目   錄
 

第一章 國外關鍵信息基礎設施安全動態

（一）IoT及OT設備中存在內存分配漏洞BadAlloc

（二）高通芯片存在高危漏洞，全球約30%智能手機受到影響

（三）戴爾驅動程序存在嚴重特權提升漏洞，數億設備面臨風險

（四）思科修復SD-WAN軟件及HyperFlex HX數據平臺中嚴重漏洞

（五）惠普企業邊緣應用程序管理工具EIM存在嚴重漏洞

（六）Qualys披露郵件服務器Exim中存在漏洞21Nails

（七）新型攻擊方式繞過Spectre漏洞保護，使系統面臨風險

（八）火眼發現威脅組織UNC2529使用的三款新型惡意軟件

（九）歐洲生物研究所遭受Ryuk勒索軟件攻擊

（十）比利時政府網絡提供商Belnet遭受DDoS攻擊

（十一）美國阿拉斯加法院系統遭受網絡攻擊被迫中斷

（十二）巴西法院遭受勒索軟件REvil攻擊

（十三）醫療保健提供商Scripps Health遭受索軟件攻擊

（十四）美國國際媒體署遭受釣魚攻擊泄露員工信息

（十五）云托管提供商Swiss Cloud遭受勒索軟件攻擊

（十六）黑客利用新型惡意軟件Panda Stealer竊取加密貨幣

 

第一章 國外關鍵信息基礎設施安全動態

（一）IoT及OT設備中存在內存分配漏洞BadAlloc

微軟IoT安全研究小組Section 52近日發現了IoT和OT設備中的25個嚴重內存分配漏洞，攻擊者可以利用這些漏洞繞過安全控制，以執行惡意代碼或導致系統崩潰。這些漏洞統稱為BadAlloc，通過易受攻擊的內存程序運行惡意代碼。

這些遠程代碼執行（RCE）漏洞涵蓋超過25個CVE，并可能影響消費者和醫療IoT、工業IoT，運營技術（OT）和工業控制系統等廣泛領域。

這些漏洞存在于標準內存分配功能中，這些功能涵蓋了廣泛使用的實時操作系統（RTOS）、嵌入式軟件開發工具包（SDK）和C標準庫（libc）實現。這些發現已通過微軟安全響應中心（MSRC）和國土安全部（DHS）領導的負責任披露與供應商共享，從而使這些供應商能夠調查和修補漏洞。

受影響的產品包括：Amazon FreeRTOS版本10.4.1、Apache Nuttx OS版本9.1.0、ARM CMSIS-RTOS2 2.1.3之前版本、ARM Mbed OS版本6.3.0、ARM mbed-uallaoc版本1.3.0、Cesanta Software Mongoose OS版本2.17.0、eCosCentric eCosPro RTOS版本2.0.1至4.5.3、Google Cloud IoT設備SDK版本1.0.2、、Linux Zephyr RTOS 2.4.0之前的版本、Media Tek LinkIt SDK 4.6.1之前的版本、Micrium OS 5.10.1及更低版本、Micrium uCOS II/uCOS III版本1.39.0和更低版本、NXP MCUXpresso SDK 2.8.2之前的版本、NXP MQX版本5.1及更低版本、Redhat newlib 4.0.0之前的版本、RIOT OS版本2020.01.1、Samsung Tizen RT RTOS版本低于3.0.GBB、TencentOS-tiny 版本3.1.0、德州儀器（TI）CC32XX版本及4.40.00.07之前的版本、德州儀器（TI）SimpleLink MSP432E4XX、德州儀器（TI）SimpleLink-CC13XX 版本低于4.40.00、德州儀器（TI）SimpleLink-CC26XX 版本低于4.40.00、德州儀器（TI）SimpleLink-CC32XX 4.10.03之前的版本、Uclibc-NG 1.0.36之前的版本、Windriver VxWorks 7.0之前的版本。
鑒于IoT和OT設備的普遍性，如果成功利用這些漏洞，則對各種組織構成巨大的潛在風險。迄今為止，微軟尚未發現任何跡象表明存在利用這些漏洞的跡象。但是，微軟強烈建議組織盡快修補系統。

同時，微軟研究人員認識到修補IoT/OT設備可能很復雜。對于無法立即打補丁的設備，建議減輕控制措施，例如：通過最小化或消除易受攻擊的設備在互聯網上的暴露程度來減少攻擊面；實施網絡安全監控，以發現危害的行為指標；加強網絡分段以保護關鍵資產。

微軟Azure RTOS ThreadX在其默認配置中不易受到攻擊。Azure RTOS ThreadX文檔已更新，“只有在應用程序可以絕對保證所有輸入參數在所有情況下（包括從外部輸入派生的輸入參數）始終有效的情況下，禁用錯誤檢查才是安全的”。

微軟將這些嵌入式IoT和OT操作系統以及軟件中發現的內存溢出漏洞命名為BadAlloc。所有這些漏洞源于易受攻擊的內存功能的使用，例如malloc、calloc、realloc、memalign、valloc、pvalloc等。研究表明，作為物聯網設備和嵌入式軟件的一部分，多年來編寫的內存分配實施并未納入適當的輸入驗證。如果沒有這些輸入驗證，攻擊者可能會利用內存分配功能來執行堆溢出，從而導致目標設備上執行惡意代碼。

通過調用內存分配函數（例如malloc（VALUE））來調用內存分配漏洞，其中VALUE參數是從外部輸入動態派生的，并且其大小足以觸發整數溢出或環繞。概念如下：發送該值時，返回的結果是新分配的內存緩沖區。盡管由于環繞而分配的內存大小保持較小，但與內存分配關聯的有效負載超過了實際分配的緩沖區，從而導致堆溢出。堆溢出使攻擊者能夠在目標設備上執行惡意代碼。以下是“BadAlloc”示例：

對于具有IoT和OT設備的組織，建議采取以下緩解措施：

1、補丁程序。請遵循供應商的說明將補丁程序應用到受影響的產品。

2、如果無法打補丁，請監控。由于大多數傳統IoT和OT設備均不支持代理，因此請使用支持IoT/OT的網絡檢測和響應（NDR）解決方案（如適用于IoT的Azure Defender）和SIEM/SOAR解決方案（例如Azure Sentinel）來自動發現并持續監控設備異?；蛭唇浭跈嗟男袨?，例如與陌生的本地或遠程主機進行通信。這些是實施IoT/OT零信任策略的基本要素。

3、減少攻擊面。通過消除到OT控制系統的不必要的互聯網連接，并在需要遠程訪問時使用多因素身份驗證（MFA）來實現VPN訪問。DHS警告稱，VPN設備也可能存在漏洞，應將其更新為可用的最新版本。

4、分段。網絡分段對于零信任非常重要，因為它會限制攻擊者在初始入侵之后橫向移動并破壞重要資產的能力。特別是，應使用防火墻將物聯網設備和OT網絡與公司IT網絡隔離。
 

參考來源：Microsoft http://dwz.date/eZBy
 

（二）高通芯片存在高危漏洞，全球約30%智能手機受到影響

Check Point Research（CPR）發現，高通的移動基站調制解調器（MSM）中存在一個安全漏洞，該芯片在全球近40％的手機蜂窩通信中使用。如果受到攻擊，該漏洞允許攻擊者使用Android操作系統本身作為入口點，將惡意代碼注入手機，從而訪問短信和電話對話音頻。

高通MSM在Google、三星、LG、小米和One Plus的高端手機中使用。該漏洞還可能允許攻擊者解鎖移動設備的SIM卡。CPR提醒了高通確認并解決此問題，并通知了手機使用者。

隨著全球智能手機用戶數量超過30億，移動設備供應商努力開發新的技術創新以改善其設備。在這樣一個競爭激烈且快速增長的市場中，供應商通常依賴高通（Qualcomm）等第三方來生產用于電話的硬件和軟件。

高通公司提供各類芯片，嵌入到占手機市場40％以上的設備中，其中包括來自Google、三星、LG、小米和OnePlus的高端手機。2020年8月，Check Point Research（CPR）在高通的Snapdragon DSP（數字信號處理器）芯片上發現了400多個漏洞，威脅到手機的可用性。

對此CPR研究人員發布了博客文章，旨在提高人們對與該漏洞相關的潛在風險的認識。然而，CPR決定不發布完整的技術細節，直到受影響的移動供應商找到減輕該可能風險的綜合解決方案。CPR與相關政府官員和移動供應商合作，協助他們提高手機的安全性。

這次發現的漏洞位于高通公司的移動基站調制解調器（MSM）上，MSM是嵌入在移動設備中的一系列系統芯片，包括其5G MSM。5G是繼4G/LTE之后的下一個移動技術標準。自2019年以來，世界各國一直在實施基礎設施以實現這一目標。到2024年，估計全球5G用戶將達到19億。

自20世紀90年代初以來，MSM一直是高通公司為高端手機設計的。它支持4G LTE和高清錄制等高級功能。MSM一直并將繼續成為安全研究和網絡犯罪分子的熱門目標。畢竟，黑客一直在尋找遠程攻擊移動設備的方法，例如發送短信或特制的無線數據包，與移動設備進行通信，并有能力控制移動設備。利用這些第三代合作伙伴計劃（3GPP）技術并不是進入調制解調器的唯一入口點。

Android還具有通過高通MSM接口（QMI）與MSM芯片的處理器進行通信的能力，這是一種專有協議，可實現MSM中的軟件組件與設備上的其他外圍子系統（例如相機和指紋掃描儀）之間的通信。根據Counterpoint Technology Market Research的調查，全球約30％的移動電話中都存在QMI。然而，關于它作為一種可能的攻擊媒介的作用知之甚少。

CPR發現，如果安全研究人員想要實施調制解調器調試器來探索最新的5G代碼，則最簡單的方法是通過QMI利用MSM數據服務，當然網絡犯罪分子也可以。在調查過程中，研究人員發現調制解調器數據服務中存在一個漏洞，該漏洞可用于控制調制解調器并從應用程序處理器動態修補它。

這意味著攻擊者可能已經利用此漏洞將惡意代碼從Android注入到調制解調器中，從而使他們能夠訪問設備用戶的呼叫歷史記錄和SMS，以及監聽設備用戶的對話。黑客還可以利用此漏洞來解鎖設備的SIM卡，從而克服服務提供商對其施加的限制。

CPR認為，這項研究是移動芯片研究非常受歡迎的領域中的一項潛在飛躍。研究人員希望發現此漏洞將使安全研究人員可以更輕松地檢查調制解調器代碼，這是當今眾所周知很難完成的任務。

CPR負責地向高通公司披露了在此次調查中發現的信息，高通公司確認了該問題，將其定義為高危漏洞，漏洞編號為CVE-2020-11292，并通知了相關設備供應商。

與傳統端點相比，移動設備呈現出不同的威脅面。要保護這些設備的安全，請遵循以下針對移動設備的最佳安全性最佳做法：

1、應始終將移動設備更新為操作系統的最新版本，以防止利用漏洞；

2、僅安裝從官方應用程序商店下載的應用程序，降低下載和安裝移動惡意軟件的可能性；

3、在所有移動設備上啟用“遠程擦除”功能。所有設備都應啟用遠程擦除，以最大程度地減少丟失敏感數據的可能性；

4、在設備上安裝安全解決方案。
 

參考來源：CheckPointResearch http://t.hk.uy/Em

 

（三）戴爾驅動程序存在嚴重特權提升漏洞，數億設備面臨風險

戴爾5月4日披露，其大量系統上存在的固件更新驅動程序受到一系列嚴重漏洞的影響。戴爾表示，這些漏洞是由于訪問控制問題不足造成的，本地經過身份驗證的攻擊者可以利用這些漏洞進行權限提升、拒絕服務(DoS)或信息泄露。

CrowdStrike、OSR Open Systems Resources、IOActive和SentinelOne的研究人員報告了這些安全漏洞。

SentinelOne表示，他們總共發現了五個漏洞，其中四個可用于權限提升，另一個可用于DoS攻擊，其原因為內存崩潰、缺乏輸入驗證和代碼邏輯問題。如果利用該漏洞進行權限提升，則對目標設備具有任何類型訪問權限的攻擊者都可以使用內核模式權限執行任意代碼?？梢岳眠@些漏洞來繞過安全產品。

這些漏洞統稱為CVE-2021-21551，CVSS評分為8.8分，只能在Windows系統上利用，戴爾明確表示Linux不受影響。

戴爾表示，有問題的驅動程序dbutil_2_3.sys通過各種固件更新實用程序包以及其他類型的工具提供，包括BIOS更新、迅雷固件更新、TPM固件更新和塢站固件更新實用程序。當使用其中一個受影響的實用程序時，驅動程序安裝在戴爾設備上。包括戴爾命令更新、戴爾更新、Alienware更新、戴爾系統庫存代理和戴爾平臺標簽。

SentinelOne相信，該驅動程序存在于全球數億臺戴爾臺式機、筆記本電腦、筆記本電腦和平板電腦設備上。

戴爾已發布修復程序，并建議用戶立即刪除易受攻擊的驅動程序文件。戴爾已經提供了一份可能受到影響的數百種產品的清單。

SentinelOne表示，該易受攻擊的驅動程序可能會在戴爾自2009年以來出廠的設備上找到。然而，沒有證據表明它被惡意攻擊所利用。SentinelOne發布了一篇博客文章，詳細介紹了他們的發現，但會在下個月分享其概念驗證(PoC)漏洞，讓用戶有時間解決這個問題。
 

參考來源：SecurityWeek http://dwz.date/eZXQ

 

（四）思科修復SD-WAN軟件及HyperFlex HX數據平臺中嚴重漏洞

思科5月6日發布了修補程序，解決了產品組合中的數十個漏洞，其中包括SD-WAN軟件和HyperFlex HX數據平臺中的嚴重漏洞。

SD-WAN vManage軟件中修復了兩個嚴重漏洞及三個高危漏洞，這些漏洞不相互依賴，利用這些漏洞不需要利用其它漏洞。其中一個嚴重漏洞CVE-2021-1468 CVSS得分為9.8分，可能允許未經身份驗證的遠程攻擊者調用特權操作，甚至創建新的管理帳戶，從而能夠查看、更改或刪除數據。另一個嚴重漏洞CVE-2021-1505 CVSS得分為9.1分，影響SD-WAN vManage基于Web的管理界面，并且允許攻擊者獲得更高的權限。

SD-WAN vManage中的三個高危漏洞包括獲得權限提升CVE-2021-1508、造成DoS狀態CVE-2021-1275、及獲得對服務的未經授權訪問CVE-2021-1506。

思科表示，針對這些漏洞還沒有解決方法。受影響的產品包括IOS XE SD-WAN、SD-WAN vEdge路由器、SD-WAN vBond Orchestrator、SD-WAN vEdge云路由器、SD-WAN vSmart Controller軟件。

思科還宣布了針對HyperFlex HX安裝程序虛擬機基于Web的管理界面中的關鍵漏洞的修補程序，該漏洞可能導致以root用戶身份執行命令，漏洞編號為CVE-2021-1497，CVSS評分為9.8分。另一個高危漏洞CVE-2021-1498 CVSS評分7.3分，也會導致命令注入攻擊。

思科還修復了SD-WAN、Small Business 100、300和500系列路由器、企業NFV基礎結構軟件（NFVIS）、Unified Communications Manager IM＆Presence服務、Windows版AnyConnect安全移動客戶端中的多個高危漏洞。思科還發布了針對SD-WAN和其他產品中各種中危漏洞的修復程序。思科表示，這些漏洞還沒有在攻擊中被利用。

參考來源：SecurityWeek http://t.hk.uy/Hj

 

（五）惠普企業邊緣應用程序管理工具EIM存在嚴重漏洞

Tenable研究人員發現，惠普企業（HPE）的邊緣應用程序管理工具Edgeline Infrastructure Manager中存在身份驗證繞過漏洞，攻擊者能夠利用該漏洞實施遠程身份驗證繞過攻擊，并滲透到客戶的云基礎設施中。HPE敦促其客戶修復該工具。

該漏洞為嚴重漏洞，CVSS得分為9.8，會影響HPE的Edgeline Infrastructure Manager(EIM)1.21之前的所有版本。EIM是HPE兩年前推出的邊緣計算管理套件。建議用戶更新到HPE EIM v1.22或更高版本以修復該漏洞。

TENABLE的研究人員在1月下旬首次發現了該漏洞CVE-2021-29203，并在2月1日通知了HPE該嚴重漏洞。4月29日HPE發布了對漏洞的修復。據HPE稱，十多個版本的軟件受到影響，運行在CentOS 7、Red Hat Enterprise Linux、SuSE和多個版本的Windows等操作系統上。

HPE產品安全響應小組在安全公告中表示，“在HPE EIM軟件中發現一個安全漏洞。該漏洞可以被遠程利用、繞過遠程身份認證、從而導致執行任意命令、獲得特權訪問、導致拒絕服務并改變配置?！?/span>

根據Tenable的說法，遠程身份驗證繞過漏洞與HPE如何處理管理員帳戶的密碼重置相關。

Tenable表示，“當用戶第一次使用現有管理員帳戶的默認密碼登錄到web應用程序時，系統會提示用戶更改該帳戶的密碼。通過向URL/redfish/v1/SessionService/ResetPassword/1發送請求來執行密碼更改。然而，在密碼更改之后，未經驗證的遠程攻擊者可以使用相同的URL重置管理員帳戶的密碼。攻擊者下一步要做的就是用更新的管理員密碼登錄Web應用程序，通過向URL/redfish/v1/SessionService/Sessions發送請求登錄到web應用程序。攻擊者隨后可以通過向URL/redfish/v1/AccountService/AccountService/Accounts/1發送請求來更改操作系統超級用戶帳戶的密碼。這使得攻擊者能夠以超級用戶身份通過SSH連接到EIM主機?！盨SH是系統管理員最常用于遠程命令行請求、系統登錄以及遠程命令執行的網絡協議。

Tenable發布了這次攻擊的概念證明。根據Tenable的說法，從Tenable的研究人員讓HPE注意到這個漏洞到部署修復程序已經過去了87天。
 

參考來源：ThreatPost http://t.hk.uy/anV

 

（六）Qualys披露郵件服務器Exim中存在漏洞21Nails

Qualys研究人員發現，郵件服務器Exim中存在21個安全漏洞，統稱為21Nails，其中十個嚴重漏洞可使用戶面臨遠程代碼執行攻擊。Exim是一個廣泛使用的郵件服務器，過去曾被國家威脅行為者作為攻擊目標。

Qualys警告稱，該公司自去年10月以來就向Exim報告了這些漏洞，并指出，其中一些漏洞至少自2004年以來就存在于Exim中。

Qualys表示，“我們最近審核了Exim郵件服務器的中央部分，發現了21個漏洞（從CVE-2020-28007到CVE-2020-28026，再加上CVE-2021-27216）。11個本地漏洞和10個遠程漏洞。除非另有說明，否則至少從2004年Git歷史開始以來，所有版本的Exim都會受到影響?！?/span>

Qualys表示，在研究過程中，其團隊成功利用了三個遠程代碼執行漏洞和四個本地權限提升漏洞，從而獲得了易受攻擊的郵件服務器上的超級用戶訪問權限。

Qualys表示，“我們暫時不會發布我們的漏洞利用程序。取而代之的是，我們鼓勵其他安全研究人員編寫和發布自己的漏洞利用程序。該通報包含足夠的信息，為這些漏洞開發可靠的漏洞利用程序。實際上，我們相信存在更好的利用方法?！?/span>

Exim維護人員提供的另一條說明包含有關應用安全補丁的信息。該組織將應對這些安全問題的拖延歸咎于“幾個內部原因”。
雖然Exim不像Microsoft Exchange那樣為許多人所熟悉，但Exim已被廣泛部署，估計為互聯網一半以上的郵件服務器提供支持，并預裝在幾個Linux發行版中。根據E-soft 2021年3月的一次掃描，大約60%的可公開訪問的電子郵件服務器運行Exim。

Exim服務器過去一直是高級威脅行為者的攻擊目標，美國國家安全局在2020年5月警告稱，與俄羅斯有關聯的威脅行為者一直在利用這種廣受歡迎的電子郵件服務器的安裝進行攻擊。2019年6月，多名網絡罪犯利用Exim CVE-2019-10149漏洞進行攻擊，其中包括至少一名威脅行為者試圖安裝加密挖掘軟件。

參考來源：SecurityWeek http://t.hk.uy/aeb
 

（七）新型攻擊方式繞過Spectre漏洞保護，使系統面臨風險

2018年1月，當影響現代處理器的一類關鍵漏洞“幽靈”(Spectre)被公開披露時，發現該漏洞的研究人員表示，“由于它不容易修復，它將在很長一段時間內困擾我們”，并解釋了命名投機性執行攻擊背后的靈感。事實上，已經過去了三年多了，而且Spectre還沒有結束的跡象。

弗吉尼亞大學(University Of Virginia)和加州大學圣地亞哥分校(University of California，San Diego)的一個學者團隊發現了一種新的攻擊，繞過了目前芯片內置的所有Spectre保護，可能會讓幾乎所有系統，包括臺式機、筆記本電腦、云服務器和智能手機，再次面臨風險，就像三年前一樣。

Spectre和Meltdown的披露在某種程度上打開了閘門，在這之后的幾年里，這些攻擊的無數變體被曝光，盡管英特爾、ARM和AMD等芯片制造商一直在整合防御措施，以緩解允許惡意代碼直接從計算機內核內存讀取密碼、加密密鑰和其他有價值信息的漏洞。

Spectre的核心是計時側通道攻擊，它打破了不同應用程序之間的隔離，并利用CPU硬件實現中稱為推測執行的優化方法來欺騙程序訪問內存中的任意位置，從而泄露它們的機密。

研究人員表示，“Spectre攻擊會誘使處理器沿著錯誤的路徑執行指令。即使處理器恢復并正確完成了任務，黑客也可以在處理器走錯路的同時訪問機密數據?！?/span>

這種新的攻擊方法利用微操作緩存，這是一種將機器指令分解為更簡單的命令，并加快計算速度的片上組件，作為泄露秘密信息的輔助通道。微操作緩存自2011年以來一直內置于基于英特爾的機器中。

弗吉尼亞大學助理教授Ashish Venkat表示，“英特爾針對Spectre的防御措施稱為LFENCE，它將敏感代碼放置在等待區域中，直到執行安全檢查為止，然后才允許執行敏感代碼。但是事實證明，這個等待區域的墻壁上有耳朵，我們的攻擊利用了這些耳朵。我們展示了攻擊者如何將微操作緩存用作隱蔽通道，從而通過它偷運機密?！?/span>

研究人員詳細介紹稱，在AMD ZEN微體系結構上，可以利用微操作披露原語來實現帶寬為250Kbps、誤碼率為5.59%或168.58 Kbps并進行糾錯的隱蔽數據傳輸通道。

英特爾在其應對針對加密實現的計時攻擊的指導方針中，建議堅持恒定時間編程原則，這是一種說起來容易做起來難的做法，因此僅靠軟件更改不足以減輕投機性執行帶來的威脅。

Venkat在一份聲明中表示，“恒定時間編程不僅對程序員的實際工作而言是困難的，而且還帶來了與修補所有敏感軟件有關的高性能開銷和重大部署挑戰。實際上，使用恒定時間原理編寫的代碼所占的百分比非常小，依靠這一點是很危險的。這就是為什么我們仍然需要保護硬件的原因?！?/span>

但是，利用Spectre漏洞是困難的。為了防止新的攻擊，研究人員建議刷新微操作緩存，這是一種首先抵消使用緩存獲得的性能優勢的技術，利用性能計數器來檢測微操作緩存中的異常，并根據分配給代碼的特權級別對其進行分區，以防止未經授權的代碼獲得更高的權限。

研究人員表示，“微操作緩存作為一種旁道有幾個危險的含義。首先，它繞過了所有將緩存作為輔助通道來緩解的技術。其次，這些攻擊不會被任何現有的攻擊或惡意軟件配置文件檢測到。第三，由于微操作緩存位于管道的前端，因此在執行之前，某些通過限制推測性緩存更新來緩解Spectre和其他臨時執行攻擊的防御措施仍然容易受到微操作緩存攻擊?！?/span>
 

參考來源：TheHackerNews http://t.hk.uy/WC

 

（八）火眼發現威脅組織UNC2529使用的三款新型惡意軟件

FireEye的Mandiant網絡安全團隊5月4日發表博客文章表示，其在2020年12月檢測到威脅組織UNC2529使用了三款新型惡意軟件Doubledrag、Doubledrop和Doubleback。美國、歐洲、中東和非洲、亞洲和澳大利亞的組織遭受了兩次攻擊。

該組織UNC2529使用了大量基礎結構、量身定制的網絡釣魚誘餌和經過專業編碼的惡意軟件，該威脅行為者似乎“經驗豐富且資源豐富”。

發送給潛在受害者的網絡釣魚信息很少基于相同的電子郵件地址，而且主題是為目標量身定制的。在很多情況下，攻擊者會偽裝成客戶主管，兜售適合不同行業的服務，包括國防、醫藥、運輸、軍事和電子。

總共有50多個域名被用來管理全球釣魚計劃。在一次成功的攻擊中，UNC2529成功侵入了一家美國供暖和制冷服務公司擁有的域名，篡改了DNS記錄，并利用該結構對至少22個組織發起了網絡釣魚攻擊。

這些誘餌郵件包含指向惡意PDF有效載荷的URL鏈接，以及一個附帶的JavaScript文件，該文件包含在ZIP文件中。這些從公共來源獲取的文檔已損壞，無法閱讀。因此人們認為，受害者可能會厭煩到雙擊.js文件試圖閱讀內容。

Mandiant表示，被嚴重混淆的.js文件包含Doubledrag下載器。另外，一些活動使用帶有嵌入式宏的Excel文檔來提供相同的有效負載。執行時，Doubledrag會嘗試下載Dropper作為攻擊鏈的第二階段。這個Dropper程序Doubledrop是一個混淆的PowerShell腳本，旨在通過將后門加載到內存中，在受感染的計算機中建立立足點。后門是最終的惡意軟件組件Doubleback，這是在32位和64位版本中創建的惡意軟件。

Mandiant表示，“后門一旦獲得執行控制權，就會加載其插件，然后進入通信循環，從其命令和控制C2服務器獲取命令并分發。關于整個生態系統的一個事實是，文件系統中只有下載程序。其余組件在注冊表數據庫中序列化，這使得它們的檢測變得有些困難，特別是通過基于文件的反病毒引擎?！?/span>

有跡象表明，這些惡意軟件仍在開發中，因為現有的功能會掃描是否存在反病毒產品（如卡巴斯基和BitDefender的產品）。但是即使被檢測到，也不會采取任何行動。對該新型惡意軟件的分析正在進行中。
 

參考來源：ZDNet http://dwz.date/eZvk

 

（九）歐洲生物研究所遭受Ryuk勒索軟件攻擊

歐洲一家生物分子研究所遭受了Ryuk勒索軟件攻擊，因為其一名學生下載了一款盜版的數據可視化軟件。使用盜版軟件不僅是非法的，而且還是惡意軟件感染的常見來源。

威脅行為者通常創建虛假的軟件破解下載站點、YouTube視頻和種子來分發惡意軟件。在過去，研究人員已經發現軟件破解下載網站分發勒索軟件（如STOP和Exorcist）、加密貨幣礦工、信息竊取木馬。

在該研究所遭受Ryuk勒索軟件攻擊后，Sophos的應急響應團隊迅速做出反應，并消除了網絡攻擊。這次攻擊使該研究所損失了一周的研究數據，并造成長達一周的網絡中斷，因為服務器是從頭開始重建的，數據是從備份中恢復的。

在對攻擊進行取證之后，Sophos確定威脅參與者的初始入口點是一個使用學生憑證的RDP會話。該研究所與大學生合作，幫助他們完成研究和其他任務。作為合作的一部分，學院為學生提供遠程登錄他們的網絡的登錄憑證。

在獲得了學生的筆記本電腦的訪問權限并分析了瀏覽器歷史記錄之后，攻擊者了解到該學生搜索了一款昂貴的數據可視化軟件工具，該軟件在工作中使用，并想要安裝在家用電腦上。

這位學生沒有花幾百美元購買許可證，而是搜索了一個破解版本并從warez網站下載了該版本。但是，該學生沒有獲得預期的軟件，而是感染了竊取信息的木馬。該木馬記錄了擊鍵、竊取了Windows剪貼板的歷史記錄、并竊取了密碼，包括Ryuk威脅行為者登錄該研究所使用的相同憑據。

Sophos應急響應經理Peter Mackenzie表示，“這些盜版軟件惡意軟件背后的運營商不太可能與發起Ryuk攻擊的運營商相同。以前受到攻擊的網絡的地下市場為攻擊者提供了容易的初始訪問機會，這一情況正在蓬勃發展，因此我們認為，惡意軟件運營商將其訪問權出售給了另一位攻擊者。RDP連接本來可以是訪問代理測試他們的訪問?！?/span>

過去幾年來，致力于銷售遠程訪問憑據的市場蓬勃發展，并已成為勒索軟件團伙用來訪問公司網絡的常見帳戶來源。這些竊取的憑證中有許多是使用信息竊取木馬收集的，然后在這些市場上以低至3美元的價格逐筆出售。

就在最近，研究人員還獲得了UAS泄露數據的訪問權限，UAS是最大的Windows遠程桌面憑據市場之一。該數據表明，在過去三年中，UAS市場上有130萬個帳戶要出售，為威脅者提供了龐大的受害者目標。

不幸的是，總會有人為錯誤的可能性，用戶總是會打開網絡釣魚電子郵件并下載破解軟件。但是，正確配置網絡安全性可以防止此攻擊，例如要求遠程桌面連接使用MFA，并限制從特定位置或IP地址的訪問。
 

參考來源：BleepingComputer http://t.hk.uy/W3

 

（十）比利時政府網絡提供商Belnet遭受DDoS攻擊

比利時政府網絡5月4日遭到不明組織發動的分布式拒絕服務攻擊（DDoS），導致內外部連線服務中斷，迄今尚未完全修復，Belnet 5月6日稱情況已得到控制。

受到攻擊的是比利時政府資助的負責該國政府單位網絡連線的ISP Belnet Network。根據Belnet網頁說明，DDoS攻擊發生在當地時間5月4日中午左右，造成內部網站運作中斷，僅能依靠手動更新。到當天晚上，Belnet表示經過實施多項緩解措施，問題已逐漸縮小，不過仍未能恢復正常營運。

Belnet服務中斷據稱已影響200多個比利時國家政府單位、科學研究機構及大學等。許多政府單位一度連視頻會議都被迫取消，包括國會針對中國維吾爾議題將要展開的辯論。目前比利時國會網站、最高行政法院已恢復營運，但根據美聯社報導，其他單位如國稅局稅務及電子表單入口網站、經濟事務部、以及疫情資訊網站，則仍處于斷線狀態。目前網絡中斷尚未搶修完畢，比利時政府尚未對DDoS攻擊公布說法。Belnet 5月6日稱情況已得到控制。

這是半年來最新一起西方政府網站遭到攻擊。加拿大政府去年8月遭受了黑客攻擊，導致當地公民身份驗證信息泄露。挪威及芬蘭國會電子郵件系統，也在去年10月及12月被黑客入侵，竊取了議員的信件。

本文版權歸原作者所有，參考來源：iThome http://t.hk.uy/ags
 

（十一）美國阿拉斯加法院系統遭受網絡攻擊被迫中斷

美國阿拉斯加法院系統5月1日遭受了網絡攻擊，暫時中斷了大部分互聯網業務，法院網站已下線，也取消了查詢法院記錄服務。

法院官員稱，這一威脅活動干擾了電子法庭文件，中斷了在線支付，并阻止了幾天內的電視會議聽證會。阿拉斯加最高法院首席法官Joel Bolger表示，“我認為在未來幾天內可能會帶來一些不便，可能會取消一些聽證會，或者某些法官決定從電視會議轉為電話會議程序等。我們還沒有弄清所有這一切?！?/span>

法院系統在書面聲明中表示，他們正在努力從其服務器中刪除惡意軟件。該聲明表示，“目前，法院系統不認為有任何機密的法院文件或雇員信息已經泄露，但是如果出現這種情況，會立即通知任何受影響的個人。目前沒有客戶的信用卡信息被泄露?！?/span>

5月2日，法院系統在其Facebook和Twitter上發布消息稱，所有在押庭審將按計劃進行。消息顯示，“地方法院已與司法合作伙伴取得聯系，讓他們知道任何變化?！?/span>

Bolger表示，有法院官員在4月29日注意到“某些服務器和個人計算機出現異?！?，并在30日聘請了一名專家。該專家表示，確實有人試圖滲透到電腦系統。目前尚不清楚該惡意軟件是尋找信息還是尋求資金。

Bolger表示，“我認為我們在早期階段就發現了這一點。我不知道這些行為者的動機?！盉olger拒絕評論異常是如何發現的，只是說“大約”有3,000臺計算機受到了影響。目前法院的電話號碼仍然正常，這可能需要幾天時間才能確定損壞程度。
 

參考來源：SecurityWeek http://dwz.date/eYYH

 

（十二）巴西法院遭受勒索軟件REvil攻擊

巴西南里奧格蘭德州法院（TJRS）4月28日遭受了REvil勒索軟件攻擊，對員工的文件進行了加密，并迫使法院關閉了網絡。

攻擊于28日早晨開始，當時員工突然發現他們的所有文檔和圖像都無法訪問，并且勒索信件已出現在Windows桌面上。

攻擊開始后不久，TJRS官方Twitter帳戶警告員工不要在本地或通過遠程訪問登錄網絡系統。TJRS法院系統在Twitter上表示，“TJRS的在計算機系統面臨著不穩定。系統安全團隊建議內部用戶不要遠程訪問計算機，也不要登錄TJ網絡內的計算機?！?/span>

一位名為Brute Bee的巴西安全研究員共享了勒索信件的截圖。勒索信件顯示該勒索軟件組織是REvil，研究人員確認發起此次攻擊的是勒索軟件組織REvil。勒索贖金為500萬美元，來換取解密文件且不泄露數據。在一份音頻錄音中，一個人稱這種攻擊是“可怕”和“有史以來最糟糕的事情”，而IT人員在急于恢復千萬臺設備時遭受了“歇斯底里的壓力攻擊”。

這種網絡攻擊并不是對巴西法院系統遭受的第一次勒索軟件攻擊。去年11月，巴西高級法院遭到RansomEXX勒索軟件組織的攻擊，該組織在視頻會議開庭之際就開始對設備進行加密。同時，其他巴西聯邦政府機構的網站也處于離線狀態，但尚不清楚這些網站關閉是為了安全起見還是受到攻擊。

參考來源：BleepingComputer http://dwz.date/eXVX

 

（十三）醫療保健提供商Scripps Health遭受索軟件攻擊

圣地亞哥非營利醫療保健提供商Scripps Health遭受了勒索軟件攻擊，迫使該組織暫停用戶對其主頁的訪問，轉而采用其他方法進行病人護理操作。攻擊發生后，患者服務已經中斷，一些重癥監護患者已被轉移到其他醫院。

Scripps Health在5月1日晚檢測到了這次攻擊，并暫停了用戶對MyScripps和Scripps.org等連接到醫療設施的應用程序的訪問。2日，這家醫療保健提供商在一條消息中解釋稱，盡管IT應用程序處于離線狀態，但“我們的設施繼續安全有效地提供患者護理”。

不過，Scripps Health在Facebook上表示，一些地方仍然對病人護理開放，例如門診急救中心、Scripps HealthExpress和急診。

該組織補充表示，這項工作是使用既定的備份流程完成的。據圣地亞哥聯合論壇報報道，醫務人員依賴紙質記錄，對患者生命體征的電子監測也受到了攻擊的影響。內部通知顯示，勒索軟件攻擊影響了兩家醫院的計算機系統，包括獲取醫療成像的權限。
由于此次攻擊，Encinitas、La Jolla、San Diego、及Chula Vista的醫院不再接收中風或心臟病發作的患者，這些患者被轉移到其他醫療機構。Scripps Health正在努力恢復正常運營，并已將情況通報執法部門和政府組織。

Scripps Health擁有五家醫院和19個前哨機構，2600多名醫生。根據財富雜志數據顯示，Scripps Health每年要治療70多萬名患者。2020年，Scripps Health的季度收入超過7.9億美元，成為勒索軟件組織的一個有吸引力的攻擊目標，這些組織完全受利益驅使而沒有道德標準。
 

參考來源：BleepingComputer http://t.hk.uy/aqp
 

（十四）美國國際媒體署遭受釣魚攻擊泄露員工信息

美國國際媒體署(USAGM)近日披露，其發生了一起數據泄露事件，泄露了現任和前任雇員及其受益者的個人信息。

USAGM是一個美國政府機構，其使命是“讓全世界人民了解、參與并聯系起來，以支持自由和民主”。USAGM運營著廣播網絡，如美國之音、自由歐洲電臺、古巴廣播辦公室、自由亞洲電臺和中東廣播網絡，向世界各地的人們提供新聞和信息。

美國國際媒體署的前身是1994年設立的美國廣播事業管理委員會（BBG），負責管理美國對外宣傳的國際廣播活動。被稱為美國政府喉舌的美國之音（VOA）和自由亞洲電臺（RFA）等都屬于它。

在美國之音前白宮記者Dan Robinson分享的一份數據泄露通知中，USAGM透露，他們在2020年12月遭受釣魚攻擊后發生了數據泄露。該網絡釣魚攻擊允許攻擊者訪問該機構的電子郵件帳戶，該電子郵件帳戶包含2013至2020年間在該機構工作的現任和前任USAGM、美國之音和古巴廣播辦公室員工的個人信息。泄露的信息包括員工的姓名和社保號碼，可能還有他們的受益人和家屬。

USAGM表示，他們在得知被入侵的消息后，立即保護了受影響的賬戶的安全，并開始向員工提供網絡釣魚教育。同時還加快了針對Office 365、SharePoint和OneDrive賬戶的多因素認證(MFA)的使用。

雖然USAGM提供了一年免費Experian IdentityWorks訂閱服務，但這可能來得太晚了。Robinson表示，他得知這些信件是在2021年4月13日發給現有員工的，也就是威脅者訪問這些數據的四個月后。這種長時間的延遲可能會給黑客更多的時間來對那些在數據泄露中暴露的人進行進一步的釣魚攻擊或身份盜竊。受影響人士應警惕利用被盜數據的潛在釣魚詐騙，并警告其家人也要小心。
 

參考來源：BleepingComputer http://t.hk.uy/aqC

 

（十五）云托管提供商Swiss Cloud遭受勒索軟件攻擊

瑞士云托管提供商Swiss Cloud 4月27日遭受了勒索軟件攻擊，嚴重影響了其服務器基礎設施，該公司目前正在HPE和Microsoft的專家的幫助下，從備份中恢復操作。

該公司在其狀態頁面上發布了一份聲明，“在4月27日的網絡攻擊之后，Swiss Cloud計算公司正在進行清理系統和恢復正常運行的工作。備份系統可以用于恢復。受攻擊影響的部分復雜服務器網絡必須首先單獨清理，并使用相應的時間效應重新配置。清理和恢復服務器的工作，Swiss Cloud公司得到了來自HPE和微軟系統合作伙伴的專家的支持，這讓我們有理由相信，這些系統將在未來一周再次可用。這項工作還將在周末24小時輪班進行?！笔苡绊懙姆掌黝A計將在下周恢復。

Swiss Cloud目前還沒有提供有關安全漏洞的信息，比如涉及的惡意軟件家族、要求的贖金金額，以及攻擊者是如何破壞主機提供商的。

據稱，此次勒索軟件攻擊已經影響了該供應商的6500多名客戶，包括德國人力資源軟件巨頭Sage。
 

參考來源：SecurityAffairs http://t.hk.uy/apS

 

（十六）黑客利用新型惡意軟件Panda Stealer竊取加密貨幣

趨勢科技研究人員5月4日發表文章稱，其發現了一種名為Panda Stealer的新型信息竊取惡意軟件，正在通過垃圾郵件發送，針對美國、澳大利亞、日本及德國的攻擊目標。該惡意軟件通過網絡釣魚電子郵件開始其感染鏈，上傳到VirusTotal的樣本表明，受害者已通過Discord鏈接從惡意網站下載了可執行文件。

Panda Stealer的網絡釣魚電子郵件偽裝成企業報價請求。到目前為止，已經有兩種方法與該活動相關聯。第一種方法使用附件的.XLSM文檔，該文檔要求受害者啟用惡意宏。如果允許使用宏，則加載程序將下載并執行主竊取程序。

在第二種方法中，附加的.XLS文件包含一個Excel公式，該公式隱藏了PowerShell命令。此命令嘗試訪問paste.ee URL，以將PowerShell腳本拉到受害者的系統中，然后獲取無文件有效負載。

趨勢科技表示，“Visual Basic中的CallByName導出功能用于從paste.ee URL調用內存中的.NET程序集。使用Agile.NET模糊處理程序進行模糊處理的加載程序集將合法的MSBuild.exe進程挖空，并用其有效負載替換。來自另一個paste.ee URL的十六進制編碼的Panda Stealer二進制文件?！?/span>

下載完成后，Panda Stealer將嘗試檢測與持有包括以太坊（ETH）、萊特幣（LTC）、字節幣（BCN）和達世幣（DASH）等資金的加密貨幣錢包相關的密鑰和地址。此外，該惡意軟件還可以截屏、泄露系統數據、并竊取包括瀏覽器Cookie和NordVPN、Telegram、Discord和Steam帳戶憑據等信息。

雖然該活動并未歸因于特定的網絡攻擊者，但趨勢科技表示，對惡意軟件的活動命令與控制（C2）服務器的檢查導致該團隊找到了IP地址和從Shock Hosting租用的虛擬專用服務器（VPS）。此后服務器已被掛起。

Panda Stealer是Collector Stealer的一種變體，該惡意軟件過去曾在地下論壇和Telegram渠道上出售。此后，該惡意軟件似乎已被名為NCP/su1c1de的俄羅斯威脅行為者破解。破解后的惡意軟件種類相似，但使用不同的基礎結構元素，例如C2 URL和文件夾。

趨勢科技研究人員指出，“由于破解的Collector Stealer生成器可以在網上公開訪問，網絡犯罪分子和腳本都可以使用它來創建自己的定制版本的竊取程序和C2面板。威脅行為者還可以利用Collector Stealer的特定功能來增強其惡意軟件活動。

趨勢科技表示，攻擊鏈和無文件分發方法與Phobos勒索軟件存在相似之處。具體來說，如Morphisec所述，Phobos的“Fair”變體在分發方式上相似，并且會不斷更新以減少其占用空間，例如減少加密要求，以便盡可能長時間地處于監視之下。研究人員還在2021年4月的一份報告中指出了Phobos和LockBit之間的關聯性。
 

參考來源：ZDNet http://t.hk.uy/Jx
 

（如未標注，均為天地和興工業網絡安全研究院編譯）