您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
金瀚信息:盤點(diǎn)近期重大網(wǎng)絡(luò)安全事件
金瀚信息為大家收集了一些近期發(fā)生的網(wǎng)絡(luò)安全事件,一起來(lái)看看吧!
01 加拿大稅務(wù)局網(wǎng)站被黑!5500個(gè)賬戶被盜 黑客瘋狂詐領(lǐng)救濟(jì)金!
加拿大稅務(wù)局CRA網(wǎng)站被黑了!數(shù)千個(gè)CRA賬戶被盜,存款信息暴露!
據(jù)多家媒體報(bào)道,近日,加拿大稅務(wù)局(CRA)遭到黑客兩次攻擊,被迫暫停網(wǎng)上服務(wù),而加拿大納稅人有至少5,500個(gè)各類帳戶被盜用,納稅人電子郵件地址和直接存款信息也被暴露。
CRA發(fā)言人杜迪(Christopher Doody)在一封電郵中發(fā)布聲明說(shuō):“CRA迅速識(shí)別了受攻擊及影響的帳戶,并停止這些帳戶的存取信息,以確保納稅人的信息安全。CRA正分析這兩宗事件,并已要求皇家騎警協(xié)助,就此展開調(diào)查?!?/span>
聲明中說(shuō),“在此事件中,欺詐者再次使用了以前數(shù)據(jù)泄露事件中從第三方所獲取的用戶名和密碼。”除了CRA帳戶之外,使用GCKey的數(shù)千人也受到影響。GCKey是一個(gè)安全門戶,該門戶使加拿大人可以在線訪問(wèn)政府服務(wù)。
聲明還說(shuō):“在加拿大大約1200萬(wàn)個(gè)活躍的GCKey帳戶中,有9,041個(gè)用戶的密碼和用戶名,已經(jīng)被犯罪分子通過(guò)欺詐手段獲取,并被用于嘗試訪問(wèn)政府服務(wù),其中有三分之一或存在可疑活動(dòng)?!?/span>
首次發(fā)現(xiàn)黑客入侵時(shí),約有30個(gè)聯(lián)邦部門使用的與CRA相關(guān)的賬戶被迫關(guān)閉。
發(fā)言人提醒加拿大納稅人,“為幫助降低受此類網(wǎng)絡(luò)攻擊影響的風(fēng)險(xiǎn),強(qiáng)烈建議用戶避免在不同系統(tǒng)和應(yīng)用程序中重復(fù)使用相同的密碼?!?/strong>
杜迪表示,該機(jī)構(gòu)正在向那些帳戶被盜的用戶發(fā)送信件:“CRA將優(yōu)先安排接聽受欺詐影響和身份盜竊受害者的電話,并盡快答復(fù)用戶的問(wèn)題。”該機(jī)構(gòu)還建議,“My Account”用戶最好啟用電子郵件通知,CRA認(rèn)為這樣做,可以“對(duì)加拿大人帳戶中的潛在欺詐活動(dòng)發(fā)出預(yù)警?!?/span>
CRA強(qiáng)調(diào),盡管稅局網(wǎng)絡(luò)系統(tǒng)的功能受到影響,但有關(guān)違規(guī)行為現(xiàn)已停止。
02 三星再曝漏洞:可能受到黑客遠(yuǎn)程監(jiān)控
最新研究報(bào)告稱:預(yù)裝在三星手機(jī)上的安卓應(yīng)用軟件“查找我的手機(jī)”,存在一系列的安全漏洞,可能會(huì)讓遠(yuǎn)程攻擊者跟蹤受害者的實(shí)時(shí)位置、監(jiān)控電話和消息,甚至刪除手機(jī)上存儲(chǔ)的數(shù)據(jù)。
漏洞報(bào)告:
葡萄牙的網(wǎng)絡(luò)安全服務(wù)提供商”Char49“在上周的defcon大會(huì)上透露了對(duì)三星的”查找手機(jī)“ 安卓應(yīng)用程序的調(diào)查結(jié)果。
defcon大會(huì):比肩blackhat的黑客大會(huì),不過(guò)defcon主辦黑客比賽。由于疫情,今年8月7日到9日在線上舉辦。
“此漏洞在安裝后很容易被利用,對(duì)用戶造成嚴(yán)重的影響,并可能造成毀滅性影響:鎖定電話的永久拒絕服務(wù),恢復(fù)出廠設(shè)置(包括SD卡)時(shí)完全丟失數(shù)據(jù),通過(guò)IMEI和位置跟蹤,通話和短信日志訪問(wèn)獲取隱私信息?!?/strong>Char49的PedroUmbelino在技術(shù)分析中說(shuō)。
這些漏洞存在于未修補(bǔ)的三星Galaxy S7、S8和S9+設(shè)備上,三星在將該漏洞標(biāo)記為“高危漏洞”后便解決了。
三星的“查找手機(jī)”服務(wù)允許三星設(shè)備的所有者遠(yuǎn)程定位和鎖定他們的智能手機(jī)或平板電腦,將設(shè)備上存儲(chǔ)的數(shù)據(jù)備份到三星云服務(wù)上,刪除本地?cái)?shù)據(jù),并阻止使用三星支付。
根據(jù)Char49的說(shuō)法,該應(yīng)用程序中有四個(gè)不同的漏洞,可能被安裝在目標(biāo)設(shè)備上的惡意應(yīng)用程序利用,形成一個(gè)中間人攻擊,從后端服務(wù)器劫持通信并窺探受害者。
漏洞成因:
“查找手機(jī)”應(yīng)用程序會(huì)檢查設(shè)備SD卡的“/mnt/sdcard/fmm.prop”來(lái)加載一個(gè)URL“mg.URL”,這就允許流氓應(yīng)用程序創(chuàng)建此文件,然后使用該文件潛在的劫持與服務(wù)器的通信。
Umbelino說(shuō):“通過(guò)將MG URL指向攻擊者控制的服務(wù)器并強(qiáng)制注冊(cè),攻擊者可以獲得用戶的許多詳細(xì)信息:通過(guò)IP地址、IMEI、設(shè)備品牌、API級(jí)別、備份應(yīng)用程序和其他一些信息進(jìn)行粗略定位。”
為了實(shí)現(xiàn)定位,安裝在設(shè)備上的惡意應(yīng)用程序利用一個(gè)漏洞攻擊鏈,利用兩個(gè)“廣播接收器”,將發(fā)送到三星服務(wù)器的命令從“查找手機(jī)”應(yīng)用程序重定向到另一個(gè)受攻擊者控制的服務(wù)器,并執(zhí)行惡意命令。
廣播接收器:Android 廣播接收器,用于響應(yīng)來(lái)自其他應(yīng)用程序或者系統(tǒng)的廣播消息。
惡意服務(wù)器也會(huì)將請(qǐng)求轉(zhuǎn)發(fā)給合法服務(wù)器并檢索響應(yīng),但不會(huì)在注入惡意服務(wù)器的命令之前進(jìn)行。
這樣一來(lái),攻擊可以讓黑客追蹤設(shè)備的位置,抓取通話數(shù)據(jù)和短信進(jìn)行間諜活動(dòng),鎖定手機(jī)索要贖金,并通過(guò)恢復(fù)出廠設(shè)置來(lái)清除所有數(shù)據(jù)。
Umbelino最后提到:“查找手機(jī)這個(gè)應(yīng)用程序不應(yīng)該有任意組件公開可用,并且處于導(dǎo)出狀態(tài)。如果有需要,例如,其他包需要調(diào)用這些組件,則應(yīng)使用適當(dāng)?shù)臋?quán)限保護(hù)它們,公開的文件測(cè)試代碼也應(yīng)該被消除?!?/span>
03 再次作案:新型勒索軟件攻擊影像IT巨頭柯尼卡美能達(dá)
近日,日本影像科技巨頭柯尼卡美能達(dá)企業(yè)服務(wù)近一周。該勒索事件發(fā)生在7月底,影像了商業(yè)技術(shù)巨頭柯尼卡美能達(dá)企業(yè)服務(wù)近一周。
柯尼卡美能達(dá)是日本跨國(guó)商業(yè)技術(shù)巨頭,擁有近44000名員工,2019年的收入超過(guò)90億美元。企業(yè)提供大規(guī)模的服務(wù)和多種產(chǎn)品,從打印解決方案,醫(yī)療技術(shù)到為企業(yè)提供托管等IT服務(wù)。
始于網(wǎng)站停機(jī)機(jī)
2020年7月30日,有客戶反饋柯尼卡美能達(dá)產(chǎn)品供應(yīng)與支持網(wǎng)站無(wú)法訪問(wèn),并呈現(xiàn)以下信息:
柯尼卡美能達(dá)“ MyKMBS”客戶門戶暫時(shí)不可用。我們正在努力解決此問(wèn)題,對(duì)于指出給您帶來(lái)的任何不便,我們深表遺憾意。如果您亟需服務(wù)幫助,請(qǐng)致電1-800- 456-5664(美國(guó))或1-800-263-4410(加拿大)致電我們的全球客戶服務(wù)。
網(wǎng)站關(guān)閉了近一周,客戶也并不清楚網(wǎng)站無(wú)法訪問(wèn)的具體原因。某些柯尼卡美能達(dá)打印機(jī)還顯示“服務(wù)通知失敗”錯(cuò)誤,該組織也及時(shí)更新了網(wǎng)站停止訪問(wèn)的消息。
遭遇RansomEXX勒索
隨后,網(wǎng)上傳出黑客勒索柯尼卡美能達(dá)使用的退款金票據(jù)的副本。如下圖所示,該退款金記錄稱為“!KONICA_MINOLTA_README !!。txt,”公司設(shè)備都被加密了,文件也加上了“ .K0N1M1N0”的擴(kuò)展后綴。
RansomEXX是一種新型勒索軟件,因攻擊了德克薩斯州交通運(yùn)輸部的網(wǎng)絡(luò)在今年6月首次被發(fā)現(xiàn)。和其他勒索軟件一樣,以企業(yè)為目標(biāo),但是和其他通過(guò)網(wǎng)絡(luò)釣魚和惡意軟件分發(fā)的勒索軟件不同的是,RansomEXX需要人為糾正。執(zhí)行攻擊后,勒索軟件將打開一個(gè)控制臺(tái),該控制臺(tái)在攻擊者運(yùn)行時(shí)向其顯示信息。
黑客入侵企業(yè)網(wǎng)絡(luò)潛藏,并通過(guò)時(shí)間的流逝,再傳播到其他設(shè)備以獲取管理員位置。一旦獲得管理員權(quán)限并訪問(wèn)Windows域控制器,他們便可以在網(wǎng)絡(luò)上部署勒索軟件并提供所有設(shè)備進(jìn)行加密。
Ransom X在整個(gè)加密過(guò)程中插入的命令,這些命令包括:
清除Windows事件日志
刪除NTFS日記
補(bǔ)充系統(tǒng)還原
局部Windows恢復(fù)環(huán)境
刪除Windows備份目錄
清除本地驅(qū)動(dòng)器上的可用空間。
04 美國(guó)酒業(yè)巨頭百富門遭Sodinokibi勒索軟件竊取超1TB數(shù)據(jù)
近日據(jù)外媒報(bào)道,Sodinokibi(REvil)勒索軟件運(yùn)營(yíng)商上周宣布,他們已經(jīng)破壞了Brown-Forman的網(wǎng)絡(luò)系統(tǒng),該公司是美國(guó)烈酒和葡萄酒行業(yè)最大公司之一。
據(jù)悉,Brown-Forman公司是美國(guó)最大的烈酒和葡萄酒公司之一,該公司總部位于肯塔基州路易斯維爾,在全球范圍內(nèi)制造多個(gè)知名品牌,包括杰克·丹尼爾(Jack Daniel"s),Old Forester,伍德福德(Woodford),和Chambord等等品牌。
事件發(fā)生后,威脅行動(dòng)者聲稱已竊取1TB的機(jī)密數(shù)據(jù),并計(jì)劃將最敏感的信息用于拍賣,并會(huì)泄漏其余信息。據(jù)統(tǒng)計(jì),該團(tuán)伙竊取的數(shù)據(jù)包括機(jī)密員工的信息,公司協(xié)議,合同,財(cái)務(wù)報(bào)表和內(nèi)部消息。
Sodinokibi勒索軟件運(yùn)營(yíng)商表示,在攻擊發(fā)生之前,他們已經(jīng)花費(fèi)了一個(gè)多月的時(shí)間來(lái)檢查該公司的基礎(chǔ)架構(gòu)。Sodinokibi勒索軟件操作員在其泄漏站點(diǎn)上發(fā)布了多個(gè)屏幕快照,其中顯示了據(jù)稱屬于該公司的目錄和文件,以及一些員工之間的內(nèi)部對(duì)話。Sodinokibi運(yùn)營(yíng)商旨在通過(guò)該報(bào)告迫使Brown-Forman支付贖金。
隨后,Brown-Forman公司在一份聲明中披露了該事件,承認(rèn)遭受了勒索軟件的攻擊,同時(shí)他們披露了有關(guān)該事件的一些細(xì)節(jié),包括事件何時(shí)發(fā)生以及黑客是如何訪問(wèn)數(shù)據(jù)的。該公司向當(dāng)局報(bào)告了此事件,并聘請(qǐng)了世界一流的第三方數(shù)據(jù)安全專家來(lái)調(diào)查此事件并盡快解決此問(wèn)題。
Brown-Forman發(fā)言人表示:“我們?cè)诎l(fā)現(xiàn)攻擊后迅速采取行動(dòng),阻止了我們的系統(tǒng)被加密。但是部分重要信息,包括員工數(shù)據(jù)依舊受到了影響。我們正在與執(zhí)法機(jī)構(gòu)以及世界一流的第三方數(shù)據(jù)安全專家緊密合作,以盡快緩解和解決這種情況?!?/span>
05 全球最大郵輪運(yùn)營(yíng)商遭遇勒索軟件攻擊
被疫情重創(chuàng)的郵輪業(yè)再遭打擊,全球最大的郵輪運(yùn)營(yíng)商嘉年華公司(Carnival Corporation)今天發(fā)布公告承認(rèn)在上周末遭受了勒索軟件攻擊。
在向美國(guó)證券交易委員會(huì)(SEC)提交的8-K備案文件中,該公司表示,該事件發(fā)生在8月15日(星期六)。
嘉年華公司指出,攻擊者“訪問(wèn)并加密了公司信息技術(shù)系統(tǒng)的一部分”,入侵者還從公司的網(wǎng)絡(luò)下載了文件。
這家郵輪運(yùn)營(yíng)商表示,已經(jīng)開始對(duì)安全事件進(jìn)行調(diào)查,通知執(zhí)法部門,并與法律顧問(wèn)和事件響應(yīng)專家進(jìn)行了接觸。
根據(jù)對(duì)該事件的初步評(píng)估,嘉年華表示,攻擊者能夠訪問(wèn)某些顧客和員工的個(gè)人數(shù)據(jù),但預(yù)計(jì)該事件不會(huì)對(duì)其“業(yè)務(wù),運(yùn)營(yíng)或財(cái)務(wù)業(yè)績(jī)”產(chǎn)生重大影響。
嘉年華沒(méi)有透露有關(guān)事件本身的任何細(xì)節(jié),例如勒索軟件的名稱或者哪些系統(tǒng)受到了影響。
如今,嘉年華公司已成為世界上最大的郵輪運(yùn)營(yíng)商,擁有超過(guò)150,000名員工、600艘船隊(duì)以及多個(gè)郵輪品牌,例如嘉年華郵輪公司、公主郵輪公司、荷蘭美國(guó)公司線、Seabourn、P&O郵輪公司(澳大利亞) 、科斯塔郵輪、愛達(dá)郵輪、P&O郵輪(英國(guó))和庫(kù)納德。
今年早些時(shí)候,即3月,嘉年華公司曾披露過(guò)一次網(wǎng)絡(luò)攻擊事件,入侵者在2019年4月至2019年6月之間訪問(wèn)其內(nèi)部網(wǎng)絡(luò),并竊取了一些客人的個(gè)人信息。
06 Google Chrome瀏覽器漏洞使數(shù)十億用戶遭受數(shù)據(jù)被盜風(fēng)險(xiǎn)
谷歌的Chrome瀏覽器中存在安全漏洞,攻擊者可利用該漏洞繞過(guò)網(wǎng)絡(luò)的內(nèi)容安全策略(CSP),進(jìn)而竊取用戶數(shù)據(jù)并執(zhí)行流氓代碼。
PerimeterX網(wǎng)絡(luò)安全研究人員Gal Weizman表示,該漏洞編號(hào)為CVE-2020-6519,存在于Windows、Mac和安卓的Chrome、Opera和Edge瀏覽器中,潛在影響用戶多達(dá)十億。其中,Chrome的73版本(2019年3月)到83版本均會(huì)受到影響,84版本已在7月發(fā)布,并修復(fù)了該漏洞。Chrome瀏覽器擁有超過(guò)20億用戶,并且占瀏覽器市場(chǎng)的65%以上。
CSP是一種Web標(biāo)準(zhǔn),旨在阻止某些攻擊,比如跨站點(diǎn)腳本(XSS)和數(shù)據(jù)注入攻擊。CSP允許Web管理員指定瀏覽器將其視為可執(zhí)行腳本的有效源的域。然后,與CSP兼容的瀏覽器將僅執(zhí)行從這些域接收的源文件中加載的腳本。
對(duì)此,Weizman在報(bào)告中表示:“CSP是網(wǎng)站所有者用來(lái)執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意影子代碼的主要方法,因此當(dāng)繞過(guò)瀏覽器執(zhí)行時(shí),個(gè)人用戶數(shù)據(jù)將面臨風(fēng)險(xiǎn)?!?/span>
目前,大多數(shù)網(wǎng)絡(luò)均使用CSP策略,比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo和Zoom等互聯(lián)網(wǎng)巨頭。當(dāng)然,也有如GitHub、Google Play商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不會(huì)受此次漏洞的影響。
Chrome的CSP強(qiáng)制執(zhí)行機(jī)制中存在漏洞并不直接表示網(wǎng)站已被破壞,因?yàn)楣粽哌€需要設(shè)法從該網(wǎng)站獲取惡意腳本。網(wǎng)站信任的安全機(jī)制存在漏洞,安全機(jī)制原本可以對(duì)第三方腳本執(zhí)行更嚴(yán)格的策略,但是因?yàn)槁┒磿?huì)讓網(wǎng)站認(rèn)為他們是安全的而允許他們通過(guò)。
攻擊者利用該漏洞獲取Web服務(wù)器權(quán)限(通過(guò)暴破密碼或者其他方式)并修改JavaScript利用代碼。在JavaScipt中增加 frame-src或者child-src指令,攻擊者利用這種方式繞過(guò)CSP策略執(zhí)行、繞過(guò)網(wǎng)站安全規(guī)則。
經(jīng)驗(yàn)證后,該漏洞的威脅程度為中等(6.5分),然而,因?yàn)樵撀┒瓷婕癈SP策略執(zhí)行,所以影響很廣。網(wǎng)站開發(fā)人員允許第三方腳本修改支付頁(yè)面,比如知道CSP會(huì)限制敏感信息,所以破壞或者繞過(guò)CSP,便可以竊取用戶敏感信息比如支付密碼等。這無(wú)疑給網(wǎng)站用戶的信息安全帶來(lái)很大的風(fēng)險(xiǎn)。
該漏洞在Chrome瀏覽器中存在超過(guò)一年了,目前該漏洞已經(jīng)修復(fù)。但是該漏洞的后續(xù)影響尚不明確,一旦遭到利用,用戶數(shù)據(jù)遭竊取用于非法途徑,后果將不堪設(shè)想。
在報(bào)告中還可以看到安全研究人員測(cè)試瀏覽器或者網(wǎng)站是否容易受到該漏洞影響的過(guò)程,創(chuàng)建一個(gè)簡(jiǎn)單的腳本,當(dāng)通過(guò)devtools控制臺(tái)執(zhí)行該腳本時(shí),可以測(cè)試所有這些網(wǎng)站,該腳本將立即通知當(dāng)前的瀏覽器/網(wǎng)站是否由于CSP/Old Chrome配置錯(cuò)誤而受到CVE-2020-6519的攻擊。嘗試從 https://pastebin.com/raw/XpHsfXJQ正常加載外部js腳本,并加載漏洞利用程序。以下以測(cè)試后的三種結(jié)果:
瀏覽器和網(wǎng)站容易受到攻擊
瀏覽器易受攻擊,但網(wǎng)站不易受攻擊
瀏覽器不容易受到攻擊
因此,用戶可從以下幾個(gè)方面做好安全防護(hù)措施:
1.確保CSP策略定義正確??紤]添加其他安全性層,例如nonces或hashs,這將需要在一些服務(wù)器端實(shí)現(xiàn)
2.僅CSP對(duì)大多數(shù)網(wǎng)站而言還不夠,因此,請(qǐng)考慮添加其他安全層??紤]基于JavaScript的影子代碼檢測(cè)和監(jiān)視,以實(shí)時(shí)緩解網(wǎng)頁(yè)代碼注入
3.確保Chrome瀏覽器版本為84或更高版本。
資料整合來(lái)源于互聯(lián)網(wǎng)