2022中國網(wǎng)絡(luò)安全報(bào)告

2 2 7 9 9 10 10 11 11 24 29 38 38 38 58 58 58 58 59 59 60 601制、惡意扣費(fèi)、資費(fèi)消耗等類型為主，其中信息竊取誘騙用戶下后門；西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)0802公式編輯器漏洞；CVE-2017-17215HG532遠(yuǎn)程命令執(zhí)行漏洞等；年度最熱漏洞有CVE-2022年全球APT攻擊事件解讀：威脅組織APT-C-23；威脅組織LazarusGroup；威脅組織而未來技術(shù)型企業(yè)、醫(yī)療機(jī)構(gòu)、政務(wù)機(jī)構(gòu)依然是勒索病毒主要攻擊目2一、惡意軟件與惡意網(wǎng)址（一）惡意軟件1.2022年病毒概述342.2022年病毒Top103.勒索軟件和挖礦病毒597（二）惡意網(wǎng)址1.2022年全球惡意網(wǎng)址概述82.2022年中國惡意網(wǎng)址概述9二、移動(dòng)安全（一）2022年手機(jī)病毒概述三、企業(yè)安全（一）2022年重大企業(yè)網(wǎng)絡(luò)安全事件等各個(gè)領(lǐng)域，勒索軟件、數(shù)據(jù)泄露、黑客入侵等攻擊接連不斷，且危害深遠(yuǎn)，嚴(yán)重影響著各國的關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)和經(jīng)濟(jì)民生。同時(shí)，由于俄烏戰(zhàn)爭帶來的影響，導(dǎo)致網(wǎng)絡(luò)空間對抗加劇，全球1.紅十字國際委員會(huì)遭受網(wǎng)絡(luò)攻擊人數(shù)據(jù)和機(jī)密信息遭入侵，包括因沖突、移民和自然災(zāi)害而與家人失散的人、失蹤人員及其家人以2.加拿大外交部被黑，部分服務(wù)中斷拿大政府聲明說，網(wǎng)絡(luò)威脅可能來自系統(tǒng)或應(yīng)用程序的漏洞，或來自外部行為者為獲取信息而進(jìn)行3.沃達(dá)豐葡萄牙分公司遭大規(guī)模網(wǎng)絡(luò)攻擊他們正在與政府當(dāng)局合作對事件開展調(diào)查。根據(jù)目前搜集到的證據(jù)，客戶數(shù)據(jù)似乎并未泄露或遭到4.頂級(jí)后門“Bvp47”被詳細(xì)披露始作俑者為NSA情報(bào)收集部門有聯(lián)系。報(bào)告顯示,“Bvp47”已在全球肆虐十余年,入侵中國、俄羅斯、日本、德國、5.烏克蘭電信運(yùn)營商遭遇最嚴(yán)重網(wǎng)絡(luò)中斷攻擊6.300塊一天國內(nèi)黑客售賣新型遠(yuǎn)控工具及變種遠(yuǎn)程控制用戶主機(jī)，并上傳用戶隱私信息。經(jīng)溯源發(fā)現(xiàn)該病毒作者疑為國內(nèi)黑客，通過售賣7.北京健康寶遭受網(wǎng)絡(luò)攻擊，源頭來自境外8.意大利多個(gè)重要政府網(wǎng)站遭新型DDoS攻擊癱瘓9.通用汽車透露其遭到撞庫攻擊導(dǎo)致部分客戶的信息泄露已將部分用戶的獎(jiǎng)勵(lì)積分兌換為禮品卡。該公司表示，此次違規(guī)事件并不是源于通用汽車的系統(tǒng)遭到入侵，而是針對其平臺(tái)上客戶的一波撞庫攻擊導(dǎo)致的，他們將為所有受影響的用戶恢復(fù)積分，并10.瑞星監(jiān)測到利用微軟最新高危漏洞的惡意代碼11.新型病毒仿冒Python數(shù)字簽名誘騙用戶下后門臨文件被竊、遠(yuǎn)程控制、鍵盤記錄、攝像頭被查看12.西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊教學(xué)生活造成負(fù)面影響。警方稱，該校電子郵件系統(tǒng)發(fā)現(xiàn)一批以科研評審、答辯邀請和出國通知等為主題的釣魚郵件，內(nèi)含木馬程序，引誘部分師生點(diǎn)擊鏈接，非法獲取師生電子郵箱登錄權(quán)限，致該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核13.IT服務(wù)巨頭SHI遭受“專業(yè)惡意軟件攻擊”14.阿爾巴尼亞遭網(wǎng)絡(luò)攻擊關(guān)閉政府網(wǎng)站擊，被迫關(guān)閉所有提供在線公共服務(wù)的網(wǎng)站和政府官方網(wǎng)站。其后，阿爾巴尼亞政府表示因反應(yīng)及15.網(wǎng)絡(luò)攻擊致使英國醫(yī)療急救熱線“120”發(fā)生重大中斷大故障?！?6.400萬條2KGames用戶數(shù)據(jù)正在暗網(wǎng)上出售17.豐田：約296000條客戶信息可能已被泄露可能已被泄露，包括電子郵箱地址和客戶管理號(hào)碼等，但其他敏感信息如姓名、電話號(hào)碼和信用卡18.零售巨頭泄露220萬用戶數(shù)據(jù)，并被黑客在線出售息。這些數(shù)據(jù)包括了姓名、電子郵件地址、電話號(hào)碼、送貨地址等信息，部分還涉及用戶的出生日19.歐洲超市巨頭麥德龍?jiān)饩W(wǎng)絡(luò)攻擊，IT和支付服務(wù)中斷已超過一周20.美國百年老報(bào)“被黑”，發(fā)布大量攻擊性政治言論發(fā)布了一系列針對美國政客的攻擊性內(nèi)容。這些攻擊性的頭條新聞和推文打擊面極廣，涉及紐約州布的一系列“未經(jīng)授權(quán)”的粗俗及種族主義的推文和頭條新聞系一位內(nèi)部員工所為。21.波音子公司遭網(wǎng)絡(luò)攻擊，致使全球多家航司航班規(guī)劃中斷22.網(wǎng)絡(luò)攻擊迫使丹麥最大鐵路公司火車全部停運(yùn)23.俄羅斯企業(yè)頻發(fā)數(shù)據(jù)泄露事件，720萬用戶數(shù)據(jù)在黑客論壇卡詳細(xì)信息。賣家還聲稱，被盜數(shù)據(jù)包括3,000,000個(gè)促銷24.俄羅斯第二大銀行VTB遭攻擊離線25.蔚來汽車數(shù)據(jù)泄露被勒索，官方回應(yīng)屬實(shí)在收到勒索郵件后，公司當(dāng)天即成立專項(xiàng)小組進(jìn)行調(diào)查與應(yīng)對，并第一時(shí)間向有關(guān)監(jiān)管部門報(bào)告此（二）2022年漏洞分析1.2022年CVE漏洞利用率Top10Mirai、Satori、Brickerbot、Mozi至今仍將該漏洞作為傳播率，是由于在大多數(shù)企業(yè)內(nèi)網(wǎng)環(huán)境中依然存在大量的終端設(shè)備尚未修復(fù)該漏洞，進(jìn)入內(nèi)網(wǎng)環(huán)境的病該漏洞可使用MicrosoftWord遠(yuǎn)程模板功能鏈接到惡意H1.1CVE-2017-11882Office于該模塊對于輸入的公式未作正確的處理，攻擊者可以通過刻意構(gòu)造的數(shù)據(jù)內(nèi)容覆蓋掉棧上的函數(shù)1.2CVE-2018-0802公1.3CVE-2017-172151.4CVE-2017-0147WindowsSMB協(xié)議漏洞MS1.5CVE-2010-2568WindowsLNK式文件所指定的代碼。1.7CVE-2017-0199MicrosoftOffi1.8CVE-2016-7255Win32k特權(quán)提升漏洞利用該漏洞的攻擊者，可以在內(nèi)核模式下運(yùn)行任意代碼并安裝惡意程序，查看、更改或刪除用戶數(shù)1.9CVE-2022-30190MicrosoftOfficeMSDT遠(yuǎn)程代碼執(zhí)行漏洞1.10CVE-2021-26858MicrosoftExchangeServer遠(yuǎn)程代碼執(zhí)行漏洞2.2022年最熱漏洞分析2.1CVE-2022-30190MicrosoftOfficeMSDT遠(yuǎn)程代碼執(zhí)行漏洞注入和覆蓋任意只讀文件中的數(shù)據(jù)，導(dǎo)致權(quán)限提升，并最終獲得root權(quán)限。該漏洞影響了Linux2.3CVE-2022-22965Spring遠(yuǎn)程代碼執(zhí)行漏洞2.4CVE-2022-21999打印服務(wù)特權(quán)2.5CVE-2022-22718打印服務(wù)特權(quán)2.6CVE-2022-21882Windows權(quán)限提升漏洞引用到錯(cuò)誤的數(shù)據(jù)，從而產(chǎn)生內(nèi)存讀寫越界，攻擊者可以利用該漏洞在獲得權(quán)限的情況下，構(gòu)造惡2.7CVE-2022-26134Confluence遠(yuǎn)程代碼執(zhí)行漏洞執(zhí)行漏洞。該漏洞允許遠(yuǎn)程攻擊者在未經(jīng)身份驗(yàn)證的情況下，構(gòu)造OGNL表達(dá)式進(jìn)行注入，實(shí)現(xiàn)在2.8CVE-2022-1985WordPressPlugin跨站腳本漏洞WordPresspluginWordPressDownload該漏洞源于對~/src/Package/vi2.9CVE-2022-29464WSO2文件上傳漏洞2.10CVE-2022-24521Windows通用日志文件系統(tǒng)權(quán)限提升漏洞WindowsCommonLogFileSystemD（三）2022年全球APT攻擊事件解讀1.威脅組織APT-C-23餌文檔，文檔內(nèi)容顯示為阿拉伯語文字，因此猜測攻擊目標(biāo)為阿拉伯語國家。該文檔內(nèi)容主要是關(guān)2.威脅組織LazarusGroup活躍的威脅組織之一。LazarusGroup來自朝鮮，具有外，還會(huì)蓄意破壞受害者操作系統(tǒng)以此來獲取經(jīng)濟(jì)利益，已經(jīng)攻擊過的國家包括中國、德國、澳大招聘文件作為誘餌，向軍工領(lǐng)域從業(yè)人員投放名為“LMCO_SeniorSystemsEngineer_BR09.doc”的文檔，以此誘騙目標(biāo)用戶點(diǎn)擊查看。而該文檔內(nèi)容則顯示為亂碼，其目的就是為了誘導(dǎo)用戶點(diǎn)擊啟攻擊行為。攻擊者最終達(dá)到竊取機(jī)密信息、遠(yuǎn)程控制的目的。3.威脅組織Patchwork謂。該組織主要從事信息竊取和間諜活動(dòng)，其針對的目標(biāo)包含了中國，巴基斯坦、日本、英國和美獲到了兩起與該組織相關(guān)的攻擊事件，針對目標(biāo)均為巴基斯坦旁遮在這兩起攻擊行動(dòng)中，攻擊者通過釣魚郵件向目標(biāo)發(fā)送名為"Reductionofworkingd以及聯(lián)系方式等隱私信息，還帶有CVE-2017-118政府勞動(dòng)和人力資源部、規(guī)劃與發(fā)展委員會(huì)登記表，誘使目標(biāo)打開并釋放遠(yuǎn)程控制木馬，以達(dá)到竊4.威脅組織MuddyWater5.威脅組織Bitter6.威脅組織KimsukyKimsuky是一個(gè)至少從2012年就開始對目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊的威脅組織，該組織又名Velvet意的VisualBasic腳本。在此過程中，攻擊者濫用合法的博客站點(diǎn)來托管惡意的VisualBasic腳本。這些VBS文件能夠收集有關(guān)受感染機(jī)器的信息7.威脅組織SideWinderAdvisory-No-32-2022.lnk、32-Advisory-8.威脅組織BlueNoroff會(huì)在受保護(hù)的視圖中打開它，這會(huì)限制嵌入式宏的執(zhí)行。但此次APT38通過使用光“Job_Description.vhd”的虛擬硬盤文9.威脅組織APT37羅斯、韓國、日本等地區(qū)進(jìn)行定向攻擊活動(dòng)，擅長使用社會(huì)熱點(diǎn)話題對目標(biāo)進(jìn)行魚叉式網(wǎng)絡(luò)釣魚攻有安全研究人員捕獲到該組織利用韓國普通用戶個(gè)人信息文件進(jìn)行攻擊的相關(guān)事件。漏洞CVE-2022-41128來針對韓國普通用戶展開攻擊。此次捕獲的名為“221031SeoulYongsanItaewonaccidentres踏事件，通過魚叉式釣魚郵件、網(wǎng)絡(luò)公共平臺(tái)、個(gè)人通訊軟件等手段進(jìn)行分發(fā)。文檔啟動(dòng)后會(huì)從遠(yuǎn)（一）勒索軟件概述絡(luò)安全風(fēng)險(xiǎn)之一，勒索也就成為了黑客及攻擊組織最常使用的攻擊手段。越來越多的威脅組織在勒索的同時(shí)，采取文件竊取的方式來“綁架”企業(yè)的隱私文件，以歷史攻擊事件梳理來看這類“雙重勒索”的方式確實(shí)卓有成效，極大提高了勒索軟件敲詐贖金的得手機(jī)會(huì)。得益于產(chǎn)業(yè)鏈的分發(fā)模式以及勒索病毒惹眼的高額贖金，使得勒索病毒新晉家族層出不窮，而那些長久以來“霸榜”的勒索漸形成流行事態(tài)。不僅如此一些勒索病毒還參與到地緣性政治與軍事戰(zhàn)爭中，而未來技術(shù)型企業(yè)、醫(yī)療機(jī)構(gòu)、政務(wù)機(jī)構(gòu)依然是勒索病毒主要攻1.Lapsus$隱私信息并以此敲詐勒索受害企業(yè)。大量知名企業(yè)如英偉達(dá)、三星、微軟等均遭受①葡萄牙最大媒體集團(tuán)Impresa遭Lap加密、二進(jìn)制加密、訪問控制）、所有生物特征解鎖設(shè)備算法、所有最新三星設(shè)備的引導(dǎo)加載程序源代碼等。三星發(fā)言人表示：“我們最近被告知存在與某些公司內(nèi)部數(shù)據(jù)相關(guān)的安全漏洞。發(fā)現(xiàn)事④微軟證實(shí)遭黑客Lapsus$入侵源代碼。相關(guān)人士稱，這個(gè)未壓縮的存檔文件大勒索黑客組織入侵其內(nèi)部AzureDevOps源代⑤Uber指控近期發(fā)生的安全事件是曾黑入微軟及三星的Lapsus$所為⑥盜取《GTA6》代碼或?yàn)楹诳徒M織Lapsus$行為英國少年被認(rèn)為是攻擊《GTA6》的犯罪嫌疑人，并已被倫敦警方逮捕并出庭受審。據(jù)悉，該少年是2.Lockbit②富士康墨西哥工廠遭勒索軟件攻擊③數(shù)字安全巨頭Entrust被勒索軟件團(tuán)伙攻陷絡(luò)攻擊，威脅者破壞了他們的網(wǎng)絡(luò)并從內(nèi)部系統(tǒng)竊取了數(shù)據(jù)。根據(jù)被盜的數(shù)據(jù)，這種攻擊可能會(huì)影⑤洲際酒店集團(tuán)遭網(wǎng)絡(luò)攻擊預(yù)訂系統(tǒng)癱瘓破壞后已中斷。雖然洲際酒店集團(tuán)沒有透露有關(guān)攻擊的任何細(xì)節(jié)，但在報(bào)告中提到了正在努力恢復(fù)受影響的系統(tǒng)。這表明洲際酒店集團(tuán)遭受的可能是勒索軟件攻擊，而且攻擊者已經(jīng)在其網(wǎng)絡(luò)上成功店之一伊斯坦布爾卡德柯伊假日酒店發(fā)起了攻擊，并竊取了⑥勒索軟件團(tuán)伙公布法國軍工巨頭泰雷茲內(nèi)部敏感數(shù)據(jù)公布了與該公司有關(guān)的數(shù)GB數(shù)據(jù)，但集團(tuán)自身并未發(fā)現(xiàn)IT系統(tǒng)遭受入侵的證據(jù)。網(wǎng)絡(luò)犯罪組織黑客此前曾宣布，除非泰雷茲方面支付贖金，否則他們將公開文件內(nèi)容。泄露的文件似乎包含技術(shù)和集團(tuán)業(yè)務(wù)文件。黑客方面稱已掌握涉及公司運(yùn)營的高度敏感信息，以及商業(yè)文件、會(huì)計(jì)文件、客⑦德國汽車巨頭大陸集團(tuán)遭LockBit勒索軟件組織攻擊15:45:36（北京時(shí)間23:45:36）之前收到贖金，他們將在數(shù)據(jù)該市的電子郵件服務(wù)無法使用。后證實(shí)此次中斷還影響了其他市政服務(wù)，并且源于有針對性的網(wǎng)絡(luò)3.HiveHive通常使用RDP弱口令爆破的方式進(jìn)行①某汽車供應(yīng)商系統(tǒng)在兩周內(nèi)被Hive等三個(gè)勒索團(tuán)伙攻擊和BlackCat攻擊。LockBit和Hive勒索軟件的有效載荷在兩小時(shí)內(nèi)利用合法的PsExec和PDQDeploy③Hive勒索組織公開受害者數(shù)據(jù)，法國體育零售商Int4.RansomHouse斯威士蘭、納米比亞及贊比亞的客戶發(fā)出警告，表示他們的個(gè)人信息可能因此受到損害。該公司在②RansomHouse宣布盜取芯片制造巨頭AMD450GB數(shù)據(jù)5.BlackCat①國際航空重要供應(yīng)商遭勒索軟件攻擊，航空業(yè)已成為勒索主要目標(biāo)戶包括達(dá)美航空、英國航空、捷藍(lán)航空、聯(lián)合航空、維珍大西洋航空、美國航空等多家知名航空企②哥倫比亞能源供應(yīng)商EPM遭受BlackCat6.Maui美聲稱朝鮮黑客正利用Maui勒索軟件攻擊醫(yī)療保健機(jī)構(gòu)稱，有朝方背景的黑客組織，正在利用勒索軟件向美國各地的醫(yī)療保健機(jī)構(gòu)和公共衛(wèi)生部門發(fā)起攻7.BlackBasta跨國巨頭遭勒索軟件攻擊：所有工廠正常運(yùn)轉(zhuǎn)，所有業(yè)務(wù)離線進(jìn)行8.Conti蘋果和特斯拉供應(yīng)商臺(tái)達(dá)電子遭勒索攻擊生產(chǎn)系統(tǒng)，然而有記者已獲得一份內(nèi)部事件報(bào)告副本，報(bào)告數(shù)據(jù)顯示臺(tái)達(dá)電子1500臺(tái)服務(wù)器和9.QuantumXingLocker，以及現(xiàn)在階段的Quantu北美國家政務(wù)機(jī)構(gòu)遭勒索軟件攻擊，內(nèi)部數(shù)據(jù)全部泄露而聞名。攻擊主要針對拉丁美洲地區(qū)，巴西是他們的主要目標(biāo)。此外還被觀察到對印度、匈牙利、五、2023年網(wǎng)絡(luò)安全趨勢預(yù)測（一）APT組織攻擊活動(dòng)頻繁（二）企業(yè)成為勒索軟件的最大受害者，勒索軟件或全面附加數(shù)據(jù)盜取能力只能盡快支付贖金尋求業(yè)務(wù)恢復(fù)，這對于攻擊者來說，勒索的成功率和收益率都會(huì)明顯提升。好網(wǎng)絡(luò)安全防護(hù)工作難度也遠(yuǎn)高于個(gè)人，必須通過持續(xù)的網(wǎng)絡(luò)安全投入，建立網(wǎng)絡(luò)安全綜合治理體（三）電子郵件依然是網(wǎng)絡(luò)攻擊的重要窗口電子郵件作為最為便捷、覆蓋度和精準(zhǔn)度都能兼顧的遠(yuǎn)程網(wǎng)絡(luò)攻擊手段，每年攻擊案例持續(xù)保環(huán)境偵察(TA0043)：通過電子郵件以確定目標(biāo)的活躍資源開發(fā)(TA0042)：通過釣魚郵件誘目前，大部分的互聯(lián)網(wǎng)電子郵件供應(yīng)商，都具備了此類惡件基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全威脅偵測能力，及時(shí)發(fā)現(xiàn)和阻斷惡意的、異常的電子郵件活動(dòng)等方面，仍有（四）高可利用性的“老”漏洞備受攻擊者青睞這種現(xiàn)象的發(fā)生常與受害者沒有及時(shí)更新帶