Microsoft 发布了一个新的 Windows 11 版本,其中包含针对已知问题的一长串更改、改进和修复,适用于所有将安装推送到开发频道的 Windows 11 Insider Preview Build 22579 的 Windows 预览体验成员。
然而,该版本的亮点是针对希望从 BitLocker 加密中排除 USB 可移动驱动器的 Windows 管理员的新策略。
“这将解决内置于摄像机、录音机、会议系统、医疗设备等专用设备中的存储自动或意外加密的问题,”Windows Insider 团队表示。
“启用此策略后,您将无法加密排除列表中的存储,并且如果您将此类存储连接到设备,同时‘拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限,您将不会被提示加密' 策略已启用。”
目前,新策略只能由 IT 管理员通过移动设备管理 (MDM) 和使用 OMA-URI(开放移动联盟统一资源标识符)设置的 Windows 客户端自定义配置文件进行配置。
管理员必须通过从加密中排除存储的详细程序要求他们 收集他们想要排除的设备的硬件 ID ,并使用今天公告中详述的步骤在 Intune 中配置 BitLocker 排除列表策略。
微软要求 Windows Insiders 对新政策进行调整,以使用“安全和隐私”>“BitLocker 和设备加密”下的反馈中心 (WIN + F) 提交他们的任何反馈。
新版本还对“开始”菜单和“已启动”应用程序进行了各种更改和改进,包括在“开始”应用程序中命名应用程序文件夹的能力以及可以固定到任务栏的“开始”应用程序中的站点建议。
“要找到这个新功能,请启动“入门”应用程序并导航到“我们认为你会喜欢的应用程序和网站”页面,”Windows Insider 团队补充道。
“单击页面上建议的任何站点,将其固定到您的任务栏,这样您就可以一键访问您关心的站点。”
此外,微软从 Media Player 版本 11.2202.42.0 开始增加了对 CD 播放更新的支持,并通过与 Office for the Phone 应用程序的更深入集成来支持 Office 文档的连续性。
Redmond 还发布了新的 ISO,允许内部人员执行当前版本的全新安装,可以从 此处下载 ISO 。
TransUnion South Africa 披露,黑客使用被盗凭据入侵了他们的一台服务器,并要求支付赎金以不释放被盗数据。
TransUnion 的非洲分部在八个非洲国家开展业务,为各个行业提供商业和消费者保险以及风险信息解决方案。
根据该公司的声明,未经授权的人使用窃取的凭据访问了位于南非的服务器。
系统渗透者似乎已经窃取了存储在该服务器中的数据,然后通过要求支付赎金以不发布被盗文件来勒索 TransUnion。该公司已指出不会向黑客付款。
TransUnion South Africa 表示,他们已与网络安全专家和数字取证专家合作调查此事件。他们还与执法部门和该国的监管机构合作。
最后,TransUnion 认为,被入侵的服务器仅包含与南非业务相关的信息,因此博茨瓦纳、肯尼亚、纳米比亚、卢旺达、斯威士兰、赞比亚和马拉维的服务器不受此事件的影响。
“随着调查的进展,我们将通知并协助个人数据可能受到影响的个人。我们将免费向受影响的消费者提供身份保护产品,”TransUnion South Africa 在 一份 关于数据泄露的声明中表示。
一个名为“N4ughtysecTU”的巴西黑客组织声称对这次攻击负责,他们在网络攻击期间下载了 4TB 的数据。
威胁参与者声称已经破坏了一个安全性较差的 TransUnion SFTP 服务器,并窃取了包含大约 5400 万客户的数据,这些客户主要来自南非。尽管如此,来自其他国家的记录也包含在被盗数据中。
“N4ughtysecTu”威胁参与者还告诉我们,他们没有窃取任何用户凭据,而是对 SFTP 服务器进行了暴力攻击。据称,他们最终破解的帐户使用的是密码“Password”,因此可以快速直接地进行暴力破解。
NordVPN 的 一份报告 将“密码”列为 2021 年第五大最常用的密码,只需不到一秒的时间就可以暴力破解。
此外,他们将赎金要求设置为 15,000,000 美元的比特币,并威胁要勒索 TransUnion 的客户,如果不支付赎金,他们就会要求“保险”付款。
该黑客组织表示,大型 TransUnion 客户的“保险”将为 1,000,000 美元,而小型企业的需求则为 100,000 美元。
据称,那些支付此保险的人的数据集将被黑客组织排除在发布之外。
如果您是南非的 TransUnion 客户,强烈建议您保持冷静,并向当局报告任何可疑的未经请求的通信。
对于考虑支付勒索要求的公司,勒索软件谈判公司 Coveware 表示,威胁行为者在支付赎金后泄露被盗数据甚至在未来使用相同数据重新勒索受害者的情况并不少见。
相反,Coveware 建议被入侵的公司自动假设他们的数据已在多个威胁参与者之间共享,并且将来会以某种方式使用或泄露,无论他们是否付费。
TransUnion South Africa 的首席执行官 Lee Naik 也向客户保证,他们将协助任何在攻击期间数据被盗的公司。
“我们持有的信息的安全和保护是 TransUnion 的首要任务,”奈克在一份新闻声明中说。“我们知道这样的情况可能会令人不安,TransUnion South Africa 仍然致力于帮助任何信息可能受到影响的人。”
韩国 DarkHotel 黑客组织在 2021 年 12 月至 2022 年 1 月的新活动中被发现,目标是中国澳门的豪华酒店。
DarkHotel 是一个 复杂的 黑客组织,其目标是酒店业, 通过暗网销售进行高级间谍活动 或数据货币化 。
澳门是中国南方的一个自治区,靠近香港,休闲和商务游客源源不断。其巨大的赌场和购物中心为澳门赢得了“亚洲拉斯维加斯”的绰号。
DarkHotel 对该地区特别感兴趣,它的目标是酒店系统通过 WiFi 网络拦截客人浏览数据。
对 DarkHotel 活动的最新观察来自 Trellix 的威胁分析师 ,他们跟踪了Zscaler在 2021 年 12 月的一份报告中公开的 C2 IP 地址,以追踪 攻击者 的活动。
奇怪的是,在攻击标识符暴露后,DarkHotel 并没有费心将其运营转移到不同的基础设施;因此,Trellix 的后续跟踪成为可能。
此次活动确定的两家连锁酒店分别是路环海逸度假酒店和永利皇宫,均为 5 星级酒店。
这些酒店计划举办有关贸易、投资和环境的国际会议,因此 DarkHotel 的活动可能旨在为未来的间谍活动奠定基础。
Trellix 于 2021 年 12 月 7 日记录了该威胁组织的第一批网络钓鱼电子邮件,这些电子邮件从冒充澳门旅游局的地址发送至 17 家酒店。
附加的 Excel 文件据称包含对酒店运营商的重要信息,其中包含模糊形式的恶意宏代码。
打开文件并在 Microsoft Office 套件上启用内容后,该文档会加载任务计划程序服务并将 VBS 脚本放入系统文件夹中。
从那里,恶意软件可以启动 PowerShell 和 wscript.exe 以获取主机系统详细信息并将其发送到 C2 服务器,在本例中为“https://fsm-gov.com”。
这是一个冒充密克罗尼西亚联邦政府实际网站的欺骗域,该网站位于“.fsmgov.org”上。
通过进一步调查,Trellix 发现 C2 的后端与之前报道的与 DarkHotel 相关联的后端相似,并且还发现了 Mailman 用于分发网络钓鱼电子邮件的滥用。
2022 年 1 月 18 日,在上述酒店宣布因 COVID-19 推迟会议后不久,威胁行为者停止了电子邮件分发。
Trellix 对这次活动的归属并不完全有信心,但他们有关键证据指向韩国威胁行为者。
唯一令人怀疑的问题是特定 IP 地址在公开曝光后仍持续使用,这与老练参与者的 OPSEC 级别不符。
此外,Trellix 还发现了其他来自同一 IP 地址的恶意活动,这些活动似乎与 DarkHotel 无关。
对此的一种可能解释是,DarkHotel 故意将这个公共 IP 地址与其他威胁参与者一起使用,通过隐藏在其他活动后面来掩盖其踪迹。
Trellix已将此事通知澳门保安部队事务局,有关方面正密切留意事态发展。
建议使用酒店 WiFi 连接的酒店客人使用 VPN 工具对其网络流量进行加密,以防被拦截。
Mandiant 研究人员在调查LightBasin网络犯罪组织(又名 UNC1945)的活动时发现了一个名为 Caketap 的新 Unix rootkit,用于窃取 ATM 银行数据。
据 CrowdStrike 研究人员称,与中国有关的黑客组织至少从 2016 年就开始活跃,它使用的是非常复杂的工具集。CrowdStrike 研究人员报告称,自 2019 年以来,至少有 13 家电信公司受到了该组织的攻击。
该组织入侵了全球的移动电话网络,并使用专门的工具来访问电信公司的通话记录和短信。
现在,Mandiant 研究人员记录了与 LightBasin 相关的针对银行客户并专注于信用卡欺诈的活动。
Caketap rootkit 是 UNC2891 威胁参与者部署在运行 Oracle Solaris 的服务器上的 Unix 内核模块。CAKETAP 可以通过隐藏网络连接、进程和文件以隐秘模式运行。初始化后,恶意软件会将自身从加载的模块列表中删除,并使用先前加载的模块更新 last_module_id 以删除其存在的任何痕迹。
为了识别在 Solaris 系统上运行的 CAKETAP,管理员可以检查是否存在安装在ipcl_get_next_conn挂钩函数中的挂钩。
下面是一个示例命令,用于识别挂钩的 ipcl_get_next_conn 函数:
| root@solaris:~# echo 'ipcl_get_next_conn::dis -n 0 ; ::退出' | mdb -k |
干净的 SPARC Solaris 系统中的输出类似于以下内容:
| ipcl_get_next_conn: 保存 %sp, -0xb0, %sp |
Mandiant 研究人员报告说,rootkit 支持以下命令:
| 命令 | 功能 |
| 空的 | 将 CAKETAP 模块添加回加载的模块列表 |
| 米 | 更改 getdents64 挂钩的信号字符串 |
| 一世 | 添加网络过滤器(格式 <IP>p<PORT>) |
| 一世 | 删除网络过滤器 |
| 磷 | 设置当前线程 TTY 不被 getdents64 钩子过滤 |
| p | 将所有 TTY 设置为由 getdents64 挂钩过滤 |
| 小号 | 显示当前配置 |
Caketap 旨在拦截来自受感染的 ATM 交换机服务器的银行卡和 PIN 验证数据,并执行未经授权的交易。
“来自一名受害者的 ATM 交换机服务器的内存取证揭示了 CAKETAP 的一种变体,它具有额外的网络挂钩功能,可以拦截与卡和密码验证相关的特定消息。有证据表明,这种 CAKETAP 变体被用作使用欺诈性银行卡进行未经授权交易的操作的一部分。” 阅读Mandiant 发表的分析。“这个 CAKETAP 变体针对的是发往支付硬件安全模块 (HSM) 的特定消息。”
Caketap 允许处理卡验证消息和回复 PIN 验证消息。
然后,恶意软件会在内部保存与非欺诈性 PAN(主帐号)匹配的有效消息,并将其发送到 HSM,以避免影响合法客户交易并引起怀疑。
“根据 Mandiant 的调查结果,我们认为 CAKETAP 被 UNC2891 作为更大行动的一部分,成功地使用欺诈性银行卡从多家银行的 ATM 终端进行未经授权的现金提取。” 报告结束。“UNC2891 保持了高水平的 OPSEC,并采用了多种技术来逃避检测。攻击者利用他们的技能和经验来充分利用 Unix 和 Linux 环境中经常出现的可见性下降和安全措施。Mandiant 预计 UNC2891 将继续利用这一点,并针对运行这些操作系统的关键任务系统执行类似的操作以获取经济利益。”
鉴于最近几周的事件,意大利政府打算停止在当地公共部门使用俄罗斯反病毒软件。该国当局担心防病毒软件可能被用来侵入关键网站。
据路透社援引地方当局代表的话说,新规定将允许地方当局更换所有被认为具有潜在危险的软件。另有消息人士对媒体表示,相关规定将于本周通过。
卡巴斯基实验室在意大利的办公室表示,它正在监视局势并“严重关切”,特别是对其员工的命运,他们可能会受到出于地缘政治而非技术原因做出的决定的影响。该公司表示,目前的情绪将导致通过“非自由法律”,这将主要影响意大利的合作伙伴、家庭和公民。
这家俄罗斯公司的代表再次强调,他们是一家私营企业,与俄罗斯政府没有任何关系。在周二发布的一份公告中,意大利网络安全机构表示,尚无证据表明来自与俄罗斯有关联的公司的俄罗斯软件产品已受到损害。
尽管如此,有人指出,应重新评估冲突发展背景下的风险,并且由于其所服务的系统中的“高度侵入性” ,反病毒软件尤其敏感。
私营企业也拒绝与卡巴斯基合作——参加一级方程式锦标赛的法拉利车队通过双方协议宣布终止俄罗斯车队的赞助,并进一步评估使用俄罗斯杀毒软件的前景。
本周早些时候,德国网络安全机构 BSI警告用户,俄罗斯的防病毒软件可能被用于网络攻击。
跟踪 LightBasin 活动的威胁分析人员(一个出于经济动机的黑客组织)报告发现了一个以前未知的 Unix rootkit,该 rootkit 用于窃取 ATM 银行数据并进行欺诈交易。
最近观察到特定的攻击者群体针对具有定制植入物的电信公司,而早在 2020 年,他们被发现危害托管服务提供商并使其客户受害。
在 Mandiant 的一份新报告中,研究人员提供了 LightBasin 活动的进一步证据,重点关注银行卡欺诈和关键系统的入侵。
LightBasin 的新 rootkit 是一个名为“Caketap”的 Unix 内核模块,部署在运行 Oracle Solaris 操作系统的服务器上。
加载时,Caketap 隐藏网络连接、进程和文件,同时将几个挂钩安装到系统函数中以接收远程命令和配置。
分析师观察到的命令如下:
Caketap 的最终目标是从被破坏的 ATM 交换机服务器中截获银行卡和 PIN 验证数据,然后使用被盗数据进行未经授权的交易。
Caketap 截获的消息发往支付硬件安全模块 (HSM),这是一种防篡改硬件设备,用于银行业,用于生成、管理和验证 PIN、磁条和 EMV 芯片的加密密钥。
Caketap 操纵卡验证消息来破坏流程,阻止那些匹配欺诈性银行卡的消息,并生成有效响应。
在第二阶段,它会在内部保存与非欺诈性 PAN(主帐号)匹配的有效消息,并将其发送到 HSM,这样常规客户交易就不会受到影响,并且植入操作保持隐秘。
“我们认为,UNC2891 (LightBasin) 利用 CAKETAP 作为大型操作的一部分,成功使用欺诈性银行卡从多家银行的 ATM 终端进行未经授权的现金提取,” Mandiant 的报告解释道。
在之前的攻击中与攻击者相关的其他工具包括 Slapstick、Tinyshell、Steelhound、Steelcorgi、Wingjook、Wingcrack、Binbash、Wiperight 和 Mignogcleaner,Mandiant 确认所有这些工具仍部署在 LightBasin 攻击中。
LightBasin 是一个技术娴熟的威胁参与者,它利用任务关键型 Unix 和 Linux 系统中的宽松安全性,这些系统通常被视为本质安全或由于其晦涩难懂而在很大程度上被忽略。
这正是像 LightBasic 这样的对手茁壮成长的地方,Mandiant 希望他们继续利用相同的运营策略。
至于归因,分析人员发现了与 UNC1945 威胁集群的一些重叠,但还没有任何具体的联系可以在这方面得出安全的结论。
谷歌的威胁分析小组揭露了一个名为“EXOTIC LILY”的威胁行为者组织的行动,该组织是与 Conti 和 Diavol 勒索软件操作相关的初始访问代理。
这个特定的组织首先被发现利用 Microsoft MSHTML ( CVE-2021-40444 )中的零日漏洞,因此它引发了谷歌研究人员作为潜在复杂威胁参与者的兴趣。
经过进一步调查,确定“EXOTIC LILY”是一个初始访问代理,它使用大规模网络钓鱼活动来破坏目标企业网络,然后将这些网络的访问权限出售给勒索软件团伙。
在高峰期,EXOTIC LILY 在一天内向 650 个组织发送了 5,000 多封电子邮件,显示了网络钓鱼活动的广泛性。
在分析了黑客组织的活动后,TAG 发现威胁参与者主要在工作日的上午 9:00 到下午 5:00 EST 工作,而在周末记录的活动很少。
此外,小组成员在与目标共享链接之前执行后端技术任务,例如自定义业务提案模板或将恶意软件有效负载上传到合法的文件共享服务。
从操作的角度来看,攻击链遵循严格的形式,从注册欺骗域开始,然后使用它发送电子邮件,与目标建立关系,最后通过文件托管服务共享有效载荷。
使用的域与被欺骗组织的实际域名相同,但在不同的 TLD 上注册,例如“.us”、“.co”或“.biz”。
参与者通过开源情报获取目标的电子邮件地址,或使用网站的联系表发送虚假提案。
EXOTIC LILY 运营商甚至在 LinkedIn 上创建了虚假的社交媒体账户,声称他们在这个被欺骗的组织中工作,使用 AI 生成或直接从实际员工那里窃取的图像。
由 EXOTIC LILY 在 LinkedIn (Google)上创建的假角色
这一切都是为了完成合法性的虚假形象,同时严格围绕讨论提案的设计或服务要求进行初始沟通。
一旦受害者放松警惕,Google TAG 称攻击者通过 TransferNow、TransferXL、WeTransfer 或 OneDrive 共享下载链接,从而导致BazarLoader 恶意软件的下载。
Abnormal Security 上周披露的类似 BazarLoader 网络钓鱼活动中使用了这些相同的文件共享服务。
首次发现时,该组织的恶意软件以文档文件的形式出现,试图利用 CVE-2021-40444 漏洞。后来,攻击者将交付表单更改为包含 BazarLoader DLL 和 LNK 快捷方式的 ISO 档案。
谷歌的分析师在这些样本中发现了定制的迹象,但这可能是由向 EXOTIC LILY 提供恶意软件的其他参与者完成的。
本月,该小组继续使用 ISO 文件,但现在合并了一个包含自定义加载程序的 DLL,这是以前使用的第一阶段加载程序的高级变体。
该加载程序会释放一种名为“Bumblebee”的恶意软件,使用 WMI 收集系统信息并将所有内容泄露到 C2。
Bumblebee 还可以接收来自远程参与者的命令,并下载和运行额外的有效载荷。此时,提取的文件是 Cobalt Strike。
虽然 EXOTIC LILY 的活动与 Conti 自己的业务重叠,但谷歌的威胁分析师认为,它是一个完全专注于建立初始网络访问的独特威胁行为者。
“虽然这些关系(与其他团体)的性质仍不清楚,但 EXOTIC LILY 似乎作为一个单独的实体运作,专注于通过电子邮件活动获取初始访问权限,后续活动包括部署 Conti 和 Diavol 勒索软件,这是由一组不同的演员表演,”详细介绍了 谷歌的报告。
值得注意的是,最近孔蒂内部消息的泄露反映了一个蓬勃发展的犯罪集团,其专门部门具有独特的角色和中央协调。
此外,Conti/Ryuk 操作一直与 TrickBot 组织及其恶意软件操作(即 Diavol、TrickBot、BazarBackdoor 和 Anchor)有着密切的联系。
最近,研究人员发现 Conti 勒索软件操作已经 控制了 TrickBot 恶意软件系列的开发,这得到了 Conti 泄漏中暴露的 Conti 管理人员之间的对话的支持。
因此,如果 Conti 有自己的内部团队专注于高级鱼叉式网络钓鱼和部署这些感染的初始网络访问,那就不足为奇了。
然而,Google TAG ,虽然垃圾邮件操作可能是由 Conti 操作自己进行的,但 Conti 泄漏中缺乏关于垃圾邮件的对话表明它是一个外部组。
“在 Conti 泄密事件中,Conti 成员提到‘垃圾邮件发送者’是他们通过外包合作的人(例如提供定制的‘加密’恶意软件样本等),”Google TAG 在回答我们的问题时告诉 BleepingComputer。
“然而,大多数‘垃圾邮件发送者’似乎并没有出现在聊天中(或积极交流),因此得出的结论是他们作为一个单独的实体运作。”
22 年 3 月 17 日更新:添加了来自 Google TAG 的回复。
多个华硕路由器型号容易受到与俄罗斯有关的 Cyclops Blink 恶意软件威胁,导致供应商发布安全风险缓解措施的建议。
Cyclops Blink 是 与俄罗斯支持的 Sandworm 黑客组织相关联的恶意软件,该组织历来针对 WatchGuard Firebox 和其他 SOHO 网络设备。
Cyclops Blink 的作用是为设备上的威胁参与者建立持久性,使他们能够远程访问受感染的网络
由于 Cyclops Blink 是模块化的,因此可以轻松更新以针对新设备,不断更新其范围并利用新的可利用硬件池。
在协调披露中,趋势科技警告说,该恶意软件具有 一个专门 针对多个华硕路由器的模块,允许恶意软件读取闪存以收集有关关键文件、可执行文件、数据和库的信息。
然后,恶意软件会接收到嵌套在闪存中并建立永久持久性的命令,因为即使恢复出厂设置也不会擦除该存储空间。
有关 Cyclops Blink 的华硕模块的更多详细信息, 趋势科技 今天发布了一篇技术文章,解释了它的工作原理。
在这一点上,Cyclops Blink 的传播显得不分青红皂白且广泛传播,因此您是否认为自己是合法目标并不重要。
由于该恶意软件与精英 Sandworm 黑客组织(也被追踪为 Voodoo Bear、BlackEnergy 和 TeleBots)相关联,因此我们很可能会在未来看到攻击者针对其他路由器制造商。
Sandworm 与其他著名的网络攻击有关,包括 2015 年和 2016 年乌克兰停电事件背后的 BlackEnergy 恶意软件 [ 1 , 2 , 3 ] 和 NotPetya 勒索软件,从 2017 年 6 月开始,这对全球公司造成了数十亿美元的损失。
在今天发布的公告中,华硕警告说以下路由器型号和固件版本容易受到 Cyclops Blink 攻击:
目前,华硕尚未发布新的固件更新以防止 Cyclops Blink,但已发布以下可用于保护设备的缓解措施:
如果您正在使用指定为 EOL(寿命终止)的三种型号中的任何一种,请注意这些型号不再受支持,因此不会收到固件安全更新。在这种情况下,建议您更换新设备。
如果您拥有 WatchGuard 网络设备并正在寻找该建议,则可以在此网页上找到供应商的威胁缓解建议
微软是最早表示冠状病毒大流行将永远改变许多人工作方式的公司之一。两年后,这家软件巨头继续积极地将远程工作工具集成到其产品中。这一次,开发人员已宣布将针对 Teams、Outlook 和 PowerPoint 进行以混合为中心的更改。
尽管许多公司的员工正在逐渐返回办公室,但允许您将远程工作和办公室工作结合起来的混合工作工具继续发挥着重要作用。因此,Microsoft 继续为其客户提供更多选择,以支持其员工的混合工作计划。
在新功能方面,今年第二季度,Outlook 网页版中的 RSVP 功能将允许参会者指定是亲自参加会议还是通过视频参加会议。因此,更容易估计计划来办公室的员工人数,从而优化即将举行的会议和进一步的工作流程
更多创新等待 Teams 协作服务的用户。其中之一将是新的 Front Row 布局,当激活该布局时,会将会议参与者的网络摄像头中的图像放置在工作区的底部。在会议室举行会议时,这种分组将允许办公室的员工看到他们的同事远程工作。类似的变化适用于 Teams Rooms,因此远程工作和在办公室工作的同事之间的互动将更加方便。
据微软称,全球有 9000 万间会议室,但只有 8% 的会议室具备视频功能。在微软的愿景中,混合工作的重要元素之一是 Loop 平台的元素。该服务允许您创建具有彼此独立存在的 Office 内容的块,但同时可以在交互过程中组合并转移给其他员工。例如,用户可以在 Teams 会议期间做一些笔记,然后将它们复制到电子邮件中并发送给他们的一位同事。同时,随着用户通过信件和 Teams 对其进行编辑和补充,笔记本身将继续更新。Loop 组件于 1 月随 Teams 一起推出,现在将集成到 Outlook 中,以更好地统一 Microsoft 的核心通信工具。
一些更改等待 PowerPoint。开发人员结合了 Cameo 工具,允许您将 Teams 中的摄像头集成到幻灯片和演示文稿中,以及音频录制,这使得为每张幻灯片录制演讲成为可能。合并后的功能将于今年第二季度面向广大用户推出。除此之外,白板工具将接收超过 50 个模板。
微软发布了一款扫描仪,可以检测被 TrickBot 团伙入侵的 MikroTik 路由器,以充当命令和控制服务器的代理。
TrickBot 是一种恶意软件僵尸网络,通过网络钓鱼电子邮件分发或被其他已经感染设备的恶意软件丢弃。一旦执行,TrickBot 将连接到远程命令和控制服务器以接收命令并下载更多有效负载以在受感染的机器上运行。
多年来,TrickBot 一直使用路由器等物联网设备作为 受感染设备与命令和控制服务器 (C2) 之间的代理。这些代理用于防止研究人员和执法部门发现和破坏他们的指挥和控制基础设施。
在微软的一份新报告中,研究人员解释了 TrickBot 团伙如何使用各种方法将易受攻击的 MikroTik 路由器作为 C2 通信的代理来攻击它们。
TrickBot 操作在入侵 MikroTik 路由器时使用了各种方法,首先使用默认凭据,然后执行暴力攻击以猜测密码。
如果这些初始方法没有提供对路由器的访问权限,威胁参与者将尝试利用 CVE-2018-14847,这是一个严重的目录遍历漏洞,允许未经身份验证的远程攻击者读取任意文件。利用此漏洞,威胁参与者将窃取“user.dat”文件,其中包含路由器的用户凭据。
一旦他们获得了对设备的访问权限,攻击者就会使用内置的“/ip”、“/system”或“/tool”命令来创建网络地址转换 (NAT) 规则,该规则将发送到端口 449 的流量重新路由。路由器到远程命令和控制服务器上的端口 80。
/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses=[infected device] dst-address=[real C2 address]使用此 IP NAT 规则,C2 服务器不会直接暴露于威胁分析,但仍允许受感染设备进行通信。
正如微软所强调的那样,攻击者似乎对 MikroTik 设备中基于 Linux 的操作系统的有限功能有着深入的了解,他们使用在其他设备上毫无意义的自定义 SSH 命令。
去年 12 月,一份 Eclypsium 报告强调,在供应商警告存在严重缺陷几年后,数十万 MikroTik 路由器仍然容易受到恶意软件僵尸网络的攻击。
由于这些设备具有异常强大的硬件,因此它们被恶意行为者视为高价值目标,尤其是那些对DDoS 攻击等资源密集型操作感兴趣的人。
尽管安全升级多年来一直可用,但许多人仍然容易通过利用未经身份验证的远程访问和代码执行缺陷来招募僵尸网络。
已多次敦促 MikroTik 设备的所有者升级到高于 6.45.6 的 RouterOS 版本,并避免暴露 WinBox 协议。
“这项分析强调了在当今不断发展的威胁环境中保持物联网设备安全的重要性,”微软在他们的报告中警告说。
微软现在发布了一个名为“ routeros-scanner ”的取证工具,网络管理员可以使用它来扫描 MikroTik 设备,寻找它被 TrickBot 入侵的迹象。
此脚本将扫描 MikroTik 设备以获取以下信息:
此外, Microsoft 建议 在 MikroTik 设备上执行以下步骤以进一步保护它们:
2022 年 2 月, TrickBot 操作被关闭,开发人员现在 正与 Conti 勒索软件团伙 合作开发更隐蔽的恶意软件,例如 BazaarBackdoor 和 Anchor 系列。
由于 TrickBot 过去曾被打乱 ,后来又再次启动,我们可能会看到威胁参与者在未来恢复操作。因此,必须确保设备得到适当保护,以免它们在以后的活动中或被其他恶意软件组滥用。
同时,如果您使用的是 MikroTik 设备,建议您使用 Microsoft 的感染扫描程序,因为恶意命令不会因关机而被反转,并且将来可能会重新激活。
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
