安全态势周刊-六方云（AI基因·威胁免疫）—

一、业界动态

信通院发布《移动数字广告与互联网反欺诈蓝皮报告》

报告全面梳理我国数字广告及移动互联网流量现状与面临的挑战，并对流量欺诈场景、流量反欺诈核心技术及发展趋势进行深入探讨。

http://www.caict.ac.cn/kxyj/qwfb/ztbg/202105/P020210512494218439534.pdf

Office 365隔离来自Google和LinkedIn等域的合法邮件

微软在Microsoft 365管理中心表示，某些用户的Office 365的Exchange Online Protection＆Defender会将来自多个域名（包括Google和LinkedIn）的合法电子邮件隔离或标记为恶意电子邮件。目前，微软已解决了该问题并重新发送被隔离的邮件。此外，微软11日发布的Outlook更新导致全球范围内的用户无法查看或创建电子邮件，特别是在创建新邮件时，每次按Enter键，先前编写的所有内容都将被删除。微软建议用户回滚到4月的版本，或在安全模式下启动Outlook。

https://www.bleepingcomputer.com/news/microsoft/microsoft-office-365-is-blocking-emails-from-google-linkedin-domains/

Unit42发布有关DarkSide勒索团伙的分析报告

Unit42发布了有关DarkSide勒索团伙的分析报告。DarkSide是世界上最知名的黑客组织之一，近期针对美国一家主要的管道公司进行了攻击。与其他勒索软件团伙一样，DarkSide最近也采用了勒索软件即服务（RaaS）模型。该团伙使用的工具包括：合法的远程监视和管理（RMM）工具，例如AnyDesk和TeamViewer；密码管理应用，例如Dashlane和LastPass；凭证窃取工具Mimikatz等工具。

https://unit42.paloaltonetworks.com/darkside-ransomware/

暗网遭遇重大安全危机：超27%的出口流量曾被监控

一项关于暗网基础设施的最新研究显示，某位未知攻击者曾在2021年2月上旬设法控制了整个Tor网络（即暗网）出口容量的27%以上。

https://mp.weixin.qq.com/s/ytRVCU7NaNGLy9x-qccyxA

二、关键基础设施

最大燃油运输管道停运后，美政府推动能源基础设施网络安全立法

11日，白宫发布情况说明，表示拜登政府已发起全政府努力，以解决此事件，确保关键能源供应链安全。12日，拜登签署《改善国家网络安全行政令》（Executive Order on Improving the Nation’s Cybersecurity），明确网络事件的预防、响应、评估和修复是保障国家和经济安全的首要任务和必要条件。

https://www.secrss.com/articles/31184

三、安全事件

微软披露针对航空航天行业的鱼叉式网络钓鱼活动

微软披露近期针对航空航天和旅游行业的鱼叉式网络钓鱼活动。此次攻击中，黑客伪装成航空、旅游和货运公司，使用了新的加载程序Snip3，在目标系统中安装Revenge RAT、AsyncRAT、Agent Tesla和NetWire RAT等payload。为了绕过检测，Snip3还使用了攻击手段，包括：用'remotesigned'参数执行PowerShell代码；使用Pastebin和top4top进行分段；运行的时候在终端编译RunPE加载程序。

https://www.bleepingcomputer.com/news/security/microsoft-threat-actors-target-aviation-orgs-with-new-malware/

Cleafy发现恶意软件TeaBot已攻击欧洲的60多家银行

意大利Cleafy的安全团队发现恶意软件TeaBot已攻击欧洲的60多家银行。该恶意软件仍处于开发的早期阶段，但具备远程控制目标设备、窃取登录凭据、发送和拦截SMS消息等功能。该恶意软件支持6种不同的语言，包括德语、英语、意大利语、法语、西班牙语和荷兰语。到目前为止，Cleafy已确定意大利、西班牙、德国、比利时和荷兰等多个欧洲国家的60多家银行遭到了攻击。

https://www.hackread.com/teabot-android-malware-steals-data-sms/

东芝子公司惨遭勒索攻击：攻击者疑为DarkSide

东芝技术公司的法国子公司当地时间14日在推特上表示，它在5月4日遭到了勒索软件的攻击。

https://www.secrss.com/articles/31219

土耳其科尼亚市政府遭到攻击，100万居民的信息泄露

土耳其科尼亚市政府的网络遭到攻击，100万居民的信息泄露。科尼亚是土耳其科尼亚省的首府，城市人口超过100万，是土耳其宗教最保守的大都会之一。某市政官员证实了此次攻击，但并未透露其规模，Sözcü报纸则称，约有100万人的ID和其他个人信息已经泄露，主要涉及那些向市政当局发送过邮件的人。目前，名为Maxim Gorki的的黑客已在暗网上公开了这些信息。

https://www.dailysabah.com/turkey/investigations/cyberattack-steals-info-of-one-million-in-turkeys-konya

四、漏洞事件

研究人员披露FragAttacks，影响近24年所有Wi-Fi设备

比利时安全研究员Mathy Vanhoef披露了被统称为FragAttacks的多个漏洞，影响了1997年至今的所有Wi-Fi设备（包括计算机、智能手机和智能设备）。在这些漏洞中，有3个是Wi-Fi 802.11标准在帧聚合和帧碎片功能上的设计缺陷，而其他漏洞则是Wi-Fi产品中的编程错误。Vanhoef称，实验结果显示每个Wi-Fi产品都存在至少一个漏洞且大多数产品存在多个漏洞，只有NetBSD和OpenBSD不受影响，因为它们不支持A-MSDU的接收。

https://securityaffairs.co/wordpress/117819/hacking/wifi-fragattacks.html