宏观新闻

【调研|零日漏洞猛增致漏洞利用加速】新发布的研究 告显示，相比2020年，去年在供应商尚未修复之时就遭到利用的零日软件漏洞数量翻了一番;同时，最具影响力的漏洞中超过一半都始于零日漏洞利用。 络安全公司Rapid7研究了2021年最有可能威胁企业的50个影响最大的漏洞。这些漏洞中的43个遭到在野利用，其中20个是在补丁发布前就已遭利用。研究显示，遭利用的漏洞中一半以上是在漏洞公开披露后一周之内即被利用，已知漏洞利用的平均时间从2020年的42天急速缩短到了2021年的12天。 告称，毫不意外，大约60%的大范围漏洞威胁部署在勒索软件攻击中;总体而言，去年针对性不高的机会性广撒 式攻击有所增加。Rapid7漏洞研究经理Caitlin Condon表示：“攻击者规模经济在其中起到了重要作用：常见技术中的关键漏洞越来越容易被勒索软件和加密货币挖矿团伙快速武器化，这些团伙依赖大范围漏洞利用开展攻击行动牟利。两三个APT组织跟机会性攻击者一起利用关键漏洞的实例也是存在的。”而且，由于此类信息越来越容易找到和共享，行业会看到更多这种攻击。3月29日，Condon发推称：“2021年零日攻击创下历史新高已成行业共识。我们特意没有在数据中索引零日攻击，但仍然看到零日攻击大幅上升。更糟的是，半数以上的大范围威胁始于零日漏洞利用。简直疯狂。”

【Gartner发布《中国云安全市场概览》：细看云安全发展如何进入黄金时代】近期，国际权威咨询机构Gartner基于对中国安全市场的调查研究和中国安全产品供应商的评估发布了分析 告《中国云安全市场概览》。不同于以往针对全球化市场给出建议，Gartner针对中国细分市场给出独立 告，足以说明中国安全市场已经为世界瞩目。 告显示，中国是一个非常独特的市场，在云安全领域既面临一些全球共通性的挑战：例如是否或如何信任公有云，也面临一些本土特有的难点：例如技术可行性以及如何正确选择CSP。而正因为中国市场同全球市场的差别明显，特别是在SaaS产品的部署以及对于本地法规需求的额外考量方面。因此企业在做安全建设时不能简单地照搬国外做法，而必须确保在通用实践和本地个性化需求场景之间取得平衡。对此， 告也给予了中国云安全和风险管理负责人相应的建议。尽管目前中国在云计算和云原生技术的发展上与西方发达国家仍存在一定差距，但云安全早已受到行业企业以及市场客户的日益关注与重视。当前已有很多国内厂商能够提供CWPP相关服务，相信随着对PaaS、容器、和云集成等能力的进一步完善，中国市场存在广阔的增长空间。Gartner预计，到2024年，中国终端用户在系统基础设施和基础设施软件上的支出将有近40%转移到云服务支出。这一结构性的转移使得云安全成为中国安全和风险管理人优先需要关注的重点。

【调查表明实施正式勒索软件计划的企业并不多】法国泰雷兹集团的一项研究发现，恶意软件、勒索软件以及 络钓鱼继续困扰着各行业中的企业。事实上，21%的企业在去年经历过勒索软件攻击，其中43%的企业表示勒索软件攻击对业务运营带来了严重影响。调研机构451 Research公司日前发布的一份调查 告(包括全球2700多名IT决策者)发现，22%的受访者承认已经或愿意为他们的数据支付赎金。尽管如此，41%的受访者表示他们没有计划改变安全支出，即使勒索软件带来的损失更大。此外，48%的受访者实施了正式的勒索软件计划。医疗保健行业的准备最为充分，57%的受访者表示有正式的勒索软件计划，能源行业至少有44%的受访者表示有正式的勒索软件计划，尽管在过去一年中这两个行业都经历了严重的 络攻击。泰雷兹公司云计算保护和许可活动高级副总裁Sebastien Cano评论说：“随着新冠疫情继续影响企业的业务和个人生活，任何恢复到疫情之前状况的期望已经消退。虽然世界各地的团队在保护数据方面继续面临挑战，但我们的调查结果表明，企业需要采取紧急行动来制定更强大的 络安全战略。 络攻击面以及资产管理挑战在未来一年仍在增加，企业采用基于发现、保护和控制的强大安全策略至关重要。”

安全动态

【匿名者声称入侵了俄罗斯Thozis公司，未对Rosaviatsia发动攻击】自俄乌战争爆发后，匿名者黑客组织(Anonymous)持续对俄罗斯实体和在该国运营的外国私营企业进行 络攻击。据Security Affairs 站披露，近期，这个备受“追捧的”黑客组织成功入侵了俄罗斯投资公司Thozis Corp。据悉，匿名者黑客组织窃取了Thozis公司数千封内部邮件，并在数据泄露平台DDoSecrets上面共享。目前，可以在 上找到5500封来自Thozis公司的电子邮件，其中一些包含该公司交易和投资的敏感信息。动荡背景下，一些其他黑客组织很有可能“借用”匿名者的名义，进行 络攻击活动。不久前，俄罗斯航空运输局(Rosaviatsia)遭受 络攻击，黑客从该机构基础设施中擦出了65TB 数据。攻击事件发生不久后，Rosaviatsia发布声明表示，由于暂时无法访问互联 ，以及电子文件流系统发生故障，航空运输局正在改用纸质版本，文件流转程序由目前的记录管理指令决定。《航空先驱 》 道称，Rosaviasta 络攻击事件背后黑手很有可能是匿名黑客组织，但匿名者迅速否认，声称未对俄罗斯航空运输局进行过黑客行为。

【苹果发布紧急补丁以修复被积极利用的零日漏洞】近日，苹果发布了一个紧急安全补丁，以解决两项被积极利用以入侵iPhone、iPad和Mac的零日漏洞。这两项漏洞均由匿名研究人员发现并 告，苹果公司表示在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1的发布中已解决了该两项漏洞，并建议用户尽快安装安全更新。除此之外，苹果方面没有透露任何关于在这些漏洞被如何利用的具体细节。第一项漏洞是存在于英特尔显卡驱动程序中的超权限读取问题，追踪代码为CVE-2022-22674，该漏洞允许恶意应用程序读取内核内存。这一漏洞的积极利用引起了苹果公司的注意，公司最近发布的一份 告中称，超权限读取问题可能会导致内核内存的泄露。在 告也同时提到了公司的对应建议：“可以通过改进的输入验证来解决该漏洞。”第二项漏洞是一个越界写入问题，影响AppleAVD媒体解码器，追踪代码为CVE-2022-22675。该漏洞同样允许恶意应用程序读取内核内存，从而使应用程序能够使用内核特权执行任意代码。对此， 告给出建议：“通过改进的边界检查可以解决越界写入问题。”

【史上最大的加密黑客攻击诞生：Axi Infinity侧链 Ronin bridge被盗6.25亿美元】近日，攻击者从Axi Infinity的侧链Ronin跨链桥窃取了价值近6.25亿美元的以太坊(Ethereum)和USDC(一种与美元挂钩的稳定币)。这次攻击事件发生在3月23日，但直到3月29日一位用户无法提取其5000以太坊后才渐渐浮出水面。本次攻击中，攻击者共计盗取了大约17.36万以太坊和2550万USDC。而Ronin bridge和Katana Dex在袭攻击发生后被紧急叫停了。事后，Axi Infinity通过官方Discord和Twitter账 以及Ronin Network披露了存在的安全漏洞，“Ronin Network出现了安全漏洞。今天早些时候，我们发现Sky Mavis的Ronin验证器节点和Axie DAO验证器节点在3月23日遭到破坏，导致173,600个以太坊和2550万USDC在两次交易(1和2)中从Ronin桥中流失。”Axi Infinity还写道，“攻击者使用被破解的私钥来伪造取款。今天早上，我们在接到一份用户无法从桥上取出5千以太坊的 告后发现了这次攻击。”庞大的被盗资金数量使此次攻击成为了历史上最大的加密攻击，超过了2021年8月对DeFi protocol Poly Network的6.11亿美元黑客攻击。

【FBI调查了100多种勒索软件变体】近期，美联邦调查局(FBI)对100多种不同的勒索软件变体发起调查，发现其中很多已被用于各类勒索软件活动中。FBI 络部门助理主任布莱恩·沃恩德兰(Bryan Vorndran)周二在华盛顿向美国众议院司法委员会发表了有关该局努力应对恶意软件威胁的信息 。“FBI驻外办事处的每天都在应对勒索软件事件，”Vorndran说，“勒索软件威胁并不新鲜，一段时间以来它一直是FBI的首要 络犯罪调查重点之一，但在过去两年中，勒索软件攻击 告显着增加，这些攻击的影响已经发展到危险的程度，威胁着我们的经济和国家安全。”Vorndran在描述勒索软件使用量的增长时表示，从2019年到2021年，向FBI互联 犯罪投诉中心(IC3) 告的勒索软件投诉数量增加了82%，同期赎金支付增加了449%。同时，勒索软件即服务降低了实施这些妥协并从中受益所需的准入门槛和技术知识，并增加了进行勒索软件活动的犯罪分子的数量。不过，虽然实施勒索软件的威胁行为者和策略在不断进化，但其背后的动机仍然是通过勒索受害者的操作来实现利润最大化。但很多 络犯罪分子已经认识到可以通过针对无法容忍停机时间的组织(特别是对公共安全至关重要的基础设施)来实现最大化利润，仅在2021年，FBI、CISA和NSA就观察到针对16个美国关键基础设施部分发起的14个勒索攻击事件。

【以轻松赚钱为由，黑客每天发送近4000封虚假求职邀约邮件】3月29日， 络安全公司Proofpoint发布 告，指出一黑客团伙利用电子邮件散布虚假的求职邀约，其数量达到了每日近4000封。 告称，黑客以能够提供轻松赚钱的工作为诱饵，不仅窃取用户个人数据信息，还诱导受害者进行洗钱活动。“这类型的钓鱼攻击可能会导致人们失去毕生积蓄，或在不知不觉中被诱骗参与犯罪活动，”Proofpoint副总裁Sherrod DeGrippo说道。“他们尤其关注大学校园，Proofpoint每周检测并阻止数千起可能伤害学生和教师的就业欺诈威胁。”Proofpoint指出， 络犯罪分子正在利用新冠病毒在全球的大流行所带来的巨大就业压力，引诱求职者轻信钓鱼邮件中的虚假求职邀约。根据联邦调查局的 告发现，这类钓鱼攻击让受害者在2020年总共损失了至少6200万美元。Proofpoint认为，用户应该意识到这类威胁，尤其是大学生和教职人员，此外，合法的雇主永远不会在员工上班的第一天之前寄出薪水，也不会要求员工在工作开始前就付钱购买物品。