2023年2月安恒信息网络安全月报(精简版)

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 目录 前言II 一、2月重大安全事件1 1.加利福尼亚医疗机构遭遇数据泄露，330万患者受到影响1 2.警惕！疑似约45亿条国内个人信息被泄露1 3.印度火车票务平台RailYatri发生数据泄露，超3100万人受影响2 4.世界水果巨头遭勒索攻击：北美生产工厂被迫全部关闭2 二、2月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报4 三、2月勒索攻击4 1.勒索攻击综述4 2.勒索团伙/软件5 四、2月挖矿情报5 五、2月暗链情报7 �、2月漏洞情报8 1.漏洞情报数据8 2.重要漏洞回顾8 3.高关注漏洞9 七、2月黑灰产情报9 八、安全数据说安全10 前言 2023年2月，国内外影响面较广的网络安全事件陆续发生。本月数据泄露发生多起。加利福尼亚医疗机构遭遇数据泄露，330万患者受到影响；疑似电商或快递物流行业数据，约45亿条国内个人信息被泄露；印度火车票务平台RailYatri发生数据泄露，超3100万人受影响。一旦勒索软件参与者窃取这些数据，用户将面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险，需要高度重视。 一、2月重大安全事件 1.加利福尼亚医疗机构遭遇数据泄露，330万患者受到影响 时间：2023年2月10日 概述：加利福尼亚州HeritageProviderNetwork中的多个医疗团体遭受了勒索软件攻击，受网络攻击影 响的医疗集团有RegalMedicalGroup、LakesideMedicalOrganization、ADOCMedicalGroup和GreaterCovinaMedical。有3,300,638名患者的数据在此次攻击中泄露。 影响：调查确定以下数据已被泄露：全名、社会安全号码(SSN)、出生日期、地址、医疗诊治、化验结果、处方数据、放射学报告、健康计划成员编号、电话号码。 处置：该医疗保健组织表示，他们已经实施了额外的安全措施和更严格的协议，以防止类似事件发生，并保 护敏感的患者信息免遭未经授权的访问。受影响的患者应注意有针对性的网络钓鱼攻击、诈骗、社会工程或使用窃取数据的勒索。如果不确定电子邮件或文本是否合法，请忽略它或联系您的医生以确认它是否有效。 参考链接： https://www.bleepingcomputer.com/news/security/california-medical-group-data-breach-impacts-33-million-patients/ 2.警惕！疑似约45亿条国内个人信息被泄露 时间：2023年2月12日 概述：2月12日晚，Telegram各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄露 了国内45亿条个人信息,数据包大小达435GB，疑似电商或快递物流行业数据。用户仅需输入手机号,即可通过该机器人查询到姓名、手机号和详细的收货地址等隐私信息。 影响：但此次的数据泄露较为广泛，类型较多，涉及多家平台的相关快递信息。处置：目前该隐私查询机器人已停用。 建议：企业需要完善内部规章制度和人员管理。此外，加强与监管部门之间的协同，在必要时应及时上报安全风险。企业一是要做好内控，提升信息化处理相关岗位员工的安全意识，提高应急处置能力，当数据泄露事件发 生时，要第一时间做好溯源工作，及时发现和解决问题；二是在外控方面，可以通过组织设备测试、攻防演练等方式，提高查看和修复漏洞的频率，及时优化系统。 参考链接：https://www.secrss.com/articles/51915 3.印度火车票务平台RailYatri发生数据泄露，超3100万人受影响 时间：2023年2月21日 概述：印度流行的火车票预订平台RailYatri遭遇大规模数据泄露，暴露了超过3100万(31,062,673)名用户/旅客的个人信息。 影响：本次是漏洞引发的数据泄露，泄露的数据包括电子邮件地址、全名、性别、电话号码和位置，这可能使数百万用户面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险。 建议：建议所有用户更改密码并在其帐户上启用双因素身份验证作为预防措施，同时建议用户监控他们的银行账户和信用卡报表，以发现任何可疑活动。 参考链接：https://www.secrss.com/articles/52074 4.世界水果巨头遭勒索攻击：北美生产工厂被迫全部关闭 时间：2023年2月27日 概述：全球最大的新鲜果蔬生产与分销商之一都乐食品（DoleFood）宣布遭受勒索软件攻击，目前正在着手解决由此引发的运营影响。该公司拥有约38000名员工，年收入达65亿美元。 影响：该食品巨头的北美生产工厂已经被迫关闭。都乐公司似乎已经无法向各家杂货店正常供货。 处置：都乐食品在官网上的声明中表示，他们已经与第三方专家接洽，帮助其修复受影响系统并保障安全。执法当局也已经获悉此次事件。 建议：勒索软件肉眼可见势头依旧强劲，勒索软件已成为全球企业和组织面临的主要网络威胁。企业建立勒索软件韧性的最佳时间应该是面临攻击之前。 参考链接：https://www.secrss.com/articles/52289 二、2月APT威胁 1.APT威胁攻击综述 安恒信息猎影实验室在2月披露了一个疑似与Kasablanka组织存在关联的新组织，内部追踪代号为APT-LY-1006。该组织通过不常见的Python/CAPI执行恶意代码，增加了恶意代码的隐蔽性，使得分析人员难以定位恶意代码。同时，使用Telegram-API回传窃取的信息，具有成本低廉、操作简单、难以溯源等优点，并且样本结束运行后将释放的文件全部删除，使得用户难以发现，攻击后难以取证溯源。 本月，披露的Lazarus组织的相关攻击活动和武器库分析报告占比最高。该组织在最近的入侵中使用了反取证技术，利用了数据隐藏、工件擦除和踪迹混淆3种技术，通过这些技术，可以使数据难以被发现，混淆取证分析来隐藏恶意行为。研究人员还发现了Lazarus组织武器库中的一个功能齐全的植入程序WinorDLL64，该后门可以泄露、覆盖和删除文件，执行PowerShell命令，并获取大量系统相关信息。 安恒信息猎影实验室通过国内外安全厂商、安全组织2023年2月份针对于APT事件披露情况分析，近期活跃的APT组织有Lazarus、SideWinder、APT37、Gamaredon、SaintBear、SideCopy、APT34、BITTER、Donot、EarthKitsune、Kimsuky、Konni、SaaiwcGroup、TransparentTribe等，其中当属Lazarus收录的组织攻击事件居多。 ▲2月APT组织发起攻击占比图 <本部分更多内容，包含本月活跃APT组织攻击地域分布图> 2.APT组织情报 <本部分内容，包含本月活跃APT组织画像、攻击事件>请参看完整版月报，感谢支持。 三、2月勒索攻击 1.勒索攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 根据安恒信息猎影实验室2023年2月的勒索事件数据显示，勒索软件攻击的行业涉及IT、教育、能源、汽车、水务、通信、物流、医疗卫生行业，其中以IT行业的勒索事件比例最高。 ▲2月勒索软件攻击行业比例 <本部分更多内容，包含本月勒索软件事件比例> 2.勒索团伙/软件 <本部分内容，包含本月活跃勒索团伙画像、勒索事件>请参看完整版月报，感谢支持。 四、2月挖矿情报 根据安恒信息猎影实验室针对2023年2月的挖矿数据分析，其中行业挖矿行为主要分布在教育、政府、通信、IT等行业，其他行业也存在一定的挖矿行为。 ▲2023年2月挖矿行业分布占比图 同时，安恒信息猎影实验室在针对2023年2月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中美国最多。 ▲2023年2月活跃矿池TOP20 五、2月暗链情报 2023年2月3日，网上盛传西安环卫网涉黄，网站中包含众多日本成人影片信息，一时间网上众说纷纭。安恒信息中央研究院零壹实验室第一时间针对该事件进行调查，捋出了详细的时间线，并确定该事件是由黑灰产抢注域名并假借政府网站的名号为色情app引流导致的，对政府的形象造成了极大地伤害。零壹实验室深度解析事件脉络以及什么是抢注、为什么要抢注、抢注后如何为黑灰产引流等等。 文章：《溯源“西安环卫网事件“背后黑产域名抢注引流手法》 参考链接：https://mp.weixin.qq.com/s/7W3YuybsgFSyDIuCAqLaVg 根据安恒信息零壹实验室针对2023年2月的暗链数据分析，已有14225个网站遭到暗链植入，较2023年1月降幅30.5%。其中被植入暗链的网站中，企业最多，占比78.1%。除去企业的其他遭受暗链植入的网站类型的分布占比如下图。 ▲2023年2月遭到暗链植入的网站类型（除去企业） <本部分更多内容，包含本月被植入暗链的地域分布情况>请参看完整版月报，感谢支持。 �、2月漏洞情报 1.漏洞情报数据 根据安恒信息卫兵实验室针对2023年2月的漏洞数据，利用安恒内部评级分析显示，一级、二级危险等级较高的漏洞总占比1%，评级占比图如下： ▲2023年2月针对全网漏洞的安恒漏洞评级占比图 <本部分更多内容，包含本月漏洞新增趋势图> 2.重要漏洞回顾 安恒信息析安实验室针对2月份重要漏洞已有相应策略，覆盖安恒信息产品有：远程安全评估、EDR、IDC、云鉴、远程安全评估、webscan7、AiNTA、APT、WAF,玄武盾等。 我们回顾一下1月的重要漏洞： 01ApacheKafkaConnect远程代码执行漏洞(CVE-2023-25194) ▲漏洞简介：ApacheKafka是一个开源分布式事件流平台，用于高性能数据管道、流分析、数据集成和任务关键型应用程序。KafkaConnect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。 ApacheKafakaConnect存在一个远程代码执行漏洞，该漏洞允许攻击者访问KafkaConnectworker，并能够使用任意Kafka客户端SASLJAAS配置和基于SASL的安全协议在其上创建/修改连接器，来实现远程代码执行。 ▲官方补丁： https://lists.apache.org/thread/vy1c7fqcdqvq5grcqp6q5jyyb302khyz ▲漏洞编号：CVE-2023-25194 安恒信息回声实验室针对该漏洞，利用Sumap进行全球漏洞影响探测，生成如下漏洞对全球国家的影响分布图，以及对国内的影响分布图： <本部分更多内容，包含多个本月重要漏洞以及该漏洞全球资产探测图>请参看完整版月报，感谢支持。 3.高关注漏洞 <本部分内容，包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报，感谢支持。 七、2月黑灰产情报 根据安恒信息神盾局数据显示，2022年12月至2023年2月恶意网站增长趋势如图所示， 2023年2月，网络诈骗有小幅度上涨。 ▲2022年12月至2023年2月，每月新增恶意网站趋势 <本部分更多内容，请参看完整版月报，感谢支持> 八、安全数据说安全 2月，个人信息泄露事件频发，管理不规范成为数据泄露的重要因素，政企及个人应时刻注意隐私信息的保护。 2月，猎影实验室的数据分析显示，最活跃的4个APT组织为：Lazarus、SideWinder、SaintBear、SideCopy。 2月，猎影实验室的数据分析显示，最活跃的4个网络勒索团伙为：LockBit、BlackCat、Royal、PLAY。 2月，零壹实验室监测到受暗链篡改攻击最多的4个行业网站：事业单位、政府机关、社会团体、个人。 2月，卫兵实验室预警4个重要漏洞：CVE-2023-25194、CVE-2023-25136、 CVE-2023-21818、CVE-