一周安全资讯：西北工业大学遭网络攻击事件：源头系美国国家安全局

发布日期：2022/09/09

国  内

1. 西北工业大学遭网络攻击事件：源头系美国国家安全局

　9月5日，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告，调查发现，美国国家安全局(NSA)下属的“特定入侵行动办公室”多年来对我国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备，疑似窃取了高价值数据。

此次调查发现，针对西北工业大学的网络攻击中，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）使用了40余种不同的专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。技术团队将此次攻击活动中所使用的武器类别分为四大类，具体包括：1、漏洞攻击突破类武器；2、持久化控制类武器；3、嗅探窃密类武器；4、隐蔽消痕类武器。

此次调查报告披露，美国国家安全局（NSA）利用大量网络攻击武器，针对我国各行业龙头企业、政府、大学、医疗、科研等机构长期进行秘密黑客攻击活动。

2. CCIA：2024年我国网络安全市场规模预计将超过1000亿元

9月8日，中国网络安全产业联盟（CCIA）联合数说安全发布《中国网络安全产业分析报告（2022年）》（以下简称《报告》）。《报告》深入剖析我国网络安全产业面临的内外部形势，围绕政策、技术、资本、市场等多元要素，以数据为基础，以企业为基本分析单元，对网络安全法律法规、政策规划、产业现状、竞争格局、资本市场和技术热点等进行了分析，并对我国网络安全产业未来数年的发展进行了展望。

据报告称，2021年我国网络安全市场规模约为614亿元，同比增长率为15.4%。预计未来三年增速仍将保持在15%以上，到2024年市场规模预计将超过1000亿元。

国  际

1. QNAP网络存储设备再次遭到DeadBolt勒索软件攻击

台湾威联通公司（QNAP）发布了公告称公司网络附加存储设备（NAS）于9月3日遭到DeadBot勒索软件攻击，敦促NAS设备用户升级最新版本的Photo Station。

研究表明，DeadBot勒索软件攻击活动主要针对运行了Photo Station并暴露在互联网上的NAS设备，威联通公司已在相关设备的最新版本Photo Station中修复了相关漏洞。该公司对漏洞细节暂时保密，同时建议用户禁用路由器端口转发功能，防止NAS设备从互联网访问。

这次攻击是今年以来QNAP设备遭受的第五轮DeadBolt攻击，今年1月、3月、5月和6月也发生了类似的入侵。根据相关统计数据，截至9月5日，DeadBolt已感染约1.78万台设备，大多数受感染设备位于美国（2385台）、德国（1596台）、意大利（1293台）、台湾（1173台）、英国（1156台）和法国（1069台）。

2. Worok黑客组织瞄准亚洲知名公司和政府组织

ESET公司发布新的报告，披露了近两年来一直活跃的Worok黑客组织，该组织自2020年底以来一直针对亚洲知名公司和政府组织开展网络间谍活动。

Worok黑客组织与另一个代号TA428的黑客组织在攻击工具和利益获取方面有重叠，主要针对亚洲能源、金融、海事和电信公司以及中东地区的政府机构。该组织使用的攻击工具包括C++开发的加载器CLRLoad、PowerShell后门程序PowHeartBeat和C#开发的代码隐藏器PNGLoad，主要利用受害者系统的ProxyShell漏洞实施攻击行动。攻击活动中，Worok黑客组织一般首先利用PNGLoad将恶意代码隐藏至PNG图像文件，然后使用CLRLoad将PNG图像中的隐藏代码载入系统，最后利用PowHeartBeat执行恶意PowerShell脚本程序。由于无法检测PNG图像中的隐藏代码，该攻击活动较难被察觉。

3. 三星公司数据泄露事件暴露部分客户信息

韩国三星公司周五表示，公司经历了一起网络安全事件，导致部分客户信息被非法访问。

三星公司表示，2022年7月下旬，未经授权的第三方从三星公司的美国服务器中窃取了部分客户信息，该公司于8月4日开始调查确定该事件中受影响的客户名单。据称，当前泄露的客户信息包括姓名、联系方式、人口统计信息、出生日期、产品注册信息等，但不包括客户的社会安全号码、信用卡号码。三星方面尚不清楚有多少客户受到影响，也不掌握幕后黑客的信息，但已经采取了新的保护措施并聘请了外部网络安全专家调查该数据泄露事件。同时，该公司敦促用户警惕潜在的社交工程攻击方式，避免点击陌生链接或打开未知附件。

三星公司的此次数据泄露事件距离上次数据泄露还不足六个月。今年3月，三星公司遭到LAPSUS勒索组织攻击，泄露了Galaxy手机源代码等重要数据。

4. 思科针对多个新漏洞发布安全补丁

思科公司于9月7日发布了最新的安全补丁，重点解决影响其产品安全的三个漏洞。

代号CVE-2022-28199的漏洞威胁等级评分8.6，源于思科DPDK网络接口驱动程序的网络堆栈错误问题，可能被攻击者用于实施拒绝服务（DoS）攻击，并影响数据完整性和保密性。该漏洞涉及的软件包括Cisco Catalyst 8000V Edge Software、Adaptive Security Virtual Appliance (ASAv)和Secure Firewall Threat Defense Virtual。

第二个漏洞代号CVE-2022-20696，威胁等级评分7.5，涉及思科SD-WAN vManage软件漏洞，可能使未经身份验证的攻击者访问受影响系统的消息服务端口。第三个漏洞代号CVE-2022-20863，威胁等级评分4.3，涉及思科Webex应用程序消息接口问题，使远程攻击者能够修改链接内容并进行网络钓鱼攻击。

5. 谷歌应用商店再出现携带银行木马的应用程序

臭名昭著的SharkBot银行木马伪装成防病毒和手机清理软件，再次出现在谷歌应用商店内。

研究人员称，此次发现的SharkBot为代号V2的新版本，具有升级后的命令控制通信机制、域生成算法和代码库。该银行木马程序伪装成清理工具Mister Phone Cleaner和防病毒软件Kylhavy Mobile Security，旨在针对西班牙、澳大利亚、波兰、德国、美国和奥地利的用户，目前已被安装超过六万次。SharkBot银行木马主要窃取用户敏感信息，包括银行账户凭证、用户键盘输入、短信等，并使用自动转账系统进行欺诈性资金转账。