2020重大网络安全事件盘点 · 金融篇
导读
2020年,网络安全挑战再度升级,各行业数据泄露事件层出不穷。Risk Based Security(风险基础安全)数据显示,2020年全球数据泄露总数高达360亿,达到历史新高。
微步在线持续密切关注全球网络安全态势,并对2020年全球重大安全事件进行了梳理,精选出金融、互联网、能源、通信、工控、教育、医疗等行业的代表性事件,以及疫情相关的重大攻击事件,以便大家了解全球最新安全威胁,及时做好安全加固,防患于未然。
2020重大安全事件盘点将会按细分行业陆续发布,敬请持续关注。
金融行业一直是网络攻击的重点目标,攻击者通过 DDoS 攻击、漏洞、勒索软件、木马病毒等手段对各大金融机构发起攻击,窃取敏感数据,进行金融诈骗。2020年,全球多个银行机构发生数据泄露事件。此外,随着数字加密货币的兴起,各大加密货币交易所也成为网络攻击的重灾区。
2020年2月 | 自称Silence的攻击团伙威胁进行DDoS攻击勒索澳大利亚银行
2020年2月,澳大利亚网络安全中心 ACSC 发布报告称针对澳大利亚机构(主要是银行等金融部门)的一些勒索性的拒绝服务威胁正在出现。自称 Silence 的攻击团伙发送勒索邮件给金融部门,称如果不支付一定量的门罗币(一种虚拟货币),将对收件方进行持续的 DDoS 攻击。目前,ACSC 尚未收到有关方遭受 DDoS 攻击的报告。自2019年10月,此类以 DDoS 攻击为威胁的勒索活动开始盛行,新加坡和南非银行也曾遭遇相似勒索,勒索方自称 Fancy Bear、Anonymous、Carbanak 等已知黑客团伙。根据以往情报分析,该团伙除了DDoS攻击方式外,还会向银行员工发送包含恶意软件的网络钓鱼电子邮件。恶意软件进入银行的安全区域并沉默一段时间,通过捕获屏幕快照,并在受感染的设备上进行日常活动的录像,来收集攻击目标的信息,了解目标银行的工作方式。一旦攻击者准备采取行动,他们就会激活恶意软件所有功能。
微步在线点评
- Silence 的攻击具有较强针对性和超长潜伏期的特点,在潜伏期高威胁行为不明显使得威胁检测难度大。因此需要加强基层的安全意识,警惕异常邮件,有效防止 Silence 的钓鱼邮件攻击。
- Silence 是近年来比较活跃并长期针对银行和其他金融机构的 APT 组织,同时在国内多家金融机构检测到有 Silence 的痕迹。
- 此类勒索团伙大概率是盗用知名黑客团伙之名,但不排除其本身具备 DDoS 攻击能力,DDoS 攻击对银行等金融部门业务影响较大,相关部门需要引起重视,健全自身 DDoS 防御能力。
参考链接:
https://www.zdnet.com/article/australian-banks-targeted-by-ddos-extortionists/
2020年5月 | Maze勒索软件运营者泄露哥斯达黎加银行近4GB数据
2020年5月,Maze 勒索软件运营者在其网站上多次公开了从哥斯达黎加银行(Banco BCR)窃取的信用卡数据,并威胁会泄露更多的数据,目前已经公开了两个 CSV 文件,大小分别为1.9GB和2GB,相关数据已经得到验证。Maze 运营者声称在过去的8个月里两次攻陷 Banco BCR,并在加密勒索之前泄露了超过1100万张信用卡凭证,其中超400万为唯一的,其中约有14万属于美国公民。Banco BCR 则否认遭到数据泄露。
微步在线点评
- 勒索软件是时下最流行的威胁之一,且一旦中招,一般没有很好的解决方案。针对勒索软件本身的防范,除了建立纵深安全防御体系之外,对数据的备份尤其重要,建议可参考321原则。
- 目前诸如挖矿等威胁在剩余价值挖掘完之后,有转向勒索的趋势,进行二次变现。此外勒索软件本身除了加密文件进行勒索之外,愈来愈多的开始在加密之前泄露数据,并以此要挟受害者支付赎金,这种趋势应引起重视。
参考链接:
https://cybleinc.com/2020/05/28/banco-bcr-credit-card-leaks-by-maze-ransomware-operators-part-2/
2020年7月 | 朝鲜APT组织Lazarus在macOS平台上的攻击活动
近期,微步在线通过威胁狩猎系统捕获到 Lazarus 组织在 MacOS 平台上使用的多种类型的后门木马,与针对加密货币的攻击活动相关。该组织在 MacOS 平台上攻击活跃,开发并持续更新使用多种类型的后门木马。Lazarus组织不仅会跨平台(Windows\Linux)复用已有的后门木马,也使用 Objective-C 开发适用于 MacOS 平台的后门木马,该组织使用的后门木马加密流量特征,包括JA3 特征和证书。自2019年下半年开始,Lazarus 组织在 MacOS 平台上的攻击活动迅速增加,所使用的基本都是在 Windows 和 Linux 平台上的木马快速移植版。从今年上半年开始,则已经使用了专为 MacOS 平台开发的木马版本。于此同时,他们并未放弃快速移植版木马的使用,而且这些版本的木马还在持续更新,这值得持续关注。
微步在线点评
- Lazarus Group 是一个网络犯罪组织,自从至少2009年以来一直活跃,据报道2014年11月索尼影视娱乐的攻击主要主导者。它发起了一个被称为“Operation Blockbuster”的网络攻击活动。报告称Lazarus Group还发起了Operation Flame、Operation 1Mission、Operation Troy、DarkSeoul和Ten Days of Rain网络攻击活动。
- 微步在线威胁情报云已收录相关IOC,微步在线全线产品均支持对此次攻击活动的检测。
参考链接:
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2794
2020年8月 | “危险密码”APT组织炎炎夏日在活跃
近日,微步在线监测发现“危险密码”APT组织针对国内外企业金融交易相关业务的定向攻击活动,本批次鱼叉式网络攻击事件中,投递载荷均为LNK文件,在自释放(或通过谷歌在线文档下载)诱饵文档后,远程下载执行具有后门功能的 JavaScript 恶意代码。攻击活动中使用的诱饵文件包括中文类型的“奖金计划(2020 年 7 月).docx”、奖金计划(2020 年8 月).docx”以及“Project Management Plan.pdf”等。相关企业包括然健环球(中国)日用品有限公司(NHT Global)、美国密苏里大学堪萨斯分校(UMKC)。推测本次攻击时间段为 2020 年 6 月下旬至今。
同期,芬兰安全公司 F-Secure 对“危险密码”APT 组织追踪发现,JavaScript 后门在后续会通过一段 C2 下发的 PowerShell 下载最终的二进制木马,木马与卡巴斯基曾披露的 Bluenoroff(Lazarus 组织的一个分支)组织所使用的特马高度相似,由此可以推测,微步在线所披露的“危险密码”APT 组织与 Bluenoroff 组织存在一定关联,结合其特定的攻击目标、攻击目的来看,“危险密码”APT 组织极有可能为 Lazarus APT 组织的一个分支机构。
微步在线点评
- “危险密码”至少于2018年3月开始活跃,主要通过钓鱼邮件投递恶意文件下载链接,诱导收件者从仿冒的谷歌、微软、亚马逊云服务器下载木马压缩文件,该组织是一个专门攻击加密货币公司的APT团伙,于2019年被微步在线披露。
- 微步在线通过对相关样本、IP和域名的溯源分析,覆盖该组织的相关IOC,可用于威胁情报检测。微步在线全线产品均支持对此次攻击事件和团伙的检测。
参考链接:
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2876
2020年8月 | Visa 公司披露新型信用卡窃取程序 Baka
2020年8月,Visa 支付欺诈中断(PFD)计划的专家们在分析一项活动中使用的命令与控制(C2)服务器时发现了一个信用卡窃取程序,该恶意程序被命名为 Baka。此外,该服务器还托管了一个 ImageID 电子拦截工具包。Baka 由 JavaScript 语言开发并使用 XOR 算法进行加密,并且具备独特的动态加载程序和混淆方法。每个受害者使用唯一的加密参数来混淆恶意代码,以避免静态特征被杀毒软件查杀。当 Baka 窃取完信用卡数据或者检测到开发人员进行动态分析的时候会将自身从内存删除以避免被发现。
微步在线点评
微步在线威胁情报云已收录相关IOC,微步在线全线产品均支持对此次攻击活动的检测。
参考链接:
https://usa.visa.com/content/dam/VCOM/global/support-legal/documents/visa-security-alert-baka-javascript-skimmer.pdf
2020年9月 | 东北亚APT组织Lazarus再现新动作
近期,国外安全研究员披露,具有朝鲜背景的 Lazarus APT 组织与说俄语的高级网络犯罪团伙有密切合作。对 Lazarus 长期追踪发现,该组织通过讲俄语的团伙拿到金融机构的访问权限,一旦入侵成功将按比例分割“赃款”。
不久前,还发现 Lazarus 组织利用 Crat 木马对韩国房地产、金融公司进行 APT 攻击,主要攻击目标为韩国国内交易比特币的多名官员以及金融机构员工。主要攻击手段是向受害者投递含有恶意载荷的钓鱼邮件,这些附件文档看似是与房地产、证券信息相关的正常文档,实际上携带 Cart 木马,一旦受害者打开,受害者的计算机将被攻击者掌控、窃密。
Lazarus 不仅仅以金融、房地产相关信息为诱饵攻击敛财,该组织近几个月还常用航天,核工业,船舶工业等专业领域头部企业招聘信息为诱饵进行攻击活动。根据对最新攻击样本分析,该组织以通用公司高级业务经理招聘为诱饵,当受害者打开文档,初始文档无法查看诱饵,攻击者通过这种方式诱导受害者启用宏,从而通过恶意宏释放执行后续载荷实现攻击。
近几周经披露,该组织根据数字货币从业者常用的开源软件,定制了一批嵌入了恶意代码的软件工具包,然后冒充行业人士进入了数字货币行业的社交圈,在骗取目标人物的信任后,通过 IM 等社交工具投递目标受害者常用的恶意软件工具包展开攻击。
微步在线点评
- Lazarus 是具有朝鲜政府背景,主要攻击拉美和亚洲的金融黑客组织,常被业内人士称为“隐藏的眼镜蛇”。最早于2007年被披露,早期以窃取敏感情报为主,自2014年后逐渐针对金融、虚拟货币、房地产等行业开展攻击非法获取资金,誉有“世界上最赚钱的虚拟货币黑客组织”之称。
- Crat木马:因后门的PDB中存在“Crat Client”的字符串而命名为“Cart”。从今年五月份至今,该木马发现经过了几个月的迭代,架构已较为成熟。
- 微步在线威胁情报云已收录相关IOC,微步在线全线产品均支持对此次攻击活动的检测。
参考链接:
https://blog.alyac.co.kr/3018
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true
https://www.darkreading.com/threat-intelligence/likely-links-emerge-between-lazarus-group-and-russian-speaking-cybercriminals-/d/d-id/1338938
2020年9月 | Evilnum APT组织在近期攻击中使用新的基于 Python 的木马
微步在线监测发现,Evilnum APT 组织在其武器库中增加了一种新的基于 Python 的远程访问特洛伊木马 PyVil,该种木马可以窃取密码、文档、浏览器Cookie、电子邮件凭据和其他敏感信息。PyVil 支持包括运行 CMD 命令、截屏、下载、删除、上传、收集各种信息等多种功能,其主要的攻击手段为利用 KYC(充分了解你的客户规则)进行邮件钓鱼。攻击者将恶意链接托管在云服务供应商上,以逃避电子邮件过滤器和安全防护产品的检测,当受害者点击链接后会下载一个包含木马程序的压缩文件,木马程序使用信用卡、驾照、护照和水电费等图像,诱使用户点击从而运行木马,木马程序运行后将会进行窃取受害者的信息,或者执行任意命令等操作。这种战术与工具上的优化,使得该恶意组织难以被追踪。
微步在线点评
- 前Evilnum 自2018年被披露以来,该组织随着不同工具的发展,逐渐将目标聚焦于金融公司,前两年主要针对欧洲的公司,以及部分澳大利亚和加拿大的公司,而现在有将攻击延展至全球的趋势。
- 微步在线建议采取以下措施予以防范:- 不要随意打开来自不明人员发送的邮件和附件;- 在经常与不可信方交互的高风险计算机上禁用快捷方式;- 重新划分网络结构,将高风险计算机划分到单独的区域,避免恶意程序横向移动造成更大的损失;- 定期监控网络日志,检查异常的连接行为。
- 微步在线威胁情报云已收录相关IOC,微步在线全线产品均支持对此次攻击活动的检测。
参考链接:
https://securityaffairs.co/wordpress/107890/apt/evilnum-apt-pyvil-rat.html
https://www.cybereason.com/blog/no-rest-for-the-wicked-evilnum-unleashes-pyvil-rat
2020年9月 | KuCoin交易所被窃取了约1.5亿美元的加密货币
近期,总部位于新加坡的加密货币交易所 KuCoin 披露了一次重大安全事件,黑客入侵了其热钱包,并偷走了大约价值1.5亿美元的加密货币。KuCoin 于9月26日发现安全漏洞,当时其员工注意到从其热钱包中提取了一些大笔款项,该交易所立即调查了异常操作,发现了比特币资产,基于ERC-20的代币以及其他加密货币的网络抢劫。根据转移了被盗资金的 Etherium 地址,黑客窃取的资金总额超过1.5亿美元。
微步在线点评
加密货币交易所应不断提高交易平台的安全性和稳定性,来减少损失。
参考链接:
https://securityaffairs.co/wordpress/108771/cyber-crime/kucoin-cryptocurrency-exchange-hack.html
2020年11月 | 加密货币服务商 Akropolis 遭黑客攻击,损失 200 万美元
近日,加密货币借贷服务公司 Akropolis 遭到“闪电贷”攻击,黑客窃取了价值约 200 万美元的 Dai 加密货币。Akropolis 管理员已暂停了平台上的所有交易,以防止损失扩大。闪电贷攻击是针对运行 DeFi(去中心化金融)平台的加密货币服务的常见攻击方式,这类平台允许用户使用加密货币借款或贷款,投机价格变化,并从加密货币储蓄的账户中赚取利息。闪存贷攻击是黑客从 DeFi 平台(如 Akropolis)贷款时,利用平台代码中的漏洞来逃避贷款机制并窃走资金。今年 2 月以来,此类攻击的数量一直在增加,其中最大的一次攻击发生在10月,黑客从DeFi 服务公司 Harvest Finance 窃取了价值 2400 万美元的加密货币。
微步在线点评
近年来发行和使用加密货币的人越来越多,加密货币系统的安全也面临严峻的考验,技术团队的参差不齐给给安全带来了很大的隐患。
参考链接:
https://www.zdnet.com/article/hacker-steals-2-million-from-cryptocurrency-service-akropolis/
2020年12月 | 支付卡处理巨头 TSYS 遭到勒索软件攻击
TSYS 是北美第三大金融机构的第三方支付处理器,也是欧洲的主要处理器。TSYS 提供支付处理服务、商业服务和其他支付解决方案,包括预付借记卡和工资卡。12 月 8 日, Conti 勒索软件团伙(也称“Ryuk”)发布消息称其从 TSYS 网络中删除了超过 10G 的数据,并声称到目前为止公布的数据只占他们在 TSYS 内部引爆勒索软件之前从该公司卸载的信息的 15%。TSYS 回应确认遭到攻击,但表示此次攻击并没有影响支付卡处理系统,并且已立即遏制了可疑活动,业务运行正常。
微步在线点评
银行木马从过去攻击盗取资金,演变到现在通过勒索这种更为暴力直接的方式,勒索病毒加密解密难度高,几乎等于无解。这也给银行业的安全带来了更多的挑战。
参考链接:
https://krebsonsecurity.com/2020/12/payment-processing-giant-tsys-ransomware-incident-immaterial-to-company/
互联网、能源、通信、工控、教育、医疗等行业以及疫情相关的重大攻击事件将会陆续发布,敬请关注。
评论