2023年9月安恒信息網(wǎng)絡(luò)安全月報(bào)(精簡版)

本報(bào)告為精簡版，更多精彩請查看完整版，感謝您的支持！完整版可以咨詢您所在地區(qū)安恒銷售，或致電：4006059110轉(zhuǎn)4前言 II一、9月重大安全事件 11.斯里蘭卡國家政務(wù)云被黑，近4個(gè)月數(shù)據(jù)丟失 12.烏克蘭黑客入侵俄羅斯航空巨頭，竊取超41億條乘客信息 13.贖金5100萬美元！國際自動(dòng)化巨頭江森自控遭勒索軟件攻擊致部分運(yùn)營中斷 24.索尼公司遭遇勒索攻擊：正緊急展開調(diào)查 2二、9月APT威脅 31.APT威脅攻擊綜述 32.APT組織情報(bào) 4三、9月勒索攻擊 41.勒索攻擊綜述 42.勒索團(tuán)伙/軟件 5四、9月挖礦情報(bào) 5五、9月暗鏈情報(bào) 7六、9月漏洞情報(bào) 81.漏洞情報(bào)數(shù)據(jù) 82.必修漏洞 83.高關(guān)注漏洞 10七、9月黑灰產(chǎn)情報(bào) 10八、安全數(shù)據(jù)說安全 102023年9月，國內(nèi)外影響面較廣的網(wǎng)絡(luò)安全事件陸續(xù)發(fā)生。本月數(shù)據(jù)泄露和勒索攻擊引發(fā)高關(guān)注。勒索攻擊方面，索尼公司遭遇RansomedVC的新型勒索攻擊組織攻擊，這是索尼在今年內(nèi)遭遇的第二次內(nèi)部數(shù)據(jù)泄露；江森自控國際公司遭受了大規(guī)模勒索軟件攻擊，影響了公司及其子公司的運(yùn)營。勒索事件會對企業(yè)造成了重大的影響，包括財(cái)務(wù)損失、聲譽(yù)受損和用戶信任的喪失等。數(shù)據(jù)泄露方面，斯里蘭卡國家政務(wù)云被黑，近4個(gè)月數(shù)據(jù)丟失；烏克蘭黑客入侵俄羅斯航空巨頭，竊取超41億條乘客信息。數(shù)據(jù)泄露會給用戶帶來潛在的安全隱患，也讓用戶喪失對企業(yè)的信任。在互聯(lián)網(wǎng)時(shí)代的數(shù)據(jù)使用上，切記要極大限度地保護(hù)自己的隱私安全，同時(shí)，企業(yè)更有責(zé)任和義務(wù)，保護(hù)我們的隱私數(shù)據(jù)安全。1.斯里蘭卡國家政務(wù)云被黑，近4個(gè)月數(shù)據(jù)丟失時(shí)間：2023年9月12日影響：斯里蘭卡信息與通信技術(shù)局首席執(zhí)行官M(fèi)aheshPerera估計(jì)，所有使用“gov.lk”電子郵件域名的電子郵件地址（5000個(gè)包括內(nèi)閣辦公室使用的地址處置：在遭受攻擊后，斯里蘭卡信息與通信技術(shù)局已經(jīng)開始采取措施增強(qiáng)“蘭卡政府云”安全性。具體措施包括啟動(dòng)每日離線備份例程，升級相關(guān)電子郵件應(yīng)用程序參考鏈接：/articles/587342.烏克蘭黑客入侵俄羅斯航空巨頭，竊取超41億條乘客信息時(shí)間：2023年9月26日概述：烏克蘭黑客聲稱已侵入俄羅斯公司Sirena-Travel的數(shù)據(jù)庫。該數(shù)據(jù)庫包含數(shù)億次航空旅行的信息以及乘客保險(xiǎn)以及其他個(gè)人數(shù)據(jù)。有關(guān)此次黑客攻擊的消息發(fā)布在黑客社區(qū)KibOrg的電報(bào)頻道上。他們聲稱Muppets是這次黑客攻擊的幕后黑手。SerenaTravel是俄羅斯最大的航空公司，提供機(jī)票預(yù)訂和銷售、文化娛樂場所、保險(xiǎn)單登記等服務(wù)。公司運(yùn)營國內(nèi)首個(gè)經(jīng)認(rèn)可的航空分銷系統(tǒng)（ADS）“SirenaTravel”，該系統(tǒng)是根據(jù)IATA（國際航空運(yùn)輸協(xié)會（IATA的建議開發(fā)的，為代理機(jī)構(gòu)提供預(yù)訂和銷售機(jī)票的接口，并為航空公司提影響：兩個(gè)數(shù)據(jù)庫包含了35億條乘客的電話號碼記錄和6.646億條個(gè)人信息記錄（包括航班號碼、路線、票價(jià)、機(jī)票價(jià)格等共41.646億條乘客數(shù)據(jù)被竊取，這些數(shù)據(jù)涵蓋2007年至2023年期間。黑客組織的一位消息人士指出，KibOrg并不打算公開整個(gè)數(shù)據(jù)庫。目前正在考慮兩種選擇：創(chuàng)建一個(gè)機(jī)器人來匯總數(shù)據(jù)庫數(shù)據(jù)以參考鏈接：/articles/592183.贖金5100萬美元！國際自動(dòng)化巨頭江森自控遭勒索軟件攻擊致部分運(yùn)營中斷時(shí)間：2023年9月26日服務(wù)器）進(jìn)行了加密，影響了公司及其子公司的運(yùn)營。江森擁有100,000名員工，包括York、Tyco、Luxaire、Coleman、Ruskin、Grinnel和Simplex，客戶遍布全影響：此次攻擊導(dǎo)致包括York、Simplex和Ruskin在內(nèi)的多家子公司面臨技術(shù)問題，各自網(wǎng)站登錄頁面控?cái)z像頭（構(gòu)成公共場所閉路電視系統(tǒng)的一部分）成為勒索軟件的受害者。另自控因利用MicrosoftSMB協(xié)議中的漏洞的勒索軟件攻擊而發(fā)布了產(chǎn)品安全公告，可能會影響某些Metasys安建議：勒索攻擊已是主流的網(wǎng)絡(luò)安全攻擊方式之一，企業(yè)應(yīng)該高度重視勒索軟件的風(fēng)險(xiǎn)，加強(qiáng)與安全廠商的參考鏈接：/articles/592914.索尼公司遭遇勒索攻擊：正緊急展開調(diào)查時(shí)間：2023年9月27日概述：一個(gè)名為RansomedVC的新型勒索攻擊組織宣稱已成功入侵了索尼公司的網(wǎng)絡(luò)系統(tǒng)，并非法竊取了超過3.14GB未壓縮數(shù)據(jù)。該組織表示：由于索尼公司不愿意配合道公開售賣這些“數(shù)據(jù)和訪問權(quán)限”。除了RansomedVC組織，另一個(gè)威脅組織MajorNelson也表示對此次攻利用文件傳輸軟件MOVEitTransfer的一個(gè)漏洞，竊取了索尼公司的部分重要數(shù)據(jù)。該攻擊事件對索尼造成了重處置：索尼公司目前回應(yīng)：正在緊急調(diào)查這起網(wǎng)絡(luò)攻擊事件，但目前尚未有明確的調(diào)查結(jié)果。參考鏈接：/articles/592691.APT威脅攻擊綜述<本部分綜述內(nèi)容，可以參看完整版報(bào)告，謝謝支持>安恒信息獵影實(shí)驗(yàn)室通過國內(nèi)外安全廠商、安全組織2023年9月份針對于APT事件披露情況分析，近期活躍的APT組織有APT37、Lazarus、TransparentTribe、APT28、Confucius、APT33、APT34、APT-C-23、CamouflageHunter、CharmingKitten等，其中當(dāng)屬APT37組織收錄的攻擊事件居多?！?月APT組織發(fā)起攻擊占比圖<本部分更多內(nèi)容，包含本月活躍APT組織攻擊地域、行業(yè)分布圖>2.APT組織情報(bào)<本部分內(nèi)容，包含本月活躍APT組織畫像、攻擊事件>請參看完整版月報(bào)，感謝支持。1.勒索攻擊綜述<本部分綜述內(nèi)容，可以參看完整版報(bào)告，謝謝支持>根據(jù)安恒信息獵影實(shí)驗(yàn)室2023年9月的勒索事件數(shù)據(jù)顯示，勒索軟件攻擊涉及醫(yī)療衛(wèi)生、政府、軍事、能源、水務(wù)等行業(yè)，其中以針對醫(yī)療衛(wèi)生的勒索事件比例最高?！?月勒索軟件攻擊行業(yè)比例<本部分更多內(nèi)容，包含本月勒索軟件事件比例>2.勒索團(tuán)伙/軟件<本部分內(nèi)容，包含本月活躍勒索團(tuán)伙畫像、勒索事件>請參看完整版月報(bào)，感謝支持。根據(jù)安恒信息獵影實(shí)驗(yàn)室針對2023年9月的挖礦數(shù)據(jù)分析，其中行業(yè)挖礦行為主要分布在政府、教育、能源、通信等行業(yè)，其他行業(yè)也存在一定的挖礦行為?！?023年9月挖礦行業(yè)分布占比圖同時(shí)，安恒信息獵影實(shí)驗(yàn)室在針對2023年9月期間的挖礦數(shù)據(jù)分析發(fā)現(xiàn)，活躍的礦池地址主要分布在境外，其中新加坡最多。▲2023年9月活躍礦池TOP20根據(jù)安恒信息零壹實(shí)驗(yàn)室針對2023年9的暗鏈數(shù)據(jù)分析，累計(jì)34604個(gè)網(wǎng)站遭到暗鏈植入，較8月份數(shù)據(jù)量漲幅47.8%。其中9月新增5726個(gè)在以往從未檢測到的全新暗鏈數(shù)據(jù)。在被植入暗鏈的網(wǎng)站中，企業(yè)最多，占比91.9%。除去企業(yè)，其他遭受暗鏈植入的網(wǎng)站類型的分布情況如下▲2023年9月遭到暗鏈植入的網(wǎng)站類型（除去企業(yè)）<本部分更多內(nèi)容，包含本月被植入暗鏈的地域分布情況>請參看完整版月報(bào)，感謝支持。根據(jù)安恒信息衛(wèi)兵實(shí)驗(yàn)室針對2023年9月的漏洞數(shù)據(jù)，利用安恒內(nèi)部評級分析顯示，本月新增公開漏洞中，一級、二級危險(xiǎn)等級較高的漏洞占比39%，評級占比圖如下：▲2023年9月針對全網(wǎng)公開漏洞的安恒漏洞評級占比圖<本部分更多內(nèi)容，包含本月新增漏洞類型、月漏洞新增趨勢圖>2.必修漏洞必修漏洞是安恒信息回聲實(shí)驗(yàn)室通過網(wǎng)空測繪方式，基于漏洞對應(yīng)的資產(chǎn)在中國的使用量，以及漏洞的危害程度，綜合評估的漏洞列表。安恒信息析安實(shí)驗(yàn)室針對9月份的必修漏洞，已有相應(yīng)策略，覆蓋安恒信息產(chǎn)品有：遠(yuǎn)程安全評估、EDR、IDC、云鑒、遠(yuǎn)程安全評估、webscan7、AiNTA、APT、WAF、玄武盾等。我們回顧一下9月的必修漏洞：01JumpServerSession未授▲漏洞公告：安恒信息CERT監(jiān)測到JumpServerSession未授權(quán)訪問漏洞(CVE-2023-42442)，目前技術(shù)細(xì)節(jié)及PoC已公開。在JumpServer受影響版本中，由于/api/v1/terminal/sessions/接口沒有添加權(quán)限認(rèn)證，未授權(quán)的攻擊者可以通過訪問/api/v1/terminal/sessions/?limit=1獲取Session，獲取堡壘機(jī)錄像文件▲官方修復(fù)方案：升級至v3.6.4，v3.5.5版本。升級后，訪問api$HOST/api/v1/terminal/sessions/?limit=1，則預(yù)期的http響應(yīng)代碼為401（not_authenticated）。安恒信息回聲實(shí)驗(yàn)室針對該漏洞，利用Sumap進(jìn)行全球漏洞影響探測，生成如下漏洞對全球國家的影響分布圖，以及對國內(nèi)的影響分布圖：<本部分更多內(nèi)容，包含多個(gè)本月重要漏洞以及該漏洞全球資產(chǎn)探測圖>請參看完整版月報(bào)，感謝支持。3.高關(guān)注漏洞<本部分內(nèi)容，包含安恒應(yīng)急響應(yīng)中心發(fā)布的本月高關(guān)注漏洞情況>請參看完整版月報(bào)，感謝支持。根據(jù)安恒信息神盾局?jǐn)?shù)據(jù)顯示，2023年1月至9月惡意網(wǎng)站增長趨勢如圖所示，由于4月新增了數(shù)據(jù)源，使得數(shù)據(jù)激增，當(dāng)前已回到正常收集范圍。9月份的色情、網(wǎng)詐、賭博惡意網(wǎng)站，較8月均有小幅上漲，9月總計(jì)新增惡意網(wǎng)站40w?！?023年1月至9月，每月新增惡意網(wǎng)站趨勢<本部分更多內(nèi)容，請參看完整版月報(bào)，感謝支持>9月，安恒信息研究院通過曝光的網(wǎng)絡(luò)勒索攻擊事件、網(wǎng)絡(luò)攻擊事件等，可以看出威脅主體主要以重要數(shù)據(jù)和重要設(shè)施等為目的進(jìn)行攻擊。9月，安恒信息研究院獵影實(shí)驗(yàn)室的APT事件數(shù)據(jù)顯示，APT37和APT28組織最為活躍，以及多數(shù)APT組織將能源、金融、政府等視為重要的網(wǎng)絡(luò)攻擊目標(biāo)。9月，安恒信息研究院獵影實(shí)驗(yàn)室的勒索事件數(shù)據(jù)顯示，勒索軟件攻擊涉及醫(yī)療衛(wèi)生、政府、軍事、能源、水務(wù)等行業(yè)，其中以針對醫(yī)療衛(wèi)生的勒索事件比例最高。9月，安恒信息研究院零壹實(shí)驗(yàn)室的暗鏈數(shù)據(jù)分析顯示，累計(jì)34604個(gè)網(wǎng)站遭到暗鏈植入，較8月份數(shù)據(jù)量漲幅47