一、业界动态
欧洲刑警组织联合多国取缔攻击者使用的VPNLab.net
据媒体报道,来自10个国家的执法部门关闭了恶意攻击者常用的VPN服务VPNLab.net。此次联合行动于2022年1月17日开展,由欧洲刑警组织协调,涉及德国、荷兰、加拿大、捷克和法国等国家。执法人员没收了VPNLab.net使用的15台服务器并关闭了其主网站,因此该平台不再可用。这是历史最悠久的VPN服务服务之一,创建于2008年,以每年60美元的价格提供基于OpenVPN的技术和2048位的加密。
https://www.bleepingcomputer.com/news/security/europol-shuts-down-vpn-service-used-by-ransomware-groups/
乌克兰警方捣毁已攻击欧美地区50多个组织的黑客团伙
乌克兰警方发布通告称逮捕了一个勒索攻击团伙。警方表示,该组织已攻击美国和欧洲地区超过50个公司,其中36岁的乌克兰首都基辅居民被确定为该组织的头目,成员包括他的妻子和其他三名熟人,据估计攻击造成的总损失超过一百万美元。目前尚不清楚该团伙使用何种勒索软件来加密目标计算机上的数据,但他们通过垃圾邮件分发恶意软件。除了勒索攻击,该团伙还提供IP地址欺骗服务。
https://www.bleepingcomputer.com/news/security/ukranian-police-arrests-ransomware-gang-that-hit-over-50-firms/
全球最大信用卡交易暗网市场UniCC宣布将停止运营
媒体报道,全球最大的信用卡和借记卡信息交易暗网市场UniCC宣布将停止运营。该网站于2013年推出,据估计通过该平台交易的加密货币约为3.58亿美元,1月份其市场份额达到了30%。UniCC管理员在宣布关闭消息后给会员留出了10天时间来消费余额,并表示这是他们做出的决定,不要进行阴谋论。此外,近几个月有多个暗网市场关闭,包括White House Market(10月)、Cannazon(11月)、Torrez(12月)和Monopoly Market(1月初)。
https://securityaffairs.co/wordpress/126757/cyber-crime/unicc-shutting-down.html
欧盟计划建设安全DNS平台
欧盟准备建设自己的递归DNS服务,并将向各欧盟机构及公众免费开放。这项名为DNS4EU的拟议服务项目当前处于初步规划阶段,欧盟正在寻找合作伙伴帮助其建设一套庞大的基础设施,以服务欧盟旗下全部27个成员国。
https://therecord.media/eu-wants-to-build-its-own-dns-infrastructure-with-built-in-filtering-capabilities/
二、关键基础设施
研究人员发现针对可再生能源行业的大规模间谍活动
据媒体报道,研究人员William Thomas发现针对可再生能源和环境保护等行业的间谍活动。Thomas的分析显示,攻击者使用了自定义工具包“Mail Box”,并入侵了一些合法的网站来托管钓鱼页面。大多数钓鱼页面托管在*.eu3[.]biz、*.eu3[.]org和*.eu5[.]net域中,而大多数被感染网站位于巴西。此次攻击活动的目标包括施耐德电气、霍尼韦尔、华为、海思、罗马尼亚电信、威斯康星大学和加州州立大学等,旨在窃取工作人员的登录凭据。
https://www.bleepingcomputer.com/news/security/cyber-espionage-campaign-targets-renewable-energy-companies/
北约能源安全卓越中心发布关键能源基础设施工控网络保护指南
北约能源安全卓越中心 (NATO ENSEC COE) 1月11日发布了一份题为《GUIDE FOR PROTECTING INDUSTRIAL AUTOMATION AND CONTROL SYSTEMS AGAINST CYBER INCIDENTS》的指南,对关键能源基础设施(CEI)的安全性、可靠性、弹性和性能的基于技术的威胁(包括有意和无意的)进行了分析。
https://mp.weixin.qq.com/s/gxbCW7a41u9GHpJNAWkDgw
三、安全事件
南非新的交通罚款系统存在漏洞泄露公民个人信息
南非新的交通罚款系统存在漏洞泄露公民个人信息。这是为道路交通违法行政裁决系统创建的网站,用于进行交通违法行为查询。研究人员发现,该网站的一个RESTful API以违法通知编号作为输入,并会返回纯文本格式的详细信息。该API的地址是公开的,只要知道地址就可以通过尝试随机的通知编号获取南非驾驶员的信息。此次泄露了公民姓名、身份证号码、地址、电话号码、车辆登记信息和违法细节。
https://mybroadband.co.za/news/security/430494-south-africas-new-traffic-fine-system-exposed-personal-data.html
ESET发现Donot Team攻击南亚多个国家的官方组织
ESET发布报告披露了Donot Team近期攻击活动的细节。Donot Team(也称为APT-C-35和SectorE02)至少从2016年开始活跃,国际特赦组织已将其与印度的一个网络安全公司联系起来。此次攻击活动使用了2种恶意软件变体:DarkMusical和Gedit,主要针对孟加拉国、斯里兰卡、巴基斯坦和尼泊尔等地的政府和军事组织、外交部和大使馆。
https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/
新墨西哥州监狱MDC遭到勒索攻击被迫进入锁定状态
据Malwarebytes报道,新墨西哥州伯纳利洛县的大都会拘留中心(MDC)遭到勒索攻击。攻击发生在1月5日午夜至5:30左右,导致监狱网络连接中断,大部分数据系统、安全监控和自动门无法使用,囚犯也被关在牢房里。此外,MDC的多个数据库已损坏,2个重要的系统:事件跟踪系统(ITS)和罪犯管理系统(OMS)也无法访问。据悉,MDC本身并非此次攻击的目标,该县的整个网络系统都受到了攻击。
https://blog.malwarebytes.com/ransomware/2022/01/ransomware-cyberattack-forces-new-mexico-jail-to-lock-down/
四、漏洞事件
SolarWinds修复Serv-U中输入验证漏洞CVE-2021-35247
SolarWinds修复了Serv-U中已被在野利用的输入验证漏洞。该漏洞追踪为CVE-2021-35247,由微软研究人员Jonathan Bar Or在监控利用Log4j库中的漏洞进行的攻击时发现。可被用来在给定一些输入的情况下构建一个查询,并在未经处理的情况下通过网络发送该查询。SolarWinds公告称,LDAP认证的Serv-U web登录界面允许接受没有充分过滤的字符,该问题在Serv-U 15.3中解决。
https://securityaffairs.co/wordpress/126933/security/solarwinds-serv-u-flaw.html
研究人员演示如何利用第三方应用中漏洞解锁特斯拉汽车
媒体David Colombo称其可以远程控制多个国家的25辆特斯拉汽车。Colombo在具有跟踪汽车移动和远程解锁车门等功能的第三方应用中发现一个漏洞,该漏洞源于应用以不安全的方式存储用来连接汽车的敏感信息。成功利用漏洞后除了可以控制汽车,还可以获取用户信息。研究人员表示,他在德国、英国、美国、加拿大和中国等国家还发现了超过125辆可被控制的特斯拉汽车。
https://www.vice.com/en/article/akv7z5/how-a-hacker-controlled-dozens-of-teslas-using-a-flaw-in-third-party-app
