一周威胁情报摘要

金融威胁情报
乌克兰威胁组织成功发动网络攻击，摧毁俄罗斯税收系统
政府威胁情报
美国海军承包商Austal承认遭受网络攻击，数据发生泄露
工控威胁情报
OT/IoT 路由器中被曝存在 21 个高危漏洞
高级威胁情报
俄罗斯组织 Fighting Ursa 利用 Microsoft Outlook 漏洞展开多轮攻击
漏洞情报
漏洞通告 | 亿赛通新一代电子文档安全管理系统远程代码执行漏洞
勒索专题
美国肯塔基州卫生系统Norton Healthcare 遭勒索软件攻击，数据发生泄露
钓鱼专题
新型恶意软件MrAnon Stealer针对德国用户发起网络钓鱼攻击

金融威胁情报

乌克兰威胁组织成功发动网络攻击，摧毁俄罗斯税收系统

Tag：乌克兰，俄罗斯，税务

事件概述：

近期，乌克兰军方网络战部队发动网络攻击精准打击俄罗斯税收系统。攻击策略从渗透俄罗斯联邦税务服务核心服务器开始，迅速蔓延至全俄2300多个地区服务器，甚至涉及克里米亚。此次攻击导致所有服务器感染恶意软件。

同时，类似手法的攻击也同时瞄准支持俄罗斯联邦税务服务的IT公司Office.ed-it.ru。这两次网络攻击彻底摧毁了多年来维持俄罗斯复杂税收系统运转的关键配置文件，包括数据库和备份。结果，俄罗斯联邦税务服务与Office.ed-it.ru之间的通信中断，将俄罗斯全境的税务数据流失至乌克兰军方。

这次网络攻击实际上是对俄罗斯主要国家机构之一基础设施的摧毁，以及与税务相关的大量数据的毁灭。乌克兰军方成功获取了俄罗斯全国范围内的税务数据流，使俄罗斯联邦税务服务在未来至少一个月内陷入无法逆转的瘫痪状态。尽管俄罗斯方一直在努力恢复税收系统，但专业人士普遍认为，系统的完全恢复几乎是不可能的。这次网络攻击被看作是乌克兰军方网络战部队对克里姆林宫的一次强烈打击，使其在短时间内失去了对税收和征收的控制。

来源：
https://gur.gov.ua/content/zlam-federalnoi-podatkovoi-sluzhby-rf-detali-cherhovoi-kiberspetsoperatsii-hur.html

政府威胁情报

美国海军承包商Austal承认遭受网络攻击，数据发生泄露

Tag：国防承包商，数据泄露

事件概述：

澳大利亚造船公司Austal USA，作为美国国防部和国土安全部的承包商，最近确认遭受网络攻击，目前正在紧急调查事件的影响。Austal USA专注于高性能铝制船舶的制造，其美国子公司涉及多个项目，包括为美国海军建造每艘耗资3.6亿美元的127米“独立级”近海作战舰艇，以及与美国海岸警卫队签订的总值33亿美元的合同。

根据Hunters International声称，这个涉及勒索软件和数据勒索的组织声称已成功侵入Austal USA，并在暗网上泄露了一些信息。公司发言人已向BleepingComputer确认了这次攻击，并表示Austal USA已经迅速采取措施，确保未对业务运营产生影响。尽管Hunters International威胁将在未来几天发布更多从Austal系统窃取的数据，包括合规文件、招聘信息、财务细节、认证和工程数据，但公司强调威胁者未能获取个人或机密信息。目前，联邦调查局（FBI）和海军刑事调查局（NCIS）等监管机构已介入调查。

来源：
https://www.bleepingcomputer.com/news/security/navy-contractor-austal-usa-confirms-cyberattack-after-data-leak/

工控威胁情报

OT/IoT 路由器中被曝存在 21 个高危漏洞

Tag：OT/IoT，路由器，高危漏洞

事件概述：

近日， Forescout披露了Sierra Wireless AirLink手机路由器和开源软件的21个新漏洞，对全球86,000个易受攻击的路由器构成潜在威胁。这些路由器广泛用于各领域，包括警车、制造工厂、医疗设施和电动汽车充电站。其中一个漏洞的危害程度高达9.6分，给攻击者提供了窃取凭证、注入恶意代码、控制路由器并侵入关键网络的机会。尽管不到10%的设备已修复自2019年以来的先前漏洞，但有90%的特定管理界面设备已经进入到生命周期周后阶段，无法再进行修复。Sierra Wireless和OpenDNS发布了修复程序，然而，由于TinyXML是废弃的开源项目，上游漏洞将无法修复，只能在下游寻找解决方案。

此次发现强调了对OT/IoT边缘设备的加强关注，这些设备容易被攻击者用作潜在入口，提醒各方采取措施确保网络安全。

来源：
https://www.helpnetsecurity.com/2023/12/06/vulnerabilities-ot-iot-routers/

高级威胁情报

俄罗斯组织Fighting Ursa利用Microsoft Outlook漏洞展开多轮攻击

Tag：俄罗斯，漏洞，APT28

事件概述：

今年初，乌克兰网络安全研究人员发现 Fighting Ursa 组织利用 Microsoft Outlook 的 0day 漏洞（现已知为 CVE-2023-23397）展开攻击。由于该漏洞无需用户交互，即可展开攻击引起广泛关注。Fighting Ursa 组织在过去20个月内曾使用 CVE-2023-23397 攻击至少30个组织，这些组织分布在14个可能对俄罗斯政府和军方具有战略情报价值的国家。Fighting Ursa 组织利用该漏洞进行的攻击活动分为三轮，首次发现是在2022年3月至2022年12月，第二轮于2023年3月，而第三轮则在2023年9月至10月之间。这次最新的活动涉及7个国家的至少9个组织。

技术手法：

Fighting Ursa 使用了一系列复杂的技术手段。首次于2022年3月18日利用 CVE-2023-23397 进行 0day 攻击，之后两轮攻击在漏洞被发现后依然采用这一方式。攻击通过嵌入特制邮件实现，当受害者查看邮件时，Outlook 向攻击者控制的远程文件共享发送 NTLM 认证消息。攻击者进行 NTLM 中继攻击，使用 NTLMv2 哈希来冒充受害者，进入和操纵受害者网络。

由于攻击对象包括俄罗斯感兴趣的目标，如政府机构和关键基础设施，建议相关组织立即修补 CVE-2023-23397，确保适当配置以防范未来的攻击。

来源：
https://unit42.paloaltonetworks.com/russian-apt-fighting-ursa-exploits-cve-2023-233397/

漏洞情报

漏洞通告 | 亿赛通新一代电子文档安全管理系统远程代码执行漏洞

Tag：远程代码执行漏洞

事件概述：

亿赛通新一代电子文档安全管理系统被发现存在严重的远程代码执行漏洞，由微步漏洞团队通过“X 漏洞奖励计划”披露。该漏洞源自系统文件服务器文件读取功能的缺陷，使得攻击者得以绕过认证读取系统文件，获取账号口令，并可通过文件上传功能上传 Webshell，从而获取服务器权限。漏洞利用难度较低，威胁极高，因此迫切建议采取修复措施。微步在线产品已支持检测和防护，提供了官方和临时修复方案。更多内容需查看“”。

来源：
https://mp.weixin.qq.com/s/0NgADFkQVyyMwAeGaA2mAA