目   錄

第一章 國外關鍵信息基礎設施安全動態

（一）日本川崎重工披露數據泄露事件

（二）蘇格蘭環保局平安夜遭受重大網絡攻擊

（三）芬蘭議會議員電子郵件賬戶遭受黑客入侵

（四）比利時新冠檢測醫學實驗室遭受勒索軟件攻擊

（五）美國家電制造商惠而浦遭受勒索軟件Nefilim攻擊

（六）CISA發布免費Azure/Microsoft 365惡意活動檢測工具

（七）美國財政部警告針對COVID-19疫苗研究的勒索軟件

（八）俄羅斯加密貨幣交易所Livecoin遭受黑客攻擊

（九）Sangoma遭受勒索軟件Conti攻擊，泄露超26GB數據

（十）電商應用程序21 Buttons泄露百萬用戶數據

（十一）任天堂3DS存在嚴重漏洞 可致MiTM攻擊

（十二）日本游戲開發商Koei Tecmo披露數據泄露事件

 

第一章 國外關鍵信息基礎設施安全動態

（一）日本川崎重工披露數據泄露事件

日本川崎重工12月28日披露了一項安全漏洞，該公司發現多個海外辦事處對日本公司服務器的未授權訪問，該安全漏洞可能導致其海外辦事處的信息被盜。

川崎重工有限公司是一家日本公共跨國公司，主要生產摩托車、發動機、重型設備、航空航天和國防設備、機車車輛和船舶，還積極生產工業機器人、燃氣輪機、鍋爐和其他工業產品。

日本川崎重工（Kawasaki Heavy Industries）宣布了一項安全漏洞，并可能在未經許可的情況下從多個海外辦事處訪問日本公司的服務器，并可能出現數據泄漏。

該公司發布的聲明表示，“2020年6月11日，一次內部系統審計發現，一個海外辦事處(泰國)連接到日本的一臺服務器，這是不應該發生的。在同一天內，海外辦事處和我們的日本辦事處之間的通信被完全終止，因為這是未經授權的訪問情況。但是，隨后發現從其他海外站點(印度尼西亞、菲律賓和美國)對日本的服務器進行了其他未經授權的訪問?！?/span>

川崎重工株式會社宣布，它受到來自公司外部的未經授權的訪問。經過徹底調查，該公司發現，海外辦事處的一些信息可能已泄露給外部人士。目前，該公司沒有發現向外部網絡泄露信息的證據。川崎重工宣布加強了對海外辦事處訪問的監控行動，同時還限制了從海外訪問其日本服務器。

川崎重工(Kawasaki Heavy Industries)對日本和泰國網絡中的大約26,000個終端進行了安全審計。10月初，該公司宣布檢查海外辦事處網絡(不包括泰國)中可能受到安全事件影響的大約3,000個終端。11月30日，該公司恢復了海外辦事處與日本總部之間終止的網絡通信。川崎證實，8月份之后沒有未經授權連接到日本的服務器，并表示這次攻擊是復雜的，并使用了先進的技術來避免被發現。

該公司聲明表示，“為此，自確認未經授權進入以來，川崎特別項目組聘請了一家獨立的外部安全專家公司，一直在調查并實施對策。他們的調查證實，未知內容的信息有可能被泄露給第三方。不過，目前，我們沒有發現任何證據顯示有人向外界泄露包括個人信息在內的信息?！?/span>

其他知名日本公司今年也受到網絡攻擊，包括國防承包商帕斯科(Pasco)、神戶制鋼(Kobe Steel)、以及三菱電機(Mitsubishi Electric)。
 

參考來源：SecurityAffairs http://dwz.date/dJAC

 

（二）蘇格蘭環保局平安夜遭受重大網絡攻擊

蘇格蘭環境保護局(SEPA)在平安夜凌晨遭受了重大網絡攻擊。

該公司執行董事大衛·皮里(David Pirie)表示，盡管核心監管、監測、洪水預報和預警服務仍在繼續，但組織內部和組織之間的通信受到了嚴重影響。

David Pirie表示，“在平安夜過后一分鐘，SEPA系統遭受了重大且持續的網絡攻擊。這次攻擊正在影響我們的聯絡中心、內部系統、流程和內部通信。我們立即制定了穩健的業務連續性安排，核心監管、監測、洪水預報和預警服務正在調整并繼續運營。我們的應急管理團隊正在與蘇格蘭政府、蘇格蘭警察和國家網絡安全中心合作，以應對看似復雜的犯罪行為。在我們繼續與

Resilience合作伙伴保持密切聯系的同時，我們要求那些現在希望與我們聯系的人通過我們在Facebook和Twitter上的社交媒體渠道(@ScottishEPA)聯系我們?！?/span>
 

參考來源：STV News http://dwz.date/dHQt

（三）芬蘭議會議員電子郵件賬戶遭受黑客入侵

芬蘭中央刑事警察局12月28日宣布，芬蘭議會在2020年秋遭受了網絡攻擊，黑客訪問了芬蘭議會的IT系統，黑客能夠訪問一些議會議員的電子郵件。國家調查局正在調查該網絡攻擊事件，并得到了芬蘭議會的支持。

國家調查局首席檢查官特羅·穆爾曼（Tero Muurman）在一份聲明中表示，犯罪者“顯然能夠在間諜活動中獲得使外國受益或損害芬蘭的情報”。警方沒有確認任何嫌疑人。

攻擊者以事件中的多人為目標，執法部門于2020年秋季開始對此事進行調查。穆爾曼表示，警方正在與國際伙伴合作以查明攻擊者身份。目前尚不清楚究竟有多少位議員受到影響。

芬蘭議會議長阿努·維赫維萊寧（AnuVehvil?inen）將這一事件描述為對芬蘭民主的攻擊。Vehvil?inen在一份聲明中表示，“我們不能接受任何由政府或非政府實體實施的敵對網絡活動?！?/span>

國家立法機關是民族國家黑客的長期攻擊目標，他們可能正在尋求有關其他國家國內政治的情報。就在幾個月前，挪威官員指責俄羅斯軍方黑客Fancy Bear或APT28入侵并竊取了挪威國會議員的電子郵件帳戶信息。今年早些時候，歐盟還指責俄羅斯政府的黑客在2015年入侵德國議會。

盡管俄羅斯黑客經常針對歐洲的政治資產發起攻擊，但克里姆林宮并不是唯一擁有針對國家立法機構的黑客組織的政府。例如，據報道，澳大利亞情報部門指責中國對2019年對該國議會發起攻擊。
 

參考來源：CyberScoop http://dwz.date/dJRv
 

（四）比利時新冠檢測醫學實驗室遭受勒索軟件攻擊

比利時安特衛普區的一個密切致力于控制Covid-19流行病的醫學實驗室AML成為網絡攻擊的受害者，黑客要求勒索贖金。黑客在實驗室網站上安裝了勒索軟件，使其陷入癱瘓。與勒索軟件攻擊的典型情況一樣，黑客在解密網站之前要求支付贖金。

AML是一家私營企業，每天處理約3000個Covid-19測試，約占全國總數的5%。因此，它是該國應對Covid-19危機的最大私人實驗室。

今早試圖聯系AML網站失敗。ICT經理Maarten Vanheusden表示，“經過我們安全團隊的廣泛分析，我們決定斷開網絡連接，以防萬一。通過這種方式，我們可以一步一步看到到底感染了什么。目前尚未發現有數據被盜。此次勒索事件的動機為勒索敲詐，目前還不知道攻擊者來源?！?/span>

目前尚不清楚這次攻擊是否發生了數據盜竊。勒索軟件攻擊本身的目的通常只是對勒索錢財感興趣，然而數據竊賊試圖掩蓋自己的行蹤，而勒索軟件攻擊者則恰恰相反。

該實驗室向安特衛普檢察官辦公室報告了這起攻擊事件，案件目前由聯邦計算機犯罪部門處理。

據VRT報道稱，AML攻擊是一系列針對Covid-19大流行相關網站的攻擊中的最新一次。本月早些時候，位于阿姆斯特丹的歐洲藥品管理局（EMA）成為攻擊目標。黑客們獲得了輝瑞corona疫苗的相關文件。
 

參考來源：TheBrusselsTimes http://dwz.date/dKxT

 

（五）美國家電制造商惠而浦遭受勒索軟件Nefilim攻擊

美國家電制造商惠而浦近日遭受了勒索軟件Nefilim攻擊，攻擊者在加密設備前竊取了數據，并威脅稱如果不支付贖金將會公開全部數據。

惠而浦是全球最大的家用電器制造商之一，旗下有KitchenAid、Maytag、Brastemp、Consul、Hotpoint、Indesit、Bauknecht等品牌?；荻衷谌?9個制造和技術研究中心擁有77,000名員工，2019年的收入約為200億美元。

12月26日周末，Nefilim勒索軟件組織公布了在勒索軟件攻擊中從惠而浦竊取的文件。泄露的數據包括員工福利、住宿要求、醫療信息要求、背景調查等相關文件。

網絡安全行業消息人士稱，Nefilim勒索軟件組織在12月的第一個周末攻擊了惠而浦?；荻衷诼暶髦凶C實了此次攻擊，并稱其系統已從攻擊中完全恢復。

惠而浦在電子郵件中稱，“我們生活在每個行業都普遍存在非法網絡犯罪的時代。數據隱私是惠而浦公司的重中之重，我們在技術和流程方面進行投資以保護我們的員工、數據、運營。上個月我們在惠而浦公司的環境中發現了勒索軟件，該惡意軟件被迅速檢測并控制。目前沒有泄露任何消費者信息，目前沒有任何運營影響?！?/span>

Nefilim不是一個特別活躍的勒索軟件，但過去以攻擊其他大型知名受害者而聞名。Nefilim攻擊的其他受害者包括 Orange SA、Dussman Group、Luxottica和Toll Group。

截至12月28日惠而浦的系統已完全恢復，并沒有像最初所說的那樣緩慢恢復。
 

參考來源：BleepingComputer http://dwz.date/dKwj

（六）CISA發布免費Azure/Microsoft 365惡意活動檢測工具

美國CISA 12月24日通過GitHub發布惡意活動免費偵測工具Sparrow.ps1，適用于組織內的Azure/Microsoft 365環境，以協助偵測可能遭到危害的帳號或應用程序，可能是用來辨識與SolarWinds Orion遭黑事件相關的攻擊行為。

Sparrow.ps1是由CISA的云端安全團隊所打造，它并不是全面性偵測工具，只是以最近不同產業的Azure/Microsoft 365環境遭到攻擊的案例作為參考，以偵測是否有行動可疑的帳號及應用程序，辨識出類似的身分與認證攻擊行動。

Sparrow.ps1會在所要分析的機器上檢查及安裝必要的PowerShell模組，以察看Azure/Microsoft 365中的危害指標，列出Azure AD網域，以及檢查Azure服務主體及其Microsoft Graph API許可，來辨識潛在的惡意行為。

CISA并未公布相關攻擊的細節，但有網絡安全媒體暗示該機構所指稱的安全意外，可能與SolarWinds Orion攻擊事件有關。根據微軟的說明，黑客先入侵了網絡管理業者SolarWinds所提供的軟件，這類就地部署的軟件通常具備高權限，黑客利用其內部管理權限來獲取SAML令牌簽章證書，再利用盜來的SAML令牌偽造云端用戶令牌，在冒充用戶登入之后，再新增可存取既有應用或服務主體的憑證，繼而呼叫Microsoft 365 API來竊取郵件。
 

本文版權歸原作者所有，參考來源：iThome http://dwz.date/dKAt
 

（七）美國財政部警告針對COVID-19疫苗研究的勒索軟件

美國財政部金融犯罪執法網絡（FinCEN）12月28日發布警告稱，勒索軟件正在積極針對疫苗研究機構。FinCEN要求金融機構保持警惕，勒索軟件正在針對疫苗交付業務以及制造疫苗所需供應鏈為攻擊目標。

美國食品藥品監督管理局（FDA）于同一天發布了兩項緊急使用COVID-19疫苗授權。FinCEN還在11月與來自金融機構、技術公司和聯邦政府機構的代表進行了在線交流，以討論對勒索軟件日益增長的擔憂。同時FinCEN在10月份發布了勒索軟件咨詢，內容涉及在勒索軟件攻擊后使用金融系統促進勒索支付。同一天，外國資產控制辦公室（OFAC）警告那些協助受害者支付贖金的組織，他們的行為可能違反法規，因此面臨制裁風險。

FinCEN還警告稱，欺詐者和犯罪分子利用公眾對COVID-19疫苗的興趣來分發惡意軟件。FinCEN補充說：“COVID-19疫苗欺詐可能包括出售未經批準和非法銷售的疫苗、出售經批準的偽造版本的疫苗、以及對合法疫苗的非法轉移。欺詐者表示會在比疫苗分發計劃更快的向向潛在受害者提供疫苗，并收取一定費用。金融機構及其客戶應警惕此類利用有關COVID-19疫苗的虛假信息來誘騙受害者的網絡釣魚計劃?！?/span>

在過去兩個月中，美國聯邦機構、食品和藥物管理局（FDA）、聯邦貿易委員會（FTC）、國土安全部國際刑警組織（DHS-ICE）、國際刑警組織（INTERPOL）和歐洲刑警組織（Europol）都發出了類似的警告。

根據FTC統計數據，今年有超過27.5萬名美國人因與COVID-19相關的騙局而造成經濟損失超過2.11億美元。包括國家黑客在內的威脅行為者今年全年都以參與COVID-19疫苗冷鏈和研究的組織為攻擊目標。
 

參考來源：BleepingComputer http://dwz.date/dJUN

 

（八）俄羅斯加密貨幣交易所Livecoin遭受黑客攻擊

俄羅斯加密貨幣交易所Livecoin在平安夜遭受了黑客攻擊，黑客入侵了該交易所的網絡，并獲得了某些服務器的控制權。對此Livecoin在其網站上發布了一條消息，警告客戶停止使用其服務。

該信息顯示，“親愛的客戶，我們要求您停止使用我們的所有服務：不要存款，不要交易，不要使用API。我們正受到精心策劃的攻擊，正如我們所設想的，這是在過去幾個月里準備好的。我們失去了對所有服務器、后端和節點的控制。因此，我們無法及時停止我們的服務。我們的新聞頻道也被破壞了。目前，我們部分控制前端，因此我們能夠發布此公告。我們正在努力找回我們的服務器、節點和資金，我們全天候工作。新聞和下一個更新將在未來幾天。我們正在和當地警方聯系。我們正在盡力克服這個問題?！?/span>

該平臺的管理員通知其用戶，他們已經失去了對一些服務器的控制權，這次攻擊似乎是精心策劃的。

攻擊發生在12月23日至24日的夜間，攻擊者將匯率修改為荒謬的值，即正常值的15倍。比特幣的匯率被設置為超過$45萬/BTC，而ETH的價值從$600/ETH增加到$15,000。有人推測，EXMO和Livecoin交易所都是被同一個攻擊者入侵的，因為他們使用了同一個錢包1A4PXZE5j8v7UuapYckq6fSegmY5i8uUyq。

Livecoin建議用戶停止存入資金和進行交易。Livecoin表示，它已通知了當地執法部門。一旦釋放了匯率，攻擊者就開始套現賬戶，賺取巨額利潤。加密貨幣交易所將安全漏洞通知了當地執法部門。

12月31日，Livecoin網站顯示的消息為：

參考來源：SecurityAffairs http://dwz.date/dK5X

（九）Sangoma遭受勒索軟件Conti攻擊，泄露超26GB數據

Sangoma 12月24日披露了一起數據泄露事件，其遭受了勒索軟件Conti攻擊，攻擊者竊取了26GB文件并在網上公布。

Sangoma是一家IP語音硬件和軟件提供商，以廣受歡迎的開源FreePBX PBX電話系統而聞名，該系統允許組織在其網絡上創建廉價的公司電話系統。

12月23日，Conti勒索軟件組織在他們的勒索軟件數據泄露網站上公布了超過26 GB的數據，這些數據是在最近的網絡攻擊中從Sangoma竊取的。泄露的數據包括與公司會計、財務、收購、員工福利和工資以及法律文件相關的文件。

Sangoma 12月24日證實，勒索軟件攻擊導致其公司和員工的私人和機密信息在線發布，并導致數據泄露。Sangoma在公司官網披露，“Sangoma宣布，由于對該公司一臺服務器遭受了勒索軟件攻擊，昨天該公司的私有和機密數據在網上發布。公司已開展全面調查，以完全確定此數據泄露的程度，并與第三方網絡安全專家緊密合作以支持這些工作。目前沒有跡象表明客戶帳戶被盜用，也沒有任何Sangoma產品或服務因此違規而受到影響。在調查仍在繼續且出于謹慎考慮的同時，該公司建議客戶更改其Sangoma密碼?！?/span>

該攻擊背后的勒索軟件名為Conti，初于2019年12月底發現用于獨立的攻擊中，并于2020年6月開始活躍攻擊。該勒索軟件與Ryuk勒索軟件共享代碼，并且已知由TrickBot木馬分發。Conti運營者破壞公司網絡并橫向擴散，直到獲得對域管理員憑據的訪問權限，以部署用于加密設備的勒索軟件有效載荷。
 

參考來源：BleepingComputer http://dwz.date/dGCb
 

（十）電商應用程序21 Buttons泄露百萬用戶數據

網絡安全公司vpnMentor研究人員發現，知名電子商務應用程序21 Buttons泄露了歐洲數百位名有影響力人物的私人數據。
21 Buttons允許用戶分享他們的服裝照片和他們所穿品牌的鏈接，然后他們的粉絲可以使用該應用直接從相關品牌購買他們喜歡的衣服。有許多不同的平臺在互聯網上為自己開辟了一個細分市場。21 Buttons在Android平臺上的下載量超過500萬次，這是一個主要面向時尚產業的社交網站。時尚影響者可以通過他們的個人資料獲得傭金。

2020年11月2日，vpnMentor專家發現21 Buttons應用程序使用了一個錯誤配置的AWS存儲桶，導致數百名網紅的數據泄露。

vpnMentor在發布的報告中寫道，“該公司將來自應用程序的超過5000萬條數據存儲在一個配置錯誤的AWS云存儲桶中。在這些數據中，我們發現了21 Buttons向歐洲各地的100位有影響力人物支付的傭金發票，這是基于他們的個人資料所創造的銷售價值。這些發票暴露了大量有關個人影響者在21 Buttons上的收入信息，以及難以置信的敏感個人信息?！?/span>

發現時，錯誤配置的AWS bucket包含超過5000萬個文件，包括的敏感信息如全名、地址、財務信息(即銀行賬號、貝寶電子郵件地址)、照片和視頻。海量數據包括超過400張發票，這些發票提供了各個品牌向網紅支付傭金的信息。

受數據泄露影響的主要人物有:Carlota Weber Mazuecos、Freddy Cousin Brown、Marion Caravano、Irsa Saleem、Danielle Metz。

S3 bucket中包含的數據可以被威脅參與者用于執行多種惡意活動，包括網絡釣魚攻擊、欺詐和身份盜竊、跟蹤和騷擾

vpnMentor的研究人員指出，自他們首次向公司報告這一發現以來，數據在網上暴露了一個多月。直到12月22日，vpnMentor才收到了21Buttons的回復，但目前還不清楚它是否保護了數據。目前還不可能確定是否有人訪問了這些暴露的數據。

21 Buttons也可能會因為數據泄露而面臨負面反應和其他后果，包括罰款和法律行動、失去客戶和合作伙伴、以及負面宣傳。
 

參考來源：SecurityAffairs http://dwz.date/dK7T

 

（十一）任天堂3DS存在嚴重漏洞 可致MiTM攻擊

安全研究人員發現了一個影響任天堂3DS游戲機的高度嚴重的漏洞。利用此漏洞可允許攻擊者對游戲玩家進行MITM攻擊。這位研究人員報告了這個漏洞，贏得了12000美元以上的巨額賞金。

據報道，一名安全研究人員發現了一個影響任天堂3DS掌上游戲機的嚴重安全漏洞，任天堂3DS手持游戲機現已停產。該漏洞存在于任天堂3DS對數字證書的處理中。由于證書驗證不正確，攻擊者有可能偽造證書并執行中間人MITM攻擊。

研究人員在漏洞報告中所述，“建立SSL/TLS連接時，SSL系統模塊無法正確驗證x509證書。實際上，SSL系統模塊在驗證證書鏈時不會檢查簽名，從而允許任何人偽造證書并執行MitM攻擊或欺騙受信任的服務器?！?/span>

利用這個漏洞可能會導致危險的后果，因為攻擊者可能欺騙任何服務器來欺騙目標玩家。這包括欺騙eShop服務器和提取用戶信息、欺騙連接到游戲服務器、或僅僅執行MiTM間諜通信和竊取數據。此漏洞影響到所有固件版本為11.13或以下的任天堂3DS游戲機，該漏洞嚴重程度被為9-10分。

在2020年6月發現該漏洞后，研究人員通過他們的HackerOne漏洞賞金計劃向任天堂報告了此事。因此，任天堂開發了一個補丁來解決這個漏洞。最終，在發布任天堂3DS固件11.14版的同時部署了補丁。

所以，任天堂3DS的用戶必須確保使用最新的固件版本更新來保護其設備。除了修補漏洞，任天堂還向這位研究人員提供了12,168美元的巨額獎金。研究人員將這個漏洞命名為“SSLoth”，他在分享了GitHub上的技術細節。
 

參考來源：LatestHackingNews http://dwz.date/dK7m

 

（十二）日本游戲開發商Koei Tecmo披露數據泄露事件

日本游戲開發商Koei Tecmo近日披露了一起數據泄露事件，其被盜數據被發布到一個黑客論壇，故該公司將其歐洲和美國網站下線了。

Koei Tecmo以其廣受歡迎的PC和游戲機游戲而聞名，包括Nioh 2、HyRule Warriors、Atelier Ryza、Dead or Alive等。

12月20日，一名攻擊者聲稱，他于12月18日通過發送給一名員工的魚叉式網絡釣魚侵入了koeitecmoeurope.com網站。一個擁有6.5萬用戶的論壇數據庫被盜，這名攻擊者聲稱在網站上植入了一個Web Shell，以便繼續訪問。攻擊者銷售宣傳中稱，“在我發現的shell上有FTP憑據，如果你購買了shell，我會很高興與你分享這些憑據，以及他們的twitter帳戶的多個twitter秘密?！?/span>

在一個黑客論壇上的帖子中，攻擊者試圖以0.05比特幣（約合1300美元）的價格出售論壇數據庫，以及0.25比特幣（約合6500美元）的價格出售Web shell訪問權限。12月23日，同一個攻擊者在同一個黑客論壇上免費泄露了數據庫。

該數據庫樣本包括論壇成員的電子郵件地址、IP地址、哈希密碼、用戶名、出生日期和國家。在得知泄露的數據后，Koei Tecmo將美國(https://www.koeitecmoamerica.com/))和歐洲(KoeitecmoEurope.com)網站下線，并顯示“由于此網站上可能發生外部網絡攻擊，因此我們在調查此問題時暫時將其關閉?！?/span>

在得知此次攻擊后，Koei Tecmo發布了一份數據泄露公告，稱其英國子公司網站上的一個論壇遭到入侵，被盜數據在網上泄露。該數據泄露公告顯示，“在由KTE運營的網站內，“論壇”頁面和已注冊的用戶信息（大約65,000個條目）已確定為可能已被泄露的數據?？赡芤驯缓诳托孤兜挠脩魯祿◣裘拖嚓P密碼（已加密）和注冊的電子郵件地址?！?/span>

Koei Tecmo表示，這次入侵只影響了論壇，而不是網站的其他部分，這個數據庫中沒有存儲任何財務信息。該游戲公司已經確定“這是一次勒索軟件攻擊的可能性很低”，而且沒有對該公司提出任何威脅或要求。出于高度謹慎，Koei Tecmo在調查此次攻擊時切斷了英國子公司KTE的內部網絡。

Koei Tecmo并不是今年第一個受到網絡攻擊的游戲開發商。今年早些時候，Crytek和Ubisoft受到Egregor勒索軟件操作的打擊，Capcom遭受了Ragnar Locker勒索軟件攻擊，1TB的數據被盜。
 

參考來源：BleepingComputer http://dwz.date/dGXc
 

（如未標注，均為天地和興工業網絡安全研究院編譯）