目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）國務院發布《關鍵信息基礎設施安全保護條例》

（二）臺灣廠商ThroughTek的Kalay平臺存在嚴重漏洞，影響數百萬IoT設備

（三）臺灣Realtek芯片SDK中存在嚴重漏洞影響65家供應商

第二章國外關鍵信息基礎設施安全動態

（一）西門子和施耐德共發布18項安全建議修復了57個漏洞

（二）美國緬因州當地兩家污水處理廠遭到勒索軟件攻擊

（三）黑莓QNX實時操作系統存在嚴重安全漏洞BadAlloc

（四）立陶宛外交部機密文件在暗網出售

（五）巴基斯坦聯邦稅務局遭受大規模網絡攻擊

（六）巴西國庫遭受勒索軟件攻擊

（七）Fortinet防火墻存在高危命令注入漏洞

（八）AMD芯片的電壓故障攻擊對云環境構成風險

（九）燃油管道商Colonial Pipeline在遭受勒索軟件攻擊后披露數據泄露

（十）時隔4年曾經最大的暗網市場AlphaBay宣布再度復出

（十一）日本保險公司Tokio Marine遭受勒索軟件攻擊

（十二）美國醫療機構Memorial Health System遭受Hive勒索軟件攻擊

（十三）美國大通銀行意外泄露客戶信息

（十四）福特汽車網站存在漏洞，泄露公司機密及客戶信息

（十五）電信公司T-Mobile超過4000萬用戶數據泄露

（十六）190萬名美國秘密監視名單在網絡上曝光

（十七）伊朗網絡間諜冒充人力資源員工攻擊以色列

（十八）美國達拉斯警察局數據遷移丟失8TB數據

 

 

第一章 國內關鍵信息基礎設施安全動態

（一）國務院發布《關鍵信息基礎設施安全保護條例》

國務院總理李克強日前簽署國務院令，公布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），自2021年9月1日起施行。

黨中央、國務院高度重視關鍵信息基礎設施安全保護工作。關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重。當前，關鍵信息基礎設施面臨的安全形勢嚴峻，網絡攻擊威脅事件頻發。制定出臺《條例》，建立專門保護制度，明確各方責任，提出保障促進措施，有利于進一步健全關鍵信息基礎設施安全保護法律制度體系。

一是明確關鍵信息基礎設施范圍和保護工作原則目標?！稐l例》明確，重點行業和領域重要網絡設施、信息系統屬于關鍵信息基礎設施，國家對關鍵信息基礎設施實行重點保護，采取措施，監測、防御、處置來源于境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治違法犯罪活動。保護工作應當堅持綜合協調、分工負責、依法保護，強化和落實關鍵信息基礎設施運營者主體責任，充分發揮政府及社會各方面的作用，共同保護關鍵信息基礎設施安全。

二是明確了監督管理體制?！稐l例》規定，在國家網信部門統籌協調下，國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照《條例》和有關法律、行政法規的規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。

三是完善了關鍵信息基礎設施認定機制?！稐l例》明確了認定工作的組織方式和認定程序，依照行業認定規則，國家匯總并動態調整關鍵信息基礎設施認定結果，確保重要網絡設施、信息系統納入保護范圍。

四是明確運營者責任義務?！稐l例》對關鍵信息基礎設施運營者落實網絡安全責任、建立健全網絡安全保護制度、設置專門安全管理機構、開展安全監測和風險評估、報告網絡安全事件或網絡安全威脅、規范網絡產品和服務采購活動等作了規定。

五是明確了保障和促進措施?！稐l例》對制定行業安全保護規劃、建立信息共享機制、建立健全監測預警制度、明確網絡安全事件應急處置要求、組織安全檢查檢測、提供技術支持和協助等作了規定。

六是明確了法律責任?！稐l例》對關鍵信息基礎設施運營者未履行安全保護主體責任、有關主管部門以及工作人員未能依法依規履行職責等情況，明確了處罰、處分、追究刑事責任等處理措施。對實施非法侵入、干擾、破壞關鍵信息基礎設施，危害其安全活動的組織和個人，依法予以處罰。

本文版權歸原作者所有，參考來源：國務院http://adkx.net/w4uhx

 

（二）臺灣廠商ThroughTek的Kalay平臺存在嚴重漏洞，影響數百萬IoT設備

Mandiant安全研究人員發布警告稱，臺灣IoT平臺廠商ThroughTek的Kalay物聯網云平臺中存在嚴重漏洞，影響全球數千萬臺物聯網設備。該安全漏洞影響到各制造商提供視頻和監控解決方案的產品，以及使用Kalay網絡方便與相應應用程序連接和通信的家庭自動化物聯網系統。遠程攻擊者可以利用該漏洞訪問實時音頻和視頻流，或控制易受攻擊的設備。

ThroughTek這是一家2008年于中國臺灣成立的物聯網云端服務平臺解決方案商。

Mandiant紅色團隊的研究人員在2020年底發現了該漏洞，并與美國CISA和ThroughTek合作，協調信息披露并創建緩解方案。

該漏洞CVE-2021-28372是一個設備模擬漏洞，CVSS評分為9.6分，影響作為軟件開發工具包(SDK)實現的Kalay協議，該協議內置于移動和桌面應用程序中。

Mandiant的Jack Valletta、Erik Barzdukas和Dillon Franke查看了ThroughTek的Kalay協議，發現在Kalay網絡上注冊設備只需要設備的唯一標識符(UID)。根據這一線索，研究人員發現，Kalay客戶端通常從物聯網設備供應商托管的Web API接收UID。

     具有目標系統UID的攻擊者可以在Kalay網絡上注冊他們控制的設備并接收所有客戶端連接嘗試。這將允許他們獲得登錄憑據，以提供遠程訪問受害設備的音頻和視頻數據。

研究人員表示，這種類型的訪問與設備實現的RPC(遠程過程調用)接口中的漏洞相結合，可能導致完全的設備完全受損。

在研究該漏洞期間，Mandiant的研究人員能夠開發Kalay協議的功能實現，該協議允許他們發現設備、注冊設備、連接遠程客戶端、認證和處理音頻和視頻數據。他們還創建了概念驗證(PoC)利用代碼，允許他們在Kalay網絡上模擬一個設備。

根據ThroughTek的最新數據，其Kalay平臺擁有超過8300萬臺活躍設備，每月管理超過10億個連接。

7月20日，ThroughTek發布了針對其軟件開發工具包中另一個嚴重漏洞CVE-2021-32934的安全建議，并于8月13日更新。ThroughTek提供了客戶可以遵循的指導，以降低與CVE-2021-28372相關的風險。

Mandiant還建議審查API或其他可以返回Kalay UID的服務上定義的安全控制。

研究人員指出，利用設備模擬漏洞的攻擊者需要了解Kalay協議以及消息是如何生成和傳遞的。獲取UID也是一項需要攻擊者付出一定努力的任務，如社會工程或利用其他漏洞。

受影響設備的所有者可以做的是將其設備軟件和應用程序更新到最新版本，并定義復雜、唯一的登錄密碼，以降低風險。

此外，他們應該避免從不受信任的網絡(例如公共WiFi)連接到物聯網設備。

由于Kalay平臺被大量制造商的設備使用，因此很難創建一個受影響品牌的名單。

參考來源：BleepingComputer http://33h.co/whmgh

 

（三）臺灣Realtek芯片SDK中存在嚴重漏洞影響65家供應商

IoT Inspector研究人員發現，臺灣芯片設計商Realtek的WiFi模塊附帶的三個軟件開發工具包(SDK)中存在四個嚴重漏洞，影響至少65家供應商生產的近200款數十萬物聯網設備，包括VoIP、無線路由器、旅行路由器、Wi-Fi中繼器、IP攝像頭、智能照明控制等，受影響的硬件制造商包括華碩(AsusTEK)、貝爾金(Belkin)、D-Link、Edimax、Hama、Netgear等。利用這些漏洞，未經驗證的攻擊者能夠完全破壞目標設備，并以最高權限執行任意代碼。

IoT Inspector董事總經理Florian Lukavsky表示，“我們的安全研究人員發現并分析了這個漏洞，它影響了數十萬臺設備。我們通知了Realtek，他們立即回應并提供了一個適當的補丁。我們強烈鼓勵使用易受攻擊的Wi-Fi模塊的制造商檢查他們的設備，并向用戶提供安全補丁”。

要想成功利用漏洞，攻擊者通常需要位于同一Wi-Fi網絡上。但是，錯誤的ISP配置也會將許多易受攻擊的設備直接暴露于互聯網。成功的攻擊將提供對Wi-Fi模塊的完全控制，以及對嵌入式設備操作系統的超級用戶訪問權限?？偣苍谛酒M中發現了十幾個漏洞。

Lukavsky警告表示，“目前，用戶和制造商對這類設備的安全意識都遠遠不夠，他們盲目地依賴供應鏈上其他制造商的組件，而不進行測試。因此這些組件或產品成為不可預測的風險?！?/span>

根據Forrester的數據，全球只有38%的企業安全決策者有足夠的政策和工具來恰當地管理物聯網設備，敦促制造商實施物聯網供應鏈安全指南。

受影響的版本包括：Rtl819x-SDK-v3.2.x系列、Rtl819x-SDK-v3.4.x系列、Rtl819x-SDK-v3.4T系列、Rtl819x-SDK-v3.4T-CT系列、Rtl819x-ecos-v1.5.x系列。

修復的版本包括：Realtek不再支持Realtek SDK branch 2.x。Realtek“Jungle”SDK的修補程序將由Realtek提供，需要進行后端口。Realtek“Luna”SDK的1.3.2a版本包含修復程序。

這些漏洞的編號為：CVE-2021-35392、CVE-2021-35393、CVE-2021-35394、CVE-2021-35395。

參考來源：HelpNetSecurity http://33h.co/wha66

 

第二章 國外關鍵信息基礎設施安全動態

（一）西門子和施耐德共發布18項安全建議修復了57個漏洞

西門子和施耐德電氣8月10日發布了18項安全建議，解決了影響其產品的共計50多個漏洞，包括補丁、緩解措施和一般安全建議，以降低攻擊風險。

西門子在2021年8月補丁星期二發布了10條安全建議，共計涵蓋了32個漏洞。其中最嚴重的是名為NAME:WRECK的DNS相關漏洞，會影響西門子SGT工業燃氣輪機。這不是西門子第一次發布關于NAME:WRECK漏洞對其產品的影響的公告。

另一份安全建議關于其SIMATIC CP 1543-1和CP 1545-1設備的ProFTPD組件中的多個高危漏洞，攻擊者可利用這些漏洞遠程獲取敏感信息或執行任意代碼。

西門子SIMATIC S7-1200 PLC中存在的身份驗證缺失漏洞為高危漏洞，攻擊者可以利用該漏洞繞過身份驗證并將任意程序下載到PLC。

JT2Go和Teamcenter Visualization中存在七個漏洞，可用于DoS攻擊、信息泄露或遠程代碼執行，攻擊者利用該漏洞需讓目標用戶打開一個特制的文件。其中兩個可能導致DoS或任意代碼執行的為高危漏洞，可能導致信息泄露的為中危漏洞。這些漏洞有不同的CVE編號，漏洞是相似的，但是觸發的文件格式不同。

另一個涉及十多個CVE的安全公告描述了英特爾產品中的漏洞對西門子工業系統的影響。西門子已經發布了若干個受影響產品的更新，并正在為其余產品開發BIOS補丁。

在Solid Edge產品中，西門子修補了兩個高危代碼執行漏洞，可通過讓用戶打開特制文件來利用這些漏洞。

西門子修復的最后一個高危漏洞是影響SINEC NMS網絡管理系統的操作系統命令注入問題，利用此漏洞需要管理權限。

施耐德電氣8月10日發布了八個新的公告，涵蓋共計25個漏洞。其中兩個公告涉及Windows漏洞對其NTZ Mekhanotronika Rus控制面板的影響。一個是針對HTTP協議棧遠程代碼執行漏洞，微軟在5月份修補了該漏洞，另一個是針對與Windows Print Spooler服務相關的兩個問題，包括臭名昭著的PrintNightmare漏洞。

另一個公告描述了使用CODESYS工業自動化軟件引入的三個高危漏洞。這些漏洞影響了施耐德和其他幾家主要供應商的工業控制系統。

Harmony HMI漏洞可能導致拒絕服務或未經授權的訪問，Pro face GP Pro EX HMI屏幕編輯器和邏輯編程軟件中的權限升級問題，以及AccuSine電源穩定產品中的信息泄露漏洞也為高危漏洞。

施耐德還針對影響AT&T實驗室的壓縮器(XMilI)和解壓縮器(XDemill)實用程序的十二個漏洞發布了公告，這些實用程序用于該公司的一些EcoStruxure和SCADAPack產品。AT&T實驗室不再支持受影響的軟件，因此供應商不會發布補丁，但施耐德計劃在未來自己的產品中解決這些漏洞。Cisco Talos的研究人員發現了這些漏洞，并披露了每個漏洞的技術細節。

參考來源：SecurityWeek http://33h.co/w4v44

 

（二）美國緬因州當地兩家污水處理廠遭到勒索軟件攻擊

美國環境保護部(Department Of Environmental Protection，DEP)警告市政當局和水務行業的專業人士，在最近的兩起勒索軟件入侵事件后保持警惕，據信這是緬因州第一次發生污水系統入侵事件。

DEP的廢水技術援助工程師Judy Bruenjes稱，攻擊發生在Mount Desert Island和Limestone。Bruenjes表示，“這些攻擊都相當輕微，對公眾沒有威脅，沒有違規，沒有遠程攻擊，沒有健康和安全威脅。這不像Colonial管道攻擊事件，但我們擔心這些小型設施成為攻擊目標?！?/span>

Limestone負責人Jim Leighton聲稱攻擊發生在7月4日那個周末，攻擊對象是一臺運行Windows 7系統的電腦，該系統本應升級。目前沒有居民的信息泄露。Mount Desert負責人表示攻擊導致辦公室的電腦停機了3天，但是處理廠沒有受到影響，也沒有居民的信息泄露。

參考來源：BangorDailyNews http://33h.co/whbhh

 

（三）黑莓QNX實時操作系統存在嚴重安全漏洞BadAlloc

2021年8月17日，黑莓(BlackBerry)公開披露其QNX實時操作系統(RTOS)受到BadAlloc漏洞CVE-2021-22156的影響。BadAlloc是影響多個RTOS和支持庫的漏洞集合。遠程攻擊者可以利用CVE-2021-22156導致拒絕服務條件或在受影響的設備上執行任意代碼。

黑莓QNX RTOS被廣泛應用于各種產品中，其危害可能導致惡意行為者獲得對高度敏感系統的控制，從而增加國家關鍵功能的風險。黑莓QNX實時操作系統是管理網絡數據的軟件，用于汽車、醫療設備和手機等嵌入式系統。使用QNX操作系統的行業和設備包括航空航天和國防、重型機械、鐵路、機器人、工業控制和醫療設備。該公司稱QNX系統嵌入了奧迪、福特、起亞、大眾等超過1.75億輛汽車的信息娛樂系統中。

目前CISA尚未發現該漏洞的積極利用。CISA強烈鼓勵關鍵基礎設施組織和其他開發、維護、支持或使用受影響的基于QNX的系統的組織盡快修補受影響的產品。

CVE-2021-22156是一個整數溢出漏洞，影響多個BlackBerry QNX產品的C運行時庫中的calloc()函數。利用此漏洞可能會導致受影響設備出現拒絕服務條件或任意代碼執行。要利用此漏洞，攻擊者必須能夠控制calloc()函數調用的參數，并能夠控制分配后訪問的內存。如果易受攻擊的產品正在運行并且受影響的設備暴露在互聯網上，則具有網絡訪問權限的攻擊者可以遠程利用此漏洞。

CVE-2021-22156是整數溢出漏洞集合BadAlloc的一部分，影響使用物聯網(IoT)和操作技術(OT)/工業控制系統(ICS)設備的廣泛行業。所有依賴C運行時庫的BlackBerry程序都受此漏洞影響。由于許多受影響的設備包括安全關鍵設備，因此利用此漏洞可能會導致惡意行為者獲得對敏感系統的控制，從而可能導CISA強烈鼓勵關鍵基礎設施組織和其他組織開發、維護、支持或使用受影響的基于QNX的系統，盡快修補受影響的產品。

 

致基礎設施或關鍵功能受損的風險增加。

1、包含易受攻擊版本的產品制造商應聯系BlackBerry獲取補丁。

2、開發獨特版本的RTOS軟件的產品制造商應聯系BlackBerry以獲取補丁代碼。在某些情況下，制造商可能需要開發和測試自己的軟件補丁。

3、安全關鍵系統的最終用戶應聯系其產品制造商以獲取補丁。如果有補丁可用，用戶應盡快應用補丁。如果補丁不可用，用戶應使用制造商推薦的緩解措施，直到可以應用補丁程序。

4、為RTOS安裝軟件更新時，可能經常需要將設備停止服務或移至非現場位置，以便對集成內存進行物理更換。

美國網絡安全和基礎設施安全局(CISA)、食品和藥物管理局(FDA)、水信息共享和分析中心(WaterISAC)、美國海岸警衛隊、美國核管理委員會均針對此事件發布了安全公告。

參考來源：CISA http://33h.co/w44ca

 

（四）立陶宛外交部機密文件在暗網出售

 

有一名黑客在RaidForums黑客論壇上出售從立陶宛外交部竊取的高度敏感信息，包括超過160萬封電子郵件及各類文件。黑客聲稱竊取的數據包括一個300GB的102個Outlook數據文件，涉及與美國總統拜登的秘密談判，以及與白俄羅斯的戰爭準備，包括核打擊。

外交部8月11日發布聲明證實，發生了網絡攻擊事件，但沒有進一步發表評論。12日重申“外交部無法在公共場所確認信息，因此不會發表評論”。

立陶宛總統首席外交政策顧問Asta Skaisgiryt?表示，外交部有“重要文件”被盜，其中一些為機密文件。

該名黑客論壇用戶聲稱這些文件包括“與白俄羅斯的戰爭準備”及“核打擊”。俄羅斯和白俄羅斯的主要軍事演習Zapad-2021將于9月開始，但據立陶宛國防官員稱，演習的網絡和信息元素已經開始。

目前尚不清楚哪些文件被盜，以及這些文件是否真實。此前與俄羅斯黑客有關的大規模泄密活動中，文件的真假混雜。

此次事件恰逢Rūdninkai移民營地以及立陶宛議會外發生騷亂。包括內政部長和總統辦公室在內的高級官員表示，這些事件可能有關聯。立陶宛總統首席外交政策顧問Asta Skaisgiryt?表示，“塞馬斯外圍和雷德寧凱發生騷亂，同一天出現了重要文件從外交部被盜的消息。太多的巧合不能被認為是偶然的?！?/span>

然而該國情報部門表示，沒有證據表明這兩起騷亂有關聯，也沒有外國勢力參與其中。國家安全部(VSD)負責人Darius Jauni?kis表示，“如果這一證據出現，我不排除這一可能，將對其進行調查、分析并向公眾展示?！?/span>

今年2月，Raidforums論壇還被用來泄露和出售立陶宛租車服務CityBee的用戶數據。

立陶宛總統GitanasNaus?da在8月12日表示，有一些跡象表明，有機密信息在針對外交部網絡攻擊期間泄漏?？偨y在接受采訪時表示，“，調查正在進行中，毫無疑問，我們很好地評估了這次網絡攻擊造成的損失。但有某些跡象表明，某些信息泄露了，這些信息被視為機密信息。泄露的信息可能首先對盟友造成嚴重損害，但這是我仍然無法公開披露潛在損害?！?/span>

參考來源：LRT http://33h.co/w4ytd

 

（五）巴基斯坦聯邦稅務局遭受大規模網絡攻擊

巴基斯坦聯邦收入委員會(FBR)(FBR.gov.pk)遭受了大規模網絡攻擊，一群不明身份的黑客在俄羅斯網絡犯罪論壇上出售進入該機構1500多個電腦系統的網絡權限。

就像美國國稅局(IRS)一樣，FBR是巴基斯坦最高的聯邦執法機構，負責調查稅務犯罪、洗錢等。

據知情人士透露，黑客設法攻破了微軟的Hyper-V軟件，并拿下了該機構的官方網站及其所有子域名。

Hackread.com還證實，黑客目前以2.6萬美元的價格出售FBR的網絡訪問權限。該組織還出價3萬美元，否則他們將感染FBR服務器上的所有設備，并將其轉移給感興趣的買家。

FBR的一名高級官員在對當地媒體的一份聲明中表示，“該數據中心的虛擬機受到了攻擊，攻擊者設法利用了最薄弱的環節，即微軟公司的hyper-V軟件?！?/span>
另一方面，FBR承認了數據泄露事件，并將其描述為“類似國家危機的情況”。FBR在內部警告中表示，“FBR的數據中心遭遇了嚴重的網絡攻擊，所有應用程序都已關閉，需要所有團隊的支持?！?/span>

信息技術部門的另一位負責人表示，“由于虛擬環境遭到破壞，我們正在努力創建一個新的虛擬環境，可能需要兩天時間。我們正努力在明天下午之前恢復網站，在明天晚上之前恢復關鍵數據中心，因為我們不想因為匆忙轉移數據而造成更大的損害。此次攻擊是獨立日(8月14日)網絡恐怖主義?！?/span>

目前還不知道該黑客組織的身份和隸屬關系，因此FBR與微軟公司進行了聯系，對此次網絡攻擊造成的損失進行了分析。

巴基斯坦最著名的網絡安全專家之一Rafay Baloch表達了他對這個問題的擔憂。Baloch表示，在數字化和互操作性的名義下，巴基斯坦正在經歷一場大規模的數字革命，然而在這個過程中，網絡安全受到了破壞。

Baloch表示，“我們仍處于數字化的早期階段，因此現在開始將安全性納入業務流程還為時不晚。FBR的服務仍然處于離線狀態表明，缺乏業務連續性計劃和有效的災難恢復計劃。理想情況下，這種關鍵的國家服務應該有一個功能齊全的操作鏡像站點，我們必須使基礎設施具有彈性，以便在不利的情況下繼續運行。政府應立即著手組建國家網絡應急響應小組（CERT），為關鍵服務提供援助，以有效應對網絡攻擊。這已成為2021年最新國家網絡安全政策的一部分，需要立即實施?！?/span>

盡管巴基斯坦擁有高技能的白帽黑客和網絡安全研究人員，但其網絡基礎設施仍然容易受到各種網絡攻擊。例如2019年，巴基斯坦官方護照申請跟蹤網站在一次復雜的水坑攻擊中遭到破壞。

截至8月15日，FBR的網站及其附屬域名如巴基斯坦收入自動化有限公司(PRAL-Pral.com.pk)仍然處于離線狀態。

參考來源：HackRead http://33h.co/w4i86

 

（六）巴西國庫遭受勒索軟件攻擊

巴西經濟部8月14日發布通知表示，巴西國庫(National Treasury)秘書處內部網絡8月13日晚遭受了勒索軟件攻擊。該部門立即采取了措施，來遏制網絡攻擊的影響，并通知了聯邦警察局。

初步評估發現，國庫的結構系統沒有受到損害，包括綜合財務管理系統(SIAFI)及與公共債務管理相關的平臺。巴西國庫和數字政府秘書處(DGS)的安全專家正在分析勒索軟件攻擊的影響。聯邦警察局表示，將及時披露有關該事件的新信息，并保持適當的透明度。

8月16日與巴西證券交易所聯合發布的另一份聲明指出，此次攻擊并沒有以任何方式影響Tesouro Direto的運營，個人可通過Tesouro Direto購買巴西政府債券。

在此次巴西國庫遭受攻擊事件之前，2020年11月發生了一次針對巴西高級選舉法院的重大網絡攻擊，導致法院的系統癱瘓了兩個多星期。當時，就其復雜性和所造成損害的范圍而言，該事件被認為是有史以來針對巴西公共部門機構精心策劃的最全面的攻擊。

今年7月，巴西政府宣布建立一個網絡攻擊響應網絡，旨在通過協調聯邦政府各機構，促進網絡威脅及漏洞快速響應。

DGS在經濟部管理和數字政府特別秘書處的領導下運作，將在網絡的形成中發揮戰略作用。DGS是SISP的中央機構，該系統用于規劃、協調、組織、運營、控制和監督聯邦政府200多個機構的信息技術資源。

2021年巴西發生了多起私營企業重大勒索軟件攻擊事件，涉及醫療保健公司Fleury及航空航天集團Embraer等大公司。

參考來源：ZDNet http://33h.co/wg6d1

 

（七）Fortinet防火墻存在高危命令注入漏洞

Rapid7研究人員在Fortinet的FortiWeb Web應用程序防火墻(WAF)中發現了一個漏洞，雖然為高危漏洞，但在野外被利用的實際風險似乎很低。

該漏洞是由網絡安全公司Rapid7的研究員William Vu發現的，目前尚不清楚供應商是否已修補。盡管如此，Rapid7在周二披露了其細節。

Rapid7研究主管Tod Beardsley表示，他們還沒有從Fortinet看到任何有關補丁的信息，但他們確實希望該漏洞很快得到修復。

該漏洞的編號為CVE-2021-22123，是FortiWeb操作系統命令注入漏洞，由Fortinet在幾個月前修復。

該漏洞影響FortiWeb WAF的管理界面，特別是SAML服務器配置頁的“Name”字段，可被濫用來使用超級用戶權限執行任意命令。這最終會讓攻擊者完全控制設備。但是，值得注意的是，攻擊該漏洞需要在目標系統上對攻擊者進行身份驗證。

Rapid7在博客文章中表示，“攻擊者可能會安裝持久性Shell、加密挖掘軟件或其他惡意軟件。萬一管理界面暴露在互聯網上，他們可以使用受感染的平臺進入DMZ以外的受影響網絡。該漏洞只能被惡意內部人員或錯誤地將其管理界面暴露給互聯網的設備利用。此外，攻擊者需要已經通過身份驗證，因此攻擊者需要首先擁有用戶名和密碼，猜測相同的用戶名和密碼，或者使用另一個漏洞繞過身份驗證，如CVE-2020-29015。因此，考慮到所有這些限制，我認為風險相當低。攻擊者需要做很多事情，即網絡配置錯誤和身份驗證繞過或猜測，”

Rapid7指出，雖然它最近的掃描顯示大約有100萬臺暴露在互聯網上的Fortinet設備，但其中只有一部分是FortiWeb系統，而且其中只有一小部分將其管理界面暴露在網絡上。Rapid7只看到了幾百個FortiWeb管理界面暴露在互聯網上。

鑒于Fortinet產品的廣泛使用，許多國家支持和利潤驅動的黑客一直在利用這些產品中的漏洞也就不足為奇了。美國政府已經就利用Fortinet漏洞發出了幾次警告和建議。

參考來源：SecurityWeek http://33h.co/whmcw

 

（八）AMD芯片的電壓故障攻擊對云環境構成風險

柏林工業大學(TU Berlin)研究人員發現了一種電壓故障攻擊，AMD的安全加密虛擬化(SEV)技術可能無法為云環境中的機密數據提供適當的保護。研究人員在《One Glitch to Rule Them All: Fault Injection Attacks Against AMD’s Secure Encrypted Virtualization》論文中詳細說明了這項研究成果。

AMD的SEV技術存在于EPYC處理器中，旨在保護虛擬機(VM)及其存儲的數據免受具有提升權限的內部威脅，例如惡意管理員。SEV通常用于云環境。

SEV旨在通過加密VM的內存來保護機密數據，并且使用AMD的安全處理器(SP)來保護加密密鑰，SP一種專用的安全協處理器。這應該確保只有SP可以訪問內存加密密鑰，而受威脅參與者控制的虛擬機管理程序則不能。

然而，柏林工業大學的研究人員表明，對目標系統具有物理訪問權限的攻擊者可以通過對SP發起電壓故障注入攻擊來訪問受SEV保護的VM內存內容。

為了按預期工作，集成電路需要在特定溫度、時鐘穩定性、電磁場和電源電壓范圍內工作。有目的地操縱這些參數之一稱為故障攻擊。此類攻擊需要對芯片進行物理訪問，但它們可用于獲取敏感信息、繞過安全檢查或實現任意代碼執行。

在電壓故障攻擊中，研究人員表明，通過操縱AMD芯片的輸入電壓，可以在SP的ROM引導加載程序中引發錯誤，從而獲得完全控制權。研究人員描述了由于SEV未能正確保護潛在敏感信息免受惡意內部人員攻擊而給云環境帶來的風險。

研究人員在論文中解釋表示，“我們展示了一個能夠物理訪問目標主機的對手如何植入一個定制的SEV固件，該固件使用SEV的調試API調用來解密VM的內存。此外，我們證明了故障攻擊能夠提取背書密鑰。背書密鑰在SEV的遠程認證機制中起著核心作用，可用于發起遠程攻擊。即使沒有物理訪問目標主機的攻擊者也可以使用提取的背書密鑰攻擊SEV保護的虛擬機。通過偽造認證報告，攻擊者可以偽裝成虛擬機遷移的有效目標，從而獲得對虛擬機數據的訪問?！?/span>

進行此類攻擊所需的硬件很容易獲得，而且價格低廉，但研究人員表示，他們花了4個小時來準備一個系統，這大大降低了現實世界環境中的風險。

雖然這不是第一個專注于電壓故障攻擊或攻擊AMD的SP和SEV的研究項目，研究人員表示，據他們所知，這是第一個影響所有AMD EPYC CPU的攻擊(Zen 1, Zen 2和Zen 3)。研究人員向AMD報告了他們的發現，并提出了一些可以在未來CPU中實現的緩解措施。

參考來源：SecurityWeek http://33h.co/w46q0

 

（九）燃油管道商Colonial Pipeline在遭受勒索軟件攻擊后披露數據泄露

美國最大的燃料管道商Colonial Pipeline正在向因今年5月DarkSide勒索軟件攻擊其網絡而導致數據泄露的個人發送通知信。

該公司表示，它最近了解到，在攻擊過程中，DarkSide的操作人員還收集和竊取包含5810個人個人信息的文件。受影響的記錄包含某些個人信息，如姓名、聯系信息、出生日期、政府簽發的身份證(如社會保險、軍號、稅號和駕照號碼)，以及健康相關信息。

然而，正如管道系統首席執行官兼總裁Joseph A. Blount Jr.補充所述，并不是每個受影響的個人的所有信息都被竊取了。

DarkSide勒索軟件組織于5月6日攻擊而了Colonial Pipeline的網絡，Colonial Pipeline供應美國東海岸大約一半的燃料。在事件發生期間，DarkSide運營商還在Colonial Pipeline系統中竊取了大約100GB的文件。隨后DarkSide決定停止運營。

然而，不到兩個月后，一種名為BlackMatter的新勒索軟件操作浮出水面，從其他威脅行為者手中購買網絡訪問權，對企業受害者發動攻擊，索要贖金從300萬美元到400萬美元不等。

Emsisoft首席技術官和勒索軟件專家Fabian Wosar證實，在一個解密程序中發現的Salsa20加密算法以前只被Darkside使用，現在是BlackMatter使用。Crypto例程幾乎是RSA和Salsa20實現的完全相同的副本，包括它們對自定義矩陣的使用。

臭名昭著的Darkside勒索軟件團伙現在更名為BlackMatter，正在積極攻擊企業實體，但表示將不會攻擊石油和天然氣行業(管道、煉油廠)。

參考來源：BleepingComputer http://33h.co/whbc5

 

（十）時隔4年曾經最大的暗網市場AlphaBay宣布再度復出

AlphaBay暗網最初于2017年被查封，但現在有人自稱是AlphaBay最初的聯合創始人DeSnake，宣布將該市場重新恢復運營。與此同時，管理員宣布了為暗網市場建立平臺的計劃，以開設非常注重匿名性的商店。

Alphabay成立于2014年，是最大的暗網市場。2017年7月5日，執法部門將其取締后，這項業務就終止了。

在泰國，警方逮捕了加拿大公民Alexander Cazes，使用的在線名稱為Alpha02/Admin，同時也是AlphaBay的兩名管理員之一。另一個合伙人名叫DeSnake，負責市場安全，從未被警方抓獲。

 

DeSnake提供了他們在非法市場全盛時期使用的原始公共PGP密鑰，來證明他們的說法，允許任何人在公共PGP密鑰服務器上驗證身份。區塊鏈分析公司Elliptic的聯合創始人Tom Robinson發現了DeSnake在暗網市場社區傳達信息，他們在暗網自我介紹說自己是“AlphaBay的安全管理員和聯合創始人”。
上周末，DeSnake在暗網論壇上宣布AlphaBay市場重新開放，并已準備就緒。

一位暗網用戶確認了DeSnake的密鑰，并且他們是原始AlphaBay技術人員的一部分。另一位在私下談論“只有他作為AlphaBay的工作人員才知道的事情”后確認了這位管理員的身份。

在一份由五部分組成的長篇聲明中，DeSnake解釋表示，他們希望為可持續模式設定新的標準，并建立一個“專業運營的、匿名的、安全的市場”。不過，DeSnake的目標是開發一個自主和匿名的分散市場網絡，任何人都可以在其中建立市場。

從他們的描述來看，它看起來就像是一個暗網市場的亞馬遜，允許賣家和買家使用一個賬戶從一個市場漫游到另一個市場，而無需信任任何一家公司的加密貨幣。

DeSnake表示，新的AlphaBay已經建成，使用了安全且經過審核的代碼、防彈服務器，并針對硬件故障、警方突襲或扣押造成的中斷提供了保障。管理員還宣傳了一個名為AlphaGuard的自動化系統，該系統“確保用戶/供應商可以隨時在I2P/Tor上訪問他們的錢包資金（包括托管資金）?！绷硪粋€到位的系統是自動糾紛解決系統，其目的是在沒有調解人干預的情況下解決買賣雙方之間的問題。

DeSnake還為新的AlphaBay制定了一套規則，以避免引起執法部門不必要的關注。Flashpoint研究人員指出，限制與前蘇聯國家有關的活動的規定對那些地區的威脅行動者來說是典型的，以避免來自當地執法部門的審查。

AlphaBay現在只使用Monero加密貨幣，目前只有兩個特色列表，都是針對毒品的。論壇統計數據顯示，共有19名成員交換了72條消息。

在其輝煌時期，AlphaBay為超過200,000名用戶和40,000家供應商提供服務，僅藥物和有毒化學品就有超過250,000個清單。被盜和偽造的身份證明文件、惡意軟件、黑客工具、槍支和欺詐服務占另外100,000個列表。據估計，自創建以來，該市場至少交易了價值10億美元的加密貨幣，主要是比特幣。

參考來源：BleepingComputer http://33h.co/w46c9

 

（十一）日本保險公司Tokio Marine遭受勒索軟件攻擊

日本跨國保險控股公司Tokio Marine Holdings本周宣布，其新加坡分公司Tokio Marine Insurance Singapore(TMiS)遭受勒索軟件攻擊。該公告是在本周初發布的，除了為應對入侵采取的行動之外，幾乎沒有包含有關該事件的信息。

作為日本最大的財產和意外傷害保險集團，Tokio Marine Holdings對網絡犯罪分子來說是一個有吸引力的目標，他們可以利用這次入侵來尋找和危害該組織的客戶。

Tokio Marine指出，勒索軟件攻擊影響了新加坡分公司Tokio Marine Insurance Singapore(TMiS)，該公司在該國的其他公司沒有受到損害。目前尚不清楚攻擊是如何或何時展開的，以及造成的損失，但TMIS在檢測到攻擊后立即隔離了網絡，并通知了當地政府機構。

母公司表示，確認沒有跡象表明有任何客戶信息或集團機密信息被泄露。

如今大多數勒索軟件攻擊也被視為數據泄露事件，因為攻擊者在加密文件之前也會從受害者網絡中竊取文件。然而，已經引入了第三方來分析系統和評估攻擊的影響。

該公司在其日文和英文網站上公布了這一事件，并就“造成的不便和擔憂”向其客戶道歉。

參考來源：BleepingComputer http://33h.co/wh24n

 

（十二）美國醫療機構Memorial Health System遭受Hive勒索軟件攻擊

美國非營利性綜合醫療系統Memorial Health System在8月15日發布通知稱，其發生了網絡安全事件，遭受了Hive勒索軟件攻擊，計算機被加密，導致臨床及財務運營部分中斷，工作人員被迫使用紙質圖表工作。

該事件發生在8月15日凌晨，IT部門發現部分基礎設施沒有按照預期響應，檢測到了該攻擊。此次攻擊導致臨床和財務運營中斷，16日的緊急手術病例和放射學檢查被取消，所有初級保健預約都如期舉行。

Memorial Health System是一個小型網絡，由俄亥俄州和西弗吉尼亞州的三家醫院（瑪麗埃塔紀念醫院、塞爾比總醫院、及西斯特斯維爾綜合醫院）、門診服務站點及醫療機構診所組成。該組織是一個非營利性綜合衛生系統，擁有3,000多名員工，由社區成員志愿者委員會領導。

16日，在了解更多關于這次攻擊的信息后，該組織發布了一份通知，向社區通知了這一事件。Memorial Health System總裁兼首席執行官Scott Cantley表示，患者或員工的數據沒有泄露，調查仍在進行中，以全面了解所發生的事情。

通常，勒索軟件攻擊伴隨著數據泄露。在部署加密程序之前，黑客通常會花時間在網絡上確定最有價值的系統，并竊取數據。通過泄露信息，攻擊者有更多的手段迫使受害者支付贖金，以換取不共享或泄露被盜數據的承諾，并提供解密工具。

該事件也不例外。證據表明，攻擊者竊取了數據庫，其中包含20萬患者的信息，其中包括敏感信息，例如社會安全號碼、姓名和出生日期。

Hive勒索軟件組織于6月下旬出現，盡管活動時間很短，但該組織已聲稱有多名受害者。像大多數勒索軟件組織一樣，Hive在暗網上有一個名為HiveLeaks的泄密網站，已經發布了近24個沒有支付贖金的受害者數據鏈接。

泄密網站上列出的大多數企業都是中小型企業，其中許多企業的員工人數在100人左右。最大的沒有支付贖金的受害者是Altus Group，是一家為商業房地產行業提供軟件和數據解決方案的供應商，擁有2,500名員工，收入為5億美元。

參考來源：MemorialHealthSystem http://33h.co/wgcjn

 

（十三）美國大通銀行意外泄露客戶信息

美國大通銀行(Chase Bank)證實，其網上銀行網站和應用程序存在技術漏洞，導致客戶銀行信息意外泄露給其他客戶。

摩根大通銀行(JPMorgan Chase Bank)是一家金融服務業巨頭，總部位于美國紐約，年收入達到1200億美元，在全球擁有超過25萬名員工。

大通銀行客戶的個人詳細信息，包括對賬單、交易清單、姓名和帳號，可能會暴露給其他大通銀行成員。該問題一直持續到今年5月24日至7月14日之間，并影響了共享類似信息的網上銀行和大通移動應用程序客戶。

在數據事件通知中，大通銀行將該事件歸咎于技術問題，“我們了解到一個技術問題，該問題可能錯誤地允許另一個具有類似個人信息的客戶在大通銀行網站chase.com或移動應用程序中查看您的帳戶信息，或接收您的帳戶對帳單?！?/span>

 

目前尚不清楚客戶如何或在什么情況下能夠看到其他客戶的私人信息。該通知對于該問題是否影響特定群體也含糊其辭（信用卡持有人、個人或商業銀行客戶、或所有人）。迄今為止，大通銀行沒有發現任何證據表明該信息被濫用。

作為標準的行業慣例，大通銀行正在通知受影響的個人，并為他們提供免費的信用監控服務。Chase表示，“我們很抱歉讓您失望，并希望通過Experian's?IdentityWorks?為您提供一年的免費信用監控?！笔苡绊懙目蛻魧⒃跀祿录ㄖ胖惺盏揭粋€唯一的激活碼，可用于注冊服務。

2014年，大通銀行遭遇了大規模數據泄露事件，據信已經泄露了超過8300萬個賬戶的數據，引發了對網絡釣魚攻擊的擔憂。盡管到目前為止還沒有與此事件相關的數據濫用跡象，但個人應保持警惕，并密切留意在不久的將來可能收到的任何關于大通銀行的網絡釣魚電子郵件。

參考來源：BleepingComputer http://33h.co/wg13t

 

（十四）福特汽車網站存在漏洞，泄露公司機密及客戶信息

福特汽車公司網站上存在一個漏洞，可訪問敏感系統并獲取專有數據，如客戶數據庫、員工記錄、內部票證等。數據泄露源于福特服務器上運行的Pega Infinity客戶參與系統的錯誤配置實例。

研究人員Robert Willis和break3r披露了在福特網站上發現的一個漏洞，利用該漏洞可窺視公司機密記錄、數據庫并執行帳戶接管。該漏洞由Robert Willis和break3r發現，并得到了Sakura Samurai道德黑客組織成員Aubrey Cottle、Jackson Henry和John Jackson的進一步驗證和支持。

CVE-2021-27653是一個信息泄露漏洞，存在于配置不當的Pega Infinity客戶管理系統實例中。

研究人員分享了福特內部系統和數據庫的許多截圖，包括該公司的票務系統截圖。

 

研究人員表示，一些暴露的資產包含敏感的個人身份信息(PII)，包括：客戶和員工記錄、財務帳號、數據庫名稱和表、OAuth訪問令牌、內部支持票證、組織內的用戶配置文件、Pulse活動、內部接口、搜索欄歷史記錄。
要利用該問題，攻擊者首先必須訪問配置錯誤的Pega Chat Access Group門戶實例的后端Web面板。作為URL參數提供的不同有效負載可以使攻擊者運行查詢、檢索數據庫表、OAuth訪問令牌和執行管理操作。

攻擊者可以利用在被破壞的訪問控制中發現的漏洞，獲取大量敏感記錄，執行帳戶接管。

2021年2月，研究人員向Pega報告了他們的發現，他們相對較快地修復了聊天門戶中的CVE。大約在同一時間，這個問題也通過他們的HackerOne漏洞披露計劃報告給了福特。

Jackson表示，隨著披露時間表的進一步推進，來自福特的溝通變得越來越少，研究人員只在推特上發布了關于這個漏洞的消息后才收到了HackerOne的回復，但沒有透露任何敏感的細節。

目前，福特的漏洞披露計劃并不提供金錢獎勵或漏洞賞金，因此，根據公眾利益進行協調披露是研究人員唯一希望得到的“獎勵”。披露報告副本顯示，福特沒有對具體的安全相關行動發表評論。

盡管福特在報告發布后的24小時內將這些終端離線，但研究人員在同一份報告中表示，即使在報告發布后，這些終端仍然可以訪問，并要求進行另一次審查和補救。

目前尚不清楚是否有任何威脅行為人利用該漏洞破壞福特的系統，或者是否訪問了敏感的客戶/員工PII。

參考來源：BleepingComputer http://33h.co/whb5i

 

（十五）電信公司T-Mobile超過4000萬用戶數據泄露

有威脅行為者在暗網上聲稱入侵了T-Mobile的服務器，并竊取了大約1億客戶的個人數據。T-Mobile對此事調查后證實，黑客竊取的客戶數據共計有4865萬，包括4000萬曾向T-Mobile提出申請的潛在客戶、780萬后付費用戶、及85萬預付費客戶。

該事件于8月14日首次出現在黑客論壇上，在威脅行為者聲稱以6個比特幣的價格出售包含3000萬人的出生日期、駕駛執照號碼和社會安全號碼的數據庫。雖然論壇帖子沒有說明數據來源，但黑客表示他們在一次大規模服務器泄露事件中從T-Mobile獲取了數據。

攻擊者聲稱兩周前入侵了T-Mobile的生產、登臺和開發服務器，包括一個包含客戶數據的Oracle數據庫服務器。據稱這些被盜數據包含大約1億T-Mobile客戶的數據，包括客戶的IMSI、IMEI、電話號碼、客戶姓名、安全PIN、社會安全號碼、駕駛執照號碼和出生日期。IMEI（國際移動設備標識）是用于識別移動電話的唯一號碼，而IMSI（國際移動用戶標識）是與蜂窩網絡上的用戶相關聯的唯一號碼。

為了證明他們入侵了T-Mobile的服務器，攻擊者分享了與運行Oracle的生產服務器的SSH連接截圖。

當被問及是否試圖利用被盜數據勒索T-Mobile時，黑客表示，他們從未聯系過T-Mobile，并決定在已經有感興趣買家的論壇上出售這些數據。T-Mobile也表示正在積極調查此事。
網絡安全情報公司Cyble也表示，這名黑客聲稱竊取了多個數據庫，總計約106 GB數據，其中包括T-Mobile的客戶關系管理(CRM)數據庫。最先報道這起入侵事件的Motherboard表示，他們可以核實黑客提供的數據樣本是否屬于T-Mobile客戶。

8月17日T-Mobile發表聲明證實，黑客竊取的客戶數據共計有4865萬，包括4000萬曾向T-Mobile提出申請的潛在客戶、780萬后付費用戶、及85萬預付費客戶。

參考來源：BleepingComputer http://33h.co/whaym

 

（十六）190萬名美國秘密監視名單在網絡上曝光

SecurityDiscovery.com的網絡威脅情報總監Bob Diachenko在7月19日，發現了一份約190萬名全球恐怖份子的觀察名單，該名單是放置在一個Elasticsearch數據集上，而且沒有任何密碼保護，來源是美國聯邦調查局（FBI）所管轄的恐怖份子審查中心（Terrorist Screening Center，TSC）。

TSC負責維護美國的禁飛名單，雖是由FBI管轄，但所搜集的資料來自美國國務院、國防部、交通安全局、海關暨邊境保護局，以及美國的其它盟國等，這次被發現的190萬份資料，可能只是全球恐怖份子觀察名單中的一部份，該名單包含姓名、國籍、性別、生日、護照號碼與禁飛指示等。

Diachenko指出，Censys與ZoomEye兩大搜尋引擎是在7月19日索引了該Elasticsearch服務器，而他同一天便發現了曝光的名單，并立即通知美國國土安全部（DHS），但存放名單的服務器一直到8月9日才下線。奇怪的是，此一數據庫的IP位址并非位于美國，而是中東的巴林。

此份美國恐怖份子觀察名單過去屬于機密文件，只有經過授權的美國機構及官員才能夠讀取，但在2015年之后，美國改變了相關政策，開始通知境內被列為恐怖份子觀察名單的民眾，但國外民眾往往是在乘機時才發現，自己被懷疑是恐怖份子而被禁飛。

Diachenko表示，名單上的民眾都只是涉嫌，并未被定罪，但倘若落入壞人的手上，民眾或其家人可能會被壓迫或騷擾，也會給無辜的人帶來困擾。此外，美國有時會說服某些嫌犯轉為線人，并解除他們的禁飛限制，名單的外泄也可能讓線人的身份曝光。

至于不管是國土安全部或是FBI都未正式回復Diachenko。

本文版權歸原作者所有，參考來源：iThome http://33h.co/whmxm

 

（十七）伊朗網絡間諜冒充人力資源員工攻擊以色列

與伊朗政府有關聯的黑客將攻擊目標集中在以色列的IT和通信公司，可能是試圖轉向他們真正的目標。

這些活動被認為是由伊朗的APT組織Lyceum、Hexane和Siamesekitten發起的，該組織至少從2018年開始就在進行間諜活動。

在5月和7月檢測到的多起攻擊中，黑客將社會工程技術與更新后的惡意軟件變體相結合，最終使他們能夠遠程訪問受感染的機器。

在一個案例中，黑客利用科技公司ChipPC的一名前人力資源經理的名字創建了一個偽造的LinkedIn個人資料，這清楚地表明攻擊者在開始攻擊之前已經做了充分的準備。

1.確定潛在受害者(員工)。
網絡安全公司ClearSky的威脅研究人員在今天的一份報告中表示，Siamesekitten黑客隨后以提供工作為借口，利用虛假的個人資料向潛在受害者發送惡意軟件：

2.確定要冒充的人力資源部員工。

3.創建模擬目標組織的網絡釣魚網站。

4.創建與模擬組織兼容的誘餌文件。

5.以人力資源員工的名義在LinkedIn上建立一個虛假的個人資料。

6.聯系潛在的受害者，提供一份“誘人的”工作機會，詳細描述被冒充的組織中的一個職位。

7.將受害者發送到帶有誘餌文件的釣魚網站上。

8.后門會感染系統，并通過DNS和HTTPS連接到C&C服務器。

9.DanBot RAT被下載到受感染的系統。

10.黑客出于間諜目的獲取數據，并試圖在網絡上傳播。

Clearsky認為，Siamesekitten花了幾個月的時間試圖利用供應鏈工具攻破以色列的大量組織。雖然黑客的興趣似乎已經從中東和非洲的組織發生了變化，但研究人員表示，以色列的IT和通信公司只是達到真正目標的一種手段。

研究人員發現了兩個網站，它們是Siamesekitten針對以色列公司的網絡間諜活動的基礎設施的一部分。一個模仿德國企業軟件公司Software AG的網站，另一個模仿ChipPC的網站。在這兩種情況下，潛在的受害者都被要求下載一個Excel(XLS)文件，據稱該文件包含有關工作機會或簡歷格式的詳細信息。

這兩個文件包括一個受密碼保護的惡意宏，該宏通過提取名為MsNpENg的后門啟動感染鏈。

ClearSky注意到，在5月到7月的兩個活動期間，Siamesekitten從一個用c++編寫的名為Milan的后門版本切換到了一個用.NET編寫的名為Shark的新版本。

參考來源：BleepingComputer http://33h.co/wh2pf

 

（十八）美國達拉斯警察局數據遷移丟失8TB數據

據美國達拉斯縣地方檢察官辦公室稱，達拉斯警察局在4月份的數據遷移過程中有8TB數據丟失，可能無法恢復。

地方檢察官John Creuzot在8月11日給辯護律師的一份披露通知中表示，該市在4月份獲悉，在3月31日至4月5日期間，在警察局網絡驅動器遷移過程中，刪除了22TB數據。大約有14TB的數據得到了恢復，但仍有8TB的數據丟失，且無法恢復。

據達拉斯市稱，受影響的數據包括單個案例文件，例如圖像、視頻、音頻和筆記，這些文件已移動到共享文件夾中，以進行長期基于云的存儲。

該市政府表示，一名IT部門員工將存檔數據遷移到數據中心服務器時，由于“未能遵循適當的既定程序，導致數據文件被刪除”，發生了刪除事件。該市保留了一份被刪除內容的記錄，因為元數據中保留了包括文件名在內的基本詳細信息，但是文件本身已被永久刪除。

在一份聲明中，Creuzot表示他正在與警察局合作，確定有多少案件受到影響，但表示現在估計這個數字或對個別案件的影響還為時過早。

8月16日，一名謀殺嫌疑人因警方丟失犯罪數據導致審判推遲而釋放。德克薩斯州法律規定，如果檢察官在審判時未準備好，則應將其釋放。

參考來源：NBCDFW http://33h.co/w4nsg

 

（如未標注，均為天地和興工業網絡安全研究院編譯）