【資安週報】2023年11月20日到11月24日

Entre las noticias sobre vulnerabilidades de esta semana, hay dos correcciones de vulnerabilidades importantes que necesitan atención, incluido el parche de Johnson Controls para las principales vulnerabilidades en su sistema de refrigeración industrial y el parche de Fortinet para las principales vulnerabilidades en su FortiSIEM. Además, también hay imágenes de videovigilancia. equipo de grabación (norteVR) y los enrutadores fueron descubiertos por piratas informáticos con nuevas vulnerabilidades de día cero y explotados para propagarseMirAkamai, que actualmente está revelando el asunto, advirtió y notificó por primera vez a los fabricantes relevantes sobre la grave amenaza del virus variante AI JenX, y se espera que se lance una nueva versión del parche en diciembre.

Además, informamos sobre la vulnerabilidad de desbordamiento del búfer de la biblioteca GNU C CVE-10-2023 (Looney Tunables) a principios de octubre. Recientemente, encontramos señales de que los atacantes han comenzado a explotar esta vulnerabilidad conocida. Las noticias del Information Security Daily de esta semana aún no lo han hecho. Lo mencioné. Lo arreglaremos aquí.

A nivel nacional, muchos incidentes de seguridad de la información se han convertido en el foco de atención, todos relacionados con empresas que cotizan en bolsa. Los hemos resumido de la siguiente manera:
(11) Por primera vez, ocurrieron dos incidentes graves de seguridad de la información en un día: el 20 de noviembre, la industria turística "Lion" y la industria del plástico "Sinopec" publicaron sucesivamente importantes incidentes de seguridad de la información, indicando que habían sido atacados por piratas informáticos. . Entre ellos, Lion mencionó una advertencia antifraude para recordar a los pasajeros que los datos de los clientes pueden haber sido filtrados. Esta es la segunda vez que la compañía anuncia que ha sido pirateada en los últimos dos años. La divulgación de Sinopec es bastante limitada y no puede proporcionarla. cualquier información para la defensa conjunta entre empresas y organizaciones Información concreta y útil.
(20) Dajiang Biomedical publicó un importante incidente de seguridad de la información, confirmando que el sistema de información fue objeto de un ciberataque: cuando se publicó el último Informe Semanal de Seguridad de la Información el día 15, fuimos los primeros en informar que la industria biotecnológica "Dajiang" Se sospechaba que Hunters había sido pirateado el día 22. La organización internacional de ransomware fue incluida como víctima. Otros medios hicieron un seguimiento e informaron esta noticia el día 11. También llamamos a Dajiang nuevamente y aún no recibimos respuesta. el viernes por la noche) que Dajiang finalmente los anunció sufriendo ataques cibernéticos.
(3) Se reveló que CyberLink había sido pirateado por Microsoft. El hacker norcoreano Lazarus lanzó un ataque a la cadena de suministro de la empresa, bloqueando a nuevos usuarios de sus productos Promeo: el mismo día que se reveló este incidente, CyberLink emitió un anuncio en su sitio. sitio web que indica que se encontró software malicioso en el programa de instalación del producto "Promeo". Han solucionado el problema y actualizarán el certificado de seguridad del software en el futuro.
Además, esta semana hubo informes en el país de que el sistema de registro del Hospital General Central no estaba disponible, la información de las citas desapareció y se sospechaba que había sido atacado por Internet. El Yuan Judicial también emitió una nueva explicación sobre la filtración. de datos de juicio.

En cuanto a amenazas e incidentes de seguridad de la información, las amenazas y tendencias del ransomware merecen la mayor atención. Se han desvelado cuatro noticias que hemos resumido a continuación:
●Con respecto al daño del ransomware Rhysida, la CISA de EE. UU.,FBMS-ISAC y yo emitimos conjuntamente una advertencia indicando que sus ataques se dirigen principalmente a los sectores educativo, médico, manufacturero, de la industria de la información y del gobierno. Esta información pública revela el TTP y el IoC utilizados por el ransomware, lo que permite a las empresas comprender sus estrategias y técnicas de ataque, así como diversas medidas de mitigación.
●En cuanto a las nuevas tendencias del ransomware BlackCat, algunos expertos de la industria de la seguridad de la información señalaron que la reciente新手La sección está enGooglePublicidad con el pretexto de ofrecer aplicaciones conocidas como Advanced IP Scanner, Slack, WinSCP), incitando a los usuarios de Internet a conectarse a sitios web de phishing y descargar software implantado con el programa malicioso Nitrogen.
●El ransomware Phobos ha aparecido de nuevo y los investigadores de seguridad han revelado que recientemente se ha dirigido a la comunidad de seguridad VX-Underground.
●La amenaza del grupo de hackers de ransomware Play puede intensificarse Recientemente, el personal de seguridad reveló que la organización está ofreciendo sus herramientas en alquiler en un intento de atraer más matones para que se unan.

En cuanto a los métodos de ataque emergentes y otras situaciones de amenaza importantes, creemos que el nuevo método del software de robo de activos Lumma y el uso de archivos comprimidos para lanzar ataques son los más destacables.
●Para evitar la detección, el software de robo de activos Lumma utiliza trayectorias del mouse para identificar operaciones de personas reales antes de ejecutar el software de robo de activos. Otro investigador de seguridad de la información incluso reveló que los desarrolladores de Lumma afirmaron poder restaurar.GoogleDurante la etapa de conexión de la cuenta, la cuenta de la víctima es rehén.
●Debe prestar atención al uso de archivos comprimidos para difundir malicia. Esta semana se produjeron tres incidentes relacionados. En primer lugar, el personal de la embajada debe prestar atención. El hacker ruso APT29 atacó muchas redes de embajadas europeas y lanzó WinR.ARAtaques de vulnerabilidad, entonces los usuarios de criptomonedas deben tener en cuenta que el grupo de hackers DarkCasino está apuntando a estos usuarios explotando la vulnerabilidad WinRAR, y el software de robo de dinero Agent Tesla ha explotado recientemente el formato ZPAQ para reducir archivos grandes de 1 GB a solo 6 KB. , posiblemente para evitar análisis antivirus.
●Los desarrolladores de Python también deben prestar atención. Una industria de seguridad de la información reveló que en los últimos seis meses, los piratas informáticos lanzaron 27 paquetes PyPI que imitan paquetes conocidos y también utilizan imágenes PNG para ocultar las intenciones de ataque.

Finalmente, hay dos revelaciones de tendencias de piratería a nivel estatal que vale la penaalerta, entre ellos: La organización de piratas informáticos chinos Mustang Panda atacó unidades militares en países del sudeste asiático. Los piratas informáticos pretendieron proporcionar Solid PDF Creator.IndonesiaEl software antivirus Smadav utiliza estas aplicaciones para descargar malware y el hacker ruso Gamaredon ataca a organizaciones ucranianas y distribuye el gusano USB LitterDrifter.

[11 de noviembre] Los piratas informáticos han distribuido más de 20 paquetes PyPI maliciosos en los últimos seis meses, utilizando imágenes PNG para ocultar las intenciones de ataque. Los desarrolladores han sido víctimas en los Estados Unidos, China y Francia.

Los ataques contra desarrolladores han sido bastante frecuentes recientemente y han surgido métodos cada vez más sofisticados. Por ejemplo, el código de ataque está enterrado en un módulo específico del paquete malicioso. Una vez que el desarrollador instala el paquete de acuerdo con las instrucciones, el código malicioso no se instala inmediatamente. Ejecución, pero espere hasta que se llame a la función específica antes de cargarla en conjunto.

Recientemente han surgido métodos similares en otros métodos nuevos, como el ataque malicioso a la suite PyPI revelado por la empresa de seguridad Checkmarx. Los atacantes intentan enterrar el código malicioso en imágenes PNG externas, haciendo que el paquete PyPI parezca inofensivo.

[11 de noviembre] La organización de hackers china Mustang Panda apuntó al sudeste asiático y lanzó varios ataques de phishing. Se sospechaba que la causa estaba relacionada con el conflicto militar en Filipinas en agosto.

En la primera mitad de este año, hubo frecuentes ataques por parte de la organización de hackers china Mustang Panda. Los objetivos de estos hackers estaban relacionados con la guerra en Ucrania, y la mayoría de ellos apuntaban a países europeos que habían ayudado al país.

Pero en la segunda mitad del año, estos piratas informáticos comenzaron a cambiar sus objetivos y una vez más centraron sus ataques en los países del Sudeste Asiático a los que habían atacado anteriormente. Por ejemplo, los ataques que tuvieron lugar en agosto estaban dirigidos a países del sudeste asiático. Los investigadores especularon que esta ola de ataques estaba relacionada principalmente con el conflicto en Filipinas.

[11 de noviembre] El ransomware Phobos utilizó el nombre de la comunidad de seguridad de la información para atacar computadoras con Windows y lanzar ataques, alegando que las víctimas necesitaban recuperar archivos de la comunidad.

Los ataques de ransomware ocurren con frecuencia. En las noticias de hoy, hay tres incidentes de seguridad de este tipo. Entre ellos, la parte más notable es que el pirata informático afirmó ser una organización de seguridad conocida. Obviamente, para desacreditarlos, tienen la intención de provocar y dividir. toda la comunidad y debilitar la fuerza de defensa general.

Vale la pena señalar que al cometer delitos, estos piratas informáticos no solo robaron el nombre de la organización, sino que también los ridiculizaron mediante mensajes de extorsión e incluso pidieron a las víctimas que compraran libros escritos por la organización de seguridad.

[11 de noviembre] CyberLink sufrió un ataque a la cadena de suministro por parte de piratas informáticos norcoreanos. Los piratas informáticos implementaron malware en los servidores de actualización de la empresa. Las víctimas aparecieron en Taiwán y en muchos países.

Con respecto a los ataques a la cadena de suministro de los fabricantes taiwaneses, el incidente de piratería del servidor de actualización de Asus hace cuatro años atrajo gran atención. Los ataques a la cadena de suministro se han convertido en una amenaza a la seguridad de la información que los fabricantes de TI taiwaneses no pueden ignorar. Recientemente, otros proveedores de software han sufrido ataques similares a los piratas informáticos. Úselo para actualizar la infraestructura y difundir programas maliciosos.

El equipo de inteligencia de amenazas de Microsoft reveló un ataque dirigido al desarrollador taiwanés de aplicaciones multimedia CyberLink desde finales de octubre. Los piratas informáticos manipularon los archivos de instalación del software de la empresa y los subieron al servidor de actualización de CyberLink. En cuanto al propósito del atacante, queda por aclarar.

【11 de marzo】MirLas variantes de la botnet de IA infectan enrutadores y dispositivos de videovigilancia en red NVR. Se sospecha que la vulnerabilidad de día cero explotada por los atacantes involucra contraseñas débiles preestablecidas.

Red de botsMirDe vez en cuando se han informado ataques de IA dirigidos a dispositivos de Internet de las cosas (IoT), pero los recientes incidentes de seguridad revelados por los investigadores son bastante llamativos porque no revelaron el modelo de dispositivo objetivo de los piratas informáticos, solo el tipo de red. dispositivo de videovigilancia (NVR), enrutador pequeño.

Vale la pena señalar que todos los dispositivos mencionados anteriormente tienen vulnerabilidades de día cero, y los investigadores revelaron que el código malicioso utilizado por los atacantes incluía los nombres de cuenta y contraseñas predeterminados de estos dispositivos. Estos signos también muestran que los atacantes pueden utilizar estos canales para hacerse con el control.