新闻动态

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第190期

<<返回

2022年03月14日 10:01

一、业界动态

我国互联网遭受境外网络攻击

国家互联网应急中心监测发现,2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。经分析,这些攻击地址主要来自美国,仅来自纽约州的攻击地址就有10余个,攻击流量峰值达36Gbps,87%的攻击目标是俄罗斯,也有少量攻击地址来自德国、荷兰等国家。

https://www.cert.org.cn/publish/main/8/2022/20220311172614196863695/20220311172614196863695_.html

英国《政府网络安全战略2022-2030》五大目标与详细计划清单

英国政府发布了《政府网络安全战略2022-2030》,该战略旨在树立英国作为网络大国的权威,具体规定了政府在面对不断变化的网络风险时将如何建立和保持其弹性。其核心目标是:到2025年,政府的关键职能在网络攻击面前得到显著加强,2030年前,整个公共部门的所有政府机构都能抵御已知的漏洞和攻击方法。

https://mp.weixin.qq.com/s/VgoylfUQMYn5IAFhQNJW3A

Kaspersky发布2021下半年ICS威胁态势的分析报告

Kaspersky发布了2021下半年工业自动化系统(ICS)威胁态势的分析报告。报告指出,在2021年H2Kaspersky在ICS总共阻止了来自5230个家族的20000多个恶意软件变种;主要威胁来源仍是互联网,其次是可移动设备和电子邮件客户端;在ICS计算机中检测到的间谍软件、恶意脚本和网络钓鱼页面、加密货币矿工和勒索软件的百分比有所增加;受攻击ICS计算机占比最多的地区为东南亚(47.6%),其次是非洲(43.4%)和东亚(40.5%)。

https://ics-cert.kaspersky.com/publications/reports/2022/03/03/threat-landscape-for-industrial-automation-systems-statistics-for-h2-2021/

Proofpoint披露TA416攻击欧洲多个外交机构的详情

Proofpoint在3月7日披露了APT组织TA416(又称Mustang Panda)攻击欧洲多个外交机构的详细信息。TA416自2020年8月以来就一直针对欧洲外交的机构。今年1月17日,Proofpoint发现该团伙使用新的分发方式,此时的攻击策略也发生了变化,利用dropper分发4个组件:恶意软件PlugX、loader、DLL搜索命令劫持程序(进程加载程序)和PDF诱饵文件。研究人员在2月28日发现,攻击者瞄准了北约国家的难民和移民服务部门的高级官员。

https://www.proofpoint.com/us/blog/threat-insight/good-bad-and-web-bug-ta416-increases-operational-tempo-against-european

Conti勒索软件背后惊人的运作团队

Conti于2019年首次被发现,现已成为网络世界中最危险的勒索软件之一,并以其在目标系统中加密和部署的速度快而闻名。Conti被认为是流行的Ryuk勒索软件家族的变种。据FBI统计,Conti针对全球发起了400多次网络攻击,其中四分之三的目标位于美国,勒索金额高达2500万美元。由此可见,Conti也是当前最贪婪的勒索团伙之一。

https://mp.weixin.qq.com/s/G1J-1ak9P6FmfLSV8tGruw

 

二、关键基础设施

FBI称Ragnar Locker已入侵美国52个关键基础设施的机构

3月7日,美国FBI与网络安全和基础设施安全局联合发布了一份TLP:WHITE通告。该机构指出,截至2022年1月,已有10个关键基础设施领域的至少52个机构遭到了RagnarLocker勒索软件的攻击,涉及制造、能源、金融服务、政府和信息技术等行业。通告侧重于提供用来检测和阻止Ragnar Locker攻击的入侵指标(IOC),还公开了防御此类攻击的缓解措施。FBI敦促被攻击的组织立即上报此类事件,不鼓励支付赎金。

https://www.documentcloud.org/documents/21397387-ragnarlocker-ransomware-indicators-of-compromise

东欧大型加油站遭勒索攻击,官网、APP等全部下线

东欧大型加油站服务商Rompetrol遭到Hive勒索软件攻击,影响到了公司“大部分IT服务”,官网、APP全部下线,顾客只能使用现金和刷卡支付;据悉,攻击者还入侵了Petromdia炼油厂的内部IT网络,但运营未受到影响。

https://mp.weixin.qq.com/s/cxwDvbra_Z69fr6P8jkzuQ

 

三、安全事件

Lumen称Emotet的新一轮活动已感染超过10万台设备

Lumen在3月8日发布报告称僵尸网络Emotet在10个月的短暂停歇后,正强势归来。自2021年11月以来,该活动已使用TrickBot感染了约130000个设备,遍布179个国家和地区,但尚未达到以前的规模(超过160万台设备)。Emotet的新变体采用了椭圆曲线加密(ECC)代替原来的RSA加密方案,且新增了从目标中收集运行进程列表之外的系统信息的功能。据悉,Emotet包含近200台C2服务器,其中大部分位于美国、德国和法国等地,主要针对亚洲的目标。

https://thehackernews.com/2022/03/emotet-botnets-latest-resurgence.html

ASEC发现伪装成税务发票的钓鱼邮件分发Remcos RAT

ASEC在3月7日发布报告,详述了伪装成税务发票的钓鱼邮件分发Remcos RAT的活动。钓鱼邮件的附件Tax.gz可被解压缩成名为Tax.com的可执行文件,如果执行环境是64位便会直接下载并执行恶意软件;否则,会下载一个powershell文件3xp1r3Exp.ps1。powershell脚本包含为UAC Bypass下载附加文件(version.dll)的内容,它还会创建一个trick文件夹(Mock Directory),并使用DLL劫持方法。最终,该活动会安装Remcos RAT。

https://asec.ahnlab.com/en/32376/

东映动画公司遭黑客入侵,《海贼王》《数码宝贝》等多部作品停播

日本东映动画公司发布公告,宣称公司网络系统遭受不明黑客袭击,导致系统瘫痪,公司多部在播动画的制作进度遭影响,同时片源存在外露风险,目前正在处理中,但可能会影响这些动画后续的播出时间。

https://new.qq.com/omn/20220312/20220312A02UDF00.html

 

四、漏洞事件

研究人员演示绕过CPU中漏洞Spectre硬件防御的新方法

VUSec研究人员演示了绕过CPU中漏洞Spectre硬件防御措施的新方法BHI(或Spectre-BHB)。低权限的攻击者利用该漏洞,可以向目标投毒,并欺骗内核跳转到注入代码的位置,并在那里执行找到的代码。研究人员还发布了一个PoC,演示如何窃取目标系统的root密码。3月9日,3个CPU制造商英特尔、AMD和Arm均发布了关于该漏洞的安全通告,并附有缓解措施和安全建议。

https://www.csoonline.com/article/3652525/new-attack-bypasses-hardware-defenses-for-spectre-flaw-in-intel-and-arm-cpus.html

Armis发现APC UPS设备中统称为TLSstorm的3个漏洞

安全公司Armis在APC的SmartConnect和Smart-UPS系列产品中发现了统称为TLSstorm的3个漏洞。其中2个漏洞涉及UPS和APC云之间的TLS握手过程,分别为TLS缓冲区溢出漏洞(CVE-2022-22805)和TLS身份验证绕过漏洞(CVE-2022-22806);第三个漏洞(CVE-2022-0715)可被用来构建一个恶意APC固件版本并作为官方更新进行分发。研究人员表示,利用这些漏洞可对设备造成物理损害,例如远程烧毁设备和断电,建议立即安装补丁程序。

https://www.bleepingcomputer.com/news/security/apc-ups-zero-day-bugs-can-remotely-burn-out-devices-disable-power/

新漏洞Dirty Pipe影响所有主流的Linux发行版本

研究人员Max Kellermann披露了Dirty Pipe漏洞(CVE-2022-0847)的细节,以及一个概念验证 (PoC) 。攻击者可通过注入和覆盖只读文件中的数据,获得root权限。该漏洞影响了Linux Kernel 5.8及更高版本,甚至包括Android设备。Kellerman表示,该漏洞类似于2016年修复的Dirty COW漏洞(CVE-2016-5195)。目前,它已在Linux内核5.16.11、5.15.25和5.10.102中修复。

https://www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/