2015 (69)
2016 (56)
2017 (52)
加拿大網絡安全中心與FBI和其他美國機構聯合發布了一份關於“Truebot”惡意軟件攻擊不斷增加的聯合警報。
根據7月6日的警報,黑客利用安全軟件的漏洞,入侵加拿大和美國的組織的計算機網絡,以獲取敏感數據以謀取經濟利益。受影響軟件的公司表示,超過7,000個組織依賴所謂的Netwrix Auditor,其中包括來自保險、金融、醫療和法律領域的客戶。
渥太華卡爾頓大學計算機科學副教授Anil Somayaji在周四通過電話告訴CTVNews.ca:“為了使安全程序正常運行,需要較高級別的訪問權限,因此如果它被入侵...攻擊者就獲勝了。這是一種最糟糕的漏洞,出現在非常敏感的軟件中,而這些軟件恰恰部署在那些對安全性非常關注的地方。”
總部位於德克薩斯州的Netwrix敦促客戶升級軟件,並確保運行該軟件的係統與互聯網斷開連接。
Netwrix首席安全官Gerrit Lansing在向CTVNews.ca發表的聲明中表示:“與部署最佳實踐相反,這個漏洞可能允許攻擊者在暴露於互聯網的Netwrix Auditor係統上執行任意代碼。反過來,攻擊者將能夠在滲透的網絡中運行枚舉攻擊並進行權限提升嚐試。枚舉和權限提升這兩種活動是任何網絡攻擊的核心。”
Netwrix Auditor被宣傳為組織可以使用的數字工具,用於“檢測安全威脅、證明合規性並提高IT團隊的效率”。
Netwrix Auditor網站宣傳稱:“減少IT風險,主動發現威脅。通過確定您的關鍵數據和基礎設施安全漏洞以及揭示寬鬆的權限,降低對關鍵資產的風險。”
Somayaji表示,正是由於軟件和被稱為遠程代碼執行的攻擊的本質,黑客才能訪問整個計算機係統和Netwrix Auditor設計用於保護的敏感數據。
“一旦被感染,他們基本上就控製了這些係統,然後他們可以...加密您的所有數據,這樣現在隻有攻擊者才能解密它,”Somayaji說道。Somayaji的研究興趣包括計算機安全和入侵檢測。“這就是勒索軟件的想法:我加密了你的數據,如果你想要恢複,你必須為密鑰付費,否則你將永遠無法恢複它。”
加拿大網絡安全中心是加拿大的網絡安全和數字情報機構,隸屬於通信安全局(CSE)。該機構與美國聯邦調查局(FBI)、網絡安全和基礎設施安全局(CISA)以及美國多州信息共享與分析中心(MS-ISAC)一起發布了有關這種新網絡威脅的聯合警報。
Somayaji說:“每當你看到這些事情出現,就好像冰山的一角。加拿大網絡安全中心、CISA和FBI發表這樣的新聞稿,這讓我認為一些重要的參與者正在使用這些東西。”
私人安全研究人員稱,Truebot惡意軟件最早於2017年被發現,據說它可以追溯到號稱使用俄語的Silence Group的黑客,該組織據稱針對前蘇聯國家和其他全球金融機構進行攻擊。CSE的一位發言人表示,他們“無法驗證這些發現”。
CSE的發言人解釋說:“Truebot惡意軟件的早期版本依賴於惡意釣魚郵件,通過誘使收件人點擊超鏈接來執行惡意軟件,從而滲透係統。最近,網絡威脅行動者添加了一種新策略,利用Netwrix Auditor軟件中的一個遠程代碼執行漏洞(稱為CVE-2022-31199)來啟動惡意軟件,基本上消除了釣魚攻擊所需的人為錯誤。”
加拿大網絡安全中心敦促受影響的IT運營商閱讀其技術警報和網絡安全谘詢,以獲取更多信息和解決方案。
Somayaji表示,Netwrix並非第一家麵臨此類入侵的安全軟件公司。
Somayaji說:“如果你回顧過去,許多安全產品都被發現存在嚴重漏洞。這其中有些可能隻是為了賺錢,有些可能是情報機構,還有些可能隻是一些對某事有怨言的個人。”