目 錄

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)TikTok啟動公共漏洞賞金計劃

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)澳大利亞天然氣生產商Kleenheat泄露客戶信息

　　(二)蒙特利爾STM公共交通系統遭受勒索軟件攻擊

　　(三)伊朗黑客組織Silent Librarian再次對大學發起攻擊

　　(四)間諜組織MuddyWater涉嫌攻擊中東政府和電信組織

　　(五)俄羅斯軍工企業曾多次遭受朝鮮黑客攻擊

　　(六)美國指責伊朗給多州選民發布恐嚇電子郵件

　　(七)美國起訴在全球發動網絡攻擊的六名俄羅斯軍官

　　(八)英國稱俄羅斯正準備對東京奧運會發起網絡攻擊

　　(九)伊朗黑客組織向以色列公司發起集中攻擊

　　(十)美國發布《關鍵與新興技術國家戰略》

　　(十一)網絡日光浴室委員會對加強供應鏈提出建議

　　(十二)物聯網安全基金會推出漏洞披露平臺

　　(十三)研究人員發現間諜軟件GravityRAT的Android和macOS版本

　　(十四)勒索軟件運營商將ThunderX更名為Ranzy Locker并增加數據泄漏網站

　　(十五)勒索軟件組織Darkside給慈善組織捐贈2萬美元

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)TikTok啟動公共漏洞賞金計劃

　　中國視頻共享社交網絡服務公司TikTok本周宣布與HackerOne合作推出了公共漏洞賞金計劃，邀請白帽子報告TikTok網站及其多個子網站以及Android和iOS應用程序中的安全漏洞。TikTok對高嚴重性漏洞的出價在1,700美元至6,900美元之間，嚴重漏洞的費用最高可達14,800美元。

　　該漏洞賞金計劃說明顯示，“我們鼓勵安全研究人員將精力集中在發現證明有意義影響的安全漏洞上。我們的獎勵基于CVSS(通用漏洞評分標準)的嚴重性?！?/p>

　　對于聲稱已經通過漏洞獎勵計劃支付了4萬多美元的TikTok來說，獎勵報告安全漏洞的白帽黑客的想法并不新鮮。該公司已制定了漏洞報告政策，并遵循協調披露政策，提交后的等待期為90天。

　　TikTok全球安全團隊的Luna Wu說：“這種伙伴關系將幫助我們從全球頂尖的安全研究人員、學者和獨立專家那里獲得洞察力，從而更好地發現潛在威脅，并使我們的安全防御能力更加強大?！?/p>

　　由于安全和隱私問題，特朗普總統正試圖在美國禁止TikTok。TikTok否認與中國政府共享數據的任何指控。TikTok確認所有美國用戶數據都存儲在美國，并在新加坡進行了備份。TikTok在美國法院對這一決定提出了質疑，法官駁回了總統要求在美國禁止TikTok在的請求。美國政府正向TikTok的母公司Bytedance施加壓力，要求將其在美國的業務出售給一家美國公司。

　　參考來源：SecurityAffairs http://dwz.date/cVcX

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)澳大利亞天然氣生產商Kleenheat泄露客戶信息

　　澳大利亞天然氣生產商Kleenheat近日警告其一些客戶，該公司可能泄露了其客戶的姓名和地址等信息。

　　Kleenheat位于澳大利亞Perth，是天然氣零售商和分銷商。該公司認為，該漏洞位于2014年的第三方系統上，該系統目前已不再使用。

　　Kleenheat在給客戶的一封電子郵件中寫道：“Kleenheat最近在一次例行數據安全檢查中發現了這一潛在的信息泄露事件，并且沒有發生在Kleenheat的內部系統中?！本哂袧撛谛孤讹L險的數據為“一般聯系信息”，包括姓名、居住地址和電子郵件地址。Kleenheat保證電話號碼、生日、銀行、信用卡和帳戶詳細信息沒有被泄露。

　　Kleenheat補充表示，“一旦發現問題，我們便立即采取行動保護信息，目前尚未發現任何相關的惡意活動。請放心，我們將繼續監視系統中任何潛在的可疑活動?！?/p>

　　參考來源：ZDNet http://dwz.date/cTaD

　　(二)蒙特利爾STM公共交通系統遭受勒索軟件攻擊

　　加拿大蒙特利爾公共交通運輸系統(STM)10月19日遭受勒索軟件RansomExx攻擊，影響其IT系統、網站和客戶支持。雖然這些服務中斷沒有影響公共汽車或地鐵系統的運營，但依賴STM的上門輔助設施服務的殘疾人由于使用在線登記系統而受到影響。

　　STM 20日上午宣布該服務中斷是由“計算機病毒引起的，該病毒在各種平臺上造成了重大故障”。20日晚上STM確認他們遭受了勒索軟件攻擊，并正在與執法機構和外部專家合作，以恢復其系統并調查攻擊。

　　目前STM網站仍處于關閉狀態，但訪問者現在被重定向至www.lastm.info，發布了有關公共交通服務和攻擊的信息。

　　據一位知情人士透露，STM遭受了勒索軟件RansomExx攻擊。RansomExx是Defray777勒索軟件的更名版，在6月份變得更加活躍，攻擊的組織包括德克薩斯州交通部(TxDOT)、Konica Minolta、IPG Photonics，以及最近的Tyler technologics。

　　在進行攻擊時，RansomExx運營商將破壞網絡，并在未加密文件橫向傳播到系統中時竊取這些文件。一旦他們獲得了對Windows域控制器的訪問權，他們就會在所有可用的設備上部署勒索軟件。目前尚不清楚STM是否接觸過勒索軟件運營商或勒索金額。

　　參考來源：BleepingComputer http://dwz.date/cVrk

　　(三)伊朗黑客組織Silent Librarian再次對大學發起攻擊

　　Malwarebytes研究人員10月14日發表博客文章稱，自9月中旬以來，其觀察到伊朗APT組織Silent Librarian發起了一場新的魚叉式網絡釣魚運動，并將攻擊目標名單擴大到更多國家。Silent Librarian的攻擊目標是大學的雇員和學生，威脅行為者建立了一個新的基礎設施，以避免被接管。

　　Silent Librarian，又名Cobalt Dickens或TA407，在過去的幾年里，其攻擊目標是四大洲的幾十所大學。2018年8月，安全公司SecureWorks揭露了該APT組織針對全球大學開展的釣魚活動。該行動涉及16個域名，其中包括澳大利亞、加拿大、中國、以色列、日本、瑞士、土耳其、英國和美國等14個國家的76所大學的300多個假冒網站。

　　Malwarebytes在其文章中指出，“考慮到伊朗正在應對不斷的制裁，它努力跟上世界各領域的發展，包括技術領域的發展。因此，這些攻擊代表了國家利益，而且資金充足。新域名遵循先前報告的相同模式，只是將頂級域名換成另一個域名?！蓖{行為者使用的域名遵循了在過去的活動中觀察到的模式，盡管他們使用的是不同的頂級域名。(使用 “.me” TLD 而不是“.tk”和 “.cf”)。

　　黑客使用Cloudflare進行釣魚主機名，試圖隱藏真正的主機來源。無論如何，Malwarebytes能夠確定位于伊朗的一些基礎設施，可能是因為由于美歐執法部門和伊朗當地警察缺乏合作，它被認為是防彈托管選項。

　　Malwarebytes表示，“很明顯，我們只發現了這個網絡釣魚行動的一小部分。盡管大部分網站很快就被攻陷，但攻擊者的優勢是領先一步，同時攻擊許多可能的目標?！盡alwarebytes還公布了這次行動的妥協指標(IoCs)。

　　參考來源：SecurityAffairs http://dwz.date/cVfT

　　(四)間諜組織MuddyWater涉嫌攻擊中東政府和電信組織

　　賽門鐵克安全研究人員10月21日發表博客文章稱，最近幾個月，一個與伊朗有關聯的最活躍的網絡間諜組織數MuddyWater十次試圖攻擊中東地區的政府和電信運營商。黑客攻擊了伊拉克、科威特、土耳其和阿拉伯聯合酋長國的組織，伊朗在這些國家都有戰略利益。攻擊者似乎試圖從他們設法攻破的組織中竊取關鍵數據。

　　雖然其他與德黑蘭有關的黑客團隊因對中東組織進行破壞和數據清除攻擊而臭名昭著，但這個名為MuddyWater或Seedworm的組織更出名的是其持續不斷的間諜活動。

　　Broadcom旗下公司賽門鐵克的技術總監Vikram Thakur表示，“這些參與者非常專注于自己的工作。他們沒有使用零日漏洞。他們只是在尋找常用的方法以及自定義的惡意軟件，以進入這些環境，滲入他們想要的任何東西，然后繼續前進?！?/p>

　　賽門鐵克和其他安全公司的研究人員正在調查一種新的黑客工具，他們懷疑MuddyWater在黑客攻擊中使用了這種工具。這種被稱為PowGoop的惡意代碼可以安裝其他能夠從網絡中竊取數據的程序。Thakur在談到PowGoop工具時表示，“它可能是MuddyWater中的一個子組，它的任務與該組的其他成員不同?！北M管賽門鐵克認為，MuddyWater是PowGoop的幕后黑手，但還有其他跡象表明，該集團一直在開發新的工具。

　　BAE系統公司的高級威脅情報分析師Saher Naumaan稱：“MuddyWater在過去的一年里非?；钴S，無論是在其多產的運營中，還是在不斷開發工具方面。一個重要的演變是該組織在惡意軟件方面的進步，多年來，惡意軟件已經從單純基于腳本的工具，如PowerShell，轉移到.NET，現在又轉移到自定義C++有效負載，就像BackDoor.Mori所看到的那樣?！?/p>

　　MuddyWater最近的活動與其在黑客活動上的盛名保持一致。賽門鐵克在之前的研究中稱，例如，從2018年9月到12月，該組織危害了全球范圍內的30個組織的131名受害者，從俄羅斯到沙特阿拉伯再到北美。迄今為止，MuddyWater避免了來自美國公開起訴的額外審查。上個月被美國大陪審團起訴的伊朗黑客并不在其中。盡管安全公司繼續揭露MuddyWater的工具，但該組織沒有絲毫松懈的跡象。

　　參考來源：CyberScoop http://dwz.date/cVpK

　　(五)俄羅斯軍工企業曾多次遭受朝鮮黑客攻擊

　　據報道，為了獲取俄羅斯的軍事和技術秘密，朝鮮黑客組織Kimsuky曾對俄羅斯軍工聯合體進行數次攻擊。

　　據網絡安全公司Group-IB稱，朝鮮黑客對俄羅斯國防工業的攻擊發生在2020年春。朝鮮網絡犯罪分子試圖從航空航天和國防公司以及生產火炮設備的企業獲取數據。

　　Telegram頻道的SecAtor報道說，Rostec是受到攻擊的公司之一。Rostec負責信息安全的子公司RT-Inform沒有證實或否認這些數據，但指出，從4月到9月，針對國有企業資源的網絡攻擊次數有所增加。RT-Inform表示，“大多數攻擊都是準備不足的，暴露時不會構成重大威脅，但這只能是準備工作?！睂＜艺J為，在這種情況下，來自朝鮮的黑客將很快發起新的，準備更充分的攻擊。

　　Kimsuky還以Velvet Chollima和Black Banshee這兩個名字從事網絡間諜活動。根據Group IB的說法，朝鮮黑客此前曾攻擊韓國的設施，但隨后對俄羅斯、烏克蘭、斯洛伐克和土耳其從事生產火炮設備和裝甲車的企業使用欺詐性郵件。

　　卡巴斯基實驗室網絡安全專家丹尼斯·萊格佐(Denis Legezo)表示，一些來自朝鮮團體的欺詐性電子郵件包含有關航空航天和國防工業職位空缺的信息。他認為這表明了黑客對工業間諜活動的興趣。

　　據E Hacking News報道，今年9月，俄羅斯發生了中國黑客組織Winnti對銀行軟件開發商以及建筑行業公司的攻擊事件。Winnti此前曾多次入侵臺灣和歐洲的工業和高科技公司網絡，但該組織的活動尚未在俄羅斯報道。

　　參考來源：EHackingNews http://dwz.date/cUB9

　　(六)美國指責伊朗給多州選民發布恐嚇電子郵件

　　美國官員10月21日晚間表示，伊朗應對發給多個州的民主黨選民的電子郵件負責，這些郵件旨在恐嚇收件人投票給總統特朗普。伊朗呼吁德黑蘭和俄羅斯進行旨在干擾即將舉行的總統選舉的活動。

　　伊朗的活動標志著該國的重大升級，一些網絡安全專家將其視為在線間諜活動的二流參與者。大多數公眾選舉干預的討論都集中在俄羅斯和中國，俄羅斯在2016年大選期間入侵了民主黨電子郵件。就在大選前兩周，美國政府在一次罕見的、匆忙召開的新聞發布會上宣布了這一消息，這突顯了美國政府內部對外國為散布虛假信息以壓制選民投票率和破壞美國對投票信心的擔憂，意在壓制選民投票率，削弱美國人對投票的信心。

　　美國政府最高情報官員約翰·拉特克利夫(John Ratcliffe)與聯邦調查局局長克里斯·瑞(Chris Wray)一道堅稱，這些行動是絕望對手的絕望嘗試，美國將對任何干涉2020年美國大選的外國增加費用，選舉的誠信仍然良好。瑞和拉特克利夫沒有描述與伊朗有關的電子郵件，但熟悉此事的官員說，美國已將德黑蘭與至少四個戰地國家發給民主黨選民的信息聯系在一起，這些信息被虛假地聲稱是來自新法西斯組織“Proud Boys”，并警告稱，如果接收者不投票支持特朗普，“我們將追查你”。

　　拉特克利夫(Ratcliffe)表示，這些欺騙性電子郵件意在傷害特朗普，盡管他并未詳細說明細節。8月發布的情報評估說：“伊朗試圖破壞美國民主機構特朗普總統，并在2020年大選之前分裂國家。伊朗在這些方面的努力可能會集中在在線影響上，例如在社交媒體上散布虛假信息，以及傳播反美內容?！?/p>

　　特朗普在北卡羅來納州的集會上發表講話，沒有提及記者會，但重復了一個熟悉的競選主張，即伊朗反對他連任。他承諾，如果他贏得連任，他將迅速與伊朗就其核計劃達成新協議。特朗普表示，“伊朗不想讓我贏。中國不想讓我贏。我獲勝后我接到的第一個電話將是來自伊朗的，說讓我們達成協議?！?/p>

　　俄羅斯和伊朗也都獲得了選民登記信息，盡管這些數據被認為易于公開獲取。德黑蘭利用這些信息發送了欺騙郵件，這些電子郵件已發送給賓夕法尼亞州和佛羅里達州等州的選民。

　　星期三在一個在線論壇上被問及這些電子郵件時，賓夕法尼亞州國務卿凱西·博克瓦爾(Kathy Boockvar)表示她缺乏具體信息，并表示，“我知道他們是在多個搖擺州寄給選民的，我們正在與司法部長密切合作處理這類事情?！彪m然眾所周知，有國家支持的俄羅斯黑客已在2016年滲透了美國選舉基礎設施，但沒有證據表明伊朗曾經這樣做過。

　　選民恐嚇操作顯然使用了從州選民注冊列表中獲得的電子郵件地址，其中包括聚會從屬關系和家庭住所，并且可以包括電子郵件地址和電話號碼。然后，這些地址被用于顯然是有針對性的垃圾郵件發送操作。發送者聲稱他們會知道接收者在11月3日的選舉中為哪個候選人投票，并且正在進行早期投票。

　　聯邦官員長期以來就對這種行動的可能性發出過警告，因為這種登記清單并不難獲得。美國國土安全部高級選舉安全官員克里斯托弗·克雷布斯(Christopher Krebs)在電子郵件的報道首次出現后于周二晚間發布推文說：“這些電子郵件旨在威嚇和破壞美國選民對我們選舉的信心?！?/p>

　　參考來源：SecurityWeek http://dwz.date/cVdX

　　(七)美國起訴在全球發動網絡攻擊的六名俄羅斯軍官

　　美國司法部10月19日對六名俄羅斯軍官發起了不公開起訴，據信他們是俄羅斯精英黑客和網絡戰部隊之一Sandworm的成員。

　　在法庭文件中，美國官員稱，所有六名嫌疑人都是俄羅斯主要情報局(GRU)74455部門的人員，該組織是俄羅斯陸軍的軍事情報機構。作為該部門的一部分，美國官員稱，這六人代表并在俄羅斯政府的命令下進行了“破壞性”網絡攻擊，目的是破壞其他國家的穩定，干涉其國內政治并造成破壞和經濟損失。

　　他們的攻擊跨越了過去的十年，其中包括迄今為止已知的一些最大的網絡攻擊：

　　1、烏克蘭政府與關鍵基礎設施：從2015年12月到2016年12月，該組織使用改變工業設備的惡意軟件精心策劃了針對烏克蘭電網，烏克蘭財政部和烏克蘭國家財政部的破壞性惡意軟件攻擊(2015年攻擊BlackEnergy和2016年攻擊Industroyer)或擦除的硬盤驅動器(KillDisk)。

　　2、法國大選：2017年4月和5月，Sandworm精心策劃了針對法國總統馬克龍的“La République En Marche”的魚叉釣魚活動以及相關的黑客和泄密活動(“En Marche”)2017年法國大選前的政黨、法國政界人士和法國地方政府。

　　3、NotPetya勒索軟件爆發：2017年6月27日，Sandworm發布了NotPetya勒索軟件。勒索軟件最初是針對烏克蘭公司的，后來迅速傳播并影響了世界各地的公司，給受害者造成了超過10億美元的損失。

　　4、平昌冬奧會東道主、參與者、合作伙伴和參與者：2017年12月至2018年2月，Sandworm針對韓國公民和官員、奧運會運動員、合作伙伴和游客以及國際奧委會(IOC)官員發起了釣魚活動和惡意移動應用程序。襲擊發生在俄羅斯運動員因國家資助的興奮劑計劃被禁止參加體育賽事之后。

　　5、平昌冬奧會IT系統(Olympic Destroyer)：從2017年12月到2018年2月，Sandworm精心策劃了對支持2018年平昌冬奧會的計算機的入侵，最終在2018年2月9日發布了Olympic Destroyer，這是一種破壞性的惡意軟件，試圖在開幕式期間擦除關鍵服務器。

　　6、Novichok中毒調查：2018年4月，Sandworm策劃了魚叉式釣魚運動，目標是禁止化學武器組織(OPCW)和英國國防科技實驗室(DSTL)對謝爾蓋·斯克里帕爾(Sergei Skripal)、他的女兒謝爾蓋·斯克里帕爾(Sergei Skripal)和幾名英國公民神經毒劑中毒事件的調查。

　　7、格魯吉亞公司和政府實體：2018年，Sandworm針對格魯吉亞國內一家大型媒體公司開展了魚叉網絡釣魚活動。這些攻擊發生在2019年，之后是試圖破壞格魯吉亞議會網絡，并在2019年發動大規模網站誹謗運動。

　　但這些只是司法部今天公布的起訴書中記載的襲擊事件。他們只代表了該集團龐大網絡業務的一小部分，這些業務可以追溯到2010年。該組織還被稱為Telebots、BlackEnergy、Voodoo Bear。但最重要的是，這個群體被普遍稱為Sandworm。然而，今天被起訴的6名國民只是Sandworm成員，他們個人可能與過去的Sandworm襲擊有關。據信，該組織由更多其他GRU官員組成。

　　今天被指控的6名GRU官員及其各自的罪行如下：

　　這六個人在俄羅斯仍然逍遙法外。如果他們在美國被捕并受審，這六人都將面臨數十年的監禁。但是國際準則免除了網絡間諜活動的國際起訴，因為網絡間諜活動被認為是正常情報收集行動的一個分支。

　　在19日招開的記者會上，美國官員表示，Sandworm的網絡攻擊往往依賴于不加選擇地使用具有破壞性能力的惡意軟件，這些惡意軟件不僅給數千家公司造成了經濟損失，而且使人的生命受到威脅，顯示出對常規網絡規范的無視。

　　在起訴書公布后不久，英國政府還正式指責俄羅斯沙蟲組織試圖破壞今年的東京奧運會，因為COVID-19，奧運會將于明年舉行。英國也表示支持美國的這一法律案件。

　　參考來源：ZDNet http://dwz.date/cVmH

　　(八)英國稱俄羅斯正準備對東京奧運會發起網絡攻擊

　　英國政府10月19日表示，俄羅斯黑客正在準備對東京奧運會和殘奧會的組織者進行網絡攻擊。東京奧運會和殘奧會的組織者定于今年夏天在日本舉辦，但由于持續的COVID-19大流行而推遲至明年。

　　據英國國家網絡安全中心(NCSC)表示，俄羅斯的活動涉及偵察行動。英國政府在另一份新聞稿中表示，目標包括奧運會的組織者、物流服務和贊助商。英國政府認為，俄羅斯黑客意圖破壞奧運會，類似于他們對韓國平昌2018年冬季奧運會和殘奧會組織者進行的網絡攻擊。

　　2018年2月，俄羅斯黑客部署了Olympic·Destroyer惡意軟件，導致在2018年冬奧會開幕式期間網絡服務器癱瘓。該攻擊是因為國際奧委會以國家支持的興奮劑計劃為由，禁止俄羅斯運動員代表俄羅斯國家參加這項賽事。同樣的禁令最初是為2016年里約夏季奧運會實施的，今年也擴大到了東京奧運會，俄羅斯運動員被禁止再次代表俄羅斯國家參賽。

　　英國官員表示，俄羅斯似乎也在準備類似的襲擊，以破壞2020年奧運會。英國官員表示，對這些有計劃的攻擊負責的是一個名為沙蟲(SandWorm)的俄羅斯黑客組織，該組織就是平昌奧運會Olympic·Destroyer破壞性攻擊事件的幕后黑手。

　　英國政府的聲明與美國司法部今日早些時候宣布對六名沙蟲成員提出正式指控的消息不謀而合。美國官員指控Sandworm黑客不僅策劃了2018年平昌奧運會的OlympicDestroyer攻擊，還策劃了一系列其他攻擊，例如：

　　l 2015年和2016年試圖用BlackEnergy和Industroyer惡意軟件破壞烏克蘭電網;

　　l 企圖用KillDisk擦除磁盤惡意軟件破壞烏克蘭政府網絡;

　　l 創建導致2017年6月全球爆發的NotPetya勒索軟件;

　　l 干預法國2017年選舉;

　　l 安排對調查英國諾維喬克中毒事件的組織進行網絡攻擊;

　　l 2019年大規模毀損格魯吉亞數千處遺址。

　　美國官員將這些攻擊歸咎于Sandworm，據美國官員稱，該黑客組織由俄羅斯主要情報局74455部隊的成員組成，俄羅斯主要情報局是俄羅斯軍隊的一個軍事情報機構。在19日的新聞稿中，英國政府正式確認了美國起訴書中提出的指控，但也揭露并發出了Sandworm即將襲擊東京2020年奧運會組織者的警報信號。

　　參考來源：ZDNet http://dwz.date/cVme

　　(九)伊朗黑客組織向以色列公司發起集中攻擊

　　網絡安全公司ClearSky和Profero 10月15日發布報告稱，其發現了伊朗對以色列公司的網絡攻擊。根據報告的調查結果，這次攻擊使用的惡意軟件旨在加密電腦，阻止用戶訪問電腦，類似于勒索軟件，只是不勒索贖金。

　　該名為MuddyWater的伊朗黑客組織使用了一種相對較新的策略，以滲透以色列公司的安全系統。在過去幾年里，黑客攻擊一直是以色列和西方國家針對伊朗革命衛隊的數字戰爭中的又一條戰線。

　　Profero的首席執行官Omri Segev Moyal解釋表示，“在9月初，我們找到了MuddyWater組織對以色列公司的攻擊的企圖。ClearSky能夠準確地指出這一嘗試與Paulo Alto Networks最近發現的相同活動之間存在重疊。顯然，黑客旨在發動偽造的勒索軟件攻擊，目的是加密以色列公司的數據并阻止其恢復。攻擊是通過使用操作系統中的漏洞或通過最有可能使用受感染的Adobe PDF或Microsoft Excel文件的網絡釣魚攻擊來發起的?！?/p>

　　ClearSky首席執行官Boaz Dolev補充表示，“通常，該組織利用社會工程活動來竊取信息并監視其他組織。這是我們第一次暴露出一種完全旨在造成傷害和破壞的網絡攻擊手段?！?/p>

　　黑客使用了一種基于ShaMoon的惡意軟件，該軟件多年來一直被伊朗人用作網絡武器。最臭名昭著的攻擊發生在2012年，當時它抹去了沙特國家石油公司(沙特國家石油公司)數萬臺電腦的數據。多年來，伊朗人對惡意軟件進行了改進，并添加了幾個新版本。

　　諸如ShaMoon之類的病毒被描述為“wipper”惡意軟件，旨在擦除存儲在計算機或計算機化基礎設施上的數據。然而，這次攻擊試圖將病毒偽裝成勒索軟件。盡管軟件安全系統很容易發現這類攻擊，但在過去的一年里，這類攻擊已經成為熱門。隱藏病毒使其能夠掩蓋其攻擊的程度和來源。

　　目前尚不清楚被攻擊的公司受到了多大程度的損害，報告沒有包括名字。不過在接受采訪時提到，“許多公司遭到攻擊”。雖然目前的試驗由于國家網絡局、Profero和CyberSky的幫助而失敗，但目前還不清楚未來的嘗試是否會更復雜。有人建議，想要防止此類損害的公司應該利用EDR系統，更新服務器和訪問站，提高員工對網絡釣魚和社交工程企圖的認識，并經常更改密碼。

　　參考來源：CalcalistTech http://dwz.date/cVhN

　　(十)美國發布《關鍵與新興技術國家戰略》

　　10月15日，美國總統特朗普發布了《關鍵與新興技術國家戰略》，概述了美國將如何促進和保護其在人工智能、能源、量子信息科學、通信和網絡技術、半導體、軍事、以及太空技術等領域的競爭優勢。

　　當美國的競爭對手在這些領域動員大量資源時，美國在科學技術上的主導地位現在比以往任何時候都更為重要，對美國的長期經濟和國家安全至關重要。美國不會對中國和俄羅斯這樣的國家的戰術視而不見，這些國家竊取技術、強迫公司交出知識產權、削弱自由和公平的市場、并暗中轉移新興的民用技術來建立軍隊。

　　特朗普政府的《關鍵與新興技術國家戰略》制定了優先行動，以保護美國的國家安全創新基礎，通過加強存在差距的規則，堅持執行協議，并與志同道合的盟友和合作伙伴共同促進、促進，并確保共同原則的成功。特朗普政府將繼續捍衛美國的行業，解決不公平的做法，并為美國工人創造公平的競爭環境。

　　該戰略還強調了促進國家安全創新基礎的重要性。在特朗普總統領導下，美國在這方面已經取得了歷史性進展。從美國AI計劃到國家量子計劃，特朗普政府采取了大膽的行動，以加快在支持未來工業的技術方面的領導地位，宣布進行空前的研發投資，消除創新的監管障礙，開發出最高質量的美國人勞動力，并與志同道合的盟友和伙伴建立牢固的關系。

　　該戰略為美國繼續將思想轉變為創新，將發現轉化為成功的商業產品和公司奠定了基礎，并保護和改善了美國未來許多年的生活方式。

　　參考來源：WhiteHouse http://dwz.date/cVfn

　　(十一)網絡日光浴室委員會對加強供應鏈提出建議

　　繼3月份的報告之后，網絡空間日光浴委員會(Cyberspace Solarium Commission)10月19日發布了一份詳細的后續報告，并就如何確保信息和通信技術供應鏈的安全提出了建議。該白皮書是對原報告的幾個附加內容之一，該報告對3月份報告中的特定主題或建議進行了更深入的探討。

　　網絡空間日光浴委員會是美國國會2019年成立的一個兩黨組織，旨在制定一項多管齊下的美國網絡戰略。它在三月份發表了一份報告，主張采取多種網絡威懾措施。

　　本白皮書的重點是建議國會指導美國政府制定和實施信息和通信技術產業基地戰略，以確保供應鏈更加可靠，關鍵信息和通信技術的可用性。白皮書措辭嚴厲地指出，美國在與中國的對抗中缺乏戰略。

　　該報告指出：“在過去20年里，中國動員國有和受國家影響的公司在包括電信設備市場在內的幾項新興技術的市場中占據主導地位。這不是偶然的，而是中國政府協調一致的戰略努力的結果，目的是通過政府主導的產業政策;不公平和欺騙性的貿易做法，包括國家主導的知識產權盜竊;操縱國際標準和貿易機構;在外交和貿易談判的支持下建立越來越大的影響力網絡;以及在ICT研發方面的重大投資，來占領這些市場?！?/p>

　　因此，這份白皮書是委員會的努力，目的是幫助政府制定戰略，以便更好地在這一領域競爭，減少對亞洲制造業和資源的依賴，從而促進更大的安全。該白皮書列出了構建可信供應鏈的五管齊下的戰略：

　　l 通過政府審查和公私伙伴關系確定關鍵技術和設備，以確定風險;

　　l 通過戰略投資確保最低可行的制造能力;

　　l 通過更好的情報、信息共享和產品測試保護供應鏈免受損害;

　　l 通過有針對性的基礎設施投資刺激國內市場，并確保公司有能力在美國提供與國外市場類似的產品;

　　l 面對中國在全球市場上的反競爭行為，確保值得信賴的供應鏈(包括美國公司和合作伙伴公司)的全球競爭力。

　　此外，該文件還列出了實現該戰略的一系列建議，其中包括簡化信息共享的各種方式，以及聯邦政府內部可以采取的努力。該報告從經濟和國家安全兩個方面闡述了供應鏈安全，強調了供應鏈安全是不可分離的。

　　參考來源：C4ISRnet http://dwz.date/cVn4

　　(十二)物聯網安全基金會推出漏洞披露平臺

　　為了改善物聯網安全性，物聯網安全基金會(IoTSF)推出了一個在線消費物聯網漏洞披露平臺(VulnerableThings.com)，旨在使物聯網設備中漏洞的報告更容易。

　　消費物聯網漏洞披露平臺(VulnerableThings.com)與一份關于協調漏洞披露的新報告一起發布，旨在滿足安全研究人員和制造商的要求，尋求確保協調漏洞披露管理和報告。

　　該平臺提供自動化通信和漏洞管理，并幫助組織在整個漏洞報告和響應過程中獲得所需的支持。還提供了專家目錄、術語表和示例策略等資源。

　　除了安全研究人員，用戶也可以向制造商報告安全漏洞，并被稱為報告者。消費者物聯網制造商(稱為會員)可以選擇管理報告和與記者聯系，以及協調公開披露。

　　IoTSF指出，“及時識別和響應安全問題為公司和更重要的客戶創建了更安全和更具彈性的產品。如果不響應漏洞報告或沒有漏洞報告機制，可能會通過新聞界、監管機構或其他渠道披露漏洞，這些渠道可能會對您的業務造成嚴重的聲譽和財務損害，并導致法律行動?！?/p>

　　IoTSF強調，該平臺既不是漏洞漏洞賞金計劃，也不是分類服務，也不提供第三方之間的披露協調。目前，該平臺只接受已經訂閱其服務的物聯網制造商的報告。該平臺專為幫助消費者物聯網制造商努力提高其產品和服務的安全性而構建，還可幫助供應商遵守協調的漏洞要求和最佳實踐。

　　IoTSF表示，“我們認為漏洞披露應該是一個簡單而直接的過程。共享信息對于提高消費者物聯網設備的安全性至關重要。通過創建供消費者物聯網制造商和記者進行交流的用戶友好服務，我們希望可以報告，修復和負責任地向公眾披露更多漏洞。歡迎所有消費物聯網產品和/或服務制造商訂閱該服務，以獲得對漏洞跟蹤和通信工具以及其他可用資源的訪問，包括漏洞披露案例研究和漏洞披露政策示例?！?/p>

　　IoTSF常務董事John Moor表示，“漏洞管理是物聯網網絡衛生的一個如此基本的要素，因此世界各地的政府和監管機構將其作為強制性要求也就不足為奇了。我們了解推動這一重要安全實踐的必要性，并致力于通過推出Vulnerable Things平臺來幫助使其盡可能簡單-特別是對于外行和可能缺乏資源的公司。該服務促進了研究人員和供應商之間的良好溝通，并指導雙方完成整個流程?！?/p>

　　IoTSF宣布，在2021年1月31日之前，VulnerableThings平臺是免費的。這項服務正在進行一段試用期的測試，以觀察需求并獲得用戶的反饋。

　　參考來源：SecurityWeek http://dwz.date/cVuq

　　(十三)研究人員發現間諜軟件GravityRAT的Android和macOS版本

　　卡巴斯基安全研究人員10月19日發布了一份報告透露，其發現了針對Android和macOS設備的GravityRAT間諜軟件版本。該惡意軟件的作者已投入大量資金來使其工具跨平臺，并且作為一項持續開展的活動的一部分，除Windows外，現在還同時針對Android和macOS。

　　該RAT最初于2018年進行了詳細說明，之前曾用于針對印度軍方的攻擊，這是自2015年以來一直活躍的攻擊活動的一部分。該工具針對Windows系統，主要用于間諜目的。對新樣本的調查顯示，超過10種GravityRAT變種被偽裝成合法應用程序分發，包括安全文件共享軟件和媒體播放器。

　　GravityRAT中包含的間諜軟件功能使惡意軟件可以檢索設備信息、聯系人列表、通話記錄、電子郵件地址和SMS消息，甚至可以根據以下擴展名查找和泄露文件：.docx，.doc，.ppt，.pptx，txt，.pdf，.xml，.jpg，.jpeg，.log，.png，.xls，.xlsx和.opus。

　　該惡意軟件據信是由一??個巴基斯坦組織開發的，它還能夠檢索系統上正在運行的進程的列表、記錄擊鍵、截屏、執行shell命令、記錄音頻以及掃描開放端口。

　　卡巴斯基安全專家塔季揚娜·希什科娃(Tatyana Shishkova)說表示，“我們的調查表明，GravityRAT背后的參與者正在繼續對其間諜功能進行投資。狡猾的偽裝和擴展的操作系統產品組合使我們預期在亞太地區會出現更多與該惡意軟件有關的事件，而且這也支持了更廣泛的趨勢，即惡意用戶不一定專注于開發新的惡意軟件，而是開發經過驗證的惡意軟件?！?/p>

　　對該木馬程序已經分發的一些應用程序進行分析后發現，樣本之間具有相似的功能，并且還使安全研究人員可以識別攻擊者使用的命令和控制(C&C)服務器，例如nortonupdates[.]online，windowsupdates[.]eu ，mozillaupdates[.]com，mozillaupdates[.]us，msoftserver[.]eu，microsoftupdate[.]in等。

　　卡巴斯基透露，分布惡意軟件的域被隱藏在Cloudflare的后面，因此安全研究人員很難發現他們的IP?？ò退够难芯咳藛T還發現GravityRAT的運營商已經開發了該威脅的.NET，Python和Electron變體，這使他們可以輕松地將Windows和macOS設備作為攻擊目標。Android版本具有類似的功能。

　　此前報道的GravityRAT攻擊使用了虛假的Facebook帳戶進行分發，并通過社交平臺聯系了預期的受害者，并要求安裝偽裝成安全信使應用程序的惡意軟件。確定了大約100名受害者，其中包括國防、警察以及其他部門和組織的員工。

　　卡巴斯基在文章中總結表示，“可以肯定地說，當前的GravityRAT活動使用了類似的感染方法，向目標個人發送指向惡意應用程序的鏈接。在新的GravityRAT活動中看到的主要修改是多平臺性：除了Windows，現在還有適用于Android和macOS的版本。網絡罪犯也開始使用數字簽名來使應用看起來更加合法?！?/p>

　　參考來源：SecurityWeek http://dwz.date/cUHa

　　(十四)勒索軟件運營商將ThunderX更名為Ranzy Locker并增加數據泄漏網站

　　勒索軟件ThunderX已更名為Ranzy Locker，并推出了一個數據泄露網站，以泄漏未支付贖金的受害者的數據。

　　ThunderX是一個勒索軟件，于2020年8月底發現。此后不久，該勒索軟件中就發現了漏洞，使得Tesorion發布了一個免費的解密程序。該勒索軟件運營商迅速修復了漏洞，并以Ranzy Locker的名義發布了新版本的勒索軟件。雖然名稱已更改，但與勒索軟件可執行文件中PDB調試文件相關聯的字符串仍顯示它與ThunderX相同。該勒索軟件重新命名并從頭開始，是避免與先前發布的解密程序相關聯的恥辱。

　　使用MalwareHunterteam發現的勒索軟件樣本，可以更深入地了解勒索軟件是如何運作的。啟動后，Ranzy Locker將首先清除卷影副本，以使受害者無法使用它恢復加密的文件。vssadmin.exe Delete Shadows /All /Quiet;。加密文件時，勒索軟件將使用稱為“Windows Restart Manager”的Windows API，它將終止使文件保持打開狀態并防止其被加密的進程或Windows服務。對于每個加密文件，勒索軟件都會在文件名后附加新的.ranzy擴展名。例如，名為1.doc的文件將被加密并重命名為1.doc.ranzy。

　　勒索軟件會在每個遍歷的文件夾中創建一個名為“readme.txt”的勒索信件，其中包含有關受害者數據發生了什么的信息，警告稱其數據被盜，以及指向受害者可以與威脅者協商的Tor網站的鏈接。在早期版本的ThunderX中，勒索軟件操作員通過電子郵件而不是專用的Tor網站與受害者進行通信。

　　當受害者訪問Tor付款站點時，將收到一條“Locked by Ranzy Locke”的消息，并顯示一個實時聊天屏幕，與威脅參與者進行談判。作為這項“服務”的一部分，勒索軟件操作員允許受害者免費解密三個文件，以證明他們可以這樣做。

　　許多勒索軟件團伙利用雙重勒索攻擊方法，即在對公司網絡上的設備進行加密之前，從受害者那里竊取未加密的文件。這種攻擊方法為威脅參與者提供了兩種利用受害者支付勒索軟件的方法，付費取回他們的文件，而不是公開泄露他們的數據。

　　同時，Ranzy Locker團伙發布了一個 名為“Ranzy Leak”的數據泄漏網站，以泄漏未付款受害者的數據。該網站目前包括一名開發電源控制解決方案的受害者。

　　有趣的是，Ranzy Leak網站使用的Tor onion URL與Ako Ransomware之前使用的URL相同。使用Ako的URL可能表明這兩個組合并形成了Ranzy Locker，或者它們的合作類似于Maze cartel。Ako勒索軟件運營商表示ThunderX是其運營的一部分，并且他們已更名為Ranzy Locker。

　　參考來源：BleepingComputer http://dwz.date/cUE7

　　(十五)勒索軟件組織Darkside給慈善組織捐贈2萬美元

　　近日勒索軟件組織Darkside將其部分勒索贖金捐贈給了慈善組織，包括國際兒童組織(Children International)及The Water Project。根據比特幣區塊鏈上的交易記錄，每個組織收到了0.88個比特幣，折合約1萬美元。

　　Children International是一個旨在資助赤貧兒童的非盈利組織，The Water Project是一個旨在為整個撒哈拉以南非洲地區提供清潔可靠水源的非盈利組織。

　　Darkside自2020年8月活躍至今，是一個典型的“大型游戲獵人”，這意味著它專門研究大型公司網絡，加密其數據并要求數百萬美元的巨額贖金。如果受害者不付款，Darkside會在線泄漏他們的數據，并在暗網運行的門戶上泄漏數據。Darkside 10月19日在暗網的頁面上發布寫道，“就像我們在第一份新聞稿中所說的那樣，我們僅針對大型盈利的公司，我們認為他們所支付的部分錢將用于慈善事業是公平的。無論您認為我們的工作有多糟，我們都很高興我們幫助改變了有些人的生活?！?/p>

　　同時Darkside還公布了他們的兩次捐款證明。不過，這兩個非營利組織都不能保留這些“捐贈”;由于接收和使用因犯罪而收到的資金是違法的，因此捐贈很可能會被扣押或退還。

　　此前8月，該組織在網上發布了一份類似的新聞稿，該組織承諾不會加密屬于醫院、學校、大學、非營利組織和政府部門的文件。他們是否信守諾言目前還無法判斷。其他勒索團伙也承諾在COVID-19爆發之初不會攻擊醫療行業，但最終還是食言。

　　此外，Darkside集團不是第一個向慈善機構和非營利組織捐款的網絡犯罪團伙。2016年，一個名叫菲納斯·費舍爾(Phineas Fisher)的黑客組織聲稱他們入侵了一家銀行，并將這筆錢捐贈給了敘利亞Rojava自治省。2018年，GandCrab勒索軟件組織為飽受戰爭的敘利亞受害者發布了免費的解密密鑰。

　　GandCrab犯罪團伙還在其代碼中添加了一項豁免條款，即不會對該位于該國的受害者加密文件。具有諷刺意味的是，當GandCrab小組關閉并試圖以新名稱(REvil或Sodinokibi)開展一項新行動時，對敘利亞受害者的這種非常規豁免使安全研究人員將小組與REvil勒索軟件聯系起來。

　　參考來源：ZDNet http://dwz.date/cU9A

　　(如未標注，均為天地和興工業網絡安全研究院編譯)