本周全球網絡安全事件概述
最近,網絡安全界最引人注目的事件是在流行的Log4j日志管理程序(CVE-2021-44228)中發現了一個漏洞,該實用程序允許通過互聯網控制服務器和應用程序。一個名為 Log4Shell 的問題因廣泛使用該實用程序而更加嚴重,它存在于幾乎所有主要的企業應用程序和基于 Java 的服務器上。
據專家說,黑客已經在攻擊中利用Log4Shell。Netlab 360 專家報告說,黑客使用 Log4Shell 在受影響的設備上安裝 Mirai 和 Muhstik 惡意軟件。據微軟威脅情報中心稱,該漏洞也被用來安裝鈷打擊。
雖然大多數通過 Log4Shell 攻擊的設備都運行 Linux,但 Bitdefender 專家還記錄了黑客利用該漏洞將 Khonsari 勒索軟件傳送到 Windows 系統并下載用于遠程訪問 (RAT) Orcus 的特洛伊木馬程序的嘗試。反過來,曼迪安特和眾籌報告了Log4Shell的漏洞是否已經引起了為中國政府工作的網絡罪犯的興趣。
另一起引人注目的事件是沃爾沃研發數據泄露。公司沒有立即承認泄漏的事實。起初,她將這一事件描述為"潛在的網絡攻擊",盡管流出的數據早在今年11月30日就開始在網上泄露。本周,沃爾沃承認,攻擊確實發生了,可能比最初看起來危險得多。
網絡勒索軟件的受害者是世界上最大的物流公司之一赫爾曼全球物流公司。作為預防措施,該公司立即切斷了與中央數據中心的所有連接。
巴西衛生部的網站遭到了使用勒索軟件的重大網絡攻擊。由于這一事件,數百萬公民無法獲得COVID-19疫苗接種數據。襲擊開始于12月10日星期五,當時巴西衛生部的所有地點都倒塌,包括跟蹤公民在公共衛生系統中軌跡的ConecteSUS。除其他事項外,用戶無法通過 ConecteSUS 應用程序訪問其 COVID-19 數字疫苗接種證書。拉普蘇斯集團聲稱對這一事件負責。據黑客說,他們從衛生部竊取了50TB的數據,并刪除了這些數據。
勒索軟件的受害者也是克朗諾斯人力資源解決方案的制造商。這次襲擊可能使克羅諾斯的云產品癱瘓了幾個星期。這一事件影響了使用克羅諾斯私有云的 UKG 解決方案。
臭名昭著的REvil的參與者似乎從未離開過網絡犯罪領域,并組成了一個新的組織——ALPHV(BlackCat)。ALPHV 是第一個使用 Rust 編程語言的網絡勒索軟件組。新的惡意軟件在兩個地下論壇上做廣告,并且已經用于真正的攻擊。惡意功能包括對基于 Windows、Linux 和 VMWare eSXI 的系統上的數據進行加密的功能。合作伙伴將獲得 80% 到 90% 的最終回購收入。
埃森哲安全公司的 EB 專家介紹了一群高度專業的黑客,他們于今年第三季度活躍。2021 年 6 月,追求經濟利益并自稱為 Karakurt 的黑客進入了研究人員的視野,當時他們注冊了兩個域名并在 Twitter 上建立了一個頁面。該組織的主要活動是竊取數據和敲詐勒索,它不使用加密軟件來加密文件。據黑客自己說,從2021年9月到11月,他們侵入了40多名受害者的網絡,并在他們的網站上發布了被盜文件。
賽門鐵克的專家報告了伊朗APT組織MuddyWater針對中東和亞洲其他地區電信運營商、IT公司和公用事業公司的網絡間諜活動。作為賽門鐵克研究人員在過去六個月中跟蹤的新戰役的一部分,攻擊者襲擊了以色列、約旦、科威特、老撾、巴基斯坦、沙特阿拉伯、泰國和阿拉伯聯合酋長國的許多組織。攻擊使用合法工具、離地生活策略和公開的惡意軟件樣本。
特斯拉代理惡意軟件的新版本在當前的網絡釣魚活動中使用。據Fortinet的專家說,攻擊者向韓國用戶發送電子郵件,據稱其中包含"訂單"的詳細信息。電子郵件包含惡意的 Microsoft 電源點文檔。
Wordfence 的分析師本周記錄了對 160 萬個運行 WordPress 的網站的巨浪攻擊。攻擊來自 16,000 個 IP 地址。攻擊者正在攻擊四個 WordPress 插件和 15 個 Epsilon 框架主題,其中一個主題尚未發布安全修補程序。
攻擊者的最愛是MikroTik 設備,這些設備用于執行 DDoS 攻擊、流量隧道(如 C&C 等)。 隨著家庭用戶數量的增加,出現了許多易于檢測的易受攻擊設備,這些設備可以讓犯罪分子訪問員工的家庭設備以及企業的設備和資源。MikroTik 設備包含漏洞,通常附帶內置的管理員憑據。此外,MikroTik 的自動更新功能很少啟用,因此許多設備永遠不會收到修補程序。他們也有一個令人難以置信的復雜的設置界面,使用戶很容易犯錯誤。所有這一切導致一種情況,即互聯網上發現了數十多年前支持過期的數千個易受攻擊和 EOL 設備。
暗網運營商(也稱為 MANGA)利用了流行的 TP-Link TL-WR840N EU V5 (CVE-2021-41653)家庭路由器中的遠程代碼執行漏洞。TP-Link 修復了 2021 年 11 月 12 日固件更新 (TL-WR840N (EU) _V5_211109)的發布問題。發現該漏洞的安全研究員馬特克·卡米略(Matek Kamillo)發布了一個 PoC 代碼來利用 RCE 漏洞,導致攻擊者開始在攻擊中使用該漏洞。據《財富》雜志的專家說,黑暗運營商在TP-Link發布固件更新兩周后就開始了攻擊。
黑客訪問了沃爾坎鍛造的148個NFT用戶錢包,并從他們那里提取了450萬PYR代幣(總價值超過1.03億美元)。市場消息說,攻擊者可能擁有用戶的私鑰。
交易加密貨幣平臺AscendEX,前身為BitMax,在Twitter上說,12月11日遭到網絡攻擊。據分析公司PeckShield稱,來自加密交易所熱錢包的網絡攻擊竊取了7700萬美元的資產,其中以太坊6000萬美元,BSC920萬美元,Polygon850萬美元。
