美英网络安全机构抨击APT28发起大规模

美英网络安全机构抨击APT28发起大规模网络攻击；家企业遭遇REvil勒索软件的MSP供应链攻击；研究人员绘制出NSO集团间谍软件受害者地图；黑客猖獗一天内全球千家公司遇袭；中小企业难敌大黑客：美国白宫向遭勒索软件攻击公司伸出援手；拜登下令调查最新的勒索软件攻击；微软为PrintNightmare漏洞提供进一步的缓解措施将其评级为"高严重性"GooglePlay中9款应用被发现会窃取用户的Facebook密码；美英网络安全机构抨击APT28发起大规模网络攻击

在英美网络安全机构的一份联合声明中，俄罗斯网络犯罪组织APT28被指控发起了多次大规模网络攻击。SecurityAffairs指出：当局在年中至年初这段时间内，发现了针对全球诸多政府组织与企业的网络犯罪活动，涉及能源、智库、以及国防承包商等领域。具体说来是，黑客利用了Kubernetes集群开展匿名暴力攻击，并且借助商业虚拟专用网或暗网来进一步隐匿自身的踪迹。美国国家安全局（NSA）在公告中称，该网络犯罪组织正在全球范围内展开暴力攻击活动，以企业和云环境造成了极大的危害。受害者中包括了美国境内的数百个政企网络，其遭到了境外组织的渗透。美国联邦调查局（FBI）指出，APT组织主要针对MicrosoftOffice在线服务、以及由第三方服务提供商托管的内部电子邮件服务器展开行动，且专家们认为该组织仍未收手。攻击手段方面，APT组织利用了包括NTLM、POP3、HTTP(S)、以及IMAP（S）在内的一系列协议，并且试图通过各种TTP组合来掩饰自身的踪迹。即便如此，仍有许多恶意活动可被检测出来。在某些情况下，APT组织会利用之前泄露的登录凭据、或猜测各种常用的密码。据某位专家所述，攻击者还在利用软件容器手段，以使其暴力尝试更易于扩展。在发现了必要的凭据之后，网络犯罪团伙会进一步利用诸多已知漏洞（包括CVE--和CVE--MicrosoftExchange漏洞）来进一步渗透目标网络。到了这一步，攻击者已经能够更好地躲避网络防御、获取并转移信息，而不会被受害者给发现。家企业遭遇REvil勒索软件的MSP供应链攻击

周四下午开始，REvil勒索软件团伙（又名Sodinokibi）似乎又盯上了拥有数千名客户的托管服务提供商（MSPs）。作为KaseyaVSA供应链攻击的一部分，目前已知有8个大型的MSP遭到了攻击。据悉，KaseyaVSA是一个基于云的MSP平台，允许提供商为客户执行补丁管理和客户端监控任务。HuntressLabs的JohnHammond向BleepingComputer透露，所有受影响的MSP都在使用KaseyaVSA，且他们有证据表明他们的客户也受到了影响，包括3个Huntress合作伙伴/大约家企业。截止美东时间当天下午2点，此类潜在攻击似乎仅限于少数内部部署客户。但Kaseya还是在网站上发布了安全公告，警告所有VSA客户立即关闭他们的服务器，以防止事态的进一步蔓延。目前我们正在非常谨慎地调查时间的根本原因，但在收到进一步的通知之前，建议大家立即关闭自家的VSA服务器。该操作至关重要，还请立即执行，因为攻击者做的第一件事，就是关上VSA管理访问的大门。在致BleepingComputer的一份声明中，Kaseya表示他们已经关闭了自家的SaaS服务器，并且正在与其它安全公司合作调查这一事件。此外大多数勒索软件加密攻击都选在了周末的深夜进行，因为那时负责网络监控的人手最少。鉴于本次攻击发生在周五中午，攻击者很可能瞄准这周末发起更大范围的行动。JohnHammond与Sophos的MarkLoman都向BleepingComputer透露，针对MSP的攻击，似乎是通过KaseyaVSA发起的供应链攻击。前者称，KaseyaVSA会将agent.crt文件放到c:\kworking文件夹中，并作为“KaseyaVSAAgentHot-fix”更新来分发。然后借助合法的Windowscertutil.exe这个PowerShell命令对agent.crt文件进行解码，并将agent.exe文件提取到同一文件夹中。agent.exe使用了来自“PB03TRANSPORTLTD”的签名证书，辅以嵌入的“MsMpEng.exe”和“mpsvc.dll”（后面这个动态链接库文件又被REvil勒索软件的加密器所使用）。MsMPEng.exe是合法的MicrosoftDefender可执行文件的旧版本，它被当做LOLBin以调用动态链接库（DLL）文件，并通过受信任的可执行文件进行加密。此外一些样本还向受感染的计算机注入了带有政治色彩的Windows注册表项及配置更改，比如BleepingComputer就在[VirusTotal]样本中看到了BlackLivesMatter密钥被用于存储来自攻击者的配置信息。若不幸中招，勒索软件团伙会向受害者索取万美元的赎金，以获得针对其中一个样本的解密器。而且通常REvil会在部署文件加密型勒索软件前窃取受害者的数据，但目前尚不清楚本次攻击有泄露哪些文件。研究人员绘制出NSO集团间谍软件受害者地图

据外媒报道，研究人员首次绘制了所有已知目标的地图--包括记者、活动人士和人权捍卫者，据悉，他们的手机被NSO集团开发的间谍软件Pegasus入侵。伦敦大学金史史密斯学院的学术部门ForensicArchitecture专门对侵犯人权情况展开调查。该机构搜索了人权组织的数十份报告并开展了开源研究，他们亲自采访了数十名受害者以披露包括设备感染在内的信息。而这些信息展示了NSO的政府客户实施的数字监控跟受害者在现实世界中遭受的恐吓、骚扰和暴力之间的关系和模式。尽管上千个数据点只是政府对PegASUS的整体使用的一部分，但该项目旨在为研究人员和调查人员提供NSO在全球范围内活动的工具和数据。据了解，总部位于以色列的NSO集团开发了一种间谍软件Pegasus，它可以让其政府客户几乎不受限制地访问受害者的设备，其中包括他们的个人数据和位置。NSO一再拒绝透露客户的名字，不过据称至少有45个国家政府的合同--包括卢旺达、巴林、沙特阿拉伯、墨西哥、以色列和阿拉伯联合酋长国等。ForensicArchitecture的负责人ShouridehMolavi指出，新发现揭示了“我们所居住的数字领域已经成为侵犯人权的新前沿、成为国家监视和恐吓的场所并使现实空间中的物理侵犯成为可能。”该平台展示了受害者如何被间谍软件和身体暴力攻击的可视化时间表，这是政府针对最直言不讳的批评者开展的运动的一部分。沙特视频博主、流亡蒙特利尔的活动人士OmarAbdulaziz的手机在年被Pegasus恶意软件入侵。就在沙特特使试图说服Abdulaziz回国后不久他的电话就被窃听了。几周后，他在沙特阿拉伯的两个兄弟被捕，他的朋友也被拘留。Abdulaziz是《华盛顿邮报》已故记者贾迈勒·卡舒吉(JamalKhashoggi)的密友。针对卡舒吉的谋杀得到了沙特实际统治者穆罕默德·本·萨勒曼王储的批准。另外，Abdulaziz还掌握着一位得到国家支持的人员的Twitter账号信息，后来得知该人员是Twitter雇佣的一名沙特间谍。雅虎新闻本周报道称，正是这些包括Abdulaziz的电话号码在内的被盗数据帮助沙特人侵入了他的手机并实时读取了他跟卡舒吉之间的信息。墨西哥记者CarmenAristegui是另一名已知的受害者，她的电话在年和年多次被Pegasus的政府客户--可能是墨西哥--窃听。多伦多大学公民实验室(CitizenLab)发现，她当时还未成年的、在美国居住的儿子Emilio的手机也遭到了攻击。针对Aristegui、她的儿子和她的同事的数字入侵的时间线表明，在墨西哥时任总统EnriqueNieto的腐败行为被曝光后黑客活动加剧了。“这是一款恶意软件，它会激活你的相机、麦克风，这些都是你生活中不可或缺的一部分，”Aristegui在接受记者兼电影制作人LauraPoitras采访时说道。Aristegui继续说道：“当国家或任何人使用这些‘数字暴力’系统时，新闻责任受到了显著的损害。这对记者来说是一个非常有害的因素，它影响了一个社会的知情权。”据悉，这个平台还依靠了AmnestyInternational对NSO集团公司结构的最新调查结果。调查结果显示，NSO的间谍软件已扩散至美国各州和政府，其能通过利用一个复杂的公司网络来隐藏掉客户和活动。ForensicArchitecture的平台追踪了自NSO年成立以来的私人投资足迹，这些投资可能会使NSO能向政府出售间谍软件，而由于以色列的出口限制，NSO通常无法接触到这些软件。“NSO集团的Pegasus间谍软件需要被视为一种武器，就像以色列军事工业综合体的其他产品一样，在以色列持续占领的背景下。看到它被用于在世界范围内侵犯人权，这令人沮丧，”司法建筑总监EyalWeizman说。该平台是在NSO本周发布第一份所谓的透明度报告后不久推出的。AmnestyInternational指出，这份报告读起来更像是一本销售手册。NSO集团在一份声明中表示，不能对未见过的研究发表评论，但表示会调查所有可信的滥用行为。NSO集团坚称，其技术不能被用于在美国境内进行网络监控，也没有任何客户获得了能让他们访问美国电话号码的技术。另外，它还拒绝透露任何政府客户的名字。黑客猖獗一天内全球千家公司遇袭

从5月的美国最大燃油管道被黑客掐断，引发全国范围内的大规模恐慌和天然气短缺；再到6月全球最大肉类供应厂商JBS被攻击，现在黑客的攻击已经不仅仅是针对单个公司了，而是盯上了为成百上千公司提供服务的IT服务供应商。瑞典最大的连锁超市之一Coop上周六表示，在一次网络攻击阻断其收银台访问后，该公司不得不暂时关闭全国约家门店。Coop只是这次攻击的一长串受害者名单中的第一个。在此前一天，黑客开始发起一场全球勒索软件攻击，共袭击了超过家公司。在这场似乎是迄今为止规模最大的供应链黑客攻击事件中，黑客将目标锁定在了IT管理软件供应商Kaseya上。Kaseya是一家美国资讯科技管理公司。黑客通过袭击Kaseya公司一个名为VSA的工具，向使用该公司技术的管理服务提供商（MSP）进行勒索，同时加密这些提供商客户的文件。黑客攻击的虽然是美国的公司，但这家公司的业务覆盖全球，瑞典的Coop只是其中之一。有网络安全专家指出，由于Kaseya的客户属于大型IT服务供应商，这些公司又会为数百家公司提供外包IT服务，至今已有家公司受影响。不过，预计受影响公司的数目会陆续增加，可能多达数千家，遍布英国、加拿大和南非等最少17个国家。英国金融时报援引网络安全集团HuntressLabs的话表示，目前已经确定了20家受到威胁的管理服务提供商（MSP），这些公司超过家客户为此次勒索事件的受害者。目前这些客户的数据已经被黑客加密，只有支付赎金后才能获得。美国政府也对此采取了行动。美国国土安全部网络安全和基础设施安全局上周五宣布，他们目前正与联邦调查局合作，“采取行动了解并解决最近针对IT管理平台Kaseya的供应链勒索软件攻击事件”。7月3日，美国总统拜登也表示他已经下令情报机构全面调查VSA软件遭攻击事件。此前，美国政府曾经称大量网络攻击由俄罗斯方面发动。不过拜登说，目前不确定攻击者是谁，“初步来看，这不是俄罗斯政府所为，但不确定”，“明天将了解得更多”。对于此次黑客攻击事件的详细情况以及影响，北京商报记者联系了Kaseya公司，但截至发稿还未收到回复。不过Kaseya曾在2日表示，已把受攻击范围缩小到“很少比例的客户”，“目前估计全球只有不到40家”。虽然这起案件的最终结果尚未可知，但不得不提的是，今年已经发生多起勒索软件攻击事件。这些黑客借助勒索软件，锁住受害企业数据乃至窃取数据，继而索要钱财。一系列备受瞩目的勒索软件攻击之后，安全专家和国会议员对美国网络安全系统的完整性表达了越来越多的担忧。上个月，美国国内发布的一份报告显示，对美国重要的主要公用事业或服务提供商进行重大网络攻击的损失可能等同于飓风等自然灾害所造成的损失。调查结果估计，为数百名客户提供各种关键领域IT服务的托管服务提供商在为期三天的网络中断中，可能会导致近亿美元的经济损失，这已超过年飓风桑迪造成的亿美元的损失。而如果对区域电力公司等关键公用事业公司进行攻击，损失会更大，据估计，造成电力中断五天的违规行为将耗资约亿美元，超过5年卡特里娜飓风和年的加州野火。但是在如此大的损失成本下，不管是企业还是政府似乎都没有提高警惕，黑客攻击事件还是频频发生。在金融科技专家马超看来，很多西方电力企业都是通过互联网VPN进行加密传输的，这种逻辑隔离的方案难免会出现漏洞，给黑客提供攻击的机会。除了技术本身的漏洞，现在的黑客网络攻击甚至也是一个“产业”。在独立经济学家王赤坤看来，这个行业有清晰的商业模式和明确的盈利模式，且在美国处于高速成长阶段，行业规模迅速扩大，目前频发网络攻击也不意外。对于如何遏制越来越猖獗的黑客攻击，王赤坤认为可以有两方面的措施。一方面，法律法规和政府监管会出手打击整治，一方面会有反制技术出现。不过，这两条路目前都并不好走。王赤坤指出，政府的监管是执法的一部分，更是滞后于市场，政府执法也面临着无法可依，无法执法，对有些行为只能采取临时监管措施，无法建立长效机制。而在技术层面，技术反制是基于网络攻击的技术措施，由于网络攻击处于行业早期，尚没有大规模成熟的反制技术出现。事实上，美国的立法者也正在考虑这样做。在最新的参议院情报委员会的法案草案中，提出要求联邦机构、联邦承包商以及关键基础设施的所有者和运营商在24小时内向网络安全和基础设施安全局报告网络安全事件。中小企业难敌大黑客：美国白宫向遭勒索软件攻击公司伸出援手

北京时间7月5日早间消息，据报道，7月4日，美国白宫表示，正在联系美国佛罗里达州一宗勒索软件攻击的受害者，这一次攻击主要围绕该州一家信息技术公司。在一份声明中，美国负责网络安全的“副国家安全顾问”安妮·纽伯格（AnneNeuberger）表示，美国联邦调查局和国土安全部网络安全部门将会联系所有确认的攻击事件受害者，根据全国性风险评估提供一些帮助。据报道，这一次攻击围绕佛罗里达州的Kaseya公司，这一次攻击所造成的的影响详情尚不得而知，主要原因是该公司的软件主要提供给所谓的“被管理服务提供商”，这其实是一些外包公司，其他企业和机构会利用他们的服务完成一些企业办公室后台IT工作，比如安装软件升级包等。美国IT公司“Sophos集团”的首席信息安全官罗斯·迈科查（RossMcKerchar）表示，这一次勒索软件攻击的目标群体包括了学校、小型公共服务机构、旅游和休闲行业、信贷联盟，以及一些会计机构。迈科查表示，这一次大范围的攻击再一次表明，面对经济实力强大的网络犯罪集团，中小企业和机构很难进行抗衡。这位行业高管表示，在网络安全方面，小企业完全不是黑客集团的对手。拜登下令调查最新的勒索软件攻击

当地时间7月3日总统乔拜登表示，他已指示美国情报机构调查一场复杂的勒索软件攻击的幕后黑手，该攻击袭击了数百家美国企业，并引发了对俄罗斯帮派参与的怀疑。安全公司HuntressLabs周五表示，它认为与俄罗斯有关的REvil勒索软件团伙应对最新的勒索软件爆发负责。上个月，联邦调查局指责同一组织使肉类加工商JBSSA瘫痪。拜登在访问密歇根州以宣传他的疫苗接种计划时，被问及在樱桃园市场购买馅饼时的黑客行为。拜登说“我们不确定”袭击的幕后黑手是谁。“最初的想法是不是俄罗斯政府，但我们还不确定，”他说。拜登表示，他已指示美国情报机构进行调查，如果他们确定俄罗斯是罪魁祸首，美国将作出回应。在6月16日在日内瓦举行的峰会上，拜登敦促俄罗斯总统普京打击来自俄罗斯的网络黑客，并警告如果此类勒索软件攻击继续扩散，后果将不堪设想。拜登表示，他将在周日听取有关最新袭击事件的简报。拜登在谈到他在日内瓦告诉普京的话时说：“如果是俄罗斯知道和/或俄罗斯造成的后果，那么我告诉普京我们会做出回应。”周五袭击的黑客劫持了来自迈阿密一家名为Kaseya的供应商广泛使用的技术管理软件。他们更改了一种名为VSA的Kaseya工具，供管理小型企业技术的公司使用。然后他们同时加密这些提供商客户的文件。Huntress表示，它正在追踪8家被用来感染大约个客户的托管服务提供商。Kaseya周五在自己的网站上表示，它正在调查对VSA的“潜在攻击”，IT专业人员使用VSA来管理服务器、台式机、网络设备和打印机。Huntress高级安全研究员约翰哈蒙德在一封电子邮件中说：“这是一次巨大而毁灭性的供应链攻击，”他指的是一种越来越引人注目的黑客技术，即劫持一个软件以一次危害成百上千的用户。在周五的一份声明中，美国网络安全和基础设施安全局表示正在“采取行动了解和解决最近针对Kaseya的VSA产品的供应链勒索软件攻击”。在美国指责黑客按照俄罗斯政府的指示行事并篡改德克萨斯软件公司SolarWinds开发的网络监控工具后，供应链攻击已成为网络安全议程的首要任务。周四，美国和英国当局表示，被指控干涉年美国总统大选的俄罗斯间谍在过去两年的大部分时间里都在滥用虚拟专用网络（VPN）来瞄准全球数百个组织。周五，俄罗斯驻华盛顿大使馆否认了这一指控。微软为PrintNightmare漏洞提供进一步的缓解措施将其评级为"高严重性"几天前，我们了解到一个名为"PrintNightmare"的新漏洞几乎影响到所有的Windows设备。它利用WindowsPrintSpooler服务的未受保护的功能来触发远程代码执行（RCE）。美国网络安全和基础设施安全局（CISA）强调它是一个关键漏洞，微软正在积极调查修复。现在，微软公司就此事提供了更多信息。PrintNightmare，在漏洞代号CVE--下被追踪，现在已被授予通用漏洞评分系统（CVSS）基本评级为8.8。值得注意的是，CVSSv3.0规范文件将其定义为"高严重性"漏洞，但它非常接近从9.0开始的"危急"评级。目前的时间紧迫性得分是8.2，时间分是根据一些因素来衡量一个漏洞的当前可利用性。值得注意的是，一个类似的漏洞在6月的"补丁星期二"更新中被修复，但它的CVSS基础分是7.8。基础分被定为8.8分是因为微软已经确定该攻击载体是在网络层面，需要较低的攻击复杂性和权限，不涉及用户互动，并可能导致组织资源的保密性、完整性和可用性"完全丧失"。同时，时间分是8.2分是因为功能上的漏洞代码在互联网上很容易获得，并且适用于所有版本的Windows，存在关于它的详细报告，并且有一些官方的补救方法被建议。我们已经知道，微软建议禁用WindowsPrintSpooler服务，或至少通过组策略禁用入站远程打印，随后还建议检查一些实体成员和包含权限的嵌套组成员。该公司建议，操作系统中远程权限成员的数量应尽可能地少，最好是在可能的情况下为零。尽管如此，该公司提醒说，从其中一些组中删除成员可能导致兼容性问题。这些受影响的群组如下：管理员域控制器只读域控制器企业只读域控制器证书管理员模式管理员企业管理员组策略管理员超级用户系统操作人员打印操作人员备份操作人员RAS服务器兼容Windows0的访问网络配置操作程序组对象加密操作者组对象本地账户和Administrators组的成员微软强调将尽快提供修复方案，但与此同时，它建议企业利用MicrosoftDefender等工具来监测潜在的恶意活动。虽然"PrintandPoint"与这个漏洞没有直接关系，但微软仍然建议编辑一些注册表值以加强组织的本地安全基础设施，并表示客户端使用的打印服务器应明确列出。GooglePlay中9款应用被发现会窃取用户的Facebook密码

据外媒报道，Google日前宣布，该公司旗下的9款Android应用在PlayStore的下载量超过了万次。此前，研究人员称这些应用通过一种卑鄙的方式窃取了用户的Facebook登录信息。据安全公司Dr.Web发布的一篇帖子了解到，为了赢得用户的信任、降低他们的警惕，这些应用程序提供了功能齐全的服务--包括照片编辑和取色、锻炼和训练、占星及移除Android设备上的垃圾文件。所有被识别的应用都为用户提供了登录Facebook账号来禁用应用内广告的选项。选择该选项的用户会看到一个真正的Facebook登录表单，其中包含输入用户名和密码的字段。Dr.Web的研究人员写道：“这些木马使用了一种特殊的机制来欺骗他们的受害者。在启动时从一个CC服务器接收到必要的设置后，他们将合法的Facebook网页

转载请注明：http://www.shatealabo.com/sbjn/8134.html

• 上一篇文章： 年高考地理考点专项训练区域环境
  
• 下一篇文章： 没有了