【行业研报】2023年7月安恒信息网络安全月报(精简版)_市场营销策划_重点报告20230803_d.docx

《【行业研报】2023年7月安恒信息网络安全月报(精简版)_市场营销策划_重点报告20230803_d.docx》由会员分享，可在线阅读，更多相关《【行业研报】2023年7月安恒信息网络安全月报(精简版)_市场营销策划_重点报告20230803_d.docx（14页珍藏版）》请在第一文库网上搜索。

1、宾晅信息DAS-Security克全B国撷中央研夯保Das-Research20237Juy/月刊/亘恒网络亘全月报CYBERSECURITYMONTH1Y本报告为精简版，更多精彩请直看完整版，感谢您的支持！完整版可以咨询您所在地区安恒销售，或致电：4006059110转4目录前言I1一、7月重大安全事件11 .勒索软件1ockBit3.0针对日本名古屋港发起攻击12 HCA医疗遭遇黑客攻击，泄露1100万患者敏感信息13 .微软：未打补丁的OffiCe零日漏洞在北约峰会攻击中被利用24 .武汉地震监测中心遭网络攻击！黑手疑来自美国25 .TikTok未修漏洞节省数千万美元，1年后在海外大选期

2、间遭利用3二、7月APT威胁31. APT威胁攻击综述32. APT组织情报4三、7月勒索攻击41 .勒索攻击综述42勒索团伙/软件5四、7月挖矿情报5五、7月暗链情报7、7月漏洞情报71 .漏洞情报数据72 .必修漏洞83 .高关注漏洞10七、7月黑灰产情报10八、安全数据说安全11前S2023年7月，国内外影响面较广的网络安全事件陆续发生。本月数据泄露和网络攻击依旧引发高关注。HCA医疗遭遇黑客攻击，泄露IIOO万患者敏感信息；北约组织遭到黑客攻击，泄露了近IGB的数据，包括数百份供北约国家和合作伙伴使用的敏感文件，其中还包含至少70名北约官员个人信息。黑客的攻击无孔不入，泄露的信息可能会

3、被加以利用，有非常大的安全隐患。TikTok未修漏洞节省数千万美元，后果是多达70万个土耳其TikTok账户遭到黑客攻击；微软公布，未打补丁的OffiCe零日漏洞在北约峰会攻击中被利用。政治舞台上，网络安全攻击手段层出不穷，没有硝烟的安全之战，任重道远。一、7月重大安全事件1 .勒索软件1OCkBit3.0针对日本名古屋港发起攻击时间：2023年7月5日概述：日本最大、最繁忙的港口名古屋港在7月4日当地时间凌晨06:30左右发生勒索攻击，影响了集装箱码头的运营。该港口的贸易量约占日本总贸易量的10%o它经营21个码头和290个泊位。它每年处理超过200万个集装箱和165亿吨货物。全球最大的汽车

4、制造商之一丰田汽车公司也利用该港口出口其大部分汽车。影响：名古屋港务局曾处理过网络攻击，但看来这次的影响最大。所有使用拖车在码头进行的集装箱装卸作业均已取消，给港口造成了巨大的财务损失，并严重扰乱了进出日本的货物流通。参考链接：2 .HCA医疗遭遇黑客攻击，泄露I1oo万患者敏感信息时间：2023年7月5日概述：SecurityAffairs网站披露，HCA医疗公司披露了起网络攻击事件，约IIOO万患者的个人信息遭到泄露。威胁攻击者发布了包括患者姓名、城市、州和邮政编码、电子邮件、电话号码、出生日期、性别以及服务日期、地点和下次预约日期等部分患者敏感个人信息。据悉，泄露的患者信息是从一个外部存

5、储位置流出，该存储位置专门用于自动格式化电子邮件信息。影响：HCAIIeathcare指出泄露列表包含约2700万行数据，其中可能包括约I1OO万HCAHeathcare患者的个人信息。为应对此次患者数据泄露事件，HCAHea1thcare禁止用户访问存储位置，但是向患者和社区提供的护理和服务没有中断。根据目前已知的信息，HCA公司认为此次患者信息泄露事件不会对其业务或财务业绩造成重大影响，也未对其日常运营造成任何影响。参考链接：https:wunews371818.htm13 .微软：未打补丁的OffiCe零日漏洞在北约峰会攻击中被利用时间：2023年7月11日概述：微软今天披露了多个Win

6、dows和OffiCe产品中存在未修补的零日安全漏洞，该漏洞被广泛利用以通过恶意OffiCe文档获取远程代码执行。未经身份验证的攻击者可以在需要用户交互的高复杂性攻击中利用该漏洞（跟踪为CVE-2023-36884）o最近针对参加立陶宛维尔纽斯北约峰会的组织的攻击利用了CVE-2023-36884漏洞。攻击者使用冒充乌克兰世界大会组织的恶意文档，来安装恶意软件有效负载，包括MagicSpe11力口载程序前1RomCom后门。影响：如果成功利用该漏洞，攻击者可以通过制作旨在利用该漏洞的恶意.docx或.rtf文档来进行基于远程代码执行（RCE）的攻击。该攻击者于2023年6月检测到的最新活动涉及

7、滥用CVE-2023-36884,以提供与RomCom类似的后门。RomCom是一个总部位于俄罗斯的网络犯罪组织（也被追踪为Storm-0978）,以从事勒索软件和勒索攻击以及专注于窃取凭据的活动而闻名，这些活动可能旨在支持情报行动。处置：微软表示将通过每月发布流程或带外安全更新为客户提供补丁。当前可以采用些缓解措施。参考链接：httpswww.b,news.securitynicrosoft-unpatched-officezero-day-exp1oited-in-nato-sunn（-attacks/4 .武汉地震监测中心遭网络攻击！黑手疑来自美国时间：2023年7月24日概述：24日，

8、武汉市应急管理局发布声明称，该局所属武汉市地震监测中心遭受境外组织的网络攻击：发现了源于境外的木马程序，该木马程序能非法控制并窃取地震速报前端台站采集的地震烈度数据。影响：该行为对国家安全构成严重威胁。这是继2023年6月份西北工业大学遭受境外网络攻击后又一具体案例。国家计算机病毒应急处理中心和360公司组成的专家组发现，此次网络攻击行为由境外具有政府背景的黑客组织和不法分子发起，初步证据显示对武汉市地窟监测中心实施网络攻击来自美国。参考链接:https：artic1es5708851I5 .TikTok未修漏洞节省数千万美元，1年后在海外大选期间遭利用时间：2023年7月26日概述：土耳其总

9、统埃尔多安险胜连任的几周前，TkTok代理安全主管Kn1A1bare11a收到一条坏消息：多达70万个土耳其TkTok账户遭到黑客攻击，攻击者能够访问用户个人信息并控制他们的账户。该公司早在一年前就知道这个漏洞，该漏洞源于所谓的“灰色路由”，灰色路由通过不安全的渠道发送短信，从而绕过国际电信协议规定的费用，即通过不安全的渠道发送短信。景乡响：TkTOk公司承认，这次利用漏洞的黑客攻击是迄今为止规模最大的TkTOk账户被攻击事件。处置：该公司最终决定不予更换短信服务提供商，因为，如修复灰色路由问题，公司每月将损失数百万美元。TikTok发言人A：exHaurek撰写电子邮件，回应对这次攻击：Ti

10、kTok发现数据泄露后，立即对不真实行为加强监控，努力化解问题。目前问题已得到解决。TkTok没有发现任何未经授权的内容被发布或用于私信。建议：TkTok是世界上最受欢迎的应用之一。这次安全漏洞凸显了该公司拥有的力量和应承担的责任。使用灰色路由可以节约公司成本，避开速率限制和反垃圾邮件检测。但是，这样做可能会危及信息安全，使信息易受拦截。企业和公司要对自己有更严厉的安全要求，保护用户的数据安全。参考链接:https:wu,artc1es57110二、7月APT威胁1APT威胁攻击综述安恒信息猎影实验室通过国内外安全厂商、安全组织2023年7月份针对于APT事件披露情况分析，近期活跃的APT组织

11、有APT29、APT28、APT37、BEeNorOff、CharmingKitten、GamaredonGhos(writerKrnsukyKonna1azarusMO1erais、SideCopyTransparentTribe.TUrIa等，其中当属APT29组织收录的攻击事件居多。 APT29 APT37 BIueNorOff Ghostwriter 1azarus APT28 CharmingKitten Gamaredon Kimsuky Konni Mo1erats SideCopy TransparentTribe Tur1a7月APT组织发起攻击占比图本部分更多内容，包含本月

12、活跃APT组织攻击地域、行业分布图2.APT组织情报本部分内容,包含本月活跃APT组织画像、攻击事件请参看完整版月报，感谢支持。三、7月勒索攻击1勒索攻击综述本部分综述内容，可以参看完整版报告，谢谢支持根据安恒信息猎影实验室2023年7月的勒索事件数据显示，勒索软件攻击涉及文化艺术、安全、电子信息、教育、军事、旅游等行业，其中以针对文化行业的勒索事件比例最高。7月勒索软件攻击行业比例本部分更多内容，包含本月勒索软件事件比例2.勒索团伙/软件本部分内容，包含本月活跃勒索团伙画像、勒索事件请参看完整版月报，感谢支持。四、7月挖矿情报根据安恒信息猎影实验室针对2023年7月的挖矿数据分析，其中行业挖

13、矿行为主要分布在政府、教育、金融、通信、IT等行业，其他行业也存在一定的挖矿行为。政府部门-教育行业 金融行业 通信行业 IT行业 医疗卫生 基础设施 高科技 制造业 矿业 能源行业 也 ；气车行业媒体行业建造业-交通运输工程行业旅游业信息安全其他A2023年7月挖矿行业分布占比图同时，安恒信息猎影实验室在针对2023年7月期间的挖矿数据分析发现，活跃的矿池地址主要分布在境外，其中新加坡最多。新加坡(139.*.170)新加坡(139*196) 新加坡(139*.38) 立陶宛(94.*.*.229) 德国(136.*99) 韩国(119*.58) 诵宛(5.*.*.54) 法国(141*.7

14、7) 法国(37*.110) 新加坡(125.*50) 新加坡(131*.130) 法国(141*.144) 日本(153.*132)立陶宛(5*.53) 德国(162*.184) 德国(164.*66)美国(104*.*.42) 法国(91*.167) 法国(193.*23)2023年7月活跃矿池TOP205廨f五、7月暗链情报根据安恒信息零壹实验室针对2023年7的暗链数据分析,累计49078个网站遭到暗链植入，较6月份数据量下降。在被植入暗链的网站中，企业最多，占比91.6%0除去企业，其他遭受暗链植入的网站类型的分布情况如下图。本部分更多内容，包含本月被植入暗链的地域分布情况请参看完整版月报，感谢支持。、7月漏洞情报1漏洞情报数据根据安恒信息卫兵实验室针对2023年7月的漏洞数据，利用安恒内部评级分析显示，本月新增公开漏洞中，一级、二级危险等级较高的漏洞占比38%,评级占比图如下：2023年7月针对全网公开漏洞的安恒漏洞评级占比图安恒重点监测的在野漏洞评级