TOP53月28日全球信安资讯
1
2021年勒索软件攻击了649个美国关键基础设施,其中医疗、金融和IT行业排名靠前;
> > > >信源:安全内参
“在16个关键基础设施部门中,IC3报告显示,2021年有14个关键基础设施领域遭受过至少一次勒索软件攻击。”
自12月以来,FBI还透露,勒索软件团伙Ragnar Locker入侵了至少52个关键基础设施网络,勒索软件Cuba入侵了至少49个美国关键基础设施实体,而勒索软件团伙BlackByte攻击了至少另外三个。FBI公布的美国关键基础设施勒索软件攻击行业分布统计,其中医疗、金融和IT行业排名靠前。
根据攻击次数统计,入侵关键基础设施前三大勒索软件团伙分别是CONTI(攻击了87个目标)、LockBit(58个)和REvil/Sodinokibi(51个)。
这些勒索软件组织的运营者对某些行业的打击比其他行业多,其中CONTI最常攻击的关键基础设施行业是制造、商业设施以及食品和农业部门。
LockBit勒索软件更常针对政府设施、医疗公共卫生以及金融服务部门。而REvil/Sodinokibi则主要针对金融服务、信息技术、医疗和公共卫生领域。
FBI表示,它不鼓励支付赎金,因为受害者无法保证这能防止未来的攻击或被盗数据的泄露。相反,支付赎金将进一步激励勒索软件团伙瞄准更多受害者,并激励其他网络犯罪集团加入并发动勒索软件攻击。
在IC3的2021年互联网犯罪报告中,FBI补充说,它“预计2022年关键基础设施受害的人数会增加”。
FBI补充说:“2021年互联网犯罪报告包括来自起疑似互联网犯罪投诉的信息——比2020年增加了7%——报告的损失超过69亿美元。”
“2021年受害者报告最多的三大网络犯罪是网络钓鱼诈骗、不付款/不交付诈骗和个人数据泄露。”
2
黑客组织滥用Telegram进行攻击,窃取凭证的惯犯正在利用聊天应用程序来存储和更新C2地址
> > > >信源:threatpost
几年前首次出现的一个凭证窃取组织现在正在滥用Telegram作为C2服务器进行网络攻击。研究人员报告说,一系列的网络犯罪分子会继续通过使用这样更有创造性的攻击手段来扩大其攻击面。根据Avast威胁实验室在本周发表的一篇博文,2019年4月份首次出现在网络中的Raccoon Stealer已经开始在Telegram的基础设施上存储和更新自己的C2地址。研究人员说,这让他们在平台上有了一个更加方便和可靠的指挥中心,可以随时更新C2的信息。该恶意软件据说是由与俄罗斯有关的网络犯罪分子开发和维护的。其核心工具是一个凭证窃取器,但是该工具能够进行一系列的攻击活动。它不仅可以窃取密码,还可以窃取cookie、浏览器中保存的登录信息和表单的数据、电子邮件客户端以及登录凭证、加密钱包中的文件、浏览器插件和扩展程序中的数据以及任意文件。这些都可以通过其C2命令完成。Avast威胁实验室研究员Vladimir Martyanov在其帖子中写道,它能够通过来自其C2的命令下载和执行任意文件。这也就使得Raccoon Stealer变得更加危险。在2019年发布后,网络犯罪分子迅速开始采用该恶意软件进行攻击,由于其用户友好的恶意软件即服务(MaaS)模式,给了他们一个更加快速和简单的方式--通过窃取敏感数据来赚钱。早期,攻击者通过黑客控制的Dropbox账户上托管的IMG文件,在针对金融机构和其他组织的商业电子邮件破坏(BEC)活动中提供Raccoon Stealer进行攻击。Martyanov说,最近,Avast威胁实验室的研究人员观察到了攻击者传播Raccoon Stealer的一些更具有创造性的方式。并且他们的传播技术繁杂多样,只有你想不到的。除了通过使用两个加载器Buer Loader和Gcleaner进行传播外,攻击者还可以通过伪造游戏作弊器、破解软件的补丁,这其中还包括了Fortnite、Valorant和NBA2K22的MOD,或者是其他软件来传播Raccoon Stealer。他补充说,网络犯罪分子还注意通过使用Themida或恶意软件打包器来试图逃避检测,据观察,一些攻击样本连续使用同一个打包器打包次数超过了五次。该报告详细介绍了最新版本的Raccoon Stealer是如何与Telegram内的C2进行通信的。根据该帖子,其C2通信有四个特征值,它们在每个Raccoon Stealer样本中都有硬编码。它们分别是:MAIN_KEY,该数值在这一年中已经发生了四次改变。Telegram gate的URL,其包含一个通道名称。BotID,一个十六进制的字符串,每次都会被发送到C2。TELEGRAM_KEY,一个用于解密从Telegram获得的C2地址的密钥。为了劫持Telegram的C2,恶意软件首先需要解密出MAIN_KEY值,它可以用来解密Telegram gate的URL和BotID。Martyanov写道,攻击者然后会使用Telegram gate,通过一连串的操作,最终允许它使用Telegram基础设施来存储和更新实际的C2地址。通过执行C2的命令来下载和执行任意文件,攻击者还能够分发恶意软件。Avast威胁实验室收集了大约185个文件,总共大小为265兆字节,其中包括下载器、剪贴板加密窃取器和WhiteBlackCrypt勒索软件,这些都是由Raccoon Stealer分发的。该恶意软件一旦开始执行,Racoon Stealer就会开始检查被感染设备上设置的默认用户语言,如果是以下语言之一,就不会执行任何操作。俄罗斯、乌克兰、白俄罗斯、哈萨克、吉尔吉斯、亚美尼亚、塔吉克或乌兹别克。因此研究人员认为,这可能是因为开发者本身就是俄罗斯人。然而,Avast威胁实验室还发现,在最近我们所成功阻止的攻击中,攻击数量最多的国家是针对俄罗斯的。这很有趣,因为恶意软件背后的攻击者不想感染俄罗斯或中亚地区的计算机。他还指出,这可能是因为攻击是通过喷洒式的方式进行传播的,将恶意软件传播到了世界各地。恶意软件在到达被感染的设备之前不会检查用户的位置。如果它发现设备位于开发者不想攻击的地区,它就不会运行。Martyanov写道,这也就解释了为什么我们在俄罗斯检测到了这么多的攻击企图,也就是说,在它进入检查设备位置的阶段之前,我们就可以将其进行拦截。如果一个未受保护的设备在遇到恶意软件时,其地域设置为英语或任何其他不在列表上的语言,它仍然会被感染。
3
数十万台MikroTik路由器已被恶意软件控制,导致了近年来最大规模之一的僵尸网络犯罪及服务活动;
> > > >信源:bleepingcomputer
据悉,软路由器厂商 MikroTik 公司大批量路由器被滥用,导致了 “近年来最大规模之一的僵尸网络犯罪及服务活动”。
根据捷克安全软件公司 Avast 发布的一项新研究,利用 Glupteba 僵尸网络以及臭名昭著的 TrickBot 恶意软件进行的加密货币挖矿活动都是使用同一个命令和控制(C2)服务器分发的。
捷克安全软件公司 Avast 的高级恶意软件研究员 Martin Hron 在一篇文章中说:“C2 服务器充当僵尸网络即服务,控制着近台易受攻击的 MikroTik 路由器,这可能与现在所谓的 Mēris 僵尸网络有关。”
据了解,该僵尸网络利用了 MikroTik 路由器 Winbox 组件中的一个已知漏洞 CVE-2018-14847,使攻击者能够对任何受影响的设备进行未经验证的远程管理访问。2021 年 9 月下旬,部分 Mēris 僵尸网络被摧毁。
Martin Hron 表示:CVE-2018-14847 漏洞于 2018 年被公布,它使这个僵尸网络背后的网络犯罪分子能够控制这些路由器,并将它们作为一种服务进行出租,MikroTik 为此发布了一个修复程序。
在捷克安全软件公司 Avast 于 2021 年 7 月观察到的攻击链中,易受攻击的 MikroTik 路由器的目标是从一个名为 bestony [.] club 的域中检索第一阶段有效载荷,然后从第二个域 globalmoby [.] xyz 获取额外的脚本。这两个域名都与同一个 IP 地址 116.202.93 [.] 14 相连,进而又发现了 7 个在攻击中被活跃使用的域,其中 tik.anyget [.] ru 被用于向目标主机提供 Glupteba 恶意软件样本。
Martin Hron 说:“当请求访问[.] ru 时,我被重新定向到 (该域又再次被 Cloudflare 代理隐藏),这是一个控制面板,用于编排被控制的 MikroTik 路由器,页面显示了连接到僵尸网络的设备的实时计数器。”
但是据说在 2021 年 9 月初关于 Mēris 僵尸网络的细节进入公众领域之后,C2 服务器突然停止提供脚本,然后完全消失。
这一披露也与微软的一份新报告相吻合,该报告揭示了 TrickBot 恶意软件如何将 MikroTik 路由器武器化,用来命令远程服务器和控制通信,这增加了运营商使用相同的僵尸网络即服务的可能性。
鉴于这些攻击,用户被建议使用最新的安全补丁更新路由器,设置强大的路由器密码,并从公共端禁用路由器的管理界面。
Martin Hron 说:“这也表明,考虑到所有不同的架构和操作系统版本,很难编写和大规模传播恶意软件,攻击者不仅将物联网设备作为运行恶意软件的重大目标,而且利用它们的法律和内置功能将它们设置为代理服务器。这样做是为了匿名化攻击者的痕迹,或者作为 DDoS 的放大工具。”
4
北约紧急援乌分析:网安技术装备已成重要军备物资
> > > >信源:虎符智库
3月24日,北约特别峰会在比利时布鲁塞尔北约总部召开,会后发表的联合声明决定,将向乌克兰提供网络安全技术装备,以及反坦克武器、防空武器和无人机以及防生化武器和防核武器的装备。
虎符智库专家贺小川认为,此次北约将网络安全技术装备与传统武器装备并列,同时作为重点援乌事项,这表明网络战成为现代战争的首选项和一部分,网安技术装备则成为影响战争走向的重要军备物资。
本次俄乌战争中,网络攻击的作用得到前所未有的凸显:打响数字时代战争的第一枪。
在开战前两个月,乌克兰的重要机构和设施先回遭受三次大规模网络攻击,大量政府机构和两家国有银行成为攻击的受害者,导致网站瘫痪或被迫暂时关闭。
为应对俄乌冲突可能在东欧扩散的风险,早在2022 年2月初,俄乌战争尚未爆发之际,美国就派遣白宫最高网络安全官员安妮·纽伯格访问北约,协调其盟友应对俄罗斯攻击乌克兰电网或通信系统的应对,以阻止甚至破坏俄罗斯对乌克兰的网络攻击,并为对俄制裁可能导致的报复性网络攻击浪潮做好准备。
2 月 20 日,美国联邦调查局(FBI)发布联络信息报告 (LIR),呼吁美国私营部门为俄罗斯可能发起的国家网络攻击做好准备,因为乌克兰的紧张局势可能会蔓延成全面冲突。报告称,“俄罗斯的 APT 攻击者瞄准美国和国际的各种关键基础设施,包括国防工业基地、医疗保健和公共卫生、能源、电信和政府设施部门等。”
俄乌冲突目前被视为典型的“混合战争”(hybrid warfare)——混合了传统的军事行动以及非传统的网络战。数字时代万物互联,网络空间足以映射现实,关键信息基础设施中的每个环节都是现实世界的神经元。贺小川指出,以国家为打击目标、以国防军工基础设施为作战对象的网络战,作为一种攻防资源极度不对称的战争模式,已经成为现代战争的首选项和前哨战。
到目前为止,对乌克兰基础设施的网络攻击远远低于公认的俄罗斯网络能力。网络安全公司 CrowdStrike 的联合创始人 Dmitri Alperovitch 表示,影响深远的网络攻击可能随时到来。
鉴于网络武器的溢出效应,释放网络武器所造成的破坏与危害往往会超出攻击者最初设定的目标。目前全球黑客组织广泛参与的俄乌网络战,最终是否会演化成大规模的全球网络冲突也未可知。
此次北约对乌克兰提供网络安全技术装备,是双方在网络安全领域长期合作的延续。实际上,在北约与乌克兰的合作中,网络安全一直是重要的领域。
在2014年俄乌冲突之后,在网络安全领域的合作得到了加强。2017年7月,乌克兰国家通讯社 Ukrinform 曾报道,2017年,北约宣布向乌克兰的关键政府机构提供最新的网络安全设备,帮助乌克兰保护关键政府机构免受攻击网络,同时可以调查网络攻击的幕后黑手。北约秘书长斯托尔滕贝格表示,北约在与乌克兰的合作中,更加关注的领域之一是网络安全。
因此,针对目前尚未发生影响广泛的网络攻击,有美国官员提出的一种可能性是,近年来加强乌克兰网络防护的努力削弱了俄罗斯的一些网络攻击。
西方认为,乌克兰一直是俄罗斯网络武器库的试验场。2015 年圣诞节期间的乌克兰大面积电力中断,以及2017年爆发、波及全球的NotPetya 勒索软件,都被西方视为俄罗斯对乌克兰的网络攻击。
网络战越来越被认为是一种潜在的大规模杀伤性武器,大国竞相加大资本投入,加强网络空间武器和防护技术装备的研制和部署,网络空间的军事化日益明显。
例如,作为美国整合网络战系统的概念,美国网络司令部创建了联合网络作战架构 (JCWA) ,来指导网络战采购和投资决策,目的是使网络部队能够执行指挥和控制决策,以及访问培训系统等任务。
根据美国国防部 2022 年预算,美国空军负责向联合网络指挥与控制 (JCC2) 申请 7900 万美元的预算,是上一年的两倍多。
美国持续加强在网络空间领域和网络武器领域的投入,实现网络战与传统军事行动的协同,这也验证网络攻击已经成为现代战争的一部分。
贺小川认为,俄乌战争表明,网络作战手段与物理作战手段正在形成战术级融合运用态势。网络战协同物理作战力量和作战手段,可以有效实现多域联合作战行动,未来战争“兵马未动、网战先行”将成为常态。乌克兰遭网络攻击后军政组织、武装力量瞬间瘫痪,暂时失去抵抗力量,无不透露出新型网络战已经具备实体攻击能力。
5
美太空部队ISR负责人希望使用新技术来监控敌方的卫星
> > > >信源:fedscoop
美太空部队情报、监视和侦察主管24日表示,美国军方需要类似于太空中的“捕食者”无人机的东西,以持续关注可能构成威胁的敌方卫星。利亚劳德巴克少将说,俄罗斯和中国近年来都发展了威胁美国军方一些最重要的全球通信系统的反太空能力,并补充说,部队需要找到一种方法来更好地关注它们。劳德巴克在Defense One主办的虚拟活动中指出,2020年,俄罗斯将一种可用于攻击五角大楼重要太空资产的系统送入轨道。令美国非常担心的是,俄方拥有美国评估为反太空能力的能力,基本上是在美国的一个卫星附近飞行并跟踪美国。劳德贝克还表示,中国构成的威胁甚至比俄罗斯更大。她说,在过去的10到15年里,北京“真正实现了现代化并建立了一种能力——一种反太空能力——这实际上将剥夺美国对联合部队其他成员的支持能力。她指出,中国或俄罗斯对美国卫星的攻击可能会破坏军方的通信、指挥和控制以及定位、导航和授时(PNT)能力。她建议,一系列配备高保真传感器的小型卫星可以让五角大楼有更多的眼睛来监控潜在的天基威胁,确定有害行动,甚至可能提前阻止它们。太空部队需要以“战斗心态”来完成保卫太空资产的任务。声 明
资讯来自全球范围内媒体报道,版权归作者所有。文章内容仅代表作者独立观点,不代表聚锋实验室立场。转载目的在于传递更多信息,如有侵权,请后台联系 。