导 读
Cyble 暗网研究人员记录了一个与俄罗斯有关的新威胁组织,该组织一直在破坏关键基础设施环境并篡改系统控制。
Z-Pentest 组织成立仅两个月,但已声称对至少 10 起运营技术 (OT) 系统进行了黑客攻击,其中包括最近未经证实的事件,威胁组织声称破坏了美国油井系统。
Cyble博客文章还研究了俄罗斯老牌威胁组织“人民网络军”(也称为“俄罗斯重生网络军”)的活动,该组织除了声称今年还至少八次入侵了美国水利系统。
这些黑客组织经常以支持乌克兰作为对美国和其他国家发动网络攻击的理由,其中包括加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰。
这两个俄罗斯组织都喜欢制造戏剧效果。例如,俄罗斯网络军发布了 8 月底和 9 月德克萨斯州和特拉华州供水系统遭破坏后,其成员篡改操作控制的屏幕录像(以下为德克萨斯州视频截图)。
德克萨斯州斯坦顿供水系统遭黑客攻击
今年 1 月,人民网络军发动攻击,导致德克萨斯州阿伯纳西和穆尔舒的蓄水箱溢出,成为头条新闻。 即使在通常不安全的关键基础设施领域中,供水和污水处理系统也被认为特别脆弱。
Z-Pentest 可能是新出现的威胁组织,10 月份才首次亮相,但在这个塞尔维亚威胁组织运作的两个月内,它已经声称至少 10 次破坏,并且在每次事件中都发布了成员篡改系统设置的视频。
根据 Cyble 的报告,在过去一周内,Z-Pentest 的活动不断升级,包括“破坏油井现场的关键系统,包括负责抽水、石油气燃烧和石油收集的系统”。
一段时长 6 分钟的屏幕录像详细记录了该设施控制系统的视图,显示“据称在攻击活动期间访问和更改了油箱设定点、蒸汽回收指标和操作仪表板”。
目前还不清楚该石油设施位于何处,但该组织提出的另外两处美国石油设施主张似乎与已知的地点和公司相符。
黑客能够对关键基础设施造成多大的破坏?
虽然黑客似乎能够访问敏感环境,但 Cyble 指出,目前尚不清楚他们能造成多大的破坏。研究人员表示,可编程逻辑控制器 (PLC)“通常包含可以防止破坏性行为发生的安全功能,但威胁组织可以访问此类环境这一事实仍然令人担忧”。
Cyble 还指出,近几个月来针对能源行业的威胁活动普遍增加。初始网络访问权限和零日漏洞在暗网市场上出售。Cyble 还指出,“在发生更大规模的入侵和攻击之前,暗网上就有能源网络访问凭证出售,这表明监控凭证泄露可能是防止日后发生更大规模入侵的重要防御措施。”
Cyble 表示,“应该认真对待 Z-Pentest,因为该组织已展现出渗透这些环境、访问和修改操作控制面板的明显能力。”
研究人员还针对运营技术和关键基础设施环境提出了安全建议,指出它们通常无法承受停机,并且通常拥有无法修补的报废设备。
技术报告:https://cyble.com/blog/russian-hacktivists-target-energy-and-water-infrastructure/
新闻链接:
https://thecyberexpress.com/russian-threat-group-z-pentest/
今日安全资讯速递
APT事件
Advanced Persistent Threat
俄黑客利用 Cloudflare Tunnels和 DNS Fast-Flux 隐藏 GammaDrop 恶意软件针对乌克兰
https://thehackernews.com/2024/12/hackers-leveraging-cloudflare-tunnels.html
俄罗斯联邦安全局利用木马应用程序监控被指控支持乌克兰的俄罗斯程序员
https://thehackernews.com/2024/12/fsb-uses-trojan-app-to-monitor-russian.html
新威胁组织 Z-Pentest 瞄准能源系统控制
https://thecyberexpress.com/russian-threat-group-z-pentest/
APT-C-60 黑客在 SpyGlace 恶意软件活动中利用 StatCounter 和 Bitbucket
https://thehackernews.com/2024/11/apt-c-60-exploits-wps-office.html
一般威胁事件
General Threat Incidents
黑客利用虚假视频会议应用程序窃取 Web3 专业人员的数据
https://thehackernews.com/2024/12/hackers-using-fake-video-conferencing.html
新的恶意软件活动暴露了制造业网络安全防御的漏洞
https://thecyberexpress.com/lumma-stealer-amadey-bot-target-manufacturing/
Blue Yonder 攻击归咎于新的“Termite”勒索软件组织
https://thecyberexpress.com/blue-yonder-attack-termite-ransomware/
8Base 勒索软件组织入侵克罗地亚里耶卡港
https://securityaffairs.com/171779/cyber-crime/8base-ransomware-croatias-port-of-rijeka.html
RedLine信息窃取木马活动通过盗版企业软件瞄准俄罗斯企业
https://securityaffairs.com/171771/cyber-crime/redline-info-stealer-campaign-targets-russian-businesses.html
二维码可绕过浏览器隔离,实现恶意 C2 通信
https://www.bleepingcomputer.com/news/security/qr-codes-bypass-browser-isolation-for-malicious-c2-communication/
Ultralytics AI 库遭入侵:在 PyPI 版本中发现加密货币挖矿程序
https://thehackernews.com/2024/12/ultralytics-ai-library-compromised.html
加密聊天服务 Matrix 遭查封,230 多万条信息被解密
https://www.pcmag.com/news/encrypted-chat-service-seized-2m-messages-read
漏洞事件
Vulnerability Incidents
Veeam 敦促立即更新以修补严重漏洞
https://www.infosecurity-magazine.com/news/veeam-urges-update-patch/
研究人员发现流行开源机器学习框架的缺陷
https://thehackernews.com/2024/12/researchers-uncover-flaws-in-popular.html
针对未修补的 Mitel MiCollab 漏洞的 PoC发布
https://www.securityweek.com/poc-exploit-published-for-unpatched-mitel-micollab-vulnerability/
SonicWall 修补安全访问网关中的 6 个漏洞
https://www.securityweek.com/sonicwall-patches-6-vulnerabilities-in-secure-access-gateway/
数百台 CISCO 交换机受到引导加载程序漏洞影响
https://securityaffairs.com/171729/security/cisco-switches-bootloader-flaw-cve-2024-20397.html
新的Windows0day漏洞:攻击者几乎无需用户交互即可窃取 NTLM 凭据
https://www.bleepingcomputer.com/news/security/new-windows-zero-day-exposes-ntlm-credentials-gets-unofficial-patch/
https://cybernews.com/security/windows-zero-day-attackers-can-steal-ntlm-credentials/
日本设备制造商确认存在路由器0day漏洞,并警告称完整补丁需数周才能推出
https://www.securityweek.com/i-o-data-confirms-zero-day-attacks-on-routers-full-patches-pending/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):新威胁组织 Z-Pentest 瞄准能源系统控制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论