目   錄

第一章 國外關鍵信息基礎設施安全動態

（一）南非物流公司Transnet遭受網絡攻擊擾亂港口運營

（二）伊朗收集西方國家工業控制系統情報

（三）伊朗黑客組織TA456利用虛擬角色竊取美國國防承包商數據

（四）拜登就關鍵基礎設施簽署國家安全備忘錄

（五）美國眾議院通過多項網絡安全法案

（六）CODESYS修復工業自動化產品中十多個漏洞

（七）IDEMIA生物識別設備中存在多個漏洞

（八）Sunhillo航測產品中存在嚴重漏洞

（九）No More Ransom成立五周年，幫助600萬勒索軟件受害者節省近10億歐元

（十）新型勒索軟件組織BlackMatter攻擊收入過億的公司

（十一）惡意程序可隱藏在神經網絡模型中

（十二）英美澳聯合發布2020年利用最多的漏洞

（十三）希臘第二大城市Thessaloniki遭受網絡攻擊導致市政服務中斷

（十四）日本計算機遭受以奧運會為主題的惡意軟件攻擊

（十五）美國保險公司Humana客戶醫療數據在線泄露

（十六）美國加州大學圣地亞哥分校健康中心遭受釣魚攻擊導致數據泄露

（十七）巴西創建網絡攻擊響應網絡

第一章 國外關鍵信息基礎設施安全動態

（一）南非物流公司Transnet遭受網絡攻擊擾亂港口運營

據路透社報道，7月22日南非物流公司Transnet遭受了破壞性網絡攻擊，導致該公司所有港口碼頭運營中斷，擾亂了南非開普敦港口的集裝箱作業。據三位直接了解此事的消息人士稱，撒哈拉以南最繁忙的航運碼頭德班也受到影響。

7月22日，該公司官網已經關閉，顯示一條錯誤信息。開普敦港口運輸協會在一封電子郵件中表示，“請注意，港口操作系統已經受到網絡攻擊，在系統恢復之前不會有貨物移動。”

Transnet經營著南非的主要港口，包括德班和開普敦，以及一個運輸礦產和其他出口商品的龐大鐵路網。該公司證實，其IT應用程序正在經歷中斷，立即對事件展開調查，并迅速查明了攻擊的源頭。

Transnet表示，除了集裝箱碼頭中斷，整個系統的港口碼頭都在運行，貨運鐵路、管道、工程和房地產部門報告正?；顒?，因為卡車運輸方面的Navis系統受到了影響。進出港口的船只都是手工記錄的。有消息人士稱，中斷導致集裝箱和汽車零部件延誤，但大宗商品基本未受影響，因為它們在港口的另一個地方。它還會造成積壓，可能需要時間來清理。

該公司通知員工，在進一步通知之前不要訪問他們的電子郵件，以防止威脅蔓延。

7月27日該公司發表聲明表示，在網絡攻擊后恢復IT系統取得進展后，其港口碼頭向客戶傳達的不可抗力將“很快解除”。Transnet表示，碼頭正在按計劃靠泊船只，并正在為航運公司的裝卸作業提供便利。

Transnet在聲明中表示，“在接下來的幾天里，一些應用程序可能會繼續緩慢運行，而監控仍在繼續。所有操作系統將以交錯的方式恢復，以盡量減少進一步的風險和中斷。正在努力減少停機時間，以確保受影響的系統能夠盡快啟動并再次運行。”同時在聲明中該公司表示該事件涉及勒索軟件家族。

參考來源：路透社 http://33h.co/wm2a8

（二）伊朗收集西方國家工業控制系統情報

英國媒體天空新聞7月26日公布了五份內部機密文件，是由伊朗伊斯蘭革命衛隊(IRGC)的威脅情報第13小組編寫的，這些機密文件收集西方國家的基礎設施情報，用于確定網絡攻擊的目標。該文件共有57頁，包括大型貨船上的復雜系統、燃油泵、海事通信、智能建筑等信息。

英國媒體天空新聞7月26日公布了五份內部機密文件，這些文件來自伊朗政府網絡部門，顯示出伊朗正在尋求提高其攻擊性網絡能力，針對西方國家的工業控制系統。

這五份內部文件都標示為“非常機密”，是由一個名為Shahid Kaveh的秘密攻擊性網絡單位編制的，該單位是伊朗精英伊斯蘭革命衛隊(IRGC)網絡司令部的一部分。這些報告是由一個名為威脅情報小組13號編制的，該小組是Shahid Kaveh部門內的一個小組。

消息人士稱，這項工作是伊朗努力收集民用基礎設施情報的證據，這些情報可用于確定未來網絡攻擊的目標。

這些文件總共有57頁，是針對潛在網絡攻擊目標的情報收集工作，內容包括關于如何利用網絡攻擊擊沉一艘貨船或炸毀加油站的燃油泵的秘密研究，還包括有關全球航運業使用的衛星通信設備的信息，以及控制世界各地智能建筑，以及照明、供暖和通風等事物的基于計算機的系統。這些文件顯示出他們對研究西方國家（包括英國、法國和美國）的公司和活動特別感興趣。

一份日期為2020年11月的文件側重于樓宇管理系統，并提到施耐德電氣、霍尼韋爾、西門子和KMC Controls是提供此類解決方案的公司。

眾所周知，這些類型的產品受到許多漏洞的影響，這些漏洞可能允許黑客完全控制系統。攻擊者可以觸發警報、鎖定或解鎖門和大門、攔截視頻監控流、控制電梯訪問、操縱燈光和HVAC系統以及中斷運營。

工業網絡安全公司Radiflow指出，建筑物管理系統很容易成為攻擊目標，因為它們經常暴露在互聯網上，而且在許多情況下沒有得到適當的保護。

Radiflow創始人兼首席執行官Ilan Barda表示，“這些二線目標中的許多乍一看似乎無關緊要，使它們如此有價值的是它們有潛力被用作構建系統的門戶。一旦進入，黑客就可以操縱空氣循環裝置、電梯和任何其他關鍵基礎設施來進行物理攻擊。”

參考來源：天空新聞 http://33h.co/wmxu2

（三）伊朗黑客組織TA456利用虛擬角色竊取美國國防承包商數據

網絡安全公司Proofpint研究人員7月28日發布研究文章，伊朗國家支持的威脅行為者TA456在社交媒體上創建了一個名為Marcella Flores的虛擬角色，該角色在多個社交媒體上與航空航天防御承包商及子公司的員工互動，獲得他們的信任，使用惡意軟件感染他們，并竊取數據。該虛擬角色已運營了長達數年。

TA456主要針對的是中東地區的國防工業基地員工和承包商開展間諜活動，與伊朗的Mahak Rayan Afraz(MRA)公司有關，也與伊斯蘭革命衛隊(IRGC)有聯系。

Marcella Flores的Facebook賬號于2018年上傳了第一張照片，并于2019年與受害者加了好友。Marcella Flores偽裝的身份是運動教練，是英國利物浦大學的畢業生。

Proofpoint分析顯示，TA456于2020年11月與目標員工進行了對話，并積極通過公司和個人通信平臺（包括電子郵件）與受害者保持討論。2021年6月初，威脅行為者向受害者發送了一封惡意電子郵件，試圖用惡意軟件LEMPO感染他們，LEMPO是Liderc的更新版本，是與伊朗威脅行為者Tortoiseshell有關的惡意軟件。

Proofpoint解釋表示，LEMPO是一個專為偵察而設計的Visual Basic腳本，可以枚舉主機、收集數據（日期和時間、計算機名稱、系統信息、驅動器、安裝的應用程序和用戶詳細信息），并使用微軟的協作數據對象(CDO)將其泄露到攻擊者控制的電子郵件帳戶。

此次活動中使用的Marcella Flores角色與已知與伊朗有關聯的威脅行為者在針對感興趣的個人的行動中使用的其他虛構檔案有相似之處，使用Marcella角色與幾名國防承包商員工成為朋友。

目前尚不清楚黑客是否成功從目標航空航天員工那里獲得了任何數據。然而，Proofpoint表示其安全軟件已阻止黑客下載惡意文件的鏈接。

7月15日，Facebook宣布對Tortoiseshell采取行動，從Facebook平臺上刪除了Flores賬戶，Tortoiseshell組織主要針對美國、英國和歐洲的國防和航空航天行業的軍事人員和公司開展行動。

參考來源：Proofpoint http://33h.co/wb4h6

（四）拜登就關鍵基礎設施簽署國家安全備忘錄

美國總統拜登7月28日簽署了一份國家安全備忘錄，旨在通過為關鍵基礎設施所有者和運營商設立基礎目標，來幫助加強關鍵基礎設施安全，保護美國關鍵基礎設施免受不斷增長、持續存在的復雜網絡威脅。

該備忘錄是針對近期全球范圍內攻擊事件的回應，包括針對美國Colonial Pipeline和JBS Foods的勒索軟件攻擊，這些事件揭示了美國主要由私營部門組織擁有和運營的基礎設施存在重大安全漏洞?？刂脐P鍵基礎設施的系統的退化、破壞或故障可能會產生連鎖反應，可能對國家安全、經濟安全以及美國人民的公共健康和安全產生不利影響。

目前，美國的聯邦網絡安全法規是部門性的。由于特定行業的數據安全威脅已引起公眾關注，政府部門零零碎碎地通過了一系列針對特定行業的法規?？紤]到美國今天面臨的威脅，必須考慮新的自愿的和強制性的方法。期待負責任的關鍵基礎設施所有者和運營商遵守自愿指導和強制性要求，以確保美國人民所依賴的關鍵服務免受網絡威脅。

7月28日，拜登總統正在簽署一份關于“改善關鍵基礎設施控制系統的網絡安全”的國家安全備忘錄（NSM），該備忘錄涉及關鍵基礎設施的網絡安全，并實施早就應該采取的措施來應對面臨的威脅。

該備忘錄指導國土安全部的網絡安全與基礎設施安全局（CISA）和商務部的國家標準與技術研究所（NIST）與其他機構合作，制定關鍵基礎設施的網絡性能目標。這些標準將有助于負責提供電力、水和交通等基本服務的公司加強網絡安全。

正式建立總統工業控制系統網絡安全（ICS）計劃。ICS倡議是聯邦政府和關鍵基礎設施社區之間的自愿合作努力，旨在促進提供威脅可視性、指標、檢測和警告的技術和系統的部署。該計劃于4月中旬啟動，進行了一次電力子部門試點，代表近9000萬住宅客戶的150多家電力公司正在部署或同意部署控制系統網絡安全技術。天然氣管道行動計劃正在進行中，其他部門的其他舉措將在今年晚些時候出臺。

上周，國土安全部交通安全管理局（TSA）宣布了針對關鍵管道所有者和運營商的第二項安全指令。在2021年5月一條主要石油管道遭到勒索軟件攻擊后，TSA發布了一項初始安全指令，要求關鍵管道所有者和運營商報告網絡安全事件，指定網絡安全協調員，并對其當前的網絡安全做法進行審查。第二個安全指令將要求運輸危險液體和天然氣管道的所有者和運營商實施一些急需的保護措施，包括：

1、在規定的時間范圍內實施特定的緩解措施，以防止勒索軟件攻擊和其他已知的信息技術和操作技術系統威脅；

2、制定和實施網絡安全應急和恢復計劃；

3、進行年度網絡安全架構設計審查。

聯邦政府無法單獨做到這一點，保護關鍵基礎設施需要整個國家的努力。這項NSM、ICS網絡安全倡議、TSA的安全指令和總統關于改善國家網絡安全的行政命令是解決這些對國家的重大威脅的集中和積極的持續努力的一部分。

參考來源：美國白宮 http://33h.co/wb8x1

（五）美國眾議院通過多項網絡安全法案

美國眾議院全體委員會7月21日投票通過，將推進八項網絡安全法案。能源和商務委員會主席Frank Pallone，Jr.對此發表了以下聲明：“今天，我很自豪能源和商務委員會齊聚一堂，通過了迫切需要的立法，以促進更安全的網絡和供應鏈，使我們離更安全的無線未來更近了一步?？偟膩碚f，這些兩黨法案將教育公眾、小型供應商和小型企業，如何最好地保護其電信網絡和供應鏈，同時改善支持他們所需的協調和資源。我感謝雙方的同事為這些法案所做的辛勤工作，并期待繼續共同努力，使這項立法在眾議院獲得通過。”

委員會通過的法案包括：

1、《了解移動網絡的網絡安全法案》HR 2685。該法案將要求美國國家電信和信息管理局(NTIA)檢查并報告移動服務網絡的網絡安全，以及這些網絡和移動設備對對手進行的網絡攻擊和監視的脆弱性。該法案經修訂后以口頭表決方式獲得通過。

2、《2021年安全設備法案》HR 3919。該法案將指示聯邦通信委員會(FCC)通過規則，禁止來自委員會“涵蓋清單”上的公司的設備授權。該法案將阻止華為、中興通訊、海能達、?？低暫痛笕A等公司在美國進一步整合和銷售設備，這些公司都是中國政府支持或指導的公司。該法案將特別確保所需的規則不具有追溯力。該法案經修訂后以口頭表決方式獲得通過。

3、《信息和通信技術戰略法案》HR 4028。該法案將指示商務部長通過NTIA助理部長在一年內向國會提交一份報告，分析信息和通信技術供應鏈中值得信賴的供應商的經濟競爭力狀況，確定哪些組件或技術是關鍵或易受攻擊，并確定美國網絡依賴哪些組件或技術。該法案還要求部長在報告提交后的六個月內向國會提交一項整體政府戰略，以確保美國值得信賴的供應商的競爭力。該法案經修訂后以口頭表決方式獲得通過。

4、《開放RAN外展法案》HR 4032。該法案指示NTIA管理員向小型通信網絡提供商提供有關開放式無線電接入網絡(Open-RAN)和其他開放式網絡架構的外展和技術援助。該法案經修訂后以口頭表決方式獲得通過。

5、《支持可靠和增強網絡技術的未來使用法案》HR 4045。該法案將要求FCC創建一個6G工作組。該法案規定，特別工作組成員應由FCC主席任命，工作組成員在可能的情況下由來自受信任公司（即不受外國對手控制的公司）、受信任公共利益團體、信任的政府代表，至少有一名來自聯邦、州、地方和部落政府的代表。工作組必須向國會提交一份關于6G無線技術的報告，包括6G的可能用途、優勢和局限性。該法案經修訂后以口頭表決方式獲得通過。

6、《NTIA政策和網絡安全協調法案》HR 4046。該法案將授權現有的NTIA政策分析和發展辦公室，并將其更名為政策發展和網絡安全辦公室。除了在《安全和可信通信法》第8節中的規定，將NTIA在管理信息共享計劃方面的責任編入法典之外，該辦公室還將被分配協調和制定有關通信網絡網絡安全政策的職能。該法案經修訂后以口頭表決方式獲得通過。

7、《美國網絡安全素養法案》HR 4055。該法案將要求NTIA制定并開展網絡安全掃盲活動，以教育美國個人有關常見網絡安全風險和最佳實踐的知識。該法案經修訂后以口頭表決方式獲得通過。

8、《2021年通信安全咨詢法案》HR 4067。該法案將對現有的FCC咨詢委員會、通信安全、可靠性和互操作性委員會進行編纂。它還要求每兩年向FCC和公眾提交報告，并提出改善此類問題的通信網絡的建議。該法案經修訂后以口頭表決方式獲得通過。

參考來源：美國眾議院 http://33h.co/wa4rh

（六）CODESYS修復工業自動化產品中十多個漏洞

工業自動化軟件提供商CODESYS披露了影響其多款產品的十多個漏洞，其中CODESYS于7月22日發布了六個安全公告，Cisco Talos于7月26日發現了CODESYS開發系統中的七個漏洞。

CODESYS軟件中的漏洞可能會產生嚴重影響，因為CODESYS軟件被用于幾個大型公司制造的工業控制系統。此前Positive Technologies研究人員發現，CODESYS軟件中存在嚴重漏洞，十多家制造商生產的PLC面臨攻擊。

CODESYS于7月22日發布了六個安全公告，通知其客戶，可以修復影響其開發系統、V3 Web服務器、網關、VxWorks運行工具包和EtherNetIP產品的遠程代碼執行、拒絕服務（Dos）、及信息泄露漏洞。

其中只有一個嚴重漏洞CVE-2021-33485，是CODESYS V3 Web服務器中基于堆的緩沖區溢出漏洞，可利用該漏洞進行DoS攻擊或使用特制請求進行遠程代碼執行。

思科Talos于7月26日發布博客文章稱，其在CODESYS開發系統中發現了七個漏洞。CODESYS開發系統是用于工業控制和自動化技術的IEC 61131-3編程工具，提供32位和64位版本。該軟件包含多個不安全的反序列化漏洞，允許攻擊者在受害機器上執行任意代碼，這些問題存在于各種軟件功能中。

攻擊者可以通過某種方式修改本地配置或配置文件，或通過欺騙本地用戶打開惡意項目或存檔文件來利用這些漏洞。技能水平不高的攻擊者都可以利用這些漏洞。

參考來源：CODESYS http://33h.co/wag0k

（七）IDEMIA生物識別設備中存在多個漏洞

Positive Technologies研究人員警告稱，IDEMIA制造的生物識別訪問控制設備中存在漏洞，可能導致遠程代碼執行(RCE)、拒絕服務以及任意文件的讀寫。

Positive Technologies ICS安全負責人Vladimir Nazarov表示，“利用此漏洞，攻擊者可以繞過IDEMIA設備提供的生物識別。例如，犯罪分子可以遠程打開由設備控制的門并進入安全區域。”

Positive Technologies的研究人員發現了影響某些版本的面部識別設備VisionPass、指紋讀取產品MorphoWave和SIGMA以及手指靜脈/指紋讀取MA VP MD設備的三個漏洞。

第一個漏洞CVE-2021-35522是一個嚴重的緩沖區溢出漏洞，CVSS得分為9.8，可以讓攻擊者遠程執行任意代碼，這是由于從Thrift協議網絡數據包接收到的輸入中缺少長度檢查而發生的。

第二個漏洞CVE-2021-35520是串行端口處理程序中的堆溢出漏洞，CVSS得分為6.2，會導致拒絕服務，但前提是攻擊者可以物理訪問串行端口。

第三個漏洞CVE-2021-35521是一個路徑遍歷漏洞，CVSS得分為5.9，允許攻擊者在受影響的設備上讀寫任意文件，從而可能允許未經授權執行特權命令。

IDEMIA已修補了這三個漏洞，并發布了安全公告，詳細說明修復程序和所有受影響的設備。IDEMIA解釋表示，這些漏洞可以通過使用常規流程將設備更新為無漏洞軟件來修復。用戶可以通過在設備上應用TLS服務器身份驗證并將訪問控制服務器的公共證書提供給它來緩解這些漏洞。

參考來源：TheDailySwig http://33h.co/wm2qz

（八）Sunhillo航測產品中存在嚴重漏洞

NCC Group安全研究人員發現，Sunhillo SureLine應用程序中存在一個未經身份驗證的操作系統命令注入漏洞，攻擊者可以使用root權限執行任意命令。

Sunhillo是飛行器監視和跟蹤領域的知名品牌，SureLine是為公司的監視工具和產品提供支持的核心軟件。Sunhillo為美國聯邦航空管理局、美國軍方、民航當局和全球國防組織處理監控數據分發系統的所有生命周期方面的問題。

NCC Group安全研究人員Liam Glanfield發現的嚴重操作系統命令注入漏洞編號為CVE-2021-36380，攻擊者可利用該漏洞與受影響的設備建立交互通道，從而控制該設備。成功利用該漏洞可能會導致系統完全受損。完全控制設備后，攻擊者可能會造成拒絕服務情況，或在網絡上建立持久性。

Glanfield解釋表示，該問題是在/cgi/networkDiag.cgi腳本中發現的，該腳本“直接將用戶可控參數包含在shell命令中，允許攻擊者通過注入有效的操作系統命令輸入來操縱生成的命令”。

命令注入可以使用$()并在括號內運行任意命令。通過使用精心設計的POST請求，攻擊者可以注入命令以建立與另一個系統的反向TCP連接，從而產生交互式遠程shell會話，使攻擊者可以完全控制系統。

Glanfield表示，“例如，攻擊者可以將SSH公鑰添加到/home/root/.ssh/authorized_keys中，并以root用戶身份獲得訪問權限。”

該漏洞于6月21日報告給Sunhillo，并于7月22日在Sunhillo SureLine版本8.7.0.1.1中發布了補丁程序，建議用戶盡快更新到補丁版本。

參考來源：SecurityWeek http://33h.co/wayac

（九）No More Ransom成立五周年，幫助600萬勒索軟件受害者節省近10億歐元

No More Ransom項目已成立五周年，已幫助超過600萬勒索軟件受害者恢復了文件，并節省了近10億歐元的勒索贖金。

No More Ransom是一個在線門戶網站，于2016年7月啟動，是由執法部門和行業領導者創建的公私合作伙伴關系，包括歐洲刑警組織歐洲網絡犯罪中心、荷蘭警察局國家高科技犯罪部門、邁克菲、卡巴斯基、Emsisoft、趨勢科技、Bitdefender、Avast等。

No More Ransom項目包括全球170個公共和私營部門合作伙伴。No More Ransom存儲庫中提供的解密程序已幫助超過600萬人免費恢復他們的文件，阻止了犯罪分子通過勒索軟件攻擊賺取近10億歐元。目前提供121種免費工具，能夠解密151個勒索軟件系列。

No More Ransom網站提供37種語言版本，訪問該網站的大多數用戶來自韓國、美國、印度、中國和印度尼西亞。除了解密工具外，該網站為5周年重新設計，還提供預防建議和勒索軟件問答。

No More Ransom旨在幫助受害者恢復加密文件，提高對勒索軟件威脅的認識，并為勒索軟件受害者和公眾提供報告攻擊的直接鏈接。要獲得解密程序，必須通過No More Ransom的Crypto Sheriff上傳兩個加密文件和勒索軟件說明，該工具將嘗試將它們與可用解密工具列表進行匹配。

如果出現匹配，將獲得一個指向合適的勒索軟件解密程序的鏈接，該解密程序附帶有關如何解鎖文件的詳細說明。如果沒有可用的解密程序，建議以后再次檢查是否匹配，因為新的解鎖工具會定期添加到數據庫中。

用戶可以通過網站的Crypto Sheriff功能快速了解No More Ransom提供的工具是否有用，該功能根據加密文件、贖金記錄、電子郵件地址、URL或加密貨幣錢包地址確定勒索軟件的類型。

建議勒索軟件受害者永遠不要付款，因為這將為犯罪分子未來的攻擊提供資金，而是采取措施防止和減輕此類攻擊的損害：

1、定期備份計算機上存儲的數據，至少保留一份離線副本；

2、不要點擊未知或可疑電子郵件中的鏈接；

3、僅瀏覽和下載官方版本的軟件，并始終從受信任的網站下載；

4、使用強大的安全產品來保護系統免受所有威脅，包括勒索軟件；

5、確保安全軟件和操作系統是最新的；

6、瀏覽互聯網時要小心，不要點擊可疑鏈接、彈出窗口或對話框；

7、不要使用高權限帳戶（具有管理員權限的帳戶）進行日常業務；

8、如果成為受害者，請不要付款！報告犯罪并檢查No More Ransom以獲取解密工具。

參考來源：Europol http://33h.co/wbqf6

（十）新型勒索軟件組織BlackMatter攻擊收入過億的公司

Recorded Future研究人員發現，BlackMatter是一款新型勒索軟件即服務(RaaS)，于2021年7月開始運作，該軟件聲稱整合了DarkSide和REvil的最佳功能，目前正在通過Exploit和XSS兩個網絡犯罪論壇發布廣告招募合作機構。

盡管自5月以來，這兩個論壇都禁止了勒索軟件廣告，但BlackMatter并沒有直接為其勒索軟件即服務(RaaS)產品做廣告，而是發布了招募“初始訪問經紀人”的廣告，該術語用于描述可以訪問被黑客攻擊的企業網絡的個人。根據BlackMatter的廣告，BlackMatter有興趣與經紀人合作，購買可以授予訪問年收入超過1億美元以上的公司的訪問權限。

根據BlackMatter組織說法，這些網絡需要擁有500到15,000臺主機，并且位于美國、英國、加拿大或澳大利亞。BlackMatter表示愿意支付高達100,000美元以獨家訪問這些高價值網絡。一旦該組織找到合適的攻擊目標，他們將使用經紀人授予的訪問權限來部署接管公司內部系統的工具，然后部署文件加密負載。

該小組聲稱能夠加密不同的操作系統版本和架構，包括Windows系統（通過SafeMode）、Linux（Ubuntu、Debian、CentOS）、VMWare ESXi 5+虛擬端點和網絡附加存儲(NAS)設備（例如Synology、OpenMediaVault、FreeNAS和TrueNAS）。

就像大多數頂級勒索軟件團伙一樣，BlackMater在暗網上也運營著一個泄密網站，如果被黑客入侵的公司不同意支付解密文件的費用，BlackMater就會在泄密網站發布從受害者那里竊取的數據。

該站點目前是空的，確認BlackMatter組織在本周才啟動，尚未進行任何入侵。在該網站中，BlackMatter組織還列出了一系列他們不打算攻擊的目標，包括醫院、關鍵基礎設施（核電站、發電廠、水處理設施）、石油和天然氣工業（管道、煉油廠）、國防工業、非盈利公司、政府部門。

BlackMatter組織聲稱，如果來自這些垂直行業的受害者被感染，他們計劃免費解密他們的數據，這一部分這與在Darkside組織泄漏網站上的一部分非常相似，Darkside在攻擊美國管道運營商Colonial之后停止運營。

Recorded Future研究人員表示，根據迄今為止觀察到的證據，他們認為BlackMatter與之前的Darkside組織之間存在聯系，但這種聯系仍在調查中。

參考來源：TheRecord http://33h.co/wbpd6

（十一）惡意程序可隱藏在神經網絡模型中

美國康奈爾大學研究人員Wang Zhi、Liu Chaoge、Cui Xiang發表了一篇題為《EvilModel：在神經網絡模型中隱藏惡意軟件》的學術論文，證明可以通過神經網絡模型傳遞惡意軟件，在不影響網絡性能的情況下逃避檢測。

這3名研究人員指出，黑客為了躲避檢測，經常將惡意程序的通訊隱藏在Twitter、GitHub甚至是區塊鏈等合法服務中，這些方法完全不需要黑客自行部署服務器，受害者也無法借由摧毀合法服務來保護自己。只不過，這些平臺通常只適用于少量的信息，而無法用來傳送文檔較大的有效載荷或攻擊程序，而這也是他們選擇神經網絡模型的原因。

由于神經網絡模型多半具備不可解釋的特性，再加上良好的泛化能力，因此，若把惡意程序直接嵌入神經網絡模型中，對于該模型的效能影響非常的輕微，此外，因神經網絡模型的架構沒變，于是還能躲過防毒軟件的偵測。

因此，研究人員成功地把高達36.9MB的惡意程序放進178MB的AlexNet模型，不僅只損失不到1%的精確度，還未被任何的殺毒軟件察覺。

研究人員認為，隨著人工智能的大規模采用，惡意軟件作者將對神經網絡的使用越來越感興趣。希望這項工作可以為神經網絡輔助攻擊的防御提供一個可參考的場景。研究人員能夠在已經訓練好的模型（即圖像分類器）中選擇一個層，然后將惡意軟件嵌入到該層中。

如果模型沒有足夠的神經元來嵌入惡意軟件，攻擊者可能會選擇使用未經訓練的模型，該模型具有額外的神經元。然后，攻擊者將在原始模型中使用的相同數據集上訓練模型，以生成具有相同性能的模型。

專家指出，該技術僅對惡意軟件的隱藏有效，對其執行無效。為了運行惡意軟件，必須使用特定的應用程序從模型中提取它，只有當它足夠大以包含它時，它才能隱藏在模型中。

作為一種可能的對策，專家建議在最終用戶設備上采用安全軟件，該軟件可以檢測從模型中提取惡意軟件的操作、其組裝和執行。專家還警告原始模型的供應商存在供應鏈污染。

參考來源：SecurityAffairs http://33h.co/wm919

（十二）英美澳聯合發布2020年利用最多的漏洞

美國網絡安全和基礎設施安全局(CISA)、澳大利亞網絡安全中心(ACSC)、英國國家網絡安全中心(NCSC)和美國聯邦調查局(FBI)發布了一份聯合網絡安全咨詢報告，提供了2020年黑客利用的前30個漏洞的詳細信息。

該公告包括每個漏洞的技術細節，包括危害指標(IOC)，并提供緩解措施。在針對多個行業組織的攻擊中，黑客利用的通常是已知的舊漏洞。

網絡安全機構警告稱，攻擊旨在利用包括Atlassian、Citrix、Fortinet、F5、MobileIron和Telerik在內的多家供應商在VPN設備、網絡設備和企業云應用程序方面的漏洞。持續的新冠疫情導致利用VPN和基于云的環境的遠程工作選項的擴展，擴大了攻擊面。

2020年最具針對性的四個漏洞影響了遠程工作、VPN或基于云的技術。許多VPN網關設備在2020年間沒有打補丁，遠程工作選項的增長挑戰了組織進行嚴格補丁管理的能力。下表列出了2020年最常被利用的漏洞。

2021年，微軟、Pulse、Accellion、VMware和Fortinet產品受到最嚴重的常規利用問題的影響。以下是最常被利用的漏洞列表：

1、Microsoft Exchange：CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、及CVE-2021-27065；

2、Pulse Secure：CVE-2021-22893、CVE-2021-22894、CVE-2021-22899、及CVE-2021-22900；

3、Accellion：CVE-2021-27101,CVE-2021-27102,CVE-2021-27103、及CVE-2021-27104；

4、VMware：CVE-2021-21985；

5、Fortinet：CVE-2018-13379、CVE-2020-12812、及CVE-2019-5591。

尚未修復這些漏洞的組織應調查IoC的存在，如果受到危害，應啟動事件響應和恢復計劃。

參考來源：SecurityAffairs http://33h.co/wmdqf

（十三）希臘第二大城市Thessaloniki遭受網絡攻擊導致市政服務中斷

希臘第二大城市塞薩洛尼基（Thessaloniki）遭受了網絡攻擊，市政服務暫時中斷。攻擊發生在7月23日，負責商業規劃、電子政務和移民政策的副市長Giorgos Avarlis表示，希臘第二大城市關閉了其服務和網絡應用程序。此外，攻擊者已經安裝了一種惡意病毒，并要求支付贖金來解鎖文件，但并未透露其是否支付了贖金或支付了多少錢。Avarlis還表示，市政當局的所有文件都是安全的，但仍未確定攻擊的來源。

參考來源：TheNationalHerald http://33h.co/wm2yb

（十四）日本計算機遭受以奧運會為主題的惡意軟件攻擊

日本安全公司MBSD研究人員發現了一種以奧運會為主題的惡意軟件，該軟件包含在受感染系統上擦除文件的功能，專門針對日本電腦設計，是在7月21日2021年東京奧運會開幕式之前兩天被檢測到。

日本安全公司三井物產安全方向(Mitsui Bussan Secure Directions，MBSD)分析發現，擦除器不僅刪除計算機的所有數據，而且僅搜索位于用戶個人Windows文件夾中的某些文件類型，位于“C:/Users/<username>/”。

Microsoft Office文件是要刪除的目標，還有TXT、LOG和CSV文件，這些文件有時可以存儲日志、數據庫或密碼信息。

此外，擦除器還針對使用Ichitaro日語文字處理器創建的文件，這讓MBSD團隊相信，擦除器是專門針對日本的計算機（通常安裝Ichitaro應用程序）而創建的。

有針對性的擴展包括：DOTM、DOTX、PDF、CSV、XLS、XLSX、XLSM、PPT、PPTX、PPTM、JTDC、JTTC、JTD、JTT、TXT、EXE、LOG。

擦除器中的其他功能還包括大量反分析和反VM檢測技術，以防止惡意軟件被輕松分析和測試，以及惡意軟件在擦除操作完成后自行刪除的能力。

然而，最有趣的功能是，在擦除行為發生時，擦除器還使用cURL應用程序訪問XVideos成人視頻門戶上的頁面。MBSD團隊認為，添加此行為是為了欺騙法醫調查人員，認為擦除行為是因為用戶在訪問色情網站時被感染。

MBSD團隊表示，在Windows EXE文件中發現了擦除器，該文件被配置為看起來像一個名為：[緊急]與東京奧運會相關的網絡攻擊等發生的損壞報告.exe。

MBSD研究人員Takashi Yoshikawa和Kei Sugawara表示，“由于該惡意軟件使用PDF圖標進行偽裝，并且僅針對用戶文件夾下的數據，因此可以認為該惡意軟件旨在感染沒有管理員權限的用戶。”

參考來源：TheRecord http://33h.co/wmk44

（十五）美國保險公司Humana客戶醫療數據在線泄露

CyberNews研究人員發現，在一個知名黑客論壇上，有一個泄露的SQL數據庫，其中包括6000多名美國保險公司Humana的高度敏感的醫療保險數據。

該帖子作者聲稱，這些數據包括Humana健康計劃成員可追溯到2019年的詳細醫療記錄。泄露的信息包括患者姓名、ID、電子郵件地址、密碼哈希、醫療計劃清單、醫療數據等。

Humana是美國第三大健康保險公司，在四個多月前，該公司通知其65,000名醫療健康計劃成員，在2020年10月12日至2020年12月16日期間，一名分包商的員工向未經授權的個人披露了醫療記錄，其中一名受數據泄露影響的患者對該公司提起訴訟。

7月18日，CyberNews聯系了Humana以核實這些數據是否屬于他們。7月23日，Humana發言人表示，公司系統中沒有刪除任何數據，這些數據是通過針對Medicare Advantage成員和代理人的非關聯第三方應用程序的數據泄露獲得的。“Humana于7月16日意識到針對Medicare Advantage會員和代理人的非關聯第三方應用程序可能存在數據泄露。該應用程序不由Humana擁有或運營。我們的網絡安全業務將繼續監控局勢。Humana制定了政策和程序來維護其成員信息的安全，我們非常重視這一責任。”

下載該數據庫的一位論壇成員聲稱，該檔案包含2020年的信息，而不是泄密者所述的2019年的信息。如果論壇成員的說法屬實，則泄露的數據庫可能是2020年違規行為的一部分。話雖如此，泄密者發布的樣本中發現的數據大多來自2019年，這可能表明它與Humana沒有任何關系，可能是根據Humana發言人的建議單獨獲取的。

若要查看在線帳戶是否在以前的安全漏洞中暴露過，可使用CyberNews的個人數據泄漏檢查器，其中包含超過150億條泄露記錄。

泄露的SQL數據庫包含超過823,000行數據，分為97個表，其中一些表存儲了美國6,487個人的高度敏感的患者信息，包括：全名、患者ID、電子郵件地址、帶有郵政編碼的街道地址、密碼哈希、隱私政策確認狀態、Medicare Advantage計劃數據、醫療數據、照片和視頻的鏈接，包括患者X光片、CT掃描、保險文件掃描。此外，該數據庫似乎包含對各種功能的API調用，所有這些功能都包括私有API密鑰，威脅參與者可以使用這些密鑰訪問其他在線服務。

由于SQL數據庫于7月16日通過WeTransfer鏈接免費提供，因此可以安全地假設，發布該數據庫的黑客論壇的多個用戶都可以訪問數據。

究竟有多少惡意行為體實際訪問了這些數據，其中又有多少人利用這些數據從事網絡犯罪活動，該數據庫在發布到黑客論壇之前被泄密者擁有多久，這些問題目前還不清楚。

由于該數據庫中包含大量高度敏感的個人信息，威脅行為者可能會：發起魚叉式網絡釣魚及垃圾郵件活動、提交欺詐性保險索賠、使用受害者的健康保險、根據患者的健康信息剝削或勒索患者、收集整理并與其他惡意行為者共享這些醫療數據、進行身份盜竊。

Medicare Advantage計劃會員的醫療數據有可能被泄露，因此建議：使用CyberNews個人數據泄漏檢查器等服務檢查數據是否因其他違規行為而泄露，該服務目前擁有超過150億條記錄、與金融機構設置身份盜竊監控、查看在線帳戶最近的活動，并注意可疑的電子郵件、消息和請求。

參考來源：CyberNews http://33h.co/wa8uq

（十六）美國加州大學圣地亞哥分校健康中心遭受釣魚攻擊導致數據泄露

加州大學圣地亞哥分校健康中心（UC San Diego Health）是美國加州大學圣地亞哥分校的學術健康系統，近日披露了數據泄露事件，一些員工的電子郵件賬戶遭到了入侵。

據2021-2022年美國新聞與世界報道調查，加州大學圣地亞哥分校健康中心是全美最好的醫院之一，多次被評為圣地亞哥最好的醫療保健系統。該衛生系統運營著加州大學圣地亞哥醫學中心、Jacobs醫學中心和Sulpizio心血管中心，總容量為808張病床。

加州大學圣地亞哥分校健康中心通信和媒體關系執行總監Jacqueline Carr表示，此次泄露是網絡釣魚攻擊的結果。加州大學圣地亞哥分校健康中心在3月12日最初收到可疑活動警報后，于4月8日發現未經授權訪問了其部分員工的電子郵件帳戶。

發現違規行為后，加州大學圣地亞哥分校健康中心終止了對受感染帳戶的未經授權訪問，并向執法部門和FBI報告了該事件。在網絡釣魚攻擊中破壞電子郵件帳戶后，攻擊者可能在2020年12月2日至2021年4月8日期間訪問或獲取了患者、員工和學生的個人信息。

雖然攻擊者已經訪問電子郵件帳戶超過四個月，但安全團隊和外部網絡安全專家正在進行的調查并未發現任何證據表明，自攻擊以來這些信息已被濫用。

事件期間威脅行為者訪問的個人信息可能包括：姓名、地址、出生日期、電子郵件、傳真號碼、索賠信息（醫療保健服務的日期和費用以及索賠識別碼）、實驗室結果、醫療診斷和條件、醫療記錄號碼和其他醫療標識符、處方信息、治療信息、醫療信息、社會安全號碼、政府身份證號碼、支付卡號碼或金融帳號和安全碼、學生證號碼以及用戶名和密碼。

該醫學中心表示，“沒有證據表明其他加州大學圣地亞哥分校健康系統受到影響，我們目前也沒有任何證據表明信息被濫用。除了通知可能涉及個人信息的個人外，加州大學圣地亞哥分校健康中心還采取了補救措施，其中包括更改員工憑證、禁用訪問點以及增強安全流程和程序等。”

加州大學圣地亞哥分校健康中心還警告社區成員和可能受影響的個人，注意身份盜用或欺詐企圖，可以通過定期審查和監控健康保險公司提供的財務報表、信用報告和福利說明來了解任何未經授權的活動。UC San Diego Health還建議盡可能輪換憑證，并為個人在線帳戶啟用多因素身份驗證(MFA)。

調查結束后，可能在9月30日左右，加州大學圣地亞哥分校健康中心將向受數據泄露影響的學生、員工和患者發送個人泄露通知信件。

參考來源：BleepingComputer http://33h.co/wb8ir

（十七）巴西創建網絡攻擊響應網絡

巴西創建了一個網絡攻擊響應網絡，旨在通過聯邦政府機構之間的協調促進對網絡威脅和漏洞的更快響應。

根據7月16日簽署的總統令創建的聯邦網絡事件管理網絡將涵蓋總統機構安全辦公室以及聯邦管理機構下的所有機構和實體。上市公司、混合資本公司及其子公司可以自愿成為該網絡的成員。該網絡將由總統機構安全辦公室信息安全部通過政府的網絡安全事件預防、處理和響應中心進行協調。

數字政府秘書處(DGS)在經濟部管理和數字政府特別秘書處下運作，將在網絡的形成中發揮戰略作用。DGS是SISP的中央機構，該系統用于規劃、協調、組織、運營、控制和監督聯邦政府200多個機構的信息技術資源。

據DGS稱，創建網絡的法令中概述的信息共享有望在預防事件和可能的網絡攻擊所需的行動方面改善SISP的表現。盡管政府的社會保障技術和信息公司Dataprev和聯邦數據處理服務機構Serpro等上市公司的參與不是強制性的，但他們預計也會加入該計劃。

立即了解攻擊和被利用的潛在漏洞，將使秘書處能夠提醒其他機構執行必要的遏制措施，另一個重點領域可能包括制定指南和培訓以解決網絡確定的主要問題。

巴西在聯合國發布的最新全球網絡安全指數中的進步，巴西的排名從2018年的第70位上升到2021年的第18位，這是整個拉丁美洲的最佳結果。數字政府和管理部長Caio Mario Paes de Andrade指出，該網絡的建立將有助于巴西聯邦政府進一步加強其在應對危機中的作用網絡威脅。

根據本月早些時候公布的一項調查，巴西人擔心自己數據的安全性。調查發現，巴西用戶對網絡攻擊的恐懼程度很高，73%的受訪者表示曾遭受過某種數字威脅，比如收到來自公司的假消息和被盜密碼。

參考來源：ZDNet http://33h.co/wmkcv