2023年8月安恒信息网络安全月报(精简版)

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 完整版可以咨询您所在地区安恒销售，或致电：4006059110转4 目录 前言II 一、月重大安全事件1 1.抗议核废水入海，Anonymous对日本核电机构发动攻击1 2.影响逾7.5万人！特斯拉100GB数据泄露原因查明1 3.因供应商被黑，法国政府机构泄露1000万民众个人信息2 4.加拿大第二大城市电力系统遭勒索攻击：被迫重建IT基础设施2 5.《原神》中国服务器曝漏洞，米哈游称将起诉开发外挂的黑客3 二、月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报4 三、月勒索攻击4 1.勒索攻击综述4 2.勒索团伙/软件5 四、月挖矿情报5 五、月暗链情报7 �、月漏洞情报8 1.漏洞情报数据8 2.必修漏洞9 3.高关注漏洞10 七、月黑灰产情报10 八、安全数据说安全11 前言 2023年8月，国内外影响面较广的网络安全事件陆续发生。 本月数据泄露和网络攻击引发高关注。日本排放核污水引发全球热议，著名黑客组织Anonymous对日本核电相关的组织发起了网络攻击，以抗议政府将福岛核电站处理后的放射性水排入大海；加拿大第二大城市电力系统遭勒索攻击，拒绝支付赎金，已重建信息技术基础设施；《原神》中国服务器曝漏洞，被黑客利用，给玩家造成巨大困扰。 数据泄露方面，法国政府机构泄露1000万民众个人信息，泄露的数据存在被利用的潜在巨大风险。频发的数据泄露事件，也在不断提醒我们，在互联网时代的数据使用上，切记要极大限度地保护自己的隐私安全。 一、月重大安全事件 1.抗议核废水入海，Anonymous对日本核电机构发动攻击 时间：2023年8月18日 概述：据SecurityAffairs消息，近段时间以来，著名黑客组织Anonymous对日本核电相关的组织发起了网络攻击，以抗议政府将福岛核电站处理后的放射性核废水排入大海。 影响：Anonymous仅针对目标组织的站点发起分布式拒绝服务(DDoS)攻击。日本原子能机构证实，其 网站受到的恶意流量约为正常流量的100倍，但也指出，攻击已得到缓解，没有出现任何问题。Anonymous有成员向媒体表示，日本政府排放经过处理的核废水政策缺乏透明度，公众没能参与其决策，必须制止为了经济利益而将海洋变成垃圾场的愚蠢行为。目前当地不少渔民和日本周边国家均对日本将核废水排海这一策略持反对态度。 建议：安全公司警告称，攻击可能会升级，并敦促提高潜在目标的网络安全水平。参考链接：https://www.freebuf.com/news/375514.html 2.影响逾7.5万人！特斯拉100GB数据泄露原因查明 时间：2023年8月21日 概述：据BusinessInsider报道，特斯拉表示，此前发生的大规模数据泄露事件泄露了超过7.5万人的个人信息，这是“内部不法行为”的结果。 特斯拉在发给员工的通知中表示，被泄露的“特斯拉文件”包含100GB的机密数据，其中包括员工的姓名，以及如地址、手机号码和电子邮件地址等联系信息。该通知已与缅因州总检察长办公室共享。泄露的数据还包括大约2400起关于特斯拉突然加速的客户投诉，以及另外1500起关于刹车问题的投诉。 影响：特斯拉未能充分保护客户、员工和业务合作伙伴的数据而造成泄露，并收到了数千份关于该公司驾驶 员辅助系统的客户投诉。此次数据泄露事件影响规模极大，被泄露的数据包括超过10万个离职和在职员工信息，甚至包含特斯拉CEO埃隆·马斯克的社保号码。 参考链接：https://www.secrss.com/articles/57988 3.因供应商被黑，法国政府机构泄露1000万民众个人信息 时间：2023年8月28日 概述：BleepingComputer网站披露，法国政府失业登记和金融援助机构Pôleemploi通报一起数据泄露事件，该事件泄露了1000万名民众的个人数据信息。 影响：泄露的民众信息包括全名和社会安全号，但电子邮件地址、电话号码、密码和银行数据没有受到此次数据泄露事件的影响。 处置：尽管泄露的数据在网络犯罪活动中的“作用”有限，但Pôleemploi还是建议注册求职者对收到的信 息保持谨慎，该机构还设立了一条专门的电话支持热线，以解决民众对数据泄漏事件提出的任何疑问和担忧。Pôleemploi承诺其内部团队目前正努力确保求职者的数据信息安全，并将继续实施额外保护措施和程序，以防止再次发生类似事件，该机构还表示此次数据泄露事件不会影响其财政援助计划，求职者可放心访问"pole-employment.fr"在线就业门户网站。 参考链接：https://www.secrss.com/articles/58257 4.加拿大第二大城市电力系统遭勒索攻击：被迫重建IT基础设施 时间：2023年8月30日 概述：LockBit勒索软件团伙声称对加拿大蒙特利尔市电力服务委员会（CSEM）发动了攻击。这是一家拥有百年历史的市政组织，负责管理蒙特利尔市的电力基础设施。 影响：CSEM表示：被披露的数据对公众安全和CSEM运营带来的安全风险都很低。CSEM所有项目都有公开文件可查。人们可以从魁北克省官方流程办公室获取所有工程、施工、管理计划。 处置：CSEM拒绝支付赎金。他们正在努力恢复系统，并联系了加拿大国家当局和魁北克省执法部门，并已重建信息技术基础设施。 参考链接：https://www.secrss.com/articles/58380 5.《原神》中国服务器曝漏洞，米哈游称将起诉开发外挂的黑客 时间：2023年8月30日 概述：动漫游戏《原神》的中国服务器曝出严重漏洞，允许黑客利用外挂从其他玩家的联机世界中删除游戏 物品和要素。同时，《原神》的许多玩家在论坛报告称在游戏内遭遇黑客（外挂）攻击，游戏难以正常进行，因为该外挂可通过四星游戏角色Kaveh删除在组团模式中取得游戏进度至关重要的元素，例如玩家需要与之交互的谜题或NPC（甚至包括Boss）。还有玩家报告说，他们的探索点被外挂操纵逆转。 影响：《原神》是一款广受欢迎的动漫风格开放世界探索游戏，支持包括Android、iOS、PS4和Windows在内的多个平台，拥有超过6000万活跃玩家。本次事件给玩家造成非常大的困扰。 处置：米哈游在玩家社区就游戏内黑客事件做出了回应，声称已经封禁使用Kaveh外挂的账户，并警告将对责任者采取法律行动。 参考链接：https://www.secrss.com/articles/58314 二、月APT威胁 1.APT威胁攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 安恒信息猎影实验室通过国内外安全厂商、安全组织2023年8月份针对于APT事件披露情况分析，近期活跃的APT组织有APT37、Kimsuky、APT29、APT34、Lazarus、Andariel、APT-K-47、AridViper等，其中当属APT37组织收录的攻击事件居多。 ▲8月APT组织发起攻击占比图 <本部分更多内容，包含本月活跃APT组织攻击地域、行业分布图> 2.APT组织情报 <本部分内容，包含本月活跃APT组织画像、攻击事件>请参看完整版月报，感谢支持。 三、月勒索攻击 1.勒索攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 根据安恒信息猎影实验室2023年8月的勒索事件数据显示，勒索软件攻击涉及医疗卫生、政府部门、基础设施、交通运输、制造业等行业，其中以针对医疗卫生的勒索事件比例最高。 ▲8月勒索软件攻击行业比例 <本部分更多内容，包含本月勒索软件事件比例> 2.勒索团伙/软件 <本部分内容，包含本月活跃勒索团伙画像、勒索事件>请参看完整版月报，感谢支持。 四、月挖矿情报 根据安恒信息猎影实验室针对2023年8月的挖矿数据分析，其中行业挖矿行为主要分布在政府、教育、IT、能源、通信等行业，其他行业也存在一定的挖矿行为。 ▲2023年8月挖矿行业分布占比图 同时，安恒信息猎影实验室在针对2023年8月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中新加坡最多。 ▲2023年8月活跃矿池TOP20 五、月暗链情报 根据安恒信息零壹实验室针对2023年8的暗链数据分析，累计23402个网站遭到暗链植入，较7月份数据量下降。在被植入暗链的网站中，企业最多，占比91.5%。除去企业，其他遭受暗链植入的网站类型的分布情况如下图。 ▲2023年8月遭到暗链植入的网站类型（除去企业） <本部分更多内容，包含本月被植入暗链的地域分布情况>请参看完整版月报，感谢支持。 �、月漏洞情报 1.漏洞情报数据 根据安恒信息卫兵实验室针对2023年8月的漏洞数据，利用安恒内部评级分析显示，本月新增公开漏洞中，一级、二级危险等级较高的漏洞占比35%，评级占比图如下： ▲2023年8月针对全网公开漏洞的安恒漏洞评级占比图 安恒重点监测的在野漏洞评级占比如下： ▲2023年8月新增在野漏洞的安恒漏洞评级占比图 <本部分更多内容，包含本月新增漏洞类型、1-6月漏洞新增趋势图> 2.必修漏洞 必修漏洞是安恒信息回声实验室通过网空测绘方式，基于漏洞对应的资产在中国的使用量，以及漏洞的危害程度，综合评估的漏洞列表。 安恒信息析安实验室针对8月份的必修漏洞，已有相应策略，覆盖安恒信息产品有：远程安全评估、EDR、IDC、云鉴、远程安全评估、webscan7、AiNTA、APT、WAF、玄武盾等。 我们回顾一下8月的必修漏洞： 01Smartbi存在权限绕过漏洞 ▲漏洞公告：安恒信息CERT监测到Smartbi存在权限绕过漏洞，目前PoC在互联网中已公开，攻击者能够通过该漏洞进行权限绕过，实现后台接管。 Smartbi是一种数据分析和可视化工具，用于帮助企业和组织从海量数据中提取有用的信息，做出更明智的决 策。Smartbi提供了丰富的数据分析和报告功能，使用户能够快速、直观地理解和探索数据。它支持多种数据源的连接，包括关系型数据库、大数据平台、云服务等，以获取数据并进行分析。 ▲官方补丁：https://www.smartbi.com.cn/patchinfo 安恒信息回声实验室针对该漏洞，利用Sumap进行全球漏洞影响探测，生成如下漏洞对全球国家的影响分布图，以及对国内的影响分布图： 3.高关注漏洞 <本部分内容，包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报，感谢支持。 七、月黑灰产情报 根据安恒信息神盾局数据显示，2023年1月至8月恶意网站增长趋势如图所示，由于4月新增了数据源，使得数据激增，当前已回到正常收集范围。8月份新增恶意网站30w。 ▲2023年1月至8月，每月新增恶意网站趋势 <本部分更多内容，请参看完整版月报，感谢支持 八、安全数据说安全 8月，通过曝光的网络勒索攻击事件、黑客攻击事件等，可以看出威胁主体主要以重要数据和重要设施等为目的进行攻击。 8月，猎影实验室的APT事件数据显示，朝鲜和印度的APT组织最为活跃，以及多数APT组织将政府和外交机构视为网络钓鱼攻击的重要目标。 8月，猎影实验室的勒索事件数据显示，未来可能出现更多因Lockbit3.0勒索软件构建器泄露而出现的新变种，以及医疗卫生行业是本月受勒索攻击影响最严重的行业。 8月，零壹实验室的暗链数据分析显示，累计23402个网站遭到暗链植入，较7月份数据量下 降。在被植入暗链的网站中，企业占比91.5%。 8月，安恒信息应急响应中心联合卫兵实验室、析安实验室、回声实验室在本次月报中，预警 1个必修漏洞，漏洞类型为权限绕过，涉及关系型数据库、大数据平台、云服务等场景。 8月，神盾局的黑灰产数据显示，新增恶意网站30w，在所有恶意网站中，网络赌博占比超4 成，淫秽色情和网络赌博加起来超7成。 安恒信息研究院安全数据部下设猎影实验室、零壹实验室、析安实验室、回声