目   錄

第一章 國外關鍵信息基礎設施安全動態

（一）美國國務院將設立專門網絡辦公室

（二）歐洲議會通過網絡安全指令草案

（三）NSA及CISA發布5G云基礎設施安全指南

（四）多倫多公共交通系統遭受勒索軟件攻擊

（五）英國工黨披露數據泄露事件

（六）巴布亞新幾內亞財政部遭受勒索軟件攻擊

（七）巴基斯坦國家銀行遭受破壞性網絡攻擊

（八）烏克蘭安全局披露Armageddon黑客組織對烏克蘭進行5000多次攻擊

（九）威脅行為者Balikbayan Foxes冒充菲律賓政府傳播RAT惡意軟件

（十）伊朗黑客組織Black Shadow攻擊以色列互聯網托管公司Cyberserve

（十一）新型攻擊方法Trojan Source可將漏洞隱藏在源代碼中

（十二）FBI發布警告Ranzy Locker勒索軟件攻擊超過30家組織

（十三）FBI發布警告HelloKitty勒索軟件組織增加DDoS攻擊策略

（十四）BlackMatter勒索軟件組織關閉

（十五）Mekotio銀行木馬卷土重來

（十六）知名珠寶商Graff遭受Conti勒索軟件攻擊

 

 

 

第一章 國外關鍵信息基礎設施安全動態

（一）美國國務院將設立專門網絡辦公室

美國國務卿Antony Blinken表示，美國國務院將成立一個網絡空間和數字政策局，由參議院任命的大使領導，以推進其網絡安全外交努力。此舉是對具有挑戰性的全球威脅形勢的回應，包括據信經常在俄羅斯境內進行的勒索軟件攻擊。

10月27日，Blinken在國務院討論現代化工作時正式宣布了該辦公室。Blinken證實，“我打算在國會的支持下，成立一個新的網絡空間和數字政策局，任命一名大使領導，并任命一名新的關鍵和新興技術特使。這兩人將至少在第一年向副國務卿Wendy Sherman匯報工作。”

Blinken在發給該部門工作人員的一封電子郵件中表示，“這種結構將為我們提供更大的領導力和責任感，以推動跨機構和國外的外交議程，并在非凡的工作基礎上進一步發展。我們希望確保技術為民主服務，反擊錯誤信息，維護互聯網自由，減少濫用監視技術，我們希望促進合作，一項技術一項技術地推進這一議程，一個問題一個問題地推進，民主伙伴站在我們一邊。”Blinken將網絡安全列為該部門現代化的關鍵支柱之一，并呼吁將該部門IT預算增加50%。

在特朗普政府將網絡外交置于中心舞臺的努力不平衡之后，國務院內部開始關注網絡安全。2017年，時任國務卿Rex Tillerson將一個前網絡安全辦公室與另一個局合并，引發了安全界的批評。

在特朗普總統任期即將結束之際，時任國務卿龐佩奧重建了一個網絡安全辦公室，名為網絡空間安全和新興技術局，但共和黨和民主黨立法者都對其設置和時機持批評態度。據報道，即將上任的拜登政府審查了蓬佩奧的提議，似乎正在推進類似的模式。

據The Hill報道，國務院發言人Ned Price表示，新辦公室將專注于國際網絡空間安全、國際數字政策和數字自由。國防部新任關鍵和新興技術特使將領導與盟友和合作伙伴以及跨多邊論壇的外交努力。

美國空軍前網絡和安全技術經理、Vectra AI公司技術總監Tim Wade表示，“可以說，這是另一個跡象，表明強大的民族國家不太清楚是將網絡沖突歸類為軍事領域還是外交領域，還是兩者兼而有之。關于國家辦公室的一個明顯問題是，在制定政策規范和制定國家安全戰略時，他們將如何管理與美國國防部網絡司令部的管轄權重疊。”

據CNN報道，Price表示，“即使成立了這個新局，這些問題將在整個部門、整個政府中普遍存在。所以它不會被明確定義，但我們確實看到了確保我們有一個專注于這些問題的局的巨大價值。”目前還沒有人被任命為大使或特使。

宣布后，幾位長期以來一直主張設立類似辦公室的立法者對此舉表示贊賞。緬因州參議員Angus King在推特上表示，“隨著網絡空間成為現代戰爭和侵略的戰場，網絡局正是我們保護美國網絡和制定國際規范所需要的。我們與拜登政府的做法完全一致，這正是我們更好地協調網絡外交和圍繞網絡安全制定國際規范所需的舉措。”

ThycoticCentrify公司公共部門副總裁Bill O'Neill在討論國務院的倡議時表示，“這清楚地表明，聯邦政府正在繼續將網絡安全作為優先事項。通過將該局整合到國務院，現任政府正在發出信號，該國的網絡防御措施將繼續作為國內目標，以及全球外交優先事項。”

該部門的舉動與眾議院外交事務委員會高級成員德克薩斯州眾議員邁克麥考爾提出的法案相媲美。眾議院通過的《網絡外交法》將要求國務院設立一個類似的辦公室，并優先考慮整個機構的網絡安全。

奧巴馬和特朗普政府的前國務院網絡安全問題協調員Christopher Painter也在Twitter上贊揚了這一努力，他表示，“這是一個偉大的發展和強大的結構。我早就說過，一個新的網絡局需要跨領域的權威，并在組織中處于高層。這既包括廣泛和適當的授權，也包括向副國務卿報告。更妙的是，因為了解網絡及其重要性，以及安全、經濟和人權問題如何相互依存。很高興看到這些問題再次獲得應有的關注、資源和優先權。”

ThycoticCentrify的O'Neill表示，“辦公室的三個主要任務，很可能被解釋為加強推動全球合作，以從多邊平臺打擊民族國家行為者，包括實施和執行國際標準和政策、完善補救策略和攻擊歸因措施、或為長期監管數字技術創建新的主動框架。”

參考來源：InfoRiskToday http://33h.co/9qrc9

 

（二）歐洲議會通過網絡安全指令草案

2021年10月28日，歐洲議會工業、研究和能源委員會通過了一項關于網絡安全的指令草案(NIS2指令)。NIS2指令將擴大現有NIS指令的范圍，以適用于“重要部門”，如廢物管理、郵政服務、化學品、食品、醫療設備制造商、數字提供商和電子產品生產商，以及“基本部門”。NIS2指令強加了與事件響應、供應鏈安全、加密和漏洞披露義務相關的特定網絡安全要求。NIS2指令還旨在在歐盟成員國之間建立更好的合作和信息共享，并創建一個共同的歐洲漏洞數據庫。

新的法律草案將在風險管理、報告義務和信息共享方面規定更嚴格的網絡安全義務。根據該草案，歐盟國家必須采取更嚴格的監管和執法措施，并協調其制裁制度。

與現有立法相比，新指令將迫使更多實體和部門采取措施。新的安全條款將涵蓋能源、交通、銀行、衛生、數字基礎設施、公共行政和航天部門等“基本部門”。此外，新規則還將保護所謂的“重要部門”，例如郵政服務、廢物管理、化學品、食品、醫療器械制造、電子、機械、機動車輛和數字提供商。立法將涵蓋選定部門的所有大中型公司。

具體而言，要求包括事件響應、供應鏈安全、加密和漏洞披露等條款。成員國將能夠識別具有高安全風險的較小實體，而網絡安全將成為最高管理層的責任。

該指令還為不同當局和成員國之間更好的合作和信息共享建立了一個框架，并創建了一個歐洲漏洞數據庫。

最初的網絡安全指令是在2017年制定的，但歐盟國家以不同的方式實施，從而使單一市場分散，導致網絡安全水平不足。歐洲議會議員表示，鑒于當前的網絡安全威脅水平很高，因此非常需要更新的立法。

歐洲議會議員Bart Groothuis表示，“網絡犯罪在2019年翻了一番，勒索軟件在2020年增加了兩倍，但我們的公司和機構在網絡安全上的支出比美國少41%。我們必須加強歐盟的網絡安全，并創建工具以在網絡事件發生時共同處理。我們無法阻止所有網絡犯罪的發生，但我們可以比以往更好地保護自己，也比其他人更好。這項新立法使歐盟成為一個安全的工作和經商場所。”

歐洲議會強調，網絡攻擊不僅是全球增長最快的犯罪形式之一，而且規模、成本和復雜程度也在不斷增長。2017年，Cybersecurity Ventures預測，到2021年，全球勒索軟件損害成本將達到200億美元，是2015年的57倍。它還預測，到2021年，公司將從2016年的每40秒遭受一次勒索軟件攻擊上升到每11秒遭受一次勒索軟件攻擊。

歐盟網絡安全機構(ENISA)最新發布的《2021年威脅展望》報告指出，網絡安全攻擊在2020年和2021年持續增加，不僅在載體和數量方面，而且在影響方面。新冠病毒大流行也對網絡安全威脅格局產生了影響。

參考來源：EuropeanParliament http://33h.co/9sm7d

 

（三）NSA及CISA發布5G云基礎設施安全指南

美國CISA及NSA近日發布5G云基礎設施指南，旨在保護云本地5G網絡免受企圖通過破壞云基礎設施進行拒絕訪問攻擊。CISA及NSA向構建和配置5G云基礎設施的服務提供商和系統集成商發布了該建議，包括云服務提供商、核心網絡設備供應商、和移動網絡運營商。

該指南由四部分組成，以2021年5月持久安全框架(ESF)繼5G研究小組之后發布的白皮書為基礎，該研究小組探索5G網絡固有的潛在威脅向量和漏洞。這也是與政府和行業專家合作確定影響5G安全的風險的直接結果。

該指南表示，“5G網絡是云端原生網絡，對于希望拒絕或降低網絡資源或以其他方式破壞信息的網絡威脅行為者來說，是一個有利可圖的目標。為了應對這種威脅，必須安全地構建和配置5G云基礎設施，具備檢測和響應威脅的能力，為部署安全網絡功能提供強化環境。”

今日發布了該指南的第一部分，側重于減輕已破壞5G云系統的威脅行為者的橫向移動企圖。CISA和NSA表示，5G服務提供商和系統集成商可以實施以下措施，來阻止和檢測5G云中的橫向移動：

1、在5G云中實施安全身份和訪問管理(IdAM)；

2、使5G云軟件保持最新狀態，并沒有已知漏洞；

3、在5G云中安全配置網絡；

4、鎖定隔離網絡功能之間的通信；

5、監測對抗性橫向運動的跡象；

6、開發和部署分析以檢測復雜的對抗性存在。

有關5G基礎設施潛在威脅向量的更多信息，可參閱CISA及NSA和國家情報局長辦公室聯合發布的白皮書。白皮書提供了5G威脅向量的概述，以及有關政策和標準威脅場景、供應鏈威脅場景和5G系統架構威脅場景的詳細信息。

NSA網絡安全總監Rob Joyce表示，“構建和配置5G云基礎設施的服務提供商和系統集成商，可以應用本指南，盡自己的一份力量，來改善我們國家的網絡安全。”

5G云基礎設施安全指南的另外三個部分將重點關注：

第二部分：安全隔離網絡資源：確?？蛻糍Y源之間有安全隔離，重點是保護支持虛擬網絡功能運行的容器堆棧。

第三部分：保護傳輸中、使用中和靜態數據：確保網絡和客戶數據在數據生命周期的所有階段（靜態、傳輸中、處理中、銷毀時）都受到保護。

第四部分：確?；A設施的完整性：確保5G云資源（例如容器鏡像、模板、配置）不被未經授權修改。

參考來源：BleepingComputer http://33h.co/9qptd

 

（四）多倫多公共交通系統遭受勒索軟件攻擊

多倫多交通委員會表示，10月28日周四晚，多倫多公共交通機構遭受了勒索軟件攻擊，擾亂了司機和通勤者使用的多個系統。

多倫多交通委員會(TCC)在10月29日周五的新聞稿中表示，“TCC的一名IT人員發現了這一異常網絡活動。直到今天中午，黑客擴大了對網絡服務器的攻擊，影響都很小。”

據TTC發言人Stuart Green稱，該事件影響了內部系統，例如該機構的內部電子郵件服務器，和基于視頻的駕駛員通信系統TTC Vision。在問題得到解決之前，操作人員被迫使用無線電進行通信，

除了TTC后端系統外，該事件還影響了面向客戶的服務器。截至目前，為殘疾人提供的交通工具Wheel-Trans的預訂門戶仍處于離線狀態。此外，此次攻擊還影響了在車站平臺屏幕、內部旅行計劃應用程序、和TTC網站上顯示有關TTC車輛的實時信息的能力。

但盡管遭到襲擊，公共交通路線并未中斷，公共汽車、電車和地鐵列車繼續正常運行。

11月2日上午，Green表示，Vision系統的部分功能已重新上線，包括操作員通信和車輛跟蹤。然而電子郵件、Wheel Trans在線預訂、車輛到站預報服務沒有恢復，也沒有恢復時間表。IT部門仍未確定所涉及的勒索軟件種類或攻擊者是否復制了任何數據。

11月2日下午，在線預訂系統重新上線。11月3日下午，車輛預報服務重新上線。

參考來源：TheRecord http://33h.co/9q7n7

 

（五）英國工黨披露數據泄露事件

英國工黨披露了一起數據泄露事件，管理其數據的服務提供商遭受了勒索軟件攻擊。英國工黨已通知了有關當局和成員，其部分信息受到安全漏洞的影響。在外部專家的幫助下，調查仍在進行中，以確定事件的嚴重程度。

數據泄露通知顯示，“2021年10月29日，第三方告知我們發生了網絡攻擊事件。第三方告訴我們，該事件導致大量當事人數據在其系統上無法訪問。在收到有關這些事項的通知后，我們立即聘請了第三方專家，并立即將事件報告給了有關當局，包括國家犯罪署（NCA）、國家網絡安全中心（NCSC）和信息專員辦公室（ICO）。”

泄露的數據包括成員、注冊和附屬支持者以及其他向工黨提供信息的個人提供的信息。

工黨建議可能受到影響的成員對可疑活動（即可疑電子郵件、電話或短信）保持警惕，并在可能的情況下啟用雙因素身份驗證(2FA)。

參考來源：Labour http://33h.co/9qzt7

 

（六）巴布亞新幾內亞財政部遭受勒索軟件攻擊

巴布亞新幾內亞財政部長兼代理財務主管John Pundari證實，財政部綜合財務管理系統遭受了勒索軟件攻擊，擾亂了政府的支付和運營。該系統管理著數億美元的外援資金，但攻擊者要求巴布亞新幾內亞支付比特幣贖金，因此而被禁用。

Pundari表示，政府沒有向任何黑客或第三方支付贖金，并補充表示，該系統現已“完全恢復”。但作為預防措施，他表示，政府不允許受影響的網絡完全使用，同時清理了服務器環境并采取了臨時措施。

Pundari在一份聲明中表示，“巴布亞新幾內亞政府和人民可以放心，政府的金融服務將照常繼續。財政部意識到其數據的安全性和完整性。因此，將逐步恢復對所有政府機構的服務，包括國家以下級別的服務，以避免損害或允許任何進一步傳播此惡意軟件或其他病毒。”

巴布亞新幾內亞的網絡安全環境很脆弱，它已經開始依賴其發展伙伴的技術援助。然而，根據2020年由巴布亞新幾內亞國家網絡安全中心委托澳大利亞資助的一份報告，中國電信巨頭華為在巴布亞新幾內亞建造的一個數據中心暴露了政府的機密文件被盜。

悉尼洛伊研究所太平洋島嶼項目主任Jonathan Pryke表示，巴布亞新幾內亞的財政拮據使其無法建立一個強大的網絡安全環境。他表示，其系統暴露在外，政府可能不得不重新開始建設安全網絡，這需要大量投資。但Pryke表示，在巴布亞新幾內亞優先事項列表中，網絡安全遠未達重要位置。

參考來源：RNZ http://33h.co/9qjta

 

（七）巴基斯坦國家銀行遭受破壞性網絡攻擊

據消息人士稱，巴基斯坦國家銀行(NBP)遭受了破壞性網絡攻擊。該事件發生在10月29日周五至周六的晚上，影響了銀行的后端系統，并影響了用于連接銀行分行的服務器、控制銀行ATM網絡的后端基礎設施、以及銀行移動應用程序。

據該銀行及熟悉此次攻擊及當前調查人士稱，雖然此次攻擊導致一些系統癱瘓，但沒有資金丟失的報告。該銀行在30日的一份聲明中表示，“已立即采取措施隔離受影響的系統。”

系統恢復工作在周末全面展開。截至11月1日周一，NBP報告稱，已有1,000多家分支機構正常營業，并為客戶提供服務，全國所有ATM機均已全面恢復。

但是，盡管NBP官員進行了明確的溝通，但遭受黑客攻擊的消息并沒有阻止一些驚慌失措的客戶在周一早上沖向ATM取款。再加上當地新聞媒體的一些不準確報道，即多達9家不同的銀行遭到黑客攻擊，巴基斯坦政府不得不介入并發表聲明，以平息情緒，并防止周一所有巴基斯坦銀行發生擠兌。

巴基斯坦國家銀行表示，“一些關于銀行網絡安全攻擊的假新聞正在流傳，包括首席發言人Abid Qamar先生的言論。根據這些假新聞，有9家銀行受到攻擊，資金被提取，數據被盜。SBP拒絕接受這些消息。除了NBP之外，沒有一家銀行面臨過網絡攻擊。此外，到目前為止，還沒有發現任何經濟損失或數據泄露。SBP正在密切監視局勢，并將通過官方渠道分享有關該事件的任何更新或信息。”

據知情人士透露，該事件目前并未作為勒索軟件攻擊進行調查，而是作為破壞企圖進行調查。

巴基斯坦安全研究員Rafay Baloch在Twitter上分享了一張截圖，聲稱是其中一個受影響的NBP系統。屏幕截圖顯示，Windows計算機由于缺少引導配置文件錯誤而無法啟動。

參考來源：TheRecord http://33h.co/9sa71

 

（八）烏克蘭安全局披露Armageddon黑客組織對烏克蘭進行5000多次攻擊

烏克蘭安全局(SSU)11月4日披露，與俄羅斯聯邦安全局(FSB)克里米亞分支有關的黑客組織Armageddon(又名Gamaredon)對烏克蘭的公共當局和關鍵基礎設施進行了5,000多次網絡攻擊。

SSU已成功識別了攻擊者的姓名、攔截了他們的通信、并獲得了他們參與攻擊無可辯駁的證據，盡管他們使用FSB專有的惡意軟件和工具來保持匿名和在線隱藏。該組織的5名成員已被告知涉嫌叛國罪。

這五名Armageddon APT組織成員分別為：FSB塞瓦斯托波爾分部SCO第四部分負責人Chernykh Mykola Serhiiovych、FSB塞瓦斯托波爾分部SCO第四部分副主任Sklianko Oleksandr Mykolaiovych、FSB塞瓦斯托波爾分公司SCO第四部分官員Starchenko Anton Oleksandrovych、Sushchenko Oleh Oleksandrovych、及Miroshnychenko Oleksandr Valeriiovych。

ARMAGEDON黑客組織是FSB的一個特殊項目，專門針對烏克蘭。這條“工作線”由位于莫斯科的FSB第18中心（信息安全中心）協調。

自2014年俄羅斯入侵以來，該組織已進行了5,000多次網絡攻擊，并試圖感染1,500多個政府計算機系統。攻擊目標包括：

1、控制關鍵基礎設施（發電廠、供熱和供水系統）；

2、竊取和收集情報，包括訪問受限的信息（與安全和國防部門、政府機構有關）；

3、信息和心理影響；

4、封鎖信息系統。

目前正在進行調查和取證檢查，以將FSB員工因以下罪行繩之以法：間諜、未經授權干擾計算機、自動化系統等工作、創建惡意軟件或硬件以供使用、分發或銷售。

SSU不斷采取措施遏制和消除俄羅斯對烏克蘭的網絡侵略。SSU網絡安全部、SSU調查人員、與烏克蘭國防部主要情報局聯合開展了此次行動，并在總檢察長辦公室的監督下進行。

參考來源：SSU http://33h.co/9s2ez

 

（九）威脅行為者Balikbayan Foxes冒充菲律賓政府傳播RAT惡意軟件

Proofpoint研究人員新發現了一個非?；钴S的威脅行為者，名為Balikbayan Foxes或TA2722，冒充多個菲律賓政府傳播惡意軟件Remcos及NanoCore。

在整個2021年，該組織的一系列活動冒充多個菲律賓政府實體，包括衛生部、菲律賓海外就業管理局(POEA)和海關局。其他相關活動偽裝成沙特阿拉伯王國馬尼拉大使館(KSA)和DHL菲律賓。這些消息針對北美、歐洲和東南亞的各個行業，其中頂級行業包括航運、物流、制造、商業服務、制藥、能源和金融。

Proofpoint評估，該行為者的目標是直接或間接與菲律賓政府有聯系的組織，其持續欺騙電子郵件地址和提供旨在冒充政府實體的誘餌。例如航運、運輸和物流公司會經常在?？扛叟c海關官員接觸。此外，制造和能源公司支持并維護大型供應鏈運營，可能需要與勞工和海關組織進行通信。

所有活動都分發了Remcos或NanoCore遠程訪問木馬(RAT)。Remcos和NanoCore通常用于信息收集、數據竊取操作、受感染計算機的監視和控制。雖然惡意軟件的相關基礎設施會隨著時間的推移而發生變化，但發件人的電子郵件卻被重復使用了很長一段時間。

2020年，菲律賓政府實體發布了多個警報，警告用戶使用諸如菲律賓新冠病毒感染信息和POEA勞工信息等主題進行誘餌相關活動。

威脅行為者使用偽造的電子郵件地址進行魚叉式網絡釣魚攻擊。發件人電子郵件在很長一段時間內被重復使用。攻擊者使用了多種誘餌，包括新冠病毒感染率、計費、發票和咨詢。

Proofpoint將活動分為兩個不同的威脅活動集群。在所有情況下，信息誘餌都是英文的。包含多種威脅分發機制：

1、OneDrive URL鏈接到帶有嵌入式UUE文件的RAR文件；

2、帶有嵌入式OneDrive鏈接或其他惡意URL的PDF電子郵件附件，會導致下載和運行惡意軟件的壓縮可執行文件（.iso文件）；

3、包含宏的壓縮MS Excel文檔，如果啟用，則會下載惡意軟件。

Remcos是一種可在線購買的商品遠程訪問工具。NanoCore也是商品惡意軟件，由Aeonhack用.NET編寫。該代碼使用Eazfuscator.NET 3.3進行了混淆。NanoCore RAT在各種黑客論壇上出售，NanoCore包括許多功能和插件。Remcos和NanoCore RAT均由眾多網絡犯罪威脅參與者使用許多不同的交付技術和誘餌進行分發。

該組織至少自2018年8月以來一直活躍，在2020年10月之前每月進行多次活動。威脅行為者于2021年9月重新開始活動，使用偽裝成菲律賓海關CPRS的網絡釣魚消息，并包含指向憑證收集的鏈接頁。

Proofpoint高度自信地評估TA2722是一個高度活躍的威脅行為者，利用菲律賓政府的主題，并針對東南亞、歐洲和北美的各種組織。此威脅行為者很可能正試圖獲得對目標計算機的遠程訪問權限，這些計算機可用于收集信息或安裝后續惡意軟件或參與商業電子郵件入侵(BEC)活動。

參考來源：Proofpoint http://33h.co/9q025

 

（十）伊朗黑客組織Black Shadow攻擊以色列互聯網托管公司Cyberserve

伊朗黑客組織Black Shadow在10月30日晚泄露了多家以色列公司的數據，如約會應用程序Atraf、巴士公司Dan、及旅游預訂公司Pegasus。

10月30日早，該組織泄露了巴士應用程序Kavim的數據，并在Telegram上表示，“他們沒有聯系我們，所以第一批數據在這里。如果你不聯系我們，情況會更糟。”并附上了一張似乎是以色列公民個人信息數據庫的照片。

Kavim在10月30日下午發表聲明稱其知道這起安全事件，“我們得知事件后，公司立即聯系了交通運輸部、網絡安全總部，并聘請了該領域的外部專業人員，對事件進行了全面、專業和獨立的調查。”他們還就泄露個人信息向用戶道歉，并表示將努力防止此類事件再次發生。

該組織10月29日周五宣布，他們入侵了以色列互聯網公司Cyberserve服務器，并迅速將其關閉，并威脅要泄露數據。Cyberserve是一家網絡托管公司，這意味著它為各行各業的其他公司提供服務器和數據存儲。伊朗黑客獲取的數據涵蓋了廣泛的業務：從旅游預訂公司Pegasus到巴士公司Dan，甚至以色列兒童博物館。

除此之外，Cyberserve負責開發LGBTQ約會網站Atraf，該網站自周六早些時候就一直處于關閉狀態。值得擔憂的是，黑客可能會訪問敏感信息，從而導致網站用戶的敏感信息被公開。

該組織在Telegram中表示，“再一次問好！我們有消息要告訴你，你今天可能無法連接到許多站點。Cyberserve及其客戶受到了我們的傷害。你一定會問，數據呢？和往常一樣，我們有很多。如果您不希望它被我們泄露，請盡快與我們聯系。”

黑客組織Black Shadow尚未泄露他們聲稱擁有的大量數據，盡管自攻擊宣布以來，被入侵的網站一直處于離線狀態，因為黑客關閉了CyberService服務器，從而使其客戶的網站癱瘓。

該組織此前攻擊了以色列汽車保險公司Shirbit和金融公司KLS，要求支付比特幣作為贖金，并在Cyberserve未能付款時關閉服務器。2020年12月對Shirbit的攻擊是當時針對以色列公司的最大網絡攻擊，Black Shadow要求50個比特幣作為贖金。2020年的一項調查顯示，以色列公司在2020年向黑客支付了超過10億美元的贖金，預計2021年的數字還會增加。

在Black Shadow之前的攻擊中，受影響的公司聲稱該組織是伊朗人。去年對Shirbit的攻擊導致以色列客戶的私人文件被公開，包括結婚證、財務文件、身份證掃描件和醫療文件。黑客還威脅說，如果不付款，就會將數據出售給情報機構。

網絡安全顧問Einat Meyron表示，“攻擊組織的身份不太重要。就被攻擊的公司而言，出于保險和聲譽的原因，他們顯然希望將這次襲擊歸咎于伊朗。實際上，沒有必要通過避免行使基本防御來讓攻擊者更容易。有必要毫無疑問地證明這是一個伊朗組織，由于誹謗的影響，這既不重要也不重要，因為伊朗的歸屬并不一定表明這是一個‘伊朗任務’。”Meyron進一步解釋表示，為伊朗政權工作的團體不太可能在隨機地點的記錄上“浪費能源”，而是旨在對關鍵基礎設施造成重大破壞。

目前尚不清楚Cyberserve是否計劃支付Black Shadow想要的贖金，或者黑客組織計劃如何公開泄露數據。

參考來源：TheJerusalemPost http://33h.co/9qtwj

 

（十一）新型攻擊方法Trojan Source可將漏洞隱藏在源代碼中

劍橋大學研究人員發現了一種新型攻擊方法，名為Trojan Source，可以濫用Unicode將漏洞偷偷隱藏在代碼中，影響了軟件開發人員使用的許多編譯器、解釋器、代碼編輯器、和代碼存儲庫前端服務。

Unicode是世界上大多數書寫系統中一致編碼、表示和處理文本的標準。有些語言是從左到右書寫的（如英語），而另一些是從右到左書寫的例如希伯來語和阿拉伯語）。但是，Unicode提供了一項功能，稱為雙向(Bidi)算法，用于需要混合兩種類型的書寫時。例如，在用從左到右的語言寫成的句子中，用從右到左的語言寫一個單詞。

劍橋大學研究人員發現，Bidi可以被濫用來創建代碼，以一種方式顯示在代碼編輯器中，但編譯器會對其進行不同的解釋。威脅行為者可以利用這種方法向廣泛使用的開源軟件提交惡意代碼，查看代碼的個人可能會看到看似無害的代碼，但實際上卻引入了漏洞。

攻擊的另一個變體利用同形文字，即視覺上幾乎相同的字符。攻擊者可以利用此方法在上游包中定義可從目標代碼調用的同形文字函數。

研究人員在一篇研究論文中表示，“對源代碼的攻擊對有動機的攻擊者來說既極具吸引力又極具價值，因為惡意插入的后門可以被合并到簽名代碼中，并在野外長期存在。此外，如果后門被插入到許多其他應用程序下游包含的開源軟件組件中，這種攻擊的影響范圍可能非常大。Trojan-Source攻擊引入了將此類漏洞隱形插入源代碼的可能性，從而完全繞過了當前針對它們的主要控制，即人工源代碼審查。這會使后門更難被發現，并且更容易被攻擊者執行。”

C、C++、C#、JavaScript、Java、Rust、Go和Python已被發現受到影響。CVE-2021-42574和CVE-2021-42694已分配給本研究期間發現的漏洞。

研究人員還在Windows、macOS和Linux上進行了測試，以評估廣泛使用的代碼編輯器，如VS Code、Atom、SublimeText、Notepad、vim和emacs，以及基于網絡的服務，如GitHub和BitBucker。它們中的每一個都至少受到Trojan Source攻擊的一種變體的影響。

劍橋研究人員掃描了公開可用的源代碼，以尋找木馬源攻擊已被用于惡意目的的跡象。雖然沒有證據表明存在Trojan Source攻擊，但他們確實看到了類似的技術被利用，盡管許多技術不一定是惡意的。

參考來源：SecurityWeek http://33h.co/9sw9r

 

（十二）FBI發布警告Ranzy Locker勒索軟件攻擊超過30家組織

美國聯邦調查局10月25日發布警告稱，自2020年末至2021年7月，已有30多家美國信息技術、交通運輸部門、關鍵制造業建筑部門、和政府設施學術部門的受害者遭受了Ranzy Locker勒索軟件攻擊，對此FBI向可能面臨風險的組織發出緊急警報。

根據CISA發布的警報，大多數受害者在針對遠程桌面協議(RDP)的暴力憑據攻擊后受到威脅，以獲得對目標網絡的訪問權。

據FBI稱，最近的受害者報告表示，惡意黑客利用Microsoft Exchange Server中的已知漏洞和網絡釣魚攻擊破壞系統。一旦部署到位，使用Ranzy Locker勒索軟件的人會從受感染的網絡中竊取文件，通常會竊取個人信息、客戶詳細信息和財務記錄，然后再部署勒索軟件以加密整個系統的文件。受害者會在受影響的文件夾中找到贖金票據，要求支付加密貨幣以換取解鎖加密文件的密鑰，并防止泄露的文件通在暗網泄露。

Ranzy Locker遵循勒索軟件即服務(RaaS)商業模式，將更復雜的攻擊基礎設施置工作交給注冊成為附屬機構手中。任何人都可以租用像Ranzy Locker這樣的勒索軟件來進行自己的攻擊，實使其變得更加危險。

如果只有一個組織使用Ranzy Locker來攻擊公司，那么受害者人數將受到有限資源的限制。但是，當所有人都可以使用勒索軟件時，沒有什么能阻止任何人嘗試碰碰運氣并發起攻擊。因此，組織機構清楚地知道需要關準什么很重要，FBI的緊急警報包括與Ranzy Locker相關IOC以及用于檢測威脅的Yara規則。

此外，FBI就如何減輕勒索軟件威脅提出了一些建議：

1、對所有數據進行定期備份，作為氣隙、密碼保護的離線副本存儲。確保這些副本不可從原始數據所在的任何系統進行修改或刪除；

2、實施網絡分段，這樣網絡上的所有機器都不能從其他機器訪問；

3、在所有主機上安裝并定期更新殺毒軟件，并啟用實時檢測；

4、更新/補丁發布后，立即安裝更新/補丁操作系統、軟件和固件；

5、查看新的或無法識別的用戶帳戶的域控制器、服務器、工作站和活動目錄；

6、審核具有管理權限的用戶帳戶，并以最低權限配置訪問控制。不要給所有用戶管理權限；

7、禁用未使用的遠程訪問/遠程桌面協議(RDP)端口，并監視遠程訪問/RDP日志中的任何異?；顒?；

8、考慮為從組織外部收到的電子郵件添加電子郵件橫幅；

9、禁用收到的電子郵件中的超鏈接；

10、登錄帳戶或服務時使用雙重身份驗證。

參考來源：Tripwire http://33h.co/9qit1

 

（十三）FBI發布警告HelloKitty勒索軟件組織增加DDoS攻擊策略

美國聯邦調查局(FBI)近日發布緊急警報，警告私營行業合作伙伴，HelloKitty勒索軟件組織(又名FiveHands)已將分布式拒絕服務(DDoS)攻擊添加到其勒索策略庫中。

在與CISA聯合發布的通知中，FBI表示，如果受害者不遵守贖金要求，勒索軟件組織將在DDoS攻擊中關閉受害者官方網站。

HelloKitty因在加密之前從受害者的受感染服務器中竊取敏感文件而聞名。泄露的文件會被用來當做籌碼，威脅要在數據泄露網站上泄露被盜數據，從而迫使受害者支付贖金。

聯邦調查局表示，“在某些情況下，如果受害者沒有迅速做出反應，或沒有支付贖金，威脅行為者將在受害者公司面向公眾的網站上發起分布式拒絕服務(DDoS)攻擊。Hello Kitty攻擊者要求以比特幣支付不同金額的贖金，這些贖金是為每個受害者量身定制的，與評估的受害者支付能力相稱。如果沒有支付贖金，威脅行為者會將受害者數據發布到Babuk網站的有效負載，或將其出售給第三方數據代理。”

該勒索軟件運營商使用多種方法來破壞目標網絡，包括利用泄露的憑據和SonicWall產品中最近修補的安全漏洞，如CVE-2021-20016、CVE-2021-20021、CVE-2021-20022、CVE-2021-2002。

HelloKity是一種人工操作的勒索軟件操作，自2020年11月開始活躍，并于2021年1月首次被FBI發現。該組織此前在2月份破壞并加密了CD Projekt Red的系統，并聲稱竊取了Cyberpunk 2077、Witcher 3、Gwent和其他游戲的源代碼。HelloKitty隨后聲稱有人購買了從CD Projekt Red竊取的文件，但從未得到證實。

至少從2021年7月開始，該勒索軟件組織使用針對VMware的ESXi虛擬機平臺的Linux變體。在企業目標遷移到使用虛擬機以更有效地使用資源和更輕松的設備管理之后，HelloKitty只是針對Linux服務器的多個勒索軟件組織之一。

通過以虛擬機為目標，勒索軟件運營商現在可以使用單個命令同時加密多個服務器，從而節省時間和精力。根據受害者在ID Ransomware平臺上提交的內容，HelloKitty在7月和8月開始在攻擊中使用Linux變體后立即大幅增加了活動。HelloKitty勒索軟件及其變體又名DeathRansom或Fivehands。

參考來源：BleepingComputer http://33h.co/9q074

 

（十四）BlackMatter勒索軟件組織關閉

BlackMatter勒索軟件組織宣布，迫于執法部門壓力，將關閉其業務。安全研究人員vx-underground于11月3日發現，該組織11月1日在其RaaS門戶網站上發布了公告，“由于某些與當局壓力相關的無法解決的情況，該項目已關閉。在最新消息發布后部分團隊不再可用。48小時后，整個基礎設施將關閉，可以向公司發出郵件以進行進一步溝通，或在聊天對話框中輸入“獲得解密程序”來獲取解密程序。我們祝你一切順利，我們很高興工作?！?/span>

BlackMatter關閉的消息是在過去兩周發生的兩起重大事件之后發布的。在該組織作出這一決定之前，美國和俄羅斯當局最近宣布加強合作，以遏制以俄羅斯為基地的網絡犯罪組織，如FIN7網絡犯罪團伙。

10月份，美國CISA、FBI和NSA發布了一份公告，其中提供了有關BlackMatter勒索軟件操作和防御建議的詳細信息。該公告提供了與勒索軟件組織相關的策略、技術和程序(TTP)的信息，這些信息是通過對BlackMatter勒索軟件樣本的分析以及可信賴的第三方報告獲得的。

該BlackMatter組織自七月底開始運營，是Darkside和REvil的繼任者。與其他勒索軟件操作一樣，BlackMatter也建立了泄漏站點，在該站點上發布從受害者那里竊取的數據，然后再對其系統進行加密。

BlackMatter勒索軟件即服務(RaaS)首先被Recorded Future研究人員發現，該組織正在使用兩個網絡犯罪論壇（例如Exploit和XSS）上發布的廣告建立附屬網絡。

該組織正在招募能夠訪問年收入超過1億美元或更大的大型企業網絡的騙子，試圖用其勒索軟件感染他們。該組織正在美國、英國、加拿大或澳大利亞尋找企業網絡。

BlackMatter勒索軟件運營商宣布，他們不會針對醫療保健組織、關鍵基礎設施、國防工業組織和非營利公司。8月，該組織實施了針對VMware ESXi虛擬機平臺的Linux加密器。BlackMatter運營商已經襲擊了許多美國組織，并要求以比特幣和門羅幣支付80,000至15,000,000美元的贖金。

最近，由多個州的執法部門進行的一項國際行動允許關閉并扣押REVIL勒索軟件組織使用的攻擊基礎設施。上周，歐洲刑警組織、挪威警方和其他當局開展的一項聯合行動導致12人因勒索軟件攻擊全球組織而被捕，包括關鍵基礎設施運營商。嫌疑人參與了針對71個國家/地區的受害者的1,800多次勒索軟件攻擊，攻擊者主要針對大型公司。該組織的受害者名單還包括在2019年遭到襲擊的挪威巨頭Norsk Hydr,在勒索軟件攻擊發生后僅一周，該公司就宣布損失超過4000萬美元。

參考來源：SecurityAffairs http://33h.co/9qzwu

 

（十五）Mekotio銀行木馬卷土重來

CheckPoint研究人員發現，Mekotio銀行木馬背后的運營商重新浮出水面，其感染流程發生了變化，以躲避安全軟件監視，在過去三個月中發起了近100次攻擊。

Check Point Research研究人員表示，“主要特征之一是模塊化攻擊，它使攻擊者能夠僅更改整體的一小部分，以避免檢測。”據稱，最新一波攻擊主要針對位于巴西、智利、墨西哥、秘魯和西班牙的受害者。

這一發展是在西班牙執法機構于2021年7月逮捕了該網絡犯罪團伙的16人之后發生的，這些人與經營Mekotio和另一種名為Grandoreiro的銀行惡意軟件有關，這是針對歐洲金融機構的社會工程活動的一部分。

Mekotio惡意軟件的進化版本旨在通過攻擊鏈來破壞Windows系統，該攻擊鏈以偽裝成待處理稅收收據的網絡釣魚電子郵件開始，并包含指向ZIP文件的鏈接或作為附件的ZIP文件。單擊打開ZIP存檔會觸發批處理腳本的執行，該腳本又會運行PowerShell腳本以下載第二階段的ZIP文件。

這個二級ZIP文件包含三個不同的文件，一個自動熱鍵(AHK)解釋器、一個AHK腳本和Mekotio DLL負載。PowerShell腳本然后調用AHK解釋器來執行AHK腳本，該腳本運行DLL負載，以從網上銀行門戶竊取密碼并將結果泄露回遠程服務器。

惡意模塊的特點是使用簡單的混淆技術，例如替換密碼，使惡意軟件具有改進的隱身能力，并使大多數防病毒解決方案無法檢測到。

Check Point的Kobi Eisenkraft表示，“為了進入金融機構，Mekotio銀行木馬竊取用戶名和密碼，這是是非常危險的。因此，逮捕行動阻止了西班牙幫派的活動，但并未阻止Mekotio背后的主要網絡犯罪集團。”

強烈建議拉丁美洲的用戶使用雙因素身份驗證來保護他們的帳戶免受接管攻擊，并注意相似的域、電子郵件或網站中的拼寫錯誤以及來自陌生發件人的電子郵件。

參考來源：TheHackerNews http://33h.co/9s2zc

 

（十六）知名珠寶商Graff遭受Conti勒索軟件攻擊

Conti勒索軟件組織攻擊了上流社會珠寶商Graff，并勒索要求支付數百萬美元的贖金，不然就要公布其客戶的私人信息，包括世界領導人、知名演員、億萬富翁等。

該公司的客戶是全球最富有的人，包括唐納德·特朗普、大衛·貝克漢姆、湯姆·漢克斯、塞繆爾·杰克遜、亞歷克·鮑德溫、和菲利普·格林爵士。作為黑客攻擊的證據，該組織已在其泄密網站上公布了與大衛·貝克漢姆、奧普拉、和唐納德·特朗普的購買相關的文件。

Conti是一家俄羅斯勒索軟件組織，泄露了69,000份機密文件，包括客戶名單、發票、收據和信用記錄。Conti聲稱，所發布的信息涉及Graff約11,000名客戶，僅占被盜文件的1%。

對顧客隱私的影響可能大于購買珠寶的價值，一些購買可能會顯示出戀人與重要人物之間的尷尬關系。目前不能排除，如果Graaf拒絕支付贖金，該組織可能會出于上述原因試圖勒索其客戶。

Graaf發言人對《每日郵報》表示，“遺憾的是，我們與其他許多企業一樣，最近成為了專業和堅定的犯罪分子進行復雜的網絡攻擊的目標。我們的安全系統提醒我們，注意他們的入侵活動，使我們能夠迅速做出反應并關閉網絡。我們通知了相關執法機構和ICO，并一直在與他們合作。我們已通知了個人數據受到影響的相關人員，并建議他們采取適當的步驟。我們能夠在幾天內重建和重啟我們的系統，關鍵是沒有無法挽回的數據丟失。”

該公司通知了包括ICO在內的英國當局，并宣布將能夠在幾天內從攻擊中恢復其系統。此時，已經有數千人訪問了泄漏站點，挖掘已發布的文件，并尋找敏感信息。

Conti勒索軟件組織是最活躍、最具攻擊性的勒索軟件團伙之一。9月份，CISA、FBI和NSA警告稱，針對美國組織的Conti勒索軟件攻擊數量有所增加。Conti勒索軟件運營商運行私人勒索軟件即服務(RaaS)，該惡意軟件于2019年12月底出現在威脅領域，并通過TrickBot感染進行分發。專家推測，這些運營商是俄羅斯網絡犯罪組織Wizard Spider的成員。

自2020年8月以來，該組織啟動了泄密網站，以威脅其受害者發布被盜數據。今年5月美國FBI透露，Conti勒索軟件組織已經攻擊了至少16個醫療保健和急救組織。

八月份，Conti的一家附屬公司向其RaaS客戶泄露了集團提供的培訓材料，并公布了其中一家運營商的信息。Conti運營商向其附屬公司提供服務，并維持每筆贖金支付的20-30%。

參考來源：SecurityAffairs http://33h.co/9q51w

 

（如未標注，均為天地和興工業網絡安全研究院編譯）