2023年7月安恒网络安全月报

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 完整版可以咨询您所在地区安恒销售，或致电：4006059110转4 目录 前言II 一、7月重大安全事件1 1.勒索软件LockBit3.0针对日本名古屋港发起攻击1 2.HCA医疗遭遇黑客攻击，泄露1100万患者敏感信息1 3.微软：未打补丁的Office零日漏洞在北约峰会攻击中被利用2 4.武汉地震监测中心遭网络攻击！黑手疑来自美国2 5.TikTok未修漏洞节省数千万美元，1年后在海外大选期间遭利用3 二、7月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报4 三、7月勒索攻击4 1.勒索攻击综述4 2.勒索团伙/软件5 四、7月挖矿情报5 五、7月暗链情报7 �、7月漏洞情报7 1.漏洞情报数据7 2.必修漏洞8 3.高关注漏洞10 七、7月黑灰产情报10 八、安全数据说安全11 前言 2023年7月，国内外影响面较广的网络安全事件陆续发生。 本月数据泄露和网络攻击依旧引发高关注。HCA医疗遭遇黑客攻击，泄露1100万患者敏感信息；北约组织遭到黑客攻击，泄露了近1GB的数据，包括数百份供北约国家和合作伙伴使用的敏感文件，其中还包含至少70名北约官员个人信息。黑客的攻击无孔不入，泄露的信息可能会被加以利用，有非常大的安全隐患。 TikTok未修漏洞节省数千万美元，后果是多达70万个土耳其TikTok账户遭到黑客攻击；微软公布，未打补丁的Office零日漏洞在北约峰会攻击中被利用。政治舞台上，网络安全攻击手段层出不穷，没有硝烟的安全之战，任重道远。 一、7月重大安全事件 1.勒索软件LockBit3.0针对日本名古屋港发起攻击 时间：2023年7月5日 概述：日本最大、最繁忙的港口名古屋港在7月4日当地时间凌晨06:30左右发生勒索攻击，影响了集装箱 码头的运营。该港口的贸易量约占日本总贸易量的10%。它经营21个码头和290个泊位。它每年处理超过200 万个集装箱和1.65亿吨货物。全球最大的汽车制造商之一丰田汽车公司也利用该港口出口其大部分汽车。 影响：名古屋港务局曾处理过网络攻击，但看来这次的影响最大。所有使用拖车在码头进行的集装箱装卸作业均已取消，给港口造成了巨大的财务损失，并严重扰乱了进出日本的货物流通。 参考链接： https://www.bleepingcomputer.com/news/security/japans-largest-port-stops-operations-after-ransomware-attack/ 2.HCA医疗遭遇黑客攻击，泄露1100万患者敏感信息 时间：2023年7月5日 概述：SecurityAffairs网站披露，HCA医疗公司披露了一起网络攻击事件，约1100万患者的个人信息 遭到泄露。威胁攻击者发布了包括患者姓名、城市、州和邮政编码、电子邮件、电话号码、出生日期、性别以及服务日期、地点和下次预约日期等部分患者敏感个人信息。据悉，泄露的患者信息是从一个外部存储位置流出，该存储位置专门用于自动格式化电子邮件信息。 影响：HCAHealthcare指出泄露列表包含约2700万行数据，其中可能包括约1100万HCAHealthcare 患者的个人信息。为应对此次患者数据泄露事件，HCAHealthcare禁止用户访问存储位置，但是向患者和社区提供的护理和服务没有中断。根据目前已知的信息，HCA公司认为此次患者信息泄露事件不会对其业务或财务业绩造成重大影响，也未对其日常运营造成任何影响。 参考链接：https://www.freebuf.com/news/371818.html 3.微软：未打补丁的Office零日漏洞在北约峰会攻击中被利用 时间：2023年7月11日 概述：微软今天披露了多个Windows和Office产品中存在未修补的零日安全漏洞，该漏洞被广泛利用以通过恶意Office文档获取远程代码执行。未经身份验证的攻击者可以在需要用户交互的高复杂性攻击中利用该漏洞 （跟踪为CVE-2023-36884）。最近针对参加立陶宛维尔纽斯北约峰会的组织的攻击利用了CVE-2023-36884漏洞。攻击者使用冒充乌克兰世界大会组织的恶意文档，来安装恶意软件有效负载，包括MagicSpell加载程序和RomCom后门。 影响：如果成功利用该漏洞，攻击者可以通过制作旨在利用该漏洞的恶意.docx或.rtf文档来进行基于远 程代码执行(RCE)的攻击。该攻击者于2023年6月检测到的最新活动涉及滥用CVE-2023-36884，以提供与RomCom类似的后门。RomCom是一个总部位于俄罗斯的网络犯罪组织（也被追踪为Storm-0978），以从事勒索软件和勒索攻击以及专注于窃取凭据的活动而闻名，这些活动可能旨在支持情报行动。 处置：微软表示将通过每月发布流程或带外安全更新为客户提供补丁。当前可以采用一些缓解措施。参考链接： https://www.bleepingcomputer.com/news/security/microsoft-unpatched-office-zero-day-expl oited-in-nato-summit-attacks/ 4.武汉地震监测中心遭网络攻击！黑手疑来自美国 时间：2023年7月24日 概述：24日，武汉市应急管理局发布声明称，该局所属武汉市地震监测中心遭受境外组织的网络攻击：发现了源于境外的木马程序，该木马程序能非法控制并窃取地震速报前端台站采集的地震烈度数据。 影响：该行为对国家安全构成严重威胁。这是继2022年6月份西北工业大学遭受境外网络攻击后又一具体 案例。国家计算机病毒应急处理中心和360公司组成的专家组发现，此次网络攻击行为由境外具有政府背景的黑客组织和不法分子发起，初步证据显示对武汉市地震监测中心实施网络攻击来自美国。 参考链接：https://www.secrss.com/articles/57088 5.TikTok未修漏洞节省数千万美元，1年后在海外大选期间遭利用 时间：2023年7月26日 概述：土耳其总统埃尔多安险胜连任的几周前，TikTok代理安全主管KimAlbarella收到一条坏消息：多达 70万个土耳其TikTok账户遭到黑客攻击，攻击者能够访问用户个人信息并控制他们的账户。该公司早在一年前就知道这个漏洞，该漏洞源于所谓的“灰色路由”，灰色路由通过不安全的渠道发送短信，从而绕过国际电信协议规定的费用，即通过不安全的渠道发送短信。 影响：TikTok公司承认，这次利用漏洞的黑客攻击是迄今为止规模最大的TikTok账户被攻击事件。 处置：该公司最终决定不予更换短信服务提供商，因为，如修复灰色路由问题，公司每月将损失数百万美元。 TikTok发言人AlexHaurek撰写电子邮件，回应对这次攻击：TikTok发现数据泄露后，立即对不真实行为加强监控，努力化解问题。目前问题已得到解决。TikTok没有发现任何未经授权的内容被发布或用于私信。 建议：TikTok是世界上最受欢迎的应用之一。这次安全漏洞凸显了该公司拥有的力量和应承担的责任。使 用灰色路由可以节约公司成本，避开速率限制和反垃圾邮件检测。但是，这样做可能会危及信息安全，使信息易受拦截。企业和公司要对自己有更严厉的安全要求，保护用户的数据安全。 参考链接：https://www.secrss.com/articles/57110 二、7月APT威胁 1.APT威胁攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 安恒信息猎影实验室通过国内外安全厂商、安全组织2023年7月份针对于APT事件披露情况分析，近期活跃的APT组织有APT29、APT28、APT37、BlueNorOff、CharmingKitten、Gamaredon、Ghostwriter、Kimsuky、Konni、Lazarus、Molerats、SideCopy、TransparentTribe、Turla等，其中当属APT29组织收录的攻击事件居多。 ▲7月APT组织发起攻击占比图 <本部分更多内容，包含本月活跃APT组织攻击地域、行业分布图> 2.APT组织情报 <本部分内容，包含本月活跃APT组织画像、攻击事件>请参看完整版月报，感谢支持。 三、7月勒索攻击 1.勒索攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 根据安恒信息猎影实验室2023年7月的勒索事件数据显示，勒索软件攻击涉及文化艺术、安全、电子信息、教育、军事、旅游等行业，其中以针对文化行业的勒索事件比例最高。 ▲7月勒索软件攻击行业比例 <本部分更多内容，包含本月勒索软件事件比例> 2.勒索团伙/软件 <本部分内容，包含本月活跃勒索团伙画像、勒索事件>请参看完整版月报，感谢支持。 四、7月挖矿情报 根据安恒信息猎影实验室针对2023年7月的挖矿数据分析，其中行业挖矿行为主要分布在政府、教育、金融、通信、IT等行业，其他行业也存在一定的挖矿行为。 ▲2023年7月挖矿行业分布占比图 同时，安恒信息猎影实验室在针对2023年7月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中新加坡最多。 ▲2023年7月活跃矿池TOP20 五、7月暗链情报 根据安恒信息零壹实验室针对2023年7的暗链数据分析，累计49078个网站遭到暗链植入，较6月份数据量下降。在被植入暗链的网站中，企业最多，占比91.6%。除去企业，其他遭受暗链植入的网站类型的分布情况如下图。 ▲2023年7月遭到暗链植入的网站类型（除去企业） <本部分更多内容，包含本月被植入暗链的地域分布情况>请参看完整版月报，感谢支持。 �、7月漏洞情报 1.漏洞情报数据 根据安恒信息卫兵实验室针对2023年7月的漏洞数据，利用安恒内部评级分析显示，本月新增公开漏洞中，一级、二级危险等级较高的漏洞占比38%，评级占比图如下： ▲2023年7月针对全网公开漏洞的安恒漏洞评级占比图 安恒重点监测的在野漏洞评级占比如下： ▲2023年7月新增在野漏洞的安恒漏洞评级占比图 <本部分更多内容，包含本月新增漏洞类型、1-6月漏洞新增趋势图> 2.必修漏洞 必修漏洞是安恒信息回声实验室通过网空测绘方式，基于漏洞对应的资产在中国的使用量，以及漏洞的危害程度，综合评估的漏洞列表。 安恒信息析安实验室针对7月份的必修漏洞，已有相应策略，覆盖安恒信息产品有：远程安全评估、EDR、IDC、云鉴、远程安全评估、webscan7、AiNTA、APT等。 我们回顾一下7月的必修漏洞： 01GitLabEE存在越权访问漏洞(CVE-2023-3484) ▲漏洞公告：近日，安恒信息CERT监测到GitLabEE存在越权访问漏洞(CVE-2023-3484)，目前技术细节及PoC未公开。通过该漏洞，攻击者可以越权更改公共顶级组的名称或路径。该产品主要使用客户行业分布广泛，基于CVSS3.1评分该漏洞需具备一定前置条件，漏洞危害性较高，建议客户尽快做好自查及防护。 ▲官方补丁：https://gitlab.cn/install/ ▲漏洞编号：CVE-2023-3484 安恒信息回声实验室针对该漏洞，利用Sumap进行全球漏洞影响探测，生成如下漏洞对全球国家的影响分布图，以及对国内的影响分布图： <本部分更多内容，包含多个本月重要漏洞以及该漏洞全球资产探测图>请参看完整版月报，感谢支持。 3.高关注漏洞 <本部分内容，包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报，感谢支持。 七、7月黑灰产情报 根据安恒信息神盾局数据显示，2023年1月至7月恶意网站增长趋势如图所示，由于4月新增了数据源，使得数据激增，当前已回到正常收集范围。7月份新增恶意网站100w，网络灰产新增量较6月的增幅显著，达到225%。 ▲2023年1月至7月，每月新增恶意网站趋势 <本部分更多内