俄最大银行遭到最严重DDoS攻击,普京称正经历“信息空间战争”|朝鲜黑客组织Lazarus利用Log4J攻击VMware服务器…
2022-5-24 09:54:1 Author: mp.weixin.qq.com(查看原文) 阅读量:41 收藏

俄最大银行遭到最严重DDoS攻击,

普京称正经历“信息空间战争”

Sberbank安全负责人表示,俄罗斯网络安全发生了结构性转变,过去3个月来企业遭受的网络攻击呈现爆炸性增长,实力大幅提升;

普京称俄罗斯正在遭受“信息空间战争”,他提出了三项关键任务,以确保俄关键信息基础设施安全。

安全内参消息,5月19日,俄罗斯最大银行Sberbank(联邦储蓄银行)官网披露,在5月6日成功击退了有史以来规模最大的DDoS攻击,峰值流量高达450 GB/秒

次日,普京召开俄罗斯联邦安全会议,称正经历“信息空间战争”。他提出了三项关键任务,以确保俄关键信息基础设施安全。

Sberbank遭最严重DDoS攻击

此次攻击Sberbank主要网站的恶意流量是由一个僵尸网络所生成,该网络包含来自美国、英国、日本和中国台湾的27000台被感染设备。

Sberbank副总裁兼网络安全主管Sergei Lebed称,网络犯罪分子利用各种策略实施网络攻击,包括将代码注入广告脚本、恶意Chrome扩展程序,以及被DDoS工具武器化的Docker容器等

Lebed表示,他们在过去几个月内检测到超过10万名网络犯罪分子对其展开攻击。仅在3月,他们就记录到46次针对Sberbank不同服务同步发动的攻击活动,其中相当一部分攻击利用到在线流媒体与观影网站的流量。

这类行动策略和亲俄黑客组织攻击乌克兰主要网站的手法相类似。一旦有人访问这些受感染网站,用户的网络浏览器就会被注入恶意脚本的特制代码,进而发出大量指向被攻击URL的请求。具体到此次攻击,指向的自然是Sberbank域名下的各URL。

Lebed表示,“当前,Sberbank仍在遭受全天候网络攻击。我们的安全运营中心也在24/7随时分析网络威胁,并迅速做出反应。”

Lebed警告称,“一旦攻势蔓延到其他行业企业时,由于他们大多从未经历过这类网络冲击,所以很可能会遭受损失。”

普京称正经历“信息空间战争”,

提出三项关键保障任务

俄罗斯总统普京表示,俄乌冲突期间,俄罗斯遭遇了西方世界发动的一系列网络攻击,但均已被成功化解。
5月20日(上周五),普京对俄罗斯安全委员会成员发表讲话时指出,“这一领域的挑战正变得愈发紧迫、严重且广泛。”
他指责,“俄罗斯正经历一场彻底侵略,一场爆发于信息领域的战争。”
普京补充道,“针对我们的这场网络攻击,就如同针对俄罗斯的种种制裁一样,都失败了。”

他要求各级官员“完善和加强直接关系到俄国国防能力及经济社会领域稳定发展的重大工业设施的信息安全保障机制。”

对于会议讨论的确保俄关键信息基础设施安全的国家政策基本原则草案,普京提出三个关键任务。

一是不断完善、调整与国防能力、经济和社会稳定发展直接相关的关键设施领域的信息安全保障机制

二是提高国家机构信息系统和通信网络的安全性。“2021年进行的检查表明,在那里运营的大部分资源容易受到外部大规模攻击和破坏性影响,尤其是采用最新一代外国技术部分。”要加强对国内数字空间的防御,减少公民信息和个人数据泄露的风险。他提议就建立国家信息保护制度的问题进行讨论。

三是从根本上降低采用外国程序、计算机技术和电信设备所带来的风险。他指出,应尽可能保护俄近年来推动的公共管理系统和经济领域数字化进程免受外部任何潜在负面影响,“而完成这项任务的方法很明显就是转向国产设备、技术、程序和产品”。

参考资料:bleepingcomputer.com、militarytimes.com、中新网

作为朝鲜最著名的黑客组织之一,Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门,以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID,它影响了包括 VMware Horizon 在内的多种产品。

自今年1月份以来,多个威胁参与者都在利用此漏洞,1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞,这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。

Ahnlab的 ASEC 的网络安全分析师声称,自 2022 年 4 月以来,Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。

VMware Horizon 服务器是目标

通过运行这个 PowerShell 命令,很可能会安装服务器上的 NukeSped 后门。 

NukeSped 等后门恶意软件能够从 C&C 服务器接收命令并代表攻击者执行这些命令。2018 年夏天,NukeSped 与隶属于朝鲜的黑客有关联,然后与 Lazarus 发起的 2020 年活动有关。

在最新的变体中,C++ 语言是首选语言,并且使用 RC4 加密确保与 C2 的安全通信。在之前的版本中,使用了 XOR 加密。

运营

在妥协的条件下,NukeSped 执行各种间谍活动,我们在下面提到:-

截图

记录按键操作

访问文件

支持命令行命令

目前,有两个模块是当前 NukeSped 变体的一部分,一个用于从 USB 设备转储内容,另一个允许您访问网络摄像头。

数据目标

有几种类型的数据可以被恶意软件窃取,下面将提到它们:

账户凭证

浏览记录

电子邮件帐户信息

MS Office 中最近使用的文件的名称

在某些攻击中,通过 Log4Shell 可以看到 Lazarus 使用 Jin Miner 而不是 NukeSped。

最近的 Lazarus 事件是第二个已知的恶意软件活动示例,该恶意软件活动在针对 Windows 的活动中使用 LoLBins。另一个是在 macOS 和 Windows 计算机上使用加密挖掘恶意软件。

为了突出黑客组织用于攻击的各种策略,除此之外还有对 Log4Shell 的利用。

文章来源 :安全内参、E安全;如有侵权,请联系我们删除!

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650539761&idx=1&sn=049cddda4ced8a32ca4004baf1f3abb2&chksm=83bd6315b4caea030843b6ad16dc8d44beedafb442de32247bf1eb96341cefb85a61a6e6b3ea#rd
如有侵权请联系:admin#unsafe.sh