【資安週報】2023年11月20日到11月24日

इस सप्ताह की भेद्यता संबंधी खबरों में, दो प्रमुख भेद्यता सुधार हैं जिन पर ध्यान देने की आवश्यकता है, जिसमें जॉनसन कंट्रोल्स द्वारा अपने औद्योगिक प्रशीतन प्रणाली में प्रमुख कमजोरियों को ठीक करना, और फोर्टिनेट द्वारा अपने फोर्टीएसआईईएम में प्रमुख कमजोरियों को ठीक करना शामिल है। इसके अलावा, वीडियो निगरानी छवि भी है रिकॉर्डिंग उपकरण (एनVR) और राउटर्स को हैकर्स द्वारा नई शून्य-दिन की कमजोरियों के साथ खोजा गया और फैलाने के लिए इसका फायदा उठाया गयामुझेएआई वैरिएंट वायरस जेनएक्स का गंभीर खतरा, अकामाई, जो वर्तमान में इस मामले का खुलासा कर रहा है, ने पहले संबंधित निर्माताओं को चेतावनी दी और सूचित किया, और पैच का एक नया संस्करण दिसंबर में जारी होने की उम्मीद है।

इसके अलावा, हमने अक्टूबर की शुरुआत में GNU C लाइब्रेरी बफर ओवरफ़्लो भेद्यता CVE-10-2023 (लूनी ट्यूनेबल्स) पर रिपोर्ट की थी, हमें ऐसे संकेत मिले हैं कि हमलावरों ने इस ज्ञात भेद्यता का फायदा उठाना शुरू कर दिया है। इस सप्ताह की सूचना सुरक्षा दैनिक खबर अभी तक नहीं आई है इसका उल्लेख किया। हम इसे यहां बनाएंगे।

घरेलू स्तर पर, कई सूचना सुरक्षा घटनाएं फोकस बन गई हैं, सभी सूचीबद्ध कंपनियों से संबंधित हैं। हमने उन्हें इस प्रकार संक्षेप में प्रस्तुत किया है:
(11) पहली बार, एक ही दिन में दो गंभीर सूचना सुरक्षा घटनाएं हुईं: 20 नवंबर को, पर्यटन उद्योग "लायन" और प्लास्टिक उद्योग "सिनोपेक" ने क्रमिक रूप से प्रमुख सूचना सुरक्षा घटनाएं जारी कीं, जो दर्शाता है कि उन पर हैकर्स द्वारा हमला किया गया था। . उनमें से, लायन ने यात्रियों को यह याद दिलाने के लिए धोखाधड़ी-विरोधी चेतावनी का उल्लेख किया कि ग्राहक डेटा लीक हो सकता है, यह दूसरी बार है जब कंपनी ने घोषणा की है कि पिछले दो वर्षों में सिनोपेक का खुलासा काफी सीमित है और कोई जानकारी नहीं दी जा सकती है उद्यमों और संगठनों के बीच संयुक्त रक्षा के लिए जानकारी। ठोस और उपयोगी जानकारी।
(20) दाजियांग बायोमेडिकल ने सूचना सुरक्षा घटना के बारे में प्रमुख जानकारी जारी की, जिससे पुष्टि हुई कि सूचना प्रणाली को साइबर हमले का सामना करना पड़ा: जब सूचना सुरक्षा साप्ताहिक का आखिरी अंक 15 तारीख को जारी किया गया था, तो हम सबसे पहले रिपोर्ट करने वाले थे कि बायोटेक उद्योग " दाजियांग'' को 22 तारीख को हंटर्स द्वारा हैक किए जाने का संदेह था। अंतर्राष्ट्रीय रैंसमवेयर संगठन को पीड़ित के रूप में सूचीबद्ध किया गया था। अन्य मीडिया ने इसका अनुसरण किया और 11 तारीख को इस खबर की सूचना दी। हमने दाजियांग को फिर से फोन किया और फिर भी कोई प्रतिक्रिया नहीं मिली। यह नवंबर तक नहीं था 24 (शुक्रवार शाम) कि दाजियांग ने आखिरकार उन्हें साइबर हमलों से पीड़ित होने की घोषणा की।
(3) साइबरलिंक को माइक्रोसॉफ्ट द्वारा हैक किए जाने का खुलासा हुआ था। उत्तर कोरियाई हैकर लाजर ने कंपनी पर आपूर्ति श्रृंखला पर हमला किया, जिससे उनके प्रोमियो उत्पादों के नए उपयोगकर्ता बंद हो गए: उसी दिन इस घटना का खुलासा हुआ, साइबरलिंक ने इस पर एक घोषणा जारी की। वेबसाइट ने बताया कि उत्पाद "प्रोमियो" के इंस्टॉलेशन प्रोग्राम में दुर्भावनापूर्ण सॉफ़्टवेयर पाया गया था। उन्होंने समस्या को हटा दिया है और भविष्य में सॉफ़्टवेयर सुरक्षा प्रमाणपत्र को अपडेट कर देंगे।
इसके अलावा, इस सप्ताह देश में ऐसी खबरें आईं कि सेंट्रल जनरल हॉस्पिटल की पंजीकरण प्रणाली अनुपलब्ध थी, नियुक्ति की जानकारी गायब हो गई थी और इस पर इंटरनेट द्वारा हमला होने का संदेह था। न्यायिक युआन ने लीक के लिए एक नया स्पष्टीकरण भी जारी किया निर्णय डेटा का.

सूचना सुरक्षा खतरों और घटनाओं के संदर्भ में, रैंसमवेयर खतरे और रुझान सबसे अधिक ध्यान देने योग्य हैं, चार समाचार सामने आए हैं, जिनका सारांश हमने इस प्रकार दिया है:
●Rysida रैंसमवेयर के नुकसान के संबंध में, यूएस CISA,FBमैंने और MS-ISAC ने संयुक्त रूप से एक चेतावनी जारी की जिसमें कहा गया कि इसके हमले मुख्य रूप से शिक्षा, चिकित्सा, विनिर्माण, सूचना उद्योग और सरकारी क्षेत्रों को लक्षित करते हैं। यह सार्वजनिक जानकारी रैंसमवेयर द्वारा उपयोग किए गए टीटीपी और आईओसी का खुलासा करती है, जिससे उद्यमों को इसकी हमले की रणनीतियों और तकनीकों के साथ-साथ विभिन्न शमन उपायों को समझने की अनुमति मिलती है।
●रैंसमवेयर ब्लैककैट के नए रुझानों के संबंध में, कुछ सूचना सुरक्षा उद्योग विशेषज्ञों ने बताया कि हाल ही में新手अनुभाग में हैगूगलएडवांस्ड जैसे प्रसिद्ध एप्लिकेशन की पेशकश की आड़ में विज्ञापन करें IP स्कैनर, स्लैक, विनएससीपी), इंटरनेट उपयोगकर्ताओं को फ़िशिंग वेबसाइटों से जुड़ने और दुर्भावनापूर्ण प्रोग्राम नाइट्रोजन से जुड़े सॉफ़्टवेयर डाउनलोड करने का लालच देता है।
●रैंसमवेयर फ़ोबोस फिर से सामने आया है, और सुरक्षा शोधकर्ताओं ने खुलासा किया है कि उन्होंने हाल ही में सुरक्षा समुदाय वीएक्स-अंडरग्राउंड को लक्षित किया है।
●रैंसमवेयर हैकर ग्रुप प्ले से खतरा बढ़ सकता है हाल ही में, सुरक्षा कर्मियों ने खुलासा किया कि संगठन अधिक ठगों को इसमें शामिल होने के लिए आकर्षित करने के प्रयास में अपने उपकरण किराए पर दे रहा है।

उभरते हमले के तरीकों और अन्य महत्वपूर्ण खतरे की स्थितियों के संदर्भ में, हमारा मानना ​​​​है कि संपत्ति-चोरी करने वाले सॉफ़्टवेयर लुम्मा की नई विधि और हमलों को लॉन्च करने के लिए संपीड़ित फ़ाइलों का उपयोग सबसे उल्लेखनीय है।
●पता लगाने से बचने के लिए, संपत्ति-चोरी करने वाला सॉफ़्टवेयर लुम्मा संपत्ति-चोरी करने वाले सॉफ़्टवेयर को निष्पादित करने से पहले वास्तविक-व्यक्ति संचालन की पहचान करने के लिए माउस प्रक्षेप पथ का उपयोग करता है। एक अन्य सूचना सुरक्षा शोधकर्ता ने यह भी खुलासा किया कि लुम्मा डेवलपर्स ने पुनर्स्थापित करने में सक्षम होने का दावा किया हैगूगलखाता कनेक्शन चरण के दौरान, पीड़ित का खाता बंधक बना लिया जाता है।
●आपको दुर्भावना फैलाने के लिए संपीड़ित फ़ाइलों के उपयोग पर ध्यान देने की आवश्यकता है। इस सप्ताह तीन संबंधित घटनाएं हुई हैं। सबसे पहले, रूसी हैकर APT29 ने कई यूरोपीय दूतावास नेटवर्क हमलों को लक्षित किया और WinR लॉन्च कियाARभेद्यता के हमले, तो क्रिप्टोकरेंसी उपयोगकर्ताओं को पता होना चाहिए कि हैकर समूह डार्ककैसिनो WinRAR भेद्यता का शोषण करके इन उपयोगकर्ताओं को लक्षित कर रहा है, और पैसे चोरी करने वाले सॉफ़्टवेयर एजेंट टेस्ला ने बड़ी 1 जीबी फ़ाइलों को केवल 6 केबी फ़ाइल तक कम करने के लिए ZPAQ प्रारूप का फायदा उठाया है , संभवतः एंटी-वायरस स्कैन से बचने के लिए।
●पायथन डेवलपर्स को भी ध्यान देना चाहिए। एक सूचना सुरक्षा उद्योग ने खुलासा किया है कि पिछले छह महीनों में, हैकर्स ने 27 PyPI पैकेज लॉन्च किए हैं जो प्रसिद्ध पैकेजों की नकल करते हैं, और हमले के इरादों को छिपाने के लिए पीएनजी छवियों का भी उपयोग करते हैं।

अंत में, राज्य-स्तरीय हैकिंग प्रवृत्तियों के दो खुलासे हैं जो सार्थक हैंचेतावनी, जिसमें शामिल हैं: चीनी हैकर संगठन मस्टैंग पांडा ने दक्षिण पूर्व एशियाई देशों में सैन्य इकाइयों को लक्षित किया, हैकर्स ने सॉलिड पीडीएफ क्रिएटर प्रदान करने का नाटक किया।इंडोनेशियाएंटी-वायरस सॉफ़्टवेयर Smadav मैलवेयर को साइडलोड करने के लिए इन एप्लिकेशन का उपयोग करता है; और रूसी हैकर Gamaredon यूक्रेनी संगठनों को लक्षित करता है और USB वर्म लिटरड्रिफ़्टर वितरित करता है।

[नवंबर 11] हैकर्स ने पिछले छह महीनों में 20 से अधिक दुर्भावनापूर्ण PyPI पैकेज वितरित किए हैं, हमले के इरादों को छिपाने के लिए पीएनजी छवियों का उपयोग करते हुए संयुक्त राज्य अमेरिका, चीन और फ्रांस में डेवलपर्स को इसका शिकार बनाया गया है।

डेवलपर्स के खिलाफ हमले हाल ही में काफी बार हुए हैं, और तेजी से परिष्कृत तरीके सामने आए हैं, उदाहरण के लिए, हमले का कोड दुर्भावनापूर्ण पैकेज के एक विशिष्ट मॉड्यूल में दफन हो जाता है, एक बार जब डेवलपर निर्देशों के अनुसार पैकेज स्थापित करता है, तो दुर्भावनापूर्ण कोड तुरंत नहीं होगा निष्पादन, लेकिन एक साथ लोड होने से पहले विशिष्ट फ़ंक्शन को कॉल किए जाने तक प्रतीक्षा करें।

इसी तरह के तरीके हाल ही में अन्य नए तरीकों में सामने आए हैं, जैसे कि सुरक्षा कंपनी चेकमार्क्स द्वारा खुलासा किया गया दुर्भावनापूर्ण PyPI सुइट हमला। हमलावर बाहरी पीएनजी छवियों में दुर्भावनापूर्ण कोड को छिपाने की कोशिश करते हैं, जिससे पीईपीआई पैकेज स्वयं हानिरहित दिखाई देता है।

[11 नवंबर] चीनी हैकर संगठन मस्टैंग पांडा ने दक्षिण पूर्व एशिया को निशाना बनाया और कई फ़िशिंग हमले किए, इसका कारण अगस्त में फिलीपींस में सैन्य संघर्ष से संबंधित होने का संदेह था।

इस वर्ष की पहली छमाही में, चीनी हैकर संगठन मस्टैंग पांडा द्वारा लगातार हमले किए गए, इन हैकरों के लक्ष्य यूक्रेन में युद्ध से संबंधित थे, और उनमें से अधिकांश ने यूरोपीय देशों को लक्षित किया था जिन्होंने देश की सहायता की थी।

लेकिन साल की दूसरी छमाही में, इन हैकरों ने अपने लक्ष्य बदलना शुरू कर दिया और एक बार फिर अपने हमलों को दक्षिण पूर्व एशियाई देशों पर केंद्रित कर दिया, जिन्हें उन्होंने पहले निशाना बनाया था। उदाहरण के लिए, अगस्त में हुए हमलों में दक्षिण पूर्व एशियाई देशों को निशाना बनाया गया था। शोधकर्ताओं ने अनुमान लगाया कि हमलों की यह लहर मुख्य रूप से फिलीपींस में संघर्ष से संबंधित थी।

[11 नवंबर] रैंसमवेयर फ़ोबोस ने विंडोज़ कंप्यूटरों को निशाना बनाने और हमले शुरू करने के लिए सूचना सुरक्षा समुदाय के नाम का इस्तेमाल किया, यह दावा करते हुए कि पीड़ितों को समुदाय से फ़ाइलें पुनर्प्राप्त करने की आवश्यकता है।

रैनसमवेयर हमले अक्सर होते रहते हैं. आज की ख़बरों में तीन ऐसी सुरक्षा घटनाएं हैं, जिनमें सबसे उल्लेखनीय बात यह है कि हैकर ने एक प्रसिद्ध सुरक्षा संगठन होने का दावा किया है. जाहिर तौर पर वे उन्हें बदनाम करने के लिए भड़काने और फूट डालने का इरादा रखते हैं संपूर्ण समुदाय और समग्र रक्षा बल को कमजोर करता है।

गौरतलब है कि अपराध करते समय ये हैकर्स न केवल संगठन का नाम चुराते थे, बल्कि जबरन वसूली संदेशों के माध्यम से उनका मजाक भी उड़ाते थे, और यहां तक ​​कि पीड़ितों से सुरक्षा संगठन द्वारा लिखी गई किताबें खरीदने के लिए भी कहते थे।

[11 नवंबर] साइबरलिंक को उत्तर कोरियाई हैकरों द्वारा आपूर्ति श्रृंखला हमले का सामना करना पड़ा। हैकर्स ने कंपनी के अपडेट सर्वर पर मैलवेयर तैनात किया जो ताइवान और कई देशों में दिखाई दिया।

ताइवानी निर्माताओं के आपूर्ति श्रृंखला हमलों के संबंध में, चार साल पहले आसुस अपडेट सर्वर हैकिंग की घटना ने बहुत ध्यान आकर्षित किया था। आपूर्ति श्रृंखला हमले एक सूचना सुरक्षा खतरा बन गए हैं जिसे ताइवानी आईटी निर्माता नजरअंदाज नहीं कर सकते हैं। हाल ही में, अन्य सॉफ्टवेयर आपूर्तिकर्ताओं को भी इसी तरह के हमलों का सामना करना पड़ा है इसका उपयोग बुनियादी ढांचे को अद्यतन करने और दुर्भावनापूर्ण प्रोग्राम फैलाने के लिए करें।

माइक्रोसॉफ्ट की ख़तरनाक ख़ुफ़िया टीम ने अक्टूबर के अंत से ताइवानी मल्टीमीडिया एप्लिकेशन डेवलपर साइबरलिंक को निशाना बनाकर किए गए हमले का खुलासा किया है। हैकर्स ने कंपनी की सॉफ़्टवेयर इंस्टॉलेशन फ़ाइलों के साथ छेड़छाड़ की और उन्हें साइबरलिंक के अपडेट सर्वर पर अपलोड किया, इसे और स्पष्ट किया जाना बाकी है।

】 11 मार्च】मुझेएआई बॉटनेट वेरिएंट राउटर और एनवीआर नेटवर्क वीडियो निगरानी उपकरणों को संक्रमित करते हैं। हमलावरों द्वारा उपयोग की जाने वाली शून्य-दिन की भेद्यता में पूर्व निर्धारित कमजोर पासवर्ड शामिल होने का संदेह है।

बॉटनेटमुझेइंटरनेट ऑफ थिंग्स (IoT) उपकरणों को लक्षित करने वाले AI द्वारा हमले समय-समय पर रिपोर्ट किए गए हैं, लेकिन शोधकर्ताओं द्वारा बताई गई हालिया सुरक्षा घटनाएं काफी आकर्षक हैं क्योंकि उन्होंने हैकर्स द्वारा लक्षित डिवाइस मॉडल का खुलासा नहीं किया है, केवल नेटवर्क के प्रकार का खुलासा किया है वीडियो निगरानी उपकरण (एनवीआर), छोटा राउटर।

यह ध्यान देने योग्य है कि उपर्युक्त सभी उपकरणों में शून्य-दिन की कमजोरियां हैं, और शोधकर्ताओं ने खुलासा किया कि हमलावरों द्वारा उपयोग किए गए दुर्भावनापूर्ण कोड में इन उपकरणों के डिफ़ॉल्ट खाता नाम और पासवर्ड शामिल थे। ये संकेत यह भी दिखाते हैं कि हमलावर नियंत्रण हासिल करने के लिए इन चैनलों का उपयोग कर सकते हैं।