【資安週報】2023年11月20日到11月24日

Tra le notizie sulle vulnerabilità di questa settimana, ci sono due importanti correzioni di vulnerabilità che richiedono attenzione, tra cui la correzione da parte di Johnson Controls delle principali vulnerabilità nel suo sistema di refrigerazione industriale e la correzione da parte di Fortinet delle principali vulnerabilità nel suo FortiSIEM. Inoltre, ci sono anche immagini di videosorveglianza apparecchio di registrazione (nVR) e i router sono stati scoperti dagli hacker con nuove vulnerabilità zero-day e sfruttati per diffondersiMirAkamai, che sta attualmente informando la questione, ha avvertito e informato innanzitutto i produttori interessati della grave minaccia rappresentata dalla variante ai del virus JenX, e a dicembre dovrebbe essere rilasciata una nuova versione della patch.

Inoltre, all'inizio di ottobre abbiamo segnalato la vulnerabilità del buffer overflow della libreria GNU C CVE-10-2023 (Looney Tunables). Recentemente, le notizie di Information Security Daily di questa settimana non hanno ancora trovato segni che gli aggressori abbiano iniziato a sfruttare questa vulnerabilità nota ne abbiamo parlato. Lo inventeremo qui.

A livello nazionale, molti incidenti di sicurezza informatica sono diventati l’attenzione, tutti legati alle società quotate. Li abbiamo riassunti come segue:
(11) Per la prima volta si sono verificati due gravi incidenti di sicurezza informatica in un giorno: il 20 novembre l'industria del turismo "Lion" e l'industria della plastica "Sinopec" hanno pubblicato uno dopo l'altro importanti incidenti di sicurezza informatica, indicando che erano stati attaccati da hacker . Tra questi, Lion ha menzionato un avvertimento antifrode per ricordare ai passeggeri che i dati dei clienti potrebbero essere stati divulgati. Questa è la seconda volta che la società annuncia di essere stata hackerata negli ultimi due anni. La divulgazione di Sinopec è piuttosto limitata e non può fornire ogni informazione per la difesa congiunta tra imprese e organizzazioni. Informazioni concrete e utili.
(20) Dajiang Biomedical ha pubblicato un grave incidente di sicurezza delle informazioni, confermando che il sistema informativo è stato soggetto a un attacco informatico: quando il 15 è stato pubblicato l'ultimo rapporto settimanale sulla sicurezza delle informazioni, siamo stati i primi a riferire che l'industria biotecnologica "Dajiang" è stato sospettato di essere stato violato da Hunters il 22. L'organizzazione internazionale di ransomware è stata elencata come vittima. Altri media hanno dato seguito e hanno riportato questa notizia il 11. Abbiamo chiamato di nuovo Dajiang e non abbiamo ricevuto risposta fino al 24 novembre. venerdì sera) che Dajiang li ha finalmente annunciati colpiti da attacchi informatici.
(3) Si è scoperto che CyberLink è stato violato da Microsoft. L'hacker nordcoreano Lazarus ha lanciato un attacco alla catena di fornitura dell'azienda, bloccando nuovi utenti del loro prodotto Promeo: lo stesso giorno in cui è stato scoperto questo incidente, CyberLink ha emesso un annuncio sul suo prodotto. sito Web in cui si afferma che è stato trovato software dannoso nel programma di installazione del prodotto "Promeo". Hanno rimosso il problema e aggiorneranno il certificato di sicurezza del software in futuro.
Inoltre, questa settimana, nel paese sono pervenute notizie secondo cui il sistema di registrazione dell'Ospedale Generale Centrale non era disponibile, le informazioni sugli appuntamenti erano scomparse e si sospettava un attacco da Internet. Anche Judicial Yuan ha fornito una nuova spiegazione per la fuga di notizie dei dati di giudizio.

In termini di minacce e incidenti alla sicurezza informatica, le minacce e le tendenze del ransomware meritano la massima attenzione. Sono state rivelate quattro notizie, che abbiamo riassunto come segue:
●Per quanto riguarda il danno del ransomware Rhysida, la CISA statunitense,FBIo e MS-ISAC abbiamo lanciato congiuntamente un avvertimento affermando che i suoi attacchi colpiscono principalmente i settori dell’istruzione, della medicina, dell’industria manifatturiera, dell’informazione e del governo. Queste informazioni pubbliche rivelano il TTP e l’IoC utilizzati dal ransomware, consentendo alle aziende di comprenderne le strategie e le tecniche di attacco, nonché le varie misure di mitigazione.
●Per quanto riguarda le nuove tendenze del ransomware BlackCat, alcuni esperti del settore della sicurezza informatica hanno sottolineato che sono recenti新手La sezione è dentroGoogleFare pubblicità con il pretesto di offrire applicazioni note come Advanced IP Scanner, Slack, WinSCP), inducendo gli utenti di Internet a connettersi a siti di phishing e a scaricare software in cui è impiantato il programma dannoso Nitrogen.
●Il ransomware Phobos è apparso di nuovo e i ricercatori di sicurezza hanno rivelato di aver recentemente preso di mira la comunità di sicurezza VX-Underground.
●La minaccia del gruppo di hacker ransomware Play potrebbe intensificarsi Recentemente, il personale di sicurezza ha rivelato che l'organizzazione offre i suoi strumenti in affitto nel tentativo di attirare più criminali.

Per quanto riguarda i metodi di attacco emergenti e altre importanti situazioni di minaccia, riteniamo che il nuovo metodo del software di furto di risorse Lumma e l'uso di file compressi per lanciare attacchi siano i più degni di nota.
●Per evitare il rilevamento, il software per il furto di risorse Lumma utilizza le traiettorie del mouse per identificare le operazioni di persone reali prima di eseguire il software per il furto di risorse. Un altro ricercatore sulla sicurezza delle informazioni ha addirittura rivelato che gli sviluppatori di Lumma affermavano di essere in grado di ripristinarleGoogleDurante la fase di connessione dell'account, l'account della vittima viene tenuto in ostaggio.
●È necessario prestare attenzione all'uso di file compressi per diffondere contenuti dannosi. Questa settimana si sono verificati tre incidenti correlati. Prima di tutto, il personale dell'ambasciata dovrebbe prestare attenzione. L'hacker russo APT29 ha preso di mira numerosi attacchi alla rete delle ambasciate europee e ha lanciato WinRARAttacchi di vulnerabilità, quindi gli utenti di criptovaluta dovrebbero essere consapevoli che il gruppo di hacker DarkCasino sta prendendo di mira questi utenti sfruttando la vulnerabilità WinRAR e il software per il furto di denaro Agent Tesla ha recentemente sfruttato il formato ZPAQ per ridurre file di grandi dimensioni da 1 GB a soli 6 KB , possibilmente per evitare scansioni antivirus.
●Anche gli sviluppatori Python dovrebbero prestare attenzione. Un settore della sicurezza informatica ha rivelato che negli ultimi sei mesi gli hacker hanno lanciato 27 pacchetti PyPI che imitano pacchetti noti e utilizzano anche immagini PNG per nascondere le loro intenzioni di attacco.

Infine, ci sono due rivelazioni sulle tendenze dell’hacking a livello statale che valgono la penamettere in guardia, tra cui: l'organizzazione hacker cinese Mustang Panda ha preso di mira unità militari nei paesi del sud-est asiatico. Gli hacker hanno finto di fornire Solid PDF Creator.IndonesiaIl software antivirus Smadav utilizza queste applicazioni per trasferire malware e l'hacker russo Gamaredon prende di mira le organizzazioni ucraine e distribuisce il worm USB LitterDrifter;

[11 novembre] Negli ultimi sei mesi gli hacker hanno distribuito più di 20 pacchetti PyPI dannosi, utilizzando immagini PNG per nascondere le intenzioni di attacco. Gli sviluppatori sono stati vittime di attacchi negli Stati Uniti, in Cina e in Francia.

Negli ultimi tempi gli attacchi contro gli sviluppatori sono stati piuttosto frequenti e sono emersi metodi sempre più sofisticati. Ad esempio, il codice di attacco viene nascosto in un modulo specifico del pacchetto dannoso. Una volta che lo sviluppatore ha installato il pacchetto secondo le istruzioni, il codice dannoso non viene visualizzato immediatamente Esegui, ma attendi che la funzione specifica venga chiamata prima che venga caricata insieme.

Metodi simili sono recentemente emersi in altri nuovi metodi, come l'attacco dannoso della suite PyPI reso noto dalla società di sicurezza Checkmarx. Gli aggressori cercano di nascondere il codice dannoso in immagini PNG esterne, facendo apparire innocuo il pacchetto PyPI stesso.

[11 novembre] L'organizzazione hacker cinese Mustang Panda ha preso di mira il sud-est asiatico e ha lanciato diversi attacchi phishing, sospettati di essere collegati al conflitto militare scoppiato nelle Filippine in agosto.

Nella prima metà di quest'anno si sono verificati frequenti attacchi da parte dell'organizzazione hacker cinese Mustang Panda. Gli obiettivi di questi hacker erano legati alla guerra in Ucraina e la maggior parte di essi aveva preso di mira i paesi europei che avevano aiutato il paese.

Ma nella seconda metà dell’anno, questi hacker hanno iniziato a cambiare obiettivo e a concentrare nuovamente i loro attacchi sui paesi del sud-est asiatico che avevano precedentemente preso di mira. Ad esempio, gli attacchi avvenuti in agosto hanno preso di mira i paesi del sud-est asiatico. I ricercatori hanno ipotizzato che questa ondata di attacchi fosse principalmente legata al conflitto nelle Filippine.

[11 novembre] Il ransomware Phobos ha utilizzato il nome della comunità di sicurezza informatica per prendere di mira i computer Windows e lanciare attacchi, sostenendo che le vittime avevano bisogno di recuperare file dalla comunità.

Gli attacchi ransomware si verificano frequentemente. Nelle notizie di oggi, ci sono tre incidenti di sicurezza di questo tipo, la parte più degna di nota è che l'hacker ha affermato di essere una nota organizzazione di sicurezza, ovviamente per screditarli, intendono provocare e dividere l’intera comunità e indebolire la forza di difesa complessiva.

Vale la pena notare che quando hanno commesso crimini, questi hacker non solo hanno rubato il nome dell'organizzazione, ma li hanno anche ridicolizzati attraverso messaggi di estorsione e hanno persino chiesto alle vittime di acquistare libri scritti dall'organizzazione di sicurezza.

[11 novembre] CyberLink ha subito un attacco alla catena di fornitura da parte di hacker nordcoreani. Gli hacker hanno distribuito malware sui server di aggiornamento dell'azienda. Le vittime sono apparse a Taiwan e in molti paesi.

Per quanto riguarda gli attacchi alla catena di fornitura dei produttori taiwanesi, l'incidente di hacking del server di aggiornamento Asus quattro anni fa ha attirato grande attenzione. Gli attacchi alla catena di fornitura sono diventati una minaccia alla sicurezza delle informazioni che i produttori IT taiwanesi non possono ignorare. Recentemente, altri fornitori di software hanno subito attacchi simili usarlo per aggiornare l'infrastruttura e diffondere programmi dannosi.

Il team di intelligence sulle minacce di Microsoft ha rivelato un attacco contro lo sviluppatore taiwanese di applicazioni multimediali CyberLink dalla fine di ottobre gli hacker hanno manomesso i file di installazione del software dell'azienda e li hanno caricati sul server di aggiornamento di CyberLink. Per quanto riguarda lo scopo dell'aggressore, sono necessari ulteriori chiarimenti.

[11 maggio]MirLe varianti botnet AI infettano i router e i dispositivi di videosorveglianza della rete NVR. Si sospetta che la vulnerabilità zero-day sfruttata dagli aggressori coinvolga password deboli preimpostate.

BotnetMirDi tanto in tanto sono stati segnalati attacchi di intelligenza artificiale contro dispositivi Internet of Things (IoT). Tuttavia, i recenti incidenti di sicurezza divulgati dai ricercatori sono piuttosto accattivanti perché non hanno rivelato il modello del dispositivo preso di mira dagli hacker, ma solo il tipo. Dispositivo di videosorveglianza di rete (NVR), piccolo router.

Vale la pena notare che i dispositivi sopra menzionati presentano tutti vulnerabilità zero-day e i ricercatori hanno rivelato che il codice dannoso utilizzato dagli aggressori includeva i nomi degli account e le password predefiniti di questi dispositivi. Questi segnali mostrano anche che gli aggressori potrebbero utilizzare questi canali per ottenere il controllo.