目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）Mozi物聯網僵尸網絡存在于Netgear、華為和中興網絡網關中

第二章國外關鍵信息基礎設施安全動態

（一）美國白宮召開網絡安全工作會議

（二）美國國務院遭受網絡攻擊

（三）美國人口普查局遭受Citrix ADC零日漏洞攻擊

（四）白俄羅斯黑客組織竊取國家機密數據，企圖推翻現任政府

（五）值得關注的四個新興勒索軟件組織

（六）新西蘭環境保護部遭受勒索軟件攻擊

（七）日本加密貨幣交易所Liquid遭受黑客攻擊

（八）美國最大移動電話服務提供商AT&T泄露7000萬用戶信息

（九）微軟開發平臺因配置不當泄露3800萬條記錄

（十）黑客可通過輸液泵漏洞控制藥物劑量

（十一）美國CISA建議立即修補微軟Exchange ProxyShell漏洞

（十二）FBI發布關于OnePercent Group威脅行為者的警告

（十三）諾基亞子公司遭受Conti勒索軟件攻擊發生數據泄露

（十四）朝鮮APT組織InkySquid利用IE漏洞攻擊韓國組織

（十五）荷蘭教育機構ROC Mondriaan遭受重大網絡攻擊

 

 

第一章 國內關鍵信息基礎設施安全動態

（一）Mozi物聯網僵尸網絡存在于Netgear、華為和中興網絡網關中

微軟安全研究人員發布了最新調查結果，Mozi是一種以物聯網設備為目標的點對點(P2P)僵尸網絡，可以在Netgear、華為和中興通訊制造的網絡網關上實現持久性。

微軟研究人員在8月19日發布的技術文章中表示，“網絡網關對于攻擊者來說是一個特別關注的目標，因為它們是企業網絡初始接入點的理想選擇。通過感染路由器，他們可以執行中間人(MITM)攻擊，通過HTTP劫持和DNS欺騙，來危害端點并部署勒索軟件，或在OT設施中引發安全事故?！?/span>

Netlab 360于2019年12月首次記錄，Mozi有感染路由器和數字錄像機的歷史，以便將它們組裝成物聯網僵尸網絡，可能會被濫用以發起分布式拒絕服務(DDoS)攻擊、數據泄露、和有效載荷執行。僵尸網絡是從幾個已知惡意軟件家族的源代碼演變而來的，例如Gafgyt、Mirai和IoT Reaper。

Mozi通過采用弱遠程訪問密碼和默認遠程訪問的密碼以及未修補漏洞傳播，IoT惡意軟件使用與BitTorrent相關的DHT進行通信，來記錄僵尸網絡中其他節點的聯系信息，相同的機制由文件共享P2P客戶端使用。受感染的設備會偵聽來自控制器節點的命令，并嘗試感染其他易受攻擊的目標。

現在，微軟安全團隊最新研究發現，該惡意軟件“在重啟或其他惡意軟件或響應者干擾其操作的任何其他嘗試時，采取特定行動來增加其生存機會”，包括在目標設備上實現持久性和阻止TCP用于遠程訪問網關的端口（23、2323、7547、35000、50023和58000）。

2020年9月發布的IBM X-Force分析指出，從2019年10月到2020年6月，Mozi占觀察到的物聯網網絡流量的近90%，這表明威脅行為者越來越多地利用物聯網設備提供的不斷擴大的攻擊面。在上個月發布的另一項調查中，Elastic安全情報和分析團隊發現，迄今為止，至少有24個國家/地區成為攻擊目標，其中保加利亞和印度首當其沖。

更重要的是，Mozi已??升級為支持新命令，使惡意軟件能夠劫持HTTP會話并進行DNS欺騙，從而將流量重定向到攻擊者控制的域。

建議使用Netgear、華為和中興路由器的企業和用戶使用強密碼保護設備，并將設備更新到最新固件。微軟表示，“這樣做將減少僵尸網絡利用的攻擊面，并防止攻擊者進入他們可以使用新發現的持久性和其他漏洞利用技術的位置?！?/span>

參考來源：TheHackerNews http://33h.co/w33xv

 

 

第二章 國外關鍵信息基礎設施安全動態

（一）美國白宮召開網絡安全工作會議

美國總統拜登8月25日在白宮召開了網絡安全會議，宣布了加強供應鏈和天然氣管道安全的舉措，各大主要公司承諾在網絡上投入數十億美元。

美國國家標準與技術研究所將與行業合作，制定安全技術構建指南，這是兩項管理舉措中的第一項。另一方面，美國政府正式將其工業控制系統網絡安全計劃擴大到天然氣管道領域。根據該計劃，150家電力公司同意在天然氣管道上部署控制系統安全技術。

科技巨頭、保險公司和教育組織在峰會中做出了大大小小的網絡安全承諾。承諾投入最大資金的包括：微軟宣布在五年內投200億美元用于整合“網絡安全設計”，這意味著在產品構建過程中將融入安全性；谷歌宣布投入100億美元用于擴展“零信任網絡安全”，保護軟件供應鏈并提高開源安全性。

此前6月份發生了一起勒索事件，黑客侵入了Colonial輸油管道，迫使該公司在數天內停止了美國部分地區的燃油運輸。在此之前，被指控的俄羅斯間諜利用SolarWinds，利用該聯邦承包商作為滲透美國九個機構的手段。

在與行業領袖會面之前，拜登稱網絡安全是“美國人民面臨的核心國家安全挑戰，也是我們的經濟面臨的挑戰”。拜登表示，由于私人擁有如此多的關鍵基礎設施，“聯邦政府無法單獨應對這一挑戰。我今天邀請你們所有人來到這里，因為我相信你們有能力、有責任來提高網絡安全的標準?！?/span>

其他私營部門的承諾包括：IBM承諾在三年內培訓150,000人掌握網絡技能，Coalition提供免費風險評估工具，Code.org表示將在三年內向300萬學生教授網絡概念。

亞馬遜表示，它將為每月至少花費100美元的亞馬遜網絡服務賬戶持有人提供多因素身份驗證設備。蘋果表示將與其供應商合作，推動大規模采用事件記錄、事件響應、多因素身份驗證、安全培訓和漏洞修復。

其中許多步驟反映了拜登在5月以加強聯邦政府內部安全而簽署的行政命令。

IBM首席執行官Arvind Krishna在LinkedIn的帖子中反映了拜登對合作的看法，“沒有一家私營公司可以獨自面對這一巨大挑戰?，F在是公共和私營部門加緊集體努力以改善我們國家未來幾十年網絡安全的時候了?！?/span>

Coalition、谷歌、IBM、微軟和Travelers將合作開發NIST框架，其中將包括安全技術評估。NIST主任James Olthoff表示，“基于我們的技術專長和我們既定的開放流程，我們可以共同構建一個框架，該框架將提供完善的技術、可信、實用的解決方案，以幫助國家更好地管理網絡安全風險?！?/span>

參考來源：CyberScoop http://33h.co/wpary

 

（二）美國國務院遭受網絡攻擊

?？怂剐侣?Fox News)記者8月21日表示，美國國務院遭受了網絡攻擊，國防部網絡司令部(Department Of Defense Cyber Command)發出了潛在嚴重入侵的通知。

一位消息靈通人士告訴路透社，國務院沒有經歷過重大的干擾，其行動也沒有受到任何形式的阻礙。

?？怂剐侣?Fox News)報道稱，據信這起入侵事件發生在幾周前。根據記者的推文，目前還不清楚它是何時被發現的。入侵的程度以及運營是否存在任何持續的風險也不清楚。

該記者援引一位匿名消息人士的話說，國防部繼續疏散在阿富汗的美國人和盟軍難民的工作沒有受到網絡攻擊的影響。

美國國務院發言人周六告訴CNBC，國務院“認真履行保護其信息的責任，并不斷采取措施確保信息得到保護。出于安全原因，我們目前無法討論任何所謂的網絡安全事件的性質或范圍?！?/span>

參考來源：CNBC http://33h.co/wp2mi

 

（三）美國人口普查局遭受Citrix ADC零日漏洞攻擊

美國商務部檢察長辦公室(OIG)8月16日發布報告稱，美國人口普查局的服務器在2020年1月11日遭受了黑客入侵，攻擊者利用的是Citrix ADC零日漏洞，最終在安裝后門或竊取敏感數據之前停止了攻擊。

然而調查發現，官員們被告知其服務器中存在漏洞，并且在攻擊前至少有兩次機會修復該漏洞，主要是由于負責不同安全任務的團隊之間缺乏協調。該報告詳細介紹并回顧了2020年1月11日發生的事件，當時攻擊者利用了一個公開可用的嚴重漏洞，攻擊了人口普查局運營的遠程訪問服務器。

該報告表示，“這些服務器的目的是為該局提供遠程訪問功能，供其企業員工訪問生產、開發和實驗室網絡。這些服務器沒有提供2020年人口普查網絡的訪問。在對遠程訪問服務器的攻擊期間，早在2020年1月13日，該局的防火墻就阻止了攻擊者從遠程訪問服務器到其指揮和控制基礎設施進行通信的企圖。但是，直到2020年1月28日，也就是2個多星期后，該局才意識到服務器已遭到入侵?！?/span>

Citrix于去年12月發布了關于零日漏洞CVE-2019-19781的公告。今年1月份，該局計算機事件響應小組(CIRT)的一名代表參加了兩次討論該漏洞的會議，與會者甚至收到了使用Citrix已經發布的修復程序的步驟鏈接。

該報告指出，“盡管在12月發布了公開通知，并在1月參加了兩次有關該問題的會議，但CIRT局在服務器遭到攻擊之前，并未與負責實施這些緩解措施的團隊進行協調?！边@樣做本可以阻止這次攻擊。

該Citrix產品漏洞是由Positive Technologies研究人員Mikhail Klyuchnikov發現的，可用于應用感知流量管理和安全遠程訪問。158個國家/地區至少有80,000個組織（美國約占38%）使用這些產品，以前，，名為NetScaler ADC和網關。

人口普查局最初的入侵是在用于為該局的企業員工提供對生產、開發和實驗室網絡的遠程訪問功能的服務器上，這些服務器無法訪問2020年十年一次的人口普查網絡。

該報告顯示，“此次攻擊部分成功，因為攻擊者修改了系統上的用戶帳戶數據，為遠程代碼執行做準備。然而，攻擊者試圖通過在受影響的服務器中創建后門來維持對系統的訪問，但沒有成功?！?/span>

調查人員表示，攻擊者能夠對遠程訪問服務器進行未經授權的更改，包括創建新用戶帳戶。然而，該局的防火墻阻止了攻擊者建立后門與攻擊者的外部命令和控制基礎設施進行通信的企圖。

據OIG稱，該局采取的另一個可以在攻擊發生之前減輕攻擊的安全失誤是，它沒有按照聯邦標準和商務部政策對遠程訪問服務器進行漏洞掃描。

調查人員表示，“我們發現該局漏洞掃描團隊維護了一份要掃描的設備列表。然而，遠程訪問服務器并未包含在列表中，因此沒有被掃描。發生這種情況是因為系統和漏洞掃描團隊沒有協調憑據掃描所需的系統憑據傳輸?！?/span>

OIG發現，該局在攻擊發生后也犯了錯誤，沒有及時發現或報告事件。調查人員發現，直到1月28日，也就是攻擊發生兩周后，IT管理員才意識到服務器遭到入侵，因為該局沒有使用安全信息和事件管理工具(SIEM)來主動提醒事件響應者可疑的網絡流量。

參考來源：ThreatPost http://33h.co/w3q3h

 

（四）白俄羅斯黑客組織竊取國家機密數據，企圖推翻現任政府

白俄羅斯政府的反對者表示，作為推翻總統盧卡申科政權的廣泛努力的一部分，他們實施了一項大膽的黑客攻擊，破壞了數十個警察和內政部的數據庫。

該黑客組織自稱為“白俄羅斯網絡游擊隊”，最近幾周公布了該龐大數據庫的一部分，其中包括該國一些最秘密的警察和政府數據庫。根據對黑客的采訪和審查的文件，這些信息包含被指控的警察線人名單、政府高級官員和間諜的個人信息、從警察無人機和拘留中心收集的視頻片段以及來自政府竊聽系統的電話秘密錄音。

被竊取的文件包括有關盧卡申科的核心圈子和情報官員的個人詳細信息。此外，新冠疫情死亡率統計數據表明，白俄羅斯死于新冠疫情的人數比政府公開承認的多出數千人。

黑客在接受采訪時和社交媒體上表示，他們還破壞了白俄羅斯的240多個監控攝像頭，并準備使用名為X-App的惡意軟件關閉政府計算機。

白俄羅斯內政部沒有回應置評請求。7月30日，該國克格勃安全機構負責人伊萬·特特爾在國家電視臺播出的講話中表示，存在“黑客攻擊個人數據”和“系統收集信息”，將其歸咎于“外國特別服務機構”的工作。

雖然這次黑客攻擊的直接影響尚不完全清楚，但專家表示，其長期后果可能是重大的，從破壞政府公告到支持國際社會制裁或起訴盧卡申科及其下屬。都柏林城市大學專門研究東歐抗議和數字權利問題的副教授Tanya Lokot表示，“如果盧卡申科最終面臨國際刑事法院的起訴，那么這些記錄將非常重要?！?/span>

白俄羅斯數字安全專家Nikolai Kvantaliani表示，網絡游擊隊公開的數據表明，“官員們知道他們的目標是無辜的人，并無緣無故地使用了額外的武力。因此，越來越多的人開始不相信官方媒體的宣傳”。在去年的反政府示威游行中，該組織壓制了警察暴力的畫面。

黑客與一個名為BYPOL的組織聯手，該組織由前白俄羅斯警察創建，他們在去年有爭議的盧卡申科選舉后叛逃。選舉后發生了大規模示威活動，一些警察被指控在殘酷鎮壓中折磨和毆打數百名公民。

Aliaksandr Azarau是白俄羅斯的一名前警察中校，領導著一個有組織的犯罪和腐敗部門，他在去年目睹選舉舞弊和警察暴力后于去年辭去了工作。他搬到波蘭并加入了BYPOL，他說從去年年底開始就一直在與網絡游擊隊合作。Azarau膘四號，黑客發布的信息是真實的，BYPOL計劃用它來追究腐敗的警察和政府官員的責任。

據Azarau表示，黑客獲得的竊聽電話錄音顯示，白俄羅斯內政部正在監視范圍廣泛的人員，包括高級和普通警察以及與總檢察長合作的官員。錄音還提供了警察指揮官下令對抗議者施暴的音頻證據。

Azarau表示，“我們正在與網絡游擊隊密切合作。他們提供的信息對我們來說非常重要。他們入侵了大部分主要警察數據庫，并下載了所有信息，包括來自我們警察最機密的安全部門竊聽部門的信息。我們發現他們正在竊聽最著名的執法人員?，F在我們可以傾聽他們并理解他們對人實施犯罪的命令?！痹摻M織希望利用這些信息對歐盟和美國的白俄羅斯官員實施制裁，本月早些時候，美國和英國都宣布對與盧卡申科政權有關的個人和實體實施制裁。

參考來源：彭博社http://33h.co/w3jy8

 

（五）值得關注的四個新興勒索軟件組織

Palo Alto Networks的Unit 42威脅情報團隊8月24日發布了研究報告，研究了可能對企業和關鍵基礎設施構成嚴重威脅的四個新興勒索軟件組織。最近爆發的勒索軟件事件的連鎖反應表明，攻擊者在從受害者那里獲取報酬的手法越來越老練，也越來越有利可圖。

Unit 42研究人員表示，“雖然勒索軟件危機在好轉之前似乎會變得更糟，但造成最大破壞的網絡犯罪組織的陣容卻在不斷變化。當勒索軟件組織聲名狼藉，甚至成為執法部門的優先任務時，他們會保持沉默。其他組織則通過修改策略、技術和程序、更新軟件和發起營銷活動來招募新人，從而重新啟動業務運營，使其更有利可圖?！?/span>

隨著勒索軟件攻擊規模越來越大、頻率越來越高、規模越來越大、嚴重程度越來越高，同時也從經濟勒索演變為威脅到世界各地學校、醫院、企業和政府的緊急國家安全問題，促使國際當局制定一系列行動，打擊勒索軟件的運營商以及被濫用以挪用資金的更廣泛的IT生態系統和洗錢基礎設施。

第一個勒索軟件組織是AvosLocker，是一個勒索軟件即服務(RaaS)組織，該組織于6月下旬通過“新聞發布”開始運營，這些新聞稿帶有藍色甲蟲標志，以招募新的附屬機構。該組織還經營著一個數據泄露和勒索網站，據說已經入侵了美國、英國、阿聯酋、比利時、西班牙和黎巴嫩的六個組織，贖金要求從50,000美元到75,000美元不等。

第二個勒索軟件組織Hive與AvosLocker同月開業，但已經在美國、中國、印度、荷蘭、挪威、秘魯、葡萄牙、瑞士、泰國和英國的其他受害者中攻擊了數家醫療保健機構和中型組織，包括歐洲航空公司和三家總部位于印度的實體。

第三個勒索軟件組織HelloKitty的Linux變體，它挑選出運行VMware的ESXi管理程序的Linux服務器。Unit 42研究人員Doel Santos和Ruchna Nigam表示，“觀察到的變體影響了意大利、澳大利亞、德國、荷蘭和美國的五個組織。最高贖金要求為1000萬美元，但威脅行為者只收到了三筆交易，總金額約為148萬美元?！?img class="imageResponse js-onerror" domain-src="/repository/image/E4BQUADuSx25XH1-T9YqNg.jpg?k=1619667853000" id="4055" src="/repository/image/E4BQUADuSx25XH1-T9YqNg.jpg?k=1619667853000" style="width: 600px; height: 471px;">

最后一個勒索軟件組織是LockBit 2.0，這是一個成熟的勒索軟件組織，于6月重新出現，其附屬程序的2.0版本宣傳其“加密速度和自傳播功能”的“無與倫比的優勢”。開發人員不僅聲稱它是“世界上最快的加密軟件”，而且該組織還提供了一個名為StealBit的竊取器，使攻擊者能夠下載受害者的數據。

 

自2021年6月首次亮相以來，LockBit 2.0已經危害了會計、汽車、咨詢、工程、金融、高科技、酒店、保險、執法、法律服務、制造、非營利能源、零售、運輸和物流等領域的52個組織，橫跨阿根廷、澳大利亞、奧地利、比利時、巴西、德國、意大利、馬來西亞、墨西哥、羅馬尼亞、瑞士、英國和美國的行業。

新的勒索軟件變體的出現表明，網絡犯罪分子正在加倍進行勒索軟件攻擊，突顯出這種犯罪活動利潤極其豐厚。

研究人員表示，“隨著REvil和DarkSide等主要勒索軟件組織低調行事或重新命名，以逃避執法熱度和媒體關注，新的組織將會出現，以取代不再積極攻擊受害者的團體。雖然LockBit和HelloKitty之前一直很活躍，但它們最近的演變使它們成為一個很好的例子，說明舊的團體如何重新出現并保持持續的威脅?！?/span>

參考來源：TheHackerNews http://33h.co/w3744

 

（六）新西蘭環境保護部遭受勒索軟件攻擊

新西蘭環境保護部(DOC)企業服務部副總干事Rachel Bruce表示，DOC將與11名個人信息可能在勒索軟件攻擊中遭到泄露的人取得聯系。

7月21日，在奧拉基/庫克山的搜救基地發生了一次孤立的勒索軟件攻擊。搜索和救援(SAR)基地是一個獨立的網絡，與DOC網絡沒有連接。由于惡意軟件，工作人員無法訪問已加密的共享文件。在信息被加密之前，攻擊者可能已經訪問并下載了與SAR基地DOC工作人員以及通過DOC行動獲得協助的個人有關的信息。

Rachel Bruce表示，“一旦我們意識到攻擊事件，我們立即采取了行動。獨立網絡上的所有5臺設備都被立即隔離，并發送給第三方取證分析專家，以確定哪些數據已被泄露?！?/span>

搜救基地的業務連續性計劃已經啟動，搜救小組能夠在沒有這些設備的情況下保持經營。在事件發生后的四個工作日內，該團隊收到了更換設備。包括隱私專員辦公室在內的相關政府機構已收到通知，并會不斷更新。DoC遵循這些機構的建議和指導。

Rachel Bruce表示，“我們正在等待取證分析和文件審查的結果，以確定隱私影響。我們正在與新西蘭警察和救援協調中心的隱私專員辦公室、首席信息安全官和隱私官合作。我們已經確定了92項操作中的11項，其中包含在違規中的信息可能包括有關個人的敏感信息，因此根據《2020年隱私法》將需要通知。其中一些人是游客，可能居住在海外?！?/span>

Rachel Bruce表示，“我們目前正在聯系這些人，并告知他們的個人信息可能已被泄露。我們將為任何需要它的人提供適當的支持。我們已經隔離了SAR網絡。DOC網絡或IT系統的其他部分沒有受到影響。我們繼續進行改進，包括確保員工充分了解網絡攻擊的持續風險?！?/span>

參考來源：新西蘭環保部http://33h.co/w3sn2

 

（七）日本加密貨幣交易所Liquid遭受黑客攻擊

最近幾個月，越來越多的加密交易平臺成為黑客的目標。據報道，最近的一次攻擊導致日本加密貨幣交易所Liquid價值9700萬美元的數字資產被盜。

Liquid沒有提供損失估計數額，因為該數字有待日本金融廳的分析。盡管如此，這次攻擊影響了許多用戶，因為Liquid是世界上每日交易量最大的20家加密交易所之一，CoinMarketCap估計每天交易額超過1.33億美元。

另一方面，區塊鏈分析公司Elliptic稱，黑客獲得了超過9700萬美元的加密貨幣，其中4500萬美元轉向了以太坊，如Uniswap和SushiSwap。進一步調查顯示，攻擊者能夠訪問Liquid的個人信息數據庫，其中包含家庭地址、電子郵件地址、姓名和加密密碼等細節。

最近的Liquid黑客攻擊是一周多來加密貨幣交易平臺遭受的第二大攻擊。8月10日，Poly Network的數字資產損失近6億美元。盡管由于突發事件，事情似乎很快就會解決，但仍有超過2億美元被鎖定在需要黑客密碼的帳戶中。

Liquid表示，“在這個困難時期，我們非常感謝我們的客戶、其他交易所、安全專家和更廣泛的加密社區的支持。Liquid將繼續盡其所能減輕此次事故的影響，并盡快恢復全部服務?！彪m然此次攻擊無人認領，但目前所知的是，它的一些錢包已被入侵，并轉移到四個支持多種硬幣的獨立錢包中。

參考來源：Softpedia http://33h.co/wpbnb

 

（八）美國最大移動電話服務提供商AT&T泄露7000萬用戶信息

一個名為ShinyHunters的黑客聲稱可以進入AT&T的數據庫，該數據庫包含7000多萬客戶的個人和敏感記錄。AT&T公司是美國最大的移動電話服務提供商，也是世界上最大的電信公司。

在黑客論壇和市場Raid論壇上發布的一篇文章中，ShinyHunters提供了這個數據庫，起價為20萬美元。ShinyHunters在論壇上分享的樣本記錄顯示，這些記錄涉及的客戶詳細信息包括：姓名、地址、郵政編碼、出生日期、電子郵件地址、社會安全號碼(SSN)。

盡管AT&T尚未對此次數據泄露事件發表評論，但如果這些數據是合法的，對公司和客戶來說都將是一場災難。該數據庫可能被政府支持的黑客組織、間諜機構、勒索軟件團伙或騙子收買，而客戶可能最終成為易受攻擊的對象。截至2019年，AT&T在美國擁有約7700萬后付費用戶和1800萬預付費用戶。

就在幾天前，一名黑客在同一個論壇上出售T-Mobile客戶的記錄。T-Mobile也證實了這一數據泄露事件，但到目前為止，還未能確定T-Mobile和AT&T之間的任何關聯。

參考來源：HackRead http://33h.co/wpb9r

 

（九）微軟開發平臺因配置不當泄露3800萬條記錄

一千多個網絡應用程序在開放的互聯網上錯誤地暴露了3800多萬條記錄，包括來自多個新冠疫情接觸者追蹤平臺、疫苗接種登記、求職門戶網站和員工數據庫的數據。這些數據包括一系列敏感信息，從人們的電話號碼和家庭地址到社保號碼和新冠肺炎接種狀況。

該事件影響了美國航空公司、福特、運輸和物流公司J.B.亨特、馬里蘭州衛生部、紐約市市政交通局和紐約市公立學校等大公司和組織。雖然數據暴露問題已經得到解決，但此事件表明，在一個流行平臺中，一個糟糕的配置設置會產生深遠的影響。

泄露的數據都存儲在微軟的Power Apps門戶服務中，這是一個開發平臺，可以方便地創建供外部使用的網絡或移動應用。如果你需要在流感大流行期間快速啟動疫苗預約注冊網站，Power Apps門戶網站可以同時生成面向公眾的網站和數據管理后端。

從5月份開始，安全公司Upguard的研究人員開始調查大量Power Apps門戶網站，這些門戶網站公開了一些本應屬于隱私的數據，包括微軟為自己的目的而開發的一些Power Apps。目前還沒有任何數據被泄露，但這一發現仍然具有重要意義，因為它揭示了Power Apps門戶網站設計中的一個漏洞，該漏洞后來已被修復。

除了管理內部數據庫和提供開發應用程序的基礎外，Power Apps平臺還提供現成的應用程序編程接口來與這些數據交互。但UpGuard的研究人員意識到，當啟用這些API時，平臺默認將相應的數據公開。啟用隱私設置是一個手動過程。結果，許多客戶錯誤配置了他們的應用程序，留下了不安全的默認設置。

研究人員偶然發現的信息類型多種多樣。J.B.Hunt曝光的是包括社保號碼在內的求職者數據。微軟自己也在自己的Power Apps門戶網站上公開了一些數據庫，包括一個名為“全球薪資服務”的舊平臺、兩個“業務工具支持”門戶網站和一個“客戶洞察”門戶網站。

這些信息在很多方面都是有限的。例如，印第安納州有Power Apps門戶網站曝光的事實，并不意味著該州持有的所有數據都被曝光。只涉及該州Power Apps門戶網站中使用的接觸者追蹤數據的一部分。

多年來，基于云的數據庫的錯誤配置一直是一個嚴重的問題，使大量數據暴露在不適當的訪問或被盜的風險之下。亞馬遜網絡服務(Amazon Web Services)、谷歌云平臺(Google Cloud Platform)和微軟Azure等大型云公司都從一開始就采取措施，默認存儲客戶的數據，并標記潛在的錯誤配置，但直到最近，該行業才優先考慮這一問題。

在研究了多年的云錯誤配置和數據暴露之后，Upguard的研究人員發現，這些問題出現在一個他們從未見過的平臺上。Upguard試圖調查暴露和通知盡可能多的受影響的組織。不過，研究人員無法接觸到每一個實體，因為實體太多了，所以他們也向微軟披露了研究結果。8月初，微軟宣布Power Apps門戶將默認存儲API數據和其他信息。該公司還發布了一個工具，客戶可以用來檢查他們的門戶設置。

雖然陷入這種情況的各個組織理論上可能自己發現了問題，但UpGuard的Pollock強調，云提供商有責任提供安全和私有的默認設置。否則，許多用戶不可避免地會無意中暴露數據。

參考來源：Wired http://33h.co/wp2v6

 

（十）黑客可通過輸液泵漏洞控制藥物劑量

從心臟起搏器和胰島素泵到乳房X光機、超聲波和監視器，一系列醫療設備被發現存在令人擔憂的安全漏洞。最新加入陣容的是一種廣受歡迎的輸液泵和基座，即B.Braun Infusomat Space大容量泵和B.Braun SpaceStation，老練的黑客可以操縱它們，為受害者提供雙倍劑量的藥物。

輸液泵將藥物和營養自動輸送到病人體內，通常是從一袋靜脈輸液中輸送。它們尤其適用于提供非常小劑量的藥物。但這意味著當問題出現時，會有很高的風險。例如，在2005年至2009年間，FDA收到了大約56000份與輸液泵有關的“不良事件”報告，“包括大量的受傷和死亡”，隨后該機構在2010年對輸液泵的安全性進行了打擊。因此，像B. Braun Infusomat Space大容量泵這樣的產品在軟件層面上被高度鎖定；不可能直接向設備發送命令。但安全公司McAfee Enterprise的研究人員最終找到了繞過這一障礙的方法。

McAfee的研究人員發現，可以訪問醫療機構網絡的攻擊者能夠利用一個常見的連接漏洞控制SpaceStations。從那里，他們可以依次利用其他四個漏洞來發送藥物倍增指令。全面攻擊在實踐中并不容易實施，需要在醫療機構的網絡中找到第一個立足點。

成功利用這些漏洞可能會讓老練的攻擊者危害Space或Compact actplus通信設備的安全，允許攻擊者提升權限、查看敏感信息、上傳任意文件，并執行遠程代碼執行。黑客還可能會改變連接的輸液泵的配置，以及輸液率。

B.Braun在通知中表示，使用10月份發布的最新版本的軟件是確保設備安全的最佳方式。同時還建議客戶實施其他網絡安全緩解措施，如分段和多因素身份驗證。這些漏洞“與使用B. Braun軟件老版本的少數設備有關”，該公司還沒有發現漏洞被利用的證據。

不過，McAfee的研究人員指出，大多數漏洞實際上還沒有在現有產品中得到修補。B. Braun只是簡單地刪除了新版SpaceStations中易受攻擊的聯網功能。

一旦黑客利用第一個網絡漏洞獲得了對SpaceStations的控制，黑客就會將四個漏洞結合在一起，這四個漏洞都與SpaceStations和水泵之間缺乏訪問控制有關。研究人員發現了特定的命令和條件，在這些命令和條件下，泵不能充分驗證數據的完整性，也不能驗證空間站發送的命令。他們還發現，由于缺乏上傳限制，他們可以用惡意文件感染設備備份，然后從備份中進行恢復，從而將惡意軟件放入泵中。他們注意到，這些設備在沒有加密的情況下以明文來回發送一些數據，使其暴露在被截獲或操縱之下。

去年年底，德國政府研究人員同時發現了這個不受限制的上傳漏洞。FDA在一份聲明中表示，它還沒有被告知這些漏洞。

這四個問題可以結合起來創建一個攻擊場景，研究人員表示，這對攻擊者來說是現實可行的。這個過程中最困難和耗時的部分是對SpaceStations和泵進行反向工程，以了解它們的工作方式，并找到漏洞。關于這種設備的文獻和過去的研究很少，因此惡意黑客需要老練的逆向工程師來開發這樣的攻擊。因此，作為預防措施，McAfee的研究人員隱瞞了一些研究結果的細節。

考慮到對患者健康和安全的潛在影響，無論當前的攻擊趨勢如何，尋求更安全的醫療設備是當務之急。

參考來源：Wired http://33h.co/wpwaz

 

（十一）美國CISA建議立即修補微軟Exchange ProxyShell漏洞

美國CISA于8月21日發布緊急警報，督促管理員盡快修復本地Microsoft Exchange服務器的ProxyShell漏洞。ProxyShell是三個漏洞的統稱，未經身份驗證的遠程攻擊者可通過鏈接這些漏洞在Microsoft Exchange服務器上執行代碼。

ProxyShell攻擊中使用的三個漏洞是：

1、CVE-2021-34473預身份驗證路徑混淆導致ACL繞過漏洞；

2、CVE-2021-34523 Exchange PowerShell后端的特權提升漏洞；

3、CVE-2021-31207授權后任意文件寫入導致RCE漏洞。

這些漏洞是通過在IIS中的端口443上運行的Microsoft Exchange的客戶端訪問服務(CAS)遠程利用的。

這些漏洞是由Devcore的安全研究員Tsai orange發現的，在2021年4月的Pwn2Own黑客大賽中，這些問題獲得了200,000美元獎金。Orange Tsai在Black Hat會議上發表了演講并分享了有關Microsoft Exchange漏洞的詳細信息。

ProxyShell攻擊鏈針對Microsoft Exchange中的多個組件，包括客戶端應用程序使用的自動發現服務(Autodiscover service)，該服務以最小的用戶輸入來配置自己。

CISA發布的警報中表示，“惡意網絡參與者正在積極利用以下ProxyShell漏洞：CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。利用這些漏洞的攻擊者可以在易受攻擊的機器上執行任意代碼。CISA強烈敦促各組織在其網絡上識別易受攻擊的系統，并立即應用微軟從2021年5月開始的安全更新，該更新修復了所有三個ProxyShell漏洞，以防范這些攻擊?！?/span>

網絡安全專家Kevin Beaumont是最早發現試圖針對Microsoft Exchange安裝的威脅行為者的研究人員之一。在研究人員在Black Hat黑客大會上公布技術細節后，威脅分子開始積極掃描Microsoft Exchange ProxyShell遠程代碼執行漏洞。

攻擊者首先會破壞Microsoft Exchange服務器，然后利用這些漏洞來卸載web shell，這些web shell可以用來安裝和執行其他惡意負載。在利用Exchange服務器后，威脅行為者丟棄了可用于上傳其他程序并執行它們的web shell。

最近，一個名為LockFile的勒索軟件組織被發現利用最近披露的ProxyShell漏洞攻擊Microsoft Exchange服務器。

賽門鐵克的安全專家報告表示，Lockfile組織首先侵入Microsoft Exchange服務器，然后利用PetitPotam漏洞接管域控制器。網絡安全公司亨特萊斯實驗室的研究人員發現，截至上周，攻擊者在1900多臺遭到攻擊的微軟Exchange服務器上部署了140多個web shell。

參考來源：SecurityAffairs http://33h.co/wp2yw

 

（十二）FBI發布關于OnePercent Group威脅行為者的警告

美國聯邦調查局(FBI)分享了一個名為OnePercent Group的威脅行為者的信息，該組織至少自2020年11月以來一直積極針對美國組織進行勒索軟件攻擊。FBI在緊急警報中分享了妥協指標、戰術、技術和程序(TTP)以及緩解措施。

FBI表示，“FBI了解到一個自稱為‘OnePercent Group’的網絡犯罪集團，自2020年11月以來一直利用Cobalt Strike對美國公司實施勒索軟件攻擊?！?/span>

威脅行為者使用惡意釣魚電子郵件附件，在目標系統上投放IcedID banking特洛伊木馬有效負載。在感染特洛伊木馬后，攻擊者下載并安裝Cobalt Strike在被攻擊的端點上，以便在受害者的網絡中橫向移動。

在維持對受害者網絡的訪問長達一個月，并在部署勒索軟件有效加載前過濾文件后，OnePercent將使用隨機的8個字符擴展名(如dZCqciA)加密文件，并添加唯一命名的勒索信息鏈接到該團伙的.onion網站上。

受害者可以通過Tor網站獲得更多贖金要求信息，與攻擊者談判，并獲得“技術支持”。在大多數情況下，受害者將被要求用比特幣支付贖金，并在支付后48小時內提供解密密鑰。

根據聯邦調查局的說法，勒索軟件分支機構還將使用偽造的電話號碼聯系受害者，威脅說除非他們與公司談判人員有聯系，否則將泄露被盜數據。

OnePercent Group運營商使用的應用程序和服務包括AWS S3云、IcedID、Cobalt Strike、PowerShell、Rclone、MimiKatz、SharpKatz、BetterSafetyKatz、SharpSploit。

FBI的警告沒有提供OnePercent Group過去攻擊或使用的加密器的詳細信息，因此很難將他們定性為特定勒索軟件即服務的附屬機構。然而，該機構確定OnePercent Group與臭名昭著的Revil(Sodinokibi)勒索軟件團伙有關，他們曾利用該團伙的數據泄露網站泄露并拍賣受害者被盜的文件。

如果在‘one percent leak’事件后，贖金還沒有全部支付，攻擊者威脅會將竊取的數據賣給Sodinokibi組織，然后在拍賣會上公布。攻擊者很可能是Revil的的cartel聯盟中的合作伙伴，這意味著他們自己實施攻擊和贖金，只有在他們無法自己產生報酬的情況下才與Revil合作。

FBI的IOC名單中提到的命令和控制服務器(golddiso[.]top和jue85[.]cyou)也指向了因使用ICEDID部署Maze和Egregor勒索軟件而聞名的UNC2198威脅制造者。

Cymru團隊在2021年5月發布的關于映射Active IcedID網絡基礎設施的報告中也提到了相同的IOC。

參考來源：BleepingComputer http://33h.co/wpwxb

 

（十三）諾基亞子公司遭受Conti勒索軟件攻擊發生數據泄露

總部位于美國的諾基亞子公司SAC Wireless披露了在勒索軟件攻擊后發生的數據泄露事件，Conti運營商能夠成功破壞其網絡、竊取數據和加密系統。

這家全資獨立運營的諾基亞公司總部位于伊利諾伊州芝加哥，與美國各地的電信運營商、主要信號塔所有者和原始設備制造商(OEM)合作。SAC Wireless幫助客戶設計、構建和升級蜂窩網絡，包括5G、4G LTE、小基站和FirstNet。

該公司發現其網絡在6月16日被Conti勒索軟件運營商入侵，這是在部署了他們的有效載荷并加密了SAC無線系統之后。諾基亞子公司發現，屬于現任和前任員工(以及他們的醫療計劃家屬)的個人信息。

Conti獲得了SAC系統的權限，將文件上傳至其云存儲，然后在6月16日部署勒索軟件，對SAC系統中的文件進行加密。

在完成取證調查后，該公司認為被盜文件包含以下類別的個人信息:姓名、出生日期、聯系信息(如家庭地址、電子郵件和電話)、政府身份證號碼(如駕照、護照或軍官證)、社會保險號、公民身份、工作信息(如頭銜、薪水和評估)、病史、健康保險單信息、車牌號、數字簽名、結婚或出生證明、納稅申報單信息以及家屬/受益人姓名。

為了應對勒索軟件攻擊，SAC采取了多項措施來防止未來的入侵，包括：改變了防火墻規則\斷開連接的VPN連接\激活條件訪問地理位置政策，以限制非美國訪問、提供額外的員工培訓、部署了額外的網絡和端點監控工具、擴展的多因素身份驗證、部署了其他威脅搜索、端點檢測和響應工具。

雖然該公司拒絕承認勒索軟件攻擊，也沒有提供更多關于損失程度的信息，但Conti勒索軟件團伙在他們的泄密網站上透露，他們竊取了超過250 GB的數據。根據最近的更新，如果諾基亞子公司不支付贖金，該勒索軟件集團將很快在網上泄露所有被盜文件。

Conti勒索軟件是一個私人的勒索軟件即服務(RaaS)操作，很可能是由一個名為“Wizard Spider”的俄羅斯網絡犯罪集團控制的。Conti與臭名昭著的Ryuk勒索軟件共享了一些代碼，在Ryuk在2020年7月左右減少活動后，他們開始使用Ryuk勒索軟件的tricbot分銷渠道。

該團伙最近入侵了愛爾蘭衛生服務管理局(HSE)和衛生部(DoH)，要求前者支付2000萬美元的贖金，并對其系統進行了加密。美國聯邦調查局(FBI)今年5月還警告稱，Conti的運營商曾試圖侵入十幾家美國醫療保健和應急組織的網絡。

參考來源：BleepingComputer http://33h.co/wpwwx

 

（十四）朝鮮APT組織InkySquid利用IE漏洞攻擊韓國組織

網絡安全公司Volexity于8月17日發布研究文章稱，朝鮮APT組織InkySquid在針對韓國在線報紙網站Daily NK的攻擊中使用了兩個IE漏洞，并傳播新型自定義惡意軟件Bluelight。

Volexity分析報告表示，其研究團隊人員注意到，從4月開始，韓國Daily NK網站上加載了可疑代碼，Daily NK一個專注于朝鮮的新聞媒體。盡管這些鏈接指向的是真實文件，但惡意代碼會在短時間內被插入，因此很難被檢測到。研究人員懷疑攻擊是在3月到6月之間進行的。

Volexity研究報告表示，“當被要求使用正確的IE用戶代理時，該主機將提供額外的混淆JavaScript代碼。與最初的重定向一樣，攻擊者選擇將他們的惡意代碼隱藏在合法代碼中。在這種情況下，攻擊者將bPopUp JavaScript庫與他們自己的代碼一起使用?！?/span>

攻擊者修改了網站使用的合法文件的內容，并包含重定向用戶以從攻擊者擁有的域jquery[.]服務加載惡意JavaScript的代碼。攻擊者僅在短時間內包含惡意代碼，從而難以檢測攻擊。CVE-2020-1380是腳本引擎內存損壞漏洞，CVE-2021-26411是Internet Explorer內存損壞漏洞，這兩個漏洞都已被威脅行為者在野外積極利用。

研究人員補充表示，由于代碼在很大程度上是合法的，它可能會逃避手動和自動檢測。攻擊者圍繞真實內容偽裝的代碼與IE漏洞CVE-2020-1380一致。

據Volexity稱，InkySquid組織（又名APT37、Reaper或ScarCruft）的另一次類似攻擊利用CVE-2021-26411攻擊Internet Explorer以及Microsoft Edge的舊版本。

研究人員解釋解釋表示，“與CVE-2020-1380示例一樣，攻擊者利用存儲在SVG標簽中的編碼內容來存儲密鑰字符串及其初始負載。最初的命令和控制(C2)URL與在CVE-2020-1380案例中觀察到的相同?！?/span>

該組織還開發了一個新的惡意軟件家族Bluelight，之所以使用這個名字，是因為惡意軟件的程序數據庫(PDB)代碼中使用了bluelight一詞。報告稱，Cobalt Strike被用來發起所有這三起攻擊。Bluelight似乎是作為輔助有效載荷提供的。

Bluelight惡意軟件家族使用不同的云提供商來促進C2。這個特定示例利用Microsoft Graph API進行C2操作。啟動時，Bluelight使用硬編碼參數執行OAuth2令牌身份驗證。身份驗證后，惡意軟件會在OneDrive子目錄中創建一個文件夾，該文件夾由C2服務器控制。Volexity表示，名稱聽起來無害，如logo、normal、background、theme、round等。然后它開始泄露數據，包括用戶名、IP地址、在機器上運行的VM工具、操作系統版本等，格式為JSON。

主要的C2循環在最初上傳偵察數據后開始，每大約30秒迭代一次。在前五分鐘，每次迭代都會捕獲顯示的屏幕截圖并將其上傳到普通子目錄，并以編碼時間戳作為文件名。前五分鐘后，屏幕截圖每五分鐘上傳一次。

雖然利用已知的IE漏洞不會對大量目標起作用，但由于使用合法代碼作為掩護，一旦系統被感染，檢測就很困難?！半m然戰略網絡入侵(SWC)不像以前那樣流行，但仍然是許多攻擊者武器庫中的武器?！?/span>

參考來源：ThreatPost http://33h.co/w35qb

 

（十五）荷蘭教育機構ROC Mondriaan遭受重大網絡攻擊

荷蘭海牙教育機構ROC Mondriaan遭受了黑客攻擊，所有計算機都已停機，員工和學生無法訪問文件。學校正在盡力盡快重新啟動并運行該系統。

MBO學校已對網絡攻擊進行了取證調查，以了解規模并確保蹤跡安全。專家們也在研究如何讓計算機系統以負責任的方式安全、快速地重新啟動和運行。與此同時，員工和學生將無法訪問系統，也無法訪問他們的數據。該教育機構還向荷蘭數據保護局報告了該事件，個人數據或其他敏感數據可能已被攻擊者訪問或獲取。

學校發言人沒有證實是否存在勒索軟件攻擊。如果文件被加密，員工經常無法登錄系統，文件也無法查看或編輯，攻擊者經常威脅要公開竊取的數據。阻止這種情況并重新獲得對文件的訪問權限的唯一方法是支付贖金。一旦錢進入犯罪者的賬戶，他們就會交出解密器或解密密鑰。

ROC Mondriaan董事會成員Harry de Bruijn表示，“我們現在更愿意告訴你更多，但接下來的幾個小時和幾天必須首先澄清調查。希望能夠在下周重新開始教育，屆時中部地區的學校將重新開放。這可以適當的形式完成，因為不確定系統和應用程序是否會再次工作?？紤]到這種情況，我們現在正在盡最大努力為學年開始做準備?！?/span>

參考來源：ROC Mondriaan http://33h.co/w37wv

 

（如未標注，均為天地和興工業網絡安全研究院編譯）