Esta semana houve notícias sobre várias empresas nacionais listadas sendo hackeadas. Em primeiro lugar, no dia 20, a Lion Travel e a Sinopec anunciaram que foram atacadas por hackers. Dois incidentes em um dia foram particularmente atraentes. , seu produto "Promeo" foi vinculado a Malware encontrado no programa de instalação da empresa, e o hacker norte-coreano Lazarus lançou um ataque à cadeia de suprimentos. Na semana passada, informamos que a Dajiang Biomedical foi listada como vítima de uma organização de ransomware. A empresa emitiu um grande anúncio no dia 23, confirmando que havia encontrado um incidente de segurança de rede.
Entre as notícias sobre vulnerabilidades desta semana, há duas grandes correções de vulnerabilidade que requerem atenção, incluindo a correção de grandes vulnerabilidades em seu sistema de refrigeração industrial pela Johnson Controls e a correção de grandes vulnerabilidades em seu FortiSIEM pela Fortinet. equipamento de gravação (NVR) e roteadores foram descobertos por hackers com novas vulnerabilidades de dia zero e explorados para espalharMirA séria ameaça da variante AI do vírus JenX, Akamai, que está atualmente divulgando o assunto, primeiro alertou e notificou os fabricantes relevantes, e uma nova versão do patch deverá ser lançada em dezembro.
Além disso, informamos sobre a vulnerabilidade de buffer overflow da biblioteca GNU CVE-10-2023 (Looney Tunables) no início de outubro. Recentemente, encontramos sinais de que os invasores começaram a explorar essa vulnerabilidade conhecida. mencionou isso. Vamos compensar aqui.
Internamente, muitos incidentes de segurança da informação tornaram-se o foco, todos relacionados com empresas cotadas. Resumimo-los da seguinte forma:
(11) Pela primeira vez, dois incidentes graves de segurança da informação ocorreram em um dia: Em 20 de novembro, a indústria do turismo "Lion" e a indústria de plásticos "Sinopec" divulgaram sucessivamente grandes incidentes de segurança da informação, indicando que foram atacados por hackers . Entre eles, Lion mencionou o alerta antifraude para lembrar aos passageiros que dados de clientes podem ter vazado. Esta é a segunda vez que a empresa anuncia que foi hackeada nos últimos dois anos. A divulgação da Sinopec é bastante limitada e não pode fornecer nenhuma. informações para defesa conjunta entre empresas e organizações. Informações concretas e úteis.
(20) Dajiang Biomedical divulgou informações importantes sobre o incidente de segurança da informação, confirmando que o sistema de informação sofreu um ataque cibernético: Quando a última edição do Information Security Weekly foi lançada no dia 15, fomos os primeiros a relatar que a indústria de biotecnologia " Dajiang" era suspeito de ter sido hackeado por Hunters no dia 22. A organização internacional de ransomware foi listada como vítima. Outros meios de comunicação acompanharam e relataram esta notícia no dia 11. Também ligamos para Dajiang novamente e ainda não recebemos resposta. Só em novembro 24 (sexta-feira à noite) que Dajiang finalmente os anunciou sofrendo ataques cibernéticos.
(3) Foi revelado que a CyberLink foi hackeada pela Microsoft. O hacker norte-coreano Lazarus lançou um ataque à cadeia de suprimentos da empresa, bloqueando o acesso de novos usuários de seus produtos Promeo: No mesmo dia em que esse incidente foi exposto, a CyberLink emitiu um anúncio em seu site. site informando que software malicioso foi encontrado no programa de instalação do produto "Promeo". Eles removeram o problema e atualizarão o certificado de segurança do software no futuro.
Além disso, esta semana, houve relatos no país de que o sistema de cadastro do Hospital Geral Central estava indisponível, as informações de agendamento desapareceram e ele era suspeito de ter sido atacado pela Internet. O Yuan Judiciário também divulgou uma nova explicação para o vazamento. de dados de julgamento.
Em termos de ameaças e incidentes de segurança da informação, as ameaças e tendências de ransomware merecem a maior atenção. Foram reveladas quatro notícias, que resumimos da seguinte forma:
●Em relação aos danos causados pelo ransomware Rhysida, a CISA dos EUA,FBEu e o MS-ISAC emitimos em conjunto um aviso afirmando que os seus ataques visam principalmente os sectores da educação, da medicina, da indústria transformadora, da indústria da informação e do governo. Estas informações públicas revelam o TTP e o IoC utilizados pelo ransomware, permitindo às empresas compreender as suas estratégias e técnicas de ataque, bem como diversas medidas de mitigação.
●Em relação às novas tendências do ransomware BlackCat, alguns especialistas da indústria de segurança da informação apontaram que o recenteNovatoA seção está emGoogleAnuncie sob o pretexto de oferecer aplicativos conhecidos, como Advanced IP Scanner, Slack, WinSCP), atraindo usuários da Internet para se conectarem a sites de phishing e baixarem software implantado com o programa malicioso Nitrogen.
●O ransomware Phobos apareceu novamente e os pesquisadores de segurança revelaram que recentemente atacaram a comunidade de segurança VX-Underground.
●A ameaça do grupo de hackers ransomware Play pode se intensificar Recentemente, o pessoal de segurança revelou que a organização está oferecendo suas ferramentas para alugar, na tentativa de atrair mais bandidos.
Em termos de métodos de ataque emergentes e outras situações de ameaça importantes, acreditamos que o novo método do software de roubo de ativos Lumma e o uso de arquivos compactados para lançar ataques são os mais dignos de nota.
●Para evitar a detecção, o software de roubo de ativos Lumma usa trajetórias de mouse para identificar operações de pessoas reais antes de executar o software de roubo de ativos. Outro pesquisador de segurança da informação até revelou que os desenvolvedores do Lumma alegaram ser capazes de restaurar.GoogleDurante a fase de conexão da conta, a conta da vítima fica refém.
●Você precisa prestar atenção ao uso de arquivos compactados para espalhar malícia. Houve três incidentes relacionados esta semana. Em primeiro lugar, o pessoal da embaixada deve prestar atenção.ARAtaques de vulnerabilidade, então os usuários de criptomoedas devem estar cientes de que o grupo de hackers DarkCasino tem como alvo esses usuários explorando a vulnerabilidade WinRAR, e o software de roubo de dinheiro Agente Tesla explorou recentemente o formato ZPAQ para reduzir arquivos grandes de 1 GB para apenas 6 KB. , possivelmente para evitar verificações antivírus.
●Os desenvolvedores de Python também devem prestar atenção. Uma indústria de segurança da informação revelou que nos últimos seis meses, os hackers lançaram 27 pacotes PyPI que imitam pacotes conhecidos e também usam imagens PNG para ocultar intenções de ataque.
Finalmente, há duas revelações de tendências de hackers em nível estadual que valem a penaalerta, incluindo: A organização hacker chinesa Mustang Panda teve como alvo unidades militares em países do Sudeste Asiático. Os hackers fingiram fornecer o Solid PDF Creator,IndonésiaO software antivírus Smadav usa esses aplicativos para carregar malware e o hacker russo Gamaredon tem como alvo organizações ucranianas e distribui o worm USB LitterDrifter.
[11 de novembro] Os hackers distribuíram mais de 20 pacotes PyPI maliciosos nos últimos seis meses, usando imagens PNG para ocultar as intenções de ataque. Os desenvolvedores foram vítimas nos Estados Unidos, China e França.
Os ataques contra desenvolvedores têm sido bastante frequentes recentemente e surgiram métodos cada vez mais sofisticados. Por exemplo, o código de ataque é enterrado em um módulo específico do pacote malicioso. Depois que o desenvolvedor instala o pacote de acordo com as instruções, o código malicioso não será lançado imediatamente. Execução, mas espere até que a função específica seja chamada antes de ser carregada junto.
Métodos semelhantes surgiram recentemente em outros novos métodos, como o ataque malicioso ao conjunto PyPI divulgado pela empresa de segurança Checkmarx. Os invasores tentam enterrar o código malicioso em imagens PNG externas, fazendo com que o próprio pacote PyPI pareça inofensivo.
[11 de novembro] A organização hacker chinesa Mustang Panda teve como alvo o Sudeste Asiático e lançou vários ataques de phishing. Suspeita-se que a causa esteja relacionada ao conflito militar nas Filipinas em agosto.
No primeiro semestre deste ano, ocorreram ataques frequentes da organização hacker chinesa Mustang Panda. Os alvos desses hackers estavam relacionados com a guerra na Ucrânia, e a maioria deles tinha como alvo países europeus que ajudaram o país.
Mas na segunda metade do ano, estes hackers começaram a mudar os seus alvos e voltaram a concentrar os seus ataques nos países do Sudeste Asiático que tinham anteriormente como alvo. Por exemplo, os ataques que ocorreram em Agosto tiveram como alvo países do Sudeste Asiático. Os investigadores especularam que esta onda de ataques estava principalmente relacionada com o conflito nas Filipinas.
[11 de novembro] O ransomware Phobos usou o nome da comunidade de segurança da informação para atingir computadores Windows e lançar ataques, alegando que as vítimas precisavam recuperar arquivos da comunidade.
Os ataques de ransomware ocorrem com frequência. Nas notícias de hoje, há três desses incidentes de segurança. Entre eles, o mais notável é que o hacker alegou ser uma organização de segurança conhecida. toda a comunidade e enfraquecer a força de defesa geral.
Vale ressaltar que, ao cometerem crimes, esses hackers não apenas roubaram o nome da organização, mas também a ridicularizaram por meio de mensagens de extorsão, e até pediram às vítimas que comprassem livros escritos pela organização de segurança.
[11 de novembro] A CyberLink sofreu um ataque à cadeia de suprimentos por hackers norte-coreanos. Os hackers implantaram malware nos servidores de atualização da empresa. As vítimas apareceram em Taiwan e em muitos países.
Em relação aos ataques à cadeia de suprimentos de fabricantes taiwaneses, o incidente de hacking do servidor de atualização da Asus, há quatro anos, atraiu grande atenção. Os ataques à cadeia de suprimentos tornaram-se uma ameaça à segurança da informação que os fabricantes de TI taiwaneses não podem ignorar. Recentemente, outros fornecedores de software sofreram. use-o para atualizar a infraestrutura e espalhar programas maliciosos.
A equipe de inteligência de ameaças da Microsoft divulgou um ataque direcionado ao desenvolvedor taiwanês de aplicativos multimídia CyberLink desde o final de outubro. Os hackers adulteraram os arquivos de instalação de software da empresa e os enviaram para o servidor de atualização da CyberLink. Quanto ao propósito do invasor, ainda precisa de mais esclarecimentos.
[11 de maio]MirVariantes de botnets de IA infectam roteadores e dispositivos de vigilância por vídeo de rede NVR. Suspeita-se que a vulnerabilidade de dia zero explorada pelos invasores envolva senhas fracas predefinidas.
Rede de botsMirAtaques de IA direcionados a dispositivos da Internet das Coisas (IoT) têm sido relatados de tempos em tempos, mas os recentes incidentes de segurança divulgados pelos pesquisadores são bastante atraentes porque não revelaram o modelo do dispositivo visado pelos hackers, apenas o tipo de rede. dispositivo de vigilância por vídeo (NVR), pequeno roteador.
É importante notar que todos os dispositivos mencionados acima têm vulnerabilidades de dia zero, e os pesquisadores revelaram que o código malicioso usado pelos invasores incluía os nomes de contas e senhas padrão desses dispositivos. Esses sinais também mostram que os invasores podem usar esses canais para obter controle.
