近日,明朝萬達安元實驗室發布了2021年第十一期《安全通告》。
該份報告收錄了今年11月最新的網絡安全前沿新聞和最新漏洞追蹤,其中重點內容包括:
網絡安全前沿新聞
研究團隊稱僵尸網絡 Pink 已感染超過 160 萬臺中國的設備
研究團隊在10月29日披露了在過去六年發現的最大僵尸網絡的細節。因為其大量的函數名稱以pink為首,所以取名Pinkbot。該僵尸網絡已感染了超過160萬臺設備,其中96%位于中國。它主要針對基于MIPS的光纖路由器,利用第三方服務的組合,例如GitHub、P2P網絡和C2服務器,還對部分域名的解析查詢采取了DNS-Over-HTTPS的方式。研究人員稱,迄今為止,PinkBot發起了近百次DDoS攻擊。
加州社區醫療中心CMC確認已泄露超過65萬患者的信息
加州的社區醫療中心CMC于10月15日發布聲明稱,他們在10月10日檢測到了一些異常的網絡活動。作為響應措施,該機構關閉了整個系統,并對異常網絡活動展開調查。11月2日,該機構發布了數據泄露通知,確認其泄露了656047個人的信息,其中包括姓名、醫療信息和社會安全碼等。CMC表示將為受影響的個人提供免費的身份盜用保護、身份盜用解決方案和信用監控服務。
Kaspersky發布2021年Q3垃圾郵件和釣魚活動的報告
11月1日,Kaspersky發布了2021年Q3垃圾郵件和釣魚活動的分析報告。報告指出,在2021年Q3,垃圾郵件在郵件總量中的占比再次下降,平均為45.47%,比Q2下降了1.09%。垃圾郵件的最大來源國仍然是俄羅斯(24.90%),其次是德國(14.19%)、中國(10.31%)和美國(9.15%)。該季度總共檢測到35958888個惡意郵件附件,比上季多了170萬個。Agensla(9.74%)再次成為垃圾郵件中最常見的惡意軟件,其次是Badun(6.89%)和Noon(5.19%)。
珠寶商Graff遭到Conti勒索攻擊,特朗普等人信息泄露
10月31日,每日郵報報道勒索團伙Conti攻擊了珠寶商Graff并竊取大量數據。目前,攻擊者已在暗網上公開了涉及唐納德·特朗普、奧普拉·溫弗瑞和大衛·貝克漢姆的69000份機密文件,作為樣本數據。并聲稱目前公開的信息涉及了該公司約11000個客戶,僅占其竊取的全部數據的1%。Conti的贖金非常高,約占受害者年收入的10%,而Graff在2019年的收入為4.5億英鎊。
CiscoTalos發布2021年Q3應急響應事件的分析報告
CiscoTalos在10月28日發布了2021年Q3應急響應事件的分析報告。報告指出,在2021年7月至10月期間,勒索軟件依然是本季度最主要的威脅,約占所有威脅的38%,還出現了許多新的勒索軟件家族ViceSociety、Hive、Karma、Grief、CryptBD和Thanos。電子郵件是最常見的初始感染媒介,而缺乏多因素身份驗證(MFA)成為企業安全的最大障礙之一。
歐洲網絡安全局ENISA發布2021年威脅態勢分析報告
歐洲網絡安全局ENISA在10月27日發布了2021年威脅態勢分析報告。報告確定了主要威脅、攻擊技術、值得注意的事件和相關趨勢,還提供了降低風險的建議。本報告主要討論了9種網絡安全威脅類別:勒索軟件、惡意軟件、加密劫持、電子郵件相關威脅、對數據的威脅、對可用性和完整性的威脅、虛假信息(錯誤信息)、非惡意威脅、和供應鏈攻擊。此外,報告指出,勒索軟件攻擊已成為主要威脅。
Facebook將關閉人臉識別系統并刪除數十億條記錄
Facebook的母公司Meta在周二宣布,將關閉已有十年歷史的人臉識別系統,并刪除超過10億用戶的面部識別模板。Facebook在2010年引入了面部識別功能,來自動標記照片和視頻名稱。而此次的終止計劃是因為該技術引發了持續的隱私和道德問題,美國的多個城市已經禁止使用該技術,如波士頓、舊金山、新奧爾良和明尼阿波利斯等。近年來,亞馬遜、微軟和IBM等科技公司都已停用或停止出售此類產品。
Robinhood平臺稱因遭到攻擊700萬客戶信息泄露
股票交易平臺Robinhood在11月8日發布公告,聲稱其遭到了網絡攻擊。攻擊發生在11月3日,攻擊者通過社會工程攻擊獲得了客戶支持系統的訪問權限,可能已經訪問了約700萬客戶的數據,涉及姓名、郵件地址、出生日期和郵政編碼等信息。此外,RobinHood表示他們還遭到了勒索,但并未提供有關勒索要求的細節信息。目前,該公司正在安全公司Mandiant的協助下對此事展開調查。
Detectify新研究發現SSL證書可能會泄露敏感信息
Detectify11月4日的最新研究發現,SSL證書可能會泄露敏感信息。自7月份以來,Detectify已經收集和分析了超過9億個公共SSL/TLS證書,并發現其中存在的“陷阱”可能會泄露公司的機密信息。絕大多數新認證的域都被賦予了描述性名稱,如果證書是在公開前的開發階段頒發的,可能讓競爭對手有時間在新產品進入市場之前進行破壞。此外,通配符證書可能會受到ALPACA攻擊的影響。
Intel471發布針對交通運輸行業的攻擊的分析報告
Intel471在11月2日發布了針對交通運輸行業的攻擊的分析報告。研究人員發現,大量黑客在暗網出售運輸和物流組織的訪問權限,并推斷他們是利用遠程訪問解決方案(包括遠程桌面協議RDP、VPN、Citrix和SonicWall等)中的漏洞獲得的。報告指出,物流行業逐漸成為攻擊目標,攻擊可能會對全球經濟造成嚴重的連鎖反應,一次成功的攻擊可能會使整個行業停滯,因此相關組織要主動修復漏洞以避免此類攻擊。
PositiveTechnologies發布Rootkit演變趨勢報告
PositiveTechnologies在11月3日發布了Rootkit的演變趨勢和當前威脅的分析報告。研究人員分析了近10年最著名的16個rootkit家族,發現其中的44%用于攻擊政府機構,77%被用于網絡間諜活動。此外,rootkit很難開發,需要花費很多時間和金錢,因此大多數基于rootkit的攻擊都與APT組織有關。所有的rootkit中38%屬于內核模式,31%是用戶模式,31%是組合類型,且大部分針對Windows系統。
CyberX9稱印度證券機構CDSL4390萬用戶信息泄露
安全團隊CyberX9在11月7日披露印度證券托管機構CDSL的4390萬用戶信息泄露。早在十月初,研究人員發現CDSL存在嚴重的漏洞,可泄露4390萬投資者的個人信息和財務數據。10月26日,漏洞已被修復。但是,研究人員于10月29日發現新的補丁可以輕易地被繞過,依然可以泄露4390萬人的數據。此次泄露的信息可以追溯到2005年左右注冊的用戶,由于此類數據的敏感度較高,如果落入攻擊者手中對用戶來說可能是致命的。
F5發布關于數字化轉型所面臨危險的分析報告
11月5日,F5發布了關于數字化轉型所面臨危險的分析報告。專注于數字轉型的組織需要將不同的應用程序、系統和服務拼接成無縫的數字體驗,也就是說組織已經接受了API。研究人員估計,如今公共和私有API的總量接近2億,到2031年這一數字可能會達到數十億。而API的擴張給運營和安全方面帶來了挑戰,例如隨著API數量和應用復雜性的增加,追蹤API的位置變得困難;以及API的頻繁更新會導致版本和文檔出現問題等。
Kaspersky發布2021年Q3DDoS攻擊的分析報告
Kaspersky在11月8日發布了2021年Q3DDoS攻擊的分析報告。報告指出,與上一季度和去年相比,第三季度的攻擊數量顯著增加。其中美國遭到的DDoS攻擊最多(40.80%),其次是中國香港(15.07%)和中國(7.74%)。第三季度單日的DDoS攻擊次數打破了之前的所有記錄:8月18日有8825次攻擊,8月21日和22也有超過5000次。大多數DDoS攻擊采取了SYN泛洪的形式,而大多數僵尸網絡C&C服務器位于美國(43.44%)。
網信辦發布《網絡數據安全管理條例(征求意見稿)》
國家網信辦于11月14日發布了《網絡數據安全管理條例(征求意見稿)》的公開征求意見通知。截至今年6月,我國網民規模達10.11億,由此產生的網絡數據量更是天文數字。該條例規范網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全和公共利益。中國互聯網協會法工委副秘書長胡鋼指出,這是新時代規范互聯網平臺企業,強化反壟斷和資本無序擴張的應有之義,也是維護國家安全、保護社會公共利益的需要。
CheckPoint發布2021年10月全球威脅指數報告
CheckPoint在近期發布了2021年10月全球威脅指數報告。報告指出,Trickbot仍位居惡意軟件榜單之首,影響了全球4%的組織,其次是XMRig(3%)和Remcos(2%);教育和研究行業是全球受攻擊最多的行業,其次是通信行業,以及政府和軍事組織;最常見的漏洞是Web服務器URL目錄遍歷漏洞,包括CVE-2010-4598和CVE-2011-2474等;xHelper仍然是最常見的移動惡意軟件,其次是AlienBot和XLoader。
AppGallery中多款游戲應用存在木馬,已感染900多萬設備
11月23日,Dr.Web的研究人員披露華為應用商店AppGallery中的190款游戲中存在木馬Android.Cynos.7.origin,已安裝約9300000次。該木馬是惡意軟件Cynos的變體,旨在收集用戶的信息。這些游戲主要使用俄語、中文和英語,其中游戲“快點躲起來”的下載量高達2000000次。研究人員稱,該木馬可發送和攔截短信、下載和啟動其它模塊,以及下載和安裝其他應用。目前,華為公司已將這些游戲下架。
Kaspersky發布2022年ICS和工業行業威脅的預測報告
Kaspersky于11月23日發布了2022年ICS和工業行業威脅的預測報告。報告指出,在未來攻擊者可能會減少每次攻擊的目標數量,縮短惡意軟件的生命周期并最大限度地減少惡意基礎設施的使用。此外,報告表示以下攻擊策略和技術無疑將在來年被積極利用:釣魚攻擊、將硬件中的已知漏洞作為滲透媒介、利用操作系統組件和IT產品中的零日漏洞、入侵域名注冊商和認證機構以及針對供應商的攻擊。
WSpot公司因AWS存儲桶配置錯誤泄露250萬用戶信息
安全公司SafetyDetectives發現巴西軟件公司WSpot已泄露超過250萬用戶的信息。WSpot的產品可用于企業保護其內部的WiFi網絡,并提供無密碼的在線訪問,該公司的客戶包括Sicredi、必勝客和Unimed等。研究人員于9月2日發現WSpot配置錯誤的AmazonWebServicesS3存儲桶泄露了10GB的數據,并于9月7日通知WSpot。WSpot表示此事件影響了其5%的客戶群,已在11月18日修復完成。
