新闻动态

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第143期

<<返回

2021年03月08日 10:38

一、业界动态

《政府工作报告》提及的网信工作

3月5日上午,十三届全国人大四次会议在北京人民大会堂开幕,李克强代表国务院向大会作政府工作报告。

https://www.thepaper.cn/newsDetail_forward_11576255

Dragos发布2020年ICS网络安全的回顾报告

Dragos发布了2020年ICS网络安全的回顾报告,针对ICS/OT的网络威胁、漏洞、评估和事件响应进行了分析。2020年有703个ICS/OT漏洞,比2019年增加了29%。研究人员发现了四个主要针对能源和制造业的新ICS团伙,分别是KAMACITE、STIBNITE、TALONITE和VANADINITE。报告还提出了增强ICS环境安全性建议,包括增加OT网络的可见性、确定重要性及优先级、增强事件响应能力、网络隔离验证和安全证书管理等。

https://www.dragos.com/year-in-review/

基于Mitre ATT&CK框架的勒索软件TTP映射地图

根据网络安全公司Group-IB的最新报告,2020年勒索软件攻击同比增加了一倍以上,规模和复杂性均呈上升趋势。一些主要针对欧美大型企业的勒索软件犯罪团伙的勒索赎金平均高达100-200万美元,这吸引了大量新的参与者。

https://www.group-ib.com/resources/threat-research/ransomware-2021.html

 

二、关键基础设施

新南威尔士州交通局遭到攻击,数据并在Clop网站公开

澳大利亚新南威尔士州的运输系统遭到攻击,导致数据泄露。该运输系统负责新南威尔士州的公共汽车、渡轮、区域航空运营商和货物运输。新南威尔士州交通局(Transport for NSW)披露,此次数据泄露源于其安全文件共享系统Accellion FTA遭到攻击。目前该机构正在调查此事件,以确定受影响数据的范围。此外,黑客已在Clop网站上发布被盗数据的截图,其中包括机密文件、指导委员会文件和各种电子邮件。

https://www.bleepingcomputer.com/news/security/nsw-transport-agency-extorted-by-ransomware-gang-after-accellion-attack/

美安全公司警告:俄黑客长期驻留在美国电网,曾造成乌克兰大停电

工控安全厂商Dragos发布了关于工业控制系统安全现状的年度报告,其中列出针对美国电力基础设施系统的四大新兴外国黑客团伙。Dragos公司强调,有三支新兴团伙已经将矛头指向美国工业控制系统,其中最值得关注的为被Dragos命名为Kamacite的团伙,据调查其很有可能与俄罗斯GRU下辖的Sandworm团伙有所关联。

https://www.wired.com/story/russia-gru-hackers-us-grid/

 

三、安全事件

黑客利用新的恶意NPM软件包针对Amazon和Slack等应用

开源安全公司Sonatype发现黑客利用新的恶意NPM软件包针对Amazon、Zillow、Lyft和Slack等应用程序。这种攻击利用了依赖关系混淆的方式,黑客使用与公司内部存储库或组件相同的名称来命名软件包,并托管在公共存储库(包括npm、PyPI和RubyGems)上,而依赖管理器在构建应用时将使用公共存储库上的包,而非公司内部的包。通过这种方式,黑客可以在供应链攻击中将自己的恶意代码注入内部应用程序。

https://www.bleepingcomputer.com/news/security/malicious-npm-packages-target-amazon-slack-with-new-dependency-attacks

SolarWinds高管称其遭到的供应链攻击源于弱口令泄露

软件公司SolarWinds的一名高管称其遭到供应链攻击的根本原因是一名实习生使用了弱密码。初步调查显示,自2018年6月17日以来,配置错误的GitHub存储库泄露了密码solarwinds123,该问题已在2019年11月22日解决,而最初的攻击可能发生于2019年9月4日。该公司的CEO表示,这可能是一名实习生于2017年在他的一台服务器上使用的密码,并私自将密码发布到了其内部Github私人帐户上。

https://securityaffairs.co/wordpress/115134/security/solarwinds-intern-solarwinds123-password-leak.html

造船厂Beneteau称其遭到入侵,系统仍在恢复中

法国船只制造商Groupe Beneteau称其遭到入侵,系统仍在恢复中。该公司成立于1884年,总部位于法国旺德,在法国、美国、波兰、意大利和中国均有分公司。上周,Beneteau宣布其遭到攻击,为此其已经断开所有信息系统的连接,以防止恶意软件传播。该公司表示其数个生产部门的生产活动被迫停止,特别是位于法国的部门。目前,该集团正在继续进行调查,以将其IT系统恢复到正常且安全的运营模式。

https://www.securityweek.com/boat-building-giant-beneteau-says-cyberattack-disrupted-production

网络安全公司Qualys被勒索软件攻击

著名网络安全公司Qualys近日遭遇勒索软件攻击,略显尴尬的是,勒索软件的投放渠道来自另外一家网络安全公司。

https://www.secrss.com/articles/29621

 

四、漏洞事件

FortiProxy SSL VPN未授权访问漏洞 (CVE-2021-22128) 预警

近日,监测到Fortinet FortiProxy SSL VPN组件存在未授权访问漏洞,漏洞编号:CVE-2021-22128。攻击者可以利用该漏洞在未授权的情况下,构造恶意数据进行越权访问。建议受影响的用户及时更新官方的安全补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

https://www.fortiguard.com/psirt/FG-IR-20-235

无需验证和交互,微软Exchange严重漏洞安全风险通告

近日微软修复了Microsoft Exchange多个高危漏洞。通过组合利用这些漏洞能够在未经身份验证的情况下远程获取目标服务器权限。其中包括CVE-2021-26855: 服务端请求伪造漏洞、CVE-2021-26857不安全的反序列化漏洞。CVE-2021-26858/CVE-2021-27065任意文件写入漏洞,在通过身份验证后攻击者可以利用该漏洞将文件写入服务器的任意路径。

https://mp.weixin.qq.com/s/QZX3FiukrnW95AetrzLxow