本周全球网络安全事件概述
最近,网络安全界最引人注目的事件是在流行的Log4j日志管理程序(CVE-2021-44228)中发现了一个漏洞,该实用程序允许通过互联网控制服务器和应用程序。一个名为 Log4Shell 的问题因广泛使用该实用程序而更加严重,它存在于几乎所有主要的企业应用程序和基于 Java 的服务器上。
据专家说,黑客已经在攻击中利用Log4Shell。Netlab 360 专家报告说,黑客使用 Log4Shell 在受影响的设备上安装 Mirai 和 Muhstik 恶意软件。据微软威胁情报中心称,该漏洞也被用来安装钴打击。
虽然大多数通过 Log4Shell 攻击的设备都运行 Linux,但 Bitdefender 专家还记录了黑客利用该漏洞将 Khonsari 勒索软件传送到 Windows 系统并下载用于远程访问 (RAT) Orcus 的特洛伊木马程序的尝试。反过来,曼迪安特和众筹报告了Log4Shell的漏洞是否已经引起了为中国政府工作的网络罪犯的兴趣。
另一起引人注目的事件是沃尔沃研发数据泄露。公司没有立即承认泄漏的事实。起初,她将这一事件描述为"潜在的网络攻击",尽管流出的数据早在今年11月30日就开始在网上泄露。本周,沃尔沃承认,攻击确实发生了,可能比最初看起来危险得多。
网络勒索软件的受害者是世界上最大的物流公司之一赫尔曼全球物流公司。作为预防措施,该公司立即切断了与中央数据中心的所有连接。
巴西卫生部的网站遭到了使用勒索软件的重大网络攻击。由于这一事件,数百万公民无法获得COVID-19疫苗接种数据。袭击开始于12月10日星期五,当时巴西卫生部的所有地点都倒塌,包括跟踪公民在公共卫生系统中轨迹的ConecteSUS。除其他事项外,用户无法通过 ConecteSUS 应用程序访问其 COVID-19 数字疫苗接种证书。拉普苏斯集团声称对这一事件负责。据黑客说,他们从卫生部窃取了50TB的数据,并删除了这些数据。
勒索软件的受害者也是克朗诺斯人力资源解决方案的制造商。这次袭击可能使克罗诺斯的云产品瘫痪了几个星期。这一事件影响了使用克罗诺斯私有云的 UKG 解决方案。
臭名昭著的REvil的参与者似乎从未离开过网络犯罪领域,并组成了一个新的组织——ALPHV(BlackCat)。ALPHV 是第一个使用 Rust 编程语言的网络勒索软件组。新的恶意软件在两个地下论坛上做广告,并且已经用于真正的攻击。恶意功能包括对基于 Windows、Linux 和 VMWare eSXI 的系统上的数据进行加密的功能。合作伙伴将获得 80% 到 90% 的最终回购收入。
埃森哲安全公司的 EB 专家介绍了一群高度专业的黑客,他们于今年第三季度活跃。2021 年 6 月,追求经济利益并自称为 Karakurt 的黑客进入了研究人员的视野,当时他们注册了两个域名并在 Twitter 上建立了一个页面。该组织的主要活动是窃取数据和敲诈勒索,它不使用加密软件来加密文件。据黑客自己说,从2021年9月到11月,他们侵入了40多名受害者的网络,并在他们的网站上发布了被盗文件。
赛门铁克的专家报告了伊朗APT组织MuddyWater针对中东和亚洲其他地区电信运营商、IT公司和公用事业公司的网络间谍活动。作为赛门铁克研究人员在过去六个月中跟踪的新战役的一部分,攻击者袭击了以色列、约旦、科威特、老挝、巴基斯坦、沙特阿拉伯、泰国和阿拉伯联合酋长国的许多组织。攻击使用合法工具、离地生活策略和公开的恶意软件样本。
特斯拉代理恶意软件的新版本在当前的网络钓鱼活动中使用。据Fortinet的专家说,攻击者向韩国用户发送电子邮件,据称其中包含"订单"的详细信息。电子邮件包含恶意的 Microsoft 电源点文档。
Wordfence 的分析师本周记录了对 160 万个运行 WordPress 的网站的巨浪攻击。攻击来自 16,000 个 IP 地址。攻击者正在攻击四个 WordPress 插件和 15 个 Epsilon 框架主题,其中一个主题尚未发布安全修补程序。
攻击者的最爱是MikroTik 设备,这些设备用于执行 DDoS 攻击、流量隧道(如 C&C 等)。 随着家庭用户数量的增加,出现了许多易于检测的易受攻击设备,这些设备可以让犯罪分子访问员工的家庭设备以及企业的设备和资源。MikroTik 设备包含漏洞,通常附带内置的管理员凭据。此外,MikroTik 的自动更新功能很少启用,因此许多设备永远不会收到修补程序。他们也有一个令人难以置信的复杂的设置界面,使用户很容易犯错误。所有这一切导致一种情况,即互联网上发现了数十多年前支持过期的数千个易受攻击和 EOL 设备。
暗网运营商(也称为 MANGA)利用了流行的 TP-Link TL-WR840N EU V5 (CVE-2021-41653)家庭路由器中的远程代码执行漏洞。TP-Link 修复了 2021 年 11 月 12 日固件更新 (TL-WR840N (EU) _V5_211109)的发布问题。发现该漏洞的安全研究员马特克·卡米略(Matek Kamillo)发布了一个 PoC 代码来利用 RCE 漏洞,导致攻击者开始在攻击中使用该漏洞。据《财富》杂志的专家说,黑暗运营商在TP-Link发布固件更新两周后就开始了攻击。
黑客访问了沃尔坎锻造的148个NFT用户钱包,并从他们那里提取了450万PYR代币(总价值超过1.03亿美元)。市场消息说,攻击者可能拥有用户的私钥。
交易加密货币平台AscendEX,前身为BitMax,在Twitter上说,12月11日遭到网络攻击。据分析公司PeckShield称,来自加密交易所热钱包的网络攻击窃取了7700万美元的资产,其中以太坊6000万美元,BSC920万美元,Polygon850万美元。
