Thể loại: An ninh mạng

Các tác nhân mạng liên kết Iran đe dọa

Được đăng trên bởi kylefuller

Tổng quan

Cục Điều tra Liên bang (FBI), Cơ quan An ninh mạng và Cơ quan An ninh Cơ sở hạ tầng (CISA), Cơ quan An ninh Quốc gia (NSA) và Cơ quan Bảo vệ Môi trường (EPA) đang khẩn trương cảnh báo các tổ chức Hoa Kỳ về việc khai thác mạng liên tục các thiết bị công nghệ hoạt động kết nối internet (OT), bao gồm các bộ điều khiển logic lập trình (PLC) do Rockwell Automation/Allen-Bradley sản xuất, trên nhiều lĩnh vực cơ sở hạ tầng quan trọng của Hoa Kỳ.

Hành động được đề xuất

EPA khuyến nghị các hệ thống nước và nước thải xem xét các chiến thuật, kỹ thuật và quy trình (TTP) và các chỉ số thỏa hiệp (IOC) trong tư vấn này để biết các chỉ dẫn về hoạt động hiện tại hoặc lịch sử trên mạng của chúng và áp dụng các bước ngay lập tức được đề xuất để ngăn chặn cuộc tấn công:

  • Hạn chế tiếp xúc PLC với internet công cộng
  • Đảm bảo PLC đang ở chế độ chạy để ngăn chặn sửa đổi từ xa
  • Thay thế tất cả các mật khẩu mặc định trên PLC và OT bằng mật khẩu mạnh, duy nhất

Các hệ thống nước được khuyến khích xem xét và thực hiện các bước tiếp theo bổ sung có trong tư vấn để tăng cường hơn nữa vị thế an ninh mạng của họ.

Hỗ trợ kỹ thuật

Nếu bạn có thắc mắc về bất kỳ thông tin nào trong cảnh báo này, bao gồm hỗ trợ các bước giảm thiểu, hãy gửi yêu cầu đến Chương trình Hỗ trợ Kỹ thuật An ninh mạng của EPA cho Khu vực Nước.

Báo cáo sự cố

Các tổ chức được khuyến khích báo cáo thông tin liên quan đến hoạt động đáng ngờ hoặc tội phạm cho Trung tâm Khiếu nại Tội phạm Internet của FBI (IC3) tại IC3.gov hoặc cho CISA thông qua Hệ thống Báo cáo Sự cố của CISA.

Tư vấn truy cập tại đây

CISA và các đối tác phát hành hướng dẫn khai thác toàn cầu liên tục các hệ thống SD-WAN của Cisco - 2/25/26

Được đăng trên bởi kylefuller

CISA và các đối tác đã quan sát thấy các tác nhân mạng độc hại nhắm mục tiêu và xâm phạm các hệ thống Cisco SD-WAN của các tổ chức trên toàn cầu. Những tác nhân này đã được quan sát thấy khai thác lỗ hổng bỏ qua xác thực chưa được tiết lộ trước đây, CVE-2026-20127, để truy cập ban đầu trước khi tăng các đặc quyền sử dụng CVE-2022-20775 và thiết lập sự tồn tại lâu dài trong các hệ thống SD-WAN của Cisco.

Nhấp vào đây để truy cập liên kết đến cảnh báo CISA.

Những người theo chủ nghĩa hack thân Nga tiến hành các cuộc tấn công cơ hội chống lại cơ sở hạ tầng quan trọng của Hoa Kỳ và toàn cầu

Được đăng trên bởi matthewframe

FBI, CISA và NSA đánh giá các nhóm hacker thân Nga đang tiến hành các cuộc tấn công ít tinh vi hơn, tác động thấp hơn vào các thực thể cơ sở hạ tầng quan trọng, so với các nhóm đe dọa dai dẳng (APT) tiên tiến. Các cuộc tấn công này sử dụng các kết nối điện toán mạng ảo (VNC) được bảo mật tối thiểu, đối mặt với internet để xâm nhập (hoặc có quyền truy cập vào) các thiết bị điều khiển OT trong các hệ thống cơ sở hạ tầng quan trọng. Các nhóm hacker thân Nga - Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16), Sector16 và các nhóm liên kết - đang tận dụng sự phổ biến rộng rãi của các thiết bị VNC có thể truy cập để thực hiện các cuộc tấn công chống lại các thực thể cơ sở hạ tầng quan trọng, dẫn đến mức độ tác động khác nhau, bao gồm cả thiệt hại vật lý. Các lĩnh vực được nhắm mục tiêu bao gồm Hệ thống Nước và Nước thải, Thực phẩm và Nông nghiệp và Năng lượng.

Thông tin thêm về cảnh báo này có thể được tìm thấy ở đây.

Cảnh báo CISA cửa sau BRICKSTORM

Được đăng trên bởi matthewframe

Cơ quan An ninh mạng và Cơ quan An ninh Cơ sở hạ tầng (CISA), Cơ quan An ninh Quốc gia (NSA) và Trung tâm An ninh mạng Canada (Trung tâm Điện tử) đánh giá các tác nhân mạng do nhà nước bảo trợ của Cộng hòa Nhân dân Trung Hoa (PRC) đang sử dụng phần mềm độc hại BRICKSTORM để tồn tại lâu dài trên các hệ thống nạn nhân. CISA, NSA và Trung tâm Điện tử đang phát hành Báo cáo Phân tích Phần mềm độc hại này để chia sẻ các chỉ số về sự xâm phạm (IOC) và chữ ký phát hiện dựa trên phân tích tám mẫu BRICKSTORM. CISA, NSA và Trung tâm Điện tử kêu gọi các tổ chức sử dụng IOC và chữ ký phát hiện để xác định các mẫu phần mềm độc hại BRICKSTORM.

Thông tin thêm về cảnh báo có thể được tìm thấy trên trang web của CISA tại đây.

Sự cố mạng liên quan đến phần mềm Cityworks

Được đăng trên bởi matthewframe

EPA đang đưa ra cảnh báo này để thông báo cho chủ sở hữu và nhà khai thác hệ thống nước và nước thải về các sự cố mạng liên quan đến Phần mềm Cityworks. Nền tảng Cityworks (thuộc sở hữu của Trimble) được sử dụng rộng rãi bởi các đô thị Tiểu bang, Địa phương, Bộ lạc và Lãnh thổ, bao gồm cả hệ thống nước và nước thải.  Đọc thêm về cảnh báo này tại đây.

Xung đột Iran đang làm tăng khả năng xảy ra các cuộc tấn công mạng cấp thấp vào mạng lưới của Hoa Kỳ

Được đăng trên bởi matthewframe

Cơ quan Bảo vệ Môi trường Hoa Kỳ (EPA) ban hành cảnh báo này để thông báo cho chủ sở hữu và người vận hành hệ thống nước và nước thải về nhu cầu tăng cường cảnh giác đối với các hoạt động mạng tiềm ẩn tại Hoa Kỳ do môi trường địa chính trị hiện nay. Có thể tìm thêm thông tin tại đây.

Lỗ hổng Microsoft Sharepoint

Được đăng trên bởi matthewframe

EPA Hoa Kỳ đang đưa ra cảnh báo này để thông báo cho các chủ sở hữu và nhà khai thác hệ thống nước và nước thải về sự cần thiết phải tăng cường cảnh giác xung quanh việc sử dụng Microsoft SharePoint.  Trong khi phạm vi và tác động tiếp tục được đánh giá, chuỗi, được báo cáo công khai là “ToolShell”, cung cấp quyền truy cập không xác thực vào các hệ thống và truy cập được xác thực thông qua giả mạo mạng, tương ứng và cho phép các tác nhân độc hại truy cập đầy đủ nội dung SharePoint, bao gồm hệ thống tệp và cấu hình nội bộ, và thực thi mã qua mạng.  Xem bản cập nhật đầy đủ về bản phát hành này trên Trang web của CISA.