安全威胁情报周报（2023/02/06-2023/02/10）

近日美国佛罗里达某医院IT系统因受到网络攻击被迫停止各项服务。

美国佛罗里达州塔拉哈西纪念医疗保健(TMH)在周四晚些时候发生网络攻击后，已将其IT系统下线并暂停非紧急程序。

虽然其所有网络系统都已上线，但 TMH 表示这次攻击只影响了其中的一些系统。需要紧急医疗服务(EMS)的患者也将被转移到其他医院，因为TMH只接受来自其直接服务区域的1级创伤。

据相关消息，在英国最大的邮政企业皇家邮政（Royal Mail）遭遇网络攻击近1个月后，LockBit勒索软件组织正式承认自己是这起网络勒索攻击事件的“始作俑者”。

2月6日（UTC），皇家邮政被列入LockBit数据泄露网站的攻击条目，表示该组织正式宣告对这起攻击事件负责。条目显示，如果不能在2月9日星期四凌晨03:42分（UTC）之前缴纳赎金，被盗数据将会公开发布。

在攻击发生后，皇家邮政仍将这起事件模糊地描述为“网络事件”，试图淡化勒索攻击带来的影响，并表示已经恢复了部分受影响的服务。就在去年11月，皇家邮政也曾因网络故障，导致在线追踪服务中断超过24小时。

据相关网站披露，某些网络攻击者正在利用向日葵中存在的安全漏洞，部署Sliver C2框架，以期开展后续“入侵攻击”活动。

安全研究人员指出，网络攻击者不仅仅使用了Sliver后门，还部署了BYOVD（自带易受攻击的驱动程序）恶意软件，意图破坏安全产品并安装反向shell。

整个攻击链条中，攻击者首先利用向日葵v11.0.0.33及更早版本中存在的两个远程代码执行漏洞CNVD-2022-03672和CNVD-2022-10270获得权限，然后传送Sliver或其它类似Gh0st RAT和XMRig的恶意加密货币挖矿软件。

据相关网站报道，英国半导体材料厂商摩根先进材料（Morgan Advanced Materials）日前披露，上月发生的网络攻击可能造成高达1200万英镑（约合人民币9799万元）的损失。消息一出，公司股价立马跳水。

此次事件的性质尚未得到证实，但从监管新闻服务（Regulatory News Service）上发布的投资者公告来看，事件影响部分的描述基本可以断定是勒索软件攻击。

摩根先进材料公司表示，旗下所有制造工厂均在正常运营。“只是在系统恢复期间，部分制造工厂临时转为手动操作流程。”该公司承认，“经过论证，少数系统已经无法恢复”，应对办法则是引入云端企业资源规划解决方案，也就是利用SaaS产品取代所有内部部署的IT系统。

在一个名为RansomHouse的数据泄露活动中，据称来自迪拜商品衍生品交易所的100GB数据已被泄露。

威胁行为者RansomHouse声称已经访问了迪拜黄金和商品交易所（DGCX）的数据，这是一家位于阿联酋迪拜的金融和商品衍生品交易所。该团伙发布了泄漏通知，称他们已经下载了100GB的数据。

根据泄漏通知，数据于1月13日加密。与常规赎金通知不同，它不会威胁泄露数据或支付赎金的最后期限。据该组织网站上传从泄露数据截图来看，数据主要为中东领先交易所的交易记录等。

总部位于美国的在线杂货配送平台Weee！在网上泄露了1100万客户的送货数据。一些日志包括快递员用来进入建筑物的门密码。

攻击者上传了一个数据库，其中包含1100万Weee!的客户信息。Cybernews研究小组证实，泄漏似乎由以前泄漏中未出现的数据组成。

发布数据库的威胁行为者声称该数据库于2023年2月被盗。发布数据库的攻击者似乎和从移动运营商US Cellular泄露被盗数据的为同一个人。威胁行为者声称泄露的数据库包括敏感数据，例如用户的名字、姓氏、电子邮件、电话号码、家庭住址、交付类型、设备和日期。

由于数据库配置错误，总共有717,814名加拿大人的个人记录暴露在公众面前。

总部位于多伦多的抵押贷款经纪人8Twelve Financial Technologies被发现有一个配置错误的数据库向公众公开。该数据库包含超过五十万人的个人信息。根据识别服务器的Website Planet的网络安全研究人员的说法：情况更糟，数据在没有任何安全身份验证或密码的情况下暴露。

该数据库包含数千名加拿大居民的717,814条记录，以及与抵押贷款相关的信息，包括全名、电话号码、电子邮件地址，物理地址等。

近日相关研究团队发现了一个未受保护的Azure存储 blob，其中包含大约一百万个文件，这些文件属于跨国公司Andersen Corporation的子公司Renewal by Andersen。

云上近30万份文件暴露了该公司客户的家庭地址、联系方式和家庭装修订单，包括来自美国各州的客户家庭的内部和外部照片。最早的文件可以追溯到2016年。

云存储上的装修项目由客户存档，包括带有客户姓名、电子邮件和电话号码的JSON文件。该数据集还包括一个“savedata”文件，包含了客户端的物理签名。它还包含带有订单详细信息的PDF文件——使用的材料、购买和安装的物品、各种协议以及公司员工计划开展工作的家庭区域的照片。

据相关报道，LG Uplus上个月的数据泄露事件可能影响约290000个用户。

1月初，该移动运营商曾透露约有18万条客户信息泄露，包括姓名、出生日期和电话号码等，但不涉及财务信息。近日，该公司在其网站上表示，发现了另外11万条已终止订阅的客户的数据也受到了影响。

目前，LG Uplus正在积极配合当局的调查，事件还在进一步调查当中。有关后续消息需等待进一步公告。

匿名者组织上周发布了128 GB的文件，据称这些文件是从俄罗斯互联网服务提供商Convex窃取的。

庞大的数据宝库由Anonymous附属集团Caxxii的附属机构租用。被盗文件包含情报部门FSB进行的天罗地网监视活动的证据。据称，这种监视活动被归类为未经授权的窃听、间谍活动和对平民的无证监视，这些都是违反该国法律的。

据悉，公民的互联网和电话使用情况，以及尚未公开的绿色原子监视计划的独家细节，匿名者组织声称，是由俄罗斯联邦安全局运营。该数据还包含数千名俄罗斯公民的记录，他们是该计划针对的俄罗斯公司的客户。

TruthFinder和Instant Checkmate背景调查服务的所有者PeopleConnect证实，在黑客泄露了包含数百万客户信息的2019年备份数据库后，他们遭受了数据泄露。

1月21日，被入侵的黑客和数据泄露论坛的一名成员泄露了据称截至2019年4月16日使用这些服务的2022万TruthFinder和Instant Checkmate客户的数据。在2019年4月16日创建备份之前，被盗数据被共享为两个仅包含客户信息的2.9GB CSV文件。

今天，PeopleConnect在Instant Checkmate和TruthFinder上发布了通知，确认这两项服务都遭受了数据泄露。数据安全事件通知中写道：“我们最近了解到，正在讨论TruthFinder订户的列表，包括姓名，电子邮件，电话号码，以及安全加密的密码以及过期和不活跃的密码重置令牌，并在在线论坛中提供。我们已经确认该列表是几年前创建的，似乎包括2011年至2019年间创建的所有客户帐户，公布的名单起源于我们公司内部。”

日前，中测安华研究发布了《国家网络空间海外利益保护白皮书》，对当前我国网络空间海外利益进行深入研究。

全面分析网络空间海外利益保护的内涵、要素等，阐述了现阶段我国海外组织机构面临的风险与挑战，同时还针对性给出对策建议，分享典型工作场景指引。

网络空间海外利益主体存在的其他风险问题，海外局势的不确定性，全球供应链攻击事件呈现爆发态势；央国企对海外机构缺乏有针对性的管理措施和监管手段；海外数字化转型带来新的风险敞口，软硬件配套基础设施及安全保障措施匹配欠缺。

近日，国家能源局发布《2023 年电力安全监管重点任务》，确保电力系统安全稳定运行和电力可靠供应，推动全国电力安全生产形势持续稳定向好。

该任务要求，全力做好电力供应保障。开展年度电网运行方式和电力供需形势分析，做好迎峰度夏(冬) 等重点时段电力安全保障和突发事件应对工作，加强燃煤机组非计划和出力受阻停运监管，确保电力安全可靠供应。

其强调开展电力行业关键信息基础设施安全保护专项监管。制修订电力关键信息基础设施安全保护政策性文件，动态开展认定。对电力行业运营者落实关键信息基础设施安全保护要求的有关情况开展专项监管。

2022年，受全球经济下行趋势的影响，重点地区的地缘冲突形势明显加剧，这也导致相关APT攻击事件数量呈现爆发趋势。

实验室发布的《2022年度APT高级威胁报告》中，对东欧、南亚、东亚、中东等重点地区的APT活动情况进行了整理，对活跃APT组织与新兴APT组织的发展轨迹进行了描述，并总结了2022年度我国面对的APT攻击形势。

报告显示，2022年绿盟科技捕获与确认的APT事件数量超过2021年，这些事件分别归属于22个APT组织。

报告显示，受俄乌战争等重点地缘冲突事件的影响，2022年的APT事件在时间和空间的分布上具有明显特征，整体呈现从密集到稀疏，从东欧到亚洲的趋势。

报告表明，2022年我国遭受的APT攻击较多，重点事件包括来自美国NSA-TAO的攻击事件、来自越南海莲花组织的系列攻击活动、针对国内高校的多起APT窃密攻击活动、以及针对我国大型企业的大量勒索式攻击活动。

报告认为，地缘冲突是国家级APT组织的根本驱动力，国家级APT组织的攻击活动已经成为对应国家嗅探局势变化，应对地缘冲突升级的重要手段，甚至成为一种重要的作战力量。为应对当前APT攻击发展趋势，防御方需要发掘并重视APT攻击的 “信号” 属性，通过建立完善的监控与统计体系，感知APT攻击倾向与趋势，从而作出正确的应对。