新闻动态

News information

六方云 安全态势周刊丨第240期

<<返回

2023年03月15日 16:00

01.

业界动态


1、美国关基行业开展全国网络安全大检查

3月8日消息,作为美国白宫保护国家关键基础设施免受民族国家攻击及其他网络威胁侵扰的总体举措之一,联邦政府开始要求各州评估其饮用水系统的网络安全能力。

https://www.theregister.com/2023/03/06/epa_security_public_water/


2、漏洞情报日趋成熟,VulnCheck获320万美元种子融资

2023年2月10日,漏洞情报初创公司VulnCheck宣布获得由Sorenson Ventures领投的320万美元种子轮融资,CIA投资组织In-Q-Tel、Lux Capital和Aviso Ventures跟投,此外还有许多明星天使投资者,包括Open Raven的CEO、CrowdStrike和Tenable的前COO Dave Cole,Pangea的创始人兼CEO、Phantom和Immunet的前CEO Oliver Friedrichs。公司将利用这笔资金增加招聘和支持产品开发。

https://www.secrss.com/articles/52527


3、卡巴斯基发布2022年跟踪软件态势的分析报告

卡巴斯基发布了2022年跟踪软件(Stalkerware)态势的分析报告。数据显示,2022年全球有29312个用户受到跟踪软件的影响,平均每月有3333个用户受到跟踪软件的影响。跟踪软件仍然是一个全球性问题,卡巴斯基检测到176个国家/地区受到影响,其中俄罗斯(8281)、巴西(4969)和印度(1807)受影响最严重。2022年检测到182种不同的跟踪软件应用,最常见的是Reptilicus,其次是Cerberus和KeyLog。

https://securelist.com/the-state-of-stalkerware-in-2022/108985/


4、研究人员发现针对企业级路由器的新恶意软件HiatusRAT

Lumen Black Lotus Labs在3月6日披露了针对企业级路由器的攻击活动,涉及拉丁美洲、欧洲和北美等地区。该活动被称为Hiatus,它会感染级路由器并安装两个恶意二进制文件,远程访问木马HiatusRAT以及在目标设备上捕获数据包的tcpdump变体。攻击者主要针对运行i386架构的EoL DrayTek Vigor型号2960和3900,截至2023年2月中旬,约100台路由器已被入侵。受影响的型号是高带宽路由器,可以支持数百名远程员工的VPN连接。因此推测攻击者感染目标以收集数据,并建立隐蔽的代理网络。

https://thehackernews.com/2023/03/new-hiatusrat-malware-targets-business.html


02.

关键基础设施


1、卡巴斯基发布2022年H2工业自动化系统威胁态势的报告

卡巴斯基发布2022年H2工业自动化系统威胁态势的分析报告。报告指出,全球受到攻击的ICS计算机的百分比为34.3%,略高于2022上半年(31.8%)。主要威胁来源是互联网(19.9%)、电子邮件客户端(6.4% )和可卸除的设备(3.8%)。受到此类攻击最多的地区为非洲和中亚,占比40.1%。西欧和北欧是最安全的地区,分别为14.2%和14.3%。卡巴斯基在2022下半年在工业自动化系统上检测到来自7684个不同家族的恶意软件。

https://securelist.com/threat-landscape-for-industrial-automation-systems-for-h2-2022/108958/


2、华盛顿公交公司Pierce Transit被LockBit勒索200万美元

华盛顿州的一家公共交通运营商Pierce Transit遭到LockBit的攻击,被勒索200万美元。攻击开始于2023年2月14日开始,该公司不得不实施临时变通办法,以维持每天的公交服务。2月28日,LockBit公布了Pierce Transit攻击事件的详情,声称窃取了合同、客户信息、保密协议和信件等信息,这些数据现在都在出售。目前,Pierce Transit的大部分运营已完全恢复,其表示计划实施新的网络安全监控工具和安全措施。

https://www.malwarebytes.com/blog/news/2023/03/public-transportation-service-pierce-transit-struck-by-lockbit-ransomware


03.

安全事件


1、PayPal因泄露3.5万客户的个人和财务信息被起诉

PayPal因泄露近35000客户的个人和财务信息面临集体诉讼。原告Ashley Pillard和Destiny Rucker提起诉讼,称该公司的疏忽导致数据泄露事件。值得注意的是,PayPal在2023年1月19日开始联系用户并发送数据泄露通知,解释说他们的账户在2022年12月6日至8日遭到攻击。根据诉讼,PayPal未能实施基本的安全措施或遵守联邦贸易委员会制定的行业数据保护标准和指南,导致姓名和社会安全号码等信息泄露。该诉讼已于上周四在美国加利福尼亚州北区地方法院提起。

https://www.hackread.com/paypal-sued-over-data-breach/


2、金融技术公司Hatch Bank近14万客户的个人信息泄露

Hatch Bank透露,黑客利用GoAnywhere MFT软件中的漏洞窃取了其139493个客户的数据。Hatch Bank是一家金融技术公司,允许小企业从其他金融机构获得银行服务。2023年1月29日,Fortra得知其遭到了网络攻击。2月3日,Hatch Bank收到Fortra的通知,获悉其在Fortra GoAnywhere的文件遭到未经授权的访问。通过对被盗数据的审查,确定客户的姓名和社会安全号码被攻击者盗用。该公司将为受影响用户提供12个月的免费信用监控服务。

https://www.bleepingcomputer.com/news/security/hatch-bank-discloses-data-breach-after-goanywhere-mft-hack/


3、宏碁(Acer)约160GB的敏感数据泄露并在黑客论坛出售

中国台湾科技公司宏碁(Acer Inc.)的大量数据泄露。攻击者Kernelware在一个流行的黑客论坛上出售他们声称在2023年2月中旬从Acer窃取的160GB数据。攻击者透露被盗数据包含技术手册、软件工具、后端基础设施详细信息、BIOS映像、ROM文件、ISO文件和替换数字产品密钥(RDPK)等。作为攻击证据,攻击者公开了Acer V206HQL显示屏的技术示意图、文档、BIOS定义和机密文档的屏幕截图。Acer确认其供维修技术人员使用的文件服务器被入侵,但是客户数据并未受影响。

https://www.hackread.com/acer-data-breach-hacker-sell-data/


04.

漏洞事件


1、研究人员披露DJI无人机中16个安全漏洞的详细信息

研究人员发现了DJI无人机中的16个安全漏洞。这些漏洞的影响范围很广,从拒绝服务到任意代码执行。值得注意的是,其中有14个漏洞可以通过智能手机远程触发,可能导致无人机在飞行途中坠毁。攻击者还可以更改日志数据或序列号来伪装身份,或者绕过对速度和高度方面的限制,以及通过地理围栏和虚拟边界对禁飞区域的限制。目前,DJI已修复这些漏洞。

https://www.hackread.com/dji-drones-flaw-crash-drones-mid-flight/


2、Microsoft Word远程代码执行漏洞 (CVE-2023-21716)

Microsoft Word的RTF解析器(wwlib)中存在远程代码执行漏洞,未经身份认证的远程攻击者可通过发送的带有特制RTF文件的电子邮件,并诱导用户打开来利用此漏洞,成功利用此漏洞可能在目标系统上以该用户权限执行代码。该漏洞存在至少14年,使用预览窗格对文件进行预览也会触发此漏洞,Outlook预览窗格可作为此漏洞攻击媒介。鉴于此产品用量较大,建议客户尽快更新至最新版本。

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716


05.

政策监管


1、《云南省数字政府建设总体方案》印发

近日,云南省人民政府办公厅发布《云南省数字政府建设总体方案》(以下简称《方案》),明确提出全省数字政府建设目标、总体架构、主要任务和重点工程。

《方案》提到,到2025年,全省数字政府体系框架基本完善、统筹协调机制建立健全,政府数字化履职能力、安全保障、制度规则、数据资源、平台支撑等数字政府体系框架基本形成,“三个一”综合应用系统有效运行,建成一批人民群众满意度高、社会效益显著的标志性成果。《方案》中明确要构建数字政府全方位安全保障体系,全面强化数字政府安全管理责任,落实安全管理制度,加强关键信息基础设施安全保障,筑牢数字政府建设安全防线。

https://www.yn.gov.cn/zwgk/zcwj/zxwj/202303/t20230307_255866.html


2、国务院机构改革方案通过审议,国家数据局正式组建

3月10日,十四届全国人大一次会议表决通过了关于国务院机构改革方案的决定,方案中提到要组建国家数据局,将中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。

http://www.gov.cn/xinwen/2023-03/11/content_5745977.htm


06.

安全标准


1、团体标准《信息通信及互联网行业企业合规管理体系 指南》发布

3月2日,中国互联网协会发布通告,正式发布《信息通信及互联网行业企业合规管理体系 指南》。该文件规定了信息通信及互联网企业建立、实施、评估、维护及改进合规管理体系的总体指南。适用于开展合规管理相关工作的信息通信及互联网企业

https://www.isc.org.cn/article/15761933709471744.html


2、信安标委征求国家标准《信息安全技术 信息安全控制(征求意见稿)》意见

3月10,信安标委发布关于国家标准《信息安全技术 信息安全控制》征求意见稿征求意见的通知,意见征求截止时间为5月9日。


该文件适用于所有类型和规模的组织。组织在实施基于GB/T 22080信息安全管理体系的信息安全风险处置时,本文件可作为其确定和实施所需控制的参考;本文件还可作为组织在确定和实施普遍接受的信息安全控制时的指导文件。此外,本文件旨在用于制定行业和特定组织的信息安全管理指南,同时考虑其具体的信息安全风险环境。除该文件包含的控制外,可通过风险评估来确定特定于组织或环境所需要的控制。

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230310182200&norm_id=20221102142042&recode_id=50337