安全威胁情报周报（2024/03/23-2024/03/29）

    近日，由于使用 VNDirect 的投资者无法交易，胡志明市证券交易所 25 日的交易量下降了 10%。

    有消息称：越南第三大证券经纪公司 VNDirect(越南直接投资证券股份有限公司)在上周末遭遇网络攻击，目前正全力恢复运营。

    尽管公司 27 日宣布部分服务已经恢复上线，但据当地媒体报道，投资者仍然无法登录平台。VNDirect 计划分四个阶段逐步恢复各项在线服务，从客户账户开始，最后是金融产品。

图：网站等待刷新页面

    截至当地时间 27 日晚些时候，VNDirect 的官方网站仍然无法访问。

    河内证券交易所(HNX)宣布,“在问题得到解决之前”，暂时中断 VNDirect的远程或在线衍生证券交易、债务工具交易和个人公司债券交易。

    据路透社报道，本周以来，VNDirect的股价已经下跌了近4%。由于使用VNDirect 的投资者无法交易，胡志明市证券交易所(简称HOSE或HSX)25 日的交易量下降了 10%。

    越南国家证券委员会(SSC)的副主席向路透社表示，他认为这次攻击不具备“传染性”，其他当地金融机构没有风险。他补充说，没有其他经纪商受到这次黑客攻击的影响。

    VNDirect 在胡志明市交易所的市场份额排名第三，占比 7%。公司表示，其“整个系统在周日被国际黑客攻击”，但客户资产或数据没有受到影响。

    近日，研究发现“TheMoon”恶意软件僵尸网络的新变种感染了88个国家/地区数千个小型办公室和家庭办公室(S0H0)路由器和物联网设备。

    TheMoon 与“Faceless”代理服务相关联,该服务使用一些受感染的设备作为代理，为希望匿名其恶意活动的网络犯罪分子路由流量。

    Black Lotus Labs 研究人员对 2024 年3月上旬开始的最新 TheMoon 活动进行监控，发现 72 小时内有 6.000 台华硕路由器成为攻击目标。

    威胁分析师报告称，IcedID和SolarMarker 等恶意软件操作目前使用代理僵尸网络来混淆其在线活动。

图：Faceless 代理服务概述

    TheMoon 首次被发现 于 2014 年，当时研究人员警告称，该恶意软件正在利用漏洞感染 LinkSys 设备。

    该恶意软件的最新活动在一周内感染了近7.000 台设备，Black LotusLabs 表示它们主要针对华硕路由器。

    Black Lotus 警告称:“通过 Lumen 的全球网络可见性,Black Lotus Labs已经确定了 Faceless 代理服务的逻辑图，其中包括一项于 2024 年3 月第一周开始的活动，该活动在不到72小时内针对 6,000 多个华硕路由器进行了攻击”实验室研究人员。

    研究人员没有具体说明用于破坏华硕路由器的确切方法，但鉴于目标设备型号已停产，攻击者很可能利用了固件中的已知漏洞。

    近日，谷歌威胁分析小组(TAG)和谷歌子公司Mandiant 表示，他们观察到 2023 年攻击中利用的 0day 漏洞数量显着增加，其中许多与间谍软件供应商及其客户有关。

    谷歌研究人员周三表示，他们观察到2023年有97 个 0day 漏洞被利用而 2022年为 62 个，增加了 50%。

图：自 2019 年以来的攻击中利用的零日漏洞

    在 97 个 0day 漏洞中，研究人员能够确定其中 58 个 0day 漏洞利用的攻击者动机。其中 48 个漏洞归因于间谍活动，其余 10 个漏洞则归因于出于经济动机的黑客。

    FIN11 利用了三个 0day 漏洞，四个勒索软件团伙——Nokoyawa 、Akira、LockBit 和 Magniber——分别利用了另外四个。该报告指出，FIN11 是影响Accellion 旧版文件传输设备的 2021 年 0day 漏洞的幕后黑手，该设备被用来攻击数十家知名机构。

    近日，Google Play 应用商店中有10 多款免费 VPN 应用内含恶意工具包，能在用户不知情的情况下将安卓设备变成住宅代理，进而从事各种恶意活动。

    住宅代理是通过位于家中的设备为其他远程用户路由互联网流量,使流量看起来合法，虽然这种代理具有市场研究、广告验证和搜索引擎优化(SE0)等合法用途，但也被许多网络犯罪分子利用来隐藏恶意活动，包括广告欺诈、垃圾邮件、网络钓鱼、撞库和密码喷洒。

    当住宅代理被秘密安装时,受害者的互联网带宽将在他们不知情的情况下被劫持，并成为恶意活动流量的“帮凶”，事后容易给自身惹来法律纠纷。

图：LumiApps 主页

    谷歌已于 2024 年2月从 Google Play 应用商店中删除了所有使用LumiApps SDK 的应用程序，并更新了 Google Play Protect 以检测应用程序中使用的 LumiApp 库。与此同时，这些 VPN 应用也在被开发人员删除恶意的SDK 后重新上线。

    Change Healthcare 网灾事件过后，美议员紧急发起立法，要求为满足最低网络安全标准的医疗供应商提供预付款和加急付款，以免它们受此影响面临财务破产风险。

    美国民主党参议员 Mark R. Warner 日前提出《2024年医疗保健网络安全改进法案》，建议针对满足最低网络安全标准的医疗提供商，在网络事件后提供预付款和加急付款。

    这项立法是对 Change Healthcare 遭受勒索软件攻击做出的回应。此次攻击导致美国全国医疗提供商结算服务中断，使许多提供商面临财务破产风险。据美国医院协会报告统计，几乎所有医院都感受到了此次事件对其财务或患者护理服务的影响。

图：网站公告

    这项法案提出者 Mark R. Warner 是参议院财政委员会成员，也是参议院网络安全小组的共同主席。法案提出，修改现有的《医疗保险医院加急付款计划》和《医疗保险B部分预付款计划》，要求卫生与公众服务部长确定付款需求是否由网络事件导致。

    近日，德国当局查封了暗网市场 Nemesis Market，并没收了价值 94,000欧元的数字资产。

    德国当局采取行动，成功打击了位于德国和立陶宛的非法暗网市场 NemesisMarket，并查获了其服务器和基础设施。

    Nemesis Market 是一个非法暗网市场，专门用于进行欺诈获取数据交易和其他网络犯罪服务(包括 DDoS 攻击、网络钓鱼和勒索软件等)。

    该平台在全球范围内拥有超过 150000名用户和1100个注册卖家账户，其成立于 2021 年，约 20%的卖家来自德国。

图：网站页面

    Nemesis Market 可通过 Tor 网络访问，其运营商以涉嫌在互联网上进行犯罪交易并且违反麻醉品法的犯行被关闭。在扣押过程中，价值 94000 欧元的加密货币数字资产被没收。

    近日，被追踪为MuddyWater(又名Mango Sandstorm或TA450)的伊朗 APT 组织与 2024 年 3月的一次新网络钓鱼活动有关，该活动旨在提供名为 Atera 的合法远程监控和管理(RMM)解决方案。

    该活动从3月7日到3月11日这一周进行，针对的是跨越全球制造、技术和信息安全领域的以色列实体。

    MuddyWater 被认为是自 2023年10 月下旬以来针对以色列组织的攻击活动中，使用了 N-able 的远程管理工具。这并不是该组织第一次因其依赖合法远程桌面软件来实现其战略目标而受到关注，还观察到使用ScreenConnect、RemoteUtilities、Syncro 和SimpleHelp。

    最新的攻击链涉及 MuddyWater嵌入指向 Egnyte、0nehub、Sync 和TeraBox 等文件共享网站上托管的文件链接。据称，一些以付费为主题的网络钓鱼邮件是从与“co.i1”(以色列)域相关的可能已受感染的电子邮件帐户发送的。

图：PDF 诱饵文档

    在下一阶段，单击 PDF 诱饵文档中的链接将导致检索包含 MSI 安装程序文件的 ZIP 文件，该文件最终会在受感染的系统上安装 Atera Agent 远程管理软件。MuddyWater 对 Atera Agent 的使用可以追溯到2022 年7月。

    3月27 日，EclecticIQ 研究人员发布了一份报告称:黑客攻击了印度政府和能源公司，目的是传播一种名为 HackBrowserData 的开源信息窃取恶意软件。该软件能够在某些情况下利用 Slack 作为命令与控制(C2)泄露敏感信息。

    据调查,这个信息窃取程序是通过伪装成印度空军邀请函的钓鱼邮件发送的。攻击者利用 Slack 作为外渗点，在恶意软件执行后上传机密内部文档、私人电子邮件信息和缓存的网络浏览器数据。

图：攻击链

    据悉，黑客已经成功入侵了私营能源公司，并获取了财务文件、员工个人资料以及石油和天然气钻探活动的详细信息，攻击行动导致约8.81GB 的数据被泄露。

    苏格兰的国家医疗服务体系(NHS Scotland)遭到了一家著名的勒索软件团伙的攻击。

    网络犯罪团伙 INC Ransom 最近在暗网博客上发布了 NHS Scotland 的数据，声称他们窃取了该系统约3TB 的数据。NHS Scotland 系统主要为苏格兰约540万居民提供服务。

图：在 INC Ransom 的暗网博客上发帖

    作为攻击证据，该团伙附上了几份据称被盗的文件，包括医院报告、电子邮件对话、临床报告、文件扫描以及来自苏格兰各医疗机构的其他敏感信息。

    editorialist.com(原名 Project YX)是一个奢侈时尚电子商务平台2023年9月26日，Cybernews研究团队发现了一个暴露的云存储(即Amazon S3 存储桶)，考虑到其中包含的敏感数据，该存储空间很可能不会对公众开放。

    这个看似由于配置不当而意外打开的储藏室属于 Editorialist.com。里面存放着 7000 多张客户发票，上面记录了 Editorialist.com 客户的姓名、地址和购物项目描述。

图：Editorialist 平台

    近期，俄罗斯空降部队和其他部队的领导数据遭泄露，其中涉及俄罗斯军队领导层用户敏感信息。

    其中，俄罗斯领导层包括:俄罗斯空降部队、地面部队、空军、防空部队、反舰导弹旅、海军等。数据样本包含用户名称，电话号码，军衔，职位等

图：暗网信息截图

    目前，该数据价格未知，联系可议。

    随着金融机构和银行业数字化改革逐步进入“深水区”，数据资产已经成为核心价值的驱动器。近些年《“十四五”数字经济发展规划》的发布，有关部门正式将数据确认为重要的生产要素，数据的价值在国家层面得到认可，在各行各业中释放出巨大的潜在力量。在这样的背景下，中国银行业协会制定了《银行业数据资产估值指南》(以下简称《指南》)。

图：银行业数据资产估值指南

    《指南》适用于银行业金融机构，通过融合数据、资产评估和财务等多个专业领域的理论研究和实践，结合商业银行数据资产特性及数据质量、规模及市场交易等因素，构建了适用于商业银行的数据资产估值框架，旨在解决商业银行数据资产价值难衡量等问题，从而为全行业数据资产估值体系的全面构建及落地提供实践参考，推动数据要素市场科学有序发展。

《指南》提出，数据资产估值宜满足以下原则:

    Ø安全合规原则：即在估值过程中需要关注数据资产的安全性和合法性，确保估值过程安全合规；

    Ø目标导向原则：即能够实现为支持内部管理决策和促进外部数据要素流通提供量化参考的目标；

    Ø合理假设原则：即数据资产作为企业资产组成部分的价值可有别于作为单项资产的价值，宜采取适当方法区分数据资产和其他资产共同发挥作用时对组织的贡献，合理使用现状利用假设、公开市场假设、持续经营假设等估值假设；

    Ø量化评估原则：即确保数据资产各方面信息的真实性、准确性，使用专业知识、技术手段和实践经验等，以数据应用特征匹配估值方法，构建数据资产管理估值指标体系，开展数据资产估值。

    在《指南》中，估值指标体系的设计策略在系统性综合数据与数据资产特性以及传统资产评估方法基础上，采纳了数据资产基础评价方法中对数据资产价值影响因素的综合性考量，将数据质量、数据应用、数据安全等指标纳入通过层次分析法定量转化为价值调整系数，形成由成本价值指标、经济价值指标、市场价值指标、内在价值指标组成的估值指标体系。

    近日，有黑客针对 Discord Top.gg 的 GitHub 账户发起了供应链攻击,此次攻击导致账户密码、凭证和其他敏感信息被盗，同时也影响到了大量开发人员。

    Checkmarx 在一份技术报告中提到，黑客在这次攻击中使用了多种 TTP，其中包括窃取浏览器 cookie 接管账户、通过验证提交恶意代码、建立自定义Python镜像，以及向PyPI 注册表发布恶意软件包等。

    Checkmarx 指出,黑客对该平台频繁发起攻击的主要目的很可能是窃取数据并通过出售窃取的信息实现盈利。

图：网络攻击

    事实上，这些年黑客一直在使用各种战术发起攻击，包括劫持GitHub账户、分发恶意 Python 软件包、使用伪造的 Python 基础架构和社交工程等等。

    根据研究人员的调查，黑客的攻击活动最早被发现于 2022年 11 月，当时他们在 Python 软件包索引(PyPI)上首次上传了恶意软件包。随后的几年时间里，有越来越多的携带恶意软件的软件包被上传到了PyPI。

    这些软件包类似于流行的开源工具,其包装的十分“诱人”的描述使它们更有可能在搜索引擎结果中排名靠前。最近的一次上传是今年3月名为"yocolor"的软件包。

图：活动中使用的软件包

    近日，Gartner 安全与风险管理峰会在悉尼举行，旨在探讨网络安全的发展前景。本次峰会，Gartner 公布了2024年及以后的八大网络安全预测。

    Gartner 研究总监 Deepti Gopal 表示，随着 GenAI 的不断发展，一些长期困扰网络安全的问题(尤其是人才短缺和员工安全意识薄弱等问题)出现转机，有望依靠该技术解决问题。而且今年的预测范围并不局限于技术问题，更侧重于人为因素，任何希望建立有效和可持续网络安全计划的 CISO 应该重点关注。

图：Gartner 公布 2024 年八大网络安全预测

    Gartner 建议，CISO 在未来两年的安全战略中应重点关注8个方面:

    Ø2028 年，GenAI 的应用将缩小技能差距，消除50%的入门级网络安全职位对专业教育的要求。

    GenAI 扩增功能将改变企业招聘和培养网络安全人才的方式，以便企业根据个人能力采用合适的培养方式。主流平台已经提供了会话增强功能，未来还会不断发展。Gartner 建议网络安全团队专注于内部用例，并与人力资源部门协调为关键的网络安全职位发掘人才。

    Ø到 2026年，在安全行为和文化计划(SBCP)中将GenAI与基于平台的集成架构相结合的企业，由于员工引发的网络安全事件将减少40%。

    企业越来越重视个性化参与，将其作为高效SBCP 的重要组成部分。GenAI能根据员工的独特属性生成超个性化的内容和培训材料。Gartner 认为，这将提高员工在日常工作中采取更安全行为的可能性，从而减少网络安全事件的发生。

    Ø到 2026年，75%的企业将把非托管、传统的和网络物理系统排除在零信任策略之外。

    在零信任策略下，用户和端点只能获得完成工作所需的访问权限，并根据不断变化的威胁进行持续监控。在生产或关键任务环境中，零信任概念并不能完全适用于非托管设备、传统应用程序和网络物理系统(CPS)，因为设计这些系统是为了在以安全和可靠性为中心的独特环境中执行特定任务。

    Ø到 2027 年，全球100强企业中有三分之二的企业将为网络安全领导者提供董事和高级职员(D&O)保险，因为他们将面临个人法律风险。

    比如类似于美国证券交易委员会(SEC)的网络安全披露和报告规定的新的法律法规，会使网络安全领导者面临个人责任，CISO的角色和职责需要根据相关报告和披露要求进行更新。Gartner 建议企业为CISO提供D&O保险以及其他保险和补偿计划，以减轻个人责任、职业风险和法律费用。

    Ø到 2028 年，企业用于打击虚假信息的支出将超过5000亿美元，占营销和网络安全预算的 50%。

    人工智能、分析学、行为科学、社交媒体、物联网和其他技术的结合，为威胁行为者创造和传播高效、大规模定制的恶意信息提供了机会。Gartner 建议CISO 定义管理、设计和执行企业范围内的反虚假信息程序的责任，并投资使用混沌工程测试恢复能力的工具和技术来解决这个问题。

    Ø到2026年，40%的身份和访问管理(IAM)领导者将承担检测和应对IAM 相关违规行为的主要责任。

    IAM 领导者经常努力阐明网络安全和业务的商业价值，以推动准确投资，但他们不参与安全资源配置和预算讨论。随着 IAM 领导者的重要性不断提高，他们的责任、知名度和影响力将有所增加。Gartner 建议 CIS0 打破传统的 IT 和安全孤岛，通过调整 IAM 计划和安全计划，让利益相关者了解 IAM 所发挥的作用。

    Ø到 2027 年，70%的企业将把数据丢失预防和内部风险管理与IAM相结合，以更有效地识别可疑行为。

    人们对整合控制的兴趣日益浓厚，促使供应商开发新功能，展现用户行为控制与数据丢失预防之间的重叠。这就为安全团队提供了一套更全面的功能，可以创建一个在数据安全和内部风险缓解方面双重使用的单一策略。Gartner 建议企业识别数据风险和身份验证风险，并将它们作为战略数据安全的主要指导方针。

    Ø到 2027 年，30%的网络安全部门将重新设计应用程序方案，由非网络专家直接使用，并由应用程序所有者拥有。

    业务技术人员和分布式交付团队所创建的应用程序的数量、种类和背景意味着潜在的风险远远超出了专门的应用程序安全团队所能处理的范围。