一、业界动态
海淀区检察院发布《网络安全保护检察白皮书 (2016-2021)》
海淀区人民检察院撰写并发布《网络安全保护检察白皮书(2016-2021)》,以五年来办理的网络科技犯罪案件为基础,总结保护网络安全“海检模式”,打造守护科技创新“海检品牌”,探索服务数字经济“海检路径”,持续深化网络检察专业化建设,为加快推进北京国际科技创新中心核心区建设贡献检察智慧和力量。
https://mp.weixin.qq.com/s/-nC_lwfID2dGWrTntZ2Lwg
美国运输安全管理局 (TSA) 发布铁路行业网络安全指令
美国运输安全管理局(TSA)当地时间12月2日发布了两项安全指令,要求铁路和轨道交通集团采取措施加强该部门的网络安全,包括向联邦政府报告网络事件。安全指令要求高风险的货运铁路、客运铁路和轨道交通集团在发现网络安全事件后24小时内向网络安全与基础设施安全局(CISA)报告,并指定一名网络安全协调员。
https://mp.weixin.qq.com/s/rvn4yg6oFf-iL71nPRaGWg
英国颁布法律禁止联网设备使用默认密码
近日,英国政府出台了新的产品安全和电信基础设施法案(PSTI),禁止联网智能设备设置默认密码,不遵守规定的企业将面临巨额罚款。
https://mp.weixin.qq.com/s/WcBU7gsW3gherb3jcvJIlg
云实例遭入侵主要源自弱口令或无口令
谷歌日前首次发布的《云威胁情报》报告中写道:“对用于执行未授权加密货币挖矿的多个系统进行分析(随附时间线信息),我们可以看出:58%的情况下,加密货币挖矿软件在侵入后22秒内即下载到了系统上。”
https://services.google.com/fh/files/misc/gcat_threathorizons_full_nov2021.pdf
二、关键基础设施
勒索软件Sabbath瞄准美国和加拿大的关键基础设施
Mandiant团队称勒索软件Sabbath(又名UNC2190)自6月份开始一直在针对美国和加拿大。UNC2190在之前名为Arcane和Eruption,并在2020年7月分发勒索软件ROLLCOAST。Sabbath(54BB47h)于10月21日正式运营,主要目标是关键基础设施,包括美国和加拿大的教育、卫生和自然资源行业。与其他勒索运营团伙不同,Sabbath还为其附属组织提供了预先配置好的Cobalt Strike BEACON后门payload。
https://securityaffairs.co/wordpress/125154/cyber-crime/sabbath-ransomware.html
三、安全事件
电信公司AT&T大量ESBC设备遭到僵尸网络EwDoor攻击
研究团队在11月30日公开新僵尸网络EwDoor的攻击活动。此次活动主要针对电信公司AT&T EdgeMarc企业会话边界控制器(ESBC)边缘设备,利用了4年前的命令注入漏洞(CVE-2017-6079)。在僵尸网络切换到其他C2之前的短短3小时内,共检测到约5700台设备被感染。目前,研究人员已确认EwDoor的3个变体,可分为DDoS攻击和Backdoor两大类,并推测其主要目的是DDoS攻击,以及收集通话记录等敏感信息。
https://securityaffairs.co/wordpress/125143/cyber-crime/ewdoor-botnet.html
研究团队发现伪装成马来西亚家政服务的应用窃取用户信息
Cyble于12月1日称伪装成“马来西亚清洁服务”的恶意应用正在窃取该国8家银行的客户信息。该Android应用在安装时,会要求使用24项权限,包括RECEIVE_SMS,用于窃取通过SMS发送的电子银行一次性密码和MFA代码。用户在使用该应用预约清洁服务并选择付款后,会被重定向到伪造的网上银行网站。用户在钓鱼网站输入的银行凭据和该软件截获的SMS代码可被用于访问目标电子银行帐户。
https://blog.cyble.com/2021/12/01/banking-trojan-targets-banking-users-in-malaysia/
Red Canary披露勒索团伙BlackByte攻击活动的细节
Red Canary在12月2日公开勒索运营团伙BlackByte最新攻击活动的细节。研究团队称,该团伙正在通过统称为ProxyShell的3个漏洞在目标Microsoft Exchange服务器上安装shell,这些漏洞已在2021年4月和5月修复。随后,通过shell在Windows更新代理进程中注入Cobalt Strike beacon,并在目标系统中转储服务帐户的凭据。最后,在控制该帐户之后,安装远程访问工具AnyDesk,并开始横向移动。
https://redcanary.com/blog/blackbyte-ransomware/
日本电器公司松下确认长达4个月之久数据泄露事件
日本跨国公司松下Panasonic在上周五发布声明,确认其部分数据已经泄露。攻击发生在6月22日,但直到11月11日才被发现。经过内部调查确定,攻击者已在这4个月中访问了服务器上的部分数据。该公司没有提供其他详细信息,但日本新闻网站Mainichi和NHK报道称,攻击者已经获得了公司技术、合作伙伴及公司员工等相关信息。早在2020年11月,松下印度分公司曾因网络攻击泄露了财务等相关信息。
https://www.bleepingcomputer.com/news/security/panasonic-discloses-data-breach-after-network-hack/
四、漏洞事件
TP-Link修复其Wi-Fi 6路由器中的代码执行漏洞
Resecurity研究人员TP-Link的设备中存在远程代码执行漏洞。受影响设备的型号为TL-XVR1800L,是企业级AX1800双频千兆Wi-Fi 6无线VPN路由器。攻击者可利用该漏洞完全控制设备或窃取敏感数据,它可能还存在于同一系列的其他设备中。Resecurity在10月上旬发现了针对该设备的攻击活动,并于11月19日通知了TP-Link,TP-Link在第二天确认了该漏洞并承诺会在一周内发布补丁。
https://securityaffairs.co/wordpress/125016/hacking/0-day-tp-link-wi-fi-6.html