投放800個惡意NPM包！黑客發(fā)動“自動化”供應鏈攻擊

　　軟件供應鏈攻擊的頻率和規(guī)模正在不斷升級。3月底，一個被代號“RED-LILI”的黑客發(fā)動了針對NPM存儲庫的大規(guī)模供應鏈攻擊，一口氣發(fā)布近800個惡意NPM包。

　　“通常，攻擊者使用一個匿名的一次性NPM帳戶發(fā)起攻擊，”以色列安全公司Checkmarx透露：“但這一次，攻擊者似乎完全自動化了NPM帳戶創(chuàng)建過程，為每個惡意程序包都開設了專用帳戶，這使得這批新的惡意包更難被發(fā)現(xiàn)和完全清理?！?/p>

　　此前，JFrog和Sonatype最近的報告都詳細介紹了數(shù)百個惡意NPM包，這些包利用依賴混淆和域名仿冒等技術(shù)針對Azure、Uber和Airbnb的開發(fā)人員。

　　據(jù)Checkmarx透露，黑客使用自定義Python代碼和Selenium等Web測試工具的組合來模擬在注冊表中復制用戶創(chuàng)建過程所需的用戶操作，從而將惡意庫自動化批量上傳到NPM。

　　為了繞過NPM設置的一次性密碼(OTP)驗證，攻擊者還利用一種名為Interactsh的開源工具將NPM服務器發(fā)送的OTP提取到注冊期間提供的電子郵件地址，從而成功創(chuàng)建帳戶。

　　有了這個全新的NPM用戶帳戶后，攻擊者會在生成訪問令牌之后，以自動方式創(chuàng)建和發(fā)布一個惡意程序包，且每個帳戶只發(fā)布一個，這種方式可以有效繞過電子郵件OTP驗證。

　　研究人員說：“這是軟件供應鏈攻擊的一個里程碑，標志著供應鏈攻擊者正在不斷提高技能并讓防御變得更加艱難?！薄巴ㄟ^跨多個用戶名分發(fā)惡意軟件包，攻擊者使防御者更難完全關(guān)聯(lián)和防御，增加感染的機會?！?/p>

　　黑客偽造“政府傳票”竊取科技巨頭敏感數(shù)據(jù)，蘋果、臉書等均受影響

　　3月底，安全博客KrebsOnSecurity披露了一種偽裝政府執(zhí)法部門向互聯(lián)網(wǎng)公司套取用戶數(shù)據(jù)的攻擊手法，攻擊者竊取執(zhí)法部門郵箱等官方賬號，向互聯(lián)網(wǎng)平臺發(fā)送“緊急數(shù)據(jù)申請”，從而套取用戶敏感數(shù)據(jù)；最近興起的LAPSUS$數(shù)據(jù)勒索團伙正是利用這一手法為基礎，成功入侵了微軟、Okta、英偉達等知名企業(yè)內(nèi)網(wǎng)竊取數(shù)據(jù)，蘋果、Meta等巨頭曾應黑客要求提供用戶數(shù)據(jù)；互聯(lián)網(wǎng)巨頭們向黑客提供的數(shù)據(jù)包括用戶的基本信息，如消費者的家庭住址、電話號碼、IP地址等。

　　國內(nèi)上市公司遭遇電信詐騙：郵箱遭入侵，被騙2275萬元

　　4月初，大亞圣象（000910）發(fā)布2021年度業(yè)績報告，公司實現(xiàn)營收87.5億元，同比上升20.46％；歸屬上市公司股東凈利潤5.95億元，同比下降4.86％。

　　值得注意的是，公司同時披露，其全資子公司遭遇電信詐騙，涉案金額約356.9萬美元(折合人民幣2275.49萬元)，追回可能性較低。

　　大亞圣象公告表示，2021年報告期內(nèi)，公司全資子公司圣象集團有限公司下屬子公司美國HomeLegendLLC公司，成為一起電信欺詐的受害者，肇事者入侵該公司租用的微軟公司365郵箱系統(tǒng)，偽造假電子郵件冒充該公司管理層成員，偽造供應商文件及郵件路徑，實施詐騙，涉案金額約356.9萬美元（折合人民幣2275.49萬元）。

　　該公司已于美國地方聯(lián)邦執(zhí)法當局備案并向中國公安機關(guān)報案。大亞圣象表示，截至報告日，被盜資金追回可能性較低。

　　國際電子郵件營銷巨頭MailChimp遭黑，淪為釣魚工具

　　4月初，電子郵件營銷公司MailChimp披露其遭到黑客攻擊，黑客利用內(nèi)部客戶支持和賬戶管理工具竊取用戶數(shù)據(jù)，并進行網(wǎng)絡釣魚攻擊。

　　MailChimp已經(jīng)證實，黑客發(fā)動這次攻擊不僅僅是為了訪問Trezor的帳戶，其部分員工受到了社會工程攻擊，導致憑證被盜。這些憑證被黑客用于訪問319個MailChimp帳戶，并從102個客戶帳戶中導出“受眾數(shù)據(jù)”。

　　MailChimp首席信息安全官Siobhan Smyth表示：“3月26日，我們的安全團隊發(fā)現(xiàn)，惡意行為者訪問了一個面向客戶團隊、用于客戶支持和賬戶管理的的內(nèi)部工具。該事件是由外部參與者發(fā)起的，他對Mailchimp員工進行了社會工程攻擊，導致其憑證被泄露。我們迅速采取行動，終止黑客對被入侵員工賬戶的訪問，并采取相應措施來防止更多員工受到影響?！?/p>

　　除了查看賬戶和導出數(shù)據(jù)以外，威脅參與者還獲得了對客戶API密鑰的訪問權(quán)，目前這些密鑰已被禁用。應用程序編程接口 (API) 密鑰是允許MailChimp客戶直接從他們自己的網(wǎng)站或平臺管理他們的帳戶和執(zhí)行營銷活動的訪問令牌。威脅參與者可以憑借這些泄露的API密鑰創(chuàng)建自定義電子郵件活動，例如發(fā)起網(wǎng)絡釣魚活動，并將它們發(fā)送到用戶郵件列表，而無需訪問MailChimp的客戶門戶。

　　俄羅斯石油巨頭Gazprom Neft網(wǎng)站因遭黑客攻擊而關(guān)閉

　　近期，俄羅斯國家天然氣公司Gazprom的石油部門Gazprom Neft網(wǎng)站因遭黑客攻擊而被迫關(guān)閉，這似乎是俄羅斯入侵烏克蘭后對政府相關(guān)網(wǎng)站的最新黑客攻擊。據(jù)說該網(wǎng)站上有一份來自俄羅斯天然氣工業(yè)股份公司首席執(zhí)行官阿列克謝米勒的聲明，該聲明似乎已經(jīng)是網(wǎng)站被黑客入侵后的版本了，這份聲明中對俄羅斯向烏克蘭派遣數(shù)千名士兵的決定發(fā)表了批評言論，隨后，該網(wǎng)站就被迫停止運營。

　　除此之外，據(jù)稱多個烏克蘭新聞網(wǎng)站在上個月同樣遭到俄羅斯威脅攻擊者的黑客攻擊，并向訪問者展示了“Z”符號。烏克蘭國家特別通信和信息保護局在一篇網(wǎng)絡帖子中證實了這一事件，并將責任歸咎于俄羅斯國家支持的行為者。

　　烏克蘭成功挫敗對其電網(wǎng)的破壞性網(wǎng)絡攻擊

　　4月初，烏克蘭CERT和ESET披露，沙蟲黑客組織針對烏能源工控設施發(fā)起破壞性網(wǎng)絡攻擊，希望切斷區(qū)域電力供應，但被成功阻止；攻擊者使用了曾導致烏克蘭大停電的Industroyer更新版、CaddyWiper數(shù)據(jù)擦除軟件；據(jù)分析，此次攻擊發(fā)生在4月8日晚間，Industroyer2在兩周前已經(jīng)準備好，被攻擊網(wǎng)絡至少在2月已經(jīng)被滲透。

　　在這次攻擊中，攻擊者使用了Industroyer的更新版本Industroyer2。Industroyer是沙蟲組織使用過的一種惡意軟件，曾在2015年導致烏克蘭大停電。對專為工業(yè)環(huán)境設計的Industroyer2留下的痕跡的分析表明，該組織已經(jīng)就對烏克蘭電力系統(tǒng)攻擊籌劃了數(shù)周。

　　美國土安全部成功挫敗針對海底互聯(lián)網(wǎng)光纜的網(wǎng)絡攻擊

　　美國國土安全部當?shù)貢r間4月12日在一份聲明中表示，上周火奴魯魯?shù)穆?lián)邦特工“破壞”了對一家未具名電信公司服務器的明顯網(wǎng)絡攻擊，該服務器與負責夏威夷和該地區(qū)互聯(lián)網(wǎng)、有線電視服務和手機連接的海底光纜相關(guān)。

　　國土安全部下屬的國土安全調(diào)查部（HSI）駐夏威夷的特工收到來自大陸HSI同行的提示，導致“涉及與海底電纜相關(guān)的私人公司服務器的重大違規(guī)行為”中斷。調(diào)查顯示，“一個國際黑客組織”是這次襲擊的幕后黑手，“幾個國家的HSI特工和國際執(zhí)法合作伙伴得以逮捕嫌疑人”。

　　烏克蘭政府遭受威脅行為者IcedID惡意軟件攻擊

　　近期，烏克蘭計算機應急響應小組 (CERT-UA) 發(fā)現(xiàn)了新的網(wǎng)絡釣魚活動，旨在用IcedID惡意軟件感染烏克蘭政府機構(gòu)的系統(tǒng)。

　　攻擊者在網(wǎng)絡釣魚消息使用了名為“Mobilization Register.xls”的Excel文檔。當用戶打開文檔并啟用嵌入式宏后，該文檔將開始下載并運行可執(zhí)行文件，這個可執(zhí)行文件可用于解密并運行GzipLoader，GzipLoader可作為IcedID惡意軟件的廣告加載器。用戶下載的EXE文件將解密并運行計算機上的GzipLoader惡意軟件，然后該惡意軟件將開始下載、解密和運行IcedID惡意軟件。IcedID惡意軟件（也稱為BankBot）屬于“銀行木馬”類，除了造成常規(guī)的攻擊影響以外，還可以執(zhí)行身份驗證數(shù)據(jù)竊取。

　　國家郵政系統(tǒng)遭網(wǎng)絡攻擊，這個國家養(yǎng)老金發(fā)放部分中斷

　　近期，東歐國家保加利亞的國家郵政系統(tǒng)遭到網(wǎng)絡攻擊，有業(yè)務系統(tǒng)無法工作，導致柜臺養(yǎng)老金發(fā)放業(yè)務被迫中斷；這給許多老年人的生活帶來了意外打擊，有民眾擔心拿不到養(yǎng)老金，沒法應付即將到來的復活節(jié)假期；保加利亞副總理Kalina Konstantinova稱，過去十年以來，保加利亞郵政的網(wǎng)絡安全問題一直遭到系統(tǒng)性忽視。

　　網(wǎng)絡攻擊致使這家航司航班嚴重延誤近一周

　　4月17日，因供應商系統(tǒng)遭受網(wǎng)絡攻擊，加拿大老牌航空公司陽翼航空的重要系統(tǒng)中斷服務，致使航班嚴重延誤近一周時間；此次事件導致至少188個航班發(fā)生延誤，許多乘客因此被困在機場，有乘客表示已經(jīng)滯留在機場超過3天；為減少服務中斷，陽翼航空表示會盡量以手動方式處理航班業(yè)務。

　　北美國家財政系統(tǒng)遭勒索攻擊

　　4月18日，北美洲國家哥斯達黎加財政部披露遭到Conti勒索軟件攻擊，多個部委大量系統(tǒng)受影響癱瘓，大量敏感數(shù)據(jù)被盜；哥國財政部受影響最嚴重，納稅人信息被盜引發(fā)大眾恐慌，稅務海關(guān)等系統(tǒng)癱瘓多天，導致該國出口業(yè)務損失慘重，至少損失2億美元；哥國總統(tǒng)稱攻擊者試圖破壞國家穩(wěn)定，并暗指與俄羅斯有關(guān)。不過也有安全專家認為，這只是一起普通的金錢勒索，僅僅因為該國系統(tǒng)漏洞太多。

　　南美洲金融中心里約財政系統(tǒng)遭勒索攻擊，420GB數(shù)據(jù)被盜

　　4月22日，巴西里約熱內(nèi)盧州的財政大臣披露該州的財政系統(tǒng)遭到LockBit勒索軟件攻擊，420GB數(shù)據(jù)遭竊取，威脅不支付贖金將馬上公開數(shù)據(jù)；據(jù)悉，這批數(shù)據(jù)竊取自Sefaz-RJ系統(tǒng)中，約占州財政部門全部數(shù)據(jù)存儲量的0.05%；LockBit是目前最流行的勒索軟件即服務平臺之一，有數(shù)據(jù)顯示今年已攻擊了至少650個目標組織。

　　網(wǎng)絡攻擊致使汽車租賃巨頭全球系統(tǒng)中斷

　　4月29日，國際汽車租賃巨頭Sixt遭到網(wǎng)絡攻擊，部分業(yè)務系統(tǒng)被迫中斷，運營出現(xiàn)大量技術(shù)問題；公司的客戶服務中心和部分分支機構(gòu)受影響較大，大多數(shù)汽車預定都是通過筆和紙進行的，服務熱線短時離線后恢復，業(yè)務陷入混亂；據(jù)猜測，此次攻擊可能屬于勒索軟件攻擊，目前暫時沒有相關(guān)組織表示負責。

　　農(nóng)業(yè)機械巨頭愛科遭勒索攻擊

　　5月初，美國農(nóng)業(yè)機械巨頭愛科遭到勒索軟件攻擊，部分生產(chǎn)設施運營受影響，可能持續(xù)多天；有經(jīng)銷商表示，這導致拖拉機銷售在美國最重要的種植季節(jié)停滯不前；近一年來多家農(nóng)業(yè)供應鏈企業(yè)遭到攻擊，農(nóng)業(yè)逐漸成為勒索攻擊重點目標，F(xiàn)BI已接連發(fā)布兩次行業(yè)預警。

　　勒索攻擊致使美國老牌高校林肯學院倒閉

　　5月初，位于美國伊利諾伊州農(nóng)村的林肯學院表示，在其成立157年之后，由于新冠疫情和最近遭受的勒索軟件攻擊對其財務造成了殘酷的打擊，學院決定將在本月永久關(guān)閉。林肯學院網(wǎng)站公告中寫道：“林肯學院在2021年12月遭受了一次網(wǎng)絡攻擊，阻礙了招生計劃和對所有機構(gòu)信息的訪問，導致對2022年秋季招生的預測無法明確?！?/p>

　　最強間諜軟件：難以防范的國家安全威脅

　　近期，以色列間諜軟件Pegasus（飛馬）再次成為歐美關(guān)注的焦點。5月初，西班牙首相桑切斯確認遭飛馬軟件入侵，成為現(xiàn)任全球政府首腦的首個確認案例。此前，英國首相鮑里斯·約翰遜辦公室相連設備也發(fā)現(xiàn) 飛馬間諜軟件的活動痕跡。

　　接連曝光的事件引發(fā)對監(jiān)控軟件使用的廣泛爭議。在全球開展的飛馬項目調(diào)查顯示，目前已在世界各地發(fā)現(xiàn)超過 450 起疑似飛馬入侵事件，受害者分布普及世界各地，包括不少國家的領導人。

　　目前飛馬軟件已被美國商務部列入黑名單，正在接受歐洲議會委員會的調(diào)查。頻發(fā)曝光的飛馬入侵事件突顯出間諜軟件構(gòu)成的國家安全威脅。

　　俄羅斯電視臺在勝利閱兵日被黑，顯示“恐嚇式”反戰(zhàn)信息

　　5月9日，在俄羅斯舉行勝利日閱兵的重要時刻，該國智能電視顯示的畫面遭到篡改，展示了許多血淋淋的反戰(zhàn)標語信息；俄羅斯主要電視頻道、最大搜索網(wǎng)站Yandex、最大視頻網(wǎng)站RuTube均受到網(wǎng)絡攻擊的影響；俄羅斯政府近期通過一項法律，任何抹黑俄羅斯軍隊及其在烏克蘭作戰(zhàn)行動的企圖都是違法的，上述大部分言論在俄羅斯國內(nèi)都會遭到禁止。

　　加拿大空軍關(guān)鍵供應商遭勒索攻擊，疑泄露44GB內(nèi)部數(shù)據(jù)

　　5月11日，加拿大、德國軍方的獨家戰(zhàn)機培訓供應商Top Aces透露，已遭到LockBit勒索軟件攻擊；LockBit團伙的官方網(wǎng)站已經(jīng)放出要求，如不支付贖金將公布竊取的44GB內(nèi)部數(shù)據(jù)；

　　安全專家稱，針對國防相關(guān)企業(yè)的攻擊令人擔憂，因為“無從得知被盜數(shù)據(jù)最終會落入哪里”，很可能流入對手國家；LockBit是目前最流行的勒索軟件即服務平臺之一，據(jù)統(tǒng)計今年已攻擊了至少650個目標組織。

　　意大利多個重要政府網(wǎng)站遭新型DDoS攻擊癱瘓

　　近期，意大利參議院、上議院、國防部等多個重要政府網(wǎng)站遭到網(wǎng)絡攻擊，網(wǎng)站無法訪問至少1個小時；意大利CERT發(fā)布預警稱，此次攻擊使用了“慢速HTTP”的新型DDoS手法，傳統(tǒng)防御措施較難抵御，需要針對性處置；親俄黑客團伙Killnet聲稱對本次攻擊負責。

　　俄最大銀行遭到最嚴重DDoS攻擊

　　5月19日，俄羅斯最大銀行Sberbank（聯(lián)邦儲蓄銀行）官網(wǎng)披露，在5月6日成功擊退了有史以來規(guī)模最大的DDoS攻擊，峰值流量高達450 GB/秒。

　　Sberbank副總裁兼網(wǎng)絡安全主管Sergei Lebed稱，網(wǎng)絡犯罪分子利用各種策略實施網(wǎng)絡攻擊，包括將代碼注入廣告腳本、惡意Chrome擴展程序，以及被DDoS工具武器化的Docker容器等。

　　Sberbank安全負責人表示，俄羅斯網(wǎng)絡安全發(fā)生了結(jié)構(gòu)性轉(zhuǎn)變，過去3個月來企業(yè)遭受的網(wǎng)絡攻擊呈現(xiàn)爆炸性增長，實力大幅提升；普京稱俄羅斯正在遭受“信息空間戰(zhàn)爭”，他提出了三項關(guān)鍵任務，以確保俄關(guān)鍵信息基礎設施安全。