2023年10月安恒信息网络安全月报(精简版)

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 完整版可以咨询您所在地区安恒销售，或致电：4006059110转4 目录 前言II 一、10月重大安全事件1 1.Facebook官方页面被黑！喊话要求释放巴基斯坦前总理1 2.超140亿元资金失窃？印度一支付网关服务被黑，损失创纪录1 3.巨头公司Okta再遭黑客重创，市值蒸发20亿美元2 4.思科安全漏洞：40,000台设备遭黑客攻击，美国成重灾区2 二、10月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报3 三、10月勒索攻击3 1.勒索攻击综述4 2.勒索团伙/软件4 四、10月挖矿情报4 五、10月暗链情报6 �、10月漏洞情报7 1.漏洞情报数据7 2.必修漏洞8 3.高关注漏洞9 七、10月黑灰产情报9 八、安全数据说安全10 前言 2023年10月，国内外影响面较广的网络安全事件陆续发生。本月多巨头公司遭遇网络攻击，引发高关注。 Facebook官方页面被黑，发布一些奇怪言论，虽已尽快得到控制，但是已造成大众对网络安全问题的担忧；印度一支付网关服务提供商被黑客窃取资金，多数已转移至海外账户。另外，思科安全漏洞被利用，影响设备超40000台；巨头公司Okta遭到黑客重创，黑客利用被盗的凭据潜入Okta的支持案例管理系统，窃取更多信息。 网络犯罪威胁不断增长，即使是成熟的身份管理提供商，在确保其系统和客户数据的安全和隐私方面也面临挑战。无论是企业还是个人，都应该在网络安全问题上，保持高度警惕。 一、10月重大安全事件 1.Facebook官方页面被黑！喊话要求释放巴基斯坦前总理 时间：2023年10月6日 概述：Facebook的官方页面遭到黑客攻击，页面上出现一些奇怪的内容，这些帖子专注于批评印度板球控 制委员会（BCCI）没有向巴基斯坦板球迷发放国际板球联合会世界杯比赛签证，以及包括要求释放巴基斯坦前总理伊姆兰·汗的帖子。 影响：成千上万的用户已经看到了这些帖子，引发了人们对Facebook账户和页面安全的严重担忧。 处置：该社交网络立即删除了所有帖子，并发布官方声明，通知用户该页面已被盗用。同时，该平台已对事件展开调查，并采取措施增强页面的安全性。 建议：没有任何平台或组织可以免受网络攻击。因此，用户必须习惯使用强密码，最好是2FA，并避免对不同的帐户使用相同的密码。 参考链接：https://mp.weixin.qq.com/s/yEsIAnPRtHE907WB3DKf0g 2.超140亿元资金失窃？印度一支付网关服务被黑，损失创纪录 时间：2023年10月11日 概述：黑客成功入侵印度支付网关服务提供商Safexpay公司（STPL）账户，窃取了超过1618亿卢比（约合人民币141.84亿元，19.44亿美元）资金。 影响：警方发现一张至少由260个账户构成的网络。这些账户分散在各个银行，警方对这260个账户展开初 步调查，发现约1600亿卢比（约20亿美元）遭大规模挪用，其中相当一部分被转移到国外账户。 建议：STPL网络攻击并不是单一事件，它反映了印度网络犯罪威胁不断增长的现实。此类事件说明，数字领域迫切需要加强网络安全措施、提高警惕。 参考链接：https://www.secrss.com/articles/59553 3.巨头公司Okta再遭黑客重创，市值蒸发20亿美元 时间：2023年10月20日 概述：提供多因素身份验证和单点登录等身份服务的Okta披露了一个涉及未经授权访问其客户支持系统的 安全漏洞。当黑客利用被盗的凭据潜入Okta的支持案例管理系统时，他们可以查看某些客户上传的文件，以进行故障排除。这些文件，通常是敏感的HTTPArchive（HAR）文件，因为它们可能包含客户的cookie和会话令牌，这些cookie和令牌可能被用来模拟有效用户。 影响：Okta是全球领先的企业级身份与访问管理解决方案提供商，拥有18000多名客户。此次Okta的股 价暴跌逾11%，其市值已下跌20多亿美元，约1%的客户受到影响，尽管Okta没有透露受影响客户的确切人数。这起事件也让人们关注Okta的安全措施，尤其是在2022年发生类似漏洞后，黑客成功窃取了Okta的一些源代码，并访问了该公司的内部网络。 建议：即使是成熟的身份管理提供商，在确保其系统和客户数据的安全和隐私方面也面临挑战。也提醒人们， 现代企业面临着复杂的威胁，强有力的网络安全措施对于保护敏感数据和系统免遭未经授权的访问，至关重要。参考链接：https://mp.weixin.qq.com/s/TzZM-h5VJjxdRUre11zP3A 4.思科安全漏洞：40,000台设备遭黑客攻击，美国成重灾区 时间：2023年10月24日 概述：超过40000个CiscoIOSXE设备在利用最近披露的关键漏洞CVE-2023-20198的攻击中受到攻 击。LeakIX的研究人员使用思科Talos发布的入侵指标（IOC），发现了约3万台思科IOSXE设备（路由器、交换机、VPN）通过利用CVE-2023-20198感染，这不包括重新启动的设备。 影响：大多数受感染的设备在美国、菲律宾、智利和墨西哥。攻击者可以利用该漏洞获取管理员权限并接管 易受攻击的路由器。利用该漏洞，未经身份验证的远程攻击者可以在受影响的系统上创建具有15级访问权限的帐户，还可以使用该帐户控制受影响系统。 处置：研究人员敦促各组织使用IOSXE系统，来确定其系统是否受到了损害。 参考链接：https://mp.weixin.qq.com/s/9ErD5H_t0FvPmJAUBaweVA 二、10月APT威胁 1.APT威胁攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 安恒信息猎影实验室通过国内外安全厂商、安全组织2023年10月份针对于APT事件披露情况分析，近期活跃的APT组织有Turla、Confucius、APT34、APT37、AtlasCross、Gamaredon、Grayling、Konni、Lazarus、Redfly、Sandman、Sandworm、ToddyCat等，其中当属Turla和Confucius组织收录的攻击事件居多。 ▲10月APT组织发起攻击占比图 <本部分更多内容，包含本月活跃APT组织攻击地域、行业分布图> 2.APT组织情报 <本部分内容，包含本月活跃APT组织画像、攻击事件>请参看完整版月报，感谢支持。 三、10月勒索攻击 1.勒索攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 根据安恒信息猎影实验室2023年10月的勒索事件数据显示，勒索软件攻击涉及政府部门、广告、交通运输、信息技术、医疗卫生等行业，其中以针对政府部门的勒索事件比例最高。 ▲10月勒索软件攻击行业比例 <本部分更多内容，包含本月勒索软件事件比例> 2.勒索团伙/软件 <本部分内容，包含本月活跃勒索团伙画像、勒索事件>请参看完整版月报，感谢支持。 四、10月挖矿情报 根据安恒信息猎影实验室针对2023年10月的挖矿数据分析，其中行业挖矿行为主要分布在政府、教育、能源、通信等行业，其他行业也存在一定的挖矿行为。 ▲2023年10月挖矿行业分布占比图 同时，安恒信息猎影实验室在针对2023年10月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中法国最多。 ▲2023年10月活跃矿池TOP20 五、10月暗链情报 10月，通过优化ai检测算法，以及投入更多的GPU资源用于检测，本月新增数据有质的提升。根据安恒信息零壹实验室针对2023年10的暗链数据分析，累计67254个网站遭到暗链植入，较 9月份数据量涨幅94.4%。其中10月新增37998个在以往从未检测到的全新暗链数据，较9月新 增的5726个高出6.6倍多。在被植入暗链的网站中，企业最多，占比89.1%。除去企业，其他遭受暗链植入的网站类型的分布情况如下图。 ▲2023年10月遭到暗链植入的网站类型（除去企业） <本部分更多内容，包含本月被植入暗链的地域分布情况>请参看完整版月报，感谢支持。 �、10月漏洞情报 1.漏洞情报数据 根据安恒信息卫兵实验室针对2023年10月的漏洞数据，利用安恒内部评级分析显示，本月新增公开漏洞中，一级、二级危险等级较高的漏洞占比9%，评级占比图如下： ▲2023年10月针对全网公开漏洞的安恒漏洞评级占比图 <本部分更多内容，包含本月新增漏洞类型、月漏洞新增趋势图> 2.必修漏洞 必修漏洞是安恒信息回声实验室通过网空测绘方式，基于漏洞对应的资产在中国的使用量，以及漏洞的危害程度，综合评估的漏洞列表。 安恒信息析安实验室针对10月份的必修漏洞，已有相应策略，覆盖安恒信息产品有：远程安全评估、EDR、IDC、云鉴、webscan7、AiNTA、APT、WAF、玄武盾等。 我们回顾一下10月的必修漏洞： 01ApacheActiveMQ远程命令执行漏洞 ▲漏洞公告：安恒信息CERT监测到ApacheActiveMQ组件存在远程命令执行漏洞的信息。目前技术细节及PoC已逐步公开。攻击者可以通过默认的61616服务端口发送特定请求可造成远程命令执行。安恒信息中央研究院已复现此漏洞。 ▲官方修复方案： 若在受影响区间，则升级ApacheActiveMQ至5.18.3及以上版本 下载链接：https://activemq.apache.org/components/classic/download/ 安恒信息回声实验室针对该漏洞，利用Sumap进行全球漏洞影响探测，生成如下漏洞对全球 国家的影响分布图，以及对国内的影响分布图： <本部分更多内容，包含多个本月重要漏洞以及该漏洞全球资产探测图>请参看完整版月报，感谢支持。 3.高关注漏洞 <本部分内容，包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报，感谢支持。 七、10月黑灰产情报 根据安恒信息数衍实验室数据显示，2023年1月至10月恶意网站增长趋势如图所示，10月总计新增恶意网站108万，较9月涨幅170%。10月份的灰产恶意网站涨幅巨大，新增77万。 ▲2023年1月至10月，每月新增恶意网站趋势 <本部分更多内容，请参看完整版月报，感谢支持> 八、安全数据说安全 10月，安恒信息研究院通过监测到的网络安全事件发现，黑客攻击不仅造成了巨大的经济损失，而且导致重要的网络资源被破坏。 10月，安恒信息研究院猎影实验室的APT事件数据显示，Turla和Confucius组织最为活跃，以及多数APT组织将通信、军事、能源等视为重要的网络攻击目标。 10月，安恒信息研究院猎影实验室的勒索事件数据显示，勒索软件攻击涉及政府部门、广告、交通运输、信息技术、医疗卫生等行业，其中以针对政府部门的勒索事件比例最高。 10月，安恒信息研究院零壹实验室的暗链数据分析显示，累计67254个网站遭到暗链植入， 较9月份数据量涨幅94.4%。其中10月新增37998个在以往从未检测到的全新暗链数据，较9月 新增的5726个高出6.6倍多。 10月，安恒信息应急响应中心联合安恒信息研究院卫兵实验室、析安实验室、回声实验室在本 次月报中，预警2个必修漏洞，漏洞类型为远程命令执行和权限提升，涉及业务应用服务等场景。 10月，安恒信息数衍实验室的黑灰产数据显示，恶意网站较9月涨幅170%，其中灰产恶意网站涨幅较大。 安恒信息研究院安全数据部下设猎影实验室、零壹实验室、析安实验室、回声实验室和数衍实验室，团队以数据分析与技术研究为核心，致力于数据驱动安全创造用户价值。