导读
2020 年,网络安全挑战再度升级,各行业数据泄露事件层出不穷。Risk Based Security(风险基础安全)数据显示,2020 年全球数据泄露总数高达 360 亿,达到历史新高。
微步在线持续密切关注全球网络安全态势,并对 2020 年全球重大安全事件进行了梳理,精选出金融、能源、互联网、工控、政府、医疗、教育等行业的代表性事件,以及疫情相关的重大攻击事件,以便大家了解全球最新安全威胁,及时做好安全加固,防患于未然。
2020 重大安全事件盘点将会按细分行业陆续发布,敬请持续关注。
医疗卫生系统关系到人们的生命安全,其安全状况不容漠视。医疗行业面临的最常见的威胁包含勒索软件和数据泄露,受疫情影响,本年度医疗行业遭到的 APT 攻击呈现激增态势。有数据显示,自2020年11月以来,随着全球新冠疫情的反弹,针对医疗机构的网络攻击激增了45%,远高于同期针对其他行业的攻击。
2020年3月 | 疑似 Silence 针对西欧制药和制造业公司发动攻击
2020年3月,国外安全厂商披露一起疑似 Silence 针对西欧制药和制造业公司的攻击活动,攻击者使用了 Silence 和 TA505 的工具。此次攻击始于2020年1月下旬,至少有两家来自比利时和德国的公司受影响。经研究人员分析,攻击者除了部署两种 Silence 恶意软件外,可能还部署了另外两个可执行文件,一个 LPE 漏洞利用的 exe 文件,一个使用 TA505 工具压缩的 Meterpreter 模块。
微步在线点评 …
Silence 和 TA505 均是出于经济动机的黑客团伙,Silence 过去常针对银行展开攻击,此次攻击事件表明该组织已扩大攻击范围,相关企业需要引起重视,加强自身安全防护能力。
参考链接:
2020年5月 | 密歇根州立大学遭到 NetWalker 勒索软件攻击
密歇根州立大学受到 NetWalker 勒索软件的攻击,攻击者威胁说,如果大学在7天之内不支付赎金或选择从备份中恢复,便会将窃取的文件泄漏到该组织在暗网中运行的特殊网站上。作为攻击的证明,NetWalker 勒索软件操作员已在泄漏站点上共享了五张图像,包括两张据称是该大学网络的目录结构图、学生的护照扫描件和两张密歇根州财务文件的图像。
微步在线点评 …
各高校有很多记录教师和学生敏感信息的系统,在使用此类系统时应该做好其安全防御工作,防止被黑客攻击。
参考链接:
2020年7月 | APT29 团伙疑似对欧美地区的新冠疫苗研发企业展开攻击
据英国国家网络安全中心(NCSC)和加拿大通信安全机构(CSE)评估,2020年,APT29 团伙使用名为 WellMess 和 WellMail 的自定义恶意软件针对全球许多目标发起攻击。攻击目标包括加拿大、美国和英国参与 COVID-19 疫苗开发的各个团队/企业,目的疑似是窃取与 COVID-19 疫苗开发和测试有关的信息和知识产权。
微步在线点评 …
-
据悉,APT29 是隶属于俄罗斯情报部门的网络攻击团队之一,具有较高的政治、军事的情报采集意图。虽然 NCSC 和 CSE 在有关的评估中并没有给出足够证明 APT29 攻击新冠疫苗研发企业/组织的证据,但是结合俄罗斯目前疫情严重且尚未有效推进疫苗研发的情况判断,不排除 APT29 团伙对有关企业/组织/个人展开攻击并试图窃取有关科研情报信息的可能。 -
据悉,在2019年 APT29 曾利用国产 VPN 软件漏洞对国内的金融、能源企业目标进行攻击。所以,不排除 APT29 仍持续对我国境内目标展开攻击的可能,但微步在线已对该团伙展开持续跟进监控,可为客户提供对 APT29 的攻击威胁检测和预警,保障客户网络安全。
-
目前我国的新冠疫苗研发处于领先阶段,相关的研究测试成果信息自然也是境外 APT 攻击的重点目标。因此,建议有关企业/研究机构做好网络安全防护措施,确保研究数据处于安全可控状态。
参考链接:
https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development
2020年9月 | 俄罗斯医疗公司遭到 OldGremlin 组织的勒索攻击
2020年8月,Group-IB 发现了一个新的犯罪团伙 OldGremlin 对俄罗斯医疗公司发起了攻击,攻击者加密了俄罗斯医疗公司的整个计算机网络,并索要50000美元的赎金。在攻击的最初阶段,攻击者冒充媒体控股公司 RBC 的财务部门发送鱼叉邮件。攻击中使用了一种名为 TinyNode 的自定义恶意软件,该后门可以下载并启动其他恶意软件。获得最初的控制权限后,攻击者会使用 Cobalt Strike 进行横向移动,最终获得域管理员登录账号。同时创建一个具有相同特权的其他账户,以防主账户无法继续登录。攻击者在了解组织结构以后,将删除受害者的数据备份。之后在周末的短短几个小时,便将勒索软件 TinyCryptor 传播到企业网络上的数百台计算机上。
微步在线点评 …
OldGremlin 组织是进行定向勒索攻击的犯罪团伙,被认为是由说俄语的成员所构成。该组织与3月以来的多起勒索攻击存在关联,其目标主要是俄罗斯的企业,行业包括:银行、工业企业、医疗组织、软件开发商等。
参考链接:
https://www.group-ib.com/blog/oldgremlin
2020年9月 | 朝鲜 APT 组织 Kimsuky 攻击韩国大学相关人士
APT 组织 Kimsuky 近半年异常活跃,最近国内安全研究员追踪发现了该组织的最新攻击样本,此样本为伪装成 Word 文件图标的 PE 文件,该样本攻击具备多阶段特性。经样本分析发现,本次发现的样本与之前 Kimsuky 针对韩国冬奥会的攻击样本类似,攻击者的目标为韩国大学相关的人士。此类伪装成大学相关文档的木马文件在攻击者进行定向钓鱼邮件投递后,一旦受害者打开就会“感染”木马,就会导致计算机上的文件和信息被悄无声息地窃取。
微步在线点评 …
朝鲜 Kimsuky APT组织(又名 Mystery Baby,Baby Coin,Smoke Screen,BabyShark,Cobra Venom),其活动主要针对韩国的智囊团、政府部门、新闻媒体、大学人士等。该组织具备多阶段、多平台的攻击和感染能力。一直以来,Kimsuky 对武器构造和诱饵投放阶段不断改进提升其杀伤链的可扩展性,而且还善用 Bash 和恶意脚本安装植入,阶段性分发灵活可控,利用免费服务部署 C2,使用白名单分发恶意载荷,完成对目标定向攻击。
https://www.anquanke.com/post/id/216589
2020年9月 | 德国某医院遭勒索软件攻击并导致患者死亡
德国杜塞尔多夫一家大型医院遭到网络攻击,医院系统崩溃,导致一名需要紧急入院的妇女被迫转至另一座城市,治疗因此推迟了一个小时,最终导致患者死亡。北莱茵威斯特法伦州司法部长的一份报告显示,该病毒感染了医院网络上的30台服务器,并且在其中一个系统上发现了勒索信息。赎金记录包括与攻击者联系的详细信息,但不包含任何金额。杜塞尔多夫执法部门联系了攻击者,并告知攻击者被勒索的不是大学而是医院,并且已经危及了患者。然后,攻击者决定撤回勒索企图,并提供了一个数字密钥来解密数据。检察官针对涉嫌不明肇事者展开调查,怀疑涉嫌过失杀人罪。
微步在线点评 …
-
医院系统直接关系到人们的生命安全,应保证高稳定和高可靠性,制定好应急预案,一旦出现异常能迅速恢复运转。
-
医院应该从各方面加强安全建设,重要系统不应该直接暴露在公网之中。
2020年10月 | 瑞士至少三所大学遭入侵,黑客窃走6位数资金
黑客对瑞士的几所大学进行了鱼叉式网络钓鱼攻击,企图欺骗其员工提供个人数据。据 SonntagsZeitung 报道,巴塞尔公共检察官办公室证实了黑客直接利用被盗的个人数据渗透到了大学系统中,并更改了员工的工资支付帐户。黑客盗走了6位数的资金,并立即将资金转移到国外。SonntagsZeitung 报道说,同样是攻击目标的苏黎世大学已经阻止了这次袭击,因为其员工已经意识到了网络钓鱼的企图。
微步在线点评 …
高校在设计此类系统时应该考虑到其安全性和可靠性,被更改之后应该有完善的人工核实机制,并且应该针对此类系统加强安全防御。
2020年10月 | “沉默的图书馆员” APT 组织针对大学展开攻击
自9月中旬以来,Malwarebytes 研究人员观察到伊朗 APT 组织 Silent Librarian,也称为 TA407 和 COBALT DICKENS,针对全球范围内的学校和大学发起鱼叉式网络钓鱼攻击。据研究人员称,该组织的恶意攻击活动已经持续了近两年,由于新冠肺炎疫情得以控制,学校复课,该组织的攻击激增。Silent Librarian 通过钓鱼将受害者定向到克隆的大学登录门户链接或 HTML 附件,这些门户网站合并了被盗的学校品牌信息,准确的街道地址和其他社交工程技术,以诱导用户输入登录凭据。
微步在线点评 …
自疫情以来,针对各大高校科研机构的攻击数量急剧增加。高校的网络安全能力普遍比较薄弱,美国之前也因为学生报道系统遭到攻击而导致学生延迟开学。
https://blog.malwarebytes.com/malwarebytes-news/2020/10/silent-librarian-apt-phishing-attack/
2020年11月 | 巴尔的摩县公立学校遭勒索软件攻击
感恩节前一天,巴尔的摩县公立学校系统遭到勒索软件攻击,其所有网络系统被关闭。这次网络攻击导致115000名在线上课的学生停课两天。事件调查已在进行中,但学校和警方没有透露任何细节,目前尚不清楚是否发生信息泄露。
微步在线点评 …
各高校应该加强网络安全管理,保障好教学网络的高稳定性和高可用性。不要让网络故障影响正常的教学秩序。
2020年11月 | 国内300+高校网站中存在非法站点链接
11月,微步在线通过外部威胁监控系统发现国内 300+ 家高校网站存在非法网站外链的情况,疑似被黑产团伙用于 SEO 推广。分析发现,该情况主要是由于相关网站的外链站点被黑客入侵后进行了恶意篡改导致,而多数网站自身其实并不存在问题。此类黑产活动严重有损教育机构形象,且隐蔽性较高,建议相关单位及时核实情况,并对非法外链进行清理、排查。
微步在线点评 …
大部分高校都有建立自己的网站系统,但是没有专人维护很容易被恶意黑客攻陷。学校在做好教育的同时也要保障好学校网络系统的安全性。
https://mp.weixin.qq.com/s/N2CFZ-icZKr81j8SHTGCxA
2020年12月 | 疫情抬头,医疗单位遭到新型勒索病毒 Hospit 攻击
近日,国内某安全团队捕获到一种新型勒索病毒,加密文件后缀为 .guanhospit。该勒索病毒具有很强的行业特征,截至目前,国内已发现多起感染案例,均为医疗单位,故其被命名为 Hospit 家族。感染病毒后,会将数据库、文档等重要文件加密,其采用了非对称加密算法,加密后的文件目前无法解密。由于其主要针对医疗行业进行攻击,而该行业具有很大的业务紧迫性,并且当前国内出现疫情反复的情况,一旦被勒索,将导致业务中断,造成的损失不可估量,这又会导致这个行业的受害者为了快速恢复业务,而选择给黑客支付赎金的方式。
微步在线点评 …
目前,网络上大部分勒索软件加密后的文件都无法解密。企业应该在日常做好网络安全工作,及时修复网络中存在的漏洞,对重要数据定期做好备份。
https://mp.weixin.qq.com/s/Z9ZyfZvjaVSGb1WtZPQu4g
- END -
前期 · 回顾
下期 · 看点
“2020全球重大网络安全事件盘点·疫情篇”将于下期发布,敬请持续关注。
本文始发于微信公众号(安全威胁情报):年度盘点 | 2020重大网络安全事件 · 医疗&教育篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论