導讀
2020年,網絡安全挑戰再度升級,各行業數據泄露事件層出不窮。Risk Based Security(風險基礎安全)數據顯示,2020年全球數據泄露總數高達360億,達到曆史新高。
微步在線持續密切關注全球網絡安全態勢,並對2020年全球重大安全事件進行了梳理,精選出金融、互聯網、能源、通信、工控、教育、醫療等行業的代表性事件,以及疫情相關的重大攻擊事件,以便大家了解全球最新安全威脅,及時做好安全加固,防患于未然。
2020重大安全事件盤點將會按細分行業陸續發布,敬請持續關注。
金融行業一直是網絡攻擊的重點目標,攻擊者通過 DDoS 攻擊、漏洞、勒索軟件、木馬病毒等手段對各大金融機構發起攻擊,竊取敏感數據,進行金融詐騙。2020年,全球多個銀行機構發生數據泄露事件。此外,隨著數字加密貨幣的興起,各大加密貨幣交易所也成爲網絡攻擊的重災區。
2020年2月 | 自稱Silence的攻擊團夥威脅進行DDoS攻擊勒索澳大利亞銀行
2020年2月,澳大利亞網絡安全中心 ACSC 發布報告稱針對澳大利亞機構(主要是銀行等金融部門)的一些勒索性的拒絕服務威脅正在出現。自稱 Silence 的攻擊團夥發送勒索郵件給金融部門,稱如果不支付一定量的門羅幣(一種虛擬貨幣),將對收件方進行持續的 DDoS 攻擊。目前,ACSC 尚未收到有關方遭受 DDoS 攻擊的報告。自2019年10月,此類以 DDoS 攻擊爲威脅的勒索活動開始盛行,新加坡和南非銀行也曾遭遇相似勒索,勒索方自稱 Fancy Bear、Anonymous、Carbanak 等已知黑客團夥。根據以往情報分析,該團夥除了DDoS攻擊方式外,還會向銀行員工發送包含惡意軟件的網絡釣魚電子郵件。惡意軟件進入銀行的安全區域並沉默一段時間,通過捕獲屏幕快照,並在受感染的設備上進行日常活動的錄像,來收集攻擊目標的信息,了解目標銀行的工作方式。一旦攻擊者准備采取行動,他們就會激活惡意軟件所有功能。
微步在線點評
- Silence 的攻擊具有較強針對性和超長潛伏期的特點,在潛伏期高威脅行爲不明顯使得威脅檢測難度大。因此需要加強基層的安全意識,警惕異常郵件,有效防止 Silence 的釣魚郵件攻擊。
- Silence 是近年來比較活躍並長期針對銀行和其他金融機構的 APT 組織,同時在國內多家金融機構檢測到有 Silence 的痕迹。
- 此類勒索團夥大概率是盜用知名黑客團夥之名,但不排除其本身具備 DDoS 攻擊能力,DDoS 攻擊對銀行等金融部門業務影響較大,相關部門需要引起重視,健全自身 DDoS 防禦能力。
參考鏈接:
https://www.zdnet.com/article/australian-banks-targeted-by-ddos-extortionists/
2020年5月 | Maze勒索軟件運營者泄露哥斯達黎加銀行近4GB數據
2020年5月,Maze 勒索軟件運營者在其網站上多次公開了從哥斯達黎加銀行(Banco BCR)竊取的信用卡數據,並威脅會泄露更多的數據,目前已經公開了兩個 CSV 文件,大小分別爲1.9GB和2GB,相關數據已經得到驗證。Maze 運營者聲稱在過去的8個月裏兩次攻陷 Banco BCR,並在加密勒索之前泄露了超過1100萬張信用卡憑證,其中超400萬爲唯一的,其中約有14萬屬于美國公民。Banco BCR 則否認遭到數據泄露。
微步在線點評
- 勒索軟件是時下最流行的威脅之一,且一旦中招,一般沒有很好的解決方案。針對勒索軟件本身的防範,除了建立縱深安全防禦體系之外,對數據的備份尤其重要,建議可參考321原則。
- 目前諸如挖礦等威脅在剩余價值挖掘完之後,有轉向勒索的趨勢,進行二次變現。此外勒索軟件本身除了加密文件進行勒索之外,愈來愈多的開始在加密之前泄露數據,並以此要挾受害者支付贖金,這種趨勢應引起重視。
參考鏈接:
https://cybleinc.com/2020/05/28/banco-bcr-credit-card-leaks-by-maze-ransomware-operators-part-2/
2020年7月 | 朝鮮APT組織Lazarus在macOS平台上的攻擊活動
近期,微步在線通過威脅狩獵系統捕獲到 Lazarus 組織在 MacOS 平台上使用的多種類型的後門木馬,與針對加密貨幣的攻擊活動相關。該組織在 MacOS 平台上攻擊活躍,開發並持續更新使用多種類型的後門木馬。Lazarus組織不僅會跨平台(Windows\Linux)複用已有的後門木馬,也使用 Objective-C 開發適用于 MacOS 平台的後門木馬,該組織使用的後門木馬加密流量特征,包括JA3 特征和證書。自2019年下半年開始,Lazarus 組織在 MacOS 平台上的攻擊活動迅速增加,所使用的基本都是在 Windows 和 Linux 平台上的木馬快速移植版。從今年上半年開始,則已經使用了專爲 MacOS 平台開發的木馬版本。于此同時,他們並未放棄快速移植版木馬的使用,而且這些版本的木馬還在持續更新,這值得持續關注。
微步在線點評
- Lazarus Group 是一個網絡犯罪組織,自從至少2009年以來一直活躍,據報道2014年11月索尼影視娛樂的攻擊主要主導者。它發起了一個被稱爲“Operation Blockbuster”的網絡攻擊活動。報告稱Lazarus Group還發起了Operation Flame、Operation 1Mission、Operation Troy、DarkSeoul和Ten Days of Rain網絡攻擊活動。
- 微步在線威脅情報雲已收錄相關IOC,微步在線全線産品均支持對此次攻擊活動的檢測。
參考鏈接:
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2794
2020年8月 | “危險密碼”APT組織炎炎夏日在活躍
近日,微步在線監測發現“危險密碼”APT組織針對國內外企業金融交易相關業務的定向攻擊活動,本批次魚叉式網絡攻擊事件中,投遞載荷均爲LNK文件,在自釋放(或通過谷歌在線文檔下載)誘餌文檔後,遠程下載執行具有後門功能的 JavaScript 惡意代碼。攻擊活動中使用的誘餌文件包括中文類型的“獎金計劃(2020 年 7 月).docx”、獎金計劃(2020 年8 月).docx”以及“Project Management Plan.pdf”等。相關企業包括然健環球(中國)日用品有限公司(NHT Global)、美國密蘇裏大學堪薩斯分校(UMKC)。推測本次攻擊時間段爲 2020 年 6 月下旬至今。
同期,芬蘭安全公司 F-Secure 對“危險密碼”APT 組織追蹤發現,JavaScript 後門在後續會通過一段 C2 下發的 PowerShell 下載最終的二進制木馬,木馬與卡巴斯基曾披露的 Bluenoroff(Lazarus 組織的一個分支)組織所使用的特馬高度相似,由此可以推測,微步在線所披露的“危險密碼”APT 組織與 Bluenoroff 組織存在一定關聯,結合其特定的攻擊目標、攻擊目的來看,“危險密碼”APT 組織極有可能爲 Lazarus APT 組織的一個分支機構。
微步在線點評
- “危險密碼”至少于2018年3月開始活躍,主要通過釣魚郵件投遞惡意文件下載鏈接,誘導收件者從仿冒的谷歌、微軟、亞馬遜雲服務器下載木馬壓縮文件,該組織是一個專門攻擊加密貨幣公司的APT團夥,于2019年被微步在線披露。
- 微步在線通過對相關樣本、IP和域名的溯源分析,覆蓋該組織的相關IOC,可用于威脅情報檢測。微步在線全線産品均支持對此次攻擊事件和團夥的檢測。
參考鏈接:
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2876
2020年8月 | Visa 公司披露新型信用卡竊取程序 Baka
2020年8月,Visa 支付欺詐中斷(PFD)計劃的專家們在分析一項活動中使用的命令與控制(C2)服務器時發現了一個信用卡竊取程序,該惡意程序被命名爲 Baka。此外,該服務器還托管了一個 ImageID 電子攔截工具包。Baka 由 JavaScript 語言開發並使用 XOR 算法進行加密,並且具備獨特的動態加載程序和混淆方法。每個受害者使用唯一的加密參數來混淆惡意代碼,以避免靜態特征被殺毒軟件查殺。當 Baka 竊取完信用卡數據或者檢測到開發人員進行動態分析的時候會將自身從內存刪除以避免被發現。
微步在線點評
微步在線威脅情報雲已收錄相關IOC,微步在線全線産品均支持對此次攻擊活動的檢測。
參考鏈接:
https://usa.visa.com/content/dam/VCOM/global/support-legal/documents/visa-security-alert-baka-javascript-skimmer.pdf
2020年9月 | 東北亞APT組織Lazarus再現新動作
近期,國外安全研究員披露,具有朝鮮背景的 Lazarus APT 組織與說俄語的高級網絡犯罪團夥有密切合作。對 Lazarus 長期追蹤發現,該組織通過講俄語的團夥拿到金融機構的訪問權限,一旦入侵成功將按比例分割“贓款”。
不久前,還發現 Lazarus 組織利用 Crat 木馬對韓國房地産、金融公司進行 APT 攻擊,主要攻擊目標爲韓國國內交易比特幣的多名官員以及金融機構員工。主要攻擊手段是向受害者投遞含有惡意載荷的釣魚郵件,這些附件文檔看似是與房地産、證券信息相關的正常文檔,實際上攜帶 Cart 木馬,一旦受害者打開,受害者的計算機將被攻擊者掌控、竊密。
Lazarus 不僅僅以金融、房地産相關信息爲誘餌攻擊斂財,該組織近幾個月還常用航天,核工業,船舶工業等專業領域頭部企業招聘信息爲誘餌進行攻擊活動。根據對最新攻擊樣本分析,該組織以通用公司高級業務經理招聘爲誘餌,當受害者打開文檔,初始文檔無法查看誘餌,攻擊者通過這種方式誘導受害者啓用宏,從而通過惡意宏釋放執行後續載荷實現攻擊。
近幾周經披露,該組織根據數字貨幣從業者常用的開源軟件,定制了一批嵌入了惡意代碼的軟件工具包,然後冒充行業人士進入了數字貨幣行業的社交圈,在騙取目標人物的信任後,通過 IM 等社交工具投遞目標受害者常用的惡意軟件工具包展開攻擊。
微步在線點評
- Lazarus 是具有朝鮮政府背景,主要攻擊拉美和亞洲的金融黑客組織,常被業內人士稱爲“隱藏的眼鏡蛇”。最早于2007年被披露,早期以竊取敏感情報爲主,自2014年後逐漸針對金融、虛擬貨幣、房地産等行業開展攻擊非法獲取資金,譽有“世界上最賺錢的虛擬貨幣黑客組織”之稱。
- Crat木馬:因後門的PDB中存在“Crat Client”的字符串而命名爲“Cart”。從今年五月份至今,該木馬發現經過了幾個月的叠代,架構已較爲成熟。
- 微步在線威脅情報雲已收錄相關IOC,微步在線全線産品均支持對此次攻擊活動的檢測。
參考鏈接:
https://blog.alyac.co.kr/3018
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true
https://www.darkreading.com/threat-intelligence/likely-links-emerge-between-lazarus-group-and-russian-speaking-cybercriminals-/d/d-id/1338938
2020年9月 | Evilnum APT組織在近期攻擊中使用新的基于 Python 的木馬
微步在線監測發現,Evilnum APT 組織在其武器庫中增加了一種新的基于 Python 的遠程訪問特洛伊木馬 PyVil,該種木馬可以竊取密碼、文檔、浏覽器Cookie、電子郵件憑據和其他敏感信息。PyVil 支持包括運行 CMD 命令、截屏、下載、刪除、上傳、收集各種信息等多種功能,其主要的攻擊手段爲利用 KYC(充分了解你的客戶規則)進行郵件釣魚。攻擊者將惡意鏈接托管在雲服務供應商上,以逃避電子郵件過濾器和安全防護産品的檢測,當受害者點擊鏈接後會下載一個包含木馬程序的壓縮文件,木馬程序使用信用卡、駕照、護照和水電費等圖像,誘使用戶點擊從而運行木馬,木馬程序運行後將會進行竊取受害者的信息,或者執行任意命令等操作。這種戰術與工具上的優化,使得該惡意組織難以被追蹤。
微步在線點評
- 前Evilnum 自2018年被披露以來,該組織隨著不同工具的發展,逐漸將目標聚焦于金融公司,前兩年主要針對歐洲的公司,以及部分澳大利亞和加拿大的公司,而現在有將攻擊延展至全球的趨勢。
- 微步在線建議采取以下措施予以防範:- 不要隨意打開來自不明人員發送的郵件和附件;- 在經常與不可信方交互的高風險計算機上禁用快捷方式;- 重新劃分網絡結構,將高風險計算機劃分到單獨的區域,避免惡意程序橫向移動造成更大的損失;- 定期監控網絡日志,檢查異常的連接行爲。
- 微步在線威脅情報雲已收錄相關IOC,微步在線全線産品均支持對此次攻擊活動的檢測。
參考鏈接:
https://www.cybereason.com/blog/no-rest-for-the-wicked-evilnum-unleashes-pyvil-rat
2020年9月 | KuCoin交易所被竊取了約1.5億美元的加密貨幣
近期,總部位于新加坡的加密貨幣交易所 KuCoin 披露了一次重大安全事件,黑客入侵了其熱錢包,並偷走了大約價值1.5億美元的加密貨幣。KuCoin 于9月26日發現安全漏洞,當時其員工注意到從其熱錢包中提取了一些大筆款項,該交易所立即調查了異常操作,發現了比特幣資産,基于ERC-20的代幣以及其他加密貨幣的網絡搶劫。根據轉移了被盜資金的 Etherium 地址,黑客竊取的資金總額超過1.5億美元。
微步在線點評
加密貨幣交易所應不斷提高交易平台的安全性和穩定性,來減少損失。
參考鏈接:
Hackers stole more than $150 million from KuCoin cryptocurrency exchange
2020年11月 | 加密貨幣服務商 Akropolis 遭黑客攻擊,損失 200 萬美元
近日,加密貨幣借貸服務公司 Akropolis 遭到“閃電貸”攻擊,黑客竊取了價值約 200 萬美元的 Dai 加密貨幣。Akropolis 管理員已暫停了平台上的所有交易,以防止損失擴大。閃電貸攻擊是針對運行 DeFi(去中心化金融)平台的加密貨幣服務的常見攻擊方式,這類平台允許用戶使用加密貨幣借款或貸款,投機價格變化,並從加密貨幣儲蓄的賬戶中賺取利息。閃存貸攻擊是黑客從 DeFi 平台(如 Akropolis)貸款時,利用平台代碼中的漏洞來逃避貸款機制並竊走資金。今年 2 月以來,此類攻擊的數量一直在增加,其中最大的一次攻擊發生在10月,黑客從DeFi 服務公司 Harvest Finance 竊取了價值 2400 萬美元的加密貨幣。
微步在線點評
近年來發行和使用加密貨幣的人越來越多,加密貨幣系統的安全也面臨嚴峻的考驗,技術團隊的參差不齊給給安全帶來了很大的隱患。
參考鏈接:
https://www.zdnet.com/article/hacker-steals-2-million-from-cryptocurrency-service-akropolis/
2020年12月 | 支付卡處理巨頭 TSYS 遭到勒索軟件攻擊
TSYS 是北美第三大金融機構的第三方支付處理器,也是歐洲的主要處理器。TSYS 提供支付處理服務、商業服務和其他支付解決方案,包括預付借記卡和工資卡。12 月 8 日, Conti 勒索軟件團夥(也稱“Ryuk”)發布消息稱其從 TSYS 網絡中刪除了超過 10G 的數據,並聲稱到目前爲止公布的數據只占他們在 TSYS 內部引爆勒索軟件之前從該公司卸載的信息的 15%。TSYS 回應確認遭到攻擊,但表示此次攻擊並沒有影響支付卡處理系統,並且已立即遏制了可疑活動,業務運行正常。
微步在線點評
銀行木馬從過去攻擊盜取資金,演變到現在通過勒索這種更爲暴力直接的方式,勒索病毒加密解密難度高,幾乎等于無解。這也給銀行業的安全帶來了更多的挑戰。
參考鏈接:
https://krebsonsecurity.com/2020/12/payment-processing-giant-tsys-ransomware-incident-immaterial-to-company/
互聯網、能源、通信、工控、教育、醫療等行業以及疫情相關的重大攻擊事件將會陸續發布,敬請關注。