Knight 勒索软件是在一场持续进行的垃圾邮件活动中传播的,该活动伪装成 TripAdvisor 投诉。
Knight 勒索软件是 Cyclop 勒索软件即服务的最新品牌重塑,该服务于 2023 年 7 月底更名。
Cyclops 勒索软件运营于 2023 年 5 月启动,当时运营商开始在 RAMP 黑客论坛上招募新的勒索软件即服务 (RaaS) 的附属机构。
Uptycs的一份报告 解释说,该操作是通过 Windows、macOS 和 Linux/ESXi 的加密器启动的。该行动还向附属机构提供适用于 Windows 和 Linux 的信息窃取恶意软件,这在 RaaS 行动中通常不常见。
除了普通的加密器之外,该行动还提供了一个“精简版”版本,用于针对大量目标用户的垃圾邮件和祈祷和喷雾大规模分发活动。该版本似乎使用固定的赎金金额,而不是与受害者谈判。
7 月底,Cyclops 更名为 Knight,还表示他们更新了精简版加密器以支持“批量分发”,并推出了新的数据泄露网站。
“我们已经更新了新面板,并正式更名为 Knight。我们正在寻找(任何类型的)合作伙伴!!!”旧 Cyclops 和新 Knight 数据泄露网站上的公告中写道。
“我们还更新了精简版以支持批量分发。”
目前 Knight 数据泄露网站上没有泄露受害者或被盗文件。
本周,Sophos 研究员 Felix 发现了一个新的垃圾邮件活动,假装是 TripAdvisor 投诉,但却分发 Knight 勒索软件。
BleepingComputer 发现并分析的该活动的新版本现在包含一个名为“TripAdvisor-Complaint-[random].PDF.htm”[ VirusTotal ] 的 HTML 附件。
打开 HTML 文件后,它将使用 Mr.D0x 的 浏览器中浏览器网络钓鱼技术 打开 TripAdvisor 的浏览器窗口。
这个假浏览器窗口伪装成向餐厅提交的投诉,要求用户查看。但是,单击“阅读投诉”按钮将下载名为“TripAdvisor_Complaint-Possible-Suspension.xll”[ VirusTotal ] 的 Excel XLL 文件,如下所示。
该 XLL 文件是使用 Excel-DNA创建的,它将 .NET 集成到 Microsoft Excel 中,以便在打开该文件时执行恶意软件。
当您打开 XLL 时,Microsoft Excel 将检测添加到从 Internet 下载的文件(包括电子邮件)中的 Web 标记 (MoTW)。如果它检测到 MoTW,它将不会启用 Excel 文档中内置的 .NET 加载项,从而使攻击无效,除非用户取消阻止该文件。
但是,如果文件上没有 MoTW 标志,Excel 将提示用户是否要启用该加载项,如下所示。
启用该加载项将导致 Knight Lite 勒索软件加密器被注入到新的 explorer.exe 进程中,并开始加密计算机上的文件。
加密文件时,它会将.knight_l扩展名附加到加密文件的名称中,其中“l”部分可能代表“lite”。
勒索软件还会在计算机上的每个文件夹中创建名为How To Restore Your Files.txt 的勒索字条 。此活动中的勒索信要求将 5,000 美元发送到列出的比特币地址,并且还包含指向 Knight Tor 网站的链接。
然而,https://28u.cc/看到的此次活动中的每张勒索字条都使用相同的比特币地址“14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z”,这使得威胁行为者无法确定哪个受害者支付了赎金。
由于这是 Knight Lite 活动,因此访问该网站不会显示谈判面板。相反,它显示一条消息,指出受害者应该已经支付赎金要求,然后通过 brahma2023@onionmail.org 联系附属机构。
目前,尚不清楚支付赎金是否会导致从 Knight 附属机构收到解密器。
此外,https://28u.cc/看到的所有勒索字条都使用相同的比特币地址,这使得其他人有可能声称付款是他们的,本质上是窃取您的付款。
因此,强烈建议不要在此活动中支付赎金,因为您很可能不会收到解密器。
美国网络安全和基础设施安全局(CISA)负责人本周表示,美国现在需要效仿乌克兰的网络策略,为其关键基础设施增强弹性。
8 月 9 日在拉斯维加斯举行的黑帽安全会议上,CISA 主任 Jen Easterly 引用了乌克兰人民自 2015 年以来的勇气和坚韧,并表示这体现了实践中的韧性。
在与乌克兰网络安全高级官员 Victor Zhora 一起举行的小组讨论中,Easterly 表示,CISA 和乌克兰之间的合作备忘录“让我们能够真正关注如何有效地共享信息、最佳实践、共同锻炼、共同训练、找出解决办法”。如何寻找对手的活动。”
伊斯特利接着描述了提高社会复原力的必要性。
她说,虽然乌克兰在应对俄罗斯入侵、阻止网络攻击方面表现出了极大的韧性,但美国公众在类似威胁(例如殖民地管道勒索软件攻击和漂浮在美国上空的中国间谍气球)的阶段却表现得不那么有韧性。 。
“我认为我们在应对潜在威胁方面没有达到那种程度的弹性,”伊斯特利说。“面对这些非常严重的威胁,我们作为美国人民应该团结起来。”
伊斯特利指出,虽然俄罗斯在网络空间构成重大威胁,但美国情报界的年度威胁评估指出,一旦发生冲突,中国“几乎肯定有能力”对美国管道基础设施和铁路系统发起破坏性攻击。
伊斯特利在 CISA 最近的一篇博客文章中写道,美国从乌克兰的成功中汲取灵感,积极加强防御,完善应对和恢复机制至关重要。
博客中写道:“这需要方法上的重大转变,重点关注三个关键要素:风险评估、弹性规划以及持续改进和适应。”
首先,组织必须确定其最关键的功能和资产,定义实现这些功能连续性的依赖关系,并考虑可能破坏功能连续性的各种威胁。
其次,组织必须执行专门的弹性规划。这包括确定客户可接受的最长停机时间,制定恢复计划以在最长停机时间内恢复功能,并在现实条件下测试这些计划。
最后,组织必须做好定期适应不断变化的条件和威胁的准备。首先要根据经验教训和不断变化的跨部门风险,培育持续改进的文化。
CISA 的博客写道:“全世界都看到乌克兰人民在巨大的逆境中表现出令人难以置信的团结,继续战斗,走向胜利。” “我们希望在五年内,全球公民能够回顾并看到我们的国家、我们的公司和我们的人民是如何共同努力、相互学习并提高我们应对、恢复、恢复的集体能力的。并从我们各国面临的全方位威胁中吸取教训。我们现在必须为我们知道可能即将发生的未来袭击做好准备。”
美国联邦通信委员会 (FCC) 正在就一项创建自愿网络安全标签计划的提案征求公众意见,该计划将为消费者提供有关其智能设备安全性的明确信息。
白宫上个月推出了“美国网络信任标志”,该计划将在网络安全智能设备上贴上盾牌标志,帮助美国人更轻松地选择不易受到网络攻击的设备。
该标志还将带有二维码,可以提供有关智能产品的更多信息。其中一些常见产品包括智能健身追踪器、婴儿监视器、冰箱、微波炉、电视、家用恒温器等。
美国网络信任标志将根据美国国家标准与技术研究所发布的网络安全标准来标记产品,例如要求独特且强大的密码、数据保护、软件更新和事件检测功能。
FCC 的计划类似于能源之星计划,旨在帮助消费者识别节能电器并鼓励更多公司在市场上生产这些电器,但目的是为了更加网络安全的智能设备。
“现在有很多新设备——从智能电视和恒温器到家庭安全摄像头、婴儿监视器和健身追踪器——都连接到了互联网。这些技术带来了巨大的好处,因为它们可以让我们的生活更轻松、更高效。但这种增强的互联带来的不仅仅是便利,还带来了便利。它带来了更大的安全风险,”最先提出该计划的 FCC 主席杰西卡·罗森沃塞尔 (Jessica Rosenworcel) 说道。
“这就是为什么委员会提议为联网智能设备实施首个自愿网络安全标签计划:美国网络信任标志。就像‘能源之星’标志可以帮助消费者了解哪些设备是节能的一样,网络信任标志将帮助消费者在设备隐私和安全方面做出更明智的购买决定,”她补充道。
拟议规则制定通知于 8 月 10 日发布,旨在利用公共和私营部门在智能设备网络安全和标签方面已经开展的重要工作,并强调持续合作的重要性。
该提案提出了如何创建最有效的计划的问题,并邀请公众就以下问题发表意见:
“通过此通知,我们寻求有关如何最好地建立此自愿标签计划、合格设备的范围、管理此计划的机制、如何进一步制定适用于不同类型设备的标准、如何证明遵守这些规定的意见。标准,以及如何最好地教育消费者,”罗森沃塞尔说。
“这不是一个小任务。但这是值得的,”她继续说道。“因为智能设备的未来是巨大的,美国以全球信任信号引领世界的机会更大。”
在 FCC 评估公众对拟议规则的意见后,预计新的网络安全标签计划将于 2024 年底启动并运行。
美国商务部国家海洋和大气管理局 (NOAA)宣布升级了负责国家天气和气候操作超级计算系统 (WCOSS) 的两台双超级计算机,将其计算能力提高了 20%。
两台超级计算机(称为山茱萸和仙人掌)的增强功能将使 NOAA 能够运行更复杂的预测模型。反过来,NOAA 可以提供更详细和准确的天气预报,以更好地预测严重的雷暴、云层和降雨。
“我们对高性能计算的投资将带来更好的美国天气模型的回报,”负责环境观测和预测的助理商务部长迈克尔·C·摩根博士说。“计算能力的提高使预测模型升级成为可能,这将带来改进和及时的预测和警报,从而更好地保护生命和财产。”
这两台超级计算机由通用动力信息技术公司(GDIT)设计和运营。NOAA 于 2022 年 6 月开始在超级计算机上运行可操作的天气和气候预测模型,峰值计算性能为 12.1 petaflops,存储容量为 25 PB。
经过最新的升级,位于弗吉尼亚州马纳萨斯和亚利桑那州菲尼克斯的超级计算机现在每台的运行速度为 14.5 petaflops,并拥有 31 PB 的存储容量。
NOAA 国家气象局局长肯·格雷厄姆 (Ken Graham) 在 GDIT 媒体上表示:“超级计算能力的增强可以升级特定的建模系统,从而帮助天气预报员提供更准确的天气预报、观测和警报,并提高预测的确定性。”释放。
超级计算机的改进将允许升级美国全球预报系统,使其分辨率更高;新的快速刷新预测系统包含更多数据;升级全球集合预报系统,以更好地模拟野火烟雾、灰尘和雾等排放物;计算能力和存储的扩展,进一步推动了 NOAA 地球预测创新中心取得的进步。
“及时、准确的天气预报和警报对于保护每个美国公民的生命和财产发挥着重要作用,”GDIT 副总裁兼航空航天和大气部门总经理 Mariano Alicea 表示。“随着我们继续经历越来越多的极端天气事件,天气预报的每一项进步都至关重要。此次扩展使国家气象局能够进一步改进其预报,更好地应对恶劣天气事件,并增强国家的气候适应能力。”
美国国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 今天宣布,网络安全审查委员会 (CSRB)将评估最近的 Microsoft Exchange Online 入侵,并对与基于云的身份和身份验证基础设施相关的问题进行更广泛的审查。
此次审查将重点关注针对云计算环境的恶意攻击,特别是政府、行业和云服务提供商 (CSP) 应采用的加强云中身份管理和身份验证的方法。
马约卡斯部长表示:“各类组织越来越依赖云计算为美国人民提供服务,这使得我们必须了解该技术的漏洞。” “云安全是我们一些最关键系统的支柱,从我们的电子商务平台到我们的通信工具再到我们的关键基础设施。”
“在对Log4j漏洞和与Lapsus$相关的活动进行审查时,CSRB 已经证明自己已准备好解决和检查此类关键且及时的问题。CSRB 提出的可行建议将帮助所有组织更好地保护其数据并进一步提高网络弹性,”他补充道。
微软于 7 月中旬宣布,已采取行动缓解来自中国的网络攻击,这些攻击暴露了美国政府机构和其他组织的电子邮件帐户信息,以及与这些机构和组织有关的人员的客户帐户。
网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 确认,至少一个联邦民事机构是攻击的目标。一名 CISA 官员强调,这次攻击似乎范围很窄,很快就被根除,而且机密信息没有暴露。
CSRB 的第三次审查将深入探讨 Microsoft 黑客攻击事件,并制定可行的建议,以推进云计算客户和 CSP 本身的网络安全实践。一旦完成,该报告将通过马约卡斯部长和 CISA 主任 Jen Easterly 转交给拜登总统。
CSRB 主席兼 DHS 政策副部长 Rob Silvers 表示:“作为一个国家,我们必须承认云基础设施在我们日常生活中的重要性日益增加,并确定保护该基础设施以及依赖它的众多企业和消费者的最佳方法。” “网络安全审查委员会旨在评估重大事件和生态系统漏洞,并根据吸取的经验教训提出建议。为了完成这项工作,我们汇集了行业和政府的最佳专业知识。董事会将进行彻底审查。”
CSRB 是一项史无前例的公私合作倡议,汇集了政府和行业领导者,加深对重大网络安全事件的了解,包括根本原因、缓解措施和响应措施,并根据这些事件后的事实调查提出建议事件。DHS 的 CISA 负责管理、支持和资助该委员会。
CSRB 的首次审查重点关注 2021 年底在广泛使用的 Log4j 开源软件库中发现的漏洞。昨天发布的第二次审查 审查了最近与全球勒索黑客组织 Lapsus$ 相关的攻击。
CSRB 发现 Lapsus$ 利用简单的技术来逃避行业标准安全工具,这些工具是许多企业网络安全计划的关键,并概述了 10 条可行的建议,帮助政府、公司和民间社会如何更好地防范 Lapsus$ 和类似团体。
“有效的共担责任模型需要持续关注云环境中潜在的系统性风险。世界各地的组织都信任安全的身份管理和身份验证基础设施,以提供基本功能并保护敏感数据。”CISA 总监 Easterly 说道。“董事会此次评估的结果和建议将推动跨云环境的网络安全实践,并确保我们能够共同维护对这些关键系统的信任。”
国家情报总监艾薇儿·海恩斯 (Avril Haines) 今天发布了一项新战略,为情报界 (IC) 提供未来四年国家情报发展方向的指导。
2023 年国家情报战略( NIS) 概述了反映当前国家情报格局的六个目标:
海恩斯在一份新闻稿中表示:“国家情报战略阐明了情报界未来需要培养的有效能力。 ” “随着我们对未来有效所需的信息、技术和关系类型的理解不断加深,国家情报战略中概述的六个目标应运而生。”
她解释说,IC 成功实现这些目标的能力在很大程度上取决于它是否能够适应、提高弹性,并持续专注于克服快速变化的环境的挑战。
目标一:全球战略竞争
根据该战略,情报委员会必须深化和扩展其专业知识,加强其收集和分析能力,并拥抱新的合作伙伴关系和外部视角,以满足决策者在竞争更加激烈的环境中的需求,特别是面对中国和俄罗斯日益增长的实力。
根据这一目标,IC 将投资于开发创新方法和培育新来源,并与全球公共和私营部门的盟友和合作伙伴更系统地合作,以促进对技术风险和进步以及如何解决这些风险和进步的共同理解。此外,NIS 呼吁 IC 建立方法和系统,以促进传统和不同地理和功能区域之间更大的互操作性和理解。
目标 2:多元化、团结的员工队伍
招聘、培养和留住一支才华横溢、多元化的员工队伍对于 IC 未来的成功至关重要。在接下来的四年里,国家情报院呼吁 IC 实现招聘、聘用和审查流程现代化,以确保 IC 能够有竞争力地、快速地招募和培养多元化、值得信赖、灵活且专业的 IC 员工队伍。
目标 3:提供可互操作的创新解决方案
NIS 表示,提升 IC 的技术和工艺竞争力及创新需要持续投资并快速大规模调整可互操作的解决方案。
为了大规模提供这些可互操作的创新解决方案,IC 需要通过建立统一的 IC 采购机构、集中招标系统和社区范围的合同系统来消除障碍,所有这些都由自动化工具支持。
目标 4:牢固的伙伴关系
国家情报院呼吁情报委员会采取新的方法,充分利用情报委员会履行其使命所必需的非国家行为者的专业知识和见解;特别是那些能够检测和防御关键基础设施网络威胁的非国家行为者。
因此,情报委员会必须与非国家行为体建立新的并重组现有的合作机制,并找到方法以维护国家安全的方式加强与这些行为体之间的信息流动。
目标 5:应对共同的全球挑战
国家情报院认为,日益加剧的全球挑战是国家和国际安全的核心。IC 必须跨组织边界开展工作,并与其他政府机构(联邦和地方)合作,以更好地整合研究、专业知识和数据,并建立建模和预测气候变化和健康安全等全球挑战的潜在连锁效应的能力。
目标 6 有弹性的新兴技术、供应链和经济管理
在日益复杂的国家和全球环境中,IC 必须扩大其在了解供应链威胁和脆弱性以及帮助减轻对政府和行业合作伙伴基础设施的威胁方面的作用。因此,NIS 指示 IC 提高联邦、州、地方、部落和地区政府的透明度;非国家行为者;以及在国家关键基础设施中拥有利益的盟友。
IC 领导者反思 2023 年 NIS
海恩斯还解释说,国家情报院在追求国家情报“体现美国价值观的情报局愿景”时,为情报局提供了如何驾驭信息和技术优势、广泛的合作伙伴关系以及才华横溢且多元化的员工队伍的战略方向。
海恩斯表示:“这还凸显了情报委员会在支持我们国家关键基础设施以及我们的盟友和合作伙伴的弹性方面发挥着不断扩大的作用。”他补充说,国家信息系统反映了情报委员会 18 个部门领导人的意见。
“国家情报战略阐述了我们必须如何应对不断变化的世界,通过强调投资于伙伴关系、技术创新、多元化人才和专业知识的重要性,以解决从与中国竞争到气候变化和全球粮食等问题,提供所需的及时见解。不安全,”中央情报局局长比尔伯恩斯说。
“国家情报院认识到民主国家和独裁国家之间的竞争日益激烈。竞争激发创新、新思维,并在必要时激发行动。国家安全局确定了六个优先目标,这些目标不仅将在未来保护我们的国家,而且还将保护我们的合作伙伴。”国家安全局局长保罗·中曾根将军说。
“联邦调查局和我们的情报界合作伙伴正在不断努力预测对我们国家安全的新威胁以及如何应对这些挑战。新的国家情报战略是情报委员会所有成员的重要指南,”联邦调查局局长克里斯·雷说。
虽然一些勒索软件行动声称不以医院为目标,但一个名为 Rhysida 的相对较新的勒索软件团伙似乎并不在意。
Rhysida 于 2023 年 5 月推出,由于对医院、企业甚至政府机构进行不分青红皂白的攻击,它很快就声名鹊起。
该组织在攻击智利军队(Ejército de Chile) 并泄露被盗数据后首次声名狼藉。
现在,该勒索软件团伙因其针对医疗保健的目标而成为头条新闻,据信该组织是对 Prospect Medical Group 的攻击的幕后黑手,影响了美国各地的 17 家医院和 166 家诊所。
这导致美国卫生与公众服务部、趋势科技、思科 Talos和Check Point Research发布了一系列报告。
我们还看到了有关TargetCompany勒索软件、影响 RaaS 生态系统的代码泄漏以及使用Yashma 勒索软件定制版本的新威胁行为者的其他报告。
在其他新闻中,我们继续看到 Clop 的 MOVEit 数据盗窃攻击的后果,密苏里州社会服务部警告称,IBM MOVEit 服务器的数据被盗。
最后,欧洲刑警组织和美国司法部宣布取缔 LOLEKHosted 防弹托管提供商,称其中一名被捕的管理员通过为该团伙托管存储服务器,为Netwalker 勒索软件攻击提供了便利。
本周提供新勒索软件信息和故事的贡献者和人员包括:@Seifreed、@struppigel、@Ionut_Ilascu、@serghei、@LawrenceAbrams、@malwrhunterteam、@billtoulas、@demonslay335、@BleepinComputer、@HHSGov、@TrendMicro、@TalosSecurity、@_CPResearch_、@IRS_CI和@pcrisk。
Talos 高度确信该威胁行为者的目标是英语国家、保加利亚、中国和越南的受害者,因为该行为者的 GitHub 帐户“nguyenvietphat”有用这些国家的语言编写的勒索软件注释。英文版本的存在可能表明演员打算针对广泛的地理区域。
正如我们在 2022 年回顾中所强调的那样,勒索软件团伙不断重塑品牌或与其他组织合并,或者这些犯罪分子同时为多个勒索软件即服务 (RaaS) 机构工作,并且新的组织不断涌现。
今年早些时候,我们发现了远程访问木马 (RAT) Remcos 和 TargetCompany 勒索软件相结合的活跃活动部署。我们将这些部署与之前的示例进行了比较,发现这些部署正在对其二进制文件实施完全不可检测 (FUD) 的加壳器。通过结合遥测数据和外部威胁搜寻源,我们能够收集开发中的早期样本。最近,我们发现了一个受害者,该技术被部署并专门针对该受害者。
PCrisk发现了新的 STOP 勒索软件变种,附加了.yyza和.yytw扩展名。
PCrisk 发现了一个新的 Dharma 变体,它附加了.GPT扩展名。
Rhysida 勒索软件组织于今年 5 月首次被曝光,此后与数起有影响力的入侵事件有关,其中包括对智利军队的攻击。最近,该组织还参与了对 Prospect Medical Holdings 的攻击,影响了美国各地的 17 家医院和 166 家诊所。此次攻击后,美国卫生与公众服务部将 Rhysida 定义为对医疗保健行业的重大威胁。
思科 Talos 注意到美国卫生与公众服务部 (HHS) 最近发布的公告,警告医疗保健行业有关 Rhysida 勒索软件活动。
PCrisk 发现了一个新的 Xorist 勒索软件变体,该变体附加.ProOToN扩展名并删除名为HOW TO DECRYPT FILES.txt的勒索信息。
密苏里州社会服务部警告称,在 IBM 遭受 MOVEit 数据盗窃攻击后,受保护的医疗补助医疗保健信息在数据泄露中暴露。
在针对医疗机构的一波攻击迫使政府机构和网络安全公司更加密切地关注其运作之后,Rhysida 勒索软件行动正名声大噪。
2023 年 8 月 4 日,HHS 卫生部门网络安全协调中心 (HC3) 发布了关于一种名为 Rhysida 的相对较新的勒索软件(检测为 Ransom.PS1.RHYSIDA.SM)的安全警报,该软件自 2023 年 5 月以来一直处于活动状态。在博客文章中,我们将提供有关 Rhysida 的详细信息,包括其目标以及我们对其感染链的了解。
PCrisk 发现了一个新的勒索软件变种,该变种附加了.harward扩展名。
警方已经取缔了 Lolek 防弹托管提供商,逮捕了五名个人并没收了涉嫌为 Netwalker 勒索软件攻击和其他恶意活动提供便利的服务器。
PCrisk 发现了一个新的勒索软件变种,该变种附加了.alock扩展名。
在最近中国黑客入侵美国政府机构使用的 Microsoft Exchange 帐户后,国土安全部网络安全审查委员会 (CSRB) 宣布计划对云安全实践进行深入审查。
CSRB 是公共和私营部门的合作组织,成立的目的是进行深入调查,以更好地了解关键事件、找出根本原因并就网络安全提出明智的建议。
在这种情况下, CSRB 将探索 政府、行业和云服务提供商 (CSP) 如何加强云中的身份管理和身份验证,并为所有利益相关者制定可行的网络安全建议。
这些建议将转发给 CISA 和现任美国政府,由他们决定必须采取哪些行动来保护政府系统和账户。
美国国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 表示:“各类组织越来越依赖云计算为美国人民提供服务,这使得我们必须了解该技术的漏洞”
“云安全是我们一些最关键系统的支柱,从我们的电子商务平台到我们的通信工具再到我们的关键基础设施。”
2023 年 7 月中旬, 微软报告 称,一个被追踪为“Storm-0558”的中国黑客组织使用窃取的微软消费者签名密钥中的伪造身份验证令牌,入侵了包括美国和西欧政府机构在内的 25 个组织的电子邮件帐户。
使用这个被盗的密钥,中国威胁行为者利用 Exchange Online (OWA) 中 Outlook Web Access 的 GetAccessTokenForResource API 函数中的零日漏洞来伪造授权令牌。
这些令牌允许威胁行为者冒充 Azure 帐户并访问众多政府机构和组织的电子邮件帐户,以监控和窃取电子邮件。
在这些攻击之后,微软因没有免费向微软客户提供足够的日志记录而面临很多批评。相反,微软要求客户购买额外的许可证来获取有助于检测这些攻击的日志数据。
在与 CISA 合作确定检测攻击所需的关键日志数据后, Microsoft 宣布 他们现在免费向所有 Microsoft 客户提供该数据。
微软撤销了被盗的签名密钥并修复了 API 缺陷,以防止进一步滥用。尽管如此,他们对该事件的调查 未能准确揭示 黑客最初是如何获取密钥的。
在最初发现漏洞两周后,Wiz 研究人员报告称,Storm-0558 的访问范围比微软之前报道的要广泛得多,包括与微软 OpenID v2.0 一起运行的 Azure AD 应用程序。
Wiz透露 ,中国黑客可能使用泄露的密钥来访问各种微软应用程序以及任何支持微软帐户身份验证的客户应用程序,因此该事件可能不仅限于访问和窃取来自Exchange服务器的电子邮件。
考虑到违规行为的严重性、所需的广泛调查工作以及迄今为止尚无定论的调查结果,美国政府已责成 CSRB 对此案进行全面审查,希望它能够提供见解,为用户、维护者和维护者提供支持。服务提供商应对未来的威胁。
CSRB 过去的审查包括 2021 年Log4j 软件中的一系列影响广泛的 漏洞 以及 Lapsus$ 的活动,Lapsus$ 是一个黑客组织,擅长使用 SIM 交换和社会工程等简单而高效的技术入侵财富 500 强公司。
23 年 8 月 11 日更新:更新了 DOJ 有关涉嫌 Netwalker 勒索软件参与的信息。
警方已经取缔了 Lolek 防弹托管提供商,逮捕了五名个人并没收了涉嫌为 Netwalker 勒索软件攻击和其他恶意活动提供便利的服务器。
防弹托管提供商是一家对其服务器上的犯罪活动或托管受版权保护材料的报告视而不见的托管公司。
与传统公司相比,网络犯罪分子更喜欢这些类型的托管提供商,因为他们可以发起网络犯罪活动,而不必担心在报告恶意活动后他们会被关闭。
周二,28u.cc获悉该平台的 lolekhosted[.]net 网站已被查封,现在显示一条消息,表明波兰和美国之间的国际执法行动查封了该网站。
Lolek 扣押消息中写道:“该域名已被联邦调查局和国税局 – 刑事调查局扣押,作为针对 LOLEK HOSTED 采取的协调执法行动的一部分。”
Lolek 将自己宣传为“100% 隐私托管”服务,并实行无日志政策,这意味着他们不会在其服务器或路由器上记录任何可能用于指控客户的活动。
28u.cc看到的该服务的客户评论称,托管提供商几乎允许任何活动,并且该平台接受 PayPal 和加密货币付款。
虽然联邦调查局和美国国税局本周早些时候拒绝就调查发表评论,但欧洲刑警组织和司法部今天宣布扣押洛莱克并逮捕波兰的五名管理人员。
“本周,波兰中央网络犯罪局 (Centralne Biuro Zwalczania Cyberprzestępczości) 在卡托维兹地区检察官办公室 (Prokuratura Regionalna w Katowicach) 的监督下对 LolekHosted.net 采取了行动,这是犯罪分子用来发动网络攻击的防弹托管服务世界各地,”欧洲刑警组织的 公告中写道。
“五名管理员被捕,所有服务器被查封,导致 LolekHosted.net 不再可用。”
欧洲刑警组织表示,Lolek 被抓获是因为网络犯罪分子利用其服务器发起 DDoS 攻击、分发信息窃取恶意软件、托管命令和控制服务器、托管虚假在线商店以及开展垃圾邮件活动。
然而,美国司法部的一份声明进一步阐明了警方的行动,称一名名叫 Artur Karol Grabowski 的波兰公民昨天因运营 LolekHosted 受到指控。
虽然尚不清楚 Grabowski 是否是在波兰被捕的管理员之一,但司法部表示,他允许客户使用假名注册、频繁更改服务器 IP 地址以及通知客户进行法律调查,从而促进了网络犯罪。
美国司法部还表示,Grabowski 据称通过租赁用于 50 多次攻击的服务器来破坏网络并存储被盗数据和黑客工具,从而协助现已中断的勒索软件操作Netwalker 。
DOJ 声明中写道:“LolekHosted 客户使用其服务对世界各地的受害者执行了大约 50 起 NetWalker 勒索软件攻击,其中包括佛罗里达州中部地区。”
“具体来说,客户在未经授权访问受害者网络时使用 LolekHosted 的服务器作为中介,并存储从受害者那里窃取的黑客工具和数据。”
执法部门于 8 月 8 日在 FBI 和 IRS 牵头的行动中扣押了这家防弹托管提供商的服务器,欧洲刑警组织提供支持,将可用数据与欧盟境内外的各种刑事案件联系起来,并追踪加密货币交易。
格拉博夫斯基现在面临共谋计算机欺诈、共谋电信欺诈和国际洗钱的指控,如果全部罪名成立,可能会被判处 45 年监禁。
随着防弹托管提供商已成为恶意软件传播和网络犯罪的重要组成部分,执法部门一直在积极针对这些平台。
2018 年, 荷兰警方因托管 DDoS 僵尸网络、网络间谍、恶意广告、垃圾邮件和恶意软件操作而查封了 MaxiDed 。从那时起,已有许多人因参与 BPH 服务而被捕[ 1 , 2 ]。
全球工业环境中使用的数百万个 PLC(可编程逻辑控制器)面临 CODESYS V3 软件开发套件中 15 个漏洞的风险,这些漏洞允许远程代码执行 (RCE) 和拒绝服务 (DoS) 攻击。
超过 500 家设备制造商使用 CODESYS V3 SDK 根据 IEC 61131-3 标准对 1,000 多种 PLC 型号进行编程,从而允许用户开发自定义自动化序列。
该 SDK 还提供 Windows 管理界面和模拟器,允许用户在将其部署到生产中之前测试其 PLC 配置和编程。
Microsoft 研究人员发现了CODESYS V3 SDK 中的 15 个缺陷 ,并于 2022 年 9 月向 CODESYS 报告了这些缺陷。该供应商于 2023 年 4 月发布了安全更新来解决已发现的问题。
由于这些设备的性质,它们不会经常更新来解决安全问题,因此微软的安全团队昨天发布了一篇详细的帖子,以提高人们对风险的认识并帮助加快修补速度。
Microsoft 检查了 Schnieder Electric 和 WAGO 的两个使用 CODESYS V3 的 PLC,发现了 15 个高严重性漏洞(CVSS v3:7.5 – 8.8)。
这些缺陷包括:CVE-2022-47378、CVE-2022-47379、CVE-2022-47380、CVE-2022-47381、CVE-2022-47382、CVE-2022-47383、CVE-2022-47384、CVE-2022- 47385、CVE-2022-47386、CVE-2022-47387、CVE 2022-47388、CVE-2022-47389、CVE-2022-47390、CVE-2022-47392、CVE-2022-47393。
主要问题在于 SDK 的标签解码机制,特别是标签在没有验证其大小的情况下被复制到设备缓冲区中,从而为攻击者提供了缓冲区溢出的机会。
这些标签是数据或数据结构的载体,为 PLC 的功能提供关键指令。
缓冲区溢出问题并不是孤立的,微软在 15 个 CODESYS V3 SDK 组件中发现了该问题,包括 CMPTraceMgr、CMPapp、CMPDevice、CMPApp、CMPAppBP、CMPAppForce 和 CMPFileTransfer。
尽管这些缺陷需要身份验证才能利用,但微软表示可以通过使用 CVE-2019-9013来绕过这一要求,CVE-2019-9013 是影响 CODESYS V3 的另一个缺陷,它在传输过程中以明文形式暴露用户凭据,如下所示。
在 15 个案例中的 12 个案例中,微软的分析师能够利用该缺陷在 PLC 上获得远程代码执行。
CODESYS 的 安全公告 列出了以下产品,如果它们运行 3.5.19.0 之前的版本,则无论硬件和操作系统配置如何,它们都会受到影响:
除上述产品外,以下产品在 4.8.0.0 之前的版本中也受到影响:
建议管理员尽快升级到 CODESYS V3 v3.5.19.0,同时微软还建议断开 PLC 和其他关键工业设备与互联网的连接。
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
