【資安週報】2023年11月20日到11月24日

Onder het kwetsbaarheidsnieuws van deze week bevinden zich twee grote oplossingen voor kwetsbaarheden die aandacht behoeven, waaronder het patchen door Johnson Controls van grote kwetsbaarheden in zijn industriële koelsysteem, en het patchen door Fortinet van grote kwetsbaarheden in zijn FortiSIEM. Daarnaast zijn er ook videobewakingsbeelden opnameapparatuur (NVR) en routers werden ontdekt door hackers met nieuwe zero-day-kwetsbaarheden en uitgebuit om zich te verspreidenmeVanwege de ernstige dreiging van het ai-variantvirus JenX heeft Akamai, dat de zaak momenteel openbaar maakt, eerst de relevante fabrikanten gewaarschuwd en op de hoogte gebracht, en naar verwachting zal in december een nieuwe versie van de patch worden uitgebracht.

Daarnaast hebben we begin oktober gerapporteerd over de GNU C-bibliotheekbufferoverloopkwetsbaarheid CVE-10-2023 (Looney Tunables). Onlangs hebben we tekenen gevonden dat aanvallers misbruik zijn gaan maken van deze bekende kwetsbaarheid. Het Information Security Daily-nieuws van deze week heeft dat nog niet gedaan We hebben het hier wel goedgemaakt.

In eigen land zijn veel informatiebeveiligingsincidenten de focus geworden, allemaal gerelateerd aan beursgenoteerde bedrijven. We hebben ze als volgt samengevat:
(11) Voor het eerst vonden er op één dag twee ernstige informatiebeveiligingsincidenten plaats: op 20 november publiceerden de toeristische sector "Lion" en de kunststofindustrie "Sinopec" achtereenvolgens grote informatiebeveiligingsincidenten, wat erop duidde dat ze waren aangevallen door hackers . Onder hen noemde Lion een antifraudewaarschuwing om passagiers eraan te herinneren dat klantgegevens mogelijk zijn gelekt. Dit is de tweede keer dat het bedrijf in de afgelopen twee jaar heeft aangekondigd dat het is gehackt. De openbaarmaking van Sinopec is vrij beperkt en kan niet worden verstrekt alle informatie voor gezamenlijke verdediging tussen bedrijven en organisaties. Concrete en nuttige informatie.
(20) Dajiang Biomedical heeft een groot informatiebeveiligingsincident vrijgegeven, waarin werd bevestigd dat het informatiesysteem het slachtoffer was van een cyberaanval: toen het laatste Information Security Weekly Report op de 15e werd uitgebracht, waren wij de eersten die meldden dat de biotechindustrie "Dajiang" werd verdacht van hacking door Hunters op de 22e. De internationale ransomware-organisatie werd vermeld als slachtoffer. Andere media volgden en rapporteerden dit nieuws op de 11e. We hebben Dajiang ook opnieuw gebeld en kregen nog steeds geen antwoord. Vrijdagavond) dat Dajiang ze eindelijk aankondigde dat ze lijden onder cyberaanvallen.
(3) CyberLink bleek te zijn gehackt door Microsoft. De Noord-Koreaanse hacker Lazarus lanceerde een supply chain-aanval op het bedrijf, waardoor nieuwe gebruikers van hun Promeo-producten werden buitengesloten: op dezelfde dag dat dit incident aan het licht kwam, publiceerde CyberLink een aankondiging op zijn bedrijf. website waarin staat dat er schadelijke software is gevonden in het installatieprogramma van het product "Promeo". Ze hebben het probleem opgelost en zullen het softwarebeveiligingscertificaat in de toekomst bijwerken.
Bovendien waren er deze week berichten in het land dat het registratiesysteem van het Centraal Algemeen Ziekenhuis niet beschikbaar was, afspraakinformatie verdween en er werd vermoed dat het werd aangevallen door internet. De Judicial Yuan gaf ook een nieuwe verklaring voor de lekkage van oordeelsgegevens.

Op het gebied van informatiebeveiligingsbedreigingen en -incidenten verdienen ransomwarebedreigingen en -trends de meeste aandacht.
●Wat de schade van de Rhysida-ransomware betreft, heeft de Amerikaanse CISA,FBIk en MS-ISAC hebben gezamenlijk een waarschuwing afgegeven waarin staat dat de aanvallen vooral gericht zijn op onderwijs-, medische, productie-, informatie-industrie- en overheidssectoren. Deze openbare informatie onthult de TTP en IoC die door de ransomware worden gebruikt, waardoor bedrijven inzicht krijgen in de aanvalsstrategieën en -technieken, evenals in verschillende beperkende maatregelen.
●Met betrekking tot de nieuwe trends van de ransomware BlackCat wezen sommige experts uit de informatiebeveiligingsindustrie erop dat de recente ontwikkelingen een rol spelenGevorderdeSectie is binnenGoogleAdverteer onder het mom van het aanbieden van bekende applicaties zoals Advanced IP Scanner, Slack, WinSCP), waardoor internetgebruikers verbinding maken met phishing-websites en software downloaden die is geïmplanteerd met het kwaadaardige programma Nitrogen.
●De ransomware Phobos is opnieuw opgedoken en beveiligingsonderzoekers hebben onthuld dat ze zich onlangs hebben gericht op de beveiligingsgemeenschap VX-Underground.
●De dreiging van de ransomware-hackergroep Play kan toenemen Onlangs onthulde beveiligingspersoneel dat de organisatie zijn tools te huur aanbiedt in een poging meer misdadigers aan te trekken.

Wat betreft opkomende aanvalsmethoden en andere belangrijke bedreigingssituaties zijn wij van mening dat de nieuwe methode van de software voor het stelen van activa Lumma en het gebruik van gecomprimeerde bestanden om aanvallen uit te voeren het meest opmerkelijk zijn.
●Om detectie te voorkomen, gebruikt de software voor het stelen van activa, Lumma, muistrajecten om handelingen van echte personen te identificeren voordat de software voor het stelen van activa wordt uitgevoerd. Een andere onderzoeker op het gebied van informatiebeveiliging onthulde zelfs dat Lumma-ontwikkelaars beweerden dat ze gegevens konden herstellenGoogleTijdens de accountverbindingsfase wordt het account van het slachtoffer gegijzeld.
●Je moet letten op het gebruik van gecomprimeerde bestanden om kwaadwilligheid te verspreiden. Er zijn deze week drie gerelateerde incidenten. Allereerst moet het ambassadepersoneel oplettenARKwetsbaarheidsaanvallen, dan moeten cryptocurrency-gebruikers zich ervan bewust zijn dat de hackergroep DarkCasino zich op deze gebruikers richt door misbruik te maken van de WinRAR-kwetsbaarheid, en de geldstelende software Agent Tesla heeft onlangs het ZPAQ-formaat uitgebuit om grote bestanden van 1 GB terug te brengen tot slechts 6 KB , mogelijk om antivirusscans te vermijden.
●Python-ontwikkelaars moeten ook opletten. Een informatiebeveiligingsindustrie heeft onthuld dat hackers de afgelopen zes maanden 27 PyPI-pakketten hebben gelanceerd die bekende pakketten imiteren en ook PNG-afbeeldingen gebruiken om aanvalsintenties te verbergen.

Ten slotte zijn er twee onthullingen over hacktrends op staatsniveau die de moeite waard zijnalert, waaronder: De Chinese hackerorganisatie Mustang Panda richtte zich op militaire eenheden in Zuidoost-Aziatische landen. De hackers deden alsof ze Solid PDF Creator leverden.IndonesiëDe antivirussoftware Smadav gebruikt deze applicaties om malware te sideloaden; de Russische hacker Gamaredon richt zich op Oekraïense organisaties en verspreidt de USB-worm LitterDrifter.

[11 november] Hackers hebben de afgelopen zes maanden meer dan dertig kwaadaardige PyPI-pakketten verspreid, waarbij ze PNG-afbeeldingen gebruikten om aanvalsintenties te verbergen. Ontwikkelaars zijn het slachtoffer geworden in de Verenigde Staten, China en Frankrijk.

Aanvallen tegen ontwikkelaars komen de laatste tijd vrij vaak voor en er zijn steeds geavanceerdere methoden opgekomen. De aanvalscode wordt bijvoorbeeld verborgen in een specifieke module van het kwaadaardige pakket. Zodra de ontwikkelaar het pakket volgens de instructies installeert, zal de kwaadaardige code niet onmiddellijk worden uitgevoerd Uitvoering, maar wacht tot de specifieke functie wordt aangeroepen voordat deze samen wordt geladen.

Soortgelijke methoden zijn recentelijk naar voren gekomen in andere nieuwe methoden, zoals de kwaadaardige PyPI-suite-aanval die is onthuld door het beveiligingsbedrijf Checkmarx. De aanvallers proberen de kwaadaardige code in externe PNG-afbeeldingen te begraven, waardoor het PyPI-pakket zelf onschadelijk lijkt.

[11 november] De Chinese hackerorganisatie Mustang Panda richtte zich op Zuidoost-Azië en lanceerde verschillende phishing-aanvallen. De oorzaak zou verband houden met het militaire conflict op de Filippijnen in augustus.

In de eerste helft van dit jaar waren er regelmatig aanvallen van de Chinese hackerorganisatie Mustang Panda. De doelwitten van deze hackers hielden verband met de oorlog in Oekraïne, en de meeste van hen waren gericht op Europese landen die het land hadden geholpen.

Maar in de tweede helft van het jaar begonnen deze hackers hun doelwitten te veranderen en richtten ze hun aanvallen opnieuw op Zuidoost-Aziatische landen waarop ze zich eerder hadden gericht. De aanvallen die in augustus plaatsvonden, waren bijvoorbeeld gericht op Zuidoost-Aziatische landen. Onderzoekers speculeerden dat deze golf van aanvallen voornamelijk verband hield met het conflict op de Filippijnen.

[11 november] De ransomware Phobos gebruikte de naam van de informatiebeveiligingsgemeenschap om Windows-computers aan te vallen en aanvallen uit te voeren, waarbij hij beweerde dat de slachtoffers bestanden van de gemeenschap moesten herstellen.

Ransomware-aanvallen komen vaak voor. In het nieuws van vandaag zijn er drie van dergelijke beveiligingsincidenten. Het meest opmerkelijke deel is dat de hacker beweerde een bekende beveiligingsorganisatie te zijn. Om hen in diskrediet te brengen, zijn ze van plan te provoceren en verdeeldheid te zaaien de hele gemeenschap en verzwakken de algehele verdedigingsmacht.

Het is vermeldenswaard dat deze hackers bij het plegen van misdaden niet alleen de naam van de organisatie hebben gestolen, maar hen ook belachelijk hebben gemaakt door middel van afpersingsberichten en de slachtoffers zelfs hebben gevraagd boeken te kopen die door de beveiligingsorganisatie zijn geschreven.

[11 november] CyberLink kreeg te maken met een supply chain-aanval door Noord-Koreaanse hackers. De hackers plaatsten malware op de updateservers van het bedrijf. Slachtoffers verschenen in Taiwan en veel landen.

Wat betreft de supply chain-aanvallen van Taiwanese fabrikanten: het hackincident van de Asus-updateserver vier jaar geleden trok veel aandacht. Supply chain-aanvallen zijn een bedreiging voor de informatiebeveiliging geworden die Taiwanese IT-fabrikanten niet kunnen negeren. Recentelijk hebben ook andere softwareleveranciers te lijden gehad van hackers gebruik het om de infrastructuur bij te werken en kwaadaardige programma's te verspreiden.

Het Microsoft-dreigingsinformatieteam maakte sinds eind oktober een aanval bekend die gericht was op de Taiwanese ontwikkelaar van multimediaapplicaties CyberLink. Hackers hebben met de software-installatiebestanden van het bedrijf geknoeid en deze naar de updateserver van CyberLink geüpload. Wat het doel van de aanvaller betreft, moet nog verder worden opgehelderd.

[11 mei]meAI-botnetvarianten infecteren routers en NVR-netwerkvideobewakingsapparatuur. Er wordt vermoed dat de zero-day-kwetsbaarheid die door aanvallers wordt uitgebuit, gebruik maakt van vooraf ingestelde zwakke wachtwoorden.

BotnetmeEr zijn van tijd tot tijd aanvallen door AI gemeld die zich richten op Internet of Things (IoT)-apparaten, maar de recente beveiligingsincidenten die door onderzoekers zijn onthuld, zijn behoorlijk opvallend omdat ze niet het apparaatmodel hebben onthuld waarop de hackers zich richten, maar alleen het type netwerk videobewakingsapparaat (NVR), kleine router.

Het is vermeldenswaard dat de hierboven genoemde apparaten allemaal zero-day-kwetsbaarheden hebben, en onderzoekers hebben onthuld dat de kwaadaardige code die door de aanvallers werd gebruikt de standaard accountnamen en wachtwoorden van deze apparaten bevatte. Deze tekenen laten ook zien dat aanvallers deze kanalen kunnen gebruiken om controle te krijgen.