目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）臺灣威聯通QNAP警告用戶增強設備安全性以應對暴力攻擊

第二章 國外關鍵信息基礎設施安全動態

（一）日本制造業遭受惡意活動A41APT多層加載程序模塊Ecipekac攻擊

（二）印度工業企業MIDC的服務器遭受SYNack勒索軟件攻擊

（三）印度船運公司ECU Worldwide遭受勒索軟件攻擊

（四）伊朗黑客TA453針對美國及以色列醫學研究人員發起釣魚攻擊

（五）德國議會議員遭受俄羅斯黑客釣魚攻擊

（六）拜登延長網絡攻擊制裁行政令

（七）5G網絡架構存在漏洞可致信息泄露及Dos攻擊

（八）PHP官方Git存儲庫遭到供應鏈攻擊，代碼庫被篡改

（九）Linux系統存在兩個漏洞可繞過Spectre攻擊緩解措施

（十）澳大利亞第九頻道IT網絡遭受黑客攻擊

（十一）英國倫敦Harris教育聯合會遭受勒索軟件攻擊

（十二）Clop勒索軟件組織泄露美國教育機構數據

（十三）勒索軟件Ziggy退還受害者贖金

（十四）Gartner發布2021年八大網絡安全和風險管理趨勢

（十五）印度癌癥藥物制造商FKOL因藏匿數據罰款5000萬美元

 

第一章 國內關鍵信息基礎設施安全動態

（一）臺灣威聯通QNAP警告用戶增強設備安全性以應對暴力攻擊

臺灣網絡設備供應商威聯通(QNAP)3月24日在其網站發布安全警告稱，有用戶報告其設備持續遭受暴力攻擊，QNAP敦促其用戶立即采取行動以增強其設備的安全性，包括使用強密碼、更改默認訪問端口、以及禁用管理員帳戶。

近日，威聯通（QNAP）收到了許多用戶報告，稱黑客嘗試使用暴力攻擊登錄QNAP設備。黑客嘗試使用QNAP設備用戶帳戶的每種可能的密碼組合。如果使用了簡單或者可預測的弱密碼，如“password”或“12345”，則黑客可以輕松獲得對設備的訪問權限，從而破壞了安全性、隱私性和機密性。

為了采取措施避免被黑客入侵，QNAP建議用戶不要在公共網絡上暴露其設備，也應避免將默認網絡端口用于公共服務。增強QNAP設備安全性和緩解暴力攻擊的其他步驟包括為用戶帳戶設置復雜（強）密碼、啟用密碼策略以及禁用管理員帳戶。

如果不斷有未經授權的嘗試使用“admin”用戶訪問NAS，并警告“無法通過用戶帳戶admin登錄”，該如何操作？由于訪問嘗試是由未經授權的用戶在外部執行的，因此無法阻止他們嘗試訪問NAS，而只能在他們輸入不正確的憑據時拒絕他們訪問NAS，從而出現“登錄失敗”警告消息。

同時，還可以采取其他安全預防措施來進一步保護NAS。

1、如果經常遇到使用默認管理員帳戶連續不斷地未經授權嘗試訪問NAS，可以禁用該管理員帳戶以降低安全風險。

2、此外，還可以配置安全設置以阻止某些IP地址?？梢詮腘AS控制面板>系統>安全性>IP“訪問保護”選項卡完成此操作。
 

參考來源：QNAP http://dwz.date/eCYY

 

第二章 國外關鍵信息基礎設施安全動態

（一）日本制造業遭受惡意活動A41APT多層加載程序模塊Ecipekac攻擊

卡巴斯基研究人員3月30日發布技術報告，披露了復雜的惡意活動A41APT的詳細信息，該活動部署惡意后門從日本制造業及其海外業務中竊取數據。

卡巴斯基研究人員將該活動稱為A41APT，（并不是APT41），并深入研究了APT10（又名Stone Panda或Cicada）使用先前未記錄的惡意軟件進行的一系列新攻擊，這些惡意軟件可以提供多達三種有效載荷，包括SodaMaster、P8RAT和FYAnti。

這項長期進行的情報收集行動于2019年3月開始啟動，直到2020年11月才發現有活動，當時有報道稱與日本有關的公司在全球17個地區成為威脅行為者的攻擊目標?？ò退够l現的最新攻擊發生在2021年1月。感染鏈利用了多階段攻擊過程，最初的入侵是通過利用未修補的漏洞或被盜憑據通過濫用SSL-VPN發生的。

該活動的核心是一種稱為Ecipekac的惡意軟件，它通過使用四個文件來加載和解密四個無文件加載器模塊，從而遍歷四層復雜加載模式，最終在內存中加載最終有效負載。

雖然P8RAT和SodaMaster的主要目的是下載并執行從攻擊者控制的服務器中檢索到的有效負載，但卡巴斯基的調查并未提供有關在目標Windows系統上交付的確切惡意軟件的任何線索。有趣的是，第三個有效載荷FYAnti本身就是一個多層加載程序模塊，它經過兩個以上連續的層，以部署稱為QuasarRAT（或xRAT）的末級遠程訪問特洛伊木馬。

卡巴斯基研究員Ishimaru Suguru Ishimaru表示，“攻擊的的運作和植入非常隱蔽，難以追蹤威脅者的活動。主要的隱形功能是無文件植入、模糊處理、反虛擬機、以及清除活動軌跡?！?/span>
 

參考來源：TheHackerNews http://dwz.date/eDdv

 

（二）印度工業企業MIDC的服務器遭受SYNack勒索軟件攻擊

印度工業公司MIDC服務器近日遭受了黑客攻擊，勒索軟件SYNack通過加密存儲在孟買MIDC總部中的信息，影響了這些服務器上的應用程序和數據庫服務器。據消息人士透露，黑客的勒索要求為50億盧比。

惡意軟件還感染了MIDC（印度馬哈拉施特拉邦工業發展公司，Maharashtra Industrial Development Corporation）各個辦公區的一些臺式電腦。攻擊者附上了一張贖金紙條，上面寫著攻擊的細節以及需要采取的步驟，以便他們解密信息。盡管如此，MIDC給出的一份聲明表示，贖金說明中沒有直接提及任何金額。黑客攻擊事件發生后，包括孟買總部在內的該州16個地區性工作場所都被關閉。

所有工業區、企業家、政府部門和MIDC確定的不同計劃的總數據可在在線系統上訪問。自從3月21日黑客攻擊之后，整個工作就停止了。MIDC與警方接洽后，網絡犯罪警方開始對黑客事件進行調查。

MIDC發布的一份聲明寫道，“3月21日，星期天凌晨2:30左右，我們收到了自動警報，我們的應用程序被關閉。經過當天的進一步分析，勒索軟件攻擊得到證實。MIDC的應用程序托管在ESDS云和和本地服務器上，ESDS云由ESDS、云服務提供商管理，本地服務器由MIDC內部團隊管理。我們擁有Trend Micro防病毒許可證，用于端點安全監控。勒索軟件的細節已與趨勢科技分享，以作進一步分析。作為一項緊急措施，MIDC系統與網絡斷開連接，以遏制病毒的傳播。不同應用服務器的備份文件存儲在云DC的不同網段上，沒有受到感染。根據網絡安全專家的建議，目前正在采取幾項措施控制病毒傳播，并將影響降至最低?！?/span>
 

參考來源：EHackingNews http://dwz.date/eCJT

 

（三）印度船運公司ECU Worldwide遭受勒索軟件攻擊

勒索軟件組織Mount Locker 3月28日在其泄露網站發帖稱，其從船舶運輸公司ECU Worldwide竊取了2 TB數據，但尚未公開任何數據。此前ECU Worldwide母公司印度AllCargo物流公司2月16日曾披露其遭受了網絡攻擊事件，影響了ECU在線平臺并導致電子郵件系統中斷。

ECU是一家無船承運人（NVOCC），專門從事拼箱貨（LCL）貨物的運輸，今年二月曾遭受網絡攻擊。該公司所有者印度AllCargo物流公司在2月16日向印度國家證券交易所提交的信件中承認了這一“網絡事件”。作為印度最大的上市公司之一，AllCargo物流沒有直接對勒索軟件組織的帖子發表評論，也沒有透露攻擊中是否有任何數據被盜。

AllCargo發言人Alok Roy在給FreightWaves的電子郵件中表示，“我們將繼續努力監控我們的系統和流程，并將采取任何必要措施，無論是合法的還是其他措施，以保護客戶的數據和利益?！盇llCargo表示，此事件影響了其某些在線平臺和ECU的電子郵件系統。2月份，The Loadstar報告稱，這次攻擊給無法與公司溝通的客戶造成了廣泛的麻煩。

Roy在一封電子郵件中表示，“盡管我們最初確實不得不暫時使系統關閉，但自事件發生以來，我們的系統已經運行了一段時間，并且我們的業務處于最佳水平?！?/span>

像Mount Locker這樣的勒索軟件組織通常威脅受害者，如果不支付贖金將公開竊取的數據，以迫使受害者支付可能高達數百萬美元的贖金。盡管Mount Locker尚未提供任何證據證明它已竊取任何數據，但它有良好的記錄來應對威脅。受害者包括英國建筑業巨頭Amey，有超過100 GB的數據泄漏。

ECU的業務性質涉及與全球的托運人、遠洋運輸公司、以及卡車和倉儲公司進行廣泛的數字通信。根據該公司的網站，ECU在全球擁有廣泛的業務，在180多個國家/地區設有300多個辦事處。ECU在美國有重要的業務，根據美國海關和邊境保護局的數據，在過去的12個月中，該公司轉移了超過38,000批貨物到美國。

雖然尚不清楚什么數據被泄露，但先前對運輸受害者的攻擊已導致涉及客戶信息的大量泄漏。黑客通常還通過發送復雜的網絡釣魚電子郵件來攻擊受害者的客戶，這些電子郵件看起來是合法的，但是包含惡意軟件。
 

參考來源：AmericanShipper http://dwz.date/eDmh

 

（四）伊朗黑客TA453針對美國及以色列醫學研究人員發起釣魚攻擊

網絡安全公司Proofpoint 3月30日報告稱，伊朗威脅行為者TA453冒充以色列知名物理學家，針對美國和以色列的專門從事遺傳、神經學和腫瘤學研究的高級醫學專業人士發起網絡釣魚活動。

TA453又名Charming Kitten、Phosphorus、APT35、Ajax Security Team、ITG18、NewsBeef、以及Newscaster，至少自2011年以來一直活躍，主要針對中東、英國和美國的激進分子、新聞記者和其他實體。

TA453在歷史上一直與伊斯蘭革命衛隊的收集重點保持一致，主要針對持不同政見者、學者、外交官和新聞工作者。Proofpoint將此次活動命名為BadBlood，原因此次活動的攻擊目標為醫務人員，但是與該組織的常規活動有所不同。盡管此次攻擊活動可能代表著TA453總體攻擊目標的轉變，但也有可能是特定短期情報收集要求的結果。BadBlood與威脅研究者日益關注的醫學研究的不斷發展趨勢保持一致。

作為該活動的一部分，在2020年12月，TA453使用了一個偽裝成以色列著名物理學家的Gmail帳戶，發送惡意電子郵件，其中包含指向一個偽造的微軟登錄頁面的鏈接，試圖獲取Outlook憑據。一旦受害者輸憑據，就會顯示一個良性的OneDrive文檔。

Proofpoint指出，在美國和以色列不同研究機構工作的多達25名高級專業人員成為此次攻擊的目標，但針對以色列人的攻擊也可能也是該地區地緣政治緊張局勢加劇的結果。

該活動的動機尚不清楚，但TA453可能試圖收集與遺傳、腫瘤學和神經學研究有關的醫學信息。攻擊者也有可能對患者信息感興趣，或者對以后的網絡釣魚活動利用目標帳戶感興趣。

Proofpoint表示，“盡管這次運動可能代表著TA453整體目標的轉變，但也有可能是一個異常值，反映了賦予TA453的特定優先情報任務?！?/span>

在調查過程中，研究人員發現了許多可以歸因的偽造品，包括戰術、領域、基礎設施組件和誘餌文件，并發現網絡釣魚活動與針對傳統TA453目標的攻擊是同時進行的。

Proofpoint總結表示，“雖然將遺傳學、神經病和腫瘤學方面的醫學專家作為目標可能不是TA453攻擊目標的持久轉變，但它確實表明TA453收集重點至少是暫時的改變。BadBlood與全球醫學研究的不斷發展趨勢相一致，而這一趨勢越來越受到間諜活動的關注和威脅?！?/span>
 

參考來源：SecurityWeek http://dwz.date/eDsC

 

（五）德國議會議員遭受俄羅斯黑客釣魚攻擊

據德國明鏡周刊報道，德國議會的多名議員疑似遭受了俄羅斯黑客發起的釣魚攻擊。威脅行為者給德國政客的私人郵箱發送釣魚郵件，攻擊者疑似是俄羅斯黑客組織Ghostwriter，該組織在俄羅斯軍事特勤局GRU的控制下工作。

據明鏡周刊報道，“聯邦議院再次成為俄羅斯黑客的攻擊目標。聯邦議院至少有7名成員的計算機遭到了攻擊。據稱，Ghostwriter組織的攻擊是通過網絡釣魚郵件發起的，向政客的私人電子郵件地址發送，冒充成可信賴的發件人，目的是劫持整個賬戶?！?/span>

目前尚不清楚攻擊者是否能夠在入侵過程中竊取敏感數據。德國聯邦議會（Bundestag）7名議員和德國地區議會31名議員遭到襲擊，其中大部分是基民盟/社民黨和社民黨的成員。

德國聯邦議院發言人Frank Bergmann在記錄中表示，此次攻擊沒有影響德國聯邦議院的基礎設施。一旦襲擊被發現，德國當局通知了受影響的政客。明鏡周刊還報道說，根據政府的說法，這些威脅行為者的目標還包括漢堡和不來梅的政治活動家。

去年8月，FireEye研究人員報告稱，GhostWriter組織發起了一場造謠活動，該活動至少于2017年3月開始，并且與俄羅斯的安全利益保持一致。與其他虛假宣傳活動不同，GhostWriter不會通過社交網絡傳播，相反，該活動背后的威脅行動者濫用了新聞網站的受害內容管理系統（CMS）或欺騙的電子郵件帳戶來傳播假新聞。

攻擊者過去常常用假內容替換網站上現有的合法文章，而不是創建新帖子。攻擊者散布了虛假的內容，包括偽造的新聞文章、引述、信件和其他旨在表現為來自目標國家軍事官員和政治人物的文件。根據專家的說法，該運動主要針對聯盟中特定國家的受眾，包括立陶宛、拉脫維亞和波蘭。

Ghostwriter運營商專注于散布虛假的引述，例如錯誤地歸因于北約eFP戰斗小組指揮官的引述，這段引語被用來宣揚駐扎在拉脫維亞的21名加拿大士兵感染了COVID-19的說法。
 

參考來源：SecurityAffairs http://dwz.date/eA5B

 

（六）拜登延長網絡攻擊制裁行政令

3月29日，美國總統拜登致信美國眾議院和參議院，要求延長針對網絡攻擊而實施的制裁行政命令。

時任總統巴拉克·奧巴馬于2015年發布的13694號行政命令，允許當局能夠封鎖從事“重大惡意網絡活動”的實體的財產。2017年1月上任的前總統唐納德·特朗普也于2017年、2018年、2019年和2020年延長了該行政命令。

拜登在信中寫道，“全部或大部分來自美國境外的人員所發起或由其指揮的重大惡意網絡活動，繼續對美國的國家安全、外交政策和經濟構成非同尋常和非常大的威脅。因此，我確定，有必要繼續執行針對重大惡意網絡活動的13694號行政命令所宣布的國家緊急狀態?！边@幾乎與特朗普在任期間的信完全相同。

信中表示，除非總統在宣布緊急狀態周年日之前的90天內延長緊急狀態，否則國家緊急狀態將自動終止?？紤]到該行政命令自奧巴馬發布以來每年都在延長，因此明年可能需要再次延長。
 

參考來源：TheWhiteHouse http://dwz.date/eDQS

 

（七）5G網絡架構存在漏洞可致信息泄露及Dos攻擊

對5G架構的最新研究發現，其網絡切片和虛擬化網絡功能中存在一個安全漏洞，可利用該漏洞來允許移動運營商5G網絡上不同網絡切片之間的數據訪問和拒絕服務攻擊。AdaptiveMobile于2021年2月4日與GSM協會分享了其研究結果，隨后將這些漏洞統稱為CVD-2021-0047。

5G是當前4G寬帶蜂窩網絡技術的演進版本，基于服務架構（SBA），該架構提供了模塊化框架來部署一組互連的網絡功能，從而允許消費者能夠發現并授權其訪問過多的服務。網絡功能還負責注冊用戶、管理會話和用戶配置文件、存儲用戶數據、以及通過基站（gNB）將用戶（UE或用戶設備）連接到互聯網。此外，SBA的每個網絡功能都可以提供特定的服務，但同時也可以向另一個網絡功能請求服務。

協調5G網絡的核心SBA的方法之一是通過切片模型。顧名思義，該想法是將原始網絡體系結構“分割”成多個獨立的虛擬網絡，這些虛擬網絡被配置為滿足特定的業務目的，這反過來又決定了該切片所需的服務質量（QoS）要求。

此外，核心網絡中的每個切片均由一組邏輯網絡功能（NF）組成，這些網絡功能可以專門分配給該分切片或在不同切片之間共享。換句話說，通過創建優先考慮某些特性（例如大帶寬）的獨立切片，網絡運營商可以制定針對特定行業的定制解決方案。

例如，移動寬帶切片可用于促進娛樂和與互聯網相關的服務，物聯網（IoT）切片可用于提供針對零售和制造業的量身定制的服務，而獨立的低延遲片可被指定用于關鍵任務需求，例如醫療保健和基礎設施。

AdaptiveMobile在對5G核心網絡切片的安全性分析中表示，“5G SBA提供了許多安全功能，其中包括從前幾代網絡技術中學到的經驗教訓。但另一方面，5G SBA是一個全新的網絡概念，它將網絡開放給新的合作伙伴和服務。所有這些都帶來了新的安全挑戰?！?/span>

這種架構不僅帶來了新的安全隱患，這些問題源于對支持傳統功能的需求，而且還源于從4G遷移到5G所帶來的“協議復雜性的大幅增加”，以及在此過程中為眾多攻擊打開了大門，其中包括：

1、通過強制使用切片區分符對特定切片執行惡意訪問，未授權攻擊者將能夠通過其他切片訪問到同類特定切片中的信息，例如獲取訪問與移動管理功能（AMF）、用戶設備的位置信息等。切片區分符是網絡運營商為區分相同類型的切片而設置的可選值。

2、通過利用遭受入侵的切片，針對另一網絡功能執行拒絕服務（DoS）攻擊。

攻擊能夠成功，因為存在設計缺陷，即沒有檢查以確保信令層請求中的切片身份與傳輸層中使用的切片身份相匹配，從而允許通過惡意網絡功能連接到5G運營商SBA的對手獲得控制權核心網絡以及網絡切片。值得注意的是，信令層是特定于電信的應用層，用于在位于不同切片中的網絡功能之間交換信令消息。

作為應對對策，除部署信令層保護解決方案以防止利用層間缺失相關性的數據泄漏攻擊之外，AdaptiveMobile建議通過在不同切片、核心網絡和外部合作伙伴之間以及共享和非共享網絡功能之間應用信令安全過濾器，將網絡劃分為不同的安全區域。

盡管當前的5G架構不支持這種保護節點，但該研究建議增強服務通信代理（SCP）以驗證消息格式的正確性，在層和協議之間匹配信息并提供與負載相關的功能以防止DoS攻擊。

研究人員表示，“這種過濾和驗證方法可以將網絡劃分為安全區域，并可以保護5G核心網絡。這些安全網絡功能之間的攻擊信息相互關聯，可以最大程度地防御復雜的攻擊者，并可以更好地緩解和加快檢測速度，同時最大程度地減少誤報?！?/span>
 

參考來源：TheHackerNews http://dwz.date/eDde

 

（八）PHP官方Git存儲庫遭到供應鏈攻擊，代碼庫被篡改

在最新的軟件供應鏈攻擊中，官方PHP Git存儲庫遭到黑客攻擊，代碼庫被篡改。

3月28日，兩個惡意提交被推送到PHP團隊在git.php.net服務器上維護的php-src Git存儲庫中?？紤]到PHP仍然是服務器端編程語言，為互聯網上超過79%的網站提供動力，這一事件令人震驚。在惡意提交中，攻擊者在上游發布了一個神秘的更改，“fix-typo”，借口這是一個小的排版更正。

然而，看看添加的第370行(其中調用了Zend_eval_string函數)，代碼實際上在運行這個被劫持的PHP版本的網站上植入了一個后門，用于獲取輕松遠程代碼執行(RCE)。

PHP開發人員Jack Birchall回應Michael Vo?í?ek表示，“如果字符串以‘Zerodium’開頭，這行代碼將從useragent HTTP頭中執行PHP代碼”。該名開發人員最先指出了這一異?，F象。

PHP維護人員Nikita Popov表示，“第一次提交是在提交幾個小時后發現的，這是提交后例行代碼檢查的一部分。這些更改顯然是惡意的，而且很快就恢復了?！贝送?，惡意提交是以PHP創建者Rasmus Lerdorf的名義進行的。

但是，與Git這樣的源代碼版本控制系統一樣，這并不令人驚訝，可以在本地簽署來自其他任何人的提交，然后將偽造的提交上傳到遠程Git服務器，在遠程Git服務器上，它給人的印象就像它確實是由上面指定的人簽署的一樣。

據PHP維護人員稱，盡管事件的全面調查仍在進行中，但這一惡意活動源于泄露的git.php.net服務器，而不是泄露個人的Git帳戶。

作為這次事件后的預防措施，PHP維護人員決定將官方PHP源代碼存儲庫遷移到GitHub。隨著這個變化的推進，Popov堅持任何代碼的變化都要直接推送到GitHub，而不是git.php.net從這一點開始。那些對PHP項目感興趣的人現在需要添加到GitHub的PHP組織中。組織成員需要在GitHub帳戶上啟用雙因素身份驗證（2FA）。
 

參考來源：BleepingComputer http://dwz.date/eB6k

 

（九）Linux系統存在兩個漏洞可繞過Spectre攻擊緩解措施

賽門鐵克網絡安全研究人員3月29日披露了基于Linux的操作系統中的兩個新漏洞，如果成功利用這兩個漏洞，攻擊者可能會繞過Spectre等攻擊的緩解措施，并從內核內存中獲取敏感信息。

賽門鐵克威脅團隊的研究人員Piotr Krysiuk發現了這些漏洞，漏洞編號為CVE-2020-27170和CVE-2020-27171，CVSS得分為5.5，影響了5.11.8之前的所有Linux內核。針對安全問題的補丁已于3月20日發布，Ubuntu、Debian和Red Hat在各自的Linux發行版中部署了針對漏洞的補丁。雖然CVE-2020-27170可被濫用來泄露內核內存中任何位置的內容，但CVE-2020-27171可用于從4 GB的內核內存范圍檢索數據。

Spectre和Meltdown首次記錄于2018年1月，它們利用現代處理器中的漏洞泄露目前在計算機上處理的數據，從而允許攻擊者繞過兩個程序之間的硬件強制邊界來獲取加密密鑰。換句話說，這兩種側通道攻擊允許惡意代碼讀取它們通常沒有權限的內存。更糟糕的是，這些攻擊還可能通過運行惡意JavaScript代碼的流氓網站遠程發起。

雖然已經設計了隔離對策，并且瀏覽器供應商已經通過降低時間測量功能的精確度來提供針對計時攻擊的保護，但緩解措施一直處于操作系統級別，而不是針對潛在問題的解決方案。

賽門鐵克發現的新漏洞旨在利用內核對擴展Berkeley數據包過濾器(EBPF)的支持來提取內核內存的內容，從而繞過Linux中的這些緩解措施。

賽門鐵克表示：“在受影響的系統上運行的非特權BPF程序可以繞過Spectre緩解，不受限制地推測性地執行越界加載。這可能會被濫用，通過旁路泄露內存內容?！本唧w地說，內核(“kernel/bpf/verifier.c”)被發現在指針算法上執行越界推測，從而破壞了Spectre的修復，并為旁路攻擊打開了大門。

在現實世界中，非特權用戶可以利用這些弱點，從共享同一臺易受攻擊的計算機的其他用戶那里獲取機密信息。研究人員稱，“如果惡意行為者能夠通過前一步獲得對可攻擊機器的訪問權限，比如將惡意軟件下載到機器上以實現遠程訪問，那么這些漏洞也可能被利用?！?/span>

這兩個漏洞的消息傳出幾周前，谷歌發布了一段用JavaScript編寫的概念驗證(PoC)代碼，用于在網絡瀏覽器中演示Spectre，并在英特爾Skylake CPU上運行Chrome 88時以每秒1千字節(kB/s)的速度泄露數據。
 

參考來源：TheHackerNews http://dwz.date/eCeg

 

（十）澳大利亞第九頻道IT網絡遭受黑客攻擊

澳大利亞廣播公司第九頻道遭受了網絡攻擊，造成運營中斷，28日早七點至下午一點的新聞節目無法播出。

該公司發給員工的一封電子郵件中表示，“我們希望通知各位，我們的系統遭到網絡攻擊，中斷了第九頻道悉尼地區的直播。我們的IT團隊日以繼夜地工作，正在全面恢復我們的系統，這些系統主要影響到我們的廣播和公司業務部門?！?/span>

該公司證實，這場史無前例的網絡攻擊影響了第九頻道的IT網絡，而其電子郵件系統似乎沒有受到影響。

內部工作人員努力工恢復了正常的播出時間，下午6點的新聞節目在墨爾本的演播室定期播出。該廣播公司希望在29日上午之前完全恢復所有節目，同時要求其工作人員在家工作。

據美國廣播公司新聞網報道，一位不愿透露身份的消息人士稱，第九頻道管理層已通知員工，懷疑是“惡意”網絡攻擊造成的。同樣為第九頻道集團所有的《澳大利亞金融評論》也報道說，這家媒體公司很可能是網絡攻擊的目標，攻擊的影響可能持續到28日以后。

該電視臺的Alicia Loxley向墨爾本觀眾證實，該電視臺遭到了大規模勒索軟件攻擊。網絡黑客以第九頻道為目標，發動了大規模勒索軟件攻擊，導致其在澳大利亞各地的網絡癱瘓。目前還沒有人聲稱對這一漏洞負責，但IT專家正在努力讓系統恢復正常。

據TV Blackbox報道，俄羅斯黑客發起的這一攻擊旨在阻止周一以俄羅斯總統普京為重點的《正在調查》節目播出。不過，《正在調查》這一集是預先錄制好的，將按計劃于周一播出。這一情況表明，第九頻道是報復行動的受害者，消息人士告訴TV Blackbox，沒有勒索金錢，這對于勒索軟件攻擊來說是非常不尋常的。
 

參考來源：SecurityAffairs http://dwz.date/eB6j

 

（十一）英國倫敦Harris教育聯合會遭受勒索軟件攻擊

英國倫敦非營利性教育機構Harris聯合會3月27日遭受了勒索軟件攻擊，IT系統及電子郵件系統受到攻擊并加密，目前均已關閉。

哈里斯聯合會（Harris Federation）是一家教育慈善機構，管理著50個倫敦及周邊地區50所中小學的37000名學生。
在檢測到攻擊后，Harris還禁用了電子郵件和固定電話系統，所有電話都被重定向到手機。Harris提供的學生設備也已被禁用，以阻止勒索軟件傳播。

Harris網站上的一份聲明顯示，“這是一種高度復雜的攻擊，將對我們的學術產生重大影響，但要弄清發生事情的確切細節并加以解決將需要時間?！盚arris聯合會目前正在與國家犯罪局、國家網絡安全中心和一家網絡安全公司合作調查此事件。

Harris聯合會表示，“我們至少是三月份針對學校的第四個攻擊目標?！痹絹碓蕉嗟挠鴮W校在類似的活動中受到攻擊。此前，英國國家網絡安全中心3月23日發布最新警報，該警報稱自2月下旬以來針對教育機構的針對性勒索軟件攻擊有所增加。

此次波勒索軟件攻擊是繼去年8月和9月影響英國教育部門的另一次勒索軟件攻擊之后發生的。其中一個影響的組織是紐卡斯爾大學，該大學受到勒索軟件DoppelPaymer的攻擊。兩周前，聯邦調查局針對針對英國和美國12個州的教育機構的Pysa勒索軟件活動的增加發布了另一項咨詢。

盡管尚無官方詳細信息說明誰是該勒索軟件背后的幕后黑手，但消息人士指出，此次的攻擊者是勒索軟件REvil。REvil在本月初襲擊了計算機廠商宏基，并要求提供5000萬美元的贖金，這是迄今為止已知的最大贖金。
 

參考來源：BleepingComputer http://dwz.date/eCdS
 

（十二）Clop勒索軟件組織泄露美國教育機構數據

3月29日，Clop勒索軟件組織開始發布從美國教育機構竊取的數據截圖，包括馬里蘭大學和加州大學在線的財務文件和護照信息。

這些截圖顯示，馬里蘭大學泄露的數據包括聯邦稅收文件、學費減免文件申請、護士委員會申請、護照和稅務摘要文件。泄露的數據包括敏感的個人數據，包括個人的照片和姓名、家庭地址、社保號碼、移民身份、出生日期和護照號碼。

加州大學默塞德分校也受到了同樣的泄露影響。通過Kela的威脅情報套件Darkbeast查看該組織發布的屏幕截圖，其中包括個人及其社保號碼、退休文件和2019/2020年福利調整請求的列表。此外，泄露的數據似乎包括員工的延遲投保福利申請表和UCPath藍盾醫療儲蓄計劃的投保請求。

Clop與一系列針對企業的網絡攻擊有關。Clop是眾多采用“雙重勒索”策略的威脅組織之一，在這種策略中，勒索軟件可能首先部署在受感染的計算機上，然后網絡犯罪分子威脅要在泄密網站上公開公司或敏感的被盜數據集，除非勒索要求得到滿足。

本月早些時候，該組織泄露了據稱屬于邁阿密和科羅拉多大學的數據。同一天，據稱屬于Shell的記錄也被發布在網上。石油巨頭Shell透露，本月早些時候，通過侵入Accellion FTA服務器，發生了一次網絡攻擊。

3月22日，Revil勒索軟件組織在一起勒索軟件事件后公布了科技巨頭宏碁的財務數據。宏碁被要求支付5000萬美元的贖金，目前尚不清楚是否支付了任何贖金。該公司沒有證實發生了勒索軟件攻擊，但確實表示發現了IT“異?！?。
 

參考來源：ZDNet http://dwz.date/eCdT

 

（十三）勒索軟件Ziggy退還受害者贖金

在勒索軟件Ziggy 2月份宣布關閉后，Ziggy勒索軟件管理員表示，他們還會把錢退還給受害者。

這是一個有計劃的行動，因為管理員在一個多星期前分享了一個“好消息”，但是并未提供任何細節。

Ziggy勒索軟件已于2月初關閉。在簡短的公告中，該操作的管理員表示，他們對自己的所作所為感到“難過”，并且“決定公布所有解密密鑰”。2月7日，他們提供了一個包含922個解密密鑰的SQL文件，受害者可以使用這些密鑰來解鎖其文件。管理員還提供了一個解密工具，使該過程變得更加容易，以及不需要互聯網連接即可工作的解密器的源代碼。

3月19日，Ziggy勒索軟件管理員表示，他們還希望將錢退還給支付贖金的受害者。28日，經過一個星期的沉默，這位管理員說他們已經準備好退還贖金。受害者可以通過指定的電子郵件地址ziggyransomware@secmail.pro與管理員聯系，并用比特幣和計算機ID證明付款，這筆錢將在大約兩周內退還至受害者的比特幣錢包中。

勒索軟件受害者通常會收到一張勒索信，上面有如何聯系網絡犯罪分子協商付款的說明。通常情況下，支付金額通過協商決定，但以比特幣支付。

Ziggy勒索軟件管理員接受采訪時表示，退款將以付款日當天的價值以比特幣計算。在過去的三個月中，比特幣的價格一直在上漲，目前其價格已接近55,000美元。Ziggy勒索軟件解密密鑰公開之日，比特幣價格約為39,000美元。在管理員宣布退還錢的五天前，比特幣飆升至61,000美元以上?？紤]到價格差，管理員以當前的比特幣價格獲利。

Ziggy勒索軟件管理員表示，他們生活在“第三世界國家”，并且他們創建該勒索軟件的動機是出于經濟原因。他們證實，最近的行動是由于擔心執法人員會采取行動。最近的警方活動中斷了Emotet和Netwalker勒索軟件之類的更大規模的業務，可能對該決定產生了很大的影響。這位管理員還聲稱，他們必須出售房屋才能償還Ziggy勒索軟件受害者的錢，并且他們計劃在退還錢款后轉而成為勒索軟件獵手。
 

參考來源：BleepingComputer http://dwz.date/eDvF

 

（十四）Gartner發布2021年八大網絡安全和風險管理趨勢

根據全球領先的信息技術研究和顧問公司Gartner的報告，隨著新冠疫情加速數字化業務轉型并給傳統網絡安全實踐帶來挑戰，為了能夠快速重塑自己所在的企業機構，安全和風險管理領導者必須應對八大趨勢。

Gartner研究副總裁Peter Firstbrook先生表示，“第一個挑戰是技能缺口。80%的企業機構告訴我們，他們很難找到和雇用安全專業人員，71%的企業機構表示這影響了他們在企業機構內部交付安全項目的能力?！?/span>

2021年安全和風險領導人面臨的其他主要挑戰包括：復雜的地緣政治局勢和不斷增加的全球法規、工作空間和工作負載從傳統網絡遷移、端點多樣性和地點的迅速增長以及不斷變化的攻擊環境，尤其是勒索軟件和商業電子郵件入侵。

以下八大趨勢反映了預計將對行業產生廣泛影響并具有巨大變革潛力的商業、市場和技術動態。

趨勢一：網絡安全網格（Cybersecurity Mesh）

網絡安全網格是一種可以在最需要的地方部署控制措施的現代化安全方法。網絡安全網格不是讓每一個安全工具在“孤島”中運行，而是通過提供基礎安全服務以及集中策略管理和協調，使各工具之間實現互操作性?，F在許多IT資產都在傳統企業邊界之外，而網絡安全網格架構使企業機構能夠將安全控制措施擴展到分布式資產。

趨勢二：身份優先安全機制（Identity-FirstSecurity）

一直以來，“任何用戶都可以隨時隨地訪問”（常被稱為“身份即新安全邊界”）是一個可望而不可及的目標。由于技術和文化的轉變，再加上疫情期間大多數人都在遠程辦公，這一理想已成為現實。身份優先安全機制將身份置于安全設計的中心位置并要求大幅改變傳統的局域網邊緣設計思路。

Firstbrook先生表示：“SolarWinds被攻擊事件表明，我們在身份管理和監控方面做得還不夠好。我們在多重認證、單點登錄和生物識別認證上花費了大量的資金和時間，但卻忽視了通過有效監控身份驗證來發現針對這一基礎設施的攻擊?！?/span>

趨勢三：繼續為遠程辦公提供安全支持（Security Support forRemote Work is Here to Stay）

Gartner2021年首席信息官議程調查顯示，目前有64%的員工能夠在家辦公。根據Gartner的調查，疫情后至少有30%至40%的人會繼續在家辦公。為了應對這一轉變，許多企業機構需要重新設計適合現代化遠程工作空間的政策和安全工具。例如需要將端點保護服務遷移至云端交付的服務。安全領導人還需要重新審視數據保護、災難恢復和備份政策，確保它們仍然適用于遠程環境。

趨勢四：對網絡敏感的董事會（Cyber-SavvyBoard of Directors）

在Gartner2021年董事會調查中，董事們將網絡安全評為僅次于監管合規的企業第二大風險源?，F在，大型企業開始在董事會層面成立專門的網絡安全委員會，該委員會由具有安全專業知識的董事會成員或第三方顧問領導。

Gartner預測，到2025年40%的董事會將設立專門的網絡安全委員會并由一名具備相關資質的董事會成員監督，而現在這一比例還不到10%。

趨勢五：安全廠商整合（Security VendorConsolidation）

Gartner 2020年首席信息調查官效力調查發現，78%的首席信息安全官從其網絡安全廠商組合中獲得的工具達到16個以上；12%達到46個以上。企業機構中數量眾多的安全產品增加了復雜性、集成成本和人員需求。在Gartner最近的一項調查中，80%的IT組織表示，他們計劃在未來三年內整合廠商。

Firstbrook先生認為：“首席信息安全官希望整合他們必須使用的安全產品和廠商數量。通過減少安全解決方案的數量，他們可以更加輕松地正確配置這些解決方案并對警報作出響應，進而改善安全風險態勢。但購買一個功能廣泛的平臺可能會帶來成本和部署時間方面的不利影響。我們建議關注長期總擁有成本（TCO），以此作為衡量成功的標準?！?/span>

趨勢六：隱私增強計算（Privacy-EnhancingComputation）

隱私增強計算技術正在不斷涌現。這項技術可以在數據被使用時（而不是在數據靜止或移動時）保護數據，從而實現安全的數據處理、共享、跨境傳輸和分析，甚至在不可信環境中也不例外。該技術在欺詐分析、情報、數據共享、金融服務（如反洗錢）、制藥和醫療方面的部署量正在增加。

Gartner預測，到2025年50%的大型企業機構將采用隱私增強計算來處理不可信環境或多方數據分析用例中的數據。

趨勢七：入侵和攻擊模擬（Breachand Attack Simulation）

入侵和攻擊模擬（BAS）工具正在不斷出現，為企業機構提供持續性的防御態勢評估，挑戰滲透測試等年度定點評估所提供的有限可視性。如果首席信息安全官在其定期安全評估中加入BAS，他們就可以幫助他們的團隊更有效地識別安全態勢缺口并更高效地確定安全舉措的優先級別。

趨勢八：機器身份管理（ManagingMachine Identities）

機器身份管理的目標是為與其他實體（如設備、應用、云服務或網關）交互的機器建立和管理身份信任?，F在，企業機構中的非人類實體日益增加，這意味著機器身份管理已成為安全策略中的重要組成部分。
 

本文版權歸原作者所有，參考來源：Gartner http://dwz.date/eDbK

 

（十五）印度癌癥藥物制造商FKOL因藏匿數據罰款5000萬美元

印度藥品制造商費森尤斯·卡比腫瘤學有限公司（FKOL）因在2013年美國食品藥品監督管理局（FDA）工廠檢查前隱瞞和銷毀記錄，被判處罰款5000萬美元。

在先前向內華達州聯邦法院提交的刑事信息中，美國指控FKOL未向FDA調查人員提供某些記錄，因此違反了《聯邦食品，藥物和化妝品法》。作為司法部刑事決議的一部分，FKOL同意承認定罪。美國地方法院法官Jennifer A. Dorsey接受了該公司的認罪，并判FKOL支付3,000萬美元的刑事罰款，并額外沒收2000萬美元，并實施旨在預防、發現并糾正與FKOL生產用于晚期病人的癌癥藥物有關的違反美國法律的行為。

司法部民事司代理總檢察長Brian M. Boynton表示，“通過隱瞞和破壞藥品制造記錄，FKOL破壞了FDA的監管權，并使易受傷害的消費者處于危險之中。今天的判決使該公司對其過去的行為負責，并試圖確保其將完全遵守其對FDA的義務?！?/span>

根據法院文件，FKOL在印度西孟加拉邦Kalyani擁有并經營著一家制造廠，該制造廠生產的活性藥物成分（API）用于分發給美國的各種抗癌藥物。在2013年1月FDA對Kalyani工廠進行檢查之前，FKOL工廠管理層指示員工從場所中刪除某些記錄，，并從計算機中刪除其他可能顯示FKOL違反FDA要求制造藥物成分的記錄。Kalyani工廠的員工從工廠中移除了計算機、硬拷貝文檔和其他材料，并刪除了包含該工廠不合規實踐證據的電子表格。

內華達州代理美國律師Christopher Chiou表示，“今天的判決反映了我們辦公室和部門的承諾，即對不負責任FDA法規的問責制公司承擔風險，損害消費者的健康和安全。我們將與我們的代理合作伙伴一道，繼續確保藥品制造商完全遵守其維護記錄和數據完整性的義務?！?/span>

FDA法規事務副專員Judy McMeekin表示，“FDA對藥品生產設施的檢查有助于確保我們藥品的強度、質量和純度。今天的判決證明，我們將繼續積極調查并將那些企圖顛覆保護公共健康要求的人繩之以法?！?/span>

FDA刑事調查辦公室、洛杉磯現場辦公室對此案進行了調查。印度中央調查局在調查此事上為美國當局提供了寶貴的幫助。司法部國際事務辦公室提供了調查協助。
 

參考來源：美國司法部 http://dwz.date/eDPF

 

（如未標注，均為天地和興工業網絡安全研究院編譯）