我国多个重要单位被境外APT黑客组织攻陷;印度核电站KNPP遭恶意AppDtrack攻击

发布时间 2019-10-31
1、我国多个重要单位被境外APT黑客组织攻陷



10月30日消息,一昵称为@MisterCh0c的推特用户发布消息称,发现了一款木马控制平台的登录地址http://lmhostsvc[.]net/healthne/login.php。此后,其他推特用户发帖曝光该后台至少记录了12台被控主机的IP地址、计算机名、用户名、操作系统、被控时间及最后一次上线时间等信息,在曝光的被控主机中,有9个属于中国。该后台所有者是印度政府背景的APT组织Bitter(又名“蔓灵花”),这是一个长期针对中国、巴基斯坦等国家的政府、军工、电力、核等部门发动网络攻击的APT团伙。这9个属于中国的IP地址主要涉及北京、上海、浙江、广西等地,该平台还具备下发木马插件的功能,可对受控主机实施进一步操作。


原文链接:

http://tech.ifeng.com/c/7rCKq4uSCJl

2、印度核电站KNPP遭恶意AppDtrack攻击



该恶意App是Dtrack的一个变体,Dtrack是朝鲜APT组织Lazarus Group开发的后门木马。最初KNPP官员否认他们遭受了任何恶意App感染,但KNPP的母企业NPCIL在另一份声明中承认了这一事件,NPCIL表示该恶意App仅感染了管理网络,但未到达关键的内部网络。从历史上看Lazarus很少攻击能源和工业领域的目标,即使有攻击也只是试图窃取常识产权,而不是造成破坏。KNPP事件看起来更像是意外感染,而不是针对性的攻击。


原文链接:

https://www.zdnet.com/article/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network/

3、新墨西哥州Las Cruces公立学校遭勒索App攻击



美国新墨西哥州Las Cruces公立学校遭到勒索App攻击,该学区被迫关闭整个计算机系统以控制感染。由于目前电子邮件等基于计算机系统的通讯已经中断,因此与该学校之间的信息交流受到了阻碍。该学区的危机响应小组正在努力恢复关键服务,但尚不清楚系统将宕机多长时间。尽管事件很严重,但学校仍未停课,其活动仍遵循正常的时间表。


原文链接:

https://www.bleepingcomputer.com/news/security/ransomware-attack-causes-school-district-wide-shutdown/

4、域名服务商Network Solutions客户信息疑遭泄露



域名服务商Network Solutions发布声明称第三方在2019年8月下旬对其部分计算机系统进行了未授权访问,导致客户的PII信息可能泄露。该企业表示攻击者可能访问的客户信息包括联系方式、姓名、地址、电话号码、电子邮件地址以及特定服务的信息,但由于信用卡号是以加密形式存储的,因此没有信用卡数据在攻击中受到损害。Network Solutions是全球首个域名服务商,早在1992年12月31日该企业就与美国国家科学基金会(NSF)签订协议以提供域名注册服务。

原文链接:
https://www.bleepingcomputer.com/news/security/worlds-first-domain-registrar-network-solutions-discloses-breach/

5、欧盟eIDAS曝身份验证绕过漏洞,可伪装公民身份



SEC Consult研究人员在欧盟国家使用的eIDAS系统中发现身份验证绕过漏洞,可用于伪装公民的身份。eIDAS是指电子身份识别、身份验证和信任服务,用于对在线交易的公民合法身份进行验证。研究人员发现每个国家的eIDAS节点都用SAML开放标准交换信息以进行身份验证和授权,但没有对签名SAML消息的数字证书进行验证,因此攻击者可以伪造SAML响应。研究人员演示了如何使用歌德的名字进行身份验证。该漏洞已在eIDAS-Node组件的2.3.1版本中修复。

原文链接:
https://www.bleepingcomputer.com/news/security/europes-electronic-id-system-fixed-against-impersonation-risk/

6、MikroTik路由器多个漏洞可致降级攻击及创建后门



Tenable研究人员在MikroTik路由器中发现多个漏洞,结合这些漏洞的攻击链,攻击者可以发起降级攻击并创建后门。这四个漏洞包括从CVE-2019-3976到CVE-2019-3979,根据漏洞公告,通过链接这些漏洞,未经身份验证的远程攻击者可以访问路由器端口8291,实行RouterOS降级,重置系统密码,并有可能获得root shell。这些漏洞已在新版本6.45.7中修复。


原文链接:

https://www.securityweek.com/mikrotik-router-vulnerabilities-can-lead-backdoor-creation