2023年11月安恒信息网络安全月报

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 完整版可以咨询您所在地区安恒销售，或致电：4006059110转4 目录 前言II 一、11月重大安全事件1 1.德国爆发大规模勒索软件攻击，超70个城市市政服务瘫痪1 2.工商银行美国子公司遭遇勒索软件攻击1 3.滴滴崩了12小时，预计损失千万订单2 4.BlackCat又下“黑手”！医疗保健巨头HenrySchein35TB数据被窃2 二、11月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报3 三、11月勒索攻击4 1.勒索攻击综述4 2.勒索团伙/软件4 四、11月挖矿情报5 五、11月暗链情报6 �、11月漏洞情报7 1.漏洞情报数据7 2.必修漏洞8 3.高关注漏洞9 七、11月暗网情报9 八、11月黑灰产情报10 九、安全数据说安全11 前言 2023年11月，国内外影响面较广的网络安全事件陆续发生。本月多巨头公司遭遇勒索攻击，引发高关注。 德国爆发大规模勒索软件攻击，超70个城市市政服务瘫痪；中国工商银行（ICBC）的美国全资子公司工银金融服务有限责任公司（ICBCFS）遭受了勒索软件攻击，导致部分系统中断，该事件将迫使全球大型银行竞相提高防御能力；医疗保健巨头HenrySchein遭遇勒索组织攻击，并被窃取35TB数据。除此之外，打车软件“滴滴”崩溃12小时，引发高度讨论，不仅仅严重影响其用户的正常使用和信任度，更为其经营收入带来恶劣影响。 无论是企业还是个人，都应该在网络安全问题上，保持高度警惕。 一、11月重大安全事件 1.德国爆发大规模勒索软件攻击，超70个城市市政服务瘫痪 时间：2023年11月3日 概述：德国地方市政服务提供商SüdwestfalenIT公司的服务器被未知的黑客团伙加密。为阻止恶意软件传播，该公司限制了70多个城市对基础设施的访问权限。受限城市主要位于德国西部的北莱茵-威斯特法伦州。 影响：该地区几乎所有市政府都受到这次黑客攻击的影响。攻击当天，德国城市锡根大部分IT系统停止运行，市政府被迫取消与市民对话活动。 处置：受影响的管理部门公开讨论此次攻击。他们表示，尽管在线系统无法使用，仍可以向市民提供线下服务。德国警方和网络安全机构正在调查此次黑客攻击，努力帮助市政管理部门恢复服务。 参考链接：https://www.secrss.com/articles/60347 2.工商银行美国子公司遭遇勒索软件攻击 时间：2023年11月10日 概述：中国工商银行（ICBC）的美国全资子公司工银金融服务有限责任公司（ICBCFS）在官网发布申明称 11月8日遭受了勒索软件攻击，导致部分系统中断。LockBit组织代表在Tox上公开确认对攻击负责。安全专家KevinBeaumont推测，攻击者可能利用了CitrixBleed漏洞（CVE-2023-4966）。这个漏洞最近在针对未打补丁的政府和企业网络的攻击中多次被利用。 影响：对工商银行美国子公司的攻击已经扰乱了美国国债市场。证券行业和金融市场协会周四的一份声明显 示，由于工商银行遭到勒索软件的攻击，无法代表其他市场参与者结算国债交易，这可能对美国国债的流动性产生巨大影响，并可能引发监管审查。 建议：金融业向来是网络安全能力成熟度最高的行业之一，中国工商银行的黑客事件将迫使全球大型银行竞相提高防御能力。 参考链接：https://www.freebuf.com/news/383568.html 3.滴滴崩了12小时，预计损失千万订单 时间：2023年11月27日 概述：11月27日晚上11点左右，“滴滴骑行不可以锁车了”、“滴滴怎么了，为啥打不到车”、“滴滴 师傅的距离为啥那么远？”等热门话题迅速冲上各大媒体热搜榜单。滴滴发布公告表示，由于系统故障，11月27日晚间滴滴App服务出现异常，经技术同事紧急修复，目前正陆续恢复中。 影响：滴滴对于系统服务崩溃一事迅速作出了回应，但依旧无法降低广大网友对于滴滴出现系统崩溃的讨论。滴滴崩溃一事不仅仅严重影响其用户的正常使用，对于自身经营收入同样造成很“恶劣”的影响。 处置：滴滴在11月28日早上7点半左右明确表示，经技术团队连夜修复，滴滴网约车等服务已恢复，用户可下载滴滴App使用打车服务。 参考链接：https://www.freebuf.com/news/385050.html 4.BlackCat又下“黑手”！医疗保健巨头HenrySchein35TB数据被窃 时间：2023年11月28日 概述：美国医疗保健公司HenrySchein近日报告称，他们遭到了BlackCat/ALPHV勒索软件团伙的第二次网络攻击，而该团伙在十月份也曾侵入他们的网络。 HenrySchein是一家财富500强的医疗产品和服务提供商，在32个国家拥有运营和关联机构，并且据2022 年报告，其收入超过120亿美元。 影响：公司旗下的电子商务平台等应用程序目前无法使用。但订单并未受到影响，该公司将通过其他方式接 受订单，并确保继续为客户发货。11月27日，该公司透露其美国电子商务平台已恢复正常，并且预计其加拿大和欧洲的平台也将很快恢复在线。BlackCat方面表示：尽管与Henry团队进行了多轮谈判，但他们并未表现出愿意优先考虑客户、合作伙伴和员工的安全的意愿，更不用说保护自己的网络了。BlackCat决定在其博客上发布该公司的部分内部工资数据和股东文件，以及其他更多相关机密数据。 参考链接：https://www.freebuf.com/news/385030.html 二、11月APT威胁 1.APT威胁攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 安恒信息猎影实验室通过国内外安全厂商、安全组织2023年11月份针对于APT事件披露情况分析，近期活跃的APT组织有Lazarus、Agrius、Andariel、APT-C-52（焰魔蛇）、AridViper、Bitter等，其中当属Lazarus组织收录的攻击事件居多。 ▲11月APT组织发起攻击占比图 <本部分更多内容，包含本月活跃APT组织攻击地域、行业分布图> 2.APT组织情报 <本部分内容，包含本月活跃APT组织画像、攻击事件>请参看完整版月报，感谢支持。 三、11月勒索攻击 1.勒索攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 根据安恒信息猎影实验室2023年11月的勒索事件数据显示，勒索软件攻击涉及政府部门、金融、教育、医疗卫生等行业，其中以针对政府部门的勒索事件比例最高。 ▲11月勒索软件攻击行业比例 <本部分更多内容，包含本月勒索软件事件比例> 2.勒索团伙/软件 <本部分内容，包含本月活跃勒索团伙画像、勒索事件>请参看完整版月报，感谢支持。 四、11月挖矿情报 根据安恒信息猎影实验室针对2023年11月的挖矿数据分析，其中行业挖矿行为主要分布在政府、教育、高科技、能源、通信等行业，其他行业也存在一定的挖矿行为。 ▲2023年11月挖矿行业分布占比图 同时，安恒信息猎影实验室在针对2023年11月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中加拿大最多。 ▲2023年11月活跃矿池TOP20 五、11月暗链情报 安恒信息零壹实验室针对2023年11的暗链数据分析，累计165669个网站遭到暗链植入，较 10月份数据量涨幅146.3%。上月检测数量激增主要有两大原因： 一是AI检测性能的全面提升：1.从流程上进行了编排，压榨了更多的算力；2.从业务逻辑上进行了过滤，将更具有意义的网站进入检测模块。二是添加了历史数据复检功能。 其中11月新增92095个在以往从未检测到的全新暗链数据，较10月新增的37998个高出2.4倍多。在被植入暗链的网站中，企业最多，占比85.7%。除去企业，其他遭受暗链植入的网站类型的分布情况如下图。 ▲2023年11月遭到暗链植入的网站类型（除去企业） <本部分更多内容，包含本月被植入暗链的地域分布情况>请参看完整版月报，感谢支持。 �、11月漏洞情报 1.漏洞情报数据 根据安恒信息卫兵实验室针对2023年11月的漏洞数据，利用安恒内部评级分析显示，本月新增公开漏洞中，一级、二级危险等级较高的漏洞占比6%，评级占比图如下： ▲2023年11月针对全网公开漏洞的安恒漏洞评级占比图 <本部分更多内容，包含本月新增漏洞类型、月漏洞新增趋势图> 2.必修漏洞 必修漏洞是安恒信息回声实验室通过网空测绘方式，基于漏洞对应的资产在中国的使用量，以及漏洞的危害程度，综合评估的漏洞列表。 安恒信息析安实验室针对11月份的必修漏洞，已有相应策略，覆盖安恒信息产品有：远程安全评估、EDR、IDC、云鉴、webscan7、AiNTA、APT、WAF、玄武盾等。 我们回顾一下11月的必修漏洞： 01IP-guardWebServer远程命令执行漏洞 ▲漏洞公告：安恒信息CERT监测到IP-guardWebServer远程命令执行漏洞。该漏洞POC已在互联网公开。由于IP-guard的view.php文件的page参数没有正确地过滤用户输入，攻击者可以通过访问/ipg/static/appr/lib/flexpaper/php/view.php时修改page参数，使用管道符拼接恶意命令，导致执行任意命令。 安恒信息CERT已复现该漏洞。 ▲官方修复方案： 官方已发布新版本修复漏洞，建议尽快访问官网将组件IP-guard升级到4.81.0307.0或更高版本。 安恒信息回声实验室针对该漏洞，利用Sumap进行全球漏洞影响探测，生成如下漏洞对全球 国家的影响分布图，以及对国内的影响分布图： <本部分更多内容，包含多个本月重要漏洞以及该漏洞全球资产探测图>请参看完整版月报，感谢支持。 3.高关注漏洞 <本部分内容，包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报，感谢支持。 七、11月暗网情报 暗网情报服务是安恒信息依托安全运营能力中心威胁情报团队和暗网雷达平台为企业级客户提 供的一项专业安全服务。通过暗网雷达部署在全球30多个节点对暗网站点的自动化挖掘和7*24小时情报监测，实时对暗网中交易信息进行搜集分析,全面搜集及监控暗网中出现的新增泄露数据。以情报驱动安全事件窗口前移，为客户建设暗网数据泄露风险感知能力，可第一时间发现暗网数据泄露及黑灰产交易，推动客户及时处置，避免造成严重影响。 根据安恒信息应急响应中心（CERT）暗网数据显示，11月共监控暗网情报2443条，累计监测情报183394条，其中暗网站点测绘：2288个，监控站点34个。 <本部分内容，包含近期重点情报> 请参看完整版月报，感谢支持。 八、11月黑灰产情报 根据安恒信息数衍实验室数据显示，2023年1月至11月恶意网站增长趋势如图所示，11月总计新增恶意网站92万，较10月降幅16.7%。 ▲2023年1月至11月，每月新增恶意网站趋势 <本部分更多内容，请参看完整版月报，感谢支持> 九、安全数据说安全 11月，安恒信息研究院通过监测到的网络安全事件发现，黑客攻击与勒索软件团伙不仅造成了巨大的经济损失，而且导致重要的网络资源被破坏。 11月，安恒信息研究院猎影实验室的APT事件数据显示，Lazarus和Agrius组织最为活跃，以及多数APT组织将政府、军事、教育、科研等视为重要的网络攻击目标。 11月，安恒信息研究院猎影实验室的勒索事件数据显示，勒索软件攻击涉及政府部门、金融机构、教育机构、医疗卫生机构等行业，其中以针对政府部门的勒索事件比例最高。 11月，安恒信息研究院零壹实验室的暗链数据分析显示，累计165669个网站遭到暗链植入， 较10月份数据量涨幅146.3%；除去个人网站外，其中事业单位、企业占比较高。 11月，安恒信息应急响应中心联合安恒信息研究院卫兵实验室、析安实验室、回声实验室在