安全威胁情报周报（2023/03/20-2023/03/24）

在挤兑其存款后，硅谷银行(SVB)于2023年3月10日倒闭，并引起了媒体的广泛关注。受影响的公司寻求替代融资方式来维持业务运营。

在银行对其存款进行挤兑后，硅谷银行（SVB）于2023年3月10日经历了失败，并引起了媒体的极大关注。由于SVB传统上是全球许多初创公司的首选银行合作伙伴，因此预计其失败将对这个社区产生重大影响。

SVB的崩溃非常严重，许多初创公司现在面临财务不稳定甚至潜在的裁员。然而，这种对金融稳定的追求使他们成为威胁行为者 (TA) 的主要目标，他们正在利用当前形势进行各种恶意活动。

攻击者利用OneNote文档投递Emotet僵尸网络程序Emotet恶意软件现在使用Microsoft OneNote电子邮件附件进行分发，旨在绕过Microsoft安全限制并感染更多目标。

钓鱼邮件附件为OneNote文档，伪装该文档受保护，并需要双击“查看”按钮以正确显示文档。当双击指定位置时，恶意程序会被启动。加载后，恶意软件将窃取电子邮件联系人和电子邮件内容，以用于将来的垃圾邮件活动。它还将下载提供对公司网络的初始访问权限的其他有效负载。

此访问权限用于对公司进行网络攻击，其中可能包括勒索软件攻击、数据盗窃、网络间谍和勒索。虽然Emotet是过去分布最广泛的恶意软件之一，但在过去的一年里，它会突然停止和开始，最终在2022年底休息。

HYAS Institute研究员和网络安全专家Jeff Sims开发了一种名为Blackmamba的新型ChatGPT驱动的键盘记录恶意软件，它可以绕过终端安全软件。它每次执行都会调用ChatGPT/text-DaVinci-003，编写一个独特的键盘记录器Python脚本。

研究人员能够在Python3中生成键盘记录器，并通过每次召唤聊天机器人时运行python exec()函数来创建独特的Python脚本。这意味着每当调用ChatGPT/text-DaVinci-003时，它都会为键盘记录器编写一个唯一的Python脚本。

这使得恶意软件具有多态性，无法被EDR检测到。攻击者可以使用ChatGPT修改代码，使其更加难以捉摸。他们甚至可以开发恶意软件/勒索软件开发人员可以用来发起攻击的程序。

Akamai说，HinataBot的操作者最初分发Mirai二进制文件，而HinataBot首次出现在2023年1月中旬。它以Mirai为基础，是基于Go的变体。

该恶意软件通过对SSH端点进行暴力攻击或使用已知漏洞的感染脚本和RCE有效载荷进行分发。感染设备后，恶意软件会默默地运行，等待来自命令和控制服务器的命令执行。

虽然HTTP和UDP攻击命令不同，但它们都创建了一个包含512个工作线程（进程）的工作线程池，这些工作线程在自定义的持续时间内向目标发送硬编码数据包。HTTP数据包的大小在484和589字节之间。而HinataBot产生的UDP数据包则特别大（65,549字节），由大量的空字节组成。

The Hacker News网站消息，可信平台模块(TPM )2.0参考库规范中爆出一个严重安全漏洞，这些漏洞可能会导致设备信息泄露或权限提升。

Quarkslab指出，使用企业计算机、服务器、物联网设备、TPM嵌入式系统的实体组织以及大型技术供应商可能会受到这些漏洞的影响，并一再强调，漏洞可能会影响数十亿设备。

漏洞事件发酵后，可信计算组织（简称：TCG，由AMD、惠普、IBM、英特尔和微软组成）指出，由于缺乏必要的检查，出现漏洞问题，最终或引起本地信息泄露或权限升级。CERT协调中心（CERT/CC）在一份警报中表示，受影响的用户应该考虑使用TPM远程验证来检测设备变化，并确保其TPM防篡改。

本周一，意大利豪华汽车制造商法拉利公司在其网站上发布了一条消息，该消息表示近日遭到了不明来源的黑客攻击。

此次黑客攻击事件导致部分客户的个人信息遭到泄露，目前黑客威胁法拉利公司支付赎金，否则将公布客户的信息，包含联系方式、邮箱等。总部位于意大利马拉内罗的汽车制造商似乎在黑客联系他们之前并不知道他们已被入侵。

针对黑客的赎金要求，法拉利公司发表声明称：他们不会屈服于黑客的要求，法拉利不会受制于这样的勒索，因为一旦支付赎金，只会为犯罪分子提供更多的资金支持，同时更会使他们变本加厉的去施行网络犯罪。这无疑是助纣为虐。

据外媒报道，一名黑客正在一个俄语论坛上出售据称是从美国法警局（USMS）服务器中窃取的350GB数据。USMS是美国司法部下属的一个机构，通过执行联邦法院命令、确保证人及其家人的安全、查封非法所获资产等职责为联邦司法系统提供支持。

这些文件包括具有精确坐标的军事基地和其他敏感区域的航拍视频及照片、护照及身份证明的副本、以及有关窃听和监视公民的细节，另外还有一些关于罪犯、黑帮头目等的信息。卖家还声称，其中一些文件被标记为机密和绝密，并且还包含证人保护计划的细节。

USMS发言人Drew Wade表示，该次事件中遭窃取的数据包括USMS的执法敏感信息，法律程序相关信息，与美国法警局调查对象、第三方、某些雇员有关的个人身份信息。但当时的说法是，攻击者并未获得USMS的证人安全文件信息系统（也被称为WITSEC或证人保护计划）数据库的访问权限。

根据Cybernews的研究，娱乐业巨头狮门泄露了用户的IP地址以及有关他们在其电影流媒体平台上观看的内容的信息。

在调查过程中，我们的研究人员发现视频流媒体平台狮门Play通过开放的ElasticSearch实例泄露了用户数据。

Cybernews研究团队发现了一个未受保护的20GB服务器日志，其中包含近3000万个条目，最早的记录为2022年5月。日志暴露了订阅者的IP地址和有关设备、操作系统和Web浏览器的用户数据。日志还泄露了平台的使用数据，通常用于分析和性能跟踪。在日志中找到的URL包含用户在平台上观看的内容的标题和ID，以及用户输入的搜索查询。

新鲜农产品巨头都乐食品公司证实，二月份勒索软件攻击背后的威胁行为者已经访问了数量不详的员工的信息。

都乐在全球拥有约38,000名员工，为超过75个国家的客户提供新鲜水果和蔬菜。该公司透露，上个月的网络攻击直接影响了周三提交给美国证券交易委员会（SEC）的年度报告中的员工信息。

“2023年2月，我们成为复杂的勒索软件攻击的受害者，涉及未经授权访问员工信息，”多尔在文件中说。“在发现攻击后，我们立即采取措施遏制攻击，保留了领先的第三方网络安全专家的服务，并通知了执法部门。都乐于2月22日披露了勒索软件攻击，并表示其对其运营的影响有限。

Cybernews研究团队发现，韩国社交平台 powderroom.co.kr（自称是该国最大的美容社区）正在泄露一百万用户的私人数据。

12月15日，研究人员发现了一个可公开访问的数据库，其中包含近140GB的数据。一些服务器日志包括包含个人信息（如姓名、电话号码和家庭住址）的条目，以及有关用于访问站点的用户设备和浏览器的元数据。该数据集包括超过一百万个电子邮件地址。

在泄露的数据中，研究人员发现了一百万个用于身份验证和访问网站的令牌。滥用它们，威胁行为者可以使用与帐户关联的付款方式劫持用户帐户并在平台上购买产品。此外，攻击者可以修改帐户详细信息，并发表评论和评论。泄露家庭住址和电话号码令人担忧，因为暴露此类信息可能会导致对平台用户的亲自跟踪或骚扰。

OpenAI的ChatGPT中的一个缺陷允许用户查看其他用户与聊天机器人的部分对话。

微软支持的初创公司OpenAI已经修复了ChatGPT错误，该公司首席执行官Sam Altman将其描述为“重大问题”。该漏洞允许用户查看其他用户与聊天机器人的部分对话。

“由于开源库中的错误，我们在ChatGPT中遇到了一个重大问题，现在已经发布了修复程序，我们刚刚完成验证，”Altman 在一条推文中说。

秦刚指出，中方正式发布《全球安全倡议概念文件》（以下简称《概念文件》），阐释倡议的核心理念和原则，明确重点合作方向和平台机制，展现中方对维护世界和平的责任担当、对守护全球安全的坚定决心。

《概念文件》列出20项重点合作方向，具有鲜明的行动导向，归纳起来就是：坚定支持联合国安全治理核心作用、努力促进大国协调和良性互动、积极推动对话和平解决热点问题、有效应对传统与非传统安全挑战、不断加强全球安全治理体系和能力建设。

重点合作方向”第十三提出，深化信息安全领域国际合作。中方已提出《全球数据安全倡议》，希望推动达成反映各方意愿、尊重各方利益的全球数字治理规则。持续推进落实《中国－阿拉伯联盟数据安全合作倡议》和《“中国+中亚五国”数据安全合作倡议》，共同应对各类网络威胁，构建开放包容、公平合理、安全稳定、富有生机活力的全球网络空间治理体系。

多年来，金融机构在反欺诈等黑产对抗工作上的投入不断增加，面对黑产不断的花样翻新，金融机构的防护难度也不断攀升。中国工商银行作为金融行业的先行者，持续关注黑产发展，其下属金融科技研究院安全攻防实验室（以下简称“实验室”）多年来持续面向社会发布黑产动向及防护技术的研究报告。

为了数字化展示一年来的黑产趋势变化，实验室结合黑产数据分析，从黑产的诈骗类型、传播趋势、攻击类型等方面对2022年黑产形势进行总结分析。

2022年全国公安机关持续加强针对黑产团伙的打击，结合“云剑”、“净边”等一系列专项行动，对黑产进行了有效遏制，截至11月底，全国共破获电信网络诈骗案件39.1万起，立案数同比下降17.3%，造成财产损失数额同比下降1.3%。各类欺诈事件数量较2021年有较大幅度下降。

2022年针对金融行业的黑产攻击目标主要包含两大类，一是对个人用户的资金欺诈，二是对金融企业的薅羊毛、活动作弊。

针对个人用户的资金欺诈方面：根据相关数据统计，去年针对普通个人用户的欺诈类型仍以虚假兼职、交友诈骗、身份冒充、金融理财为主，分别占所有类型的29.5%、25.6%、12.5%和10.7%，占所有举报类型的70%以上，且此四类诈骗危害结果也较高，涉案金额占所有类型涉案总额的95%以上。相较2021年，虚假兼职及交友诈骗占比变化不大，但身份冒充类案件数量在2022年有所上升，由2021年的第四位（9.4%），上升到第三位（12.5%）。

针对金融企业的欺诈方面，黑产对银行业务的关注度在2022年持续攀高，银行业欺诈事件整体呈高发态势，从针对银行业攻击消息数量的统计中可以看出，针对银行业的攻击多集中发生在下半年，与这期间银行业务活动较多、整体营销力度较大有关。

由于不同业务类型的攻击成本不同，因此黑产针对不同类型营销活动的关注度也呈现出不同分布，其中用户注册、抢优惠券等业务由于容易受到云手机、自动化脚本、接码平台的攻击，攻击损耗[[1]]比较低，整体遭受的攻击最为严重，分别占比54.49%和32.57%，总占比近九成。答题、助力等活动由于需要真人参与作弊，诈骗成本较高，因此总体攻击占比较小。

从针对金融行业攻击的黑产IP分布来看，黑产IP主要集中在部分重点地区，以江苏、浙江、辽宁、福建、安徽五地为主，黑产IP数量占比超过70%。

从黑产使用的工具来分析，2022年黑产使用工具主要分为三类：开发者工具、自研类工具和辅助通讯类工具。开发者工具，主要包括开源类应用、模拟器、测试包等应用；自研类工具多为从业者定向使用的工具，如洗钱-免签、跑分平台等特殊应用；辅助类工具是指物料提供环节使用的应用，如GOIP、远控类等应用。从数据统计中可以看出，2022年度黑产各类工具传播量整体呈增长趋势，黑产工具传播量在3月、7至8月、11月出现3个明显峰值，这与暑期、“双11”等电商推出促销活动强相关，说明重点活动期间，黑产活跃性也同步增强。

随着新一轮科技革命和产业变革的深入发展，数字化转型已经成为当前银行业提升服务效能的主流趋势，然而伴随着企业数字化转型，企业业务的边界愈发模糊，黑产的攻击手段也愈发多元化。为了进一步提升整个行业的黑产防护水平，实验室选取了年内黑产研究对抗中最典型、最具代表性的黑产攻击手法，为大家进行介绍，希望全社会共同关注，实现对相关手法的预防：

黑产云化升级，“云手机”成为黑产作案新武器。“云手机”是指构建在云计算能力之上的云端仿真手机，除了无法插入SIM卡、拨打电话之外，基本上具有真实手机的所有功能。根据实现原理，“云手机”大致经历了四代的发展，包括真机云手机、模拟器云手机、容器云手机、ARM阵列云手机。相较于前几代云真机，2022年最新一代基于ARM阵列的“云手机”在功能、性能方面的表现无限接近真机，可基于云技术提供监控和迁移能力，稳定性表现优秀，除此之外也具备极强的拓展性。

黑产专用云手机通过集成虚拟定位功能，使得黑产可快速伪造地理位置，从而突破商家的风控限制。改机场景：商家在业务推广活动中，往往会限制单台设备的活动参与次数，黑产可利用云手机的改机组件，快速修改IMEI等硬件参数，仿冒大量全新设备重复参与活动领取补贴，薅取商家羊毛。

此外，针对银行的催收电话，反催收黑产会教导客户“专业应对话术”，包括挑衅或诱导催收人员使用过激言语，然后再凭借这些言语录音威胁举报银行恶意催收，或者向监管部门投诉，迫使银行接受用户提出的不合理条件。

随着元宇宙概念的兴起，计算机视觉、虚拟现实等人工智能生成算法已在多个领域广泛应用，包括AI换脸在内的技术使得虚拟和现实之间的界限正在逐渐消融，此类算法一旦被恶意利用，将会造成严重的安全威胁。

除了图像视频维度的深度伪造，语音声纹维度的合成伪造技术也是业界关注的热点，在学术领域已有比较成熟的研究成果。2022年，清华大学人机语音交互实验室提出了一种基于“对抗互信息学习特征解耦”的零样本语音转换模型，模型将内容、音色、韵律和音高等音频特征解耦，运用梯度反转层的对抗性分类器，基于目标人的一小段语音信息，即可合成目标人的任意语音。

随着业务安全风险与黑客攻防的白热化，实验室积极探索反黑产全景作战思路，解决当前业务风险看不到、摸不准的难题。传统管理模式下，一方面业务创新人员不具备黑产对抗的背景，难以完整有效地识别新业务的相关风险，在一些存量业务的“风险回头看”中也难以进行有效梳理；另一方面业务安全风险防控面临金融业务种类繁多、分支复杂、场景拓展迭代快的挑战，安全人员难以有效对全量业务进行风险挖掘。

在数字化转型的大背景中，安全与发展是金融行业的“一体之两翼、驱动之双轮”，在网络黑产日益体系化、隐蔽化、智能化的发展趋势下，企业如何实现业务安全的闭环显得愈发重要，不断新增的黑产威胁已经成为金融行业不容忽视的挑战。