方服务中寻找漏洞。”为了增加攻击的隐秘性,攻击者用Base64编码混淆了浏览器,这也隐藏了主机的URL,并以类似于谷歌标签管理器或Facebook Pixel的方式构建了它的结构,这是不太可能引起怀疑的流行第三方服务。网站所有者可以通过适当保护网站管理员帐户并为其CMS和插件应用安全更新来防御Magecart感染。网上商店的顾客可以通过使用电子支付方式、虚拟卡或设置信用卡的收费限额来最大限度地降低数据泄露的风险。
https://www.bleepingcomputer.com/news/security/hackers-hijack-legitimate-sites-to-host-credit-card-stealer-scripts/
11、新的信息窃取恶意软件Vidar攻击的目标是在线卖家
在线卖家成为了一项新活动的目标,该活动旨在推动Vidar信息窃取恶意软件,允许威胁行为者窃取凭证以进行更具破坏性的攻击。新活动于本周启动,威胁参与者通过电子邮件和网站联系表单向在线商店管理员发送投诉。这些电子邮件假装来自一家网上商店的客户,该客户在所谓的订单没有正常通过后,从其银行账户中扣除了550美元。BleepingComputer本周收到了其中一封邮件,在研究了这次攻击后,发现它在过去一周内广泛传播,向VirusTotal提交了许多邮件。在线卖家是威胁参与者的一个诱人目标,因为获得电子商务网站后端的凭证允许各种攻击类型。例如,一旦威胁参与者获得了在线商店管理后端的访问权限,他们就可以注入恶意JavaScript脚本来执行MageCart攻击,即代码在结账时窃取客户的信用卡和个人信息。后端访问还可以通过生成商店数据库的备份来窃取网站的客户信息,这可以用来勒索受害者,威胁他们必须支付赎金,否则数据将被公开泄露或出售给其他威胁行为者。本周早些时候,BleepingComputer收到一封假冒客户的电子邮件,该客户被收取了550美元的费用,尽管订单没有正确通过。诱饵邮件中附上的是一个bit。链接到所谓的银行对账单,缩短以隐藏原始链接。这封邮件是为了传达一种紧迫感,要求零售商退款并调查问题的根本原因。当点击URL,目标将显示一个网站,看起来是谷歌驱动器。在BleepingComputer的测试中,这个假的谷歌硬盘要么显示银行对账单,要么提示用户下载银行对账单。Vidar是一种信息窃取木马,可以窃取浏览器cookie、浏览器历史记录、保存的密码、加密货币钱包、文本文件、Authy 2FA数据库和活动Windows屏幕的截图。然后,这些信息将被上传到远程服务器,以便攻击者可以收集它。
https://www.bleepingcomputer.com/news/security/online-sellers-targeted-by-new-information-stealing-malware-campaign/
12、瑞士当局正在调查对政府IT承包商Xplain公司的网络攻击
瑞士当局正在调查对 IT公司Xplain的网络攻击,该公司的客户包括许多联邦和州政府部门,包括军队和海关。当地时间6月3日(星期六),《时代报》披露了这次网络攻击事件,报道称“数个州警察部队、瑞士军队和联邦警察局 (Fedpol)受到了间接影响”。Xplain“一直是PLAY勒索软件组织网络攻击的受害者,因此已向伯尔尼州警方提出申诉,”公司董事Andreas Loewinger告诉AFP。“他们公布了一些被盗数据。这些数据已经过分析,并直接与相关客户讨论了下一步要采取的措施”,他补充道。Xplain 是一家专门从事国土安全IT解决方案的瑞士公司。该公司在瑞士、西班牙和德国设有办事处,已致电国家网络安全。调查正在进行中。Xplain表示尚不清楚数据被盗的程度。但这家为其客户提供在线应用程序的公司表示,它本身并不存储应用程序和数据。联邦海关与边境安全办公室表示,与 Xplain 的通信内容受到影响,但“该办公室自己的数据不受影响”。几天前获悉该事件的军队解释说,它“多年来”一直在使用 Xplain 的软件解决方案,但它是“通过联邦自己的服务器”运行的。
https://economictimes.indiatimes.com/tech/technology/swiss-administration-hit-by-cyber-attack/articleshow/100732639.cms
THE END
往期推荐
1. 5th域微讯晨报-Vol-2023-129
3. 5th域微讯晨报-Vol-2023-131
4. 5th域微讯晨报-Vol-2023-132
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement