金瀚信息為大家收集了一些近期發(fā)生的網(wǎng)絡(luò)安全事件，一起來看看吧！

　　01 加拿大稅務(wù)局網(wǎng)站被黑!5500個賬戶被盜 黑客瘋狂詐領(lǐng)救濟(jì)金!

　　加拿大稅務(wù)局CRA網(wǎng)站被黑了!數(shù)千個CRA賬戶被盜，存款信息暴露!

　　據(jù)多家媒體報道，近日，加拿大稅務(wù)局(CRA)遭到黑客兩次攻擊，被迫暫停網(wǎng)上服務(wù)，而加拿大納稅人有至少5,500個各類帳戶被盜用，納稅人電子郵件地址和直接存款信息也被暴露。

　　CRA發(fā)言人杜迪(Christopher Doody)在一封電郵中發(fā)布聲明說：“CRA迅速識別了受攻擊及影響的帳戶，并停止這些帳戶的存取信息，以確保納稅人的信息安全。CRA正分析這兩宗事件，并已要求皇家騎警協(xié)助，就此展開調(diào)查。”

　　聲明中說，“在此事件中，欺詐者再次使用了以前數(shù)據(jù)泄露事件中從第三方所獲取的用戶名和密碼?！?strong>除了CRA帳戶之外，使用GCKey的數(shù)千人也受到影響。GCKey是一個安全門戶，該門戶使加拿大人可以在線訪問政府服務(wù)。

　　聲明還說：“在加拿大大約1200萬個活躍的GCKey帳戶中，有9,041個用戶的密碼和用戶名，已經(jīng)被犯罪分子通過欺詐手段獲取，并被用于嘗試訪問政府服務(wù)，其中有三分之一或存在可疑活動?！?/span>

　　首次發(fā)現(xiàn)黑客入侵時，約有30個聯(lián)邦部門使用的與CRA相關(guān)的賬戶被迫關(guān)閉。

　　發(fā)言人提醒加拿大納稅人，“為幫助降低受此類網(wǎng)絡(luò)攻擊影響的風(fēng)險，強(qiáng)烈建議用戶避免在不同系統(tǒng)和應(yīng)用程序中重復(fù)使用相同的密碼?！?/strong>

　　杜迪表示，該機(jī)構(gòu)正在向那些帳戶被盜的用戶發(fā)送信件：“CRA將優(yōu)先安排接聽受欺詐影響和身份盜竊受害者的電話，并盡快答復(fù)用戶的問題?！痹摍C(jī)構(gòu)還建議，“My Account”用戶最好啟用電子郵件通知，CRA認(rèn)為這樣做，可以“對加拿大人帳戶中的潛在欺詐活動發(fā)出預(yù)警。”

　　CRA強(qiáng)調(diào)，盡管稅局網(wǎng)絡(luò)系統(tǒng)的功能受到影響，但有關(guān)違規(guī)行為現(xiàn)已停止。

　　02 三星再曝漏洞：可能受到黑客遠(yuǎn)程監(jiān)控

　　最新研究報告稱：預(yù)裝在三星手機(jī)上的安卓應(yīng)用軟件“查找我的手機(jī)”，存在一系列的安全漏洞，可能會讓遠(yuǎn)程攻擊者跟蹤受害者的實(shí)時位置、監(jiān)控電話和消息，甚至刪除手機(jī)上存儲的數(shù)據(jù)。

　　漏洞報告：

　　葡萄牙的網(wǎng)絡(luò)安全服務(wù)提供商”Char49“在上周的defcon大會上透露了對三星的”查找手機(jī)“ 安卓應(yīng)用程序的調(diào)查結(jié)果。

　　defcon大會：比肩blackhat的黑客大會，不過defcon主辦黑客比賽。由于疫情，今年8月7日到9日在線上舉辦。

　　“此漏洞在安裝后很容易被利用，對用戶造成嚴(yán)重的影響，并可能造成毀滅性影響：鎖定電話的永久拒絕服務(wù)，恢復(fù)出廠設(shè)置(包括SD卡)時完全丟失數(shù)據(jù)，通過IMEI和位置跟蹤，通話和短信日志訪問獲取隱私信息?！?/strong>Char49的PedroUmbelino在技術(shù)分析中說。

　　這些漏洞存在于未修補(bǔ)的三星Galaxy S7、S8和S9+設(shè)備上，三星在將該漏洞標(biāo)記為“高危漏洞”后便解決了。

　　三星的“查找手機(jī)”服務(wù)允許三星設(shè)備的所有者遠(yuǎn)程定位和鎖定他們的智能手機(jī)或平板電腦，將設(shè)備上存儲的數(shù)據(jù)備份到三星云服務(wù)上，刪除本地數(shù)據(jù)，并阻止使用三星支付。

　　根據(jù)Char49的說法，該應(yīng)用程序中有四個不同的漏洞，可能被安裝在目標(biāo)設(shè)備上的惡意應(yīng)用程序利用，形成一個中間人攻擊，從后端服務(wù)器劫持通信并窺探受害者。

　　漏洞成因：

　　“查找手機(jī)”應(yīng)用程序會檢查設(shè)備SD卡的“/mnt/sdcard/fmm.prop”來加載一個URL“mg.URL”，這就允許流氓應(yīng)用程序創(chuàng)建此文件，然后使用該文件潛在的劫持與服務(wù)器的通信。

　　Umbelino說：“通過將MG URL指向攻擊者控制的服務(wù)器并強(qiáng)制注冊，攻擊者可以獲得用戶的許多詳細(xì)信息：通過IP地址、IMEI、設(shè)備品牌、API級別、備份應(yīng)用程序和其他一些信息進(jìn)行粗略定位?！?/span>

　　為了實(shí)現(xiàn)定位，安裝在設(shè)備上的惡意應(yīng)用程序利用一個漏洞攻擊鏈，利用兩個“廣播接收器”，將發(fā)送到三星服務(wù)器的命令從“查找手機(jī)”應(yīng)用程序重定向到另一個受攻擊者控制的服務(wù)器，并執(zhí)行惡意命令。

　　廣播接收器：Android 廣播接收器，用于響應(yīng)來自其他應(yīng)用程序或者系統(tǒng)的廣播消息。

　　惡意服務(wù)器也會將請求轉(zhuǎn)發(fā)給合法服務(wù)器并檢索響應(yīng)，但不會在注入惡意服務(wù)器的命令之前進(jìn)行。

　　這樣一來，攻擊可以讓黑客追蹤設(shè)備的位置，抓取通話數(shù)據(jù)和短信進(jìn)行間諜活動，鎖定手機(jī)索要贖金，并通過恢復(fù)出廠設(shè)置來清除所有數(shù)據(jù)。

　　Umbelino最后提到：“查找手機(jī)這個應(yīng)用程序不應(yīng)該有任意組件公開可用，并且處于導(dǎo)出狀態(tài)。如果有需要，例如，其他包需要調(diào)用這些組件，則應(yīng)使用適當(dāng)?shù)臋?quán)限保護(hù)它們，公開的文件測試代碼也應(yīng)該被消除?！?/span>

　　03 再次作案：新型勒索軟件攻擊影像IT巨頭柯尼卡美能達(dá)

　　近日，日本影像科技巨頭柯尼卡美能達(dá)企業(yè)服務(wù)近一周。該勒索事件發(fā)生在7月底，影像了商業(yè)技術(shù)巨頭柯尼卡美能達(dá)企業(yè)服務(wù)近一周。

　　柯尼卡美能達(dá)是日本跨國商業(yè)技術(shù)巨頭，擁有近44000名員工，2019年的收入超過90億美元。企業(yè)提供大規(guī)模的服務(wù)和多種產(chǎn)品，從打印解決方案，醫(yī)療技術(shù)到為企業(yè)提供托管等IT服務(wù)。

　　始于網(wǎng)站停機(jī)機(jī)

　　2020年7月30日，有客戶反饋柯尼卡美能達(dá)產(chǎn)品供應(yīng)與支持網(wǎng)站無法訪問，并呈現(xiàn)以下信息：

　　柯尼卡美能達(dá)“ MyKMBS”客戶門戶暫時不可用。我們正在努力解決此問題，對于指出給您帶來的任何不便，我們深表遺憾意。如果您亟需服務(wù)幫助，請致電1-800- 456-5664(美國)或1-800-263-4410(加拿大)致電我們的全球客戶服務(wù)。

　　網(wǎng)站關(guān)閉了近一周，客戶也并不清楚網(wǎng)站無法訪問的具體原因。某些柯尼卡美能達(dá)打印機(jī)還顯示“服務(wù)通知失敗”錯誤，該組織也及時更新了網(wǎng)站停止訪問的消息。

　　遭遇RansomEXX勒索

　　隨后，網(wǎng)上傳出黑客勒索柯尼卡美能達(dá)使用的退款金票據(jù)的副本。如下圖所示，該退款金記錄稱為“!KONICA_MINOLTA_README !!。txt，”公司設(shè)備都被加密了，文件也加上了“ .K0N1M1N0”的擴(kuò)展后綴。

　　RansomEXX是一種新型勒索軟件，因攻擊了德克薩斯州交通運(yùn)輸部的網(wǎng)絡(luò)在今年6月首次被發(fā)現(xiàn)。和其他勒索軟件一樣，以企業(yè)為目標(biāo)，但是和其他通過網(wǎng)絡(luò)釣魚和惡意軟件分發(fā)的勒索軟件不同的是，RansomEXX需要人為糾正。執(zhí)行攻擊后，勒索軟件將打開一個控制臺，該控制臺在攻擊者運(yùn)行時向其顯示信息。

　　黑客入侵企業(yè)網(wǎng)絡(luò)潛藏，并通過時間的流逝，再傳播到其他設(shè)備以獲取管理員位置。一旦獲得管理員權(quán)限并訪問Windows域控制器，他們便可以在網(wǎng)絡(luò)上部署勒索軟件并提供所有設(shè)備進(jìn)行加密。

　　Ransom X在整個加密過程中插入的命令，這些命令包括：

　　清除Windows事件日志

　　刪除NTFS日記

　　補(bǔ)充系統(tǒng)還原

　　局部Windows恢復(fù)環(huán)境

　　刪除Windows備份目錄

　　清除本地驅(qū)動器上的可用空間。

　　04 美國酒業(yè)巨頭百富門遭Sodinokibi勒索軟件竊取超1TB數(shù)據(jù)

　　近日據(jù)外媒報道，Sodinokibi(REvil)勒索軟件運(yùn)營商上周宣布，他們已經(jīng)破壞了Brown-Forman的網(wǎng)絡(luò)系統(tǒng)，該公司是美國烈酒和葡萄酒行業(yè)最大公司之一。

　　據(jù)悉，Brown-Forman公司是美國最大的烈酒和葡萄酒公司之一，該公司總部位于肯塔基州路易斯維爾，在全球范圍內(nèi)制造多個知名品牌，包括杰克·丹尼爾(Jack Daniel"s)，Old Forester，伍德福德(Woodford)，和Chambord等等品牌。

　　事件發(fā)生后，威脅行動者聲稱已竊取1TB的機(jī)密數(shù)據(jù)，并計劃將最敏感的信息用于拍賣，并會泄漏其余信息。據(jù)統(tǒng)計，該團(tuán)伙竊取的數(shù)據(jù)包括機(jī)密員工的信息，公司協(xié)議，合同，財務(wù)報表和內(nèi)部消息。

　　Sodinokibi勒索軟件運(yùn)營商表示，在攻擊發(fā)生之前，他們已經(jīng)花費(fèi)了一個多月的時間來檢查該公司的基礎(chǔ)架構(gòu)。Sodinokibi勒索軟件操作員在其泄漏站點(diǎn)上發(fā)布了多個屏幕快照，其中顯示了據(jù)稱屬于該公司的目錄和文件，以及一些員工之間的內(nèi)部對話。Sodinokibi運(yùn)營商旨在通過該報告迫使Brown-Forman支付贖金。

　　隨后，Brown-Forman公司在一份聲明中披露了該事件，承認(rèn)遭受了勒索軟件的攻擊，同時他們披露了有關(guān)該事件的一些細(xì)節(jié)，包括事件何時發(fā)生以及黑客是如何訪問數(shù)據(jù)的。該公司向當(dāng)局報告了此事件，并聘請了世界一流的第三方數(shù)據(jù)安全專家來調(diào)查此事件并盡快解決此問題。

　　Brown-Forman發(fā)言人表示：“我們在發(fā)現(xiàn)攻擊后迅速采取行動，阻止了我們的系統(tǒng)被加密。但是部分重要信息，包括員工數(shù)據(jù)依舊受到了影響。我們正在與執(zhí)法機(jī)構(gòu)以及世界一流的第三方數(shù)據(jù)安全專家緊密合作，以盡快緩解和解決這種情況?！?/span>

　　05 全球最大郵輪運(yùn)營商遭遇勒索軟件攻擊

　　被疫情重創(chuàng)的郵輪業(yè)再遭打擊，全球最大的郵輪運(yùn)營商嘉年華公司(Carnival Corporation)今天發(fā)布公告承認(rèn)在上周末遭受了勒索軟件攻擊。

　　在向美國證券交易委員會(SEC)提交的8-K備案文件中，該公司表示，該事件發(fā)生在8月15日(星期六)。

　　嘉年華公司指出，攻擊者“訪問并加密了公司信息技術(shù)系統(tǒng)的一部分”，入侵者還從公司的網(wǎng)絡(luò)下載了文件。

　　這家郵輪運(yùn)營商表示，已經(jīng)開始對安全事件進(jìn)行調(diào)查，通知執(zhí)法部門，并與法律顧問和事件響應(yīng)專家進(jìn)行了接觸。

　　根據(jù)對該事件的初步評估，嘉年華表示，攻擊者能夠訪問某些顧客和員工的個人數(shù)據(jù)，但預(yù)計該事件不會對其“業(yè)務(wù)，運(yùn)營或財務(wù)業(yè)績”產(chǎn)生重大影響。

　　嘉年華沒有透露有關(guān)事件本身的任何細(xì)節(jié)，例如勒索軟件的名稱或者哪些系統(tǒng)受到了影響。

　　如今，嘉年華公司已成為世界上最大的郵輪運(yùn)營商，擁有超過150,000名員工、600艘船隊以及多個郵輪品牌，例如嘉年華郵輪公司、公主郵輪公司、荷蘭美國公司線、Seabourn、P&O郵輪公司(澳大利亞) 、科斯塔郵輪、愛達(dá)郵輪、P&O郵輪(英國)和庫納德。

　　今年早些時候，即3月，嘉年華公司曾披露過一次網(wǎng)絡(luò)攻擊事件，入侵者在2019年4月至2019年6月之間訪問其內(nèi)部網(wǎng)絡(luò)，并竊取了一些客人的個人信息。

　　06 Google Chrome瀏覽器漏洞使數(shù)十億用戶遭受數(shù)據(jù)被盜風(fēng)險

　　谷歌的Chrome瀏覽器中存在安全漏洞，攻擊者可利用該漏洞繞過網(wǎng)絡(luò)的內(nèi)容安全策略(CSP)，進(jìn)而竊取用戶數(shù)據(jù)并執(zhí)行流氓代碼。

　　PerimeterX網(wǎng)絡(luò)安全研究人員Gal Weizman表示，該漏洞編號為CVE-2020-6519，存在于Windows、Mac和安卓的Chrome、Opera和Edge瀏覽器中，潛在影響用戶多達(dá)十億。其中，Chrome的73版本(2019年3月)到83版本均會受到影響，84版本已在7月發(fā)布，并修復(fù)了該漏洞。Chrome瀏覽器擁有超過20億用戶，并且占瀏覽器市場的65%以上。

　　CSP是一種Web標(biāo)準(zhǔn)，旨在阻止某些攻擊，比如跨站點(diǎn)腳本(XSS)和數(shù)據(jù)注入攻擊。CSP允許Web管理員指定瀏覽器將其視為可執(zhí)行腳本的有效源的域。然后，與CSP兼容的瀏覽器將僅執(zhí)行從這些域接收的源文件中加載的腳本。

　　對此，Weizman在報告中表示：“CSP是網(wǎng)站所有者用來執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意影子代碼的主要方法，因此當(dāng)繞過瀏覽器執(zhí)行時，個人用戶數(shù)據(jù)將面臨風(fēng)險?！?/span>

　　目前，大多數(shù)網(wǎng)絡(luò)均使用CSP策略，比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo和Zoom等互聯(lián)網(wǎng)巨頭。當(dāng)然，也有如GitHub、Google Play商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不會受此次漏洞的影響。

　　Chrome的CSP強(qiáng)制執(zhí)行機(jī)制中存在漏洞并不直接表示網(wǎng)站已被破壞，因?yàn)楣粽哌€需要設(shè)法從該網(wǎng)站獲取惡意腳本。網(wǎng)站信任的安全機(jī)制存在漏洞，安全機(jī)制原本可以對第三方腳本執(zhí)行更嚴(yán)格的策略，但是因?yàn)槁┒磿尵W(wǎng)站認(rèn)為他們是安全的而允許他們通過。

　　攻擊者利用該漏洞獲取Web服務(wù)器權(quán)限(通過暴破密碼或者其他方式)并修改JavaScript利用代碼。在JavaScipt中增加 frame-src或者child-src指令，攻擊者利用這種方式繞過CSP策略執(zhí)行、繞過網(wǎng)站安全規(guī)則。

　　經(jīng)驗(yàn)證后，該漏洞的威脅程度為中等(6.5分)，然而，因?yàn)樵撀┒瓷婕癈SP策略執(zhí)行，所以影響很廣。網(wǎng)站開發(fā)人員允許第三方腳本修改支付頁面，比如知道CSP會限制敏感信息，所以破壞或者繞過CSP，便可以竊取用戶敏感信息比如支付密碼等。這無疑給網(wǎng)站用戶的信息安全帶來很大的風(fēng)險。

　　該漏洞在Chrome瀏覽器中存在超過一年了，目前該漏洞已經(jīng)修復(fù)。但是該漏洞的后續(xù)影響尚不明確，一旦遭到利用，用戶數(shù)據(jù)遭竊取用于非法途徑，后果將不堪設(shè)想。

　　在報告中還可以看到安全研究人員測試瀏覽器或者網(wǎng)站是否容易受到該漏洞影響的過程，創(chuàng)建一個簡單的腳本，當(dāng)通過devtools控制臺執(zhí)行該腳本時，可以測試所有這些網(wǎng)站，該腳本將立即通知當(dāng)前的瀏覽器/網(wǎng)站是否由于CSP/Old Chrome配置錯誤而受到CVE-2020-6519的攻擊。嘗試從 https://pastebin.com/raw/XpHsfXJQ正常加載外部js腳本，并加載漏洞利用程序。以下以測試后的三種結(jié)果：

　　瀏覽器和網(wǎng)站容易受到攻擊

　　瀏覽器易受攻擊，但網(wǎng)站不易受攻擊

　　瀏覽器不容易受到攻擊

　　因此，用戶可從以下幾個方面做好安全防護(hù)措施：

　　1.確保CSP策略定義正確。考慮添加其他安全性層，例如nonces或hashs，這將需要在一些服務(wù)器端實(shí)現(xiàn)

　　2.僅CSP對大多數(shù)網(wǎng)站而言還不夠，因此，請考慮添加其他安全層?？紤]基于JavaScript的影子代碼檢測和監(jiān)視，以實(shí)時緩解網(wǎng)頁代碼注入

　　3.確保Chrome瀏覽器版本為84或更高版本。

　　資料整合來源于互聯(lián)網(wǎng)