六方云知识库

六方云 安全态势周刊丨第195期

2022年04月19日 12:00

01.

业界动态


1、微软牵头关闭僵尸网络ZLoader的数十台C2服务器

微软的数字犯罪部门(DCU)宣布已捣毁僵尸网络ZLoader。此次行动为期数月之久,联合了全球多家电信提供商和网络安全公司。微软获得法院命令后关闭了ZLoader的65个硬编码域,以及另外319个使用域生成算法注册的域,在调查中还确定了该恶意软件的开发者之一Denis Malikov。ZLoader于2015年8月首次被发现,主要针对美国、中国、西欧和日本,最近被Ryuk、Egregor、DarkSide和BlackMatter等多个勒索团伙来分发payload。

https://blogs.microsoft.com/on-the-issues/2022/04/13/zloader-botnet-disrupted-malware-ukraine/


2、乌克兰人正在清理开源地图数据,防止俄罗斯军方获取情报

OpenStreetMap(OSM),这是一个广泛众包的开源地图平台,支撑着亚马逊、苹果和Grab等公司的产品和服务,并依靠世界各地地图绘制者的志愿者贡献。由于示了潜在的敏感战时情报,乌克兰OSM成员表示,他们将采取行动修改(删除,修改,恢复到以前的状态等)任何发现的与军事或关键社会基础设施相关的地图案例。

https://www.secrss.com/articles/41352


3、关于开展汽车软件在线升级备案的通知

获得道路机动车辆生产准入许可的汽车整车生产企业,及其生产的具备OTA升级功能的汽车整车产品和实施的OTA升级活动,应进行备案。如发现企业存在未按规定备案、隐瞒真实情况、提供虚假材料、不能持续保持企业OTA升级管理能力,以及存在产品一致性等问题的,报工业和信息化部依据《公告》管理有关规定处理。

http://www.miit-eidc.org.cn/art/2022/4/15/art_54_30478.html


02.

关键基础设施


1、Sandworm利用Industroyer2攻击乌克兰某能源公司

Industroyer2是ICS恶意软件Industroyer的新变体,后者曾在2016年被用于中断乌克兰的电力供应。此外,攻击者还使用了针对Linux和Solaris系统的Orcshred、Soloshred和Awfulshred等恶意软件。目前,攻击者入侵目标以及攻击行为从IT系统转移到工业控制系统(ICS)的方式尚不明确。

https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/


2、焦点访谈:失算的数据买卖

国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。

https://news.cctv.com/2022/04/13/ARTI4FaQrwUQQp4WbKJPC1Jn220413.shtml


03.

安全事件


1、国家安全机关公布典型案例

面对传统安全和非传统安全交织叠加的新形势,国家安全机关坚持统筹兼顾、综合施策,依法防范、制止、惩治各类危害国家安全行为,有效防范化解了国家安全各领域风险挑战。近日,国家安全机关公布多起典型案件,呼吁全社会提高国家安全意识,共同筑牢维护国家安全的坚固防线。

https://mp.weixin.qq.com/s/uq3-MVwogZ-Br3zDM4TQRg


2、研究团队发现针对非洲金融机构分发RemcosRAT的钓鱼活动

HP Wolf Security公开了针对非洲金融机构的钓鱼活动。此次活动主要瞄准银行的员工,钓鱼邮件伪装成来自另一公司(通常是对手银行),声称为收件人提供了一份报酬丰厚的工作机会,目标点击邮件中链接后会被重定向到钓鱼网站。此次活动使用HTML走私来安装恶意软件payload,在经过一系列恶意代码执行和Windows API滥用后,会在系统上下载并执行GuLoader,最终旨在下载RemcosRAT。

https://threatresearch.ext.hp.com/malware-campaigns-targeting-african-banking-sector/


3、芬兰国防部和外交部的网站遭到DDoS攻击已经恢复运营

芬兰国防部和外交部的网站在遭到DDoS攻击后关闭。当天上午,该国国防部发布通告,称其网站http://defmin.fi正在遭受攻击,目前暂时关闭该网站,直到网站上的有害流量消失。不久之后,芬兰外交部称其网站http://Um.fi 和 Finlanabroad.fi遭到DDoS攻击,他们正在展开调查并努力恢复服务。当天下午,芬兰当局的官方推特表示问题已得到解决,两个部门的网站已恢复运营。

https://www.infosecurity-magazine.com/news/finland-government-sites-offline/


4、非法搜集我国军工企业敏感信息被审查!

近日,广东省国家安全机关公布了一批典型案例。这些案例中,一些人在工作生活中企图用涉密数据牟利,给国家安全带来了危害。

https://mp.weixin.qq.com/s/daq-wBEtzlxy-o_iPy9AWA


04.

漏洞事件


1、Aethon修复影响其TUG机器人的漏洞JekyllBot:5

医疗物联网安全公司Cynerio发现了Aethon TUG机器人中的5个漏洞。Aethon TUG智能机器人已被全球数百家医院使用,用于运送药品和维护用品,并执行简单的任务。这些漏洞统称为JekyllBot:5,分别是CVE-2022-1066、CVE-2022-26423、CVE-2022-1070、CVE-2022-1070、CVE-2022-27494、CVE-2022-1059。CISA称,成功利用这些漏洞可能会导致拒绝服务状态,并可完全控制机器人或暴露敏感信息。目前,Aethon已发布固件更新修复这些漏洞。

https://securityaffairs.co/wordpress/130157/security/jekyllbot5-flaws-tug-autonomous-mobile-robots.html


2、Apache Struts2远程代码执行漏洞 (CVE-2021-31805) 安全通告

Apache Struts2中存在远程代码执行漏洞,在某些标签中若后端通过 %{...} 形式对其属性进行赋值,则将对OGNL表达式进行二次解析,从而执行恶意代码,该漏洞是S2-061的绕过。

https://www.secrss.com/articles/41325


05.

政策监管


1、【2022-04-14】工业和信息化部办公厅关于组织开展2022年大数据产业发展试点示范项目申报工作的通知

为深入实施国家大数据战略,落实《“十四五”大数据产业发展规划》(工信部规〔2021〕179号),加快培育数据要素市场,夯实产业发展基础,提升产业供给能力和行业赋能效应,工信部组织围绕数据要素市场培育、大数据重点产品和服务、行业大数据应用3大领域8个方向,遴选一批大数据产业试点示范项目,通过树立一批各行业、各领域的排头兵,推进大数据产业高质量发展。

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_686b78f7780b46fdb6fdf8b025a1c23f.html


2、【2022-04-13】工信部印发《工业互联网专项工作组2022年工作计划》(工厅信管〔2022〕256号)

该计划从夯实基础设施、深化融合应用、强化技术创新、培育产业生态、提升安全保障、完善要素保障等方面,提出了网络体系强基、标识解析增强、平台体系壮大、数据汇聚赋能、新型模式培育、融通赋能“牵手”等15大类任务83项具体举措。

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_8bbc2b651ca64e738ad7faaafd7d54d3.html


06.

国家/行业标准


1、【2022-04-11】信安标委公开征求《网络安全标准实践指南—Windows 7操作系统安全加固指引(征求意见稿)》国家标准

为帮助用户降低Windows 7操作系统停服后仍须使用该操作系统应用场景下的网络安全风险,秘书处组织编制了《网络安全标准实践指南—Windows 7操作系统安全加固指引(征求意见稿)》,本次意见征集截止于2022年4月25日。

https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10


more

手机扫码打开

logo