目   錄

第一章 國外關鍵信息基礎設施安全動態

（一）西門子修復了PLM產品中21個文件解析漏洞

（二）起亞汽車美國公司遭受勒索軟件DoppelPaymer攻擊

（三）美國安全認證公司UL遭受勒索軟件攻擊

（四）殺毒軟件公司Emsisoft披露數據泄露事件

（五）支付處理服務ATFS遭受Cuba勒索軟件攻擊，美國多機構發布數據泄露通告

（六）拜登政府準備采取行動應對SolarWinds供應鏈攻擊

（七）俄羅斯黑客組織Sandworm針對IT監控軟件Centreon發起攻擊

（八）勒索軟件Egregor相關成員在烏克蘭被捕

（九）印度APT組織Confucius使用新型安卓監控軟件監視巴基斯坦軍事人員

（十）朝鮮黑客企圖竊取輝瑞疫苗數據

（十一）美國司法部指控三名朝鮮APT組織Lazarus成員竊取超13億美元

（十二）朝鮮通過網絡攻擊提升核武器研發能力
 

第一章 國外關鍵信息基礎設施安全動態

（一）西門子修復了PLM產品中21個文件解析漏洞

西門子近日發布了九條新安全公告，涉及影響西門子多款產品中的多個漏洞。

最大的公告涉及21個影響JT2Go的安全漏洞，JT2Go是一種用于JT數據（ISO標準化的3D數據格式）的3D查看工具，Teamcenter Visualization為組織提供文檔、2D工程圖和3D模型提供可視化解決方案。這些產品由專門從事產品生命周期管理（PLM）解決方案的西門子數字工業軟件公司生產。

所有這些漏洞都與這些產品如何解析某些類型的文件有關。攻擊者可以誘使目標用戶打開惡意文件，從而可以利用它們進行任意代碼執行、數據提取和DoS攻擊。由于使用開放設計聯盟（ODA）工程圖SDK，許多問題都會影響西門子產品。官方發展援助針對這些漏洞發表了自己的建議。

上個月，西門子向客戶通報了JT2Go和Teamcenter Visualization中的18個類似的文件解析漏洞。

卡內基梅隆大學CERT協調中心（CERT/CC）的Will Dormann向西門子通報了嚴重的特權升級問題，該問題影響了完全集成管理員（TIA）門戶。CERT/CC網站上也發布了有關此漏洞的建議。

在DIGSI 4（SIPROTEC 4和SIPROTEC Compact保護設備的操作和配置軟件）中還發現了一個高嚴重性的特權升級漏洞。

西門子還向客戶通報了嚴重的“Zip-Slip”漏洞，會影響SINEC和SINEMA網絡管理產品。該漏洞使經過身份驗證的攻擊者可以上傳文件或修改現有文件，并可能實現任意代碼執行。

西門子還向客戶通報了影響RUGGEDCOM產品的六個中度和高度嚴重的DoS問題。這些缺陷與IPsec有關，并且會影響網絡安全服務（NSS）和Libreswan組件。

西門子還發布了CVE-2020-28388的咨詢報告，CVE-2020-28388是網絡安全公司Forescout本周披露的九個TCP/IP堆棧漏洞之一。這些漏洞被統一跟蹤為NUMBER：JACK，使攻擊者能夠劫持或欺騙TCP連接。

同時施耐德電氣2月9日發布了一個新的公告，告知客戶存在三個影響部分PowerLogic功率計量產品的漏洞。其中兩個漏洞的嚴重性很高，可讓中間人攻擊者在攔截用戶和設備之間的Telnet和HTTP通信時獲取憑據。第三個漏洞是一個中等嚴重程度的CSRF錯誤，可以利用它代表合法用戶執行操作。施耐德已開始發布受影響產品的固件更新。
 

參考來源：SecurityWeek http://dwz.date/ekhf
 

（二）起亞汽車美國公司遭受勒索軟件DoppelPaymer攻擊

起亞汽車美國公司（KMA）2月13日經歷了一次全國性大規模IT網絡中斷事件，影響了IT服務器、自助電話服務、經銷商平臺和電話支持。KMA遭受的是勒索軟件DoppelPaymer攻擊，勒索贖金為2000萬美元，以換取解密程序及不泄露被盜數據。

起亞汽車美國公司（KMA）總部位于加利福尼亞州爾灣，是起亞汽車公司的子公司。KMA在美國擁有近800家經銷商，其汽車和SUV在佐治亞州西點市制造。

起亞汽車美國公司正在遭受一場全國性IT中斷故障，這已經影響了他們的移動UVO Link應用程序、電話服務、支付系統，車主門戶以及經銷商使用的內部站點。在訪問其網站時，用戶會收到一條消息，表明起亞“正在經歷IT服務中斷，影響了一些內部網絡”。

起亞的一位車主在推特上稱，當他們試圖提取新車時，一家經銷店告訴他們，由于勒索軟件攻擊服務器已關閉。當就此事聯系起亞是，KMA稱他們正在努力解決此故障問題。

相關研究人員獲得了勒索軟件組織DoppelPaymer涉嫌對KMA發起網絡攻擊時留下的勒索信件。該勒索信件顯示，攻擊者攻擊了起亞的母公司現代汽車美國公司，現代汽車似乎不受此攻擊事件影響。

該勒索信件中有一個鏈接指向DoppelPaymer Tor支付網站上的一個私人受害者頁面，該頁面再次聲明攻擊目標是“現代汽車美國公司”。Tor受害著頁面稱，他們從起亞汽車美國公司竊取了“大量”數據，如果該公司未與威脅行為者進行談判，它將在2-3周內發布數據。

DoppelPaymer以在對設備進行加密之前先竊取未加密的文件，然后在其數據泄漏站點上發布部分內容以進一步迫使受害者付款而聞名。

為了防止數據泄漏并獲得解密程序，DoppelPaymer要求支付404個比特幣，價值約2000萬美元。如果沒有在特定時間范圍內支付贖金，金額將增加到600比特幣，即3000萬美元。DoppelPaymer操作尚未表明已竊取了哪種類型的數據。根據起亞服務中斷的數量，預計會有大量受影響的服務器。

Emsisoft稱，竊取未加密文件已成為勒索軟件操作中用來強迫受害者付款的一種廣泛使用的策略，這種行為已經影響了全球1,300多家公司。根據Emsisoft的2020年勒索軟件狀態報告，“在全球范圍內，1300多家公司丟失了包括知識產權和其他敏感信息在內的數據，其中許多位于美國。請注意，這僅僅是在泄漏站點上發布數據的公司的數量，沒有考慮為防止這種情況而付費的公司?！?/span>

過去遭受DoppelPaymer攻擊的其他知名受害者包括富士康、仁寶、PEMEX（墨西哥石油公司）、加利福尼亞的托倫斯市、紐卡斯爾大學、喬治亞州霍爾縣、Banijay Group SAS和Bretagne Télécom。

在起亞汽車美國公司的聲明中表示，他們沒有任何證據表明他們遭受了“勒索軟件”攻擊。該聲明稱，“起亞汽車美國有限公司目前正在經歷一次長時間的系統中斷。受影響的系統包括起亞車主門戶網站、UVO移動應用程序和消費者事務網站門戶。對于給受影響的客戶帶來的任何不便，我們深表歉意，并正在努力在不影響我們業務的情況下盡快解決此問題。我們也知道在線上有人猜測起亞受到“勒索軟件”攻擊。目前，我們可以確認沒有證據表明起亞或任何起亞數據都受到“勒索軟件”攻擊?！?/span>

在此事件報道后，許多現代和經銷商員工稱現代也受到了無法解釋的中斷影響。在2月13日現代汽車美國公司發給起亞經銷商并的電子郵件中，現代汽車表示包括其內部經銷商站點hyundaidealer.com在內的多個系統已關閉。經銷商技術人員使用的服務也受到了影響。此后，其中一些服務現已恢復。

在一份與起亞措辭類似的聲明中，現代汽車稱他們沒有證據表明存在“勒索軟件”攻擊。該聲明稱，“目前，我們可以確認我們沒有證據表明現代汽車美國公司卷入了“勒索軟件”攻擊?！?/span>
 

參考來源：BleepingComputer http://dwz.date/em7X

 

（三）美國安全認證公司UL遭受勒索軟件攻擊

美國最大的安全認證公司Underwriters Laboratories（UL）近日遭受了勒索軟件攻擊，該攻擊對其服務器進行了加密，并導致服務器在恢復時關閉了系統。

UL是美國最大、歷史最悠久的安全認證公司，在40多個國家/地區擁有14,000名員工和辦事處。如果你曾經看過電器、筆記本電腦、電視遙控器、燈泡甚至是Apple USB充電器的背面，則可以立即識別出設備上刻有的UL徽標。公司發布新產品時，通常會將其提交給UL，以根據國家認可的安全性和可持續性標準進行測試和認證。根據進行的測試及其結果，該產品將獲得各種UL認證。

UL在上周末遭受了勒索軟件攻擊，該攻擊者對其數據中心中的設備進行了加密。為了防止攻擊進一步蔓延，該公司關閉了系統，使某些員工無法執行其工作。UL告知員工請勿與威脅行為者聯系或訪問與勒索軟件操作有關的任何網站。據熟悉該攻擊事件的知情人士稱，UL決定不支付贖金，而是從備份中恢復。由于恢復設備需要花費時間，因此攻擊導致myUL客戶端門戶在恢復時保持脫機狀態。

在一份聲明中，UL證實攻擊發生在2月13日，并且正在調查該攻擊。該聲明稱，“UL在2021年2月13日檢測到其系統上存在異?；顒?，并立即采取預防措施來應對這種情況，包括關閉系統，與一家領先的網絡安全公司合作，以幫助我們調查并提醒有關當局。我們的當務之急是恢復我們的系統，以最大程度地減少對客戶的干擾。在我們從調查中了解到更多信息之前，我們無法推測可能受到影響的信息類型。如果我們確定數據受到影響，我們將采取適當的措施?！?/span>

目前尚不清楚勒索軟件是由什么惡意軟件進行的攻擊，以及它們是否竊取了未加密的文件。由于大多數針對企業的勒索軟件操作會竊取未經加密的文件，以用于雙重勒索策略，因此勒索軟件團伙很可能在攻擊過程中竊取了數據。
 

參考來源：BleepingComputer http://dwz.date/emWb

 

（四）殺毒軟件公司Emsisoft披露數據泄露事件

防病毒解決方案提供商Emsisoft 2月4日披露，有一個測試系統發生了數據泄露，第三方訪問了包含技術日志的公開數據庫。

Emsisoft稱，由于配置不當，導致測試系統的數據庫暴露在互聯網上。該數據庫最初于2021年1月18日公開，直到2月3日發現數據泄露為止。受影響的系統用于評估和基準化從Emsisoft產品和服務生成的日志數據的存儲和管理。

Emsisoft表示，該公司立即使系統下線，并對此事進行了調查。結果發現，數據庫中唯一的個人信息涉及來自7個不同組織的14個電子郵件地址。

受影響的系統以及其他幾個系統是為評估日志和事件數據的存儲選項而設置的，并以生產中的日志記錄作為種子。未經授權的第三方可以訪問其中一個數據庫，并且至少有一個“個人可以訪問該數據庫中包含的部分或全部數據”。

Emsisoft稱，“相關的被盜數據包括我們的端點保護軟件在正常使用期間生成的技術日志，例如更新協議，并且通常不包含任何個人信息，例如口令、口令哈希、用戶帳戶名、賬單信息、地址或任何其他類似信息?！?/span>

據Emsisoft稱，存儲在數據庫中的14個客戶電子郵件地址已包含在掃描日志中，因為在用戶的電子郵件客戶端中檢測到了惡意電子郵件。攻擊是自動進行的，并非專門針對公司。

Emsisoft稱，“此外，我們的流量日志表明，僅訪問了部分受影響的數據庫，而不是整個數據庫。但是，由于技術限制，無法準確確定訪問了哪些數據行?！?/span>

Emsisoft表示，暴露的系統無法提供對生產系統或數據庫的訪問，并且已通知事件受影響的用戶。該公司還指出，它采取了額外的安全措施以確保不會發生類似事件。
 

參考來源：SecurityWeek http://dwz.date/ejST

 

（五）支付處理服務ATFS遭受Cuba勒索軟件攻擊，美國多機構發布數據泄露通告

廣泛使用的支付處理自動資金轉帳服務（ATFS）近日遭受了勒索軟件攻擊，引發了美國加州和華盛頓眾多城市和機構發布數據泄露通告。

自動資金轉賬服務（AFTS）被華盛頓和美國其他州的許多城市和機構用作支付處理器和地址驗證服務。由于用于計費和驗證客戶和居民的數據種類繁多，此攻擊可能會產生巨大而廣泛的影響。

該攻擊發生在2月3日左右，當時一個名為Cuba勒索軟件的網絡犯罪團伙竊取了未加密的文件并部署了勒索軟件。此后，網絡攻擊對AFT的業務運營造了成重大影響，使其網站不可使用，并影響了付款處理。當人們訪問其網站時，會收到一條消息，顯示“由于技術問題，AFTS網站和所有相關的付款處理網站不可用”。

黑客開始在其數據泄露網站出售AFTS被盜的數據，攻擊是由一個名為“Cuba勒索軟件”的網絡犯罪行動實施的。像其他人工操縱的勒索軟件一樣，Cuba會破壞網絡，在服務器中緩慢傳播，同時竊取網絡憑據和未加密的文件，最后通過部署勒索軟件來加密設備來結束攻擊。根據數據泄露頁面顯示，Cuba勒索軟件組織聲稱竊取了“財務文件、與銀行雇員的往來信件、帳戶變動、資產負債表和稅務文件”。

如果勒索軟件組織找不到數據的購買者，他們可能會免費發布數據，從而使其他威脅行為者可以使用該數據。

由于據稱Cuba勒索軟件竊取了大量潛在數據，使用AFTS作為支付處理器或地址驗證服務的城市已經開始披露潛在的數據泄露事件。泄露的潛在數據因城市或機構而異，但可能包括名稱、地址、電話號碼、車牌號、VIN編號、信用卡信息、掃描的紙質支票和帳單明細。

一些發布數據泄露通告的城市和機構包括：加州車輛管理局、華盛頓州柯克蘭市、華盛頓州林伍德市、華盛頓州門羅市、華盛頓州雷蒙德市、華盛頓州西雅圖市、萊克伍德水區、埃弗里特港。
 

參考來源：BleepingComputer http://dwz.date/enb6

 

（六）拜登政府準備采取行動應對SolarWinds供應鏈攻擊

美國國家安全副顧問安妮·紐伯格（Anne Neuberger）在對SolarWinds供應鏈攻擊事件的最新調查消息中稱，拜登政府正在準備“采取行動”，以解決已暴露的安全缺陷。

最近被任命為這次攻擊事件調查協調員的紐伯格2月17日在白宮新聞發布會上發表了評論，她稱，“我們正在進行近12項工作，可能會有8項通過，這將是即將采取的行政行動的一部分，以解決我們在審查這起事件時發現的差距?！奔~伯格稱，調查人員認為，有9個聯邦機構以及100個私營部門組織受到了攻擊。

這起供應鏈攻擊是黑客在SolarWinds的Orion網絡監控平臺的更新中植入了一個名為“Sunburst”的后門后發起的。然后，該公司的18,000位客戶下載了此更新，其中一些進一步受到了后續攻擊的攻擊。

紐伯格還指出，要從黑客攻擊的網絡中完全清除惡意代碼將需要幾個月的時間。紐伯格承認，很難評估SolarWinds攻擊的整個范圍。紐伯格稱，“由于缺乏本地可見性，因此作為一個國家，我們選擇兼顧隱私和安全。因此，情報界在很大程度上沒有對私有部門網絡的可見性。黑客從美國內部發起了黑客攻擊，這進一步使美國政府難以觀察其活動。即使在聯邦網絡內部，文化和權威也抑制了可見性，這是我們需要解決的問題?！?/span>

調查SolarWinds供應鏈攻擊的機構表示，這很可能是與俄羅斯有聯系的黑客組織開展的網絡間諜活動的一部分。

紐伯格沒有提供任何關于白宮行政行動可能包含的細節。但是安全專家指出，拜登白宮可以制定一些措施來解決由這次黑客事件引起的網絡安全問題。

湯姆·凱勒曼（Tom Kellermann）是VMware網絡安全戰略負責人，也是美國特勤局網絡調查咨詢委員會成員。他建議拜登政府應更改聯邦機構的結構，并讓部門CISO直接向秘書報告，使領導者可以更好地訪問有關網絡威脅的信息。凱勒曼稱，“自從建立了CISO的職位以來，大多數報告都會向組織內的首席信息官報告。但是，CISO到CIO的報告結構代表著潛在的治理危機。CISO的防御態度經常與CIO的正常運行時間、可用性和內容驅動的目標沖突。與此結構有關的另一個擔憂是，網絡安全措施可能排在第二位?！?/span>

凱勒曼稱，拜登政府還應該呼吁跨聯邦網絡以及為代理機構提供IT和網絡服務的托管服務提供商實施威脅搜尋，以更好地檢測安全漏洞并確定黑客入侵的企圖。白宮可以要求網絡檢測和響應平臺必須與端點保護平臺集成在一起，以增加另一層保護。

凱勒曼還呼吁拜登對應對此次入侵和其他黑客攻擊的威脅組織做出回應?！拔医ㄗh立即對Turla、Sandworm和APT28和APT29進行適當的網絡響應?！边@幾個都是與俄羅斯有明顯聯系的黑客組織。

拜登總統為COVID-19經濟紓困提出的1.9萬億美元提案中，有90億美元用于改善聯邦一級的網絡安全。其中，6.9億美元將用于網絡安全和基礎設施安全局的一個項目，該項目旨在改善政府機構之間的監視和事件響應。

紐約佩斯大學賽登伯格計算機科學與信息系統學院副教授達倫·海斯（Darren Hayes）也指出，美國政府可能對其認為對SolarWinds襲擊負責的人施加經濟或其他制裁。海斯稱，“拜登政府應該強烈考慮加大制裁力度。對網絡攻擊的歸屬在歷史上是有問題的，特別是因為像中國和俄羅斯這樣的國家將利用其國家中的非官方組織發動這些攻擊。最終，我們知道這些政府已經批準了與其政策相符的網絡攻擊?！?/span>

2月18日，微軟公布了針對SolarWinds事件對自己調查的最終評估報告。微軟是受SolarWinds供應鏈后續攻擊影響的幾家科技公司之一。微軟表示，沒有將其內部系統用作攻擊其他目標的啟動點，并且黑客從未訪問過Microsoft的絕大多數源代碼。該公司表示，當訪問某些代碼存儲庫時，攻擊者僅訪問了有限數量的文件。根據該更新，黑客獲得了訪問用于Microsoft Azure、Intune和Exchange產品某些組件的某些代碼的權限。

微軟在更新中稱，“攻擊者使用的搜索詞表明預期會集中于試圖尋找秘密。我們的開發策略禁止代碼中的秘密，我們運行自動化工具來驗證遵從性。由于檢測到活動，我們立即啟動了存儲庫當前和歷史分支的驗證過程?！?/span>

2月9日，參議員馬克·沃納和馬克·魯比奧致信聯邦調查局、國家情報局局長辦公室、美國國家安全局和CISA，批評該機構對SolarWinds聯合調查缺乏協調。然后，白宮正式宣布紐伯格將擔任此次調查的負責人。

在2月17日的簡報中，紐伯格指出，聯邦政府正在制定方法，以減輕黑客攻擊的風險，并解決兩位參議員提到的政府安全缺陷。紐伯格稱，“我們在白宮所做的一件事情是協調一系列問題，以評估這一點并將其整合在一起。每個機構的情況各不相同。當然，這會對國家安全產生影響，這就是我們正在考慮的因素，我們如何管理這種風險以及如何應對未來?！?/span>

盧比奧和華納2月18日宣布，參議院情報委員會將在周二舉行關于SolarWinds供應鏈攻擊的公開聽證會，證人將包括SolarWinds、Microsoft、CrowdStrike和FireEye的高管。
 

參考來源：infoRiskToday http://dwz.date/emXb

 

（七）俄羅斯黑客組織Sandworm針對IT監控軟件Centreon發起攻擊

法國國家網絡安全機構ANSSI 2月15日發布報告稱，俄羅斯黑客組織Sandworm利用IT監控軟件Centreon進行了長達四年的入侵活動，導致多家法國實體遭到入侵。該事件可追溯到2017年，一直持續到2020年。該事件主要影響到信息技術提供商，特別是網絡主機提供商。

在受到攻擊的系統上，ANSSI發現了一個以webshell的形式存在的后門，這個后門掉在幾個暴露在互聯網上的Centreon服務器上。這個后門被確認為P.A.S.webshell，版本號3.1.4。在相同的服務器上，ANSSI發現了另一個與ESET描述的相同的后門，名為Exaramel。

此后Centreon 2月16日澄清表示，所謂的黑客滲透了開放源代碼開發人員使用的其2015年之前的舊版本免費軟件，商業用戶不受此影響。自過時的版本發布以來，Centreon又發布了八個主要版本。

Centreon確認沒有客戶受到影響。根據Centreon與ANSSI的討論，該活動僅針對約15個實體，它們都是過時的開放源代碼版本（v2.5.2）的用戶，該版本已有5年不受支??持了。Centreon當前正在與所有客戶和合作伙伴聯系，以幫助他們驗證其安裝是否最新并符合ANSSI的健康信息系統指南。

Centreon建議所有仍在生產中使用其開源軟件過時版本的用戶將其更新為最新版本，或與Centreon及其認證合作伙伴網絡聯系。
 

參考來源：Centreon http://dwz.date/emBJ

 

（八）勒索軟件Egregor相關成員在烏克蘭被捕

據報道，法國和烏克蘭執法部門的一次聯合行動致使勒索軟件Egregor的幾名相關成員在烏克蘭被捕。

據《France Inter》2月12日首次報道，在法國當局可以追查烏克蘭境內個人的贖金支付情況后，執法部門實施了逮捕。被捕的人認為是Egregor的分支機構，其工作是入侵公司網絡并部署勒索軟件。France Inter還報告稱，一些個人提供了后勤和財政支持。

在過去的一年中，Egregor攻擊了許多法國組織，包括Ubisoft、Ouest France、以及最近的Gefko。據報道，該行動是在去年秋天巴黎大審判庭在接到有關勒索組織的投訴后展開的調查活動。

目前，Egregor的Tor網站處于離線狀態，包括付款站點和操作的數據泄漏站點。由于無法訪問Tor付款站點，受害者無法聯系勒索軟件組織、支付贖金或下載以前支付贖金的解密程序。目前還不清楚勒索軟件組織的基礎設施問題是否與執法行動有關。

Egregor作為勒索軟件即服務（RaaS）運作，在此聯盟會員與勒索軟件開發人員合作進行攻擊并分攤勒索付款。在這樣的伙伴關系中，勒索軟件開發人員負責開發惡意軟件并運行支付站點。同時，分支機構負責入侵受害者的網絡并部署勒索軟件。作為此安排的一部分，開發人員賺取贖金的20％至30％，而聯盟會員賺取贖金的70％至80％。

Egregor于2020年9月中旬啟動，就在最大的勒索軟件組織之一Maze關閉其業務時，Egregor成立了。當時，威脅行動者表示，Maze的分支機構轉移到了Egregor RaaS，從而使新的勒索軟件操作可以與經驗豐富且技術熟練的黑客一起啟動。

去年十一月，勒索軟件組織與Qbot惡意軟件合作獲得對受害者網絡的訪問權限，進一步增加了攻擊量。由于Egregor在相對較短的時間內增長如此之快，受害者不得不排隊等候商討勒索軟件付款。

在12月初，Egregor突然開始放慢速度，發動的攻擊量少得多。在Egregor向ID Ransomware提交的統計數據顯示，自2020年12月9日開始攻擊量急劇下降。

上個月，贖金談判公司Coveware的首席執行官比爾·西格爾（Bill Siegel）表示，他們也看到了Egregor攻擊的下降，并告訴我們分支機構可能已經轉移到另一個RaaS。

一月份，Egregor的數據泄漏站點離線了大約兩個星期，當它再次聯機時，該站點出現了問題。這種不尋常的活動導致其他威脅行為者懷疑Egregor是否受到執法部門的入侵或破壞。Egregor活動的減少是否與執法有關，還是勒索軟件操作的起伏不定目前尚不清楚。

在網絡安全公司Kivu最近發布的一份新報告中，研究人員指出，Egregor自成立以來已經聚集了200多名受害者，并且由10-12名核心成員和20-25名半獨家審查成員成員組成。

遭受Egregor攻擊的一些知名公司包括Barnes and Noble、Kmart、Cencosud、Randstad、溫哥華TransLink Metro System、和Crytek。
 

參考來源：BleepingComputer http://dwz.date/emC3

 

（九）印度APT組織Confucius使用新型安卓監控軟件監視巴基斯坦軍事人員

移動安全公司Lookout威脅情報團隊2月11日發布博客文章稱，其發現了兩種新型Android監視軟件，Hornbill和SunBird。研究人員認為該活動與APT組織Confucius有關，該組織是一個著名的印度國家贊助的APT組織。Hornbill和SunBird具有完善的功能，可以過濾短信消息內容、加密的消息收發應用程序內容、地理位置、聯系信息、呼叫日志以及文件和目錄列表。監視軟件的目標人員是與巴基斯坦軍事和核當局和克什米爾的印度選舉官員。

據先前報道，Confucius組織于2017年首次利用了手機惡意軟件ChatSpy1。根據這一新發現，Lookout研究人員發現，在使用SunBird進行ChatSpy之前，Confucius可能一直在監視移動用戶長達一年之久。SunBird活動于2017年首次由Lookout研究人員發現，但似乎不再活躍。該APT組織的最新惡意軟件Hornbill仍在積極使用，并且Lookout研究人員最近在2020年12月觀察到了新樣本。

Lookout安全情報工程師Apurva Kumar表示，“Hornbill和SunBird的一個突出特點是他們非常重視通過WhatsApp滲透目標的通信。在兩種情況下，監視軟件都以各種方式濫用Android可訪問性服務來泄露通信，而無需root訪問。SunBird還可以記錄通過WhatsApp的VoIP服務進行的呼叫，在BlackBerry Messenger和imo等應用程序中泄露數據，并在受感染的設備上執行攻擊者指定的命令?！?/span>

Hornbill和SunBird似乎都是商業Android監視工具的演進版本。Hornbill很可能源自與早期商業監視產品MobileSpy相同的代碼庫。同時，SunBird可以重新鏈接到負責舊版商業間諜軟件工具BuzzOut的印度開發人員。Lookout研究人員的理論認為，SunBird的root也存在于跟蹤軟件中，這一理論得到了他們在2018年發現的惡意軟件基礎設施過濾數據中發現的內容的支持。所發現的數據包括有關跟蹤者受害者的信息，以及針對在本國的巴基斯坦國民以及在阿拉伯聯合酋長國（阿聯酋）和印度出國旅行的人的活動。
 

參考來源：Lookout http://dwz.date/emEa

 

（十）朝鮮黑客企圖竊取輝瑞疫苗數據

據路透社報道，韓國情報官員聲稱，朝鮮黑客試圖通過入侵美國制藥公司輝瑞來竊取COVID-19疫苗和治療數據。

最近幾個月，全球執法機構以及微軟和卡巴斯基發出警告稱，有大量國家資助的黑客針對COVID-19制藥商和供應鏈企業發起攻擊。

據路透社報道，除了輝瑞成為攻擊目標外，韓國國家情報局還聲稱，其挫敗了朝鮮入侵韓國研發新冠疫苗公司的企圖。

路透社報道，由于國際制裁禁止朝鮮與之進行大部分國際貿易，朝鮮被指控求助于黑客大軍“填補資金短缺的金庫”。因此，一些健康專家推測，該國的黑客似乎更愿意出售被盜的數據，而不是使用它來開發自家生產的疫苗。

美國哥倫比亞廣播公司CBS新聞報道，朝鮮領導人金正恩一再堅持該國沒有冠狀病毒病例，不過外界專家對朝鮮的說法持懷疑態度。

盡管如此，據路透社報道，預計到今年上半年，朝鮮將通過COVAX疫苗共享計劃收到近200萬劑阿斯利康-牛津COVID-19疫苗。

數月來，執法官員和安全公司一直警告說，朝鮮和俄羅斯黑客的目標是參與COVID-19疫苗研發的研究機構。

安全公司卡巴斯基于12月警告稱，朝鮮APT組織Lazarus Group攻擊了了一個未透露姓名的國家衛生部和一家參與制造冠狀病毒疫苗以竊取信息的藥物制造商。同樣在12月，國際刑警組織警告稱，與COVID-19疫苗相關的有組織犯罪活動可能激增。

微軟在去年11月發布的一份報告警告稱，俄羅斯的Strontium、朝鮮的Zinc和Cerium三個國家支持的APT組織將全球參與COVID-19疫苗和治療開發的公司作為攻擊目標。安全研究人員也將Strontium稱為FancyBear或APT28，Zinc又名Lazarus Group，Cerium似乎是一個新的組織。

去年夏天，由美國國家安全局、網絡安全和基礎設施安全局、英國國家網絡安全中心和加拿大通信安全機構發布的聯合咨詢報告稱，俄羅斯網絡間諜組織APT29（又名Cozy Bear或Dukes）的攻擊目標是研究機構，極有可能竊取與COVID-19疫苗開發和測試有關的信息和知識產權。

一些專家警告說，醫療保健行業面臨的網絡威脅不太可能消退。私營/公共衛生部門協調委員會網絡安全執行主任格雷格·加西亞（Greg Garcia）表示，“國家贊助的工業間諜活動經過了時間的考驗，就像在科學考試中偷窺同學的肩膀作弊一樣常見。新冠疫情可能加劇了為炫耀權利、利潤和國家健康利益而進行的欺騙競爭。但是，間諜活動不會隨著疫情結束而終結?！?/span>

國家網絡安全聯盟執行總監Kelvin Coleman也提供了類似的評估，他表示：“只要疫苗數據持續變化和發展以應對疫情，就會繼續看到不良行為者試圖從多個漏洞中竊取疫苗。疫苗數據的攻擊面遠不止于研究機構、實驗室或公司環境中的數據。如今，整個疫苗供應鏈都處于危險之中。就連負責疫苗運輸和儲存的冷藏公司也受到惡意軟件的打擊，而存放疫苗的醫院也受到勒索軟件的攻擊。這與疫苗分發開始之前的環境完全不同。醫療保健部門實體需要保持警惕。繼續進行教育和宣傳工作，例如采取內部步驟以確保員工可以更輕松地發現網絡釣魚企圖。最后，醫療設備和連接到網絡的任何設備均已安裝了最新的安全更新和固件，是重要的步驟。實際上，網絡罪犯經常使用的攻擊類型不一定是新穎的、突破性的或高科技的。這些策略并沒有改變，因為它們仍然有效，并且所攻擊的環境是目標豐富的，卻缺乏基本防護經常被忽略。例如，強大的字母數字密碼、整個系統的多重身份驗證、防火墻和文件級加密措施?！?/span>
 

參考來源：GovInfoSecurity http://dwz.date/emFz

 

（十一）美國司法部指控三名朝鮮APT組織Lazarus成員竊取超13億美元

美國司法部2月17日指控與朝鮮APT組織Lazarus Group有關的三名成員，參與了網絡攻擊，從全球各組織盜取了超13億美元的金錢和加密貨幣。

此次指控包括針對兩名朝鮮官員Jon Chang Hyok(31歲)及Kim Il(27歲)，擴大了司法部2018年最初針對Park Jin-hyok的指控。2018年美國司法部指控Park Jin-hyok涉嫌參與WannaCry及2014年針對索尼影業娛樂的攻擊。

該司法部指控新聞稱，“今天啟動的一項聯邦起訴書指控三名朝鮮計算機程序員參與廣泛的犯罪陰謀，進行一系列破壞性的網絡攻擊，從金融機構和公司竊取和勒索超過13億美元的金錢和加密貨幣，以創造和部署多個惡意加密貨幣應用程序，并開發和欺詐性地銷售區塊鏈平臺?！?/span>

這些官員被指控對美國和國外的組織進行了多次黑客攻擊，其中包括：

1、對娛樂業的網絡攻擊：2014年11月對索尼影業娛樂公司進行的網絡攻擊是是為了報復有關朝鮮領導人遇刺的小說《采訪》電影。其他攻擊包括2014年12月對AMC電影院的黑客攻擊以及2015年對Mammoth Screen的入侵。

2、從銀行進行的網絡搶劫：從2015年到2019年，該APT組織試圖從越南、孟加拉國、臺灣、墨西哥、馬耳他和非洲的銀行中竊取超過12億美元。

3、網絡ATM現金盜竊：通過ATM現金盜竊計劃（美國政府稱其為“FASTCash”），包括2018年10月從BankIslami Pakistan Limited（BankIslami）盜竊610萬美元。

4、勒索軟件和網絡勒索：該APT組織于2017年5月創建了WannaCry 2.0勒索軟件，并于2017年至2020年進行了勒索。勒索者在竊取敏感數據并部署了其他勒索軟件后試圖勒索受害者。

5、創建和部署惡意加密貨幣應用程序：從2018年3月到至少2020年9月開發多個惡意加密貨幣應用程序，這將為朝鮮黑客提供受害計算機的后門。

6、針對加密貨幣公司和盜竊加密貨幣：針對數百家加密貨幣公司和盜竊價值數千萬美元的加密貨幣。

7、針對美國國防承包商、能源公司、航空航天公司、技術公司、美國國務院和美國國防部的魚叉式釣魚活動。

8、創建假的加密貨幣公司并發布Marine Chain Token。該計劃使投資者能夠購買在區塊鏈支持下的海上船舶的部分所有權，這將使朝鮮能夠秘密地從投資者那里獲得資金，控制海上船舶的權益，并逃避美國的制裁。

司法部長助理約翰·德默斯（John Demers）將這三名黑客和Lazarus Group定義為“世界領先的銀行搶劫犯”。

司法部還指控加拿大公民民Ghaleb Alaumary幫助Lazarus Group通過其活動獲得的非法資金進行洗錢?！奥摪顧z察官今天還對加拿大安大略省密西沙加市37歲的加利布·阿勞瑪里（Ghaleb Alaumary）提起了指控，指控他在朝鮮陰謀中充當洗錢者，以及其他犯罪計劃。Alaumary同意對這項指控認罪，并于2020年11月17日提交給洛杉磯地區法院。Alaumary是從事ATM提款計劃、網絡銀行搶劫、商業電子郵件泄露（BEC）計劃和其他在線欺詐計劃的黑客的大量洗錢者?！痹撃凶釉诿绹图幽么蠼洜I一個洗錢網絡，該網絡將非法資金轉給了受朝鮮黑客控制的其他帳戶。
 

參考來源：美國司法部 http://dwz.date/em9J

 

（十二）朝鮮通過網絡攻擊提升其核武器研發能力

聯合國專家稱，朝鮮通過利用聯合國制裁，利用網絡攻擊來幫助其計劃籌集資金，并繼續向其武器庫尋求海外材料和技術，實現了其核武器和彈道導彈的現代化。

監測朝鮮東北亞制裁問題的專家小組2月8日在發給安理會成員的報告中稱，一個未透露身份的國家表示，朝鮮“從2019年到2020年11月虛擬資產的總盜竊額約為3.164億美元”。

該小組稱，調查發現，與朝鮮有聯系的網絡參與者在2020年繼續對金融機構和虛擬貨幣兌換所進行業務，以賺錢來支持其大規模毀滅性武器和彈道導彈計劃。專家稱，在武器發展方面，金正恩政府還生產了裂變材料，這是生產核武器的重要成分，并維護了其核設施。

該報告顯示，“它在閱兵式上展示了新的近程、中程、潛射和洲際彈道導彈系統。它宣布準備測試和生產新型彈道導彈彈頭，并開發戰術核武器，并升級了其彈道導彈基礎設施?！?/span>

專家小組建議安全理事會對四名朝鮮男子進行制裁：Choe Song Chol、Im Song Sun、Pak Hwa Song、和Hwang Kil Su。

自從2006年對朝鮮進行首次核試驗爆炸以來，安理會對朝鮮實施了越來越嚴厲的制裁。已禁止該國大部分出口，并嚴重限制了其進口，試圖向平壤施加壓力，要求其放棄其核彈道導彈計劃。

但是該報告的摘要以及美聯社獲得的一些主要發現和建議明確表明，朝鮮仍然能夠逃避制裁和發展其武器，并能夠非法進口精煉石油，進入國際銀行渠道并開展“惡意網絡活動”。

在2017年進行的試驗后，朝鮮軍火庫升級為對美國的主要威脅，其中包括一枚據稱是熱核彈頭的爆炸試驗，以及顯示其洲際彈道導彈可以深入美國本土的飛行試驗。

一年后，金正恩開始與韓國以及當時的美國總統唐納德·特朗普（Donald Trump）進行外交，但在2019年，美國拒絕了朝鮮提出的大規模制裁減免要求，以換取部分放棄核武器能力的零碎協議。

去年，在COVID-19大流行中，朝鮮本已遭受重創的經濟進一步惡化，導致金正恩關閉了該國的邊界。專家們說，這嚴重限制了合法和非法轉移貨物以及人員流動。

朝鮮官方媒體2月9日報道，在朝鮮政治會議上，金正恩嚴厲批評其政府的經濟機構具有未指明的消極態度和“自我保護的傾向”。他的講話是在上個月執政黨代表大會上發表的，他呼吁加強國家對經濟的控制，同時還誓言將繼續全力以赴以擴大他的核計劃，朝鮮認為這對美國是一種威懾力量，從而保證了金氏王朝的繼續存在。

在外交努力陷入僵局的情況下，金正恩必須重新與總統拜登重新開始，總統拜登此前曾稱他為“暴徒”，并批評特朗普出席峰會，而不是大幅削減核武器。

2019年8月，聯合國專家小組稱，朝鮮網絡專家非法獲得“估計高達20億美元”的收益，用于資助其武器項目。

該小組在新報告中表示，它調查了位于聯合國制裁黑名單中的朝鮮主要情報機構偵察總局的“惡意”活動，包括“針對虛擬資產和虛擬資產服務提供商，以及針對國防公司?！?/span>

專家稱，朝鮮繼續清洗被盜的加密貨幣，特別是通過中國的場外虛擬資產經紀人，以獲得政府支持的法定貨幣，如美元。專家小組表示，它正在調查2020年9月針對某加密貨幣交易所的黑客攻擊，該攻擊導致價值約2.81億美元的加密貨幣被盜，并且區塊鏈上的交易表明這筆2.81億美元的黑客與2020年10月的2300萬美元的第二次黑客攻擊有關。專家說：“基于攻擊媒介和隨后對非法所得進行洗錢的初步分析，強烈表明與朝鮮有關?！?/span>

一個不愿透露姓名的國家稱，朝鮮還繼續利用自由信息技術平臺，利用與全球金融體系相同的方法，通過虛假識別、使用虛擬專用網絡服務，以及在香港建立前沿公司，繼續產生非法收入。

專家說，他們調查了企圖違反聯合國武器禁運的行為，包括列入黑名單的公司的非法行為。他們援引了韓國礦業發展貿易公司的說法，指稱朝鮮進行了軍事合作，并將該國的海外外交使團用于商業目的。該小組表示，它還調查了“該國繼續通過使用精心設計的替代品通過直接交付和船對船的轉讓繼續非法進口精煉石油?！?/span>

該小組引用了某匿名國家的圖像、數據和計算結果，這些數據表明，去年1月1日至9月30日之間，朝鮮收到的精煉石油產品運輸量超過了安全理事會設定的年度最高上限500,000桶“數倍”。

聯合國制裁措施禁止朝鮮出口煤炭，專家小組表示，自2020年7月下旬以來，煤炭的運輸似乎已基本暫停。去年，朝鮮繼續違反制裁規定轉讓捕魚權，據某匿名成員國稱，朝鮮在2018年因捕魚賺1.2億美元。

根據2017年的一項制裁決議，所有在海外工作的朝鮮國民將在2019年12月22日之前被遣返。專家說，他們調查了在撒哈拉以南非洲賺錢的朝鮮工人以及軍需工業部派遣的信息技術工人。
 

參考來源：SecurityWeek http://dwz.date/encb
 

（如未標注，均為天地和興工業網絡安全研究院編譯）