安全威胁情报周报（2024/04/13-2024/04/19）

    近日，美国网络安全机构 CISA发布紧急指令，要求所有联邦机构立即寻找已知俄罗斯 APT——“午夜暴风雪”的动向。

    据微软披露的信息，该APT组织入侵了微软公司的企业网络，窃取了美国政府机构的敏感通讯数据，以及微软公司的源代码，并指出该APT组织仍有可能探查其内部系统。

图：微软登陆

    根据 CISA的指令，联邦机构必须立即“分析被窃取的电子邮件内容，重置被泄露的凭据，并采取额外措施确保微软 Azure 账户的认证工具是安全的”，并强调午夜暴风雪入侵微软账户事件“对机构构成了严重且不可接受的风险”。

    CISA 警告说，午夜暴风雪是俄罗斯政府支持的 APT组织，目前正在利用此前从微软电子邮件系统中获取的信息，包括微软客户与微软通过电子邮件共享的认证细节等，试图获得微软系统以及其他客户系统，更进一步的访问权限。

    根据午夜暴风雪所窃取的数据，目前微软和 CISA 已经向所有受影响的组织和企业发送了提醒。微软向 CISA 披露，被窃取的电子邮件数据包含认证秘密，如凭据或密码，公司将为这些机构提供这些电子邮件的元数据。

    微软还同意根据国家网络联合调查工作组(NCIJTF)的要求，为所有被窃取的联邦机构通信提供元数据，无论是否包含认证秘密，NCIJTF是此次攻击事件的唯一联邦联络点。

    今年早些时候，微软在向证券交易委员会(SEC)提交的文件指出，这支专业黑客团队使用密码喷射攻击手段，侵入了一个旧的非生产测试租户账户并获得了立足点，然后利用该账户的权限访问了微软公司电子邮件账户的极小一部分。公司表示，安全团队在 2024年1月12日检测到该攻击，最早追溯到2023年 11月。

    对于此次数据泄露事件，网络安全审查委员会(CSRB)认为微软的安全措施依旧不足，对于处于技术生态系统中心地位的机构和组织，应确保其数据和运营的安全性。

    近期，研究人员发现许多存储在 Google Drive、Slack 和其他协同工作应用程序等平台上的敏感文件都“闲置”已经数月甚至数年，从 Metomic 发布的"金融服务数据安全状况"报告来看，这不仅使得企业处于数据泄露的安全风险之中，也给个人及其雇主带来了巨大的数据安全威胁。

    调查结果表明，全球范围各行业都缺乏基本的数据管理监督，尤其是经常处理大量个人身份信息(PII)的金融服务机构，其中86%的文件在 90天内没有更新，70%的文件在一年多内没有更新，48%的文件在两年多内没有更莎

图：EXPOSED PERSONAL INFORMATION

    这些"陈旧已久的数据"可能为身份信息盗取和数据安全漏洞敞开了大门，给个人、企业和社会带来严重的数据安全问题。特别是在纳税季，许多民众都会在数字平台上使用纳税服务系统。据美国财政部报告，2023年有超过100万份报税表被标记为“存在潜在身份盗窃风险”，超过63亿美元的退税需要更进一步审查。

    从美国国家纳税人权益保护机构发布的年度报告来看，同年，美国国税局身份盗窃受害者援助计划受理了 294138 份个人案件。更令人震惊的是，身份信息窃取盗窃在不到五年的时间里增加了两倍。

    日前，荷兰芯片制造商 Nexperia 证实，网络威胁犯罪分子在 2024 年3 月入侵了其网络系统，此前一个勒索软件团伙公开泄露了据称是该公司的被盗数据样本。

    上周的一份新闻声明中，2024年3月，Nexperia 公司披露了一起数据泄露事件，公司的安全团队意识到有未经授权的第三方访问了Nexperia 的某些 IT 服务器，不得不关闭 IT 系统并展开调查，以确定影响范围。

图：Dunghill Leak 泄密勒索网站新增 Nexperia 公司

    Nexperia 公司方面的发言人表示，公司安全团队迅速采取了行动，切断了受影响系统与互联网的连接，以控制事件的发生，并实施了广泛的缓解措施。

    此外，还在第三方网络安全专家的支持下展开详细调查，以确定事件的性质和范围，并采取有力措施终止未经授权的访问。此后，Nexperia 向荷兰警方和数据保护机构报告了这一安全事件事件，并与FoxIT 签订了协助调查的合同。

    随着 2024 年巴黎奥运会倒计时的开始，组织者正在做好准备，应对潜在的网络安全威胁和迫在眉睫的恐怖主义幽灵，特别是围绕备受期待的盛大开幕式。尽管面临这些挑战，但人们对他们准备好应对 2024年巴黎奥运会的任何网络攻击充满信心。

    定于 7 月 26 日至 8 月 11 日在巴黎举行的第三十二届夏季奥运会将受到当局和网络安全组织的密切监控，以发现任何网络攻击和安全漏洞的迹象。

图：PARIS 2024

    今年巴黎夏季奥运会负责防御网络威胁的团队负责人弗兰兹·雷古尔(Franz Regul)非常清楚其中的风险。雷古尔在巴黎奥组委总部的办公室发表讲话，预计不可避免的事情会发生:“我们将受到攻击。”

    像雷古尔这样的团队驻扎在配备服务器和监控屏幕的高科技房间里，对2024 年巴黎奥运会期间的任何网络攻击保持警惕。巴黎运营中心甚至拥有红色警报系统，以发出最严重的危险信号。

    到目前为止，还没有出现任何中断，但随着奥运会的临近，黑客攻击的频率和严重程度预计将急剧升级。与其他组织在没有具体时间表的情况下为2024年巴黎奥运会做好准备可能遭受的网络攻击不同，Regul的团队准确地知道何时应对影响:7月和8月。

    近日，联合健康集团(UnitedHealth Group)报告称，自2月份以来勒索软件攻击扰乱了美国的医疗系统，并已经给其造成了8.72亿美元的损失。勒索软件攻击造成的影响包括 5.93 亿美元的直接网络攻击响应成本和2.79 亿美元的业务中断成本。

    但即便如此，联合健康集团的第一季度收入仍然同比增长了近80亿美元，达到 998 亿美元。该公司补充说:出于谨慎考虑，由于网络攻击可能会影响索赔接收时间，因此公司额外增加了8亿美元的索赔备用金。

图：网络攻击

    Change Healthcare 是美国最大的医疗服务提供商，同时还是最大的药店支付交换平台，使用其平台进行交易的药店达到7万多家。

    此外，联合健康还与全美 50个州的 160 多万名医疗专业人员和 8000 家医疗机构签订了合同。目前，该公司仍在努力减轻网络攻击对消费者和医疗机构的影响，同时扩大对受影响医疗机构的经济援助。

    据非营利性分析机构 AI Forensics 的一份新报告称，一个已知网络一直在 Meta平台(Facebook、Instagram、Messenger 和 Threads)上针对法国和德国的欧盟选举进行亲俄宣传。

    标题为《未见禁令:Meta 让亲俄宣传广告席卷欧盟》的报告于2024年4月 17 日发布，该报告突显了科技巨头 Meta 在处理其平台上的虚假信息和错误信息方面的失误。

    据 AI Forensics 估计，Meta 发布的大多数政治广告并未被标记为政治广告。报告中涉及的16个欧盟国家中，有66%的政治广告未被声明为政治广告，其中只有不到 5% 被 Meta 视为政治广告进行审查。这导致大量未经审查的政治广告出现，其中一些源自试图影响欧洲选民的恶意行为者。

图：AI Forensics

    在搜索协调活动时，研究人员在欧盟发现了一个由3826个网页组成的亲俄宣传网络。

    报告写道，以法国和德国为例，在2023年8月至2024年3月期间，这一宣传活动触及了 3800万用户，其中只有不到20%的广告被 Meta 作为政治性广告进行了审核，且通常是在内容通过网络传播之后(最终被 Meta 审核的广告已被展示了 260万至 360 万次)。

    近日，谷歌的 Mandiant 为俄罗斯军方支持的黑客组织Sandworm 提供了一个新的身份--APT44--将该网络间谍组织区分为一个不断发展的强大威胁，不仅影响乌克兰，而且影响整个地缘政治格局。

    谷歌旗下的网络安全公司表示:“鉴于Sandworm 在全球范围内构成的威胁的活跃性和分散性，Mandiant 决定将该组织升级为高级持续威胁:APT44。”

    Mandiant 的威胁情报小组周三发布了一份长达 40 页的报告，标题为“APT44:发掘沙虫”。

    该报告可以说是该组织历史、运作方式的档案，详细介绍了其针对乌克兰的无情网络活动、其武器库中发现的数十种恶意软件变种，以及对克里姆林官资助的组织下一步的预期。

图：APT44

    自 2009 年以来，Mandiant 一直在野外观察，Mandiant称APT44是“个独特的动态威胁参与者，积极参与全方位的网络间谍活动、攻击和影响行动。”

    Mandiant 表示，它观察到俄罗斯集体创造新网络攻击概念和方法的能力“进一步进步”，包括“工业和运营技术(0T)特定的离地攻击能力的新变体”。

    游戏开发公司 Asantee Games 因未能设置密码而泄露了超过 1400 万玩家的数据。

    Asantee Games 是一家成立于 2012 年的小型游戏开发工作室。该公司的旗舰项目是 Magic Rampage 游戏，于2013年12月发布，在 Android 和i0S 平台上的下载量超过 1000 万次。

    Cybernews 研究表明，这家巴西公司的数据泄露是由于面向文档的数据库平台 MongoDB 的配置错误造成的，这造成该公司的数据无密码且可公开访问。

图：泄露细节

    由于此类数据可能被用于各种攻击媒介，此次泄露会给用户带来风险。暴露的用户名和电子邮件可能会被恶意行为者利用来进行身份盗窃、实施欺诈或创建虚假身份。

    受影响的用户还可能成为网络钓鱼攻击的目标。攻击者发送欺骗性电子邮件，冒充合法实体来诱骗用户泄露敏感信息或安装恶意软件。

    近日，塞尔维亚著名黑客 InterBroker（隶属于黑客组织CyberNiggers）声称成功入侵了天眼（Space-Eyes）公司，并成功窃取大量美国国家安全机密数据。

    天眼公司是一家地理空间情报服务商，专门服务于美国政府部门，包括司法部、国土安全部、美国武装部队的多个分支机构以及包括国家地理空间情报局在内的关键情报机构。

    据称，这次攻击成功破坏了天眼公司位于迈阿密的数字基础设施，并可能泄露了包括美国司法部、国土安全部和美国武装部队的国家安全机密数据

图：网络攻击

    令人震惊的是，IntelBroker 在数据泄露论坛上发帖称，仅用时“10-15分钟”就从天眼公司的系统中窃取了敏感数据。

    勒索软件团伙 RansomHub 发布了 2 月份在网络攻击中窃取的 ChangeHealthcare 相关数据，并声称还有更多信息可被曝光。

    目前，勒索软件组织RansomHub 在暗网上公开了Change Healthcare 的部分数据，其中包括患者个人信息，涵盖账单文件、保险信息以及医疗记录等不同类型的文档。

    RansomHub 威胁称，如果 Change Healthcare 不支付赎金，他们将把数据出售给出价最高者，这是他们首次公布从网络攻击中获取敏感数据的证据。

图：RansomHub 在暗网上发布的信息

    今年2月，Change Healthcare 遭受了疑似来自国家级网络攻击的袭击，导致其整个系统关闭。

    许多药店报告称无法通过其系统处理进行保险索赔，社交媒体上充斥着各地用户抱怨无法获得药物的信息。该公司花费了约三周的时间来恢复药房和支付平台。

    联合国开发计划署周三证实，该机构遭到勒索软件攻击。

    联合国开发计划署的一位发言人告诉 Recorded Future News，本地托管的服务器遭到攻击，数据被盗。

    当被问及开发计划署是否会支付赎金时，发言人表示，他们不会“与威胁行为者接触”，并且“不会支付任何赎金”。

    两周前，8Base 勒索软件团伙声称攻击了联合国开发计划署，威胁要泄露从该组织系统中获取的未公开数据量。该数据于4月3日公布。该机构在 170个国家开展项目，以解决贫困和不平等问题。

图：联合国

    近年来，多个国际人道主义组织面临国家支持的黑客和勒索软件团伙的攻击。

    红十字国际委员会和国际特赦组织都成为据称与中国有联系的国家支持组织的目标。挪威难民理事会、国际救助儿童会和其他几个组织也处理过涉及窃取敏感数据的黑客事件。

    圣诞节期间，一个勒索软件团伙攻击了一个在全球范围内提供人道主义支持的全球基督教组织。国际移民政策制定中心在联合国具有观察员地位，并与多个联合国机构合作，于 2022年成为敲诈团伙的目标。

    勒索软件团伙是一个相当新的组织，专家认为该团伙由经验丰富的8Base黑客组成。虽然2023 年 VMware 的一份报告将该团伙与其他勒索软件操作联系在一起，但几位专家表示，这些链接可能只是 8Base 抄袭其他勒索记录和网站设计的问题。

    数字化、信息化背景下，网络和数据安全已成为保障国家安全、维护社会稳定、促进经济发展的重要基石，面对日益复杂的网络安全威胁和数据安全挑战，积极研究制定相关技术标准和规范，加强标准化、规范化建设显得尤为迫切。

日前，全国网络安全标准化技术委员会秘书处发布了《网络安全技术 网络安全运维实施指南(征求意见稿)(以下简称《指南》)》、《网络安全技术信息系统灾难恢复规范(征求意见稿)(以下简称《规范》)》、《数据安全技术 政务数据处理安全要求(征求意见稿)(以下简称《要求》)》。

图：公告

    《指南》提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件、网络安全运维效果评估模型，给出了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容，适用于网络安全运维提供方、网络安全运维需求方。可为网络安全运维的实施提供指导，也可为网络安全运维需求方、第三方机构对网络安全运维实施效果和安全防护水平进行评估提供参考。

    《指南》给出了网络安全运维参考框架，明确网络安全运维包括运维管理、识别、防御、监测、响应和协同六个环节。运维管理对网络安全运维的整体活动进行管理和规划，考虑组织网络安全长期改进和投入需要做出的决策，提出网络安全运维整体方案。运维管理、识别、防御和监测四个环节是针对网络安全风险防范的常态化持续性工作，在整个网络安全运维活动中是一个长循环过程。同时，识别、防御、监测和响应这四个环节又是针对网络安全事件处置的应急性工作，在整个网络安全运维活动中是一个相对较短的循环过程。协同包括了组织内外部的协调与协作，目的是提高组织的安全运维的效能与防护水平。网络安全运维的模式、内容需与运维需求方协商一致，并在网络安全运维过程中，基于服务级别协议(SLA)和运维实际效果进行评估，评的结果用于进一步改进网络安全运维的管理和实施水平。

图：框架

网络安全运维模式主要包括以下三类：

    全自建网络安全运维模式。对安全性和数据保护的要求较高，具备足够的安全资源投入，能够持续有效网络安全运维的网络安全运维需求方，选择自主建设安全运维中心。此类组织、机构和设施具备完善的安全运维人员配置、管理机制和人才培养机制，自主建立安全运维中心(SOC)，整合安全防护技术安全运维工具与平台和人员等要素，建立网络安全监测、分析、处置、应急等网络安全运维流程;

    联合网络安全运维模式。网络安全运维需求方联合网络安全运维提供方共同建立安全运维中SOC，并为网络安全运维需求方提供驻场托管式网络安全运维;

    全托管网络安全运维模式。MSS主要依靠网络安全运维提供方建立的企业安全运维中心(SOC),通过云平台或远程管理系统，管理组织 IT 资产的安全信息、管理安全工具、监测和改善组织的安全状况，识别、检测、分析和响应组织所面临的网络安全事件。以满足对安全人员、技术和流程外包的需要。

    《规范》确立了信息系统灾难恢复工作原则，提出了信息系统灾难恢复生命周期，规定了信息系统灾难恢复应遵循的基本要求，描述了灾难恢复能力等级划分和测试评价方法，适用于灾难恢复的需求方、服务提供方和评估方等各类组织开展信息系统灾难恢复的规划、实施、安全建设和运行管理等工作。

    《规范》指出，灾难恢复的目标是通过有效的技术与管理手段，确保组织在灾难发生时迅速恢复信息系统运行，最大限度地降低损失和影响，保障数据的完整性和可用性，保障业务的连续性，其生命周期包括规划设计、建设实施和运行管理，在全生命周期过程中应持续进行有效性分析和安全管控，以实现持续改进等流程。

图：框架

    此外，《规范》强调，信息系统的灾难恢复工作，包括灾难恢复中心和灾难恢复系统的规划设计、建设实施工作，以及日常运行中的预案管理、运行维护、监控、巡检工作，还涉及应急响应及灾难接管、重建和回退、审计相关工作。组织的信息系统灾难恢复机构应对整个生命周期灾难恢复过程中的资源配置、技术服务过程与过程管理等方面进行合规性、有效性分析，以确保业务的正常开展。灾难恢复工作是一个周而复始、持续改进的过程。

    《要求》规定了政务数据处理的安全要求，明确了政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求，适用于指导政务部门及其技术支撑单位规范政务数据处理活动，也可为监管部门、第三方机构进行监督管理和评估提供参考。

    政务数据处理安全要求框架由五个部分组成，包括政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求。

图：框架

    《规范》提出，在政务数据处理安全管理方面，从组织、制度和第三方服务等三个方面提出安全管理要求。在政务数据处理安全技术方面，针对数据收集、存储、使用、加工、传输、提供、公开、销毁等政务数据处理活动提出安全技术要求。在政务数据中的个人信息保护方面，从个人信息主体权利保障和个人信息安全保护方面提出相应的安全要求。在政务数据处理安全运营方面提出数据安全合规评估与监测、政务数据处理安全评估、预警通报、应急处置、溯源分析和审计管理等安全要求。在政务数据处理安全监督方面，明确了合规检查、事件上报及投诉举报等安全要求。

    近日，美国财政部宣布对一名哈马斯官员实施制裁，他们认为该官员领导该组织加沙军事部门的“网络影响部门”。

    外国资产控制办公室(0FAC)对 Hudhayfa Samir Abdallah al-Kahlut(又名“Abu Ubaida”) 实施了制裁。美国官员声称卡鲁特参与了“与伊朗机构合作在伊朗采购服务器和域名以托管卡萨姆旅官方网站”。

    他至少从 2007 年起就担任伊兹·丁·卡萨姆旅的公共发言人。美国财政部表示，卡鲁特曾公开威胁要处决 10月7日以色列恐怖袭击期间被绑架的平民人质。

图：美国财政部

    美国财政部负责恐怖主义和金融情报的副部长布莱恩·纳尔逊表示，制裁旨在破坏哈马斯通过网络战和生产无人机发动攻击的能力。他在一份声明中表示:“财政部将与我们的盟友和合作伙伴协调，继续针对哈马斯的便利网络，无论其在何处运作，包括在网络领域。”

    根据 Check Point 的最新数据，2024 年第一季度，所有品牌网络钓鱼攻击中有 38% 是冒充微软的。

    与 2023 年第四季度相比，冒充科技巨头的品牌网络钓鱼尝试比例有所增加，当时该行为占案件总数的 33%。Google 是2024 年第一季度第二大被冒充品牌，占尝试冒充次数的 11%。与 2023 年第四季度相比，这一数字增加了三个百分点。

    2024 年第一季度，冒充亚马逊的网络钓鱼攻击比例较上一季度明显下降，从 9%下降至 3%。

    研究人员表示，研究结果表明网络犯罪分子如何根据各种因素不断演变网络钓鱼诱饵。例如，尝试使用 LinkedIn 作为诱惑的比例从 2023 年第四季度的 3% 上升到 2024 年第一季度的 11%，这可能与新年求职增加有关。

    Airbnb 首次跻身 2024 年第一季度被模仿次数最多的十大品牌排行榜，尝试次数为 1%。Check Point 研究人员认为，这种攀登可能是受到复活节旅游季节的影响。

    技术行业仍然是品牌网络钓鱼中被冒充最多的行业，这可能是由于它们在企业和远程工作环境中广泛使用。

图：2024 年第一季度网络钓鱼诈骗中被假冒的十大品牌

    Check Point 还在 2024 年第一季度观察到了几起新型网络钓鱼活动，这些活动特别难以检测。

    在一项冒充 Microsoft 的活动中，威胁行为者利用各种虚假电子邮件主题和发件人身份来欺骗收件人。

    这些欺骗性电子邮件的主题包括“邮件发送失败通知”“Outlook 信息替换”和“请填写:来自 DocuSign 电子签名服务的发票”等主题。

    这些电子邮件包含一个链接，如果单击该链接，收件人就会进入一个类似于典型 Outlook 登录页面的网络钓鱼网站。

图：Outlook 登录页面的网络钓鱼网站

    该页面旨在诱骗目标提供登录凭据，从而给组织带来重大安全风险。