目   錄

第一章 國外關鍵信息基礎設施安全動態

（一）羅克韋爾自動化產品存在多個安全漏洞

（二）CODESYS工業自動化軟件存在10個嚴重漏洞

（三）WAGO工業控制器存在漏洞，可使黑客破壞工業流程

（四）西門子及施耐德披露其設備中存在的數十個漏洞

（五）美國管道服務公司LineStar遭受勒索軟件攻擊泄露70 GB數據

（六）美國司法部追回了Colonial Pipeline支付的大部分贖金

（七）美國CISA發布有關使用MITRE ATT&CK框架的新指南

（八）因Fastly CDN服務故障，全球互聯網大面積中斷

（九）俄羅斯黑客組織使用新型SkinnyBoy惡意軟件攻擊軍事及政府組織

（十）俄羅斯攻擊者針對烏克蘭發起大規模網絡攻擊

（十一）美國最大媒體集團之一Cox Media遭受勒索攻擊

（十二）德國IT服務提供商Fiducia&GAD遭受DDoS攻擊

（十三）黑客在暗網公開包含84億密碼的集合RockYou2021

（十四）西班牙勞動和社會經濟部遭受黑客攻擊

（十五）東京奧運會約170名工作人員數據遭黑客竊取

（十六）美國軍用車輛制造商Navistar遭受網絡攻擊泄露數據

（十七）印度IT公司Nucleus感染新型勒索軟件BlackCocaine

（十八）選民溝通平臺iConstituent遭受勒索軟件攻擊

第一章 國外關鍵信息基礎設施安全動態

（一）羅克韋爾自動化產品存在多個安全漏洞

卡巴斯基的研究人員在羅克韋爾自動化軟件中發現的幾個漏洞影響了施耐德電氣、通用電氣和其他供應商的工業產品。

這些安全漏洞是卡巴斯基研究人員在羅克韋爾自動化(Rockwell Automation)的ISaGRAF中發現的，該ISaGRAF是為開發自動化產品而設計的。

其中最嚴重的關鍵問題是CVE-2020-25176，可被“通過IXL[ISaGRAF eXchange Layer]協議認證的遠程攻擊者利用，以遍歷應用程序的目錄，從而導致遠程代碼執行?！?/span>

另一個潛在的嚴重問題是CVE-2020-25178，這是一個與信息的明文傳輸相關的嚴重漏洞。未經驗證的遠程攻擊者可以利用該漏洞上傳、讀取或刪除文件。

CVE-2020-25184也被評為高度嚴重級別，本地未經驗證的攻擊者可利用該漏洞獲取以純文本形式存儲在文件中的用戶密碼。

卡巴斯基發現的另外兩個漏洞被評為中度嚴重。一種允許未經身份驗證的本地攻擊者執行任意代碼，而另一種可能導致信息公開，并且可以在沒有身份驗證的情況下被遠程利用。

卡巴斯基ICS網絡應急小組負責人Evgeny Goncharov告訴《安全周刊》，如果這些漏洞在攻擊中被利用，其影響取決于目標設備的用途。眾所周知，一些受影響的產品被用來控制工業企業的關鍵任務資產，因此企業技術流程的關鍵部分依賴于它們，潛在的攻擊后果可能相當嚴重。

在本周發布的一份報告中，羅克韋爾自動化公司表示，這些漏洞影響了其AADvance控制系統、ISaGRAF Runtime和ISaGRAF6 Workbench工具以及Micro800控制器。

在本周發布的公告中，施耐德電氣表示，其工業自動化產品中有多個使用ISaGRAF Runtime和ISaGRAF6 Workbench，包括Easergy、MiCOM、PACiS、EPAS、Saitel、SCADAPack、SCD2200和SAGE產品，其中許多是遠程終端設備（RTU）。

ISaGRAF6 Workbench用于為使用iec61131-3語言的嵌入式設備編程應用程序，并且可以被合并到更大的編程和配置工具中。ISaGRAF運行時模塊在嵌入式設備上執行ISaGRAF工作臺中創建的過程控制代碼。

幫助協調向受影響供應商披露信息的美國網絡安全和基礎設施安全局(CISA)本周也發布了一份建議。CISA的報告顯示，GE Steam Power的ALSPA S6 MFC3000和MFC1000控制系統也受到ISaGRAF缺陷的影響。通用電氣似乎沒有公開的建議，但CISA已建議客戶與該公司聯系，了解如何緩解漏洞的信息。

雖然施耐德、羅克韋爾和通用電氣已經采取措施解決這些漏洞，但卡巴斯基告訴《安全周刊》，由于其他供應商尚未發布產品補丁，因此無法透露其名稱。

參考來源：SecurityWeek http://t.hk.uy/t7p

（二）CODESYS工業自動化軟件存在10個嚴重漏洞

網絡安全研究人員披露了多達10個影響CODESYS自動化軟件的關鍵漏洞，這些漏洞可能被利用來在可編程邏輯控制器(PLC)上遠程執行代碼。

攻擊者不需要用戶名或密碼就能利用這些漏洞;擁有工業控制器的網絡接入就足夠，這些漏洞的主要原因是對輸入數據的核查不夠，而這本身可能是由于未能遵守安全開發建議造成的。

這家俄羅斯網絡安全公司指出，它在WAGO提供的一款PLC上發現了漏洞。WAGO和Beckhoff、Kontron、Moeller、Festo、三菱和和利時等其他自動化技術公司都使用CODESYS軟件對控制器進行編程和配置。

CODESYS為工業控制系統中使用的控制器應用程序編程提供了一個開發環境。這家德國軟件公司贊揚了Positive Technologies公司的Vyacheslav Moskvin、Denis Goryushev、Anton Dorfman、Ivan Kurnakov、Sergey Fedonin以及SCADAfence公司的Yossi Reuven報告了這些漏洞。

CODESYS WebVisu使用CODESYS V2.3 web服務器組件來在web瀏覽器中可視化人機界面(HMI)，其中發現了6個最嚴重的漏洞。攻擊者可能利用這些漏洞發送特殊設計的web服務器請求來觸發拒絕服務條件，向控制運行時系統的內存中讀寫任意代碼，甚至使CODESYS web服務器崩潰。

所有的6個漏洞都被評為10分（CVSS10）：

• CVE-2021-30189-基于堆棧的緩沖區溢出。
• CVE-2021-30190-訪問控制不正確。
• CVE-2021-30191-不檢查輸入大小的緩沖復制。
• CVE-2021-30192-未正確實施安全檢查。
• CVE-2021年-30193-越界寫入。
• CVE-2021年-30194-越界讀取。

另外，Control V2運行時系統中暴露的另外三個漏洞(CVSS得分：8.8)可能被濫用來手工創建可能導致拒絕服務條件或被用于遠程代碼執行的惡意請求。

• CVE-2021-30186-基于堆的緩沖區溢出。
• CVE-2021-30188-基于堆棧的緩沖區溢出。
• CVE-2021-30195-輸入驗證不正確。

最后，在CODESYSControlV2Linux SysFile庫(CVE-2021-30187，CVSS得分：5.3)中發現的一個漏洞可用于調用額外的PLC函數，進而允許惡意攻擊者刪除文件和中斷關鍵進程。

利用這些漏洞可能導致在PLC上遠程執行命令，這可能會擾亂工藝流程，造成工業事故和經濟損失。利用類似漏洞的最臭名昭著的例子就是使用Stuxnet病毒。

CODESYS漏洞的披露緊隨西門子SIMATIC S7-1200和S7-1500 plc中解決的類似問題之后，攻擊者可以利用這些問題遠程訪問內存的受保護區域，實現不受限制和未檢測的代碼執行。

參考來源：theHackerNews http://t.hk.uy/t5h

（三）WAGO工業控制器存在漏洞，可使黑客破壞工業流程

俄羅斯網絡安全公司Positive Technologies稱，德國一家專門從事電氣連接和自動化解決方案的公司WAGO生產的工業控制器中發現的幾個漏洞可以被利用來破壞工藝流程，在某些情況下可能導致工業事故。

該漏洞是在WAGO PFC200可編程邏輯控制器(PLC)中發現的，供應商已對其進行了修補。其中一個漏洞被跟蹤為CVE-2021-21001，并被評為臨界嚴重程度，被描述為與設備使用的CODESYS組件相關的路徑遍歷問題。它允許對目標設備進行網絡訪問的經過身份驗證的攻擊者通過發送特殊設計的數據包，以更高的權限訪問其文件系統。

通過利用此漏洞，攻擊者可以使用讀寫權限訪問控制器文件系統。PLC文件系統的改變可能會導致工藝流程中斷，甚至會導致工業事故。

第二個問題被標識為CVE-2021-21000，被評為中等嚴重程度，影響WAGO的iocheck服務，該服務旨在檢查PLC輸入/輸出并顯示PLC配置。對該設備具有網絡訪問權限的未經驗證的攻擊者可以利用此漏洞進成DoS攻擊。利用漏洞可能會導致控制器突然關閉，進而中斷工藝流程。

今年5月，德國VDE CERT披露了這些漏洞，以及Positive Technologies在CODESYS工業自動化軟件中發現的其他10個安全漏洞。

這10個CODESYS漏洞-大多數被評為嚴重和高度嚴重，影響了來自十幾家使用CODESYS軟件的供應商的工業控制系統(ICS)產品。

Positive Technologies最近因涉嫌支持俄羅斯情報機構而受到美國政府的制裁。不過，該公司表示，將繼續負責任地披露其員工在美國大公司產品中發現的漏洞。

參考來源：SecurityWeek http://t.hk.uy/t6p

（四）西門子及施耐德披露其設備中存在的數十個漏洞

工業自動化巨頭西門子（Siemens）和施耐德電氣（Schneider Electric）周二發布了幾項安全警告，告知客戶影響其產品的數十個漏洞。這些公司提供了補丁和建議，以降低被利用的風險。

西門子周二發布的八條新建議涵蓋了影響其Simcenter Femap、SIMATIC TIM、Solid Edge、SIMATIC NET、Mendix、JT2Go、Teamcenter Visualization和SIMATIC RF產品的大約24個漏洞。

SIMATIC NET CP 443-1 OPC UA的15個漏洞，特別是其NTP(Network Time Protocol)組件，是唯一一個整體嚴重等級為關鍵的警告。這些漏洞是在2015年至2017年期間在NTP中發現的。

這些NTP漏洞可用于DoS攻擊、繞過安全機制、遠程執行任意代碼、獲取信息和操縱時間。

西門子發布的其余警告的整體嚴重程度評級為高。它們描述了可用于DoS攻擊、任意代碼執行、數據提取、權限提升和繞過安全機制的安全漏洞。

施耐德電氣還在周二發布的新報告中描述了大約24個漏洞。

一份報告描述了影響該公司交互式圖形SCADA系統(IGSS)SCADA產品的13個缺陷。安全漏洞被認為是高度嚴重的，它們的利用可能導致數據丟失或遠程代碼執行。攻擊者可以利用這些漏洞，讓目標用戶打開惡意文件。

兩個建議描述了影響施耐德的兩個PowerLogic產品的十幾個漏洞。工業網絡安全公司Dragos的一名研究人員向施耐德報告了這些漏洞，其中最嚴重的漏洞允許攻擊者獲得設備的管理員級別訪問權限。

另一個建議是通知組織有關IEC 61131-3編程和工程工具中的一些漏洞。這些漏洞是通過使用羅克韋爾自動化公司(Rockwell Automation)的ISaGRAF自動化軟件引入的，該軟件也被其他供應商使用。

其余的報告描述了Enerlin‘X Com’X 510和Modicon X80 BMXNOR0200H RTU產品中的信息泄露問題。

參考來源：SecurityWeek http://t.hk.uy/t6B

（五）美國管道服務公司LineStar遭受勒索軟件攻擊泄露70 GB數據

黑客組織Xing Team在暗網上發布了從美國管道服務公司LineStar竊取的70 GB的內部數據。LineStar Integrity Services位于美國休斯頓，向管道企業銷售審計、合規、維護和技術服務。

這些數據是維基解密（WikiLeaks）DDoSecrets組織首次在網上發現的，包括73500封電子郵件、會計文件、合同和其他商業文檔、大約19 GB的軟件代碼和數據、10 GB的人力資源文件，包括員工駕駛證和社會保障卡的掃描件。盡管此次泄露沒有對基礎設施造成任何破壞，例如向Colonial輸油管道事件那樣，但安全研究人員警告稱泄露的數據可能為黑客提供進一步鎖定輸油管道的路線圖。

DDoSecrets 6月7日在其泄密網站上公布了37 GB該公司數據。DDoSecrets的任務之一是揭露其認為值得公眾監督的數據，并對勒索軟件組織泄露的數據進行追蹤。該組織聲稱，其已小心地從潛在敏感軟件及泄露的人力資源硬件中刪除了數據和代碼，以排除LineStar員工的敏感和個人身份信息。DDoSecrets 稱這些軟件可能允許發現或利用管道軟件漏洞。

然而未編輯的文件仍然可以在網站找到。安全公司Gigamon威脅情報研究員Joe Slowik認為，這些信息可以用來追蹤其他管道目標。Slowik多年來一直專注于關鍵基礎設施安全，曾任Los Alamos國家實驗室事件響應主管。雖然Slowik表示目前尚不清楚70 GB的泄漏數據中可能包含哪些敏感信息，但他擔心其中可能包含有關軟件體系結構或客戶使用的物理設備的信息。LineStar為管道行業客戶提供信息技術和工業控制系統軟件。

Slowik表示，“你可以用它來填充大量的目標數據，這取決于其中的內容。這一點非常值得關注，因為這可能不僅僅是有關駕駛證或其他人力資源相關項目的信息，而且可能是與這些網絡的功能及其最關鍵功能相關的數據?！?/span>

Xing Team是勒索軟件生態系統的新成員。反病毒公司Emsisoft勒索軟件研究人員Brett Callow表示，“該組織在暗網上的名字是中文文字“星”。Xing Team使用著名版本的Mount Locker惡意軟件對受害者的文件進行加密，并威脅要披露未加密的數據，以此作為勒索目標付款的一種手段。在LineStar案例中，Xing Team似乎已經完成了這一威脅?！?/span>

這一泄密可能成為其他勒索軟件黑客的跳板，他們經常在暗網數據轉儲中搜索可以用來冒充公司和瞄準客戶的信息。Callow表示，“攻擊者可以利用傳統魚叉式網絡釣魚攻擊從管道公司竊取數據。Xing Team也是這么做的?！?br>

參考來源：Wired http://t.hk.uy/rVM

（六）美國司法部追回了Colonial Pipeline支付的大部分贖金

美國官員周一表示，美國司法部已經追回了向黑客支付的數百萬美元贖金中的大部分。上個月，美國最大的輸油管道運營商遭到網絡攻擊，導致其停止運營。

這次沒收支付給俄羅斯黑客組織的加密貨幣的行動，是拜登政府司法部成立的專門勒索軟件特別工作組開展的第一次此類行動。這反映了在美國官員忙于應對以全球關鍵行業為目標的快速增長的威脅之際，美國在打擊勒索軟件的斗爭中取得的罕見的勝利。

司法部副部長Lisa Monaco在宣布行動的新聞發布會上表示，“通過打擊整個助長勒索軟件和數字勒索攻擊的生態系統，包括以數字貨幣形式的犯罪收益我們將繼續利用我們所有的資源來增加勒索軟件和其他網絡攻擊的成本和后果?！?/span>

總部位于喬治亞州的Colonial Pipeline為美國東海岸提供了大約一半的燃料。5月7日，在一群網絡犯罪分子使用“黑暗面”(DarkSide)勒索軟件闖入該公司的計算機系統后，該公司暫時關閉了運營。FBI副局長保羅·阿巴特說，“DarkSide”所使用的勒索軟件是執法人員正在調查的100多個勒索軟件之一?！癉arkSide”軟件自去年以來一直是FBI的調查對象。

Colonial官員表示，他們在攻擊蔓延到操作系統之前將管道系統離線，并在不久后決定支付約440萬美元的贖金，希望能盡快恢復在線。

該公司總裁兼首席執行官Joseph Blount星期一在一份聲明中說，他對聯邦調查局的努力表示感謝。他說，追究黑客的責任，擾亂他們的活動，是阻止和防范今后這種性質的攻擊的最佳方式。私營部門也發揮著同樣重要的作用，我們必須繼續認真對待網絡威脅，并進行相應的投資，以加強我們的防御。

加密貨幣受到網絡犯罪分子的青睞，因為它可以在不受地理位置影響的情況下直接在線支付，但在這個案例中，FBI能夠識別黑客使用的虛擬貨幣錢包，并從那里追回收益。司法部沒有提供FBI是如何獲得特定比特幣地址“鑰匙”的細節，但表示執法部門已經能夠追蹤到這種加密貨幣的多次轉賬。

盡管聯邦調查局通常不鼓勵支付贖金，擔心這可能會鼓勵更多的黑客攻擊，但私營部門的一個收獲是，如果公司在勒索軟件事件發生后迅速來到執法部門，官員們或許能夠再次幫助追回資金，盡管這不能保證。

被扣押的比特幣金額為63.7美元，目前價值約為230萬美元。這相當于支付總贖金的85%，加密貨幣跟蹤公司Elliptic表示，認為這是實施攻擊的附屬公司的所得。勒索軟件提供商Darkside將獲得另外的15%。

周一早些時候，加州北部地區的一名法官批準了扣押令。

參考來源：SecurityWeek http://t.hk.uy/t6u

（七）美國CISA發布有關使用MITRE ATT&CK框架的新指南

MITRE ATT&CK評估服務評估終端檢測和響應產品檢測高級威脅的能力。

盡管ATT&CK的效率很高，但許多網絡安全專家并沒有充分利用該框架的潛力，因此，CISA決定分享一些關于使用ATT&CK進行威脅情報的指導。

很大比例的企業不會關聯來自云、網絡和端點的事件來調查威脅：只有39%的企業在調查威脅時會合并來自所有三個環境(云、網絡和端點)的事件。

CISA與國土安全系統工程與發展研究所研發中心共同創建了名為《MITRE ATT&CK映射最佳實踐》的指南。

該指南旨在幫助網絡威脅分析人員將攻擊者的ttp映射到相關的ATT&CK技術。

MITRE ATT&CK映射的最佳實踐指南提供了分步說明，以便在分析網絡安全威脅時優化MITRE ATT&CK的使用。該指南還旨在提高防御者主動檢測對手行為和分享有關他們行為的情報的能力。

CISA提供該指南是為了幫助分析師準確、一致地將對手行為與網絡威脅情報(CTI)中的相關ATT&CK技術聯系起來，無論分析師是否希望將ATT&CK納入網絡安全出版物或原始數據分析。ATT&CK的成功應用應產生一套準確和一致的映射，可用于開發對手概況，進行活動趨勢分析，并納入報告，以達到檢測、應對和緩解的目的。

參考來源：SecurityAffairs http://t.hk.uy/t4V

（八）因Fastly CDN服務故障，全球互聯網大面積中斷

6月8日，全球多家互聯網網站發生斷網故障，突然無法訪問，持續了約半個小時。受影響網站包括亞馬遜、Paypal、金融時報、紐約時報、英國政府網站等知名網站。此次事件與云服務廠商Fastly的CDN故障有關。

用戶訪問網站時會收到錯誤提示消息：“錯誤503服務不可用”。此問題與Fastly云平臺與內容交付網絡（CDN）中斷有關。Fastly是一家云計算服務提供商。

內容交付網絡（CDN）是代理服務器和數據中心的地理上分布的網絡。目標是通過相對于最終用戶在空間上分布服務來提供高可用性和性能。CDN為當今大部分互聯網內容提供服務，其不可用性可能會對使用CDN網站的可用性產生重要影響。

Fastly的網站服務狀態表明，其正在經歷全球CDN中斷，導致了北美、南美、歐洲、亞太、南非和印度的服務性能下降?！拔覀兡壳罢谡{查CDN服務對性能的潛在影響?！?/span>

大約45分鐘后，服務開始恢復，Fastly表示，“問題已經確定，正在實施修復?！彪S后，Fastly確認中斷的原因是服務配置問題?！拔覀儼l現了一種服務配置，在全球范圍內觸發了POP中斷，并禁用該配置。我們的全球網絡正在重新上線?！?/span>

隨后Fastly在Twitter上表示，“Fastly已觀察到所有服務恢復，并已解決此事件?？蛻艨赡軙^續經歷一段原始負載增加時期?！?br>

參考來源：ZDNet http://t.hk.uy/sjA

（九）俄羅斯黑客組織使用新型SkinnyBoy惡意軟件攻擊軍事及政府組織

威脅情報公司Cluster25研究人員披露，其發現俄羅斯黑客組織APT28使用的一種新型后門SkinnyBoy，在針對軍事和政府機構的釣魚攻擊中使用。

APT28至少自2007年開始活躍，又名Fancy Bear、Sednit、Sofacy、Strontium或PwnStorm。APT28可能在3月初開始了這項活動，重點關注外交部、大使館、國防工業和軍事部門，歐盟有多名受害者，也可能影響了美國的組織。

SkinnyBoy用于攻擊的中間階段，用于收集有關受害者的信息，并從命令和控制(C2)服務器檢索下一個有效負載。SkinnyBoy通過帶有宏Microsoft Word文檔傳送，該宏提取充當惡意軟件下載程序的DLL文件。誘餌是一個帶有欺騙性的邀請信息，邀請參加7月底在西班牙舉行的國際科學活動。

打開邀請會觸發感染鏈，首先提取一個DLL來檢索SkinnyBoy Dropper(tpd1.exe)，這是一個下載主要負載的惡意文件。進入系統后，Dropper建立持久性并移動以提取下一個有效負載，該有效負載以Base64格式編碼并附加為可執行文件的覆蓋層。此有效負載在受感染系統上提取兩個文件后會自行刪除。

Cluster25在報告中表示，為了保持低調，惡意軟件在通過Windows啟動文件夾下的LNK文件創建持久性機制后，會在稍后階段執行這些文件。LNK文件在受感染的計算機下次重新啟動時觸發，并通過檢查C:\Users\%username%\AppData\Local下所有文件的SHA256哈希值來查找主要負載SkinnyBoy(TermSrvClt.dll)。

SkinnyBoy的目的是竊取有關受感染系統的信息，下載并啟動攻擊的最終有效載荷，目前尚不清楚。收集數據是通過使用Windows中已有的systeminfo.exe和tasklist.Exe工具完成的，它們允許它在特定位置提取文件名。

以這種方式提取的所有信息都以有組織的方式傳送到C2服務器，并以base64格式編碼。攻擊者使用商業VPN服務為其基礎設施購買元素，這是攻擊者通常用來更好地隱匿蹤跡的策略。

在觀察了戰術、技術和程序后，Cluster25認為SkinnyBoy后門是來自俄羅斯威脅組織APT28的新工具。Cluster25為其研究人員檢查的所有工具提供了YARA規則，以及可幫助組織檢測新惡意軟件存在的觀察到的入侵指標列表。

參考來源：BleepingComputer http://t.hk.uy/r7G

（十）俄羅斯攻擊者針對烏克蘭發起大規模網絡攻擊

烏克蘭安全局披露，俄羅斯黑客組織針對烏克蘭政府及企業進行了大規模網絡釣魚攻擊。這是烏克蘭政府今年披露的第三起有關俄羅斯威脅行為者的魚叉式網絡釣魚活動。攻擊者在網絡釣魚信件中冒充基輔巡邏警察局相關人員，警告收件人在納稅方面存在問題。

烏克蘭安全局專家證實，今年6月初，攻擊者發送了大量的電子郵件，其中發件人的地址已被更改。特別是謊稱來自基輔巡邏警察局的電子郵件含惡意附件，并被發送到一些政府機構。

當收件人運行文件時，惡意軟件會在受影響的計算機上啟動遠程管理工具客戶端，該軟件允許外國情報部門遠程完全控制計算機，該軟件連接到位于俄羅斯境內的控制和命令服務器。

烏克蘭安全局的網絡專家建議對信息和電信系統進行緊急檢查，特別是“MISP-UA”平臺。烏克蘭安全局分享了攻擊的IoC，以確定可能的危害并及時采取預防措施。烏克蘭CERT建議：

1、不要從互聯網下載加密檔案或密碼檔案。如有必要，請與發件人聯系，以了解附件信是否已發送。最好完全阻止通過電子郵件接收此類文件；

2、在打開電子郵件或消息中的附件之前，請注意細節。最好不要下載來自可疑發件人的電子郵件附件。如果作者因不明原因改變了通信語言，信件的主題對作者來說不典型，以及鼓勵可疑鏈接或打開可疑文件的信息，也應該引起警惕；

3、限制運行可執行文件的能力；

4、定期對系統進行防病毒檢查，更新簽名數據庫；

5、使用定期更新的許可操作系統和其他軟件；

6、定期備份重要文件；

7、盡可能頻繁地更新訪問重要系統的密碼，并使用雙因素身份驗證。

參考來源：烏克蘭安全局 http://t.hk.uy/r4E

（十一）美國最大媒體集團之一Cox Media遭受勒索攻擊

據報道，Cox媒體集團周四上午遭受勒索軟件攻擊，導致廣播和電視臺流媒體下線。根據多份報告，電腦被黑客入侵，影響了內部網絡和其他行動。雖然電視臺網站和大多數節目都沒有發生變化，但一些直播節目因此被刪除，一些電視臺不得不取消新聞節目。

上周四，Inside Radio對多家CMG廣播電臺進行了隨機檢查，發現電臺網站仍可訪問，但在線流媒體處于離線狀態，并顯示“音頻暫時不可用”的消息。

盡管周五下午大多數Cox廣播電臺的流媒體仍處于離線狀態，但該公司在恢復在線方面取得了一些進展。亞特蘭大的新聞/談話網站WSB-WSBB(750/95.5)在周五早上恢復了其桌面播放器和專用移動應用程序的直播。
CMG沒有回應Inside Radio的置評請求。

媒體公司一直是黑客們的誘人目標，他們試圖通過數字防火墻，發動勒索軟件攻擊，劫持公司電腦，直到支付贖金——或者能夠抵御攻擊。去年8月，塞勒姆媒體集團(Salem Media Group)披露，其部分運營和信息技術系統遭到勒索軟件攻擊。2019年對Urban One的襲擊讓該公司損失了100多萬美元。而Entercom(現在的Audacy)在2019年9月遭到攻擊，黑客侵入其電子郵件服務器，要求50萬美元的贖金。惡意軟件攻擊暫時擾亂了企業運營，但對經營業績沒有產生重大影響。即便如此，Entercom在其年度報告中告訴投資者，“無法保證未來會出現類似的結果，網絡安全漏洞可能會增加我們的成本，并造成損失?！?/span>

6月2日，白宮發表了一封致美國企業高管和商界領袖的公開信，敦促他們采取措施保護自己的系統免受勒索軟件攻擊?？偨y副助理兼負責網絡和新興技術的副國家安全顧問Anne Neuberger的備忘錄包含了五項將此類攻擊的影響降至最低的最佳做法。

• 備份數據、系統映像和配置，定期進行測試，并保持備份離線。
• 及時更新和修補系統。
• 測試事件響應計劃。
• 檢查安全團隊的工作情況。
• 對網絡進行細分。

參考來源：insideradio http://t.hk.uy/t5e

（十二）德國IT服務提供商Fiducia&GAD遭受DDoS攻擊

德國IT服務提供商Fiducia & GAD IT上周五宣布，一次擾亂800多家金融機構的網絡攻擊似乎有所緩解。

上周四上午，該公司開始遭受分布式拒絕服務(DDoS)攻擊，即黑客試圖向網絡發送異常大量的數據流量，以使其陷入癱瘓。情況在夜間加劇，包括柏林人民銀行在內的全國合作銀行的網站關閉或放緩。

為銀行的在線服務提供IT服務的Fiducia&GAD IT AG公司表示，截至周五下午早些時候，由于其防御措施，客戶仍有可能經歷中斷。

該公司表示:“Fiducia & GAD已做好應對這些攻擊的準備?？蛻魯祿前踩?，此類攻擊并不罕見。Fiducia & GAD的危機小組繼續密切監測系統，以便能夠對任何新的攻擊做出快速反應?！?br>

參考來源：Reuters http://t.hk.uy/t5p

（十三）黑客在暗網公開包含84億密碼的集合RockYou2021

有史以來最大的密碼泄露事件發生在一個受歡迎的黑客論壇上。一位論壇用戶發布了一個巨大的100GB TXT文件，其中包含84億個密碼，這些密碼可能是由之前的數據泄露和泄露事件組合而成的。

據帖子作者稱，泄露的所有密碼長度都是6-20個字符，非ascii字符和空格都被刪除了。該匯編包含820億個密碼，然而，經過研究人員的測試后，實際只有8,459,060,239個是唯一條目。

該論壇用戶將這一版本命名為“RockYou2021”，大概是指2009年的RockYou數據泄露事件，當時威脅分子侵入了這家社交應用網站的服務器，獲得了以明文形式存儲的3200多萬個用戶密碼。

RockYou2021匯編中包含的泄露密碼示例如下：

這次泄露的數據超過了它12年前同名版本的262倍，可與有史以來規模最大的數據泄露匯編(COMB)相提并論。它泄露的32億密碼，以及來自其他多個泄露數據庫的密碼，都被收錄在RockYou2021匯編中，該匯編是由該系列的幕后人員在過去幾年里積累的。

考慮到全球只有約47億人上網，RockYou2021的數據可能包含了全球所有網民的密碼的兩倍。因此，建議用戶立即檢查其密碼是否包含在泄漏中。

通過將84億個獨特的密碼變體與包括用戶名和電子郵件地址在內的其他漏洞匯編相結合，威脅參與者可以使用RockYou2021集合來裝載密碼字典，并對數不清的在線帳戶進行密碼噴灑攻擊。

由于大多數人在多個應用程序和網站上重復使用自己的密碼，因此在此次泄密之后，受證書填充和密碼噴灑攻擊影響的帳戶數量可能達到數百萬，甚至數十億。

如果用戶懷疑自己的一個或多個密碼可能已被包含在RockIt2021集合中，建議采取以下步驟，以確保數據安全，并避免來自威脅者的潛在傷害:

1、使用個人數據泄露檢查器和泄露的密碼檢查器來查看數據是否在此漏洞或其他漏洞中泄露。

2、如果數據已被泄露，請確保更改所有在線帳戶的密碼?？梢允褂脧姶蟮拿艽a生成器輕松生成復雜的密碼，或者考慮使用密碼管理器。

3、在所有在線帳戶上啟用雙因素身份驗證(2FA)。

4、注意收到的垃圾電子郵件、未經請求的文本和網絡釣魚消息。不要點擊任何看起來可疑的東西，包括不認識的發件人發來的電子郵件和短信。

參考來源：CyberNews http://t.hk.uy/t4W

（十四）西班牙勞動和社會經濟部遭受黑客攻擊

西班牙勞動和社會經濟部(MITES)周三受到網絡攻擊，正在努力恢復受影響的服務。

西班牙社會事務部是一個部級部門，每年有近3900萬歐元的預算，負責協調和監督西班牙的就業、社會經濟和企業社會責任政策。勞動和社會經濟部受到電腦攻擊的影響。該部和國家密碼中心的技術官員正在共同努力，以確定源頭，并盡快恢復正常。

盡管遭到攻擊，外交部網站仍在正常運行，但通訊辦公室和多媒體室無法使用。勞動和社會經濟部遭受的計算機攻擊并沒有影響國家公共就業服務局的運作。電子辦公室、網站及整套服務繼續正常提供。

由政府第三副總統兼勞動和社會經濟部長尤蘭達·迪亞茲領導的部門曾指出，該部和國家密碼學中心的技術管理人員正在共同努力，以確定來源并盡快恢復常態。

這是工黨今年遭受的第二次網絡攻擊，今年3月，Ryuk勒索軟件團伙的目標是國家公共就業服務機構(SEPE)阻止其服務。

參考來源：SecurityAffairs http://t.hk.uy/t8K

（十五）東京奧運會約170名工作人員數據遭黑客竊取

《日本時報》的一篇報道證實，參與即將在東京舉行的奧運會網絡安全工作組的大約170人的個人信息被黑客竊取。數據泄露事件似乎與最近的富士通ProjectWEB事件有關，該事件影響了政府實體和政府部門的基礎設施。ProjectWEB是一種信息共享工具，用于日本的重要項目，包括奧運會組委會，因此，富士通工具被未經授權訪問導致的數據泄露的范圍也涵蓋了這些項目。

東京夏季奧運會定于2021年7月23日至8月8日之間舉行，距離現在只有幾周的時間了。如果黑客掌握了負責游戲網絡保護的人員的詳細信息，這是否意味著防御黑客造成的干擾將更加困難？國家事件準備和網絡安全戰略中心表示，泄露的信息不應影響奧運會籌辦期間的行動。

被泄露的數據包括在東京奧運會相關的90個組織工作的人員的全名、商業頭銜和隸屬關系?？赡艿脑?，參與者會嘗試將這些用于社會工程，獲取用戶憑證和訪問關鍵系統。有關網絡攻擊的細節并未向公眾提供。

參考來源：technadu http://t.hk.uy/t9u

（十六）美國軍用車輛制造商Navistar遭受網絡攻擊泄露數據

美國卡車及軍用車輛制造商航星國際公司(Navistar)證實，其遭受了一次網絡攻擊，導致一些數據泄露。

6月7日，美國航星國際公司(Navistar International Corporation)在向美國證券交易委員會提交的8-K表格中表示，該公司于2021年5月20日獲悉其信息技術系統存在可信的潛在網絡安全威脅。Navistar立即采取必要措施，控制和減輕事件的影響，并與安全和取證專家合作對此事展開調查。該公司還采取措施加強其IT基礎設施的安全性，并保護其中包含的數據的完整性，并表示其IT系統一直保持全面運行狀態。

然而在5月31日，Navistar收到了一份勒索信件，聲稱已從該公司的IT系統中竊取了一些數據。該公司繼續調查“并解決網絡安全事件的范圍和影響”，并已就此問題聯系了執法部門。

Navistar沒有提供有關該事件的技術細節，但考慮到最近幾個月來觀察到的勒索軟件事件數量不斷增加，攻擊者竊取受害者數據作為籌碼，因此有可能涉及勒索軟件。

Navistar成立于1986年，生產卡車、公共汽車和柴油發動機，其Navistar Defense子公司生產軍用車輛。

參考來源：SecurityWeek http://t.hk.uy/ry4

（十七）印度IT公司Nucleus感染新型勒索軟件BlackCocaine

最近，Cyble的網絡研究人員調查了印度銀行和金融服務行業IT公司Nucleus Software于2021年5月30日遭受的一次攻擊。

該公司向孟買證券交易所(BSE)和印度國家證券交易所(NSEI)報告了安全漏洞。Nucleus軟件公司聲明，它不存儲客戶的財務數據。

Cyble Research團隊發現，該公司是BlackCocaine勒索軟件團伙的受害者。

和其他勒索軟件團伙一樣，這個威脅背后的勒索軟件團伙也經營著自己的網站(hxxp://blackcocaine[.]top)，該網站是該組織最近開始運作時注冊的。

根據分析，Cyble研究團隊發現Nucleus Software是BlackCocaine勒索軟件集團的第一個受害者。域的WHOIS信息顯示，BlackCocaine勒索軟件的域是在2021年5月28日注冊的。

研究人員報告稱，一個名為.BlackCocaine的文件最近被提交到不同的公共沙箱。勒索軟件在加密受害者文件時執行文件系統枚舉，然后在加密文件的文件名后附加擴展名“.BlackCocaine”。勒索軟件使用AES和RSA加密方法。

一旦文件加密，勒索軟件就會發送帶有文件名的贖金通知在受害者機器上的"how_to_recover_files。black cocine。txt"

BlackCocaine勒索軟件是用GO語言編寫的，并使用MinGW工具編譯。有效負載文件是UPX打包的64位Windows可執行文件。

索軟件有效負載是在2021年5月29日編譯的。勒索軟件實現了多種反VM和反調試技術。

在撰寫本文時，專家們尚未確定BlackCocaine的初始感染媒介。

參考來源：SecurityAffairs http://t.hk.uy/t5E

（十八）選民溝通平臺iConstituent遭受勒索軟件攻擊

選民溝通平臺iConstituent遭受了勒索軟件攻擊，美國眾議院60多名議員使用該平臺與選民溝通，已經幾周無法檢索到選民信息。攻擊者沒有從眾議院獲取或訪問到任何數據，眾議院使用的網絡也沒有受到影響。

iConstituent是一家提供電子通訊系統的供應商，許多國會議員使用該系統進行選民宣傳。iConstituent正在與眾議院首席行政官（CAO）Catherine Szpindor合作解決這一問題，此事尚未得到解決。這表明困擾行政部門和美國企業的網絡攻擊和勒索軟件也是國會面臨的一個問題。

CAO表示，沒有證據表明更廣泛的內部IT系統遭到黑客攻擊或入侵。以下是CAO關于iConstituent情況的聲明，“iConstituent通知首席行政官辦公室，他們的電子通訊系統遭到勒索軟件攻擊。iConstituent的電子通訊系統是一種外部服務，可供眾議院辦公室購買。目前，CAO不知道對眾議院數據有任何影響。CAO正在與iConstituent支持的受影響辦公室進行協調，并已采取措施確保攻擊不會影響眾議院網絡和辦公室的數據?！?/span>

據iConstituent網站稱，其提供了一個“選民參與平臺”，供多個州、地方和市政府使用。該公司提供了一個“單一平臺，可以在其中輕松地與選民聯系、協作處理案件以及管理所有內部和外部通信?！庇脩舭▎讨蝸喼?、夏威夷州和內華達州、紐約州、以及洛杉磯市和加利福尼亞州東帕洛阿爾托市。

參考來源：PunchBowl http://t.hk.uy/snM

（如未標注，均為天地和興工業網絡安全研究院編譯）