2023年7月安恒信息網(wǎng)絡(luò)安全月報(bào)(精簡版)

本報(bào)告為精簡版，更多精彩請查看完整版，感謝您的支持！完整版可以咨詢您所在地區(qū)安恒銷售，或致電：

400

6059

110

轉(zhuǎn)

4杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊目錄前言...........................................................................................................................................................II一、7

月重大安全事件...........................................................................................................................

11.勒索軟件

LockBit3.0

針對日本名古屋港發(fā)起攻擊...............................................................12.HCA

醫(yī)療遭遇黑客攻擊，泄露

1100

萬患者敏感信息......................................................13.微軟：未打補(bǔ)丁的

Office

零日漏洞在北約峰會(huì)攻擊中被利用..........................................24.武漢地震監(jiān)測中心遭網(wǎng)絡(luò)攻擊！黑手疑來自美國..................................................................25.TikTok

未修漏洞節(jié)省數(shù)千萬美元，1

年后在海外大選期間遭利用....................................3二、7

月

APT

威脅.................................................................................................................................

31.APT

威脅攻擊綜述.....................................................................................................................

32.APT

組織情報(bào).............................................................................................................................4三、7

月勒索攻擊...................................................................................................................................

41.勒索攻擊綜述...............................................................................................................................42.勒索團(tuán)伙/軟件.............................................................................................................................

5四、7

月挖礦情報(bào)...................................................................................................................................

5五、7

月暗鏈情報(bào)...................................................................................................................................

7六、7

月漏洞情報(bào)...................................................................................................................................

71.漏洞情報(bào)數(shù)據(jù)...............................................................................................................................72.必修漏洞.......................................................................................................................................83.高關(guān)注漏洞.................................................................................................................................10七、7

月黑灰產(chǎn)情報(bào).............................................................................................................................

10八、安全數(shù)據(jù)說安全............................................................................................................................

11杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊前言2023

年

7

月，國內(nèi)外影響面較廣的網(wǎng)絡(luò)安全事件陸續(xù)發(fā)生。本月數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊依舊引發(fā)高關(guān)注。HCA

醫(yī)療遭遇黑客攻擊，泄露

1100

萬患者敏感信息；北約組織遭到黑客攻擊，泄露了近

1GB

的數(shù)據(jù)，包括數(shù)百份供北約國家和合作伙伴使用的敏感文件，其中還包含至少

70

名北約官員個(gè)人信息。黑客的攻擊無孔不入，泄露的信息可能會(huì)被加以利用，有非常大的安全隱患。TikTok

未修漏洞節(jié)省數(shù)千萬美元，后果是多達(dá)

70

萬個(gè)土耳其

TikTok

賬戶遭到黑客攻擊；微軟公布，未打補(bǔ)丁的

Office

零日漏洞在北約峰會(huì)攻擊中被利用。政治舞臺上，網(wǎng)絡(luò)安全攻擊手段層出不窮，沒有硝煙的安全之戰(zhàn)，任重道遠(yuǎn)。杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊一、7

月重大安全事件1.勒索軟件

LockBit3.0

針對日本名古屋港發(fā)起攻擊時(shí)間：2023

年

7

月

5

日概述：日本最大、最繁忙的港口名古屋港在

7

月

4

日當(dāng)?shù)貢r(shí)間凌晨

06:30

左右發(fā)生勒索攻擊，影響了集裝箱碼頭的運(yùn)營。該港口的貿(mào)易量約占日本總貿(mào)易量的

10%。它經(jīng)營

21

個(gè)碼頭和

290

個(gè)泊位。它每年處理超過

200萬個(gè)集裝箱和

1.65

億噸貨物。全球最大的汽車制造商之一豐田汽車公司也利用該港口出口其大部分汽車。影響：名古屋港務(wù)局曾處理過網(wǎng)絡(luò)攻擊，但看來這次的影響最大。所有使用拖車在碼頭進(jìn)行的集裝箱裝卸作業(yè)均已取消，給港口造成了巨大的財(cái)務(wù)損失，并嚴(yán)重?cái)_亂了進(jìn)出日本的貨物流通。參考鏈接：/news/security/japans-largest-port-stops-operations-after-ransomware-attack/2.HCA

醫(yī)療遭遇黑客攻擊，泄露

1100

萬患者敏感信息時(shí)間：2023

年

7

月

5

日概述：Security

Affairs

網(wǎng)站披露，HCA

醫(yī)療公司披露了一起網(wǎng)絡(luò)攻擊事件，約

1100

萬患者的個(gè)人信息遭到泄露。威脅攻擊者發(fā)布了包括患者姓名、城市、州和郵政編碼、電子郵件、電話號碼、出生日期、性別以及服務(wù)日期、地點(diǎn)和下次預(yù)約日期等部分患者敏感個(gè)人信息。據(jù)悉，泄露的患者信息是從一個(gè)外部存儲位置流出，該存儲位置專門用于自動(dòng)格式化電子郵件信息。影響：HCA

Healthcare

指出泄露列表包含約

2700

萬行數(shù)據(jù)，其中可能包括約

1100

萬

HCA

Healthcare患者的個(gè)人信息。為應(yīng)對此次患者數(shù)據(jù)泄露事件，HCA

Healthcare

禁止用戶訪問存儲位置，但是向患者和社區(qū)提供的護(hù)理和服務(wù)沒有中斷。根據(jù)目前已知的信息，HCA

公司認(rèn)為此次患者信息泄露事件不會(huì)對其業(yè)務(wù)或財(cái)務(wù)業(yè)績造成重大影響，也未對其日常運(yùn)營造成任何影響。參考鏈接：/news/371818.html杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊3.微軟：未打補(bǔ)丁的

Office

零日漏洞在北約峰會(huì)攻擊中被利用時(shí)間：2023

年

7

月

11

日概述：微軟今天披露了多個(gè)

Windows

和

Office

產(chǎn)品中存在未修補(bǔ)的零日安全漏洞，該漏洞被廣泛利用以通過惡意

Office

文檔獲取遠(yuǎn)程代碼執(zhí)行。未經(jīng)身份驗(yàn)證的攻擊者可以在需要用戶交互的高復(fù)雜性攻擊中利用該漏洞（

跟

蹤

為

CVE-2023-36884

）

。

最

近

針

對

參

加

立

陶

宛

維

爾

紐

斯

北

約

峰

會(huì)

的

組

織

的

攻

擊

利

用

了CVE-2023-36884

漏洞。攻擊者使用冒充烏克蘭世界大會(huì)組織的惡意文檔，來安裝惡意軟件有效負(fù)載，包括MagicSpell

加載程序和

RomCom

后門。影響：如果成功利用該漏洞，攻擊者可以通過制作旨在利用該漏洞的惡意

.docx

或

.rtf

文檔來進(jìn)行基于遠(yuǎn)程代碼執(zhí)行

(RCE)

的攻擊。該攻擊者于

2023

年

6

月檢測到的最新活動(dòng)涉及濫用

CVE-2023-36884，以提供與

RomCom

類似的后門。RomCom

是一個(gè)總部位于俄羅斯的網(wǎng)絡(luò)犯罪組織（也被追蹤為

Storm-0978），以從事勒索軟件和勒索攻擊以及專注于竊取憑據(jù)的活動(dòng)而聞名，這些活動(dòng)可能旨在支持情報(bào)行動(dòng)。處置：微軟表示將通過每月發(fā)布流程或帶外安全更新為客戶提供補(bǔ)丁。當(dāng)前可以采用一些緩解措施。參考鏈接：/news/security/microsoft-unpatched-office-zero-day-exploited-in-nato-summit-attacks/4.武漢地震監(jiān)測中心遭網(wǎng)絡(luò)攻擊！黑手疑來自美國時(shí)間：2023

年

7

月

24

日概述：24

日，武漢市應(yīng)急管理局發(fā)布聲明稱，該局所屬武漢市地震監(jiān)測中心遭受境外組織的網(wǎng)絡(luò)攻擊：發(fā)現(xiàn)了源于境外的木馬程序，該木馬程序能非法控制并竊取地震速報(bào)前端臺站采集的地震烈度數(shù)據(jù)。影響：該行為對國家安全構(gòu)成嚴(yán)重威脅。這是繼

2022

年

6

月份西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊后又一具體案例。國家計(jì)算機(jī)病毒應(yīng)急處理中心和

360

公司組成的專家組發(fā)現(xiàn)，此次網(wǎng)絡(luò)攻擊行為由境外具有政府背景的黑客組織和不法分子發(fā)起，初步證據(jù)顯示對武漢市地震監(jiān)測中心實(shí)施網(wǎng)絡(luò)攻擊來自美國。參考鏈接：/articles/57088杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊5.TikTok

未修漏洞節(jié)省數(shù)千萬美元，1

年后在海外大選期間遭利用時(shí)間：2023

年

7

月

26

日概述：土耳其總統(tǒng)埃爾多安險(xiǎn)勝連任的幾周前，TikTok

代理安全主管

Kim

Albarella

收到一條壞消息：多達(dá)70

萬個(gè)土耳其

TikTok

賬戶遭到黑客攻擊，攻擊者能夠訪問用戶個(gè)人信息并控制他們的賬戶。該公司早在一年前就知道這個(gè)漏洞，該漏洞源于所謂的“灰色路由”，

灰色路由通過不安全的渠道發(fā)送短信，從而繞過國際電信協(xié)議規(guī)定的費(fèi)用，即通過不安全的渠道發(fā)送短信。影響：TikTok

公司承認(rèn)，這次利用漏洞的黑客攻擊是迄今為止規(guī)模最大的

TikTok

賬戶被攻擊事件。處置：該公司最終決定不予更換短信服務(wù)提供商，因?yàn)?，如修?fù)灰色路由問題，公司每月將損失數(shù)百萬美元。TikTok

發(fā)言人

Alex

Haurek

撰寫電子郵件，回應(yīng)對這次攻擊：TikTok

發(fā)現(xiàn)數(shù)據(jù)泄露后，立即對不真實(shí)行為加強(qiáng)監(jiān)控，努力化解問題。目前問題已得到解決。TikTok

沒有發(fā)現(xiàn)任何未經(jīng)授權(quán)的內(nèi)容被發(fā)布或用于私信。建議：TikTok

是世界上最受歡迎的應(yīng)用之一。這次安全漏洞凸顯了該公司擁有的力量和應(yīng)承擔(dān)的責(zé)任。使用灰色路由可以節(jié)約公司成本，避開速率限制和反垃圾郵件檢測。但是，這樣做可能會(huì)危及信息安全，使信息易受攔截。企業(yè)和公司要對自己有更嚴(yán)厲的安全要求，保護(hù)用戶的數(shù)據(jù)安全。參考鏈接：/articles/57110二、7

月

APT

威脅1.APT

威脅攻擊綜述<本部分綜述內(nèi)容，可以參看完整版報(bào)告，謝謝支持>安恒信息獵影實(shí)驗(yàn)室通過國內(nèi)外安全廠商、安全組織

2023

年

7

月份針對于

APT

事件披露情況分析，近期活躍的

APT

組織有

APT29、APT28、APT37、BlueNorOff、Charming

Kitten、Gamaredon、Ghostwriter、Kimsuky、Konni、Lazarus、Molerats、SideCopy、TransparentTribe、Turla

等，其中當(dāng)屬

APT29

組織收錄的攻擊事件居多。杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊▲7

月

APT

組織發(fā)起攻擊占比圖<本部分更多內(nèi)容，包含本月活躍

APT

組織攻擊地域、行業(yè)分布圖>2.APT

組織情報(bào)<本部分內(nèi)容，包含本月活躍

APT

組織畫像、攻擊事件>請參看完整版月報(bào)，感謝支持。三、7

月勒索攻擊1.勒索攻擊綜述<本部分綜述內(nèi)容，可以參看完整版報(bào)告，謝謝支持>根據(jù)安恒信息獵影實(shí)驗(yàn)室

2023

年

7

月的勒索事件數(shù)據(jù)顯示，勒索軟件攻擊涉及文化藝術(shù)、安全、電子信息、教育、軍事、旅游等行業(yè)，其中以針對文化行業(yè)的勒索事件比例最高。杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊▲7

月勒索軟件攻擊行業(yè)比例<本部分更多內(nèi)容，包含本月勒索軟件事件比例>2.勒索團(tuán)伙/軟件<本部分內(nèi)容，包含本月活躍勒索團(tuán)伙畫像、勒索事件>請參看完整版月報(bào)，感謝支持。四、7

月挖礦情報(bào)根據(jù)安恒信息獵影實(shí)驗(yàn)室針對

2023

年

7

月的挖礦數(shù)據(jù)分析，其中行業(yè)挖礦行為主要分布在政府、教育、金融、通信、IT

等行業(yè)，其他行業(yè)也存在一定的挖礦行為。杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊▲2023

年

7

月挖礦行業(yè)分布占比圖同時(shí)，安恒信息獵影實(shí)驗(yàn)室在針對

2023

年

7

月期間的挖礦數(shù)據(jù)分析發(fā)現(xiàn)，活躍的礦池地址主要分布在境外，其中新加坡最多?！?023

年

7

月活躍礦池

TOP

20杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊五、7

月暗鏈情報(bào)根據(jù)安恒信息零壹實(shí)驗(yàn)室針對

2023

年

7

的暗鏈數(shù)據(jù)分析，累計(jì)

49078

個(gè)網(wǎng)站遭到暗鏈植入，較

6

月份數(shù)據(jù)量下降。在被植入暗鏈的網(wǎng)站中，企業(yè)最多，占比

91.6%。除去企業(yè)，其他遭受暗鏈植入的網(wǎng)站類型的分布情況如下圖?！?023

年

7

月遭到暗鏈植入的網(wǎng)站類型（除去企業(yè)）<本部分更多內(nèi)容，包含本月被植入暗鏈的地域分布情況>請參看完整版月報(bào)，感謝支持。六、7

月漏洞情報(bào)1.漏洞情報(bào)數(shù)據(jù)根據(jù)安恒信息衛(wèi)兵實(shí)驗(yàn)室針對

2023

年

7

月的漏洞數(shù)據(jù)，利用安恒內(nèi)部評級分析顯示，本月新增公開漏洞中，一級、二級危險(xiǎn)等級較高的漏洞占比

38%，評級占比圖如下：杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊▲2023

年

7

月針對全網(wǎng)公開漏洞的安恒漏洞評級占比圖安恒重點(diǎn)監(jiān)測的在野漏洞評級占比如下：▲2023

年

7

月新增在野漏洞的安恒漏洞評級占比圖<本部分更多內(nèi)容，包含本月新增漏洞類型、1-6

月漏洞新增趨勢圖>2.必修漏洞必修漏洞是安恒信息回聲實(shí)驗(yàn)室通過網(wǎng)空測繪方式，基于漏洞對應(yīng)的資產(chǎn)在中國的使用量，以及漏洞的危害程度，綜合評估的漏洞列表。杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊安恒信息析安實(shí)驗(yàn)室針對

7

月份的必修漏洞，已有相應(yīng)策略，覆蓋安恒信息產(chǎn)品有：遠(yuǎn)程安全評估、EDR、IDC、云鑒、遠(yuǎn)程安全評估、webscan7、AiNTA、APT

等。我們回顧一下

7

月的必修漏洞：01

GitLab

EE

存在越權(quán)訪問漏洞(CVE-2023-3484)▲

漏洞公告：近日，安恒信息

CERT

監(jiān)測到

GitLab

EE

存在越權(quán)訪問漏洞(CVE-2023-3484)，目前技術(shù)細(xì)節(jié)及

PoC

未公開。通過該漏洞，攻擊者可以越權(quán)更改公共頂級組的名稱或路徑。該產(chǎn)品主要使用客戶行業(yè)分布廣泛，基于

CVSS3.1

評分該漏洞需具備一定前置條件，漏洞危害性較高，建議客戶盡快做好自查及防護(hù)?！?/p>

官方補(bǔ)?。?install/▲

漏洞編號：CVE-2023-3484安恒信息回聲實(shí)驗(yàn)室針對該漏洞，利用

Sumap

進(jìn)行全球漏洞影響探測，生成如下漏洞對全球國家的影響分布圖，以及對國內(nèi)的影響分布圖：杭州安恒信息技術(shù)股份有限公司安恒信息網(wǎng)絡(luò)安全月報(bào)-2023

年

7

月刊<本部分更多內(nèi)容，包含多個(gè)本月重要漏洞以及該漏洞全球資產(chǎn)探測圖>請參看完整版月報(bào)，感謝支持。3.高關(guān)注漏洞<本部分內(nèi)容，包含安恒應(yīng)急響應(yīng)中心發(fā)布的本月高關(guān)注漏洞情況>請參看完整版月報(bào)，感謝支持。七、7

月黑灰產(chǎn)情報(bào)根據(jù)安恒信息神盾局?jǐn)?shù)據(jù)顯示，2023

年

1

月至

7

月惡意網(wǎng)站