2022中國網(wǎng)絡安全報告

2 2 7 9 9 10 10 11 11 24 29 38 38 38 58 58 58 58 59 59 60 601制、惡意扣費、資費消耗等類型為主，其中信息竊取誘騙用戶下后門；西北工業(yè)大學遭受境外網(wǎng)絡0802公式編輯器漏洞；CVE-2017-17215HG532遠程命令執(zhí)行漏洞等；年度最熱漏洞有CVE-2022年全球APT攻擊事件解讀：威脅組織APT-C-23；威脅組織LazarusGroup；威脅組織而未來技術(shù)型企業(yè)、醫(yī)療機構(gòu)、政務機構(gòu)依然是勒索病毒主要攻擊目2一、惡意軟件與惡意網(wǎng)址（一）惡意軟件1.2022年病毒概述342.2022年病毒Top103.勒索軟件和挖礦病毒597（二）惡意網(wǎng)址1.2022年全球惡意網(wǎng)址概述82.2022年中國惡意網(wǎng)址概述9二、移動安全（一）2022年手機病毒概述三、企業(yè)安全（一）2022年重大企業(yè)網(wǎng)絡安全事件等各個領域，勒索軟件、數(shù)據(jù)泄露、黑客入侵等攻擊接連不斷，且危害深遠，嚴重影響著各國的關(guān)鍵信息基礎設施建設和經(jīng)濟民生。同時，由于俄烏戰(zhàn)爭帶來的影響，導致網(wǎng)絡空間對抗加劇，全球1.紅十字國際委員會遭受網(wǎng)絡攻擊人數(shù)據(jù)和機密信息遭入侵，包括因沖突、移民和自然災害而與家人失散的人、失蹤人員及其家人以2.加拿大外交部被黑，部分服務中斷拿大政府聲明說，網(wǎng)絡威脅可能來自系統(tǒng)或應用程序的漏洞，或來自外部行為者為獲取信息而進行3.沃達豐葡萄牙分公司遭大規(guī)模網(wǎng)絡攻擊他們正在與政府當局合作對事件開展調(diào)查。根據(jù)目前搜集到的證據(jù)，客戶數(shù)據(jù)似乎并未泄露或遭到4.頂級后門“Bvp47”被詳細披露始作俑者為NSA情報收集部門有聯(lián)系。報告顯示,“Bvp47”已在全球肆虐十余年,入侵中國、俄羅斯、日本、德國、5.烏克蘭電信運營商遭遇最嚴重網(wǎng)絡中斷攻擊6.300塊一天國內(nèi)黑客售賣新型遠控工具及變種遠程控制用戶主機，并上傳用戶隱私信息。經(jīng)溯源發(fā)現(xiàn)該病毒作者疑為國內(nèi)黑客，通過售賣7.北京健康寶遭受網(wǎng)絡攻擊，源頭來自境外8.意大利多個重要政府網(wǎng)站遭新型DDoS攻擊癱瘓9.通用汽車透露其遭到撞庫攻擊導致部分客戶的信息泄露已將部分用戶的獎勵積分兌換為禮品卡。該公司表示，此次違規(guī)事件并不是源于通用汽車的系統(tǒng)遭到入侵，而是針對其平臺上客戶的一波撞庫攻擊導致的，他們將為所有受影響的用戶恢復積分，并10.瑞星監(jiān)測到利用微軟最新高危漏洞的惡意代碼11.新型病毒仿冒Python數(shù)字簽名誘騙用戶下后門臨文件被竊、遠程控制、鍵盤記錄、攝像頭被查看12.西北工業(yè)大學遭受境外網(wǎng)絡攻擊教學生活造成負面影響。警方稱，該校電子郵件系統(tǒng)發(fā)現(xiàn)一批以科研評審、答辯邀請和出國通知等為主題的釣魚郵件，內(nèi)含木馬程序，引誘部分師生點擊鏈接，非法獲取師生電子郵箱登錄權(quán)限，致該校關(guān)鍵網(wǎng)絡設備配置、網(wǎng)管數(shù)據(jù)、運維數(shù)據(jù)等核13.IT服務巨頭SHI遭受“專業(yè)惡意軟件攻擊”14.阿爾巴尼亞遭網(wǎng)絡攻擊關(guān)閉政府網(wǎng)站擊，被迫關(guān)閉所有提供在線公共服務的網(wǎng)站和政府官方網(wǎng)站。其后，阿爾巴尼亞政府表示因反應及15.網(wǎng)絡攻擊致使英國醫(yī)療急救熱線“120”發(fā)生重大中斷大故障。”16.400萬條2KGames用戶數(shù)據(jù)正在暗網(wǎng)上出售17.豐田：約296000條客戶信息可能已被泄露可能已被泄露，包括電子郵箱地址和客戶管理號碼等，但其他敏感信息如姓名、電話號碼和信用卡18.零售巨頭泄露220萬用戶數(shù)據(jù)，并被黑客在線出售息。這些數(shù)據(jù)包括了姓名、電子郵件地址、電話號碼、送貨地址等信息，部分還涉及用戶的出生日19.歐洲超市巨頭麥德龍遭網(wǎng)絡攻擊，IT和支付服務中斷已超過一周20.美國百年老報“被黑”，發(fā)布大量攻擊性政治言論發(fā)布了一系列針對美國政客的攻擊性內(nèi)容。這些攻擊性的頭條新聞和推文打擊面極廣，涉及紐約州布的一系列“未經(jīng)授權(quán)”的粗俗及種族主義的推文和頭條新聞系一位內(nèi)部員工所為。21.波音子公司遭網(wǎng)絡攻擊，致使全球多家航司航班規(guī)劃中斷22.網(wǎng)絡攻擊迫使丹麥最大鐵路公司火車全部停運23.俄羅斯企業(yè)頻發(fā)數(shù)據(jù)泄露事件，720萬用戶數(shù)據(jù)在黑客論壇卡詳細信息。賣家還聲稱，被盜數(shù)據(jù)包括3,000,000個促銷24.俄羅斯第二大銀行VTB遭攻擊離線25.蔚來汽車數(shù)據(jù)泄露被勒索，官方回應屬實在收到勒索郵件后，公司當天即成立專項小組進行調(diào)查與應對，并第一時間向有關(guān)監(jiān)管部門報告此（二）2022年漏洞分析1.2022年CVE漏洞利用率Top10Mirai、Satori、Brickerbot、Mozi至今仍將該漏洞作為傳播率，是由于在大多數(shù)企業(yè)內(nèi)網(wǎng)環(huán)境中依然存在大量的終端設備尚未修復該漏洞，進入內(nèi)網(wǎng)環(huán)境的病該漏洞可使用MicrosoftWord遠程模板功能鏈接到惡意H1.1CVE-2017-11882Office于該模塊對于輸入的公式未作正確的處理，攻擊者可以通過刻意構(gòu)造的數(shù)據(jù)內(nèi)容覆蓋掉棧上的函數(shù)1.2CVE-2018-0802公1.3CVE-2017-172151.4CVE-2017-0147WindowsSMB協(xié)議漏洞MS1.5CVE-2010-2568WindowsLNK式文件所指定的代碼。1.7CVE-2017-0199MicrosoftOffi1.8CVE-2016-7255Win32k特權(quán)提升漏洞利用該漏洞的攻擊者，可以在內(nèi)核模式下運行任意代碼并安裝惡意程序，查看、更改或刪除用戶數(shù)1.9CVE-2022-30190MicrosoftOfficeMSDT遠程代碼執(zhí)行漏洞1.10CVE-2021-26858MicrosoftExchangeServer遠程代碼執(zhí)行漏洞2.2022年最熱漏洞分析2.1CVE-2022-30190MicrosoftOfficeMSDT遠程代碼執(zhí)行漏洞注入和覆蓋任意只讀文件中的數(shù)據(jù)，導致權(quán)限提升，并最終獲得root權(quán)限。該漏洞影響了Linux2.3CVE-2022-22965Spring遠程代碼執(zhí)行漏洞2.4CVE-2022-21999打印服務特權(quán)2.5CVE-2022-22718打印服務特權(quán)2.6CVE-2022-21882Windows權(quán)限提升漏洞引用到錯誤的數(shù)據(jù)，從而產(chǎn)生內(nèi)存讀寫越界，攻擊者可以利用該漏洞在獲得權(quán)限的情況下，構(gòu)造惡2.7CVE-2022-26134Confluence遠程代碼執(zhí)行漏洞執(zhí)行漏洞。該漏洞允許遠程攻擊者在未經(jīng)身份驗證的情況下，構(gòu)造OGNL表達式進行注入，實現(xiàn)在2.8CVE-2022-1985WordPressPlugin跨站腳本漏洞WordPresspluginWordPressDownload該漏洞源于對~/src/Package/vi2.9CVE-2022-29464WSO2文件上傳漏洞2.10CVE-2022-24521Windows通用日志文件系統(tǒng)權(quán)限提升漏洞WindowsCommonLogFileSystemD（三）2022年全球APT攻擊事件解讀1.威脅組織APT-C-23餌文檔，文檔內(nèi)容顯示為阿拉伯語文字，因此猜測攻擊目標為阿拉伯語國家。該文檔內(nèi)容主要是關(guān)2.威脅組織LazarusGroup活躍的威脅組織之一。LazarusGroup來自朝鮮，具有外，還會蓄意破壞受害者操作系統(tǒng)以此來獲取經(jīng)濟利益，已經(jīng)攻擊過的國家包括中國、德國、澳大招聘文件作為誘餌，向軍工領域從業(yè)人員投放名為“LMCO_SeniorSystemsEngineer_BR09.doc”的文檔，以此誘騙目標用戶點擊查看。而該文檔內(nèi)容則顯示為亂碼，其目的就是為了誘導用戶點擊啟攻擊行為。攻擊者最終達到竊取機密信息、遠程控制的目的。3.威脅組織Patchwork謂。該組織主要從事信息竊取和間諜活動，其針對的目標包含了中國，巴基斯坦、日本、英國和美獲到了兩起與該組織相關(guān)的攻擊事件，針對目標均為巴基斯坦旁遮在這兩起攻擊行動中，攻擊者通過釣魚郵件向目標發(fā)送名為"Reductionofworkingd以及聯(lián)系方式等隱私信息，還帶有CVE-2017-118政府勞動和人力資源部、規(guī)劃與發(fā)展委員會登記表，誘使目標打開并釋放遠程控制木馬，以達到竊4.威脅組織MuddyWater5.威脅組織Bitter6.威脅組織KimsukyKimsuky是一個至少從2012年就開始對目標進行網(wǎng)絡攻擊的威脅組織，該組織又名Velvet意的VisualBasic腳本。在此過程中，攻擊者濫用合法的博客站點來托管惡意的VisualBasic腳本。這些VBS文件能夠收集有關(guān)受感染機器的信息7.威脅組織SideWinderAdvisory-No-32-2022.lnk、32-Advisory-8.威脅組織BlueNoroff會在受保護的視圖中打開它，這會限制嵌入式宏的執(zhí)行。但此次APT38通過使用光“Job_Description.vhd”的虛擬硬盤文9.威脅組織APT37羅斯、韓國、日本等地區(qū)進行定向攻擊活動，擅長使用社會熱點話題對目標進行魚叉式網(wǎng)絡釣魚攻有安全研究人員捕獲到該組織利用韓國普通用戶個人信息文件進行攻擊的相關(guān)事件。漏洞CVE-2022-41128來針對韓國普通用戶展開攻擊。此次捕獲的名為“221031SeoulYongsanItaewonaccidentres踏事件，通過魚叉式釣魚郵件、網(wǎng)絡公共平臺、個人通訊軟件等手段進行分發(fā)。文檔啟動后會從遠（一）勒索軟件概述絡安全風險之一，勒索也就成為了黑客及攻擊組織最常使用的攻擊手段。越來越多的威脅組織在勒索的同時，采取文件竊取的方式來“綁架”企業(yè)的隱私文件，以歷史攻擊事件梳理來看這類“雙重勒索”的方式確實卓有成效，極大提高了勒索軟件敲詐贖金的得手機會。得益于產(chǎn)業(yè)鏈的分發(fā)模式以及勒索病毒惹眼的高額贖金，使得勒索病毒新晉家族層出不窮，而那些長久以來“霸榜”的勒索漸形成流行事態(tài)。不僅如此一些勒索病毒還參與到地緣性政治與軍事戰(zhàn)爭中，而未來技術(shù)型企業(yè)、醫(yī)療機構(gòu)、政務機構(gòu)依然是勒索病毒主要攻1.Lapsus$隱私信息并以此敲詐勒索受害企業(yè)。大量知名企業(yè)如英偉達、三星、微軟等均遭受①葡萄牙最大媒體集團Impresa遭Lap加密、二進制加密、訪問控制）、所有生物特征解鎖設備算法、所有最新三星設備的引導加載程序源代碼等。三星發(fā)言人表示：“我們最近被告知存在與某些公司內(nèi)部數(shù)據(jù)相關(guān)的安全漏洞。發(fā)現(xiàn)事④微軟證實遭黑客Lapsus$入侵源代碼。相關(guān)人士稱，這個未壓縮的存檔文件大勒索黑客組織入侵其內(nèi)部AzureDevOps源代⑤Uber指控近期發(fā)生的安全事件是曾黑入微軟及三星的Lapsus$所為⑥盜取《GTA6》代碼或為黑客組織Lapsus$行為英國少年被認為是攻擊《GTA6》的犯罪嫌疑人，并已被倫敦警方逮捕并出庭受審。據(jù)悉，該少年是2.Lockbit②富士康墨西哥工廠遭勒索軟件攻擊③數(shù)字安全巨頭Entrust被勒索軟件團伙攻陷絡攻擊，威脅者破壞了他們的網(wǎng)絡并從內(nèi)部系統(tǒng)竊取了數(shù)據(jù)。根據(jù)被盜的數(shù)據(jù)，這種攻擊可能會影⑤洲際酒店集團遭網(wǎng)絡攻擊預訂系統(tǒng)癱瘓破壞后已中斷。雖然洲際酒店集團沒有透露有關(guān)攻擊的任何細節(jié)，但在報告中提到了正在努力恢復受影響的系統(tǒng)。這表明洲際酒店集團遭受的可能是勒索軟件攻擊，而且攻擊者已經(jīng)在其網(wǎng)絡上成功店之一伊斯坦布爾卡德柯伊假日酒店發(fā)起了攻擊，并竊取了⑥勒索軟件團伙公布法國軍工巨頭泰雷茲內(nèi)部敏感數(shù)據(jù)公布了與該公司有關(guān)的數(shù)GB數(shù)據(jù)，但集團自身并未發(fā)現(xiàn)IT系統(tǒng)遭受入侵的證據(jù)。網(wǎng)絡犯罪組織黑客此前曾宣布，除非泰雷茲方面支付贖金，否則他們將公開文件內(nèi)容。泄露的文件似乎包含技術(shù)和集團業(yè)務文件。黑客方面稱已掌握涉及公司運營的高度敏感信息，以及商業(yè)文件、會計文件、客⑦德國汽車巨頭大陸集團遭LockBit勒索軟件組織攻擊15:45:36（北京時間23:45:36）之前收到贖金，他們將在數(shù)據(jù)該市的電子郵件服務無法使用。后證實此次中斷還影響了其他市政服務，并且源于有針對性的網(wǎng)絡3.HiveHive通常使用RDP弱口令爆破的方式進行①某汽車供應商系統(tǒng)在兩周內(nèi)被Hive等三個勒索團伙攻擊和BlackCat攻擊。LockBit和Hive勒索軟件的有效載荷在兩小時內(nèi)利用合法的PsExec和PDQDeploy③Hive勒索組織公開受害者數(shù)據(jù)，法國體育零售商Int4.RansomHouse斯威士蘭、納米比亞及贊比亞的客戶發(fā)出警告，表示他們的個人信息可能因此受到損害。該公司在②RansomHouse宣布盜取芯片制造巨頭AMD450GB數(shù)據(jù)5.BlackCat①國際航空重要供應商遭勒索軟件攻擊，航空業(yè)已成為勒索主要目標戶包括達美航空、英國航空、捷藍航空、聯(lián)合航空、維珍大西洋航空、美國航空等多家知名航空企②哥倫比亞能源供應商EPM遭受BlackCat6.Maui美聲稱朝鮮黑客正利用Maui勒索軟件攻擊醫(yī)療保健機構(gòu)稱，有朝方背景的黑客組織，正在利用勒索軟件向美國各地的醫(yī)療保健機構(gòu)和公共衛(wèi)生部門發(fā)起攻7.BlackBasta跨國巨頭遭勒索軟件攻擊：所有工廠正常運轉(zhuǎn)，所有業(yè)務離線進行8.Conti蘋果和特斯拉供應商臺達電子遭勒索攻擊生產(chǎn)系統(tǒng)，然而有記者已獲得一份內(nèi)部事件報告副本，報告數(shù)據(jù)顯示臺達電子1500臺服務器和9.QuantumXingLocker，以及現(xiàn)在階段的Quantu北美國家政務機構(gòu)遭勒索軟件攻擊，內(nèi)部數(shù)據(jù)全部泄露而聞名。攻擊主要針對拉丁美洲地區(qū)，巴西是他們的主要目標。此外還被觀察到對印度、匈牙利、五、2023年網(wǎng)絡安全趨勢預測（一）APT組織攻擊活動頻繁（二）企業(yè)成為勒索軟件的最大受害者，勒索軟件或全面附加數(shù)據(jù)盜取能力只能盡快支付贖金尋求業(yè)務恢復，這對于攻擊者來說，勒索的成功率和收益率都會明顯提升。好網(wǎng)絡安全防護工作難度也遠高于個人，必須通過持續(xù)的網(wǎng)絡安全投入，建立網(wǎng)絡安全綜合治理體（三）電子郵件依然是網(wǎng)絡攻擊的重要窗口電子郵件作為最為便捷、覆蓋度和精準度都能兼顧的遠程網(wǎng)絡攻擊手段，每年攻擊案例持續(xù)保環(huán)境偵察(TA0043)：通過電子郵件以確定目標的活躍資源開發(fā)(TA0042)：通過釣魚郵件誘目前，大部分的互聯(lián)網(wǎng)電子郵件供應商，都具備了此類惡件基礎設施的網(wǎng)絡安全威脅偵測能力，及時發(fā)現(xiàn)和阻斷惡意的、異常的電子郵件活動等方面，仍有（四）高可利用性的“老”漏洞備受攻擊者青睞這種現(xiàn)象的發(fā)生常與受害者沒有及時更新帶