安全快報 | 特斯拉進入系統存風險：竊賊可偷走你的汽車

安全事件

5月13日-5月20日 一週網路安全事件彙總

01 新的 SYK Crypter 透過 Discord 傳播

簡要介紹

研究人員披露了網路犯罪分子如何濫用 Discord 作為流行攻擊鏈的一部分，該攻擊鏈採用新的 SYK Crypter。加密器可以規避行為和基於簽名的安全控制。根據Morphisec的說法，攻擊鏈顯示了威脅行為者如何濫用 Discord 的內容交付網路 (CDN) 的演變過程。該活動始於針對不同部門組織的有針對性的網路釣魚電子郵件。為了透過使用網路釣魚電子郵件來引誘新的受害者，攻擊者使用 NewOrder[.]exe、AMAZON_ORDERPDF[.]ex 和 Purchase Order[.]exe 等檔名將惡意軟體呈現為採購訂單。攻擊鏈有兩個主要組成部分；一個 .NET 載入器 (DNetLoader) 和一個 .NET 加密器 (SYK Crypter)。

該加密器傳播了許多惡意軟體系列，包括 WarzoneRAT、AsyncRAT、QuasarRAT、NanoCore RAT、RedLine Stealer 和 njRAT。

相關連結

https://cyware.com/news/new-syk-crypter-propagates-via-discord-d5115d1e

02 勒索軟體組織聲稱已經襲擊了 Mercyhurst 大學

簡要介紹

賓夕法尼亞州的Mercyhurst 大學受勒索軟體攻擊。SuspectFile指出，該大學尚未確認任何違規行為，LockBit 尚未釋出任何證據（還沒有？）。但 SuspectFile 指出具有諷刺意味的是，在該大學的四所學院中的一所參加了 CyberImpact 2022 併為自己在網路安全方面的工作表揚自己的後一個月，該大學似乎受到了打擊。截至今天早上，該大學的網站或 Twitter 帳戶上沒有關於任何違規行為的宣告。LockBit 的清單聲稱它將在 5 天多一點的時間內釋出“所有資料”（他們聲稱是 300 GB）。

相關連結

https://www.databreaches.net/pa-ransomware-group-claims-to-have-hit-mercyhurst-university/?web_view=true

03 微軟針對加密錢包的“Cryware”資訊竊取惡意軟體發出警告

簡要介紹

微軟警告稱，針對聯網加密貨幣錢包的新威脅正在出現。微軟將這種新威脅稱為“cryware”，這些攻擊透過向對手控制的錢包進行欺詐性轉移，導致虛擬貨幣不可逆轉地被盜。微軟365防禦研究團隊的伯曼·恩科納多(Berman Enconado)和勞裡·柯克(Laurie Kirk)在一份新報告中表示，Cryware是直接從非託管加密貨幣錢包(也被稱為熱錢包)收集和竊取資料的資訊竊取者。與託管錢包不同，熱錢包是儲存在本地裝置上的，可以更容易地獲取執行交易所需的加密金鑰，因此越來越多的威脅正針對它們。

相關連結

https://thehackernews.com/2022/05/microsoft-warns-of-cryware-info.html

04 研究人員揭露了巫師蜘蛛網路犯罪團伙的內部運作

簡要介紹
一個名為“巫師蜘蛛”的網路犯罪組織的內部運作已經曝光，揭示了其組織結構和動機。瑞士網路安全公司 PRODAFT在與 The Hacker News 分享的一份新報告中表示： “Wizard Spider 的大部分努力都用於入侵歐洲和美國的企業，他們的一些攻擊者使用一種特殊的破解工具來破壞高價值目標。” “他們獲得的部分資金將用於開發新工具和人才的專案。”Wizard Spider，也被稱為 Gold Blackburn，據信在俄羅斯境外開展業務，指的是與 TrickBot 殭屍網路有關的出於經濟動機的威脅行為者，這是一種模組化惡意軟體，已於今年早些時候正式停止使用，以支援改進的惡意軟體，例如 BazarBackdoor 。

相關連結
https://www.infosecurity-magazine.com/news/police-warn-of-15m-courier-scams/?&web_view=true

05 勒索病毒又作妖攻擊美國製造巨頭Parker-Hannifin Corporation

簡要介紹

近日，全球運動控制技術領域最大的美國製造公司派克漢尼汾公司（Parker-Hannifin Corporation）宣佈了一起資料洩露事件，在Conti勒索軟體參與者上個月公佈了據稱被盜的資料後，暴露了員工的個人身份資訊（PII），未經授權的訪問可能獲取了其IT系統上的某些檔案，其中包括與現任和前任員工，其家屬和派克集團健康計劃成員相關的資訊。攻擊發生在2022年3月11日到3月14日期間透過訪問IT系統實現。

相關連結

https://portswigger.net/daily-swig/parker-hannifin-reveals-cyber-attack-exposed-sensitive-employee-data

06 特斯拉進入系統被駭客攻破：竊賊可偷走你的汽車

簡要介紹

特斯拉公司的客戶可能會喜歡該汽車製造商提供的“藍芽無鑰匙進入系統”，但一位網路安全研究人員已經證明，該藍芽鎖技術可以讓竊賊偷走某些型號的電動汽車。英國曼徹斯特安全公司 NCC Group 的首席安全顧問蘇丹卡西姆汗 (Sultan Qasim Khan) 表示，對特斯拉 Model 3 和 Model Y 有效入侵將允許竊賊解鎖汽車、啟動汽車並加速離開。透過重定向車主的手機或 key fob 遙控鑰匙與汽車之間的通訊，外人可以欺騙特斯拉進入系統，使其認為車主就在汽車附近。卡西姆汗稱，雖然他是在一款特斯拉車型上演示了這項技術，但是該入侵技術並不是專門針對特斯拉的。相反，這是他對特斯拉的無鑰匙進入系統進行修補的結果，該系統依賴於所謂的低能耗藍芽 (BLE) 協議。沒有證據表明竊賊利用這一入侵技術不正當地進入特斯拉汽車。特斯拉尚未置評。

相關連結

https://baijiahao.baidu.com/s?id=1733174847776993297&wfr=spider&for=pc

07 美司法部指控55歲專家醫生開發、使用、銷售“Thanos”勒索軟體

簡要介紹

美國司法部當地時間5月16日表示，居住在委內瑞拉玻利瓦爾城的擁有法國和委內瑞拉國籍的55歲心臟病專家莫伊塞斯·路易斯·扎加拉·岡薩雷斯 (Zagala) 建立了Jigsaw和Thanos勒索軟體並將其出租給網路犯罪分子。據FBI的調查，名為“Thanos”的工具允許使用者以每月高達800美元的許可費建立自己的定製勒索軟體。另一款名為“Jigsaw v. 2”的產品具有內建的“世界末日”計數器功能，可在多次嘗試刪除勒索軟體後擦除受害者的硬碟驅動器。紐約東區美國檢察官Breon Peace和紐約外地辦事處 (FBI) 聯邦調查局助理主管Michael J. Driscoll宣佈了這些指控。

相關連結

https://www.zdnet.com/article/us-prosecutors-allege-venezuelan-doctor-is-ransomware-mastermind/?&web_view=true

08 醫療保健提供組織管理供應鏈網路安全風險的最佳實踐

簡要介紹

雲安全聯盟 (CSA) 釋出了一篇題為《醫療保健供應鏈網路安全風險管理》的論文。該報告由健康資訊管理工作組起草，提供了醫療保健提供組織 (HDO) 可用於管理與其供應鏈相關的網路安全風險的最佳實踐。HDO 面臨來自許多不同型別供應鏈供應商的風險，包括食品供應商、軟體供應商、醫療裝置、藥品和日常醫療用品。這種複雜性和擴充套件的相互依賴性極大地增加了網路事件的後果，從敏感個人資訊的洩漏到供應鏈實際供應的中斷。

醫療保健提供組織每年在數千家供應商上花費數十億美元。然而，研究表明，目前評估和管理供應商風險的方法正在失敗。向雲端計算和邊緣計算的遷移擴大了 HDO 的電子範圍，不僅使他們更難保護其基礎設施，而且使他們成為網路攻擊的更具吸引力的目標。

相關連結

https://www.helpnetsecurity.com/2022/05/17/healthcare-supply-chains-risks/?web_view=true