2023年6月安恒网络安全月报(精简版)

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 完整版可以咨询您所在地区安恒销售，或致电：4006059110转4 目录 前言II 一、6月重大安全事件1 1.英国曼彻斯特大学遭遇网络攻击1 2.韩国发布2023版《国家安全战略》报告1 3.超过100,000个ChatGPT帐户通过信息窃取恶意软件被盗2 4.全球最大航空公司遭遇供应链攻击，大量飞行员敏感数据泄露2 二、6月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报4 三、6月勒索攻击4 1.勒索攻击综述4 2.勒索团伙/软件5 四、6月挖矿情报5 五、6月暗链情报6 �、6月漏洞情报7 1.漏洞情报数据7 2.必修漏洞8 3.高关注漏洞10 七、6月黑灰产情报10 八、安全数据说安全11 前言 2023年6月，国内外影响面较广的网络安全事件陆续发生。 本月数据泄露和网络攻击依旧引发高关注。根据暗网市场数据，过去一年有超过101,000个ChatGPT用户帐户被恶意软件窃取信息，黑客很有可能通过访问聊天内容，进一步深入窃取更多信息，我们在使用ChatGPT的时候，需要确保在一个安全的网络环境，一定要注意隐私保护，也要避免多度使用。 全球最大航空公司遭遇供应链攻击，大量飞行员敏感数据泄露；曼彻斯特大学遭受了网络攻击，黑客可能会从大学网络中窃取数据。针对数据泄露情况，要第一时间采取行动，并通知受影响的用户提高警惕。 一、6月重大安全事件 1.英国曼彻斯特大学遭遇网络攻击 时间：2023年6月6日 概述：曼彻斯特大学警告教职员工和学生，他们遭受了网络攻击，威胁行为者可能会从大学网络中窃取数据。该大学是一所公立研究机构，也是英国最大、最成功的教育和研究中心之一，拥有超过10,000名教职员工和 45,000名学生。 处置：内部专家和外部支持人员马不停蹄地修复问题，准确确定哪些系统已被访问，并努力及时恢复系统。 该大学表示，他们已向所有相关当局通报了安全和数据泄露事件，包括信息专员办公室、国家网络安全中心（NCSC）和国家犯罪局。 建议：针对数据泄露需要尽快通知受影响的用户，对潜在的网络钓鱼攻击保持高度警惕。参考链接： https://www.bleepingcomputer.com/news/security/university-of-manchester-says-hackers-likely-stole-data-in-cyberattack/ 2.韩国发布2023版《国家安全战略》报告 时间：2023年6月8日 概述：韩国政府6月8日发布了官方的《国家安全战略》，将朝鲜的核威胁确定为最大的安全挑战，同时放 弃了正式结束朝鲜战争的目标。该战略介绍了韩国政府当前的外交、半岛局势和国防方面的政策，旨在针对全球威胁和挑战快速适应竞争激烈的安全环境，其中包括将朝鲜核武器和大规模杀伤武器列为当前韩国国家安全的首要挑战。在军事领域，国际合作方面强调韩美全面战略同盟，认为加强美韩联合防御态势比以往任何时候都重要；半岛局势方面强调应建立一支强大的军队，同时加强该国三轴防御系统，快速进行战术核武器的作战部署，筹备基于应对核打击的先发制人的可能性。 影响：该战略文件主要概述了加强该国三轴防御系统的既定政策，并通过制裁和压力推动朝鲜实现无核化。但它也引入了以前没有被记录为正式目标的新政策方向，如加强对朝韩民间接触和交流的监控以“建立秩序和纪律” 的计划。 参考链接：https://www.secrss.com/articles/55614 3.超过100,000个ChatGPT帐户通过信息窃取恶意软件被盗 时间：2023年6月20日 概述：网络情报公司Group-IB报告称，已在包含ChatGPT帐户的各种地下网站上发现了超过10万个信息窃取者日志，其中峰值出现在2023年5月，当时黑客发布了26,800个新的ChatGPT凭证对。 至于最受攻击的地区，2022年5月至2023年6月期间，亚太地区有近41,000个账户被盗，欧洲有近 17,000个账户，北美排名第五，有4,700个账户。 影响：根据暗网市场数据，过去一年有超过101,000个ChatGPT用户帐户被信息窃取恶意软件窃取。由 于ChatGPT允许用户存储对话，因此访问一个人的帐户可能意味着深入了解专有信息、内部业务策略、个人通信、软件代码等。正是出于这些担忧，三星等科技巨头彻底禁止员工在工作电脑上使用ChatGPT，甚至威胁要解雇不遵守该政策的员工。 建议：我们在使用ChatGPT的时候，需要确保在一个安全的网络环境，一定要注意隐私保护，也要避免多度使用。 参考链接： https://www.bleepingcomputer.com/news/security/over-100-000-chatgpt-accounts-stolen-via-info-stealing-malware/ 4.全球最大航空公司遭遇供应链攻击，大量飞行员敏感数据泄露 时间：2023年6月23日 概述：全球最大的两家航空公司美国航空(AmericanAirlines)和西南航空(SouthwestAirlines)披露了一起数据泄露事件。泄露原因是航空飞行员管理招聘平台PilotCredentials遭遇了黑客入侵。 影响：美国航空公司表示，此次事件导致至少5745名飞行员和申请人的数据被泄露，西南航空公司报告的 数据泄露总数为3009人。泄露的数据涉及到了一些个人信息，例如姓名、社保号码、驾驶执照号码、护照号码、 出生日期、飞行员证书号码以及其他政府颁发的身份证号等。 处置：航空公司将把所有飞行员和学员申请人引导到自我管理的内部门户网站。西南航空公司表示将不再使 用外部供应商，今后申请飞行员的人可直接通过西南航空管理的内部门户网站进行相关资料提交。同时，美国航空公司(AmericanAirlines)和西南航空公司(SouthwestAirlines)也已向相关执法部门通报了此次事件，相关部门正在全力配合他们对此事的调查。 参考链接：https://www.secrss.com/articles/55951 二、6月APT威胁 1.APT威胁攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 安恒信息猎影实验室通过国内外安全厂商、安全组织2023年6月份针对于APT事件披露情况分析，近期活跃的APT组织有Kimsuky、Lazarus、Donot、SideCopy、SideWinder、APT37、APT28等，其中当属Kimsuky组织收录的攻击事件居多。 ▲6月APT组织发起攻击占比图 <本部分更多内容，包含本月活跃APT组织攻击地域、行业分布图> 2.APT组织情报 <本部分内容，包含本月活跃APT组织画像、攻击事件>请参看完整版月报，感谢支持。 三、6月勒索攻击 1.勒索攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 根据安恒信息猎影实验室2023年6月的勒索事件数据显示，勒索软件攻击涉及医疗卫生、政府部门、能源、金融、现代服务、智能安防等行业，其中以针对医疗卫生行业的勒索事件比例最高。 ▲6月勒索软件攻击行业比例 <本部分更多内容，包含本月勒索软件事件比例> 2.勒索团伙/软件 <本部分内容，包含本月活跃勒索团伙画像、勒索事件>请参看完整版月报，感谢支持。 四、6月挖矿情报 根据安恒信息猎影实验室针对2023年6月的挖矿数据分析，其中行业挖矿行为主要分布在政府、教育、通信、IT、基础设施等行业，其他行业也存在一定的挖矿行为。 ▲2023年6月挖矿行业分布占比图 同时，安恒信息猎影实验室在针对2023年6月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中新加坡最多。 ▲2023年6月活跃矿池TOP20 五、6月暗链情报 根据安恒信息零壹实验室针对2023年6的暗链数据分析，累计98543个网站遭到暗链植入。 较5月份数据量激增，主要原因是针对检测算法的优化，使得单个网站的检测效率有所提升；同时性能上的提升带来了检测频率上的提升；效率和频率的提升带来了检出量的上涨。 在被植入暗链的网站中，企业最多，占比82.6%。除去企业，其他遭受暗链植入的网站类型的分布情况如下图。 ▲2023年6月遭到暗链植入的网站类型（除去企业） <本部分更多内容，包含本月被植入暗链的地域分布情况>请参看完整版月报，感谢支持。 �、6月漏洞情报 1.漏洞情报数据 根据安恒信息卫兵实验室针对2023年6月的漏洞数据，利用安恒内部评级分析显示，本月新增公开漏洞中，一级、二级危险等级较高的漏洞占比29%，评级占比图如下： ▲2023年6月针对全网公开漏洞的安恒漏洞评级占比图本月安恒重点监测的在野漏洞评级均为二级，在6月总漏洞中占比1%。 ▲2023年6月关键在野漏洞在总漏洞中的占比图 <本部分更多内容，包含本月新增漏洞类型、1-6月漏洞新增趋势图> 2.必修漏洞 必修漏洞是安恒信息回声实验室通过网空测绘方式，基于漏洞对应的资产在中国的使用量，以及漏洞的危害程度，综合评估的漏洞列表。 安恒信息析安实验室针对6月份的必修漏洞，已有相应策略，覆盖安恒信息产品有：远程安全评估、EDR、IDC、云鉴、远程安全评估、webscan7、AiNTA、APT、WAF,玄武盾等。 我们回顾一下6月的必修漏洞： 01Openfire存在身份认证绕过漏洞(CVE-2023-32315) ▲漏洞简介：安恒信息CERT监测到Openfire存在身份认证绕过漏洞(CVE-2023-32315)，目前技术细节及PoC在互联网中已公开。访问Openfire控制台时，未经身份验证的攻击者能够通过URL变形越权访问Openfire管理控制台页面，从而进一步执行任意代码，控制服务器权限。 ▲官方补丁： https://github.com/igniterealtime/Openfire/security/advisories/GHSA-gw42-f939-fhvm ▲漏洞编号：CVE-2023-32315 安恒信息回声实验室针对该漏洞，利用Sumap进行全球漏洞影响探测，生成如下漏洞对全球国家的影响分布图，以及对国内的影响分布图： <本部分更多内容，包含多个本月重要漏洞以及该漏洞全球资产探测图>请参看完整版月报，感谢支持。 3.高关注漏洞 <本部分内容，包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报，感谢支持。 七、6月黑灰产情报 根据安恒信息神盾局数据显示，2023年1月至6月恶意网站增长趋势如图所示，由于4月新增了数据源，使得数据激增，当前已回到正常收集范围。6月份新增恶意网站100w，较5月的新增数有所下降，降幅66.7%。 ▲2023年1月至6月，每月新增恶意网站趋势 <本部分更多内容，请参看完整版月报，感谢支持> 八、安全数据说安全 6月，随着AI生成技术的应用，AI自身安全逐渐成为焦点：Group-IB报告称，已在包含ChatGPT帐户的各种地下网站上发现了超过10万个信息窃取者日志。 6月，猎影实验室的APT事件数据显示，APT攻击活动显示出各个组织在不断改进和演进其攻击手段。在过去一个月内，其中Kimsuky组织最为活跃，采用了多种攻击手段。 6月，猎影实验室的勒索事件数据显示，勒索软件攻击涉及医疗卫生、政府部门、能源、金融、现代服务、智能安防等行业，其中以针对医疗卫生行业的勒索事件比例最高。 6月，零壹实验室的暗链数据分析显示，累计98543个网站遭到暗链植入，在被植入暗链的网 站中，企业最多，占比82.6%。 6月，安恒信息应急响应中心联合卫兵实验室、析安实验室、回声实验室在本次月报中，预警 5个重要漏洞，包括身份认证、特权提升、远程执行等，涉及多种业务应用安全。 6月，神盾局的黑灰产数据显示，截止该月，在所有恶意网站中，网络赌博占比近5成，淫秽 色情和网络赌博合计达