目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）聯想筆記本電腦存在權限提升漏洞

（二）新版本Abcbot僵尸網絡攻擊中國云托管服務提供商

第二章 國外關鍵信息基礎設施安全動態

（一）mySCADA的HMI/SCADA產品中存在嚴重安全漏洞

（二）超過35,000個Java包受Log4j漏洞影響

（三）攻擊者利用Log4j漏洞攻擊比利時國防部

（四）美國聯邦機構網絡存在后門

（五）英國警方機密數據遭受Clop勒索軟件攻擊

（六）巴西衛生部一周內遭受兩次勒索軟件攻擊

（七）德國醫療服務提供商CompuGroup遭受勒索軟件攻擊

（八）戴爾BIOS更新導致筆記本電腦和臺式機無法啟動

（九）新型惡意軟件DarkWatchman利用Windows注冊表逃避檢測

（十）德國音響制造商森海塞爾泄露客戶數據

（十一）澳大利亞招聘公司Finite遭受重大數據泄露

（十二）美國波特蘭McMenamins連鎖酒店遭受勒索軟件攻擊

（十三）加拿大度假村Big White發布數據泄露警報

（十四）Sharp Boys黑客組織攻擊以色列網站泄露個人信息

 

 

第一章 國內關鍵信息基礎設施安全動態

（一）聯想筆記本電腦存在權限提升漏洞

NCC Group安全研究人員在聯想筆記本電腦的ImControllerService服務中檢測到權限提升漏洞，包括ThinkPad和Yoga等頂級機型。威脅行為者可利用該漏洞提升至管理員權限，并執行任意命令。所有低于1.1.20.3版本的Lenovo System Interface Foundation的ImControllerService組件都容易受到此特權提升漏洞影響。

該特定服務是Lenovo System Interface Foundation的一個組件，可幫助Lenovo設備Lenovo Companion、Lenovo Settings和Lenovo ID等通用應用程序進行通信。該服務默認預裝在許多聯想型號上，包括Yoga和ThinkPad設備。

聯想筆記本電腦中存在的漏洞為CVE-2021-3922和CVE-2021-3969。CVE-2021-3922是一個競爭條件漏洞，可允許本地攻擊者連接IMController子進程的命名管道進行連接和交互。CVE-2021-3969是一個A Time of Check Time of Use(TOCTOU)漏洞，可允許本地攻擊者提升權限。

2021年10月29日，NCC Group將這些發現報告給聯想，聯想在2021年11月17日發布了安全更新，并于2021年12月14日發布了相關公告。

在Lenovo筆記本電腦中，為了與Lenovo Companion、Lenovo Settings和Lenovo ID等通用應用程序進行通信，System Interface Foundation Service可幫助筆記本電腦執行此操作。此服務是Lenovo提供的基本服務之一，所有Lenovo筆記本電腦型號均默認預裝該服務。因此，如果此服務被禁用，則聯想的默認應用程序將無法正常工作。

ImController需要傳送所有文件并從聯想服務器安裝，還負責執行子進程，并按照要求完成系統配置和維護任務。SYSTEM權限是用戶最需要的權限，存在于Windows中，通常使用戶能夠在其系統上執行所有類型的命令。一旦用戶完全控制了SYSTEM權限，就可以完全控制系統，這就是為什么還可以執行系統設備中存在的命令的原因。

為了緩解這個漏洞，用戶必須將軟件更新到最新版本，包括擁有聯想筆記本電腦或臺式機的用戶，并且擁有ImController版本1.1.20.2或更舊版本?？勺裱韵聨讉€簡單步驟，以確定運行的版本：打開文件資源管理器并轉到C:\Windows\Lenovo\ImController\PluginHost\，右鍵單擊Lenovo.Modern.ImController.PluginHost.exe并選擇屬性，點擊詳細信息選項卡，就可以讀取文件版本。

不建議正式刪除“ImController組件”或“Lenovo System Interface Foundation”，因為刪除這些組件會導致聯想筆記本電腦或系統出現異常。

參考來源：GBHackers http://33h.co/kmbqy

 

（二）新版本Abcbot僵尸網絡攻擊中國云托管服務提供商

CadoSecurity研究人員最近發現了Abcbot僵尸網絡的新版本，是一個惡意Shell腳本，該腳本在過去幾個月主要針對騰訊、百度、阿里云等云服務提供商。在下載用于連接到僵尸網絡的額外ELF可執行文件之前，shell腳本會針對目標主機通過SSH進行額外的攻擊，刪除競爭威脅對手的進程，并保持自身狀態。

11月，奇虎360的Netlab安全團隊的研究人員發現了Abcbot僵尸網絡，該僵尸網絡針對Linux系統發起分布式拒絕服務(DDoS)攻擊。自11月以來360共分析了六個版本的僵尸網絡。趨勢科技研究人員于10月首次記錄了該機器人的早期版本?；诖a中的函數名稱和其他相似之處，CadoSecurity研究人員認為新發現的shell腳本是Abcbot活動中使用的安裝程序的更新版本。趨勢科技最初發現了一個早期版本，該樣本與其報告中分析的樣本相似，但有一些顯著差異。

執行時，shell腳本會依次調用多個函數，第一個名為nameservercheck的函數會禁用SELinux保護并創建后門。該機器人還會在同一系統上中斷競爭對手的惡意軟件，包括加密挖掘和以云為中心的惡意軟件。該機器人還會刪除SSH密鑰并插入自己的密鑰，以保證對受感染主機的獨占訪問。

研究人員表示，“除此之外，shell腳本還展示了在以前版本中看到的類似功能，威脅行為者會刪除類似攻擊留下的SSH密鑰，并插入自己的密鑰以保證對主機的訪問。還下載了趨勢科技觀察到的額外ELF二進制負載，并將其保存為abchello。然而用于下載第三個有效載荷的代碼似乎被注釋掉了。”

目前，Abcbot僵尸網絡的規模仍然未知。“最后，如果根用戶的.ssh目錄中存在SSH known_hosts文件和相應的公鑰，腳本會遍歷已知主機，依次連接到每個主機，并使用前面提到的數據傳輸工具安裝其自身的副本。這允許惡意軟件以類似蠕蟲的方式傳播，并確保相關主機的快速入侵。”

參考來源：CadoSecurity http://33h.co/kmt1t

 

 

第二章 國外關鍵信息基礎設施安全動態

（一）mySCADA的HMI/SCADA產品中存在嚴重安全漏洞

安全漏洞研究人員Michael Heinzl在捷克工業自動化公司mySCADA的myPRO產品中發現了十多個安全漏洞，其中一些為嚴重漏洞。美國CISA已針對這些漏洞發布了兩份公告，一份在8月份發布，另一份在12月21日發布。

myPRO是一種人機界面(HMI)和監督控制和數據采集(SCADA)系統，專為可視化和控制工業過程而設計。該產品可以在Windows、macOS和Linux上運行，包括服務器、PC甚至嵌入式設備。受影響的產品在全球范圍內用于能源、食品和農業、水和交通系統部門。大部分客戶都在歐洲。

Heinzl發現的第一輪漏洞于7月發布的8.20.0版本進行了修復，而第二輪漏洞則于11月初發布的8.22.0版本進行了修復，這兩次mySCADA都表示這是安全更新。值得注意的是，一些ICS供應商將安全補丁隱藏在更大的更新中，從而客戶沒有意識到潛在的風險。

8.20.0版本修補了4個高危漏洞，可利用這些漏洞獲取敏感信息或遠程上傳任意文件，而無需身份驗證。8.22.0版修復了8個漏洞，其中七個是嚴重漏洞。其中一個嚴重漏洞可用于繞過身份驗證，另一個漏洞與后門帳戶有關，而其余漏洞可被未經身份驗證的攻擊者遠程利用，以進行操作系統命令注入。

Heinzl表示，受影響的應用程序在系統啟動時以提升的權限執行，默認情況下會偵聽所有網絡接口上的TCP端口80/443。未經身份驗證的遠程攻擊者可以利用這些漏洞來完全控制產品以及底層系統。在某些系統和基礎設施配置下，有可能直接從互聯網上利用這些漏洞。

Heinzl今年在許多工業產品中發現了安全漏洞，其中包括臺達電子和富士電機的安全漏洞。

參考來源：SecurityWeek http://33h.co/km63v

 

（二）超過35,000個Java包受Log4j漏洞影響

Google研究人員發現，超過35,000個Java軟件包受到最近披露的log4j漏洞影響，在整個軟件行業產生了廣泛影響。Java軟件包是最重要的Java軟件包存儲庫，占Maven中央存儲庫的8%以上。這些漏洞允許攻擊者通過利用日志庫log4j公開的不安全JNDI查找功能來執行遠程代碼執行。該可利用功能在該庫的許多版本中默認啟用。截至12月19日，僅log4j-core的生態系統受到影響的數字就超過了17,000個包，約占生態系統的4%，25%的受影響軟件包有可用的固定版本。

自12月9日披露以來，該漏洞因其嚴重性和廣泛影響而吸引了信息安全生態系統。作為一種流行的日志工具，log4j被軟件行業的數以萬計的軟件包(在Java生態系統中稱為工件)和項目使用。用戶對其依賴項和傳遞依賴項缺乏可見性，這使得修補變得困難，這也使得很難確定該漏洞的完整爆炸半徑。使用幫助理解開源依賴項的項目Open Source Insights，Google研究人員調查了Maven Central Repository中所有工件的所有版本，以確定基于JVM的語言的開源生態系統中問題的范圍，并跟蹤正在進行的緩解受影響包的工作。

截至2021年12月16日，研究人員發現來自Maven Central的35,863個可用Java工件依賴于受影響的log4j代碼。這意味著Maven Central上超過8%的所有軟件包至少有一個版本受此漏洞影響。這些數字不包括所有Java包，例如直接分發的二進制文件，但Maven Central是生態系統狀態的有力代表。就生態系統影響而言，8%是巨大的。影響Maven Central的公告對生態系統的平均影響為2%，中位數低于0.1%。

直接依賴項約占受影響工件的7,000個，這意味著其任何版本都依賴于受影響的log4j-core或log4j-api版本，如CVE中所述。大多數受影響的工件來自間接依賴項，即自己的依賴項的依賴項，這意味著log4j沒有明確定義為工件的依賴項，而是作為傳遞依賴項被拉進來。

如果工件至少有一個版本受到影響，并且發布了一個不受影響的更穩定的版本，就將工件視為已修復。如果受log4j影響的工件已更新到2.16.0或完全刪除其對log4j的依賴，則該工件被視為已修復。目前已修復了近五千件受影響的工件，這代表了log4j維護者和更廣泛的開源消費者社區的快速響應和巨大努力。這留下了超過30,000個工件受到影響，其中許多依賴于另一個工件進行修補并且可能被阻止。

參考來源：Google http://33h.co/km0wv

 

（三）攻擊者利用Log4j漏洞攻擊比利時國防部

比利時國防部遭受了嚴重的網絡攻擊，使得國防部部分計算機網絡一直處于癱瘓狀態。國防部表示，這次攻擊是Apache廣泛使用的軟件Log4j中的安全漏洞造成的。該漏洞對全球企業網絡構成重大風險，因為許多知名應用程序使用受影響的軟件來保存日志。比利時國防部是利用該漏洞的第一個政府受害者。

發言人Olivier Séverin表示，“國防部在周四發現了針對其具有互聯網訪問權限的計算機的網絡攻擊。國防部已迅速采取措施，隔離受影響的部分。目前首要任務是保持國防網絡的運行。整個周末，我們的團隊都被動員起來控制問題，使得活動得以持續運行，并警告合作伙伴。”

科技公司通過Log4j來監控其應用程序是否正常工作。如果程序中的某處出現故障，則會通過Log4j向制造商發送錯誤消息，然后制造商可以確定是否需要修復。Amazon、Apple、Cloudflare、Tesla、Minecraft和Twitter等公司都使用Log4j。據Check Point稱，伊朗黑客組織Charming Kitten或APT 35利用了Log4j中的漏洞對以色列境內的七個目標發起攻擊，其中包括政府網站。

比利時網絡安全中心發言人Katrien Eggers表示，他們也向比利時公司發出了關于Apache Log4j軟件問題的警告，任何尚未采取行動的組織都可能在未來幾天或幾周內出現重大問題。由于該軟件分布廣泛，因此很難估計漏洞將如何被利用，以及利用的規模有多大。

參考來源：DeStanddarrd http://33h.co/kmhaj

 

（四）美國聯邦機構網絡存在后門

網絡安全公司Avast在12月16日發布報告稱，一個威脅行為者獲得了訪問權限，并為美國聯邦政府機構的內部網絡設置了后門，據悉該機構是美國國際宗教自由委員會(USCIRF)。

USCIRF的任務是監督國外宗教和信仰自由的權利，然后向總統、國務卿和美國國會提出政策建議。該機構在制定美國關于侵犯人權和可能對行為不端國家實施的制裁方面的政策方面發揮著主要作用，因此，它很可能獲得世界各地當前侵權行為的報告。但是盡管USCIRF處理的數據具有敏感性，該機構在通知其內部網絡出現安全漏洞后沒有做出回應。

Avast研究人員表示，他們在其網絡上發現了兩個惡意文件的痕跡，有效地讓攻擊者完全控制了內部系統。“根據我們對相關文件的分析，我們認為有理由得出結論，攻擊者能夠攔截并可能泄露該組織中的所有本地網絡流量。這可能包括與其他美國政府機構以及其他專注于國際權利的國際政府和非政府組織(NGO)交換的信息。我們還有跡象表明，攻擊者可以在受感染系統的操作系統上下文中運行他們選擇的代碼，從而使他們能夠完全控制。”

Avast表示，由于該機構拒絕與其研究人員互動，因此除了檢測到的兩個文件外，無法詳細說明整個攻擊鏈。Avast認為此次攻擊是典型的APT攻擊活動。研究人員發現，該活動與趨勢科技2018年發布的“紅色簽名行動”存在一些細微聯系，但如果不對當前的攻擊進行更廣泛的了解，證據不足以做出正式的歸因。

參考來源：TheRecord http://33h.co/kmxub

 

（五）英國警方機密數據遭受Clop勒索軟件攻擊

據英國每日郵報報道，黑客組織Clop對英國IT公司Dacoll進行了釣魚攻擊，獲得了Dacoll管理的英國國家警察計算機(PNC)的機密數據，包括1300萬人的個人信息和記錄。由于Dacoll拒絕支付贖金，Clop在暗網的泄露站點上發布了被盜數據。贖金金額沒有透露。

泄露的文件包括從國家自動車牌識別(ANPR)系統中獲取的駕駛者圖像、視頻以及被拍到超速行駛的司機面部特寫圖像。目前尚不清楚Clop可能會在暗網上發布哪些額外的、更敏感的信息，這些信息可能會被欺詐者竊取。

國家安全專家、英國軍事情報部門前上校Philip Ingram表示，“這是對一家為英國各地警察部隊提供能力的公司的極其嚴重的違規行為。這種數據泄露造成的損失是難以估量的，因為它使人們對多個公共和私人組織之間管理敏感執法數據的網絡安全安排產生了質疑。”

Dacoll總部位于西洛錫安，由電氣工程師Brian Colling于1969年創立，他在為英國皇家空軍服役之前曾修理過家用電器。這位88歲的老人已將公司發展成為英國范圍內的IT解決方案提供商，擁有160名員工。Dacoll的子公司之一NDI Technologies為英國90%的警察部隊提供“關鍵”服務，讓警察可以遠程訪問PNC。另一家Dacoll公司NDI識別系統為警察、英格蘭公路局和DVLA使用的ANPR系統提供IT支持。

國家網絡安全中心的一位發言人表示，“我們知道這起事件，并與執法伙伴合作，以充分了解和減輕任何潛在影響。”

在過去兩年中，Clop通過勒索軟件黑客攻擊賺取了數百萬英鎊。受害者包括石油巨頭殼牌、美國旗星銀行和加州大學。與許多勒索軟件組織一樣，它會向員工發送“網絡釣魚”電子郵件，這些電子郵件看似真實，但實際上包含一種復雜的病毒，可在打開時收集數據。

面對敏感材料泄露的情景，一些公司支付了贖金，其中包括美國保險巨頭CNA Financial，據報道該公司今年早些時候支付了4000萬美元。此外上個月Clop攻擊了英國數據存儲公司Stor-A-File，其客戶包括GP醫生、NHS醫院信托、地方議會、律師事務所和會計師。

國家犯罪署發言人表示，其知道了Dacoll發生的該事件，正在支持調查。Dacoll的一位發言人表示，“我們可以確認，我們是10月5日網絡事件的受害者。我們能夠迅速恢復到正常的運營水平。該事件僅限于沒有鏈接到任何客戶網絡或服務的內部網絡。”

參考來源：DailyMail http://33h.co/kmk71

 

（六）巴西衛生部一周內遭受兩次勒索軟件攻擊

雖然組織宣布遭受勒索軟件攻擊并不罕見，但一周內遭受兩次還是不尋常的。巴西衛生部在相隔僅四天內就遭受了兩次重大襲擊，正在考慮延長處理新冠苗接種數據的系統的停機時間，并試圖從該情況中恢復過來。

目前尚不清楚這兩次勒索軟件攻擊是否來自同一來源，但第一次可能具有激進主義成分。一個名為Lapsus$ Group的黑客組織聲稱，他們攻擊并刪除了頒發巴西數字接種證書所需的疫苗接種數據。后續攻擊不太成功，但針對相同的數據，并造成足夠的破壞，延遲了衛生部系統的恢復。為了應對該事件，巴西衛生部員工停止辦公，并在嚴重攻擊后將疫苗接種數據離線。

第一次勒索軟件攻擊發生在12月10日，使衛生部的所有網站都下線了一段時間。Lapsus$ Group向衛生部發送了一條消息，聲稱對此次攻擊事件負責，聲稱他們從新冠病毒跟蹤程序中提取了大約50 TB的數據，隨后將這些數據從該機構的服務器中刪除。

由于黑客要求衛生部與他們聯系以恢復數據，這可能是一種標準的勒索軟件攻擊事件。在此之前，巴西衛生監管局(Anvisa)于9月遭受了攻擊，此前該機構宣布將對入境的國際旅客實施新的篩查程序。Anvisa的工作人員阻止了一場世界杯預選賽，并告訴四名來自阿根廷的球員因為不遵守新規定而離開球場，因此該事件變得知名。

無論如何，衛生部在與疫苗接種數據相關的安全性方面經歷了糟糕的一年。11月，一名員工在將一份機密的醫院電子表格上傳到公共Github帳戶時，無意中將1600萬新冠患者的記錄泄露到了互聯網，電子表格包含用戶名、密碼和私鑰，用于登錄各種政府賬戶以及患者記錄。一周后，一名網絡開發人員將密碼留在了衛生部網站的頁面代碼內，又有2.43億條患者記錄被泄露。

衛生部在第一次勒索軟件攻擊后發表聲明，稱其有被盜疫苗接種數據的備份。結果證明這是非常幸運的，因為在12月14日發生了第二次攻擊，目標是許多相同的系統。雖然這似乎并沒有以數據被盜或刪除而告終，但勒索軟件攻擊確實使用于跟蹤新冠治療的ConecteSUS應用程序離線了一段時間。公務員也被送回家至少一天，因為系統中斷使他們無法完成工作。

接二連三的勒索軟件攻擊已將針對國際旅客的新要求推遲了至少一周。在否決了疫苗護照的想法后，聯邦政府轉而實施了一項要求，即國際入境者必須隔離五天，并在獲準自由行動之前接受新冠檢測。該計劃主要由Anvisa而不是衛生部處理，因此疫苗接種數據的中斷不太可能將其推遲更長時間。

對于巴西居民，第二次勒索軟件攻擊所針對的ConecteSUS應用程序用于個人跟蹤新冠測試和狀態。該應用程序基本上提供了對與新冠治療相關的任何醫療記錄的訪問權限：測試、疫苗接種、住院時間以及為治療而開出的藥物。衛生部表示，該應用程序的數據已得到備份，但該應用程序在第一次攻擊一周后仍然無法使用。

盡管該國已決定不使用疫苗護照，但國際旅行等活動仍需要通過該應用程序獲得的國家疫苗接種證書。某些雇主以前也可以要求員工提供疫苗接種數據，但最近的法院裁決禁止這樣做。巴西衛生部正在考慮延長處理新冠疫苗接種數據的系統的停機時間，因為它試圖從僅相隔四天內發生的兩次勒索攻擊中恢復過來。

盡管ConecteSUS似乎無法完全訪問患者的醫療記錄，但它包含的疫苗接種數據可能對受害者構成危險。它提供了可用于身份盜竊和有針對性的詐騙的元素。被黑客攻擊的醫療信息通常不會被直接使用，而是被添加到暗網上的現有信息包中，稱為fullz，這些信息基本上是個人的公共和私人信息檔案，這些檔案主要是由數據泄露造成的。一旦足夠完整，這些包就可以用于各種各樣的欺詐。

參考來源：CPOMagazine http://33h.co/kmi26

 

（七）德國醫療服務提供商CompuGroup遭受勒索軟件攻擊

德國CompuGroup Medical是一家醫療保健軟件提供商，在12月20日披露其遭受了網絡攻擊，醫生、藥房、實驗室、診所可能都會受到影響。該公司遭受的是勒索軟件攻擊，影響了部分內部IT系統的可用性，包括電子郵件和電話服務，因此采取應對措施隔離了部分服務?？蛻粝到y及客戶數據不受影響。為了應對該事件，該公司重新建立了緊急電話號碼和電子郵件渠道，以提供客戶支持服務。

該公司在12月20日下午4:40發布通知表示，“我們的內部系統正在遭受攻擊。保護我們客戶的數據是我們的首要任務。因此，我們隔離了我們服務的主要部分。我們正在逐步檢查關鍵服務以恢復正常運行。目前，我們沒有跡象表明攻擊已經影響到客戶系統。調查正在進行中。”

隨后在12月20日晚10:50發布通知表示，“我們受到了所謂的勒索軟件攻擊，并立即采取了應對措施。我們的絕大多數客戶系統都已啟動并運行，并被認為是安全的，因此我們的客戶能夠工作。目前，我們沒有跡象表明攻擊已影響客戶系統或客戶數據。這次攻擊影響了我們一些內部系統的可用性，如電子郵件和電話服務。因此，在我們逐步恢復系統的同時，我們的服務和熱線可用性會受到影響。我們客戶系統的可用性和數據完整性仍然是我們的首要任務。我們將繼續密切監控所有系統，并與所有相關部門合作。我們會及時更新最新進展。”

在12月21日下午7:30發布的通知中表示，“在昨天遭受的勒索軟件攻擊后，我們迅速做出反應，我們的綜合對策證明是有效的。我們的客戶系統繼續正常運行。因此，在我們的系統上運行的醫療保健專業人員的業務運營基本保持不變。此外，我們目前的取證分析支持對我們的客戶系統和數據沒有影響。我們之前曾表示，我們的內部系統已受到影響，導致我們的支持熱線和電子郵件渠道無法使用。我們已經能夠為我們的客戶重新建立緊急熱線和電子郵件渠道。因此，我們正在逐步重建和擴展我們服務渠道的可用性?？蛻粝到y的可用性和數據完整性仍然是我們的首要任務。我們將繼續密切監控所有系統，并與所有相關部門合作。”

在12月22日晚8:30的最新更新中表示，“在勒索軟件攻擊之后，我們在修復中斷方面取得了進一步進展。在過去的幾個小時里，我們通過設置緊急電話號碼和替換電子郵件地址以供客戶支持，從而不斷提高我們的可用性。此外，我們的內部系統正在逐步恢復運行。即使我們在響應時間和功能方面遇到限制，我們最重要的業務運營仍能正常運行。我們客戶系統的可用性和數據完整性仍然是我們的首要任務。我們將繼續密切監控所有系統，并與所有相關部門合作。”

CompuGroup Medical SE & Co. KGaA(CGM)是一家總部位于德國科布倫茨的上市軟件公司，是領先的國際醫療保健軟件供應商之一，擁有約8000名員工和7.46億歐元收入。它生產應用軟件以支持醫療實踐、藥房、醫學實驗室和醫院的醫療和組織活動。該公司在56個國家/地區擁有超過150萬用。自2013年9月以來，CompuGroup Medical的股票一直是TecDAX股票市場指數的組成部分。

參考來源：BornCity http://33h.co/kmnz3

 

（八）戴爾BIOS更新導致筆記本電腦和臺式機無法啟動

據報道，最近發布的戴爾BIOS更新導致多臺筆記本電腦和臺式機型號出現嚴重的啟動問題。受影響的型號包括戴爾Latitude筆記本電腦5320和5520，以及戴爾Inspiron 5680和Alienware Aurora R8臺式機。盡管受影響的系統可以啟動，但用戶表示外圍燈和顯示器不會打開，啟動時會直接進入藍屏，然后再次關閉。

在戴爾官方社區網站和Reddit等社交媒體平臺上共享的客戶報告顯示，最新的BIOS版本將導致啟動問題，包括Latitude筆記本電腦1.14.3版本、Inspiron的2.8.0版本、以及Aurora R8的1.0.18版本。

一位受影響的客戶表示，“今天將我的5320的BIOS升級到新的1.14.3版本后，筆記本電腦無法啟動。按下電源按鈕時，按鈕上的燈會顯示大約10秒鐘，然后再次關閉。有時整個鍵盤會亮起，但筆記本電腦很快就會關機，但有時筆記本電腦會打開并顯示“未設置時間，請運行安裝程序”錯誤，按“繼續”后，筆記本電腦然后將再次關閉。它已經啟動了幾次，但在關閉之前顯示藍屏一段時間。”

在戴爾發布更新來解決導致引導問題的錯誤之前，最簡單的修復方法是降級到以前的固件版本。一位Latitude用戶建議，“如果您確實設法讓它們啟動，那么每次關閉并重新啟動時，都會抱怨“未設置時間”。如果您能讓它們恢復到1.13.0，顯然可以解決該啟動問題，并存活足夠長的時間。”

一些受影響的用戶分享了詳細的過程，可用于使用SupportAssist OS Recovery將其BIOS降級到舊版本，以解決此問題。受此問題影響的筆記本電腦可能仍然存在啟動問題，直到斷開電池連接，按下電源按鈕15秒，然后再次開機之前重新插入電池和充電器。但是也可以選擇首先嘗試戴爾官方指南，了解如何降級系統BIOS、修復無法啟動的計算機、解決POST問題、以及使用SupportAssist OS Recovery解決啟動問題。

參考來源：BleepingComputer http://33h.co/kmz1m

 

 

（九）新型惡意軟件DarkWatchman利用Windows注冊表逃避檢測

Prevailion研究人員在地下網絡犯罪中發現了一種名為DarkWatchman的新型惡意軟件，是種輕量級且功能強大的JavaScript RAT，搭配C#鍵盤記錄器，威脅行為者是俄羅斯組織。該惡意軟件最初在11月初被發現，攻擊者使用帶有惡意ZIP附件的網絡釣魚電子郵件分發該惡意軟件。

這些ZIP文件附件包含一個使用圖標來模擬文本文檔的可執行文件。這個可執行文件是一個自安裝的WinRAR壓縮文件，將安裝RAT和鍵盤記錄器。如果打開，用戶會看到一條誘餌彈出消息，內容顯示“未知格式”，但實際上有效載荷已安裝在后臺。

DarkWatchman是一種非常輕的惡意軟件，JavaScript RAT的大小僅為32kb，編譯后僅占用8.5kb的空間。該軟件利用了大量living off the land的二進制文件、腳本和庫，并結合了隱蔽方法來在模塊之間傳輸數據。

DarkWatchman的迷人之處在于它為鍵盤記錄器使用了Windows注冊表無文件存儲機制。每次用戶登錄Windows時，系統都會創建一個計劃任務來啟動DarkWatchman RAT，而不是將鍵盤記錄器存儲在磁盤上。啟動后，DarkWatchmen將執行一個PowerShell腳本，該腳本使用.NET CSC.exe命令編譯鍵盤記錄器，并將其啟動到內存中。

Privilion研究人員Matt Stafford和Sherman Smith在研究報告中表示，“鍵盤記錄器作為模糊的C#源代碼分發，作為Base64編碼的PowerShell命令處理并存儲在注冊表中。當RAT啟動時，它執行這個PowerShell腳本，然后反過來編譯鍵盤記錄器(使用CSC)并執行它。鍵盤記錄器本身不與C2通信或寫入磁盤。相反，它將其鍵盤日志寫入用作緩沖區的注冊表項。在其操作期間，RAT會在將記錄的擊鍵發送到C2服務器之前清除該緩沖區。”

因此，注冊表不僅用作隱藏編碼的可執行代碼的地方，還用作保存被盜數據的臨時位置，直到它被泄露到C2。在C2通信和基礎設施方面，DarkWatchman使用DGA(域生成算法)和10個項目種子列表，每天生成多達500個域。這為其提供了出色的運營彈性，同時使通信監控和分析變得非常具有挑戰性。

DarkWatchman的功能能力包括：執行EXE文件(返回或不返回輸出)、加載DLL文件、在命令行上執行命令、執行WSH命令、通過WMI執行雜項命令、執行PowerShell命令、評估JavaScript、從受害者機器上傳文件到C2服務器、遠程停止和卸載RAT和鍵盤記錄器、遠程更新C2服務器地址或回撥超時、遠程更新RAT和鍵盤記錄器、設置自動啟動JavaScript以在RAT啟動時運行、用于C2彈性的域生成算法(DGA)、如果用戶具有管理員權限，則會使用vssadmin.exe刪除卷影副本。

Privilion認為，DarkWatchman可能是由勒索軟件團體量身定制的，這些團體需要通過強大而隱蔽的工具為其能力較弱的附屬機構提供支持。該惡意軟件可以遠程加載額外的有效載荷，因此它可以用作后續勒索軟件部署的隱蔽第一階段感染。由于DarkWatchman可以在初始立足點后與攻擊者控制的域進行通信，因此勒索軟件操作員可以接管并部署勒索軟件或直接處理文件泄露。這種方法會將附屬公司的角色降級為網絡滲透者的角色，同時RaaS操作更加臨床和高效。

參考來源：BleepingComputer http://33h.co/km7np

 

（十）德國音響制造商森海塞爾泄露客戶數據

根據vpnMentor研究報告，德國音頻設備制造商森海塞爾(Sennheiser)在亞馬遜網絡服務(AWS)的服務器處于不安全狀態，該服務器存儲了森海塞爾超過28,000名客戶大約55 GB的個人信息。

AWS存儲桶在需要存儲大型數據文件的企業中很受歡迎，但是定義AWS S3存儲桶的安全設置非常重要，森海塞爾沒有確保這一點。

據VpnMentor研究人員Noam Rotem和Ran Locar稱，Sennheiser使用AWS S3存儲桶來存儲大型數據文件，其中包含從客戶收集的數據。該數據庫是一個舊的云帳戶，其中包含28,000名客戶的數據，并在2015-2018年間收集，該數據庫自2018年以來一直處于休眠狀態。

研究人員表示，該數據庫可能很舊，但這些信息對網絡犯罪分子來說是寶貴的。研究人員于2021年10月28日聯系了Sennheiser，告知其服務器未受保護和數據泄露。

該存儲桶包含申請森海塞爾產品樣本的個人和企業數據，包括姓名、電子郵件ID、家庭地址、電話號碼、員工姓名和公司名稱。

此類數據足以讓網絡犯罪分子執行各種攻擊，例如網絡釣魚詐騙或身份盜用。暴露的AWS服務器立即得到了Sennheiser的保護，但令人擔憂的是，此類敏感數據對公眾開放了這么長時間。

vpnMentor表示，“一旦我們確認Sennheiser對數據泄露負責，我們就聯系了該公司，以通知它并提供幫助。幾天后Sennheiser進行了回復，并要求我們提供調查結果的詳細信息。我們向不安全的服務器公開了URL，并提供了有關其包含內容的更多詳細信息。盡管沒有再次收到公司的回復，但幾小時后服務器就得到了保護。”

參考來源：HackRead http://33h.co/kmyvr

 

（十一）澳大利亞招聘公司Finite遭受重大數據泄露

澳大利亞招聘公司Finite遭受了Conti勒索軟件攻擊，導致重大數據泄露，包括許多澳大利亞主要公司和政府機構的求職者和員工的個人詳細信息可能被暴露。黑客訪問并發布了敏感數據，包括簡歷、工作機會、合同、時間表和疫苗證書，其目的可能是勒索贖金。Finite擁有很多澳大利亞主要客戶，包括Coles、Westpac、AMP以及國防部、衛生和內政部。

Conti黑客組織已發布了12,000多個文件，并威脅要發布更多文件。該黑客組織在其網站上表示，其竊取了超過300 GB的數據，包括財務、合同、客戶數據庫、電話號碼、地址、護照和各種其他敏感個人信息。

Finite Recruitment在聲明中表示，“這些數據與10月份發生的一次性網絡事件有關，該事件仍在調查中，調查結束后將通知受影響的各方。Finite Group的一小部分數據已被下載并發布在暗網上。”澳大利亞網絡安全中心表示，“該黑客組織將泄露的信息托管在洋蔥路由器(TOR)網絡上，從而使托管非法獲取材料的Conti威脅行為者更加匿名。”

然而，該組織最近似乎在一個所有互聯網用戶都可以訪問的常規網站上發布泄露的數據，可以使用標準Web瀏覽器查看和訪問泄露的文件。已經公布的數據包括通過該公司求職的澳大利亞人的個人詳細信息，包括簡歷、工資信息、背景調查、犯罪歷史檢查和簽證檢查。

很多企業、銀行和政府機構因與Finite的關系而被卷入泄密事件，包括Westpac、ME Bank、Coles、Adairs、AMP、Suez Australia、NBN Co以及國防部、內政部和健康。一些Finite Recruitment客戶表示，他們知道泄密事件，然而其他客戶則沒有得到通知。

聯邦衛生發言人表示，該部門使用了一系列雇傭公司，包括Finite Group APAC Pty Ltd，但沒有與這些提供商共享“任何敏感或機密數據”。一位發言人表示，“該部門尚未收到Finite Group APAC Pty Ltd就任何安全漏洞或數據丟失發來的任何信件。”

Coles與Finite Recruitment簽訂了服務協議，并被列在泄露文件中，表示正在對違規行為進行自我調查。Coles發言人表示，“我們已經直接與Finite接觸，以了解他們正在采取哪些措施來調查事件和保護系統，并評估對Coles承包商或團隊成員的任何影響。”

澳大利亞國立大學也被列入違規名單，在一份聲明中表示，還沒有被告知這次數據泄露事件，但補充說沒有任何跡象表明其系統目前受到威脅。內政部發言人表示，其沒有與Finite共享敏感機密數據，它有強大的安全設置，并且沒有受到這次數據泄露的影響。國防部發言人表示，國防部已獲悉這一事件，并與FinXL合作管理國防部的資產。該事件對國防網絡沒有影響，國防部不會與Finite共享任何敏感的機密數據。

Conti是一個位于俄羅斯的勒索軟件犯罪組織?？芭嗬W絡安全研究員Robert Potter表示，Conti是一個高度專業化的黑客組織，在竊取數據和索取贖金之前，使用各種知名工具來訪問目標網絡。勒索軟件攻擊的工作原理是加密受害者的數據，使其無法訪問。然后將向受害者出售解密密鑰以重新訪問該數據。如果受害者不屈服于攻擊者的要求，可能會永久失去對數據的訪問權限。

Conti的附屬公司會使用一種稱為“雙重勒索”的技術，威脅受害者如果不支付贖金，就會發布被盜數據。Potter表示，該組織變得越來越厚顏無恥，并且對最近針對的目標持開放態度。Conti越來越意識形態化，有時會使用俄羅斯外交政策的談話要點，這表明這可能是一種吸引為他們提供保護的人的策略。Conti之前曾因攻擊知名組織而成名，要求大量金錢作為贖金，以換取同意不發布完整數據泄露。

監控潛在網絡犯罪事件的網絡安全和情報公司ProDraft表示，自2020年以來，其已發現來自567家不同公司的數據在Conti的勒索網站上共享。ProDraft還表示，其團隊已注意到最近Conti攻擊的激增。Conti已表明自己是一個特別無情的團體，不分青紅皂白地針對醫院、緊急服務提供者和警察調度員。

Conti作為勒索軟件即服務(RaaS)提供，允許附屬公司根據需要使用勒索軟件，只要贖金支付的一部分作為傭金與Conti運營商共享。ProDraft研究發現，自2021年7月以來，Conti已通過勒索軟件付款收到了500多個比特幣，價值3280萬美元。

Potter表示，Conti非常老練，他們采用“幾乎精算的方法”來確定贖金金額，甚至將目標鎖定為接近他們認為組織保險所能涵蓋的金額。多數遭受勒索軟件攻擊的澳大利亞組織沒有支付任何費用，這是正確的舉措，然而至少有一筆巨額贖金來自Conti所針對的澳大利亞組織。

參考來源：ABCNews http://33h.co/kmw0g

 

（十二）美國波特蘭McMenamins連鎖酒店遭受勒索軟件攻擊

美國波特蘭酒店和啤酒連鎖店McMenamins遭受了網絡攻擊，導致其許多計算機系統無法運行。攻擊者可能已經訪問了其部分員工記錄，但并未涉及客戶數據。McMenamins表示沒有支付任何贖金，并拒絕透露有關黑客要求的任何細節。據消息人士稱，此次攻擊的是Conti黑客組織。

在勒索軟件攻擊中，攻擊者通常會接管組織的計算機系統，阻止訪問或威脅要發布機密信息，除非支付贖金。McMenamins表示，攻擊發生在12月12日，沒有任何地點因此次攻擊而關閉，但McMenamins被迫關閉了IT系統、信用卡系統和公司電子郵件，以防止攻擊進一步蔓延，攻擊導致在線預訂系統癱瘓，因此正在通過電話預訂酒店，但無法提供房價或預訂特定房型，也無法購買和兌換禮品卡。

McMenamins在波特蘭西北地區經營著56家酒店、電影院、酒吧和餐廳，大部分位于從尤金到西雅圖的5號州際公路沿線，許多地點都位于經過修復的學校、酒店、旅館和劇院。

McMenamins在聲明中表示，“網絡犯罪分子部署了惡意軟件，鎖定了公司系統，并阻止了對關鍵信息的訪問。該家族企業已向FBI報告了這一事件，并正在與一家網絡安全公司合作，以確定攻擊的來源和全部范圍。”

McMenamins表示，這次攻擊使公司電子郵件和信用卡掃描儀脫機，迫使公司求助于其他支付系統。單獨的支付處理服務管理客戶支付信息，并表示沒有跡象表明攻擊破壞了這些系統。不過，員工數據可能已被泄露，可能包括工人的姓名、地址、電子郵件地址、電話號碼、生日、社會安全號碼和銀行賬戶信息。

McMenamins表示，它將為員工提供身份保護服務，因為它正在努力確定攻擊的范圍。該公司的員工人數為2,700人，低于疫情前的3,000人。

該公司家族成員Brian McMenamin表示，“讓這次違規行為特別令人沮喪，它進一步加劇了我們員工在過去兩年中所承受的壓力和艱辛。鑒于此次違規對我們的系統造成的影響，我們要求我們的客戶在我們處理交易和預訂的方式進行臨時調整時給予我們的員工額外的寬限期。我們希望這個假期將成為我們所有人的積極轉折點，并感謝我們忠實客戶和合作伙伴的耐心和理解。”

在過去幾年中，對企業系統的黑客攻擊和勒索軟件攻擊變得越來越普遍，這通常歸因于在海外工作的網絡犯罪分子。這使得當局特別難以調查此類入侵并追究竊賊的責任。 

參考來源：OregonLive http://33h.co/kmkwf

 

（十三）加拿大度假村Big White發布數據泄露警報

加拿大度假村Big White發布警告稱，其服務器上可能存在惡意軟件，因此可能導致數據泄露。惡意訪問的數據可能包括個人和商業信息，例如姓名、地址、銀行信息、電子資金轉賬安排和CRA商業編號。

在12月20日Big White發送給所有供應商的電子郵件中，總裁兼首席執行官Peter Plimmer表示，該公司的服務器在9月10日之前的某個時間遭受了未經授權的入侵。“雖然我們不知道您的個人和/或商業信息有任何實際濫用，但我們正在向您和其他可能受影響的各方提供有關該事件的通知，以及您可以采取哪些措施來保護自己免受可能的身份盜用或欺詐。”

Big White度假村無法確定未經授權的入侵發生的確切時間，但其技術事件響應團隊表示，他們認為這可能發生在2021年上半年。Plimmer表示，“入侵者似乎在我們的服務器上放置了惡意軟件，并且通過這樣做，可能獲得對存儲在這些服務器上的某些個人數據的訪問權限，包括與您在我們這里的供應商/供應商帳戶相關的個人信息和銀行數據。”

受影響的服務器已斷開連接并從服務中移除，所有數據已移至新服務器。該度假村無法確定訪問或復制了哪些信息和銀行數據。Plimmer表示，度假村一直在與網絡安全提供商合作，并將與適當的執法部門聯系并提供合作。該度假村建議其供應商監控銀行對賬單，并向相關金融機構報告任何可疑活動。 

參考來源：Penticton Herald http://33h.co/kmny0

 

（十四）Sharp Boys黑客組織攻擊以色列網站泄露個人信息

Sharp Boys黑客組織在12月18日入侵了兩個以色列徒步旅行網站Tiyuli和Lametayel，泄露了10萬用戶的信息，并出售了大約300萬人的信息，泄露的數據包括電子郵件、地址、照片和電話號碼。

兩個受影響的網站是Tiyuli和Lametayel。Tiyuli是一個提供以色列各地徒步旅行、景點、地圖和睡覺地點信息的網站，Lametayel是一家徒步旅行和體育用品連鎖店，其網站還提供徒步旅行信息。截至12月18日晚上，這兩個網站均已關閉。

黑客在消息中表示，“嗨，lametayel.co.il和tiuli.com被黑了！所有數據庫都在出售。我們有500 GB的數據可供出售，其中包括大約300萬用戶的電子郵件、密碼和電話號碼。”Sharp Boys沒有提及任何贖金要求，目前還不清楚此次攻擊是否出于民族主義動機。

Lametayel表示，在周六下午在其網站上發現了可疑活動，并關閉了所有網站，并阻止了對網站的訪問，并補充說正在檢查這個問題。

上周，網絡安全提供商Check Point報道稱，伊朗黑客組織Charming Kitten或APT 35試圖利用開源軟件日志系統Log4j中的漏洞攻擊以色列的七個目標，企圖攻擊被阻止。今年10月，多個以色列網站遭到Black Shadow黑客組織攻擊，泄露了數十萬用戶的個人信息。

參考來源：TheJerusalemPost http://33h.co/kmy41

 

（如未標注，均為天地和興工業網絡安全研究院編譯）