普普安全资讯一周概览(0819-0825)

作者:

时间:
2023-08-25


01

二维码网络钓鱼攻击泛滥!美国著名能源企业成主要攻击目标


近日,Cofense发现了一次专门针对美国能源公海710的网络钓鱼攻击活动,攻击者利用二维码将恶意电子邮件塞进收件箱并绕过安全系统。在归因于该活动的1,000封电子邮件中,约有三分之一(29%)是针对美国一家大型能源公海710的,其余的则是针对制造业(15%)、保险业(9%)、科技业(7%)和金融服务业(6%)的公海710。攻击开始时会先发送一封钓鱼电子邮件,提醒收件人必须尽快更新其Microsoft 365帐户设置。邮件中的PNG或PDF附件会带有二维码,收件人会被提示扫描以验证其账户。为了增加紧迫感,邮件还指出收件人必须在2-3天内完成这一步骤。威胁行为者使用嵌入在图片中的QR代码绕过电子邮件安全工具,这些工具会扫描邮件中的已知恶意链接,从而使网络钓鱼邮件到达目标收件箱。为了规避安全问题,钓鱼活动中的QR代码还使用了必应、Salesforce和Cloudflare的Web3服务中的重定向功能,将目标重定向到Microsoft 365钓鱼页面。


普普点评

QR码过去也曾被攻击者用于其在法国和德国的网络钓鱼活动,尽管规模较小。此外,这些诈骗者还利用二维码诱骗人们扫描,并将他们重定向到恶意网站,试图窃取他们的钱财。网络犯罪分子越来越多地利用二维码窃取凭证和财务信息。尽管二维码能有效绕过保护措施,但它仍然需要受害者采取行动才能被破解,这是一个有利于训练有素人员的决定性缓解因素。此外,现代智能手机上的大多数二维码扫描器都会要求用户在启动浏览器前验证目标URL,以此作为保护措施。除培训外,建议企业使用图像识别工具作为其网络钓鱼防护措施的一部分,尽管这些工具不能保证捕捉到所有QR代码威胁。






02

房源数据服务商遭勒索软件攻击,美国房地产市场陷入混乱

过去五天,美国加州一家房源挂牌服务提供商遭遇网络攻击,导致全国各地房屋买家、卖家、房地产经纪人和房源网站业务受阻。该公海710提供一项关键在线工具,帮助房地产专业人士挂牌房源、查看待售房源、追踪挂牌房源。这次攻击始于上周三(8月9日),袭击对象是位于加州的软件和服务提供商Rapottoni公海710。该公海710为加州乃至全美各地区房地产集团提供多重房源挂牌服务(也叫MLS),房地产经纪人可以实时获取各类房屋的销售数据,包括即将入市的房屋、购房报价以及已入市房屋的销售信息。多重房源挂牌服务在买家与卖家、经纪人和房源挂牌网站之间架起了重要桥梁。Rapottoni公海710在8月9日遭受黑客攻击,持续多天后服务器仍然处于离线状态。虽然Rapattoni公海710将此事称为网络攻击,但媒体普遍报道这是一次勒索软件攻击。比如房地产信息网站Inman报道称,勒索软件攻击是导致系统中断的原因。Inman援引Rapattoni向其客户发送的消息,称联邦当局正在展开调查,其保险公海710正在与“勒索软件个体”进行协商。

普普点评

这次系统中断明确提醒大家,一旦重要服务被黑,大批依赖这项服务的人员或企业将面临现实干扰。人们纷纷采取各种措施以减少影响,并不是所有地区的房源挂牌服务都受到影响,因为一些地区的数据供应商并不是Rapattoni。全美范围内有数百家多重房源挂牌服务商。数据显示,Rapattoni提供了其中约5%的服务。如果未来几天内无法恢复服务,这次系统中断可能会给经纪人、买家、租户和卖家造成更严重的影响。






03

Mac安全专家揭露苹果漏洞,其恶意软件检测工具可被绕过

在美国拉斯维加斯举办的Defcon黑客大会上,长期研究Mac安全的专家Patrick Wardle展示了他对苹果macOS后台任务管理机制的漏洞研究成果??——其发现的漏洞可以被利用来绕过苹果最近添加的恶意软件监控工具。我们知道,如果某款软件突地持久化,则意味着可能存在恶意行为。基于这一点,苹果在2022年10月发布的macOS Ventura中添加了后台任务管理器,用于在“持久化事件”发生时直接向用户和运行在系统上的第三方安全工具发送通知。Wardle在Defcon上表示:“当某个东西持久化安装在设备上时,应该有那么一款工具来通知用户,这是苹果添加的一个好东西——但具体实施得太糟糕了,以至于任何稍微复杂的恶意软件都可以轻易地绕过监控。”据Wardle所说,他在发现漏洞的契机是,他自己就写过类似的工具,所以对此十分敏感:“我想知道苹果的工具和框架是否也有同样的问题,结果发现确实有。恶意软件仍然可以以完全不可见的方式持久化。”

普普点评

在周六展示的三种绕过方法中,其中一种需要拥有目标设备root权限。但其余两种则都不需要root权限就能够禁用苹果后台任务管理器发送给用户和安全监控产品的持久化通知。其一利用了警报系统与计算机操作系统核心之间通信的错误;其二利用了一种允许用户(即使没有深层系统权限)将进程置于休眠状态的功能在通知到达用户之前进行干扰。Wardle此前已向苹果公海710报告了这些问题,苹果对此进行了修复。但Wardle表示苹果没有发现该工具的更深层次问题:“就像在飞机坠毁时贴上一些胶带一样,他们没有意识到这个功能需要大量的工作。






04

“匿名者”组织网络攻击日本核电团体,抗议福岛核废水排放计划

国际黑客组织Anonymous(“匿名者”)对日本的核电相关团体发起了网络攻击,以抗议计划将处理过的放射性水从瘫痪的福岛核电站释放到海中。NTT Security Japan表示,自上个月以来,国际原子能机构在其最终报告中表示计划的排放将符合全球安全标准后不久,“匿名者”就一直在加强其网络攻击。这家总部位于东京的公海710的代表表示:“需要保持警惕,因为排放实施后攻击可能会进一步升级。”该国际黑客组织的目标组织是日本原子能机构、日本原子能公海710和日本原子能协会。“匿名者”发起了分布式拒绝服务(DDoS)攻击,黑客在短时间内从多个来源释放大量数据,导致网络不堪重负,此次攻击由意大利的一个组织领导。NTT Security表示,一个位于越南的团体的活动也已得到证实。日本原子能机构表示,其网站的流量是平时的100倍,但用户可以继续浏览该网站,因为它采取了对策。

普普点评

在日本政府于2021年正式决定从东京电力控股公海710福岛第一核电站释放处理过的水后,“匿名者”发布了其攻击的“目标清单”。NTT Security表示,除了三个核电相关组织外,东京电力公海710,经济,贸易和工业部以及自民党也在名单上。“匿名者”协会的一名成员最近告诉共同社,日本政府释放处理水的政策缺乏透明度,因为公民无法参与其决策过程。该成员表示:“我们必须结束将海洋变成经济利益倾倒场的毫无意义的行为。”




05

WinRAR解压缩软件存在漏洞,允许黑客执行任意代码

WinRAR是最为流行的Windows解压缩软件之一,据称拥有数以亿计的用户。近日,趋势科技Zero Day Initiative在该软件中发现了一个高危漏洞——打开压缩文件时会允许黑客在计算机上执行任意代码。据了解,该漏洞(CVE-2023-40477)存在于恢复卷的处理过程中,原因是缺乏对用户提供数据的正确验证。2023年6月8日,Zero Day Initiative的研究员“goodbyeselene”将该漏洞报告给了RARLAB厂商。ZDI在公告中写道:“此漏洞允许远程攻击者在受影响的RARLAB WinRAR安装上执行任意代码。利用此漏洞需要用户交互(如打开恶意文件)。具体的缺陷存在于恢复卷的处理过程中。问题在于缺乏对用户提供数据的正确验证,这可能导致内存访问超出已分配缓冲区的末尾。攻击者可以利用此漏洞在当前进程的上下文中执行代码。”

普普点评

从实际角度来看,攻击者欺骗用户执行所需操作并不会太过困难,而且考虑到WinRAR的庞大用户群,攻击者有足够的几率进行成功利用。对此此类安全风险,谨慎打开RAR文件、使用杀毒软件进行扫描是一个良好的安全习惯。2023年8月2日,官方在最新发布的WinRAR 6.23版本中已修复了此漏洞,建议WinRAR用户立即进行安全更新。值得注意的是,微软目前正在测试Windows 11对RAR、7-Zip等文件的原生支持,此后若是对其高级功能没有需求,将有可能不再需要WinRAR等第三方软件



06

日本钟表制造商精工 (Seiko) 遭BlackCat勒索软件攻击

精工(Seiko)是世界上最大、历史最悠久的制表商之一,成立于1975年,总部位于日本东京,拥有超过12,000名员工,截至 2023年3月,年利润为8.2497 亿美元,年收入超过16亿美元。2023年8月10日,该公海710发布了一份数据泄露通知,通知未经授权的第三方获得了对其IT基础设施的至少一部分的访问权限,并访问或窃取了数据。目前还没有关于勒索赎金数额、支付、谈判相关的消息。Seiko的声明中写道:“似乎[2023年7月28日]一些身份不明的团体获得了对我们至少一台服务器的未经授权的访问。”BlackCat声称对攻击负责,BlackCat勒索软件组织声称是Seiko攻击的幕后黑手,并发布了他们声称在攻击期间窃取的数据样本。在列表中,威胁行为者嘲笑Seiko的IT安全性,并泄露了看似生产计划、员工护照扫描、新型号发布计划和专门实验室测试结果的内容。最令人担忧的是,威胁行为者泄露了他们声称的机密技术原理图和精工手表设计的样本

普普点评

日本的组织正面临越来越多的勒索软件攻击。制药公海710卫材(Eisai)和拉链制造商YKK等日本主要公海710在过去三个月中都曾处理过勒索软件事件。上个月名古屋港(日本最大的港口之一)遭受的攻击凸显了勒索软件事件的连锁危险。近几个月来,BlackCat将从多家公海710窃取的机密数据发布到其受害者门户网站,其中包括5月份从爱尔兰蒙斯特大学窃取的6GB数据。6月,巴特健康NHS信托基金 (Bart's Health NHS Trust) 也出现了。该团伙声称已从该医疗组织盗取了70 TB 的数据




07

网络攻击迫使天文望远镜停运数周,全球天文科研遭受沉重打击

美国国家光学红外天文研究实验室(NOIRLab)是美国国家科学基金会运营的地基天文学协调中心。8月1日,该实验室发布新闻公告,首次宣布检测到其位于夏威夷希罗的北双子座天文望远镜遭到明显的网络攻击,可能给这台仪器带来物理危险。该实验室在公告中写道:“我们的网络安全团队和观测团队快速反应,阻止天文台受损。”作为对这一事件的回应,该实验室停止了国际双子座天文台的一切运营。这家天文台负责运行位于夏威夷希罗的北双子座天文望远镜和位于智利帕穹山的南双子座天文望远镜。这两台直径8.1米的天然望远镜一起揭示了从超新星诞生到距离地球最近的黑洞等大量天体奇观。此次关闭已经让他错过了今年的七个观测窗口中的三个,如果天文望远镜无法恢复运行,整个天文学界可能遭到 “毁灭性打击”。目前,南双子座天文望远镜装有一只独特的光谱仪,可以表征遥远行星的大气。根据计划,这只仪器将于2024年5月转移到北半球一座较小的天文望远镜上。如果南双子座天文望远镜不尽快重新启动,且仪器转移如期进行,可以预见天文学家将失去获得南天球宝贵光谱数据的机会

普普点评

网络安全专家对北双子座天文望远镜成为目标感到困惑。美国国家科学基金会网络安全卓越中心前主任Von Welch说,“攻击者很可能压根不知道他们攻击的是一座天文台。”这一事件再次为天文学界敲响了警钟。2022年11月,位于智利的阿塔卡马大型毫米波列射电望远镜因为网络攻击也暂停运行了近两个月。NOIRLab等国际研究机构面临着独特的安全挑战,独立的私营公海710或银行可以轻易地隔离自己的系统。相反,天文学研究的性质是开放获取和团队协作。“最好的做法是将所有东西都隔离起来。但是,这样就打破了所有的科学工作流程。