2023年12月安恒网络安全月报

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 完整版可以咨询您所在地区安恒销售，或致电：4006059110转4 目录 前言II 一、12月重大安全事件1 1.意大利云服务商Westpole遭遇勒索攻击，上千个政府机构服务中断、数据丢失1 2.大规模“断网”，乌克兰移动网络巨头Kyivstar遭黑客定向攻击1 3.美国最大牙科保险公司DeltaDental泄露近700万客户数据2 4.公开100GB数据，日产汽车遭勒索组织“撕票”2 二、12月APT威胁3 1.APT威胁攻击综述3 2.APT组织情报3 三、12月勒索攻击4 1.勒索攻击综述4 2.勒索团伙/软件4 四、12月挖矿情报5 五、12月暗链情报6 �、12月漏洞情报7 1.漏洞数据统计7 2.必修漏洞8 3.高关注漏洞9 八、12月黑灰产情报10 九、安全数据说安全10 前言 2023年12月，本月国内外多公司遭遇勒索攻击，引发高关注。 意大利云服务商Westpole遭遇勒索攻击，是意大利公共管理部门迄今为止遭受的最严重的网络攻击，很多公共管理部门和市政机构的服务瘫痪；乌克兰最大的移动网络运营商Kyivstar遭到网络攻击，相关网络服务瘫痪；日本汽车制造商日产汽车澳大利亚分公司的内部网络系统由于遭到Akira勒索软件团伙入侵，泄露100G数据。 勒索事件在未来仍会频繁发生，越来越多的勒索团伙渴望得到高关注，无论是企业还是个人，都应该在网络安全问题上，保持高度警惕。 一、12月重大安全事件 1.意大利云服务商Westpole遭遇勒索攻击，上千个政府机构服务中断、数据丢失 时间：2023年12月8日 概述：意大利云服务提供商Westpole在12月8日遭受网络攻击，此次事件殃及Westpole的客户、政务 服务商PADigitale。后者通过旗下Urbi平台为各地地方政府机构和组织提供服务。服务对象包括1300家公共管理机构，其中有540家为市政机构。 影响：Westpole事件是意大利公共管理部门迄今为止遭受的最严重的网络攻击。很多公共管理部门和市政 机构的服务瘫痪。为了继续提供服务，数家市政机构被迫回归人工模式。受影响的公共管理部门可能难以履行某些服务和员工义务。 处置：意大利国家网络安全局正在努力恢复受影响机构的数据。参考链接：https://www.secrss.com/articles/61962 2.大规模“断网”，乌克兰移动网络巨头Kyivstar遭黑客定向攻击 时间：2023年12月15日 概述：乌克兰最大的移动网络运营商Kyivstar遭到网络攻击，导致相关网络服务瘫痪。 影响：攻击导致该公司技术网络的基本服务被封锁，造成多项服务中断。乌克兰境内的所有区域都受到 Kyivstar服务中断的影响，首都区域影响最为严重，同时空袭警报网络和银行业也受到牵连。但是Kyivstar官方表示，用户的个人信息未受此次攻击事件影响。 处置：Kyivstar逐步恢复服务。 参考链接：https://www.freebuf.com/news/386760.html 3.美国最大牙科保险公司DeltaDental泄露近700万客户数据 时间：2023年12月18日 概述：据BleepingComputer消息，美国最大的牙科保险公司DeltaDental发布通告称，由于近期受MOVEitTransfer软件漏洞影响，近700万客户的个人信息已遭到泄露。 影响：该事件波及美国加州的6928932名客户，其姓名、财务帐号、信用卡/借记卡号、安全代码等均已泄 露。 处置：出于弥补，DeltaDental为受影响的客户提供24个月免费的信用监控和身份盗窃保护服务，以降低其数据泄露的风险，有关注册该计划的详细信息已包含在个人通知中。 参考链接：https://www.freebuf.com/news/386870.html 4.公开100GB数据，日产汽车遭勒索组织“撕票” 时间：2023年12月18日 概述：BleepingComputer网站消息，Akira勒索软件团伙声称成功入侵了日本汽车制造商日产汽车澳大利亚分公司的内部网络系统。 影响：Akira勒索软件团伙表示从日产汽车制造商的内部网络系统中窃取了约100GB的文件资料，包含其 员工个人信息的文档，以及NDA、项目、客户和合作伙伴信息等。如果日产汽车公司拒绝支付赎金，接下来会陆续把盗取的敏感业务和客户数据泄露到网上。 处置：日产汽车方面表示，目前公司仍在调查事件的影响以及个人信息是否被访问，已经在积极组织安全专 家团队，努力恢复受攻击影响的系统，公司也已经同步通知了澳大利亚和新西兰网络安全中心以及相关的隐私监管机构和执法机构。 参考链接：https://www.freebuf.com/articles/387640.html 二、12月APT威胁 1.APT威胁攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 安恒信息猎影实验室通过国内外安全厂商、安全组织2023年12月份针对于APT事件披露情况分析，近期活跃的APT组织有Lazarus、Konni、APT29、APT33、APT-C-56、BlueNoroff、Kimsuky、Sandworm、ScarCruft、Seedworm等，其中当属Lazarus组织收录的攻击事件居多。 ▲12月APT组织发起攻击占比图 <本部分更多内容，包含本月活跃APT组织攻击地域、行业分布图> 2.APT组织情报 <本部分内容，包含本月活跃APT组织画像、攻击事件>请参看完整版月报，感谢支持。 三、12月勒索攻击 1.勒索攻击综述 <本部分综述内容，可以参看完整版报告，谢谢支持> 根据安恒信息猎影实验室2023年12月收录的勒索事件数据显示，勒索软件攻击涉及服务、政府部门、金融、游戏、食品等行业，其中以针对服务行业的勒索事件比例最高。 ▲12月勒索软件攻击行业比例 <本部分更多内容，包含本月勒索软件事件比例> 2.勒索团伙/软件 <本部分内容，包含本月活跃勒索团伙画像、勒索事件>请参看完整版月报，感谢支持。 四、12月挖矿情报 根据安恒信息猎影实验室针对2023年12月的挖矿数据分析，其中行业挖矿行为主要分布在政府、教育、高科技、通信等行业，其他行业也存在一定的挖矿行为。 ▲2023年12月挖矿行业分布占比图 同时，安恒信息猎影实验室在针对2023年12月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中荷兰最多。 ▲2023年12月活跃矿池TOP20 五、12月暗链情报 安恒信息零壹实验室针对2023年12月暗链数据分析，累计170789个网站遭到暗链植入，较 11月份数据量涨幅3.09%。其中12月新增38610个在以往从未检测到的全新暗链数据。 在被植入暗链的网站中，企业最多，占比85.8%。除去企业，其他遭受暗链植入的网站类型的分布情况如下图。 ▲2023年12月遭到暗链植入的网站类型（除去企业） <本部分更多内容，包含本月被植入暗链的地域分布情况>请参看完整版月报，感谢支持。 �、12月漏洞情报 1.漏洞数据统计 根据安恒信息卫兵实验室针对2023年12月的漏洞数据，利用安恒内部评级分析显示，本月新增公开漏洞中，一级、二级危险等级较高的漏洞占比5%，评级占比图如下： ▲2023年12月针对全网公开漏洞的安恒漏洞评级占比图 <本部分更多内容，包含本月在野漏洞分级占比、新增漏洞类型、月漏洞新增趋势图> 2.必修漏洞 必修漏洞是安恒信息回声实验室通过网空测绘方式，基于漏洞对应的资产在中国的使用量，以及漏洞的危害程度，综合评估的漏洞列表。 安恒信息析安实验室针对12月份的必修漏洞，已有相应策略，覆盖安恒信息产品有：远程安全评估、EDR、IDC、云鉴、webscan7、AiNTA、APT、WAF、玄武盾等。 我们回顾一下12月的必修漏洞： 01ApacheStruts文件上传组件存在目录遍历漏洞(CVE-2023-50164) ▲漏洞公告：近日，安恒信息CERT监测到ApacheStruts文件上传组件存在目录遍历漏洞（CVE-2023-50164）。攻击者可以操纵文件上传参数来启用路径遍历，在某些情况下这可能会导致上传用于执行远程代码的恶意文件。安恒研究院卫兵实验室已复现此漏洞。 该产品主要使用客户行业分布广泛，漏洞危害性相对较高，建议客户尽快做好自查及防护。 ▲官方修复方案：官方已发布新版本修复漏洞，建议尽快升级到修复版本。https://cwiki.apache.org/confluence/display/WW/Version+Notes+6.3.0.2https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.33 安恒信息回声实验室针对该漏洞，利用Sumap进行全球漏洞影响探测，生成如下漏洞对全球 国家的影响分布图，以及对国内的影响分布图： <本部分更多内容，包含多个本月重要漏洞以及该漏洞全球资产探测图>请参看完整版月报，感谢支持。 3.高关注漏洞 <本部分内容，包含安恒应急响应中心发布的本月高关注漏洞情况>请参看完整版月报，感谢支持。 八、12月黑灰产情报 根据安恒信息数衍实验室数据显示，2023年1月至12月恶意网站增长趋势如图所示，12月新增恶意网站68万，较11月的92万降幅26.1%。 ▲2023年1月至12月，每月新增恶意网站趋势 <本部分更多内容，请参看完整版月报，感谢支持> 九、安全数据说安全 12月，安恒信息研究院通过监测到的网络安全事件发现，黑客攻击与勒索软件团伙不仅造成了巨大的经济损失，而且导致重要的网络资源被破坏。 12月，安恒信息研究院猎影实验室的APT事件数据显示，Lazarus和Konni组织最为活跃，以及多数APT组织将计算机、电信、服务业、国防等视为重要的网络攻击目标。 12月，安恒信息研究院猎影实验室的勒索事件数据显示，勒索软件攻击涉及金融、汽车、服务、 食品等行业，其中以针对服务业的勒索事件比例最高。 12月，安恒信息研究院零壹实验室的暗链数据分析显示，累计170789个网站遭到暗链植入，较11月份数据量涨幅3.09%；在被植入暗链的网站中，企业最多，占比85.8%。 12月，安恒信息应急响应中心联合安恒信息研究院卫兵实验室、析安实验室、回声实验室在本 次月报中，预警2个必修漏洞，漏洞类型为数据遍历和远程代码执行，涉及业务应用服务等场景。 12月，安恒信息数衍实验室的黑灰产数据显示，新增恶意网站68万，较11月的92万降幅 26.1%，其中网络赌博及网络色情依然占据较高比例。 安恒信息研究院下设猎影实验室、零壹实验室、析安实验室、回声实验室、卫兵实验室和数衍实验室，团队以数据分析与技术研究为核心，致力于数据驱动安全创造用户价值。