网络安全检测与防护技术
国家地方联合工程研究中心深圳分中心

本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳东塔安全快讯,10分钟带你了解最新网络安全大事件,多喝水,多睡觉,多挖洞,还有最重要的就是,别忘了准时来看

发表时间:2021-05-31 20:37

本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳


东塔安全快讯,10分钟带你了解最新网络安全大事件,多喝水,多睡觉,多挖洞,还有最重要的就是,别忘了准时来看东塔每周快讯哦!



很多人总以为网络安全是件与自己没多大关系的事,其实并非如此。在我们的日常生活中,但凡和手机相关的内容,例如聊天、刷抖音、微信支付等等都与网络安全息息相关。随着5G技术的发展,中国移动互联网的普及率来看,网络安全已经与国家、企业、普通用户的利益已经完全分不开,不注重网络安全,小则可能会给我们带来一些麻烦,大则可能让我们产生金钱损失。


本期快讯


                                                         


01

黑客入侵富士通ProjectWEB平台,

日本多个政府数据被窃

02

伊朗黑客组织Agrius“假冒”勒索团伙,

掩盖网络间谍的真实目的

03

VMware 产品曝出高危漏洞


详情看点


01


黑客入侵富士通ProjectWEB平台,

日本多个政府数据被窃



1.jpg

图:Freebuf


据报道,由于黑客入侵了富士通的ProjectWEB平台,多个日本政府部门的数据已经被窃取。

Fujitsu(富士通)是世界领先的日本信息通信技术(ICT)企业,提供全方位的技术产品、解决方案和服务。“ ProjectWEB”是其管理和运营的项目信息共享工具,被多个日本政府单位广泛使用。

日本公共广播公司NHK表示目前受影响的政府以及其他实体部门包括:

日本国土交通省;日本内阁秘书处;日本成田国际机场。



日本国土交通省及外务省(外交部)发布消息称:

至少约76000个国土交通省职员的电子邮箱地址,以及专家会议成员等省外相关人士的邮箱地址遭泄露。

外务省(外交部)遭泄露的是旨在实现数字政府的讨论资料,其中也包括部分个人信息。



统筹行政机构网络攻击对策的内阁网络安全中心(NISC)也发布消息称:

构成系统的电脑产品名称、维保日程等已泄露。

另有多家法人客户托管的信息被窃取。


成田国际机场公司(NAA)也宣布:

与机场运航信息管理系统相关的信息已外泄,攻击者已经设法窃取了空中交通管制数据,航班时刻表和商业运作文件等。(具体是否有涉密文件泄露,暂时未知。)



据内阁网络安全中心(NISC)连续发布的警报称,富士通于5月25日发现了这一入侵事件。在检测到攻击的第二天,富士通在NISC调查人员所施加的压力下, 关闭了ProjectWEB平台,以调查漏洞的范围和原因。

参考链接:

https://www.zdnet.com/article/various-japanese-government-entities-had-data-stolen-in-cyber-attack-report/

https://mp.weixin.qq.com/s/wXhUZLxg6yPayc3w3QnxTA

参考来源:FreeBuf.COM

本文作者:三分浅土

02



伊朗黑客组织Agrius“假冒”勒索团伙,

掩盖网络间谍的真实目的


知名企业的工控设备存在高危漏洞,


2.jpg

:Freebuf


Agrius黑客组织已经从单纯地使用“雨刷”恶意软件转别为将“雨刷”与赎金软件功能相结合的方式。

“雨刷”是一种恶意软件程序,旨在彻底销毁受感染设备上的数据,且数据无法恢复。



现在,Agrius在用该软件彻底销毁数据之前,会先假装对数据进行加密以勒索赎金。

SentinelOne研究人员表示,Agrius黑客组织在2020年针对以色列攻击时首次被发现。该组织将自己的定制工具库和现成的攻击性安全软件相组合,部署破坏性的“雨刷”以及此次发现的带有赎金软件功能的“雨刷”变体。

与Maze或Conti等勒索团伙不同,Agrius组织似乎并不单纯只抱有经济目的。根据观察,勒索软件的使用只是覆盖于其网络间谍和破坏攻击上的一层面纱。

研究人员表示,Agrius 故意将他们的活动掩盖为赎金软件攻击,而实际上却对以色列目标进行破坏性攻击。因此,研究人员怀疑该组织是由国家支持的。



Agrius黑客组织攻击手法

在攻击的第一阶段,Agrius会使用VPN访问属于目标受害者的面向公众的应用程序或服务,然后再通过受损的账户和软件漏洞尝试利用。

例如,FortiOS中被命名为CVE-2018-13379的漏洞,已被广泛用于针对以色列目标的利用尝试中。

如果利用成功,他们就会继续部署webshell,并使用公共网络安全工具进行凭证采集和网络移动,然后部署恶意软件有效载荷。

Agrius的工具库中包含着Deadwood(也被称为Detbosit),这是一种破坏性的“雨刷”恶意软件。该恶意软件与2019年针对沙特阿拉伯的攻击有关,被认为是APT33的作品。此外,APT33和APT34都被认为会使用包括Deadwood、Shamoon和ZeroCleare在内的雨刷。

在攻击过程中,Agrius还投放了一个名为IPsec Helper的自定义.NET后门,以保持持久性,并与命令和控制(C2)服务器建立连接。此外,该组织还将投放一个被称为Apostle的新型.NET漏洞。并且IPsec Helper和Apostle似乎是同一个开发者的作品。

最近,在针对阿拉伯联合酋长国的一个国有设施的攻击中,Apostle似乎已经被改进,以包含功能性的勒索软件组件。

然而,研究人员认为,Agrius在开发过程中关注的是勒索软件的破坏性功能,如加密文件的能力-,而不是谋取经济上的利益。



Agrius的攻击意图

研究人员说表示,他们更愿意相信新添加的加密功能是为了掩盖其实际意图——破坏受害者的数据。

并且,这一论点可以在Apostle的早期版本中得到证实。Apostle早期版本的部署是为了擦除数据,但可能由于恶意软件的逻辑缺陷而未能做到。这个有缺陷的执行导致了Deadwood雨刷的部署。当然,成功擦除数据并没有阻止攻击者继续索要赎金。

SentinelOne表示,目前还没有发现Agrius与其他APT组织的 "可靠 "联系,但由于Agrius对伊朗问题有浓重的兴趣,并且部署与伊朗制造的变种有联系的webshell,以及最先使用“雨刷”——一种早在2002年就与伊朗APT组织有关的攻击技术,这些证据都可以合理推测该组织可能来自伊朗。

文章来源:zdnet

参考来源:FreeBuf.COM

本文作者:三分浅土


03


VMware 产品曝出高危漏洞


知名企业的工控设备存在高危漏洞,


VMware 用于数据中心管理虚拟化的软件 vCenter Server曝出了一个高危漏洞。漏洞编号 CVE-2021-21985,危险等级9.8/10。VMware 称,因默认启用的插件 Virtual SAN Health Check 缺乏输入验证,vSphere Client (HTML5)包含了一个远程代码执行漏洞,能访问端口 443 的攻击者可能利用漏洞执行指令。全世界有 4.3 万家机构使用 vSphere,其中 5594 个服务器可公网访问,美国最多,其次是德国和中国。

本文出处:Solidot


本文内容均转载于他处,仅代表作者个人观点,本只提供参考并不构成任何投资及应用建议。(若存在内容、版权或其它问题,请联系我方处理)

东塔提示

大数据是当今时代的高科技产物,具有高速、大量、多样等特点,对纷繁复杂、高速发展的社会而言十分重要。


在大数据的背景下,网络安全关系到行业的发展和企业的核心竞争力等,病毒入侵以及信息泄露等网络安全面临的诸多威胁,会侵害到用户的权益和企业的利益,还会影响网络的秩序,甚至造成更严重的后果。所以对于网络安全风险越来越趋于复杂、严重和隐秘的现象,大家需要时刻保持警惕哦!

东塔网络安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台学习起来吧~


微博、腾讯课堂、知乎、今日头条:

东塔网络安全学院

抖音:东塔网络安全培训

哔哩哔哩:东塔网络安全

了解更多活动和咨询欢迎微信添加:dongtakefu


插图8-客服小姐姐微信.jpg

-免费获取学习资料

电子书籍、试听课程-


插图18-东塔安全学员推文底图.png

点击蓝字
关注我们