2023年7月安恒网络安全月报

本报告为精简版，更多精彩请查看完整版，感谢您的支持！ 完整版可以咨询您所在地区安恒销售，或致电：4006059110转4 安恒信息网络安全月报-2023年7月刊 目录 前言...........................................................................................................................................................II 一、7月重大安全事件...........................................................................................................................1 1.勒索软件LockBit3.0针对日本名古屋港发起攻击...............................................................12.HCA医疗遭遇黑客攻击，泄露1100万患者敏感信息......................................................13.微软：未打补丁的Office零日漏洞在北约峰会攻击中被利用..........................................24.武汉地震监测中心遭网络攻击！黑手疑来自美国..................................................................25.TikTok未修漏洞节省数千万美元，1年后在海外大选期间遭利用....................................3 二、7月APT威胁.................................................................................................................................3 1.APT威胁攻击综述.....................................................................................................................32.APT组织情报.............................................................................................................................4 三、7月勒索攻击...................................................................................................................................4 1.勒索攻击综述...............................................................................................................................42.勒索团伙/软件.............................................................................................................................5 六、7月漏洞情报...................................................................................................................................7 1.漏洞情报数据...............................................................................................................................72.必修漏洞.......................................................................................................................................83.高关注漏洞.................................................................................................................................10 八、安全数据说安全............................................................................................................................11 前言 2023年7月，国内外影响面较广的网络安全事件陆续发生。 本月数据泄露和网络攻击依旧引发高关注。HCA医疗遭遇黑客攻击，泄露1100万患者敏感信息；北约组织遭到黑客攻击，泄露了近1GB的数据，包括数百份供北约国家和合作伙伴使用的敏感文件，其中还包含至少70名北约官员个人信息。黑客的攻击无孔不入，泄露的信息可能会被加以利用，有非常大的安全隐患。 TikTok未修漏洞节省数千万美元，后果是多达70万个土耳其TikTok账户遭到黑客攻击；微软公布，未打补丁的Office零日漏洞在北约峰会攻击中被利用。政治舞台上，网络安全攻击手段层出不穷，没有硝烟的安全之战，任重道远。 一、7月重大安全事件 1.勒索软件LockBit3.0针对日本名古屋港发起攻击 时间：2023年7月5日 概述：日本最大、最繁忙的港口名古屋港在7月4日当地时间凌晨06:30左右发生勒索攻击，影响了集装箱码头的运营。该港口的贸易量约占日本总贸易量的10%。它经营21个码头和290个泊位。它每年处理超过200万个集装箱和1.65亿吨货物。全球最大的汽车制造商之一丰田汽车公司也利用该港口出口其大部分汽车。 影响：名古屋港务局曾处理过网络攻击，但看来这次的影响最大。所有使用拖车在码头进行的集装箱装卸作业均已取消，给港口造成了巨大的财务损失，并严重扰乱了进出日本的货物流通。 参考链接： https://www.bleepingcomputer.com/news/security/japans-largest-port-stops-operations-after-ransomware-attack/ 2.HCA医疗遭遇黑客攻击，泄露1100万患者敏感信息 时间：2023年7月5日 概述：SecurityAffairs网站披露，HCA医疗公司披露了一起网络攻击事件，约1100万患者的个人信息遭到泄露。威胁攻击者发布了包括患者姓名、城市、州和邮政编码、电子邮件、电话号码、出生日期、性别以及服务日期、地点和下次预约日期等部分患者敏感个人信息。据悉，泄露的患者信息是从一个外部存储位置流出，该存储位置专门用于自动格式化电子邮件信息。 影响：HCAHealthcare指出泄露列表包含约2700万行数据，其中可能包括约1100万HCAHealthcare患者的个人信息。为应对此次患者数据泄露事件，HCAHealthcare禁止用户访问存储位置，但是向患者和社区提供的护理和服务没有中断。根据目前已知的信息，HCA公司认为此次患者信息泄露事件不会对其业务或财务业绩造成重大影响，也未对其日常运营造成任何影响。 参考链接：https://www.freebuf.com/news/371818.html 3.微软：未打补丁的Office零日漏洞在北约峰会攻击中被利用 时间：2023年7月11日 概述：微软今天披露了多个Windows和Office产品中存在未修补的零日安全漏洞，该漏洞被广泛利用以通过恶意Office文档获取远程代码执行。未经身份验证的攻击者可以在需要用户交互的高复杂性攻击中利用该漏洞（ 跟 踪 为CVE-2023-36884） 。 最 近 针 对 参 加 立 陶 宛 维 尔 纽 斯 北 约 峰 会 的 组 织 的 攻 击 利 用 了CVE-2023-36884漏洞。攻击者使用冒充乌克兰世界大会组织的恶意文档，来安装恶意软件有效负载，包括MagicSpell加载程序和RomCom后门。 影响：如果成功利用该漏洞，攻击者可以通过制作旨在利用该漏洞的恶意.docx或.rtf文档来进行基于远程代码执行(RCE)的攻击。该攻击者于2023年6月检测到的最新活动涉及滥用CVE-2023-36884，以提供与RomCom类似的后门。RomCom是一个总部位于俄罗斯的网络犯罪组织（也被追踪为Storm-0978），以从事勒索软件和勒索攻击以及专注于窃取凭据的活动而闻名，这些活动可能旨在支持情报行动。 处置：微软表示将通过每月发布流程或带外安全更新为客户提供补丁。当前可以采用一些缓解措施。 参考链接： https://www.bleepingcomputer.com/news/security/microsoft-unpatched-office-zero-day-exploited-in-nato-summit-attacks/ 4.武汉地震监测中心遭网络攻击！黑手疑来自美国 时间：2023年7月24日 概述：24日，武汉市应急管理局发布声明称，该局所属武汉市地震监测中心遭受境外组织的网络攻击：发现了源于境外的木马程序，该木马程序能非法控制并窃取地震速报前端台站采集的地震烈度数据。 影响：该行为对国家安全构成严重威胁。这是继2022年6月份西北工业大学遭受境外网络攻击后又一具体案例。国家计算机病毒应急处理中心和360公司组成的专家组发现，此次网络攻击行为由境外具有政府背景的黑客组织和不法分子发起，初步证据显示对武汉市地震监测中心实施网络攻击来自美国。 参考链接：https://www.secrss.com/articles/57088 5.TikTok未修漏洞节省数千万美元，1年后在海外大选期间遭利用 时间：2023年7月26日 概述：土耳其总统埃尔多安险胜连任的几周前，TikTok代理安全主管KimAlbarella收到一条坏消息：多达70万个土耳其TikTok账户遭到黑客攻击，攻击者能够访问用户个人信息并控制他们的账户。该公司早在一年前就知道这个漏洞，该漏洞源于所谓的“灰色路由”，灰色路由通过不安全的渠道发送短信，从而绕过国际电信协议规定的费用，即通过不安全的渠道发送短信。 影响：TikTok公司承认，这次利用漏洞的黑客攻击是迄今为止规模最大的TikTok账户被攻击事件。 处置：该公司最终决定不予更换短信服务提供商，因为，如修复灰色路由问题，公司每月将损失数百万美元。TikTok发言人AlexHaurek撰写电子邮件，回应对这次攻击：TikTok发现数据泄露后，立即对不真实行为加强监控，努力化解问题。目前问题已得到解决。TikTok没有发现任何未经授权的内容被发布或用于私信。 建议：TikTok是世界上最受欢迎的应用之一。这次安全漏洞凸显了该公司拥有的力量和应承担的责任。使用灰色路由可以节约公司成本，避开速率限制和反垃圾邮件检测。但是，这样做可能会危及信息安全，使信息易