投放800個(gè)惡意NPM包!黑客發(fā)動(dòng)“自動(dòng)化”供應(yīng)鏈攻擊
軟件供應(yīng)鏈攻擊的頻率和規(guī)模正在不斷升級(jí)。3月底,一個(gè)被代號(hào)“RED-LILI”的黑客發(fā)動(dòng)了針對(duì)NPM存儲(chǔ)庫(kù)的大規(guī)模供應(yīng)鏈攻擊,一口氣發(fā)布近800個(gè)惡意NPM包。
“通常,攻擊者使用一個(gè)匿名的一次性NPM帳戶發(fā)起攻擊,”以色列安全公司Checkmarx透露:“但這一次,攻擊者似乎完全自動(dòng)化了NPM帳戶創(chuàng)建過(guò)程,為每個(gè)惡意程序包都開(kāi)設(shè)了專用帳戶,這使得這批新的惡意包更難被發(fā)現(xiàn)和完全清理。”
此前,JFrog和Sonatype最近的報(bào)告都詳細(xì)介紹了數(shù)百個(gè)惡意NPM包,這些包利用依賴混淆和域名仿冒等技術(shù)針對(duì)Azure、Uber和Airbnb的開(kāi)發(fā)人員。
據(jù)Checkmarx透露,黑客使用自定義Python代碼和Selenium等Web測(cè)試工具的組合來(lái)模擬在注冊(cè)表中復(fù)制用戶創(chuàng)建過(guò)程所需的用戶操作,從而將惡意庫(kù)自動(dòng)化批量上傳到NPM。
為了繞過(guò)NPM設(shè)置的一次性密碼(OTP)驗(yàn)證,攻擊者還利用一種名為Interactsh的開(kāi)源工具將NPM服務(wù)器發(fā)送的OTP提取到注冊(cè)期間提供的電子郵件地址,從而成功創(chuàng)建帳戶。
有了這個(gè)全新的NPM用戶帳戶后,攻擊者會(huì)在生成訪問(wèn)令牌之后,以自動(dòng)方式創(chuàng)建和發(fā)布一個(gè)惡意程序包,且每個(gè)帳戶只發(fā)布一個(gè),這種方式可以有效繞過(guò)電子郵件OTP驗(yàn)證。
研究人員說(shuō):“這是軟件供應(yīng)鏈攻擊的一個(gè)里程碑,標(biāo)志著供應(yīng)鏈攻擊者正在不斷提高技能并讓防御變得更加艱難。”“通過(guò)跨多個(gè)用戶名分發(fā)惡意軟件包,攻擊者使防御者更難完全關(guān)聯(lián)和防御,增加感染的機(jī)會(huì)。”
黑客偽造“政府傳票”竊取科技巨頭敏感數(shù)據(jù),蘋果、臉書(shū)等均受影響
3月底,安全博客KrebsOnSecurity披露了一種偽裝政府執(zhí)法部門向互聯(lián)網(wǎng)公司套取用戶數(shù)據(jù)的攻擊手法,攻擊者竊取執(zhí)法部門郵箱等官方賬號(hào),向互聯(lián)網(wǎng)平臺(tái)發(fā)送“緊急數(shù)據(jù)申請(qǐng)”,從而套取用戶敏感數(shù)據(jù);最近興起的LAPSUS$數(shù)據(jù)勒索團(tuán)伙正是利用這一手法為基礎(chǔ),成功入侵了微軟、Okta、英偉達(dá)等知名企業(yè)內(nèi)網(wǎng)竊取數(shù)據(jù),蘋果、Meta等巨頭曾應(yīng)黑客要求提供用戶數(shù)據(jù);互聯(lián)網(wǎng)巨頭們向黑客提供的數(shù)據(jù)包括用戶的基本信息,如消費(fèi)者的家庭住址、電話號(hào)碼、IP地址等。
國(guó)內(nèi)上市公司遭遇電信詐騙:郵箱遭入侵,被騙2275萬(wàn)元
4月初,大亞圣象(000910)發(fā)布2021年度業(yè)績(jī)報(bào)告,公司實(shí)現(xiàn)營(yíng)收87.5億元,同比上升20.46%;歸屬上市公司股東凈利潤(rùn)5.95億元,同比下降4.86%。
值得注意的是,公司同時(shí)披露,其全資子公司遭遇電信詐騙,涉案金額約356.9萬(wàn)美元(折合人民幣2275.49萬(wàn)元),追回可能性較低。
大亞圣象公告表示,2021年報(bào)告期內(nèi),公司全資子公司圣象集團(tuán)有限公司下屬子公司美國(guó)HomeLegendLLC公司,成為一起電信欺詐的受害者,肇事者入侵該公司租用的微軟公司365郵箱系統(tǒng),偽造假電子郵件冒充該公司管理層成員,偽造供應(yīng)商文件及郵件路徑,實(shí)施詐騙,涉案金額約356.9萬(wàn)美元(折合人民幣2275.49萬(wàn)元)。
該公司已于美國(guó)地方聯(lián)邦執(zhí)法當(dāng)局備案并向中國(guó)公安機(jī)關(guān)報(bào)案。大亞圣象表示,截至報(bào)告日,被盜資金追回可能性較低。
國(guó)際電子郵件營(yíng)銷巨頭MailChimp遭黑,淪為釣魚(yú)工具
4月初,電子郵件營(yíng)銷公司MailChimp披露其遭到黑客攻擊,黑客利用內(nèi)部客戶支持和賬戶管理工具竊取用戶數(shù)據(jù),并進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊。
MailChimp已經(jīng)證實(shí),黑客發(fā)動(dòng)這次攻擊不僅僅是為了訪問(wèn)Trezor的帳戶,其部分員工受到了社會(huì)工程攻擊,導(dǎo)致憑證被盜。這些憑證被黑客用于訪問(wèn)319個(gè)MailChimp帳戶,并從102個(gè)客戶帳戶中導(dǎo)出“受眾數(shù)據(jù)”。
MailChimp首席信息安全官Siobhan Smyth表示:“3月26日,我們的安全團(tuán)隊(duì)發(fā)現(xiàn),惡意行為者訪問(wèn)了一個(gè)面向客戶團(tuán)隊(duì)、用于客戶支持和賬戶管理的的內(nèi)部工具。該事件是由外部參與者發(fā)起的,他對(duì)Mailchimp員工進(jìn)行了社會(huì)工程攻擊,導(dǎo)致其憑證被泄露。我們迅速采取行動(dòng),終止黑客對(duì)被入侵員工賬戶的訪問(wèn),并采取相應(yīng)措施來(lái)防止更多員工受到影響。”
除了查看賬戶和導(dǎo)出數(shù)據(jù)以外,威脅參與者還獲得了對(duì)客戶API密鑰的訪問(wèn)權(quán),目前這些密鑰已被禁用。應(yīng)用程序編程接口 (API) 密鑰是允許MailChimp客戶直接從他們自己的網(wǎng)站或平臺(tái)管理他們的帳戶和執(zhí)行營(yíng)銷活動(dòng)的訪問(wèn)令牌。威脅參與者可以憑借這些泄露的API密鑰創(chuàng)建自定義電子郵件活動(dòng),例如發(fā)起網(wǎng)絡(luò)釣魚(yú)活動(dòng),并將它們發(fā)送到用戶郵件列表,而無(wú)需訪問(wèn)MailChimp的客戶門戶。
俄羅斯石油巨頭Gazprom Neft網(wǎng)站因遭黑客攻擊而關(guān)閉
近期,俄羅斯國(guó)家天然氣公司Gazprom的石油部門Gazprom Neft網(wǎng)站因遭黑客攻擊而被迫關(guān)閉,這似乎是俄羅斯入侵烏克蘭后對(duì)政府相關(guān)網(wǎng)站的最新黑客攻擊。據(jù)說(shuō)該網(wǎng)站上有一份來(lái)自俄羅斯天然氣工業(yè)股份公司首席執(zhí)行官阿列克謝米勒的聲明,該聲明似乎已經(jīng)是網(wǎng)站被黑客入侵后的版本了,這份聲明中對(duì)俄羅斯向?yàn)蹩颂m派遣數(shù)千名士兵的決定發(fā)表了批評(píng)言論,隨后,該網(wǎng)站就被迫停止運(yùn)營(yíng)。
除此之外,據(jù)稱多個(gè)烏克蘭新聞網(wǎng)站在上個(gè)月同樣遭到俄羅斯威脅攻擊者的黑客攻擊,并向訪問(wèn)者展示了“Z”符號(hào)。烏克蘭國(guó)家特別通信和信息保護(hù)局在一篇網(wǎng)絡(luò)帖子中證實(shí)了這一事件,并將責(zé)任歸咎于俄羅斯國(guó)家支持的行為者。
烏克蘭成功挫敗對(duì)其電網(wǎng)的破壞性網(wǎng)絡(luò)攻擊
4月初,烏克蘭CERT和ESET披露,沙蟲(chóng)黑客組織針對(duì)烏能源工控設(shè)施發(fā)起破壞性網(wǎng)絡(luò)攻擊,希望切斷區(qū)域電力供應(yīng),但被成功阻止;攻擊者使用了曾導(dǎo)致烏克蘭大停電的Industroyer更新版、CaddyWiper數(shù)據(jù)擦除軟件;據(jù)分析,此次攻擊發(fā)生在4月8日晚間,Industroyer2在兩周前已經(jīng)準(zhǔn)備好,被攻擊網(wǎng)絡(luò)至少在2月已經(jīng)被滲透。
在這次攻擊中,攻擊者使用了Industroyer的更新版本Industroyer2。Industroyer是沙蟲(chóng)組織使用過(guò)的一種惡意軟件,曾在2015年導(dǎo)致烏克蘭大停電。對(duì)專為工業(yè)環(huán)境設(shè)計(jì)的Industroyer2留下的痕跡的分析表明,該組織已經(jīng)就對(duì)烏克蘭電力系統(tǒng)攻擊籌劃了數(shù)周。
美國(guó)土安全部成功挫敗針對(duì)海底互聯(lián)網(wǎng)光纜的網(wǎng)絡(luò)攻擊
美國(guó)國(guó)土安全部當(dāng)?shù)貢r(shí)間4月12日在一份聲明中表示,上周火奴魯魯?shù)穆?lián)邦特工“破壞”了對(duì)一家未具名電信公司服務(wù)器的明顯網(wǎng)絡(luò)攻擊,該服務(wù)器與負(fù)責(zé)夏威夷和該地區(qū)互聯(lián)網(wǎng)、有線電視服務(wù)和手機(jī)連接的海底光纜相關(guān)。
國(guó)土安全部下屬的國(guó)土安全調(diào)查部(HSI)駐夏威夷的特工收到來(lái)自大陸HSI同行的提示,導(dǎo)致“涉及與海底電纜相關(guān)的私人公司服務(wù)器的重大違規(guī)行為”中斷。調(diào)查顯示,“一個(gè)國(guó)際黑客組織”是這次襲擊的幕后黑手,“幾個(gè)國(guó)家的HSI特工和國(guó)際執(zhí)法合作伙伴得以逮捕嫌疑人”。
烏克蘭政府遭受威脅行為者IcedID惡意軟件攻擊
近期,烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組 (CERT-UA) 發(fā)現(xiàn)了新的網(wǎng)絡(luò)釣魚(yú)活動(dòng),旨在用IcedID惡意軟件感染烏克蘭政府機(jī)構(gòu)的系統(tǒng)。
攻擊者在網(wǎng)絡(luò)釣魚(yú)消息使用了名為“Mobilization Register.xls”的Excel文檔。當(dāng)用戶打開(kāi)文檔并啟用嵌入式宏后,該文檔將開(kāi)始下載并運(yùn)行可執(zhí)行文件,這個(gè)可執(zhí)行文件可用于解密并運(yùn)行GzipLoader,GzipLoader可作為IcedID惡意軟件的廣告加載器。用戶下載的EXE文件將解密并運(yùn)行計(jì)算機(jī)上的GzipLoader惡意軟件,然后該惡意軟件將開(kāi)始下載、解密和運(yùn)行IcedID惡意軟件。IcedID惡意軟件(也稱為BankBot)屬于“銀行木馬”類,除了造成常規(guī)的攻擊影響以外,還可以執(zhí)行身份驗(yàn)證數(shù)據(jù)竊取。
國(guó)家郵政系統(tǒng)遭網(wǎng)絡(luò)攻擊,這個(gè)國(guó)家養(yǎng)老金發(fā)放部分中斷
近期,東歐國(guó)家保加利亞的國(guó)家郵政系統(tǒng)遭到網(wǎng)絡(luò)攻擊,有業(yè)務(wù)系統(tǒng)無(wú)法工作,導(dǎo)致柜臺(tái)養(yǎng)老金發(fā)放業(yè)務(wù)被迫中斷;這給許多老年人的生活帶來(lái)了意外打擊,有民眾擔(dān)心拿不到養(yǎng)老金,沒(méi)法應(yīng)付即將到來(lái)的復(fù)活節(jié)假期;保加利亞副總理Kalina Konstantinova稱,過(guò)去十年以來(lái),保加利亞郵政的網(wǎng)絡(luò)安全問(wèn)題一直遭到系統(tǒng)性忽視。
網(wǎng)絡(luò)攻擊致使這家航司航班嚴(yán)重延誤近一周
4月17日,因供應(yīng)商系統(tǒng)遭受網(wǎng)絡(luò)攻擊,加拿大老牌航空公司陽(yáng)翼航空的重要系統(tǒng)中斷服務(wù),致使航班嚴(yán)重延誤近一周時(shí)間;此次事件導(dǎo)致至少188個(gè)航班發(fā)生延誤,許多乘客因此被困在機(jī)場(chǎng),有乘客表示已經(jīng)滯留在機(jī)場(chǎng)超過(guò)3天;為減少服務(wù)中斷,陽(yáng)翼航空表示會(huì)盡量以手動(dòng)方式處理航班業(yè)務(wù)。
北美國(guó)家財(cái)政系統(tǒng)遭勒索攻擊
4月18日,北美洲國(guó)家哥斯達(dá)黎加財(cái)政部披露遭到Conti勒索軟件攻擊,多個(gè)部委大量系統(tǒng)受影響癱瘓,大量敏感數(shù)據(jù)被盜;哥國(guó)財(cái)政部受影響最嚴(yán)重,納稅人信息被盜引發(fā)大眾恐慌,稅務(wù)海關(guān)等系統(tǒng)癱瘓多天,導(dǎo)致該國(guó)出口業(yè)務(wù)損失慘重,至少損失2億美元;哥國(guó)總統(tǒng)稱攻擊者試圖破壞國(guó)家穩(wěn)定,并暗指與俄羅斯有關(guān)。不過(guò)也有安全專家認(rèn)為,這只是一起普通的金錢勒索,僅僅因?yàn)樵搰?guó)系統(tǒng)漏洞太多。
南美洲金融中心里約財(cái)政系統(tǒng)遭勒索攻擊,420GB數(shù)據(jù)被盜
4月22日,巴西里約熱內(nèi)盧州的財(cái)政大臣披露該州的財(cái)政系統(tǒng)遭到LockBit勒索軟件攻擊,420GB數(shù)據(jù)遭竊取,威脅不支付贖金將馬上公開(kāi)數(shù)據(jù);據(jù)悉,這批數(shù)據(jù)竊取自Sefaz-RJ系統(tǒng)中,約占州財(cái)政部門全部數(shù)據(jù)存儲(chǔ)量的0.05%;LockBit是目前最流行的勒索軟件即服務(wù)平臺(tái)之一,有數(shù)據(jù)顯示今年已攻擊了至少650個(gè)目標(biāo)組織。
網(wǎng)絡(luò)攻擊致使汽車租賃巨頭全球系統(tǒng)中斷
4月29日,國(guó)際汽車租賃巨頭Sixt遭到網(wǎng)絡(luò)攻擊,部分業(yè)務(wù)系統(tǒng)被迫中斷,運(yùn)營(yíng)出現(xiàn)大量技術(shù)問(wèn)題;公司的客戶服務(wù)中心和部分分支機(jī)構(gòu)受影響較大,大多數(shù)汽車預(yù)定都是通過(guò)筆和紙進(jìn)行的,服務(wù)熱線短時(shí)離線后恢復(fù),業(yè)務(wù)陷入混亂;據(jù)猜測(cè),此次攻擊可能屬于勒索軟件攻擊,目前暫時(shí)沒(méi)有相關(guān)組織表示負(fù)責(zé)。
農(nóng)業(yè)機(jī)械巨頭愛(ài)科遭勒索攻擊
5月初,美國(guó)農(nóng)業(yè)機(jī)械巨頭愛(ài)科遭到勒索軟件攻擊,部分生產(chǎn)設(shè)施運(yùn)營(yíng)受影響,可能持續(xù)多天;有經(jīng)銷商表示,這導(dǎo)致拖拉機(jī)銷售在美國(guó)最重要的種植季節(jié)停滯不前;近一年來(lái)多家農(nóng)業(yè)供應(yīng)鏈企業(yè)遭到攻擊,農(nóng)業(yè)逐漸成為勒索攻擊重點(diǎn)目標(biāo),F(xiàn)BI已接連發(fā)布兩次行業(yè)預(yù)警。
勒索攻擊致使美國(guó)老牌高校林肯學(xué)院倒閉
5月初,位于美國(guó)伊利諾伊州農(nóng)村的林肯學(xué)院表示,在其成立157年之后,由于新冠疫情和最近遭受的勒索軟件攻擊對(duì)其財(cái)務(wù)造成了殘酷的打擊,學(xué)院決定將在本月永久關(guān)閉。林肯學(xué)院網(wǎng)站公告中寫道:“林肯學(xué)院在2021年12月遭受了一次網(wǎng)絡(luò)攻擊,阻礙了招生計(jì)劃和對(duì)所有機(jī)構(gòu)信息的訪問(wèn),導(dǎo)致對(duì)2022年秋季招生的預(yù)測(cè)無(wú)法明確。”
最強(qiáng)間諜軟件:難以防范的國(guó)家安全威脅
近期,以色列間諜軟件Pegasus(飛馬)再次成為歐美關(guān)注的焦點(diǎn)。5月初,西班牙首相桑切斯確認(rèn)遭飛馬軟件入侵,成為現(xiàn)任全球政府首腦的首個(gè)確認(rèn)案例。此前,英國(guó)首相鮑里斯·約翰遜辦公室相連設(shè)備也發(fā)現(xiàn) 飛馬間諜軟件的活動(dòng)痕跡。
接連曝光的事件引發(fā)對(duì)監(jiān)控軟件使用的廣泛爭(zhēng)議。在全球開(kāi)展的飛馬項(xiàng)目調(diào)查顯示,目前已在世界各地發(fā)現(xiàn)超過(guò) 450 起疑似飛馬入侵事件,受害者分布普及世界各地,包括不少國(guó)家的領(lǐng)導(dǎo)人。
目前飛馬軟件已被美國(guó)商務(wù)部列入黑名單,正在接受歐洲議會(huì)委員會(huì)的調(diào)查。頻發(fā)曝光的飛馬入侵事件突顯出間諜軟件構(gòu)成的國(guó)家安全威脅。
俄羅斯電視臺(tái)在勝利閱兵日被黑,顯示“恐嚇式”反戰(zhàn)信息
5月9日,在俄羅斯舉行勝利日閱兵的重要時(shí)刻,該國(guó)智能電視顯示的畫(huà)面遭到篡改,展示了許多血淋淋的反戰(zhàn)標(biāo)語(yǔ)信息;俄羅斯主要電視頻道、最大搜索網(wǎng)站Yandex、最大視頻網(wǎng)站RuTube均受到網(wǎng)絡(luò)攻擊的影響;俄羅斯政府近期通過(guò)一項(xiàng)法律,任何抹黑俄羅斯軍隊(duì)及其在烏克蘭作戰(zhàn)行動(dòng)的企圖都是違法的,上述大部分言論在俄羅斯國(guó)內(nèi)都會(huì)遭到禁止。
加拿大空軍關(guān)鍵供應(yīng)商遭勒索攻擊,疑泄露44GB內(nèi)部數(shù)據(jù)
5月11日,加拿大、德國(guó)軍方的獨(dú)家戰(zhàn)機(jī)培訓(xùn)供應(yīng)商Top Aces透露,已遭到LockBit勒索軟件攻擊;LockBit團(tuán)伙的官方網(wǎng)站已經(jīng)放出要求,如不支付贖金將公布竊取的44GB內(nèi)部數(shù)據(jù);
安全專家稱,針對(duì)國(guó)防相關(guān)企業(yè)的攻擊令人擔(dān)憂,因?yàn)椤盁o(wú)從得知被盜數(shù)據(jù)最終會(huì)落入哪里”,很可能流入對(duì)手國(guó)家;LockBit是目前最流行的勒索軟件即服務(wù)平臺(tái)之一,據(jù)統(tǒng)計(jì)今年已攻擊了至少650個(gè)目標(biāo)組織。
意大利多個(gè)重要政府網(wǎng)站遭新型DDoS攻擊癱瘓
近期,意大利參議院、上議院、國(guó)防部等多個(gè)重要政府網(wǎng)站遭到網(wǎng)絡(luò)攻擊,網(wǎng)站無(wú)法訪問(wèn)至少1個(gè)小時(shí);意大利CERT發(fā)布預(yù)警稱,此次攻擊使用了“慢速HTTP”的新型DDoS手法,傳統(tǒng)防御措施較難抵御,需要針對(duì)性處置;親俄黑客團(tuán)伙Killnet聲稱對(duì)本次攻擊負(fù)責(zé)。
俄最大銀行遭到最嚴(yán)重DDoS攻擊
5月19日,俄羅斯最大銀行Sberbank(聯(lián)邦儲(chǔ)蓄銀行)官網(wǎng)披露,在5月6日成功擊退了有史以來(lái)規(guī)模最大的DDoS攻擊,峰值流量高達(dá)450 GB/秒。
Sberbank副總裁兼網(wǎng)絡(luò)安全主管Sergei Lebed稱,網(wǎng)絡(luò)犯罪分子利用各種策略實(shí)施網(wǎng)絡(luò)攻擊,包括將代碼注入廣告腳本、惡意Chrome擴(kuò)展程序,以及被DDoS工具武器化的Docker容器等。
Sberbank安全負(fù)責(zé)人表示,俄羅斯網(wǎng)絡(luò)安全發(fā)生了結(jié)構(gòu)性轉(zhuǎn)變,過(guò)去3個(gè)月來(lái)企業(yè)遭受的網(wǎng)絡(luò)攻擊呈現(xiàn)爆炸性增長(zhǎng),實(shí)力大幅提升;普京稱俄羅斯正在遭受“信息空間戰(zhàn)爭(zhēng)”,他提出了三項(xiàng)關(guān)鍵任務(wù),以確保俄關(guān)鍵信息基礎(chǔ)設(shè)施安全。