您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[安恒信息]:2022年8月安恒网络安全月报 - 发现报告
当前位置:首页/行业研究/报告详情/

2022年8月安恒网络安全月报

信息技术2022-09-15-安恒信息学***
2022年8月安恒网络安全月报

本报告为精简版,更多精彩请查看完整版,感谢您的支持! 杭州安恒信息技术股份有限公司 I 杭州安恒信息技术股份有限公司 目录 前言I 一、月重大安全事件1 1.苹果曝严重安全漏洞,喜提热搜第一1 2.泰国医学科学部系统遭黑客攻击,上万新冠患者数据被暗网售卖1 3.CNCERT:关于畅捷通T+软件存在任意文件上传漏洞的安全公告2 4.俄罗斯流媒体巨头遭恶意攻击,210万中国用户数据泄露2 二、月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报5 三、月勒索攻击5 1.勒索攻击综述5 2.勒索数据量排名6 3.勒索团伙/软件7 四、月挖矿情报7 五、月暗链情报7 �、月漏洞情报8 1.漏洞情报数据8 2.重要漏洞回顾9 3.高关注漏洞10 七、月黑灰产情报10 II 杭州安恒信息技术股份有限公司 八、国内外安全政策、法规、动作11 1.国际动态11 2.国内动态12 九、安全数据说安全13 前言 本月,国内外陆续发生影响面较广的网络安全事件。苹果发布会前期,被曝出严重安全漏洞,热搜高居不下;8月,多个社交媒体以及安全技术社区均有用户称遭遇“.locked”后缀勒索病毒攻击,计算机文件被病毒加密,用户“中招”后,需支付0.2比特币“赎金”(约2.7万人民币)。本次遭遇勒索病毒攻击的对象主要为CRM(CustomerRelationshipManagement客户关系管理系统)厂商,包含“用友”及旗下“畅捷通”等管理软件! 本月,在APT追踪方面,安恒信息中央研究院猎影实验室披露了一个新的组织:OceanDoge。在勒索攻击方面,安恒信息发布了《「黑白丛林」4.4亿赎金,6800GB数据窃取!1-7月勒索事件大盘点》,分别在本次月报中附上。 一、月重大安全事件 1.苹果曝严重安全漏洞,喜提热搜第一 时间:2022年8月17日 概述:据媒体报道,苹果公司在周三(8月17日)发布了两份安全报告,承认公司的智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重的安全漏洞。 影响:根据其发布的两份报告内容,几乎所有的苹果设备都会受到影响。其中手机受影响型号最早可追溯到 2015年发布的iPhone6S,这意味着几乎市面上所有在使用的iPhone都面临着该漏洞的威胁。受影响的iPad则是2017年发布的第五代及后续版本,iPadmini4及后续机型,所有的iPadPro版本、iPadAir2、iPodtouch(第7代)等产品。电脑端受影响则是所有运行MacOSMonterey的Mac;浏览器方面包括macOSBigSur和macOSCatalina。 建议:漏洞一旦被利用,黑客可直接获得设备的管理权限。强烈督促用户更新系统修复漏洞。参考链接:https://www.freebuf.com/news/342532.html 2.泰国医学科学部系统遭黑客攻击,上万新冠患者数据被暗网售卖 时间:2022年8月25日 概述:网络犯罪分子从泰国医学科学部窃取了COVID-19患者信息,并在暗网上出售。黑客称,窃取了敏感 和个人信息,包括姓名、性别、年龄、联系方式、病史和相关的当地医疗保健标识符。进一步分析表明,网络犯罪分子攻击了泰国医学科学部提供的网络应用程序,该程序用于针对COVID-19进行在线调查和数据收集。 处置:Resecurity,Inc.(美国)正在监控暗网中的数据泄露和数字身份数据的暴露情况,并已向执法部门和泰国CERT发出警报。 建议:数据泄露对隐私产生巨大的负面影响,企业应加强网络完全管理,及时修复漏洞,遇到数据泄露和勒索及时报警。 参考链接:https://www.secrss.com/articles/46397 3.CNCERT:关于畅捷通T+软件存在任意文件上传漏洞的安全公告 时间:2022年8月30日 概述:国家信息安全漏洞共享平台(CNVD)收录了畅捷通T+软件任意文件上传漏洞 (CNVD-2022-60632)。未经身份认证的攻击者可利用漏洞远程上传任意文件,获取服务器控制权限。目前,厂商已发布安全更新完成修复。 影响:已出现用户被不法分子利用该漏洞进行勒索病毒攻击的情况。 处置:畅捷通公司已紧急发布漏洞补丁修复该漏洞,CNVD建议受影响的单位和用户立即升级至最新版本。 参考链接:https://www.secrss.com/articles/46391 4.俄罗斯流媒体巨头遭恶意攻击,210万中国用户数据泄露 时间:2022年8月30日 概述:俄罗斯Telegram频道“InformationLeaks”表示,俄罗斯流媒体巨头START泄露数据库总计 72GB大小,包含4400万客户的数据(据后续分析,该数据内包含745万个唯一电子邮箱,这可能更接近受影响用户的真实数量)。此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期,以及最后一次登录记录。START共在超过174个国家销售电影和电视节目,此次事件也让其成为俄乌冲突爆发后,遭受数据泄露和黑客攻击影响的众多俄罗斯企业之一 影响:这起数据泄露事件已经影响到全球观众,包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、 中国的210万用户及乌克兰的170万用户。 处置:START公司表示,已经修复了漏洞并设置了数据库访问权限。 参考链接:https://www.secrss.com/articles/46367 二、月APT威胁 1.APT威胁攻击综述 本月,LAZARUSAPT组织持续活跃,频繁针对加密货币领域发起攻击。研究人员8月披露,Lazarus组织发起了一项新的社会工程活动,冒充Coinbase以针对金融科技行业的员工,目标为适合“产品安全工程经理”职位的候选人。该组织多年来一直攻击加密货币与区块链相关领域,并且技术上不断进行迭代。LAZARUS组织的攻击行为与加密货币的价值波动具有明显的相关性,因此当加密货币处于牛市阶段时,该组织会异常活跃。 8月,安恒信息中央研究院猎影实验室披露了一个新的组织:OceanDoge。OceanDoge组织曾经以“狗狗币”为主题,对数字货币关注者发起了钓鱼攻击,其攻击目的可能为窃取数字货币进行获利。但是通过分析其使用的加密算法、载荷投递、C2利用等方式发现,其背后很可能是拥有较高水平的APT组织,攻击的目的很可能为窃取土耳其海军国防和科研部门的相关机密。 安恒信息猎影实验室通过国内外安全厂商、安全组织8月份针对于APT事件披露情况分析,近期活跃的APT组织有Lazarus、Bitter、APT29、TransparentTribe、CharmingKitten等,其中当属Lazarus和Bitter组织攻击事件居多。 ▲8月APT组织发起攻击占比图 根据APT组织所属地分布来看,来自朝鲜、印度的APT组织事件最多,来自伊朗和俄罗斯的APT组织事件其次。其中本月最活跃的Lazarus组织来自朝鲜,Bitter组织来自印度。 ▲8月APT组织所属地分布图 <本部分更多内容,包含本月活跃APT组织攻击地域分布图> 2.APT组织情报 <本部分内容,包含本月活跃APT组织画像、攻击事件>请参看完整版月报,感谢支持。 三、月勒索攻击 1.勒索攻击综述 2022年,勒索软件攻击活动依然呈现爆发态势。勒索软件攻击团伙利用完善的运作机制、先进的攻击技能、丰富的武器库对全球的政企机构不断发起攻击,甚至一些勒索软件攻击团伙表现出APT组织的攻击能力,给全球带来了巨大的经济、数据损失。安恒信息8月发布的《「黑白丛林」 4.4亿赎金,6800GB数据窃取!1-7月勒索事件大盘点》,聚焦于猎影实验室追踪的勒索情报数据,中央研究院安全数据部着重盘点2022年1-7月勒索软件攻击所带来的巨大影响,并提出防护方案助力政企摆脱勒索困境。 参考链接:https://mp.weixin.qq.com/s/b9AGbqgySJWsw3XqHBTnCQ 根据安恒信息猎影实验室8月的勒索事件数据显示,勒索软件攻击的行业涉及政府部门、网络安全、游戏行业、零售行业、医疗卫生,电信行业等,占比如下所示,其中以网络安全、政府部门、医疗行业的勒索事件比例最高。 ▲8月勒索软件攻击行业比例 <本部分更多内容,包含本月勒索软件事件比例、攻击地域占比图> 2.勒索数据量排名 安恒信息猎影实验室基于勒索攻击事件中的数据量进行统计,本月的勒索数据量排名如下: 排名 勒索数量 勒索数据范围 受害者 攻击者 1 2TB 未知 德国电力电子制造商Semikron LV勒索软件 2 150GB 合同、协议、护照、账单和电子邮件 中欧国家天然气管道和电力网络运营商CreosLuxembourgSA BlackCat勒索团伙 3 140GB 未知 阿根廷的医疗服务和供应商网络OSDE LockBit勒索软件团伙 4 29.9GB 保密协议、护照和身份证、材料供应协议、合同续签 加拿大制造商庞巴迪娱乐产品公司(BRP) RansomEXX勒索软件团伙 5 2.75GB 保密协议、数据转储和工程图纸 网络安全公司Cisco Yanluowang勒索软件团伙 3.勒索团伙/软件 <本部分内容,包含本月活跃勒索团伙画像、勒索事件>请参看完整版月报,感谢支持。 四、月挖矿情报 <本部分内容,包含本月挖矿行为分布行业、活跃矿池地址分布>请参看完整版月报,感谢支持。 五、月暗链情报 根据安恒信息零壹实验室针对8月暗链数据分析,已有5852个网站遭到暗链植入,包括36个政府机关、事业单位等重点单位,其中企业站点占比最高,为92.2%,较7月上涨。除去企业的其他类型的具体分布占比如下图。 ▲2022年8月遭到暗链植入的网站类型 <本部分更多内容,包含本月被植入暗链的地域分布情况>请参看完整版月报,感谢支持。 �、月漏洞情报 1.漏洞情报数据 漏洞分级 一级漏洞 二级漏洞 三级漏洞 四级漏洞 安恒漏洞分级规则 需要立即响应,并且将所有资源集中用于快速修复的漏洞。 不定期处置的漏洞,比日常更快速地采取修复或缓解措施。 在定期维护时进行修复的漏洞。 影响不大且当前暂无措施的漏洞。 根据安恒信息卫兵实验室针对8月的漏洞数据,利用安恒内部评级分析显示,一级二级危险等 级较高的漏洞总占比11%,评级占比图如下: ▲8月针对全网漏洞的安恒漏洞评级占比图 <本部分更多内容,包含本月漏洞类型分布图、漏洞新增趋势图> 2.重要漏洞回顾 安恒信息析安实验室针对8月份重要漏洞已有相应策略,覆盖安恒信息产品有:远程安全评估、EDR、AiNTA、APT等。 我们回顾一下8月的重要漏洞: 01VMwarevRealizeOperations权限提升漏洞 ▲漏洞简介:VMwarevRealizeOperations是美国威睿(VMware)公司的一个应用程序。一个统一的,基于AI的平台上为私有,混合和多云环境提供自动驾驶的IT运营管理。 VMwarevRealizeOperations8.6.4版本存在安全漏洞,攻击者利用该漏洞可以将权限提升到root。 ▲漏洞公告:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.vmware.com/security/advisories/VMSA-2022-0022.html ▲漏洞编号:CVE-2022-31672 安恒信息回声实验室针对该漏洞,利用Sumap进行全球漏洞影响探测,生成如下漏洞对全球 国家的影响分布图,以及对国内的影响分布图: <本部分更多内容,包含多个本月重要漏洞以及该漏洞全球资产探测图>请参看完整版月报,感谢支持。 3.高关注漏洞 <本部分内容,包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报,感谢支持。 七、月黑灰产情报 根据安恒信息神盾局数据显示,2022年4月至8月恶意网站增长趋势如图所示,各种恶意网站类型每月持续增长。8月网

你可能感兴趣

hot

2022年5月安恒网络安全月报

信息技术
安恒信息2022-06-16
hot

2023年12月安恒网络安全月报

信息技术
安恒信息2024-01-15