目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）超大規模物聯網僵尸網絡Pink影響國內數百萬IoT設備

（二）技嘉遭受AvosLocker勒索軟件攻擊

（三）宏基一周內遭受兩次網絡攻擊

第二章 國外關鍵信息基礎設施安全動態

（一）CISA和FBI聯合發布水務系統網絡威脅安全公告

（二）美國出臺新規定，限制出口攻擊性網絡工具

（三）美國多部門針對BlackMatter勒索軟件聯合發布警告

（四）澳大利亞政府發布勒索軟件行動計劃

（五）美國Sinclair廣播電視集團遭受勒索軟件攻擊

（六）以色列Hillel Yaffe醫院遭受重大勒索軟件攻擊

（七）美國糖果生產商Ferrara Candy遭受勒索軟件攻擊

（八）阿根廷國家人事登記處RENAPER遭受黑客入侵

（九）Macaw Locker勒索軟件是Evil Corp的新變種

（十）REvil勒索軟件的Tor站點遭受劫持，可能導致再次關閉

（十一）民族國家黑客Harvester針對南亞電信及政府部門發起攻擊

（十二）壓縮軟件WinRAR試用版存在遠程代碼執行漏洞

（十三）3D打印平臺Thingiverse泄露超22萬用戶信息

 

 

 

 

第一章 國內關鍵信息基礎設施安全動態

（一）超大規模物聯網僵尸網絡Pink影響國內數百萬IoT設備

2019年12月，根據安全社區提供的線索，安全研究人員發現了一起大規模的物聯網安全事件。多方聯合的分析與定位結果顯示，此次事件中，黑客通過入侵某網絡運營商的家庭用戶設備并植入惡意程序，持續地使這些設備變成新的僵尸節點，進而構建起了一個超大規模的僵尸網絡。根據所涉運營商和設備廠商的初步評估，被黑客入侵并控制的設備數量超過百萬，其中96%以上的受害者分布在中國境內。這次攻擊事件中受控的設備數量特別巨大，是歷史上已公開領域內的規模最大的物聯網僵尸網絡。

運營商的家庭用戶設備在設計、研發、制造等階段，需要采購第三方組件，以完成產品功能。由于程序設計不嚴謹、安全測試不充分等原因，有些組件含有軟件或硬件缺陷。這些缺陷在沒有暴露之前，叫做0-day漏洞或零日漏洞(沒有暴露——0-day，暴露1日——1-day，暴露多日——N-day)。此次事件中，黑客就是利用了設備生產供應鏈中的某些組件的0-day漏洞，入侵了多個品牌的家庭網關類設備，并在設備上植入了惡意程序。因為在該惡意程序的二進制逆向結果中，多次出現“pink”字符，所以將其命名為Pink。

Pink惡意程序從功能上可以劃分為3個模塊：植入、駐留、控制。當Pink惡意程序被植入設備并運行后，它會主動封堵設備的自動升級通道，大大增加了應急處置和在線修復的難度，危害程度極高。通過對該事件的深入分析，研究人員認為，此次攻擊事件已經超出了僵尸網絡的范疇，是一次高級定向攻擊事件：

1、高級性：在一般的僵尸網絡攻擊中，黑客會使用許多通用型的漏洞，以期最廣泛地覆蓋不同類型、不同品牌、不同固件的在線設備。但是在此次事件中，黑客挖掘了運營商的特定設備、特定固件的0-day漏洞（挖掘特定設備的漏洞，通常比挖掘通用型的漏洞難得多），僅利用0-day漏洞入侵這些特殊設備，并且沒有增加其他漏洞用于更廣泛的擴散感染；

2、定向性：此次事件中出現的0-day攻擊是針對特定品牌的寬帶設備設計的，這些設備主要被提供到華北、東北地區，其中北京地區裝機量最大。這些設備作為未來家用物聯網控制核心，重要性不言而喻。因此研究人員判斷，Pink背后的黑手是有目的性地選擇攻擊目標，這是高級定向攻擊的重要判斷依據；

3、定制性：在一般的僵尸網絡攻擊中，黑客會制作適配X86、ARM、MIPS等多種處理器架構的惡意程序，以確保能夠最廣泛地感染不同的設備。但是在此次事件中，Pink惡意程序僅能適配MIPS架構，而它正是被入侵控制的設備所采用的處理器架構；

4、持久性：在一般的僵尸網絡攻擊中，攻擊者通常在漏洞利用階段修改crontab定時任務，以實現惡意程序的持久化。但是在此次事件中，Pink惡意程序自己通過修改固件，完成Rootkit來保證自身長期存在于設備中，這是極為罕見的、難度很高的駐留方式，這也是Pink屬于高級定向攻擊的重要判定依據；

5、潛伏性：在研究人員的持續監測過程中，并未發現Pink有任何外部掃描攻擊行為，因此其攻擊活動是以特定目標進行的，而常規僵尸網絡活動則帶有大規模的掃描和探測能力，追求短時間內控制大量設備；Pink惡意程序中，也沒有出現任何已知的惡意軟件的代碼復用行為，在廠商治理后，Pink不再進行更新，這也表明了攻擊者更愿意隱匿自身，這與僵尸網絡開發者被公布后有意炫耀并持續活躍有本質的區別。

根據NetFlow監測、主動探測等多個維度的數據測算，Pink僵尸網絡曾經連接的IP地址數量超過五百萬。通過對這些IP地址的定位數據進行統計發現，這些IP主要是某運營商的家庭用戶地址。然而家庭用戶的IP地址是動態分配的，IP背后已感染設備的真實規模無法被精確估計。2020年初的監測數據顯示：在不到1分鐘的時間內，向控制服務器C2發起連接的感染端IP數超過百萬。另據所涉運營商和設備廠商的初步評估，被黑客入侵并控制的設備數量在數百萬級。綜上，依據多方獨立的測量結果，研究人員認定Pink僵尸網絡控制的節點數量在其峰值期超過百萬。根據感染IP地址的定位數據，被感染設備主要位于北京(18.8%)、山東(16.4%)、山西(12.6%)、浙江(12.3%)等。

 

本文版權歸原作者所有，參考來源：關鍵基礎設施安全應急響應中心 http://33h.co/94km4

 

 

（二）技嘉遭受AvosLocker勒索軟件攻擊

AvosLocker勒索軟件組織聲稱，入侵了臺灣電腦硬件生產商技嘉(Gigabyte)，并泄露了數據樣本，準備出售剩余的部分。該組織聲稱竊取了技嘉的主密鑰，可能會在供應鏈攻擊中強制硬件下載虛假驅動程序或BIOS更新。

10月20日，AvosLocker勒索軟件組織發布了一份聲明，宣布其已經入侵了臺灣主板/服務器制造商Gigabyte，但沒有說明何時及如何攻擊的。泄露文件樣本顯示，數據涉及有關與第三方公司交易的機密細節以及有關員工的可識別信息。

AvosLocker的公告顯示，數據涉及Gigabyte和Barracuda Networks之間的保密協議(NDA)。保密協議日期為2007年6月，由Drako代表Barracuda Networks簽署，如果是真實的，可能是Barracuda的聯合創始人Dean Drako。AvosLocker的聲明表示，“Gigabyte公司遭到破壞，這是我們從他們的網絡下載的文件樣本。樣本中泄露了Barracuda NDA+完整目錄列表。”

10月21日，PrivacySharks表示，其獨立安全研究人員查看了泄露的14.9MB文件proof.zip的內容，該文件據稱是從技嘉泄露的。研究人員表示，其中包含以下敏感信息列表：

1、潛在的信用卡詳細信息。幸運的是，如果這些文件包含信用卡信息，則信用卡可能已過期，因為此文件夾是2014年的；

2、密碼和用戶名詳細信息；

3、員工工資明細；

4、與顧問簽訂的人力資源協議以及全名、圖片和簡歷；

5、名為Passports的文件中有10個PDF文檔；

6、超過1,500名求職者的信息，包括全名、簡歷、簡歷和申請。還有Zoom詳細信息，其中包含每個候選人的個人信息；

7、名為Mailchimp的文件夾，其中包含GSM帳戶數據庫信息，可能包括電子郵件地址；

8、一個zip文件夾，其中包含NDA和價值100,000美元以上的Barracuda交易信息；

9、除了Barracuda，此次泄露的數據還包括來自以下知名公司的各種數據：亞馬遜、百思買、黑魔法、暴雪、英特爾和金士頓；

10、一個名為Tree的.txt文件，其中包含133,352行文件夾和在違規中被盜的文件名；

11、來自“夏威夷2019”等旅行的業務費用，包括花在luau飲料、優步旅行和小費上的錢；

12、公司活動的圖片，包括圣誕派對、萬圣節派對和“托尼的生日”。

PrivacySharks分享了許多顯示轉儲文件樹的屏幕截圖。除非有人付費解鎖文件，否則任何人都無法猜測其中的實際內容。但根據事件響應公司BreachQuest聯合創始人兼首席技術官Jake Williams的說法，這些名稱表明威脅行為者“專注于質量”，這與勒索軟件攻擊者通常專注于抓取任何東西的做法不同。

Williams通過電子郵件表示，“文件樹中的細節應該讓技嘉非常關注，因為他們考慮了這次違規的影響。在大多數雙重勒索計劃中，數據盜竊的重點是數量而不是質量。此轉儲中的文件樹表明，在這種情況下，威脅行為者專注于質量。AvosLocker嘲笑的文件樹（目錄列表）似乎是對眾多網絡犯罪分子有價值的數據類型。”

Williams預測，“合同細節的明顯盜竊，例如據稱與Barracuda的保密協議，無疑會損害與供應商的關系，并給技嘉造成重大的聲譽損失。同樣，外人很難僅根據文件和目錄名稱來評估可能包含或不包含在轉儲中的商業機密的價值?？梢钥隙ǖ氖?，技嘉現在正在狂熱地評估目錄列表中文件的內容，并評估它們可能發布的影響。”

Gigabyte為AMD和Intel平臺設計和制造主板，它還與AMD和Nvidia合作生產顯卡和筆記本電腦，包括Nvidia的圖靈芯片組以及AMD的Vega和Polaris芯片組。PrivacySharks建議，如果泄漏結果包括技嘉的主密鑰，即識別硬件制造商為原始開發商的密鑰，威脅行為者可以使用它們來強制硬件下載虛假驅動程序、BIOS更新或更多，就像SolarWinds發生的那樣。

在這一點上，PrivacySharks的專家只發現了兩個.KEY文件和幾個.CRT文件，這表明“該漏洞不包含來自安全/技術部門的數據，或者只包含很少的數據”。然而PrivacySharks提示，技嘉可能會在不久的將來撤銷任何密鑰。

參考來源：ThreatPost http://33h.co/94b9t

 

 

（三）宏基一周內遭受兩次網絡攻擊

臺灣電腦制造商宏碁(Acer)在短短一周內遭受了兩次網絡攻擊，分別是位于印度和臺灣的服務器系統，攻擊者是同一個黑客組織Desorden，該組織稱宏碁其他地區的網絡也很容易受到攻擊。

上周，威脅行為者Desorden向記者發送了電子郵件，聲稱他們入侵了宏基位于印度的服務器，并竊取了數據，包括客戶信息。宏碁隨后證實了這一違規行為，但表示這是一次“孤立攻擊”，僅影響其在印度的售后服務系統。

該威脅行為者在RAID黑客論壇上稱他們從宏碁的服務器上竊取了超過60GB的文件和數據庫。作為證據，攻擊者提供了一段視頻，其中展示了被盜文件和數據庫、10,000名客戶的記錄以及3,000家印度宏碁分銷商和零售商的被盜憑證。

不到一周后，Desorden發送電子郵件聲稱，他們于10月15日入侵了宏基位于臺灣的服務器，并竊取了員工和產品信息。

 

 

威脅行為者還共享了宏基臺灣內部門戶的圖像和包含宏基員工登錄憑據的CSV文件。該組織表示，他們進行攻擊是為了證明宏基仍然容易受到攻擊。

Demoden表示，“我們沒有要求就臺灣的違規行為單獨付款。這是為了證明我們的觀點，即宏碁忽視了他們的網絡安全。”

在威脅行為者向公司報告漏洞后不久，宏碁臺灣就關閉了易受攻擊的服務器。然而黑客組織表示，馬來西亞和印度尼西亞的其他服務器仍然容易受到攻擊。

宏碁在一份聲明中證實了這次攻擊，并表示臺灣的違規行為僅涉及員工數據。宏基表示，“我們最近檢測到我們在印度當地的售后服務系統受到孤立攻擊，并在臺灣進一步受到攻擊。一經檢測，我們立即啟動安全協議，并對我們的系統進行全面掃描。我們正在通知印度所有可能受影響的客戶，而被攻擊的臺灣系統不涉及客戶數據。該事件已向當地執法部門和有關部門報告，對我們的運營和業務連續性沒有重大影響。”

除了這兩起事件之外，宏碁在2021年3月遭受了另一次網絡攻擊，REvil勒索軟件組織對其網絡進行了加密，并要求支付5000萬美元的贖金。

如果未支付贖金，Desorden曾有過執行公司違規行為和泄露數據的歷史。2021年9月，Desordern聲稱入侵了嘉里物流的子公司ABX Express，并竊取了200 GB的數據，包括客戶的個人信息。

宏碁是一家臺灣跨國公司，專門從事硬件和電子產品，是全球第六大個人電腦供應商。該公司在全球40個國家/地區擁有約7,000名員工，2019年收入為83.4億美元。

參考來源：BleepingComputer http://33h.co/9gp8e

 

 

 第二章 國外關鍵信息基礎設施安全動態

（一）CISA和FBI聯合發布水務系統網絡威脅安全公告

美國聯邦調查局(FBI)、網絡安全和基礎設施局(CISA)、環境保護局(EPA)和國家安全局(NSA)及網絡安全公司Dragos10月14日發布聯合公告稱，警告美國供水和污水處理系統運營商注意一系列旨在破壞其運營的網絡威脅。該公告概述了針對美國供水和廢水設施網絡、系統和設備的信息和操作技術的網絡威脅，并概述了今年供水設施發生的多起勒索軟件攻擊事件，其中包括針對加利福尼亞州、緬因州和內華達州的攻擊，其中一些以前從未報道過。

該公告并未表明針對該特定部門的攻擊有可能增加，而只是為了幫助供水設施運營商保護他們的系統。該公告將魚叉式網絡釣魚列為網絡犯罪分子和民族國家用于獲取供水系統訪問權限的最流行方法之一，并表示該方式經常被部署用于傳送惡意負載，包括勒索軟件。由于IT和OT系統通常集成在一起，因此攻擊者可以訪問其中一個。

利用RDP等互聯網連接服務是攻擊供水系統的另一種工具。由于受到新冠疫情影響，許多供水系統運營商使用RDP和其他工具遠程訪問系統，這使得他們很容易受到過時操作系統或軟件的影響。

WWS系統通常使用過時的控制系統設備或固件版本，這使WWS網絡暴露于公開訪問和遠程可執行的漏洞。這些設備的成功泄露可能導致系統失去控制、拒絕服務或丟失敏感數據。

該警報還提供了過去幾年中由惡意內部人員和外部威脅參與者實施的幾個攻擊示例，包括今年發生的三起之前沒有公開的事件。在每一次攻擊中，監控和數據采集(SCADA)系統都會受到影響。

在3月份發生的一起事件中，網絡罪犯使用未知的勒索軟件攻擊內華達州的一個供水設施。惡意軟件影響了SCADA和備份系統，SCADA系統只提供監控和可見性能力，不是一個完整的工業控制系統。

另一起事件發生在7月份，襲擊目標是緬因州的一家設施。黑客部署了ZuCaNo勒索軟件，該軟件進入了一臺廢水SCADA計算機?；謴拖到y一直是手動運行的，直到SCADA計算機恢復使用本地控制和更頻繁的操作員的檢查。

第三起新披露的攻擊發生在8月份。攻擊者在加利福尼亞州一家水廠的系統上部署了一款名為Ghost的勒索軟件。攻擊者在系統內花了一個月的時間，然后在三個監控和數據采集服務器上發布了勒索軟件消息。

安全警報還描述了2019年和2020年發生的兩起已知事件，其中一起涉及今年早些時候被起訴的一名內部人士。

根據政府的數據，有超過15萬個公共供水系統為數百萬美國人提供飲用水，廢水處理設施處理了大約340億加侖的廢水。美國將水和廢水系統歸類為國家關鍵功能，它們的破壞將“對安全、國家經濟安全、國家公共衛生或安全，或它們的任何組合產生削弱作用”。

今年早些時候，FBI、CISA、EPA和多州信息共享與分析中心(MS-ISAC)發布了警告，此前威脅分子未經授權進入佛羅里達州一家飲用水處理廠的SCADA系統，據稱試圖在供水中下毒。

CISA列出了一些操作人員應該注意的問題，包括無法訪問某些SCADA系統控制、不熟悉的數據窗口或系統警報、異常的操作參數等等。他們敦促供水設施加強rdp周圍的安全控制，并在IT和OT網絡之間實施“強有力的”網絡分割。

所有設施都應制定應急響應計劃，并考慮網絡攻擊可能對系統運行方式產生的廣泛影響。CISA指出，還應該有一些系統，即使系統被接管，也應該在物理上阻止某些危險情況的發生。

參考來源：ZDNet http://33h.co/94w37

 

（二）美國出臺新規定，限制出口攻擊性網絡工具

美國商務部工業和安全局(BIS)10月20日宣布了一項新的控制措施，禁止美國公司出口和轉售軟件和硬件工具，這些工具可用于通過惡意黑客活動和侵犯人權來助長獨裁行為。該規則建立了一個新的許可例外授權網絡安全出口(ACE)，禁止在沒有許可的情況下向中國和俄羅斯等國家出口和轉售這些物品。

該規則將在90天后生效，并將有效禁止出于國家安全(NS)和反恐(AT)原因的“網絡安全物品”出口。完整清單包括擁有大規模殺傷性武器或國家安全問題或受到美國武器禁運的國家。

BIS表示，“美國政府反對濫用技術來侵犯人權或進行其他惡意網絡活動，這些新規則將有助于確保美國公司不會助長專制行為。”BIS的新規規定，這些項目需要控制，因為它們可能被用來進行惡意網絡活動，包括但不限于監視、間諜活動或其他會破壞、拒絕或降低對網絡設備訪問的行為。

商務部表示，“今天的規則與BIS在瓦森納安排(WA)多邊出口管制制度中的談判結果一致，并與國會、私營部門、學術界、民間社會和其他利益相關者對先前提議的國際清算銀行規則制定的評論一致。”

美國商務部長Gina M. Raimondo補充表示，新規則旨在阻止惡意威脅行為者獲取可用于攻擊美國實體并威脅美國國家安全的黑客工具，同時允許將其用于合法目的。

Raimondo表示，“美國致力于與我們的多邊伙伴合作，阻止某些可用于威脅網絡安全和人權的惡意活動的技術的傳播。商務部對某些網絡安全項目實施出口管制的臨時最終規則是一種適當定制的方法，可以保護美國的國家安全免受惡意網絡行為者的侵害，同時確保合法的網絡安全活動。”

參考來源：BleepingComputer http://33h.co/9g7iy

 

（三）美國多部門針對BlackMatter勒索軟件聯合發布警告

美國聯邦調查局(FBI)、網絡安全和基礎設施安全局(CISA)、和國家安全局(NSA)10月18日聯合發布了安全警告，旨在提供有關BlackMatter勒索軟件的信息。自2021年7月以來，BlackMatter勒索軟件針對多個美國關鍵基礎設施實體，包括兩個美國食品和農業部門組織。

該安全警告提供了從在沙盒環境中分析的BlackMatter勒索軟件樣本，以及受信任的第三方報告中獲得的有關網絡攻擊者策略、技術和程序(TTP)的信息。BlackMatter使用嵌入的、先前已泄露的憑據，利用輕量級目錄訪問協議(LDAP)和服務器消息塊(SMB)協議訪問Active Directory(AD)以發現網絡上的所有主機。BlackMatter然后在發現主機和共享驅動器時對其進行遠程加密。

針對關鍵基礎設施實體的勒索軟件攻擊可能直接影響消費者對關鍵基礎設施服務的訪問。因此，CISA、FBI和NSA敦促所有組織，尤其是關鍵基礎設施組織，應用以下緩解措施來降低BlackMatter勒索軟件入侵的風險：

1、實施檢測簽名；

2、使用強密碼；

3、實施多因素身份驗證；

4、修復和更新系統；

5、限制對網絡資源的訪問；

6、實現網絡分割和遍歷監控；

7、使用管理員禁用工具支持身份和特權訪問管理；

8、實施和強制執行備份和恢復政策和程序。

BlackMatter于2021年7月首次出現，是勒索軟件即服務(Raas)工具，允許勒索軟件的開發人員從針對受害者部署它的網絡犯罪附屬機構（即BlackMatter參與者）中獲利。BlackMatter可能是DarkSide的延續，DarkSide是一個從2020年9月到2021年5月活躍的RaaS。BlackMatter的參與者攻擊了許多美國組織，并要求以比特幣和門羅幣支付80,000到15,000,000美元的贖金。

參考來源：CISA http://33h.co/9g5a9

 

（四）澳大利亞政府發布勒索軟件行動計劃

澳大利亞內政部長近日宣布了“澳大利亞政府勒索軟件行動計劃”，這是該國應對不斷上升的威脅采取的一系列新措施。

勒索軟件是一個全球性問題，澳大利亞企業并未被排除在代價高昂的服務中斷攻擊之外。7月份，該國政府警告LockBit活動升級。根據澳大利亞信息專員辦公室(OAIC)的一份報告，與2020年下半年相比，2021年上半年由勒索軟件攻擊引起的數據泄露事件增長了24%。

為了應對這一風險，澳大利亞政府已通過澳大利亞《2020年網絡安全戰略》批準了為期十年的16.7億澳元的巨額投資，其中勒索軟件計劃是該計劃的一部分。該勒索軟件行動計劃亮點包括：

1、成立一個名為Operation Orcus的多機構特別工作組，由澳大利亞聯邦警察AFP領導；

2、為所有受害實體引入強制性勒索軟件事件報告條款；

3、為各種規模的企業制定提高認識的計劃；

4、對國內的網絡勒索者和勒索軟件實施者實施更嚴厲的懲罰；

5、更積極地呼吁促進勒索軟件攻擊，或為網絡犯罪分子提供避風港的國家；

6、積極跟蹤和攔截已確認鏈接到勒索軟件操作或其他網絡犯罪的加密貨幣交易。

該計劃得到了164.9億澳元的投資支持，其中大約一半用于雇傭額外100名AFP特工。新工作組將承擔識別、調查和瞄準網絡犯罪分子的角色。

為了進一步加強調查和破壞勒索軟件攻擊的能力，政府正在尋求通過《2021年監視立法修正案》建立新的權力。

根據這項新立法，澳大利亞聯邦警察(AFP)和澳大利亞刑事情報委員會(ACIC)將有權刪除或移除與涉嫌犯罪活動相關的數據，允許訪問設備和網絡，甚至允許接管在線帳戶用于調查目的。

這些新的權力將允許執法部門刪除在勒索軟件攻擊期間被盜并存儲在攻擊者操作的服務器上以用于雙重勒索計劃的數據。如果受害者不支付贖金，執法部門希望通過刪除數據來防止潛在的數據泄露。

在支持受害者方面，該計劃還包括610萬澳元用于幫助企業從災難性網絡攻擊中恢復過來，并培訓中小企業如何改善其網絡安全狀況。

參考來源：BleepingComputer http://33h.co/9g5n7

 

（五）美國Sinclair廣播電視集團遭受勒索軟件攻擊

美國Sinclair廣播電視集團10月18日證實，其在周末遭受了勒索軟件攻擊，攻擊者還從公司網絡中竊取了數據。

Sinclair的聲明表示，“2021年10月16日，公司確定并開始調查并采取措施遏制潛在的安全事件。2021年10月17日，公司發現其環境中的某些服務器和工作站被勒索軟件加密，并且某些辦公和運營網絡中斷。數據也取自公司的網絡。公司正在努力確定數據包含哪些信息，并將根據其審查采取其他適當措施。發現安全事件后，及時通知高級管理層，公司實施事件響應計劃，采取措施遏制事件，并展開調查。聘請了法律顧問、網絡安全取證公司和其他事件響應專業人員。該公司還通知了執法部門和其他政府機構。取證調查仍在進行中。雖然公司專注于積極管理此安全事件，但該事件已導致并可能繼續導致公司部分業務中斷，包括其本地廣播電臺代表其客戶提供本地廣告的某些方面。公司正在努力工作，以快速、安全地恢復運營。由于公司正處于安全事件調查和評估的早期階段，公司目前無法確定該事件是否會對其業務、運營或財務業績產生重大影響。”

Sinclair Broadcast Group廣播電視集團旗下的電視臺周末在美國各地出現故障，多位消息人士表示，勒索軟件攻擊導致停機。

Sinclair廣播集團是一家財富500強媒體公司，2020年年收入59億美元，也是當地領先的體育和新聞提供商，擁有多個全國性網絡。其業務包括?？怂?span lang="EN-US">(Fox)、美國廣播公司(ABC)、哥倫比亞廣播公司(CBS)、全國廣播公司(NBC)和The CW等185家電視臺，包括21個地區性體育網絡品牌，在全美87個市場擁有約620個頻道，幾乎占美國家庭總數的40%。

Sinclair正在努力確定數據包含哪些信息，并將根據其審查采取其他適當的行動。在發現安全事件后，Sinclair及時通知高層管理人員，公司實施事件響應計劃，采取措施控制事件，并展開調查。

這是2021年7月影響Sinclair電視臺事件后的第二起，此前該公司在發生安全漏洞后，要求所有Sinclair電視臺盡快更改密碼。

有消息人士稱，勒索軟件攻擊導致了這些重大技術問題。攻擊者已經能夠通過Sinclair的企業Active Directory域域影響許多電視臺，關閉了域的Active Directory服務，通過阻止跨網絡訪問域資源，導致整個組織和附屬機構的廣泛中斷。

幾家公司的資產在這起事件中被關閉，包括電子郵件服務器、廣播和新聞編輯室系統，迫使電視臺創建Gmail賬戶，從觀眾那里接收新聞提示，并使用PowerPoint制作新聞播報圖像。

盡管地方體育頻道基本上沒有受到這起事件的影響，但在一些美國市場，地方NFL比賽被全國性體育節目取代，如保齡球。由于這些持續的問題，一些電視臺也被迫切換到Facebook直播而不是常規的新聞播報，而其他電視臺則被迫完全推遲晚間新聞播報。

自從Sinclair電視臺遭受攻擊的報道開始出現以來，其中一些電視臺已經設法重新開始廣播。然而，很明顯，這起事件對他們造成了嚴重影響。例如，一位消息人士稱，盡管KABB已備份，但他們在天氣圖形方面存在問題。WCHS也已上線，Fox NewsEdge的新聞報道直接從瀏覽器窗口全屏播放，而WPGH和KOKH也無法顯示其標準圖形。WBSF和WCWN正在播放不同的節目，從CW節目切換到子頻道Charge!。少數節目似乎受到了更嚴重的影響，如WPFO，進行了半小時的新聞廣播，而不是通常的一小時，以及WTAT和WRGB，不得不完全取消新聞廣播。

Sinclair發言人表示，他們成為了勒索軟件攻擊的目標，“Sinclair Broadcast Group最近發現了一起涉及我們網絡的網絡安全事件。由于該事件，某些設備被勒索軟件加密，數據從我們的環境中獲取，某些業務運營中斷。通知了高級管理層，我們實施了事件響應和業務連續性協議，采取措施控制事件，并展開調查。聘請了一家在類似情況下協助其他公司的網絡安全公司，并通知了執法部門和其他政府機構。我們正在努力解決事件并快速安全地恢復運營。在我們努力完成調查的過程中，我們將尋找機會加強我們現有的安全措施。我們感謝您在我們處理此事件時的耐心和理解。”

參考來源：BleepingComputer http://33h.co/94wvt

 

（六）以色列Hillel Yaffe醫院遭受重大勒索軟件攻擊

位于以色列哈德拉的Hillel Yaffe醫療中心遭受了重大勒索軟件攻擊，醫院系統受到影響，該醫院一直在使用替代系統為患者提供治療。

據耶路撒冷郵報報道，“自從襲擊發生以來，沒有任何事先警告，醫院在治療患者時一直使用替代系統，并一直在手寫患者信息。除了選擇性非緊急手術外，醫院正常運作。所有關鍵設備都在正常工作，包括CT和MRI掃描儀。”

由于網絡攻擊而無法在Hillel Yaffe接受治療的患者將被轉移到內坦亞的Laniado醫療中心。

以色列國家網絡局局長Yigal Unna將該事件歸類為“重大”攻擊。Unna指出，這是第一次勒索軟件攻擊使以色列一家醫院的系統癱瘓。以色列國家網絡局宣布，“衛生部已將醫院更新為預防措施”。據Maariv媒體報道，這次攻擊是由一個新的勒索軟件組織發起的，該組織也針對美國的一家醫院。

以色列組織和企業在過去兩年中遭受了大量攻擊，航空航天等一些行業受到的影響更大。

國家網絡局報告稱，它在2020年通過119熱線處理了11,000多個查詢，比2019年處理的量增加了約30%。該局向實體提出了大約5,000項請求，以處理使他們遭受攻擊的漏洞，并與他們保持聯系大約有1,400個實體，涉及未遂或成功的攻擊。

參考來源：SecurityAffairs http://33h.co/9g5cu

 

（七）美國糖果生產商Ferrara Candy遭受勒索軟件攻擊

美國大型糖果制造商Ferrara Candy遭受了勒索軟件攻擊，中斷了一些設施的運營，該公司正在恢復服務。該事件發生在萬圣節前幾周，但此次黑客攻擊不應影響其萬圣節食品供應。

Ferrara Candy公司總部位于美國芝加哥，是Lemonheads、Atomic Fireballs、Keebler和其他公司的母公司。Ferrara Candy表示，攻擊者于10月9日用勒索軟件攻擊了該公司，對系統進行了加密。有關違規行為的具體細節很少，但Ferrara表示，該事件不太可能影響萬圣節糖果供應，因為在黑客入侵之前，大部分不給糖就搗蛋的庫存已經運往零售商。費拉拉還生產巴赫玉米糖。

該公司表示，執法部門正在調查此事，外部專家將繼續幫助恢復系統。Ferrara在10月19日的一份聲明中表示，“我們已經在選定的制造工廠恢復了生產，我們正在從全國所有的配送中心發貨，接近全部產能。我們現在也在努力處理我們隊列中的所有訂單。”

此次違規事件是勒索導致美國一家主要組織停止生產的最新例子。這是一個存在多年的問題，在過去18個月中變得更加嚴重。燃料運輸公司Colonial Pipeline、肉類生產商JBS、及總部位于愛荷華州的農業公司New Cooperative等眾多其他黑客事件加劇了緊迫感，導致白宮峰會召開，來自30個國家的代表討論了可能的解決方案。

美國政府18日發布的一份咨詢報告警告包括食品生產商在內的美國關鍵基礎設施公司，勒索軟件攻擊者BlackMatter要求支付80,000至1500萬美元的高額款項。該警告表示，“針對食品和農業部門的勒索軟件攻擊會擾亂運營，造成經濟損失，并對食品供應鏈產生負面影響。”

參考來源：CyberScoop http://33h.co/9g74e

 

（八）阿根廷國家人事登記處RENAPER遭受黑客入侵

一名黑客入侵了阿根廷政府的IT網絡，并竊取了該國所有居民的身份證詳細信息，這些數據現在正在私人圈子中出售。遭受黑客攻擊目標是國家人事登記處RENAPER。

該機構是阿根廷內政部的一個重要組成部分，其任務是向所有公民發放國民身份證，并將數據以數字格式存儲，作為其他政府機構可訪問的數據庫，是大多數政府查詢公民的個人信息的支柱。

本月早些時候，當一個名為@AnibalLeaks的Twitter新注冊帳戶發布了44位阿根廷名人的身份證照片和個人詳細信息，這是有人違反RENAPER的第一個證據。其中包括該國總統阿爾貝托·費爾南德斯、多名記者和政治人物的詳細信息，甚至足球巨星萊昂內爾·梅西和塞爾吉奧·阿圭羅的數據。

在圖像和個人詳細信息在Twitter上發布后的第二天，黑客還在一個著名的黑客論壇上發布了一則廣告，表示可以提供查找任何阿根廷用戶的個人詳細信息。

在Twitter上泄密后，面對媒體的尋味，阿根廷政府在三天后確認了安全漏洞。

內政部在10月13日的新聞稿中表示，其安全團隊發現，分配給衛生部的VPN帳戶被用于在RENAPER數據庫中查詢19張照片，“就在這些照片發布在社交網絡Twitter上的那一刻。”

官員補充表示，“RENAPER數據庫沒有遭受任何數據泄露或泄露”，當局目前正在調查八名政府雇員可能在泄露中扮演的角色。

然而，The Record研究人員聯系了在黑客論壇上租用RENAPER數據庫訪問權限的個人，黑客說他們有一份RENAPER數據的副本，這與政府的官方聲明相矛盾。該個人通過提供一些阿根廷公民的個人詳細信息（包括高度敏感的特拉米特號碼）來證明他們的陳述。

該黑客表示，“也許幾天后我將發布100萬或200萬人的數據”。他們還表示，他們計劃繼續向所有感興趣的買家出售對這些數據的訪問權限。

政府新聞稿表示，其中官員將入侵歸咎于可能被盜的VPN帳戶，黑客表示“粗心的員工”，間接證實了切入點。

根據黑客在線提供的樣本，他們現在可以訪問的信息包括姓名、家庭住址、出生日期、性別信息、身份證簽發和到期日期、勞工識別碼、特拉米特號碼、公民號碼和政府照片身份證。阿根廷目前估計人口超過4500萬，但不清楚數據庫中有多少條目。黑客聲稱擁有這一切。

這是繼2017年和2019年Gorra泄露事件之后，該國歷史上第二起重大安全漏洞，當時黑客行動主義者泄露了阿根廷政客和警察部隊的個人詳細信息。

參考來源：TheRecord http://33h.co/9gtu2

 

（九）Macaw Locker勒索軟件是Evil Corp的新變種

Evil Corp黑客組織推出了一種名為Macaw Locker的新型勒索軟件，以逃避美國禁止受害者支付贖金的制裁。

Evil Corp黑客組織又名Indrik Spider或Dridex，自2007年以來一直參與網絡犯罪活動，但主要是作為其他組織的附屬機構。但隨著時間的推移，該組織開始專注于自己的攻擊，在網絡釣魚攻擊中創建和分發一種名為Dridex的銀行木馬程序。

隨著勒索軟件攻擊變得越來越有利可圖，Evil Corp發起了一項名為BitPaymer的活動，通過Dridex惡意軟件傳送到受感染的公司網絡。該黑客組織的犯罪活動最終導致他們在2019年受到美國政府的制裁。由于這些制裁，勒索軟件談判公司將不再為歸因于Evil Corp的業務提供贖金支付。

為了繞過美國的制裁，Evil Corp開始以WastedLocker、Hades、Phenoix Locker和PayloadBin等各種名義創建有限使用的勒索軟件操作。其他據信但未證明與Evil Corp有關聯的勒索軟件家族是DoppelPaymer，最近更名為Grief。

本月，奧林巴斯(Olympus)和辛克萊廣播集團(Sinclair)的運營受到周末勒索軟件攻擊的嚴重干擾。對Sinclair來說，這導致電視廣播被取消，播出不同的節目，新聞播音員用白板和紙報道故事。人們發現，這兩次攻擊都是由一種名為Macaw Locker的新型勒索軟件發起的。

Emsisoft首席技術官Fabian Wosar表示，根據代碼分析，MacawLocker是Evil Corp勒索軟件家族的最新變體。從網絡安全行業消息來源獲悉，僅有的兩個Macaw Locker受害者是Sinclair和Olympus。

消息人士還分享了兩次攻擊的私人Macaw Locker受害者頁面，其中威脅行為者要求支付450比特幣做為贖金，即2800萬美元，另一起攻擊要求支付4000萬美元。目前尚不清楚哪個贖金要求與哪家公司相關。

Macaw Locker勒索軟件會在進行攻擊時加密受害者的文件，并在文件名后附加.macaw擴展名。在加密文件時，勒索軟件還會在每個文件夾中創建名為macaw_recover.txt的勒索信件。對于每次攻擊，贖金信件都包含Macaw Locker的Tor站點上唯一的受害者協商頁面，以及相關的解密ID或活動ID。該組織的暗網談判網站包含受害者遭遇的簡要介紹、免費解密三個文件的工具、以及與攻擊者談判的聊天框。

 

現在既然Macaw Locker已被暴露是Evil Corp的變種，很可能會看到威脅行為者再次重新命名他們的勒索軟件。在Evil Corp停止執行勒索軟件攻擊或取消制裁之前，這種持續不斷的貓捉老鼠游戲可能永遠不會結束。然而，這兩種情況都不太可能在不久的將來發生。

參考來源：BleepingComputer http://33h.co/94m8t

 

（十）REvil勒索軟件的Tor站點遭受劫持，可能導致再次關閉

一個身份不明的人士劫持了REvil勒索軟件運營的Tor支付門戶及數據泄露網站，導致REvil勒索軟件運營可能再次關閉。

REvil的Tor站點在17日早些時候下線，一名與REvil行動有關的威脅行為者在XSS黑客論壇上發布消息稱，有人劫持了該團伙的域名。

該帖子首先是由Recorded Future的Dmitry Smilyanets發現的，并指出一個身份不明的人使用與REvil的Tor站點相同的私鑰劫持了Tor隱藏服務（onion域），并且可能擁有這些站點的備份。

一個名為0_neday的威脅行為者在黑客論壇上發帖聲稱，“但是自從我們今天10月17日從莫斯科時間12:00開始，有人用與我們的密鑰相同的密鑰提出了登陸和博客的隱藏服務，我的擔心得到了證實。第三方有onion服務密鑰的備份。”

威脅行為者繼續表示，他們沒有發現服務器受到威脅的跡象，但將關閉該操作。然后，威脅行為者告訴附屬機構通過Tox與他聯系，以獲取解密密鑰，這樣附屬機構可能會繼續勒索受害者，并在支付贖金時提供解密程序。

要啟動Tor隱藏服務（.onion域），需要生成一個私鑰和公鑰對，用于初始化服務。私鑰必須是安全的，并且只有受信任的管理員才能訪問，因為任何有權訪問此密鑰的人都可以使用它在自己的服務器上啟動相同的.onion服務。由于第三方能夠劫持域，這意味著他們也可以訪問隱藏服務的私鑰。

17日晚上，0_neday再次在黑客論壇主題上發帖，但這一次表示他們的服務器被入侵了，無論是誰做的，都是針對威脅行為者的。目前，尚不清楚是誰破壞了他們的服務器。

由于Bitdefender和執法部門獲得了主REvil解密密鑰的訪問權。并發布了免費的解密器，一些威脅行為者認為FBI或其他執法部門自重新啟動以來就可以訪問服務器。由于沒有人知道REvil成員Unknown發生了什么，威脅行為者也有可能試圖重新控制操作。

在REvil通過Kaseya MSP平臺中的零日漏洞對公司進行大規模攻擊后，REvil運營突然關閉，其面向公眾的發言人Unknown消失了。在Unknown沒有回來之后，其余的REvil運營商在9月使用備份再次啟動了操作和網站。從那以后，勒索軟件業務一直在努力招募用戶，甚至將附屬公司的傭金提高到90%，以吸引其他威脅行為者與他們合作。

由于這次最新的事故，其當前論壇中的操作可能會永遠消失。然而，對于勒索軟件來說，沒有什么好事會永遠持續下去，我們很可能很快就會將它們重新命名為一項新的組織。

參考來源：BleepingComputer http://33h.co/9gjpw

 

（十一）民族國家黑客Harvester針對南亞電信及政府部門發起攻擊

賽門鐵克研究人員新發現了一個APT組織Harvester，在間諜活動中以IT、電信和政府部門為攻擊目標。該以前不為人所知威脅組織可能得到民族國家的支持，正在攻擊南亞的組織，重點是阿富汗，這似乎是一場使用新工具集的信息竊取活動。

Harvester組織在2021年6月開始攻擊，使用自定義惡意軟件和公開可用的工具，最近的活動發生在2021年10月。目標行業包括電信、政府和IT。這些工具的功能、定制開發以及目標受害者都表明Harvester是一個民族國家支持的參與者。

這次活動最值得注意的是攻擊者部署的以前沒見過的工具集。攻擊者在受害機器上部署了一個名為Backdoor.Graphon的自定義后門，以及其他下載器和屏幕截圖工具，為攻擊者提供遠程訪問權限，并允許他們監視用戶活動并竊取信息。

研究人員沒有發現Harvester用來破壞受害者網絡的初始感染媒介，但在受害者機器上發現的有關Harvester活動的第一個證據是惡意URL。該組織隨后開始部署各種工具，包括其定制的Graphon后門，以獲得對網絡的遠程訪問。該組織還試圖通過利用合法的CloudFront和Microsoft基礎設施進行命令和控制(C&C)活動，將其活動與合法網絡流量混合。

Harvester組織在攻擊中使用的工具包括：

1、Backdoor.Graphon，使用Microsoft基礎架構進行C&C活動的自定義后門；

2、自定義下載器，使用Microsoft基礎架構進行C&C活動；

3、自定義屏幕截圖器，定期將屏幕截圖記錄到文件中；

4、Cobalt Strike Beacon，將CloudFront基礎設施用于其C&C活動。Cobalt Strike是一個現成的工具，可用于執行命令、注入其他進程、提升當前進程或模擬其他進程，以及上傳和下載文件；

5、Metasploit，一個現成的模塊化框架，可用于受害機器上的各種惡意目的，包括權限提升、屏幕捕獲、設置持久后門等。

雖然研究人員還沒有足夠的證據將Harvester的活動歸因于特定的民族國家組織，但該組織使用自定義后門、為隱藏其惡意活動而采取的廣泛措施以及其目標都表明它是一個國家贊助的參與者。Harvester使用合法的基礎設施來托管其C&C服務器以融入正常的網絡流量，這是該行為者采取的隱秘步驟的一個例子。

考慮到阿富汗最近發生的巨大動蕩，這場運動中針對阿富汗的組織也很有趣。Harvester開展的活動清楚地表明該活動的目的是間諜活動，這是民族國家支持活動背后的典型動機。Harvester最近的活動是在本月早些時候發生的，這意味著相關部門和地區的組織應該警惕這些惡意活動。

參考來源：ThreatPost http://33h.co/9gz6k

 

（十二）壓縮軟件WinRAR試用版存在遠程代碼執行漏洞

Positive Technologies研究人員Igor Sak-Sakovskiy發現，Windows的壓縮文件程序WinRAR中存在一個遠程代碼執行漏洞CVE-2021-35052，影響該程序的試用版，受影響的版本為5.70。

該研究人員表示，“此漏洞允許攻擊者攔截和修改發送給應用程序用戶的請求。這可用于在受害者的計算機上實現遠程代碼執行(RCE)，該漏洞編號為CVE-2021-35052。我們在WinRAR 5.70版中偶然發現了這個漏洞。”

 

研究人員安裝了該軟件并注意到它產生了JavaScript錯誤，具體錯誤表明Internet Explorer引擎正在呈現此錯誤窗口。

經過一系列測試，研究人員發現，試用期結束后，軟件開始顯示錯誤消息，三次執行中有一次顯示錯誤消息。用于顯示錯誤的這個窗口使用了編寫WinRAR的Borland C++的mshtml.dll實現。研究人員使用Burp Suite作為默認的Windows代理來攔截顯示消息時產生的流量。

對WinRAR通過notifier.rarlab[.]com提醒用戶免費試用期結束時發送的響應代碼的分析表明，如果可以緩存重定向，請將其修改為301 Moved Permanently重定向消息任何后續請求的惡意域。研究人員還發現，訪問同一網域的攻擊者通過ARP欺騙攻擊，遠程啟動應用程序、檢索本地主機信息、運行任意代碼。

Sak-Sakovskiy表示，“接下來，我們嘗試修改從WinRAR到用戶的截獲響應。我們沒有每次使用惡意內容攔截和更改默認域notifier.rarlab.com響應，而是注意到，如果響應代碼更改為301 Moved Permanently，則重定向到惡意域attacker.com將被緩存，所有請求都將轉到attacker.com。”

研究人員指出，第三方軟件中的漏洞給組織帶來了嚴重的風險，它們可以被利用來訪問系統的任何資源，并可能訪問托管它的網絡。“不可能審核用戶可能安裝的每個應用程序，因此策略對于管理與外部應用程序相關的風險以及平衡此風險與各種應用程序的業務需求至關重要。管理不當會產生廣泛的后果。”

參考來源：SecurityAffairs http://33h.co/9426k

 

（十三）3D打印平臺Thingiverse泄露超22萬用戶信息

據報道，流行的3D打印平臺Thingiverse大約228,000名用戶的身份驗證詳細信息被盜并發布在暗網上。

泄漏的消息不是來自Thingiverse本身，而是來自Have I Being Pwned(HIBP)，它在上周收到提示后掌握了泄露帳戶的詳細信息。此次泄露的信息包括電子郵件地址、用戶名、IP、出生日期及密碼，HIPB表示這些信息已在黑客論壇上公開。

Thingiverse的母公司MakerBot公關經理Bennie Sham企圖淡化這一事件，稱這是內部的人為錯誤導致了一些非敏感信息的泄露，并表示已通知受影響的用戶修改密碼。

Sham表示，求受影響的Thingiverse用戶已被通知要求更新密碼，即使沒有任何可疑的嘗試訪問Thingiverse帳戶。“我們為此事件表示歉意，并對由此給用戶帶來的不便表示遺憾。我們致力于通過透明度和嚴格的安全管理來保護我們寶貴的利益相關者和資產。”

參考來源：TechRadar http://33h.co/9493d

 

 

（如未標注，均為天地和興工業網絡安全研究院編譯）