目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）臺達電子遭受Conti勒索軟件攻擊

第二章 國外關鍵信息基礎設施安全動態

（一）西門子PLC存在三個高危漏洞可造成嚴重后果

（二）歐洲多個石油港口碼頭遭受網絡攻擊導致癱瘓

（三）德國石油供應公司Oiltanking遭受重大網絡攻擊

（四）瑞士航空服務公司Swissport遭受勒索軟件攻擊導致航班延誤

（五）黑客發現瑞士鐵路系統存在數據安全漏洞

（六）西門子和施耐德電氣修復了近50個漏洞

（七）英美澳聯合發布全球勒索軟件威脅態勢

（八）跨區塊鏈加密貨幣平臺Wormhole遭受黑客攻擊竊取3.2億美元

（九）研究人員發現新型勒索軟件Sugar

（十）在ICS環境中使用的SeaConnect設備存在高危漏洞

（十一）葡萄牙沃達豐電信遭受網路攻擊導致服務嚴重中斷

（十二）英國零食生產商KP Snacks遭受Conti勒索軟件攻擊導致供應鏈中斷

 

第一章 國內關鍵信息基礎設施安全動態

（一）臺達電子遭受Conti勒索軟件攻擊

臺灣電子制造商臺達電子（Delta）披露其在1月21日晚遭受網絡攻擊。

臺達電子是公司、蘋果、特斯拉、惠普和戴爾的供應商，是是世界上最大的電源組件供應商，去年的銷售額超過90億美元。

臺達電子在1月22日發布的一份聲明中表示，該事件僅影響非關鍵系統，對其運營沒有重大影響。AdvIntel Andariel平臺于1月18日檢測到該攻擊。

臺達電子現在正致力于恢復在攻擊期間被拆除的系統，并表示已聘請了第三方安全專家的服務來幫助調查和恢復過程，已通知政府執法機構協助后續調查。

雖然臺達電子的聲明沒有說明誰此次攻擊的幕后黑手，但CTWANT首次報道稱，某匿名信息安全公司在臺達電子的網絡上發現了一個Conti勒索軟件樣本。

 

根據Conti和Delta之間的談判，Conti運營商聲稱已經加密了Delta網絡上大約65,000臺設備中的1,500臺服務器和12,000臺計算機。Conti勒索軟件團伙要求Delta支付1500萬美元的贖金來購買解密器，并停止泄露從其網絡竊取的文件。還承諾如果公司迅速付款，將給予折扣。

據報道，盡管Delta仍在與Trend和微軟的安全團隊合作調查此事件，并聲稱其生產并未受到影響，但其網站在襲擊發生一周后仍處于關閉狀態。

Delta的客戶可以使用備用域，直到主要網站重新上線，但在勒索軟件攻擊后仍然處于關閉狀態。

AdvIntel的CEO Vitali Kremez表示，“Conti勒索軟件組織揭示了Delta攻擊的特定模式部分，該攻擊利用Cobalt Strike和Atera來實現持久性，正如我們的平臺對抗可見性所揭示的那樣。當然，這種攻擊讓人想起影響Apple供應商之一的REvil Quanta?！?/span>

Conti是一個與俄語網絡犯罪組織Wizard Spider有關的勒索軟件即服務(RaaS)。勒索軟件組織運營商過去曾入侵過其他知名組織，包括愛爾蘭衛生部(DoH)和衛生服務執行局(HSE)，以及營銷巨頭RR Donnelly(RRD)。

參考來源：BleepingComputer http://33h.co/kynyr

 

 

第二章 國外關鍵信息基礎設施安全動態

（一）西門子PLC存在三個高危漏洞可造成嚴重后果

西門子在2月8日發布了9條安全公告，涉及27個漏洞，其中包括三個影響西門子SIMATIC PLC的漏洞，未經身份驗證的遠程攻擊者可以利用這些漏洞對一些西門子PLC和相關產品發起拒絕服務(DoS)攻擊。

這三個漏洞編號為CVE-2021-37185、CVE-2021-37204和CVE-2021-37205，可以通過TCP端口102向目標設備發送特制數據包來利用這些漏洞。如果漏洞被成功利用，需要重啟設備才能恢復正常運行。

在真實的工業環境中，PLC崩潰可能會產生嚴重影響并造成重大破壞。西門子表示，這些漏洞會影響SIMATIC S7-1200和S7-1500 PLC、SIMATIC驅動控制器、ET 200SP開放式控制器、S7-1500軟件控制器、SIMATIC S7-PLCSIM Advanced、TIM 1531 IRC通信模塊以及SIPLUS極端產品。

發現這些漏洞的ICS安全研究人員高劍表示，這三個漏洞是他向西門子報告的八個漏洞中的一部分，其余漏洞正在調查中。研究人員于2021年8月上旬開始向西門子報告他的發現。

高劍在一篇文章中，將這些漏洞稱之為S7+:Crash，與西門子產品使用的OMS+通信協議棧有關。

西門子PLC可以通過啟用訪問級別選項和設置密碼來防止未經授權的操作。然而即使選擇了“完全保護”選項，研究人員確定攻擊方法仍然有效。即使啟用了最近推出的旨在保護PLC與PC或HMI之間通信的功能，也可以利用這些漏洞。

S7+:Crash漏洞可以被可以訪問TCP端口102上的目標設備的攻擊者利用。如果PLC由于配置錯誤而暴露，也可以直接從互聯網進行利用。

高劍表示，“請注意，即使啟用了訪問保護和安全通信（TLS加密）的SIMATIC產品，也無法緩解這些漏洞，并且沒有能夠解析S7CommPlus_TLS協議的防火墻，因此很難防止此類攻擊?！?/span>

參考來源：SecurityWeek http://33h.co/kyspz

 

（二）歐洲多個石油港口碼頭遭受網絡攻擊導致癱瘓

西歐多個碼頭遭受了一場大規模勒索軟件攻擊，導致IT系統癱瘓。影響了西歐17個碼頭，包括德國的Oiltanking、比利時的SEA-Invest和荷蘭的Evos。網絡攻擊還導致在荷蘭阿姆斯特丹、荷蘭鹿特丹、比利時安特衛普煉油中心的六個儲油碼頭裝卸成品油困難。

全球律師事務所Baker Botts表示，“最新的大規模勒索軟件攻擊針對的是西歐至少17個港口的油港碼頭軟件，改變了油輪航線，并嚴重擾亂了供應鏈?！?/span>

最新報告稱，比利時檢察官已立即對1月29日開始的石油設施襲擊事件展開調查。

德國公司Oiltanking表示，“Oiltanking GmbH Group和Mabanaft Group發現我們已經成為影響IT系統的網絡事件的受害者。在得知該事件后，我們立即采取措施加強系統和流程的安全，性并對此事展開調查。我們正在根據應急計劃解決這個問題，并了解事件的全部范圍?！?/span>

Oiltanking隸屬于德國漢堡的Marquard&Bahls集團，表示其正在與外部專家一起進行徹底調查，并與有關當局密切合作。屬于同一集團公司的礦物油經銷商Mabanaft也遭到襲擊。

Oiltanking表示，“我們致力于盡快有效地解決問題，并將影響降至最低。我們將隨時通知客戶和合作伙伴，并在獲得更多信息后立即提供更新?！?/span>

受影響的17個碼頭包括漢堡、根特、安特衛普、澤布呂赫和鹿特丹的碼頭。Baker Botts表示，目前尚不清楚襲擊的全部范圍。報告顯示，針對港口碼頭軟件的勒索軟件攻擊阻止了他們處理駁船，導致航線改道和擁堵，同時阻止油輪裝卸。

Cybereason副總裁兼全球現場CSO Greg Day表示，隨著全球緊張局勢影響石油和天然氣的獲取和供應，我們可以推測，最近對整個歐洲石油供應商的這些攻擊是旨在加劇一些國家之間現有的緊張關系，或者目標是更為傳統的牟取暴利，因為有大量媒體報道天然氣和石油價格上漲。

德國報紙Handelsblatt首先報道了德國公司Oiltanking遭到攻擊的消息，并訪問了德國聯邦信息安全辦公室的內部文件，這些文件確定BlackCat勒索軟件組織應對此次攻擊負責。

據Handelsblatt報道，“由于Oiltanking的油庫癱瘓，中型公司的加油站以及殼牌等主要客戶的加油站無法再供應。操作必須手動完成，233個加油站受到影響，尤其是在德國北部?！?/span>

安全公司Palo Alto Networks的威脅情報部門Unit 42表示，在短短一個月內，BlackCat網絡犯罪集團就對國際組織進行了高影響力的勒索軟件攻擊，并在全球勒索軟件集團的排名中上升至第七位。該排名基于BlackCat數據泄露網站上列出的受害者人數。

BlackCat勒索軟件組織于2021年11月中旬首次受到關注，針對美國、歐洲和菲律賓以及其他地區的組織。其目標包括制藥公司和從事建筑和工程、零售、運輸、保險、電信和汽車零部件制造的公司。

根據印度網絡安全公司CloudSEK的調查結果，BlackCat或Alphv是REvil集團的前成員。報告稱，LockBit勒索軟件組織的一名成員聲稱BlackCat是BlackMatter或DarkSide勒索軟件組織的更名版本。

網絡安全公司Adarma的總理事會Scott Connarty表示，石油和天然氣行業的這一重大勒索軟件攻擊令人擔憂，因為它針對關鍵基礎設施阻礙供應鏈并造成盡可能多的經濟破壞。

Connarty表示，“這次最新的攻擊應該進一步提醒我們，我們都面臨的網絡攻擊的頻率、復雜性和嚴重性不斷增加。在之前的公司中經歷過非常相似的網絡攻擊，不幸的是，我知道像這樣的勒索軟件事件在公司持續的交易能力以及為成功度過這場危機而施加在執行團隊身上的巨大壓力。所有企業不斷管理其網絡安全的重要性從未如此明顯?！?/span>

Synopsys Software Integrity Group管理軟件安全顧問Stanislav Sivak表示，雖然到目前為止還沒有太多關于動機、影響和攻擊向量的信息，但有趣的是，即使是一些不太知名的組織，例如汽油經銷商，如今正受到網絡攻擊者的關注。

Sivak表示，“所有關鍵基礎設施元素都是這種情況。除非它們不存在，否則您不會注意到它們存在。這是軟件風險如何等同于業務風險的完美案例。幸運的是，在這種情況下，由于其他補償控制或攻擊的范圍，影響僅限于部分拒絕服務，似乎沒有發生數據泄露?！?/span>

參考來源：InfoRiskToday http://33h.co/kydry

 

（三）德國石油供應公司Oiltanking遭受重大網絡攻擊

德國主要石油儲存公司Oiltanking GmbH Group在1月31日周日遭受了網絡攻擊。此次攻擊影響了Oiltanking以及石油貿易公司Mabanaft的IT系統，這兩家公司都隸屬于總部位于德國漢堡的Marquard&Bahls集團，該集團是世界上最大的能源供應公司之一。據德國媒體Handelsblatt報道，攻擊者似乎是勒索軟件BlackCat。

根據該公司企業通信主管Claudia Wagner的一份聲明，這次襲擊關閉了油罐公司的IT系統。Oiltanking的德國子公司在德國經營所有碼頭，目前運力有限。Oiltanking的全球業務并未受到影響。

Wagner在電子郵件中表示，“我們正在根據應急計劃解決這個問題，并了解事件的全部范圍。我們正在與外部專家一起進行徹底調查，并與有關當局密切合作?！?/span>

Oiltanking Germany擁有并經營著11個碼頭，總儲存量為237.5萬立方米燃料，總共為德國26家公司供應燃料。該公司的客戶包括許多中型公司，以及石油公司殼牌。該公司告訴路透社，荷蘭皇家殼牌公司現在正在將石油供應重新分配到其他儲存地點。

僅殼牌一家就在德國經營著1,955個加油站，因此，如果這些加油站的燃料耗盡，就會引發一場危機，從而對德國的一系列日常運營產生不利影響，進而影響其國民經濟。

德國獨立儲罐協會的常務董事Frank Shaper表示，這次襲擊不會危及該國的燃料供應，無論是供暖還是運輸方面。

但是，中斷仍然很嚴重，如果公司需要很長時間才能解決由攻擊引起的IT問題，供應鏈也可能會中斷。這主要是由于儲罐裝載/卸載過程的自動化，不能回到手動操作，因為它完全依賴于當前離線的計算機化系統。

Oiltanking在德國共有13個油罐區，目前這些罐區不能為卡車提供服務。相反，該公司已使用替代地點，直到網絡攻擊的影響得到補救。

截至12月，Black Cat在Palo Alto Network的Unit 42威脅情報部門跟蹤的所有勒索軟件組織中的受害者數量排名第七。。該組織使用高度可定制的編碼語言Rust，并允許該組織在個性化攻擊方面建立聲譽。與其他團體相比，它還向出租其攻擊基礎設施的附屬公司支付高額傭金。

此次襲擊發生之際，嚴重依賴俄羅斯石油的德國考慮，如果俄羅斯進一步入侵烏克蘭，將退出與俄羅斯的一項主要天然氣管道協議北溪2。上周，德國情報部門還就黑客組織APT27的持續網絡攻擊發出警告。

Lookout安全解決方案高級經理Hank Schless表示，“沒有足夠的信息來說明誰應該對此負責，但無論如何，攻擊者都看到了對德國施加更大壓力的機會，德國是歐洲最大的俄羅斯天然氣消費國之一。這是利用高壓情況為惡意網絡活動創造機會的完美例子，攻擊者盡可能頻繁地這樣做?！?/span>

過去，針對能源部門的網絡攻擊已被證明極具破壞性。5月針對美國Colonial Pipeline的勒索軟件攻擊引起了美國加油站的恐慌。

參考來源：CyberScoop http://33h.co/kyxfp

 

（四）瑞士航空服務公司Swissport遭受勒索軟件攻擊導致航班延誤

瑞士航空服務公司Swissport披露其遭受了勒索軟件攻擊，影響了IT基礎設施和服務，導致航班延誤。

Swissport為50個國家的310個機場提供貨物裝卸、安全、維護、清潔和休息室招待服務。年旅客吞吐量2.82億人次，貨物吞吐量480萬噸，是全球航空旅游產業鏈的重要一環。Swissport擁有約66,000名員工，并產生28億歐元的綜合營業收入。

Swissport在2月4日發布的一條推文指出，攻擊已基本得到控制，系統正在恢復，以使服務恢復正常。目前加載Swissport的網站返回一個錯誤，表明該公司的IT團隊仍在處理由勒索軟件攻擊引起的問題。

Swissport的客戶之一，蘇黎世機場的一位發言人表示，網絡攻擊發生在3日周四早上6點，造成22架次航班的輕微延誤，時間在3到20分鐘之間。Swissport表示，即使沒有IT系統支持，航空公司的地面服務也可以繼續，盡管在某些情況下延誤是不可避免的。

目前有關此次攻擊的詳細信息很少，尚不清楚哪個勒索軟件團伙應對此負責，或者他們是否在入侵期間竊取了公司數據。目前沒有勒索軟件組織聲稱對Swissport進行了攻擊或在泄密站點泄露數據。

此前另一家歐洲公司也發生了類似事件。。三天前，黑客對Oiltanking發起了攻擊，這破壞了整個德國的燃料分配。昨天，比利時的一個主要石油碼頭因網絡攻擊而導致運營中斷，該國當局目前正在對此進行調查。盡管這些事件似乎都沒有造成嚴重損害，但提醒人們，盡管最近執法部門逮捕了一些勒索軟件團體，但勒索軟件團體仍然非?；钴S。

參考來源：BleepingComputer http://33h.co/kyd1t

 

（五）黑客發現瑞士鐵路系統存在數據安全漏洞

一名匿名黑客發現了影響瑞士國家鐵路系統的漏洞，利用該漏洞可訪問約50萬名購買了瑞士聯邦鐵路(SFR)車票的個人數據，包括旅客的姓名、出生日期、購買頭等艙和二等艙的數量、出發地和最終目的地。

在檢測到SFR的瑞士卡系統中存在漏洞后，黑客將其報告給了在瑞士公共電視臺SRF播出的Rundschau節目。該黑客表示，任何人都可以輕松查看數據，利用該漏洞不需要專業的IT知識，敏感數據實際上在互聯網上是公開的。

該安全漏洞已報告給瑞士聯邦數據保護專員。據瑞士新聞網站Swiss Info報道，被黑客入侵的數據從未公開，此后一直由SFR保護。黑客表示，其利用該漏洞的動機是揭露其存在，以期避免潛在的惡意網絡攻擊。

專門研究網絡犯罪的作家兼記者Otto Hostettler表示，“這對瑞士鐵路來說是一次巨大的災難，這些數據可以在暗網上的黑客論壇上出售。如果落入壞人手中，它有很大的濫用潛力?！?/span>

眾所周知，網絡犯罪分子以瑞士鐵路行業為目標。2020年5月，黑客竊取了瑞士火車制造商Stadler Rail的數據，并要求以600萬美元的比特幣作為回報。襲擊發生后，Stadler發表聲明稱，其不會也從未愿意向勒索者付款，也沒有進行談判。

為回應Stadler的拒絕，威脅行為者在互聯網上發布了一些被盜文件的圖像。圖片附帶的一條信息稱，犯罪分子從火車制造商那里竊取了不少于10,000份文件。Stadler表示已備份了攻擊中受損的所有數據。

參考來源：InfoSecurityMagazine http://33h.co/kyx4i

 

（六）西門子和施耐德電氣修復了近50個漏洞

工業巨頭西門子和施耐德電氣在2月8日周二共計發布了15份安全公告,涉及影響其產品的近50個漏洞,這兩家公司已發布了補丁或緩解措施來解決這些漏洞。

西門子發布了九份公告,涉及27個漏洞。其中最嚴重的漏洞是CVE-2021-45106，該漏洞與硬編碼憑證相關，暴露了與SICAM TOOLBOX II工程解決方案相關的數據庫。另一份公告描述了三個高危拒絕服務(DoS)漏洞，無需身份驗證即可利用這些漏洞，來攻擊公司的控制器。

在SIMATIC、SINEMA和SCALANCE產品中也修復了高危安全漏洞，它們都使用相同的第三方strongSwan組件。雖然這些漏洞已被證實允許DoS攻擊，但其中一個也可能允許在某些情況下遠程執行代碼。Solid Edge、JT2Go、Teamcenter Visualization和Simcenter Femap中已修補或緩解了可通過誘騙目標用戶打開特制文件來利用的漏洞，攻擊者可以利用這些弱點進行DoS攻擊或遠程代碼執行。

西門子還發布了另外一份公告，通知客戶有關影響其許多產品的高危OpenSSL漏洞。雖然有些產品可以使用補丁，但是有些產品只有緩解措施，并且打算發布更新。SINEMA Remote Connect Server、Spectrum Power 4以及SIMATIC WinCC和PCS中解決了中危漏洞。

施耐德電氣發布了六份公告，涉及20個漏洞。在用于監控和控制工業過程的交互式圖形SCADA系統IGSS中總共發現了八個漏洞，其中許多為嚴重和高危漏洞。這些漏洞可能導致遠程代碼執行、數據泄露以及對SCADA系統失去控制。這些漏洞是由Tenable和Vyacheslav Moskvin發現的，他們通過趨勢科技的零日倡議(ZDI)報告了其發現。雖然ZDI尚未公開其建議，但Tenable已經發布了技術信息和概念驗證(PoC)漏洞利用。

 

在施耐德的spaceLYnk、Wiser For KNX和federLYnk產品中也發現了嚴重和高危漏洞。施耐德還發布了公告，描述了其EcoStruxure EV Charging Expert、Easergy P40、Harmony/Magelis iPC和EcoStruxure Geo SCADA Expert產品中的高危和中危漏洞。利用這些漏洞可能導致未經授權的系統訪問、本地權限升級、中斷或失去保護。

參考來源：SecurityWeek http://33h.co/kyh9f

 

（七）英美澳聯合發布全球勒索軟件威脅態勢

美國、澳大利亞、和英國的網絡安全當局發現2021年針對全球關鍵基礎設施組織的復雜、高影響力的勒索軟件事件有所增加。

聯邦調查局(FBI)、網絡安全和基礎設施安全局(CISA)和國家安全局(NSA)觀察到針對美國16個關鍵基礎設施部門中的14個涉及的勒索軟件事件，包括國防工業基地、應急服務、食品和農業、政府設施和信息技術部門。澳大利亞網絡安全中心(ACSC)觀察到，勒索軟件持續針對澳大利亞關鍵基礎設施實體，包括醫療保健和醫療、金融服務和市場、高等教育和研究以及能源部門。英國國家網絡安全中心(NCSC-UK)將勒索軟件視為英國面臨的最大網絡威脅。教育是勒索軟件攻擊者的主要目標之一，但NCSC-UK也看到了針對地方政府和衛生部門的企業、慈善機構、法律專業和公共服務的攻擊。

勒索軟件的策略和技術在2021年繼續發展，這表明勒索軟件威脅行為者的技術日益成熟，以及對全球組織的勒索軟件威脅增加。

這份由美國、澳大利亞和英國網絡安全當局撰寫的聯合網絡安全咨詢提供了觀察到的行為和趨勢以及緩解建議，以幫助網絡防御者降低被勒索軟件入侵的風險。美國、澳大利亞和英國的網絡安全部門觀察到2021年網絡犯罪分子的以下行為和趨勢：

1、通過網絡釣魚、被盜遠程桌面協議(RDP)憑據或暴力破解以及利用漏洞來獲取網絡訪問權限；

2、利用網絡犯罪服務進行雇傭；

3、分享受害者信息；

4、針對美國的高價值組織；

5、勒索手段多樣化。

美國、澳大利亞和英國的網絡安全當局評估，如果勒索軟件犯罪商業模式繼續為勒索軟件行為者帶來經濟回報，勒索軟件事件將變得更加頻繁。每次支付贖金時，都會確認勒索軟件犯罪商業模式的可行性和財務吸引力。此外，美國、澳大利亞和英國的網絡安全當局指出，犯罪商業模式通常會使歸因復雜化，因為開發人員、附屬機構和自由職業者的網絡很復雜；通常很難最終確定勒索軟件事件背后的行為者。

勒索軟件組織通過以下方式增加了影響力：瞄準云、針對托管服務提供商、攻擊工業流程、攻擊軟件供應鏈、節假日和周末攻擊組織。

美國、澳大利亞和英國的網絡安全當局建議網絡防御者應用以下緩解措施來降低勒索軟件事件的可能性和影響：

1、所有操作系統和軟件保持最新；

2、如果使用RDP或其他有潛在風險的服務，進行安全保護并密切監控；

3、實施用戶培訓計劃和網絡釣魚練習，提高對訪問可疑網站、點擊可疑鏈接和打開可疑附件的風險的認識；

4、盡可能多的為服務提供MFA，尤其是Web郵件、VPN、訪問關鍵系統的賬戶以及管理備份的特權賬戶；

5、要求所有使用密碼登錄的賬戶都具有強而唯一的密碼，如服務賬戶、管理員賬戶和域管理員賬戶；

6、如果使用Linux，請使用Linux安全模塊進行縱深防御，如SELinux、AppArmor或SecComp；

7、通過備份到多個位置、需要MFA進行訪問以及加密云中的數據來保護云存儲。

惡意網絡參與者使用系統和網絡發現技術來實現網絡和系統的可見性和映射。要限制攻擊者了解組織的企業環境和橫向移動的能力，請采取以下措施：

1、網絡分段；

2、實施端到端加密；

3、使用網絡監控工具識別、檢測和調查指定勒索軟件的異?；顒雍蜐撛诒闅v；

4、記錄外部遠程連接；

5、對特權賬戶實施基于時間的訪問；

6、通過授權策略執行最小特權原則；

7、減少憑證暴露；

8、禁用不需要的命令行實用程序，限制腳本活動和權限，并監控其使用情況；

9、維護數據的離線備份，即物理斷開鏈接，并定期測試備份和恢復；

10、確保所有備份數據都經過加密、不可變（即不能更改或刪除）、并覆蓋整個組織的數據基礎設施；

11、從云環境中收集遙測數據。

參考來源：CISA http://33h.co/kys5d

 

（八）跨區塊鏈加密貨幣平臺Wormhole遭受黑客攻擊竊取3.2億美元

跨區塊鏈加密貨幣平臺Wormhole在2月2日披露，其遭受了黑客攻擊，3.2億美元的加密貨幣被盜。Wormhole表示，網絡已關閉進行維護，并開始調查潛在的漏洞利用。

Wormhole是一個跨區塊鏈加密平臺，是是連接各種區塊鏈的橋梁，包括Ethereum、Solana、Terra、Binance智能鏈、Polygon、Avalanche和Oasis。其主要功能之一是代幣橋，允許用戶在這些區塊鏈之間架起打包資產的橋梁。

攻擊者使用了一個漏洞，該漏洞已被修補，在Solana區塊鏈上鑄造了120,000個包裹的以太坊（wETH），其中大部分隨后轉移到了以太坊區塊鏈。在攻擊發生時，這120,000個wETH的價值約為3.2億美元。

Wormhole開發商已經通過“白帽協議”向攻擊者提供了1000萬美元的漏洞賞金，如果他們歸還被盜的加密貨幣。

Wormhole已承諾分享一份詳細的事件報告，并在2月3日在推特上表示已恢復所有資金和網絡。在Jump Trading Group的加密部門Jump Crypto的幫助下，這些資金得以恢復。

這是歷史上第二大密貨幣盜竊案，最大的一起發生在2021年8月，當時Poly Network宣布有人竊取了價值約6億美元的加密貨幣，然而幾乎所有被盜資金都在幾天后歸還。

參考來源：SecurityWeek http://33h.co/ky3dm

 

（九）研究人員發現新型勒索軟件Sugar

沃爾瑪網絡安全團隊發現了名為Sugar的新型勒索軟件，是勒索軟件即服務(RaaS)模式。與其他勒索軟件不同，Sugar勒索軟件似乎主要針對個人計算機，而不是整個企業。Sugar惡意軟件于2021年11月首次在野外被發現，是一種Delphi惡意軟件，借用了其他勒索軟件系列的代碼。

新惡意軟件系列中最有趣的組件之一是加密程序，使用了修改后的RC4算法版本，并重復使用加密器中的相同例程作為惡意軟件中字符串解碼的一部分。這表明Sugar勒索軟件及其加密程序是由同一團隊開發的，另一種情況是威脅行為者向附屬網絡提供加密程序。

沃爾瑪的分析文章表示，“惡意軟件是用Delphi編寫的，但從RE的角度來看，有趣的是，重復使用來自加密程序的相同例程作為惡意軟件中字符串解碼的一部分，這將使我們相信它們具有相同的開發人員，加密器可能是主要參與者向其附屬機構提供的構建過程或某些服務的一部分?！?/span>

研究人員還注意到，Sugar勒索軟件與REvil勒索軟件有一些相似之處，而解密程序頁面與Clop運營商使用相似的頁面。研究人員還在用于加密/解密操作的GPLib庫中發現了其他相似之處。研究人員還針對這種威脅發布了妥協指標(IoC)。

參考來源：SecurityAffairs http://33h.co/kynzg

 

（十）在ICS環境中使用的SeaConnect設備存在高危漏洞

Cisco Talos最近在Sealevel Systems Inc.的SeaConnect物聯網邊緣設備中發現了幾個漏洞，其中許多漏洞可能允許攻擊者進行中間人攻擊，或在目標設備上執行遠程代碼。

SeaConnect 370W是一款連接WiFi的邊緣設備，常用于工業控制系統(ICS)環境，允許用戶遠程監控和控制現實世界I/O進程的狀態。該設備通過MQTT、Modbus TCP和SeaMAX API的制造商特定接口提供遠程控制。

此設備中存在三個緩沖區溢出漏洞，CVE-2021-21960、CVE-2021-21961和CVE-2021-21962，可允許攻擊者在目標機器上執行任意代碼。這些漏洞的CVSS評分分別為10.0、10.0和9.0分，是漏洞中最嚴重的。

另一個漏洞CVE-2021-21959使攻擊者更容易在設備和SeaConnect云服務之間進行中間人攻擊，并最終完全控制設備。在進行中間人攻擊時，攻擊者可以利用CVE-2021-21963、CVE-2021-21968、CVE-2021-21969、CVE-2021-21970或CVE-2021-21971中的任意一個執行各種惡意操作，包括任意重寫文件或導致越界寫入。

CVE-2021-21967還要求攻擊者進行中間人間諜活動，最終導致設備拒絕服務，而CVE-2021-21964和CVE-2021-21965在向目標設備發送特制數據包后也可能導致拒絕服務。

Talos研究人員還在SeaConnect 370W所依賴的過時Eclipse Foundation Embedded Paho MQTT Client-C庫中發現了一個漏洞。CVE-2021-41036可能允許攻擊者在設備上觸發越界寫入。Eclipse Foundation和SeaConnect都承認并修復了這個問題。

建議用戶更新至運行Sealevel Systems Inc.SeaConnect 370W的1.3.34版本。

參考來源：Talos http://33h.co/kyedf

 

（十一）葡萄牙沃達豐電信遭受網路攻擊導致服務嚴重中斷

葡萄牙電信公司沃達豐（Vodafone）在2月7日遭受了惡意網絡攻擊，導致其大部分客戶數據服務處于離線狀態，包括4G/5G移動網絡、語音、電視、短信和電視服務。沃達豐稱該事件是蓄意惡意攻擊，旨在造成損害。

沃達豐在2月8日發布的聲明中表示，“我們已經恢復了移動語音服務和移動數據服務，幾乎整個國家的3G網絡上都可以使用，但不幸的是，我們所遭受的犯罪行為的規模和嚴重性意味著對所有其他服務的謹慎和長期工作?！?/span>

沃達豐在葡萄牙擁有超過400萬手機用戶，另有340萬家庭和企業互聯網用戶，因此網絡攻擊造成了大規模問題。

沃達豐表示，在當地和國際團隊的幫助下，其正在全天候努力恢復剩余的服務，目前這是該公司處理過的最大的網絡安全事件。沃達豐正在與當局合作調查這一事件，根據目前的證據，客戶數據似乎沒有被訪問或泄露。

盡管網上有一些謠言，但沃達豐葡萄牙公司并未將正在進行的事件歸因于勒索軟件攻擊。這些謠言目前正在網上掀起波瀾，因為在過去的一個月里，一個勒索軟件團伙敲詐了葡萄牙最大的兩家新聞媒體Impresa和Cofina。這兩次攻擊的幕后勒索軟件組織Lapsus$尚未對Vodafone的在線賬戶中斷事件負責。

一名沃達豐葡萄牙員工通過LinkedIn表示，他們只知道技術中斷，不知道公司在新聞稿中將中斷歸咎于網絡攻擊，這表明該事件的細節尚未披露及在內部分享。

參考來源：TheRecord http://33h.co/kyyj5

 

（十二）英國零食生產商KP Snacks遭受Conti勒索軟件攻擊導致供應鏈中斷

英國零食生產商KP Snacks遭受了Conti勒索軟件攻擊，影響了向主要超市的配送服務，導致英國各地供應鏈中斷。

Kenyon Produce(KP)Snacks包括PopChips、Skip、Hula Hoops、Penn State pretzels、McCoy's、Wheat Crunchies等流行品牌。KP Snacks擁有2,000多名員工，估計該公司的年收入超過6億美元，使其成為威脅行為者的有吸引力的目標。

據報道，由于這次襲擊，該公司向主要超市的配送被推遲或完全取消。根據KP Snacks與其合作超市的討論，供應短缺問題可能會持續到3月底。

一位消息人士表示，該公司的內部網絡已被入侵，威脅者可以訪問和加密敏感文件，包括員工記錄和財務文件。私密泄密頁面顯示Conti勒索軟件組織聲稱對這次攻擊負責。

在私人泄密頁面上，Conti分享了信用卡對賬單、出生證明、包含員工地址和電話號碼的電子表格、機密協議和其他敏感文件的樣本。

暗網互聯網提供商DarkFeed也發布了關于Conti勒索軟件操作的消息，KP Snacks有五天時間考慮是否支付贖金，否則Conti將在公開博客上泄露更多專有數據。目前尚不清楚KP Snacks是否正在與Conti談判，或者是否會支付贖金。

KP Snacks發言人表示，“1月28日星期五，我們意識到我們不幸成為勒索軟件事件的受害者。我們發現此事件后就立即制定了網絡安全響應計劃，并聘請了一家領先的取證信息技術公司和法律顧問來協助我們進行調查?！?/span>

該公司的內部IT團隊正在與第三方安全專家合作評估情況。該公司聲明中總結道，“我們一直在繼續讓我們的同事、客戶和供應商了解任何事態發展，并為這可能造成的任何中斷道歉?！?/span>

Conti是一項勒索軟件即服務(RaaS)操作，與俄羅斯網絡犯罪組織Wizard Spider相關聯，該組織也以其他臭名昭著的惡意軟件而聞名，包括Ryuk、TrickBot和BazarLoader。在公司設備感染BazarLoader或TrickBot惡意軟件后，勒索軟件組織的附屬機構會破壞目標網絡，為他們提供對受感染系統的遠程訪問。

最近幾周，Conti在多次針對知名組織后，迅速攀升至勒索軟件組織行列。上個月，Conti聲稱攻擊了印尼央行，并開始泄露其數據。2021年12月，Conti入侵北歐精選酒店集團系統，凍結了酒店房卡。該勒索軟件團伙以前的攻擊目標包括愛爾蘭衛生部(DoH)和衛生服務執行局(HSE)，以及營銷巨頭RR Donnelly(RRD)。由于Conti活動的增加，FBI、CISA和NSA US最近也發布了關于Conti勒索軟件攻擊數量增加的咨詢警告。

參考來源：BleepingComputer http://33h.co/ky3qn

 

 

 

（如未標注，均為天地和興工業網絡安全研究院編譯）