Diese Woche gab es Neuigkeiten über Hackerangriffe auf mehrere inländische börsennotierte Unternehmen. Am 20. gaben Lion Travel und Sinopec bekannt, dass sie an einem Tag angegriffen wurden Ihr Produkt „Promeo“ wurde mit Malware in Verbindung gebracht, die im Installationsprogramm des Unternehmens gefunden wurde, und der nordkoreanische Hacker Lazarus startete einen Angriff auf die Lieferkette. Letzte Woche berichteten wir, dass Dajiang Biomedical als Opfer einer Ransomware-Organisation aufgeführt wurde. Das Unternehmen gab am 23. eine wichtige Ankündigung heraus, in der es bestätigte, dass es einen Netzwerksicherheitsvorfall festgestellt habe.
Unter den Sicherheitslücken-Neuigkeiten dieser Woche gibt es zwei wichtige Sicherheitslücken, die Aufmerksamkeit erfordern, darunter die Behebung schwerwiegender Sicherheitslücken in seinem industriellen Kühlsystem durch Johnson Controls und die Behebung schwerwiegender Sicherheitslücken in FortiSIEM durch Fortinet. Darüber hinaus gibt es auch Videoüberwachungsbilder Aufnahmegeräte (NVR) und Router wurden von Hackern mit neuen Zero-Day-Schwachstellen entdeckt und zur Verbreitung ausgenutztIchAngesichts der ernsthaften Bedrohung durch den mutierten KI-Virus JenX hat Akamai, das die Angelegenheit derzeit offenlegt, zunächst die relevanten Hersteller gewarnt und benachrichtigt. Eine neue Version des Patches wird voraussichtlich im Dezember veröffentlicht.
Darüber hinaus haben wir Anfang Oktober über die Pufferüberlauf-Schwachstelle CVE-10-2023 in der GNU-C-Bibliothek (Looney Tunables) berichtet. Kürzlich haben wir Anzeichen dafür gefunden, dass Angreifer begonnen haben, diese bekannte Schwachstelle auszunutzen erwähnt. Wir werden es hier nachholen.
Im Inland sind viele Vorfälle im Bereich der Informationssicherheit in den Fokus gerückt, die alle börsennotierte Unternehmen betreffen. Wir haben sie wie folgt zusammengefasst:
(11) Zum ersten Mal kam es an einem Tag zu zwei schwerwiegenden Informationssicherheitsvorfällen: Am 20. November veröffentlichten die Tourismusbranche „Lion“ und die Kunststoffindustrie „Sinopec“ nacheinander schwere Informationssicherheitsvorfälle, die darauf hindeuteten, dass sie von Hackern angegriffen worden waren . . Unter anderem erwähnte Lion die Betrugsbekämpfungswarnung, um die Passagiere daran zu erinnern, dass möglicherweise Kundendaten durchgesickert sind. Dies ist das zweite Mal, dass das Unternehmen in den letzten zwei Jahren gehackt wurde. Die Offenlegung von Sinopec ist recht begrenzt und kann keine Angaben machen Informationen zur gemeinsamen Verteidigung von Unternehmen und Organisationen. Konkrete und nützliche Informationen.
(20) Dajiang Biomedical veröffentlichte wichtige Informationen über den Informationssicherheitsvorfall und bestätigte, dass das Informationssystem einem Cyberangriff ausgesetzt war: Als die letzte Ausgabe der Information Security Weekly am 15. erschien, waren wir die ersten, die berichteten, dass die Biotech-Industrie „ „Dajiang“ wurde am 22. verdächtigt, von Jägern gehackt worden zu sein. Als Opfer wurde eine internationale Ransomware-Organisation aufgeführt. Andere Medien folgten und berichteten über diese Nachricht am 11.. Wir riefen Dajiang erneut an und erhielten immer noch keine Antwort. Erst im November 24 (Freitagabend) gab bekannt, dass Dajiang endlich unter Cyberangriffen leidet.
(3) Es stellte sich heraus, dass CyberLink von Microsoft gehackt wurde. Der nordkoreanische Hacker Lazarus startete einen Lieferkettenangriff auf das Unternehmen und sperrte neue Benutzer seines Promeo-Produkts aus: Am selben Tag, an dem dieser Vorfall aufgedeckt wurde, gab CyberLink eine Ankündigung heraus Website mit der Aussage, dass im Installationsprogramm des Produkts „Promeo“ schädliche Software gefunden wurde. Sie haben das Problem behoben und werden das Software-Sicherheitszertifikat in Zukunft aktualisieren.
Darüber hinaus gab es diese Woche im Land Berichte darüber, dass das Registrierungssystem des Zentralen Allgemeinen Krankenhauses nicht verfügbar sei, Termininformationen verschwunden seien und der Verdacht bestand, dass es von einem Netzwerk angegriffen worden sei von Urteilsdaten.
Im Hinblick auf Bedrohungen und Vorfälle im Bereich der Informationssicherheit verdienen Ransomware-Bedrohungen und -Trends die größte Aufmerksamkeit. Es wurden vier Neuigkeiten bekannt gegeben, die wir wie folgt zusammengefasst haben:
●Bezüglich des Schadens der Rhysida-Ransomware hat das US-amerikanische CISA,FBIch und MS-ISAC haben gemeinsam eine Warnung herausgegeben, in der es heißt, dass die Angriffe hauptsächlich auf die Sektoren Bildung, Medizin, Fertigung, Informationsindustrie und Regierung abzielen. Diese öffentlichen Informationen geben Aufschluss über die von der Ransomware verwendeten TTP und IoC und ermöglichen es Unternehmen, ihre Angriffsstrategien und -techniken sowie verschiedene Abwehrmaßnahmen zu verstehen.
●Bezüglich der neuen Trends der Ransomware BlackCat wiesen einige Experten der Informationssicherheitsbranche darauf hin, dass die jüngsten新手Abschnitt ist daGoogleWerben Sie unter dem Deckmantel, bekannte Anwendungen wie Advanced anzubieten IP Scanner, Slack, WinSCP), die Internetnutzer dazu verleiten, eine Verbindung zu Phishing-Websites herzustellen und Software herunterzuladen, auf der das Schadprogramm Nitrogen installiert ist.
●Die Ransomware Phobos ist erneut aufgetaucht, und Sicherheitsforscher haben enthüllt, dass sie kürzlich die Sicherheits-Community VX-Underground ins Visier genommen haben.
●Die Bedrohung durch die Ransomware-Hackergruppe Play könnte sich verstärken. Kürzlich gaben Sicherheitskräfte bekannt, dass die Organisation ihre Tools zur Miete anbietet, um mehr Kriminelle für den Beitritt zu gewinnen.
Im Hinblick auf neue Angriffsmethoden und andere wichtige Bedrohungssituationen sind unserer Meinung nach die neue Methode der Asset-Diebstahl-Software Lumma und die Verwendung komprimierter Dateien zum Starten von Angriffen am bemerkenswertesten.
●Um einer Entdeckung zu entgehen, verwendet die Software zum Diebstahl von Vermögenswerten Lumma Mausbewegungen, um reale Operationen zu identifizieren, bevor sie die Software zum Diebstahl von Vermögenswerten ausführt. Ein anderer Informationssicherheitsforscher enthüllte sogar, dass Lumma-Entwickler angeblich in der Lage seien, eine Wiederherstellung durchzuführenGoogleWährend der Kontoverbindungsphase wird das Konto des Opfers als Geisel genommen.
●Sie müssen auf die Verwendung komprimierter Dateien zur Verbreitung von Bosheit achten. Zunächst sollte das Botschaftspersonal auf viele Angriffe auf das europäische Botschaftsnetzwerk achtenARBei Angriffen auf Sicherheitslücken sollten sich Kryptowährungsbenutzer darüber im Klaren sein, dass die Hackergruppe DarkCasino diese Benutzer durch Ausnutzung der WinRAR-Sicherheitslücke ins Visier nimmt, und dass die Gelddiebstahlsoftware Agent Tesla das ZPAQ-Format neu ausgenutzt hat, um große 1-GB-Dateien auf nur 6 KB zu reduzieren , möglicherweise um Antiviren-Scans zu vermeiden.
●Python-Entwickler sollten ebenfalls aufpassen, dass Hacker in den letzten sechs Monaten 27 PyPI-Pakete gestartet haben, die bekannte Pakete imitieren, und dass sie auch PNG-Bilder verwenden, um ihre Angriffsabsichten zu verbergen.
Abschließend gibt es noch zwei lohnenswerte Enthüllungen über Hacking-Trends auf Landesebeneaufmerksam, darunter: Die chinesische Hackerorganisation Mustang Panda hat Militäreinheiten in südostasiatischen Ländern ins Visier genommen. Die Hacker gaben vor, Solid PDF Creator bereitzustellen.IndonesienDie Antivirensoftware Smadav nutzt diese Anwendungen, um Schadsoftware von der Seite zu laden, und der russische Hacker Gamaredon nimmt ukrainische Organisationen ins Visier und verbreitet den USB-Wurm LitterDrifter.
[11. November] Hacker haben in den letzten sechs Monaten mehr als 20 bösartige PyPI-Pakete verbreitet und dabei PNG-Bilder verwendet, um Angriffsabsichten zu verbergen. Entwickler wurden in den USA, China und Frankreich zum Opfer.
In letzter Zeit kam es recht häufig zu Angriffen gegen Entwickler, und es wurden immer ausgefeiltere Methoden entwickelt. Beispielsweise wird der Angriffscode in einem bestimmten Modul des Schadpakets vergraben. Sobald der Entwickler das Paket gemäß den Anweisungen installiert, wird der Schadcode nicht sofort ausgeführt Ausführung, aber warten Sie, bis die spezifische Funktion aufgerufen wird, bevor sie zusammen geladen wird.
Ähnliche Methoden sind kürzlich auch bei anderen neuen Methoden aufgetaucht, beispielsweise bei dem bösartigen PyPI-Suite-Angriff, der vom Sicherheitsunternehmen Checkmarx bekannt gegeben wurde. Die Angreifer versuchen, den Schadcode in externen PNG-Bildern zu verstecken, wodurch das PyPI-Paket selbst harmlos erscheint.
[11. November] Die chinesische Hackerorganisation Mustang Panda hat Südostasien ins Visier genommen und mehrere Phishing-Angriffe gestartet. Es wurde vermutet, dass die Ursache mit dem militärischen Konflikt auf den Philippinen im August zusammenhängt.
Im ersten Halbjahr dieses Jahres kam es häufig zu Angriffen der chinesischen Hackerorganisation Mustang Panda. Die Ziele dieser Hacker standen im Zusammenhang mit dem Krieg in der Ukraine, und die meisten davon richteten sich gegen europäische Länder, die das Land unterstützt hatten.
Doch in der zweiten Jahreshälfte begannen diese Hacker, ihre Ziele zu ändern und konzentrierten ihre Angriffe erneut auf südostasiatische Länder, die sie zuvor im Visier hatten. Beispielsweise richteten sich die Angriffe im August gegen südostasiatische Länder. Forscher vermuteten, dass diese Angriffswelle hauptsächlich mit dem Konflikt auf den Philippinen zusammenhängt.
[11. November] Die Ransomware Phobos nutzte den Namen der Informationssicherheits-Community, um Windows-Computer anzugreifen und Angriffe zu starten, mit der Behauptung, dass die Opfer Dateien von der Community wiederherstellen müssten.
In den heutigen Nachrichten gibt es drei solcher Sicherheitsvorfälle. Der bemerkenswerteste Teil davon ist, dass der Hacker offensichtlich versucht, sie zu diskreditieren die gesamte Gemeinschaft schwächen und die gesamte Verteidigungskraft schwächen.
Es ist erwähnenswert, dass diese Hacker bei der Begehung von Straftaten nicht nur den Namen der Organisation stahlen, sondern sie auch durch Erpressungsnachrichten lächerlich machten und die Opfer sogar dazu aufforderten, von der Sicherheitsorganisation verfasste Bücher zu kaufen.
[11. November] CyberLink erlitt einen Lieferkettenangriff durch nordkoreanische Hacker, der Malware auf den Update-Servern des Unternehmens einsetzte.
Was die Angriffe auf die Lieferkette taiwanesischer Hersteller betrifft, so erregte der Hacking-Vorfall auf den Asus-Update-Server vor vier Jahren große Aufmerksamkeit. Angriffe auf die Lieferkette sind zu einer Bedrohung für die Informationssicherheit geworden, die taiwanesische IT-Hersteller nicht ignorieren können. Ähnliche Angriffe haben auch Hacker erlitten Verwenden Sie es, um die Infrastruktur zu aktualisieren und Schadprogramme zu verbreiten.
Das Threat-Intelligence-Team von Microsoft hat einen Angriff auf den taiwanesischen Multimedia-Anwendungsentwickler CyberLink bekannt gegeben, bei dem Hacker die Softwareinstallationsdateien des Unternehmens manipuliert und auf den Update-Server hochgeladen haben. Das Ziel des Angreifers muss noch geklärt werden.
[11. Mai]IchKI-Botnet-Varianten infizieren Router und NVR-Netzwerk-Videoüberwachungsgeräte. Es wird vermutet, dass es sich bei der von Angreifern ausgenutzten Zero-Day-Sicherheitslücke um voreingestellte schwache Passwörter handelt.
BotnetzIchVon Zeit zu Zeit wurden Angriffe durch KI auf Geräte des Internets der Dinge (IoT) gemeldet. Allerdings sind die jüngsten Sicherheitsvorfälle, die von Forschern aufgedeckt wurden, ziemlich auffällig, da sie nicht das von den Hackern angegriffene Gerätemodell offenlegten, sondern nur den Typ. Netzwerk-Videoüberwachungsgerät (NVR), kleiner Router.
Es ist erwähnenswert, dass die oben genannten Geräte alle Zero-Day-Schwachstellen aufweisen und Forscher herausgefunden haben, dass der von den Angreifern verwendete Schadcode die Standardkontonamen und Passwörter dieser Geräte enthielt. Diese Anzeichen deuten auch darauf hin, dass Angreifer diese Kanäle nutzen könnten, um die Kontrolle zu erlangen.
