2023年5月安恒网络安全月报

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 完整版可以咨询您所在地区安恒销售，或致电：4006059110转4 目录 前言II 一、5月重大安全事件1 1.涉及215万人，丰田汽车披露长达10年的数据泄露事件1 2.meta公司因将欧洲用户数据传输至美国，被罚13亿美元1 3.GitLab被爆最大严重性漏洞2 4.公布修订后的《商用密码管理条例》2 5.特斯拉超100GB数据遭泄露3 二、5月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报4 三、5月勒索攻击4 1.勒索攻击综述4 2.勒索团伙/软件5 四、5月挖矿情报5 五、5月暗链情报7 �、5月漏洞情报7 1.漏洞情报数据7 2.重要漏洞回顾8 3.高关注漏洞10 七、5月黑灰产情报10 八、安全数据说安全11 前言 2023年5月，国内外影响面较广的网络安全事件陆续发生。 本月数据泄露引发高关注。丰田汽车披露长达10年的数据泄露事件，影响超215万人；特斯拉超100G的数据被泄露，影响非常严重。企业应该把网络安全、用户数据安全放到首位，加强防护。 本月，GitLab被爆最大严重性漏洞，万幸的是，该漏洞只能在特定条件下触发，不幸的是，目前没有可用的解决方法。 新版《商用密码管理条例》自2023年7月1日起施行，本次条例的发布，体现党和国家对商用密码工作的高度重视。 一、5月重大安全事件 1.涉及215万人，丰田汽车披露长达10年的数据泄露事件 时间：2023年5月12日 概述：日本丰田官方网站刊载了一份致歉通知，揭露了该公司一起长达10年的数据泄露事件，涉及约215 万日本本土丰田用户。数据泄露是由丰田委托ToyotaConnectedCorporation（以下简称TC）管理的部分数据因云环境配置错误引起，导致在2013年11月6日—2023年4月17日期间任何未经身份验证的外部访问者能够访问该数据库。 这起数据泄露事件涉及使用丰田T-ConnectG-Link、G-LinkLite和G-BOOK服务的用户，泄露的数据包括车辆识别号、底盘号、车辆位置信息以及安装在汽车上的摄像头拍摄的视频片段。丰田指出，这些信息并不能够识别出车主身份。 影响：目前，丰田无法确定所泄露的数据是否有任何滥用行为，该公司表示，造成这起事件的主要原因是数据处理规则的解释不够彻底，日本个人信息保护委员会已知悉这一事件。暂不清楚该委员会是否会处罚丰田公司。处置：丰田将与TC紧密合作，继续进行事件调查外，还会强化员工教育，防止再次发生，同时将引入云设 置审核系统，对云环境进行设置调查，并持续监控设置状态。 建议：企业应该把网络安全、用户数据安全放到首位，加强防护，完善企业制度，定期及时审查。参考链接：https://www.freebuf.com/news/366418.html 2.meta公司因将欧洲用户数据传输至美国，被罚13亿美元 时间：2023年5月22日 概述：因涉嫌将大量欧盟国家用户的个人数据传输至美国，脸书母公司Meta收到了一张创纪录的“天价” 罚单。22日，爱尔兰数据保护委员会(DPC)宣布，Meta将被罚款约13亿美元。除了巨额罚款，DPC还要求Meta根据相关要求进行“整改”，并在六个月内停止在美国处理欧盟用户的个人数据。同日，TikTok正式起诉向其下达“封杀令”的美国蒙大拿州。TikTok认为，该州没有任何证据足以支撑TikTok涉嫌所谓“数据外泄”的说法。 影响：这是迄今为止，欧盟对违反欧盟《通用数据保护条例》(GDPR)的企业开出的最重罚单。Meta不是 首个因违反GDPR而遭遇重罚的美国企业。2020年12月，推特因相似原因，被罚54.7万美元；2021年7月，亚马逊也因为隐私问题被卢森堡政府罚款8.06亿美元；2022年，Meta旗下的脸书公司以及WhatsApp也先后被罚1836万美元和2.43亿美元。 参考链接：http://intl.ce.cn/sjjj/qy/202305/26/t20230526_38562213.shtml?wo 3.GitLab被爆最大严重性漏洞 时间：2023年5月24日 概述：GitLab发布了紧急安全更新，版本16.0.1，以解决最大严重性（CVSSv3.1分数：10.0）路径遍 历缺陷，跟踪为CVE-2023-2825。该缺陷源于路径遍历问题，当嵌套在至少五个组中的公共项目中存在附件时，该问题允许未经身份验证的攻击者读取服务器上的任意文件。GitLab是一个基于Web的Git存储库，面向需要远程管理其代码的开发团队，拥有大约3000万注册用户和100万付费客户。 影响：该漏洞只能在特定条件下触发，即当公共项目中的附件嵌套在至少五个组中时，这不是所有GitHub项目都遵循的结构。不幸的是，目前没有可用的解决方法。 建议：GitLab16.0.0的所有用户尽快更新到版本16.0.1以降低风险。 参考链接： https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/ 4.公布修订后的《商用密码管理条例》 时间：2023年5月24日 概述：国务院总理李强日前签署国务院令，公布修订后的《商用密码管理条例》(以下简称《条例》)，自2023 年7月1日起施行。 影响：党中央、国务院高度重视商用密码工作。近年来，随着商用密码在网络与信息系统中广泛应用，其维 护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来，党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求，2020年施行的密码法对商用密码管理制度进行了结构性重塑。为了贯彻落实行政审批制度改革精神，细化密码法相关制度，对1999年公布的《条例》进行了全面修订。修订后的《条例》，重点 规定了多项内容。 参考链接：https://baijiahao.baidu.com/s?id=1766818727687655988&wfr=spider&for=pc 5.特斯拉超100GB数据遭泄露 时间：2023年5月27日 概述：据英国《卫报》26日报道，一名举报者向德国《商报》泄露了100GB的特斯拉数据，除了首席执行官马斯克的社保号码、员工工资等信息，还包括数千名客户投诉。 影响：本次泄露影响非常严重，因为个人数据泄露量很大，泄露的文件还包括超过10万名前现任员工的信息、客户的银行详细信息，甚至是马斯克的社保号码以及私人邮箱和电话等。 处置：这一行为违反欧盟的《通用数据保护条例》（GDPR）。如果证明确实存在此类违规行为，特斯拉可能会被处以高达其年销售额4%的罚款，即32.6亿欧元（35亿美元）。 建议：呼吁特斯拉将违反数据保护的行为告知员工，同时，被泄露数据的用户应及时通知相关机构备案，更改相关密钥，加强个人防范，提高警惕，谨防钓鱼邮件，避免数据被利用造成更严重的后果。 参考链接：https://baijiahao.baidu.com/s?id=1767015726661225930&wfr=spider&for=pc 二、5月APT威胁 1.APT威胁攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 安恒信息猎影实验室通过国内外安全厂商、安全组织2023年5月份针对于APT事件披露情况分析，近期活跃的APT组织有APT37、Kimsuky、BadMagic、Patchwork、SideCopy、SideWinder、Bluenoroff、DustSquad、GoldenJackal等，其中当属APT37组织收录的攻击事件居多。 ▲5月APT组织发起攻击占比图 <本部分更多内容，包含本月活跃APT组织攻击地域、行业分布图> 2.APT组织情报 <本部分内容，包含本月活跃APT组织画像、攻击事件>请参看完整版月报，感谢支持。 三、5月勒索攻击 1.勒索攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 根据安恒信息猎影实验室2023年5月的勒索事件数据显示，勒索软件攻击涉及金融、政府部门、服务、国防、教育、制造业、科技、汽车、医疗卫生、IT等行业，其中以针对金融行业的勒索 事件比例最高。 ▲5月勒索软件攻击行业比例 <本部分更多内容，包含本月勒索软件事件比例> 2.勒索团伙/软件 <本部分内容，包含本月活跃勒索团伙画像、勒索事件>请参看完整版月报，感谢支持。 四、5月挖矿情报 根据安恒信息猎影实验室针对2023年5月的挖矿数据分析，其中行业挖矿行为主要分布在政府、教育、通信、IT、医疗卫生等行业，其他行业也存在一定的挖矿行为。 ▲2023年5月挖矿行业分布占比图 同时，安恒信息猎影实验室在针对2023年5月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中立陶宛最多。 ▲2023年5月活跃矿池TOP20 五、5月暗链情报 根据安恒信息零壹实验室针对2023年5月的暗链数据分析，已有19460个网站遭到暗链植入，较2023年4月涨幅58.6%。在被植入暗链的网站中，企业最多，占比58.9%。除去企业，其他遭受暗链植入的网站类型的分布情况如下图。 ▲2023年5月遭到暗链植入的网站类型（除去企业） <本部分更多内容，包含本月被植入暗链的地域分布情况>请参看完整版月报，感谢支持。 �、5月漏洞情报 1.漏洞情报数据 根据安恒信息卫兵实验室针对2023年5月的漏洞数据，利用安恒内部评级分析显示，本月新增公开漏洞中，一级、二级危险等级较高的漏洞占比23%，评级占比图如下： ▲2023年5月针对全网公开漏洞的安恒漏洞评级占比图 安恒重点监测的在野漏洞评级占比如下： ▲2023年5月针对新增在野漏洞的安恒漏洞评级占比图 <本部分更多内容，包含本月新增漏洞类型、1-5月漏洞新增趋势图> 2.重要漏洞回顾 安恒信息析安实验室针对5月份重要漏洞已有相应策略，覆盖安恒信息产品有：远程安全评估、 EDR、IDC、云鉴、远程安全评估、webscan7、AiNTA、APT、WAF,玄武盾等。我们回顾一下5月的重要漏洞： 01GitLabCE/EE任意文件读取漏洞(CVE-2023-2825) ▲漏洞简介：GitLab是美国GitLab公司的一个开源的端到端软件开发平台，具有内置的版本控制、问题跟踪、代码审查、CI/CD（持续集成和持续交付）等功能。 GitLab存在安全漏洞。攻击者利用该漏洞可以访问存储在web根文件夹之外的文件和目录。 ▲官方补丁： https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/ ▲漏洞编号：CVE-2023-2825 安恒信息回声实验室针对该漏洞，利用Sumap进行全球漏洞影响探测，生成如下漏洞对全球国家的影响分布图，以及对国内的影响分布图： <本部分更多内容，包含多个本月重要漏洞以及该漏洞全球资产探测图>请参看完整版月报，感谢支持。 3.高关注漏洞 <本部分内容，包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报，感谢支持。 七、5月黑灰产情报 根据安恒信息神盾局数据显示，2023年1月至5月恶意网站增长趋势如图所示，由于4月新增了数据源，使得数据激增，5月回到正常收集范围，网络色情、赌博、诈骗较3月均有新增。 ▲2023年1月至5月，每月新增恶意网站趋势 <本部分更多内容，请参看完整版月报，感谢支持> 八、安全数据说安全 5月，猎影实验室的APT事件数据显示，印度Patchwork组织使用BADNEWS商业木马，针对我国相关单位发起了攻击活动。 5月，猎影实验室的勒索事件数据显示，英国最大外包公司Capita遭到BlackBasta勒索软件攻击，该公司应对此次事件的费用可能高达20