安全威胁情报周报(11.6~11.12)
2023-11-12 22:20:5 Author: 微步在线研究响应中心(查看原文) 阅读量:6 收藏

俄罗斯第二大保险公司Rosgosstrakh遭黑客攻击,重要数据被售卖

  Tag保险,数据泄露

事件概述:
最近,俄罗斯第二大保险公司Rosgosstrakh遭遇了一次严重的网络攻击,导致重要的敏感数据被窃取并在网络上进行售卖。这次攻击对Rosgosstrakh造成了严重的损失,不仅客户的金融数据遭到泄露,还有大量个人信息以及与保险覆盖和人寿保险有关的数据也受到了威胁。据报道,黑客窃取了自2010年以来的投资和人寿保险部门的完整记录,涉及约300万份银行对账单。此外,约73万人的个人信息也遭到泄露,其中包括约8万人的俄罗斯社会安全号码(SNILS)和约4.5万人的完整银行路由信息。这些数据的泄露可能会给受影响的个人带来严重的财务和安全风险。此外,这次数据泄露还涉及俄罗斯军事情报机构GRU的特工信息。黑客获取了这些特工的详细信息,包括姓名、出生日期、电话号码、电子邮件地址、护照号码等。
报道指出,泄露的信息可能被外国政府利用,对俄罗斯国家安全构成威胁,影响了Rosgosstrakh的声誉和国际业务。敏感数据泄露可能导致客户和合作伙伴对公司数据保护失去信任,进而影响业务合作。此次事件可能引发国际社会对俄罗斯网络安全水平的质疑,对俄罗斯企业在国际市场上的竞争力带来负面影响。因此,有必要采取有效措施来加强网络安全,以维护国家和企业的整体利益。

来源:
https://www.hackread.com/russia-insurer-rosgosstrakh-hacked-data-sold/?web_view=true

中东政府遭伊朗Crambus间谍组织长达八个月的网络入侵

  Tag政府,间谍组织

事件概述:
伊朗黑客组织Crambus(OilRig, APT34)在2023年2月至9月期间对中东某国政府进行了为期八个月的入侵。攻击者窃取了文件和密码,并部署了PowerExchange后门,通过监视Exchange服务器的传入邮件执行攻击者通过电子邮件发送的命令,以及秘密将结果转发给攻击者。至少有12台计算机受到了恶意活动的影响,证据显示攻击者在数十台计算机上部署了后门和键盘记录器。攻击中还涉及对网络管理工具Plink的频繁使用、Windows防火墙规则的修改以及启用远程访问等。

技术手法:
攻击者采用了多种技术手段,包括部署多个未被发现的恶意软件,其中包括PowerExchange后门、Backdoor.Tokel、Trojan.Dirps、Infostealer.Clipog等。利用Plink进行端口转发,通过远程桌面协议(RDP)实现远程访问。PowerExchange后门利用Exchange服务器作为C&C,监视传入邮件并执行攻击者的命令。攻击者还使用了Mimikatz进行凭证转储,对网络进行扫描以寻找漏洞,并通过Wireshark捕获USB和网络流量。攻击活动在数月内持续进行,涉及多个计算机和服务器,对被攻击组织构成严重威胁。

来源:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/crambus-middle-east-government

俄罗斯黑客Sandworm在新的袭击中致使乌克兰电网瘫痪

  TagSandworm,乌克兰,电网

事件概述:
2022年底,Mandiant应对了一起网络攻击事件,涉及俄罗斯威胁组织 Sandworm针对乌克兰关键基础设施的攻击。这次事件包括多个网络攻击事件,采用了一种新的技术影响工业控制系统(ICS)/运营技术(OT)。攻击从使用OT级别的“Living off the Land”(LotL)技术开始,可能导致受害者的变电站断路器跳闸,引发了计划外停电,与乌克兰多个关键基础设施的导弹袭击同时发生。随后,Sandworm在受害者的IT环境中部署了CADDYWIPER的新变种,进行了第二次网络物理攻击。这次网络物理攻击显示了俄罗斯的网络物理攻击能力的演进,表明攻击者具备新的OT攻击技能和快速开发类似能力的能力。
技术手法:
攻击者通过托管着受害者变电站环境SCADA管理实例的超级控制和数据采集(SCADA)超级监控器来访问OT环境。在10月10日,攻击者使用了一个光盘映像(ISO)文件“a.iso”来执行本地MicroSCADA二进制文件,试图执行恶意控制命令以关闭变电站。攻击利用ISO文件中的“lun.vbs”、“n.bat”和“s1.txt”文件,其中包含未经授权的MicroSCADA命令。虽然无法完全恢复二进制文件的ICS命令执行,但分析表明该攻击导致了计划外停电。两天后,Sandworm在受害者的IT环境中部署了CADDYWIPER的新变种,进一步破坏并可能移除取证工件。然而,CADDYWIPER的部署仅限于受害者的IT环境,没有影响超级监控器或SCADA虚拟机。
来源:
https://www.mandiant.com/resources/blog/sandworm-disrupts-power-ukraine-operational-technology

CISA 发布一项工业控制系统公告

  Tag:CISA,工业系统

事件概述:
近日,CISA 发布工业系统公告指出 Rockwell Automation的Stratix 5800和Stratix 5200设备中存在关键漏洞,可能导致远程、未经身份验证的攻击者获取高特权账户,进而操控受影响的系统。该漏洞标识为CVE-2023-20198,CVSS v3基本分数高达10.0,表明其危险性极高。尽管漏洞实际与Cisco IOS软件有关,但关键内容是Rockwell Automation的设备受到了严重漏洞的威胁。Rockwell Automation强烈建议用户采取紧急措施,禁用Stratix HTTP服务器,以阻止潜在攻击。同时,CISA提供了一系列针对此漏洞的防范建议,以最小化漏洞被利用的风险。这包括减少控制系统设备和系统的网络暴露,将其隔离在防火墙后,采用更安全的远程访问方法,如虚拟专用网络(VPN),并在实施防御措施之前进行充分的风险评估。组织还可以参考CISA的工业控制系统安全最佳实践,采用主动的网络安全策略以强化对工业控制系统资产的保护。这一漏洞的修复和安全防范对于确保系统的稳定和可靠运行至关重要,特别是对于涉及到关键制造业的基础设施。
来源:https://www.cisa.gov/news-events/ics-advisories/icsa-23-297-01

OpenAI遭受DDoS攻击:ChatGPT和API服务宕机

  Tag:DDoS,ChatGPT

事件概述:
OpenAI在过去24小时内多次遭受分布式拒绝服务(DDoS)攻击,导致其ChatGPT和API服务出现周期性宕机。攻击者声称这是因OpenAI对以色列持有“一般偏见”而采取的报复行动。攻击使用了SkyNet僵尸网络,其中包括应用层攻击,目的是压倒服务以引发宕机。尽管有一名自称为“ Anonymous Sudan”的威胁组织声称对这些DDoS攻击负责,但OpenAI尚未确认攻击者的身份。一些网络安全研究人员认为这可能是伪装,该威胁组织可能与俄罗斯有关。OpenAI正在采取措施来应对这些攻击,服务在陆续恢复中。
来源:
https://www.bleepingcomputer.com/news/security/openai-confirms-ddos-attacks-behind-ongoing-chatgpt-outages/

SideCopy APT组织针对印度政府及国防机构展开网络攻击

  Tag:SideCopy ,印度

事件概述:
SEQRITE Labs APT-Team 近几个月内监测到了多起面向印度政府和国防实体组织的SideCopy APT组织的网络攻击事件。这一威胁组织采用最新的WinRAR漏洞CVE-2023-38831,用于传播AllaKore RAT、DRat以及其他恶意负载。这些受感染的域用于托管SideCopy的有效负载,并可重复使用,这些域名解析到相同的IP地址。SideCopy还部署了名为Ares RAT的Linux变体,与另一APT组织透明部落(APT36)的代码相似。SideCopy和APT36采用相似的诱饵、命名约定和多平台攻击方式,共享基础设施,致力于网络攻击印度。此外,研究人员指出预计这些活动将持续增加,特别是在以色列与哈马斯冲突升级的情况下,不仅黑客活动分子,甚至其他反对以色列的组织也会加强对印度网站的DDoS、篡改和数据泄露攻击。
技术手法:
SideCopy APT组织通过网络钓鱼攻击进行传播,利用诱饵文档引诱用户下载恶意存档文件。在攻击中使用了多种恶意软件,包括AllaKore RAT、DRat和Ares RAT,用于窃取系统信息、键盘记录、截屏、上传和下载文件等功能。攻击还涉及多个共享相同IP地址的域名,以逃避检测。该组织与APT36有密切联系,一直积极地瞄准印度政府和国防实体组织。
来源:
https://www.seqrite.com/blog/sidecopys-multi-platform-onslaught-leveraging-winrar-zero-day-and-linux-variant-of-ares-rat/?web_view=true

漏洞通告 | IP-guard WebServer 远程命令执行漏洞

  Tag漏洞

事件概述:
IP-guard WebServer,由溢信科技股份有限公司开发,是一款旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理的终端安全管理软件。微步漏洞团队通过“X 漏洞奖励计划”获取了有关IP-guard WebServer存在远程命令执行漏洞的情报。该漏洞允许攻击者利用低难度的方式执行任意命令,从而获取服务器的控制权限。虽然攻击条件无需权限,且可实现0-click交互,但官方已发布修复方案,建议受影响的用户尽快升级IP-guard WebServer至4.81.0307.0版本或联系官方获取修复方案。另外,暂时的防护方法包括使用防护设备、不将IP-guard WebServer暴露在互联网,以及在不影响业务的情况下删除存在漏洞的文件。此次漏洞曝光引起高度关注,因此维护软件安全至关重要。

来源:https://mp.weixin.qq.com/s/RFEfyK2lL0dFh6hWnp6Yjg

2023年11月2日

医疗巨头 Henry Schein 遭 BlackCat 勒索团伙入侵,35TB数据被窃取

黑客组织BlackCat声称入侵Henry Schein,窃取35TB数据。Henry Schein是一家全球医疗解决方案提供商,企业价值超过120亿美元,拥有32个国家的业务。公司于10月15日披露遭网络攻击,导致一些系统暂时下线。尽管受干扰,公司的一些管理软件未受影响。黑客声称已重新加密公司设备,因谈判失败,发布了一部分工资和股东数据。Henry Schein,已通知执法机构并聘请网络安全专家调查潜在数据泄漏。黑客组织BlackCat曾以DarkSide为名,曾因侵入Colonial Pipeline而引发国际调查。最近,BlackCat的附属组织Scattered Spider声称对MGM Resorts入侵负责,称对超过100个虚拟机监视器加密。
来源:
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-breach-of-healthcare-giant-henry-schein/

---End---


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247503787&idx=1&sn=3afb1cbeef323e1ad1ade58d45e9be0b&chksm=cfcaacbff8bd25a9b9d5153c0a4b828ad2d5b254989a588fd0ff53f89a177e9e5a1674ebae86&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh