一周安全資訊：西北工業(yè)大學(xué)遭網(wǎng)絡(luò )攻擊事件：源頭系美國國家安全局

發(fā)布日期：2022/09/09

國 ?內

1. 西北工業(yè)大學(xué)遭網(wǎng)絡(luò )攻擊事件：源頭系美國國家安全局

　9月5日，國家計算機病毒應急處理中心和360公司分別發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò )攻擊的調查報告，調查發(fā)現，美國國家安全局(NSA)下屬的“特定入侵行動(dòng)辦公室”多年來(lái)對我國國內的網(wǎng)絡(luò )目標實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò )攻擊，控制了相關(guān)網(wǎng)絡(luò )設備，疑似竊取了高價(jià)值數據。

此次調查發(fā)現，針對西北工業(yè)大學(xué)的網(wǎng)絡(luò )攻擊中，美國國家安全局（NSA）下屬的特定入侵行動(dòng)辦公室（TAO）使用了40余種不同的專(zhuān)屬網(wǎng)絡(luò )攻擊武器，持續對西北工業(yè)大學(xué)開(kāi)展攻擊竊密，竊取該校關(guān)鍵網(wǎng)絡(luò )設備配置、網(wǎng)管數據、運維數據等核心技術(shù)數據。技術(shù)團隊將此次攻擊活動(dòng)中所使用的武器類(lèi)別分為四大類(lèi)，具體包括：1、漏洞攻擊突破類(lèi)武器；2、持久化控制類(lèi)武器；3、嗅探竊密類(lèi)武器；4、隱蔽消痕類(lèi)武器。

此次調查報告披露，美國國家安全局（NSA）利用大量網(wǎng)絡(luò )攻擊武器，針對我國各行業(yè)龍頭企業(yè)、政府、大學(xué)、醫療、科研等機構長(cháng)期進(jìn)行秘密黑客攻擊活動(dòng)。

2. CCIA：2024年我國網(wǎng)絡(luò )安全市場(chǎng)規模預計將超過(guò)1000億元

9月8日，中國網(wǎng)絡(luò )安全產(chǎn)業(yè)聯(lián)盟（CCIA）聯(lián)合數說(shuō)安全發(fā)布《中國網(wǎng)絡(luò )安全產(chǎn)業(yè)分析報告（2022年）》（以下簡(jiǎn)稱(chēng)《報告》）?！秷蟾妗飞钊肫饰鑫覈W(wǎng)絡(luò )安全產(chǎn)業(yè)面臨的內外部形勢，圍繞政策、技術(shù)、資本、市場(chǎng)等多元要素，以數據為基礎，以企業(yè)為基本分析單元，對網(wǎng)絡(luò )安全法律法規、政策規劃、產(chǎn)業(yè)現狀、競爭格局、資本市場(chǎng)和技術(shù)熱點(diǎn)等進(jìn)行了分析，并對我國網(wǎng)絡(luò )安全產(chǎn)業(yè)未來(lái)數年的發(fā)展進(jìn)行了展望。

據報告稱(chēng)，2021年我國網(wǎng)絡(luò )安全市場(chǎng)規模約為614億元，同比增長(cháng)率為15.4%。預計未來(lái)三年增速仍將保持在15%以上，到2024年市場(chǎng)規模預計將超過(guò)1000億元。

國 ?際

1. QNAP網(wǎng)絡(luò )存儲設備再次遭到DeadBolt勒索軟件攻擊

臺灣威聯(lián)通公司（QNAP）發(fā)布了公告稱(chēng)公司網(wǎng)絡(luò )附加存儲設備（NAS）于9月3日遭到DeadBot勒索軟件攻擊，敦促NAS設備用戶(hù)升級最新版本的Photo Station。

研究表明，DeadBot勒索軟件攻擊活動(dòng)主要針對運行了Photo Station并暴露在互聯(lián)網(wǎng)上的NAS設備，威聯(lián)通公司已在相關(guān)設備的最新版本Photo Station中修復了相關(guān)漏洞。該公司對漏洞細節暫時(shí)保密，同時(shí)建議用戶(hù)禁用路由器端口轉發(fā)功能，防止NAS設備從互聯(lián)網(wǎng)訪(fǎng)問(wèn)。

這次攻擊是今年以來(lái)QNAP設備遭受的第五輪DeadBolt攻擊，今年1月、3月、5月和6月也發(fā)生了類(lèi)似的入侵。根據相關(guān)統計數據，截至9月5日，DeadBolt已感染約1.78萬(wàn)臺設備，大多數受感染設備位于美國（2385臺）、德國（1596臺）、意大利（1293臺）、臺灣（1173臺）、英國（1156臺）和法國（1069臺）。

2. Worok黑客組織瞄準亞洲知名公司和政府組織

ESET公司發(fā)布新的報告，披露了近兩年來(lái)一直活躍的Worok黑客組織，該組織自2020年底以來(lái)一直針對亞洲知名公司和政府組織開(kāi)展網(wǎng)絡(luò )間諜活動(dòng)。

Worok黑客組織與另一個(gè)代號TA428的黑客組織在攻擊工具和利益獲取方面有重疊，主要針對亞洲能源、金融、海事和電信公司以及中東地區的政府機構。該組織使用的攻擊工具包括C++開(kāi)發(fā)的加載器CLRLoad、PowerShell后門(mén)程序PowHeartBeat和C#開(kāi)發(fā)的代碼隱藏器PNGLoad，主要利用受害者系統的ProxyShell漏洞實(shí)施攻擊行動(dòng)。攻擊活動(dòng)中，Worok黑客組織一般首先利用PNGLoad將惡意代碼隱藏至PNG圖像文件，然后使用CLRLoad將PNG圖像中的隱藏代碼載入系統，最后利用PowHeartBeat執行惡意PowerShell腳本程序。由于無(wú)法檢測PNG圖像中的隱藏代碼，該攻擊活動(dòng)較難被察覺(jué)。

3. 三星公司數據泄露事件暴露部分客戶(hù)信息

韓國三星公司周五表示，公司經(jīng)歷了一起網(wǎng)絡(luò )安全事件，導致部分客戶(hù)信息被非法訪(fǎng)問(wèn)。

三星公司表示，2022年7月下旬，未經(jīng)授權的第三方從三星公司的美國服務(wù)器中竊取了部分客戶(hù)信息，該公司于8月4日開(kāi)始調查確定該事件中受影響的客戶(hù)名單。據稱(chēng)，當前泄露的客戶(hù)信息包括姓名、聯(lián)系方式、人口統計信息、出生日期、產(chǎn)品注冊信息等，但不包括客戶(hù)的社會(huì )安全號碼、信用卡號碼。三星方面尚不清楚有多少客戶(hù)受到影響，也不掌握幕后黑客的信息，但已經(jīng)采取了新的保護措施并聘請了外部網(wǎng)絡(luò )安全專(zhuān)家調查該數據泄露事件。同時(shí)，該公司敦促用戶(hù)警惕潛在的社交工程攻擊方式，避免點(diǎn)擊陌生鏈接或打開(kāi)未知附件。

三星公司的此次數據泄露事件距離上次數據泄露還不足六個(gè)月。今年3月，三星公司遭到LAPSUS勒索組織攻擊，泄露了Galaxy手機源代碼等重要數據。

4. 思科針對多個(gè)新漏洞發(fā)布安全補丁

思科公司于9月7日發(fā)布了最新的安全補丁，重點(diǎn)解決影響其產(chǎn)品安全的三個(gè)漏洞。

代號CVE-2022-28199的漏洞威脅等級評分8.6，源于思科DPDK網(wǎng)絡(luò )接口驅動(dòng)程序的網(wǎng)絡(luò )堆棧錯誤問(wèn)題，可能被攻擊者用于實(shí)施拒絕服務(wù)（DoS）攻擊，并影響數據完整性和保密性。該漏洞涉及的軟件包括Cisco Catalyst 8000V Edge Software、Adaptive Security Virtual Appliance (ASAv)和Secure Firewall Threat Defense Virtual。

第二個(gè)漏洞代號CVE-2022-20696，威脅等級評分7.5，涉及思科SD-WAN vManage軟件漏洞，可能使未經(jīng)身份驗證的攻擊者訪(fǎng)問(wèn)受影響系統的消息服務(wù)端口。第三個(gè)漏洞代號CVE-2022-20863，威脅等級評分4.3，涉及思科Webex應用程序消息接口問(wèn)題，使遠程攻擊者能夠修改鏈接內容并進(jìn)行網(wǎng)絡(luò )釣魚(yú)攻擊。

5. 谷歌應用商店再出現攜帶銀行木馬的應用程序

臭名昭著(zhù)的SharkBot銀行木馬偽裝成防病毒和手機清理軟件，再次出現在谷歌應用商店內。

研究人員稱(chēng)，此次發(fā)現的SharkBot為代號V2的新版本，具有升級后的命令控制通信機制、域生成算法和代碼庫。該銀行木馬程序偽裝成清理工具M(jìn)ister Phone Cleaner和防病毒軟件Kylhavy Mobile Security，旨在針對西班牙、澳大利亞、波蘭、德國、美國和奧地利的用戶(hù)，目前已被安裝超過(guò)六萬(wàn)次。SharkBot銀行木馬主要竊取用戶(hù)敏感信息，包括銀行賬戶(hù)憑證、用戶(hù)鍵盤(pán)輸入、短信等，并使用自動(dòng)轉賬系統進(jìn)行欺詐性資金轉賬。