目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）工信部發布《“十四五”信息通信行業發展規劃》

（二）國家網信辦對《網絡數據安全管理條例（征求意見稿）》公開征求意見

（三）阿里云ECS被惡意加密貨幣挖礦軟件劫持

 

第二章 國外關鍵信息基礎設施安全動態

（一）DDS協議存在多個安全漏洞影響關鍵基礎設施

（二）FBI電子郵件服務器遭受黑客攻擊發送虛假警告

（三）CISA發布聯邦機構網絡安全事件及漏洞響應手冊

（四）美國FTC發布小型企業勒索軟件防御指南

（五）美國國土安全部啟動新舉措以吸引網絡安全人才

（六）威脅行為者使用HTML走私技術進行網絡釣魚攻擊

（七）伊朗APT組織利用Fortinet和微軟漏洞開展惡意網絡攻擊

（八）黑客組織MosesStaff攻擊以色列組織

（九）美國與以色列合作打擊勒索軟件攻擊

（十）Emotet惡意軟件卷土重來

（十一）企業間諜黑客RedCurl使用新策略恢復攻擊活動

（十二）微軟披露Azure AD中存在高危漏洞

（十三）Mandiant認為Ghostwriter與白俄羅斯有關

 

 

 

 

第一章 國內關鍵信息基礎設施安全動態

（一）工信部發布《“十四五”信息通信行業發展規劃》

11月16日，工業和信息化部發布《“十四五”信息通信行業發展規劃》（下稱《規劃》）?！兑巹潯钒?span lang="EN-US">4大部分、26條發展重點、近3萬字，描繪了信息通信行業的發展藍圖，是未來五年加快建設網絡強國和數字中國、推進信息通信行業高質量發展、引導市場主體行為、配置政府公共資源的指導性文件。

與以往的五年規劃相比，本次《規劃》一方面進一步凸顯了信息通信行業的功能和定位：是構建國家新型數字基礎設施、提供網絡和信息服務、全面支撐經濟社會發展的戰略性、基礎性和先導性行業。另一方面進一步強化了堅持新發展理念、堅持系統觀念方面的有關要求：一是《規劃》全面對接國家關于新發展階段、新發展理念和新發展格局的戰略構想和相關規劃體系，提出行業高質量發展新思路，設定6大類20個量化發展目標；二是《規劃》確定了五個方面26項發展重點和21項重點工程，首次明確提出了加強跨地域跨行業統籌協調的重點任務，并通過增加工程數量進一步明確了任務落地實施的重點和抓手。

《規劃》適應信息通信行業內涵擴大和結構變遷的新情況，牢牢把握高質量發展這個主題，內容上呈現以下亮點：

一是《規劃》內涵范圍與“十三五”相比呈現持續擴大的趨勢?；A設施已從以信息傳輸為核心的傳統電信網絡設施，拓展為融感知、傳輸、存儲、計算、處理為一體的，包括“雙千兆”網絡等新一代通信網絡基礎設施、數據中心等數據和算力設施、以及工業互聯網等融合基礎設施在內的新型數字基礎設施體系。網絡和信息服務也從電信服務、互聯網信息服務、物聯網服務、衛星通信服務、云計算及大數據等面向政企和公眾用戶開展的各類服務，向工業云服務、智慧醫療、智能交通等數字化生產和數字化治理服務新業態擴展。

二是《規劃》系統總結了行業發展取得的矚目成績，同時也梳理了現階段仍存在的幾點不足。“十三五”期間，我國信息通信行業總體保持平穩較快發展態勢，行業綜合實力再上臺階、網絡供給和服務能力顯著增強、行業管理和改革開放持續深化、安全保障能力不斷提升，為下一個五年發展奠定良好基礎。同時，面向新階段我國經濟社會高質量發展新要求和滿足人民日益增長的美好數字生活新需要，在信息基礎設施區域布局、信息通信技術融合應用和產業生態、行業管理能力、網絡安全和應急保障四個方面還存在一些短板和弱項，這也將是“十四五”時期信息通信行業著力補短板強弱項的重要方向。

三是《規劃》概括了行業“十四五”面臨的新形勢，認為機遇仍大于挑戰。信息通信行業面臨5個“新”形勢，即新使命、新動能、新空間、新要求、新挑戰，這是基于國家宏觀環境、行業自身定位和行業發展態勢作出的綜合判斷。從宏觀環境看，我國發展仍然處于重要戰略機遇期，同時，國際環境日趨復雜，不穩定性不確定性明顯增加，國家發展將進入高質量發展階段，將加快構建“雙循環”新發展格局,行業發展必須融入這一戰略大局，承擔起相應的使命責任。從行業自身看，隨著信息通信技術與經濟社會融合步伐的加快，信息通信行業在經濟社會發展中的地位和作用更加凸顯，新階段、新特征和國家戰略新安排，要求信息通信行業承擔攻克相關領域技術難題、培育壯大國內新型消費市場、促進全球信息通信領域緊密聯動的歷史使命，成為夯實數字社會的新底座，成為滿足人民美好生活需要、驅動新一輪內生性增長的新動能。在加快新型數字基礎設施建設、支撐全社會數字化轉型過程中，行業將打開新的增長空間，同時在新興業態的跨領域協同監管以及網絡安全保障能力提升等方面也將面臨一些新要求、新挑戰。

四是《規劃》確立了行業高質量發展新思路和基本原則。高質量發展既是經濟社會進入新發展階段的外部要求，也是行業自身可持續發展的內在要求?！兑巹潯啡尕瀼芈鋵嶞h和國家關于新發展階段、新發展理念和新發展格局的戰略構想，在“指導思想”部分提出了“以推動高質量發展為主題”的總體思路，并從方法論、戰略和戰術三個層面進一步闡述，要求處理好供給與需求、發展與安全、政府作用與市場作用3對重要關系?！兑巹潯诽岢鲆盐蘸?span lang="EN-US">3個戰略要點,抓好5個著力點。3個戰略要點承前啟后兼具延續性和前瞻性，一是強調牢牢把握擴大內需這個戰略基點，二是在堅定不移推動制造強國、網絡強國建設基礎上，補充和強調了數字中國建設，三是著重強調要加快推進經濟社會數字化發展。5個著力點分別指向新型數字基礎設施建設、新技術研發和應用推廣、新型行業管理體系建立完善、行業服務質量提升和安全保障能力增強5個方面?！兑巹潯诽岢龅?span lang="EN-US">7項“基本原則”，既強調要堅定不移地貫徹創新、協調、綠色、開放、共享五大發展理念，又強調要堅持依法治理和守法經營，堅守網信安全發展底線。

五是《規劃》體系化梳理了行業發展定量目標，提出的20個量化目標中“新基建”相關指標占比較高?！兑巹潯吩?span lang="EN-US">“發展目標”部分提出了到2025年“行業整體規模進一步壯大，發展質量顯著提升”“成為建設制造強國、網絡強國、數字中國的堅強柱石”的總體目標，并具體從“通信網絡基礎設施能力、數據與算力設施能力、融合基礎設施能力、數字化應用水平、行業治理和用戶權益保障能力、網絡與數據安全保障能力、綠色發展水平”七方面提出分項目標?！兑巹潯愤€以表格形式集中列出了6大類共20個量化目標，與“十三五”《規劃》相比有不少新變化。一是指標體系進行了重新梳理，共設總體規模、基礎設施、綠色節能、應用普及、創新發展、普惠共享六個大類，新設類別進一步強調和呼應了創新引領、綠色環保、惠民共享幾項基本原則，更符合當前階段發展特點和要求。二是指標選取方面有繼承有更新，相比“十三五”《規劃》保留了5個、調整了7個、新增了8個指標，其中新增指標主要體現在5G、千兆光網、工業互聯網等新型數字基礎設施部署和應用方面。

六是《規劃》瞄準發展目標、聚焦問題短板，分別從新型數字基礎設施、數字化發展、行業管理、安全保障以及跨地域跨行業統籌協調五個方面，提出了26項“十四五”期間行業發展和管理的重點方向。

第一，新型數字基礎設施建設方面。按照國家發改委有關表述，新型基礎設施主要包括信息基礎設施、融合基礎設施、創新基礎設施。結合新發展階段信息通信行業范疇拓展的實際情況，《規劃》將信息基礎設施和數字形態的融合基礎設施歸為新型數字基礎設施，作為行業“十四五”期間布局“新基建”的落腳點?！兑巹潯诽岢?span lang="EN-US">5項重點任務，包括全面部署5G、千兆光纖網絡、IPv6、移動物聯網、衛星通信網絡等新一代通信網絡基礎設施，統籌優化數據中心布局，構建綠色智能、互通共享的數據與算力設施，積極發展工業互聯網和車聯網等融合基礎設施，加快構建并形成以技術創新為驅動、以新一代通信網絡為基礎、以數據和算力設施為核心、以融合基礎設施為突破的新型數字基礎設施體系。

第二，數字化發展空間拓展方面?！兑巹潯窂男枨蠛凸┙o兩個角度，提出5項重點任務。一是從擴大內需、培育新型信息消費角度，提出應聚焦各行業各領域數字化發展需求，加大5G、大數據、人工智能等新技術應用力度，深入拓展數字化生產、生活和社會治理新應用，包括線下生活服務的融合化、智能化、無人化升級，信息服務的無障礙化改造和普及應用，互聯網生產服務的和工業互聯網的融合創新，數字化社會治理，數字化疫情防控等。二是從深化供給側結構性改革、提高供給能力角度，提出為了發揮海量數據優勢，應在安全可信數據空間建設、數據流通和交易規則建立、數據要素市場培育、工業大數據融合創新等方面發力，推進數據要素流動和應用創新。同時，為了發揮5G等信息通信技術優勢，將圍繞關鍵技術攻關、終端產品研發和融合應用探索，優化產業發展環境，加強產業鏈協同創新，完善數字化服務應用產業生態。

第三，行業管理體系構建方面。聚焦管主體、管資源、管行為三個方面，《規劃》提出了深化“放管服”改革、構建新型行業管理體系的6項重點任務。管主體方面，在“十三五”期間，全國電信業務經營許可持證主體由3萬家增長至10萬余家的基礎上，提出需要繼續推進行業改革開放，同時進一步簡政放權，優化市場許可準入，為企業松綁減負，營造更好的營商環境。管資源方面，針對電信網碼號、域名、IP地址、工業互聯網標識等基礎資源，提出要進一步提升追蹤溯源能力，實現科學監管、精準監管、智慧監管。對已成為經濟社會發展關鍵要素的海量數據，要從制定完善數據確權、開放、流通和交易的制度入手，強化跨部門數據共享，推動數據從“持有者”向“使用者”的流動。管行為方面，針對擾亂市場競爭秩序、侵害用戶權益等違法違規問題，提出要綜合利用行政處罰、信用管理等手段，加強市場監測巡查，加大執法監督力度，樹立監管權威，營造公平競爭市場秩序。

第四，安全保障體系和能力建設方面。圍繞國家網絡安全工作“四個堅持”基本原則和防范化解重大網絡安全風險的工作主線，《規劃》提出著力完備網絡基礎設施保護和網絡數據安全體系，持續提升新型數字基礎設施安全管理水平，打造繁榮發展的網絡安全產業和可信的網絡生態環境，全面提升行業網絡安全應急處置，構建國家網絡安全新格局等6項重點任務，以支撐國家網絡安全新格局形成?！兑巹潯穼⑿袠I關鍵信息基礎設施及新型數字基礎設施安全保障提到新的戰略高度，通過深化網絡安全防護和風險管理、防范遏制重大網絡安全事件，提升行業關鍵信息基礎設施及新型數字基礎設施保障水平?！兑巹潯肥状螌撔掳l展網絡安全產業作為重要任務之一，通過開展創新示范應用、繁榮網絡安全產業生態培育工程等措施，進一步提升網絡安全產業核心技術掌控水平，為網絡安全保障提供扎實支撐，為數字經濟健康發展保駕護航。

第五，跨地域跨行業統籌協調方面?！兑巹潯窂呢瀼芈鋵崌姨岢龅慕y籌國內國際兩個大局，深入實施區域重大戰略、區域協調發展戰略出發，提出4項重點任務。首次明確提出了跨地域統籌協調中行業要承擔的重點任務，強化了對國家重點區域發展戰略、鄉村振興戰略、“一帶一路”倡議等的銜接落地，具體從區域統籌、城鄉協調、國際國內市場布局三個方面提出了具體任務。此外，還強調了統籌發展和綠色發展的理念，提出要強化信息基礎設施規劃與其他規劃銜接，要深化基礎設施跨行業共建共享，進一步明確了基礎設施跨行業融合共建、提高資源利用效率的方向和思路。

七是為保障規劃落地實施、切實指導行業主體開展各項重點工作，《規劃》還提出了21項重點工程，每一項重點工程都提出了具體的建設內容，將重點任務細化到操作層面。在建設新型數字基礎設施部分設置了5G網絡部署、數據中心高質量發展、移動通信核心技術演進和產業推進等9個重點工程。拓展數字化發展空間部分設置了通信大數據應用創新、5G應用創新和產業生態培育2個重點工程。構建新型行業管理體系部分設置了互聯網“聚源”、市場監管“聚力”、應急通信“聚能”等5個重點工程。全面加強網絡安全保障體系和能力建設部分設置了5G和工業互聯網安全創新、網絡安全技術產業生態培育、網絡安全智慧大腦等4個重點工程。加強跨地域跨行業統籌協調部分設置了新一輪電信普遍服務1個重點工程。

八是為保證任務、工程等高效落地實施，《規劃》從法制建設、政策和資金支持、人才隊伍建設、統籌實施四個方面提出了具體保障措施。

第一，法制建設方面。鑒于《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規已于近期正式發布，《規劃》提出要嚴格落實好，同時提出積極推動行業期盼多年的《電信法》立法工作。此外，《規劃》提出要加強法治宣傳教育培訓，系統推進普法工作，提升信息通信領域依法行政能力和水平。

第二，政策和資金支持方面?！兑巹潯丰槍ΡO管力量薄弱問題，再次提出推動建立信息通信行業部、省、市三級管理體制，爭取行業管理機構向地市一級延伸。針對建設資金不足問題，提出希望發揮國家級政府投資基金、社會資本產業投資基金、地方專項資金等作用，加大對5G、工業互聯網等數字基礎設施發展的支持。針對偏遠地區網絡覆蓋存在市場失靈的問題，提出強化資金保障和政策支持。同時，提出深化產融合作等若干舉措，引導金融機構加大對信息通信重點領域和薄弱環節的支持力度。

第三，人才隊伍建設方面。針對復合型人才和專業型人才緊缺問題，《規劃》提出建立完善多層次人才合作培養模式、依托各類引才引智計劃集聚國內外高層次人才等舉措。針對人才激勵問題，提出推動國家人才發展重大項目對信息通信行業人才隊伍建設的支持、建立多元化人才評價和激勵機制等舉措。

第四，統籌實施方面。為強化落地實施取得實效，《規劃》提出要堅持有效市場和有為政府相結合的基本原則，并提出加強地方規劃和企業規劃與本規劃的銜接，建立部省、部際及部企溝通協調機制，開展規劃實施情況動態監測和評估等幾方面舉措。

《規劃》描繪的信息通信行業五年發展藍圖振奮人心。全行業應沿著規劃指引的目標，緊抓數字化發展的歷史機遇，直面困難和挑戰，匯聚起行業高質量發展的強大合力，一步一個腳印，努力把規劃藍圖變為美好現實，為全面建設社會主義現代化國家開好局、起好步作出重要貢獻。

本文版權歸原作者所有，參考來源：工信部 http://adkx.net/9tqrv

 

 

（二）國家網信辦對《網絡數據安全管理條例（征求意見稿）》公開征求意見

國家網信辦11月14日發布關于《網絡數據安全管理條例（征求意見稿）》公開征求意見的通知。

為落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律關于數據安全管理的規定，規范網絡數據處理活動，保護個人、組織在網絡空間的合法權益，維護國家安全和公共利益，根據國務院2021年立法計劃，國家網信辦會同相關部門研究起草《網絡數據安全管理條例（征求意見稿）》，現向社會公開征求意見。意見反饋截止時間為2021年12月13日。

意見稿提出，國家統籌發展和安全，堅持促進數據開發利用與保障數據安全并重，加強數據安全防護能力建設，保障數據依法有序自由流動，促進數據依法合理有效利用。國家支持數據開發利用與安全保護相關的技術、產品、服務創新和人才培養。國家建立數據分類分級保護制度，按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數據分為一般數據、重要數據、核心數據，不同級別的數據采取不同的保護措施。數據處理者對所處理數據的安全負責，履行數據安全保護義務，接受政府和社會監督，承擔社會責任。數據處理者應當按照有關法律、行政法規的規定和國家標準的強制性要求，建立完善數據安全管理制度和技術保護機制。國家推動公共數據開放、共享，促進數據開發利用，并依法對公共數據實施監督管理。國家建立健全數據交易管理制度，明確數據交易機構設立、運行標準，規范數據流通交易行為，確保數據依法有序流通。大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心，應當向國家網信部門和主管部門報告。

本文版權歸原作者所有，參考來源：網信辦 http://adkx.net/9ttk5

 

 

（三）阿里云ECS被惡意加密貨幣挖礦軟件劫持

趨勢科技研究人員發現，有威脅行為者禁用了阿里云ECS功能，來進行門羅幣加密劫持。

網絡犯罪分子的攻擊目標是阿里巴巴的彈性計算服務(ECS)實例，禁用了某些安全功能，以進一步實現其加密目標。研究人員表示，阿里巴巴提供了一些獨特的選擇，使其成為攻擊者極具吸引力的目標。

趨勢科技表示，阿里云預裝了安全代理。雖然禁用安全不是一種新策略，但在這種情況下，攻擊者使用加密惡意軟件中的一小段特定代碼來創建新的防火墻規則，指示安全過濾器傳播來自屬于阿里巴巴內部區域和區域IP范圍的傳入數據包。

通常，當加密劫持惡意軟件安裝在阿里巴巴ECS存儲桶中時，安全代理會向用戶發送惡意腳本正在運行的通知。在這種情況下，盡管檢測到，“安全代理未能清除正在運行的漏洞并被禁用。查看另一個惡意軟件樣本表明，安全代理在觸發入侵警報之前也已被卸載。”

一旦通過了安全功能，惡意軟件就會繼續安裝現成的XMRig加密貨幣礦工，為門羅幣挖礦。

研究人員指出，由于該服務的一些獨特功能，以及云實例的配置方式，阿里巴巴的目標正在上升。

研究報告表示，“默認的阿里巴巴ECS實例提供root訪問權限。有了阿里巴巴，所有用戶都可以選擇直接向虛擬機(VM)內的root用戶提供密碼。”

這與其他云服務提供商構建其存儲訪問的方式形成鮮明對比。在大多數情況下，最小特權原則是最重要的，有不同的選項，例如不允許通過用戶和密碼進行SSH身份驗證，或允許非對稱加密身份驗證。

這樣，如果網絡攻擊者獲得憑據，僅以低權限訪問權限進入將需要他們做出特殊努力來提升權限。默認情況下，其他云服務提供商不允許用戶通過SSH直接登錄，因此需要權限較低的用戶。

研究人員表示，但在默認的阿里巴巴ECS存儲桶中，擁有被盜憑據或有效的初始入侵漏洞的攻擊者將以盡可能高的特權進入。這為部署高級負載（如內核模塊rootkit）和通過運行系統服務建立持久性打開了大門。

鑒于此功能，多個威脅行為者只需插入一段代碼片段，刪除僅在阿里云ECS中找到的軟件，就可以攻擊阿里云ECS，這也就不足為奇了。

在影響方面，趨勢科技指出，阿里巴巴ECS具有自動擴展功能，服務會根據需求自動擴展計算資源的可用性。這為加密礦工提供了無限的資源。

雖然該功能是免費提供給訂戶的，但資源使用量的增加會導致額外收費。當賬單到達不知情的組織或用戶時，加密礦工可能已經產生了額外的成本。此外，合法訂閱者必須手動刪除感染以清理感染的基礎設施。

此外，該惡意軟件的代碼是模塊化的，因此可以輕松地替換另一個惡意軟件以在環境中執行該密碼礦工。

研究人員表示，“攻擊者可以輕松地用另一種惡意軟件替換惡意加密礦工，這可能會為他們帶來更多利潤，或傳播到其他工作負載和端點。由于很容易以高用戶權限滲入環境，因此可以對項目或基礎設施進行后續攻擊。”

研究人員建議，為了保護自己免受竊取云資源的威脅行為者的侵害，用戶應該創建一個特權較低的用戶，來在每個阿里巴巴ECS實例中運行應用程序和服務。同時研究人員還提供了以下額外指導：

1、實踐責任共擔模型：通讀指南，相應地自定義和啟用工作負載和項目的安全層；

2、確保有多層惡意軟件掃描和漏洞檢測工具；

3、定制云項目和工作負載的安全功能：盡管CSP提供了該功能，但要避免在root權限下運行應用程序和使用SSH密碼；

4、使用公鑰加密進行訪問；

5、遵循最小權限原則：根據各自參與項目或應用程序的級別，限制具有最高訪問權限的用戶數量。

參考來源：ThreatPost http://33h.co/9te9g

 

 

 

第二章 國外關鍵信息基礎設施安全動態

（一）DDS協議存在多個安全漏洞影響關鍵基礎設施

研究人員發現，廣泛使用的數據分發服務(DDS)的協議受到漏洞的影響，威脅行為者可能會出于各種目的利用這些漏洞。

DDS由標準開發組織對象管理組(OMG)維護，是用于數據連接的中間件協議和API標準，是關鍵業務物聯網系統的理想選擇。DDS已應用于公共交通、空中交通管理、航空航天、自動駕駛、工業機器人、醫療設備、導彈和其他軍事系統等領域。DDS已被NASA、西門子和大眾汽車等組織以及流行的機器人操作系統(ROS)使用。

DDS有開源和閉源兩種實現方式，包括凌華科技、Eclipse(CycloneDDS)、eProsima(Fast DDS)、OCI(OpenDDS)、TwinOaks計算(CoreDX DDS)、Gurum Networks(GurumDDS)和RTI(Connext DDS）。

趨勢科技、TXOne Networks、Alias Robotics和凌華科技的研究人員對DDS標準和上述實現方式進行了分析，共發現了十三個漏洞。

研究人員在Black Hat Europe 2021網絡安全會議上披露了這一發現，并計劃在明年初發表一篇研究論文，詳細介紹他們的工作。

與此同時，美國CISA發布了與該研究相關的ICS咨詢。CISA表示，“CISA發布此公告是為了盡早通知相關漏洞，并確定緩解措施，以降低這些和其他網絡安全攻擊的風險。”

據CISA稱，CycloneDDS、FastDDS、OpenDDS、Connext DDS和CoreDX DDS已發布補丁，Gurum沒有任何補丁。

漏洞包括write-what-where條件、無效結構的不當處理、網絡放大、緩沖區分配和緩沖區溢出問題。攻擊者可以利用這些漏洞執行任意代碼、獲取信息或導致拒絕服務(DoS)條件。

然而，研究人員在Black Hat演講中指出，由于DDS通常部署在本地和控制網絡的深處，攻擊者不太可能找到暴露在互聯網上的系統。

另一方面，研究人員指出DDS仍然可能被攻擊者濫用，因為攻擊者已經訪問目標實體系統，以發現其他端點、橫向移動、以及惡意軟件命令和控制(C&C)。

研究人員表示，DDS代碼庫龐大而復雜，這項研究只是觸及皮毛。

參考來源：SecurityWeek http://33h.co/9tdya

 

 

（二）FBI電子郵件服務器遭受黑客攻擊發送虛假警告

美國FBI證實，在11月12日晚，FBI的電子郵件系統發布了虛假警告，這些警報是從真實的FBI地址eims@ic.fbi.gov發送的。

隨后11月14日FBI發表聲明稱，由于軟件配置錯誤，暫時允許攻擊者利用執法企業門戶(LEEP)發送虛假電子郵件。LEEP是FBI的IT基礎設施，用于與執法機構、情報組織和刑事執法部門進行通信。雖然非法電子郵件源自FBI運營的服務器，但該服務器專用于推送LEEP通知，而不是FBI電子郵件服務的一部分。沒有威脅行為者訪問或破壞了FBI網絡上的任何數據或個人身份信息。FBI得知事件后，迅速修復了軟件漏洞，警告合作伙伴不要理會虛假電子郵件，并確認FBI網絡的完整性。

參考來源：FBI http://33h.co/9t0t9

 

 

（三）CISA發布聯邦機構網絡安全事件及漏洞響應手冊

美國CISA于11月16日發布了聯邦政府網絡安全事件及漏洞響應手冊，以響應拜登政府5月簽署的行政令。

改善國家網絡安全的行政命令責成CISA作為聯邦網絡安全的運營領導，制定聯邦機構運營手冊，用于規劃和實施網絡安全聯邦民事機構信息系統的漏洞和事件響應活動。雖然這些手冊是為聯邦民事機構及其承包商編制的，但CISA表示，這些信息也可能對關鍵基礎設施組織和私營部門公司有用。

新手冊為機構提供了一套標準程序，用于識別、協調、修復、恢復和跟蹤影響其系統、數據和網絡的事件和漏洞的緩解措施。

事件響應手冊涵蓋了機構在確認可能產生重大后果的惡意網絡活動時需要采取的步驟，包括橫向移動、數據泄露、涉及多個用戶或系統的網絡入侵、以及帳戶受損。

事件響應計劃的第一階段是準備階段，包括記錄事件響應政策和程序、實施檢測可疑和惡意活動的系統、制定人員配備計劃、對用戶進行網絡威脅和通知程序方面的教育，以及利用威脅情報主動識別潛在的惡意活動。

在檢測和分析階段，組織需要采取的步驟包括：通過向CISA和IT領導層報告事件來宣布事件、確定調查范圍、收集和保存數據、以及執行技術分析。

在遏制階段，組織必須隔離受影響的系統和網段、出于合法目的捕獲取證圖像、更新防火墻過濾、阻止未經授權的訪問、關閉端口和相關服務器或服務、更改密碼和輪換密鑰、以及如果具有成熟功能的高級SOC，監控威脅行為者的活動。

修復和恢復包括：修復受損的IT系統、重新映像受影響的系統、重建硬件、用干凈的文件替換受損的文件、安裝補丁、重置密碼、尋找攻擊者對遏制活動做出反應的跡象、將系統重新連接到網絡、加強外圍安全、測試系統、并監控異常行為的操作。

事件后活動包括記錄事件、通知領導層、采取措施預防未來事件、以及改進未來的事件響應活動。

漏洞響應手冊描述了在響應緊急和高優先級漏洞時應遵循的高級流程。該手冊描述了準備、漏洞響應過程、識別、評估、補救和報告活動。

建議包括：確保遵循有效的漏洞管理實踐、主動識別主動利用漏洞的報告、確定環境中是否存在漏洞及其影響、修補或減輕漏洞、以及與CISA共享信息，以便可以幫助其他組織。

參考來源：SecurityWeek http://33h.co/9t4sq

 

 

（四）美國FTC發布小型企業勒索軟件防御指南

美國聯邦貿易委員會(FTC)近日發布了《小型企業勒索軟件防御指南》，為小型企業通過阻止威脅行為者針對攻擊目標開展社會工程或利用漏洞，來保護其網絡免受勒索軟件攻擊提供了指導。

FTC建議小型企業的技術團隊可采取兩個步驟來增強其抵御勒索軟件攻擊的能力，并遵循CISA的《勒索軟件指南》及《OT資產不斷上升的勒索軟件威脅》中的最佳實踐。

第一，確保技術團隊遵循最佳實踐，來抵御勒索軟件攻擊。關鍵的保護步驟是設置業務至關重要的信息的離線、異地、加密備份。并與IT員工分享CISA情況說明書。及時了解并掌握聯邦政府機構關于防范這些威脅的最新消息，以及其他值得信賴的公私合作伙伴關系的最新消息非常重要。CISA的勒索軟件指南是必須閱讀的。

第二，為員工安排安全復習。勒索軟件不僅僅是IT專業人員的問題。威脅行為者經常使用電子郵件給將員工作為進入系統的入口。通過單擊鏈接或下載附件，粗心的員工可能會無意中將公司的鑰匙交給計算機罪犯。有些攻擊者使用公開信息或竊取的員工數據來制作更個人化的信息。電子郵件、電話、短信、乍一看可能是合法的商業信函、甚至是來自同事的消息，而不是一開始就拼錯的亂七八糟的東西。小型企業最佳防御措施是組建識別網絡犯罪的員工隊伍。其他的重要保護措施包括：嚴格的認證程序、要求員工憑證和管理功能的密碼又長又復雜。此外，建議員工在不同平臺上使用不同的密碼，并使用多因素認證。

參考來源：FTC http://33h.co/9tx5k

 

 

（五）美國國土安全部啟動新舉措以吸引網絡安全人才

美國國土安全部11月15日公布了一項新計劃，使其在招聘和留住網絡安全人員方面具有更大的靈活性。網絡人才管理系統旨在幫助美國國土安全部的數字安全部門網絡安全和基礎設施局填補空缺，并保護美國免受勒索軟件等在線威脅。

美國國土安全部(DHS)正在建立一個新的人才管理系統，以解決DHS在招聘和留住具備執行DHS動態網絡安全任務所需技能的個人方面的歷史和持續挑戰。網絡安全人才管理系統(CTMS)是一種以任務為導向、以人為本、且對市場敏感的人才管理方法。CTMS代表了用于雇用、補償和培養聯邦公務員員工的傳統做法的轉變，旨在適應網絡安全工作、網絡安全人才市場和國防部網絡安全使命的變化。CTMS將現代化并增強國土安全部招聘和留住關鍵任務網絡安全人才的能力。通過CTMS，國土安全部正在創建一種新型的聯邦公務員職位，這些職位的干部和任命的個人稱為DHS網絡安全服務(DHS-CS)。CTMS將通過專門的招聘、薪酬和發展實踐來管理DHS-CS的人才管理。被選中加入DHS-CS的個人將獲得當代公共服務職業經驗，強調持續學習和對DHS網絡安全任務執行的貢獻。該規則制定增加了實施和管理CTMS和DHS-CS的法規。

國土安全部部長Alejandro Mayorkas在聲明中表示，“隨著我們國家繼續面臨不斷變化的威脅形勢，我們不能僅僅依靠傳統的招聘工具來填補關鍵任務空缺。國土安全部從根本上重新設想了如何招聘、發展、和留住頂級和多元化的網絡安全人才。”

這一努力是在幾起重大數字事件之后發生的，包括俄羅斯對SolarWinds的大規模黑客攻擊，和對Colonial油氣管道等關鍵基礎設施的勒索軟件攻擊。CISA成立于2018年，在特朗普政府期間，其領導層和高層人員大量減少，在應對或協助各種挑戰方面CISA已經捉襟見肘。

新的網絡人才管理系統已經醞釀了七年，旨在通過將重點從傳統的基準轉移到技術技能等新方面，來消除聯邦招聘過程中的官僚過程。

該計劃的臨時規則于15日發布。一旦最終確定，它將允許國土安全部以高達255,800美元的薪水聘請網絡安全專業人員，并且在某些情況下，作為與利潤更高的私營企業競爭的一部分，最高可達332,100美元。

該計劃最初旨在填補CISA和DHS首席信息官辦公室的空缺。但是從明年開始，它將用于幫助填補其他幾個DHS機構的網絡安全職位。

參考來源：TheRecord http://33h.co/9tqbq

 

 

（六）威脅行為者使用HTML走私技術進行網絡釣魚攻擊

微軟安全研究人員11月11日發表博客文章表示，其發現使用HTML走私(HTML Smuggling)技術來傳播銀行惡意軟件和遠程訪問木馬(RAT)的惡意軟件活動激增。

雖然HTML走私并不是一種新技術，但微軟發現，越來越多的威脅行為者使用這種方法來逃避檢測，包括SolarWinds攻擊背后的Nobelium黑客組織。

HTML走私是一種用于網絡釣魚活動的技術，使用HTML5和JavaScript在HTML附件或網頁的編碼字符串中隱藏惡意負載。當用戶打開附件或單擊鏈接時，這些字符串會被瀏覽器解碼。

例如，網絡釣魚HTML附件可能包含指向已知網站的無害鏈接，因此不會被視為惡意鏈接。但是，當用戶單擊鏈接時，JavaScript將解碼包含的加密或編碼字符串，并將其轉換為下載的惡意附件。

由于惡意負載最初是經過編碼的，因此它看起來對安全軟件無害，并且不會被檢測為惡意負載。此外，當JavaScript在目標系統上組裝有效負載時，會繞過通常會在外圍捕獲惡意文件的防火墻和安全防御。

微軟研究人員已經在Mekotio傳播銀行木馬程序的活動中使用了這種技術，也可以用于高度針對性的NOBELIUM攻擊。HTML走私活動還被用來傳播AsyncRAT/NJRAT遠程訪問木馬，或用于破壞網絡和部署勒索軟件的TrickBot木馬。

攻擊通常始于釣魚電子郵件，郵件正文中包含HTML鏈接或惡意HTML文件作為附件。如果單擊其中一個，則會使用HTML走私來傳播ZIP文件。該存檔包含一個JavaScript文件下載程度，可從命令和控制服務器(C2)獲取附加文件，以安裝在受害者的設備上。

在某些情況下，創建的檔案受密碼保護，以防止對端點安全控制進行額外的檢測。但是，打開它的密碼是在原始HTML附件中提供的，因此受害者必須手動輸入。腳本啟動后，將執行base64編碼的PowerShell命令，下載并安裝TrickBot木馬或其他惡意軟件。

Menlo Security在2020年的一份報告還提到，Duri惡意軟件組織是積極使用HTML走私進行有效載荷分發的參與者之一，但該技術至少自2018年以來首次在野外被發現。

微軟于2021年7月首次警告稱，此類活動突然增加，敦促管理員加強防御能力。Microsoft建議管理員使用行為規則來檢查HTML走私的常見特征，包括：

1、附加的ZIP文件包含JavaScript；

2、附件受密碼保護；

3、一個HTML文件包含一個可疑的腳本代碼；

4、HTML文件解碼Base64代碼或混淆JavaScript。

對于端點，管理員應阻止或審核與HTML走私相關的活動，包括：

1、阻止JavaScript或VBScript啟動下載的可執行內容；

2、阻止潛在混淆腳本的執行；

3、阻止可執行文件運行，除非它們滿足普遍性、使用年限或受信任的列表標準。

除此之外，用戶還可以通過將.js和.jse文件與記事本等文本編輯器相關聯，來阻止自動執行JavaScript代碼。最好的防御是教育用戶不要打開通過電子郵件和附件中的鏈接下載的文件。從電子郵件下載的所有文件都應謹慎對待，并在打開前仔細檢查。此外，如果附件或電子郵件鏈接下載了以.js擴展名結尾的附件，則永遠不應打開它并自動將其刪除。

不幸的是，在默認情況下Windows禁用文件擴展名顯示，導致在許多情況下無法看到擴展名。這就是為什么總是建議用戶啟用查看文件擴展名，以防止打開惡意文件。

參考來源：BleepingComputer http://33h.co/9tkid

 

 

（七）伊朗APT組織利用Fortinet和微軟漏洞開展惡意網絡攻擊

美國FBI、CISA、澳大利亞網絡安全中心(ACSC)、和英國國家網絡安全中心(NCSC)11月17日聯合發布安全警報稱，伊朗支持的APT組織正在利用Fortinet和Microsoft Exchange ProxyShell漏洞開展惡意網絡攻擊活動。

FBI和CISA發現，伊朗支持的APT組織至少自2021年3月起利用Fortinet漏洞，至少自2021年10月起利用Microsoft Exchange ProxyShell漏洞，以便在后續操作（包括部署勒索軟件）之前獲得對系統的初始訪問權限。ACSC也發現，該APT組織在澳大利亞使用了相同的Microsoft Exchange漏洞。

伊朗支持的APT組織正在積極針對美國多個關鍵基礎設施部門的廣泛受害者，包括運輸部門、醫療保健和公共衛生部門、以及澳大利亞組織。FBI、CISA、ACSC和NCSC評估認為，該組織專注于利用已知漏洞，而不是針對特定部門。伊朗政府資助的APT組織可以利用這種訪問權限進行后續操作，如數據泄露或加密、和勒索軟件。

該警告提供了觀察到的策略和技術，以及FBI、CISA、ACSC和NCSC評估的可能與伊朗政府資助的APT活動有關的IOC。FBI、CISA、ACSC和NCSC敦促關鍵基礎設施組織采用該警告的緩解部分中列出的建議，以減輕伊朗政府資助的網絡行為者的危害風險。

至少自2021年3月以來，FBI和CISA已經發現伊朗政府支持的APT組織利用Microsoft Exchange和Fortinet漏洞，攻擊多個關鍵基礎設施部門的廣泛受害者，來進行惡意活動，活動包括：

2021年3月，FBI和CISA觀察到這些伊朗政府資助的APT組織在端口4443、8443和10443上掃描Fortinet FortiOS漏洞CVE-2018-13379的設備，并枚舉FortiOS漏洞CVE-2020-12812和CVE-2019-5591。伊朗政府資助的APT組織很可能利用這些漏洞來訪問易受攻擊的網絡。

2021年5月，這些伊朗政府資助的APT組織利用Fortigate設備訪問托管美國市政府域名的Web服務器。攻擊者可能創建了一個用戶名為elie的帳戶，以進一步啟用惡意活動。

2021年6月，這些APT行為者利用Fortigate設備訪問與一家專門從事兒童醫療保健的美國醫院相關的環境控制網絡。APT組織可能利用分配給IP地址91.214.124[.]143和162.55.137[.]20的服務器，進一步對醫院網絡實施惡意活動。FBI及CISA認為這些IP地址與伊朗政府的網絡活動有關。APT組織從IP地址154.16.192[.]70訪問了醫院的已知用戶帳戶，FBI和CISA認為該地址與伊朗政府的攻擊性網絡活動有關。

截至2021年10月，APT組織已利用Microsoft Exchange ProxyShell漏洞CVE-2021-34473，在后續操作之前獲得對系統的初始訪問權限。ACSC認為該APT組織在澳大利亞也使用了相同的Microsoft Exchange漏洞CVE-2021-34473。

該聯合警告中的信息與11月16日微軟威脅情報中心(MSTIC)報告中共享的信息一致。微軟報告中提供了關于伊朗APT組織的演變以及作為一種不斷變化的威脅的適應能力的信息。

微軟一直在跟蹤六個伊朗威脅組織，這些組織在2020年9月開始的攻擊中部署勒索軟件并竊取數據。微軟發現這些伊朗威脅組織掃描和利用許多產品中的漏洞，包括Fortinet的FortiOS SSL VPN，和易受ProxyShell漏洞影響的Microsoft Exchange服務器。

參考來源：CISA http://33h.co/9tyjf

 

 

（八）黑客組織MosesStaff攻擊以色列組織

CheckPoint研究人員11月15日發表研究報告表示，自2021年9月以來，一個名為MosesStaff的具有政治動機的新黑客組織與一波針對以色列組織的針對性攻擊有關，其目的是在加密網絡之前竊取和泄露敏感信息，并且無法重新獲得訪問權限或進行談判贖金。迄今為止至少有16名受害者的數據被泄露。

CheckPoint研究人員表示，“該組織公開表示，他們攻擊以色列公司的動機是通過泄露被盜的敏感數據并加密受害者的網絡來造成損害，沒有勒索贖金。用攻擊者的話來說，他們的目的是‘打擊抵抗，并揭露被占領土上猶太復國主義者的罪行。’”

據說，威脅行為者利用公開已知的漏洞，作為破壞企業服務器并獲得初始訪問權限的手段，然后部署用于傳播其他惡意軟件的自定義WebShell程序。一旦進入內部，入侵者就會利用LotL技術在網絡中橫向移動，并部署惡意軟件，通過特制的PyDCrypt惡意軟件將機器鎖定在加密屏障后面。

 

這些攻擊特別依賴于開源庫DiskCryptor來執行卷加密，此外還通過引導加載程序感染系統，從而阻止系統在沒有正確加密密鑰的情況下啟動。研究人員表示，攻擊目標是破壞系統，并對受害者造成“不可逆轉的傷害”。

也就是說，在某些情況下可以恢復加密文件，因為該組織使用對稱密鑰機制來生成加密密鑰。Check Point沒有將攻擊者歸咎于任何特定國家，理由是缺乏明確的證據，但指出，該組織工具集的一些工件已在第一次攻擊前幾個月從巴勒斯坦提交給VirusTotal。

MosesStaff還通過Twitter和Telegram來宣傳他們的攻擊，最近在11月14日報道了其惡意活動。該組織的網站聲稱，它已經加密了了257多個網站以及總計34 TB的被盜數據和文件。更重要的是，該在線門戶網站敦促外界與他們攜手“揭露猶太復國主義者在被占領巴勒斯坦的罪行”。

研究人員表示，“MosesStaff仍然很活躍，在他們的社交網絡帳戶中推送挑釁性的信息和視頻。該組織攻擊中利用的漏洞不是零日漏洞，因此所有潛在受害者都可以通過立即修補所有面向公眾的系統來保護自己。”

參考來源：TheHackerNews http://33h.co/9t33u

 

 

（九）美國與以色列合作打擊勒索軟件攻擊

美國財政部11月14日表示，將與以色列合作打擊勒索軟件，兩國將成立一個聯合工作組，來解決網絡安全問題。美國財政部表示，該工作組將制定一份諒解備忘錄，支持與金融部門相關的信息共享，包括網絡安全法規和威脅情報。

此前10月份，在白宮與歐盟和包括以色列在內的30多個國家舉行了一次關于勒索軟件的虛擬會議。財政部副部長Wally Adeyemo當時要求進行國際合作，以解決濫用虛擬貨幣和破壞勒索軟件商業模式的問題。

此次合作是在采取措施打擊勒索軟件激增的情況下建立的，勒索軟件攻擊了幾家美國大公司，其中包括美國最大的燃料管道公司Colonial，導致燃料輸送癱瘓了幾天。

美國財政部表示，14日還成立了一個更廣泛的美國以色列特別工作組，以解決與金融科技和網絡安全相關的問題。該部門在一份聲明中說，Adeyemo會見了以色列財政部長Avigdor Lieberman和以色列國家網絡局局長Yigal Unna，以建立雙邊伙伴關系。

參考來源：路透社 http://33h.co/9tqdd

 

 

（十）Emotet惡意軟件卷土重來

研究人員發現，Emotet僵尸網絡在其基礎設施被國際執法機構關閉十個月后，在11月14日卷土重來，通過多次垃圾郵件活動向全球郵箱發送惡意文檔。

Emotet是一種惡意軟件，通過帶有惡意附件的垃圾郵件活動傳播。如果用戶打開附件，惡意宏或JavaScript將下載Emotet DLL，并使用PowerShell將其加載到內存中。加載后，惡意軟件將搜索并竊取電子郵件，以用于未來的垃圾郵件活動，并傳播通常會導致勒索軟件感染的其他有效負載，例如TrickBot或Qbot。

15日，網絡安全研究人員Brad Duncan發表了一篇SANS處理程序日記，講述了Emotet僵尸網絡如何開始向多個電子郵件活動發送垃圾郵件，以使用Emotet惡意軟件感染設備。

根據Duncan的說法，垃圾郵件活動使用重播鏈電子郵件來引誘收件人打開附加的惡意Word、Excel和受密碼保護的ZIP文件?；貜玩準骄W絡釣魚電子郵件是指之前被盜的電子郵件線程與欺騙性回復一起使用，以將惡意軟件分發給其他用戶。

在Duncan分享的樣本中，Emotet使用與丟失錢包、CyberMonday銷售、取消會議、政治捐款活動、以及牙科保險終止相關的回復鏈。這些電子郵件中附有帶有惡意宏的Excel或Word文檔，或包含惡意Word文檔的受密碼保護的ZIP文件附件。

目前在新的Emotet垃圾郵件活動中分發了兩種不同的惡意文件。第一種是Excel文檔模板，聲明該文檔僅適用于臺式機或筆記本電腦，并且用戶需要單擊“啟用內容”才能正確查看內容。另一種惡意Word附件使用Red Dawn模板，并表示由于文檔處于“受保護”模式，用戶必須啟用內容和編輯才能正確查看它。

當打開Emotet附件時，文檔模板將提示預覽不可用，需要單擊“啟用編輯”和“啟用內容”才能正確查看內容。但是，一旦單擊這些按鈕，就會啟用惡意宏，啟動PowerShell命令，以從受感染的WordPress站點下載Emotet加載程序DLL，并將其保存到C:\ProgramData文件夾。

下載后，DLL將使用C:\Windows\SysWo64\rundll32.exe啟動，這會將DLL復制到%LocalAppData%下的隨機文件夾，然后從該文件夾重新運行DLL。一段時間后，Emotet會在HKCU\Software\Microsoft\Windows\CurrentVersion\Ru下配置一個啟動值，以在Windows啟動時啟動惡意軟件。

Emotet惡意軟件現在將在后臺靜默運行，同時等待從其命令和控制服務器執行命令。這些命令可能是搜索電子郵件以竊取、傳播到其他計算機或安裝其他有效負載，例如TrickBot或Qbot木馬。

目前還沒有看到Emotet使用的任何額外載荷，這也得到了Duncan的測試證實。Duncan表示，“我只在最近感染了Emotet的主機上看到了垃圾郵件機器人活動。我認為Emotet本周才剛剛重新建立起來，也許我們會在未來幾周內看到一些額外的惡意軟件有效載荷。”

參考來源：BleepingComputer http://33h.co/9tnta

 

 

（十一）企業間諜黑客RedCurl使用新策略恢復攻擊活動

Group-IB研究人員11月18日發布研究報告稱，其發現企業間諜組織RedCurl恢復了攻擊活動，今年多次攻擊了一家俄羅斯大型批發公司，每次都使用精心構建的魚叉式網絡釣魚電子郵件及初始階段惡意軟件。

2018年至2020年期間，該組織以企業間諜活動和文件盜竊為目的進行了26次攻擊。Group-IB確定了不同行業的14個受害組織。七個月后，也就是2021年，攻擊又開始了。Group-IB的最新報告詳細介紹了攻擊者的策略和工具如何變化，并揭示了該組織的新受害者。

RedCurl自2018年以來一直活躍，至少對俄羅斯(18次)、烏克蘭、加拿大、挪威、英國和德國的企業發起了30次攻擊，其中今年發生了4起。

該黑客組織擅長在竊取公司數據之前長時間潛伏在系統中不被發現，長達2到6個月。竊取的數據包括員工記錄、法律實體文件、法庭記錄、內部文件、電子郵件歷史記錄。

網絡安全公司Group-IB的研究人員注意到RedCurl的活動有七個月的時間間隔，黑客利用這一時間對他們的自定義工具和攻擊方法集進行了重大改進。

黑客的最新受害者之一是俄羅斯最大的批發公司之一，該公司為連鎖店和其他批發商提供家居、辦公和休閑用品。出于未知的原因，RedCurl兩次攻擊了這家公司，通過冒充公司人力資源部門宣布獎金和政府服務門戶的電子郵件獲得了初始訪問權限。

在這兩種情況下，目標都是在員工的計算機上部署一個隱藏在附加文檔中的惡意軟件下載器RedCurl.InitialDropper，可以啟動下一階段的攻擊。在調查過程中，Group-IB發現RedCurl將攻擊鏈從之前觀察到的三四個步驟擴展到了五個階段。

當收件人打開啟動初始投放程序的惡意文件時，黑客小心翼翼地不引起任何懷疑，因此他們包含了一個精心制作的誘餌文件，其中包含與該組織相關的內容。Dropper將獲取RedCurl.Downloader工具，該工具收集有關受感染機器的信息并將其傳送到命令和控制服務器(C2)，并啟動下一階段的攻擊。

Group-IB發現，黑客現在使用的是RedCurl.Extractor，這是他們在之前的攻擊中發現的RedCurl.Dropper的修改版本。該工具的目的只是為攻擊的最后一步做準備，這涉及在系統上實現持久性。

研究人員指出，RedCurl已經從典型的批處理和PowerShell腳本的使用轉變為可執行文件，并且防病毒軟件未能檢測到初始感染或攻擊者在受害者網絡上橫向移動。

然而，RedCurl工具集的改進似乎很倉促，因為Group-IB在其中一個命令中發現了一個邏輯錯誤。一種解釋是，該組織幾乎沒有時間開始攻擊，無法正確測試他們的工具。

盡管不像往年那樣活躍，但RedCurl保持了其復雜性，并且仍然是一個能夠在數月內不被發現的高級威脅行為者。

Group-IB表示，在今年確定的四次攻擊中，有兩次針對的是同一個目標。然而，他們預計會出現更多受害者，因為RedCurl的更新工具在野外被發現的頻率越來越高。

參考來源：Group-IB http://33h.co/9tzpf

 

 

（十二）微軟披露Azure AD中存在高危漏洞

微軟最近緩解了信息泄露漏洞CVE-2021-42306，以防止某些Azure服務將私鑰數據存儲在Azure Active Directory(Azure AD)應用程序和/或服務主體的keyCredentials屬性中，并防止讀取以前存儲在keyCredentials屬性中的私鑰數據。

keyCredentials屬性用于配置應用程序的身份驗證憑據。組織的Azure AD租戶中的任何用戶或服務都可以訪問它，并具有對應用程序元數據的讀取訪問權限。

該屬性旨在接受帶有公鑰數據的證書以用于身份驗證，但帶有私鑰數據的證書也可能錯誤地存儲在該屬性中。通過允許用戶冒充受影響的應用程序或服務主體，訪問私鑰數據可能導致特權提升攻擊。

某些微軟服務在代表客戶創建應用程序時，錯誤地將私鑰數據存儲在keyCredentials屬性中。微軟研究人員進行了調查，沒有發現惡意訪問這些數據的證據。

受此問題影響的Microsoft Azure服務已通過防止在keyCredentials屬性中存儲明文私鑰信息而得到緩解，Azure AD已通過防止讀取任何用戶或服務之前在UI中添加的明文私鑰數據來緩解。

因此，keyCredentials屬性中的明文私鑰材料無法訪問，從而降低了與在該屬性中存儲此材料相關的風險。

微軟還表示，在2020年10月15日至2021年10月15日期間使用Azure自動化自簽名證書創建的所有自動化運行方式帳戶都受到此問題的影響。使用Azure Site Recovery(ASR)將VMware預覽版部署到Azure DR體驗的Azure Migrate服務和客戶也可能會受到影響。因此，Azure AD客戶應循環查看所有自動化帳戶“Run as”證書，以確保沒有任何憑據被公開。

參考來源：Microsoft http://adkx.net/9t0xm

 

 

（十三）Mandiant認為Ghostwriter與白俄羅斯有關

Mandiant威脅情報團隊11月16日發表博客文章表示，其認為Ghostwriter(又名UNC1151)活動與白俄羅斯政府有關。

2020年8月，FireEye安全研究人員發現了一項旨在通過在受感染的新聞網站上傳播虛假新聞內容來詆毀北約的虛假信息活動。據FireEye稱，該活動被追蹤為GhostWriter，至少自2017年3月以來一直在進行，并且符合俄羅斯的安全利益。

與其他虛假信息活動不同，GhostWriter不會通過社交網絡傳播。相反，該活動背后的威脅行為者濫用新聞網站的受損內容管理系統(CMS)或欺騙電子郵件帳戶來傳播虛假新聞。

攻擊者過去常常用虛假內容替換網站上現有的合法文章，而不是創建新帖子。攻擊者散播偽造的內容，包括偽造的新聞文章、引述、通信和其他文件，旨在偽裝成來自目標國家的軍事官員和政治人物。該活動主要針對聯盟特定成員國，包括立陶宛、拉脫維亞和波蘭。

GhostWriter運營者專注于傳播虛假的引用，例如扎在拉托維亞的21名加拿大士兵感染了新冠病毒，該說法來自于北約歐洲自由黨戰斗小組指揮官。另外一份捏造的內容是，北約秘書長Jens Stoltenberg在信中表示，大西洋聯盟正計劃從立陶宛撤軍以應對新冠疫情。

Mandiant研究報告表示，白俄羅斯參與了GhostWriter活動。“Mandiant威脅情報團隊高度自信地認為UNC1151與白俄羅斯政府有關。2021年4月，我們發布了一份公開報告，詳細說明了我們對UNC1151為Ghostwriter信息運營活動提供技術支持的高度自信評估。這一評估，連同觀察到的符合白俄羅斯政府利益的Ghostwriter敘述，使我們以適度的信心評估白俄羅斯也可能至少對Ghostwriter活動負有部分責任。我們不能排除俄羅斯對UNC1151或Ghostwriter的貢獻。”

2020年8月，Ghostwriter活動傳播文章，聲稱白俄羅斯的抗議活動是由美國和北約精心策劃的。自2020年8月選舉以來，19次Ghostwriter活動中有16次宣傳誹謗波蘭和立陶宛政府的言論。

Ghostwriter背后的運營商在2020年大選之前針對白俄羅斯實體，一些被民族國家行為者作為攻擊目標的個人（白俄羅斯反對派代表）后來被白俄羅斯政府逮捕。

研究人員收集的敏感技術信息表明，威脅行為者在白俄羅斯軍方的控制下在白俄羅斯明斯克開展行動。Mandiant調查了俄羅斯APT可能參與Ghostwriter行動的可能性，但盡管TTP與俄羅斯行動存在高度重疊，但研究人員并未發現俄羅斯政府參與的直接證據。

Mandiant得出結論，“Mandiant非常有信心的人為，Ghostwriter信息操作是為了支持白俄羅斯政府而進行的，并且有中等信心人為，它們是在白俄羅斯的贊助下進行的。”

參考來源：SecurityAffairs http://33h.co/9tpru

 

 

（如未標注，均為天地和興工業網絡安全研究院編譯）