捷克网络安全软件厂商 Avast 披露称其内网遭攻击。该公司发布声明称攻击的目的似乎和2017年的事件一样,都是为了将恶意软件插入 CCleaner 软件中。该公司指出,攻击者攻陷了某员工的 VPN 凭证,获取了对未受多因素认证解决方案保护的某账户的访问权限。Avast 表示在9月23日检测到入侵行为,但其实黑客早在今年5月14日就攻击其基础设施。该公司表示该员工的凭证并不具有域管理员权限,但攻击者通过成功的提权设法获取了域管理员权限。而正是这种提权行为引起 Avast 的警觉并随后开展调查。之后公司员工也找到了此前就已发出但被当做误报且被忽视的警告信息。Avast通过钓鱼追踪攻击者并观察他们的动作,直到10月15日推出 CCleaner 新版本才作罢。Avast修改了用于签名 CCleaner 更新的数字证书,最后还重置了所有员工的凭证。Avast 表示无法判断黑客的身份。貌似自从收购 CCleaner 以来,Avast 就麻烦不断,但尽管如此,Avast 表示将不会放弃 CCleaner。
美国国安局(NSA) 和英国 GCHQ下属机构国家网络安全中心 (NCSC) 发布报告称,和俄罗斯存在关联的威胁组织 Turla 劫持了伊朗黑客的恶意软件和基础设施。NCSC 此前就曾公布过两份归纳了 Turla 所使用的恶意软件 Neuron 和 Nautilus 的报告。NSA 和 NCSC 在新发布的报告中指出,Neuron 和 Nautilus 恶意软件似乎源自伊朗而它们的作者“几乎一定”没有意识到自己的工具已遭 Turla 使用。而即使已经意识到这一点,但俄罗斯黑客可能劫持了这些工具而非和伊朗黑客合作。俄罗斯黑客的攻击目标是之前已通过 Snake 工具集攻陷的系统,涉及全球35个国家,其中包括位于中东的政府组织机构,目的被指为从系统中窃取文件。但俄罗斯黑客使用伊朗黑客工具的行为让某些受害者认为攻击源自伊朗,但实际可能是俄罗斯。NSA 和 NCSC 认为 Turla 组织不仅劫持命令和控制基础设施,还劫持运营基础设施。报告认为 Turla 使用自己的恶意软件攻陷由伊朗 APT 组织使用的运营基础设施,从而获取很多有用信息如受害者列表和系统访问凭证以及恶意软件源代码。通过获取 Neuron 和 Nautilus 等工具的源代码,Turla 作出修改后和自己的 C&C 服务器进行通信。报告详见:https://www.ncsc.gov.uk/news/turla-group-exploits-iran-apt-to-expand-coverage-of-victims
安全公司vpnMentor 表示,Best Western Hotels and Resorts 集团旗下度假预定管理系统Autoclerk 的公开的 Elasticsearch 数据库暴露了酒店客户以及美国军队人员和官员的敏感数据。研究人员指出,在访问该数据库时并未遇到加密或安全障碍,他们还检查了所包含的记录情况,结果发现“数千名”个人受影响。出于道德原因,他们并未检查被泄数据看中的所有记录,因此无法提供具体受影响人数。他们能够访问的信息包括全名、出生日期、家庭住址、电话号码、旅行日期和消费、一些入住时间和房间号以及打码的信用卡详情。据悉这次数据泄露事件是因为美国政府的某旅游管理承包商和 Autoclerk 联网的某个平台引发的。研究人员能够查看和政府及官方人员相关的历史以及未来旅行安排,他们来自美国政府部门、军队和国土安全局。在记录中他们看到了美国军队人员访问了俄罗斯、以色列等国家。遭泄露的数据库含有超过179G 的数据。该数据库已在10月2日撤回。
全球最大的自动化技术提供商德国公司 Pilz 遭勒索感染,一周仍然无法正常运行。该公司在网站上发布公告称,自从2019年10月13日期,全球所有的服务器和计算机工作站包括公司的通讯等均受影响。为谨慎起见,该公司已经删除了网络中的所有计算机系统并拦截了企业网络的访问权限。
该公司遍布全球76个国家,因从主网断网,因此无法处理订单以及查看客户状态。Pilz 花费了三天的时间才重新获得对邮件服务的访问权限,又花了三天恢复全球各处的邮件服务。而产品订单和交付系统的访问权限直到今天才恢复。生产能力虽然并未受影响但无法检查订单。
FoxIT 的首席情报分析师 Maarten van Dantzig 经过分析 VirusTotal 上的 BitPaymer 样本后表示,Pilz 是 BitPaymer 勒索软件的众多受害者之一。该样本上包含和 Pilz 相关的联系详情的勒索留言,它是专为 Pilz 定制的。
BitPaymer 勒索软件出现于2017年夏天,曾攻击多起目标,最近一次是利用 iTunes 0day 发动攻击以及攻击法国电视台 M6。不过BitPaymer 并非常见的勒索软件类型,因为它的目标是“搞票大的”。安全公司 ESET 认为该勒索软件出自 Dridex 作者。BitPaymer 勒索软件突然在今年变得异常活跃。
Van Dantzig 表示,遭攻击的公司必须明白,从 BitPaymer 感染中恢复之后,系统管理员还必须从受感染主机中删除 Dridex 木马,否则将再次遭感染。
https://www.zdnet.com/article/avast-says-hackers-breached-internal-network-through-compromised-vpn-profile/
https://www.securityweek.com/us-uk-russian-hackers-hijacked-iranian-malware-infrastructure
https://www.zdnet.com/article/autoclerk-database-leaked-customer-government-and-military-personal-records/
https://www.zdnet.com/article/major-german-manufacturer-still-down-a-week-after-getting-hit-by-ransomware/
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。