新闻动态

News information

六方云 安全态势周刊丨第225期

<<返回

2022年11月21日 16:30

01.

业界动态


1、首次出现反诈不力类型,百联优力4项违法被罚没超6千万

11月18日,中国人民银行营业管理部发布的行政处罚信息显示,百联优力(北京)投资有限公司(以下简称“百联优力”)存在4项违法行为类型,被警告,没收违法所得近3092.7万元,并被罚近3396.6万元,罚没合计近6489.3万元。

https://www.163.com/dy/article/HMG7SV3Q05198R91.html


2、Kaspersky发布关于2023年APT攻击活动的预测报告

Kaspersky在11月14日发布了关于2023年APT攻击活动的预测报告。报告预测在2023年,将出现大量的破坏性网络攻击,影响政府部门和关键行业;邮件服务器将成为重要目标,很可能所有主要电子邮件软件都出现0-day;一些具有影响力的病毒每6-7年发生一次,可能出现下一个WannaCry;APT攻击团伙将目标转向卫星技术、生产商和运营商;更多APT组织将从CobaltStrike转移到其它替代方案等。

https://securelist.com/advanced-threat-predictions-for-2023/107939/


3、中美俄首次参与网络安全演习

韩联社16日报道称,韩国国防部当天宣布,东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。韩国和马来西亚作为共同主席国主持会议,中国、美国、俄罗斯、日本、印度、澳大利亚、新西兰和东盟的十个成员国参与其中。会议内容包括网络安全跨国演习,这将是中美俄首次共同参与此类演习。

https://www.163.com/dy/article/HMBSCCLR0514R9OJ.html


4、Lockbit网络勒索团伙主犯在加拿大被抓获

加拿大当局逮捕了33岁的俄罗斯公民Mikhail Vasiliev,他被怀疑是LockBit勒索软件团伙的主犯。加拿大当局怀疑在该犯涉嫌用恶意软件感染关键基础设施组织和大型工业集团。

https://www.secrss.com/articles/48939


02.

关键基础设施


1、疑遭网络攻击,太平洋岛国瓦努阿图政府网站已瘫痪11天

据英国广播公司(BBC)当地时间11月18日报道,瓦努阿图的多个政府网站已瘫痪11天,其服务器疑似遭到网络攻击。瓦努阿图的议会、警方和总理办公室的网站已瘫痪。另外,该国学校、医院以及所有政府部门的电子邮件系统、内部网站和在线数据库均已瘫痪。

https://www.bjnews.com.cn/detail/166874954414804.html


2、勒索软件团伙公布法国军工巨头泰雷兹内部敏感数据

法国航空航天、国防与安全巨头泰雷兹集团发布声明称,勒索软件团伙LockBit 3.0公布了与该公司有关的数GB数据,但集团自身并未发现IT系统遭受入侵的证据。网络犯罪组织LockBit上周发布了一个9.5 Gb大小的归档文件,其中明确包含来自泰雷兹集团的信息。恶意黑客此前曾宣布,除非泰雷兹方面支付赎金,否则他们将公开文件内容。

https://www.securityweek.com/thales-denies-getting-hacked-ransomware-gang-releases-gigabytes-data


03.

安全事件


1、英国赛车场Silverstone Circuit遭到Royal的勒索攻击

英国最受欢迎的赛车场银石赛道(Silverstone Circuit)可能遭到了勒索团伙Royal的攻击。银石赛道是自1950年以来英国大奖赛的主场,由英国赛车手俱乐部(BRDC)运营。攻击者于11月8日在Royal勒索软件的网站列出了Silverstone,但并未具体说明获取了哪些类型的信息。与此同时,该公司透露其正在调查该事件。Royal是一个相对较新的黑客团伙,其赎金从25万到200万美元不等。

https://therecord.media/popular-uk-motor-racing-circuit-investigating-ransomware-attack/


2、黑客声称已入侵德意志银行并在网上出售其访问权限

攻击者(0x_dump)声称已入侵跨国投资银行德意志银行,并在线销售其网络的访问权限。该IAB(initial access broker)表示可以访问银行系统中的约21000台设备,其中大部分是Windows系统,他还称被感染的设备受Symantec EDR解决方案的保护。卖家说他可以访问用于内部通信的聊天服务,还可以访问包含16 TB数据的文件服务器。对德意志银行访问权限的售价为7.5比特币,价值约156274美元。

https://securityaffairs.co/wordpress/138416/data-breach/deutsche-bank-alleged-data-breach.html


3、共享踏板车平台720万用户数据被出售

近日,黑客开始在黑客论坛上出售包含720万客户详细信息的数据库后,俄罗斯踏板车共享服务Whoosh确认发生数据泄露。据悉,Whoosh是俄罗斯领先的城市出行服务平台,在40个城市运营,拥有超过75,000辆电动滑板车。

https://www.secrss.com/articles/49007


04.

漏洞事件


1、F5发布安全更新修复其产品中的2个远程代码执行漏洞

Rapid7发现了F5 BIG-IP和BIG-IQ中的多个漏洞。其中较为严重的是通过iControl SOAP的CSRF漏洞(CVE-2022-41622),可导致未经身份验证的远程代码执行。以及,通过驻留在设备模式iControl REST中的RPM规范注入的远程代码执行漏洞(CVE-2022-41800),可用来绕过Appliance模式限制。目前,F5已修复这些漏洞。此外,研究人员还发现了几个绕过安全控制的方法,但F5并未将其识别为可利用的漏洞。

https://securityaffairs.co/wordpress/138631/security/2-rce-f5-products.html


2、研究团队发现可影响航天器和飞机的攻击方式PCspooF

研究团队发现了一种针对时间触发以太网(TTE)的新型攻击方法。TTE属于混合关键性网络的网络技术之一,其中具有不同时序和容错要求的流量共存于同一物理网络中。该技术用于安全基础设施,可导致为航天器和飞机提供动力的系统出现故障。这是使用恶意设备通过以太网电缆将电磁干扰(EMI)注入TTE交换机来实现的,可有效地诱使交换机发送看似真实的同步消息并让它们被其他TTE设备接受。作为缓解措施,研究人员建议使用光耦合器或浪涌保护器来阻止电磁干扰。

https://thehackernews.com/2022/11/pcspoof-new-vulnerability-affects.html


05.

政策监管


1、“十四五”全民健康信息化规划强调网络与数据安全保障体系

国家卫健委联合国家中医药局、国家疾控局发布“十四五”全民健康信息化规划,规划中对网络与数据安全进行说明:


坚持发展与安全并重,完善网络安全和数据安全制度,围绕网络与数据安全全链条、全要素、全周期加强教育培训和宣贯,加大网络安全投入,切实防范化解风险,提高安全防护能力,不断完善网络安全和数据安全综合防范体系。完善网络安全和数据安全责任体系和管理制度。


落实党委(党组)网络安全和数据安全责任制,压实主体责任,落实网络安全审查办法,强化绩效考核和评价机制。

http://www.nhc.gov.cn/guihuaxxs/s3585u/202211/49eb570ca79a42f688f9efac42e3c0f1.shtml


2、《互联网跟帖评论服务管理规定》发布

11月16日,中央网信办发布新修订的《互联网跟帖评论服务管理规定》,新《规定》共16条,重点明确了跟帖评论服务提供者跟帖评论管理责任、跟帖评论服务使用者和公众账号生产运营者应当遵守的有关要求等内容。

http://www.cac.gov.cn/2022-11/16/c_1670253725725039.htm


3、市场监管总局 国家网信办发布《关于实施个人信息保护认证的公告》

为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》

https://gkml.samr.gov.cn/nsjg/rzjgs/202211/t20221118_351801.html


06.

国家/行业标准


1、《信息安全技术 关键信息基础设施网络安全应急体系框架》(征求意见稿)发布

11月17日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 关键信息基础设施网络安全应急体系框架》(征求意见稿),并向社会征求意见,意见提交截止时间为2023年01月16日。


征求意见稿给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。该文件将适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20221117111713&norm_id=20201104200013&recode_id=49437

 

2、多项信息安全标准征集参编单位

近日,多家单位发布信息安全标准征集参编单位的通知,包括:

  • 《信息安全技术 政务计算机终端核心配置规范》

  • 《信息安全技术 散列函数 第3部分 专用散列函数》

  • 《信息安全技术 存储介质数据恢复服务要求》

  • 《信息安全技术 消息鉴别码 第2部分:采用专用杂凑函数的机制》

  • 《信息安全技术 实体鉴别 第2部分:采用对称加密算法的机制》

  • 《信息安全技术 关键信息基础设施安全测评要求》

  • 《信息安全技术 互联网恶意软件定义与描述格式》

  • 《信息安全技术 网络安全保险应用指南》

  • 《信息安全技术 机密计算通用框架》

  • 《信息安全技术 人工智能计算平台安全框架》

  • 《信息安全技术 终端计算机通用安全技术规范》

  • 《信息安全技术 公共数据开放安全要求》

  • 《信息安全技术 公钥基础设施 在线证书状态协议》

  • 《信息安全技术 网络和终端隔离产品技术规范》

  • 《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》

  • 《信息安全技术 信息安全控制实践指南》

  • 《信息安全技术 软件产品开源代码安全评价方法》

  • 《信息安全技术 安全运维系统技术规范》

  • 《信息安全技术 重要数据处理安全要求》

  • 《信息安全技术 散列函数 第1部分 概述》

  • 《信息安全技术 散列函数 第2部分 采用n位块密码的散列函数》

  • 《信息安全技术 基于个人信息的自动化决策安全要求》

  • 《信息安全技术 数据安全风险评估方法》

  • 《信息安全技术 敏感个人信息处理安全要求》

  • 《信息安全技术 数据交易服务安全要求》

  • 《信息安全技术 网络安全产品互联互通框架》

  • 《信息安全技术 办公设备安全规范》

  • 《信息安全技术 数据安全评估机构能力要求》

  • 《信息安全技术 个人信息跨境传输认证要求》

  • 《信息安全技术 政务数据处理安全要求》

https://www.tc260.org.cn/front/hydtList.html?postType=2&start=0&length=10