投放800個(gè)惡意NPM包!黑客發(fā)動(dòng)“自動(dòng)化”供應(yīng)鏈攻擊
軟件供應(yīng)鏈攻擊的頻率和規(guī)模正在不斷升級(jí),。3月底,,一個(gè)被代號(hào)“RED-LILI”的黑客發(fā)動(dòng)了針對(duì)NPM存儲(chǔ)庫(kù)的大規(guī)模供應(yīng)鏈攻擊,一口氣發(fā)布近800個(gè)惡意NPM包,。
“通常,,攻擊者使用一個(gè)匿名的一次性NPM帳戶發(fā)起攻擊,”以色列安全公司Checkmarx透露:“但這一次,,攻擊者似乎完全自動(dòng)化了NPM帳戶創(chuàng)建過(guò)程,,為每個(gè)惡意程序包都開設(shè)了專用帳戶,這使得這批新的惡意包更難被發(fā)現(xiàn)和完全清理,?!?/p>
此前,JFrog和Sonatype最近的報(bào)告都詳細(xì)介紹了數(shù)百個(gè)惡意NPM包,,這些包利用依賴混淆和域名仿冒等技術(shù)針對(duì)Azure,、Uber和Airbnb的開發(fā)人員。
據(jù)Checkmarx透露,,黑客使用自定義Python代碼和Selenium等Web測(cè)試工具的組合來(lái)模擬在注冊(cè)表中復(fù)制用戶創(chuàng)建過(guò)程所需的用戶操作,,從而將惡意庫(kù)自動(dòng)化批量上傳到NPM。
為了繞過(guò)NPM設(shè)置的一次性密碼(OTP)驗(yàn)證,,攻擊者還利用一種名為Interactsh的開源工具將NPM服務(wù)器發(fā)送的OTP提取到注冊(cè)期間提供的電子郵件地址,,從而成功創(chuàng)建帳戶。
有了這個(gè)全新的NPM用戶帳戶后,,攻擊者會(huì)在生成訪問(wèn)令牌之后,,以自動(dòng)方式創(chuàng)建和發(fā)布一個(gè)惡意程序包,且每個(gè)帳戶只發(fā)布一個(gè),,這種方式可以有效繞過(guò)電子郵件OTP驗(yàn)證,。
研究人員說(shuō):“這是軟件供應(yīng)鏈攻擊的一個(gè)里程碑,標(biāo)志著供應(yīng)鏈攻擊者正在不斷提高技能并讓防御變得更加艱難?!薄巴ㄟ^(guò)跨多個(gè)用戶名分發(fā)惡意軟件包,,攻擊者使防御者更難完全關(guān)聯(lián)和防御,增加感染的機(jī)會(huì),?!?/p>
黑客偽造“政府傳票”竊取科技巨頭敏感數(shù)據(jù),蘋果,、臉書等均受影響
3月底,,安全博客KrebsOnSecurity披露了一種偽裝政府執(zhí)法部門向互聯(lián)網(wǎng)公司套取用戶數(shù)據(jù)的攻擊手法,攻擊者竊取執(zhí)法部門郵箱等官方賬號(hào),,向互聯(lián)網(wǎng)平臺(tái)發(fā)送“緊急數(shù)據(jù)申請(qǐng)”,,從而套取用戶敏感數(shù)據(jù);最近興起的LAPSUS$數(shù)據(jù)勒索團(tuán)伙正是利用這一手法為基礎(chǔ),,成功入侵了微軟,、Okta、英偉達(dá)等知名企業(yè)內(nèi)網(wǎng)竊取數(shù)據(jù),,蘋果,、Meta等巨頭曾應(yīng)黑客要求提供用戶數(shù)據(jù);互聯(lián)網(wǎng)巨頭們向黑客提供的數(shù)據(jù)包括用戶的基本信息,,如消費(fèi)者的家庭住址,、電話號(hào)碼、IP地址等,。
國(guó)內(nèi)上市公司遭遇電信詐騙:郵箱遭入侵,,被騙2275萬(wàn)元
4月初,大亞圣象(000910)發(fā)布2021年度業(yè)績(jī)報(bào)告,,公司實(shí)現(xiàn)營(yíng)收87.5億元,,同比上升20.46%;歸屬上市公司股東凈利潤(rùn)5.95億元,,同比下降4.86%,。
值得注意的是,公司同時(shí)披露,,其全資子公司遭遇電信詐騙,,涉案金額約356.9萬(wàn)美元(折合人民幣2275.49萬(wàn)元),追回可能性較低,。
大亞圣象公告表示,,2021年報(bào)告期內(nèi),公司全資子公司圣象集團(tuán)有限公司下屬子公司美國(guó)HomeLegendLLC公司,,成為一起電信欺詐的受害者,,肇事者入侵該公司租用的微軟公司365郵箱系統(tǒng),,偽造假電子郵件冒充該公司管理層成員,偽造供應(yīng)商文件及郵件路徑,,實(shí)施詐騙,,涉案金額約356.9萬(wàn)美元(折合人民幣2275.49萬(wàn)元)。
該公司已于美國(guó)地方聯(lián)邦執(zhí)法當(dāng)局備案并向中國(guó)公安機(jī)關(guān)報(bào)案,。大亞圣象表示,,截至報(bào)告日,被盜資金追回可能性較低,。
國(guó)際電子郵件營(yíng)銷巨頭MailChimp遭黑,淪為釣魚工具
4月初,,電子郵件營(yíng)銷公司MailChimp披露其遭到黑客攻擊,,黑客利用內(nèi)部客戶支持和賬戶管理工具竊取用戶數(shù)據(jù),并進(jìn)行網(wǎng)絡(luò)釣魚攻擊,。
MailChimp已經(jīng)證實(shí),,黑客發(fā)動(dòng)這次攻擊不僅僅是為了訪問(wèn)Trezor的帳戶,其部分員工受到了社會(huì)工程攻擊,,導(dǎo)致憑證被盜,。這些憑證被黑客用于訪問(wèn)319個(gè)MailChimp帳戶,并從102個(gè)客戶帳戶中導(dǎo)出“受眾數(shù)據(jù)”,。
MailChimp首席信息安全官Siobhan Smyth表示:“3月26日,,我們的安全團(tuán)隊(duì)發(fā)現(xiàn),惡意行為者訪問(wèn)了一個(gè)面向客戶團(tuán)隊(duì),、用于客戶支持和賬戶管理的的內(nèi)部工具,。該事件是由外部參與者發(fā)起的,他對(duì)Mailchimp員工進(jìn)行了社會(huì)工程攻擊,,導(dǎo)致其憑證被泄露,。我們迅速采取行動(dòng),,終止黑客對(duì)被入侵員工賬戶的訪問(wèn),,并采取相應(yīng)措施來(lái)防止更多員工受到影響?!?/p>
除了查看賬戶和導(dǎo)出數(shù)據(jù)以外,,威脅參與者還獲得了對(duì)客戶API密鑰的訪問(wèn)權(quán),目前這些密鑰已被禁用,。應(yīng)用程序編程接口 (API) 密鑰是允許MailChimp客戶直接從他們自己的網(wǎng)站或平臺(tái)管理他們的帳戶和執(zhí)行營(yíng)銷活動(dòng)的訪問(wèn)令牌,。威脅參與者可以憑借這些泄露的API密鑰創(chuàng)建自定義電子郵件活動(dòng),例如發(fā)起網(wǎng)絡(luò)釣魚活動(dòng),,并將它們發(fā)送到用戶郵件列表,,而無(wú)需訪問(wèn)MailChimp的客戶門戶。
俄羅斯石油巨頭Gazprom Neft網(wǎng)站因遭黑客攻擊而關(guān)閉
近期,俄羅斯國(guó)家天然氣公司Gazprom的石油部門Gazprom Neft網(wǎng)站因遭黑客攻擊而被迫關(guān)閉,,這似乎是俄羅斯入侵烏克蘭后對(duì)政府相關(guān)網(wǎng)站的最新黑客攻擊,。據(jù)說(shuō)該網(wǎng)站上有一份來(lái)自俄羅斯天然氣工業(yè)股份公司首席執(zhí)行官阿列克謝米勒的聲明,該聲明似乎已經(jīng)是網(wǎng)站被黑客入侵后的版本了,,這份聲明中對(duì)俄羅斯向?yàn)蹩颂m派遣數(shù)千名士兵的決定發(fā)表了批評(píng)言論,,隨后,該網(wǎng)站就被迫停止運(yùn)營(yíng),。
除此之外,,據(jù)稱多個(gè)烏克蘭新聞網(wǎng)站在上個(gè)月同樣遭到俄羅斯威脅攻擊者的黑客攻擊,并向訪問(wèn)者展示了“Z”符號(hào),。烏克蘭國(guó)家特別通信和信息保護(hù)局在一篇網(wǎng)絡(luò)帖子中證實(shí)了這一事件,,并將責(zé)任歸咎于俄羅斯國(guó)家支持的行為者。
烏克蘭成功挫敗對(duì)其電網(wǎng)的破壞性網(wǎng)絡(luò)攻擊
4月初,,烏克蘭CERT和ESET披露,,沙蟲黑客組織針對(duì)烏能源工控設(shè)施發(fā)起破壞性網(wǎng)絡(luò)攻擊,希望切斷區(qū)域電力供應(yīng),,但被成功阻止,;攻擊者使用了曾導(dǎo)致烏克蘭大停電的Industroyer更新版、CaddyWiper數(shù)據(jù)擦除軟件,;據(jù)分析,,此次攻擊發(fā)生在4月8日晚間,Industroyer2在兩周前已經(jīng)準(zhǔn)備好,,被攻擊網(wǎng)絡(luò)至少在2月已經(jīng)被滲透,。
在這次攻擊中,攻擊者使用了Industroyer的更新版本Industroyer2,。Industroyer是沙蟲組織使用過(guò)的一種惡意軟件,,曾在2015年導(dǎo)致烏克蘭大停電。對(duì)專為工業(yè)環(huán)境設(shè)計(jì)的Industroyer2留下的痕跡的分析表明,,該組織已經(jīng)就對(duì)烏克蘭電力系統(tǒng)攻擊籌劃了數(shù)周,。
美國(guó)土安全部成功挫敗針對(duì)海底互聯(lián)網(wǎng)光纜的網(wǎng)絡(luò)攻擊
美國(guó)國(guó)土安全部當(dāng)?shù)貢r(shí)間4月12日在一份聲明中表示,上周火奴魯魯?shù)穆?lián)邦特工“破壞”了對(duì)一家未具名電信公司服務(wù)器的明顯網(wǎng)絡(luò)攻擊,,該服務(wù)器與負(fù)責(zé)夏威夷和該地區(qū)互聯(lián)網(wǎng),、有線電視服務(wù)和手機(jī)連接的海底光纜相關(guān)。
國(guó)土安全部下屬的國(guó)土安全調(diào)查部(HSI)駐夏威夷的特工收到來(lái)自大陸HSI同行的提示,,導(dǎo)致“涉及與海底電纜相關(guān)的私人公司服務(wù)器的重大違規(guī)行為”中斷,。調(diào)查顯示,“一個(gè)國(guó)際黑客組織”是這次襲擊的幕后黑手,,“幾個(gè)國(guó)家的HSI特工和國(guó)際執(zhí)法合作伙伴得以逮捕嫌疑人”,。
烏克蘭政府遭受威脅行為者IcedID惡意軟件攻擊
近期,,烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組 (CERT-UA) 發(fā)現(xiàn)了新的網(wǎng)絡(luò)釣魚活動(dòng),旨在用IcedID惡意軟件感染烏克蘭政府機(jī)構(gòu)的系統(tǒng),。
攻擊者在網(wǎng)絡(luò)釣魚消息使用了名為“Mobilization Register.xls”的Excel文檔,。當(dāng)用戶打開文檔并啟用嵌入式宏后,該文檔將開始下載并運(yùn)行可執(zhí)行文件,,這個(gè)可執(zhí)行文件可用于解密并運(yùn)行GzipLoader,,GzipLoader可作為IcedID惡意軟件的廣告加載器。用戶下載的EXE文件將解密并運(yùn)行計(jì)算機(jī)上的GzipLoader惡意軟件,,然后該惡意軟件將開始下載,、解密和運(yùn)行IcedID惡意軟件。IcedID惡意軟件(也稱為BankBot)屬于“銀行木馬”類,,除了造成常規(guī)的攻擊影響以外,,還可以執(zhí)行身份驗(yàn)證數(shù)據(jù)竊取。
國(guó)家郵政系統(tǒng)遭網(wǎng)絡(luò)攻擊,,這個(gè)國(guó)家養(yǎng)老金發(fā)放部分中斷
近期,東歐國(guó)家保加利亞的國(guó)家郵政系統(tǒng)遭到網(wǎng)絡(luò)攻擊,,有業(yè)務(wù)系統(tǒng)無(wú)法工作,,導(dǎo)致柜臺(tái)養(yǎng)老金發(fā)放業(yè)務(wù)被迫中斷;這給許多老年人的生活帶來(lái)了意外打擊,,有民眾擔(dān)心拿不到養(yǎng)老金,,沒法應(yīng)付即將到來(lái)的復(fù)活節(jié)假期;保加利亞副總理Kalina Konstantinova稱,,過(guò)去十年以來(lái),,保加利亞郵政的網(wǎng)絡(luò)安全問(wèn)題一直遭到系統(tǒng)性忽視。
網(wǎng)絡(luò)攻擊致使這家航司航班嚴(yán)重延誤近一周
4月17日,,因供應(yīng)商系統(tǒng)遭受網(wǎng)絡(luò)攻擊,,加拿大老牌航空公司陽(yáng)翼航空的重要系統(tǒng)中斷服務(wù),致使航班嚴(yán)重延誤近一周時(shí)間,;此次事件導(dǎo)致至少188個(gè)航班發(fā)生延誤,,許多乘客因此被困在機(jī)場(chǎng),有乘客表示已經(jīng)滯留在機(jī)場(chǎng)超過(guò)3天,;為減少服務(wù)中斷,,陽(yáng)翼航空表示會(huì)盡量以手動(dòng)方式處理航班業(yè)務(wù)。
北美國(guó)家財(cái)政系統(tǒng)遭勒索攻擊
4月18日,,北美洲國(guó)家哥斯達(dá)黎加財(cái)政部披露遭到Conti勒索軟件攻擊,,多個(gè)部委大量系統(tǒng)受影響癱瘓,大量敏感數(shù)據(jù)被盜,;哥國(guó)財(cái)政部受影響最嚴(yán)重,,納稅人信息被盜引發(fā)大眾恐慌,,稅務(wù)海關(guān)等系統(tǒng)癱瘓多天,導(dǎo)致該國(guó)出口業(yè)務(wù)損失慘重,,至少損失2億美元,;哥國(guó)總統(tǒng)稱攻擊者試圖破壞國(guó)家穩(wěn)定,并暗指與俄羅斯有關(guān),。不過(guò)也有安全專家認(rèn)為,,這只是一起普通的金錢勒索,僅僅因?yàn)樵搰?guó)系統(tǒng)漏洞太多,。
南美洲金融中心里約財(cái)政系統(tǒng)遭勒索攻擊,,420GB數(shù)據(jù)被盜
4月22日,巴西里約熱內(nèi)盧州的財(cái)政大臣披露該州的財(cái)政系統(tǒng)遭到LockBit勒索軟件攻擊,,420GB數(shù)據(jù)遭竊取,,威脅不支付贖金將馬上公開數(shù)據(jù);據(jù)悉,,這批數(shù)據(jù)竊取自Sefaz-RJ系統(tǒng)中,,約占州財(cái)政部門全部數(shù)據(jù)存儲(chǔ)量的0.05%;LockBit是目前最流行的勒索軟件即服務(wù)平臺(tái)之一,,有數(shù)據(jù)顯示今年已攻擊了至少650個(gè)目標(biāo)組織,。
網(wǎng)絡(luò)攻擊致使汽車租賃巨頭全球系統(tǒng)中斷
4月29日,國(guó)際汽車租賃巨頭Sixt遭到網(wǎng)絡(luò)攻擊,,部分業(yè)務(wù)系統(tǒng)被迫中斷,,運(yùn)營(yíng)出現(xiàn)大量技術(shù)問(wèn)題;公司的客戶服務(wù)中心和部分分支機(jī)構(gòu)受影響較大,,大多數(shù)汽車預(yù)定都是通過(guò)筆和紙進(jìn)行的,,服務(wù)熱線短時(shí)離線后恢復(fù),業(yè)務(wù)陷入混亂,;據(jù)猜測(cè),,此次攻擊可能屬于勒索軟件攻擊,目前暫時(shí)沒有相關(guān)組織表示負(fù)責(zé),。
農(nóng)業(yè)機(jī)械巨頭愛科遭勒索攻擊
5月初,,美國(guó)農(nóng)業(yè)機(jī)械巨頭愛科遭到勒索軟件攻擊,部分生產(chǎn)設(shè)施運(yùn)營(yíng)受影響,,可能持續(xù)多天,;有經(jīng)銷商表示,這導(dǎo)致拖拉機(jī)銷售在美國(guó)最重要的種植季節(jié)停滯不前,;近一年來(lái)多家農(nóng)業(yè)供應(yīng)鏈企業(yè)遭到攻擊,,農(nóng)業(yè)逐漸成為勒索攻擊重點(diǎn)目標(biāo),F(xiàn)BI已接連發(fā)布兩次行業(yè)預(yù)警,。
勒索攻擊致使美國(guó)老牌高校林肯學(xué)院倒閉
5月初,,位于美國(guó)伊利諾伊州農(nóng)村的林肯學(xué)院表示,,在其成立157年之后,由于新冠疫情和最近遭受的勒索軟件攻擊對(duì)其財(cái)務(wù)造成了殘酷的打擊,,學(xué)院決定將在本月永久關(guān)閉,。林肯學(xué)院網(wǎng)站公告中寫道:“林肯學(xué)院在2021年12月遭受了一次網(wǎng)絡(luò)攻擊,阻礙了招生計(jì)劃和對(duì)所有機(jī)構(gòu)信息的訪問(wèn),,導(dǎo)致對(duì)2022年秋季招生的預(yù)測(cè)無(wú)法明確,。”
最強(qiáng)間諜軟件:難以防范的國(guó)家安全威脅
近期,,以色列間諜軟件Pegasus(飛馬)再次成為歐美關(guān)注的焦點(diǎn),。5月初,西班牙首相桑切斯確認(rèn)遭飛馬軟件入侵,,成為現(xiàn)任全球政府首腦的首個(gè)確認(rèn)案例,。此前,英國(guó)首相鮑里斯·約翰遜辦公室相連設(shè)備也發(fā)現(xiàn) 飛馬間諜軟件的活動(dòng)痕跡,。
接連曝光的事件引發(fā)對(duì)監(jiān)控軟件使用的廣泛爭(zhēng)議,。在全球開展的飛馬項(xiàng)目調(diào)查顯示,目前已在世界各地發(fā)現(xiàn)超過(guò) 450 起疑似飛馬入侵事件,,受害者分布普及世界各地,,包括不少國(guó)家的領(lǐng)導(dǎo)人。
目前飛馬軟件已被美國(guó)商務(wù)部列入黑名單,,正在接受歐洲議會(huì)委員會(huì)的調(diào)查。頻發(fā)曝光的飛馬入侵事件突顯出間諜軟件構(gòu)成的國(guó)家安全威脅,。
俄羅斯電視臺(tái)在勝利閱兵日被黑,,顯示“恐嚇式”反戰(zhàn)信息
5月9日,在俄羅斯舉行勝利日閱兵的重要時(shí)刻,,該國(guó)智能電視顯示的畫面遭到篡改,,展示了許多血淋淋的反戰(zhàn)標(biāo)語(yǔ)信息;俄羅斯主要電視頻道,、最大搜索網(wǎng)站Yandex,、最大視頻網(wǎng)站RuTube均受到網(wǎng)絡(luò)攻擊的影響;俄羅斯政府近期通過(guò)一項(xiàng)法律,,任何抹黑俄羅斯軍隊(duì)及其在烏克蘭作戰(zhàn)行動(dòng)的企圖都是違法的,,上述大部分言論在俄羅斯國(guó)內(nèi)都會(huì)遭到禁止。
加拿大空軍關(guān)鍵供應(yīng)商遭勒索攻擊,,疑泄露44GB內(nèi)部數(shù)據(jù)
5月11日,,加拿大、德國(guó)軍方的獨(dú)家戰(zhàn)機(jī)培訓(xùn)供應(yīng)商Top Aces透露,,已遭到LockBit勒索軟件攻擊,;LockBit團(tuán)伙的官方網(wǎng)站已經(jīng)放出要求,,如不支付贖金將公布竊取的44GB內(nèi)部數(shù)據(jù);
安全專家稱,,針對(duì)國(guó)防相關(guān)企業(yè)的攻擊令人擔(dān)憂,,因?yàn)椤盁o(wú)從得知被盜數(shù)據(jù)最終會(huì)落入哪里”,很可能流入對(duì)手國(guó)家,;LockBit是目前最流行的勒索軟件即服務(wù)平臺(tái)之一,,據(jù)統(tǒng)計(jì)今年已攻擊了至少650個(gè)目標(biāo)組織。
意大利多個(gè)重要政府網(wǎng)站遭新型DDoS攻擊癱瘓
近期,,意大利參議院,、上議院、國(guó)防部等多個(gè)重要政府網(wǎng)站遭到網(wǎng)絡(luò)攻擊,,網(wǎng)站無(wú)法訪問(wèn)至少1個(gè)小時(shí),;意大利CERT發(fā)布預(yù)警稱,此次攻擊使用了“慢速HTTP”的新型DDoS手法,,傳統(tǒng)防御措施較難抵御,,需要針對(duì)性處置;親俄黑客團(tuán)伙Killnet聲稱對(duì)本次攻擊負(fù)責(zé),。
俄最大銀行遭到最嚴(yán)重DDoS攻擊
5月19日,,俄羅斯最大銀行Sberbank(聯(lián)邦儲(chǔ)蓄銀行)官網(wǎng)披露,在5月6日成功擊退了有史以來(lái)規(guī)模最大的DDoS攻擊,,峰值流量高達(dá)450 GB/秒,。
Sberbank副總裁兼網(wǎng)絡(luò)安全主管Sergei Lebed稱,網(wǎng)絡(luò)犯罪分子利用各種策略實(shí)施網(wǎng)絡(luò)攻擊,,包括將代碼注入廣告腳本,、惡意Chrome擴(kuò)展程序,以及被DDoS工具武器化的Docker容器等,。
Sberbank安全負(fù)責(zé)人表示,,俄羅斯網(wǎng)絡(luò)安全發(fā)生了結(jié)構(gòu)性轉(zhuǎn)變,過(guò)去3個(gè)月來(lái)企業(yè)遭受的網(wǎng)絡(luò)攻擊呈現(xiàn)爆炸性增長(zhǎng),,實(shí)力大幅提升,;普京稱俄羅斯正在遭受“信息空間戰(zhàn)爭(zhēng)”,他提出了三項(xiàng)關(guān)鍵任務(wù),,以確保俄關(guān)鍵信息基礎(chǔ)設(shè)施安全,。