2024-12-07 星期六
Vol-2024-294
1. 罗马尼亚因指称的俄罗斯干预而取消总统选举首轮结果
2. 英国国家网络安全中心对特朗普政府下CISA变化不担忧
3. CECA项目启动第二阶段以提升清洁能源网络安全并暴露公用事业网络风险
4. Scattered
Spider黑客组织成员再次被联邦起诉
5. 松下旗下软件巨头Blue Yonder部分客户系统在勒索软件攻击后恢复
6. 俄罗斯企业因使用盗版软件而遭受信息窃取恶意软件攻击
7. 乌克兰情报机构声称对俄罗斯Gazprombank网络中断负责
8. Rockwell
Automation曝出严重漏洞,可导致远程代码执行
9. CISA发布多个工控系统警告 涉及漏洞和利用
1. 罗马尼亚因指称的俄罗斯干预而取消总统选举首轮结果
【The Record网站12月7日报道】罗马尼亚宪法法院宣布取消该国总统选举的首轮结果,原因是情报显示俄罗斯干预影响了选举结果。这一前所未有的举措引发了对罗马尼亚国内宪法程序的重大质疑,同时也在国际上引发了关于如何应对外国干预民主选举的讨论。法院宣布将重新进行总统选举的全部过程。在首轮选举中,极右翼候选人卡林·乔治斯库意外领先,原定于本周日与自由派候选人埃琳娜·拉索尼进行的第二轮投票将不会举行。反对党批评政府和主要政党试图通过重新选举来保持权力。情报文件显示,乔治斯库的胜利得益于广泛的国家支持干预,包括在社交媒体上进行的复杂游击战,特别是在TikTok上。据称,有38.1万美元用于在TikTok上推广乔治斯库,而没有标明是竞选材料,违反了TikTok条款和罗马尼亚选举法。情报机构还发现了俄罗斯网络犯罪平台交易罗马尼亚选民用于访问选举网站的凭证,并指出在投票期间发生了数千次网络攻击,破坏了选举计算机并迫使重新计票。
2. 英国国家网络安全中心对特朗普政府下CISA变化不担忧
【The Record网站12月6日报道】英国国家网络安全中心(NCSC)的高级官员表示,他们并不担心美国网络安全和基础设施安全局(CISA)在即将上任的特朗普政府下可能面临的变动。尽管特朗普对美国情报界领导层的一些选择在国内引起了批评,例如被认为基于对特朗普的忠诚而非能力选择的FBI局长和国家情报总监人选,但NCSC的首席技术官Ollie Whitehouse明确表示,NCSC并不共享对CISA未来的担忧。对于参议员Rand Paul要求重组CISA并加强监督的呼声,NCSC的首席执行官Richard Horne表示,英美之间的合作关系将经受住任何变动。Horne强调,两国机构之间的关系非常深厚,不仅仅是高层个人或机构间的合作,而是真正的、深层次的工作层面合作,他认为未来的变化不会影响这种关系。
3. CECA项目启动第二阶段以提升清洁能源网络安全并暴露公用事业网络风险
【Industrial Cyber网站12月6日报道】清洁能源网络安全加速器(CECA)项目与美国能源部(DOE)的网络安全、能源安全和紧急响应办公室(CESER)以及公用事业公司合作,宣布启动第二阶段的清洁能源网络安全加速器,继续进行系统可见性评估。这一举措旨在通过加速部署新兴的操作技术(OT)安全技术,降低电力行业的网络安全风险。由于公用事业ICS分散、复杂且包含多种设备和协议,这种复杂性使得全面可见性和风险意识面临挑战。CECA第二阶段测试的第二个解决方案是Asimily的风险管理平台,该平台为依赖众多连接设备的医疗保健、制造业、公共部门和其他行业保护物联网(IoT)设备。Asimily的解决方案通过检查网络流量和解析协议来帮助库存管理、漏洞缓解以及威胁检测和调查。该平台使用协议分析器、深度包检测和基于机器学习的分析,对设备、应用程序、服务和连接进行分类。国家可再生能源实验室(NREL)测试了该平台,提高了连接设备的可见性,并增强了设备库存、设备漏洞缓解、风险建模、威胁检测和事件响应的能力。
4. Scattered
Spider黑客组织成员再次被联邦起诉
【The Record网站12月7日报道】一名涉嫌为黑客组织Scattered Spider成员的19岁青年Remington Ogletree被控对电信公司和金融机构发起网络钓鱼攻击。Ogletree至少是近几个月来第六个被联邦起诉的该组织成员。该组织去年因对赌场巨头MGM Resorts和Caesars Entertainment的网络攻击而受到国际关注,其社交工程尝试还侵入了Coinbase、Twilio、Mailchimp和LastPass的计算机网络。据刑事起诉书,Ogletree从2023年10月至2024年5月期间,通过电话和网络钓鱼信息骗取美国及海外公司员工的计算机网络访问权限。他被控电信欺诈和身份盗窃,已获得5万美元保释。检察官声称,受害者因他的计划直接损失超过400万美元。Ogletree还向FBI透露,他12岁时就涉及SIM卡交换诈骗,但几个月后被捕。在FBI采访几天后,他涉嫌向一个洗钱服务请求将价值7.5万美元的加密货币换成现金。Ogletree通过Telegram账户向洗钱服务管理员吹嘘自己的黑客行为,声称通过攻击加密货币公司在24小时内赚取了30万美元,并建议洗钱者“攻击拥有大量客户邮件的互联网服务提供商”,以便将加密货币客户引导至“钓鱼网站”。
5. 松下旗下软件巨头Blue Yonder部分客户系统在勒索软件攻击后恢复
【The Record网站12月7日报道】松下旗下的软件巨头Blue Yonder表示,一些客户的系统在遭受勒索软件攻击后已经恢复运行。据称是此次事件背后的Termite勒索软件团伙在周五出面夸耀其窃取的大量数据。Blue Yonder发言人拒绝对Termite团伙的声明或是否发出赎金要求发表评论,但表示公司在从11月21日感恩节假期前宣布的网络攻击中“取得了良好进展”。发言人称,公司正在与外部网络安全公司合作,加强防御和取证协议。Blue Yonder为超过3000家大型公司提供履行、交付和退货系统,业务遍及76个国家。Termite团伙声称窃取了680GB的数据,包括电子邮件、保险文件和公司数据等。网络安全专家Valéry Rieß-Marchive指出,该团伙自4月以来一直活跃,并曾声称对法国海外省留尼汪岛政府的攻击负责。一些勒索软件研究人员将该团伙使用的代码与Babuk勒索软件家族联系起来。至少有一家安全公司表示,Blue Yonder在2021年曾被另一个勒索软件团伙攻击。
6. 俄罗斯企业因使用盗版软件而遭受信息窃取恶意软件攻击
【The Record网站12月7日报道】俄罗斯企业因使用未经许可的企业软件而成为一场持续性信息窃取活动的目标。自今年1月以来,网络犯罪分子在俄罗斯企业主和会计师常访问的本地在线论坛上分发知名的信息窃取恶意软件RedLine,并将其伪装成绕过企业自动化软件许可要求的工具。攻击者指导受害者禁用设备上的杀毒软件,以避免被安全厂商检测到。RedLine作为一种服务在暗网论坛上出售,能够从浏览器和信使程序中窃取敏感信息,或获取有关受感染系统及其用户的详细信息。尽管美国当局在10月识别并指控了一名俄罗斯国民Maxim
Rudometov开发和管理RedLine,且国际执法部门在11月拆除了该恶意软件的基础设施,但犯罪分子似乎找到了另一种使用它的方式。卡巴斯基实验室尚未将此活动归因于特定的威胁行为者,也未说明该活动是出于财务还是政治动机。卡巴斯基表示,将恶意软件伪装成帮助受害者绕过许可检查
的工具并不罕见,但他们针对企业而非个人用户似乎相当不寻常。
7. 乌克兰情报机构声称对俄罗斯Gazprombank网络中断负责
【The Record网站12月7日报道】俄罗斯用户报告称,国内最大的私人银行之一Gazprombank的服务出现中断,这可能是乌克兰军事情报机构发起的网络攻击所致。多个网站中断追踪服务的数据显示,Gazprombank的客户抱怨无法通过银行的应用程序或网站进行交易或支付账单。乌克兰军事情报机构(HUR)本周早些时候声称对Gazprombank发起了大规模分布式拒绝服务(DDoS)攻击,破坏了其在线和移动银行服务。HUR的匿名消息人士告诉乌克兰新闻社,由于Gazprombank应用程序无法工作,成千上万的俄罗斯人将无法转账和进行在线支付。俄罗斯国有媒体RIA Novosti报道称,Gazprombank的在线服务在法国和德国暂时无法使用。Gazprombank是俄罗斯第三大银行,是该国石油和天然气出口相关支付的主要渠道之一,部分由克里姆林宫控制的天然气公司Gazprom拥有。尽管俄罗斯媒体和Gazprombank没有将这些问题与所谓的网络攻击联系起来,但用户仍在报告登录账户和使用公司应用程序时遇到困难。
8. Rockwell
Automation曝出严重漏洞,可导致远程代码执行
【Cyber Security News网站12月6日报道】工业自动化解决方案提供商Rockwell Automation披露其Arena软件存在多个严重漏洞,可能允许攻击者远程执行代码。官方已发布16.20.06版本安全更新,修复以下漏洞:CVE-2024-11155:释放后使用漏洞;CVE-2024-11156:越界写入漏洞;CVE-2024-11158:未初始化变量漏洞;CVE-2024-12130:越界读取漏洞。这些漏洞适用于16.20.03及更早版本,CVSS v3.1评分为7.8,CVSS v4.0评分为8.5,属高危等级。攻击者可利用恶意DOE文件触发漏洞,通过操控内存分配执行任意代码、获取敏感信息,甚至中断工业运行。尽管攻击需合法用户执行恶意代码,但潜在影响显著。为降低风险,Rockwell建议用户立即升级并采取以下措施:限制网络访问关键系统;实施严格的访问控制;定期监控异常活动;确保软件和固件及时更新。这些漏洞通过Zero Day Initiative(ZDI)报告,强调了负责任披露和研究人员与厂商合作的重要性。随着工业基础设施联网程度加深,此类漏洞可能带来的影响愈发严重。
9. CISA发布多个工控系统警告 涉及漏洞和利用
【Cybersecuritynews网站12月6日报道】美国网络安全和基础设施安全局(CISA)于12月5日发布了两个关键的工业控制系统(ICS)警告,分别针对“AutomationDirect
C-More EA9编程软件”和“Planet
Technology Planet WGS-804HPT”。C-More EA9编程软件的6.78及以前版本存在多个基于堆栈的缓冲区溢出漏洞,CVE-2024-CVE-2024-11610和CVE-2024-11611,CVSS v4基础得分为8.4,表示高严重性。这些漏洞可能导致内存损坏、远程代码执行和潜在系统泄露。C-More EA9 HMI建议更新至6.79版本,如果无法立即更新,建议采取隔离工作站、实施严格访问控制等临时措施。Planet WGS-804HPT工业交换机的v1.305b210531版本受到三个关键漏洞影响,包括基于堆栈的缓冲区溢出、OS命令注入和整数下溢,CVSS
v4基础得分分别为9.3和6.9。这些漏洞可能允许未经身份验证的攻击者执行远程代码、注入恶意命令和使系统崩溃。Planet Technology建议升级至1.305b241111或更高版本。CISA还建议用户最小化控制系统设备的网络暴露,实施防火墙,使用VPN等安全远程访问方法,并在部署防御措施前进行影响分析和风险评估。
【Cybersecuritynews网站12月6日报道】根据Cofense Intelligence的最新分析,从2023年第三季度到2024年第三季度,钓鱼攻击者使用定制主题行针对特定行业的攻击中,金融和保险业位居榜首,占所有定制主题凭证钓鱼邮件的15.5%。攻击者常模仿商务沟通,如需要关注的发票和表格。制造业占11.3%,由于依赖订单和合同通信而特别脆弱。采矿、采石和石油天然气开采行业占10.3%,常涉及提案、发票和共享文档通知。医疗保健和社会援助行业占8.2%,通常使用基于通知或与文档相关的主题。零售业占7.4%,常收到与销售、合同和紧急发货相关的钓鱼尝试。安全分析师观察到的共同趋势包括主题定制、季度波动以及附件类型的多样性,其中最常见的恶意文件类型为.HTM(L)和.DOC(X)。研究人员敦促这些行业的组织保持警惕,实施强有力的安全措施以抵御这些针对性攻击。
