《网络安全八月月报》（附下载链接）

月报下载链接：【360CERT】网络安全八月月报

 

前言

当前，随着数字化浪潮的不断加快，网络空间博弈上升到全新高度。潜在的漏洞风险持续存在，全球各类高级威胁层出不穷。洞悉国内外网络安全形势，了解网络安全重要漏洞是建设好自身安全能力的重要基石。近日，360CERT《网络安全八月月报》（以下简称“八月月报”）如期发布，重点关注了八月份安全漏洞分析、网络安全重⼤事件、勒索病毒攻击态势、移动安全数据分析、样本分析等内容，多维度全方位梳理了当月网络安全热点，为掌握全局网络安全态势打下坚实基础。

 

目录预览

 

网络安全月度综述

安全漏洞

2021年8月，360CERT共收录55个漏洞，其中严重22个，高危18个，中危13个,低危2个。主要漏洞类型包含代码执行、内存越界漏洞、访问控制不当、命令注入、服务器端请求伪造等。涉及的厂商主要是Windows、 VMware、Atlassian、Apple、Apache 、IBM、Google等。

对此，月报中也给出了相应的安全建议：

1. 各行业主管部门应积极关注相关应用或设备的威胁情报，建立完善的漏洞管理流程及应急响应流程，及时推动严重漏洞的修复流程；
2. 企业内部应做好资产管理，及时进⾏内部资产统计，完善内部资产管理体系，以便在漏洞出现时及时做好自查工作；
3. 安装了安全产品企业应及时联系相关安全厂商定期更新安全产品检测规则，并定期进行内部漏洞扫描工作；
4. 周期性的进行内部的安全测试或安全演习，及时发现并修复相关威胁；
5. 定期进行企业安全培训，形成企业安全用网规范，提高员工安全意识。

 

安全事件

本月收录安全事件213项，话题集中在数据泄露、恶意程序、网络攻击方面，涉及的组织有：Microsoft、Google、Cisco、华为、FBI、WordPress、Apple、Twitter等。涉及的行业主要包含IT服务业、制造业、金融业、政府机关及社会组织、批发零售业、医疗行业、交通运输业等。

一直以来，APT攻击对于国家和企业来说都是一个巨大的网络安全威胁，随着数智化进程的加快，海量数据资源不断产生成为“无价之宝”，这也给更多黑客特别是有专业力量的APT攻击团队有了可乘之机。

八月月报中重点梳理了近期发现的极具代表性的APT事件。APT-C-09（摩诃草）组织，又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是⼀个来自于南亚地区的境外APT组织，该组织已持续活跃了7年。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。八月月报中披露了来自美色的诱惑- APT-C-09（摩诃草）组织近期的攻击活动，提到360威胁情报中心捕获到几例借助美女图片作为诱饵的恶意样本程序，这些样本通过婚介主题来诱骗用户执行恶意程序或者文档文件，运行后释放对应图片文件并打开以达到伪装的效果，自身主体则与服务器连接，接收指令数据，达到攻击者远程控制用户设备的效果。

月报中还收录了APT-C-54(Gamaredon)近期技战术总结、猎天行动——CNC（APT-C-48）组织最新攻击活动披露等多起APT事件。此外，月报中重点回顾了八月份安全事件的重点事件，包括IT咨询巨头埃森哲遭遇Lockbit勒索软件攻击、SideWalk恶意软件分析等恶意程序事件；T-Mobile 证实系统遭到破坏等数据安全事件；Liquid货币交易所遭受黑客攻击，损失超过 9000 万美元等网络攻击事件以及工业控制设备中广泛使用的嵌入式TCP/IP协议栈存在严重漏洞等其他事件。

 

恶意程序

除了APT攻击带来的网络安全威胁外，勒索病毒的攻击同样是近年来网络安全的主要威胁之一。常见的攻击手段主要包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、Web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等，近年来，勒索病毒呈现持续高发趋势，其带来的网络安全威胁不容忽视。

八月月报中指出，2021年8月，全球新增的活跃勒索病毒家族有:LockFile、MBC、Karma、Malki、GetYourFilesBack、Salma、AllDataStolen、GoodMorning等勒索软件。其中LockFile严格意义上来说是2021年7月新增，但在7月仅发现一个受害者，从8月20日开始已出现10多个受害者；Karma是本月新增的双重勒索软件；MBC在本月成功攻击伊朗伊斯兰共和国铁路系统 ，并拥有自己的数据泄露网站，但尚未泄露受害者数据。

针对本月勒索病毒受害者所中勒索病毒家族进行统计发现，phobos家族占比22.03%居首位，其次是占比19.13%的Stop，Makop家族以10.01%位居第三。

月报中提到，对比近三个月的感染数据，GlobeImposter家族有持续下降的态势；已消失几月的BeiJingCrypt勒索软件再次活跃；通过长时间的观察发现，在国内传播的LockBit勒索软件并非都涉及数据泄露，受灾面积小的企业/组织并未被该家族公开发布被窃取数据(但仍不排除有数据泄露风险)。

此外，通过对移动安全数据，主要是隐私窃取拦截量的分析发现，上海、泉州、深圳这三个省份移动端隐私窃取数量占据前列，基本上可以体现人口越集中、经济越发达、移动设备使用数量越多的省份，软件恶意行为更加猖獗，恶意软件存活比例越大。

面对严峻的勒索病毒威胁态势，360安全大脑针对企业用户给出了更有针对性的安全建议：

1. 在企业信息化建设初期就要考虑系统的保护工作，提前做好安全规划，包括网络架构、内外网隔离、安全设备部署、权限控制和数据备份保护等；
2. 要做好安全管理，包括账户口令管理、补丁与漏洞扫描、权限管控和内网强化等；
3. 此外还要做好⼈员管理，提高员工的安全意识，规范员工的工作行为等。
4. 在发现遭受勒索病毒攻击后，企业应该立即关闭中毒机器并关闭该机器的网络，联系安全厂商，对内部网络进行排查处理，并将公司内部所有机器口令进行更换。
5. 在后续的防护工作中，要明确防护措施，做到定期对内部网络进行安全排除处理；登录口令要有足够的长度和复杂性，并定期更换登录口令；重要资料的共享文件夹应设置访问权限控制，并进行定期备份；定期检测系统和软件中的安全漏洞，及时打上补丁。

最后，月报中还提到了重要的一点，针对勒索病毒都不建议支付赎金，支付赎金不仅变相鼓励了勒索攻击行为，而且解密的过程还可能会带来新的安全风险。

 

本月重要漏洞

1. CVE-2021-26084：Confluence OGNL 注入漏洞
2. 2021-08: XStream 多个高危漏洞
3. CVE-2021-20032：SonicWall Analytics 远程代码执行漏洞
4. CVE-2021-36958: Windows Print Spooler打印机漏洞
5. 2021-08 补丁日: 微软多个产品漏洞安全更新

 

本月重要事件

1. 来自美色的诱惑- APT-C-09（摩诃草）组织近期攻击活动披露
2. CVE-2021-20090:数百万个路由器中的严重漏洞
3. 南亚地区APT组织2020年度攻击活动回顾
4. APT29—觊觎全球情报的国家级黑客组织
5. Liquid货币交易所遭受黑客攻击，损失超过 9000 万美元
6. IT咨询巨头埃森哲遭遇Lockbit勒索软件攻击
7. 3800 万条记录因 Microsoft 配置错误而暴露
8. 黑客出售超过 130 万俄罗斯人的护照
9. T-Mobile 证实系统遭到破坏

 

本月勒索病毒关键词

1. devos
2. hauhitec
3. Eking
4. Lockbit
5. hoop
6. Makop
7. reqg
8. nooa
9. orkf
10. encrypt

 

月报部分节选段落

本月钓鱼邮件攻击趋势相比较7月份有所增长，原因在于本月银行木马攻击相比7月份要活跃得多。自6月份起，银行木马越发活跃，连续两个月呈现上升趋势。

本⽉收录安全事件213项，话题集中在数据泄露、恶意程序 、网络攻击方面、涉及的组织有 ： Microsoft 、Google 、 Cisco 、 华 为 、 FBI 、 WordPress 、 Apple 、Twitter等。涉及的⾏业主要包含IT服务业、制造业、⾦融业、政府机关及社会组织、批发零售业、医疗⾏业、交通运输业等。

CNC（APT-C-48）组织是于2019年新出现的组织，该组织主要攻击对象为我国军工和教育行业。去年年初我国疫情爆发初期，CNC组织通过伪造疫情相关的文档以及钓鱼网站对医疗行业发起攻击。近日360高级威胁研究院监测到CNC组织在6月中旬我国航天相关时事热点前后，针对我国科研机构、高等院校以及航天相关领域进行多次情报窃取的定向攻击活动。因此将此次攻击活动命名为“猎天行动”。在本次攻击活动中，CNC组织采用了两种不同的攻击方式进行攻击。

MBC在本月成功攻击伊朗伊斯兰共和国铁路系统 ，并拥有自己的数据泄露网站，但尚未泄露受害者数据。

 

部分图表信息展示

部分内页展示