 The Good 到底誰是真正的 APT32 ? OceanLotus APT 最近成為頭條新聞,而在本週 Facebook 擊敗的方式揭開了他們的真實身份,這倒是史無前例的。 臉書指向了一家越南 IT公司 CyberOne Security 為 APT32 活動背後的操控者,該組織針對的受害者包括人權活動者,新聞社,政府和 NGO 機構,以及農業,衛生,科技和 IT 等眾多行業。 來自 Facebook 的研究人員表示攻擊來自 Windows 惡意程式,macOS 後門和 TTPs,其中還包括在 Play Store 的惡意 apps,watering hole 攻擊以及偽造的 FB 和其他社群角色,以吸引受害者。  Facebook 表示,他們通過阻止相關聯網域在平台上發布,刪除帳戶並通知可疑受害者,破壞了他們的行為。 至於偽造的“ CyberOne Security” 公司,記者試圖通過電話和 email 與他們聯繫,不出奇的,他們沒有得到任何的回應。 The Bad 而這週的新聞都與 APT 有關。 National Security Agency 本週發布了一份 3 頁的報告,據資安專家表示,雖然同業已經團結起來,幫助企業抵禦 APT 對 FireEye 的攻擊,(這攻擊導致了紅隊的工具被盜竊),但俄羅斯 APT 團體似乎已在積極利用 VMware 系統中的漏洞。 通過這個漏洞 CVE-2020-4006,攻擊者可以在受感染系統上運行漏洞程式,執行選擇命令。 報告中並指出,攻擊者已利用此漏洞,通過將Web Shell 作為 gateway 安裝到網路中並利用偽造的 SAML access 至受保護的數據來。 受影響的 VMware 版本包括: VMware Access 20.01 and 20.10 on Linux VMware vIDM 3.3.1, 3.3.2, and 3.3.3 on Linux VMware vIDM Connector 3.3.1, 3.3.2, 3.3.3, 19.03 VMware Cloud Foundation 4.x VMware vRealize Suite Lifecycle Manager 8.x 因漏洞而產生的惡意活動會發生在與設備相關的 TLS tunnel 內。 美國國家安全局(NSA)建議,缺乏對加密連接可見性的安全團隊可以在 configurator log (/opt/vmware/horizon/workspace/logs/configurator.log)中尋找損壞後的指示器,特別是針對 “exit ” statement 後接著 3 個數字 。  修補的 patch 已於 12 月 3 日開始提供,建議所有用戶盡快進行更新。 此外,由於要利用此漏洞,需要有密碼後才能 access 目標設備在 Web 的管理界面,因此,請管理員也確保遵循最佳做法,避免使用簡易密碼,並在可能的情況下確保 Web 的安全並無法從 Internet 進入管理界面。 NSA 的 advisory 中也提供了建議給無法立即進行修補的其他解決方法。 The Ugly 正如上週的資安週報指出,犯罪軟體開發者和複雜的攻擊者之間最近一直存在著令人不安的趨勢,這些攻擊者的目標是研究數據,開發,製造和分發 COVID-19 疫苗有關的組織和基礎設施。 隨著歐洲藥品管理局的網路攻擊,不安感的趨勢持續著。 該組織的簡短聲明除了確認發生了攻擊事件外,沒有提供更多詳細信息。但之後的報告聲稱有人已經 access 過 Pfizer/BioNTech 疫苗 BNT162b2 的監管提交的相關文件。  根據 BioNTech 的新聞,EMA 正在批准疫苗,而這些文件存儲在 EMA server上。
目前還不清楚這些文件是否為攻擊的主要目標,或已危害了其他數據,但到目前為止,沒有跡象顯示屬於疫苗試驗工作人員的任何 PPI 已被暴露。 EMA 也表示,網路攻擊不會延遲歐盟對該疫苗的監管批准,並預計將在未來幾週內完成。
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
January 2021
|
RSS Feed