【資安週報】2023年11月20日到11月24日

Tämän viikon haavoittuvuusuutisten joukossa on kaksi suurta haavoittuvuuskorjausta, jotka vaativat huomiota, mukaan lukien Johnson Controlsin teollisen jäähdytysjärjestelmän tärkeimpien haavoittuvuuksien korjaukset ja Fortinetin FortiSIEM-haavoittuvuuksien korjaus. Lisäksi mukana on myös videovalvontakuva tallennuslaitteet (NVR) ja reitittimet löysivät hakkerit, joilla oli uusia nollapäivän haavoittuvuuksia, ja niitä käytettiin leviämiseenmirAi-varianttiviruksen JenX vakava uhka, Akamai, joka paljastaa asian parhaillaan, varoitti ja ilmoitti asiasta ensin asianomaisille valmistajille, ja korjaustiedoston uuden version odotetaan julkaistavan joulukuussa.

Lisäksi raportoimme GNU C -kirjaston puskurin ylivuotohaavoittuvuudesta CVE-10-2023 (Looney Tunables) Löysimme äskettäin merkkejä siitä, että hyökkääjät ovat alkaneet hyödyntää tätä tunnettua haavoittuvuutta mainitsivat sen täällä.

Kotimaassa monet tietoturvaloukkaukset ovat nousseet pörssiyhtiöihin liittyen.
(11) Ensimmäistä kertaa tapahtui kaksi vakavaa tietoturvahäiriötä samana päivänä: 20. marraskuuta matkailuteollisuus "Lion" ja muoviteollisuus "Sinopec" julkaisivat peräkkäin suuria tietoturvaloukkauksia, jotka osoittivat, että hakkerit olivat hyökänneet niihin. . Heidän joukossaan Lion mainitsi petostentorjuntavaroituksen muistuttaakseen matkustajia siitä, että asiakastietoja on saatettu vuotaa. Tämä on toinen kerta, kun yritys on ilmoittanut, että se on hakkeroitu viimeisen kahden vuoden aikana, eikä se voi tarjota mitään tietoa yritysten ja organisaatioiden yhteiseen puolustamiseen. Konkreettista ja hyödyllistä tietoa.
(20) Dajiang Biomedical julkaisi tärkeitä tietoja tietoturvaloukkauksesta ja vahvisti, että tietojärjestelmä joutui kyberhyökkäykseen: Kun Information Security Weekly -lehden viimeinen numero julkaistiin 15. päivänä, raportoimme ensimmäisenä, että biotekniikkateollisuus " Hunters epäiltiin Dajiangin hakkeroineen 22. päivänä. Kansainvälinen kiristysohjelmaorganisaatio listattiin uhriksi. Muut tiedotusvälineet seurasivat ja raportoivat tämän uutisen 11. päivänä. Soitimme myös Dajiangille uudelleen, emmekä silti saaneet vastausta. Vasta marraskuussa 24 (perjantai-iltana), että Dajiang vihdoin ilmoitti kärsivänsä kyberhyökkäyksistä.
(3) Microsoftin hakkeroineen CyberLinkin kävi ilmi, että Lazarus aloitti toimitusketjuhyökkäyksen yritystä vastaan ​​sulkemalla heidän Promeo-tuotteidensa uudet käyttäjät: Samana päivänä, kun tämä tapaus paljastettiin, CyberLink julkaisi ilmoituksen siitä. Web-sivusto, jossa todetaan, että tuotteen "Promeo" asennusohjelmasta löytyi haittaohjelmisto He ovat poistaneet ongelman ja päivittävät ohjelmiston suojaussertifikaatin tulevaisuudessa.
Lisäksi maassa oli tällä viikolla ilmoituksia, että keskussairaalan rekisteröintijärjestelmä ei ollut käytettävissä, ajanvaraustiedot katosivat ja sen epäiltiin joutuneen verkoston hyökkäyksen kohteeksi tuomiotiedoista.

Tietoturvauhkista ja -tapauksista eniten huomiota ansaitsevat ransomware-uhat ja -trendit Paljastui neljä uutista, joista olemme koonneet seuraavasti:
● Mitä tulee Rhysida ransomwaren aiheuttamiin haittoihin, Yhdysvaltain CISAFBMinä ja MS-ISAC annoimme yhdessä varoituksen, jonka mukaan sen hyökkäykset kohdistuvat pääasiassa koulutukseen, lääketieteeseen, teollisuuteen, tietoteollisuuteen ja julkishallinnon sektoreihin. Nämä julkiset tiedot paljastavat ransomwaren käyttämän TTP:n ja IoC:n, mikä antaa yrityksille mahdollisuuden ymmärtää sen hyökkäysstrategioita ja -tekniikoita sekä erilaisia ​​lieventämistoimenpiteitä.
● Mitä tulee kiristyshaittaohjelman BlackCatin uusiin trendeihin, jotkut tietoturva-alan asiantuntijat huomauttivat, että viime aikoinaNoviisiOsasto on sisälläGoogleMainosta varjolla tarjoamalla tunnettuja sovelluksia, kuten Advanced IP Scanner, Slack, WinSCP), houkuttelevat Internetin käyttäjät muodostamaan yhteyden tietojenkalastelusivustoille ja lataamaan ohjelmistoja, joihin on istutettu Nitrogen-haittaohjelma.
●Lunnasohjelma Phobos on ilmestynyt jälleen, ja tietoturvatutkijat ovat paljastaneet äskettäin kohdistaneensa VX-Undergroundin tietoturvayhteisön.
● Ransomware-hakkeriryhmän Playn aiheuttama uhka voi voimistua. Äskettäin turvallisuushenkilöstö paljasti, että organisaatio tarjoaa vuokralle työkalujaan houkutellakseen lisää roistoja mukaan.

Uusien hyökkäysmenetelmien ja muiden tärkeiden uhkatilanteiden osalta uskomme, että uusi omaisuusvarastoohjelmisto Lumma ja pakattujen tiedostojen käyttö hyökkäysten käynnistämiseen ovat huomionarvoisimpia.
●Omaisuuden varastamisen estämiseksi Lumma käyttää hiiren liikeratoja tunnistaakseen oikeiden henkilöiden toiminnot ennen omaisuudenvarasohjelmiston suorittamista. Toinen tietoturvatutkija paljasti jopa, että Lumman kehittäjät väittivät pystyvänsä palauttamaanGoogleTilin yhdistämisvaiheessa uhrin tiliä pidetään panttivankina.
● Sinun on kiinnitettävä huomiota pakattujen tiedostojen käyttöön tällä viikolla. Ensinnäkin, Venäjän hakkeri APT29 käynnisti WinR:nARHaavoittuvuushyökkäykset, kryptovaluuttojen käyttäjien tulee olla tietoisia siitä, että hakkeriryhmä DarkCasino kohdistaa nämä käyttäjät hyödyntämällä WinRAR-haavoittuvuutta, ja rahaa varastava ohjelmisto Agent Tesla on äskettäin hyödyntänyt ZPAQ-muotoa pienentääkseen suuret 1 Gt tiedostot vain 6 kilotavuun , mahdollisesti virustorjuntatarkistukset välttämiseksi.
●Python-kehittäjien tulisi myös kiinnittää huomiota Tietoturvateollisuus paljasti, että viimeisten kuuden kuukauden aikana hakkerit ovat julkaisseet 27 PyPI-pakettia, jotka jäljittelevät tunnettuja paketteja ja käyttävät myös PNG-kuvia hyökkäysaikeiden piilottamiseen.

Lopuksi on kaksi paljastusta osavaltiotason hakkerointitrendistä, jotka ovat arvokkaitahälytys, mukaan lukien: kiinalainen hakkeriorganisaatio Mustang Panda kohdistui sotilasyksiköihin Kaakkois-Aasian maissa. Hakkerit teeskentelivät tarjoavansa Solid PDF Creator -sovelluksen.IndonesiaVirustorjuntaohjelmisto Smadav käyttää näitä sovelluksia haittaohjelmien sivulataamiseen, ja venäläinen hakkeri Gamaredon kohdistuu ukrainalaisiin organisaatioihin ja jakelee USB-matoa LitterDrifter.

[11. marraskuuta] Hakkerit ovat jakaneet yli 20 haitallista PyPI-pakettia viimeisen kuuden kuukauden aikana käyttämällä PNG-kuvia hyökkäysaikeiden piilottamiseen. Kehittäjät ovat joutuneet uhriksi Yhdysvalloissa, Kiinassa ja Ranskassa.

Hyökkäykset kehittäjiä vastaan ​​ovat olleet melko yleisiä viime aikoina, ja yhä kehittyneempiä menetelmiä on tullut esiin. Esimerkiksi hyökkäyskoodi haudataan haitallisen paketin tiettyyn moduuliin, kun kehittäjä asentaa paketin ohjeiden mukaisesti Suoritus, mutta odota kunnes tietty funktio kutsutaan ennen kuin se ladataan yhteen.

Vastaavia menetelmiä on viime aikoina noussut esiin muissakin uusissa menetelmissä, kuten tietoturvayhtiö Checkmarxin paljastamassa haitallisessa PyPI-sviittihyökkäyksessä. Hyökkääjät yrittävät haudata haitallisen koodin ulkoisiin PNG-kuviin, jolloin itse PyPI-paketti näyttää vaarattomalta.

[11. marraskuuta] Kiinalainen hakkerijärjestö Mustang Panda iski Kaakkois-Aasiaan ja käynnisti useita tietojenkalasteluhyökkäyksiä. Syyn epäiltiin liittyvän Filippiinien sotilaalliseen konfliktiin elokuussa.

Tämän vuoden ensimmäisellä puoliskolla kiinalainen hakkeriorganisaatio Mustang Panda hyökkäsi usein. Näiden hakkerien kohteet liittyivät Ukrainan sotaan, ja suurin osa niistä kohdistui maata auttaneisiin Euroopan maihin.

Mutta vuoden toisella puoliskolla nämä hakkerit alkoivat muuttaa kohteitaan ja keskittyivät jälleen kerran hyökkäyksensä Kaakkois-Aasian maihin, joihin he olivat aiemmin kohdistaneet. Esimerkiksi elokuussa tapahtuneet hyökkäykset kohdistuivat Kaakkois-Aasian maihin. Tutkijat arvelivat, että tämä hyökkäysaalto liittyi pääasiassa Filippiinien konfliktiin.

[11. marraskuuta] Kiristysohjelma Phobos käytti tietoturvayhteisön nimeä kohdistaakseen Windows-tietokoneisiin ja käynnistääkseen hyökkäyksiä väittäen, että uhrien oli palautettava tiedostot yhteisöstä.

Ransomware-hyökkäyksiä tapahtuu usein. Tämän päivän uutisissa on kolme tällaista tietoturvakohtausta, joista merkittävin on se, että hakkeri väitti olevansa tunnettu turvallisuusorganisaatio koko yhteisöä ja heikentää yleistä puolustusvoimaa.

On syytä huomata, että tehdessään rikoksia nämä hakkerit eivät vain varastaneet organisaation nimeä, vaan myös pilkkasivat heitä kiristysviesteillä ja jopa pyysivät uhreja ostamaan turvallisuusorganisaation kirjoittamia kirjoja.

[11. marraskuuta] CyberLink joutui Pohjois-Korean hakkereiden hyökkäykseen. Hakkerit käyttivät haittaohjelmia yrityksen päivityspalvelimille.

Mitä tulee taiwanilaisten valmistajien toimitusketjuhyökkäyksiin, neljä vuotta sitten tapahtunut Asus-päivityspalvelinhakkerointi herätti suurta huomiota käyttää sitä infrastruktuurin päivittämiseen ja haittaohjelmien levittämiseen.

Microsoftin uhkien tiedustelutiimi paljasti hyökkäyksen, joka kohdistui taiwanilaiseen multimediasovelluskehittäjään CyberLinkiin lokakuun lopusta lähtien.

11 24. heinäkuuta】mirTekoälyn botnet-muunnelmat saastuttaa reitittimet ja NVR-verkon videovalvontalaitteet. Hyökkääjien käyttämän nollapäivän haavoittuvuuden epäillään sisältävän ennalta asetettuja heikkoja salasanoja.

botnetmirTekoälyhyökkäyksistä esineiden Internet (IoT) -laitteisiin on raportoitu ajoittain, mutta viimeaikaiset tutkijoiden paljastamat tietoturvahäiriöt ovat silmiinpistäviä, koska ne eivät paljastaneet hakkereiden kohteena olevaa laitemallia, vain verkon tyyppiä videovalvontalaite (NVR), pieni reititin.

On syytä huomata, että kaikissa edellä mainituissa laitteissa on nollapäivän haavoittuvuuksia, ja tutkijat paljastivat, että hyökkääjien käyttämä haittakoodi sisälsi näiden laitteiden oletustilinimet ja -salasanat. Nämä merkit osoittavat myös, että hyökkääjät voivat käyttää näitä kanavia hallintaansa.