目 錄

　　第一章 國外關鍵信息基礎設施安全動態

　　(一)跨國能源公司Enel Group今年第二次遭受勒索軟件攻擊

　　(二)芬蘭心理治療中心Vastaamo遭受勒索攻擊，黑客勒索患者支付贖金

　　(三)法國IT服務提供商Sopra Steria遭受勒索軟件攻擊

　　(四)多臺Mottech智能灌溉系統在全球范圍內易受攻擊

　　(五)350萬美國患者病歷信息在互聯網上公開未受保護

　　(六)俄羅斯APT組織Energetic Bear入侵美國政府網絡并竊取數據

　　(七)歐洲網絡犯罪組織UNC1878使用勒索軟件Ryuk攻擊美國醫院網絡

　　(八)俄羅斯黑客組織Turla攻擊歐洲政府組織系統

　　(九)伊朗APT組織Phosphorous成功攻擊多名知名人士電子郵件賬戶

　　(十)美國FBI、CISA、國防部聯合警告稱朝鮮黑客組織Kimsuky活躍

　　(十一)美國財政部制裁與惡意軟件Triton有關的俄羅斯政府研究機構

　　(十二)新型僵尸網絡KashmirBlack已感染多個網站

　　(十三)FBI警告黑客通過SonarQube平臺竊取政府源代碼

　　(十四)特朗普競選網站被黑客入侵

　　(十五)Nitro PDF遭受大規模數據泄露

　　(十六)律師事務所Fragomen泄露Google員工個人信息

　　(十七)瑞典政府及銀行遭受安全數據泄露

　　第一章 國外關鍵信息基礎設施安全動態

　　(一)跨國能源公司Enel Group今年第二次遭受勒索軟件攻擊

　　跨國能源公司Enel Group的系統近日遭受了勒索軟件Netwalker攻擊，這是該能源公司今年遭受的第二起勒索軟件攻擊。Netwalker勒索軟件運營商要求支付1400萬美元贖金以換取解密密鑰，黑客聲稱從該公司竊取了數TB數據，并威脅稱如果不支付贖金就會泄露信息。

　　Enel Group是一家意大利跨國能源公司，活躍在發電和配電領域，以及天然氣分銷領域。該公司在40個國家擁有6100多萬客戶，在財富全球500強中排名第87位，2019年營收為900億美元。

　　今年6月，Enel遭受勒索軟件Snake攻擊，但攻擊很快得到遏制，惡意軟件無法在其網絡內傳播。10月19日，一位研究人員報告了針對Enel的勒索軟件攻擊的消息，并分享了一張在攻擊Enel時使用的Netwalker勒索信件。

　　研究人員上周試圖通知Enel Group，但沒有成功。幾天后，Netwalker通過他們的支持聊天宣布了公司數據泄露的消息。Enel從未回復過勒索軟件運營商的消息，因此，攻擊者開始泄露被盜數據的一部分，作為數據泄露的證據。攻擊者索要折合1,400萬美元的比特幣(約合1234個比特幣)。

　　10月27日，Netwalker勒索軟件運營商將Enel Group添加到他們的數據泄露網站，并截圖展示了一些從該公司被盜的未加密文件。

　　意大利網絡安全公司TG Soft在一條推文中公開分享了這次攻擊的消息。黑客從該公司竊取了大約5TB的文件，并宣布他們將“分析每個文件中的有趣內容”，并將其發布在他們的泄密網站上。

　　參考來源：SecurityAffairs http://dwz.date/cZKv

　　(二)芬蘭心理治療中心Vastaamo遭受勒索攻擊，黑客勒索患者支付贖金

　　芬蘭心理治療中心Vastaamo 10月21日披露，其數據系統曾遭受多次勒索攻擊，數千個其客戶登記簿信息很可能被盜。黑客組織最初勒索Vastaamo支付45萬歐元的贖金，隨后勒索Vastaamo患者支付200至500歐元的贖金以刪除其泄露在暗網上的數據。

　　Vastaamo在北歐國家有550萬分支機構，是芬蘭公共衛生系統的分包商，為患有焦慮癥和抑郁癥等疾病的患者提供心理和心理治療。Vastaamo在10月24日晚些時候發表的一份聲明中表示，第一次入侵可能發生在2018年11月，其數據系統也有可能在2018年11月底至2019年3月之間被滲透。芬蘭內政部長瑪麗亞·奧赫薩洛(Maria Ohisalo)在推特上表示，政府將為Vastaamo心??理治療中心的安全漏洞提供迅速的危機幫助，她稱這是“令人震驚且非常嚴重的事件”。

　　Vastaamo表示，不明身份的攻擊者使用匿名的Tor通信軟件發布了至少300份患者記錄，其中包含姓名和聯系方式?！袄账髡咭呀涢_始通過敲詐勒索直接與安全漏洞的受害者打交道?！?/p>

　　國家調查局10月25日表示，多達上萬份的Vastaamo客戶的個人資料可能被泄露。警方正在芬蘭和國外尋找潛在攻擊者。目前尚不清楚竊取的信息是否包括診斷、治療記錄或其他潛在的破壞性信息。國家調查局首席調查員馬克·萊波寧(Marko Leponen)表示，“這起案件的特殊之處在于被盜材料的內容?！?/p>

　　Vastaamo敦促那些收到付款要求以換取信息私密性的客戶立即與芬蘭警方聯系，據稱已有數十人收到勒索需求。芬蘭媒體報道稱，網絡犯罪分子要求以比特幣支付200歐元(240美元)的贖金，除非在24小時之內支付，否則贖金將增至500歐元。據報道，心理治療中心還收到了勒索贖金，要求支付450,000歐元(534,000美元)的比特幣。

　　市民對此消息感到難以置信。它還引起了芬蘭領導人的評論?？偨y薩利·尼尼斯托(Sauli Niinisto)稱勒索“殘酷”和“令人反感”?？偫砩＜{·馬林(Sanna Marin)表示，此類敏感信息的入侵“在許多方面都令人震驚”。

　　芬蘭數據安全公司F-Secure的首席研究官Mikko Hypponen告訴芬蘭公共廣播電視臺YLE，該案件即使在國際范圍內也是例外。Hypponen是芬蘭領先的數據安全專家之一，也是國際知名的網絡威脅講師。Hypponen表示，“我不知道在世界上任何地方都存在如此嚴重濫用患者記錄的情況?！盚ypponen在推特上表示他知道另外一個類似的勒索案件，即2019年佛羅里達州面部修復中心事件。該事件在一個不同的醫療領域，受害人數較少，但基本思路是一樣的。

　　芬蘭的各個組織已迅速動員起來，幫助破壞活動的受害者，包括直接撥通教堂和治療服務的電話。

　　Vastaamo建議客戶不要向黑客支付任何贖金，如果收到了黑客勒索的要求，請立即與芬蘭警方聯系。

　　參考來源：SecurityWeek http://dwz.date/cY4d

　　(三)法國IT服務提供商Sopra Steria遭受勒索軟件攻擊

　　法國IT服務提供商Sopra Steria 10月26日表示，其系統最近感染了勒索軟件Ryuk新變體。

　　總部位于法國的Sopra Steria在25個國家擁有4.6萬名員工，提供廣泛的IT服務，包括咨詢、技術、軟件、系統集成、業務流程、基礎設施管理和網絡安全。

　　該公司在10月21日報告稱，前一天檢測到其IT網絡遭到入侵，并已開始努力遏制該事件。10月26日的更新信息中，該公司表示其成為了網絡攻擊的目標，這次攻擊涉及勒索軟件Ryuk的一個新變體，該變體“以前并不為殺毒軟件提供商和安全機構所知”。

　　Sopra Steria的調查小組立即向主管當局提供了所需的所有信息。該調查小組能夠迅速向所有防病毒軟件提供商提供此新版本的病毒簽名，以便他們更新其防病毒軟件。此外，還已證實該網絡攻擊是在被發現之前幾天才發起的。

　　攻擊者在被發現前幾天才獲得Sopra Steria系統的訪問權限，這一事實并不令人驚訝。DFIR報告最近表示，在最近觀察到的一次攻擊中，從黑客發送的第一封電子郵件到系統完全被攻破并加密，只經過了29個小時。

　　Sopra Steria表示，該事件只影響了其基礎設施的“有限部分”，并聲稱沒有發現數據泄露或客戶系統受損的證據。然而。該公司預計還需要幾周時間才能全部業務恢復正常。

　　據悉，使用Ryuk勒索軟件的俄羅斯網絡犯罪分子還會竊取受害者的數據，以增加他們獲得報酬的機會。Ryuk勒索軟件通常是通過TrickBot僵尸網絡傳遞的，TrickBot僵尸網絡的基礎設施最近成為了美國政府和私營企業的關注目標。盡管針對TrickBot的行動似乎是成功的，至少在某種程度上是成功的，但據報道，就在Sopra Steria成為攻擊目標的幾天前，Ryuk的攻擊還在繼續。

　　參考來源：SecurityWeek http://dwz.date/cZEa

　　(四)多臺Mottech智能灌溉系統在全球范圍內易受攻擊

　　以色列安全研究公司Security Joes最新調查結果發現，全球部署的100多臺智能灌溉系統都是在沒有改變工廠默認的無密碼設置的情況下安裝的，這使得它們很容易受到惡意攻擊。

　　研究人員立即向以色列CERT、受影響的公司和灌溉系統供應商Mottech Water Management發出警報，但Mottech沒有對置評請求作出回應。

　　Mottech的系統允許通過臺式機和移動電話對農業和草坪/景觀設施的灌溉進行實時控制和監控。傳感器網絡允許靈活和實時地將水和肥料分配到系統中的不同閥門。例如，接入網絡可能會導致攻擊者能夠淹沒田地或過量運送化肥。

　　Security Joes聯合創始人Ido Naor表示，Security Joes定期掃描互聯網上的以色列開放設備，以檢查漏洞。最近，它的研究人員發現，在沒有密碼保護的情況下，以色列境內的55個灌溉系統可以在開放的互聯網上看到。在擴大搜索范圍后，他們發現還有50個分散在世界各地，包括法國、韓國、瑞士和美國。Naor稱，在最后一次檢查中，到目前為止，只有大約20%的脆弱灌溉設備采取了緩解措施來保護它們。

　　有充分的理由對供水系統不安全發出警報，特別是在以色列。據《以色列時報》(Times of Israel)報道，就在去年4月，一場針對以色列供水系統的網絡攻擊，據稱是伊朗發起的，目的是增加水中的氯含量，以毒害平民，最終中斷居民的供水。

　　據《以色列時報》報道，該國國家網絡局局長Yigal Unna在5月下旬的CybertechLive Asia大會上發表講話時發出了警告，稱針對人們的直接網絡攻擊代表著網絡戰的新篇章。報道稱，就在幾周后的7月，以色列水務局表示，他們阻止了加利利的農業水泵和“國家中心”的供水基礎設施遭受的攻擊。但是Naor表示，被發現的沒有密碼保護的灌溉系統與之前的攻擊沒有關系。

　　這些類型的脆弱性當然不僅限于以色列。上個月，在美國用來為工業系統(包括供水和電力公用事業)供電的軟件CodeMeter中發現了六個關鍵漏洞，這些漏洞可能被利用來發動攻擊，甚至允許第三方接管系統。

　　今年夏天，研究人員發現，用于在工業環境中遠程訪問運營技術(OT)網絡的VPN使現場設備容易受到攻擊，這可能會導致關閉甚至物理損壞。各國政府正在努力跟上整個關鍵基礎設施系統中物聯網(IoT)設備的激增。在美國，眾議院在9月份通過了一項立法，規定了聯邦政府內部對物聯網設備的最低要求。

　　Naor表示，物聯網設備的最低安全標準是鎖定關鍵基礎設施的重要一步。但運營商需要認真對待安全問題，雙因素認證應該是從移動設備訪問這些系統的最低要求。但更普遍的是，應該更加謹慎地對待我們在互聯網上發布的內容。

　　參考來源：ThreatPost http://dwz.date/cZP6

　　(五)350萬美國患者病歷信息在互聯網上公開未受保護

　　安全軟件公司New Net Technologies近日披露，在圖片存檔和通信系統(PACS)服務器上發現超過2PB未保護的醫療數據，美國約350萬名患者的1300萬次體檢結果沒有受到保護，任何人都可以在互聯網上看到這些結果。

　　今年的全國網絡安全意識月(從2020年10月19日開始的一周)已進入第三周，主題是“保障醫療保健中的互聯網連接設備”。

　　New Net Technologies是總部位于佛羅里達州那不勒斯的安全和合規軟件公司，該公司全球副總裁德克·施拉德(Dirk Schrader)披露了這些細節。他演示了任何人都可以通過從互聯網下載的應用程序訪問這些記錄，這些記錄仍在積極的更新文件中，并有三種不同的威脅：個人身份盜竊(包括更有價值的醫學身份盜竊)、個人勒索和醫療保健公司違規行為。

　　Schrader檢查了一系列放射學系統，其中包括圖片存檔和通信系統(PACS)。這些不僅包含圖像，還包含有關各個患者的元數據。元數據包括姓名、出生數據、體檢日期和原因等等。在醫院內，成像系統(X射線、MRI等)也存儲在PACS中。主治醫師需要隨時訪問圖像以確認當前治療。Schrader只是使用Shodan來定位使用DICOM醫療協議的系統，在返回的3000臺服務器中，單個未受保護的PACS系統被手動定位。例如，其中一項包含超過80萬次醫學檢查的結果，可能涉及約25萬名不同的患者。

　　盡管Schrader手動找到了不受保護的服務器，但他選擇了這種方法來證明在此過程中不需要黑客技能。攻擊者可能已經編寫了腳本，可以在短時間內將受保護的服務器與不受保護的服務器分開?？偣?，他可以訪問2PB以上的醫療數據。

　　他發現了三種訪問存儲數據的方法。首先是通過從互聯網下載并由用戶配置的可配置的免費軟件DICOM Viewer應用程序。只需通過搜索“DICOM Viewer”即可找到查看器。Schrader特別使用了Radiant DICOM Viewer。甚至更簡單的方法是直接通過Web瀏覽器。該服務器是通過Shodan進行定位的，并且由于不受保護，因此攻擊者通?？梢韵螺d并上傳到該服務器，還可以操縱其內容。Shrader表示，“我可以上傳虛假數據，沒有黑客入侵?！钡谌N方法是某些服務器直接通過瀏覽器提供整個數據集的完整下載。

　　有關個人的詳細信息級別包括姓名，有時還包括社會安全號碼，可能會導致身份盜用。醫療檢查的類型和結果也包括在內，攻擊者可以收集有關已證明COVID或HIV陽性或進行了乳房切除手術的患者的詳細信息，可能會導致個人勒索。在某些情況下，攻擊者可以僅通過瀏覽器訪問和更新活動文件夾。如果使用武器化的PDF或JPG更新這些文件夾，則攻擊者就有可能將惡意軟件和最終勒索軟件傳遞給相關的醫療機構。如果醫生正在使用PACS服務器的內容來檢查患者當前的治療方法并下載武器化文件，就可能會打開惡意軟件感染機構的路徑，最終導致重大勒索軟件攻擊。

　　Schrader多年來一直在調查此問題，調查對象是全球的醫療機構。2019年12月，他向美國120個未受保護的系統的管理員發送了披露通知，其中69個管理員完全忽略了警告，包括19家兒童醫院?？傮w而言，歐洲和英國的反應是積極的，并且數據已經得到保護?，F如今，美國、印度和巴西是主要的有問題國家，但其他未受保護的PACS系統存在于澳大利亞、加拿大、及法國。

　　從Shodan獲得IP地址后，Schrader繼續對美國機構進行漏洞檢查，結果發現，“大約170個連接到互聯網的美國系統中有大約600個嚴重漏洞。有許多即將終止的漏洞，還有幾個Microsoft漏洞處于最高風險級別。沒有必要PACS進行修補，就像這些系統已連接到互聯網并被遺忘了一樣?！边@表明系統不僅不受保護，而且不受管理。

　　Schrader沒有發現任何確鑿的證據證明PACS內容已經被犯罪分子濫用，“但我懷疑，犯罪分子已經在使用這種方法，因為它太容易了?！痹搯栴}的解決方案很簡單，PACS服務器應該要求足夠的訪問身份驗證，或者從互聯網中刪除。不然，任何人都可以隨時訪問數百萬敏感醫療記錄。

　　參考來源：SecurityWeek http://dwz.date/cZe4

　　(六)俄羅斯APT組織Energetic Bear入侵美國政府網絡并竊取數據

　　美國國土安全部(DHS)網絡安全和基礎設施安全局(CISA)和聯邦調查局(FBI)10月22日聯合發布警告稱，在過去的兩個月中，俄羅斯政府支持的APT組織Energetic Bear入侵并竊取了美國政府網絡的數據。

　　黑客組織Energetic Bear也被稱為Berserk Bear、TeamSpy、Dragonfly、Havex、Crouching Yeti和Koala，至少自2010年開始活躍，其攻擊目標是美國州、地方、領土和部落(SLTT)政府組織和航空實體的網絡。

　　FBI及CISA表示，“俄羅斯政府資助的APT行為者已經瞄準了數十個SLTT政府和航空網絡，企圖入侵多個SLTT組織，成功破壞了網絡基礎設施，并且從2020年10月1日起，從至少兩個受害者服務器中竊取了數據。俄羅斯支持的APT參與者正在獲取用戶和管理員憑證，以建立初始訪問權限，一旦進入網絡就可以橫向移動以及定位高價值資產以竊取數據?！?/p>

　　根據該聯合警報，在至少一次涉及政府網絡受損的事件中，俄羅斯國家支持的黑客組織已獲得對敏感文件的訪問權，其中包括：

　　l 敏感的網絡配置和密碼;

　　l 標準操作程序(SOP)，例如注冊多因素身份驗證(MFA);

　　l IT指令，例如請求密碼重置;

　　l 供應商和購買信息;

　　l 打印通行證。

　　黑客在攻擊中使用了多種方法，包括暴力嘗試、結構化查詢語言(SQL)注入攻擊，還掃描并試圖利用易受攻擊的Citrix、Fortinet和Microsoft Exchange服務器。他們還使用了受侵害的Microsoft Office 365(O365)帳戶，并嘗試利用ZeroLogon Windows Netlogon漏洞(CVE-2020-1472)在Windows Active Directory(AD)服務器上進行特權升級。

　　該聯合警告補充表示：“迄今為止，FBI和CISA尚無任何信息表明該APT參與者有意破壞了任何航空，教育，選舉或政府運作。但是，參與者可能正在尋求獲得未來干擾選擇的機會，以影響美國的政策和行動，或使SLTT政府實體合法化?！痹摼瘓筮€提供了有關該組織攻擊、緩解措施和廣泛的妥協指標(IOC)列表等更多信息。

　　參考來源：BleepingComputer http://dwz.date/cYzk

　　(七)歐洲網絡犯罪組織UNC1878使用勒索軟件Ryuk攻擊美國醫院網絡

　　FireEye 10月28日發布公告稱，東歐網絡犯罪組織UNC1878近日在美國多家醫院進行了勒索軟件攻擊，這是冠狀病毒大流行期間該行業最具破壞性的網絡活動。

　　FireEye事故響應部門Mandiant的高級副總裁Charles Carmakal表示，FireEye稱該組織為UNC1878，該組織一直在部署Ryuk勒索軟件，并使多個醫院IT網絡離線?！癠NC1878是我在職業生涯中觀察到的最厚顏無恥、無情和破壞性的威脅組織之一。該組織的活動蓄意針對并破壞美國醫院，迫使他們將患者轉移到其他醫療機構?！盕ireEye沒有詳細說明任何具體的攻擊或它觀察到的活動時間。

　　該公告與多個勒索軟件事件相吻合，包括本周早些時候發生在俄勒岡州Sky Lakes醫療中心的攻擊事件。該醫療中心繼續提供緊急和緊急護理，但表示“在恢復系統之前，與醫療中心的通信會有些復雜?！崩账鬈浖€感染了紐約州醫院的IT網絡，迫使Canton-Potsdam、Massena、Gouverneur醫院恢復備份程序。據報道，攻擊者使用的是一種新型Ryuk變種。

　　FBI和國土安全與衛生與公共服務部在10月28日召開了電話會議，向私營部門簡要通報了攻擊事件。此次電話會議的邀請函稱，它將涵蓋“有關美國醫院和醫療保健提供者日益嚴重的網絡犯罪威脅的可靠信息?！痹诒局馨l生勒索軟件事件之前，有報道稱Ryuk勒索軟件攻擊了Universal Health Services，該公司稱自己是美國最大的醫療保健提供商之一。

　　盡管致命的冠狀病毒仍在流行，網絡犯罪分子仍繼續攻擊醫院的IT系統并要求獲得贖金。美國聯邦機構和私人公司已呼吁增援，以試圖減弱襲擊的影響。世界各地的網絡安全專業人員一直對醫療保健組織的黑客攻擊感到擔憂，以至于他們自愿投入時間來保護他們。美國網絡安全和基礎設施安全局(CISA)在今年7月聘請了衛生保健網絡安全專家Josh Corman來加強該機構的工作，以保護該行業免受攻擊。

　　參考來源：CyberScoop http://dwz.date/cZsy

　　(八)俄羅斯黑客組織Turla攻擊歐洲政府組織系統

　　根據埃森哲網絡威脅情報(ACTI)最新報告，俄羅斯黑客組織Turla攻擊了一個未公開的歐洲政府組織的系統。這起攻擊完全符合Turla的信息竊取和間諜活動動機，以及它對來自不同國家的政府相關實體的持續攻擊。

　　為了破壞組織的網絡，攻擊者使用了最近更新的遠程管理木馬(RAT)和基于遠程過程調用(RPC)的后門程序，其中包括HyperStack，由ACTI在2020年6月至2020年10月期間進行了分析。

　　ACTI研究人員表示，“值得注意的是，埃森哲研究人員最近為同一受害者網絡上Turla的Carbon和Kazuar后門確定了新型命令和控制(C&C)配置。 Kazuar實例在使用受害網絡之外的外部C&C節點和受影響網絡上的內部節點之間的配置有所不同，并且Carbon實例已更新為包括一個Pastebin項目，以與傳統的HTTP C&C基礎結構一起接收加密的任務?！笨傊?，在進行間諜活動期間，Turla破壞了來自100多個國家的政府，大使館以及教育和研究機構的數千個系統。

　　埃森哲表示，“Turla可能會繼續使用其傳統的工具，盡管會進行升級，以妥協并保持對受害者的長期訪問，因為這些工具已經被證明在Windows網絡上取得了成功?！盇CTI建議政府實體檢查網絡日志，以發現報告末尾包含的危害指標，并建立能夠阻止未來Turla攻擊的檢測。

　　Turla組織也跟蹤為 Waterbug或VENOMOUS BEAR，自1996年以來一直活躍，是襲擊五角大樓和美國宇航局、美國中央司令部、芬蘭外交部以及今年早些時候東歐外交部的主要嫌疑人。

　　由國家贊助的黑客組織也以使用非正統方法實現其網絡間諜活動目標而聞名。例如，他們使用自己的API創建了 后門木馬程序， 以使用對Britney Spears Instagram照片的評論來逆向通信流并控制惡意軟件 。他們還劫持了伊朗贊助的OilRig黑客組織的基礎設施和惡意軟件， 以在自己的競選活動中使用它們。

　　今年5月，ESET使用Gmail網絡界面在針對政府機構的數據盜竊攻擊中發現了由Turla控制的ComRAT后門新版本。同樣在5月，卡巴斯基分享了被認為是另一種“具有中等到低置信度”的Turla惡意軟件的信息，這是一種被稱為COMpfun的RAT變體，使用在針對歐洲外交實體的攻擊中部署的不常見HTTP狀態代碼進行控制。

　　參考來源：BleepingComputer http://dwz.date/cZp7

　　(九)伊朗APT組織Phosphorous成功攻擊多名知名人士電子郵件賬戶

　　微軟近日透露，與伊朗有關的APT組織Phosphorus成功侵入了今年慕尼黑安全會議和Think 20峰會上多位知名人士和與會者的電子郵件賬戶。攻擊者成功攻擊了100多人，其中包括前大使和其他高級政策專家。Phosphorus又名APT35、Charming Kitten、Newscaster、Ajax Security Team。

　　據微軟安全情報中心(Microsoft Security Intelligence Center)的專家稱，這些攻擊是網絡間諜活動的一部分，旨在通過泄露受害者郵箱和聯系人名單中的數據來收集受害者的情報。數據被泄露到de-ma[.]online、g20saudi.000webhostapp[.]com和ksat20.000webhostapp[.]com。

　　攻擊者一直在向前政府官員、政策專家、學者和非政府組織的領導人發送偽造的電子郵件邀請。攻擊者試圖利用新冠肺炎大流行期間人們對旅行的恐懼，提供遠程會話。

　　這些電子郵件是用近乎完美的英語寫成的。專家認為，這場競選與即將到來的美國總統選舉無關。微軟專家已經與會議組織者合作，他們警告與會者注意正在進行的攻擊，并建議他們保持警惕，注意與其他會議或活動相關的這種方法。

　　2014年，iSight的專家發布了一份報告，描述了伊朗黑客利用社交媒體組織的最復雜的基于網絡的間諜活動，Phosphorus成為頭條新聞。

　　微軟至少從2013年就開始跟蹤這些威脅的參與者，但專家認為，這個網絡間諜組織至少從2011年就開始活躍起來。在過去的戰役中，APT組織發起了針對中東和美國組織和以色列、英國、沙特阿拉伯和伊拉克的實體的激進分子和記者的魚叉式網絡釣魚攻擊。

　　最近，微軟發布了一篇帖子和一系列推文，警告有人利用與伊朗有聯系的APT組織MuddyWater(又名Mercury)實施的zeroologon漏洞進行網絡攻擊。微軟還警告說，其他國家支持的黑客組織在俄羅斯和中國開展網絡間諜活動，目標是參與今年美國總統大選的組織和個人。

　　參考來源：SecurityAffairs http://dwz.date/cZSa

　　(十)美國FBI、CISA、國防部聯合警告稱朝鮮黑客組織Kimsuky活躍

　　美國聯邦調查局(FBI)、國土安全部(DHS)網絡安全與基礎設施安全局(CISA)和國防部攻擊性黑客機構網絡司令部(Cyber Command)10月27日發布聯合警報稱，朝鮮黑客組織Kimsuky針對韓國、日本和美國的目標進行情報收集。

　　據美國政府稱，Kimsuky經常針對韓國智庫以及與制裁、核話題和其他影響朝鮮半島的問題相關的目標開展網絡間諜活動。美國政府警報稱，為了獲得與受害者的初步接觸，黑客通常使用魚叉式電子郵件和水坑誘騙受害者提供信息。

　　根據這份報告，至少從2012年開始Kimsuky就一直活躍，“最有可能是朝鮮政權的任務”。研究人員此前曾將Kimsuky(有時也被稱為Velvet Chollima組織)與朝鮮和國家有關的動機聯系在一起。

　　網絡司令部表示，這份報告概述了Kimsuky常用的戰術、技術和程序，旨在促使私營部門保護自己的網絡避免遭受黑客攻擊。

　　在聯合發出警告之前，美國政府已經公開發布了一系列有關朝鮮政府黑客行為的報告，目的是削弱朝鮮黑客的行動效率。官員們說，按照這種思路，當私營部門保護自己不受黑客攻擊時，攻擊者在進行重組時可能會分心。

　　網絡司令部發言人說，盡管該警報是在美國2020年總統大選臨近時發出的，但朝鮮黑客正在進行的攻擊據信與他們沒有關聯。

　　CrowdStrike的2020年全球威脅報告顯示，盡管kimsuky歷來專注于與制裁和核話題相關的智庫和目標，但與許多其他與朝鮮政府有關聯的黑客一樣，該組織最近一直有興趣將加密貨幣用戶和交易所作為目標，以開展“貨幣生成操作”。

　　據韓國官員和金融安全研究所(Financial Security Institute)的研究人員稱，據信kimsuky也是2014年針對韓國核電站運營商韓國水電核電公司(Korea Hydro&Nuclear Power Co.)的幕后黑手。雖然韓國核電站的運營沒有受到影響，但這次旨在竊取核電站藍圖和遠程控制電腦的行動可能暗示著能源行業可能存在更具破壞性的動機。

　　據Malwarebytes Research稱，近幾個月來，Kimsuky因利用新冠病毒大流行和發送帶有冠狀病毒主題誘餌的魚叉式網絡釣魚郵件而受到研究界的關注。這些釣魚郵件包含惡意文檔，攻擊者可以利用這些文檔收集有關受害者機器的信息，包括受害者攝像頭、音頻、藍牙和文件的信息。

　　參考來源：CyberScoop http://dwz.date/cZNA

　　(十一)美國財政部制裁與惡意軟件Triton有關的俄羅斯政府研究機構

　　10月23日，美國財政部外國資產控制辦公室(OFAC)根據《通過制裁對付美國對手法案》(CAATSA)第224條，指定了與破壞性惡意軟件Triton相關的俄羅斯政府研究機構。

　　惡意軟件Triton在開源報告中也稱為TRISIS或HatMan，是專門針對和操縱工業安全系統而設計的。此類系統可在關鍵基礎設施中安全緊急關閉工業流程，以保護人類生命。私人網絡安全行業將Triton惡意軟件背后的網絡參與者稱為“眾所周知的最危險的威脅活動”。

　　秘書史蒂文·姆努欽(Steven T. Mnuchin)表示：“俄羅斯政府繼續從事針對美國及其盟國的危險網絡活動。本屆政府將繼續積極捍衛美國的關鍵基礎設施，防止任何人試圖破壞它?！?/p>

　　近年來，惡意軟件Triton一直針對中東的美國合作伙伴部署，據報道，該惡意軟件背后的黑客已在掃描和探測美國設施。鑒于俄羅斯政府參與了惡意和危險的網絡啟動活動，針對美國的合作伙伴開發和部署Triton惡意軟件尤其令人不安。此前俄羅斯在網絡空間肆無忌憚的活動包括但不限于：NotPetya網絡攻擊，這是歷史上最具破壞性和代價最高的網絡攻擊;針對美國能源網的網絡入侵，有可能推動未來的進攻行動;以國際組織為目標，例如禁止化學武器組織和世界反興奮劑機構;以及2019年針對格魯吉亞的破壞性網絡攻擊。

　　2017年8月，中東的一家石化設施成為涉及Triton惡意軟件的網絡攻擊的目標。此網絡攻擊得到了俄羅斯聯邦FGU中央科學研究所化學與力學國家研究中心(TsNIIKhM)的支持，該研究所是由俄羅斯政府控制的研究機構，負責構建啟用攻擊的定制工具。

　　Triton惡意軟件旨在針對某些關鍵基礎設施中使用的特定工業控制系統(ICS)控制器，以在發生緊急情況時立即啟動關機程序。該惡意軟件最初是通過針對石化設施的網絡釣魚進行部署的。該惡意軟件一旦立足，其操作員便會嘗試操縱該設施的ICS控制器。在攻擊過程中，多個ICS控制器進入故障安全狀態后，該設施會自動關閉，從而阻止部署惡意軟件的全部功能，并促使進行調查，最終導致發現了惡意軟件。研究網絡攻擊和惡意軟件的研究人員報告說，Triton旨在使攻擊者完全控制受感染的系統，并具有造成重大物理損壞和生命損失的能力。據報道，在2019年，Triton惡意軟件背后的攻擊者正在掃描和探測美國至少20家電力公司是否存在漏洞。

　　根據CAATSA第224條規定，TsNIIKhM被指定為代表俄羅斯聯邦政府有意從事破壞任何人(包括民主機構或政府)的網絡安全的重大活動。根據該指定，美國人擁有的TsNIIKhM的所有財產和財產權益均被封鎖，一般禁止美國人與他們進行交易。此外，一個或多個指定人員擁有的任何50%或以上的實體也將被阻止。此外，與TsNIIKhM進行某些交易的非美國人本身可能也會受到制裁。

　　參考來源：美國財政部 http://dwz.date/cYVq

　　(十二)新型僵尸網絡KashmirBlack已感染多個網站

　　Imperva安全研究人員近日發現了一個新型復雜僵尸網絡KashmirBlack，自2019年11月以來一直活躍，利用目標服務器中數十個已知漏洞，主要針對其內容管理系統(CMS)平臺，平均每天對全球30多個不同國家的數千名受害者進行數百萬次攻擊。

　　專家認為KashmirBlack僵尸網絡的背后是代號為“Exect1337”的黑客，他是印度尼西亞黑客組織“PhantomGhost”的成員。專家們觀察到平均每天發生數百萬次攻擊，攻擊了全球30多個不同國家的數千名受害者。

　　Imperva研究人員發布的報告第一部分詳細介紹了僵尸網絡背后的DevOps實施，“它具有由一臺C&C(命令與控制)服務器管理的復雜操作，并使用60多個服務器作為其基礎架構的一部分，大多數是無辜的代理服務器。它處理數百個僵尸程序，每個僵尸程序都與C&C通信以接收新目標、執行暴力攻擊、安裝后門、并擴大僵尸網絡規模?！?/p>

　　KashmirBlack僵尸網絡的主要目的是濫用受感染系統的資源來進行加密貨幣挖掘，并將站點的合法流量重定向到垃圾郵件頁面。

　　僵尸網絡自發現以來一直在持續增長，而復雜性也在不斷提高。今年5月，專家觀察到命令與控制(C&C)基礎結構的增加以及僵尸網絡運營商使用的利用程序的增加。KashmirBlack會使用易受攻擊的CMS版本在互聯網上掃描站點，并嘗試利用已知的漏洞來接管基礎服務器。

　　僵尸網絡運營商利用一系列漏洞來破壞運行多個CMS平臺的網站，包括WordPress、Joomla!、PrestaShop、Magneto、Drupal、vBulletin、osCommerce、OpenCart和Yeager：PHPUnit遠程代碼執行(CVE-2017-9841)、

　　jQuery文件上傳漏洞( CVE-2018-9206)、ELFinder命令注入(CVE-2019-9194)、Joomla!遠程文件上傳漏洞、Magento本地文件包含(CVE-2015-2067)、

　　Magento Webforms上傳漏洞、CMS Plupload 任意文件上傳、Yeager CMS漏洞(CVE-2015-7571)、WordPress TimThumb RFI漏洞(CVE-2011-4106)、Uploadify RCE漏洞、vBulletin Widget RCE(CVE-2019-16759)、WordPress install.php RCE、、WordPress xmlrpc.php登錄暴力攻擊、WordPress多個插件RCE、WordPress多個主題RCE、Webdav 文件上傳漏洞。

　　Imperva研究人員在研究過程中見證了它從一個具有基本能力的中等容量僵尸網絡發展成為一個龐大的基礎設施的過程。該報告的第二部分還包括了該僵尸網絡的危害指標(IoC)。

　　參考來源：SecurityAffairs http://dwz.date/cY5V

　　(十三)FBI警告黑客通過SonarQube平臺竊取政府源代碼

　　美國聯邦調查局(FBI)近日發出警報，警告黑客通暴露在互聯網上且不安全的SonarQube實例竊取了美國政府機構和企業組織的數據。

　　SonarQube是一個開放源代碼平臺，用于自動代碼質量審核和靜態分析，以發現使用27種編程語言的項目中的錯誤和安全漏洞。自2020年4月以來，攻擊者一直在積極利用易受攻擊的SonarQube服務器來訪問政府和公司實體擁有的數據源代碼存儲庫，隨后對其進行過濾并公開泄漏。

　　FBI表示，自從攻擊開始以來，他們已經發現了幾起攻擊者濫用SonarQube配置漏洞的事件。FBI在警告中表示，“從2020年4月開始，FBI觀察到源于美國政府機構和科技、金融、零售、食品、電子商務和制造領域的私人美國公司與不安全SonarQube實例相關的源代碼泄漏?！?/p>

　　開發人員和逆向工程師Tillie Kottmann收集并發布了超過50家公司的泄漏代碼，其中包括Microsoft、Adobe、Lenovo、AMD、Qualcomm、Motorola、Hisilicon(華為擁有)、Mediatek、GE Appliances、Nintendo、Roblox、迪士尼等，更多的位于一個公共的GitLab存儲庫。

　　Kottmann表示，目前有數千家公司未能正確保護其SonarQube安裝而暴露了專有源代碼。此前8月他從一個匿名人士那里收集到了20GB的英特爾機密文件。

　　“這些信息來自英特爾資源與設計中心，該中心承載的信息供注冊訪問的客戶、合作伙伴和其他外部各方使用?！?/p>

　　FBI表示，威脅參與者首先使用默認端口號(即9000)掃描暴露在互聯網上的公開SonarQube實例來開始攻擊。發現公開的服務器后，他們嘗試使用默認的admin / admin憑據來訪問易受攻擊的實例。

　　FBI雖然沒有點名，但在警報中調了兩起此類事件，一個是由已確定身份的攻擊者進行的，另一個攻擊者仍然未知：2020年7月，一名被確認的網絡參與者通過安全性較差的SonarQube實例從企業中過濾出專有源代碼，并在一個自托管的公共存儲庫中發布了過濾后的源代碼。2020年8月，未知威脅參與者通過公共生命周期存儲庫工具從兩個組織泄漏了內部數據。竊取的數據來自SonarQube實例，該實例使用了受影響的組織網絡上運行的默認端口設置和管理員憑據。

　　FBI建議采取以下緩解措施來阻止攻擊：更改SonarQube默認設置，包括更改默認管理員用戶名，密碼和端口(9000);將SonarQube實例放置在登錄屏幕后面，并檢查是否有未經授權的用戶訪問了該實例;如果可行，撤消對SonarQube實例中公開的任何應用程序編程接口密鑰或其他憑據的訪問;將SonarQube實例配置為位于組織的防火墻和其他外圍防御程序的后面，以防止未經身份驗證的訪問。

　　參考來源：BleepingComputer http://dwz.date/cZkq

　　(十四)特朗普競選網站被黑客入侵

　　唐納德·特朗普的競選網站donaldjtrump.com 10月27日短暫遭受了黑客入侵，該事件發生在選舉日前幾天，引起了各界擔憂。該網站通常包含集會和籌款呼吁的詳細信息，然而周二顯示的消息為：“該網站已被查封。世界上有很多由唐納德·特朗普總統每天散布的假新聞”。

　　這起黑客事件是加布里埃爾·洛倫佐·格雷施勒(Gabriel Lorenzo Greschler)在推特上首次報道的，事件發生在太平洋時間下午4點前。這個消息令人擔憂，因為選舉日即將到來。黑客可能會訪問Web服務器后端，并插入混淆的JavaScript來顯示上述消息。

　　該網站很快得到了恢復，特朗普競選發言人蒂姆·默特(Tim Murtaugh)確認，此次攻擊沒有泄露任何敏感數據。穆特表示，“特朗普競選網站遭到污損，我們正在與執法機構合作調查襲擊源頭?！?/p>

　　據網站Techcrunch稱，攻擊者似乎沒有政治動機，該網站遭到騙子的攻擊，目的是收集難以追蹤的cypto貨幣Monero。詐騙者聲掌握了特朗普及其親屬的機密信息，并提供了兩個門羅幣地址，在那兒轉移資金以接收所謂的信息。詐騙者指示人們，如果希望獲得嚴格保密的信息，則將加密貨幣發送到一個地址，然后將其發送給另一地址以將其保密。

　　專家注意到，該頁面是用一個PGP公鑰簽名的，該公鑰對應于一個不存在的域中的電子郵件地址(planet.gov)。

　　參考來源：SecurityAffairs http://dwz.date/cZcF

　　(十五)Nitro PDF遭受大規模數據泄露

　　Nitro Software 10月21日向澳大利亞證券交易所發布的咨詢報告披露，Nitro PDF服務遭受了大規模數據泄露事件，影響了許多知名組織，包括谷歌、蘋果、微軟、大通銀行和花旗銀行。

　　Nitro聲稱有超過1萬名商業客戶和180萬許可用戶使用，是一種用于創建、編輯和簽名PDF和數字文檔的應用程序。作為服務的一部分，Nitro提供了一種云服務，客戶可以使用該云服務與參與文檔創建過程的同事或其他組織共享文檔。

　　該咨詢報告顯示，Nitro PDF受到了“低影響安全事件”的影響，但沒有影響到任何客戶數據。Nitro稱“該事件為低影響安全事件，涉及未經授權的第三方對硝基數據庫進行有限訪問的隔離安全事件，數據庫不包含用戶或客戶文檔，該事件對NITRO的持續運營沒有重大影響，事件調查仍在進行中，目前沒有證據表明與客戶有關的敏感或財務數據受到影響或信息被濫用，不會因事故而產生重大的財務影響，預計該事件不會影響到2020財年的招股書預測?！?/p>

　　然而事實證明，事件的內容可能比其說的還要多。網絡安全情報公司Cyble表示，一個威脅參與者正在出售他們聲稱從Nitro軟件的云服務中竊取的用戶和文檔數據庫以及1TB的文檔。目前這些數據正在私下拍賣中出售，起拍價格定為80,000美元。

　　Cyble表示，“user_credential”數據庫表包含7,000萬條用戶記錄，其中包含電子郵件地址、姓名、bcrypt哈希密碼、標題，公司名稱、IP地址以及其他與系統相關的數據。

   研究人員能夠通過確認數據庫中存在的Nitro帳戶的已知電子郵件地址來確定被盜用戶數據庫的真實性。文檔數據庫包含文件的標題、是否已創建、簽名、擁有該文件的帳戶以及是否公開。

　　據Cyble稱，這些數據庫包含與知名公司有關的大量記錄。

　　從共享的數據庫樣本中發現，僅文檔標題就披露了有關財務報告、并購活動、NDA或產品發布的大量信息。如果如威脅行為者所聲稱的那樣竊取了文件，這可能是近段時間以來最嚴重的公司數據泄露事件之一。由于Nitro通常被企業用來數字簽名敏感的財務，法律和營銷文檔，因此它可能導致信息泄漏，從而嚴重影響公司的業務。目前無法確認文件是否在此攻擊中泄露。

　　對于那些擔心自己的Nitro帳戶屬于此違規行為的人，Cyble已將數據添加到了他們的AmIBreached.com服務中。用戶可以使用該服務提交其電子郵件地址，并檢查該地址是否已在被盜數據庫中披露。

　　參考來源：SecurityAffairs http://dwz.date/cZFu

　　(十六)律師事務所Fragomen泄露Google員工個人信息

　　美國知名移民法律師事務所之一Fragomen近日披露了一起數據泄露事件，未經授權的第三方獲得了一個包含與I-9就業驗證服務相關的個人信息的文件，泄露了Google現員工及前員工的個人信息。該公司于2020年9月24日發現了這次入侵，并聘請了一家數字取證調查公司協助調查。

　　I-9表格由所有美國雇員填寫，以核實他們的身份和在美國就業的就業授權。該張表格包含員工的信息，包括姓名、出生日期、電話號碼、社會保險號、護照號碼、郵寄地址和電子郵件地址。暴露的數據可能會被不法分子濫用，進行多種惡意活動，包括身份盜竊。用戶應保持警惕，并向當局報告任何可疑活動。

　　事務所也表示已經對此采取回應措施，包括強化IT基礎設施的安全及偵檢測，除了通知受影響的Google員工外，也提供為期一年的免費信用監控服務。

　　Fragomen并未透露除了姓名之外，還有哪些數據遭到盜取，也未說明受影響人數。不過根據加州法律，企業數據泄露如果影響超過500名的加州居民，就必須向當州法務局通報。Google及Fragomen事務所均未回應外界質詢。

　　參考來源：SecurityAffairs http://dwz.date/cZMY

　　(十七)瑞典政府及銀行遭受安全數據泄露

　　據瑞典當地媒體報道，黑客從安全公司Gunnebo竊取了共計19G的信息和約3.8萬個文件，泄露了瑞典議會安全安排細節、瑞典稅務局在斯德哥爾摩郊區新辦公室的機密計劃、兩家德國銀行金庫計劃、瑞典SEB銀行分行的警報系統和監控攝像頭等信息。

　　Gunnebo席執行官Stefan Syren表示，“數據被盜是很不幸的。我們正在審查材料，如果有敏感信息，我們會聯系客戶?！?/p>

　　Gunnebo總部設在瑞典，是一家跨國公司，其國際客戶包括核電站、醫院和機場。這起黑客攻擊事件于8月份報告給瑞典安全局。

　　Syren在聲明中表示，“我們只能推測攻擊的目標是什么，但由于我們不能排除這是企圖從事工業間諜活動的可能性，因此必須遵守規定，因此我們決定通知Sapo?！痹摴具€表示，其已經得出結論，認為這次攻擊是“有組織的”，但沒有透露有關哪些數據遭到破壞的細節。

　　據《Dagens Nyheter》報紙報道，最近基于敲詐勒索的黑客攻擊了許多公司，犯罪分子竊取敏感信息，然后要求贖金，以避免數據在網上泄露。在私營醫療保健公司Vastaamo的數千名心理治療患者的私人記錄被盜后，鄰國芬蘭目前正在應對一場史無前例的黑客攻擊。這些記錄最初是用來試圖勒索該公司的，但隨后要求贖金的電子郵件在周末被直接發送給了患者。

　　參考來源：SecurityWeek http://dwz.date/cZQX

　　(如未標注，均為天地和興工業網絡安全研究院編譯)