金瀚信息為大家收集了一些近期發(fā)生的網(wǎng)絡(luò)安全事件，一起來(lái)看看吧！

　　01 加拿大稅務(wù)局網(wǎng)站被黑!5500個(gè)賬戶被盜 黑客瘋狂詐領(lǐng)救濟(jì)金!

　　加拿大稅務(wù)局CRA網(wǎng)站被黑了!數(shù)千個(gè)CRA賬戶被盜，存款信息暴露!

　　據(jù)多家媒體報(bào)道，近日，加拿大稅務(wù)局(CRA)遭到黑客兩次攻擊，被迫暫停網(wǎng)上服務(wù)，而加拿大納稅人有至少5,500個(gè)各類帳戶被盜用，納稅人電子郵件地址和直接存款信息也被暴露。

　　CRA發(fā)言人杜迪(Christopher Doody)在一封電郵中發(fā)布聲明說(shuō)：“CRA迅速識(shí)別了受攻擊及影響的帳戶，并停止這些帳戶的存取信息，以確保納稅人的信息安全。CRA正分析這兩宗事件，并已要求皇家騎警協(xié)助，就此展開(kāi)調(diào)查?！?/span>

　　聲明中說(shuō)，“在此事件中，欺詐者再次使用了以前數(shù)據(jù)泄露事件中從第三方所獲取的用戶名和密碼。”除了CRA帳戶之外，使用GCKey的數(shù)千人也受到影響。GCKey是一個(gè)安全門戶，該門戶使加拿大人可以在線訪問(wèn)政府服務(wù)。

　　聲明還說(shuō)：“在加拿大大約1200萬(wàn)個(gè)活躍的GCKey帳戶中，有9,041個(gè)用戶的密碼和用戶名，已經(jīng)被犯罪分子通過(guò)欺詐手段獲取，并被用于嘗試訪問(wèn)政府服務(wù)，其中有三分之一或存在可疑活動(dòng)?！?/span>

　　首次發(fā)現(xiàn)黑客入侵時(shí)，約有30個(gè)聯(lián)邦部門使用的與CRA相關(guān)的賬戶被迫關(guān)閉。

　　發(fā)言人提醒加拿大納稅人，“為幫助降低受此類網(wǎng)絡(luò)攻擊影響的風(fēng)險(xiǎn)，強(qiáng)烈建議用戶避免在不同系統(tǒng)和應(yīng)用程序中重復(fù)使用相同的密碼?！?/strong>

　　杜迪表示，該機(jī)構(gòu)正在向那些帳戶被盜的用戶發(fā)送信件：“CRA將優(yōu)先安排接聽(tīng)受欺詐影響和身份盜竊受害者的電話，并盡快答復(fù)用戶的問(wèn)題?！痹摍C(jī)構(gòu)還建議，“My Account”用戶最好啟用電子郵件通知，CRA認(rèn)為這樣做，可以“對(duì)加拿大人帳戶中的潛在欺詐活動(dòng)發(fā)出預(yù)警。”

　　CRA強(qiáng)調(diào)，盡管稅局網(wǎng)絡(luò)系統(tǒng)的功能受到影響，但有關(guān)違規(guī)行為現(xiàn)已停止。

　　02 三星再曝漏洞：可能受到黑客遠(yuǎn)程監(jiān)控

　　最新研究報(bào)告稱：預(yù)裝在三星手機(jī)上的安卓應(yīng)用軟件“查找我的手機(jī)”，存在一系列的安全漏洞，可能會(huì)讓遠(yuǎn)程攻擊者跟蹤受害者的實(shí)時(shí)位置、監(jiān)控電話和消息，甚至刪除手機(jī)上存儲(chǔ)的數(shù)據(jù)。

　　漏洞報(bào)告：

　　葡萄牙的網(wǎng)絡(luò)安全服務(wù)提供商”Char49“在上周的defcon大會(huì)上透露了對(duì)三星的”查找手機(jī)“ 安卓應(yīng)用程序的調(diào)查結(jié)果。

　　defcon大會(huì)：比肩blackhat的黑客大會(huì)，不過(guò)defcon主辦黑客比賽。由于疫情，今年8月7日到9日在線上舉辦。

　　“此漏洞在安裝后很容易被利用，對(duì)用戶造成嚴(yán)重的影響，并可能造成毀滅性影響：鎖定電話的永久拒絕服務(wù)，恢復(fù)出廠設(shè)置(包括SD卡)時(shí)完全丟失數(shù)據(jù)，通過(guò)IMEI和位置跟蹤，通話和短信日志訪問(wèn)獲取隱私信息。”Char49的PedroUmbelino在技術(shù)分析中說(shuō)。

　　這些漏洞存在于未修補(bǔ)的三星Galaxy S7、S8和S9+設(shè)備上，三星在將該漏洞標(biāo)記為“高危漏洞”后便解決了。

　　三星的“查找手機(jī)”服務(wù)允許三星設(shè)備的所有者遠(yuǎn)程定位和鎖定他們的智能手機(jī)或平板電腦，將設(shè)備上存儲(chǔ)的數(shù)據(jù)備份到三星云服務(wù)上，刪除本地?cái)?shù)據(jù)，并阻止使用三星支付。

　　根據(jù)Char49的說(shuō)法，該應(yīng)用程序中有四個(gè)不同的漏洞，可能被安裝在目標(biāo)設(shè)備上的惡意應(yīng)用程序利用，形成一個(gè)中間人攻擊，從后端服務(wù)器劫持通信并窺探受害者。

　　漏洞成因：

　　“查找手機(jī)”應(yīng)用程序會(huì)檢查設(shè)備SD卡的“/mnt/sdcard/fmm.prop”來(lái)加載一個(gè)URL“mg.URL”，這就允許流氓應(yīng)用程序創(chuàng)建此文件，然后使用該文件潛在的劫持與服務(wù)器的通信。

　　Umbelino說(shuō)：“通過(guò)將MG URL指向攻擊者控制的服務(wù)器并強(qiáng)制注冊(cè)，攻擊者可以獲得用戶的許多詳細(xì)信息：通過(guò)IP地址、IMEI、設(shè)備品牌、API級(jí)別、備份應(yīng)用程序和其他一些信息進(jìn)行粗略定位。”

　　為了實(shí)現(xiàn)定位，安裝在設(shè)備上的惡意應(yīng)用程序利用一個(gè)漏洞攻擊鏈，利用兩個(gè)“廣播接收器”，將發(fā)送到三星服務(wù)器的命令從“查找手機(jī)”應(yīng)用程序重定向到另一個(gè)受攻擊者控制的服務(wù)器，并執(zhí)行惡意命令。

　　廣播接收器：Android 廣播接收器，用于響應(yīng)來(lái)自其他應(yīng)用程序或者系統(tǒng)的廣播消息。

　　惡意服務(wù)器也會(huì)將請(qǐng)求轉(zhuǎn)發(fā)給合法服務(wù)器并檢索響應(yīng)，但不會(huì)在注入惡意服務(wù)器的命令之前進(jìn)行。

　　這樣一來(lái)，攻擊可以讓黑客追蹤設(shè)備的位置，抓取通話數(shù)據(jù)和短信進(jìn)行間諜活動(dòng)，鎖定手機(jī)索要贖金，并通過(guò)恢復(fù)出廠設(shè)置來(lái)清除所有數(shù)據(jù)。

　　Umbelino最后提到：“查找手機(jī)這個(gè)應(yīng)用程序不應(yīng)該有任意組件公開(kāi)可用，并且處于導(dǎo)出狀態(tài)。如果有需要，例如，其他包需要調(diào)用這些組件，則應(yīng)使用適當(dāng)?shù)臋?quán)限保護(hù)它們，公開(kāi)的文件測(cè)試代碼也應(yīng)該被消除。”

　　03 再次作案：新型勒索軟件攻擊影像IT巨頭柯尼卡美能達(dá)

　　近日，日本影像科技巨頭柯尼卡美能達(dá)企業(yè)服務(wù)近一周。該勒索事件發(fā)生在7月底，影像了商業(yè)技術(shù)巨頭柯尼卡美能達(dá)企業(yè)服務(wù)近一周。

　　柯尼卡美能達(dá)是日本跨國(guó)商業(yè)技術(shù)巨頭，擁有近44000名員工，2019年的收入超過(guò)90億美元。企業(yè)提供大規(guī)模的服務(wù)和多種產(chǎn)品，從打印解決方案，醫(yī)療技術(shù)到為企業(yè)提供托管等IT服務(wù)。

　　始于網(wǎng)站停機(jī)機(jī)

　　2020年7月30日，有客戶反饋柯尼卡美能達(dá)產(chǎn)品供應(yīng)與支持網(wǎng)站無(wú)法訪問(wèn)，并呈現(xiàn)以下信息：

　　柯尼卡美能達(dá)“ MyKMBS”客戶門戶暫時(shí)不可用。我們正在努力解決此問(wèn)題，對(duì)于指出給您帶來(lái)的任何不便，我們深表遺憾意。如果您亟需服務(wù)幫助，請(qǐng)致電1-800- 456-5664(美國(guó))或1-800-263-4410(加拿大)致電我們的全球客戶服務(wù)。

　　網(wǎng)站關(guān)閉了近一周，客戶也并不清楚網(wǎng)站無(wú)法訪問(wèn)的具體原因。某些柯尼卡美能達(dá)打印機(jī)還顯示“服務(wù)通知失敗”錯(cuò)誤，該組織也及時(shí)更新了網(wǎng)站停止訪問(wèn)的消息。

　　遭遇RansomEXX勒索

　　隨后，網(wǎng)上傳出黑客勒索柯尼卡美能達(dá)使用的退款金票據(jù)的副本。如下圖所示，該退款金記錄稱為“!KONICA_MINOLTA_README !!。txt，”公司設(shè)備都被加密了，文件也加上了“ .K0N1M1N0”的擴(kuò)展后綴。

　　RansomEXX是一種新型勒索軟件，因攻擊了德克薩斯州交通運(yùn)輸部的網(wǎng)絡(luò)在今年6月首次被發(fā)現(xiàn)。和其他勒索軟件一樣，以企業(yè)為目標(biāo)，但是和其他通過(guò)網(wǎng)絡(luò)釣魚和惡意軟件分發(fā)的勒索軟件不同的是，RansomEXX需要人為糾正。執(zhí)行攻擊后，勒索軟件將打開(kāi)一個(gè)控制臺(tái)，該控制臺(tái)在攻擊者運(yùn)行時(shí)向其顯示信息。

　　黑客入侵企業(yè)網(wǎng)絡(luò)潛藏，并通過(guò)時(shí)間的流逝，再傳播到其他設(shè)備以獲取管理員位置。一旦獲得管理員權(quán)限并訪問(wèn)Windows域控制器，他們便可以在網(wǎng)絡(luò)上部署勒索軟件并提供所有設(shè)備進(jìn)行加密。

　　Ransom X在整個(gè)加密過(guò)程中插入的命令，這些命令包括：

　　清除Windows事件日志

　　刪除NTFS日記

　　補(bǔ)充系統(tǒng)還原

　　局部Windows恢復(fù)環(huán)境

　　刪除Windows備份目錄

　　清除本地驅(qū)動(dòng)器上的可用空間。

　　04 美國(guó)酒業(yè)巨頭百富門遭Sodinokibi勒索軟件竊取超1TB數(shù)據(jù)

　　近日據(jù)外媒報(bào)道，Sodinokibi(REvil)勒索軟件運(yùn)營(yíng)商上周宣布，他們已經(jīng)破壞了Brown-Forman的網(wǎng)絡(luò)系統(tǒng)，該公司是美國(guó)烈酒和葡萄酒行業(yè)最大公司之一。

　　據(jù)悉，Brown-Forman公司是美國(guó)最大的烈酒和葡萄酒公司之一，該公司總部位于肯塔基州路易斯維爾，在全球范圍內(nèi)制造多個(gè)知名品牌，包括杰克·丹尼爾(Jack Daniel"s)，Old Forester，伍德福德(Woodford)，和Chambord等等品牌。

　　事件發(fā)生后，威脅行動(dòng)者聲稱已竊取1TB的機(jī)密數(shù)據(jù)，并計(jì)劃將最敏感的信息用于拍賣，并會(huì)泄漏其余信息。據(jù)統(tǒng)計(jì)，該團(tuán)伙竊取的數(shù)據(jù)包括機(jī)密員工的信息，公司協(xié)議，合同，財(cái)務(wù)報(bào)表和內(nèi)部消息。

　　Sodinokibi勒索軟件運(yùn)營(yíng)商表示，在攻擊發(fā)生之前，他們已經(jīng)花費(fèi)了一個(gè)多月的時(shí)間來(lái)檢查該公司的基礎(chǔ)架構(gòu)。Sodinokibi勒索軟件操作員在其泄漏站點(diǎn)上發(fā)布了多個(gè)屏幕快照，其中顯示了據(jù)稱屬于該公司的目錄和文件，以及一些員工之間的內(nèi)部對(duì)話。Sodinokibi運(yùn)營(yíng)商旨在通過(guò)該報(bào)告迫使Brown-Forman支付贖金。

　　隨后，Brown-Forman公司在一份聲明中披露了該事件，承認(rèn)遭受了勒索軟件的攻擊，同時(shí)他們披露了有關(guān)該事件的一些細(xì)節(jié)，包括事件何時(shí)發(fā)生以及黑客是如何訪問(wèn)數(shù)據(jù)的。該公司向當(dāng)局報(bào)告了此事件，并聘請(qǐng)了世界一流的第三方數(shù)據(jù)安全專家來(lái)調(diào)查此事件并盡快解決此問(wèn)題。

　　Brown-Forman發(fā)言人表示：“我們?cè)诎l(fā)現(xiàn)攻擊后迅速采取行動(dòng)，阻止了我們的系統(tǒng)被加密。但是部分重要信息，包括員工數(shù)據(jù)依舊受到了影響。我們正在與執(zhí)法機(jī)構(gòu)以及世界一流的第三方數(shù)據(jù)安全專家緊密合作，以盡快緩解和解決這種情況?！?/span>

　　05 全球最大郵輪運(yùn)營(yíng)商遭遇勒索軟件攻擊

　　被疫情重創(chuàng)的郵輪業(yè)再遭打擊，全球最大的郵輪運(yùn)營(yíng)商嘉年華公司(Carnival Corporation)今天發(fā)布公告承認(rèn)在上周末遭受了勒索軟件攻擊。

　　在向美國(guó)證券交易委員會(huì)(SEC)提交的8-K備案文件中，該公司表示，該事件發(fā)生在8月15日(星期六)。

　　嘉年華公司指出，攻擊者“訪問(wèn)并加密了公司信息技術(shù)系統(tǒng)的一部分”，入侵者還從公司的網(wǎng)絡(luò)下載了文件。

　　這家郵輪運(yùn)營(yíng)商表示，已經(jīng)開(kāi)始對(duì)安全事件進(jìn)行調(diào)查，通知執(zhí)法部門，并與法律顧問(wèn)和事件響應(yīng)專家進(jìn)行了接觸。

　　根據(jù)對(duì)該事件的初步評(píng)估，嘉年華表示，攻擊者能夠訪問(wèn)某些顧客和員工的個(gè)人數(shù)據(jù)，但預(yù)計(jì)該事件不會(huì)對(duì)其“業(yè)務(wù)，運(yùn)營(yíng)或財(cái)務(wù)業(yè)績(jī)”產(chǎn)生重大影響。

　　嘉年華沒(méi)有透露有關(guān)事件本身的任何細(xì)節(jié)，例如勒索軟件的名稱或者哪些系統(tǒng)受到了影響。

　　如今，嘉年華公司已成為世界上最大的郵輪運(yùn)營(yíng)商，擁有超過(guò)150,000名員工、600艘船隊(duì)以及多個(gè)郵輪品牌，例如嘉年華郵輪公司、公主郵輪公司、荷蘭美國(guó)公司線、Seabourn、P&O郵輪公司(澳大利亞) 、科斯塔郵輪、愛(ài)達(dá)郵輪、P&O郵輪(英國(guó))和庫(kù)納德。

　　今年早些時(shí)候，即3月，嘉年華公司曾披露過(guò)一次網(wǎng)絡(luò)攻擊事件，入侵者在2019年4月至2019年6月之間訪問(wèn)其內(nèi)部網(wǎng)絡(luò)，并竊取了一些客人的個(gè)人信息。

　　06 Google Chrome瀏覽器漏洞使數(shù)十億用戶遭受數(shù)據(jù)被盜風(fēng)險(xiǎn)

　　谷歌的Chrome瀏覽器中存在安全漏洞，攻擊者可利用該漏洞繞過(guò)網(wǎng)絡(luò)的內(nèi)容安全策略(CSP)，進(jìn)而竊取用戶數(shù)據(jù)并執(zhí)行流氓代碼。

　　PerimeterX網(wǎng)絡(luò)安全研究人員Gal Weizman表示，該漏洞編號(hào)為CVE-2020-6519，存在于Windows、Mac和安卓的Chrome、Opera和Edge瀏覽器中，潛在影響用戶多達(dá)十億。其中，Chrome的73版本(2019年3月)到83版本均會(huì)受到影響，84版本已在7月發(fā)布，并修復(fù)了該漏洞。Chrome瀏覽器擁有超過(guò)20億用戶，并且占瀏覽器市場(chǎng)的65%以上。

　　CSP是一種Web標(biāo)準(zhǔn)，旨在阻止某些攻擊，比如跨站點(diǎn)腳本(XSS)和數(shù)據(jù)注入攻擊。CSP允許Web管理員指定瀏覽器將其視為可執(zhí)行腳本的有效源的域。然后，與CSP兼容的瀏覽器將僅執(zhí)行從這些域接收的源文件中加載的腳本。

　　對(duì)此，Weizman在報(bào)告中表示：“CSP是網(wǎng)站所有者用來(lái)執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意影子代碼的主要方法，因此當(dāng)繞過(guò)瀏覽器執(zhí)行時(shí)，個(gè)人用戶數(shù)據(jù)將面臨風(fēng)險(xiǎn)。”

　　目前，大多數(shù)網(wǎng)絡(luò)均使用CSP策略，比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo和Zoom等互聯(lián)網(wǎng)巨頭。當(dāng)然，也有如GitHub、Google Play商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不會(huì)受此次漏洞的影響。

　　Chrome的CSP強(qiáng)制執(zhí)行機(jī)制中存在漏洞并不直接表示網(wǎng)站已被破壞，因?yàn)楣粽哌€需要設(shè)法從該網(wǎng)站獲取惡意腳本。網(wǎng)站信任的安全機(jī)制存在漏洞，安全機(jī)制原本可以對(duì)第三方腳本執(zhí)行更嚴(yán)格的策略，但是因?yàn)槁┒磿?huì)讓網(wǎng)站認(rèn)為他們是安全的而允許他們通過(guò)。

　　攻擊者利用該漏洞獲取Web服務(wù)器權(quán)限(通過(guò)暴破密碼或者其他方式)并修改JavaScript利用代碼。在JavaScipt中增加 frame-src或者child-src指令，攻擊者利用這種方式繞過(guò)CSP策略執(zhí)行、繞過(guò)網(wǎng)站安全規(guī)則。

　　經(jīng)驗(yàn)證后，該漏洞的威脅程度為中等(6.5分)，然而，因?yàn)樵撀┒瓷婕癈SP策略執(zhí)行，所以影響很廣。網(wǎng)站開(kāi)發(fā)人員允許第三方腳本修改支付頁(yè)面，比如知道CSP會(huì)限制敏感信息，所以破壞或者繞過(guò)CSP，便可以竊取用戶敏感信息比如支付密碼等。這無(wú)疑給網(wǎng)站用戶的信息安全帶來(lái)很大的風(fēng)險(xiǎn)。

　　該漏洞在Chrome瀏覽器中存在超過(guò)一年了，目前該漏洞已經(jīng)修復(fù)。但是該漏洞的后續(xù)影響尚不明確，一旦遭到利用，用戶數(shù)據(jù)遭竊取用于非法途徑，后果將不堪設(shè)想。

　　在報(bào)告中還可以看到安全研究人員測(cè)試瀏覽器或者網(wǎng)站是否容易受到該漏洞影響的過(guò)程，創(chuàng)建一個(gè)簡(jiǎn)單的腳本，當(dāng)通過(guò)devtools控制臺(tái)執(zhí)行該腳本時(shí)，可以測(cè)試所有這些網(wǎng)站，該腳本將立即通知當(dāng)前的瀏覽器/網(wǎng)站是否由于CSP/Old Chrome配置錯(cuò)誤而受到CVE-2020-6519的攻擊。嘗試從 https://pastebin.com/raw/XpHsfXJQ正常加載外部js腳本，并加載漏洞利用程序。以下以測(cè)試后的三種結(jié)果：

　　瀏覽器和網(wǎng)站容易受到攻擊

　　瀏覽器易受攻擊，但網(wǎng)站不易受攻擊

　　瀏覽器不容易受到攻擊

　　因此，用戶可從以下幾個(gè)方面做好安全防護(hù)措施：

　　1.確保CSP策略定義正確。考慮添加其他安全性層，例如nonces或hashs，這將需要在一些服務(wù)器端實(shí)現(xiàn)

　　2.僅CSP對(duì)大多數(shù)網(wǎng)站而言還不夠，因此，請(qǐng)考慮添加其他安全層?？紤]基于JavaScript的影子代碼檢測(cè)和監(jiān)視，以實(shí)時(shí)緩解網(wǎng)頁(yè)代碼注入

　　3.確保Chrome瀏覽器版本為84或更高版本。

　　資料整合來(lái)源于互聯(lián)網(wǎng)