目   錄

第一章 國內關鍵信息基礎設施安全動態 

（一）印度APT組織趁火打劫對我國醫療機構發起定向攻擊 

（二）香港的大學遭受Winnti Group攻擊 

第二章 國外關鍵信息基礎設施安全動態 

（一）攻擊ICS的新型神秘勒索軟件 

（二）設計缺陷使工業系統面臨破壞性攻擊 

（三）工廠蜜罐全景展示工業組織面臨的網絡威脅 

（四）日本電子巨頭NEC遭受網絡攻擊 

（五）聯合國多臺服務器遭受黑客攻擊 

（六）伊朗APT34利用惡意軟件攻擊美國政府供應商Westat 

（七）武漢新型冠狀病毒被用來發動釣魚郵件攻擊 

（八）思科修復了小型企業交換機中高危DoS漏洞 

（九）美國國家安全局發布緩解云漏洞指南 

（十）Microsoft Azure漏洞可致黑客接管云服務器 

第一章國內關鍵信息基礎設施安全動態

（一）印度APT組織趁火打劫對我國醫療機構發起定向攻擊

近日，360安全大腦捕獲了一例利用新冠肺炎疫情相關題材投遞的攻擊案例，攻擊者利用肺炎疫情相關題材作為誘餌文檔，對抗擊疫情的醫療工作領域發動APT攻擊。

在進一步追蹤溯源中，我們發現這起APT組織隸屬于印度黑客組織?？挂吖噪y題當前，印度APT組織竟公然瞄準我國醫療機構發動攻擊！借勢攪局、趁火打劫，此舉不僅令人憤慨至極，簡直是喪盡天良！

帶著滿腔的憤怒，我們進一步講述關于此次攻擊的重磅詳情！

首先：是誰在趁火打劫，對我國痛下毒手？

在揭開幕后真兇的神秘面紗前，我們先簡單了解下此次攻擊者的攻擊“路數”。

該攻擊組織使用采用魚叉式釣魚攻擊方式，通過郵件進行投遞?？珊拗翗O的是，它竟公然利用當前肺炎疫情等相關題材作為誘餌文檔，部分相關誘餌文檔如：武漢旅行信息收集申請表.xlsm，進而通過相關提示誘導受害者執行宏命令。

簡單說，攻擊者其將關鍵數據存在worksheet里，worksheet被加密，宏代碼里面使用key去解密然后取數據。然而其用于解密數據的Key為：nhc_gover，而nhc正是中華人民共和國國家衛生健康委員會的英文縮寫。

這里一旦宏命令被執行，攻擊者就能訪問hxxp://45.xxx.xxx.xx/window.sct，并使用scrobj.dll遠程執行Sct文件，這是一種利用INF Script下載執行腳本的技術。

然而，此處我們想強調的是，此次攻擊所使用的后門程序與之前360安全大腦在南亞地區APT活動總結中已披露的已知的印度組織專屬后門cnc_client相似，通過進一步對二進制代碼進行對比分析，其通訊格式功能等與cnc_client后門完全一致?？梢源_定，攻擊者來源于印度的APT組織！

值得注意的是，該印度APT組織的攻擊目標主要為：中國、巴基斯坦等亞洲地區國家進行網絡間諜活動，其中以竊取敏感信息為主。而且在對中國地區的攻擊中，主要針對政府機構、科研教育領域進行攻擊，尤其以科研教育領域為主。

其次：誰又該提高警惕，免遭其迫害？

在明確了是誰在打我們的時候，又一個重要問題迎來而來，誰是此次攻擊的受害者？

不言而喻，當攻擊者精心利用新冠肺炎疫情相關題材，作為誘餌文檔，進行魚叉式攻擊時，醫療機構、醫療工作領域無疑成為此次攻擊的最大受害者。

別有用心國家級APT組織的攪局，讓這場本就步履維艱的疫情之戰，更加艱難。一旦其“攻擊陰謀”得逞，輕則丟失數據、引發計算機故障，重則影響各地疫情防控工作的有序推進，危及個人乃至企業政府等各機構的網路安全。尤其面對這等有著國家級背景的APT組織的攻擊，后果簡直不堪設想。

最后：攻擊者的定向攻擊目的，或許更值得深思？

中國有句古話，人生有三不笑：不笑天災，不笑人禍，不笑疾病。

在重大災難疫情面前，國家、企業、個人，我們盡我們一切所能做到的，支援武漢，支援前線，幾乎所有工作者都在不眠不休的與時間賽跑、與病毒賽跑，在努力打贏這場疫情防御之戰。同時，抗擊疫情關鍵時刻，我們還收到來自他國的支持，近日，我國外交部發言人華春瑩一口氣向11國致謝。

就是在國內外友人守望相助時，為什么印度APT組織卻如此喪盡天良的對我國醫療機構發動定向攻擊？

這里我們不妨有個大膽的猜測：

第一，它們為了獲取最新最前沿的醫療新技術。這與該印度APT組織的攻擊重點一直在科研教育領域有著莫大關系；

第二，它們為了進一步截取醫療設備數據。為打贏這場異常艱難的疫情之戰，我國投入了重大的人力、物力、財力資源，其中尤其在醫療設備上更是重點，所以該組織此次發動攻擊，能進一步截取我國更多的醫療設備數據信息；

第三，擾亂中國的穩定，制造更多的恐怖。疫情面前，不僅是一場與生物病毒的戰役，更是一場民心之戰，只有民心定了，才能保證社會的穩定。而該組織在此次發動攻擊，無疑給疫情制造了更多的恐慌，恐嚇之中，進行擾亂社會的穩定。

但無論是哪種猜測，它在此次時刻發動攻擊，都將令本就不易的疫情攻堅戰更加艱難，但我們更相信我們強大的祖國，相信奮戰在任何前線的工作人員，不僅是衛士醫療團隊、人民子弟兵，還有那些保證我們網絡安全的勇士們，我們相信人定勝天！我們一定能打贏這場疫情之戰，也一定能守護好網絡空間這片凈土！

（本文版權歸原作者所有，參考來源：https://dwz.cn/VpAXXPSz）

（二）香港的大學遭受Winnti Group攻擊

近日，ESET研究人員發現Winnti Group使用惡意軟件ShadowPad和Winnti針對香港的大學進行新一輪攻擊。

早在2019年11月，ESET就發現了Winnti Group 針對兩所香港大學發起了攻擊。ESET找到了ShadowPad后門的新變體，這是該組織的旗艦后門，該軟件使用新的啟動器部署并嵌入了許多模塊。在ShadowPad出現的前幾周，在這些大學中也發現了惡意軟件Winnti。

溫尼集團（Winnti Group）至少自2012年開始活躍，它針對視頻游戲和軟件行業進行供應鏈攻擊，最終導致傳播木馬軟件（如CCleaner，ASUS LiveUpdate和多款視頻游戲）。該組織有眾多受害者，因損害醫療保健和教育領域的各種目標而聞名。

2019年11月，ESET的機器學習引擎 Augur在屬于兩所香港大學的多臺計算機上檢測到一個惡意且獨特的樣本，該樣本已于10月底發現Winnti惡意軟件。Augur檢測到的可疑樣本實際上是一個新的32位ShadowPad啟動器。在這些大學中發現的ShadowPad和Winnti樣本均包含戰役標識符和帶有大學名稱的C＆C URL，這表明有針對性的攻擊。除了攻擊者所使用的兩所大學以外，由于攻擊者使用了C＆C URL格式，至少有另外三所香港大學使用了相同的ShadowPad和Winnti變種。

攻擊香港大學時使用的ShadowPad多模塊后門引用了17個模塊，這些模塊專注于信息竊取，該模塊用于從受感染的系統中收集信息。

與ShadowPad后門的先前變體不同，在 ESET白皮書 在Winnti Group的軍火庫中，該啟動器并未使用VMProtect進行了混淆，而是使用XOR加密而不是典型的RC5密鑰塊加密算法。

（天地和興工控安全研究院翻譯整理，參考來源：https://dwz.cn/bA8st1xS） 

第二章國外關鍵信息基礎設施安全動態

（一）攻擊ICS的新型神秘勒索軟件

EKANS勒索軟件于2019年12月中旬出現，而Dragos于2020年1月初向其全球威脅情報服務的客戶發布了一份私有報告。盡管在加密文件和顯示贖金記錄方面作為勒索軟件樣本相對簡單，但EKANS具有附加功能以強制停止許多進程，包括與ICS操作相關的多個進程。盡管目前所有跡象都表明控制系統網絡上存在相對原始的攻擊機制，但靜態“攻殺清單”中列出的進程的特殊性表明，之前針對工業領域的勒索軟件并沒有表現很強的目的性。經過發現和調查，Dragos確定了EKANS與勒索軟件MEGACORTEX之間的關系，該勒索軟件還包含一些ICS特有的特征。在其報告中描述的勒索軟件中以工業過程為目標的標識是唯一的，代表了第一個已知的ICS特定勒索軟件變體。

盡管目前對EKANS勒索軟件的傳播機制尚不清楚，但是EKANS已經在警醒資產所有者和運營者獲得資產可見性的重要性。我們強烈建議，1、相關ICS資產所有者和運營者及時檢查其攻擊面，并判定具有ICS特定特征的分發和傳播破壞性惡意軟件（如勒索軟件）的機制。2、通過核查環境中的可用資產和連接，嘗試了解和分析對手針對特定資產部署專用于ICS的勒索軟件的潛在后果，對運營或相關流程的影響，并采取相應的防御措施。3、對進入ICS網絡的所有設備、數據、介質進行持續的嚴格的監測和審查，確保其可靠、干凈、可用；4、對ICS系統的關鍵數據、配置、邏輯做好及時的備份，保證備份的時效和可用；5、持續進行安全事件應急響應演練，確保響應計劃、流程、工具、人員的可用性和高效性。

（天地和興工控安全研究院翻譯整理，參考來源：https://dwz.cn/wEDYt2Gd）

（二）設計缺陷使工業系統面臨破壞性攻擊

近日，美國知名工業安全公司PAS向安全周刊（SecurityWeek）透露了其對工業終端研究的成果。PAS對石油和天然氣、煉油和化工、發電、紙漿和造紙以及采礦部門所屬的10000多個工業終端設備的過去一年的數據進行了深度分析，發現這些企業使用的許多工業控制系統都受到設計缺陷和弱點的影響，惡意行為者可能會利用這些設計缺陷和弱點來達到其各種不同的目的，包括造成破壞和物理損壞。研究成果反映出幾個顯著的問題，一是漏洞數量巨大；總共發現了超過380000個的已知漏洞，平均每個終端就有38個。二是影響范圍較廣；普遍存在的漏洞會影響各種類型的ICS，包括人機界面（HMI）、可編程邏輯控制器（PLC）和分布式控制系統（DCS）。另有漏洞跟微軟平臺下的軟件直接相關。三是漏洞利用較容易；在大多數情況下，只需利用網絡訪問權限或低/基本權限即可。即是部分有針對性的漏洞，攻擊者確實需要了解目標系統的工作方式。一旦了解后，濫用是非常容易的。四是影響后果嚴重且風險將長期存在。盡管沒有證據表明攻擊中已經利用了這些類型的缺陷，但已知其中許多缺陷會在攻擊觸發時導致生產中的問題，比如生產中斷、設備損壞。要命的是相關問題的修復往往是遙遙無期。這一研究成果也真實反映出當前關鍵基礎設施領域令人擔憂和不安的網絡安全現狀。

（天地和興工控安全研究院翻譯整理，參考來源：https://dwz.cn/s20gzlHS）

（三）工廠蜜罐全景展示工業組織面臨的網絡威脅

近日、趨勢科技的研究人員建立了一個工廠蜜罐，發現工業組織應更關注由利潤驅動的網絡犯罪分子發起的攻擊，而不是由經驗豐富的國家贊助組織所構成的威脅。

該蜜罐模仿了一家工廠，并設計得盡可能逼真。工業環境包括ICS硬件、物理主機和強化的虛擬機。ICS硬件包括來自Siemens、Allen-Bradley和Omron的PLC；虛擬機運行用于控制工廠的HMI、控制堆垛機的機器人工作站、以及用于對PLC進行編程的工程工作站；物理機用作工廠的文件服務器。

為了使一切顯得更加真實，研究人員創建了一家假冒公司，該公司稱自己為“為特殊客戶服務的小型工業原型制作精品店”。研究人員還為此開發了一個網站并設置了一些電話號碼，當有電話打進來時會播放語音指示讓呼叫者留言。

為了使蜜罐成為更具吸引力的目標，專家有意將一些端口保持開放狀態，包括一些無需密碼即可訪問的VNC服務、PLC和以太網/IP。

該蜜罐于2019年5月上線，并且趨勢科技的研究人員對其進行了七個月的監控。在該實驗結束后，該蜜罐已完全下線。

毫不奇怪，該蜜罐最初主要被掃描程序作為攻擊目標，研究人員阻止了來自Schodan、ZoomEye和Shadowserver等已知掃描服務的請求。

當蜜罐聯機并正確配置后，趨勢科技發現了大量嘗試濫用系統和資源的欺詐活動，如將飛行里數兌換成禮品卡并通過升級移動訂戶帳戶來購買智能手機。

有些黑客給該蜜罐安裝了加密貨幣礦工，包括安裝了兩個文件加密勒索軟件，該勒索軟件攻擊涉及惡意軟件Crysis和Phobos。些網絡犯罪分子還試圖部署偽造的勒索軟件，該勒索軟件只重命名了文件，以使它們看起來像是被加密的，但實際上并未對其進行加密。

就控制系統攻擊而言，趨勢科技表示，PLC大多是由未知的掃描程序作為攻擊目標的，這些掃描程序使用黑名單以外的工具和服務進行相關的掃描活動。這些掃描程序主要收集有關暴露設備的信息，盡管似乎沒有惡意，但是專家們說，不能否認掃描是可能為準備以后的攻擊而進行的偵察活動的一部分。

對于蜜罐中的Allen-Bradley MicroLogix PLC，研究人員觀察到了許多未知命令。盡管這些命令看起來似乎無害，但未知的命令可能會導致某些較舊的設備崩潰，正如幾年前Cisco Talos研究人員所證明的那樣。

在某些情況下，攻擊者關閉了在受到感染的設備上運行的應用程序，關閉了該設備或注銷了當前用戶。

從ICS角度來看，一些最有趣的活動發生在12月。一名威脅者啟動了工廠，停止了傳送帶，停止了工廠，然后關閉了應用程序窗口。一天后，同一位威脅者啟動了碼垛機并打開了其光學系統的日志視圖。趨勢科技表示，威脅者可能也只是好奇會發生什么。

趨勢科技高級威脅研究人員Stephen Hilt解釋說：“在大多數情況下，攻擊者在看到某個進程已開始運行時便會立即停止該進程。在自12月起的三次攻擊中，有一次攻擊者讓系統運行了幾個小時，我們最終像“公司”意識到了該事件一樣并重置了所有數據來停止了該攻擊。從那以后，我們再也沒有看到這個攻擊者發起任何進一步攻擊活動?！?Hilt表示，他們分析的任何源IP地址都不能鏈接到已知的威脅組織。

趨勢科技網絡安全副總裁Greg Young對該研究發表評論時表示，“通常，對工業控制系統（ICS）的網絡威脅的討論僅限于旨在破壞關鍵流程的高度復雜的國家級攻擊。盡管這些確實給工業4.0帶來了風險，但我們的研究證明，更常見的威脅更有可能出現。因此，小型工廠和工業廠房所有者不應該假定威脅者不會攻擊他們。缺乏基本的保護措施可能會對相對直接的勒索軟件或加密劫持攻擊敞開大門，這可能對底線造成嚴重后果?！?/span>

（天地和興工控安全研究院翻譯整理，參考來源：https://dwz.cn/ZJPR7U6s）

（四）日本電子巨頭NEC遭受網絡攻擊

2020年1月31日，日本NEC公司在其官方網站確認，該公司國防業務部門使用的某些內部服務器遭受了第三方的未經授權的訪問。根據公司和外部專門機構的調查，到目前為止，尚未確認到諸如信息泄漏之類的損害。

NEC集團已采取措施，如引入未知惡意軟件檢測系統，但無法檢測到2016年12月之后發起的攻擊的初次滲透以及內部感染的早期傳播。

2017年6月，通過檢查安全公司的威脅報告中描述的通信模式，NEC確認了正在從內部PC執行未經授權的通信，隔離并阻止了檢測到的受感染PC以及未經授權的通信目標。2018年7月，該公司成功解密了與受感染服務器和進行未經授權通信的外部服務器的加密通信，并將其存儲在內部服務器中，以便與國防業務部門使用的其他部門共享信息發現27,445個文件被非法訪問。

根據公司和外部專門機構的調查，到目前為止，尚未確認到諸如信息泄漏之類的損害。這些文件不包含機密信息或個人信息。此外，自2018年7月以來，已經向客戶單獨解釋了與非法訪問的文件有關的情況。

該公司已采取了各種針對網絡攻擊的對策，但是NEC將進一步加強對策，如攻擊響應系統，重要信息管理，加強早期檢測和響應，并對更高級的攻擊做出響應。

電子和信息技術巨頭NEC是日本國防工業的主要承包商，與日本自衛隊（JGSDF或解放軍）一起從事各種國防裝備項目，包括但不限于3D雷達，寬帶多用途無線電系統。

（天地和興工控安全研究院翻譯整理，參考來源：https://dwz.cn/cV84S3LD）

（五）聯合國多臺服務器遭受黑客攻擊

近日，一份來自聯合國的內部機密文件已泄露給了《新人道主義》，表示黑客滲透到了日內瓦和維也納的聯合國網絡，包括聯合國人權辦公室在內的數十臺服務器遭到了破壞。目前的高級官員基本上保持沉默。黑客的身份和所獲取數據的范圍尚不清楚。

一位不愿意透露姓名的聯合國官員表示，入侵的損害程度尚不清楚，擊的復雜程度和目標的具體性質表明可能是國家威脅者的參與。

網絡安全公司Rendition Infosec的首席執行官Jake Williams曾是美國政府的前黑客，他表示，黑客清除了網絡日志，入侵看起來像是在進行間諜活動。來自三個不同域的活動目錄部分（管理所有用戶的權限）受到了損害：聯合國日內瓦和維也納辦事處以及高級人權辦事處。

聯合國多年來一直在嘗試修補其眾多的IT系統，威廉姆斯表示，全球任何的情報機構都可能對滲透該系統感興趣。

聯合國信息技術辦公室的內部文件說，有42臺服務器被“破壞”，另外25臺被認為是“可疑”，幾乎全部分布在日內瓦和維也納辦事處。其中三臺“受損”服務器屬于人權機構，該機構位于聯合國日內瓦辦事處的主要城鎮對面，其中兩臺被聯合國歐洲經濟委員會使用。該報告說，黑客利用Microsoft SharePoint軟件中的一個漏洞來滲透網絡，但是所使用的惡意軟件的類型未知，技術人員也沒有識別出互聯網上用于泄漏信息的命令和控制服務器。也不知道黑客使用了什么機制來維持其在滲透網絡中的存在。該報告提到了羅馬尼亞的一系列IP地址，這些IP地址可能已被用來進行滲透，其中一些具有托管惡意軟件的歷史。

（天地和興工控安全研究院翻譯整理，參考來源： https://dwz.cn/vn2GfZJa）

（六）伊朗APT34利用惡意軟件攻擊美國政府供應商Westat

近日，Intezer研究人員發現伊朗威脅組織APT34向與美國聯邦機構以及州和地方政府緊密合作的公司的客戶和員工發送了針對性的惡意電子郵件附件。

受到攻擊的公司是總部位于美國的Westat，該公司為一家專業服務公司，為美國各州和地方政府以及80多個聯邦機構提供研究服務。Intezer的研究人員在一月份檢測到惡意文件Survey.xls后發現了該活動，該文件偽造成Westat員工和客戶的員工滿意度調查表。

據分析，電子郵件中包含一個Excel電子表格，一旦下載，該電子表格最初看起來是空白的，只有在受害者啟用電子表格上的宏之后調查表才表會出現，調查表詢問受害者是否對職業發展機會和與工作相關的培訓感到滿意。但是在后臺，針對宏的惡意Visual Basic for Applications（VBA）編程代碼正在執行。

Intezer表示，此代碼將.ZIP文件解壓縮到一個臨時文件夾中，然后提取并安裝一個可執行文件，該文件在感染系統五分鐘后運行。該有效載荷是TONEDEAF惡意軟件的后門，能夠進行系統信息收集、文件上載和下載以及任意shell命令執行。

 Westat在周四發表的聲明中說：“ Westat了解到，在確定威脅和惡意軟件的過程中，Intezer已經識別出使用Westat名稱和徽標的惡意文件。該文件不是由Westat創建、托管或發送的，并且可能是攻擊者竊取Westat的品牌名稱和徽標的結果。我們的網絡安全團隊正在與Intezer及其他人合作，以充分了解本報告的性質。我們將繼續監視局勢并作出相應回應?！?/span>

研究人員已將該活動與總部位于伊朗的APT34相關聯，該組織專門從事網絡間諜活動，并以針對中東各種組織（包括金融，能源和政府實體）的攻擊而聞名。Intezer表示，最新的活動顯示APT34使用了經過修改的惡意軟件變體，該變體比以前的工作更先進，并且具有新的隱秘策略。

Intezer研究人員Paul Litvak和Michael Kajilolti 在分析中表示：“ FireEye僅在幾個月前公開了APT34的最后一次操作，從我們目前的發現來看，我們可以自信地說該小組已經發展了其操作。對新惡意軟件變體的技術分析顯示，該伊朗政府支持的組織已投入大量精力來升級其工具集，以逃避未來的檢測?！?/span>

下載的可執行文件實際上是TONEDEAF惡意軟件的新版本，它是APT34通常用作自定義工具的后門。它通過HTTP與命令和控制（C2）服務器通信，以便接收和執行命令。

研究人員稱TONEDEAF 2.0具有與原始惡意軟件相同的目的，具有相同的通用流程和功能。但是，其代碼已進行了重大更改，并且具有不斷發展的反檢測功能。與原始的TONEDEAF相比，TONEDEAF 2.0僅包含任意的shell執行功能，并且不支持任何預定義的命令。它也更隱蔽，并包含新的技巧，例如動態導入，字符串解碼和受害者欺騙方法。為了比其前身更隱蔽，TONEDEAF 2.0隱藏了許多導入的API調用，這些調用是代碼中的命令，它們告訴系統執行某些操作。而是將API調用名稱和包含它們的庫（DLL）存儲為編碼字符串，這些字符串在運行時按需進行解碼和解析。TONEDEAF 2.0還帶有經過改進的C2通信協議，盡管它與它的前身仍然有一些相似之處，例如對受害者和服務器都使用三位數的標識符。

（天地和興工控安全研究院翻譯整理，參考來源：https://dwz.cn/QRjXvM3W）

（七）武漢新型冠狀病毒被用來發動釣魚郵件攻擊

隨著武漢新型冠狀病毒席卷所有搜索引擎新聞頭條，網絡罪犯，尤其是在西方，以武漢病毒的名字作為關鍵詞在虛擬世界中發起惡意活動?？ò退够虸BM的X-Fororce均已監測到相關惡意活動，并提出了警告。

通常而言，頭條新聞、高知名度的人物和事件名稱被黑客利用以發起網絡欺詐和攻擊，這是司空見慣的情形。但是卡巴斯基的研究人員說，他們現在使用威脅生命的流行病的名字，這表明當人類其他地方遭受苦難時，有些人可以利用災難賺錢。

到目前為止，研究人員發現，被稱為冠狀病毒傳播相關文檔（PDF，MP4和Docx）的10個惡意文件在網上流傳，其中充斥著惡意感染，例如文件加密惡意軟件，挖礦惡意軟件和竊取瀏覽器信息和泄露敏感數據。

據美國衛生和公共服務部預防與響應助理部長（ASPR）辦公室2月3日報道，網絡犯罪分子正在利用2019年新型冠狀病毒發起惡意的網絡釣魚活動。 根據ASPR的關鍵基礎設施保護司的說法，網絡釣魚攻擊是通過附帶Word文檔的電子郵件進行的，該Word文檔提供了有關預防感染的指南，還可能是PDF和MP4文件附件。該機構表示，攻擊者還向日本用戶發送了垃圾郵件，警告他們可能會攜帶新的冠狀病毒。ASPR說：“預計將來基于2019-nCOV的惡意電子郵件流量將會更多?！?美國醫院協會（AHA）網絡安全和風險高級顧問John Riggi建議，這可能是提醒員工不要單擊可疑電子郵件、鏈接或附件的機會，同時也應提醒組織在組織外部發送的電子郵件上使用警告標語。

IBM X-Force說，日本用戶已經收到有關冠狀病毒在幾個州傳播的虛假通知，據稱是由殘疾人福利服務提供商和公共衛生中心發送的。

這些電子郵件包含從這些服務的官方網站獲取的合法信息，并附帶一個.doc文件，表面上包含更多信息。

研究人員解釋說：“文檔本身的內容只是一則Office 365消息，它指示查看者啟用該內容（這是惡意的），以防文檔已在受保護的視圖中打開?！?提供的該惡意軟件是Emotet下載器。

IBM X-Force研究人員補充說道：“隨著感染的擴散，我們預計將來會看到更多基于冠狀病毒的惡意電子郵件流量。這也可能包括其他語言，具體取決于冠狀病毒爆發對母語使用者的影響。日本成為第一批受害者可能由于其與中國接近而成為攻擊目標。不幸的是，威脅參與者利用基本的人類情感，例如恐懼，尤其是在全球性事件已經引起恐怖和恐慌的情況下，這是很常見的?！?/span>

Mimecast研究人員指出，類似的針對英語用戶的電子郵件，據稱由新加坡的病毒學家發送，帶有惡意的.pdf附件。

KnowBe4專家警告，有關美國疾病控制與預防中心（CDC）發送的網絡釣魚電子郵件的信息，鏈接到一個網頁，該網頁據說包含美國新的冠狀病毒感染病例的更新列表：

預計網絡騙子和其他惡意個人將繼續假冒合法機構的官方通知，以傳播惡意軟件或騙局（和恐慌）。 

網絡犯罪分子以使用備受關注的全球新聞報道為目標，并誘騙受害者去做他們本來不會做的事情而聞名，但是像這種最新的冠狀病毒爆發之類的情況卻是一種禮物，因為每天都有新的更新，每人都期待官方發出警報。

KnowBe4的首席執行官指出，在涉及與冠狀病毒有關的任何事情時，用戶應格外小心電子郵件、附件、社交媒體帖子及短信。

（天地和興工控安全研究院翻譯整理，參考來源：https://dwz.cn/alQIEs1Q）

（八）思科修復了小型企業交換機中高危DoS漏洞

2020年1月29日，思科發布了小型企業交換機中存在的兩個高危漏洞的安全布丁，該漏洞可被未經身份驗證的遠程攻擊者利用訪問敏感的設備數據并觸發DoS。

第一個漏洞CVE-2019-15993是由缺乏適當的身份驗證控制引起的信息泄露問題。攻擊者可以通過將特制的HTTP請求發送到易受攻擊的Cisco小型企業交換機的用戶界面來利用此漏洞。思科小型企業交換機的Web UI中的漏洞可能允許未經身份驗證的遠程攻擊者訪問敏感的設備信息。存在此漏洞是因為該軟件缺乏對可從Web UI訪問的信息的正確身份驗證控制。攻擊者可以通過向受影響設備的Web UI發送惡意HTTP請求來利用此漏洞。成功利用此漏洞可以使攻擊者訪問敏感的設備信息，其中包括配置文件。

第二個DoS漏洞為CVE-2020-3147，是由于對發送到Web界面的請求的不正確驗證導致的。攻擊者可以通過向易受攻擊的設備發送經特殊設計的請求來利用此問題，這些請求將迫使交換機重新加載并進入拒絕服務條件。Cisco小型企業交換機的Web UI中的漏洞可能允許未經驗證，遠程攻擊者可造成設備拒絕服務。該漏洞是由于對發送到Web界面的請求的驗證不正確造成的。攻擊者可以通過將惡意請求發送到受影響設備的Web界面來利用此漏洞。成功利用此漏洞可能使攻擊者導致設備意外重載，從而導致拒絕服務條件。

（天地和興工控安全研究院翻譯整理，參考來源：https://dwz.cn/6Yqqap3o）

（九）美國國家安全局發布緩解云漏洞指南

近日，美國國家安全局（NSA）發布了一份信息表，其中包含有關緩解云漏洞的指南，確定了云安全組件，并討論威脅因素，云漏洞和潛在的緩解措施。

該文檔將云漏洞分為四類：配置錯誤、不良訪問控制、共享租用漏洞和供應鏈漏洞。這些漏洞涵蓋了大多數已知漏洞。提供每種漏洞類別的描述以及最有效的緩解措施，以幫助組織鎖定其云資源。

錯誤配置：盡管CSP經常提供幫助管理云配置的工具，但云資源配置錯誤仍然是最普遍的云漏洞，可以被利用來訪問云數據和服務。配置錯誤通常是由于云服務策略錯誤或對共享責任的誤解而產生的，其影響從拒絕服務敏感性到帳戶受到損害不等。CSP創新的快速發展創造了新功能，但也增加了安全配置組織的云資源的復雜性。

濫用錯誤配置的示例：

2017年5月，一家大型國防承包商在可公開訪問的云存儲中公開了敏感的NGA數據和身份驗證憑據。

2017年9月，一位安全研究人員發現了CENTCOM數據可供所有公共云用戶訪問。

2019年9月，一個研究團隊在公開可訪問的Elasticsearch中發現了國防部人員的敏感旅行細節的數據庫。

不良訪問控制：NSA表示，當云資源使用弱認證/授權方法或包含繞過這些方法的漏洞時，就會發生不良訪問控制。訪問控制機制的缺陷可以使攻擊者提升特權，從而損害云資源。

濫用不良訪問控制的示例：

2019年10月，CSP報告了網絡攻擊，其中通過發送到單因素身份驗證電子郵件帳戶的密碼重置消息破壞了使用多因素身份驗證的云帳戶。

2018年3月，FBI報告了總部位于伊朗的Mabna集團的byp。

共享租用漏洞：云平臺由多個軟件和硬件組件組成。能夠確定云體系結構中使用的軟件或硬件的對手可以利用這些漏洞來提升云中的特權。云虛擬機管理程序中的漏洞（即由于這些技術在保護云體系結構和隔離客戶工作負載方面起著至關重要的作用，因此，實現虛擬化的軟件/硬件或容器平臺就顯得尤為嚴重。發現和利用虛擬機管理程序漏洞是困難且昂貴的，這限制了它們對高級攻擊者的利用。

供應鏈漏洞：NSA表示，云中的供應鏈漏洞包括內部攻擊者的存在以及硬件和軟件中的故意后門。CSP從全球采購硬件和軟件，并雇用許多國籍的開發人員。第三方軟件云組件可能包含開發人員故意插入的漏洞，以破壞應用程序。將代理作為供應商，管理員插入云供應鏈或開發人員，這可能是民族攻擊者攻克云環境的有效手段。

盡管不特定于云環境，但供應鏈攻擊的一些示例包括：

在ShadowHammer操作中，修改了從實時更新服務器下載的內容以添加惡意功能。盡管對該軟件的分析表明，該參與者的目標是通過針對MAC地址來攻擊特定主機，但仍有50萬用戶下載了該軟件。

在2019年12月，發現兩個惡意的Python Package Index（PyPI）庫從開發人員無意間安裝它們的系統中竊取了憑據。

云客戶在減輕配置錯誤和差的訪問控制方面起著至關重要的作用，但他們也可以采取措施保護云資源免遭共享租賃和供應鏈漏洞的利用。通過采用基于風險的方法來采用云，組織可以安全地從中受益來自云的廣泛功能。

該指南指出，該指南僅供組織領導和技術人員使用。組織領導可以參考“云組件”部分，“云威脅參與者”部分以及“云漏洞和緩解措施”概述，以獲取對云安全原則的看法。技術和安全專業人員應發現該文檔有助于解決云服務期間和之后的云安全注意事項采購。

（天地和興工控安全研究院翻譯整理，參考來源：https://dwz.cn/0cMcqWeH）

（十）Microsoft Azure漏洞可致黑客接管云服務器

近日，安全公司Check Point的研究人員披露了Microsoft Azure中兩個高危漏洞的技術細節，利用該漏洞可致黑客接管云服務。

Azure應用服務允許用戶以他們選擇的編程語言來構建和托管多平臺Web應用程序、移動后端和RESTful API，而無需管理基礎結構。它支持從GitHub，Azure DevOps或任何Git進行自動部署回購。

第一個請求欺騙漏洞CVE-2019-1234會影響到Microsoft Azure Stack云計算軟件解決方案。當Azure Stack無法驗證某些請求時，存在這個欺騙漏洞。攻擊者可以通過向Azure Stack用戶門戶發送特制請求來利用此漏洞。遠程攻擊者可能利用此漏洞訪問Azure基礎結構（甚至是隔離的虛擬機）上運行的任何虛擬機的屏幕快照和敏感信息。

Service Fabric Explorer 是預先安裝在計算機中的Web工具，它充當RP和基礎結構控制層（AzS-XRP01）的角色。它允許查看作為Service Fabric應用程序構建的內部服務   （位于RP層中）。嘗試從Service Fabric資源管理器訪問服務的URL時，其中一些不需要身份驗證?？赏ㄟ^Microsoft Azure Stack Portal利用此漏洞。使用API可以獲得虛擬機的名稱和ID， 硬件信息以及其他信息，然后將它們與另一個未經認證 HTTP請求以抓取屏幕截圖。

GetStringAsync函數將HTTP GET請求發送到 templateUri并以JSON形式返回數據。沒有關于主機是內部主機還是外部主機（并且它支持IPv6）的驗證。因此，此方法是SSRF的理想選擇。雖然這種只允許GET請求，但足以用于訪問DataService的。

例如，從ID為f6789665-5e37-45b8-96d9-7d7d55b59be6的計算機上截取屏幕截圖，尺寸為800×600。

第二個漏洞編號為CVE-2019-1372，是一個遠程代碼執行漏洞，影響了Azure Stack上的Azure應用服務?？梢岳么寺┒磥硗耆刂普麄€Azure服務器，從而控制企業的業務代碼。當存在遠程執行代碼漏洞時Azure Stack無法在復制內存前檢查緩沖區長度。 成功利用此漏洞的攻擊者可能允許用戶運行的未特權功能在NT AUTHORITY system上下文中執行代碼，從而逃避了沙箱。

該缺陷存在于DWASSVC服務的方式中，該服務負責管理和運行租戶的應用程序和IIS工作進程。

專家發現，Azure堆棧在將內存復制到緩沖區之前沒有檢查緩沖區的長度，這意味著攻擊者可以通過向DWASSVC服務發送特制的超出緩沖區大小的消息來利用此問題。此技巧可能使攻擊者能夠以最高的NT AUTHORITY / SYSTEM特權在服務器上執行惡意代碼。

通過這兩個漏洞，攻擊者可以使用Azure Cloud創建一個免費用戶帳戶并對其運行惡意功能或發送未經認證 到Azure Stack用戶門戶的HTTP請求。

（天地和興工控安全研究院翻譯整理，參考來源：https://dwz.cn/5YVXn3FV）