安全资讯报告
Emsisoft帮助BlackMatter勒索软件受害者恢复文件
自今年夏天以来,网络安全公司Emsisoft一直在秘密解密BlackMatter勒索软件受害者,为受害者节省了数百万美元。
Emsisoft及其首席技术官Fabian Wosar自2012年以来一直在帮助勒索软件受害者恢复他们的文件,在BlackMatter勒索软件操作启动后不久,Emsisoft发现了一个缺陷,允许他们创建解密器来恢复受害者的文件,而无需支付赎金。
当BlackMatter样本公开时,就有可能提取赎金记录并获得受害者与勒索软件团伙之间的谈判的机会。在确定受害者身份后,Emsisoft会私下联系他们了解解密器,这样他们就不必支付赎金。
这最终导致BlackMatter锁定了他们的谈判站点,以便只有受害者才能访问,使研究人员无法通过这种方式找到受害者。随着受害者开始拒绝付款,BlackMatter对勒索软件谈判人员越来越怀疑和愤怒。
不幸的是,BlackMatter在9月底了解到解密器并修复了允许Emsisoft解密受害者文件的错误。对于那些在9月底之前被加密的受害者,Emsisoft仍然可以通过他们的勒索软件恢复服务提供帮助。
新闻来源:
http://bleepingcomputer.com/news/security/blackmatter-ransomware-victims-quietly-helped-using-secret-decryptor/
微软:WizardUpdate Mac恶意软件添加了新的规避策略
微软表示,它发现了macOS恶意软件的新变种,称为WizardUpdate(也称为UpdateAgent或Vigram),更新后使用新的规避和持久性策略。
正如微软安全专家发现的那样,本月早些时候发现的最新变种很可能是通过偷渡式下载分发的,它冒充合法软件,就像威胁情报公司Confiant在1月份发现它伪装成Flash安装程序时一样。
由于第一个变体是在2020年11月观察到的,当时它只能收集和泄露系统信息,因此开发人员多次更新了WizardUpdate。
微软研究人员在10月份收集的样本进行了多项升级,包括能够:
- 部署从云基础设施下载的二级负载
- 通过使用SQLite枚举LSQuarantineDataURLString获取受感染 Mac的完整下载历史记录
- 通过从下载的有效负载中删除隔离属性来绕过Gatekeeper
- 使用PlistBuddy修改PLIST文件
- 利用现有的用户配置文件来执行命令
- 更sudoers列表以授予普通用户管理员权限
在感染目标的Mac后,恶意软件开始扫描和收集发送到其命令和控制(C2)服务器的系统信息。该木马将部署第二阶段的恶意软件有效载荷,包括一个被跟踪为Adload的恶意软件变体,自2017年底开始活跃,并以能够通过Apple基于YARA签名的XProtect内置防病毒软件感染Mac而闻名 。
“UpdateAgent滥用公共云基础设施,以主机附加载荷并试图绕过看门人,其目的是确保只有受信任的应用程序在Mac设备上运行,通过删除下载的文件的属性检疫,”微软说。
“它还利用现有用户权限在受影响的设备上创建文件夹。它使用PlistBuddy在LaunchAgent/LaunchDeamon中创建和修改Plist以实现持久性。”
WizardUpdate的开发人员还在最新变体中加入了逃避功能,可以通过删除在受感染Mac上创建的文件夹、文件和其他工件来掩盖其踪迹。
在监控自2020年11月以来一直活跃的AdLoad活动时,当第一次发现WizardUpdate时,SentinelOne威胁研究员Phil Stokes发现了数百个样本,其中大约150个是独一无二的,并且未被Apple的内置防病毒软件检测到。
新闻来源:
https://www.bleepingcomputer.com/news/security/microsoft-wizardupdate-mac-malware-adds-new-evasion-tactics/
应对网络攻击响应需要两个工作日以上
根据美国网络安全公司Deep Instinct的最新研究,世界各地的组织平均需要两个工作日以上的时间来应对网络攻击 。该调查结果发表在该公司的SecOps之声报告中,该报告基于对11个国家/地区的1,500名高级网络安全专业人员的调查,这些专业人员为拥有1,000多名员工且年收入超过5亿美元的企业工作。
调查显示,全球对网络攻击的平均响应时间为20.09小时。金融行业的公司响应速度更快,平均需要16小时才能做出响应。较大的公司还可以更快地响应威胁,平均响应时间为15小时。发现较小的公司响应速度较慢,平均需要25小时才能采取行动。
报告中的其他主要发现是,只有1%的受访者认为他们的每个端点都安装了至少一个安全代理。
超过四分之一 (26%) 认为“复杂性”是阻碍他们安装更多端点安全代理的主要因素。其他被列为关键的问题涉及调查威胁所需的时间 (39%) 和合格的SecOps人员短缺 (35%)。
近三分之一的调查受访者认为,部署端点代理的最大挑战是云。80%的受访者认为,存储在云中的文件是一个未经检查的漏洞,而68%的受访者担心他们的同事会不小心上传恶意文件。
受访者最关心的攻击向量是隐藏的持久性。这种网络攻击是40%的受访者最担心的,威胁行为者长时间潜伏在系统中而不被发现。
新闻来源:
https://www.infosecurity-magazine.com/news/cyberattack-response-more-than-two/
数据安全引重视,孙逢春院士提出四大建议促发展
“没有数据是绝对安全的。”中国工程院院士、北京理工大学教授孙逢春院士于10月22日开幕的新能源汽车国家大数据联盟2021年高峰论坛上如是说。
近年来,随着智能网联汽车的快速发展,在给人们带来更安全、更舒适、更便捷的驾乘体验的同时,也滋生了一些新的安全隐患。
比如智能网联汽车的数据和网络安全,目前已然成了悬在车企和零部件技术提供商上方的达摩克利斯之剑。据Upstream Security此前发布的2020年《汽车信息安全报告》显示,从2016年到2020年1月,4年内汽车信息安全事件的数量增长了605%,其中仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起,形势之严峻可见一斑。
孙逢春院士分析指出,由于安装了大量的车载传感器,智能新能源汽车是产生海量数据采集和交互的节点,如果管理无序或者粗放风险极大,主要是表现在危害国家安全、社会安全、经济安全以及泄露个人隐私安全等。
为进一步降低以上风险,进入2021年国家频频发布相关政策,为行业发展保驾护航。今年8月份,工信部和国家网信办分别出台《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称“准入管理意见”)和《汽车数据安全管理若干规定(试行)》,为智能网联汽车准入和数据安全管理提供了指导;9月13日,工信部装备中心开始汽车数据安全、网络安全等自查工作;9月16日,工信部又发布《关于加强车联网网络安全和数据安全工作的通知》,进一步强化对汽车网络安全和数据安全的指导。
但在孙逢春院士看来,想要实现汽车数据的绝对安全并非一件易事。“智能网联新能源汽车数据具有面广、量大的特征,其实安全体系是一个复杂的系统工程问题,主要包括四个体系:即法律法规体系、标准规范体系、监管体系、技术体系。”
其中,政策法规层面上,《网络安全法》《数据安全法》和《个人信息保护法》并行成为我国网络治理和数据保护的三驾马车,但是在具体操作层面数据安全法律体系有待完善,在智能网联新能源汽车或者是智能交通领域亟待出台专项实施细则。
新闻来源:
http://auto.cnfol.com/cheshidongtai/20211025/29213866.shtml
工业企业位居勒索软件攻击目标榜首
工业产品和服务业务仍然是勒索软件攻击的最流行目标,但网络犯罪分子正在越来越多样化地勒索他们的组织。
在很多情况下,受害者会屈服于要求并支付赎金。这可能是因为他们没有备份,因为如果不付款,犯罪分子威胁会泄露被盗数据,或者仅仅是因为受害者认为支付赎金是恢复网络的最快方式。然而实际上,即使使用正确的解密密钥,服务也可能在事件发生后很长一段时间内仍会中断。
在对今年7月至9月间报告的数百起勒索软件攻击的分析中,Digital Shadows的网络安全研究人员发现,工业产品和服务是最常报告的行业,几乎是影响第二大受影响行业的事件数量的两倍——技术。
今年最重要的勒索软件攻击之一影响了工业环境,当时Colonial Pipeline成为DarkSide勒索软件的受害者。网络攻击导致美国东海岸大部分地区天然气短缺,人们纷纷囤积天然气。该公司最终支付了数百万美元的赎金来恢复网络。
其他常见的勒索软件目标包括建筑、金融服务和法律服务,以及食品和饮料公司,所有这些公司都拥有重要的系统或数据,犯罪分子可以利用这些系统或数据强迫受害者支付赎金。
研究人员警告说,目标行业的扩张可能是由于新的勒索软件团体的出现和帮派之间的竞争加剧。
新闻来源:
https://www.zdnet.com/article/ransomware-industrial-services-are-still-the-most-popular-target-but-now-cyber-criminals-are-diversifying-attacks/
安全漏洞威胁
“lone wolf(孤狼)”黑客组织利用商业RAT攻击阿富汗和印度
一个针对阿富汗和印度的新恶意软件活动正在利用一个影响Microsoft Office的现已打补丁的20年漏洞来部署一系列商品远程访问木马 (RAT),使对手能够完全控制受感染的端点。
Cisco Talos将此次网络活动归因于一个“lone wolf(孤狼)”威胁行为者,该攻击者经营着一家名为Bunse Technologies的位于拉合尔的虚假IT公司,作为开展恶意活动的前线,同时也有共享有利于巴基斯坦和塔利班的内容的历史一直追溯到2016年。
这些攻击利用托管恶意软件有效载荷的政治和政府主题诱饵域,感染链利用武器化的RTF文档和PowerShell脚本向受害者分发恶意软件。具体来说,发现这些带有RTF文件的文件利用CVE-2017-11882来执行PowerShell命令,该命令负责部署额外的恶意软件以在机器上进行侦察。
CVE-2017-11882涉及一个内存损坏漏洞,该漏洞可能被滥用来运行任意代码 该漏洞据信自2000年以来就存在,最终被微软作为其2017年11月补丁星期二更新的一部分解决。
侦察阶段之后是一个类似的攻击链,它使用上述漏洞运行一系列指令,最终安装商用恶意软件,如DcRAT和QuasarRAT,这些恶意软件具有各种开箱即用的功能,包括远程外壳,进程管理、文件管理、键盘记录和凭据窃取,因此攻击者需要付出最少的努力。
在网络犯罪行动期间还观察到了一个用于Brave、Microsoft Edge、Mozilla Firefox、Google Chrome、Opera、Opera GX和Yandex Browser的浏览器凭据窃取程序。
新闻来源:
https://thehackernews.com/2021/10/lone-wolf-hacker-group-targeting.html
纽约时报记者多次被Pegasus (飞马)间谍软件攻击
《纽约时报》记者本·哈伯德 (Ben Hubbard) 的iPhone在2018年6月至 2021年6月的三年时间里多次遭到NSO Group的Pegasus间谍软件工具的黑客攻击,导致2020年7月和2021年6月两次感染。
迄今为止,据信NSO Group至少利用了三种不同的iOS漏洞——即 2019年12月的iMessage零点击漏洞、2020年7月开始的针对iOS 13.5.1和iOS 13.7的KISMET漏洞以及针对iOS的FORCEDENTRY漏洞自2021年2月以来,从14.x到14.7.1。
值得指出的是,Apple的iOS 14更新包括一个BlastDoor框架,该框架旨在使零点击漏洞利用更加困难,尽管FORCEDENTRY明确破坏了内置于操作系统中的非常安全的功能,促使Apple在9月发布更新以修复该缺陷2021。
对该活动的取证调查显示,哈伯德的iPhone在2020年7月12日和2021年6月13日两次被监控软件成功入侵,一次是通过KISMET和FORCEDENTRY零点击iMessage漏洞利用,此前两次尝试通过短信均未成功和2018年的WhatsApp。有一长串记录在案的活动人士、记者和国家元首被使用该公司的“军用级间谍软件”进行攻击。
新闻来源:
https://thehackernews.com/2021/10/nyt-journalist-repeatedly-hacked-with.html
CISA敦促管理员修补Discourse RCE漏洞
周五,开发人员通过紧急更新修复了一个严重的Discourse远程代码执行 (RCE) 漏洞,跟踪CVE-2021-41163。
Discourse是一个广泛部署在网络上的开源论坛、长格式聊天和邮件列表管理平台,提供出色的可用性和集成潜力,同时重点关注社交功能。
易受攻击的版本是2.7.8及更早版本,解决风险的最佳方法是更新到周五发布的2.7.9或更高版本。最新的测试版和测试版也已针对该漏洞进行了修补。
由于Discourse的广泛使用,CISA发布有关该漏洞的警报,敦促论坛管理员更新到最新可用版本或应用必要的解决方法。
新闻来源:
https://www.bleepingcomputer.com/news/security/cisa-urges-admins-to-patch-critical-discourse-code-execution-bug/