新闻动态

News information

六方云 安全态势周刊丨第235期

<<返回

2023年02月07日 14:00

01.

业界动态


1、2022全球互联网路由前缀疑似劫持事件分析

本报告分析了从2022年1月至2022年12月的疑似BGP路由前缀劫持事件,揭露了最近一年的疑似BGP劫持事件的总体特点。

https://www.secrss.com/articles/51579


2、研究人员发现多个冒充ChatGPT的应用旨在窃取信息

据1月31日报道,研究人员在iOS和Play Store发现了多个假冒的ChatGPT克隆应用,会收集用户数据并发送到远程服务器。ChatGPT是OpenAI于2022年11月推出的聊天机器人,并没有适用于iOS或Play Store的官方应用程序。研究人员分析了软件商城中排名最高的十个克隆应用,它们都在收集和共享隐私保护不佳的数据。特别是其中的一个Android应用,下载量已超过100000,会跟踪并与字节跳动和亚马逊等公司共享位置数据。

https://www.hackread.com/chatgpt-clone-apps-collect-ios-play-store/


3、勒索软件Mimic利用搜索工具Everything查找要加密的文件

Trend Micro在1月26日透漏,新的勒索软件Mimic利用合法工具Everything的API来查找要加密的文件。Everything是Voidtools开发的Windows文件名搜索引擎,可帮助Mimic找到可加密的文件,同时绕开那些加密后会导致系统无法启动的文件。该勒索软件于2022年6月首次在野外被发现,主要针对俄语和英语目标。其部分代码与勒索软件Conti有相似之处,还可以利用多个处理器线程来加速数据加密过程,具有现代勒索软件的常见功能。

https://www.trendmicro.com/en_us/research/23/a/new-mimic-ransomware-abuses-everything-apis-for-its-encryption-p.html


4、2022年阿里云勒索攻击态势报告

近些年,勒索软件产业随着技术的不断进步,加上外部环境压力和勒索即服务(RaaS)的模式加持,已然站在了网络安全威胁的顶端。回望2022,出现了一些令人担忧的趋势,这也意味着“勒索病毒疫情”迎来了新的“拐点”。

https://www.secrss.com/articles/51560



02.

关键基础设施


1、DDoSaaS平台Passion被用于攻击欧美地区的医疗机构

媒体2月1日称,在近期针对美国和欧洲的医疗机构的攻击中,发现了一种名为Passion的新DDoS即服务(DDoSaaS)平台。Passion于1月初首次被推出,对日本和南非的组织网站执行了多次攻击。Passion提供十种攻击媒介的选项,允许用户根据需要定制攻击,甚至组合媒介以绕过目标的缓解措施。Radware透露,在1月27日的攻击活动中,Passion被用于针对是美国、葡萄牙、西班牙、德国、波兰、芬兰、挪威、荷兰和英国的医疗机构。

https://www.bleepingcomputer.com/news/security/new-ddos-as-a-service-platform-used-in-recent-attacks-on-hospitals/



03.

安全事件


1、研究团队发现针对ESXi服务器的大规模ESXiArgs勒索攻击

研究团队发现了利用VMware ESXi服务器中未修复的远程代码执行漏洞安装新勒索软件ESXiArgs的活动。漏洞追踪为CVE-2021-21974,由OpenSLP服务中的堆溢出引起,可被用来执行低复杂度攻击。OVHcloud透露,该活动通过OpenSLP端口(427)针对7.0 U3i之前版本的ESXi服务器。根据Shodan搜索的数据,全球至少有120台VMware ESXi服务器已遭到攻击。针对该活动的调查仍在进行中。

https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/


2、伊朗黑客团伙OilRig利用新后门攻击中东的政府机构

Trend Micro在2月2日披露了伊朗OilRig针对中东政府机构的攻击活动。2022年12月,研究人员发现了一个可执行文件(检测为Trojan.MSIL.REDCAP.AD)已在多台计算机上分发并执行。分析发现该活动与APT组织OilRig(APT34)有关,主要目的是窃取用户的凭据。该活动始于一个基于.NET的植入程序,其任务是分发四个不同的文件。第二阶段还使用了一个DLL文件,能从域用户和本地帐户中获取凭据。此外,此次活动中的后门可利用被感染的邮箱帐户将窃取的数据从内部邮箱发送到攻击者的邮件帐户。

https://www.trendmicro.com/en_us/research/23/b/new-apt34-malware-targets-the-middle-east.html


3、印度最大货运公司FR8服务器配置错误泄露140GB数据

媒体2月4日透露,印度最大的卡车运输服务公司FR8因服务器配置错误泄露了140 GB的数据。1月30日,研究人员在Shodan上搜索配置错误的云数据库时发现了该服务器。泄露信息涉及客户和员工的姓名、电话、发票和付款明细等敏感信息。目前,该配置错误的服务器仍处于暴露状态,FR8也并未回应该事件。由于服务器是实时的且该公司一直没有回应,如果数据落入恶意的第三方手中,被误用和滥用的可能性很大。

https://www.hackread.com/india-truck-brokerage-company-data-leak/



04.

漏洞事件


1、Eclypsium披露AMI MegaRAC BMC软件中的多个漏洞

Eclypsium在1月30日披露了AMI MegaRAC基板管理控制器(BMC)软件中的两个漏洞。研究人员最初发现了五个漏洞并将它们统称为BMC&C,其中三个已于2022年12月份披露,另外两个保留到现在是为AMI提供更多时间来设计适当的缓解措施。这两个漏洞分别为通过API进行密码重置拦截的漏洞(CVE-2022-26872)和Redfish和API的弱密码hash漏洞(CVE-2022-40258)。目前,技嘉、惠普、英特尔和联想都发布了更新,NVIDIA预计会在5月发布修复程序。

https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk/


2、QNAP发布固件更新修复其NAS设备中的SQL注入漏洞

1月30日,QNAP发布了QTS和QuTS的固件更新,以修复可在其NAS设备中注入恶意代码的漏洞。该漏洞追踪为CVE-2022-27596,CVSS评分为9.8,影响了QTS 5.0.1和QuTS hero h5.0.1版本。供应商没有透露有关该漏洞的更多细节,但NIST portal将其描述为SQL注入漏洞。此外,QNAP发布了一个描述该漏洞严重性的JSON文件,表明该漏洞可被远程攻击者在低复杂程度的攻击中利用,而无需用户交互或目标设备上的权限。

https://securityaffairs.com/141588/iot/qnap-addresses-critical-flaw.html



05.

政策监管


1、国家能源局综合司印发《2023年电力安全监管重点任务》

为贯彻落实党的二十大精神,扎实做好2023年电力安全监管工作,确保电力系统安全稳定运行和电力可靠供应,推动全国电力安全生产形势持续稳定向好,国家能源局制定了《2023年电力安全监管重点任务》。


《2023年电力安全监管重点任务》中提到,要推进电力行业网络与信息安全工作。组织开展网络安全五年行动计划中期评估,持续推进电力行业网络安全“明目”“赋能”“强基”行动。加强网络安全态势感知能力建设,推进国家级电力网络安全靶场建设,组织开展年度攻防演练。修订行业网络安全事件应急预案,建立完善网络安全监督管理技术支撑体系,推动量子计算、北斗、商用密码等在电力行业的应用。

http://zfxxgk.nea.gov.cn/2023-01/17/c_1310693609.htm

 

2、中国网络空间安全协会发布《个人信息保护自律公约》

为进一步贯彻落实习近平总书记关于网络强国的重要思想,推动《个人信息保护法》落地实施,切实维护广大网民合法权益,中国网络空间安全协会充分发挥行业自律作用,制定《中国网络空间安全协会个人信息保护自律公约》(以下简称《公约》),并于2022年7月,面向会员单位及广大互联网从业者组织开展签署工作,以提升全社会各方个人信息保护意识,推动个人信息保护综合治理工作开展。

https://mp.weixin.qq.com/s/MI9khQ7Dk3H7GW53ZzVXVg?scene=25#wechat_redirect

 

3、《西藏自治区网络信息安全管理条例》2月1日起施行

《西藏自治区网络信息安全管理条例》于2022年12月9日在西藏自治区第十一届人民代表大会常务委员会第四十三次会议通过,2023年2月1日起施行。《条例》为维护国家安全和社会公共利益,反对分裂,促进民族团结进步,保障网络信息安全,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《中华人民共和国国家安全法》等有关法律、行政法规,结合自治区实际制定。

http://www.xizangrd.gov.cn/lfgz/42474

 

4、工信部公布工业领域数据安全管理试点典型案例和成效突出地区名单

为全面落实《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》,深入推进工业和信息化领域商用密码应用,推动商用密码产业高质量发展,工信部办公厅组织开展工业和信息化领域典型应用方案征集工作。近日,根据《工业和信息化部办公厅关于组织开展工业领域数据安全管理试点典型案例和成效突出地区遴选工作的通知》,工业和信息化部组织开展了相关申报和评审工作。并将工业领域数据安全管理试点典型案例和成效突出地区名单进行公示

https://www.miit.gov.cn/zwgk/wjgs/art/2023/art_fce89ddd4ffd4312816915b2d0e46adb.html



06.

安全/行业标准


1、深圳市信息服务业区块链协会发布《数据安全合规评估方法》团体标准

近日,深圳市信息服务业区块链协会发布了《数据安全合规评估方法》团体标准。数据安全合规评估以数据安全相关的法律法规和国家信息安全技术标准体系为评估依据,对评估对象和范围进行确定,经过准备、审核、分析、评价等评估流程,覆盖评估对象的业务运营模式、数据处理主体、数据处理活动、管理措施及落实、出境安全合规、安全合规跟踪评估等评估内容。

http://www.ttbz.org.cn/Home/Show/50433