0812-5th域微訊早報-美國務院懸賞1000萬征集Conti成員線索-沙特大力引進網絡間諜技術-烏克蘭網絡官員現身黑帽大會
1、網絡安全公司SCADAfence警告Alerton建筑系統中的漏洞
OT和物聯網網絡安全公司SCADAfence在由工業巨頭霍尼韋爾 (Honeywell) 旗下品牌Alerton制造的廣泛使用的樓宇管理系統中發現了潛在的嚴重漏洞。在Alerton Compass軟件中發現了四個漏洞,分別是產品的人機界面 (HMI)、Ascent控制模塊 (ACM)和Visual Logic組件。SCADAfence表示,這是首次將CVE標識符分配給Alerton產品中的漏洞。SCADAfence將很快發布一篇博客文章,詳細介紹其調查結果。這些漏洞,其中兩個被評為“高嚴重性”,可以通過向目標系統發送特制數據包來利用。未經身份驗證的遠程攻擊者可以在控制器上進行配置更改或編寫未經授權的代碼,這兩者都可能導致控制器功能發生變化。如果攻擊者在控制器上寫入惡意代碼,受害者需要重寫程序才能恢復原來的操作功能。這家網絡安全公司指出,惡意更改不會反映在用戶界面中,這使得攻擊更有可能被忽視。SecurityWeek使用Shodan搜索引擎尋找暴露在互聯網上的Alerton系統,并找到了240個結果,其中絕大多數在美國,而在加拿大則有十幾個。大多數暴露的系統是HMI和控制器。SCADAfence的安全研究團隊負責人Yossi Reuven向SecurityWeek證實,可以直接從互聯網上利用這些漏洞。
2、Device42資產管理平臺發現嚴重漏洞
Bitdefender對Device42資產管理平臺中的多個嚴重漏洞發出警告,包括可被利用來執行任意代碼的漏洞。Device42平臺幫助管理員跟蹤應用程序、設備和硬件,使他們能夠管理數據中心資產、口令和服務,以及設備發現和資產標記功能。本周,Bitdefender分享了有關Device42 平臺中的三個嚴重漏洞和Device42 ApplianceManager 控制臺中的一個漏洞的信息,警告攻擊者可以利用這些漏洞來實現遠程代碼執行。“通過利用這些問題,攻擊者可以冒充其他用戶,在應用程序中獲得管理員級別的訪問權限(通過泄漏與LFI的會話)或獲得對設備文件和數據庫的完全訪問權限(通過遠程代碼執行),”Bitdefender 說。該公司的安全研究人員發現,由于該平臺未正確驗證提供的路徑,因此無需身份驗證即可讀取服務器上的敏感文件 (CVE-2022-1401)。由于該平臺包含硬編碼的Exago加密密鑰 (CVE-2022-1400),攻擊者可以將這兩個漏洞鏈接起來以訪問包含會話ID的文件并對其進行解密,然后使用會話信息繞過身份驗證,以經過身份驗證的用戶身份訪問應用程序。Bitdefender還指出,攻擊者隨后可以利用Device42中的第三個漏洞 (CVE-2022-1399) 來“通過創建自動發現任務(*nix/CISCO NX-OS) 并使用精心設計的RCE有效負載作為用戶名”來實現遠程代碼執行。第四個漏洞存在于Device42 Appliance Manager控制臺中,這是一個遠程代碼執行漏洞,該漏洞需要有效憑據才能利用。但是,可以通過利用上述安全漏洞來獲得這些憑據。
3、美國政府懸賞1000萬美元以獲取有關Conti勒索軟件成員的信息
美國國務院11日宣布懸賞1000萬美元,以獲得有關Conti勒索軟件五名高級成員的信息。正義獎賞計劃是美國國務院的一項計劃,獎勵與影響美國國家安全的威脅行為者相關的信息。該計劃最初是為了收集以美國利益為目標的恐怖分子的信息,后來擴大到為網絡犯罪分子的信息提供獎勵,例如俄羅斯沙蟲黑客、 REvil勒索軟件和Evil Corp黑客組織。當地時間11日,美國國務院首次公開了一個名為“Target”的知名Conti勒索軟件運營者的面孔,懸賞高達1000萬美元,以獲取有關他和其他四名成員“Tramp”、“Dandis”、“Professor”和“Reshaev”的信息。Conti Ransomware是一個臭名昭著的勒索軟件操作,據信它在全球范圍內發動了1,000多次攻擊,并收到超過1.5億美元的贖金。AdvIntel首席執行官Vitali Kremez告訴 BleepingComputer,美國政府公告中針對的成員在Conti勒索行動中擔任負責不同的工作。比如,Dandis是管理勒索軟件操作的操作員和滲透測試者的技術經理和領導者。Target是運營“Ryuk/Conti”辦公室的辦公室經理和團隊負責人。他負責網絡犯罪集團的實際運作。他以擁有執法背景而聞名。
4、沙特阿拉伯大力引進以色列最先進的網絡間諜和監視技術
沙特當局認為,這可以幫助他們追捕持不同政見者和沙特王儲的反對者。反對派網站沙特泄密援引未具名消息人士的話說,沙特官員已與以色列公司簽署合同,每年投資數百萬美元用于最先進的網絡間諜和監視技術。消息人士稱,沙特阿拉伯和以色列公司之間日益增長的秘密網絡間諜關系將為所謂的CyberIC計劃鋪平道路,該計劃旨在保護沙特王國的網絡安全部門。本周早些時候,沙特阿拉伯國家網絡安全局 (NCA) 宣布了該計劃的啟動。該計劃旨在發展和建設網絡安全、網絡安全技術本地化和教育內容領域的能力。最近,一家以色列公司向沙特阿拉伯出售了網絡間諜技術,使該國能夠追蹤持不同政見者和活動人士并聽取他們的信息。在前以色列軍事情報官員的領導下,QuaDream多年來一直在向沙特阿拉伯出售其服務。該公司銷售的 Reign間諜軟件可以從 iPhone中提取數據、遠程控制攝像頭,并謹慎地傾聽用戶的聲音并跟蹤設備的位置。早在2018年12月上旬,《華盛頓郵報》報道稱,特拉維夫直接參與向沙特阿拉伯出售復雜的間諜軟件,以幫助該王國清除和殺死持不同政見者。
5、FBI警告Zeppelin勒索軟件可能會多次加密目標設備
網絡安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 11日警告美國組織,部署Zeppelin勒索軟件的攻擊者可能會多次加密他們的文件。這兩個聯邦機構還共享了攻擊者的策略、技術和程序 (TTP) 以及妥協指標 (IOC),以幫助安全專業人員檢測和阻止使用這種勒索軟件的攻擊。“FBI觀察到Zeppelin攻擊者在受害者的網絡中多次執行惡意軟件的情況,導致為每個攻擊實例創建不同的ID或文件擴展名;這導致受害者需要幾個唯一的解密密鑰,”近日發而的的聯合咨詢透露了上述信息。聯邦調查局最近在6月21日檢測到Zeppelin是一種勒索軟件即服務 (RaaS) 操作,其惡意軟件經歷了多次名稱更改,從VegaLocker到Buran、 VegaLocker、 Jamper,現在是Zeppelin。Zeppelin的附屬公司至少自 2019年以來一直活躍,目標是國防承包商和技術公司等企業和關鍵基礎設施組織,重點關注來自 醫療保健和醫療行業的實體。他們還以竊取數據以進行雙重勒索和在比特幣中提出贖金請求而聞名,最初的要求從幾千美元到超過一百萬美元不等。FBI還要求在其企業網絡中檢測到Zeppelin勒索軟件活動的IT管理員收集并與當地FBI外勤辦公室共享任何相關信息。FBI補充說,它不鼓勵向Zeppelin支付贖金要求,并建議受害者不要這樣做,因為他們無法保證支付贖金會防止數據泄露或未來的攻擊。
6、烏克蘭高級網絡官員現身黑帽大會宣稱俄羅斯的數字攻擊是隨意、混亂的
烏克蘭高級網絡安全官員之一維克多·佐拉8月10日告訴CyberScoop,俄羅斯將網絡攻擊納入其對烏克蘭的持續攻擊的總體做法是“混亂的”,反映了他們“缺乏戰略”。佐拉在俄羅斯入侵六個月后于拉斯維加斯舉行的黑帽網絡安全大會上發表講話說,盡管莫斯科的數字攻擊很頻繁,但似乎很少有人協調或針對重要目標。“大多數攻擊是 [分布式拒絕服務攻擊] 與志愿者一起通過Telegram渠道繼續聚集在一起,或者輕松入侵網絡資源、破壞或利用網絡中的漏洞,獲取訪問權限并試圖泄露數據并嘗試干涉媒體,”烏克蘭國家特別通信和信息保護局副局長佐拉說。佐拉表示,有“一大群人”不斷攻擊一系列烏克蘭目標,但他們的技能各不相同,而且至少到目前為止,主要還沒有造成重大影響。“我們了解他們的想法,這可能是缺乏戰略,”他說。“這是這場戰爭的關鍵因素。”佐拉說,對烏克蘭的網絡攻擊通常“在國家范圍內組織得不好”,“對我們所有人來說都是一個好兆頭”。俄羅斯人將繼續尋找漏洞和攻擊方式,“但我不相信他們有機會迅速發揮潛力。”維克多·佐拉與ESET 研究人員Robert Lipovsky、Anton Cherepanov 在Black Hat上一起上臺,讓數百名觀眾大吃一驚。ESET研究人員詳細介紹了他們對Industroyer2的分析。佐拉表示,他來到Black Hat是為了繼續與來自世界各地參加大會的專家、政策制定者和其他人一起爭取支持和分享知識。每個人都對烏克蘭正在發生的事情非常感興趣。他想利用他在大會上的時間來爭取對烏克蘭網絡防御的持續支持。
