安全威胁情报周报（2022/12/12-2022/12/16）

在Apache软件基金会去年11月披露Log4j漏洞一年后，虽然针对该漏洞本身的攻击数量低于最初的预期，但仍然对企业组织构成重大威胁。

安全研究人员说，仍然有很多系统没有针对该漏洞打补丁，企业在发现、修复和防止该漏洞上仍面临挑战。在过去的一年里，已经有许多关于攻击者利用该漏洞作为进入目标网络的报道。其中许多攻击涉及来自朝鲜、伊朗和其他国家的由国家支持的APT组织。

然而，安全研究人员指出，这并不意味着Log4j的威胁在过去一年中已经减弱。很大一部分企业仍然像一年前一样容易受到威胁。根据最近进行的一项与该漏洞有关的遥测分析显示，截至到10月1日，72%的企业容易受到Log4j的攻击，全球仅有28%的组织已经对该漏洞进行了全面修复。

据相关网站披露，LockBit黑客组织宣布从加州财政部盗取近76GB数据。目前，加州网络安全情报中心（Cal-CSIC）已着手调查此次网络攻击事件。

据悉，加州州长紧急事务办公室已经证实了财政部遭受了网络攻击，并强调攻击事件发生不久后，通过与联邦安全合作伙伴协调，确定网络威胁后，迅速部署数字安全和在线威胁猎取专家，评估网络入侵的危害程度，以期控制、减轻网络攻击带来的影响。

本周一，LockBit黑客团伙在其泄密网站上发布消息称其攻破了加利福尼亚州财政部，盗取了数据库、机密数据、财务文件和IT文件。为了增加可信度，LockBit 组织还公布几张据称从加州财政部系统中渗出的文件截图。

美国卫生与公众服务部（HHS）警告说，Royal勒索软件攻击正在针对该国的医疗保健实体。该组织确实声称为双重勒索攻击窃取数据，他们还将泄露敏感数据。

该机构卫生部门网络安全协调中心（HC3）表示，虽然大多数已知的勒索软件运营商都执行了勒索软件即服务，但Royal似乎是一个没有任何关联公司的私人团体，同时将财务动机作为他们的目标。

该机构进一步指出，皇家勒索软件对医疗保健的攻击主要集中在美国的组织，付款要求从25万美元到200万美元不等。

据相关网站披露，比利时安特卫普市上周遭受网络攻击，不久后，Play勒索软件团伙高调宣称对此事负责。

据悉，Play勒索软件团伙攻击了负责管理安特卫普IT系统的IT公司Digipolis ，此举严重扰乱了该市 IT、电子邮件和电话服务的正常运行。

一开始，当地媒体确认了勒索软件是此次网络袭击的幕后黑手，但尚不清楚是什么组织发动的袭击，上周末Play勒索软件组织将安特卫普列为了受害者之一。安特卫普数据泄露网站上一条目声显示，攻击期间有557 GB数据被盗，包括个人信息、护照、身份证和财务文件。

Foxit Software公司近日宣布，一项数据泄露事件暴露了“我的账户”服务用户的个人信息。

虽然使用任何Foxit PDF软件的免费版本不需要用户注册帐户，但对于希望访问“软件试用下载、订单历史记录、产品注册信息、故障排除和支持信息”的客户，会员资格是强制性的。

根据Foxit今天发布的一篇博文，未知第三方最近未经授权访问了其数据系统，并访问了其“我的账户”注册用户的数据，包括他们的电子邮件地址、密码、用户名、电话号码、公司名称和IP地址。从该公司的声明来看，目前尚不清楚泄露的账户密码是否受到了强大的哈希算法和盐渍机制的保护，从而使黑客难以破解。

印度与海外人口建立联系的政府平台Global Pravasi Rishta Portal泄露了敏感数据，包括姓名和护照详细信息。

Global Pravasi Rishta门户网站正在泄露敏感用户数据。该平台以明文公开了用户名、姓氏、居住国和电子邮件地址，以及职业状态、电话和护照号码。由于安全措施不力，例如缺乏身份验证方法，可能会出现泄露。

该门户网站旨在作为外交部、印度使团和印度侨民之间沟通的工具。相关机构已联系外交部，并将其泄露情况通知但没有收到回复。几天后，该安全问题已经顺利被解决。

公共和商业服务交付部周五在一份声明中表示，从周五开始，大约36万人将收到通知，表明他们的个人信息是2021年11月COVAXX系统数据泄露的一部分。

该部表示，它一直在与卫生部、警方和安大略省隐私专员合作，以确定违规行为的规模和影响。该部的声明没有说明它是如何发生的。

警方当时表示，省政府收到了几名通过省级预订系统安排疫苗预约或访问疫苗证书的人的垃圾邮件短信报告。该部在周五的声明中表示，在95%以上的案件中，“只有姓名和/或电话号码受到影响”。声明称，疫苗预订系统通过卫生部的网络安全协议“定期监测和测试”，该省有信心该系统仍然是一个安全工具。

12月10日，一个包含87,000多名美国联邦调查局（FBI）审查信息共享网络InfraGard成员联系方式的数据库被发布在BreachedForums暗网论坛。与此同时，幕后肇事的黑客正在通过FBI InfraGard在线门户直接与成员交流——使用一个新账户，假冒金融行业CEO的身份，该身份是经过FBI审查的。相对较新的网络犯罪论坛Breached推出的这个重磅炸弹的新销售项目引起了安全研究人员的关注。黑客还提供了样本数据来验证他们的说法，其中包含InfraGard成员的各种个人信息，包括：全名、电子邮件地址、就业详情、就业行业、社交媒体USERID等。

美国的互联网商店消费者数据库遭泄露，数据类型包含：性别、出生日期、税号、地址、城市、州、邮政编码、县、电话、电子邮件地址、设备ID、cookie ID、IP地址等。数据量100万条。

售卖者称正在出售英国消费者数据库，数据类型:名字电子邮件、家庭电话、城市、县、邮编、年龄等，数据量：100万行。

工业和信息化部最近发布了《工业和信息化领域数据安全管理办法》。

其中明确指出，中华人民共和国工业和信息化领域数据处理器收集和生成的重要数据和核心数据，如果法律和行政法规要求在中国境内存储，则应在中国境内存储，如果确实需要向境外提供，应根据法律法规进行数据安全评估。

工业和信息化部根据相关法律，中华人民共和国缔结或加入的国际条约和协定或平等互惠原则处理外国工业，电信和无线电执法机构提供工业和信息技术领域数据的请求未经工业和信息化部批准，工业和信息化领域数据处理者不得向外国工业，电信和无线电执法机构提供存储在中华人民共和国境内的工业和信息化领域数据。

为建立健全网络安全保障体系和工作责任体系，提高网络安全防护能力，保障电力系统安全稳定运行和电力可靠供应。国家能源局印发《电力行业网络安全管理办法》。

《电力行业网络安全管理办法》指出，电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责;为每个关键信息基础设施明确一名安全管理责任人;设立专门安全管理机构，确定关键岗位及人员，并对机构负责人和关键岗位人员进行安全背景审查。

此外，《电力行业网络安全管理办法》指出，电力企业不得委托在近3年内被行业部门通报有不良行为或被相关部门通报整改的网络安全服务机构。

近日，相关机构发布了“CISO报告：2022年及以后的前景、挑战和计划”（The CISOs Report：Perspectives, Challenges, and Plans for 2022 and Beyond）。通过该报告，可以深入了解当今顶级安全主管的想法。

随着网络威胁的多样化和扩散，首席信息安全官(CISO)的角色在过去十年中发生了重大变化。随着IT现在融入到业务和任务操作的各个方面，CISO在持续的战斗中承担着巨大的责任，以保护他们的组织免受无休止的攻击。

攻击并未缓解；CISO认识到当前的局限性；以供应链漏洞为首的一系列广泛的风险引起了CISO的担忧；API和数据发现、分类是需要进一步关注的重点；外部影响是最大的担忧；零信任是一个概念；对简化和流程化有着浓厚的兴趣；顶级的安全投资计划反映了最新的趋势。以上是目前主要发现。

通过询问受访者如何看待当前的威胁形势与一年前相比，该报告显示情况并没有改善，但这也许并不令人惊讶。

近七成的受访者认为，现在的威胁形势比一年前更加严重。这是一个发人深省的统计数据，尽管这种看法可能在一定程度上受到组织上次遭受攻击的时间和造成的影响程度的影响。在这种情况下，许多受访者似乎最近受到了打击。只有12%的受访者认为威胁状况有所改善，导致这一看法的原因可能是：一年前的勒索病毒热度可能已经降低了一点，或可能只是被太多的勒索病毒标题所麻木。

同样在过去的一年里，几乎一半的受访者遭受了2到5次的攻击，十分之一的人遭受了5次以上的攻击。只有五分之一的“幸运”受访者没有受到攻击的实质损失。

中型组织仍然是威胁行为者最常攻击的目标，研究中也通过2021 Ransomware in Focus Report发现了这一点。当然，任何组织都不应该认为自己不够重要，不足以发动攻击。然而，攻击者对中型企业的关注可能是因为小型企业吸引攻击者的资产较少，而大型企业有更强大的安全防御来保证他们的安全。

攻击者可以从这里物理移除机载存储并窃取内容，或者可能通过S卡端口引入恶意软件，然后将无人机留给所有者寻找。网络罪犯可能试图投毒无人机的地理定位指令或返航（RTH）坐标，故意破坏飞行器或将其用于其他恶意目的，从而导致企业因无人机设备丢失蒙受经济损失、法律纠纷以及不可挽回的声誉损失。

风险最大的行业当属建筑业和制造业，分别有85%和79%经历了至少一次造成物质损失的攻击。从历史上看，这些行业的防守一直不那么严密，而且这种状态似乎还在继续。紧随其后的是零售业，网上购物环境尤其容易遭到猛烈攻击。受到严格监管的医疗保健(占65.1%)和金融服务(占63.6%)行业虽然不是受打击最严重的行业，但仍然面临着严峻的威胁环境。

就各地区的数据而言，这些数字反映了几十年持续存在的一般IT成熟度曲线。北美的情况要好一些，遭受的破坏性攻击比欧洲组织少22.5%，比亚太地区组织少17.9%。