2023年4月安恒信息网络安全月报

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 完整版可以咨询您所在地区安恒销售，或致电：4006059110转4 目录 前言II 一、4月重大安全事件1 1.美国五角大楼最高机密文件泄露1 2.国际支付巨头NCR遭勒索攻击：POS机服务被迫中断多天1 3.阿里云数据库曝出两个严重漏洞，全球公有云漏洞层出不穷2 4.跨国银行泄露数百万条敏感数据2 二、4月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报3 三、4月勒索攻击4 1.勒索攻击综述4 2.勒索团伙/软件4 四、4月挖矿情报4 五、4月暗链情报6 �、4月漏洞情报6 1.漏洞情报数据6 2.重要漏洞回顾7 3.高关注漏洞8 七、4月黑灰产情报8 八、安全数据说安全9 前言 2023年4月，国内外影响面较广的网络安全事件陆续发生。本月数据泄露和勒索攻击依旧引 发高关注。美国五角大楼最高机密文件泄露，引起全球广泛热议，泄密事件包含的50多份文件涉及的全部范围目前还不清楚，但它代表了本世纪美国国家安全最严重的泄漏之一；国际支付巨头遭勒索攻击、跨国银行泄露数百万条敏感数据，金融行业一直是黑客重点关注的对象之一；阿里云数据库曝出漏洞，也给了企业提醒，确保系统安全且机密数据受到保护至关重要，企业应该了解如何预防一些安全漏洞。 一、4月重大安全事件 1.美国五角大楼最高机密文件泄露 时间：2023年4月6日 概述：《纽约时报》(TheNewYorkTimes)4月6日公开报道了文件泄露事件，其中一份可以追溯到今年 2月的文件显示：乌克兰防空系统可能在数周内耗尽导弹和弹药，乌保护其军队和重要地点不受俄罗斯空军打击的能力面临潜在风险。4月13日，美媒报道称，泄露五角大楼机密文件的嫌疑人杰克·特谢拉已被美国警方抓获。他是美国国民警卫队成员，年仅21岁，刚刚获得晋升。杰克于当地时间4月14日在波士顿出庭受审。 影响：美国五角大楼机密文件泄露是一件震惊世界的事件，它揭示了美国在乌克兰、俄罗斯、亚洲和中东等 地的国家安全秘密，以及美国的间谍方法和对敌对和盟友的监视。这些文件不仅暴露了美国的情报能力和战略意图，也反映了美国与其他国家和组织之间的关系和利益。这些文件对于我们理解和分析当前的国际局势和未来的发展趋势有着重要的价值和意义。 建议：我们应该高度重视网络安全，提高信息安全和网络防御能力，防止类似的泄露再次发生。参考链接：https://baijiahao.baidu.com/s?id=1764608526422247767&wfr=spider&for=pc 2.国际支付巨头NCR遭勒索攻击：POS机服务被迫中断多天 时间：2023年4月17日 概述：支付巨头NCR公司遭受勒索软件攻击，旗下AlohaPOS系统平台发生中断。BlackCat/ALPHV团 伙已经宣布为此负责。NCR是一家美国软件与技术咨询公司，为餐厅、企业及零售商等客群提供数字银行、POS系统及支付处理解决方案。 影响：该中断事件已经影响了部分酒店客户的一定数量的附属Aloha应用程序。 建议：勒索软件攻击造成的中断往往需要很长时间才能安全恢复运行。企业想要构建有全面威胁应对能力的整体网络安全防护体系，还需要系统性建设思维，比如终端安全建设的重要性日渐突出，不可忽视。 参考链接：https://www.secrss.com/articles/53818 3.阿里云数据库曝出两个严重漏洞，全球公有云漏洞层出不穷 时间：2023年4月21日 概述：阿里云数据库ApsaraDBRDSforPostgreSQL和AnalyticDBforPostgreSQL曝出一组两个 严重漏洞，可用于突破租户隔离保护机制，访问其他客户的敏感数据。美国云安全公司Wiz发布报告称，“这些漏洞可能允许对阿里云客户的PostgreSQL数据库进行未经授权访问，并对阿里巴巴的这两项数据库服务开展供应链攻击，从而实现对阿里巴巴数据库服务的远程命令执行（RCE）攻击。” 影响：这组漏洞被命名为BrokenSesame，在2022年12月被上报给阿里巴巴，阿里云于2023年4月 12日部署了缓解措施。尚无证据表明这些漏洞曾遭到野外利用。 建议：恶意黑客越来越善于利用云上的常见安全问题，包括错误配置、凭证强度过低、缺乏身份验证、未修 复漏洞和恶意开源软件包等，随着越来越多的公司依赖基于云的技术，特别是因为远程工作如此普遍，确保系统安全且机密数据受到保护至关重要。使用云存储不一定危险，但企业应该了解如何预防一些安全漏洞。 参考链接：https://www.secrss.com/articles/53966 4.跨国银行泄露数百万条敏感数据 时间：2023年4月24日 概述：ICICIBank是一家印度跨国公司，市值超过760亿美元，在印度拥有5,000多家分支机构，并在 全球至少另外15个国家开展业务。在最近的调查中，Cybernews研究团队发现该银行由于系统配置错误而泄露了敏感数据。 影响：已发现的ICICI泄露事件的影响非常严重，因为个人数据泄露量很大。此类敏感信息可能会损害ICICI 银行的声誉，可能会泄露银行内部流程的细节，并危及其客户和员工及其数据的安全和保障。泄露的数据包括银行账户详细信息、银行对账单、信用卡号码、全名、出生日期、家庭住址、电话号码、电子邮件、个人身份证件以及员工和候选人的简历。 处置：Cybernews联系了ICICI银行和CERT-IN，该公司解决了这个问题。 建议：为防止此类数据泄露，研究人员建议始终保护云存储桶。ICICI银行应通过将数据泄露通知其客户来减轻风险和进一步的损害。ICICI银行应为客户提供识别和避免欺诈性电子邮件、网站和电话的指导，并敦促他们 立即向银行报告任何可疑活动。那些受影响的人应该更改他们的登录详细信息并创建强密码，因为由于暴露了大量个人身份信息(PII)，攻击者很容易猜出弱密码。 参考链接：https://cybernews.com/security/icici-bank-leaked-passports-credit-card-numbers/ 二、4月APT威胁 1.APT威胁攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 安恒信息猎影实验室通过国内外安全厂商、安全组织2023年4月份针对于APT事件披露情况分析，近期活跃的APT组织有CharmingKitten、APT28、APT-C-36、Lazarus、MuddyWater、TransparentTribe等，其中当属CharmingKitten组织收录的攻击事件居多。 ▲4月APT组织发起攻击占比图 <本部分更多内容，包含本月活跃APT组织攻击地域、行业分布图> 2.APT组织情报 <本部分内容，包含本月活跃APT组织画像、攻击事件>请参看完整版月报，感谢支持。 三、4月勒索攻击 1.勒索攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 根据安恒信息猎影实验室2023年4月的勒索事件数据显示，勒索软件攻击涉及服务、教育、政府部门、交通运输、能源、医疗卫生、制造等行业，其中以针对服务行业的勒索事件比例最高。 ▲4月勒索软件攻击行业比例 <本部分更多内容，包含本月勒索软件事件比例> 2.勒索团伙/软件 <本部分内容，包含本月活跃勒索团伙画像、勒索事件>请参看完整版月报，感谢支持。 四、4月挖矿情报 根据安恒信息猎影实验室针对2023年4月的挖矿数据分析，其中行业挖矿行为主要分布在政府、教育、通信、IT、媒体等行业，其他行业也存在一定的挖矿行为。 ▲2023年4月挖矿行业分布占比图 同时，安恒信息猎影实验室在针对2023年4月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中立陶宛最多。 ▲2023年4月活跃矿池TOP20 五、4月暗链情报 根据安恒信息零壹实验室针对2023年4月的暗链数据分析，已有12269个网站遭到暗链植入，较2023年3月涨幅1.6%。在被植入暗链的网站中，企业最多，占比54.8%。除去企业，其他遭受暗链植入的网站类型的分布情况如下图。 ▲2023年4月遭到暗链植入的网站类型（除去企业） <本部分更多内容，包含本月被植入暗链的地域分布情况>请参看完整版月报，感谢支持。 �、4月漏洞情报 1.漏洞情报数据 根据安恒信息卫兵实验室针对2023年4月的漏洞数据，利用安恒内部评级分析显示，本月暂无一级、二级危险等级较高的漏洞，评级占比图如下： ▲2023年4月针对全网漏洞的安恒漏洞评级占比图 <本部分更多内容，包含本月新增漏洞类型、1-4月漏洞新增趋势图> 2.重要漏洞回顾 安恒信息析安实验室针对4月份重要漏洞已有相应策略，覆盖安恒信息产品有：远程安全评估、EDR、IDC、云鉴、远程安全评估、webscan7、AiNTA、APT、WAF,玄武盾等。 我们回顾一下4月的重要漏洞： 01Weblogic远程代码执行漏洞（CVE-2023-21931）风险提示 ▲漏洞简介：该漏洞允许未经身份验证的远程攻击者通过T3进行网络访问来破坏OracleWebLogicServer。此漏洞的成功攻击可能导致对关键数据的未授权访问或对所有OracleWebLogicServer可访问数据的完全访问，最终可导致任意代码执行。 ▲官方补丁：https://www.oracle.com/security-alerts/cpuapr2023.html ▲漏洞编号：CVE-2023-21931 安恒信息回声实验室针对该漏洞，利用Sumap进行全球漏洞影响探测，生成如下漏洞对全球国家的影响分布图，以及对国内的影响分布图： <本部分更多内容，包含多个本月重要漏洞以及该漏洞全球资产探测图>请参看完整版月报，感谢支持。 3.高关注漏洞 <本部分内容，包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报，感谢支持。 七、4月黑灰产情报 根据安恒信息神盾局数据显示，2023年1月至4月恶意网站增长趋势如图所示，2023年4 月，网络赌博大幅度上涨，由于4月新增了数据源，更大范围收集到网络赌博的数据信息。 ▲2023年1月至4月，每月新增恶意网站趋势 <本部分更多内容，请参看完整版月报，感谢支持> 八、安全数据说安全 4月，美国五角大楼机密文件泄露事件，再次印证了情报对网络攻防对抗的重要性。 4月，猎影实验室的APT事件数据显示，攻击目标行业影响政府、教育、国防行业较多。 4月，猎影实验室的勒索事件数据显示，勒索软件攻击涉及服务、教育、政府部门、交通运输、能源、医疗卫生、制造等行业，其中以针对服务行业的勒索事件比例最高。 4月，零壹实验室的暗链数据分析显示，从区域分布来看，被植入暗链网站总数，排前三的区域是北京、广东、浙江。 4月，卫兵实验室、析安实验室、回声实验室联合预警5个重要漏洞：CVE-2023-21931、CVE-2023-28252、CVE-2023-21554、CNVD-2023-12632、CVE-2023-28231。 4月，神盾局的黑灰产数据显示，网络赌博数据因新增数据源，而出现数据大幅增加，不仅丰富了网络赌博数据，而且增强了对网络犯罪的查打能力。 安恒信息中央研究院安全数据部，下设猎影实验室、零壹实验室、析安实验室和回声实验室，团队以数据分析与技术研究为核心，致力于数据驱动安全创造用户价值。