1、白宫警告俄罗斯网络攻击风险并敦促所有人落实八项基本的网络安全防御措施
2、社会工程攻击主宰Web3和元宇宙
3、Okta表示Lapsus$黑客发布的泄露证据与1月份的“安全事件”有关
4、希腊公共邮政服务因勒索软件攻击而下线
5、俄罗斯顶级肉类生产商遭受Windows BitLocker加密攻击
6、戴尔BIOS中最新的三个漏洞凸显了修复固件漏洞的挑战
7、CISA局长谈海运业日益增长的网络威胁
8、“秘密蔓延”困扰着软件供应链安全
9、QNAP设备成为新一波DeadBolt勒索软件攻击的目标
10、匿名黑客团伙入侵了雀巢公司并将10GB数据泄露到网络
11、俄罗斯新闻网站将近10,000名俄军死亡的报道归咎于黑客攻击
***********************************************
1、白宫警告俄罗斯网络攻击风险并敦促所有人落实八项基本的网络安全防御措施白宫在21日的声明强调,美国政府将继续努力为私营部门提供资源和工具,包括通过
CISA 的 Shields-Up
活动。随着俄乌冲突形势的不断恶化,美国政府加快了他们的应对网络安全风险的工作。很少有任何国家的领导人敦促所有人加强网络安全防御。拜登曾使用行政命令强制联邦机构修补软件,但这一次的新信息罕见地敦促私营部门也这样做采取八项基本措施。一是使用多因素身份验证;二中在计算机和设备上部署现代安全工具,以不断寻找和缓解威胁;三是确保系统已修补并针对所有已知漏洞进行保护,并更改整个网络的口令,以便以前被盗的凭据对恶意行为者无用;四是备份数据并确保离线备份超出了恶意行为者的范围;五是进行演习并演练现有应急计划,以便做好快速响应的准备,以最大程度地减少任何攻击的影响;六是加密数据,以便在被盗时无法使用;七是教育员工了解攻击者将通过电子邮件或网站使用的常见策略;八是与FBI和CISA合作,在任何网络事件发生之前建立联系。https://www.zdnet.com/article/white-house-warns-do-these-8-things-now-to-boost-your-security-ahead-of-potential-russian-cyberattacks/Web3是为可能成为互联网的下一个面孔而创造的术语。网络已经从包含内容的页面转变为社交媒体的增长,现在,去中心化互联网的概念正在Web3的旗帜下进行讨论。这种转变的一部分可能包括“元宇宙”——一个3D环境和虚拟世界,用于促进社交联系,无论是个人还是工作。您在元界中的ID也可能最终与加密货币钱包、不可替代代币(NFT)和各种智能合约相关联。随着技术供应商致力于这些概念,来自Cisco
Talos的网络安全研究人员就Web3和元界将面临的潜在威胁提出了他们的看法。OpenSea用户最近经历的网络钓鱼浪潮中,受害者被欺骗签署恶意合约交易并交出他们的NFT,这可能凸显了我们未来可能会更常见的攻击形式。Cisco
Talos
对公布地址的.ENS域名持有人进行了简短搜索,发现一些“鲸鱼”持有大量加密货币和一些相当有利可图的NFT。许多持有者还透露了他们的家乡、全名和社交媒体资料——让攻击者更广泛地了解个人在社会工程攻击中的目标。Web3将是一个用户需要时间来了解的新概念,因此普遍缺乏教育也可能使个人更容易受到诈骗和欺诈的影响。不熟悉的技术通常会导致用户做出错误的决定。Web3也不例外,绝大多数影响Web3用户的安全事件都源于社会工程攻击。https://www.zdnet.com/article/social-engineering-attacks-to-dominate-web3-metaverse-services/3、Okta表示,Lapsus$黑客发布的违规证据与1月份的“安全事件”有关在LAPSUS$黑客组织在Telegram上发布截图后,企业身份和访问管理公司Okta发起了一项调查,黑客声称这些截图是在获得“Okta.com超级用户/管理员和各种其他系统”的访问权限后拍摄的。LAPSUS$说,对于为许多大公司提供身份验证系统的服务,他们认为这些安全措施相当糟糕。在人们开始询问之前,他们没有从Okta访问/窃取任何数据库——只关注Okta的客户。,Okta在22日的电子邮件声明中表示,在线共享的屏幕截图“似乎与1月下旬的安全事件有关”。邮件内容称:“在2022年1月下旬,Okta检测到有人企图破坏为我们的一个子处理器工作的第三方客户支持工程师的帐户。此事已由子处理器进行调查和控制。我们认为在线共享的屏幕截图与今年1月有关事件。”Cloudflare首席执行官Matthew
Prince评论道:“我们知道 Okta
可能已被入侵。没有证据表明Cloudflare已被入侵。Okta只是Cloudflare的身份提供者。幸运的是,我们Okta之外拥有多层安全性,并且永远不会认为它们是独立的选项。”Lapsus$组织受苦先后入侵了英伟达、三星、育碧和其他公司。这个组织还声称入侵了微软公司。https://www.zdnet.com/article/okta-says-breach-evidence-shared-by-lapsus-ransomware-group-linked-to-january-hack-attempt/希腊国有邮政服务提供商ELTA披露了20日检测到的勒索软件事件,该事件仍使该组织的大部分服务处于离线状态。关于这次攻击的初步声明是在21日发布的,当时ELTA宣布了服务中断的原因,声称其立即响应和对整个数据中心的隔离有助于减轻影响。在22日的新公告中,该组织分享了有关该事件的更多详细信息,并向其客户更新了服务中断的程度。其IT团队已确定威胁行为者利用了一个未修补的漏洞来投放恶意软件,该恶意软件允许使用HTTPS反向外壳访问一个工作站。网络攻击的最终目标是加密对ELTA业务运营至关重要的系统。该组织没有提及任何有关赎金要求的事情。目前,ELTA不能提供邮寄、账单支付或处理任何形式的金融交易订单的服务。该组织没有估计何时可以再次提供这些服务。ELTA建议客户改用其子公司ELTA
Courier,该子公司并未受到网络攻击的影响。https://www.bleepingcomputer.com/news/security/greeces-public-postal-service-offline-due-to-ransomware-attack/5、俄罗斯顶级肉类生产商遭受Windows BitLocker加密攻击根据俄罗斯联邦兽医和植物检疫监督机构Rosselkhoznadzor一份报告,总部位于莫斯科的肉类生产商和分销商Miratorg
Agribusiness Holding遭受了一次重大的网络攻击,攻击者对公司的IT系统进行了加密。该公告指出,攻击者利用Windows
BitLocker功能加密文件,实质上是执行勒索软件攻击。袭击背后的原因似乎是破坏而不是财务,因为Miratorg是俄罗斯最大的食品供应商之一。攻击入口点是兽医服务和从事该领域的公司使用的状态信息系统VetIS,这可能是供应链攻击,尽管在这方面需要更多澄清。Miratorg
发表了一份声明
,称它已经在努力消除后果并恢复其业务的正常运作。该公司承诺,攻击不会影响其对俄罗斯公民的供应和发货,这表明对其交付业务的影响有限。该机构建议俄罗斯所有使用
VetIS 的公司在非易失性媒体上创建其文件和数据库的备份,并将“过度形式主义”放在一边,互相帮助。https://www.bleepingcomputer.com/news/security/top-russian-meat-producer-hit-with-windows-bitlocker-encryption-attack/6、戴尔BIOS中最新的三个漏洞凸显了修复固件漏洞的挑战固件安全公司Binarly在戴尔设备的系统管理模式组件中发现了三个新的任意代码执行漏洞。戴尔BIOS中的所有三个内存损坏缺陷都被指定为“高”严重性等级,并且在通用漏洞评分系统(CVSS)上得分为8.2。运行SMM会绕过针对修改的内置保护,这意味着攻击者可能会将固件后门安装到BIOS中。安全问题如果被利用,也可用于绕过统一可扩展固件接口(UEFI)固件生态系统(系统操作系统和平台固件之间的软件接口)中的控制,例如安全启动和虚拟机管理程序的内存隔离。根据Binarly的说法,漏洞利用可以允许经过本地身份验证的用户提升权限并在SMM中执行任意代码以安装修改后的固件或后门。一旦固件被修改,检测和删除恶意代码就变得更加困难。Binarly表示,受影响的设备包括Dell
Edge Gateway 3000和Dell Inspiron 15 Gaming
7567。戴尔已更新BIOS以解决这些问题(CVE-2022-24420、CVE-2022-24421、CVE-2022-24419),并鼓励组织“尽早”下载和更新。代码库的复杂性和广泛采用使得很难完全解决发现的问题。固件供应链的复杂性导致“几乎无限的漏洞来源”。https://www.darkreading.com/dr-tech/binarly-coordinates-patches-for-3-firmware-flaws-with-dell网络安全和基础设施安全局局长Jen
Easterly将海上运输部门标记为美国关键基础设施中日益受到威胁的薄弱点,俄罗斯对手此前曾通过网络攻击破坏过这些行业。Jen
Easterly在22日的Hack the
Port会议上说,鉴于该行业的重要作用,确保构成海上运输部门的系统和功能的重要性怎么强调都不为过。也就是说,保护行业免受网络威胁确实变得越来越复杂,因为连接且通常不安全的控制系统使海事组织成为恶意行为者的主要目标。预计这些类型的威胁策略将在未来几年内变得越来越普遍。她援引美国海岸警卫队的数据——与CISA一样,隶属于国土安全部——称每年约有5.4万亿美元流经该部门,占美国国内生产总值的四分之一。她说,没有一个行业独立于该行业运作。Easterly补充说,由于大流行和其他因素,全球供应链已经承受巨大压力,在此期间,针对海上船只的网络攻击增加了400%,并指出仅在2020年就有500起针对敏感操作技术的重大事件。Easterly强调了公私合作的重要性,并利用这个机会为她的机构招募人才。https://www.nextgov.com/cybersecurity/2022/03/cisa-director-details-growing-threat-maritime-transportation-sector/363475/法国网络安全初创公司GitGuardian正在警告软件供应链中一个主要的、无人看管的薄弱环节:有价值的公司机密——API密钥、用户名和密码以及安全证书——在公司存储库中公开暴露的棘手问题。泄露机密的危害一直是多个供应链安全攻击的核心,但根据GitGuardian的最新数据,机密蔓延(Secrets
Sprawl)无处不在,并且以惊人的速度增长。在一份记录其寻找泄露公司机密工作的新报告中,GitGuardian发现,一家拥有400名开发人员的典型公司会发现大约1,050个独特的机密在其存储库和提交中泄露。更糟糕的是,在目前的开发人员安全人员配置水平下,该公司认为“根本没有办法管理暴露在现代代码中的数字身份验证凭证的爆炸式增长。”该公司的研究显示,平均在13个不同的地方检测到秘密信息,修复所需的工作量远远超过当前的AppSec能力:安全与开发人员的比率为1:100*,1名AppSec工程师平均需要处理3,413个秘密事件。该公司警告称,修复实时事件和调查git历史记录中检测到的泄漏(仍可能代表威胁)所需的工作量远远超过当前AppSec团队的能力。https://www.securityweek.com/secrets-sprawl-haunts-software-supply-chain-security9、QNAP设备成为新一波DeadBolt勒索软件攻击的目标互联网搜索引擎Censys本月21日警告称,新一波DeadBolt勒索软件攻击一直针对QNAP制造的网络附加存储(NAS)设备。DeadBolt勒索软件旨在加密存储在易受攻击设备上的文件,指示受害者支付0.03比特币(1,200美元)的赎金以恢复他们的文件。该恶意软件的运营商还希望从
QNAP获得5个比特币(200,000美元)以获取与他们所利用的漏洞相关的信息,以及50个比特币(200
万美元)作为可用于恢复所有受害者文件的主密钥。QNAP在1月份警告客户有关
DeadBolt的攻击,建议他们立即将QTS操作系统更新到最新版本并减少其设备的暴露。2月,有消息称Deadbolt也瞄准Asustor制造的NAS设备。据Censys称,受DeadBolt感染的QNAP设备数量在1月26日达到顶峰,当时可从互联网访问的130,000个系统中有近5,000个被恶意软件感染。QNAP当时推出了强制固件更新来保护设备,这导致接下来几周的感染数量大幅下降——3月份的某个时间点感染人数不到300。但是,在过去几天中,
QNAP设备感染激增。在21日发布的一篇博客文章中,Censys表示,3月19日有1,146台被黑设备。3月22日,这个数字已上升到近1,500台。目前,Censys无法说明这是针对不同版本QTS操作系统的新攻击,还是针对未打补丁的QNAP设备的原始攻击。https://www.securityweek.com/qnap-devices-targeted-new-wave-deadbolt-ransomware-attacks10、匿名黑客团伙入侵了雀巢公司并将10GB数据泄露到网络Anonymous已经向尽管俄罗斯入侵乌克兰但不想离开占领市场的公司宣战。即匿名者警告仍在俄罗斯联邦运营的公司,并给他们48小时的时间离开俄罗斯联邦。现在众所周知,黑客活动家有他们的第一个受害者。雀巢是正式拒绝离开俄罗斯市场的公司之一。根据官方推特页面,Anonymous入侵了雀巢公司的数据库,并在网上泄露了员工的电子邮件、口令、50,000
名客户的信息等。所有数据都发布在anonfiles.com网站上。不建议下载这些数据。这些文件可能是恶意的。俄罗斯市场占雀巢去年总收入的2%,即18亿美元,该公司在俄罗斯拥有6家工厂和
7000名员工。雀巢生产速溶咖啡、矿泉水、巧克力、冰淇淋、肉汤、乳制品、婴儿食品、宠物食品、药品和化妆品。在乌克兰,雀巢乌克兰公司在《福布斯》公布的乌克兰最大的100家私营公司中排名第67位。据称匿名者黑客组织的下一个目标是欧尚。https://uaport.net/news/ua/t/2203/22/3328304411、俄罗斯新闻网站将近10,000名俄军死亡的报道归咎于黑客攻击3月22
日(路透社)——一家俄罗斯报纸指责黑客在其网站上植入假新闻,此前该网站出现了六个多小时,称近10,000名俄罗斯士兵在乌克兰遇难。由网络存档工具捕获的小报《共青团真理报》网站上的一篇文章援引俄罗斯国防部的话说,在莫斯科的乌克兰特别军事行动中,有
9,861名俄罗斯军人丧生,16,153人受伤。这些数字已从周二在网站上可见的同一篇文章的版本中删除。取而代之的是,一份公告称:“3月2
日,共青团真理报网站上的管理员界面被黑客入侵,并在该出版物中插入了有关乌克兰特别行动情况的虚假插页。不准确的信息立即被删除。”如果数据属实,俄罗斯在乌克兰持续27天的战争造成的死亡人数将相当于1979年苏联占领阿富汗10年期间估计的15,000名军人的三分之二。克里姆林宫发言人德米特里佩斯科夫22日在电话会议上告诉记者,他没有关于伤亡人数的信息。他拒绝就网站事件发表评论,称这是该报的问题。该报的克里姆林宫记者亚历山大·加莫夫(Alexander
Gamov)在同一电话中表示,其网站已被黑客入侵,虚假信息出现了几分钟。但archive.org的研究显示这一数字在共青团真理报网站上出现了6小时35分钟。https://www.reuters.com/world/europe/russian-newspaper-blames-army-death-toll-report-hackers-2022-03-22/