2023年1月安恒信息网络安全月报(精简版)

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 目录 前言II 一、1月重大安全事件1 1.全国首个获批数据出境安全评估案例落地北京1 2.俄罗斯科技巨头Yandex内部源代码全部泄露1 3.黑客拍卖《英雄联盟》源代码2 4.开源电子病历OpenEMR曝出严重漏洞，影响全球10万医疗机构2 二、1月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报4 三、1月勒索攻击4 1.勒索攻击综述4 3.勒索团伙/软件5 四、1月挖矿情报5 五、1月暗链情报7 �、1月漏洞情报7 1.漏洞情报数据7 2.重要漏洞回顾8 3.高关注漏洞9 七、1月黑灰产情报9 八、安全数据说安全10 前言 2023年1月，国内外影响面较广的网络安全事件陆续发生。各行各业陆续遭受漏洞威胁、数据泄露等网络安全问题。俄罗斯科技巨头Yandex内部源代码全部泄露，泄露的代码使黑客有可能识别安全漏洞并创建有针对性的漏洞利用。这只是时间问题；开源电子病历OpenEMR曝出严重漏洞，影响全球10万医疗机构……可见科技、医疗等行业陆续受到挑战。 新年伊始，见出以知入，观往以知来。由安恒信息中央研究院联合神盾局发布的《2022-2023年网络安全综合态势观察手册》电子版已在年前发布。内含6份不同维度的网络安全总结报告，内容丰富，角度多样。本月纸质版已上线，如有需要收藏/赠送客户，可以资讯当地销售。更多内容，请查看安恒信息公众号。 链接：https://mp.weixin.qq.com/s/Xn8S9IzRS-z6Hj1yVWYN5Q 一、1月重大安全事件 1.全国首个获批数据出境安全评估案例落地北京 时间：2023年1月18日 概述：首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规 出境案例，该项目的审批通过，标志着国家数据出境安全评估制度在北京市率先落地，为强化医疗健康数据出境安全管理，促进国际医疗研究合作提供了实践指引。近日，北京市申报的中国国际航空股份有限公司项目作为全国第二例也成功获批通过，为本市进一步指导支持更多企事业单位解决数据合规出境需求积累了经验、打通了路径，对提升本市数据安全合规管理水平、优化营商环境具有重要意义。 影响：为贯彻落实国家数据出境安全评估制度，促进北京市数据跨境安全、自由流动，北京市互联网信息办 公室在国家互联网信息办公室的指导下，积极开展数据出境安全评估申报受理工作，以开通咨询热线、组织政策解读、推动试点案例为抓手，指导本市企事业单位按照规范路径开展评估申报，取得数据合规出境重要突破。 参考链接：https://www.secrss.com/articles/51207 2.俄罗斯科技巨头Yandex内部源代码全部泄露 时间：2023年1月26日 概述：俄罗斯科技公司的一名前雇员窃取的Yandex源代码存储库已在一个流行的黑客论坛上以Torrent 的形式泄露。其中包含2022年7月从公司窃取的44.7GB文件。据称，这些代码存储库包含公司除反垃圾邮件规则之外的所有源代码。 影响：数据泄露的动机是政治性的，负责数据泄露的Yandex员工并未试图将代码出售给竞争对手。公司 高管表示，泄漏不包含任何客户数据，因此不会对Yandex用户的隐私或安全构成直接风险，也不会直接威胁泄漏专有技术。然而，泄露的代码使黑客有可能识别安全漏洞并创建有针对性的漏洞利用。这只是时间问题。 参考链接： https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/ 3.黑客拍卖《英雄联盟》源代码 时间：2023年1月25日 概述：威胁者正在拍卖据称是RiotGame的英雄联盟和Packman反作弊软件的源代码，这些源代码是 在最近对游戏公司开发者环境的一次黑客攻击中被盗的。RiotGames披露其开发环境遭到黑客攻击，威胁行为者可以窃取英雄联盟(LoL)、TeamfightTactics(TFT)和该公司的Packman遗留反作弊平台的源代码。 该公司已证实他们收到了威胁者的赎金通知，并表示他们不会支付赎金。Vice.com获得了这张赎金单，要求1000万美元以防止被盗数据公开。 影响：关于被盗源代码的主要担忧是，它可能被用来制作针对游戏及其玩家的作弊或漏洞利用。其他威胁行为者也可以使用源代码来潜在地创建允许在玩家设备上远程执行代码的漏洞。 建议：黑客在通过SMS对公司的一名员工进行社会工程攻击后获得了对RiotGame网络的访问权限。我们日常的网络安全防护中，要严格加强员工安全意识培训，黑客很狡猾，企业和员工个人更应该提高警惕。 参考链接： https://www.bleepingcomputer.com/news/security/hackers-auction-alleged-source-code-for -league-of-legends/ 4.开源电子病历OpenEMR曝出严重漏洞，影响全球10万医疗机构 时间：2023年1月31日 概述：安全研究人员在流行的开源电子病历系统OpenEMR中发现多个严重漏洞，可被攻击者组合利用， 在服务器上远程执行代码。OpenEMR是一种全球流行的电子病历(EHR)系统和医疗实践管理解决方案，被全球超过10万家医疗机构使用，服务超过2亿患者。 影响：三个严重漏洞中，第一个漏洞可能允许未经身份验证的攻击者利用流氓MySQL服务器从OpenEMR实例读取任意文件，包括证书、密码、令牌和备份。后两者可用于接管开放的、易受攻击的OpenEMR实例。 处置：OpenEMR维护人员在不到一周的时间内修复了这些漏洞，并推出了软件的补丁/新版本(v7.0.0)。建议使用OpenEMR的医疗机构尽早升级到该版本。 参考链接：https://www.secrss.com/articles/51431 二、1月APT威胁 1.APT威胁攻击综述 1月初，安恒信息猎影实验室披露了一个新的APT组织--SAAIWCGROUP。该组织疑似来自东南亚地区，针对菲律宾、柬埔寨、越南地区的军事、财政部门发起攻击。攻击活动主要以ISO文件为初始恶意负载，运行后在本机注册表添加Powershell指令，最后加载Powershell后门PowerDism窃取本机信息并执行任意指令。1月11日，国外安全厂商以“DarkPink”为名披露了该组织的攻击活动。 本月，来自东欧地区的黑客团伙异常活跃，俄罗斯APT组织发起的攻击活动占比高达40%。除了常见的乌克兰目标外，来自俄罗斯的ColdRIver组织还试图入侵美国核研究实验室，而Gamaredon组织攻击了拉脱维亚国防部。此外，亲俄的Ghostwriter组织还针对波兰的战略能源和军备供应商发起了攻击。 安恒信息猎影实验室通过国内外安全厂商、安全组织2023年1月份针对于APT事件披露情况分析，近期活跃的APT组织有Gamaredon、Kimsuky、SaaiwcGroup、Sandworm、APT-C-36、ColdRiver、Donot、Ghostwriter、Lazarus、SideCopy、StrongPity、Turla等，其中当属Lazarus、TransparentTribe、APT37、APT42、CharmingKitten收录的组织攻击事件居多。 ▲1月APT组织发起攻击占比图 <本部分更多内容，包含本月活跃APT组织攻击地域分布图> 2.APT组织情报 <本部分内容，包含本月活跃APT组织画像、攻击事件> 请参看完整版月报，感谢支持。 三、1月勒索攻击 1.勒索攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 根据安恒信息猎影实验室2023年1月的勒索事件数据显示，勒索软件攻击的行业涉及交通运输、政府部门、电信、汽车行业等，占比如下所示，其中以交通运输行业的勒索事件比例最高。 ▲1月勒索软件攻击行业比例 <本部分更多内容，包含本月勒索软件事件比例> 3.勒索团伙/软件 <本部分内容，包含本月活跃勒索团伙画像、勒索事件> 请参看完整版月报，感谢支持。 四、1月挖矿情报 根据安恒信息猎影实验室针对2023年1月的挖矿数据分析，其中行业挖矿行为主要分布在教育、政府、IT、通信、媒体等行业，其他行业也存在一定的挖矿行为。 ▲2023年1月挖矿行业分布占比图 同时，安恒信息猎影实验室在针对2023年1月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中新加坡最多。 ▲2023年1月活跃矿池TOP20 五、1月暗链情报 根据安恒信息零壹实验室针对2023年1月暗链数据分析，已有20467个网站遭到暗链植入，较2022年12月降幅61.3%。其中被植入暗链的网站中，企业最多，占比88.9%。除去企业的其他遭受暗链植入的网站类型的分布占比如下图。 ▲2023年1月遭到暗链植入的网站类型（除去企业） <本部分更多内容，包含本月被植入暗链的地域分布情况>请参看完整版月报，感谢支持。 �、1月漏洞情报 1.漏洞情报数据 根据安恒信息卫兵实验室针对2023年1月的漏洞数据，利用安恒内部评级分析显示，一级、二级危险等级较高的漏洞总占比13%，评级占比图如下： ▲1月针对全网漏洞的安恒漏洞评级占比图 <本部分更多内容，包含本月漏洞新增趋势图> 2.重要漏洞回顾 安恒信息析安实验室针对1月份重要漏洞已有相应策略，覆盖安恒信息产品有：远程安全评估、EDR、IDC、云鉴、远程安全评估、webscan7、AiNTA、APT、WAF,玄武盾等。 我们回顾一下1月的重要漏洞： 01PowerShell远程代码执行漏洞（CVE-2022-41076） ▲漏洞简介：PowerShell是一种功能强大的脚本语言和shell程序框架，PowerShell可在Windows、Linux和macOS上运行。 PowerShell远程代码执行漏洞(CVE-2022-41076)：经过身份验证的远程攻击者可以在remotepowershell会话中使用TabExpansioncmdlet，结合目录穿越载入任意dll，导致攻击者可以执行原本不能执行的cmdlet，从而在目标机器上执行任意代码。 ▲官方补丁： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41076 ▲漏洞编号：CVE-2022-41076 安恒信息回声实验室针对该漏洞，利用Sumap进行全球漏洞影响探测，生成如下漏洞对全球 国家的影响分布图，以及对国内的影响分布图： <本部分更多内容，包含多个本月重要漏洞以及该漏洞全球资产探测图>请参看完整版月报，感谢支持。 3.高关注漏洞 <本部分内容，包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报，感谢支持。 七、1月黑灰产情报 根据安恒信息神盾局数据显示，2022年11月至2023年1月恶意网站增长趋势如图所示，2023年1月，网络色情和网络赌博有大幅度上涨。 ▲2022年11月至2023年1月，每月新增恶意网站趋势 <本部分更多内容，请参看完整版月报，感谢支持> 八、安全数据说安全 1月，随着我国首个数据出境安全案例的落地，将对跨境数据安全的合规建设起到标杆意义。 1月，已发生的数据安全事件，表明漏洞风险对已有数据资产构成愈发严峻的威胁。 1月，受地缘政治的影响，本月的APT事件以东欧地区最多，如同隐秘战场。 1月，交通运输行业的网络勒索事件明显增加，这为国内的交通运输行业起到了预警作用。 1月，国内网站资产被篡改的事件，较2022年12月下降明显，但政企网站仍然是被暗链和黑链植入的主要对象。 1月，所监测的黄赌数据呈大幅度上涨趋势。