Cette semaine, des informations ont fait état de piratages de plusieurs sociétés cotées nationales. Tout d'abord, le 20, Lion Travel et Sinopec ont annoncé avoir été attaquées par des pirates informatiques. Deux incidents en une journée ont été particulièrement frappants. Le 23 , leur produit "Promeo" était lié à un logiciel malveillant trouvé dans le programme d'installation de l'entreprise et le pirate informatique nord-coréen Lazarus a lancé une attaque contre la chaîne d'approvisionnement.La semaine dernière, nous avons signalé que Dajiang Biomedical était répertorié comme victime d'une organisation de ransomware. La société a publié le 24 une annonce majeure confirmant qu'elle avait rencontré un incident de sécurité réseau.
Parmi les nouvelles sur les vulnérabilités de cette semaine, deux correctifs de vulnérabilités majeurs nécessitent une attention particulière, notamment le correctif de Johnson Controls pour les vulnérabilités majeures de son système de réfrigération industrielle, le correctif de Fortinet pour les vulnérabilités majeures de son FortiSIEM et les équipements de vidéosurveillance et d'enregistrement d'images (NVR) et les routeurs ont été découverts par des pirates informatiques présentant de nouvelles vulnérabilités zero-day et exploités pour se propagermoiLa menace sérieuse du virus variante ai JenX, Akamai, qui divulgue actuellement l'affaire, a d'abord averti et informé les fabricants concernés, et une nouvelle version du correctif devrait être publiée en décembre.
De plus, nous avons signalé début octobre la vulnérabilité de débordement de tampon de la bibliothèque GNU C CVE-10-2023 (Looney Tunables). Récemment, nous avons trouvé des signes indiquant que des attaquants ont commencé à exploiter cette vulnérabilité connue. L'actualité Information Security Daily de cette semaine n'a pas encore été publiée. Je l'ai mentionné. Nous allons le rattraper ici.
Au niveau national, de nombreux incidents de sécurité de l'information sont devenus au centre de l'attention, tous liés aux sociétés cotées. Nous les avons résumés comme suit :
(11) Pour la première fois, deux incidents graves de sécurité de l'information se sont produits en une journée : le 20 novembre, l'industrie du tourisme "Lion" et l'industrie du plastique "Sinopec" ont successivement publié des incidents majeurs de sécurité de l'information, indiquant qu'elles avaient été attaquées par des pirates informatiques. . .Parmi eux, Lion a mentionné un avertissement anti-fraude pour rappeler aux passagers que les données des clients pourraient avoir été divulguées. C'est la deuxième fois que l'entreprise annonce qu'elle a été piratée au cours des deux dernières années. La divulgation de Sinopec est assez limitée, et elle ne peut assurer une défense commune entre les entreprises et les organisations. Des informations concrètes et utiles.
(20) Dajiang Biomedical a publié des informations majeures sur l'incident de sécurité de l'information, confirmant que le système d'information a subi une cyberattaque : lorsque le dernier numéro de l'Information Security Weekly a été publié le 15, nous avons été les premiers à signaler que l'industrie biotechnologique " Dajiang" a été soupçonné d'avoir été piraté par Hunters le 22. L'organisation internationale de ransomware a été répertoriée comme victime. D'autres médias ont suivi et rapporté cette nouvelle le 11. Nous avons également rappelé Dajiang et n'avons toujours reçu aucune réponse. Ce n'est qu'en novembre C'est le 24 (vendredi soir) que Dajiang les a finalement annoncés. Souffrant de cyberattaques.
(XNUMX) Il a été révélé que CyberLink avait été piraté par Microsoft. Le pirate informatique nord-coréen Lazarus a lancé une attaque contre la chaîne d'approvisionnement de l'entreprise, bloquant ainsi les nouveaux utilisateurs de ses produits Promeo : le jour même où cet incident a été révélé, CyberLink a publié une annonce sur son site Web indiquant qu'un logiciel malveillant a été trouvé dans le programme d'installation du produit "Promeo". Ils ont supprimé le problème et mettront à jour le certificat de sécurité du logiciel à l'avenir.
En outre, cette semaine, des rapports ont été rapportés dans le pays selon lesquels le système d'enregistrement de l'hôpital général central n'était pas disponible, les informations de rendez-vous avaient disparu et il était soupçonné d'avoir été attaqué par Internet. Le Yuan judiciaire a également publié une nouvelle explication pour la fuite. de données de jugement.
En termes de menaces et d'incidents liés à la sécurité de l'information, ce sont les menaces et les tendances liées aux ransomwares qui méritent le plus d'attention. Quatre nouvelles ont été révélées, que nous avons résumées comme suit :
●Concernant les méfaits du ransomware Rhysida, la CISA américaine,FBMoi-même et MS-ISAC avons émis conjointement un avertissement indiquant que ses attaques ciblent principalement les secteurs de l'éducation, de la médecine, de l'industrie manufacturière, de l'industrie de l'information et du gouvernement.Ces informations publiques révèlent le TTP et l'IoC utilisés par le ransomware, permettant aux entreprises de comprendre ses stratégies et techniques d'attaque, ainsi que diverses mesures d'atténuation.
●En ce qui concerne les nouvelles tendances du ransomware BlackCat, certains experts du secteur de la sécurité de l'information ont souligné que la récente新手La section est enGoogleFaire de la publicité sous couvert de proposer des applications bien connues telles que Advanced IP Scanner, Slack, WinSCP), incitant les internautes à se connecter à des sites Web de phishing et à télécharger des logiciels implantés avec le programme malveillant Nitrogen.
●Le ransomware Phobos est réapparu et des chercheurs en sécurité ont révélé qu'ils avaient récemment ciblé la communauté de sécurité VX-Underground.
●La menace du groupe de pirates ransomware Play pourrait s'intensifier. Récemment, le personnel de sécurité a révélé que l'organisation propose ses outils à la location dans le but d'attirer davantage de voyous.
En termes de méthodes d'attaque émergentes et d'autres situations de menace importantes, nous pensons que la nouvelle méthode du logiciel de vol d'actifs Lumma et l'utilisation de fichiers compressés pour lancer des attaques sont les plus remarquables.
●Afin d'éviter toute détection, le logiciel de vol d'actifs Lumma utilise les trajectoires de la souris pour identifier les opérations de personnes réelles avant d'exécuter le logiciel de vol d'actifs. Un autre chercheur en sécurité de l'information a même révélé que les développeurs de Lumma prétendaient être capables de restaurer.GoogleLors de la phase de connexion du compte, le compte de la victime est pris en otage.
●Vous devez faire attention à l'utilisation de fichiers compressés pour propager des actes malveillants. Il y a eu trois incidents liés cette semaine. Tout d'abord, le personnel de l'ambassade doit y prêter attention. Le pirate informatique russe APT29 a ciblé de nombreuses attaques sur le réseau des ambassades européennes et a lancé WinR.ARAttaques de vulnérabilité, les utilisateurs de crypto-monnaie doivent être conscients que le groupe de pirates DarkCasino cible ces utilisateurs en exploitant la vulnérabilité WinRAR, et que le logiciel de vol d'argent Agent Tesla a récemment exploité le format ZPAQ pour réduire les gros fichiers de 1 Go à seulement 6 Ko. , éventuellement pour éviter les analyses antivirus.
●Les développeurs Python doivent également y prêter attention. Une industrie de la sécurité de l'information a révélé qu'au cours des six derniers mois, des pirates ont lancé 27 packages PyPI imitant des packages bien connus et qu'ils utilisent également des images PNG pour cacher leurs intentions d'attaque.
Enfin, il existe deux révélations sur les tendances du piratage informatique au niveau des États qui valent la peine d’être étudiées.alerte, notamment : L'organisation de hackers chinoise Mustang Panda a ciblé des unités militaires dans les pays d'Asie du Sud-Est. Les pirates ont prétendu fournir Solid PDF Creator,IndonésieLe logiciel antivirus Smadav utilise ces applications pour charger des logiciels malveillants, tandis que le hacker russe Gamaredon cible les organisations ukrainiennes et distribue le ver USB LitterDrifter.
[11 novembre] Des pirates ont distribué plus de 20 packages PyPI malveillants au cours des six derniers mois, utilisant des images PNG pour masquer leurs intentions d'attaque. Les développeurs ont été victimes aux États-Unis, en Chine et en France.
Les attaques contre les développeurs ont été assez fréquentes ces derniers temps et des méthodes de plus en plus sophistiquées sont apparues. Par exemple, le code d'attaque est enfoui dans un module spécifique du package malveillant. Une fois que le développeur a installé le package conformément aux instructions, le code malveillant ne sera pas immédiatement Exécution, mais attendez que la fonction spécifique soit appelée avant de la charger ensemble.
Des méthodes similaires sont récemment apparues dans d'autres nouvelles méthodes, telles que l'attaque malveillante de la suite PyPI révélée par la société de sécurité Checkmarx.Les attaquants tentent d’enterrer le code malveillant dans des images PNG externes, faisant ainsi apparaître le package PyPI lui-même comme inoffensif.
[11 novembre] L'organisation de hackers chinoise Mustang Panda a ciblé l'Asie du Sud-Est et lancé plusieurs attaques de phishing, probablement liées au conflit militaire maritime aux Philippines en août.
Au cours du premier semestre de cette année, les attaques de l'organisation de hackers chinoise Mustang Panda ont été fréquentes. Les cibles de ces hackers étaient liées à la guerre en Ukraine et la plupart d'entre elles visaient les pays européens qui avaient aidé le pays.
Mais au cours du second semestre, ces hackers ont commencé à changer de cible et à concentrer à nouveau leurs attaques sur les pays d’Asie du Sud-Est qu’ils ciblaient auparavant.Par exemple, les attaques survenues en août visaient les pays d'Asie du Sud-Est. Les chercheurs ont émis l'hypothèse que cette vague d'attaques était principalement liée au conflit aux Philippines.
[11 novembre] Le ransomware Phobos a utilisé le nom de la communauté de sécurité de l'information pour cibler les ordinateurs Windows et lancer des attaques, affirmant que les victimes devaient récupérer des fichiers auprès de la communauté.
Les attaques de ransomware se produisent fréquemment. Dans l'actualité d'aujourd'hui, il y a trois incidents de sécurité de ce type. Parmi eux, le plus remarquable est que le pirate a prétendu être une organisation de sécurité bien connue. Évidemment, pour les discréditer, ils ont l'intention de provoquer et de diviser l'ensemble de la communauté et affaiblir la force de défense globale.
Il convient de noter qu'en commettant des crimes, ces pirates ont non seulement volé le nom de l'organisation, mais l'ont également ridiculisée à travers des messages d'extorsion et ont même demandé aux victimes d'acheter des livres écrits par l'organisation de sécurité.
[11 novembre] CyberLink a subi une attaque sur la chaîne d'approvisionnement par des pirates nord-coréens. Les pirates ont déployé des logiciels malveillants sur les serveurs de mise à jour de l'entreprise. Les victimes sont apparues à Taiwan et dans de nombreux pays.
Concernant les attaques de la chaîne d'approvisionnement des fabricants taïwanais, l'incident de piratage du serveur de mise à jour Asus il y a quatre ans a attiré une grande attention. Les attaques de la chaîne d'approvisionnement sont devenues une menace pour la sécurité de l'information que les fabricants informatiques taïwanais ne peuvent ignorer. Récemment, d'autres fournisseurs de logiciels ont subi des attaques similaires. utilisez-le pour mettre à jour l’infrastructure et propager des programmes malveillants.
L'équipe de renseignement sur les menaces de Microsoft a révélé une attaque visant le développeur d'applications multimédia taïwanais CyberLink depuis fin octobre. Des pirates ont falsifié les fichiers d'installation des logiciels de l'entreprise et les ont téléchargés sur le serveur de mise à jour de CyberLink. Quant au but de l'attaquant, il reste à clarifier.
【11 novembre】moiLes variantes du botnet AI infectent les routeurs et les appareils de vidéosurveillance sur réseau NVR. La vulnérabilité Zero Day exploitée par les attaquants est soupçonnée d'impliquer des mots de passe faibles prédéfinis.
Réseau de robotsmoiDes attaques par l'IA ciblant des appareils Internet des objets (IoT) ont été signalées de temps à autre. Cependant, les récents incidents de sécurité révélés par les chercheurs sont assez frappants car ils n'ont pas révélé le modèle d'appareil ciblé par les pirates, mais seulement le type. Appareil de vidéosurveillance en réseau (NVR), petit routeur.
Il convient de noter que les appareils mentionnés ci-dessus présentent tous des vulnérabilités Zero Day, et les chercheurs ont révélé que le code malveillant utilisé par les attaquants incluait les noms de compte et les mots de passe par défaut de ces appareils.Ces signes montrent également que les attaquants peuvent utiliser ces canaux pour prendre le contrôle.
