一周安全資訊第65期：FBI電子郵件系統遭黑客攻擊

發(fā)布日期：2021/11/19

20211119第65期

國  際

1. FBI電子郵件系統遭黑客攻擊

近日，美國聯(lián)邦調查局證實(shí)，其電子郵件服務(wù)器遭身份不明攻擊者入侵，并散播“復雜鏈式攻擊”的惡作劇信息。

非盈利組織SpamHaus首先披露此次入侵事件，稱(chēng)黑客于12日晚上入侵FBI電子郵件服務(wù)器，并向數千人發(fā)送垃圾郵件。該郵件稱(chēng)收件人“遭到暗網(wǎng)情報公司NightLion和Shadowbyte的領(lǐng)導人Vinny Troia的攻擊”，同時(shí)聲稱(chēng)Troia與黑客組織TheDarkOverload有關(guān)聯(lián)。然而根據研究員Hutchins的說(shuō)法，黑客的目標是詆毀Troia，因為T(mén)roia編寫(xiě)了一本揭露黑客組織TheDarkOverload的書(shū)。在此之前，Troia的推特和個(gè)人網(wǎng)站也曾被黑客入侵。

FBI方面稱(chēng)被入侵的是面向公眾發(fā)送郵件的系統，主要用于同公眾進(jìn)行溝通，并不是FBI內部傳輸信息使用的郵件系統。

來(lái)源：thehackernews

2. Lyceum黑客組織鎖定以色列、沙特和非洲電信運營(yíng)商

埃森哲網(wǎng)絡(luò )威脅情報小組（ACTI）的研究人員報告稱(chēng)，具有伊朗背景的Lyceum黑客組織針對以色列、沙特阿拉伯、摩洛哥、突尼斯的電信運營(yíng)商和網(wǎng)絡(luò )服務(wù)提供商，在2021年7月至10月之間實(shí)施了一系列針對性攻擊。

Lyceum黑客組織又名Hexane或Spirlin，自2017年開(kāi)始活躍，以國家戰略部門(mén)為網(wǎng)絡(luò )間諜活動(dòng)的目標，攻擊對象包括政府機構和電信基礎設施運營(yíng)商。Shark和Milan是該黑客組織的主要攻擊軟件，允許黑客遠程執行任意命令并將敏感數據傳回黑客服務(wù)器。研究人員稱(chēng)，此次活動(dòng)中被Lyceum黑客組織攻擊的網(wǎng)絡(luò )基礎設施共有20多處。

來(lái)源：thehackernews

3. PTrickBot與Shathak合作分發(fā)Conti勒索軟件

TrickBot木馬運營(yíng)商正在同Shathak黑客組織合作分發(fā)他們的惡意軟件，從而在受感染機器上部署Conti勒索軟件。

Cybereason公司安全研究人員在最新的分析報告中稱(chēng)，TrickBot木馬近年來(lái)一直在發(fā)展變化，最新版本實(shí)現了惡意軟件加載功能，能夠對組織和個(gè)人進(jìn)行廣泛的攻擊，同時(shí)TrickBot正與包含Shathak在內的其他網(wǎng)絡(luò )犯罪組織廣泛合作，提供惡意軟件并擴大攻擊影響范圍。Shathak的感染鏈通常廣泛發(fā)送嵌入惡意軟件的Word文檔的網(wǎng)絡(luò )釣魚(yú)電子郵件，受害者點(diǎn)擊后會(huì )部署TrickBot或BazarBackdoor惡意木馬程序，然后將其作為勒索軟件的通道，部署Conti勒索軟件并實(shí)施勒索犯罪。美國網(wǎng)絡(luò )安全和基礎設施安全局報告稱(chēng)，自2021年9月以來(lái)針對美國和國際組織的Conti勒索軟件攻擊已發(fā)生400多次。

來(lái)源：thehackernews

4. 黑客利用macOS零日漏洞攻擊香港用戶(hù)

谷歌網(wǎng)絡(luò )安全研究人員11月11日透露，他們在8月下旬發(fā)現黑客利用macOS操作系統中的一處零日漏洞，針對一家香港網(wǎng)站進(jìn)行了一次“水坑攻擊”（注：黑客在受害者必經(jīng)之路上設置一個(gè)“水坑”陷阱的攻擊方式），并使用了一個(gè)從未見(jiàn)過(guò)的后門(mén)程序。

此次攻擊涉及的macOS零日漏洞代號為CVE-2021-30869，安全等級評分為7.8分，主要影響XNU內核組件，可能導致惡意應用程序以最高權限執行任意代碼。此外，黑客還在攻擊中聯(lián)合利用了CVE-2021-1789漏洞和WebKit遠程代碼執行漏洞。研究人員表示，此次黑客部署的后門(mén)程序是一種全新的且功能齊全的惡意軟件，具有記錄音頻和按鍵信息、錄制設備指紋、捕獲屏幕、下載和上傳任意文件以及執行遠程命令等功能，目前沒(méi)有任何防護軟件將該惡意程序標記為惡意文件。研究人員還在惡意文件中發(fā)現中文信息，表明該惡意軟件主要面向中國用戶(hù)。

來(lái)源：thehackernews

5. 黑客越來(lái)越多使用“HTML走私”技術(shù)實(shí)施網(wǎng)絡(luò )攻擊

微軟Microsoft 365 Defender網(wǎng)絡(luò )安全團隊11月11日發(fā)布一份最新報告，稱(chēng)越來(lái)越多的黑客在網(wǎng)絡(luò )攻擊活動(dòng)中利用“HTML走私”（HTML SMUGGLING）技術(shù)作為獲取初始訪(fǎng)問(wèn)權限和部署勒索軟件、遠程木馬等惡意程序的手段。

“HTML走私”技術(shù)是網(wǎng)絡(luò )攻擊者利用HTML5和JavaScript的基本功能在受害者機器上“走私”投放惡意程序的方法。黑客通常將編碼的惡意腳本嵌入在特制的HTML網(wǎng)頁(yè)中，利用瀏覽器的漏洞或缺陷進(jìn)行攻擊，從而使黑客能夠在HTML網(wǎng)頁(yè)上運行JavaScript腳本程序，然后獲取和部署惡意軟件。微軟安全團隊今年5月發(fā)現的Nobelium黑客組織就利用該方法針對全球24個(gè)國家的政府機構和非政府組織進(jìn)行Cobalt Strike Beacon電子郵件攻擊；近期發(fā)現的Mekotio銀行木馬攻擊也是通過(guò)“HTML走私”技術(shù)進(jìn)行的，能夠進(jìn)行憑據盜竊和鍵盤(pán)記錄。

來(lái)源：thehackernews

國  內

1. 國家互聯(lián)網(wǎng)信息辦公室就《網(wǎng)絡(luò )數據安全管理條例（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)

11月14日，為落實(shí)《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》等法律關(guān)于數據安全管理的規定，規范網(wǎng)絡(luò )數據處理活動(dòng)，保護個(gè)人、組織在網(wǎng)絡(luò )空間的合法權益，維護國家安全和公共利益，根據國務(wù)院2021年立法計劃，國家互聯(lián)網(wǎng)信息辦公室會(huì )同相關(guān)部門(mén)研究起草《網(wǎng)絡(luò )數據安全管理條例（征求意見(jiàn)稿）》，向社會(huì )公開(kāi)征求意見(jiàn)。

條例就擬建立分類(lèi)分級保護制度、整體安全、網(wǎng)絡(luò )安全審查、跨境數據提供、數據安全評估、互聯(lián)網(wǎng)平臺運營(yíng)、數據安全審計制度、數據安全事件應對、重要數據備案制度等多方面進(jìn)行了規定

2. 工信部：2025年基本建成安全可靠的新型數字基礎設施

11月16日，工信部正式發(fā)布《“十四五”信息通信行業(yè)發(fā)展規劃》?！兑巹潯诽岢?，到2025年基本建成安全可靠的新型數字基礎設施。其中《規劃》第三部分圍繞建設新型數字基礎設施、拓展數字化發(fā)展空間、加強網(wǎng)絡(luò )安全保障體系和能力建設等五個(gè)方面，提出了26項發(fā)展重點(diǎn)。

發(fā)布會(huì )上，工信部發(fā)言人表示要重點(diǎn)圍繞夯基礎、深融合、護數據、促產(chǎn)業(yè)、強治理五個(gè)方面抓好網(wǎng)絡(luò )安全工作。提出要全面完善實(shí)施行業(yè)關(guān)基保護、網(wǎng)絡(luò )安全審查、關(guān)鍵設備安全檢測、網(wǎng)絡(luò )漏洞管理等重要制度；加快構建5G、工業(yè)互聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)等融合領(lǐng)域網(wǎng)絡(luò )安全保障體系；建立健全數據分級分類(lèi)、重要數據保護、數據跨境流動(dòng)等數據安全管理制度；大力發(fā)展應用網(wǎng)絡(luò )和數據安全先進(jìn)適用技術(shù)，培育具有國際競爭力的網(wǎng)絡(luò )和數據安全領(lǐng)軍企業(yè)。

在提升行業(yè)關(guān)鍵信息基礎設施安全保障水平方面，則提出要落實(shí)完善安全監督管理機制，健全安全技術(shù)能力體系，強行業(yè)安全監督檢查、指導監督關(guān)基運營(yíng)者落實(shí)安全主體責任，強化網(wǎng)絡(luò )安全產(chǎn)業(yè)支撐等相關(guān)舉措。