目   錄
 

第一章 國內關鍵信息基礎設施安全動態

（一）印度宣布將永久禁止59款中國APP

（二）TikTok修復了應用程序中泄露用戶隱私的漏洞

第二章 國外關鍵信息基礎設施安全動態

（一）富士電氣SCADA/HMI產品中存在多個高危漏洞

（二）霍尼韋爾子公司Matrikon OPC產品中存在嚴重漏洞

（三）數百家工業組織在SolarWinds事件中遭受Sunburst惡意軟件攻擊

（四）奧地利起重機制造商Palfinger遭受網絡攻擊

（五）美國包裝企業WestRock遭受勒索軟件攻擊影響了IT和OT系統

（六）又有四家網絡安全公司成為SolarWinds供應鏈攻擊目標

（七）俄羅斯警告美國可能因SolarWinds事件發起報復性攻擊

（八）亞洲零售連鎖運營商Dairy Farm遭受REvil勒索軟件攻擊

（九）朝鮮黑客利用社交網絡攻擊網絡安全研究人員

（十）英特爾披露因內部錯誤導致數據泄露

（十一）勒索軟件Avaddon利用DDoS攻擊受害者

（十二）澳大利亞證券監管機構服務器存在安全漏洞

（十三）執法部門查封Netwalker勒索軟件暗網

（十四）全球執法部門聯合破獲Emotet僵尸網絡的基礎設施

（十五）巴西燃料分銷商Ultrapar遭受網絡攻擊

 

第一章 國內關鍵信息基礎設施安全動態

（一）印度宣布將永久禁止59款中國APP

綜合《印度時報》和路透社等外媒26日消息，印度電子和信息技術部發布最新通知，將永久禁止59款中國手機應用程序，包括TikTok（抖音海外版）、百度、Wechat（微信國際版）和UC瀏覽器等。

印度Livemint網援引一位消息人士的話說，這一通知是上周發布的。根據《印度時報》的說法，此次永久禁令是印度電子和信息技術部的官員“不滿”這些中國公司回應印度政府提出的各種質疑后出臺的，這些所謂的質疑包括它們的數據收集和數據處理方法，以及圍繞數據安全和隱私的問題。

《印度時報》在報道中也提到此事稱，自去年6月起，印度政府已對267款應用程序(不同批次)采取了“前所未有的”行動。印度電子信息技術部去年6月29日宣布，禁止包括TikTok、微信、微博在內的59款中國應用。7月28日，印度電子信息技術部稱印度政府已決定開展第二輪禁用中國網絡程序的決定，該禁令涉及47個中國公司開發的程序。同年9月2日，印度電子和信息技術部又發布公告，宣布禁用百度搜索等118款中國手機應用程序。之后的11月24日，印度電子和信息技術部再次發布公告，宣布禁用全球速賣通、釘釘等43款中國背景手機應用程序。
 

本文版權歸原作者所有，參考來源：環球網 http://dwz.date/ecfr
 

（二）TikTok修復了應用程序中泄露用戶隱私的漏洞

Check Point研究團隊發現了TikTok移動應用程序的查找好友功能中的一個漏洞，如果利用該漏洞，攻擊者將能夠訪問用戶的個人資料詳細信息以及與其帳戶相關的電話號碼。這將使攻擊者能夠建立一個用戶及其相關電話號碼的數據庫，然后用于惡意活動。
Check Point Research將此問題通知了TikTok的開發人員和安全團隊。TikTok負責任地部署了一個解決方案，以確保其用戶可以安全地繼續使用該應用程序。

Check Point Research在1月26日發布的博客文章中稱，盡管這個漏洞只影響那些將電話號碼與其帳戶鏈接或使用電話號碼登錄的用戶，但成功利用該漏洞可能導致數據泄露和隱私侵犯。TikTok已部署了修復程序，以解決Check Point研究人員負責任地披露信息之后出現的漏洞。

新發現的錯誤位于TikTok的“查找朋友”功能中，該功能使用戶可以將他們的聯系人與服務同步，以識別潛在的關注對象。聯系人通過HTTP請求以列表的形式上載到TikTok，該列表由哈希的聯系人姓名和相應的電話號碼組成。

下一步，該應用程序將發送第二個HTTP請求，該請求將檢索與上一個請求中發送的電話號碼相關的TikTok配置文件。該響應包括個人資料名稱、電話號碼、照片和其他與個人資料相關的信息。

雖然每天每位用戶和每臺設備的上傳和同步聯系人請求限制為每天500個聯系人，但Check Point研究人員發現了一種方法，可以通過掌握設備標識符，服務器設置的會話cookie，唯一的標識符來解決此限制。使用SMS登錄到帳戶并在運行Android 6.0.1的模擬器中模擬整個過程時設置的稱為“X-Tt-Token”的令牌。

值得注意的是，為了從TikTok應用程序服務器請求數據，HTTP請求必須包含X-Gorgon和X-Khronos標頭以進行服務器驗證，以確保消息不被篡改。但是通過修改HTTP請求（攻擊者想要同步的聯系人數量）并使用更新的消息簽名重新簽名，該缺陷使得可以自動進行大規模上載和同步聯系人的過程，并創建數據庫關聯帳戶及其連接的電話號碼。

這并不是第一次發現流行的視頻共享應用程序包含安全漏洞。2020年1月，Check Point研究人員在TikTok應用程序中發現了多個漏洞，這些漏洞可能被利用來持有用戶帳戶并操縱其內容，包括刪除視頻、上傳未經授權的視頻、公開私人“隱藏”視頻以及泄露保存在帳戶上的個人信息。

然后在4月，安全研究人員Talal Haj Bakry和Tommy Mysk暴露了TikTok中的漏洞，這些漏洞使攻擊者可以通過將應用程序重定向到托管假冒視頻集合的假服務器來顯示偽造視頻，包括來自經過驗證的帳戶的視頻。

最終，TikTok于去年10月與HackerOne建立了漏洞賞金合作伙伴關系，以幫助用戶或安全專家指出該平臺的技術問題。根據該計劃，嚴重漏洞（CVSS評分9-10）有資格獲得$6,900到$14,800的獎金。

Check Point產品漏洞研究負責人Oded Vanunu表示，“我們這次的主要動機是探索TikTok的隱私。我們很好奇是否可以將TikTok平臺用于獲取私人用戶數據。事實證明答案是肯定的，因為我們能夠繞過TikTok的多種保護機制，從而導致隱私權受到侵犯。擁有這種程度敏感信息的攻擊者可以執行一系列惡意活動，例如魚叉式網絡釣魚或其他犯罪行為?！?/span>
 

參考來源：TheHackerNews http://dwz.date/ecrH

 

第二章 國外關鍵信息基礎設施安全動態

（一）富士電氣SCADA/HMI產品中存在多個高危漏洞

美國網絡安全與基礎設施安全局(CISA)1月26日發布公告，通知工業組織，日本富士電氣生產的一些SCADA/HMI產品存在五個潛在的嚴重漏洞。

受影響的產品是Tellus Lite V-Simulator和V-Server Lite。TELUS和V-Server SCADA/HMI產品旨在幫助用戶監控和操作其工廠，包括遠程位置。CISA表示，這些產品在世界各地使用，特別是在關鍵的制造業領域。

多名研究人員通過趨勢科技的零日計劃(ZDI)和CISA向富士電機報告了這些漏洞，這些漏洞被描述為緩沖區溢出、越界讀/寫和未初始化的指針問題，可被用來執行任意代碼。攻擊者可以通過誘騙目標用戶打開惡意的項目文件來利用這些漏洞。

根據CISA的說法，這些漏洞會影響Tellus Lite V-Simulator和V-Server Lite 4.0.10.0之前的版本，這些版本應該會修補這些漏洞。這次更新顯然是在2020年10月發布的。

值得注意的是，ZDI在供應商未能在120天的最后期限內發布補丁后，于2020年9月發布了針對其中一些漏洞的建議。這些公告是在當時以零日狀態發布的。ZDI可能很快也會公布描述剩余漏洞的建議。

ZDI的公開通報顯示，這些漏洞是由于“缺乏對用戶提供的數據的正確驗證”引起的，這導致內存損壞，并最終導致遠程執行代碼。
 

參考來源：SecurityWeek http://dwz.date/ecGY
 

（二）霍尼韋爾子公司Matrikon OPC產品中存在嚴重漏洞

霍尼韋爾子公司Matrikon生產的OPC UA產品存在四個潛在的嚴重漏洞。

開放平臺通信（OPC）是一種用于操作技術（OT）系統的通信協議，廣泛用于保證各種工業控制系統之間的互操作性。2010年，霍尼韋爾以約1.4億美元收購了Matrikon，該公司專門從事與供應商無關的OPC UA（統一體系結構）和基于OPC的工業控制自動化數據互操作性產品。

作為對OPC UA安全分析的一部分，工業網絡安全公司Claroty的研究人員發現Matrikon的OPC-UA Tunneller產品設計用于將OPC-UA客戶端和服務器與OPC-Classic架構集成，受四個嚴重性和高嚴重性漏洞的影響，這些漏洞可用于遠程代碼執行、DoS攻擊和獲取潛在有價值的信息。它們中的大多數都可以被利用來使服務器崩潰，而在某些情況下，有些則可能導致遠程代碼執行。

美國網絡安全和基礎設施安全局(CISA)21日發布了一份ICS咨詢報告，向工業組織通報這些漏洞?；裟犴f爾發布了一項更新，應該會修補這些漏洞。

霍尼韋爾在一封電子郵件聲明中表示，“我們已采取適當的措施來補救這種情況，并發布了該軟件的更新。我們強烈建議我們的客戶立即升級到6.3.0.8233版本?！?/span>

Claroty在Matrikon OPC UA Tunneller中發現的最嚴重的漏洞（基于其CVSS得分9.8）是一個堆緩沖區溢出漏洞，它允許攻擊者遠程執行任意代碼或造成DoS條件。另一個被評為嚴重級別的漏洞可被利用來獲取可用于在目標組織的網絡上執行其他活動的信息。

Claroty在25日發表的一篇博客文章中稱，“通過利用這些漏洞，攻擊者可以控制目標緩沖區外部被覆蓋的內存空間，并可以將函數指針重定向到他們的惡意代碼。換言之，利用這些漏洞的攻擊者還可以實現遠程代碼執行并接管OPC服務器?！?/span>

該公司表示，利用這些漏洞需要網絡訪問目標OPC服務器或OPC隧道程序(取決于OT網絡架構)，但不需要身份驗證。這些漏洞可以通過網絡遠程利用。然而，這些系統通常不直接面向互聯網，因為它們是在封閉的OT網絡中使用的。在某些情況下，資產所有者決定將這些與OPC相關的產品開放到網絡上，但這種情況并不常見。

作為對OPC安全研究的一部分，Claroty還發現了工業自動化解決方案提供商Kepware和Softing Industrial Automation生產的產品中的漏洞。CISA于2020年12月披露了Kepware漏洞，而Softing產品問題是在2020年7月披露的。

Claroty在Kepware漏洞被披露后表示，未經驗證的遠程攻擊者可以利用Kepware漏洞訪問OPC服務器進行任意代碼執行、數據泄漏和DoS攻擊。

該公司還指出，其研究人員發現的漏洞可能也會影響其他供應商的產品，因為使用了第三方庫，如由Softing開發的庫，以及Kepware制造的白標產品。

OPC是OT網絡的通信樞紐，集中支持無法交換信息的專有設備之間的通信。Claroty在博客中稱，“OPC是OT網絡的通信中心，集中支持專有設備之間的通信，否則這些專有設備將無法交換信息。它深深地嵌入了許多產品配置和以OPC為中心的開發和使用數據中。OPC的廣泛應用的另一個原因是，許多供應商已經將使用OPC進行通信的部分網絡連接到云上。這就將工業物聯網設備引入了方程式，既可以接收又可以交換設備和過程信息的設備?！?/span>
 

參考來源：SecurityWeek http://dwz.date/ebkq

 

（三）數百家工業組織在SolarWinds事件中遭受Sunburst惡意軟件攻擊

卡巴斯基ICS CERT部門1月25日發表博客文章稱，在ISolarWinds供應鏈攻擊事件中，有數百家工業組織遭受了Sunburst惡意軟件攻擊。

SolarWinds對此次攻擊的分析顯示，多達1.8萬名客戶可能收到了Orion監控產品的木馬更新。這些更新包含了Sunburst后門，使攻擊者能夠訪問受害者的系統，允許他們部署其他有效載荷到其感興趣的組織。

通過對Sunburst惡意軟件使用的命令和控制（C&C）機制，特別是DNS響應的分析，研究人員可以確定哪些組織可能收到了Sunburst，哪些組織可能被SolarWinds黑客進一步攻破。

卡巴斯基的工業網絡安全研究人員分析了近2000個受Sunburst影響的域名，估計其中大約32%與工業組織有關。其中大多數是制造業組織，其次是公用事業、建筑、運輸和物流、石油和天然氣、采礦和能源?？ò退够硎?，他們分布在美洲、歐洲、亞洲和非洲的各個國家，包括美國、加拿大、伊朗、荷蘭、俄羅斯、沙特阿拉伯和烏干達。

卡巴斯基已經確定，大約有200名客戶收到了惡意的SolarWinds更新，其中包括20多個工業領域的客戶。

卡巴斯基高級安全研究員Maria Garnaeva表示，“SolarWinds軟件已高度集成到全球不同行業的許多系統中，因此，Sunburst攻擊的規模無與倫比，最初受到攻擊的許多組織可能對攻擊者并不感興趣。盡管我們沒有這些受害者遭受第二階段攻擊的證據，但我們不應該排除將來發生這種攻擊的可能性。因此，對于可能成為攻擊受害者的組織來說，至關重要的是要排除感染并確保他們具有正確的事件響應程序?！?/span>
 

參考來源：SecurityWeek http://dwz.date/ecHx

 

（四）奧地利起重機制造商Palfinger遭受網絡攻擊

奧地利起重機及其他機械生產商Palinger 1月25日表示，其遭受了持續的全球網絡攻擊，破壞了該公司處理訂單和設備發貨的能力。

該公司IT基礎架構已中斷，包括發送和接收電子郵件及ERP系統。該集團在全球的大部分地區都受到影響。目前尚無法估計攻擊的確切范圍和持續時及其后果。

Palinger在其網站上發表的聲明中表示，整個公司的電子郵件服務在一次事件中中斷，這起事件“對其IT基礎設施造成了巨大影響”?？赡艿南右煞?、使用的惡意軟件以及恢復過程的可能長度在公布時都還不清楚。

Palfinger在保持IT支持其物流運作方面存在重大風險。該公司網站顯示，該公司在亞洲、歐洲、北美和南美擁有33個制造和組裝基地，2019年營收超過20億美元。

工業網絡安全公司Nozomi Networks的聯合創始人安德里亞·卡卡諾（Andrea Carcano）稱，“在制造業，時間就是金錢，因此Palfinger的IT服務中斷以及訂單處理和發貨延遲，都會導致收入損失?！?/span>

近年來，一系列勒索軟件攻擊了制造商，暴露了該行業在保護日益數字化的工廠方面的困難。作為回應，美國制造商正采取更多措施，通過美國國家技術與標準研究所實施的一項聯邦計劃，確保供應鏈的安全。

雖然沒有證據表明支持Palfinger制造過程的工業計算機網絡遭到破壞，但這個問題是業界更廣泛的關注點。兩年前，安全供應商Trend Micro的研究人員展示了遙控器使用的射頻協議中的漏洞如何讓黑客移動建筑工地和工廠的起重機和其他大型機械。
 

參考來源：CyberScoop http://dwz.date/ecC4

 

（五）美國包裝企業WestRock遭受勒索軟件攻擊影響了IT和OT系統

美國包裝業巨頭WestRock 25日披露，該公司最近遭受了勒索軟件攻擊，影響了IT和OT系統。

該公司幾乎沒有透露關于這起事件的細節，該事件是在1月23日發現的，當時該公司迅速啟動了響應和遏制協議。WestRock在一份新聞稿中說，已經通知了執法部門，客戶正在了解這一事件的最新情況。

WestRock表示：“系統恢復工作正在進行中，并正在盡快實施，團隊正在努力維護公司的業務運營，并盡量減少對客戶和隊友的影響。盡管WestRock一直在積極處理該事件，并將繼續這樣做，但它已經造成并可能持續造成公司部分業務的延誤，并可能導致收入和增量成本的推遲或損失，從而可能對WestRock的財務業績產生不利影響?！?/span>

在勒索事件被披露后，WestRock（NYSE：WRK）的股價25日上午下跌了4%以上。

盡管對OT系統的影響程度尚不清楚，但工業網絡安全公司和專家早就對勒索軟件造成的威脅發出警告。IBM和工業網絡安全公司Dragos去年發布的一份報告警告稱，至少有七個勒索軟件以工業軟件為目標。并且警告說，為制造廠和公用事業提供動力的工業控制系統（ICS）是專門從事勒索軟件攻擊的威脅組的主要目標。美國網絡安全與基礎設施安全局（CISA）去年報告說，美國一處天然氣壓縮設施遭受了勒索軟件攻擊，導致整個管道資產的運營關閉了兩天。
 

參考來源：SecurityWeek http://dwz.date/ecAD

 

（六）又有四家網絡安全公司成為SolarWinds供應鏈攻擊目標

正如大多數專家上個月預測的那樣，隨著時間的推移，企業有時間審核內部網絡和DNS日志，SolarWinds供應鏈攻擊的影響越來越大。

本周，Mimecast、Palo Alto Networks、Qualys和Fidelis四家網絡安全供應商證實，其公司安裝了SolarWinds應用程序Orion木馬版本。

本周最重要的公告來自電子郵件安全產品供應商Mimecast。兩周前，該公司披露了一個重大安全漏洞，黑客入侵了其網絡，并使用其安全產品之一使用的數字證書來訪問其某些客戶的Microsoft 365帳戶。在1月26日的博客更新中，Mimecast表示此事件與網絡上安裝的木馬版本的SolarWinds Orion應用程序有關。Mimecast現已證實，SolarWinds黑客濫用其證書來追隨Mimecast客戶。

另一個主動透露與SolarWinds相關事件的安全供應商是網絡安全軟件和網絡設備的供應商Palo Alto Networks。Palo Alto Networks在接受《福布斯》調查記者托馬斯·布魯斯特采訪時表示，他們在2020年9月和2020年10月發現了兩個與SolarWinds軟件有關的安全事件?！拔覀兊陌踩\營中心立即隔離了服務器，進行了調查，并驗證了我們的基礎架構是安全的?！?/span>

但是該公司表示，他們將這些違規行為作為單獨的事件進行了調查，并未發現更廣泛的供應鏈攻擊。在幾個月后黑客入侵了其他安全供應商FireEye時，才發現了這起攻擊。Palo Alto Networks表示，對與9月和10月與SolarWinds相關的入侵事件的調查沒有多大收獲，并得出結論，未成功進行攻擊，并且沒有破壞任何數據。

但是《福布斯》的報道還引用了網絡安全公司Netresec的創始人埃里克·赫耶姆維克的發現，他25日發表了一份報告，詳細介紹了SolarWinds黑客用來將第二階段有效負載部署到他們認為具有高價值的受感染網絡中的23個新域。這23個新域中有兩個是“corp.qualys.com”，這表明網絡安全審核巨頭Qualys可能已成為攻擊者的目標。

但是，Qualys在向《福布斯》發表的聲明中說，入侵規模沒有看上去的那么大，并聲稱其工程師在實驗室環境中為測試目的在其主要網絡之外安裝了特洛伊木馬版的SolarWinds Orion應用程序。

Qualys表示，隨后的調查沒有發現進一步惡意活動或數據泄露的任何證據。但是，一些安全研究人員并不相信該公司的聲明，認為“corp.qualys.com”域名表明黑客確實可以訪問其主要網絡而不是該公司聲稱的實驗室環境。

第四個也是最新的重大信息披露是26日由網絡安全公司Fidelis首席信息安全官克里斯?庫比克通過博客文章形式披露的。

這位Fidelis高管表示，作為“軟件評估”的一部分，他們也在2020年5月安裝了SolarWinds Orion應用程序的特洛伊木馬版本?！败浖惭b的源頭是一臺配置為測試系統的機器，該機器與我們的核心網絡隔離，而且很少通電?！?/span>

Fidelis表示，盡管攻擊者已努力提高他們在Fidelis內部網絡中的訪問權限，但該公司認為測試系統“已被充分隔離，并且啟動的頻率太低，攻擊者無法將其帶入攻擊的下一階段?！?/span>

本周的披露的信息致使SolarWinds黑客攻擊的網絡安全廠商總數達到了8個。此前披露的攻擊來自FireEye（最初發現整個SolarWinds供應鏈攻擊的首次入侵）、Microsoft（入侵者訪問了公司的某些源代碼）、CrowdStrike（入侵失?。┖?Malwarebytes（攻擊者訪問了公司的某些電子郵件賬戶）。
 

參考來源：ZDNet http://dwz.date/ecma

 

（七）俄羅斯警告美國可能因SolarWinds事件發起報復性攻擊

近日俄羅斯政府向俄羅斯境內組織發出安全警告，稱美國可能因SolarWinds供應鏈攻擊事件對俄羅斯網絡進行報復性攻擊。

2020年12月，SolarWinds網絡管理公司披露，他們遭受了一次復雜的網絡攻擊事件，影響其18,000個客戶遭受供應鏈攻擊。美國政府認為，此次攻擊是由一個俄羅斯政府資助的黑客組織發動的，該組織的目標是從知名的美國企業和政府機構竊取電子郵件和文件等云數據。

在回答有關網絡攻擊的問題時，白宮新聞秘書詹·普薩基表示，美國可能會對發起攻擊的人進行報復。NBC新聞報道稱，“對于任何網絡攻擊，我們保留在我們選擇的時間和方式作出回應的權利。但我們的團隊今天才剛剛起步，他們剛剛開始使用電腦?！?/span>

盡管俄羅斯繼續否認其參與了此次攻擊，但俄羅斯的NKTsKI向俄羅斯組織發出警告，要求其改善網絡安全。NKTsKI 2021年1月21日發布的安全警告稱，“面對不斷的指控，美國及其盟國的代表參與組織了對俄羅斯聯邦的計算機攻擊，并且面對他們對俄羅斯聯邦關鍵信息基礎設施的“報復”攻擊的威脅，我們建議采取以下措施來提高信息資源的安全性?！?/span>

俄羅斯國家計算機事件協調中心（NKTsKI）是聯邦安全局（FSB）的一部分，

旨在檢測、預防和應對針對俄羅斯基礎設施和企業的網絡攻擊。在一份名為“針對目標計算機攻擊的威脅”的警告中，NKTsKI警告俄羅斯組織和機構執行以下步驟以提高網絡安全性。

1、更新組織的現有計劃、說明和準則以應對計算機事件；

2、使用社會工程技術向員工通知可能的網絡釣魚攻擊；

3、對網絡信息安全和防病毒工具進行審核，確保它們在所有重要的網絡節點上均正確設置并正常運行；

4、避免使用第三方DNS服務器；

5、使用多因素身份驗證來遠程訪問組織的網絡；

6、確定用于訪問公司網絡的受信任軟件列表，并限制未包含在其中的資金的使用；

7、確保在重要元素信息基礎結構上正確記錄網絡和系統事件，組織其收集和集中存儲；

8、對于信息基礎架構的重要元素，請確保具有正確的備份數據頻率；

9、確保用于區分網絡上設備訪問權限的現有策略正確；

10、通過防火墻限制對內部網絡服務的訪問，如果您需要共享它們，請通過非軍事區進行組織；

11、要使用外部資源（包括互聯網），請通過組織的內部服務使用終端訪問；

12根據密碼策略更新所有用戶的密碼；

13、為傳入和傳出的電子郵件提供防病毒保護；

14、更加警惕地監視系統安全性；

15、確保您具有軟件必需的安全更新；

過去，美國避免對其他對美國進行網絡攻擊的國家進行公開報復。如果美國發動報復性攻擊，則可能不會公開披露。

至今，美國和受影響的組織仍在調查和應對SolarWinds供應鏈攻擊。就在本周，Malwarebytes透露，SolarWinds漏洞背后的同一組織也獲得了訪問其內部Office 365電子郵件帳戶的權限。
 

參考來源：BleepingComputer http://dwz.date/ecfK

 

（八）亞洲零售連鎖運營商Dairy Farm遭受REvil勒索軟件攻擊

大型亞洲零售連鎖運營商Dairy Farm Group本月遭受了REvil勒索軟件攻擊，攻擊者聲稱要求支付3000萬美元的贖金。

這家乳業集團在亞洲擁有1萬多家門店、23萬名員工。2019年，該乳業集團的年銷售額超過270億美元。該集團在亞洲市場經營眾多食品雜貨、便利店、健康美容、家居和餐廳品牌，包括Wellcome、Giant、Cold Storage、Hero、7-Eleven、Rose Pharmacy、GNC、Mannings、Ikea、Maxims等。

本周，一名威脅攻擊者聲稱，勒索軟件組織REvil在2021年1月14日左右破壞了Dairy Farm Group的網絡并加密了設備。贖金金額為3000萬美元，帶該數額尚未得到驗證。為了證明攻擊者有權訪問Dairy Farm網絡，威脅參與者分享了Active Directory用戶和計算機的屏幕截圖。

攻擊者聲稱，在攻擊發生7天后，他們仍然可以訪問該網絡，包括完全控制Dairy Farm的公司電子郵件。他們表示，這些電子郵件將被用于網絡釣魚攻擊。攻擊者表示，“Dairy Farm不能關閉他們的網絡，因為如果關閉網絡業務將停止。REvil的合作伙伴仍然在攻擊這家公司，超過3萬臺主機?！?/span>

Dairy Farm公司證實，他們本月遭受了一次網絡攻擊，但該公司只有不到2%的設備受到了影響。Dairy Farm通過電子郵件表示，“在Dairy Farm，保護我們的系統是當務之急。上周四，我們發現了影響不到2％的業務服務器事件。這些服務器已脫機并隔離。作為額外的預防措施，我們啟動了全面的保護措施。并在外部安全專家的支持下進行了徹底的調查，采取了更多的安全措施，并進一步加強了我們的監視系統。我們所有的商店都是開放的，在所有市場上交易和服務我們的客戶，只有在國家或地方政府出臺COVID-19限制措施時才會關閉?！?/span>

黑客聲稱仍能訪問該網站，并仍在從網絡上下載數據。Dairy Farm表示，他們沒有發現在攻擊過程中有任何數據被盜。屏幕截圖顯示，在攻擊發生后，威脅參與者仍然可以訪問電子郵件和計算機。例如，下圖是攻擊者泄露的Dairy Farm內部的一封電子郵件。

由于Revil以在攻擊期間竊取數據，然后威脅稱如果不支付贖金就釋放數據而聞名，因此發現被盜數據在晚些時候泄露也就不足為奇了。自圣誕節假期以來，大型企業的攻擊再次增加，正如Dairy Farm攻擊和正在進行的針對起重機制造商Palfinger的全球網絡攻擊一樣。
 

參考來源：BleepingComputer http://dwz.date/ebJN

 

（九）朝鮮黑客利用社交網絡攻擊網絡安全研究人員

谷歌26日表示，一個朝鮮政府黑客組織攻擊了從事漏洞研究的網絡安全社區成員。

谷歌威脅分析小組(TAG)發現了這些攻擊，TAG是一個專門追蹤高級持續性威脅(APT)組織的谷歌安全團隊。

谷歌在早些時候發布的一份報告中表示，朝鮮黑客利用Twitter、LinkedIn、Telegram、Discord和Keybase等各種社交網絡上的多個個人資料，使用虛假的人物角色聯系安全研究人員。谷歌表示，在某些情況下也使用了電子郵件。

Google Tag安全研究員Adam Weidemann表示，“在建立初步溝通后，參與者會詢問目標研究人員是否愿意一起合作進行漏洞研究，然后向研究人員提供一個Visual Studio項目?！?/span>

Visual Studio項目包含在目標研究人員的操作系統上安裝惡意軟件的惡意代碼。該惡意軟件充當后門，聯系遠程指揮和控制服務器并等待命令。這個惡意軟件與Lazarus Group相關聯，這是一個著名的朝鮮國家支持的行動。

但Wiedemann表示，攻擊者并不總是向他們的目標分發惡意文件。在其他一些情況下，他們要求安全研究人員訪問他們在blog上托管的博客。谷歌表示，該博客存在惡意代碼，在訪問該網站后感染了安全研究人員的電腦。研究人員的系統上被安裝了惡意服務，內存后門將開始向參與者擁有的命令和控制服務器發送信號。

但Google Tag也補充表示，許多訪問該網站的受害者也在運行“完全修補和最新的Windows10和Chrome瀏覽器版本”，但仍然受到感染。

有關這些基于瀏覽器的攻擊的細節仍不清楚，但一些安全研究人員認為，這個朝鮮組織很可能利用Chrome和Windows 10零日漏洞的組合來部署惡意代碼。

Google Tag的報告中列出了這名朝鮮演員用來引誘和欺騙信息安全社區成員的虛假社交媒體資料的鏈接列表。谷歌建議安全研究人員查看他們的瀏覽歷史，看看他們是否與這些配置文件中的任何一個進行了交互，或者是否訪問了惡意用戶博客.br0vvnn.io域。

如果已被感染，則需要采取一些措施來調查自己的系統。以安全研究人員為攻擊目標的原因非常明顯，因為這可能會讓朝鮮組織竊取受感染研究人員發現的漏洞，這些漏洞可以被該威脅組織用于自己的攻擊，而開發成本幾乎為零。與此同時，一些安全研究人員已經在社交媒體上透露，他們收到了來自攻擊者賬戶的信息，盡管沒有人承認系統受到了攻擊。
 

參考來源：ZDNet http://dwz.date/ecEN
 

（十）英特爾披露因內部錯誤導致數據泄露

電腦芯片制造商英特爾披露，其遭受了數據泄露事件，原因是發生了內部錯誤，公司網絡并沒有受到影響，這也促使了英特爾提前發布了季度收益報告。

英特爾首席財務官George Davis對英國《金融時報》表示，英特爾認為有威脅分子從其網站竊取了財務敏感信息，因此，該公司預計將發布季度收益報告，以避免攻擊者利用這些數據進行股市操作。該公司證實，攻擊者沒有破壞公司網絡。

該報紙援引Davis的話說，“一張信息圖表從我們的公關編輯部網站上被黑掉了?！痹搱笤晃徊辉竿嘎缎彰墓景l言人的話稱，英特爾已被告知該圖像在公司外部傳播。

現在，該公司排除了黑客行為，并確認事件是由內部錯誤引起的，以下是該公司發表的聲明：“我們的盈利信息圖的URL在我們的盈利公布之前被無意中公開了，并被第三方訪問。一旦我們意識到這一情況，我們立即發布了我們的收益公告。英特爾的網絡

有受到損害，我們已經調整了我們的流程，以防止未來發生這種情況?！?/span>
 

參考來源：SecurityAffairs http://dwz.date/ea5A

 

（十一）勒索軟件Avaddon利用DDoS攻擊受害者

近日勒索軟件組織Avaddon正在使用DDoS攻擊來迫使受害者與他們聯系并支付勒索贖金。

2020年10月，勒索軟件組織SunCrypt和RagnarLocker開始使用這種新型策略，利用針對受害者網絡或網站的DDoS攻擊作為強迫他們支付勒索贖金的額外工具。分布式拒絕服務（DDoS）攻擊是指威脅參與者向網站或網絡連接發送超出其處理能力的請求，從而使服務無法訪問。

當公司遭受勒索軟件攻擊時，許多受害者會從備份中恢復，從而不與攻擊者聯系。勒索軟件組織Avaddon現在使用DDoS攻擊來摧毀受害者的站點或網絡，直到受害者與他們聯系并開始進行談判。

Avaddon在勒索軟件數據泄漏站點上稱，“此外，他們的站點目前正在遭受DDoS攻擊，我們將對其進行持續攻擊，直到他們與我們聯系為止?！?/span>

Avaddon當前正在進行DDoS攻擊的受害者的網站現在已無法訪問。

Emsisoft威脅分析師Brett Callow稱，“威脅攻擊者將勒索軟件和DDoS攻擊結合在一起并不奇怪，DDoS價格便宜且簡單，在某些情況下可能有助于說服一些公司快速支付贖金且是最不痛苦的選擇。犯罪分子對公司施加的壓力越大，就有更好的機會獲得付款?！?/span>

當Maze引入雙重勒索策略時，其他勒索軟件團伙迅速采用了該方法?，F在判斷威脅者是否會同樣采用DDoS攻擊還為時過早。
 

參考來源：BleepingComputer http://dwz.date/ea5z

 

（十二）澳大利亞證券監管機構服務器存在安全漏洞

澳大利亞證券和投資委員會透露，該組織服務器存在安全漏洞，其中一臺服務器被一個未知的威脅參與者訪問。

澳大利亞證券投資委員會（ASIC）是澳大利亞政府的一個獨立委員會，負責保險、證券和金融服務的監管，同時也是澳大利亞國家企業監管機構，負責消費者保護。該委員會還為若干類型的組織維持一個可搜索的商業信息數據庫。存儲的數據包括當前和歷史信息，包括但不限于地址和辦公地點。

據ASIC透露，2021年1月15日發生的這起事件與委員會用來傳輸信息的Accellion軟件有關。ASIC表示，“事件涉及未經授權訪問一臺服務器，該服務器包含與最近的澳大利亞信貸牌照申請相關的文件。雖然調查仍在進行中，但似乎存在一些風險，即一些有限的信息可能已經被威脅行為者查看。目前ASIC還沒有任何證據表明澳大利亞信貸許可證申請表或任何附件被打開或下載?！?/span>

為了應對該安全漏洞，ASIC已禁止訪問受影響的服務器，并正在努力提供另一種信用申請提交渠道。澳大利亞證券監管機構正在努力讓受影響的系統重新上線，并在外部網絡安全專家的幫助下對此次攻擊進行調查。該委員會表示，除受影響的服務器外，沒有其他系統受到影響。

新西蘭儲備銀行也在本月早些時候披露，他們遭受了一次數據泄露，攻擊者破壞了包含敏感數據的文件共享服務，該服務由Accellion的FTA(文件傳輸應用程序)驅動。這是一個部署在本地的遺留服務，允許用戶與外部收件人安全地共享大型和敏感文件。Accellion在圣誕節前夕修補了用于破解新西蘭儲備銀行文件共享服務的漏洞。

據稱，Accellion于12月24日發布了補丁，新西蘭儲備銀行于12月25日遭受了攻擊。盡管Accellion仍然支持傳統的FTA服務，但至少從2019年12月開始，Accellion也一直在敦促客戶遷移到新的Kiteworks平臺。
 

參考來源：BleepingComputer http://dwz.date/ecDk

 

（十三）執法部門查封Netwalker勒索軟件暗網

美國和保加利亞執法部門已查獲與Netwalker勒索軟件行動有關的暗網網站。

Netwalker是一項勒索軟件即服務(RaaS)業務，于2019年底開始運營，其附屬機構被招募來分發勒索軟件并感染受害者，以換取60%至75%的贖金。

事實證明，這種勒索軟件操作對威脅參與者來說非常有利可圖，8月份的一份報告估計，他們在短短5個月內就賺了2500萬美元。

1月27日，Netwalker勒索軟件、支付和數據泄露網站被執法部門查獲，在此顯示了一份來自聯邦調查局和保加利亞執法部門的查獲通知。

扣押通知上稱，這次行動是由美國司法部、聯邦調查局、保加利亞國家調查局和保加利亞打擊有組織犯罪總局共同執行的。作為針對NetWalker勒索軟件的協調執法行動的一部分，這個隱藏的網站已被聯邦調查局(FBI)查封。

目前，美國聯邦調查局還沒有公布任何有關這次行動的信息，因此不清楚執法部門是否能夠在這次行動中找回解密密鑰，也不清楚是否有人被捕。

由于Netwalker是目前最活躍的勒索軟件家族之一，訪問解密密鑰可以讓許多受害者免費恢復他們的文件?；謴徒饷苊荑€對執法部門來說也將是一個巨大的勝利，因為勒索軟件的操作對破壞具有顯著的抵抗力。

Netwalker針對的知名受害者包括Equinix、Enel集團、阿根廷移民機構、加州大學舊金山分校(UCSF)和K-Electric。
 

參考來源：BleepingComputer http://dwz.date/ecJ4

 

（十四）全球執法部門聯合破獲Emotet僵尸網絡的基礎設施

歐洲和北美執法機構開展國際合作，成功地破壞了Emotet僵尸網絡的基礎設施。

Emotet是過去十年最流行的僵尸網絡之一，最早出現于2014年，是一種銀行特洛伊木馬，但后來演變成了一種惡意軟件下載程序，許多網絡犯罪分子利用它來傳播惡意有效負載。

正如歐洲刑警組織所描述的，Emotet已經成為“全球范圍內計算機系統的主要門戶”，因為它的運營商向從事數據盜竊或勒索等活動的網絡犯罪集團出售受感染計算機的訪問權。Emotet的運營商使用自動化技術，通過惡意電子郵件附件傳播木馬，利用各種誘餌誘騙受害者打開木馬。其中一些郵件偽裝成發票和發貨通知，而另一些郵件則以COVID-19為主題。

郵件中附加或鏈接到的惡意文檔會要求用戶啟用宏，從而允許惡意代碼在后臺運行并安裝Emotet。Emotet隨后充當了一個加載器，因為它的運營商允許其他網絡犯罪分子租用僵尸網絡來部署自己的惡意軟件，包括銀行木馬、勒索軟件和其他惡意應用程序。據悉，TrickBot特洛伊木馬和Ryuk勒索軟件是通過Emotet分發的。

Emotet的基礎設施包括全球數百臺服務器，允許運營商管理受感染的計算機，傳播到新的機器，為其他犯罪集團提供服務，并提高網絡的彈性。

為了摧毀僵尸網絡，執法和司法當局“從內部”控制了基礎設施，受感染的機器現在被重新定向到這個由執法部門控制的基礎設施。

荷蘭、法國、德國、美國、加拿大、英國、立陶宛和烏克蘭當局在歐洲刑警組織和歐洲司法組織的協調下，在這次行動中進行了合作。
 

參考來源：SecurityWeek http://dwz.date/ecJg

 

（十五）巴西燃料分銷商Ultrapar遭受網絡攻擊

巴西燃料分銷商Ultrapar 1月25日通過證券文件披露，該公司此前遭受了網絡攻擊，并采取了安全和控制措施，其公司及子公司的操作系統已逐步恢復，可完全正常運營。

巴西燃料分銷商Ultrapar Participa??es S.A. 1月25日通過證券文件披露，該公司此前遭受了網絡攻擊，并于1月12日發布了攻擊警告通知，但沒有透露細節。該公司采取了所有安全和控制措施，并于1月14日逐步恢復了公司及其子公司的操作系統。

該披露文件稱，目前該公司及其子公司的關鍵信息系統100%已全面運行，業務再次全面展開。該公司遭受的是勒索軟件攻擊。
 

（如未標注，均為天地和興工業網絡安全研究院編譯）