一周安全资讯07302022年二季度

宏观新闻

自年1月1日起，Metacurity一直在跟踪网络安全领域风险投资。由于对严重网络安全事件的宣传力度增加，网络安全风险投资交易从年第四季度开始迅速升温，21Q4涨幅扩大，总交易额达到83亿美元，最终年以对纯网络安全公司亿美元投资收尾。但是，该行业的投资在22Q1开始下滑至59亿美元左右。根据我们的 统计，22年第二季度网络安全领域的风险投资水平继续下降到34亿美元，季度下降近40%，超过了CBInsights报告的全球风险投资的23%平均下降比率。交易的总数量也在下降。从22年 季度到第二季度，风险投资交易的总数从笔下滑到96笔。在这96笔交易中，有21笔是金额较小的种子轮融资。随着交易的减少，网络安全的平均交易规模也从万美元下降到万美元，下降了41%，重回年第四季度之前水平。

近日，美国乔治敦大学隐私与技术法律中心发布《美国的天罗地网：21世纪数据驱动下的驱逐》报告，揭露了美国入境和海关执法局建立监控系统，绕过法律近乎全息监控美国公民。这也意味着执法局已经从一个普通的*府单位，发展成一个更庞大的国内监视机构。据该报告的调查结果显示，美国入境和海关执法局使用的数据来源包括驾照数据、公共事务公司客户信息、通话记录、儿童福利记录、信用记录、就业记录、地理位置信息、医疗保健记录、住房记录和社交媒体发布内容等，涵盖了美国民众日常工作生活的方方面面。对此，7月25日，外交部发言人赵立坚指出，“美国*府有关部门一直利用先进的网络监控技术，长时间、无差别、无底线监控民众。美国是头号黑客帝国、监听帝国、窃密帝国。美方行径必将遭到美国民众和国际社会越来越多的抵制。”赵立坚表示，“美国有关*府部门肆无忌惮、无孔不入地搜集民众个人信息，但没有受到美国法律的有效约束。不少美国媒体和国际媒体对此表达了愤怒。有关媒体还担忧，该局经营多年的庞大监控网络之所以长期难以得到有效监管，在于美国法律体系存在漏洞。”

根据Ponemon和IBMSecurity近日联合发布的《年数据泄露成本报告》，年全球数据泄露规模和平均成本均创下历史新高，数据泄露事件的平均成本高达万美元。调查结果显示，过去两年数据泄露成本增加了近13%，同时数据泄露事件也可能导致商品和服务成本上升。事实上，由于通货膨胀和供应链问题，全球商品成本已经飙升，60%的受访企业因数据泄露而提高了产品或服务价格。《年数据泄露成本报告》基于年3月至年3月期间对全球家组织所经历的真实数据泄露事件的深入分析。报告的关键发现包括：关键基础设施零信任策略滞后；支付赎金并非有效策略；云安全不成熟的代价高昂；人工智能和自动化安全技术可节约数百万美元的泄露成本；网络钓鱼成为代价 的数据泄露原因；安全人才短缺导致数据泄露成本飙升；医疗行业数据泄露成本高企不下；过度信任关键基础设施组织；支付赎金得不偿失以及混合云的数据泄露成本较低。

安全动态

近日，有黑客以3万美元（约合20万人民币）兜售万Twitter账户数据。据了解，Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞，该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。上述漏洞在今年1月被网络安全平台Hackerone用户zhirinovskiy发现，并向Twitter作了报告。在此漏洞下，即便用户在隐私设置中隐藏了电话号码、电子邮件、账号ID的情况下，攻击者依然可以获取到这些信息。通常来说，该漏洞存在于安卓用户使用授权Twitter的过程中。其后，Twitter工作人员表示，将会进一步调查并努力修复该漏洞，并向用户zhirinovskiy提供了美元的奖金。不过，7月21日，RestorePrivacy注意到，一位新用户在黑客论坛上出售Twitter数据库，其称有万用户的数据，涵盖了一些知名人士、公司机构、以及普通用户的账户信息。RestorePrivacy下载了样本数据库进行验证和分析发现，受害者来自世界各地，这些被泄露的数据包括公开的个人资料信息以及与Twitter账号绑定的电子邮件、电话号码。同时，经过验证，样本中的数据可以与现实世界中的人相匹配。对此，Twitter回应称，他们正在核查此事。

7月28日消息，西班牙警方宣布，已逮捕两名黑客。据悉，二人应对年3月至6月期间针对辐射警报网络（RAR）的攻击行为负责。两名被捕者是外包商前员工，曾负责按合同为西班牙民防和紧急情况总部（DGPGE）提供辐射警报网络系统维护服务。正因如此，二人对该系统的运作原理及如何实施针对性网络攻击有着深入了解。两名被捕人员曾非法访问紧急情况总部网络，并试图删除控制中心内的辐射警报网络管理Web应用程序。与此同时，二人还对传感器发起单独攻击，断开了它们与控制中心间的连接，破坏了数据交换，导致分布在西班牙全国的个传感器中的个停止工作。当局发现这一违规行为，并在国家警察网络犯罪部门的协助下立即开展调查后，针对辐射警报网络的破坏活动于年6月停止。最终，在追踪黑客行迹一年之后，警方终于发现了这起网络攻击的责任人。警方在公告中指出，“根据马德里第39号调查法院发布的两项命令，警方在马德里和圣奥古斯丁德瓜达利克斯展开协同行动，对两所房屋和一家公司进行了搜查，发现了大量与案件相关的计算机和通信设备。”此次网络攻击导致其中个传感器无法将计数传输回控制中心，使得西班牙面临严重风险，无法立即对辐射激增事件做出响应。警方并未在公告中提供进一步细节，因此尚不清楚嫌疑人发动攻击的具体原因。

近期出现了一个名为"RobinBanks"的新型网络钓鱼服务（PhaaS）平台，提供现成的网络钓鱼工具包，目标是知名银行和在线服务的客户。该钓鱼平台的目标包括了花旗银行、美国银行、CapitalOne、WellsFargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。此外，RobinBanks还提供了窃取微软、谷歌、Netflix和T-Mobile账户的模板。根据IronNet的相关报告显示，RobinBanks已经被部署在6月中旬开始的大规模钓鱼攻击活动中就已经出现了RobinBanks的身影，其通过短信和电子邮件针对受害者进行钓鱼攻击。RobinBanks是一个网络犯罪集团的新项目，据消息推测至少从年3月起该平台就已经开始活动，其目的是为了快速制作高质量、以大型金融组织的客户为目标的钓鱼网页。该平台提供两种层级的7*24小时服务模板，一种是提供单项目模板，价格为每月50美元；另一个是提供对所有模板的无限访问，价格为每月美元。注册后，威胁者会收到一个个人仪表板，其中包含有关其操作的报告、简易页面创建、钱包管理以及创建自定义钓鱼网站的选项。该平台还为用户提供了一些选项，如添加reCAPTCHA以挫败防护bot，或检查用户代理字符串以阻止特定受害者参与高目标的活动。

全球有1.71亿人使用VR设备，其中很多设备基于安卓系统，例如Meta的Oculus或HTCVive，这些用户需要当心了。近日ReasonLabs发现了一种新的名为“老大哥”（BigBrother）的恶意软件，可以远程连接到基于安卓系统的VR设备并偷偷记录头盔显示器中的播放的内容。一旦恶意软件进入用户的电脑，它就会潜伏等待用户开始使用（开启开发者模式的）VR设备。“老大哥”恶意软件可以检测与被感染计算机处于同一WiFi网络的VR设备。一旦“老大哥”恶意软件检测到VR设备开始工作，它就会悄悄地打开一个TCP端口，远程记录用户的头盔屏幕内容。然后，通过开放的TCP端口，恶意软件可将记录信息从受感染的计算机发送给攻击者。“老大哥”恶意软件的破坏力可能比想象得更加糟糕。因为不仅仅是游戏和视频娱乐玩家，如今VR设备已经大量进入行业应用，例如医疗、*队和制造商都将专有的VR应用程序用于培训目的，安装这些应用程序需要启用开发者模式。这意味着“老大哥”恶意软件还可能被用于商业间谍甚至*事间谍活动，这将是一件大事。即便对于游戏和视频娱乐玩家来说，对VR恶意软件也并非完全免疫，因为很多非官方游戏和盗版内容都需要设备开启开发者模式。尤其是越来越多的用户开始使用VR设备远程办公，参与视频会议或者将VR头盔作为虚拟桌面显示器使用，都意味着存在泄露电子邮件地址、账户密码等敏感信息的可能。

据意大利安莎社周一报道，意大利当局正在调查税务机构l’AgenziadelleEntrate遭遇的数据被盗事件，期间约78GB数据被泄露。周一早些时候，频繁活动、臭名昭著的勒索软件团伙LockBit3.0在其网站上发布通告，称已经从意大利税务局窃取到“GB数据，包括企业文件、扫描副本、财务报告及合同”，并附有6张据称是文件样本的截图。税务局方面立即做出回应。根据谷歌翻译，其发布消息的大意为“已经立即要求SOGEISPA做出反馈和澄清”。这里的SOGEISPA是一家IT上市企业，“负责管理财务技术基础设施，并进行一切必要检查。”据了解，外媒当天向SOGEISPA发出置评电子邮件，但因无法投递而被退回。LockBit3.0在年9月首次作为独特的勒索软件即服务变体出现，并以ABCD勒索软件的名字经历多次迭代。如今，它已经成为为勒索攻击领域最活跃的团伙之一。今年6月，安全公司PaloAltoNetworks旗下Unit42发布报告称，截至5月，LockBit3.0“贡献”了年所有勒索软件相关违规事件中的46%，导致全球多家组织沦为受害者。专家们此前曾警告过，称LockBit有过“发布虚假声明”的历史，比如宣称从A实体处窃取到信息，但实际数据却来自B实体（B可能拥有一些A的数据）。