目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）澳門衛生局電腦系統遭惡意攻擊

第二章 國外關鍵信息基礎設施安全動態

（一）美國油氣管道商Colonial遭受勒索軟件攻擊

（二）西門子修復多款產品中數十個漏洞

（三）FragAttacks漏洞影響全球所有WiFi設備

（四）拜登簽署行政令增強美國網絡安全防御能力

（五）美國多情報機構警告5G基礎設施存在潛在威脅

（六）日本制造商Yamabiko遭受Babuk勒索軟件攻擊

（七）新型惡意軟件Snip3攻擊航空航天領域組織

（八）新型惡意軟件TeaBot攻擊歐洲60多家銀行

（九）釣魚活動Roaming Mantis竊取亞洲安卓用戶信息

（十）研究人員發現TsuNAME漏洞可對DNS服務器進行DDoS攻擊

（十一）美國FBI及澳大利亞ACSC警告Avaddon勒索軟件攻擊

（十二）美國塔爾薩市市政系統遭受勒索軟件攻擊全部關閉

（十三）United Valor泄露美國20萬退伍軍人信息

（十四）新加坡大華銀行遭到詐騙，泄露千余中國公民信息

（十五）全球超過2.9萬個數據庫未受保護可公開訪問

 

第一章 國內關鍵信息基礎設施安全動態

（一）澳門衛生局電腦系統遭惡意攻擊

澳門特區政府衛生局公布，5月7日上午約10時30分，發現電腦系統遭到惡意網絡攻擊，影響健康碼、醫療券、新冠病毒疫苗和核酸檢測等系統的正常運作。經衛生局與澳門電訊有限公司緊急搶修后，所有電腦系統現已恢復正常。

衛生局表示，發現問題時，已實時啟動應變方案，立即進行系統搶修，同時通知各口岸臨時改用粵康碼通關，進入醫療場所改用紙質健康碼等。

上午約11時，新冠疫苗預約和接種系統恢復正常，11時15分，健康碼系統恢復正常。在此期間，各醫院和衛生中心的運作正常，沒有受到影響。

澳門司法警察局網絡安全中心當天也發現衛生局網絡系統出現異常，經排查后發現屬惡意網絡攻擊，已隨即立案展開偵查。

本文版權歸原作者所有，參考來源：中國新聞網 http://t.hk.uy/cPC

 

第二章 國外關鍵信息基礎設施安全動態

（一）美國油氣管道商Colonial遭受勒索軟件攻擊

美國最大的油氣管道商Colonial當地時間5月7日遭受了DarkSide勒索軟件攻擊，為了應對該事件，該公司暫時關閉了所有管道的運營。Colonial負責美國東海岸近一半的燃料供應來源。5月9日，美國宣布進入國家緊急狀態，這是美國首次因網絡攻擊而宣布進入國家緊急狀態。5月13日，Colonial向黑客支付了500萬美元贖金，燃油運輸管道全線恢復運營。

總部設于喬治亞州的Colonial Pipeline是美國最大的精煉油管道系統，每天運送多達1億加侖的汽油、柴油、航空燃油與家用燃料油，占美國東岸燃油供應的45%，也負責美國7個機場的燃油供應。

Colonial Pipeline公司5月7日晚間表示，該公司遭受了網絡攻擊，導致該公司主動關閉了某些系統，并暫時停止了所有管道運營。該公司表示，此次攻擊對其部分IT系統造成了影響，但沒有說明其OT系統是否受到直接影響Colonial在5月9日的更新中稱，該事件涉及勒索軟件。

該公司已經聘請了第三方網絡安全公司FireEye對此次事件的性質和范圍展開調查。

該管道運營商在一份聲明中表示，“Colonial Pipeline正在采取措施，了解并解決這一問題。目前，我們的主要關注點是安全高效地恢復服務，并努力恢復正常運營。我們正在努力解決這個問題，盡量減少對客戶和那些依賴Colonial Pipeline的人的影響?！?/span>

就在該事件發生的幾天前，美國國家安全局(NSA)發布了一份網絡安全建議，重點關注OT系統的安全，特別是與IT系統的連接。去年，美國國家安全局(NSA)和網絡安全和基礎設施安全局(CISA)發布了聯合警報，敦促關鍵基礎設施運營商立即采取措施，減少OT系統受到網絡攻擊的風險。2019年，美國政府問責局(GAO)的一項審計顯示，美國國土安全部(DHS)運輸安全管理局(TSA)需要解決其管道安全計劃關鍵方面的管理弱點。2014年，美國的幾家天然氣管道運營商受到了一次網絡攻擊的影響，攻擊了第三方通信系統，但這起事件確實影響了運營技術。在對TSA如何管理其管道安全計劃進行審查后，美國政府問責局于2018年12月提出了一系列建議，以解決發現的弱點，其中包括更新管道安全指南，規劃勞動力需求，評估管道風險，以及監測計劃績效。早在2012年，國土安全部(DHS)就警告稱，惡意行為者一直在瞄準天然氣行業。
 

參考來源：SecurityWeek http://t.hk.uy/dmf

 

（二）西門子修復多款產品中數十個漏洞

西門子5月11日發布了十四份安全公告，修復了約60個因使用第三方組件而引入的漏洞，以及西門子產品中存在的漏洞。影響的產品包括RUGGEDCOM、SCALANCE、SIMATIC、SINEMA、SINAMICS等。西門子建議使用其產品的組織安裝更新并應用緩解措施，以降低被利用的風險。

與第三方組件有關的漏洞修復了Linux內核中的SAD DNS緩存漏洞、UltraVNC和SmartVNC遠程訪問工具中的數十個漏洞、Mendix模塊中的兩個漏洞、Intel CPU驅動的工業PC及其他設備的六個漏洞、及阿魯巴即時接入點（IAP）中的十九個漏洞。這些安全漏洞中有許多為嚴重漏洞及高危漏洞，可被利用來進行信息泄露、DoS攻擊和遠程執行代碼。

西門子產品存在的漏洞涉及SCALANCE設備處理OSPF數據包的DoS漏洞；Tecnomatix Plant Simulation產品處理SPP文件的DoS漏洞、代碼執行漏洞、數據提取漏洞；以及SIMATIC NET CP設備處理特制TCP數據包的DoS漏洞。

其他漏洞包括：無需對SIMATIC HMI產品進行身份驗證即可利用的DoS漏洞、以及可用于獲得對某些SIMATIC HMI面板的完全遠程訪問的Telnet身份驗證問題。
 

參考來源：SecurityWeek http://t.hk.uy/c3r

 

（三）FragAttacks漏洞影響全球所有WiFi設備

紐約大學阿布扎比分校計算機安全博士后Mathy Vanhoef 5月11日發布《碎片與偽造：通過幀聚合和碎片化攻擊Wi-Fi》論文，發現了12個WiFi漏洞，統稱為FragAttacks，其中三個為Wifi設計漏洞，九個為Wifi實施漏洞。攻擊者可利用這些漏洞竊取傳輸數據，并繞過防火墻攻擊網絡上的設備。這些漏洞影響了自1997年無線網絡技術推出以來的所有Wi-Fi安全協議，從WEP到WPA3。

Vanhoef與合著者Frank Piessens在2017年發現了WPA2協議上的秘鑰重新安裝攻擊（KRACKs）。此次最新研究項目發現的漏洞名為FragAttacks，意為碎片和聚合攻擊（Fragmentation and Aggregation Attacks）。

Vanhoef在論文中解釋，“一個設計漏洞存在于幀聚合功能中，另外兩個漏洞存在于幀碎片功能中。這些設計漏洞使攻擊者能夠以各種方式偽造加密幀，進而使敏感數據得以泄漏?！?/span>

他還發現實施幀聚合（組合多個網絡數據幀）和幀碎片（將網絡數據幀分割成較小的片段）的實現方式存在漏洞，這些漏洞會放大潛在攻擊的影響。802.11幀聚合漏洞涉及翻轉幀頭中的未經身份驗證的標志，這允許對加密的數據有效負載進行解析，就像它是多個聚合幀而不是簡單的網絡數據包一樣。該論文解釋，“我們濫用此方法注入任意幀，然后通過使其使用惡意DNS服務器來攔截受害者的流量。實際上，我們測試過的所有設備都容易受到這種攻擊?！?/span>

研究人員總共對75種設備進行了測試，包括網卡和操作系統Windows、Linux、Android、macOS和iOS，所有設備均受到一種或多種攻擊的影響。NetBSD和OpenBSD不受影響，因為它們不支持接收A-MSDU，即聚合MAC服務數據單元。

其中一個幀碎片化設計漏洞，盡管一個幀的所有碎片都是用相同的密鑰加密的，但不需要數據接收者來對此進行驗證。Vanhoef在論文中解釋，“我們證明了對手可以通過混合使用不同密鑰加密的片段來濫用這張丟失的支票來偽造幀并竊取數據?！?/span>

另一個設計漏洞，在連接到其他網絡時，幀接收器不會被迫從內存中刪除不完整的片段。Vanhoef通過將惡意片段注入到片段緩存中來設法濫用了這一點，這相當于能夠注入任意數據包。

實施漏洞包括以下問題：數據接收器不檢查片段是否屬于同一幀，從而使攻擊者混合并匹配偽造幀；不檢查幀片段是否已加密；以及處理握手消息以注入純文本聚合幀。

要基于這些漏洞進行攻擊，攻擊者必須在受害者和適用的Wi-Fi接入點的范圍內。然后，攻擊者將欺騙受害者進行某種網絡交互，例如從攻擊者控制的服務器下載圖像。

此后，攻擊者可以通過網絡發送惡意的IPv4數據包。數據包將像往常一樣被加密，但是攻擊者隨后將設置一個標志，以便將數據視為聚合幀，從而可以進行任意數據包注入，例如路由器公告以使用惡意DNS服務器。

Vanhoef在GitHub上發布了一個工具來測試Wi-Fi客戶端和訪問點是否易受攻擊，并且還在YouTube上發布了PoC攻擊演示。
Vanhoef發現的漏洞包括：

CVE-2020-24588：聚合攻擊（接受非SPP A-MSDU幀）；

CVE-2020-24587：混合密鑰攻擊（重組使用不同密鑰加密的片段）；

CVE-2020-24586：片段緩存攻擊（重新連接到網絡時不從內存中清除片段）；

CVE-2020-26145：接受純文本廣播片段作為完整幀（在加密網絡中）；

CVE-2020-26144：接受以太類型 EAPOL（在加密網絡中）以RFC1042標頭開頭的純文本A-MSDU幀；

CVE-2020-26140：在受保護的網絡中接受純文本數據幀；

CVE-2020-26143：在受保護的網絡中接受分段的純文本數據幀；

CVE-2020-26139：即使發件人尚未通過身份驗證，也要轉發EAPOL幀（應僅影響AP）；

CVE-2020-26146：重新組合具有非連續數據包編號的加密片段；

CVE-2020-26147：重新組合混合的加密/純文本片段；

CVE-2020-26142：將片段幀作為完整幀進行處理；

CVE-2020-26141：不驗證分段幀的TKIP MIC。

由于受到Wi-Fi聯盟和互聯網安全提升行業聯盟（ICASI）監督的為期9個月的協調負責的公開，已經為許多受影響的設備和軟件部署了補丁程序。Linux補丁已經被應用，內核郵件列表中提到英特爾已經解決了最近固件更新中的漏洞。微軟在2021年3月9日發布了補丁。Vanhoef建議與Wi-Fi設備供應商聯系，以核實是否已解決FragAttacks。此漏洞對某些設備的影響很小，而對有些設備則是災難性的。
 

參考來源：TheRegister http://t.hk.uy/cKh
 

（四）拜登簽署行政令增強美國網絡安全防御能力

美國總統拜登5月12日簽署了一項行政令，以改善美國國家網絡安全和保護聯邦政府網絡。最近的網絡安全事件，如SolarWinds、Microsoft Exchange和Colonial Pipeline事件提醒人們，美國公共和私營部門實體越來越面臨來自民族國家行為者和網絡罪犯的復雜惡意網絡活動。這些事件的共同點，包括網絡安全防御不足，使公共和私營部門實體更容易受到事件的影響。

這項行政命令通過保護聯邦網絡、改善美國政府和私營部門在網絡問題上的信息共享、以及增強美國在發生事件時的應對能力，為網絡安全防御現代化作出了重大貢獻。這是美國政府為使國家網絡防御現代化而采取的許多雄心勃勃的步驟中的第一步。然而，Colonial Pipeline事件提醒人們，僅靠聯邦政府的行動是不夠的。美國的許多關鍵基礎設施都由私營部門擁有和運營，這些私營部門的公司在網絡安全投資方面有自己的決定。鼓勵私營企業效仿聯邦政府的做法，采取措施來增加和調整網絡安全投資，以最大程度地減少未來事件的發生。

具體而言，該行政令將：

1、消除政府和私營部門之間共享威脅信息的障礙。行政命令確保IT服務提供商能夠與政府共享信息，并要求他們分享某些違規信息。IT提供商通常猶豫不決或無法主動共享有關威脅的信息。有時這可能是由于合同義務造成的，在其他情況下，提供商可能只是不愿共享有關其自身安全漏洞的信息。消除任何合同障礙，并要求供應商共享可能影響政府網絡的違規信息，對于聯邦部門實現更有效的防御，以及提高整個國家的網絡安全是必要的。

2、在聯邦政府中實現現代化并實施更強有力的網絡安全標準。該行政命令有助于聯邦政府推動確保云服務和零信任架構的安全，并要求在特定時間段內部署多因素身份驗證和加密。過時的安全模型和未加密的數據導致了公共和私營部門系統受到損害。聯邦政府必須帶頭并增加其對安全最佳實踐的采用，包括采用零信任安全模型、加快云服務安全化進程、以及不斷部署多因素身份驗證和加密之類的基礎安全工具。

3、改善軟件供應鏈的安全性。該行政命令將通過制定銷售給政府的軟件開發的基線安全標準，從而提高軟件的安全性，包括要求開發人員對其軟件保持更高的可見性，并公開安全數據。它代表著公共和私營部門同時進行的過程，以開發新的創新方法來確保軟件開發的安全，并利用聯邦采購的力量來激勵市場。最后，它創建了一個試點項目，創建一個“能源之星”類型的標簽，這樣政府和廣大公眾就可以快速確定軟件開發是否安全。大多數軟件，包括關鍵軟件，都附帶了攻擊者可以利用的重大漏洞。這是一個長期存在的眾所周知的問題，但是很長一段時間以來一直在努力。需要利用聯邦政府的購買力來推動市場，從頭開始為所有軟件建立安全機制。

4、成立網絡安全審查委員會。該行政命令設立了一個網絡安全安全審查委員會，由政府和私營部門領導共同牽頭，該委員會可能在發生重大網絡事件后召開會、分析發生的情況、并就改善網絡安全提出具體建議。組織經常重復過去的錯誤，沒有從重大網絡事件中吸取教訓。當出現問題時，政府和私營部門需要提出困難的問題，并作出必要的改進。該委員會以國家運輸安全委員會為原型，該委員會在飛機墜毀和其他事件之后使用。

5、為應對網絡事件創建標準行動手冊。該行政命令為聯邦部門和機構應對網絡事件制定了一套標準化的行動手冊和定義。組織不能等到受到威脅后才知道如何應對攻擊。最近的事件表明，在政府內部，應對計劃的成熟程度差別很大。該行動手冊將確保所有聯邦機構達到一定的門檻，并準備采取統一的步驟來識別和減輕威脅。該行動手冊還將為私營部門的應對工作提供一個模板。

6、改進聯邦政府網絡上網絡安全事件的檢測。該行政命令通過啟用政府范圍內的端點檢測和響應系統以及改進聯邦政府內部的信息共享，提高了在聯邦網絡上檢測惡意網絡活動的能力?；A網絡安全工具和實踐的緩慢和不一致的部署會使組織組織容易受到對手的攻擊。聯邦政府應在網絡安全方面發揮主導作用，在整個政府范圍內進行強大的端點檢測和響應（EDR）部署以及強大的政府間信息共享至關重要。

7、提高調查和補救能力。該行政命令為聯邦部門和機構制定了網絡安全事件日志要求。不良的日志記錄妨礙了組織檢測入侵、減輕正在進行的入侵以及事后確定事件程度的能力。一致的日志記錄實踐將解決大部分這個問題。
 

參考來源：TheWhiteHouse http://t.hk.uy/cCT
 

（五）美國多情報機構警告5G基礎設施存在潛在威脅

美國國家安全局（NSA）、國家情報局局長辦公室（ODNI）、國土安全部（DHS）網絡安全和基礎設施安全局（CISA）5月10日聯合發布了一篇名為《5G基礎設施潛在威脅向量》的分析報告，識別并評估了應用5G帶來的風險和漏洞。該報告向美國5G利益相關者通報了相關問題，以制定綜合解決方案。

該報告研究了5G中的三個主要威脅向量：標準、供應鏈及系統架構。該報告包括對5G環境的已知和潛在的威脅匯總、可能采用5G的示例場景、以及對5G核心技術的風險評估。

5G政策定義和實施不當可能會帶來嚴重的風險，例如，參與起草工作的國家可能會試圖影響標準，以使其專有技術受益。此外，國家可能缺乏對運營商未實施的可選控制的定義。

該報告還強調了5G供應鏈的風險，例如惡意軟件和硬件的引入、假冒組件、不良設計、制造流程和維護程序等?！坝捎?G技術的廣泛吸引力以及隨之而來的部署熱潮，加劇了這些風險的暴露。這可能會導致負面后果，如數據和知識產權被盜、對5G網絡完整性的喪失信心、或被利用而導致系統和網絡故障?！?/span>

威脅參與者可能利用5G架構中的弱點作為攻擊媒介。5G系統架構使用越來越多的ICT來滿足日益增長的數據、容量和通信需求。不管怎樣，威脅參與者都可以利用舊的和新的缺陷來攔截、操縱、破壞和銷毀關鍵數據?！斑@些威脅和漏洞可能被惡意威脅行為者用來對組織和用戶造成負面影響。如果不持續關注5G威脅向量，及早發現系統架構中的漏洞，新的漏洞將增加網絡事件的影響?！?/span>
 

參考來源：NSA http://t.hk.uy/cG8
 

（六）日本制造商Yamabiko遭受Babuk勒索軟件攻擊

日本工業機械制造商Yamabiko近日遭受了Babuk勒索軟件攻擊，Babuk組織在其數據泄露網站上公布了從Yamabiko竊取的一些數據，包括員工個人身份信息、產品示意圖、財務數據等。Babuk聲稱竊取的數據總共有0.5 TB。

Yamabiko總部位于東京，是電動工具和農用及工業機械制造商，2008年由Kioritz和Shindaiwa合并而來，這兩家公司保留了自己的品牌，同時還推出了第四個品牌Echo。公司現有員工三千多人，年收入超過10億美元。

Yamabiko是hands-on-keyboard勒索軟件攻擊的首選目標，此類勒索軟件通常使用“Living off the Land”的技術和像Cobalt Strike這樣的合法工具，在網絡內部橫向移動并竊取數據。

Babuk組織上個月暗示，它對華盛頓特區警察局的攻擊將是最后一次，并威脅要公布竊取的有關警官和線人的數據。然而，Babuk隨后刪除了這份在線聲明，并聲稱將把其代碼提供給“勒索軟件即服務”(Ransomware as a Service, RaaS)參與者使用。

Blue Hexagon首席技術官Saumitra Das表示，Babuk過去曾與利用VPN漏洞在受害者網絡中站穩腳跟的攻擊有關?！坝捎诮衲暧楷F出大量的CVE漏洞，攻擊者現在已開始攻擊公司的基礎結構，而不是通常的網絡釣魚作為第一攻擊入口點，即發現泄露的憑證或開放的RDP。這種感染方法繞過了防火墻等基于預防的外圍防御，并需要使用網絡檢測和響應來發現基于簽名的技術所缺少的攻擊痕跡?！?/span>
 

參考來源：InfoSecurity http://t.hk.uy/c3e

 

（七）新型惡意軟件Snip3攻擊航空航天領域組織

微軟近日發現了一場針對航空航天和旅游組織的魚叉式網絡釣魚活動，并警告稱，其使用的多重遠程訪問特洛伊木馬(RAT)使用了一種新型隱形惡意軟件加載程序。

攻擊者正在使用釣魚電子郵件欺騙合法組織，并進一步使用圖像引誘這些公司打開包含與航空、旅游和貨運等多個行業相關信息的PDF文檔。

微軟表示，這項活動正朝著最終目標邁進，即利用RAT的遠程控制、鍵盤記錄和密碼竊取功能，從受感染的設備中獲取和過濾數據。

一旦部署，該惡意軟件允許攻擊者竊取憑證、屏幕截圖和網絡攝像頭數據、瀏覽器和剪貼板數據、系統和網絡信息，并通常通過SMTP端口587竊取數據。

該活動與以往觀察到的其他攻擊活動不同的是，采用并設計為繞過檢測的RAT加載程序。這款新發現的加載程序采用加密即服務(Crypter-as-a-Service)模型，被Morphisec惡意軟件分析師命名為Snip3，用于在被破解的系統上釋放Revenge RAT、AsyncRAT、Agent Tesla和NetWire RAT有效載荷。

鏈接濫用合法的web服務和嵌入釣魚消息下載第一階段VBScript VBS文件，執行第二階段PowerShell腳本，該腳本反過來使用進程中空執行最終的RAT有效負載。
 

參考來源：HackRead http://t.hk.uy/dr8

 

（八）新型惡意軟件TeaBot攻擊歐洲60多家銀行

意大利米蘭在線欺詐防范公司Cleafy威脅情報和事件響應團隊發現了一款新型Android惡意軟件，自2021年1月以來一直針對整個歐洲的用戶。該惡意軟件名為TeaBot，處于開發的早期階段，但具備遠程完全控制目標設備、竊取登錄憑據、發送和攔截短信、提取銀行數據等功能。

到目前為止，Cleafy威脅研究團隊已經在意大利、西班牙、德國、比利時和荷蘭等歐洲國家確定了60多家被TeaBot惡意軟件攻擊的銀行。該惡意軟件支持6種不同的語言，即德語、英語、意大利語、法語、西班牙語和荷蘭語。

該惡意軟件的其他功能允許其運營商從設備中刪除現有應用程序、更改音頻設置（如使設備靜音）、讀取電話簿、讀取“電話狀態”等，這意味著攻擊者可以識別受害者的電話號碼、通話狀態、當前蜂窩網絡信息等。

此外，TeaBot惡意軟件會不斷顯示彈窗，迫使受害者接受可訪問性服務權限，從而不斷獲取受感染設備的屏幕截圖，并濫用Androidd輔助功能服務。這樣一來，惡意軟件就可以充當鍵盤記錄程序，并跟蹤受害者在手機上所做的一切。

此外，一旦感染了設備，TeaBot就會竊取谷歌認證2FA代碼、破壞設備上的其他賬戶、并禁用谷歌Play保護功能。

據研究人員稱，TeaBot惡意軟件背后的威脅者最初使用了一個名為“TeaTV”的惡意應用程序來傳播其感染。然而，在2021年4月，該應用的名字被改成了一些流行的應用，如DHL、UPS、VLC MediaPlayer和Mobdro。

值得注意的是，臭名昭著的Flubot銀行木馬也使用相同的誘餌來感染Android設備，但研究人員并沒有這兩個惡意軟件之間有任何聯系。
 

參考來源：HackRead http://t.hk.uy/ds4

 

（九）釣魚活動Roaming Mantis竊取亞洲安卓用戶信息

自2018年以來，一個名為Roaming Mantis的威脅活動冒充了一家物流公司，竊取了來自亞洲安卓用戶的短信和聯系人列表。去年，Roaming Mantis通過發送網絡釣魚URL消息和動態DNS服務來進行攻擊，從而提高了攻擊的有效性，攻擊者使用重復的Chrome擴展程序“MoqHao”。

從2021年1月開始，Mcafee移動研究團隊已經證實，該組織正在使用名為SmsSpy的最新惡意軟件攻擊來自日本的用戶。惡意代碼會感染使用兩個版本的安卓用戶，這取決于目標設備使用的操作系統版本。

攻擊者使用的網絡釣魚技術與早期的活動有相似之處，但Roaming Mantis的URL的標題仍為“post”。另一個網絡釣魚消息冒充為比特幣處理程序，然后將目標定向到惡意站點進行網絡釣魚，在該站點中要求受害者允許未經授權的登錄嘗試。

McAfee報告稱，“在調查期間，我們觀察到網絡釣魚網站hxxps：//bitfiye[.]com重定向到hxxps：//post.hygvv[.]com。重定向的URL也包含單詞“post”，與第一個屏幕截圖的格式相同。通過這種方式，攻擊背后的參與者試圖通過從類似于目標公司和服務的域中重定向來擴展SMS網絡釣魚活動的變體?！弊鳛閻阂廛浖职l程序的特征，將發送不同的惡意軟件，這取決于獲得登錄網絡釣魚站點的Android OS版本。在Android OS 10及更高版本中，將下載惡意的Google Play應用程序。在Android OS 9和更早的版本中，將下載惡意的Chrome應用程序。

由于受感染的代碼需要在每次Android OS更新中進行更新，因此，惡意軟件參與者通過傳播找到操作系統的惡意軟件來針對更多系統，而不僅僅是嘗試使用單一惡意軟件類型來獲取少量惡意軟件。McAfee表示，“此惡意軟件的主要目的是從受感染的設備中竊取電話號碼和SMS消息。該惡意軟件運行后，假裝為Chrome或Google Play應用，然后請求默認的消息應用程序讀取受害者的聯系人和SMS消息?！?/span>
 

參考來源：EHackingNews http://t.hk.uy/dgz

 

（十）研究人員發現TsuNAME漏洞可對DNS服務器進行DDoS攻擊

安全研究人員發現，域名服務器（DNS）生態系統中存在一個漏洞tsuNAME，攻擊者可利用該漏洞來放大流向DNS權威服務器的流量，并執行分布式拒絕服務（DDoS）攻擊。攻擊者可以濫用受TsuNAME影響的遞歸解析器，將大量查詢發送給目標授權服務器。
該漏洞是由SIDN Labs（.nl荷蘭域名注冊機構）、InternetNZ（.nz新西蘭域名注冊機構）和南加州大學信息科學研究所的研究人員發現DNS流量異常攻擊其權威服務器后發現的。

遞歸解析器也稱為DNS遞歸器，它位于客戶端和DNS名稱服務器的中間，用于幫助DNS服務器與其他DNS服務器通信，以查找IP地址并返回嘗試與任何DNS服務器連接的客戶端通過瀏覽器訪問網站。

要了解TsuNAME漏洞的工作方式，重要的是區分權威性域名系統和遞歸域名系統（DNS）服務器之間的區別。目前，大多數在線提供的DNS服務器都是遞歸服務器，這些服務器接受用戶的DNS查詢并將其轉發到權威DNS服務器，該DNS服務器的作用類似于電話簿，并且可以返回特定域名的DNS響應。

在正常情況下，每天有數百萬個遞歸DNS服務器向權威DNS服務器發送數十億個DNS查詢。這些權威的DNS服務器通常由大型公司和組織（如內容交付網絡、大型技術巨頭、互聯網服務提供商、域名注冊商或政府組織）托管和管理。

根據研究人員發表的研究報告，攻擊者可以制作惡意DNS查詢，利用遞歸DNS軟件中的漏洞，將格式錯誤的查詢不停地發送到其權威DNS服務器。

tsuNAME攻擊依賴于易受攻擊的遞歸DNS軟件和權威DNS服務器上的錯誤配置，可用于在上游權威服務器上創建流量高峰。研究人員表示，如果威脅參與者在攻擊中注冊了足夠多的遞歸DNS服務器，則他們可以創建足夠大的DDoS攻擊，從而摧毀關鍵的互聯網節點。

研究人員表示，“我們發現某些DNS解析器軟件在遇到域名的循環相關NS記錄配置錯誤時開始循環運行?？梢允褂么搜h來對付權威服務器?！?/span>

研究人員發布了一款名為CycleHunter的工具，權威DNS服務器的運營商可以使用該工具在其DNS區域文件中查找循環依賴性。消除這些循環依賴性，即使遞歸DNS軟件尚未收到補丁，也可以防止攻擊者利用tsuNAME進行DDoS攻擊。

研究人員表示，他們已通知Google和Cisco，谷歌的Google Public DNS（GDNS）和思科的OpenDNS服務已被濫用，以應對去年關閉.nz和.nl注冊服務商的攻擊。目前仍在努力識別易受攻擊的DNS解析器軟件，但是已經排除了Unbound、BIND和KnotDNS等工具，它們不受tsuNAME攻擊影響。

研究人員表示，“我們感謝Google和Cisco修復了此漏洞，因為它們是互聯網上最大的DNS服務之一。但是，還有許多其他解析器可能會受到tsuNAME的攻擊?！?/span>

tsuNAME似乎是一個意外出現的漏洞，到目前為止，還沒有發現任何惡意或有意攻擊，不過這種情況將來可能會改變。

研究人員表示，他們使用CycleHunter在七個頂級域（TLD）中評估了約1.84億個域名，發現了約1400個域名使用了44個循環相關的NS記錄，可能來自配置錯誤，這些記錄可能會被濫用以進行未來的攻擊。
 

參考來源：TheRecord http://t.hk.uy/bDf

 

（十一）美國FBI及澳大利亞ACSC警告Avaddon勒索軟件攻擊

澳大利亞網絡安全中心（ACSC）和美國聯邦調查局（FBI）發布警告稱，勒索軟件Avaddon正在活動，針對全球多個行業發起網絡攻擊，包括政府、金融、能源、制造業和醫療保健，涉及的國家包括美國、英國、德國、法國、中國、意大利、巴西、印度、阿聯酋、法國和西班牙。

該勒索軟件自2019年2月開始活躍，在地下網絡犯罪論壇上以勒索軟件即服務（RaaS）的形式發布廣告。犯罪組織租用勒索軟件、破壞受害者公司、然后部署Avaddon軟件來鎖定系統并索要贖金。

美國聯邦調查局和澳大利亞網絡安全中心在5月5日及7日發布的警報中稱，截至2021年5月，世界各地各行各業都有Avaddon的受害者。

聯邦調查局表示，該組織利用安全性較低的系統，讓員工遠程訪問自己的網絡，從而損害了受害者的利益。FBI表示，“Avaddon勒索軟件行為者通過遠程訪問單因素身份驗證登錄憑據（如遠程桌面協議RDP和虛擬專用網VPN）和配置不當的RDP威脅了受害者?！?/span>

ACSC及FBI表示，攻擊者通常避免攻擊位于獨立國家聯合體（CIS）的組織，也參與了雙重勒索計劃。如果受害者拒絕支付贖金來獲取解密密鑰以恢復其文件，而是選擇從備份中恢復，則攻擊者進入第二勒索階段，威脅會泄露其在加密文件之前從網絡中竊取的敏感文件。這些數據通常在名為“泄密網站”暗網門戶網站上分幾個階段泄漏，Avaddon于2020年8月仿效其他勒索軟件操作啟動了泄露網站。

根據FBI的說法，這些泄漏階段通常遵循以下模式：

1、泄漏警告：最初獲得受害者網絡訪問權后，Avaddon參與者將贖金記錄留在受害者的網絡上，并在Avaddon TOR泄漏網站上發布“泄漏警告”，包括文件截圖（如敏感文件）和訪問受害者網絡證據（如網絡文件夾截圖）。

2、5％泄漏：如果受害者沒有在3-5天內迅速支付贖金，Avaddon勒索軟件會通過泄露一部分文件（并不是截圖）來增加對受害者的壓力。Avaddon通過將一個小的ZIP文件上傳到Avaddon的TOR泄漏網站來泄漏此數據。

3、完全泄漏：如果在5％泄漏后仍未支付贖金，Avaddon會將其所有竊取的數據發布在Avaddon TOR泄漏網站的“完整轉儲”部分中的大型ZIP文件中。

此外，在其RaaS產品廣告中，Avaddon稱其有能力對組織實施分布式拒絕服務（DDoS）攻擊，以便向受害者施加更大的壓力。但是聯邦調查局表示，截至2021年4月，他們尚未發現任何涉及DDoS攻擊的Avaddon事件。

今年Avaddon勒索軟件攻擊并不是最普遍的，根據MalwareHunterTeam的數據，自今年年初以來，該組織每周都穩定的有10-20名受害者。

為了幫助公司準備和應對Avaddon攻擊，ACSC發布了可公開訪問的安全建議，其中包含預防攻擊的建議及用于檢測任何入侵企圖的危害指標。
 

參考來源：TheRecord http://t.hk.uy/cpJ

 

（十二）美國塔爾薩市市政系統遭受勒索軟件攻擊全部關閉

美國俄克拉荷馬州塔爾薩市（Tulsa）5月10日披露，其遭受了勒索軟件攻擊，迫使市政系統全部關閉，以防止惡意軟件進一步擴散。塔爾薩是俄克拉荷馬州第二大城市，人口約40萬。

上周末，威脅行為者對塔爾薩市的網絡發動勒索軟件攻擊，導致塔爾薩市關閉所有系統，并中斷在線服務。

塔爾薩市市長GT Bynum在接受當地媒體KRMG采訪時表示，我們發現了服務器上的惡意軟件，于是就非常謹慎地關閉了所有系統。員工已經重返工作崗位，這起事件沒有影響911服務或應急響應。

然而，城市系統的關閉使居民無法通過電子郵件訪問在線賬單支付系統、公用事業賬單和服務。塔爾薩市、塔爾薩市議會、塔爾薩警方和塔爾薩311網站也被關閉進行維護。該市的電話系統已經啟動并運行，任何需要與該市開展業務的人都可以通過電話進行。

在Facebook的一篇帖子中，該市表示，客戶信息沒有被泄露。由于大多數勒索軟件操作在部署勒索軟件之前都會竊取數據，因此會有一定數量的文件被盜。

塔爾薩市警察局Facebook頁面上的一篇帖子中表示，“由于勒索軟件攻擊，塔爾薩市在許多幫助塔爾薩市民服務的外部項目上遇到了技術困難。目前還沒有客戶信息遭受勒索軟件攻擊，但居民將無法訪問塔爾薩市的網站，網絡服務將會延遲?！?/span>

勒索軟件已經成為美國利益的禍害，每天都有新的攻擊披露，受害者支付數百萬美元的贖金。

為了幫助對抗日益增長的勒索軟件威脅，已經成立了一個勒索軟件特別工作組來分析該問題，并向立法者提供建議的解決方案。這些解決方案從強制性披露勒索款項到國際協調，以幫助組織預防和應對勒索軟件攻擊。

上周美國最大的燃料管道遭到DarkSide勒索軟件組織的網絡攻擊，對關鍵基礎設施的攻擊也已成為一個重大問題。
 

參考來源：BleepingComputer http://t.hk.uy/dnr

 

（十三）United Valor泄露美國20萬退伍軍人信息

網絡安全研究人員Jeremiah Fowler發現，退伍軍人管理局供應商United Valor在網上泄露了一個數據庫，其中包含近20萬名美國退伍軍人的醫療記錄，這些數據可能已經被勒索軟件攻擊者竊取。弗吉尼亞州表示，證據可能指向內部安全工作，而不是網絡攻擊。

4月18日，研究人員Jeremiah Fowler首次發現了這些文件，他發現這些數據庫泄露在網絡上，甚至沒有基本的密碼保護。Fowler表示，這些文件多次提到解決方案提供商United Valor。United Valor位于美國北卡羅來納州，為退伍軍人管理局以及其他聯邦和州機構提供殘疾評估服務。

Fowler解釋表示，泄露的數據包括患者姓名、出生日期、醫療信息、聯系信息、甚至醫生信息和預約時間，所有這些都可以用于社會工程攻擊。該數據庫還公開了未加密的密碼和賬單詳細信息。

Fowler表示，“該數據庫被設置為可在任何瀏覽器（公開訪問）中打開并顯示，并且任何人都可以在沒有管理憑據的情況下編輯、下載甚至刪除數據。利用這些數據可獲取退伍軍人障福利，這些數據是敏感的?！?/span>

在將調查結果透露給United Valor之后，Fowler表示第二天收到了回復。United Valor在回復中表示了感謝，“我們將該調查結果告知了承包商，他們立即關閉了公共數據訪問。根據他們的監測，只有通過我們的內部IP和你的IP才能訪問數據?！?/span>

Fowler解釋，“數據集還包含一個名為“read_me”的勒索軟件消息，聲稱所有記錄都已下載，除非支付了0.15比特幣（8,148美元），否則這些記錄將被泄露。承包商對外部訪問進行的取證審查或IP審查還應該確定勒索軟件入侵和為泄露的數據庫編制索引的多個物聯網搜索引擎蜘蛛。這似乎與承包商告訴United Valor的說法相矛盾?！?/span>

New Net Technologies的Dirk Schrader認為，該違規行為可能是以下三個問題之一的結果：United Valor的監測能力有限、留下贖金記錄的網絡犯罪分子能夠隱藏痕跡、United Valor在努力避免后果。

弗吉尼亞州表示他們正在積極調查這一情況。弗吉尼亞州信息和技術辦公室IT戰略溝通主管Reginald Humphries表示，“研究人員正在試圖發現United Valor Solutions系統中的安全漏洞。目前，我們不認為存在數據泄露，而是應承包商United Valor要求出于研究目的而進行的。退伍軍人福利管理局（VBA）隱私辦公室目前正在與醫學殘疾檢查官（MDEO）和承包商合作，以進一步調查所指控的事件。此外，我們的弗吉尼亞數據違規響應服務將繼續獨立進行調查。我們將在知道后為您提供其他信息?！?/span>

Untangle的Heather Paunet表示，與其他行業相比，醫療保健甚至需要采取適當的措施來防御勒索軟件攻擊。就在幾天前，圣地亞哥地區醫院系統Scripps Health遭到網絡攻擊，導致服務中斷。去年9月，運營全國性醫院網絡的Universal Health Services遭受Ryuk勒索軟件攻擊。此前對德國杜塞爾多夫大學醫院的攻擊迫使急診室將患者轉移到其他設施，使患者的醫療服務遭受重創。Paunet表示，“醫療行業仍然是高級勒索軟件目標。IT部門需要比以往任何時候都更加了解如何保護其網絡、員工和患者?！?/span>

醫療保健公司在應對全球大流行時所承受的壓力。是使他們成為更具吸引力的受害者的原因。Symmetry Systems首席執行官Mohit Tiwari表示，“如今，醫療保健行業處于非常具有挑戰性的狀況。該行業需要每天優先處理與醫療保健相關的許多問題，并且必須使用需要花費數年時間才能通過安全性認證的軟件和硬件?！奔訌娽t療數據保護的關鍵是強大的計算基礎架構。
 

參考來源：ThreatPost http://t.hk.uy/c3s

 

（十四）新加坡大華銀行遭到詐騙，泄露千余中國公民信息

新加坡大華銀行5月7日披露，其一名員工遭受了冒充中國警方的詐騙，泄露了1166名中國籍客戶的個人信息，包括客戶的姓名、身份、手機號碼和賬戶余額。銀行賬號沒有泄露，大華銀行的IT系統仍然是安全的。

除了就這一事件向客戶道歉外，大華銀行還表示正在配合警方調查。這名員工已被停職，并正在協助警方調查。大華銀行表示，已致函受影響的客戶，并采取了以下預防措施，包括:

1、立即禁用用戶互聯網和手機銀行訪問權限；

2、建議用戶重新設置數字銀行訪問權限，以保護其免受詐騙；

3、加強對受影響帳戶的帳戶監控；

4、為任何在線轉賬的短信提醒閾值設置為1新元；

5、在大華銀行個人網上銀行及大華銀行Might的登入頁面張貼詐騙防護通知；6、在社交媒體上發布公共教育公告。

大華銀行表示，“我們期望員工始終保持最高的專業操守標準，以保持客戶對我們的信任。對我們的客戶現在所處的狀態表示非常抱歉。我們將繼續盡一切努力與他們合作，以確保他們的帳戶安全?！?/span>
 

參考來源：MotherShip http://t.hk.uy/dmE

 

（十五）全球超過2.9萬個數據庫未受保護可公開訪問

CyberNews研究人員發現，全球仍有超過29,000個未受保護的數據庫仍然可以公開訪問，有將近19,000 TB的數據暴露給威脅行為者。

大多數組織使用數據庫來存儲敏感信息，其中包括密碼、用戶名、文檔掃描、健康記錄、銀行帳戶和信用卡詳細信息、以及其他重要數據，所有這些信息都可以輕松搜索并方便地存儲在一個地方。

不出所料，這使數據庫成為惡意行為者的主要目標，這些惡意行為者渴望利用不受保護的系統并獲得有利可圖的信息。實際上，攻擊者甚至甚至不需要進行黑客攻擊就可以竊取所有珍貴的數據。造成破壞的最常見原因之一是數據庫沒有安全保護，任何人都可以在不提供用戶名或密碼的情況下訪問數據。

數據庫安全方面的此類錯誤可能會導致數億人的個人信息暴露在互聯網上，從而使威脅行為者可以將這些數據用于各種惡意目的，包括網絡釣魚和其他類型的社會工程攻擊以及身份盜竊。盡管去年開放數據庫的數據泄漏明顯減少，但許多數據庫管理人員仍在努力保護其數據免受未經授權的訪問。

CyberNews研究人員的發現令人震驚：成千上萬的數據庫服務器仍然處于開放狀態，任何人都可以訪問，有超過29,000個不受保護的數據庫，使得近19 PB的數據遭受盜竊、篡改，刪除和更嚴重的攻擊。

成千上萬的開放數據庫公開數據這一事實并不新鮮。的確，網絡犯罪分子對此非常了解，一個未受保護的數據庫可能只需要幾個小時就被威脅者發現和攻擊。

經過數年的大規模泄漏、勒索贖金、甚至Meow破壞性的數據清除成為頭條新聞后，數據庫所有者現在已經意識到了這個問題，至少在允許任何人進入之前，他們會要求提供用戶名和密碼。然而調查顯示，情況似乎并非如此。

為了進行這項調查，研究人員使用了專門的搜索引擎來掃描三種最受歡迎的數據庫類型的開放數據庫：Hadoop、MongoDB、和Elasticsearch。

在執行搜索時，研究人員確保找到的開放數據庫不需要任何身份驗證，并且對任何人都開放，而不是那些啟用了默認憑據的數據庫。進入使用默認憑據的數據庫將在未經授權的情況下登錄到這些數據庫，這是不道德的。結果，未受保護的數據庫的實際數量和暴露的數據量可能甚至比我們能夠找到的還要多。完成初始搜索后，研究人員運行了一個自定義腳本來測量每個不受保護的數據庫的大小，而無需訪問其中存儲的數據。

結果顯示，至少有29,219個未受保護的Elasticsearch、Hadoop和MongoDB數據庫。Hadoop有近19 PB的數據容易被威脅者輕松訪問，威脅者只需點擊一個按鈕，就可能危及數百萬甚至數十億的用戶。Elasticsearch有19814個沒有任何身份驗證的數據庫，從而使超過14 TB的數據面臨被盜或被勒索團伙劫持的風險。

MongoDB有8,946個未受保護數據庫，對于使用MongoDB存儲和管理數據的數千個組織和個人而言，在基本數據庫安全性方面還有很長的路要走。

中國有12943個未受保護的數據庫高居榜首，美國排名第二，有4512個。德國（1479）、印度（1018）和法國（746）分列第三至第五。

各種規模的組織都使用數據庫來存儲客戶和員工記錄、財務數據以及其他類型的敏感信息。不幸的是，數據庫通常是由未經安全培訓的管理員管理的，這使它們很容易成為威脅參與者的目標。

數據庫所有者可以采取以下幾個簡單步驟來保護數據庫免受不受歡迎的訪客的侵害：

1、啟用身份驗證，因此在沒有正確憑據或ssh密鑰的情況下沒有人可以訪問數據庫。不要使用默認密碼，威脅參與者會定期在網絡上掃描啟用了默認憑據的可公開訪問的數據庫，并立即對其進行攻擊；

2、啟用加密或使用VPN，以便在與數據庫進行交互時，沒有人可以攔截通過網絡傳輸的數據；

3、使數據庫軟件保持最新。
 

參考來源：SecurityAffairs http://t.hk.uy/dj4
 

（如未標注，均為天地和興工業網絡安全研究院編譯）