工業網絡安全周報（2024年第34期）

本期摘要

政策法規及攻擊預警，本周觀察到國外網絡安全相關政策法規10項，值得關注的有工業和信息化部發文稱網絡安全威脅和漏洞信息共享平臺(CSTIS)發現新型ValleyRAT惡意軟件，針對中文版Windows用戶，可能引發信息泄露和業務中斷。

漏洞態勢方面，本周監測到漏洞動態14條，值得關注的有Beckhoff TwinCAT/BSD操作系統存在四個安全漏洞，可能使PLC遭受邏輯篡改或DoS攻擊。攻擊者無需高權限即可利用這些漏洞，例如重置PLC管理員密碼或使設備無法訪問。

安全事件方面，本周監測到重大網絡安全事件20起，其中典型的事件有來自安全意識培訓和模擬網絡釣魚平臺供應商 KnowBe4的一份新報告顯示，關鍵基礎設施正受到圍攻，網絡攻擊在一年內增加了30%。能源、交通和電信行業已成為主要目標。

安全技術方面，Nozomi Networks與Mandiant合作為OT、IT、物聯網威脅檢測和響應提供全面的解決方案。Dragos發布了最新版本的Dragos平臺，增強了對工業和關鍵基礎設施組織運營技術(OT)環境的網絡可見性和安全性。

1、工信部警告：警惕新型ValleyRAT惡意軟件威脅

8月27日，工業和信息化部發文稱網絡安全威脅和漏洞信息共享平臺(CSTIS)發現新型ValleyRAT惡意軟件，針對中文版Windows用戶，可能引發信息泄露和業務中斷。該軟件通過偽裝成金融文檔的誘餌傳播，一旦激活，可監視用戶活動并執行惡意操作。建議用戶更新防病毒軟件，避免打開不明郵件或文檔，保持軟件更新，定期備份數據，以防范風險。

資料來源：https://www.secrss.com/articles/69532

2、美國警告：伊朗關聯組織對關鍵基礎設施構成網絡威脅

8月30日，據媒體報道，美國機構發布網絡安全咨詢報告，警告關鍵基礎設施組織防范與伊朗政府有關的網絡行為者，包括Pioneer Kitten、UNC757等，他們針對教育、金融、醫療保健和國防部門。這些行為者利用VPN漏洞部署勒索軟件，與NoEscape、Ransomhouse和ALPHV等勒索軟件附屬公司合作。建議組織更新防病毒軟件，修補CVE漏洞，加強網絡安全措施。

資料來源：http://knqjc.dwa5.sbs/EvLQatR

3、CISA和FBI聯合揭露網絡釣魚攻擊手段及防御策略

8月28日，據cybersecuritynews報道，美國CISA和FBI聯合發布指南，揭露網絡釣魚技術并提供防御措施。網絡釣魚通過電子郵件、短信等誘騙個人泄露信息或執行有害操作。建議采取多因素認證、電子郵件驗證、部署過濾器和白名單、軟件更新、DNS過濾等措施。對中小型企業，強調用戶培訓和反網絡釣魚意識計劃的重要性，并建議制定響應計劃，及時報告網絡釣魚企圖。

資料來源：https://cybersecuritynews.com/cisa-fbi-details-phishing-techniques/

4、NERC和NEMA聯手簽署備忘錄，致力于加強北美電網的安全性與可靠性

8月28日，據媒體報道，北美電力可靠性委員會(NERC)與美國電氣制造商協會(NEMA)簽署諒解備忘錄，加強電網的可靠性與安全性。合作將促進信息共享，提升電網應對新挑戰的能力。NERC的Jim Robb認為早期合作對電網轉型至關重要。NEMA的Debra Phillips期望通過協調標準，增強制造商能力。同時，美國能源部推出SolarSnitch技術，加強分布式能源網絡安全。

資料來源：http://gwz7c.dwa5.sbs/dl3WrQa

5、津巴布韋加強公務員網絡安全培訓應對網絡威脅

8月24日，據Thecyberexpress報道，津巴布韋政府為提高網絡安全能力，對政府官員進行網絡安全培訓。超過100名官員在哈拉雷完成培訓，內容涵蓋全球網絡安全趨勢和數據安全治理。此舉是為應對近期黑客攻擊事件。政府與華為等合作，支持構建安全的數字生態系統。郵政電信管理局副局長Alfred Marisa指出，在數據消費量激增的背景下，網絡安全至關重要。津巴布韋正努力成為地區內打擊網絡威脅的領導者。

資料來源：https://thecyberexpress.com/zimbabwe-government-priority-cybersecurity/

6、Beckhoff TwinCAT/BSD漏洞導致PLC遭受篡改和DoS攻擊

8月28日，據nozominetworks報道，Beckhoff TwinCAT/BSD操作系統存在四個安全漏洞，可能使PLC遭受邏輯篡改或DoS攻擊。攻擊者無需高權限即可利用這些漏洞，例如重置PLC管理員密碼或使設備無法訪問。Beckhoff已發布補丁，建議用戶更新至最新版本以修復這些安全問題。TwinCAT/BSD結合了TwinCAT實時控制和BSD Unix系統的功能，支持多核系統和虛擬化技術，適用于工業自動化。

資料來源：http://zqwtb.dwa5.sbs/Lu3Evrx

7、羅克韋爾自動化ThinManager漏洞對工業系統安全構成嚴重威脅

8月28日，據Gbhackers報道，羅克韋爾自動化的ThinManager ThinServer被趨勢科技研究員發現存在多個高危漏洞，包括信息泄露和遠程代碼執行，可能導致系統被攻擊者控制。這些漏洞的CVSS評分顯示其嚴重性，尤其是CVE-2024-7987和CVE-2024-7988，涉及遠程代碼執行。羅克韋爾已發布修復并建議用戶更新，以保護工業系統安全。

資料來源：https://gbhackers.com/rockwell-automation-thinmanage/

8、戴爾修復嚴重BIOS安全漏洞，敦促用戶立即更新

8月29日，據媒體報道，戴爾發現其BIOS存在嚴重安全漏洞(CVE-2024-39584)，允許攻擊者繞過安全啟動執行代碼，影響Alienware系列電腦。戴爾已發布BIOS更新修復問題，強烈建議用戶更新至最新版本。公司感謝BINARLY研究團隊的貢獻，并強調更新的重要性。用戶應訪問戴爾安全公告頁面，確保安裝最新安全補丁。

資料來源：https://cybersecuritynews.com/dell-bios-flaw-alienware/

9、網現Fortinet SSL VPN RCE漏洞出售

8月24日，據媒體報道，暗網告密者出售針對Fortinet SSL VPN的兩個RCE漏洞鏈，售價10,000美元。漏洞鏈適用于所有設備，包括Python代碼文件、工具、地址、shellcode生成器和使用教程。賣家提供額外費用以支持AARCH64架構。這一交易暴露了網絡漏洞在暗網的流通，對Fortinet SSL VPN用戶構成安全威脅。

資料來源：http://mvmra.dwa2.sbs/o6nYmrT

10、KnowBe4報告強調，關鍵基礎設施面臨 30% 的網絡攻擊激增

8月30日，據媒體報道，來自安全意識培訓和模擬網絡釣魚平臺供應商 KnowBe4的一份新報告顯示，關鍵基礎設施正受到圍攻，網絡攻擊在一年內增加了30%。能源、交通和電信行業已成為主要目標。這并不奇怪，因為這些行業，尤其是發達國家的行業，已經與數字技術日益緊密地聯系在一起，這反過來又為網絡攻擊帶來了新的漏洞。KnowBe4報告還指出，這些類型攻擊的后果對國家具有潛在的破壞性，因此地緣政治對手已將其作為其數字武器庫的有力補充。

資料來源：http://bjmma.dwa5.sbs/KESvEmT

11、微芯片科技公司遇勒索軟件攻擊，5GB數據泄露

8月30日，據媒體報道，美國微芯片科技公司于8月遭Play勒索軟件攻擊，導致制造中斷，影響訂單履行。8月29日Play組織泄露了超5GB數據，包括敏感信息，并威脅若不支付贖金將公開更多數據。此事件突顯半導體行業的網絡安全風險。

資料來源：http://upu1b.dwa5.sbs/azwRF1g

12、馬來西亞Prasarana交通系統遭黑客攻擊，面臨數據泄露風險

8月29日，據媒體報道，馬來西亞交通運營商Prasarana Malaysia Bhd遭疑似勒索軟件攻擊，泄露約316GB數據。盡管安全受威脅，公司稱日常運營未受影響，并與網絡安全專家合作應對。勒索軟件組織RansomHub聲稱負責，并威脅一周內公布數據。Prasarana正與國家網絡安全局合作加強防護，并承諾更新事件進展。

資料來源：https://www.securitylab.ru/news/551556.php

13、2024年俄羅斯遭遇專業黑客攻擊激增

8月29日，據媒體報道，2024年上半年，俄羅斯面臨專業黑客攻擊激增，占60%成功攻擊。這些攻擊者多為外國政府機構的網絡雇傭兵和親政府團體，常利用員工賬戶和Web應用漏洞。與2023年相比，網絡欺凌者和黑客活動分子減少，賬戶被盜用事件減少四倍。攻擊技術復雜化，2024年初始滲透43%使用受損賬戶，Web應用漏洞利用占43%，顯示Web應用是防御薄弱環節。攻擊者在受害者網絡中潛伏時間縮短，但有記錄顯示潛伏超過兩年。

資料來源：https://www.securitylab.ru/news/551582.php

14、荷蘭國防部數據中心故障導致全國性混亂

8月29日，據Therecord報道，荷蘭國防部數據中心故障引發全國性混亂，影響空中交通管制和緊急服務通信，導致航班停飛。公務員無法訪問政府工作站，服務受阻。荷蘭國家網絡安全中心正在研究情況，尚不確定是否由網絡攻擊引發。國防部正制定解決方案，并將更新信息。

資料來源：http://er3zc.dwa5.sbs/YFk3sS7

15、Nozomi Networks與Mandiant合作為OT、IT、物聯網威脅檢測和響應提供全面的解決方案

8月29日，據媒體報道，Nozomi Networks推出了由Mandiant Threat Intelligence支持的Nozomi TI擴展包，旨在加強工業和企業網絡安全。該擴展包通過集成Mandiant的威脅情報，為客戶提供更全面的IT、OT和IoT系統威脅信息。Nozomi Networks的CEO強調了網絡安全威脅的快速演變，以及CISO團隊對全面解決方案的需求。此外，Vantage Threat Cards作為Nozomi Vantage控制臺的新功能，提供了一種新的方式來訪問和組織威脅數據，加快了響應時間并提高了準確性。Nozomi TI擴展包現已向客戶提供。

資料來源：http://om0ub.dwa5.sbs/ax7ZJ1B

16、Dragos通過高級威脅檢測、管理功能增強OT網絡安全平臺

8月30日，據媒體報道，Dragos發布了最新版本的Dragos平臺，增強了對工業和關鍵基礎設施組織運營技術(OT)環境的網絡可見性和安全性。新功能包括本地收集器、文件攝取和篩選功能，提高了數據收集的靈活性和資產清單的可視性。平臺集成了Dragos WorldView情報和Neighborhood Keeper社區的威脅情報，簡化了威脅檢測和漏洞管理工作流程。Dragos強調了其對OT網絡安全的全面覆蓋，以及如何幫助客戶有效應對日益增長的網絡威脅。

資料來源：http://1fktc.dwa5.sbs/CMM9Rqj