目   錄
 

第一章 國內關鍵信息基礎設施安全動態

（一）中遠海運疑似遭受巴西黑客攻擊

第二章 國外關鍵信息基礎設施安全動態

（一）施耐德PowerLogic智能電表存在嚴重漏洞

（二）西門子發布多個針對第三方組件漏洞的安全公告

（三）F5修復BIG-IP產品嚴重遠程代碼執行漏洞

（四）特斯拉、Cloudflare、銀行等多監控攝像頭遭黑客入侵

（五）航空IT服務供應商SITA遭受黑客攻擊導致多家航空公司數據泄露

（六）西班牙公共就業服務機構遭受勒索軟件攻擊

（七）歐洲OVH數據中心發生火災導致服務中斷

（八）歐洲銀行管理局Exchange服務器遭受黑客攻擊導致郵件系統關閉

（九）Flagstar銀行遭受網絡攻擊導致數據泄露

（十）美國金融業監管局警告針對經紀公司的持續網絡釣魚攻擊

（十一）俄羅斯APT組織利用立陶宛基礎設施發起網絡攻擊

（十二）新型勒索軟件Sarbloh支持印度農民抗議活動

（十三）英特爾加入DARPA的DPRIVE計劃開發FHE加速器

（十四）伊朗黑客組織MuddyWater監視中東目標

（十五）又一家法國醫院遭受勒索軟件攻擊
 

第一章 國內關鍵信息基礎設施安全動態

（一）中遠海運疑似遭受巴西黑客攻擊

據悉，全球第三大集裝箱運輸公司中遠海運（Cosco Shipping）正在努力解決一起黑客攻擊事件。一個名為L0RDBR的巴西黑客上周六攻擊了中遠集團的電子郵件系統，對其許多員工的電子郵件系統造成了嚴重破壞。

近年來，世界上所有的大型集裝箱運輸都遭到了黑客攻擊。在2018年7月發生勒索軟件攻擊事件后，中遠海運努力讓運營重回正軌，中遠在美洲的員工紛紛使用雅虎的電子郵件地址和社交媒體與客戶溝通。盡管Facebook和Twitter在中國被禁止，但在攻擊期間，它們成為中遠美國員工重要的與客戶溝通的工具。

繼微軟Outlook電子郵件服務遭到黑客攻擊后，最近整個航運業都受到警告，越來越多的網絡攻擊風險。盡管微軟上周發布了一個修補程序來解決其電子郵件程序中的漏洞，但該修補程序仍然留下了一個后門，它可以使其他人獲得對受感染服務器的訪問權并使其遭受更多攻擊。
 

參考來源：MaritimeBusinessWorld http://dwz.date/ez5x

 

第二章 國外關鍵信息基礎設施安全動態

（一）施耐德PowerLogic智能電表存在嚴重漏洞

工業網絡安全公司Claroty 3月9日披露了影響施耐德電氣(Schneider Electric)制造的PowerLogic智能電表的兩個潛在嚴重漏洞的技術細節。

PowerLogic是一系列收入和電能質量計，不僅可供公用事業公司使用，還可供工業公司、醫療保健組織和數據中心用于監控電網。

Claroty的研究人員發現，某些PowerLogic ION和PM系列智能電表受到漏洞的影響，未經驗證的攻擊者可以通過向目標設備發送精心構建的TCP數據包來遠程利用這些漏洞。

Claroty在博客文章中解釋表示，“這些智能電表通過TCP端口7700使用專有的ION協議進行通信，設備接收到的數據包由狀態機功能解析。我們發現，通過發送精心編制的請求，主狀態機功能可以在數據包解析過程中觸發該漏洞。這可以在沒有身份驗證的情況下完成，因為在處理請求或檢查身份驗證之前，請求已被完全解析?！?/span>

Claroty表示，其研究人員根據目標設備的架構確定了兩種不同的利用路徑，并分配了兩個不同的CVE編號。其中一個漏洞CVE-2021-22714是嚴重漏洞，因為它允許攻擊者重新啟動目標儀表(即DoS條件)，甚至可能執行任意代碼。另一個漏洞CVE-2021-22713只能被利用來強制設備重新啟動，為高危漏洞。

這些漏洞影響多個PowerLogic ION設備型號和一個PM型號。一些受影響設備的安全更新于2020年7月發布，而其他設備則在2021年1月和3月進行了修補。一些受影響的電能表將不會收到補丁，因為它們不再被支持。

眾所周知，影響智能電表的漏洞會給消費者和公用事業公司帶來風險，因此受影響的施耐德電氣產品的用戶必須應用補丁或緩解措施，以防止潛在的攻擊，特別是在有關漏洞的信息已經公開的情況下。
 

參考來源：SecurityWeek http://dwz.date/ezSY

 

（二）西門子發布多個針對第三方組件漏洞的安全公告

西門子3月9日發布了12條新的安全公告，向客戶通報影響其產品的近20多個漏洞，其中有一半的新公告涵蓋了第三方組件漏洞。

其中一個公告與AMNESIA:33有關，這是最近在開源TCP/IP堆棧中發現的一組漏洞。西門子一直在發布公告，描述這些漏洞對其產品的影響，而最新的公告則側重于在兩個AMNESIA:33拒絕服務(DoS)漏洞對SENTRON 3VA和PAC儀表產品的影響。

還有兩個公告與Number：Jack有關，這是最近發現的一組TCP/IP堆棧漏洞。這兩個公告描述了一些Number：JacK存在的問題，允許會話劫持，對能源領域使用的SIMATIC MV400光學閱讀器和PLUSCONTROL產品的影響。

西門子還通知客戶，其SIMATIC Net CM 1542-1和SCALANCE SC600設備受到多協議文件傳輸庫libcurl中存在的DoS漏洞的影響。

另一個公告則描述了影響Luxion的3D渲染和動畫軟件Keyshot的五個漏洞。這些安全漏洞與處理特別制作的文件有關，它們可以被用來執行任意代碼。

西門子還發布了另一項針對產品開發解決方案中的文件解析漏洞的公告，此類型的公告也分別在1月和2月發布。

西門子還發布了一個關于影響Mendix遺忘密碼Appstore模塊的賬戶接管漏洞的警告，西門子在2018年收購了Mendix低碼平臺。

其余的公告解決了SCALANCE和RuggedCom設備中的嚴重DoS漏洞、SINEMA Remote Connect服務器中的嚴重未授權訪問漏洞、LOGO!8 BM中的DoS漏洞、以及SIMATIC S7-PLCSIM中的DoS漏洞。

西門子已經發布或計劃發布針對其中許多漏洞的更新，但在某些情況下，該公司建議客戶實施緩解措施或解決辦法，以保護其系統或設備免受潛在攻擊。
 

參考來源：SecurityWeek http://dwz.date/ezbH

 

（三）F5修復BIG-IP產品嚴重遠程代碼執行漏洞

應用安全公司F5 Networks在3月10日披露其產品中存在的21個漏洞，其中包括四個嚴重漏洞，影響其BIG-IP產品，可能導致拒絕服務（DoS）攻擊，甚至在目標網絡上執行未經驗證的遠程代碼。

F5的BIG-IP應用程序是企業級的模塊化軟件套件，旨在用于數據和應用程序交付、負載平衡，流量管理、和其他業務功能。F5表示，財富50強公司中有48家是F5客戶。政府、電信公司、金融服務、和醫療保健服務提供商都是其客戶

F5在3月10日發布的安全報告描述了影響BIG-IP和BIG-IQ部署的七個安全漏洞。最嚴重的是CVE-2021-22986和CVE-2021-22987，CVSS得分分別為9.8和9.9。CVE-2021-22986是影響BIG-IP管理界面的未經身份驗證的RCE。

F5表示，“該漏洞使未經身份驗證的攻擊者可以通過BIG-IP管理界面和自身IP地址對iControl REST接口進行網絡訪問，以執行任意系統命令，創建或刪除文件以及禁用服務。此漏洞只能通過控制平面利用，而不能通過數據平面利用。利用可以導致完全的系統危害。處于Appliance模式的BIG-IP系統也容易受到攻擊?！?/span>

當BIG-IP的流量管理用戶界面（TMUI）運行時，CVE-2021-22987也影響設備模式。能夠訪問TMUI的經過身份驗證的用戶可以利用該錯誤執行任意命令，篡改文件并禁用服務。F5補充表示，“利用此漏洞可能會導致系統完全崩潰，并破壞設備模式?！?/span>

除這些安全漏洞外，F5還解決了CVE-2021-22991和CVE-2021-22992嚴重的緩沖區溢出漏洞，這些漏洞影響流量管理微內核（TMM）和高級WAF/ASM虛擬服務器。這兩個漏洞的CVSS得分均為9.0。

其他三個修復的漏洞為：CVE-2021-22988、CVE-2021-22989和CVE-2021-22990，CVSS得分分別為8.8、8.0和6.6，這些漏洞可用于在TMUI組件中執行遠程命令。

F5應用交付控制器（ADC）業務部門高級副總裁Kara Sprague表示，“這些漏洞會影響所有BIG-IP和BIG-IQ客戶和實例。我們敦促所有客戶盡快將其BIG-IP和BIG-IQ部署更新到固定版本?！?/span>

這些漏洞已在BIG-IP版本16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3和11.6.5.3中修補。CVE-2021-22986也影響BIG-IQ，并已在版本8.0.0、7.1.0.3和7.0.0.2中修復。

美國網絡安全和基礎架構安全局（CISA）上周發布了一項緊急指令，命令聯邦機構應對積極利用的Microsoft Exchange Server漏洞，并建議立即解決這些安全問題。

2020年7月，F5修補了BIG-IP中的一個遠程代碼執行漏洞CVE-2020-5902，該漏洞被授予罕見的CVSS嚴重等級10.0。該漏洞由Positive Technologies的研究人員Mikhail Klyuchnikov發現，該漏洞影響了BIG-IP的TMUI，并允許未經身份驗證的攻擊者遠程破壞TMUI接口。

披露后僅幾天，威脅行動者就開始對面向互聯網的BIG-IP版本發起攻擊。F5當時警告稱，“如果TMUI暴露在互聯網上，并且沒有安裝固定版本的軟件，則很有可能它已受到威脅，應該遵循內部事件響應程序?！?/span>
 

參考來源：ZDNet http://ccx4.cn/42WT1

 

（四）特斯拉、Cloudflare、銀行等多監控攝像頭遭黑客入侵

據報道，黑客可以訪問安裝在特斯拉、Equinox、醫療診所、監獄和包括猶他州銀行在內的銀行的實時監控攝像頭。除了從攝像頭捕捉到的圖像外，黑客還分享了他們獲得Cloudflare和Telsa總部使用的監視系統的root shell訪問權限的截圖。

據該黑客組織的逆向工程師Tillie Kottmann稱，他們使用Verkada的超級管理員帳戶進入這些監控系統，Verkada是一家與所有這些組織合作的監控公司。Kottmann在接受采訪時表示，他們在公開的DevOps基礎設施中找到了Verkada超級管理員帳戶的硬編碼憑據。

Verkada生產自動化和物聯網監控攝像頭等企業安全系統，該公司還以向特斯拉提供服務而聞名。

3月9日下午，Kottmann發布了據稱是從Equinox、特斯拉和猶他州銀行的監控攝像頭拍攝的多張照片。在同一個Twitter帖子中，Kottmann分享了似乎是以超級用戶身份訪問Linux操作系統的圖片。從這些圖像中，可以看到其中一塊網卡的MAC地址，這與監控公司Verkada開發的設備相對應。

彭博新聞社首先報道了這次攻擊，在聯系Verkada后，黑客失去了對被黑客入侵的超級管理員帳戶的訪問權限。

Verkada在一份聲明中表示，“我們已經禁用了所有內部管理員帳戶，以防止任何未經授權的訪問。我們的內部安全團隊和外部安全公司正在調查這一潛在問題的規模和范圍，且已經通知了執法部門?！?/span>

Cloudflare表示，這些攝像頭位于已經關閉了幾個月的辦公室中，該違規行為對其客戶沒有影響?！敖裉煜挛?，我們接到警告稱，Verkada安全攝像頭系統可能已經被破壞，該系統監控少數Cloudflare辦公室的主要入口和主要通道。這些攝像頭位于少數已經正式關閉幾個月的辦公室中。。一旦我們意識到存在的危害，便禁用了攝像頭，并將其與辦公網絡斷開了連接。顯然，該事件不會影響Cloudflare產品，我們沒有理由相信涉及辦公室安全攝像機的事件會影響客戶?！?/span>

與這次網絡攻擊相關的#OperationPanopticon標簽指的是Panopticon，一個哲學設計概念。Panopticon是指這樣一種建筑的設計，在這種設計中，俘虜（如囚犯）無法判斷在某一時刻是否有保安人員在監視他們。

這意味著，在一個有大量囚犯的大樓里，一個警衛不可能同時監視所有的囚犯，然而由于全景設計思想，每個囚犯都可能害怕被監視，因為他們無法知道自己是否被監視。
 

參考來源：BleepingComputer http://dwz.date/ezb9

 

（五）航空IT服務供應商SITA遭受黑客攻擊導致多家航空公司數據泄露

航空業這幾年遭受攻擊的事件頻發，但近期有黑客針對提供IT服務的業者下手，使得多家航空公司遭到波及。馬來西亞航空于3月1日發送電子郵件通知旅客，指出因第三方IT服務商系統導致飛行?？偷挠脩糍Y料外泄，而且時間自2010年3月到2019年6月長達9年，該公司并未透露這個IT服務業者的身分。然而到了3月5日，據報道，國際航空電訊集團公司（SITA）就是導致馬來西亞航空資料外泄的IT服務業者。

馬來西亞航空于3月1日開始針對部分旅客以電子郵件發出通知，表示該公司接獲第三方IT服務業者的通知，Enrich飛行?？陀脩舻馁Y料外泄，遭泄露的資料包含會員姓名、生日、性別、會員編號，以及會員級別等。

在3月4日，全球航空業IT供應商（SITA）發出簡短聲明，指出他們旗下提供旅客服務系統的公司SITA PSS，儲存旅客資料的服務器于2月24日遭到網絡攻擊，SITA在確認事件的情況后，已經進行調查，并通知受影響的SITA PSS用戶。不過，對于受影響的航空公司或是旅客人數，他們并未進一步說明。

至于這起數據泄露事件受害的范圍，SITA透露，包含漢莎航空、新西蘭航空、新加坡航空、北歐航空、國泰航空、濟州航空、馬來西亞航空，以及芬蘭航空等。除了SITA透露的受害者外，日本兩大航空公司全日空（ANA）和日本航空也發出公告，表明受到SITA數據泄露事件影響。

其中，上述航空公司已有部分發出聲明，其內容的共通點，就是此起事件涉及飛行?？蜁T的資料，主要是乘客姓名和會員卡號，但不包括護照資料、地址，或是信用卡資料等。這些公司也宣稱，內部系統并未被波及，并呼吁用戶應考慮盡速更換密碼來維護帳號安全。

此起事件也有網絡安全專家公布其他受影響航空業者發出的電子郵件通知。例如制作Have I Been Pwned密碼外泄查詢網站的Troy Hunt，公布了他獲得的芬蘭航空通知，該航空公司表明他們收到SITA的通報，但Finnair Plus飛行?？陀脩魩ぬ枦]有出現異常，也沒有金融資料外泄。不過，為了預防萬一，該公司還是建議用戶重設密碼。
 

本文版權歸原作者所有，參考來源：iThome http://hi06i.cn/khVmX
 

（六）西班牙公共就業服務機構遭受勒索軟件攻擊

西班牙一個工會組織3月9日表示，西班牙一家管理失業福利的政府機構的IT系統遭受了勒索軟件攻擊，“數十萬”失業救濟預約被中斷。

據西班牙中央獨立工會和公務員組織稱，針對西班牙國家公共就業服務機構(SEPE)的網絡攻擊影響了該機構在全國各地的辦公室，迫使員工使用紙筆進行預約。工會聲稱，SEPE的IT系統已經老化，而該機構尚未升級。

西班牙在新冠疫情流行的情況下經濟遭受了重創，SEPE在分配失業救濟金方面發揮著不可或缺的作用。官方數據顯示，西班牙目前失業人數為400萬，為5年來的最高水平。但SEPE主管杰Gerardo Gutiérrez在接受西班牙RNE電視臺采訪時表示，這起事件沒有影響失業救濟金，也沒有導致個人數據被盜。攻擊者沒有索要贖金，SEPE正在幫助人們重新安排與該機構的會面。

記者未能聯系到SEPE置評。該機構網站上的一條消息顯示，“由于SEPE無法控制的原因”，網絡服務已經關閉。

目前尚不清楚誰對勒索軟件攻擊負責，也不清楚SEPE將處理多長時間。西班牙政府國家密碼學中心的安全專家正在對這起事件做出回應。密碼學中心的事件響應小組沒有回復記者的置評請求。

SEPE黑客攻擊似乎是長期以來騙子試圖利用西班牙人的一部分，因為西班牙人正面臨疫情的經濟影響。一年前，當西班牙因為新冠疫情而被封鎖時，犯罪黑客使用據稱提供新冠肺炎更新的移動應用程序，試圖竊取西班牙人的數據。幾周后，研究人員表示，騙子使用黑客工具試圖從西班牙大銀行的客戶那里竊取錢財。
 

參考來源：CyberScoop http://dwz.date/ezWu

 

（七）歐洲OVH數據中心發生火災導致服務中斷

歐洲最大的主機托管服務提供商OVH位于法國斯特拉斯堡的的數據中心3月10日遭受了一場火災。

OVH創始人Octave Klaba也通過Twitter證實了這一消息，他還提供了一系列關于這一事件的最新消息。

位于斯特拉斯堡的法國工廠包括4個數據中心SBG1、SBG2、SBG3和SBG4，這4個數據中心因事故而關閉，火災發生在SBG2。消防員立即采取行動控制火勢，但SBG2的局勢迅速失控。當局隔離了整個工廠，并封鎖了其周邊。該公司正敦促其客戶實施災難恢復計劃，因為火災中斷了其服務。

該公司在發布的聲明中寫道，“2021年3月10日，周三00:47，我們位于斯特拉斯堡的4個數據中心之一的SBG2一個房間發生了火災。請注意，該網站不屬于Seveso網站。從早上5點30分開始，在政府的指導下，出于明顯的安全原因，我們的團隊無法進入該地點?；饎莠F已得到控制。我們感到欣慰的是，無論是在我們的隊伍中，還是在消防員和州服務人員中，都沒有人受傷?！?/span>

目前火災已經結束，消防員仍在繼續為建筑物降溫，同時正在評估損失情況。SBG3中的所有服務器都沒有受到影響，但仍然無法運行。OVH表示其運營恢復計劃將持續2周。

OVH在歐洲有15個數據中心，在全球有27個數據中心，正在努力支持其客戶并減輕斯特拉斯堡事件的影響。OVH是歐洲最大的托管服務提供商，也是世界第三大托管服務提供商，可提供VPS、專用服務器和其他Web服務。
 

參考來源：SecurityAffairs http://dwz.date/ezXj

 

（八）歐洲銀行管理局Exchange服務器遭受黑客攻擊導致郵件系統關閉

歐洲銀行管理局（EBA）因微軟Exchange服務器遭到黑客攻擊關閉了其所有電子郵件系統，這是針對全球組織的持續攻擊的一部分。

歐洲銀行業管理局是歐洲金融監管體系的一部分，負責監管歐盟銀行業的完整有序運作。EBA表示，“該機構與其ICT供應商、專家組和其他相關實體密切合作，迅速展開了全面調查。EBA正在確定訪問了哪些數據。在適當情況下，監管局會提供資料，說明資料當事人為減輕可能產生的不利影響而可能采取的措施?！?/span>

在3月7日發布的一份初步公告稱，攻擊者可能獲得了存儲在電子郵件服務器上的個人信息。然而，在8日發布的更新補充稱，取證專家沒有發現數據泄露的跡象。

歐盟機構表示，“EBA的調查仍在進行中，為了恢復電子郵件服務器的全部功能，我們正在部署額外的安全措施和密切監控。在現階段，EBA電子郵件基礎設施已經得到保護，我們的分析表明，尚未執行數據提取，并且我們沒有跡象表明該違規行為已經超出了我們的電子郵件服務器?！?/span>

上周，微軟修補了多個影響Microsoft Exchange Server內部版本的零日漏洞，并在多個國家支持的黑客組織協調的持續攻擊中加以利用。起初，微軟只將這些攻擊與一個名為Hafnium的中國國家支持的黑客組織聯系起來。然而微軟隨后更新表示，其他幾個威脅行為者在類似的活動中也利用最近修補的Exchange漏洞。

雖然Hafnium的目標身份尚不清楚，但微軟已經分享了之前目標行業的名單。

微軟副總裁湯姆·伯特稱，“從歷史上看，Hafnium主要針對美國的實體，目的是從多個行業部門竊取信息，包括傳染病研究人員、律師事務所、高等教育機構、國防承包商、政策智庫和非政府組織?！?/span>

斯洛伐克互聯網安全公司ESET稱，中國支持的APT27、Bronze Butler（又名Tick）和Calypso也在攻擊未打補丁的Exchange服務器，該公司還發現了其他無法識別的國家贊助的組織。

CISA 7日還警告稱，“國內外廣泛存在利用Microsoft Exchange Server漏洞的行為”，敦促管理員使用Microsoft的IOC檢測工具來檢測其組織中存在的妥協跡象。攻擊者部署Web Shell，允許他們遠程訪問受損服務器和內部網絡，即使在服務器修補之后也是如此。

微軟已經更新了他們的微軟安全掃描（MSERT）工具來檢測這些攻擊中部署的Web Shell，并更新了PowerShell腳本來搜索Exchange和OWA日志文件中的危害指標（IOC）。

參考來源：BleepingComputer http://hi06i.cn/dVGMw

 

（九）Flagstar銀行遭受網絡攻擊導致數據泄露

美國銀行和抵押貸款機構Flagstar 3月5日披露了一起數據泄露事件，此前Clop勒索軟件組織在1月份入侵了他們的Accellion文件傳輸服務器。

在去年12月，與Clop勒索軟件組織有關的威脅行為者開始利用Accellion FTA服務器的漏洞，這些服務器被組織用來與組織外的人共享敏感文件。

3月5日，Flagstar Bank在其網站上發布了一份安全披露，并開始向客戶發送電子郵件，告知他們的Accellion FTA服務器遭到入侵。Flagstar在其安全通報中表示，“Flagstar用于其文件共享平臺的供應商Accellion于2021年1月22日通知Flagstar，該平臺存在一個未經授權方利用的漏洞。在Accellion通知我們此事件后，Flagstar永久停止使用此漏洞文件共享平臺。不幸的是，我們得知未授權方能夠在Accellion平臺上訪問Flagstar的某些信息，并且我們是受到影響的眾多Accellion客戶之一?！?/span>

Flagstar并未受到12月修復的零日漏洞的破壞，而是因威脅者在1月利用了一個新漏洞而受到影響。在威脅參與者竊取了他們的數據后，Flagstar收到了一張勒索信件，要求支付比特幣，否則數據將被公布。與Accellion攻擊相關的贖金要求已高達1000萬美元的比特幣。

Flagstar利用Accellion FTA服務器與合作伙伴和客戶發送和接收敏感文檔。在Flagstar開始通知受害者數據泄露后，Clop勒索軟件組織發布了竊取數據的截圖，并警告稱他們竊取了更多的個人數據。屏幕截圖顯示了被盜的敏感客戶和員工信息的類型，包括社會保險號、姓名、地址、電話號碼和稅務記錄。

雖然勒索軟件團伙只分享了幾張被盜數據的截圖，因為Flagstar是一家銀行和抵押貸款機構，但應該假設威脅行為者竊取了更多包含敏感信息的文件。根據Clop組織公布的大量Accellion數據泄露，很明顯，他們是所有這些攻擊的幕后黑手，并且隨著受害者披露他們的攻擊，它們將繼續發布被盜數據。

與Accellion FTA攻擊相關的其他受害者包括Singtel、Bombardier、QIMR Berghofer、華盛頓州審計署、新西蘭儲備銀行、新南威爾士州運輸公司、輝固公司、Jones Day公司、Danaher公司和ABS集團。
 

參考來源：BleepingComputer http://hi06i.cn/OGr29

 

（十）美國金融業監管局警告針對經紀公司的持續網絡釣魚攻擊

美國金融業監管局（FINRA）近日發布監管通知，警告美國經紀公司和經紀人，有攻擊者正在利用虛假合規審計警報發起網絡釣魚活動來收集信息。

金融業監管局（FINRA）是由美國證券交易委員會（SEC）監管的非營利組織，是美國所有交易所市場和證券公司的監管機構。該民間證券監管機構監管著全美624,000多名經紀人，每天檢查數十億次市場事件。

FINRA表示，網絡釣魚郵件是從finra-online.com發送的，該網站是一個最近注冊的網絡域名，用于仿冒FINRA合法網站。攻擊者使用supports@finra-online.com來發送欺詐性電子郵件，使用FINRA Membership作為發件人名稱，從而使仿冒郵件看起來像是從FINRA官方電子郵件地址發送的郵件，從而增加了網絡釣魚郵件的合法性。

FINRA解釋表示，“電子郵件要求收件人“對監管不合規問題立即做出回應”，然后要求收件人單擊鏈接或文檔。FINRA建議所有單擊了電子郵件中任何鏈接或圖像的人立即將其事件通知其所在公司的相關人員?！?/span>

由于finra-online[.]com域名與FINRA沒有任何聯系，因此要求成員公司立即刪除從該域收到的所有電子郵件。該正在進行的網絡釣魚攻擊中使用的域是在3月3日注冊的，使用的是NameCheap域名注冊商。

WHOIS域數據不提供任何有關注冊釣魚域名的人的身份信息，因為所有個人信息都是使用WhoisGuard（NameCheap的隱私保護服務）進行編輯的。FINRA已聯系NameCheap，并要求暫停finra-online[.]com域的所有服務。FINRA提醒企業在回復任何可疑電子郵件、打開任何附件或單擊任何嵌入式鏈接之前，先驗證其合法性。

盡管FINRA很少發布此類監管通知，但該監管機構去年已發布了四份通知，其中兩份通知了針對經紀人信息的網絡釣魚攻擊。其中一個是在2020年12月發布的，警告經紀人使用另一種欺騙了FINRA網站的域名invest-finra[.]org進行的類似網絡釣魚攻擊。10月份，另一則通知提醒會員公司，利用調查收集敏感信息的網絡釣魚攻擊十分普遍。該證券監管機構還提醒成員，威脅行為者使用仿冒網站finnra[.]org與偽造登記表來收集個人信息，以供日后用于針對FINRA成員的魚叉式網絡釣魚攻擊。

參考來源：BleepingComputer http://dwz.date/ewxc

 

（十一）俄羅斯APT組織利用立陶宛基礎設施發起網絡攻擊

立陶宛國家安全部近日發布報告指出，與俄羅斯有聯系的APT組織利用立陶宛國家技術基礎設施對全球目標發動網絡攻擊。

立陶宛情報部門發布的年度國家安全威脅評估報告指出，“與俄羅斯情報機構有關的黑客組織去年對立陶宛高級官員和決策者進行了網絡攻擊，并利用波羅的海國家的技術基礎設施，作為攻擊其他地方目標的基礎”。

該年度國家安全威脅評估報告聲稱，俄羅斯網絡間諜組織APT29涉嫌與俄羅斯情報服務有聯系，“利用”立陶宛的信息技術基礎設施“對開發COVID-19疫苗的外國實體實施攻擊?！?/span>

2020年，由于新冠疫情流行，俄羅斯對立陶宛的情報行動有所減少，但是，與俄羅斯有關聯的APT組織增加了針對全球目標的網絡間諜活動。

根據立陶宛國家的報告，立陶宛是俄羅斯的鄰國、前蘇維埃共和國的北約成員，其因新冠疫情流行和封鎖在2020年減少了俄羅斯對該國的情報行動，并將克里姆林宮的工作轉向了網絡間諜活動。

國家安全部部長達里烏斯·賈尼斯基斯（Darius Jauniskis）在議會提交報告時對立陶宛議員稱，“盡管如此，俄羅斯情報部門對立陶宛的國家安全構成了重大威脅?！?/span>

賈尼斯基斯補充表示，莫斯科正在使用軍事和經濟手段，并通過信息影響這個擁有280萬人口的波羅的海國家，以“實現其政治目標”。他指責俄羅斯試圖利用疫情流行病在立陶宛制造破壞，最近立陶宛見證了數十起此類“失敗的嘗試”。賈尼斯基斯補充表示，“這些活動得到了克里姆林宮的反西方宣傳的良好協調和推動?！?/span>

該報告指出，在過去的12個月中，立陶宛的網絡攻擊和虛假信息活動有所增加。安全專家記錄了多次黑客去年針對立陶宛、愛沙尼亞和拉脫維亞的多起黑客攻擊和造謠活動，這些活動歸因于與俄羅斯有關的APT組織。

愛沙尼亞外國情報機構發表年度報告稱，“俄羅斯指望疫情流行削弱西方的團結，這將有助于莫斯科在國際事務中發揮更重要的作用，并據稱導致西方在全球舞臺上的影響力下降”。
 

參考來源：GBHackers http://dwz.date/ezr9

 

（十二）新型勒索軟件Sarbloh支持印度農民抗議活動

多家網絡安全公司發現，一種名為Sarbloh的新型勒索軟件會在加密文件的同時傳遞支持印度農民抗議活動的信息。

去年，印度政府通過了一套名為《2020年印度農業法案》的新法律，也稱為《農業法案》，政府稱這對實現農業現代化是必需的。然而農民們認為，這些新法律將損害他們的生計，并使創收更具挑戰性，因為新法律取消了對農民如何出售商品以及出售多少商品的限制。自2020年11月以來，成千上萬的印度農民在新德里郊外抗議這些法案。

正如許多網絡安全公司（包括Malwarebytes、Cyble和QuickHeal）所詳細描述的那樣，一種名為Sarbloh的新型勒索軟件正在通過惡意Word文檔進行分發，這些Word文檔包含支持印度農民的政治信息。目前尚不清楚惡意Word文檔是通過網絡釣魚電子郵件還是其他方法發送的，但是打開它時，系統將提示用戶“啟用內容”以正確查看其內容。

當按下按鈕時，Word文檔的宏將使用bitsadmin.exe將一個名為putty.exe的文件下載到文件夾中然后執行。執行后，勒索軟件將對計算機上與某些文件類型匹配的文件進行加密，并將.sarbloh附加到文件名之后。例如，文件1.jpg將被加密并重命名為1.jpg.sarbloh。對計算機上的文件進行加密后，將創建一個名為README_SARBLOH.txt的贖金票據，其中包含一條消息，用于支持印度農民。

該贖金通知的全文如下：你的文件不見了?。?！直到滿足農民需求后，它們才能恢復。他們發生了什么？使用軍事級加密后，系統上的所有文件都變得無用了。在印度，錫克教徒長期以來一直面對著對他們的壓迫。每次我們抗拒。今天，你們企圖奪走印度教徒、錫克教徒和穆斯林農民的生計。你邪惡的方法是不會成功的。Khalsa的雙刃劍隨時都可以注意到。Tyaar bar tyaar。無論我們的血液流到哪里，錫基樹都從那里拔地而起。如果你對農民的意圖是純潔的，并且希望為他們提供幫助，那就不是這樣。哈萊米·拉杰（Halemi Raj），錫克教拉吉（Sikh Raj）并不是這樣。如果法律不廢除，你的命運與哈爾薩（Khalsa）對錫辛德（Sirhind）的命運無異。

該勒索軟件似乎以“薩布洛·格蘭思”（Sarbloh Granth）的名字命名，這是一本與錫克教有關的圣經。根據Michael Gillespie的說法，Sarbloh基于名為KhalsaCrypt的開源勒索軟件，不幸的是其沒有已知的弱點。但是，與其他勒索軟件不同，Sarbloh不會刪除卷影副本，因此可以通過卷影恢復文件。
 

參考來源：BleepingComputer http://dwz.date/ezyN

 

（十三）英特爾加入DARPA的DPRIVE計劃開發FHE加速器

英特爾與美國國防高級研究計劃局（DARPA）簽署了一項協議，參與其虛擬環境數據保護（DPRIVE）計劃，該計劃旨在開發用于完全同態加密（FHE）的加速器。

英特爾實驗室首席工程師Rosario Cammarota表示：“完全同態加密仍然是在使用時保持數據安全的追求中的圣杯?！?/span>

FHE是一種數據安全方法，可通過使用加密手段來提供數學上的加密證明，DARPA表示這種手段可能會在如何存儲和操作數據方面提供更高的確定性。

DARPA解釋表示，“如今，傳統的加密技術可以在存儲或傳輸數據時保護數據，但是必須對信息進行解密以執行計算、分析或將其用于訓練機器學習模型。解密會危及數據，使其受到機敏的對手甚至意外泄漏的危害。FHE能夠對加密信息進行計算，使用戶能夠在充分利用敏感數據與消除暴露風險之間取得平衡?！?/span>

雖然FHE被定位為可行的前進之路，但它卻需要大量的計算能力和時間。DARPA項目經理Tom Rondeau表示，“如今，在一臺標準筆記本電腦上完成一次毫秒級的計算，在運行FHE的傳統服務器上將花費數周的時間?！盌ARPA啟動了DPRIVE，以將處理時間從幾周減少到幾秒鐘。

微軟是關鍵的云生態系統和同態加密合作伙伴，通過在其云產品（包括與美國政府合作的Microsoft Azure和Microsoft JEDI云）中對其進行測試來開發該技術，從而引領了該技術的商業采用。英特爾的任務是設計一種專用的集成電路加速器，以減少當前與完全同態加密相關的性能開銷。

英特爾表示，“加速器完全實現后，與現有的CPU驅動系統相比，可以在執行FHE工作負載方面帶來巨大的改進，有可能將密碼的處理時間減少五個數量級?！?/span>

英特爾與Duality Technologies、Galois、和SRI International一起加入了DPRIVE。這四家公司將帶領研究人員開發FHE加速器硬件和軟件堆棧，以將進行FHE計算所需的計算開銷減少到與類似的未加密數據操作相當的速度。

此外，DARPA還表示，團隊正在探索新穎的內存管理方法，靈活的數據結構和編程模型以及正式的驗證方法，以確保FHE的實施是按設計正確進行的，并為用戶提供了信心?！拔覀兡壳肮烙?，在FHE世界中，我們的計算速度要比在明文世界中慢大約一百萬倍。DPRIVE的目標是使FHE降至我們在明文中看到的計算速度。如果我們能夠實現這一目標，同時在定位技術的規模，將對我們保護和保存數據以及用戶隱私的能力產生重大影響?！?/span>
 

參考來源：ZDNet http://dwz.date/ez3d

 

（十四）伊朗黑客組織MuddyWater監視中東目標

趨勢科技研究人員發現，與伊朗有關的黑客組織MuddyWater正積極攻擊中東和鄰近地區的學術界、政府機構和旅游實體，旨在開展竊取數據的間諜活動。

這一最新發現被趨勢科技(Trend Micro)稱為“Earth Vetala”，是Anomali上月發布的先前研究的擴展，該研究發現了利用ScreenConnect遠程管理工具針對阿聯酋和科威特政府機構進行惡意活動的證據。

這家網絡安全公司將正在進行的攻擊與一個被廣泛追蹤的威脅行為體MuddyWater聯系起來，MuddyWater是一個以主要針對中東國家的攻擊而聞名的伊朗黑客組織。

據稱，Earth Vetala利用魚叉式釣魚電子郵件，其中包含嵌入到名為OneHub的流行文件共享服務的鏈接，在啟動與命令與控制(C2)服務器的通信以執行混淆的PowerShell腳本之前，分發從密碼轉儲實用程序到自定義后門的惡意軟件。這些鏈接本身會將受害者定向到一個.ZIP文件，其中包含由RemoteUtilities開發的合法遠程管理軟件，該軟件能夠下載和上傳文件、捕獲屏幕截圖、瀏覽文件和目錄以及執行和終止進程。

趨勢科技指出，分發RemoteUtilities和ScreenConnect的兩個行動之間技術大致相似，新一波攻擊的目標主要是位于阿塞拜疆、巴林、以色列、沙特阿拉伯和阿聯酋的組織。

在一個涉及沙特阿拉伯被攻破主機的特定案例中，研究人員發現，在下載能夠執行任意遠程命令的遠程訪問工具、憑證竊取程序和PowerShell后門之前，攻擊者試圖將SharpChisel(名為Chisel的TCP/UDP隧道工具的C#包裝程序)配置為C2通信，但未獲成功。

趨勢科技表示，“Earth Vetala代表了一個有趣的威脅，雖然它擁有遠程訪問功能，但攻擊者似乎缺乏正確使用所有這些工具的專業技能。這是出乎意料的，因為我們認為這次攻擊與MuddyWater威脅參與者有關，在其他相關戰役中，攻擊者表現出了更高水平的技術技能?！?/span>
 

參考來源：TheHackerNews http://dwz.date/eywU

 

（十五）又一家法國醫院遭受勒索軟件攻擊

位于法國西南部的奧洛倫-圣瑪麗醫院3月8日遭受了勒索軟件攻擊，勒索軟件組織要求支付價值5萬美元的比特幣作為贖金，這是近一個月內發生的第三起此類攻擊事件。

3月8日下午，負責所有設施的工程師Rémi Rivière首次發現了這種感染。為了應對攻擊，IT人員關閉了部分醫院網絡，以防止惡意軟件傳播。

醫院發言人表示，“我們以最快的速度作出反應。這種病毒屬于勒索軟件類型，與一個月前攻擊Dax醫院的病毒相同。黑客進入醫院的計算機系統，對所有數據進行加密，使我們的服務無法讀取這些數據，然后發送勒索消息，以換取贖金?！?/span>

針對醫院和醫療機構的攻擊非常危險，特別是在疫情持續期間，攻擊發生時，這家法國醫院正在參與針對Covid-19的疫苗接種工作。

醫院的運營受到勒索軟件攻擊的嚴重影響，無法獲得數字病歷，并迫使工作人員使用筆和紙進行工作。攻擊還影響了用于監測藥品庫存和其他供應的系統。

醫院院長Frederic Lecenne告訴當地報紙“比利牛斯共和國報”稱，“我們可能在48小時或3個月內恢復我們的系統?！?/span>

今年2月，法國另外兩家醫院也遭到了勒索軟件攻擊。
 

參考來源：SecurityAffairs http://f8r.cn/zckXyt
 

（如未標注，均為天地和興工業網絡安全研究院編譯）