目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）中國互聯網絡信息中心（CNNIC）發布第48次《中國互聯網絡發展狀況統計報告》

（二）臺達電子工業能源管理系統存在多個漏洞可造成嚴重后果

（三）臺灣NAS廠商QNAP備受到OpenSSL漏洞影響

（四）臺灣NAS廠商Synology產品存在多個OpenSSL漏洞

（五）香港Annke視頻監控產品存在嚴重RCE漏洞

 

第二章 國外關鍵信息基礎設施安全動態

（一）美國石油協會發布新版管道網絡安全標準

（二）F5的BIG-IP中存在高危漏洞可導致系統完全接管

（三）BrakTooth藍牙漏洞影響數十億設備

（四）微軟Azure Cosmos數據庫存在嚴重漏洞

（五）黑客組織Marketo在暗網出售日本富士通數據

（六）德國運動品牌彪馬1GB數據被黑客組織Marketo竊取在暗網出售

（七）波士頓公共圖書館遭受網絡攻擊導致系統中斷

（八）Ragnarok勒索軟件關閉并發布免費解密程序

（九）美國CISA將單因素身份驗證添加到不良做法列表中

（十）美國FBI發布針對Hive勒索軟件的警報

（十一）Phorpiex僵尸網絡關閉，源代碼在暗網出售

（十二）黑客可以遠程禁用Fortress S03 Wi-Fi家庭安全系統

（十三）惡意行為者利用Konni RAT新變體攻擊俄羅斯組織

（十四）瑞士羅爾鎮遭受Vice Society勒索軟件攻擊，個人數據在暗網泄露

（十五）美國司法部宣布設立網絡獎學金計劃

 

 

第一章 國內關鍵信息基礎設施安全動態

（一）中國互聯網絡信息中心（CNNIC）發布第48次《中國互聯網絡發展狀況統計報告》

8月27日，中國互聯網絡信息中心（CNNIC）在京發布第48次《中國互聯網絡發展狀況統計報告》（以下簡稱《報告》）?！秷蟾妗凤@示，截至2021年6月，中國網民規模達10.11億，較2020年12月增長2175萬，互聯網普及率達71.6%。10億多用戶接入互聯網，成為全球最為龐大、生機勃勃的數字社會。

超過10億的網民規模為推動中國經濟高質量發展提供強大內生動力?；ヂ摼W基礎資源加速建設，截至2021年6月，中國IPv6地址數量達62023塊/32；互聯網及科技企業不斷向小城市及鄉村下沉，推動消費流通、生活服務、文娛內容、醫療教育等領域的數字應用基礎服務愈加豐富；政務服務水平不斷提升，全國一體化政務服務平臺在疫情期間推出返崗就業、在線招聘、網上辦稅等高頻辦事服務700余項，加大政務信息化建設統籌力度，不斷增進人民福祉。

農村互聯網普及率不斷提升且實現與城市“同網同速”。截至2021年6月，中國農村網民規模為2.97億，農村地區互聯網普及率為59.2%。較2020年12月，城鄉互聯網普及率差異縮小4.8%，今年底，有望實現未通寬帶建制村動態“清零”。

特殊群體無障礙服務進一步完善。截至2021年6月，中國50歲及以上網民占比為28.0%，較2020年6月增長5.2個百分點。2020年以來，相關部門大力推動互聯網應用適老化水平及特殊群體的無障礙普及。115家網站、43個應用進行適老化改造，著力解決老年人、障礙人士上網遇到的困難。健康碼適老化相關功能已覆蓋全國至少3000萬老年群體，科技和互聯網企業在地圖、新聞等應用中，開通針對障礙人士的便捷功能，推動科技創新成果惠及全民。

中國在線辦公市場日益活躍，在線醫療用戶規?？焖僭鲩L。截至2021年6月，中國在線辦公用戶規模達3.81億，較2020年12月增長3506萬，以在線辦公為代表的靈活工作模式將持續創新發展，在線會議、文檔編輯等在線辦公服務的響應速度、存儲能力、功能適用性等服務性能將不斷提升。截至2021年6月，中國在線醫療用戶規模達2.39億，較2020年12月增長2453萬，占網民總數的23.7%。

本文版權歸原作者所有，參考來源：人民網 http://adkx.net/w5cw1 

 

（二）臺達電子工業能源管理系統存在多個漏洞可造成嚴重后果

研究人員發現，臺達電子(Delta)制造的工業能源管理系統DIAEnergie受到八個漏洞的影響，利用這些漏洞可能會在現實世界環境中產生嚴重后果。

美國CISA及發現這些漏洞的研究人員Michael Heinzl于8月26日披露了這些漏洞的存在。Heinzl表示，上周披露的八個DIAEnergie漏洞只是向臺達電子報告的一部分問題，其余的漏洞將在稍后披露。

安全漏洞已于4月通過CISA報告給臺達電子，但一直尚未修補。CISA表示補丁預計將于9月15日發布。與此同時，已建議使用受影響產品的組織實施緩解措施以降低被利用的風險。

其中有四個嚴重SQL注入漏洞，遠程未經驗證的攻擊者可以利用這些漏洞來執行任意代碼。另一個嚴重漏洞可被利用來添加新管理員用戶，并獲得設備訪問權限。另外一個漏洞可用于不受限制的文件上載和可能的遠程代碼執行的漏洞。還有兩個中危漏洞可被利用來獲取明文密碼并發起跨站點請求偽造(CSRF)攻擊。

研究人員表示，受影響的服務會暴露在網絡中，這意味著這些漏洞可以被遠程利用。在某些情況下，也可能從互聯網進行攻擊，這取決于用戶的網絡和基礎設施是如何配置的。

Heinzl表示，“有多種方法可以將漏洞鏈接在一起。惡意行為者有多種途徑可以完全破壞DIAEnergie應用程序本身以及部署該應用程序的底層系統。例如SQL注入，這將允許攻擊者執行系統命令或從數據庫中檢索憑據（存儲為MD5哈希值，因此很容易破解），這是一個任意文件上傳漏洞，它也允許執行系統命令等。由于另一個與身份驗證和授權相關的問題，有可能在沒有任何事先身份驗證的情況下利用所有這些和類似的特權操作。”

DIAEnergie是一個工業能源管理系統(IEMS)，旨在幫助公司可視化和改進電力系統，特別是高消耗設備。該產品可用于遠程維護，并可與各種工業控制系統(IC)和數據接收器集成，包括電能表、可編程邏輯控制器(PLC)和其他Modbus設備。

CISA表示，該產品在全球范圍內都在使用。供應商提供的營銷材料顯示，該產品被各種類型的組織使用，包括半導體工廠、軸承制造商和鞋類公司。

Heinzl表示，“惡意行為者的行為可能會給受影響的客戶帶來可怕的后果，如偽造監控數據、抑制警報、使用系統作為網絡基礎設施中進一步轉向的初始立足點、或者簡單地‘勒索’部署，這在過去五年左右非常普遍。”

參考來源：SecurityWeek http://33h.co/w5f3h 

 

（三）臺灣NAS廠商QNAP備受到OpenSSL漏洞影響

臺灣NAS制造商威聯通(QNAP)8月30日發布了兩條關于OpenSSL遠程代碼執行(RCE)和拒絕服務(DoS)漏洞的安全公告，這些漏洞已于上周修復，影響了其網絡附加存儲(NAS)設備。

CVE-2021-3711是與SM2解密相關的高度嚴重緩沖區溢出，CVE-2021-3712是一個中危漏洞，可用于DoS攻擊，也可能用于泄露私有內存內容。這些OpenSSL漏洞正在被廣泛傳播。

這是因為OpenSSL主要由網絡軟件使用，包括互聯網服務器和大多數HTTPS網站廣泛使用。這些軟件使用TLS協議（傳輸層安全性），以前稱為SSL（安全套接字層），以保護傳輸中的數據。

TLS已經取代了SSL，后者包含Sophos的Paul Ducklin所說的“大量”加密漏洞。但是，許多流行的開源程序庫(包括OpenSSL、LibreSSL和BoringSSL)都支持它，Ducklin在最近一次深入OpenSSL漏洞的研究中評論道，“為了熟悉起見，保留了老式的產品名稱。”

QNAP加入了一系列依賴OpenSSL的產品的組織，這些組織要么正在調查這些漏洞，要么已經發布了安全建議，包括Red Hat(未受影響)、Ubuntu、SUSE、Debian和Alpine Linux等Linux發行版。QNAP表示，他們正在徹底調查此事，并計劃盡快發布安全更新和更多信息。

NAS設備制造商Synology也是如此，該公司告訴客戶，OpenSSL漏洞影響了Synology DiskStation Manager(DSM)、Synology Router Manager(SRM)、VPN Plus Server和VPN Server產品。Synology將這些漏洞劃分為“重要”和“中等”級別，并表示正在開發補丁。

另一家存儲解決方案提供商NetApp現在也正試圖弄清楚它的哪些產品可能受到影響。到目前為止，已確認Clustered Data ONTAP、E系列SANtricity OS controller軟件、NetApp Manageability SDK、NetApp SANtricity SMI-S Provider和NetApp存儲加密軟件都受到了影響，該公司正在調查其更多的產品。Cisco和Broadcom還將發布公告，說明最新的OpenSSL漏洞將如何影響其產品。

事實證明，OpenSSL漏洞會影響QNAP NAS設備，這些設備運行HBS 3混合備份同步數據備份和災難恢復工具、QTS GUI、QuTS hero操作系統以及QNAP Cloud NAS虛擬設備的操作系統QuTScloud。

根據Sophos的Ducklin表示，這些漏洞可能允許攻擊者欺騙應用程序認為某些事情成功（或失?。?，而實際上沒有成功，甚至完全接管程序執行流程。

QNAP表示，如果成功利用這些漏洞，遠程攻擊者可以使用運行該應用程序的用戶的權限執行任意代碼，從而使CVE-2021-3711具有很高的嚴重性等級。CVE-2021-3712允許遠程攻擊者泄露內存數據或執行DoS攻擊，使其成為中危漏洞。

CVE-2021-3711是一個基于堆的緩沖區溢出。這些錯誤通常會導致崩潰，但也可能導致缺乏可用性，包括使程序進入無限循環。這些漏洞還允許攻擊者執行RCE、旁路保護或修改內存。

OpenSSL中的CVE-2021-3711漏洞允許能夠呈現SM2內容的攻擊者發送溢出緩沖區最多62字節的數據，更改緩沖區后保存的其他數據的內容，可能會改變應用程序的行為或導致應用程序崩潰。SM2是一種基于橢圓曲線的公鑰加密算法，用于生成和驗證用于解密的數字簽名。

正如Sophos的Ducklin在寫這個解密漏洞時解釋的那樣，OpenSSL包含了SM算法的實現，它使用SM2進行密鑰協議和數字簽名，使用SM3進行哈希，使用SM4進行塊加密。從好的方面看，Sophos研究人員認為騙子不會利用這個漏洞，因為官方TLS對ShangMi的支持是在2021年3月的RFC 8998中才引入的，所以它是世界密碼系統的新成員。

正如Ducklin所述，OpenSSL確實包含SM2、SM3和SM4的實現，它還沒有包含允許選擇這些算法作為TLS連接中使用的加密套件所需的代碼。

參考來源：ThreatPost http://33h.co/w5g5p 

 

（四）臺灣NAS廠商Synology產品存在多個OpenSSL漏洞

臺灣NAS制造商Synology于8月26日發布公告稱，其多款產品受到最近披露的遠程代碼執行(RCE)和拒絕服務(DoS)OpenSSL漏洞影響，受影響的設備包括Synology DiskStation Manager(DSM)、Synology Router Manager(SRM)、VPN Plus Server及VPN Server等。

受CVE-2021-3711及CVE-2021-3712漏洞影響的設備類型包括DSM 7.0、DSM 6.2、DSM UC、SkyNAS、VS960HD、SRM 1.2、VPN Plus Server和VPN Server。

第一個漏洞CVE-2021-3711是由SM2加密算法中基于堆的緩沖區溢出引起的，這通常會導致崩潰，但也可能被攻擊者濫用以執行任意代碼。

第二個漏洞CVE-2021-3712是在處理ASN.1字符串時讀取緩沖區溢出，可被利用在DoS攻擊中使易受攻擊的應用程序崩潰，或獲得對私有內存內容（如私鑰或其他敏感信息）的訪問權限。

盡管OpenSSL開發團隊已于8月4日發布了OpenSSL 1.1.1來解決這兩個漏洞，但Synology表示受影響產品的修復版本要么“正在進行”，要么“待定”。雖然Synology沒有提供更新的估計時間表，但該公司表示它通常會在發布建議后90天內修補受影響的軟件。

Synology還致力于針對多個DiskStation Manager(DSM)漏洞進行安全更新，這些漏洞沒有CVE編號，影響DSM 7.0、DSM 6.2、DSM UC、SkyNAS和VS960HD多款設備。

Synology在8月17日公開披露這些安全漏洞時表示，“多個漏洞允許遠程身份驗證用戶執行任意命令，或遠程攻擊者通過易受攻擊的DSM版本寫入任意文件。我們的團隊仍在積極調查這個潛在漏洞，當可以披露更多信息時，將分配CVE編號。”

Synology還補充說，攻擊者尚未在野外利用本月初在公告中披露的漏洞。兩周前，該公司警告客戶，StealthWorker僵尸網絡的目標是其網絡附加存儲(NAS)設備進行暴力攻擊，導致勒索軟件感染。

參考來源：BleepingComputer http://33h.co/w5dqg 

 

（五）香港Annke視頻監控產品存在嚴重RCE漏洞

Nozomi Networks研究人員8月26日發表文章稱，其發現香港Annke N48PBB網絡錄像機(NVR)的Web服務中存在嚴重遠程代碼執行(RCE)漏洞CVE-2021-32941，攻擊者可以利用該漏洞劫持設備。

NVR是一種物聯網設備，用于連接到本地以太網網絡，并捕獲、存儲、管理來自同一網絡中所有明確配置的IP攝像機的傳入視頻源。NVR通常配備大型硬盤驅動器或其他永久內存解決方案，以存儲數天的視頻內容。

利用該漏洞可能會導致設備本身以及存儲在其中的數據的機密性、完整性和可用性丟失。結果可能包括員工隱私的喪失、寶貴資產的機密性喪失或NVR隨意關閉。

實際上，這意味著攻擊者可以窺探或刪除鏡頭、更改運動檢測器警報配置、或完全停止錄制。因此，利用CVE-2021-32941的網絡攻擊可用于支持對Annke設備保護的場所進行物理搶劫。攻擊者可以直接利用漏洞本身來提升系統權限，并間接利用驅動下載攻擊。

該漏洞是基于堆棧的緩沖區溢出，設備的Web界面允許在設備上啟用SSH服務，從而提供對有限數量命令的訪問。研究人員對固件進行了逆向工程，以實現完全不受限制的SSH訪問。專家首先通過物理連接到設備的板載內存來提取設備的固件，然后對其進行修改以禁用所有SSH限制，并添加幾個調試工具。在該過程結束時，固件被重寫到設備的內存中。利用該漏洞需要身份驗證，但攻擊者可以使用跨站請求偽造（CSRF）攻擊。攻擊者可欺騙登錄用戶、操作員或管理員，在登錄NVR的管理界面時訪問特制的網頁。

Nozomi警告表示，“管理員、操作員或用戶在登錄到設備的Web界面的同時瀏覽特制的網頁，就足以在設備本身上執行外部惡意代碼。”

Annke迅速采取行動解決了這個問題，在Nozomi披露后僅11天就發布了新固件來修補這個問題。Annke是一家全球安全解決方案公司，其安全攝像頭和NVR可供企業和業主使用。Nozomi Networks敦促相關人員檢查設施是否使用了Annke N48PBB，如果有，立即應用補丁來保護您的監控系統。

對此美國CISA也發布了相關咨詢，利用該漏洞可能會導致基于堆棧的緩沖區溢出，從而允許未經身份驗證的遠程攻擊者訪問敏感信息并執行代碼。

參考來源：NozomiNetworks http://33h.co/w5eqn

 

 

第二章 國外關鍵信息基礎設施安全動態

 

（一）美國石油協會發布新版管道網絡安全標準

美國石油協會(API)本月發布了《管道網絡安全標準》第三版，該標準側重于管理與工業自動化和控制環境相關的網絡風險。

該標準1164《管道控制系統網絡安全》第三版自2017年以來一直在制定中，是基于70多個組織的投入。該標準基于NIST的網絡安全框架和北美電力可靠性公司關鍵基礎設施保護(NERC CIP)標準。

API是石油和天然氣行業最大的行業協會，根據API的說法，這一版本涵蓋所有的控制系統，而不像之前的版本只包括SCADA系統。

新標準描述了針對勒索軟件和其他威脅對管道資產進行加固的要求，包括對供應鏈中關鍵連接點(如終端、管道和煉油廠)的保護建議，風險評估指導、管道安全實施模型、以及工業自動化和控制安全程序框架。

API表示，新版本的售價為200美元，可以與其他標準搭配使用，比如側重于安全風險評估的標準780以及針對管道安全管理系統的推薦做法。

API全球工業服務高級副總裁Debra Phillips表示，“這一標準將通過加強對數字和操作控制系統的保障，提高安全性，防止整個管道供應鏈中斷，從而幫助保護國家的關鍵管道基礎設施。這個框架的不同之處在于它的自適應風險評估模型，該模型為運營商提供了適當程度的靈活性，使其能夠主動應對快速發展的網絡威脅矩陣。”

新版本的管道網絡安全標準是在針對Colonial Pipeline的網絡攻擊之后發布的。今年5月曝光的勒索軟件攻擊造成了重大破壞，促使《管道安全法》(Pipeline Security Act)重新出臺，運輸安全管理局(TSA)下令管道加強防御，國土安全部(DHS)要求管道運營商加強網絡安全，以及其他關注關鍵基礎設施安全的舉措。

網絡安全公司Trend Micro在評論新版API標準的博客文章中表示，“行業標準和最佳實踐對于確保關鍵基礎設施及其運營免受惡意威脅和其他漏洞的保護至關重要。隨著威脅行為體變得越來越復雜，政府機構和私營企業必須對其控制系統和網絡安全框架進行未來驗證，以最大限度地降低可能給他們帶來數百萬美元和破壞的網絡攻擊風險。”

參考來源：SecurityWeek http://33h.co/w519w

 

 

（二）F5的BIG-IP中存在高危漏洞可導致系統完全接管

企業網絡設備制造商F5在8月24日發布了8月份的安全更新，修復了多個設備中的近30個漏洞，其中13個為高危漏洞。其中最嚴重的漏洞CVE-2021-23031可導致敏感部門的用戶在“設備模式”下運行產品時整個系統完全接管，持有有效憑據的攻擊者可繞過設備模式限制。

CVE-2021-23031漏洞影響BIG-IP模塊高級WAF（Web應用程序防火墻）和應用程序安全管理器（ASM），特別是流量管理用戶界面（TMUI）。

F5表示，當該漏洞被利用時，“可以訪問配置實用程序的經過身份驗證的攻擊者可以執行任意系統命令、創建或刪除文件和/或禁用服務，這可能會導致系統完全受到損害。”

CVE-2021-23031是8.8分的高危漏洞，但對于使用“設備模式”的客戶，該漏洞為9.9分。設備模式增加了技術限制，旨在通過限制BIG-IP系統管理訪問以匹配典型網絡設備，而不是多用戶UNIX設備的管理訪問，來滿足特別敏感領域客戶的需求。

F5列出了許多包含受影響代碼但不易受到攻擊的產品，因為攻擊者無法利用默認、標準或推薦配置的代碼。F5指出，在將漏洞評分提升到9.9分的的設備模式中使用它的客戶數量有限。

F5表示，鑒于這種攻擊可以由經過身份驗證的合法用戶發起，因此“沒有可行的緩解措施”也允許用戶訪問配置實用程序。唯一的緩解方法是取消任何不“完全信任”的用戶的訪問權限。

無法立即安裝固定版本的客戶可以使用以下臨時緩解措施，將配置實用程序的訪問權限限制為僅受信任的網絡或設備，從而限制攻擊面：

1、通過自身IP地址阻止配置實用程序訪問；

2、通過管理界面阻止配置實用程序訪問。

網絡自動化提供商Gluware副總裁Michael Haugh表示，已知的漏洞很難快速響應或快速緩解。“事實上，網絡運營人員在槍口下保持網絡的高度可用、安全和交付業務應用程序所需的性能。需要操作系統升級或補丁的供應商漏洞可能非常耗費人力，并且可能具有破壞性。”

Haugh通過電子郵件觀察到，對于像F5這樣的負載均衡器，冗余“必須是設備的一部分”，流量“必須從活動設備重定向，使其停止服務以執行升級。請注意，不僅是一次，而且通常是多次。根據組織的不同，這個過程通常需要在數十甚至數百臺設備上重復。擁有預先檢查、暫存映像、正常執行升級和完成后檢查的自動化流程可以顯著提高NetOps響應和執行低風險升級的能力。”

除了CVE-2021-23031漏洞外，本月修復的其他12個高危漏洞評分在7.2至7.5之間。包括經過身份驗證的遠程命令執行(RCE)、跨站點腳本(XSS)和請求偽造、以及權限不足和拒絕服務(DOS)。其中六個影響所有模塊。五個影響高級WAF和ASM，一個影響DNS模塊。

CISA對此發布了安全公告，鼓勵用戶和管理員查看F5的安全公告，并盡快更新軟件或應用緩解措施。該公告表示，“對于F5設備，不要拖延是一個很好的建議，因為該公司的企業網絡可以在世界上一些最大的科技公司中找到，包括Facebook、微軟和甲骨文。它也出現在眾多財富500強公司的大廳中，其中包括一些世界上最大的金融機構和ISP。”

所有這些裝備也被攻擊者利用了，例如CVE 2020-5902是F5 Networks的BIG-IP高級交付控制器網絡設備中的一個關鍵漏洞，截至2020年7月，攻擊者利用該漏洞來抓取憑據、啟動惡意軟件等。

應用安全提供商nVisium的應用安全顧問Jonathan Chua表示，由于產品的易受攻擊性和外部性質，F5 Big IP已成為安全研究人員和攻擊者的目標。“幾個F5應用程序服務可以在外部托管，允許任何互聯網用戶嘗試連接到該服務。由于易于訪問且與F5應用程序相關的已知漏洞數量眾多，該服務成為攻擊者通過外部邊界闖入公司網絡的主要目標。”

Chua在郵件中表示，“以F5交通管理用戶界面(TMUI)為例，該界面正在被積極利用。該服務通常在公司的外部邊界上可用，并且包含一個關鍵的RCE漏洞。因此，如果該服務被利用，此類服務可能會為外部攻擊者提供在公司內部網絡中的初始立足點。”

參考來源：ThreatPost http://33h.co/w5a5v

 

 

（三）BrakTooth藍牙漏洞影響數十億設備

新加坡科技設計大學研究人員發現，一個名為BrakTooth的藍牙漏洞影響了十多個SoC電路上的商業藍牙設備，影響的設備包括消費電子產品到工業設備，可造成拒絕服務、設備死鎖、任意代碼執行。

新加坡科技與設計大學的自動化系統安全研究小組(ASSET)研究了11家供應商的13款藍牙設備，發現了16個新漏洞，統稱為BrakTooth，影響了英特爾、高通、德州儀器、Cypress、Silicon Labs等主流SoC供應商，可能導致固件崩潰、商用硬件鎖死、拒絕服務(DoS)、任意代碼執行(ACE)等。

研究人員發現，有超過1400多個產品受到該BrakTooth漏洞影響，包括微軟Surface Pro 7、Surface Laptop 3、Surface Book 3、Surface Go 2和沃爾沃的FH信息娛樂系統。BrakTooth漏洞被聲稱暴露了封閉的藍牙技術庫中的基本攻擊矢量。影響的設備類型包括：智能手機、信息娛樂系統、筆記本電腦和臺式機系統、音頻設備、家庭娛樂系統、鍵盤、玩具、工業設備（PLC）等。

與BrakTooth安全漏洞相關的風險由轟然設備固件，或者藍牙通信不再可能，任意代碼死鎖狀態從拒絕服務（DoS）的范圍。發起BrakTooth攻擊的人員需要ESP32開發套件、自定義鏈接管理器協議(LMP)固件和運行概念驗證(PoC)工具的計算機。

漏洞CVE-2021-28139是任意代碼執行漏洞，影響帶有ESP32 SoC電路的設備，該電路可在眾多用于家庭或工業自動化的IoT設備中找到。

在英特爾的AX200 SoC和高通的WCN3990 SoC上運行的設備容易受到發送格式錯誤的數據包時觸發的DoS條件的影響。受影響的產品列表包括戴爾的筆記本電腦和臺式機（Optiplex、Alienware）、Microsoft Surface設備（Go 2、Pro 7、Book 3）和智能手機（例如Pocophone F1、Oppo Reno 5G）。

這16個漏洞都已報告給供應商，但收到的回應差異很大。Espressif的流行的ESP32微控制器系列也受到了影響，是第一批發布修補補丁的公司之一，另外Bluetrum Technology and Infineon、英特爾、Actions、珠海捷力科技正在調查這些漏洞或積極開發補丁。相比之下，哈曼國際和SiLabs幾乎沒有與團隊溝通。

更糟糕的消息來自德州儀器和高通。德州儀器直接表示，除非客戶要求，否則它不會為漏洞生產補丁，而高通只對其中一個受影響的部件進行補丁，盡管世界各地的全新產品中仍有未打補丁的芯片。

研究團隊展示了ESP32微控制器上的任意代碼執行，這些微控制器通常出現在物聯網(IoT)設備中，這些設備很少(如果有的話)得到制造商的更新，針對配備英特爾AX200和高通WCN3390芯片的筆記本電腦和智能手機的拒絕服務攻擊，以及凍結或關閉耳機和其他藍牙音頻設備的能力。

由于BrakTooth基于藍牙經典協議，攻擊者必須在目標的無線電范圍內才能執行攻擊。因此，與公共區域相比，安全設施的風險應該更低，假設安全區域內沒有內部人員。話雖如此，如果對手設法很好地隱藏設備，這也可能是一項艱巨的任務，盡管這會影響藍牙連接的范圍。

參考來源：TheRegister http://33h.co/w5ikn

 

 

（四）微軟Azure Cosmos數據庫存在嚴重漏洞

以色列網絡安全公司Wiz研究人員發現，微軟Azure的Cosmos云數據庫系統中存在一個嚴重漏洞ChaosDB，允許遠程帳戶接管Azure旗艦數據庫Cosmos DB，致使3300名客戶的數據在網絡中暴露了兩年。

Wiz研究團隊于2021年8月向微軟披露了該漏洞，該漏洞允許任何Azure用戶在未經授權的情況下對其他客戶的Cosmos DB實例進行完全管理訪問(讀取、寫入、刪除)。該漏洞利用非常簡單，不需要事先訪問目標環境權限，影響了數千家組織，包括眾多財富500強公司。

 

 

通過利用Cosmos DB的Jupyter Notebook功能中的一系列漏洞，惡意參與者可以查詢有關目標Cosmos DB Jupyter Notebook的信息。通過這樣做，攻擊者將獲得一組與目標Cosmos DB帳戶、Jupyter Notebook compute和Jupyter Notebook存儲帳戶相關的憑據，包括主鍵。使用這些憑據，可以通過多個通道查看、修改和刪除目標Cosmos DB帳戶中的數據。

微軟的安全團隊立即采取行動修復該問題，并在報告發布后48小時內禁用了易受攻擊的功能。然而，該漏洞已被利用數月之久，每個Cosmos DB客戶都應該假設他們已經暴露。為了降低風險，Microsoft建議客戶重新生成Cosmos DB主鍵。2021年8月26日，微軟向超過30%的Cosmos DB客戶通報了潛在的安全漏洞。我們認為受ChaosDB影響的實際客戶數量較高，建議所有客戶遵守本指南。

Microsoft向受影響的客戶發布了以下聲明，“微軟最近發現Azure Cosmos DB中存在一個漏洞，該漏洞可能允許用戶通過使用帳戶的主讀寫密鑰來訪問其他客戶的資源。外部安全研究人員向我們秘密報告了此漏洞。一旦我們在2021年8月12日意識到這一問題，我們立即緩解了該漏洞。我們沒有跡象表明研究人員之外的外部實體可以訪問與您的Azure Cosmos DB帳戶關聯的主讀寫密鑰。此外，由于此漏洞，我們不知道有任何數據訪問。啟用vNET或防火墻的Azure Cosmos DB帳戶受到額外安全機制的保護，以防止未經授權的訪問風險。出于謹慎考慮，我們通知您盡快采取措施預防措施。”

美國CISA于8月27日發布警告，建議微軟Azure Cosmos DB客戶重新生成證書密鑰。

參考來源：Wiz http://33h.co/w5utf

 

 

（五）黑客組織Marketo在暗網出售日本富士通數據

 

日本科技巨頭富士通(Fujitsu)的數據正由一個名為Marketo的組織在黑暗網絡上出售。不過富士通表示，這些信息“似乎與客戶有關”，而不是他們自己的系統。

8月26日，Marketo稱，其擁有富士通有4 GB的被盜數據，并在其泄密網站上出售。他們提供了數據樣本，并聲稱他們擁有機密的客戶信息、公司數據、預算數據、報告和其他公司文件，包括項目信息。

最初，該組織的泄密網站表示，它有280份對這些數據的競標，但現在，泄密網站顯示有70份對這些數據的競標。

 

富士通的一位發言人淡化了這一事件，表示沒有跡象表明這與5月份黑客通過富士通的ProjectWEB平臺從日本政府實體竊取數據有關。“我們知道一些信息被上傳到暗網拍賣網站Marketo，這些信息聲稱是從我們的網站獲得的。這些信息來源的細節，包括它是否來自我們的系統或環境，都是未知的，因為其中包含的信息似乎與客戶有關，我們將避免評論細節。”

Cato Networks安全策略高級總監Etay Maor對這些數據的投標數量提出了質疑。他指出，Marketo集團控制著網站，可以很容易地改變數字，以此向買家施加壓力。

但Digital Shadows的網絡威脅情報分析師Ivan Righi表示，Marketo是一個有名的消息來源。這些被盜數據的合法性無法證實，但他指出，該組織此前泄露的數據已經被證明是真實的。因此，他們網站上泄露的數據很可能是合法的。

Marketo僅公布了一個24.5MB的“證據包”，其中包含了與另一家名為Toray Industries的日本公司有關的一些數據。該組織還提供了三張據稱是在攻擊中竊取的電子表格截圖。

雖然Marketo不是一個勒索軟件組織，但它的運作方式與勒索軟件威脅者類似。該組織滲透到一些公司，竊取他們的數據，然后威脅說，如果不支付贖金，就會泄露這些數據。如果一家公司不回應威脅者的贖金要求，他們最終會被發布在Marketo數據泄露網站上。

一旦一家公司被發布在Marketo網站上，通常會提供一個證據包，里面有一些從攻擊中竊取的數據。如果不支付贖金，該組織將繼續威脅這些公司，并定期泄露數據。雖然富士通在他們的網站上有一個拍賣版塊，但并不是所有的受害者都能在這個版塊上找到，在撰寫本文時富士通還沒有公開拍賣。目前還不知道這70個競價據稱來自哪里，但這些競價可能來自非公開拍賣。

Digital Shadows在今年7月撰寫了一份關于該組織的報告，指出該組織創建于2021年4月，經常通過一個名為@Mannus Gott的推特賬戶銷售其竊取的數據。

該團伙多次聲稱，它不是一個勒索軟件組織，而是一個“信息市場”。今年5月，他們聯系了多家新聞媒體，推銷自己的工作。

受害者可以通過一個單獨的聊天鏈接進行談判。在每個帖子中，Marketo提供了該組織的概要、泄露數據截圖、以及一個“證據包”的鏈接，也就是所謂的證據。他們以無聲拍賣的形式拍賣敏感數據，通過一個盲目競價系統，用戶根據他們認為數據的價值進行競價。

參考來源：ZDNet http://33h.co/w56x7

 

 

（六）德國運動品牌彪馬1GB數據被黑客組織Marketo竊取在暗網出售

知名運動服裝制造商彪馬(Puma)的數據在新興被盜數據暗網交易市場Marketo中出售。攻擊者聲稱從彪馬竊取了1 GB的數據，拍賣給出價最高的人，目前已有157名用戶出價購買這些敏感數據。

 

Marketo是一個有組織的被盜數據市場運營商，不是典型的勒索軟件集團，他們通過中斷受害者的網絡和加密各種數據存儲上的可用文件來分發惡意代碼來破壞IT運營。

 

Marketo提供的一個獨特功能，即對被盜數據出價的能力，這顯然會在對數據獲取感興趣的各方之間造成競爭，包括最終受害者在內。

從彪馬竊取的一些文件已經發布在Marketo上，其中大部分包含內部管理應用程序的源代碼，這些應用程序可能與該公司的產品管理門戶網站相鏈接。

這些數據可能會被威脅行為者用來策劃針對該公司的更復雜的攻擊。分析代碼的專家有證據表明，這些文件被竊取是因為第三方軟件供應商的數據泄露。 

參考來源：SecurityAffairs http://33h.co/w5h29

 

 

（七）波士頓公共圖書館遭受網絡攻擊導致系統中斷

波士頓公共圖書館(BPL)透露8月25日其網絡遭受了網絡攻擊，導致全系統技術中斷。

BPL每年通過其中央圖書館和25個社區分支機構以及數百萬的在線訪問者為近400萬游客提供服務。按館藏藏品總數計算，它是美國第三大公共圖書館，僅次于聯邦國會圖書館和紐約公共圖書館。

在該圖書館網站上的通知中，BPL表示持續的技術中斷是由25日攻擊其系統的網絡攻擊引起的。“圖書館目前正在經歷嚴重的系統中斷，需要登錄的在線圖書館服務不可用。在8月25日星期三早上，波士頓公共圖書館因網絡安全攻擊而經歷了系統范圍的技術中斷，公共計算機和公共打印服務以及一些在線資源暫停。受影響的系統立即中斷，并采取了主動措施來隔離問題并關閉網絡通信。”

與執法部門和市長的IT專家合作進行的一項正在進行的調查尚未發現任何從受影響系統中竊取員工或顧客數據的證據。

BPL的IT部門現在正在恢復所有受影響的設備和服務，一些在線服務仍然可用。根據BPL向公眾通報此次攻擊事件的簡短的推文，中斷影響了計算機、打印機和一些在線資源。

BPL首席技術官Kurt Mansperger表示，“對于此次中斷可能給顧客帶來的任何不便，我們深表歉意。感謝您的耐心等待，因為我們的團隊和執法人員正在努力恢復我們的數字服務并保護圖書館免受未來的攻擊。”

參考來源：BleepingComputer http://33h.co/w5h4e

 

 

（八）Ragnarok勒索軟件關閉并發布免費解密程序

勒索軟件組織Ragnarok于8月26日關閉了其運營，并在其暗網門戶網站上發布了一個免費解密程序，幫助受害者恢復文件。該暗網泄露門戶網站此前曾是發布拒絕支付贖金的受害者文件的地方，該威脅組織沒有對該舉動進行解釋。

該解密程序已被多位安全研究人員確認有效，目前正在對其進行分析，然后安全公司將重寫一個干凈且可安全使用的版本，該版本將通過歐洲刑警組織的NoMoreRansom門戶公開提供。

在Ragnarok關閉之前，該組織自2019年底和2020年初以來一直活躍。該組織通過利用漏洞來破壞目標公司的網絡和外圍設備，然后轉向內部網絡，并加密關鍵的服務器和工作站。為了提高獲得報酬的機會，Ragnarok團伙還從受害者網絡中竊取文件，并威脅要在其黑暗門戶網站上泄露這些文件，除非按時支付贖金。

該組織歷來以Citrix ADC網關為目標，同時也利用Sophos XG防火墻中的零日漏洞。雖然零日漏洞利用有效，并允許該團伙在世界各地后門XG防火墻，但Sophos及時發現了攻擊，以阻止該團伙部署其文件加密負載。

 

在關閉前一個月，Ragnarok團隊改變了其網站的設計，移除了大多數過去的受害者，后來甚至更名為Daytona by Ragnarok。

 

Ragnarok是今年夏天第三個關閉并為受害者提供免費恢復文件的勒索軟件組織，此前關閉的兩個是六月份的Avaddon及八月初的SynAck。

參考來源：TheRecord http://33h.co/wsi9j

 

 

（九）美國CISA將單因素身份驗證添加到不良做法列表中

美國CISA于8月30日將遠程或管理訪問系統使用的單因素身份驗證添加到異常風險網絡安全實踐的不良實踐列表中。單因素身份驗證是一種常見的低安全性身份驗證方法，只需一個因素與用戶名匹配即可訪問系統。所有組織都應避免這些不良做法，在支持關鍵基礎設施或國家關鍵功能的組織中尤其危險。

美國網絡安全和基礎設施安全局8月30日在高風險網絡安全實踐的名單中添加了單因素身份驗證，這些措施可能會使關鍵基礎設施以及政府和私營部門實體面臨毀滅性的網絡攻擊。

單因素認證是一種方法，通過使用驗證自己的身份，通常是用戶名和密碼的組合，將用戶登錄到網站和遠程系統。它被認為是低安全性的，因為它嚴重依賴于將一個因素（如密碼）與用戶名匹配以獲取對系統的訪問權限。

但是，由于弱密碼、重重復密碼和通用密碼構成嚴重威脅，并出現了有利可圖的攻擊媒介，因此使用單因素身份驗證可能會導致不必要的入侵風險，并增加網絡犯罪分子接管帳戶的可能性。

隨著最新的發展，不良做法清單現在包括：

1、使用不受支持（或壽命終止）的軟件；

2、使用已知/固定/默認密碼和憑據，；

3、使用單因素身份驗證對系統進行遠程或管理訪問。

CISA表示，“盡管所有組織都應該避免這些不良做法，但在支持關鍵基礎設施或國家關鍵功能的組織中尤其危險。在支持關鍵基礎設施或NCF的組織中，存在這些不良做法非常危險，并增加了關鍵基礎設施的風險，我們依賴這些基礎設施來保障國家安全、經濟穩定以及公眾的生命、健康和安全。”

此外，CISA正在考慮在目錄中添加一些其他做法，包括：

1、使用弱加密函數或密鑰大??；

2、扁平網絡拓撲；

3、IT和OT網絡融合；

4、每個人都是管理員（缺乏最低權限）；

5、使用以前受損的系統而沒有殺毒；

6、通過不受控制的網絡傳輸敏感的、未加密/未經身份驗證的流量；

7、物理控制不佳。

參考來源：TheHackerNews http://33h.co/w5484

 

 

（十）美國FBI發布針對Hive勒索軟件的警報

美國聯邦調查局8月25日發布了關于Hive勒索軟件的警告，該組織此前攻擊了Memorial Health System的IT系統。警告稱，Hive勒索軟件利用附屬機構運營，使用多種機制來危害商業網絡，包括帶有惡意附件的釣魚郵件以獲得訪問權，以及遠程桌面協議(RDP)一旦進入網絡就可以橫向移動。在攻擊受害者網絡后，Hive勒索軟件攻擊者竊取數據并加密網絡上的文件。攻擊者會在受害者系統中每個受影響的目錄中留下一封勒索信，提供如何購買解密軟件的說明，并且還威脅要在暗網的泄露網站上公開受害者的數據。

該警報詳細說明了與該勒索軟件攻擊相關的危害指標、戰術、技術和過程(TTP)。該組織由各種參與者組成，使用多種機制危害企業網絡、滲漏網絡上的數據和加密網絡上的數據，并試圖收取贖金以換取對解密軟件的訪問權限。

在攻擊受害者網絡后，Hive勒索軟件攻擊者會竊取數據并加密網絡上的文件。這些黑客會在受害者系統中每個受影響的目錄中留下一封勒索信，提供如何購買解密軟件的說明。這封勒索信還威脅要在Tor網站HiveLeaks上泄露被竊受害者的數據。

文件加密成功后，文件將使用.hive擴展名保存。然后，Hive操作人員將Hive.bat腳本放入該目錄，強制執行超時延遲1秒，在加密完成后，通過刪除Hive可執行文件和Hive.bat腳本(警告提示)來執行清理操作。

在沒有通知受害者的情況下，第二個文件shadow.bat被放入目錄以刪除卷影副本(包括磁盤備份副本或快照)，然后刪除shadow.bat文件。在加密過程中，加密文件將被重命名，擴展名為*.key.hive或*.key.。

稍后，贖金通知“HOW_TO_DECRYPT.txt”被放入受影響的目錄，并聲明*KEY.*文件無法修改、重命名或刪除，否則無法恢復加密的文件。

勒索信件上有一個“銷售部門”的鏈接，可以通過TOR瀏覽器訪問，受害者可以通過實時聊天與黑客聯系。一些受害者聲稱，他們接到了Hive黑客的電話，要求為他們的文件付款。最初的付款截止日期在2至6天之間波動，但有所不同。

該警報建議離線備份關鍵數據，確保關鍵數據的副本位于云中或外部硬盤驅動器或存儲設備上，并使用兩因素身份驗證和強密碼，包括用于遠程訪問服務。其他建議包括：監控有關泄露VPN登錄信息的網絡威脅報告、保持計算機及設備和應用程序打補丁并保持最新狀態、并在所有主機上安裝和定期更新防病毒或反惡意軟件。

參考來源：GovInfoSecurity http://33h.co/w5fr9

 

（十一）Phorpiex僵尸網絡關閉，源代碼在暗網出售

研究人員發現，Phorpiex惡意軟件運營商已關閉了其僵尸網絡，并將其源代碼放在一個暗網網絡犯罪論壇上出售。

英國安全公司Cyjax研究人員在暗網論壇中發現，該信息是在27日由一名先前與僵尸網絡操作有關聯的個人發布的，聲稱該惡意軟件的兩位原始作者均未參與運行該僵尸網絡，因此他們決定出售其源代碼。

安全公司Check Point的惡意軟件逆向工程師Alexey Bukhteev確認了該信息的有效性。Bukhteyev表示，“惡意軟件的描述與我們在代碼中看到的非常相似。”Bukhteyev曾在2019年分析過Phorpiex惡意軟件，表示該惡意軟件的命令和控制(C&C)服務器已經近兩個月沒有活動了。

Bukhteyev一直在運行一個假的Phorpiex機器人以監視其活動，該機器人從Phorpiex C&C服務器收到的最后一個命令是2021年7月6日，該命令是一個自解釋“自刪除”指令。從那時起，僵尸網絡似乎從開源報告中消失了。

Bukhteyev表示，“正如我們所知，源代碼是私有的，以前從未出售過。因此，這個論壇廣告看起來確實很可信。但是如果我們購買它，我們可以完全確定。二進制文件非常簡單，如果我們得到它，我們可以很容易地確認源代碼確實是針對這個機器人的。有一點可以證明賣家可能是真正的作者：現在的主要機器人是來自windows Defender的FUD，因為我知道的所有模塊目前都會在VT上進行AV檢測，即使它們是第一次上傳到那里。”

不過Bukhteyev也警告說，即使僵尸網絡C&C服務器出現故障，一旦有人購買了代碼，他們就可以設置新的代碼，并劫持所有先前受感染的系統。“仍然有很多受感染的機器，即活躍的機器人。我們不能確定有多少，但我們經?？吹轿覀兊木W關上有很多點擊。”但是，目前還不清楚僵尸網絡是否會被購買。

運行僵尸網絡既有好處也有壞處。好處是僵尸網絡在產生利潤方面有著久經考驗的歷史，主要是通過其垃圾郵件模塊和加密貨幣剪貼板劫持功能。例如早在2019年，垃圾郵件模塊就幫助僵尸網絡的作者從一個經典的性侵犯計劃中獲得了超過11.5萬美元的利潤。

該惡意軟件還向勒索軟件團伙出售了對其受感染機器人的訪問權，現已解散的Avaddon組織去年使用Phorpiex機器人在企業網絡中部署了勒索軟件。

Bukhteyev還表示，“此外，即使沒有任何活動的C&C服務器，bot架構也允許botmaster被動地通過加密剪裁（更改剪貼板中的加密貨幣錢包地址）賺取一些錢。”

然而，缺點是相當大。僵尸網絡不像其他惡意軟件僵尸網絡那樣安全，并且經常被第三方劫持，以部署自己的有效載荷或發出惡意“卸載”命令，這可能會阻止購買者。

參考來源：TheRecord http://33h.co/wsd39

 

（十二）黑客可以遠程禁用Fortress S03 Wi-Fi家庭安全系統

網絡安全公司Rapid7研究人員發現了Fortress S03 Wi-Fi家庭安全系統的兩個漏洞，黑客可以利用這些漏洞遠程禁用Fortress Security Store制造的Fortress S03 WiFi安全系統。

Fortress S03 Wi-Fi家庭安全系統允許用戶構建自己的警報系統，以保護他們的家庭和小型企業，支持安全攝像頭、門窗傳感器、玻璃破碎傳感器、振動和運動傳感器以及煙霧/氣體/水警報。Fortress向成千上萬的客戶和持續的客戶提供其系統。

這些漏洞的編號為CVE-2021-39276(5.3分)和CVE-2021-39277(5.7分)，可以被攻擊者濫用以獲得對系統的未經授權的訪問。

Rapid7研究員Arvind Vishwakarma在Fortress S03 WiFi家庭安全系統中發現了多個漏洞。這些漏洞可能導致未經授權訪問控制或修改系統行為，以及訪問存儲或傳輸中的未加密信息。

CVE-2021-39276漏洞是一個不安全的云API部署，允許未經身份驗證的用戶簡單地了解一個秘密，然后可以用來遠程改變系統的功能。而CVE-2021-39277漏洞可以允許射頻(RF)信號范圍內的任何人捕獲和重放RF信號，以改變系統行為。

攻擊者可以通過知道目標用戶的電子郵件地址來利用CVE-2021-39276，并使用它來查詢API并獲取與安全系統關聯的IMEI號碼。一旦攻擊者獲得了IMEI，就可以發送未經身份驗證的POST請求來改變系統的行為，包括解除它。

由于家庭安全系統的不同組件之間的通信未得到適當保護，因此可利用CVE-2021-39277漏洞發起射頻(RF)信號重放攻擊。目標無線電范圍內的攻擊者可以通過空中捕獲命令和控制信號，例如解除系統武裝的命令，然后在稍后重播這些信號。

Rapid7表示，最初是在5月中旬和8月中旬向Fortress報告了這些漏洞。然而，似乎沒有針對這些漏洞的補丁。除了避免使用密鑰聚合器和其他鏈接到系統的射頻設備之外，用戶在防止射頻攻擊方面可以做的并不多。通過使用攻擊者不太可能猜到或獲取的唯一電子郵件地址注冊系統，可以防止攻擊CVE-2021-39276。

參考來源：SecurityAffairs http://33h.co/w5v18

 

（十三）惡意行為者利用Konni RAT新變體攻擊俄羅斯組織

Malwarebytes研究人員發現了一個正在進行的惡意軟件活動，攻擊者利用Konni RAT攻擊俄羅斯組織。到目前為止，Konni RAT已經成功避開了檢測，因為VirusTotal上只有3個安全解決方案能夠檢測到該惡意軟件。

KONNI RAT病毒于2017年由思科Talos研究人員首次發現，自2014年以來一直未被發現，并被用于高度針對性的攻擊。RAT由于持續進化從而避免了檢測，它能夠在目標系統上執行任意代碼并竊取數據。Konni RAT認為與朝鮮的威脅行為者Thallium或APT37有關。

MalwareBytes研究人員發現了兩份用俄語編寫的武器化文件，其中一份以俄羅斯和朝鮮半島之間的貿易和經濟問題為誘餌。第二份文件以俄蒙政府間委員會的一次會議為誘餌。一旦啟用宏，它就會執行，感染鏈將開始部署嚴重混淆的Konni RAT的新變體。

 

 

Malwarebytes分析顯示，“Konni APT使用的這些惡意文件已經用宏來武器化了。它只使用Shell函數來執行cmd命令。這個liner命令獲取當前活動文檔作為輸入，并使用findstr查找“^var”字符串，然后將從“var”開始的行的內容寫入y.js。最后調用Wscript Shell函數來執行Java腳本文件(y.js)。巧妙的是，攻擊者試圖在文檔內容的末尾隱藏其惡意JS，這是其主要活動的開始，而沒有直接將其放入宏中，以避免被反病毒產品發現，同時隱瞞了其主要意圖。”

惡意軟件研究人員注意到，這次活動與之前由與朝鮮有關的APT組織策劃的活動有多個不同之處，包括:

1、宏是不同的。在舊活動中，參與者使用文本框來存儲其數據，而在新活動中，內容在文檔內容中使用base64編碼；

2、在新活動中，JavaScript文件被用于執行批處理和PowerShell文件；

3、新活動使用Powershell和URLMON API調用來下載cab文件，而在舊活動中使用certutil來下載cab文件；

4、新活動基于受害者的操作系統使用了兩種不同的UAC旁路技術，而在舊活動中參與者只使用了令牌模擬技術；

5、在新活動中，黑客開發了一種嚴重混淆的Konni RAT的新變種。而且配置是加密的，不再是base64編碼，也不使用FTP進行外滲。

研究人員還觀察到其他國家的感染情況，包括日本、尼泊爾、蒙古和越南。MalwareBytes在分析報告中還包括了IoC等信息。

參考來源：SecurityAffairs http://33h.co/w54s9

 

（十四）瑞士羅爾鎮遭受Vice Society勒索軟件攻擊，個人數據在暗網泄露

瑞士日內瓦湖畔小鎮羅爾鎮遭受了Vice Society勒索軟件攻擊，導致該鎮所有6200名居民的詳細個人信息被威脅行為者竊取。攻擊者破壞了一些管理服務器并泄露了敏感文件。

起初，該鎮市政府企圖淡化這一事件，稱攻擊者僅竊取了少量數據，所有信息均已從備份副本中恢復。攻擊發生后，鎮行政長官Monique Choulat Pugnale稱這是一次“微弱的攻擊”，影響了“不包含任何敏感市政數據”的電子郵件服務器。

據Remonew報道，“從羅爾鎮的vaudois社區竊取了千兆字節的數據并發布在暗網上。但市政府似乎對這一無所知。日內瓦湖畔的羅爾鎮VD社區受到了大規模數據泄露攻擊，犯罪分子已經在暗網上發布了內部和機密文件。”

根據Le Temps的調查結果顯示，此次攻擊是在5月30日發現的，參與分析的專家將這些文件定義為“個人且極其敏感”。

羅爾鎮政府的代表發表聲明，承認他們“低估了攻擊的嚴重性”數據的潛在用途。該鎮已經成立了一個專家小組來處理這起事件。

目前尚不清楚攻擊者泄露了哪些類型的信息。據當地媒體報道，泄露的數據包括非瑞士國民的姓名、地址、出生日期、社會安全號碼和居留許可信息。據Le Temps Daily報道稱，被盜的數據還包括學校記錄以及感染新冠的兒童信息。

Vice Society勒索軟件自6月以來一直活躍，研究人員認為它是HelloKitty勒索軟件的衍生產品，該惡意軟件主要針對Windows和Linux系統，主要針對中小型受害者。

該組織專注于公立學區和其他教育機構，與其他勒索軟件組織一樣，它實施雙重勒索模式，并在數據泄露站點上發布從受害者那里竊取的數據。該組織最近成為頭條新聞，因為它是積極利用Windows打印后臺打印程序PrintNightmare漏洞攻擊Windows服務器的勒索軟件組織之一。

參考來源：SecurityAffairs http://33h.co/wscsx

 

（十五）美國司法部宣布設立網絡獎學金計劃

美國司法部副總檢察長Lisa Monaco于8月27日宣布設立一個新的網絡獎學金計劃，旨在培養新一代檢察官和律師，以應對新出現的國家安全威脅。

副總檢察長Monaco表示，“正如我們在過去一年目睹的那樣，網絡威脅對我們的國家安全、經濟安全和個人安全構成了越來越大的風險。我們需要培養具有應對下一代網絡威脅所需的培訓和經驗的下一代檢察官。該獎學金為律師提供了一個獨特的機會，讓他們獲得應對各種威脅所需的全面經驗。”

該獎學金的設立將通過刑事司的計算機犯罪和知識產權科進行協調，這是根據Monaco副總檢察長今年5月下令進行的，該部門正在進行的全面網絡審查的建議。該審查旨在制定可操作的建議，以加強和擴大司法部應對網絡威脅的努力。

為期三年的網絡獎學金將為選定的律師提供打擊新興國家安全和犯罪網絡威脅的經驗，同時輪換保護國家免受網絡威脅的多個部門組成部分，包括刑事司、國家安全司和美國檢察官辦公室。通過這個獨特的機會，研究員將處理部門執行的廣泛的網絡案例，并全面了解部門對新出現和關鍵威脅的反應。研究員可以調查和起訴國家支持的網絡威脅、跨國犯罪集團、基礎設施和勒索軟件攻擊、以及使用加密貨幣和洗錢為基于網絡的犯罪提供資金并從中獲利。

新進的研究員必須同意對該計劃的三年承諾，并能夠獲得最高機密的安全許可。所有研究員都將在華盛頓特區工作。研究員可以在沒有進一步競爭的情況下延長或轉換為永久職位，或者如果他們符合資格標準，則可以在隨后的一年重新申請榮譽計劃?；蛘弋斔麄兘咏耆纹诮Y束時，研究員可以申請部門內符合他們興趣的永久職位。

參考來源：美國司法部 http://33h.co/w5gun

 

（如未標注，均為天地和興工業網絡安全研究院編譯）