2021年十大网络安全漏洞&“Lazarus”组织介绍

写在前面：关于攻击的三篇文档。很多知识，日常阅读时一眼扫过去，以为自己都知道，但客户真问起来还真不一定能说清楚。

“Lazarus”的钓鱼方式，还是挺有意思的。

2021年十大网络安全漏洞

根据2022年X-Force威胁情报指数，从2020年到2021年，漏洞利用导致的事件数量增加了33%。这些被利用的漏洞中很大一部分是新发现的；事实上，2021年的前5个漏洞中有4个是较新的漏洞。IBM Security X-Force在2021年观察到，漏洞利用是紧随网络钓鱼之后，第二大最常见的初始感染方式。网络犯罪分子正在寻找新的途径，发现网络环境中的弱点或常见的漏洞和暴露(CVE)来绕过安全防御，这些漏洞和暴露可以被利用为他们的利益，但对易受攻击的组织不利。

本博客着眼于2021年被利用最多的漏洞，并为组织提供建议，支持他们的补丁管理程序，帮助降低2022年被利用的风险。

网络安全漏洞

2021年最引人注目的CVE之一是CVE-2021-44228，也被称为Log4J或Log4Shell。尽管Log4j漏洞在去年12月才被公开披露，但在不到一个月的时间里，它已成为2021年十大CVE漏洞中第二大被利用最多的漏洞。

如前所述，2021年被利用最多的5个漏洞中有4个是新发现的。2020年这一比例仅为10%。这一趋势表明，以前未知的漏洞数量明显增加，表明总体攻击面正在迅速扩大。

根据X-Force的内部数据，2021年发现了20,790个新漏洞，超过了2020年19242个漏洞的记录。请注意，这些数字代表整体的脆弱性，不仅限于MITRE发布的CVE。每年漏洞的剧烈增加转化为威胁攻击者利用的攻击方式。

2021年10大CVE

X-Force根据威胁攻击者利用或试图利用这些漏洞的频率，列出了2021年最常见的10个CVE。该排名由X-Force事件响应(IR)和IBM托管安全服务(MSS)收集的2021年数据组成。

在2021年排名靠前的CVE名单中，最老的漏洞已经被披露了4年，这与2020年的几个CVE被披露近10年或更久的情况相比，显示出了巨大的差异。这一趋势可能表明威胁行为者在针对受害者网络时希望寻找新的感染方式。攻击者还经常迅速利用在常见应用程序和平台(如Apache和Microsoft Exchange服务器)中容易利用和发现的新漏洞；利用有漏洞的组织部署补丁之前存在的机会窗口。

CVE-2021-34523 - Microsoft Exchange服务器漏洞，允许恶意攻击者绕过身份验证并冒充管理员。一般称为ProxyLogon。
CVE-2021-44228 - Apache Log4j Library漏洞
CVE-2021-26857 - Microsoft Exchange Server远程代码执行漏洞
CVE-2020-1472 - Netlogon特权提升漏洞
CVE-2021-27101 - Accellion FTA漏洞易受SQL注入影响
CVE-2020-7961 - Liferay Portal对不可信数据的反序列化允许通过JSON web服务远程执行代码
CVE-2020-15505 - MobileIron漏洞允许远程代码执行
CVE-2018-20062 - NoneCMS ThinkPHP远程代码执行漏洞
CVE-2021-35464 - ForgeRock AM服务器的Java反序列化漏洞，允许远程代码执行
CVE-2019-19781 - Citrix服务器路径遍历缺陷

以下详细地介绍了2021年的三个最有名的CVE:

1. CVE-2021-44228: Apache Log4j Library漏洞

Log4j，又名Log4Shell，于2021年12月公开暴露。它是开发人员用于Java编程的日志库，许多组织用来开发服务器和客户端应用。Apache软件基金会(Apache Software Foundation)将Log4j评为一个严重级别的漏洞，它会影响其使用的核心功能，从而允许攻击者执行远程代码，这意味着他们可以运行任何代码，并获得对有漏洞机器的未经授权的访问。

虽然已经发布了一个补丁，但大型组织可能有数百个易受攻击的应用程序运行在数千个设备上，从而增加了复杂性和更广泛的攻击面。因此，到2022年，安全社区已经看到了针对所有行业组织的无数Log4j攻击尝试。Log4j在不到一个月的时间里成为排名第二的漏洞，这一事实突出了它在2021年末的流行。

2. CVE-2021-26857: Microsoft Exchange Server远程代码执行漏洞

该CVE于2021年3月被披露，同时披露的还有另外三个影响本地Microsoft Exchange服务器的严重漏洞，统称为ProxyLogon。在发现之时，APT组织正在大肆利用这些漏洞。ProxyLogon一直是勒索软件运营商的访问方式。值得注意的是，在2021年，Black KingDom和DearCry勒索软件的运营者都被观察到在最近的活动中利用了这一漏洞。X-Force将该漏洞列为2021年第三大被利用漏洞。该CVE是Microsoft Exchange统一消息服务中的一个不安全的反序列化缺陷，它允许威胁攻击者渗透目标的Exchange服务器，并安装基于web的木马后门以进行长期访问。

在CVE的最初披露之后，好几个安全厂商报告说，至少发现有10个APT组织利用Microsoft Exchange Server的漏洞。可能与威胁组织APT41有关。微软已经发布了软件更新和补丁来解决这些问题；然而，2021年3月袭击事件的激增凸显了这个CVE的重要性，它值得进入今年10大CVE名单。

3.CVE-2019-19781: Citrix服务器路径遍历漏洞

该漏洞于2019年12月被发现，是2020年被利用最多的漏洞。尽管这个Citrix漏洞(CVE-2019-19781)已经被发现两年多了，但它仍然进入了X-Force 2021年的前10名漏洞列表。这种持久性可能归因于开发的有效性、易于操作和/或Citrix技术的广泛特性。

Citrix漏洞影响Citrix ADC和Citrix Gateway，允许威胁攻击者利用Citrix服务器中的目录遍历漏洞，并通过下载有效负载(如允许命令执行的木马后门)的附加功能执行远程任意代码执行。

未知:零日漏洞

企业可以使用最健壮的纵深防御安全措施来保护其业务职能，但无论如何，永远不可能得到百分之百的保护。威胁攻击者总是在针对受害者开发更复杂的战术、技术和程序，并寻找新的和创造性的途径来感染个人和组织。尚未公开披露或发现的漏洞称为零日漏洞，对企业网络构成重大威胁。

尽管很难防御未知的漏洞，但X-Force评估，已知的漏洞对组织整体构成的更大威胁。当涉及到漏洞管理时，采用分层的方法可以识别、优先排序和纠正已经暴露的漏洞，可以大大降低风险级别，甚至可能提供强大的投资回报率(ROI)。

漏洞管理和修复工作

在当今的网络安全威胁环境中，保护网络基础设施不受恶意攻击者的利用是维护任何组织(无论是哪个行业)适当安全的关键步骤。通过漏洞管理，您的组织正在实施所有必要的步骤，以避免成为网络安全攻击的受害者。识别和修复软件应用程序或不同网络环境中的关键漏洞是纠正任何类型的网络相关风险的关键第一步。

能够在您的组织中有效地实施漏洞管理程序是长期成功的关键，但可能会根据您的业务需求和目标增加复杂性。X-Force建议使用我们的前10名cve列表来帮助识别威胁行为者最有可能瞄准和利用的关键漏洞。

以下列出的其他补救措施，可以帮助在实施健壮的补丁管理计划时对关键元素进行优先排序:

对你的网络进行季度清点。这可以帮助识别与应用程序、设备、操作系统或其他资产相关联的授权软件，以推动关键的业务决策。
利用您的清单来识别风险并删除任何未经授权的软件。这将缩小组织的整体攻击范围。
了解您最关键的资产以及哪些资产可能暴露敏感数据。为这些资产设置基线，并根据基线观察它们的行为。
在补丁管理之前搭建和开发测试环境。确保在更新出软件补丁之前测试它们，并可以回滚。不要在攻击者可能访问的不安全网络上运行任何更新。
利用自动化工具帮助加快漏洞管理工作。这些工具可以帮助部署软件补丁。建议以更小的批次推出补丁，以防止在测试阶段可能出现的任何软件安全错误。

在网络安全领域的事实证明，2021年是网络罪犯利用新威胁和漏洞影响全球受害者的又一个多产的年份。通过提供对不断变化的威胁前景的关键见解和趋势，X-Force可以帮助您的组织更好地保护免受新出现的网络威胁。

（完）

“Lazarus”黑客如何开始他们的攻击

朝鲜的“Lazarus”黑客如何利用领英(LinkedIn)攻击目标，并利用Office宏入侵主机。“Lazarus”黑客组织是来自朝鲜的最大网络安全威胁之一，最近因大规模偷取加密货币而引起了美国政府的注意。

现在，NCCGroup的研究人员已经整理出了Lazarus黑客最近一直在使用的一些工具和技术，包括LinkedIn上的社会工程学，向WhatsApp上的美国国防承包商目标发送消息，以及安装恶意下载程序LCPDot。

NCCGroup的发现建立在对Lazarus黑客已有的了解之上。据悉，该组织及其子组织利用LinkedIn欺骗目标安装带有隐藏宏的恶意文件，如Word文档。

今年2月，Qualys的研究人员发现该组织冒充国防承包商洛克希德·马丁公司(Lockheed Martin)，在Word文档中用公司的名字作为求职诱饵。这些文档包含用于安装恶意软件的恶意宏，并依赖计划任务在系统上持久驻留。

Lazarus一直将LinkedIn作为首选的社交网络，利用招聘和专业人士联系。2020年，F-Secure的研究人员发现，该组织试图招募一名系统管理员，向目标的LinkedIn账户发送一份钓鱼文件，内容是一家区块链公司正在寻找新的系统管理员。

今年4月，美国财政部认为Lazarus与3月份“玩赚”游戏背后的区块链网络发生的6亿美元劫案有关。

同月，美国联邦调查局(FBI)、网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency，CISA)和财政部警告称，Lazarus目前正针对区块链和加密货币行业的交易所，使用鱼叉式网络钓鱼活动和恶意软件窃取加密货币。

NCCGroup发现，最近使用伪造洛克希德·马丁(Lockheed Martin)档案与目标分享招聘广告的行为，依赖于托管在某个域名的文件，该域名试图模仿美国一家招聘政府和国防职位的网站。

为了绕过微软最近在Office文档中使用宏的限制，该网站托管了一个包含恶意文档的ZIP文件，该文件被用来连接Lazarus的C2服务器。

NCCGroup指出:“为了绕过微软最近对Office宏的安全控制，该网站托管了一个包含恶意文档的ZIP文件。”

今年4月，微软引入了新的Office默认行为，该行为可以阻止Windows系统运行从互联网获取的文档中VBA宏。由于宏恶意软件的流行，一位安全专家称其为“游戏规则改变者”。

NCCGroup还获得了一个Lazarus的下载器LCPDot变体的样本，日本CERT最近分析，认为它来自Lazarus。

在向C2服务器注册一个受侵害的主机后，下载程序将接收另一个载荷，对其进行解密，然后将其加载到内存中。

谷歌在3月份详细介绍了一项广泛的活动，与lazarus有关的组织针对媒体和科技行业的数百人，通过电子邮件冒充迪士尼(Disney)、谷歌和甲骨文(Oracle)的招聘人员，向他们发出工作邀请。区块链分析公司Chainalysis估计，朝鲜黑客在2021年窃取了价值4亿美元的加密货币。

摘自：

https://www.zdnet.com/google-amp/article/security-researchers-heres-how-the-lazarus-hackers-start-their-attacks/

（完）

“Lazarus”黑客用假洛克希德·马丁公司的工作邀请攻击国防工业

Lazarus与一场攻击国防工业有希望的求职者的新运动有关。高级持续威胁(APT)组织在最近的行动中一直在冒充洛克希德·马丁公司。这家位于马里兰州贝塞斯达的公司涉及航空、军事技术、任务系统和太空探索。洛克希德·马丁公司在2020年的销售额为654亿美元，在全球拥有约114,000名员工。

Lazarus是一个国家支持的黑客组织，与朝鲜有联系。这个多产而复杂的组织通常以财务为动机，被认为是多起严重攻击的幕后黑手，首先是“WannaCry”勒索软件的爆发，以及针对孟加拉国银行的8000万美元的网络盗取，针对货运公司和韩国供应链的袭击。

2月8日，Qualys威胁研究高级工程师Akshat Pradhan透露了一项使用洛克希德·马丁公司的名字攻击求职者的新活动。

与过去滥用诺斯罗普·格鲁曼公司(Northrop Grumman)和BAE系统公司(BAE Systems)名声的行为类似，Lazarus正在向目标发送网络钓鱼文件，假装提供就业机会。

这些名为Lockheed_Martin_JobOpportunities.docx和salary_lockheed_martin_jobopportunities . secrets .doc的文档包含恶意宏，这些宏会触发shellcode来劫持控制流，并利用计划任务功能长期驻留。

本地生存(LOLBins)也被滥用来进一步破坏目标机器。然而，当恶意脚本试图引入进一步的有效载荷时，就会返回一个错误——所以Qualys不能确定恶意程序包的最终目的是什么。

普拉丹说:“我们将这次活动归因于Lazarus，因为在宏内容、活动流程、钓鱼主题等方面，和其他厂商认定的Lazarus较老变体相比，有很大的重叠。”

这不是Lazarus第一次利用求职者或职位空缺。F-Secure此前发现了伪装成工作机会的网络钓鱼邮件样本，这些邮件被发送给了某个加密货币组织的系统管理员。

在相关研究中，Outpost24的Blueliv网络安全团队将Lazarus、Cobalt和FIN7列为目前针对金融行业最常见的威胁组织。

摘自：

https://www.zdnet.com/article/lazarus-hackers-target-defense-industry-with-fake-lockheed-martin-job-offers/

（完）