安全威胁情报周报（2022/11/09-2022/11/15）

近日湖南一公务员利用自己所学专长，非法获取大量公民个人信息贩卖给诈骗集团牟利。

汨罗市人民法院审理后作出一审判决，以侵犯公民个人信息罪判处该人员有期徒刑三年六个月，并处罚金人民币1759657元。

被抓获时，公安机关从钟某某住所电脑、U盘、硬盘内查获其非法获取的非重合公民个人信息4亿多条，相关被害人等人的个人信息在其电脑硬盘及U盘中都查询得到。同时当场扣押现金156.8万元和多种虚拟货币。

据相关报道，由于受到网络攻击影响，近日丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运，连续数个小时未能恢复。

遭受攻击的是丹麦公司Supeo，该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。Supeo可能经受了一次勒索软件攻击，但该公司并未披露任何信息。

从现象来看，这似乎是针对DSB运营技术（OT）系统实施恶意攻击的事件。但实际恰恰相反，遭受攻击的是丹麦公司Supeo，该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。

自周五以来，加拿大第二大连锁超市Sobeys陷入全面瘫痪，全国1,500多家商店的业务仍处于停顿状态，原因是遭遇一起网络安全事件。

据报道，此次黑客攻击导致Sobeys的计算机和相关系统无法运行。一位匿名的Sobeys员工透露，该公司确实“遭受了勒索软件攻击”，并补充说“我们所有的电脑都瘫痪了，屏幕上显示一条要求付款的消息，否则文件将被上传到网上。”

Sobeys表示，“得知发生这一事件后，枫叶食品立即采取行动，聘请网络安全和恢复专家，其信息系统专业人员和第三方专家团队正在努力利用所有可用资源调查中断并解决问题。

自称“Justice Blade”的黑客组织公布了Smart Link BPO Solutions泄露的数据，该公司是一家外包IT供应商，与沙特阿拉伯王国和海湾合作委员会其他国家的主要企业和政府机构合作。

黑客声称窃取了大量数据，包括CRM记录、个人信息、电子邮件通信、合同和账户凭证。Justice Blade还建立了一个包含私人通信频道的Telegram帐户。从攻击者泄露的截屏和视频来看，该事件可能是由于有针对性的网络入侵影响了Active Directory内部应用程序和服务。

黑客还发布了该地区各公司之间的活动RDP会话和Office 365通信的截图，以及可能与FlyNas（航空公司）和SAMACares（由沙特阿拉伯中央银行管理的项目）有关的用户名单，其中包含超过10万条记录。

11月9日消息，乌克兰IT军称已成功入侵俄罗斯中央银行，并窃取到数千份内部文件。

公开发布的部分“被盗”文件，总计2.6GB，包含27000个文件。从内容上看，这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。

中央银行是俄罗斯最重要的金融机构之一，也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道，央行方面否认其系统遭黑客入侵，并表示这些所谓外泄文件原本就存放在公开环境内。

波音子公司、航班规划工具商Jeppesen发生网络安全事件，部分系统中断服务，导致北美、中东等多家航空公司的部分航班规划被迫中断、航班延误。

美国航空航天巨头波音的全资子公司Jeppesen是一家位于科罗拉多州的导航与航班规划工具供应商。该公司昨天证实，由于发生网络安全事件，导致部分航班被迫中断。

发言人表示，“我们的子公司Jeppesen遭遇到网络事件，已经有部分航班规划产品和服务受到影响。部分航班规划被中断，但目前我们判断此次事件应该不会对飞机或飞行安全构成威胁。我们正与客户和监管机构沟通，并努力在最短时间内全面恢复服务。”

与俄罗斯有关的APT29间谍组织利用了一个鲜为人知的Windows功能，称为 "凭证漫游"，对欧洲外交实体发起攻击。

APT29作为一个俄罗斯间谍组织，也被称为Cozy Bear、Iron Hemlock和The Dukes，其旨在收集与国家战略目标一致的情报。据了解它是由外国情报局（SVR）赞助的。

谷歌旗下的安全情报和事件响应公司表示，他们在2022年初APT29出现在受害者网络内的时间里发现了凭证漫游的使用，并对活动目录系统进行了 "大量具有非正常性的LDAP查询"。

11月7日，《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）国家标准发布。

市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）国家标准发布宣贯会，作为关键信息基础设施安全保护标准体系的构建基础，该标准将于2023年5月1日正式实施。

该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则，从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求，为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。

美国防部将推出“零信任”战略，包括100多项活动和“支柱”，包括应用程序、自动化和分析，以确保关键数据的安全。

NSA认为网络攻击的目标是企业利用网络空间来侵入、禁用、或恶意控制计算环境或基础设施，破坏数据的完整性或窃取受控信息。

美国防部首席信息官约翰·谢尔曼表示，“零信任”战略已通过国防部批准，目前正在进行公众审查程序，将于几天后发布。该战略阐明五角大楼实现零信任的方法，其中包括100多项活动和“支柱”，包括应用程序、自动化和分析，以确保关键数据的安全。

2022第三季度全球网络攻击报告发现，医疗保健是最容易受勒索攻击的行业。

01、与2021年同期相比，2022年第三季度全球的网络攻击增加了28%，全球每个企业平均每周被攻击多达1130次。

02、2022年第三季度被攻击最多的行业是教育和研究部门，平均每个企业每周被攻击2148次，与2021年第三季度相比增长了18%。

03、医疗保健行业是2022年第三季度遭到勒索攻击最多的行业，每42个企业中就有一个感染勒索软件，同比增长5%。

《报告》发现，与2021年同期相比，2022年第三季度的全球攻击增加了28%。全球每个企业平均每周被攻击多达1130次，今年有所增长，但相较于2021年的集聚增长，已趋于平稳。专家表示这可能表明企业和政府增加了对网络安全的投资。

《报告》指出，今年第三季度，教育/研究行业平均每周遭受2148次攻击，同比增长18%，紧随其后的行业是政府/军方，平均每周受攻击1564次，同比增长20%。与去年相比，医疗保健行业的变化最大，平均每周发生1426次攻击，同比大幅增长60%。

《报告》指出，亚洲在2022年第三季度遭受的网络攻击最多，每个企业平均每周受到1778次攻击，同比增长21%。阿拉伯联合酋长国（阿联酋）增长最快，同比增长151%。

2022年第三季度，全球勒索软件攻击数量同比下降了8%。专家表示这可能是由于攻击者转向其他攻击方法，如僵尸网络等。其中，医疗保健行业最易受到勒索软件攻击，每42个企业中就有一个受到勒索软件的影响，同比增长5%。随后是ISP/MSP，每43个企业中就有一个受到影响，同比下降25%。其次是金融/银行业，每49个企业中就有一个受到勒索软件的影响，同比增长17%。零售/批发行业的勒索软件攻击同比增幅最高，同比大幅增长39%。

安全机构给出了相关建议帮助企业提高应对能力，保护网络安全，包括，进行网络意识培训；使用最新补丁；保持软件更新；采用反勒索软件技术；部署电子邮件安全解决方案等。