一、业界动态
网信办《互联网弹窗信息推送服务管理规定(征求意见稿)》
3月2日,国家互联网信息办公室发布了关于《互联网弹窗信息推送服务管理规定(征求意见稿)》公开征求意见的通知。通知指出,为规范互联网弹窗信息推送服务,维护国家安全和公共利益,根据《中华人民共和国网络安全法》等法律法规制定了本规定。在境内提供操作系统、终端设备、应用软件、网站等服务的,开展互联网弹窗信息推送服务时应当遵守本规定。
http://www.cac.gov.cn/2022-03/02/c_1647826956995841.htm
俄罗斯准备启用本国互联网
俄《消息报》3月1日报道称,俄罗斯对乌克兰发起特别军事行动后,西方国家正对俄实施各种制裁。一些国家的黑客频繁对俄罗斯发动网络攻击,以阻止它们正常运行。未来几天,俄罗斯可能与全球互联网断开。
https://world.huanqiu.com/article/471U8axR0MX
Barracuda发布Log4Shell漏洞利用活动的研究报告
Barracuda分析了自2021年12月10日以来检测到的攻击和payload,并于3月2日发布了Log4Shell漏洞利用活动的报告。报告指出,大多数利用尝试来自美国,其次是日本、中欧和俄罗斯。研究人员发现了多个利用该漏洞的payload,其中僵尸网络Mirai及其变体的占比最大,其次为BillGates malware(DDoS)、Kinsing(加密矿工)、XMRig(加密矿工)和Muhstik(DDoS)。报告还提出有效防范此类攻击的最简单方法是将Log4j更新到2.17.1或更高版本,并确保所有Web应用处于最新状态。
https://blog.barracuda.com/2022/03/02/threat-spotlight-attacks-on-log4shell-vulnerabilities/
CloudSEK称针对印度的钓鱼攻击已造成上百万美元损失
新加坡安全公司CloudSEK在3月1日披露了针对印度的钓鱼攻击的细节信息。此次攻击活动涉及200多个钓鱼网站,以电动汽车为诱饵,已造成高达1000000美元的损失。印度当局最近推出了新政策,以促进该国电动汽车(EV)行业的增长。攻击者通过利用Google Ads、使用相关关键字以及模仿Revolt和Ather等品牌来诱使目标进入钓鱼网站,然后要求他们输入个人和银行卡信息,最终窃取目标的账户资金。
https://cloudsek.com/whitepapers_reports/unearthing-the-million-dollar-scams-targeting-the-indian-electric-vehicle-industry-scams/
美国政府严重警告固件安全是“单点故障”的高风险区域
美国政府发出最高级呼吁人们注意固件供应链中的主要弱点,并警告说,操作系统下方的这一层会带来毁灭性风险,美国国土安全部(DHS)和商务部领导层发布的一份新的联合草案报告称,固件为恶意攻击者颠覆现代计算的核心提供了“一个庞大且不断扩大的攻击面”。
https://www.secrss.com/articles/39921
二、关键基础设施
白俄罗斯铁路遭到Anonymou入侵导致所有服务中断
据媒体报道,黑客团伙Anonymou声称已入侵白俄罗斯铁路的内部网络,并关闭所有服务。目前,网站pass.rw.by、portal.rw.by、rw.by仍无法访问,且该国铁路系统被迫转为手动控制模式,这对列车的运营产生了极大的影响。几日前,Anonymous还入侵了白俄罗斯的武器制造商Tetraedr,并窃取了约200GB的电子邮件。
https://securityaffairs.co/wordpress/128486/hacktivism/anonymous-breached-belarusian-railways.html
全球最大轮胎制造商普利司通遭遇网络攻击
据Southern Standard报道,全球最大的轮胎制造商普利司通的美洲公司在美东时间2月27日遭受网络攻击后,已经“断开”了其许多制造和翻新设施。
https://www.southernstandard.com/top-stories/workers-sent-home-bridgestone-investigates-hack/
三、安全事件
因供应商遭到攻击,日本丰田汽车的14家工厂停产
日本丰田汽车在2月28日宣布,将于3月1日开始,暂停日本14家工厂的28条生产线的运营。此次中断是由于其重要零件供应商小岛工业(Kojima Industries)的系统故障造成的,据报道该公司遭到了网络攻击。据估计,此次事件将导致丰田在日本的月产量下降5%,约合13000辆汽车。丰田的子公司大发汽车和日野汽车也将停产,尚不明确它们受到的具体影响。目前,该公司仍不确定此次中断会持续多久。
https://threatpost.com/toyota-to-close-japan-plants-after-suspected-cyberattack/178686/
佳能的子公司Axis遭到攻击导致部分系统暂时中断
据媒体报道,瑞典公司Axis Communications遭到网络攻击导致部分系统中断。Axis是佳能的子公司,2019年营业收入超过12.35亿美元。攻击发生于2021年2月20日,该公司立即对此事展开调查。调查于2月27日完成,结果显示没有服务器被加密,也没有客户信息受到影响,攻击者通过社工攻击控制了一名员工的账户,并在没有触发任何警报的情况下入侵了系统。目前,该公司的操作系统和应用程序仍处于离线状态,Camera Station许可系统也无法使用。
https://www.bleepingcomputer.com/news/security/axis-communications-shares-details-on-disruptive-cyberattack/
伊朗UNC3313利用2个新后门攻击中东的某政府机构
Mandiant在2月24日发布的报告披露了伊朗UNC3313使用的2个新后门的细节。研究人员在2021年11月检测到UNC3313针对中东某政府机构的攻击,并在调查过程中发现了新的恶意软件GRAMDOOR和STARWHALE。其中,STARWHALE是一个Windows脚本文件(.WSF),执行从硬编码C2服务器接收到的命令;GRAMDOOR被部署为NSIS安装程序,并通过设置Windows Run注册表项实现持久性。
https://www.mandiant.com/resources/telegram-malware-iranian-espionage
俄乌冲突引发网络武器库泄露
俄乌冲突引发民间网络安全能力者的分裂,Conti勒索软件选择站队俄罗斯,引发一名乌克兰安全研究人员的愤怒,开始疯狂地公开泄露Conti内部数据,据分析,泄露数据包括Conti勒索软件代码、TrickBot木马代码、Conti培训材料、Conti/TrickBot内部交流的各种攻击技巧等,已然是一个小型网络武器库。
https://mp.weixin.qq.com/s/fG04hFnLwMI1Q5diJdNcZQ
四、漏洞事件
JFrog发布关于开源库PJSIP中5个内存损坏漏洞的报告
JFrog在3月1日发布了关于PJSIP中5个内存损坏漏洞的报告。PJSIP是一个开源多媒体通信库,提供了IP电话应用使用的API。漏洞包括可导致的代码执行的堆栈溢出漏洞(CVE-2021-43299、CVE-2021-43300和CVE-2021-43301),以及可导致拒绝服务的越界读取漏洞(CVE-2021-43302)和缓冲区溢出漏洞(CVE-2021-43303)。这些漏洞已通过2月24日发布的补丁修复。
https://jfrog.com/blog/jfrog-discloses-5-memory-corruption-vulnerabilities-in-pjsip-a-popular-multimedia-library/
研究人员公开Linux内核提权漏洞CVE-2022-0492的细节
研究人员在3月3日公开了Linux内核中的提权漏洞(CVE-2022-0492)的细节。它是Linux控制组(cgroups)中的一个逻辑漏洞,存在于/cgroup/cgroup-v1.c函数中的cgroup_release_agent_write。在某些情况下,其可被用来通过cgroups v1的release_agent特性提升权限,并绕过名称空间隔离。目前,该漏洞 已在最新的Linux版本中修复,研究人员建议所有用户升级到最新版本。
https://unit42.paloaltonetworks.com/cve-2022-0492-cgroups/
