导 读
非营利性关键部门网络安全中心 SektorCERT 透露,黑客对丹麦关键基础设施发起协同攻击,破坏了 22 个能源组织。
作为 2023 年 5 月发生的攻击的一部分,黑客在几天内就攻陷了受害组织,使其成为迄今为止针对丹麦关键基础设施的最大攻击。
“丹麦不断受到攻击。但我们看到如此多针对关键基础设施的并发、成功的攻击是不寻常的。攻击者事先知道他们的目标是谁,并且每次都正确无误。”SektorCERT 在一份报告 ( https://sektorcert.dk/wp-content/uploads/2023/11/SektorCERT-The-attack-against-Danish-critical-infrastructure-TLP-CLEAR.pdf) 中指出。
作为攻击的一部分,黑客利用Zyxel(合勤)防火墙中的多个漏洞进行初始访问、执行代码并获得对受影响系统的完全控制。
5 月 11 日,攻击者利用 CVE-2023-28771(CVSS 评分为 9.8)对 16 家丹麦能源组织进行攻击,CVE-2023-28771 是Zyxel(合勤)科技 ATP、USG FLEX、VPN 和 ZyWALL/USG 防火墙中的关键操作系统命令执行。
攻击者成功入侵了 11 个组织,在易受攻击的防火墙上执行命令以获取设备配置和用户名。SektorCERT 表示,到当天结束时,所有网络都已安全。
5 月 22 日观察到的第二波攻击涉及新工具和利用 Zyxel 设备中的两个0day漏洞。
这些漏洞编号为CVE-2023-33009 和 CVE-2023-33010,已于 5 月 24 日得到修复。同一天,攻击者开始利用不同的有效负载和漏洞攻击多家丹麦能源公司,并于 5 月 25 日继续攻击。
SektorCERT 表示,它与受害者组织合作,在识别攻击后立即应用可用补丁并保护受感染的网络。
该网络安全组织还指出,至少在其中一次攻击中,它观察到与Sandworm相关的活动,Sandworm 是俄罗斯国家资助的高级持续威胁 (APT) 攻击者,与该国 GRU 军事间谍机构有联系。
“在 SektorCERT 的三年运营中,我们从未看到这些 APT 组织攻击丹麦关键基础设施的迹象。他们的活动往往是为了他们所工作的国家出于各种政治或军事考虑而想要破坏的目标。”SektorCERT 指出。
在整个攻击活动中,一些易受攻击的防火墙感染了 Mirai 机器人,随后被用于针对美国和香港实体的分布式拒绝服务 (DDoS) 攻击。
“在 5 月 30 日左右,一些漏洞的利用代码被公开后,针对丹麦关键基础设施的攻击尝试激增,尤其是来自波兰和乌克兰的 IP 地址。”
SektorCERT 在其报告中提供了有关攻击时间线的全面详细信息,以及为关键基础设施组织提高网络安全性的一系列建议。
参考链接:https://www.securityweek.com/22-energy-firms-hacked-in-largest-coordinated-attack-on-denmarks-critical-infrastructure/
今日安全资讯速递
APT事件
Advanced Persistent Threat
新网络钓鱼活动利用 IronWind 恶意软件针对中东政府
https://thehackernews.com/2023/11/new-campaign-targets-middle-east.html
亲巴勒斯坦 APT 组织在新活动中使用新型下载器
https://www.infosecurity-magazine.com/news/propalestine-apt-group-novel/
一个新的“俄罗斯黑客”组织 AlphaLock 被披露
https://www.bleepingcomputer.com/news/security/meet-the-unique-new-hacking-group-alphalock/
丹麦关键基础设施遭遇最大规模协同攻击,22 家能源公司遭到黑客攻击
https://www.securityweek.com/22-energy-firms-hacked-in-largest-coordinated-attack-on-denmarks-critical-infrastructure/
一般威胁事件
General Threat Incidents
越南黑客使用新的Ducktail 信息窃取恶意软件来瞄准印度营销人员
https://thehackernews.com/2023/11/vietnamese-hackers-using-new-delphi.html
LockBit 勒索软件利用 Citrix Bleed 漏洞(CVE-2023-4966) 进行攻击,1万个服务器暴露
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-exploits-citrix-bleed-in-attacks-10k-servers-exposed/
美国联邦调查局取缔了名为 IPStorm 的僵尸网络基础设施
https://www.bleepingcomputer.com/news/security/ipstorm-botnet-with-23-000-proxies-for-malicious-traffic-dismantled/
CISA、FBI 警告皇家勒索软件团伙可能更名为“BlackSuit”
https://therecord.media/cisa-fbi-warn-royal-ransomware-gang-rebrands-blacksuit
CacheWarp (CVE-2023-20592)攻击:AMD SEV 中的新漏洞暴露加密虚拟机
https://thehackernews.com/2023/11/cachewarp-attack-new-vulnerability-in.html
MySQL 服务器、Docker 主机感染 DDoS 恶意软件
https://www.securityweek.com/mysql-servers-docker-hosts-infected-with-ddos-malware/
“BlazeStealer”恶意软件已交付给寻找混淆工具的 Python 开发人员
https://www.securityweek.com/blazestealer-malware-delivered-to-python-developers-looking-for-obfuscation-tools/
OracleIV DDoS 僵尸网络以公共 Docker 引擎 API 为目标来劫持容器
https://thehackernews.com/2023/11/alert-oracleiv-ddos-botnet-targets.html
漏洞事件
Vulnerability Incidents
新的 Reptar CPU 缺陷(CVE-2023-23583)影响英特尔台式机和服务器系统
https://www.bleepingcomputer.com/news/security/new-reptar-cpu-flaw-impacts-intel-desktop-and-server-systems/
新的 CacheWarp(CVE-2023-20592) AMD CPU 攻击可让黑客入侵 Linux 虚拟机
https://www.bleepingcomputer.com/news/security/new-cachewarp-amd-cpu-attack-lets-hackers-gain-root-in-linux-vms/
VMware 披露了一个未修补的严重身份验证绕过漏洞,影响 Cloud Director 设备
https://www.bleepingcomputer.com/news/security/vmware-discloses-critical-vcd-appliance-auth-bypass-with-no-patch/
Microsoft 2023 年 11 月补丁日修复了 58个漏洞,其中包括5个0day
https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2023-patch-tuesday-fixes-5-zero-days-58-flaws/
西门子和施耐德电气解决了 90 个漏洞
https://www.securityweek.com/ics-patch-tuesday-90-vulnerabilities-addressed-by-siemens-and-schneider-electric/
Adobe 修补了 72 个安全漏洞,并呼吁特别关注广泛部署的 Acrobat 和 Reader 软件中的代码执行缺陷
https://www.securityweek.com/adobe-patch-tuesday-critical-bugs-in-acrobat-reader-coldfusion/
WP Fastest Cache 插件漏洞导致 60 万个 WordPress 网站遭受攻击
https://www.bleepingcomputer.com/news/security/wp-fastest-cache-plugin-bug-exposes-600k-wordpress-sites-to-attacks/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):丹麦关键基础设施遭遇最大规模协同攻击,22 家能源公司遭到黑客攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论