目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）臺灣主板廠商技嘉遭受RansomExx勒索軟件攻擊

（二）臺灣NAS廠商Synology設備遭受僵尸網絡暴力攻擊

第二章 國外關鍵信息基礎設施安全動態

（一）全球數百萬路由器存在嚴重身份驗證漏洞，已在野外利用

（二）Dragos發布ICS/OT漏洞利用態勢分析報告

（三）美國基礎設施法案為網絡安全撥款20億美元

（四）CISA成立聯合網絡防御協作組織應對勒索軟件及供應鏈攻擊

（五）互聯網農場使全球食品供應鏈易受攻擊

（六）埃森哲遭受LockBit勒索軟件攻擊

（七）亞馬遜Kindle電子書中存在嚴重漏洞

（八）Conti勒索軟件關聯機構泄露內部培訓材料及工具

（九）伊朗黑客組織Charming Kitten使用新型后門LittleLooter

（十）美國肯塔基大學在滲透測試期間發現數據泄露

（十一）美國伊利諾伊州殘疾兒童學校Hope披露數據泄露事件

（十二）美國伊利諾伊州槍支識別系統遭受網絡攻擊

（十三）美國醫療器械廠商Electromed披露數據泄露事件

（十四）新加坡電信公司StarHub發生數據泄露事件

 

第一章 國內關鍵信息基礎設施安全動態

（一）臺灣主板廠商技嘉遭受RansomExx勒索軟件攻擊

臺灣主板制造商技嘉(Gigabyte)遭受了勒索軟件RansomEXX攻擊，該組織威脅聲稱除非支付了贖金，否則將公布112GB的竊取數據。

技嘉是主板生產大廠，但也生產其他計算機組件和硬件，例如顯卡、數據中心服務器、筆記本電腦和顯示器。

攻擊發生在8月3日至4日的深夜，迫使技嘉關閉了臺灣的系統。該事件還影響了該公司的多個網站，包括其支持網站和臺灣網站的部分內容。有客戶還報告了訪問支持文檔或接收有關RMA的更新信息的問題，這可能是由于勒索軟件攻擊造成的。

技嘉科技證實，其部分服務器遭受了黑客網絡攻擊，第一時間啟動了網絡安全防御，受影響的內部服務均已陸續回復運作，目前生產、銷售及日常營運未受影響。

技嘉發布重大信息說明稱，網絡安全團隊已與多家外部網絡安全公司技術專家合作，共同處理這次針對技嘉科技少部分服務器的網路攻擊，并已將所監測到的異常網路狀況，通報至政府相關執法部門與網絡安全單位，保持密切連系。

技嘉表示，已于第一時間啟動網絡安全防御，并進行網路攻擊清查，受到影響的內部服務均已陸續回復運作，技嘉也同步檢視并強化現有的基礎架構，全面提升網路安全等級，以保護資料安全及完整性。

雖然技嘉沒有正式說明是什么勒索軟件導致了這次攻擊，但研究人員已經了解到這是由RansomEXX勒索軟件組織進行的。當RansomEXX運營商加密網絡時，會在每個加密設備上創建勒索信件，包含一個指向非公開頁面的鏈接，該頁面僅供受害者訪問，可以測試解密一個文件，并留下電子郵件地址以開始贖金談判。

 

有消息人士透露了一個鏈接，指向技嘉公司的非公開RansomEXX泄漏頁面，攻擊者聲稱在攻擊期間竊取了112GB的數據。攻擊者在勒索信件中包含了私人泄漏頁面的鏈接。

攻擊者還分享了在攻擊期間竊取的的四份文件的屏幕截圖，這些機密文件包括美國Megatrends調試文件、英特爾“潛在問題”文件、Ice Lake D SKU堆棧更新時間表、及AMD修訂指南。

參考來源：BleepingComputer http://33h.co/wez96

 

（二）臺灣NAS廠商Synology設備遭受僵尸網絡暴力攻擊

臺灣NAS制造商Synology警告其客戶，StealthWorker僵尸網絡正在針對其網絡連接存儲設備進行持續的暴力攻擊，從而導致勒索軟件感染。Synology的產品安全事件響應團隊表示，在這些攻擊中受損的Synology NAS設備后來被用于進一步嘗試破壞更多Linux系統。

Synology在安全公告中表示，“這些攻擊利用大量已受感染的設備來嘗試猜測常見的管理憑據，如果成功，將訪問系統，安裝惡意負載，其中可能包括勒索軟件。受感染的設備可能會對其他基于Linux的設備進行額外攻擊，包括Synology NAS。”

該公司正在與全球多個CERT組織協調，通過關閉所有檢測到的命令和控制(C2)服務器來關閉僵尸網絡的基礎設施。Synology正致力于將這些針對其NAS設備的持續攻擊通知所有可能受影響的客戶。

Synology敦促所有系統管理員和客戶更改其系統上的弱管理憑據，啟用帳戶保護和自動阻止，并在可能的情況下設置多因素身份驗證。Synology很少發布針對其客戶的主動攻擊的安全公告警告，曾在2019年7月發布了關于成功大規模暴力攻擊后勒索軟件感染的警報。

該公司建議用戶通過以方法保護其NAS設備免受攻擊：

1、使用復雜而強大的密碼，并將密碼強度規則應用于所有用戶；

2、在管理員組中創建一個新帳戶，并禁用系統默認的admin帳戶；

3、在控制面板中啟用自動阻止，以阻止登錄嘗試失敗次數過多的IP地址；

4、運行安全顧問以確保系統中沒有弱密碼。

Synology補充表示，“為確保Synology NAS的安全，我們強烈建議在控制面板中啟用防火墻，并僅在必要時允許公共端口提供服務，并啟用雙因素驗證以防止未經授權的登錄嘗試。還可以啟用Snapshot，以使NAS免受基于加密的勒索軟件的攻擊。”

雖然Synology沒有分享更多有關此活動中使用的惡意軟件的更多信息，但分享的詳細信息與Malwarebytes在2019年2月底發現并稱為StealthWorker的基于Golang的暴力破解器一致。

兩年前，StealthWorker被用來通過利用Magento、phpMyAdmin和cPanel漏洞來部署旨在竊取支付和個人信息的撇油器，來破壞電子商務網站。正如Malwarebytes當時指出的那樣，該惡意軟件還具有暴力破解功能，使其能夠使用現場生成的密碼或從先前泄露的憑據列表中生成的密碼登錄到暴露在互聯網上的設備。

從2019年3月開始，StealthWorker運營商改用僅使用暴力破解的方法來掃描互聯網，尋找具有弱憑據或默認憑據的易受攻擊主機。

一旦部署在受感染的機器上，惡意軟件會在Windows和Linux上創建計劃任務，以獲得持久性，并且正如Synology所警告的那樣，會部署第二階段惡意軟件有效載荷，包括勒索軟件。

雖然這家NAS制造商沒有發布安全公告，但客戶在1月份報告說，從2020年11月開始，他們的設備感染了Dovecat比特幣加密劫持惡意軟件，該活動也針對QNAP NAS設備。

8月10日，Synology發言人發表了以下聲明，“我們最初是在7月底意識到這次攻擊的。從那以后的2-3周內，我們收到了不到50份來自客戶的報告?？紤]到Synology設備的數量（超過800萬個活動部署），我們認為受到這種攻擊的設備數量非常少。我們的團隊還注意到，這些攻擊在過去幾天中有所放緩。目前，我們仍在積極調查此惡意軟件攻擊和使用的腳本。目前，我們認為僵尸網絡會使用常見的密碼組合對“admin”帳戶進行暴力破解。目前，我們還沒有看到惡意軟件嘗試針對任何其他用戶帳戶。如前所述，我們的客戶在7月底首次報告了這次攻擊。此后，我們向受影響的客戶發送了通知，并向所有Synology用戶發送了額外的通知，告知他們我們的最佳做法和有關如何保護NAS的提示。”

參考來源：BleepingComputer http://33h.co/w8ru7

  

第二章 國外關鍵信息基礎設施安全動態

 

（一）全球數百萬路由器存在嚴重身份驗證漏洞，已在野外利用

Tenable研究人員8月3日披露，其在Arcadyan固件的底層路由器Web界面中發現了一個嚴重路徑遍歷漏洞CVE-2021-20090，可允許未經身份驗證的遠程攻擊者繞過身份驗證。三天后，Juniper網絡威脅實驗室研究人員就發現，有攻擊者利用了該漏洞，用于執行DDoS攻擊的Mirai變體僵尸網絡中。

漏洞CVE-2021-20090影響了至少17家供應商的路由器設備及ISP，包括ADB、Arcadyan、ASMAX、ASUS、Beeline、British Telecom、Buffalo、Deutsche Telekom、HughesNet、KPN、O2、Orange、Skinny、SparkNZ、Telecom Argentina、TelMex、Telstra、Telus、Verizon和Vodafone。全球有數百萬設備都可能容易受到攻擊。

 

Tenable在8月3日的公告中表示，“該漏洞的存在是由于一個文件夾列表屬于身份驗證的“繞過列表”。對于列出的大多數設備，這意味著該漏洞可能由多個路徑觸發。對于http://<ip>/index.htm需要身份驗證的設備，攻擊者可以使用以下路徑訪問index.htm：http://<ip>/images/.%2findex.htm、http://<ip>/js/.%2findex.htm、http://<ip>/css/.%2finder.htm。要正確加載頁面，需要使用代理匹配/替換設置，以確保加載的任何需要身份驗證的資源也能利用路徑遍歷。”

就在該漏洞披露的三天后，Juniper Networks網絡安全研究人員表示，他們發現了對該漏洞的積極利用。研究人員在博客中表示，“我們發現了一些攻擊模式，試圖利用中國湖北省武漢市的一個IP地址在野外利用該漏洞。攻擊者似乎試圖在受影響的路由器上部署Mirai變體。”

據Juniper稱，在Tenable的PoC附近，攻擊者正在修改被攻擊設備的配置，使Telnet能夠使用“ARC_SYS_TelnetdEnable=1”控制。然后，他們繼續從指揮與控制（C2）服務器下載Mirai變體并執行它。

Mirai是一種長期運行的僵尸網絡，可感染連接的設備，并可用于發起分布式拒絕服務（DDoS）攻擊。Mirai在2016年爆發，當時它壓垮了Dyn網絡托管公司的服務器，摧毀了包括Netflix和Twitter在內的1200多個網站。Mirai的源代碼隨后被泄露，此后多個Mirai變體開始出現，這一系列攻擊一直持續到今天。

Juniper表示，當前攻擊集中的一些腳本與之前在2月和3月觀察到的活動相似。研究人員表示，“這種相似性可能表明，這起新攻擊背后是同一個威脅參與者，他們試圖用另一個新發現的漏洞升級滲透武器庫?？紤]到大多數人甚至可能沒有意識到安全風險，也不會很快升級他們的設備，這種攻擊策略可能非常成功、便宜且易于實施。”

研究人員表示，攻擊者一直在不斷地向其武庫添加新的漏洞，CVE-2021-20090不太可能是最后一個。“很明顯，威脅行為者會密切關注所有披露的漏洞。每當發布利用漏洞的PoC時，他們通常只需很少的時間就可以將其集成到平臺中并發起攻擊。”

為避免受到危害，用戶應更新路由器上的固件。“在物聯網設備或家庭網關的情況下，情況更糟糕的多，因為大多數用戶不懂技術，甚至那些不懂技術的用戶也不知道潛在的漏洞和要應用的補丁。決此問題的唯一可靠方法是要求供應商提供零停機時間并自動更新。”

參考來源：ThreatPost http://33h.co/w88m0

 

（二）Dragos發布ICS/OT漏洞利用態勢分析報告

Dragos研究人員跟蹤了自2010年以來發布的3000多個影響工業控制系統和操作技術（ICS/OT）網絡的CVE漏洞。在這些漏洞中，有400多個有公開可用的漏洞利用，有一些漏洞有多個公開的漏洞利用，Dragos跟蹤了近600個公開ICS/OT漏洞利用。

漏洞利用是一種工具，允許攻擊者繞過軟件或硬件中的安全邊界。漏洞利用有多種形式，可以是curl命令、URI、HTTP數據塊、甚至是合理的編寫描述。Dragos認為，任何允許低技能攻擊者能夠快速繞過安全邊界的行為都視為漏洞利用。

公開漏洞利用顯著降低了利用漏洞所需的技能和工作量。Dragos追蹤的公開漏洞利用會影響Purdue模型中工業環境的各個層級，為攻擊者提供了能夠通過ICS網絡滲透和傳播的預打包工具。在ICS網絡上對抗性地使用公開漏洞利用不是理論上的，Dragos跟蹤了使用公開漏洞利用的多個活動組織。

由Dragos跟蹤的公開ICS/OT漏洞利用已由數百人開發，影響著100多家供應商開發的產品，對工業過程的影響遍及整個領域。利用這些漏洞利用的知識，將有助于ICS運營商更好地確定需要修復的漏洞。

參考來源：Dragos http://33h.co/w8fqp

 

（三）美國基礎設施法案為網絡安全撥款20億美元

美國參議員最近公布了一項1.2萬億美元的兩黨基礎設施??法案的最終版本，白宮稱該法案將撥款約20億美元用于改善美國的網絡安全能力。

《基礎設施投資和就業法案》包括為道路、橋梁、交通安全、公共交通、鐵路、電動汽車基礎設施、機場、港口、水路、寬帶互聯網、環境修復和電力基礎設施提供資金。

白宮表示，該法案還將投資約20億美元，以“實現聯邦、州和地方IT和網絡的現代化和安全；保護關鍵基礎設施和公用設施；并支持公共或私人實體應對重大網絡攻擊和漏洞并從中恢復。”

該法案中出現了超過300次“網絡”和“網絡安全”一詞，其中包括網絡響應和恢復基金，該基金在2028年之前每年提供2000萬美元，用于協助政府和私營部門組織應對網絡事件。

政府共撥款五億五千萬美元，用于加強電網安全。部分資金用于開發解決方案，以識別和緩解漏洞，提高現場設備和控制系統的安全性，以及解決與勞動力和供應鏈相關的問題。

7月眾議院通過的《州和地方網絡安全改進法案》，尋求一項新的5億美元贈款計劃，為州、地方、部落和領地政府提供網絡安全資金。

如《基礎設施投資和就業法案》所述，州和地方網絡安全撥款計劃授權2022年2億美元、2023年4億美元、2024年3億美元和2025年1億美元，共計10億美元?！痘A設施投資和就業法》還指示聯邦公路管理局開發一種工具，以“協助交通部門識別、檢測、防范、應對和恢復網絡事件”。

在專門針對水基礎設施和飲用水的章節中，也多次提到網絡威脅和解決這些威脅的必要性，包括清潔水基礎設施彈性和可持續性計劃，該計劃在2026年之前每年撥款2500萬美元。在今年早些時候發現黑客試圖毒害城市供水后，美國對供水部門的網絡安全非常重視。

國土安全部的網絡安全和基礎設施安全局(CISA)在其中許多此類計劃的實施和執行中發揮作用。參議院可能會在未來幾天內對該法案進行投票。

參考來源：SecurityWeek http://33h.co/w85sb

 

（四）CISA成立聯合網絡防御協作組織應對勒索軟件及供應鏈攻擊

 

美國網絡安全和基礎設施安全局(CISA)8月5日宣布成立聯合網絡防御協作組織(JCDC)，這是一個新的機構，旨在領導網絡防御行動計劃的制定，并與聯邦機構間、私營部門和州、地方、部落、領土（SLTT）政府利益相關者的合作伙伴協調執行這些計劃，以在事件發生前降低風險，并在事件發生時統一防御行動。

CISA正在建立JCDC，以整合多個聯邦機構、許多州和地方政府以及無數私營部門實體的獨特網絡能力，以實現共同目標。具體而言，JCDC將；

1、設計并實施全面的、全國性的網絡防御計劃，以應對風險并促進協調行動；

2、分享見解，以形成對網絡防御挑戰和機遇的共同理解；

3、實施協調的防御性網絡行動，以防止和減少網絡入侵的影響；

4、支持聯合演習，以改善網絡防御行動。

CISA主任Jen Easterly表示，“JCDC為該機構和我們的合作伙伴提供了一個令人興奮和重要的機會，創建獨特的規劃能力，在我們應對國家面臨的最嚴重的網絡威脅時采取積極主動的反應。已同意與CISA并肩合作的行業合作伙伴以及我們的跨部門團隊成員都有著共同的承諾，共同致力于保護我們國家的國家關鍵職能免受網絡入侵，以及激發新解決方案的想象力。有了這些能力超群的合作伙伴，我們最初的重點將放在打擊勒索軟件，和制定規劃框架以協調影響云服務提供商的事件上。”

參與JCDC的最初行業合作伙伴包括Amazon Web Services、AT&T、CrowdStrike、FireEye Mandiant、Google Cloud、Lumen、微軟、Palo Alto Networks和Verizon。這只是開始，因為隨著我們重點領域的擴大，JCDC將努力將私營部門和跨部門的SLTT合作伙伴包括在內。政府合作伙伴包括國防部、美國網絡司令部、國家安全局、司法部、聯邦調查局和國家情報總監辦公室、以及行業風險管理機構。

近幾個月來，各種重大網絡事件對關鍵基礎設施社區產生了影響，并對依賴其進行日常功能的美國人造成了下游后果。聯邦政府、SLTT政府和私營部門不遺余力地努力加強防御態勢，但沒有人能夠單獨完成。作為一個社區，JCDC將運用創新、協作和想象力來保護美國企業、政府機構和我們的人民免受網絡入侵。

參考來源：CISA http://33h.co/w8jvd

 

（五）互聯網農場使全球食品供應鏈易受攻擊

在8月8日的DEF CON 29會議上，一個代號為Sick Codes的澳大利亞研究人員詳細描述了拖拉機內存在的漏洞，如果該漏洞被利用，將對全球糧食供應鏈造成可怕的后果。該研究人員解釋表示，現代農業設備越來越自動化，設備由可訪問許多不同農場的中央控制臺控制。

研究人員詳細介紹了如果攻擊者能夠訪問聯網的農場，可能會發生的一系列災難性的潛在事情，例如黑客可以指示過度噴灑化學處理劑，將肥沃的土地變成不能世代使用的貧瘠土地。通過拒絕服務攻擊，農民在關鍵時刻播種的能力可能會受到影響，從而阻止農民種植作物。另一個巨大的風險來自這樣一個事實，即攻擊者可以獲得對拖拉機等農業設備的控制，并將其發送到錯誤的位置，甚至將其駛離農場開到高速公路上。

Sick Codes表示，“我們認為網站停機5分鐘，可能是拖拉機駕駛自動軌道離線，然而拖拉機繼續行駛、撞到樹上、或傷害某人。”Sick Codes表示，如今幾乎每個農場都與各種不同的技術相連，包括4G和5G蜂窩網絡，以及Wi-Fi和GPS。農業設備現在也越來越多地使用LoRa協議和NTRIP，這有助于提供準確的定位。

在農業設備供應商John Deere的案例中，Sick Codes表示，信息和控制可以通過John Deere運營中心進行遠程處理，同事能夠遠程入侵該中心。

研究人員發現了多個漏洞，包括基本用戶名枚舉問題。利用這個漏洞，就可以輕松識別設備所有者的用戶名。還有一個跨站點腳本(XSS)漏洞，使研究人員能夠獲得更多信息。XSS是一個非?；镜穆┒?，表明他們沒有考慮基本漏洞

Sick Codes詳細介紹了他如何能夠訪問遠程系統，該系統基本上使他能夠控制John Deere運營中心，可以訪問的一些聯網農業設備。

研究人員指出，所有漏洞信息都已披露給John Deere，而John Deere并未立即做出回應。研究人員隨后還讓美國政府的網絡安全和基礎設施安全局(CISA)參與其中，這有助于解決問題。

John Deere并不是研究人員發現問題的唯一農業設備供應商。Sick Codes還發現了Case IH。研究人員了解到，Case IH正在使用可公開訪問的Java Melody服務器，該服務器提供對設備操作的可見性和控制。雖然花費了一些時間，但Sick Codes最終還是能夠與Case IH取得聯系，并且供應商修復了報告的問題。

參考來源：InfoSecurity http://33h.co/w88s0

 

（六）埃森哲遭受LockBit勒索軟件攻擊

全球知名IT咨詢公司埃森哲遭受了LockBit勒索軟件攻擊。

埃森哲是一家知名的IT巨頭，服務范圍廣泛，包括汽車、銀行、政府、科技、能源、電信等眾多行業。埃森哲市值443億美元，是全球最大的科技咨詢公司之一，在50個國家/地區擁有約569,000名員工。

LockBit 2.0勒索軟件組織威脅聲稱，要發布在網絡攻擊中竊取的埃森哲的文件數據。威脅行為者表示，如果沒有支付贖金，將在今晚公布數據。

雖然LockBit并沒有展示被盜數據的證據，但他們聲稱愿意將其出售給任何感興趣的相關方。LockBit在其數據泄露網站上稱，“這些人超越了隱私和安全。我真的希望他們的服務比我作為內部人員看到的更好。如果你有興趣購買一些數據庫，請聯系我們。”

有關漏洞何時發生、何時被檢測到、其范圍或漏洞利用的技術原因的確切細節尚不清楚。

埃森哲表示，受影響的系統已從備份中恢復。“通過我們的安全控制和協議，我們在一個環境中發現了異?；顒?。我們立即控制了此事并隔離了受影響的服務器。我們從備份中完全恢復了受影響的系統。對埃森哲的運營或客戶系統沒有影響。”

在Cyble研究團隊看到的對話中，LockBit勒索軟件組織聲稱從埃森哲竊取了6 TB的數據，并要求支付5000萬美元的贖金。威脅行為者聲稱已通過公司“內部人員”訪問埃森哲的網絡。

知情人士稱，埃森哲已經向至少一家CTI供應商確認了勒索軟件攻擊，也在通知更多客戶。此外，網絡犯罪情報公司Hudson Rock透露，埃森哲有2,500臺屬于員工和合作伙伴的計算機受到損害。

參考來源：BleepingComputer http://33h.co/w8uqj

 

（七）亞馬遜Kindle電子書中存在嚴重漏洞

Check Point研究人員發現，全球流行的亞馬遜Kindle電子書中存在安全漏洞。通過誘騙受害者打開惡意電子書，攻擊者可以利用這些漏洞來針對特定人群，并完全控制Kindle設備，從而開辟一條竊取存儲信息的途徑。

受害者只需打開一本惡意電子書即可觸發漏洞利用。研究人員擔心安全漏洞可能允許針對特定人群。Check Point已負責任地向亞馬遜披露了其調查結果，亞馬遜隨后部署了修復程序。自2007年首次亮相以來，估計Kindle已售出數千萬臺。

Check Point研究人員在全球受歡迎的電子閱讀器亞馬遜Kindle中發現了安全漏洞。如果被利用，這些漏洞將使威脅行為者能夠完全控制用戶的Kindle，從而可能導致亞馬遜設備令牌或設備上存儲的其他敏感信息被盜。漏洞利用是通過在Kindle設備上部署單個惡意電子書來觸發的。

該漏洞利用涉及向受害者發送惡意電子書。收到電子書后，受害者只需打開它即可啟動漏洞利用，不需要受害者執行其他指示或交互就可以執行攻擊。電子書可能被用作針對Kindle的惡意軟件，從而導致一系列后果，例如攻擊者可以刪除用戶的電子書，或將Kindle轉換為惡意機器人，攻擊用戶本地網絡中的其他設備。

安全漏洞允許威脅行為者針對非常特定的受眾。例如，如果威脅行為者想要針對特定人群或人口，威脅行為者可以輕松選擇相關語言或方言的流行電子書，來策劃針對性很強的網絡攻擊。

Check Point于2021年2月向亞馬遜披露了其調查結果。亞馬遜于2021年4月在Kindle固件更新的5.13.5版本中部署了修復程序。修補后的固件會自動安裝在連接到互聯網的設備上。

Check Point網絡研究主管Yaniv Balmas表示，“我們在Kindle中發現了允許攻擊者完全控制設備的漏洞。通過向Kindle用戶發送一本惡意電子書，攻擊者可能會竊取設備上存儲的任何信息，包括亞馬遜賬戶憑證及賬單信息。與其他物聯網設備一樣，Kindle通常被認為是無害的，并忽視了安全風險。但我們的研究表明，任何電子設備歸根結底都是某種形式的計算機。因此，這些物聯網設備容易受到與計算機相同的攻擊。每個人都應該意識到使用連接到計算機的任何東西的網絡風險，尤其是像亞馬遜Kindle這樣無處不在的東西。在這種情況下，最讓我們震驚的是攻擊可能發生的受害者特異性程度，安全漏洞允許攻擊者針對非常特定的受眾。例如，如果威脅行為者想要針對羅馬尼亞公民，他們需要做的就是發布一些免費且受歡迎的羅馬尼亞語電子書。威脅行為者可以非常確定其所有受害者實際上都是羅馬尼亞人。在網絡犯罪和網絡間諜世界中，攻擊性攻擊能力的特異性程度非常受追捧。如果落入壞人之手，這些進攻能力可能會造成嚴重損害，這讓我們非常擔憂。再次表明，在真正的攻擊者這樣做之前，我們可以找到這些類型的安全漏洞，以確保它們得到緩解。亞馬遜在我們協調的披露過程中與我們合作，我們很高興他們為這些安全問題部署了補丁。”

參考來源：CheckPoint http://33h.co/w8wxb

 

（八）Conti勒索軟件關聯機構泄露內部培訓材料及工具

Conti勒索軟件的附屬機構成員泄露了該組織的內部培訓材料，包括如何在公司內部訪問、橫向移動和升級訪問權限的手冊和技術指南，以及在加密文件之前泄露其數據。

Conti勒索軟件以勒索軟件即服務(RaaS)模式運行，其中核心團隊管理惡意軟件和Tor站點，而招募的附屬機構則執行網絡漏洞和加密設備。核心團隊賺取贖金的20-30%，而附屬公司賺取其余部分。

 

8月5日，一名安全研究員分享了一個論壇帖子，該帖子由一名憤怒Conti分支機構成員創建，公開泄露了有關勒索軟件操作的信息，包括Cobalt Strike C2服務器的IP地址和一個113 MB的檔案，其中包含大量用于進行勒索軟件攻擊的工具和培訓材料。

該分支機構表示，之所以他們發布這些材料，是因為在一次攻擊中他們只獲得了1,500美元，而Conti的其他成員則賺取了數百萬美元，并承諾在受害者支付贖金后獲得巨額賠償。同時該組織在俄羅斯黑客論壇上發布了Cobalt Strike信標配置的圖像，其中包含勒索軟件組織使用的命令和控制服務器的IP地址。

在隨后的帖子中，該分支公司共享了一個包含111 MB文件的檔案，其中包括黑客工具、俄文手冊、培訓材料和據稱在執行

 

Conti勒索軟件攻擊時提供給分支機構的幫助文檔。

英特爾研究人員Vitali Kremez表示，培訓材料與活躍的Conti案例相匹配。“我們可以根據我們的活躍案例進行確認。這個劇本與我們現在看到的Conti的活躍案例相匹配?？偟膩碚f，它是Conti勒索軟件滲透測試團隊背后滲透測試操作的圣杯。其影響是巨大的，允許新的滲透測試勒索軟件操作員逐步提高他們的滲透測試技能以應對勒索軟件。此次泄密還顯示了他們勒索軟件組織的成熟度，以及他們在針對全球公司時的復雜、細致和經驗。它還提供了大量的檢測機會，包括專注于AnyDesk持久性和Atera安全軟件代理持久性以在檢測中存活。”

這種泄漏說明了勒索軟件即服務操作的脆弱性，因為一個不滿意的分支機構可能會導致攻擊中使用的精心培育的信息和資源的暴露。

有消息人士稱，Conti在得知他正在通過推廣不同的身份不明的附屬計劃從他們的運營中挖走業務后，禁止了滲透測試人員。在被禁止后，該附屬公司泄露了Conti的培訓材料和工具作為報復。

參考來源：BleepingComputer http://33h.co/w87jy

 

（九）伊朗黑客組織Charming Kitten使用新型后門LittleLooter

IBM X-Force威脅情報團隊安全研究人員發現，與伊朗有關的黑客組織Charming Kitten在其武器庫中添加了一個新的Android后門，并成功入侵了與伊朗改革運動相關的個人。

Charming Kitten也稱為Phosphorus、TA435及ITG18，至少自2011年以來一直活躍，攻擊目標為政府組織、記者、活動家和各種其他實體，包括世界衛生組織(WHO)和總統競選活動。去年，該組織意外暴露了大約40 GB視頻和與其運營相關的其他內容，包括有關如何從在線帳戶中竊取數據的培訓視頻，以及詳細介紹成功入侵某些目標的視頻片段。

IBM透露，在2020年8月至2021年5月期間，它成功攻擊了與伊朗改革主義運動結盟的目標，但也繼續犯下各種操作安全錯誤。最近發現的名為LittleLooter的Android后門似乎是Charming Kitten獨有的，為威脅行為者提供了廣泛的信息竊取功能，包括視頻和實時屏幕錄制、電話號碼、文件上傳/下載、語音通話錄音、GPS數據收集、設備信息收集、瀏覽器歷史收集、連接操作、聯系信息竊取、圖片捕捉以及檢索短信和通話列表詳細信息。

IBM表示，觀察到的活動與該組織“針對感興趣的伊朗公民的長期行動”相符。作為活動的一部分，黑客“從大約20名與伊朗改革運動結盟的人那里竊取了大約120 GB的信息”，使用與被黑賬戶相關的合法實用程序。

IBM表示，它沒有觀察到該組織如何入侵目標帳戶，但相信LittleLooter或網絡釣魚/社會工程可能已被用來從他們的目標中獲取帳戶憑據。被盜信息包括照片、聯系人列表、對話和群組成員資格。

IBM表示，“X-Force收集到的關于ITG18活動的信息，結合X-Force在2020年夏天發現的培訓視頻，繼續描繪出可能利用大量人員的威脅行為者。從最初訪問個人受害者帳戶到仔細審查泄露的數據顯示，ITG18操作似乎是手動和勞動密集型。”

安全研究人員表示，該組織通常不僅僅是向受害者發送網絡釣魚信息，還試圖與受害者聊天、打電話、甚至視頻會議，這表明許多運營商的實際工作。

今年，IBM發現該組織使用的60多臺服務器，托管了100多個網絡釣魚域名，表明有大量受害者。然而，研究人員無法估計該組織有多少操作人員。

IBM表示，“自2018年以來，僅X-Force就在可公開訪問的ITG18服務器上觀察到近2 TB的壓縮泄露數據，這可能僅代表該攻擊者實際竊取數據的一小部分。”

參考來源：SecurityWeek http://33h.co/w8jur

 

（十）美國肯塔基大學在滲透測試期間發現數據泄露

美國肯塔基大學表示，在六月初由第三方進行的安全滲透測試中發現了一個安全漏洞。

該漏洞影響了學校的數字駕駛執照平臺(DDL)，該平臺是在2000年代初開發的一個名為開源教學支持工具(OTIS)的教育計劃的一部分。DDL的主要目的是為肯塔基州和美國其他州的K-12學校和學院提供免費的在線教學和考試功能，該平臺還被大學用于其自身的一些應試能力。

DDL漏洞是在6月初發現的，當時該大學在第三方的幫助下對其平臺進行了預定滲透測試。測試發現了DDL平臺中的一個漏洞，當大學進一步調查時，發現它在今年早些時候被利用，有35.5萬人數據被竊取。

在該學發布的數據泄露通知中顯示，隨后的調查發現，一名未知威脅行為者在2021年1月8日至2021年2月6日期間利用該漏洞獲得訪問DDL平臺并獲取其內部數據庫的副本。“該數據庫包含了肯塔基和所有50個州和22個國家的學生和老師的姓名和電子郵件地址，超過355000人。”

被竊取的信息包括電子郵件和密碼，沒有包括SSN號碼及財務細節。學校正在通知受影響的學校、學院和學生。該大學表示已修復該漏洞，現在正在將DDL服務器遷移到其集中式服務器系統，以受益于更好的保護。

肯塔基大學首席信息官Brian Nichols表示，“我們知道，我們是受到這些不良行為者攻擊的公共和私營部門機構名單中的一員，而且數量還在不斷增加。這就是為什么我們必須更加警惕我們部署的緩解措施以保護我們的基礎設施和系統。”

參考來源：TheRecord http://33h.co/w80nu

 

（十一）美國伊利諾伊州殘疾兒童學校Hope披露數據泄露事件

美國伊利諾伊州殘疾兒童學校Vision for Hope近日發布數據泄露通知，稱其發現了一起事件，該事件可能涉及其部分患者或其他個人的個人信息或受保護的健康信息。盡管Hope沒有理由相信任何個人信息或受保護的健康信息已被濫用，以進行欺詐或身份盜用，但Hope正在通知可能受影響的患者，告知其已采取的解決事件的步驟，并提供并指導他們如何保護自己。

Hope最近發現，一名身份不明的未經授權人員于2021年2月14日至2021年4月2日期間訪問了一名Hope員工的電子郵件帳戶。Hope得知事件后立即采取行動保護電子郵件帳戶，以防止任何進一步訪問。Hope聘請了一家領先的取證安全公司來調查這起事件。作為調查的一部分，Hope在該帳戶中搜索了任何個人信息或受保護的健康信息。Hope完成了調查，并于2021年6月4日確定該帳戶包含某些個人的個人或受保護的健康信息。這些信息包括姓名、出生日期、社會保險號、駕照號、財務賬號、醫療或診斷信息和/或醫療保險信息。

2021年8月3日，Hope開始向其個人信息或受保護健康信息包含在其擁有聯系信息的電子郵件帳戶中的個人發送書面通知，并為那些社會安全號碼和/或駕照號碼涉及事件的個人安排了免費身份盜竊保護服務。

被通知的個人應該參考在郵件中收到的關于可以采取哪些措施來保護自己的通知。同樣，Hope沒有理由相信任何個人信息已被濫用用于欺詐或身份盜用。但作為預防措施，被通知的個人應保持警惕，以防止潛在的欺詐和/或身份盜用，并審查賬戶報表并密切監控信用報告。如果個人在賬戶上發現任何可疑活動，應立即通知該賬戶所在的金融機構或公司。還應立即向適當的執法當局，包括警察和州總檢察長報告任何欺詐活動或任何可疑的身份盜竊事件。被通知的個人還可能希望查看由聯邦貿易委員會提供的有關欺詐警報、安全/信用凍結以及他們可以采取的避免身份盜用的步驟的提示。

Hope對此次事件可能造成的任何關注或不便深表歉意。Hope正在加強其員工的信息安全程序，并實施更改，以幫助防止此類事件再次發生。

參考來源：Vision for Hope http://33h.co/w8fwx

 

（十二）美國伊利諾伊州槍支識別系統遭受網絡攻擊

美國伊利諾伊州政府的一些部門一直在遭受網絡攻擊。在伊利諾伊州總檢察長辦公室和伊利諾伊州就業安全部遭受網絡攻擊之后，伊利諾伊州警察局(ISP)傳來了麻煩的消息。8月5日，ISP確認其FOID（槍支所有者身份證明）卡門戶網站遭到網絡攻擊，大約2,000名擁有FOID卡的伊利諾伊人的信息可能已經泄露。

ISP表示，“出于必要，多年前為易用性和便利性而設置的一些在線帳戶參數已被適當修改和收緊，以防止未經授權的用戶試圖進一步擴大身份欺詐的范圍。”

ISP新聞稿指出，他們正在與可能個人信息被盜的2,000名FOID卡持有人聯系。除了與可能發現其信息已被泄露的人取得聯系之外，ISP還表示，他們已經加強了在線安全要求，并限制了FOID卡申請人在其在線FOID帳戶中提交的個人信息的使用和訪問。其中一些信息可能與從以前任何數量的網絡漏洞中非法獲得的伊利諾伊州居民個人身份信息相匹配。

伊利諾伊州總檢察長Kwame Raoul上周在接受采訪時表示，他的辦公室在4月份因大規模勒索軟件攻擊而癱瘓，已經花費了超過250萬美元的納稅人資金來重建系統，讓辦公室重新上線，并通知那些可能在攻擊中信息被盜的人。伊利諾伊州就業保障部(IDES)也有類似的問題困擾。

參考來源：1440wrok http://33h.co/w80k7

 

（十三）美國醫療器械廠商Electromed披露數據泄露事件

醫療器械制造商Electromed表示，一個未經授權的組織入侵了其系統，并獲取了客戶及員工的數據，沒有跡象表明任何客戶信息被不當使用。

該公司在一份聲明中表示，“我們沒有收到任何與此事件相關的身份盜用報告。我們開始通知相關人員，以便他們可以采取措施幫助保護他們的信息。保護客戶個人信息的隱私對Electromed很重要，公司對此次事件可能給客戶帶來的任何不便表示遺憾。”

Electromed表示，將為數據被竊取的人員提供信用監控和身份盜竊保護服務，并已通知客戶和員工仔細審查醫療保健提供者和保險公司的聲明。該公司表示已采取多項措施來增強其網絡安全。

Electromed是一家生產緩解慢性呼吸系統疾病的產品制造商，總部位于美國明尼蘇達州新布拉格市。數據泄露對該公司最新的季度業績沒有財務影響。Electromed告訴投資者，預計截至6月30日的季度收入將增長36%，達到約940萬美元，這是其財政年度的最后一個季度。該公司預計營業收入約為500,000美元至700,000美元，低于一年前的130萬美元，當時它從聯邦政府獲得了90萬美元的疫情救濟。

參考來源：StarTribune http://33h.co/w8z7a

 

（十四）新加坡電信公司StarHub發生數據泄露事件

新加坡電信公司StarHub表示，在第三方數據轉儲網站上發現了其客戶的個人數據，包括電子郵件地址和手機號碼。然而該公司稱，其客戶數據庫及數據系統均未遭到破壞。

StarHub在8月6日晚發布的一份聲明中表示，該數據泄露是在其網絡安全團隊在7月6日的“主動在線監視”中發現的。

StarHub在其官網上發布的數據泄露事件通知顯示，在公開確認違規行為之前，需要時間來調查該事件并評估影響。然而有關當局已獲悉違規行為。

根據StarHub向當地媒體發表的聲明，在第三方數據轉儲網站上發現了一個包含泄露數據的非法上傳文件，這些信息似乎可以追溯到2007年。該文件包含在2007年之前訂閱StarHub服務的57,191名客戶的手機號碼、電子郵件地址和身份證號碼。StarHub在新加坡提供付費電視服務及寬帶和移動電話。所有受影響的客戶都來自其消費業務。

StarHub發言人沒有透露哪些客戶受到影響，或其中有多少是現有客戶。還出于安全考慮為由拒絕透露其進行在線監控的頻率，只是說StarHub定期進行此類活動。該發言人也沒有提供違規原因的細節，只是表示目前沒有跡象表明其現有系統受到損害。

StarHub表示，沒有任何信用卡或銀行賬戶信息被泄露，目前沒有跡象表明泄露的數據被惡意濫用。該公司的信息系統或客戶數據庫都沒有受到損害。該公司其對違規行為的調查，驗證了網絡基礎設施的完整性。事件管理團隊正在評估違規行為，數字取證和網絡安全顧問正在調查該事件。

StarHub已開始通過電子郵件逐步通知受影響的客戶，并通過新加坡信用局提供六個月的免費信用監控服務，以跟蹤是否有任何數據可能被不當使用。該服務監控訂戶的信用報告并通知他們各種預先確定的活動，包括何時對他們的信用檔案進行查詢以及是否更新了默認記錄。

StarHub表示，預計需要兩周時間通知所有受影響的客戶，并試圖從轉儲站點中刪除數據文件，但沒有說明是否成功。

StarHub首席執行官Nikhil Eapen在聲明中表示，“數據安全和客戶隱私對StarHub來說是很重要的事情，我對此事件可能給受影響的客戶造成的擔憂表示歉意。我們將保持透明，并將讓我們的客戶了解最新情況。我們正在積極審查當前的保護措施和控制措施，以實施和加速長期安全改進。”

參考來源：ZDNet http://33h.co/we0d6

 

（如未標注，均為天地和興工業網絡安全研究院編譯）