安全焦点

黑客滥用Google Apps脚本来绕过CSP以窃取信用卡

    攻击者滥用Google的Apps Script业务应用开发平台来窃取电子商务网站客户在在线购物时提交的信用卡信息。

美国起亚汽车公司遭受勒索软件攻击，被勒索2000万美元赎金

   起亚汽车公司遭受了DoppelPaymer团伙的勒索软件攻击，被要求提供2000万美元用于解密器以及确保被盗的数据不被泄露。

缅甸拟议的网络安全法案受到广泛谴责

     缅甸的统治军方起草了新的网络安全法，该法被广泛谴责为“严厉”的法令，因为该法案使政府拥有全面的权力来访问用户数据并阻止在线站点。该法还可能破坏缅甸作为数据服务离岸中心的位置，因为它不符合国际法。

辉瑞疑遭黑客攻击，韩国情报机构通报称朝鲜试图窃取COVID-19疫苗技术

      朝鲜试图入侵制药巨头辉瑞公司，窃取冠状病毒疫苗和治疗信息。据多家媒体报道，韩国情报机构在周二的一次闭门会议上向立法者通报了调查结果。

法国ANSSI：俄黑客对Centreon服务器展开了持续多年的攻击

       法国 ANSSI 在近日的一份报告中指出，名为 Sandworm 的俄方黑客组织，对该国 IT 公司 Centreon 的服务器展开了持续三年的 APT 攻击。

安全风险

VoIP漏洞：CoTURN服务器修复访问控制防护绕过漏洞

     安全研究人员发现，攻击者可以绕过CoTURN服务器的默认访问控制规则，访问防火墙后面的网络服务。一位研究人员推测，在某些情况下，攻击者可以实现远程执行代码（尽管他强调，该漏洞本身并不是远程执行代码漏洞）。总部位于柏林的Enable Security公司敦促使用该开源服务器的的组织应用他们的配置建议以及最新的软件更新。该项目的维护人员Mihály Mészáros表示，全球几乎所有的WebRTC和VoIP系统都使用CoTURN，因为它速度快，效率高，而且是功能最全的STUN/TURN实现AFAIK。

     11月20日，CoTURN维护人员接到了访问控制规则被绕过的警报。该漏洞（CVE-2020-26262）影响了CoTURN 4.5.1.3版本，并在2021年1月11日发布的4.5.2版本中得到了修复。

除了应用更新之外，研究人员还建议使用“denied-peer-ip来阻止特殊意图的地址”，甚至将TURN服务器部署在对内部系统没有特殊访问权限的、隔离的环境中。同时，研究人员建议无法立即应用最新版本的组织“使用IPv4地址的值设置-L flag或listening-ip配置”（尽管这也会阻止IPv6流量的中继）。

企业安全

    赛门铁克2021年勒索软件预测分析

01 勒索软件集团将继续开发新策略，向受害者不断施压

     如果说2019年是针对性勒索软件攻击开始激增的一年，那么2020年无疑就是针对性勒索软件集团不断发展并寻找新的策略对受害者施压来支付赎金的一年。

     最初的定向勒索软件对大多数组织已经构成了严重的威胁。与早期任意传播的加密型勒索软件不同，针对性勒索软件每次的攻击目标仅有一家组织，并努力在受害者的网络上加密尽可能多的计算机信息，可能的话还会清除对方的备份数据。以此为基础，攻击者便可提出相当夸张的赎金要求，金额从数十万美元到数百万美元不等。

     “我们预计在新的一年将会看到勒索软件集团变得更加激进，将会寻找更多方式来胁迫受害者支付赎金。”即便针对性勒索软件攻击实施起来极为困难且相当耗时，但潜在的回报却也极为巨大，因此采取这类攻击的团伙开始激增。

      2020年期间，攻击者开始寻求更多提升收益的方法。今年1月，Maze勒索软件集团先从受害者网络中窃取数据，继而实施加密，并宣称收不到赎金就将公布这批数据。这种策略向两类倾向于拒绝支付赎金的受害者施加压力：一是可能已经做好充分准备、无需换取解密密钥即可恢复系统的组织；二是认为数据丢失成本低于赎金数额的受害者。随着初次尝试的成功，多个其他勒索软件集团也立即开始采取类似的勒索策略。

     我们预计，新一年中勒索软件团伙将寻求更多方法加强对受害者的威胁与控制。截至目前，我们已经看到至少一例威胁受害者实施DDoS攻击的报道；与此同时，赛门铁克（目前为博通公司下辖事业部）也观察到Sodinokibi勒索软件团伙搜寻网络销售点的行为。

02 攻击者将远程办公视为重要的可乘之机

      新冠疫情让很多人的工作方式发生了根本性变化。全球各地的办公室开始陆续关闭，员工们更多地留在家中工作。一些看似应急性质的举措，很可能逐步延长甚至最终成为新的工作常态。目前，不少企业已经开始思考如何针对大部分员工的长期居家办公调整运营体系。

     这也给安全专家们带来了巨大的挑战。如今，原本只需要通过特定办公场所与特定网络处理工作内容的员工，开始使用家庭网络及互联网连接远程访问业务系统。从理论上讲，分散的员工代表着更多潜在的攻击渠道。而目前对于网络犯罪分子最为有利的一点，就是大多数远程办公方案仍然属于计划外的不得已行为。

     目前一些早期迹象已经显现，攻击者开始对VPN和虚拟化软件中刚刚公布并修复的漏洞表现出高度关切。一些漏洞已被攻击者利用实施入侵，比如Pulse Secure VPN (CVE-2019-11508, CVE-2019-11510, CVE-2019-11538与CVE-2019-11539), Palo Alto GlobalProtect (CVE-2019-1579), Fortigate (CVE 2018-13379)，以及思杰ADC服务器与思杰网络网关(CVE-2019-19781)等漏洞。以思杰为例，在相关漏洞被披露之后，攻击者的利用行为立刻开始激增，并于今年2月达到了峰值。期间赛门铁克共阻止超过492000次攻击活动。

03 网络犯罪团伙间开始紧密合作

     网络犯罪分子之间的合作攻击早已不是新鲜事物。但如今，网络犯罪生态开始趋于细分，攻击者们开始专门从事某一种恶意活动，而不再实施端到端全面攻击。当前，恶意软件制作者、分发者、漏洞利用工具包创建者、洗钱团伙以及其他类型的参与者之间开始频繁互动。但更令人担忧的潜在问题在于网络犯罪领域规模最大的部分集团开始紧密联系起来，包括各大僵尸网络操纵者以及勒索软件制作者。过去几年来，Emotet（以及最近的Trickbot）一直是最强大的僵尸网络之一；他们从受感染用户手中窃取凭证，并将其服务出售给寻求分发渠道的其他恶意软件作者。与此同时，针对性勒索软件（对受害者组织内的大部分、甚至全部计算机实施勒索加密攻击）已经成为最具利润空间的网络犯罪活动。有时一轮攻击即可让攻击者获利数百万美元。“一个最新且令人担忧的消息是，一些大型犯罪组织之间的联系愈发紧密，特别是那些规模最大的僵尸网络运营商和勒索软件制作者。”近期欧洲刑警组织发布的有组织犯罪威胁评估报告指出，Emotet、Trickbot以及Ryuk针对性勒索软件团伙之间的关系正愈发紧密，甚至有归于同一体系的趋势，或者至少会在合作当中建立起稳定且精准的配合关系。

    赛门铁克也对此表示赞同。Emotet能够接触并感染众多组织机构，Ryuk则是当前最具传播能力的恶意软件之一。先不论各方之间关系如何，其他大型网络犯罪集团也有可能纷纷仿效，建立起自己的合作阵营。

    虽然我们无法准确预见2021年的发展动态，但历史证明，攻击者总会不断完善自己的攻击手段，充分利用全球重大事件以及新兴技术带来的机会。只有总结经验、回顾过往，我们的网络安全能力才有望真正抵御住这一波又一波攻击浪潮。

文/上海蓝盟  IT外包专家

 

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包聊聊“无线WLAN调优”

• 分享到：