2022中国网络安全报告

2 2 7 9 9 10 10 11 11 24 29 38 38 38 58 58 58 58 59 59 60 601制、恶意扣费、资费消耗等类型为主，其中信息窃取诱骗用户下后门；西北工业大学遭受境外网络0802公式编辑器漏洞；CVE-2017-17215HG532远程命令执行漏洞等；年度最热漏洞有CVE-2022年全球APT攻击事件解读：威胁组织APT-C-23；威胁组织LazarusGroup；威胁组织而未来技术型企业、医疗机构、政务机构依然是勒索病毒主要攻击目2一、恶意软件与恶意网址（一）恶意软件1.2022年病毒概述342.2022年病毒Top103.勒索软件和挖矿病毒597（二）恶意网址1.2022年全球恶意网址概述82.2022年中国恶意网址概述9二、移动安全（一）2022年手机病毒概述三、企业安全（一）2022年重大企业网络安全事件等各个领域，勒索软件、数据泄露、黑客入侵等攻击接连不断，且危害深远，严重影响着各国的关键信息基础设施建设和经济民生。同时，由于俄乌战争带来的影响，导致网络空间对抗加剧，全球1.红十字国际委员会遭受网络攻击人数据和机密信息遭入侵，包括因冲突、移民和自然灾害而与家人失散的人、失踪人员及其家人以2.加拿大外交部被黑，部分服务中断拿大政府声明说，网络威胁可能来自系统或应用程序的漏洞，或来自外部行为者为获取信息而进行3.沃达丰葡萄牙分公司遭大规模网络攻击他们正在与政府当局合作对事件开展调查。根据目前搜集到的证据，客户数据似乎并未泄露或遭到4.顶级后门“Bvp47”被详细披露始作俑者为NSA情报收集部门有联系。报告显示,“Bvp47”已在全球肆虐十余年,入侵中国、俄罗斯、日本、德国、5.乌克兰电信运营商遭遇最严重网络中断攻击6.300块一天国内黑客售卖新型远控工具及变种远程控制用户主机，并上传用户隐私信息。经溯源发现该病毒作者疑为国内黑客，通过售卖7.北京健康宝遭受网络攻击，源头来自境外8.意大利多个重要政府网站遭新型DDoS攻击瘫痪9.通用汽车透露其遭到撞库攻击导致部分客户的信息泄露已将部分用户的奖励积分兑换为礼品卡。该公司表示，此次违规事件并不是源于通用汽车的系统遭到入侵，而是针对其平台上客户的一波撞库攻击导致的，他们将为所有受影响的用户恢复积分，并10.瑞星监测到利用微软最新高危漏洞的恶意代码11.新型病毒仿冒Python数字签名诱骗用户下后门临文件被窃、远程控制、键盘记录、摄像头被查看12.西北工业大学遭受境外网络攻击教学生活造成负面影响。警方称，该校电子邮件系统发现一批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件，内含木马程序，引诱部分师生点击链接，非法获取师生电子邮箱登录权限，致该校关键网络设备配置、网管数据、运维数据等核13.IT服务巨头SHI遭受“专业恶意软件攻击”14.阿尔巴尼亚遭网络攻击关闭政府网站击，被迫关闭所有提供在线公共服务的网站和政府官方网站。其后，阿尔巴尼亚政府表示因反应及15.网络攻击致使英国医疗急救热线“120”发生重大中断大故障。”16.400万条2KGames用户数据正在暗网上出售17.丰田：约296000条客户信息可能已被泄露可能已被泄露，包括电子邮箱地址和客户管理号码等，但其他敏感信息如姓名、电话号码和信用卡18.零售巨头泄露220万用户数据，并被黑客在线出售息。这些数据包括了姓名、电子邮件地址、电话号码、送货地址等信息，部分还涉及用户的出生日19.欧洲超市巨头麦德龙遭网络攻击，IT和支付服务中断已超过一周20.美国百年老报“被黑”，发布大量攻击性政治言论发布了一系列针对美国政客的攻击性内容。这些攻击性的头条新闻和推文打击面极广，涉及纽约州布的一系列“未经授权”的粗俗及种族主义的推文和头条新闻系一位内部员工所为。21.波音子公司遭网络攻击，致使全球多家航司航班规划中断22.网络攻击迫使丹麦最大铁路公司火车全部停运23.俄罗斯企业频发数据泄露事件，720万用户数据在黑客论坛卡详细信息。卖家还声称，被盗数据包括3,000,000个促销24.俄罗斯第二大银行VTB遭攻击离线25.蔚来汽车数据泄露被勒索，官方回应属实在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此（二）2022年漏洞分析1.2022年CVE漏洞利用率Top10Mirai、Satori、Brickerbot、Mozi至今仍将该漏洞作为传播率，是由于在大多数企业内网环境中依然存在大量的终端设备尚未修复该漏洞，进入内网环境的病该漏洞可使用MicrosoftWord远程模板功能链接到恶意H1.1CVE-2017-11882Office于该模块对于输入的公式未作正确的处理，攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数1.2CVE-2018-0802公1.3CVE-2017-172151.4CVE-2017-0147WindowsSMB协议漏洞MS1.5CVE-2010-2568WindowsLNK式文件所指定的代码。1.7CVE-2017-0199MicrosoftOffi1.8CVE-2016-7255Win32k特权提升漏洞利用该漏洞的攻击者，可以在内核模式下运行任意代码并安装恶意程序，查看、更改或删除用户数1.9CVE-2022-30190MicrosoftOfficeMSDT远程代码执行漏洞1.10CVE-2021-26858MicrosoftExchangeServer远程代码执行漏洞2.2022年最热漏洞分析2.1CVE-2022-30190MicrosoftOfficeMSDT远程代码执行漏洞注入和覆盖任意只读文件中的数据，导致权限提升，并最终获得root权限。该漏洞影响了Linux2.3CVE-2022-22965Spring远程代码执行漏洞2.4CVE-2022-21999打印服务特权2.5CVE-2022-22718打印服务特权2.6CVE-2022-21882Windows权限提升漏洞引用到错误的数据，从而产生内存读写越界，攻击者可以利用该漏洞在获得权限的情况下，构造恶2.7CVE-2022-26134Confluence远程代码执行漏洞执行漏洞。该漏洞允许远程攻击者在未经身份验证的情况下，构造OGNL表达式进行注入，实现在2.8CVE-2022-1985WordPressPlugin跨站脚本漏洞WordPresspluginWordPressDownload该漏洞源于对~/src/Package/vi2.9CVE-2022-29464WSO2文件上传漏洞2.10CVE-2022-24521Windows通用日志文件系统权限提升漏洞WindowsCommonLogFileSystemD（三）2022年全球APT攻击事件解读1.威胁组织APT-C-23饵文档，文档内容显示为阿拉伯语文字，因此猜测攻击目标为阿拉伯语国家。该文档内容主要是关2.威胁组织LazarusGroup活跃的威胁组织之一。LazarusGroup来自朝鲜，具有外，还会蓄意破坏受害者操作系统以此来获取经济利益，已经攻击过的国家包括中国、德国、澳大招聘文件作为诱饵，向军工领域从业人员投放名为“LMCO_SeniorSystemsEngineer_BR09.doc”的文档，以此诱骗目标用户点击查看。而该文档内容则显示为乱码，其目的就是为了诱导用户点击启攻击行为。攻击者最终达到窃取机密信息、远程控制的目的。3.威胁组织Patchwork谓。该组织主要从事信息窃取和间谍活动，其针对的目标包含了中国，巴基斯坦、日本、英国和美获到了两起与该组织相关的攻击事件，针对目标均为巴基斯坦旁遮在这两起攻击行动中，攻击者通过钓鱼邮件向目标发送名为"Reductionofworkingd以及联系方式等隐私信息，还带有CVE-2017-118政府劳动和人力资源部、规划与发展委员会登记表，诱使目标打开并释放远程控制木马，以达到窃4.威胁组织MuddyWater5.威胁组织Bitter6.威胁组织KimsukyKimsuky是一个至少从2012年就开始对目标进行网络攻击的威胁组织，该组织又名Velvet意的VisualBasic脚本。在此过程中，攻击者滥用合法的博客站点来托管恶意的VisualBasic脚本。这些VBS文件能够收集有关受感染机器的信息7.威胁组织SideWinderAdvisory-No-32-2022.lnk、32-Advisory-8.威胁组织BlueNoroff会在受保护的视图中打开它，这会限制嵌入式宏的执行。但此次APT38通过使用光“Job_Description.vhd”的虚拟硬盘文9.威胁组织APT37罗斯、韩国、日本等地区进行定向攻击活动，擅长使用社会热点话题对目标进行鱼叉式网络钓鱼攻有安全研究人员捕获到该组织利用韩国普通用户个人信息文件进行攻击的相关事件。漏洞CVE-2022-41128来针对韩国普通用户展开攻击。此次捕获的名为“221031SeoulYongsanItaewonaccidentres踏事件，通过鱼叉式钓鱼邮件、网络公共平台、个人通讯软件等手段进行分发。文档启动后会从远（一）勒索软件概述络安全风险之一，勒索也就成为了黑客及攻击组织最常使用的攻击手段。越来越多的威胁组织在勒索的同时，采取文件窃取的方式来“绑架”企业的隐私文件，以历史攻击事件梳理来看这类“双重勒索”的方式确实卓有成效，极大提高了勒索软件敲诈赎金的得手机会。得益于产业链的分发模式以及勒索病毒惹眼的高额赎金，使得勒索病毒新晋家族层出不穷，而那些长久以来“霸榜”的勒索渐形成流行事态。不仅如此一些勒索病毒还参与到地缘性政治与军事战争中，而未来技术型企业、医疗机构、政务机构依然是勒索病毒主要攻1.Lapsus$隐私信息并以此敲诈勒索受害企业。大量知名企业如英伟达、三星、微软等均遭受①葡萄牙最大媒体集团Impresa遭Lap加密、二进制加密、访问控制）、所有生物特征解锁设备算法、所有最新三星设备的引导加载程序源代码等。三星发言人表示：“我们最近被告知存在与某些公司内部数据相关的安全漏洞。发现事④微软证实遭黑客Lapsus$入侵源代码。相关人士称，这个未压缩的存档文件大勒索黑客组织入侵其内部AzureDevOps源代⑤Uber指控近期发生的安全事件是曾黑入微软及三星的Lapsus$所为⑥盗取《GTA6》代码或为黑客组织Lapsus$行为英国少年被认为是攻击《GTA6》的犯罪嫌疑人，并已被伦敦警方逮捕并出庭受审。据悉，该少年是2.Lockbit②富士康墨西哥工厂遭勒索软件攻击③数字安全巨头Entrust被勒索软件团伙攻陷络攻击，威胁者破坏了他们的网络并从内部系统窃取了数据。根据被盗的数据，这种攻击可能会影⑤洲际酒店集团遭网络攻击预订系统瘫痪破坏后已中断。虽然洲际酒店集团没有透露有关攻击的任何细节，但在报告中提到了正在努力恢复受影响的系统。这表明洲际酒店集团遭受的可能是勒索软件攻击，而且攻击者已经在其网络上成功店之一伊斯坦布尔卡德柯伊假日酒店发起了攻击，并窃取了⑥勒索软件团伙公布法国军工巨头泰雷兹内部敏感数据公布了与该公司有关的数GB数据，但集团自身并未发现IT系统遭受入侵的证据。网络犯罪组织黑客此前曾宣布，除非泰雷兹方面支付赎金，否则他们将公开文件内容。泄露的文件似乎包含技术和集团业务文件。黑客方面称已掌握涉及公司运营的高度敏感信息，以及商业文件、会计文件、客⑦德国汽车巨头大陆集团遭LockBit勒索软件组织攻击15:45:36（北京时间23:45:36）之前收到赎金，他们将在数据该市的电子邮件服务无法使用。后证实此次中断还影响了其他市政服务，并且源于有针对性的网络3.HiveHive通常使用RDP弱口令爆破的方式进行①某汽车供应商系统在两周内被Hive等三个勒索团伙攻击和BlackCat攻击。LockBit和Hive勒索软件的有效载荷在两小时内利用合法的PsExec和PDQDeploy③Hive勒索组织公开受害者数据，法国体育零售商Int4.RansomHouse斯威士兰、纳米比亚及赞比亚的客户发出警告，表示他们的个人信息可能因此受到损害。该公司在②RansomHouse宣布盗取芯片制造巨头AMD450GB数据5.BlackCat①国际航空重要供应商遭勒索软件攻击，航空业已成为勒索主要目标户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企②哥伦比亚能源供应商EPM遭受BlackCat6.Maui美声称朝鲜黑客正利用Maui勒索软件攻击医疗保健机构称，有朝方背景的黑客组织，正在利用勒索软件向美国各地的医疗保健机构和公共卫生部门发起攻7.BlackBasta跨国巨头遭勒索软件攻击：所有工厂正常运转，所有业务离线进行8.Conti苹果和特斯拉供应商台达电子遭勒索攻击生产系统，然而有记者已获得一份内部事件报告副本，报告数据显示台达电子1500台服务器和9.QuantumXingLocker，以及现在阶段的Quantu北美国家政务机构遭勒索软件攻击，内部数据全部泄露而闻名。攻击主要针对拉丁美洲地区，巴西是他们的主要目标。此外还被观察到对印度、匈牙利、五、2023年网络安全趋势预测（一）APT组织攻击活动频繁（二）企业成为勒索软件的最大受害者，勒索软件或全面附加数据盗取能力只能尽快支付赎金寻求业务恢复，这对于攻击者来说，勒索的成功率和收益率都会明显提升。好网络安全防护工作难度也远高于个人，必须通过持续的网络安全投入，建立网络安全综合治理体（三）电子邮件依然是网络攻击的重要窗口电子邮件作为最为便捷、覆盖度和精准度都能兼顾的远程网络攻击手段，每年攻击案例持续保环境侦察(TA0043)：通过电子邮件以确定目标的活跃资源开发(TA0042)：通过钓鱼邮件诱目前，大部分的互联网电子邮件供应商，都具备了此类恶件基础设施的网络安全威胁侦测能力，及时发现和阻断恶意的、异常的电子邮件活动等方面，仍有（四）高可利用性的“老”漏洞备受攻击者青睐这种现象的发生常与受害者没有及时更新带