自安恒信息云安全團隊聯(lián)合安全數(shù)據(jù)部等專家團隊推出《網(wǎng)絡(luò)安全月報》訂閱服務(wù)以來，豐富的報告內(nèi)容幫助眾多客戶開展趨勢分析、安全規(guī)劃、情報研究，收獲大家的廣泛好評。小編也在馬不停蹄的搜羅全球安全事件，力求呈現(xiàn)更全面更實用的報告內(nèi)容。

被大家催更的《網(wǎng)絡(luò)安全3月月報》正式發(fā)布！本期內(nèi)容進行了全新改版升級，分析維度更豐富，數(shù)據(jù)更加全面，內(nèi)容更加深刻！此處省略完整版報告的1.3w字，凝結(jié)成核心報告內(nèi)容包含：

（1）國內(nèi)外安全政策、法規(guī)、動作；

（2）3月重大安全事件；

（3）3月APT威脅；

（4）3月勒索攻擊；

（5）3月挖礦情報；

（6）3月暗鏈情報

（7）3月漏洞情報；

（8）黑灰產(chǎn)情報

（9）安全數(shù)據(jù)部說

本文為報告部分精彩內(nèi)容，如需要完整版報告，可下滑至文末掃描二維碼領(lǐng)取，前50位客戶將免費獲得完整版報告。如需長期訂閱，歡迎發(fā)送需求至郵箱訂閱：

ti_support@dbappsecurity.com.cn

一

國內(nèi)外網(wǎng)絡(luò)安全動態(tài)

3月，國內(nèi)外在網(wǎng)絡(luò)安全領(lǐng)域，提出了多方面的政策法規(guī)，覆蓋金融、能源、交通、國防、通信等行業(yè)。本次收錄國際動態(tài)8條，國內(nèi)動態(tài)11條。

二

3月重大安全事件

3月重大安全事件包括Spring框架被曝出0day漏洞（CVE-2022-22965）、部分本田車型存在漏洞致使黑客可遠(yuǎn)程啟動車輛、Lapsus$勒索團伙泄露三星電子機密數(shù)據(jù)。

時間：3月29日

概述：Spring框架曝出RCE 0day漏洞（CVE-2022-22965）。使用JDK9及以上版本皆有可能受到影響，在Spring框架的JDK9版本（及以上版本）中，遠(yuǎn)程攻擊者可在滿足特定條件的基礎(chǔ)上寫入任意文件，從而可導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)。

處置建議：此漏洞影響范圍極廣，建議客戶盡快做好自查工作，目前Spring官方已發(fā)布安全補丁，建議及時更新Spring至官方最新安全版本來修復(fù)此漏洞。

目前安恒信息相關(guān)產(chǎn)品已實現(xiàn)針對于該漏洞的檢測和防護能力。

參考鏈接：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

三

3月APT威脅

在APT攻擊方面，由于俄烏沖突，本月針對烏克蘭的APT攻擊最多，由此可見APT組織活動基于地緣政治因勢而變的特點。另外，南亞地區(qū)的APT組織在3月一直處于活躍狀態(tài)，安恒獵影實驗室本月披露了南亞地區(qū)BITTER組織針對巴基斯坦政府及核能人員的攻擊，該組織長期以軍工、政府部門為目標(biāo)，在2021年曾多次針對我國軍工行業(yè)發(fā)起定向攻擊。此外，值得注意的是，本月披露了一起針對我國澳門地區(qū)的攻擊，攻擊者為DarkHotel組織，此次活動疑似是在為未來的間諜活動做準(zhǔn)備。

通過國內(nèi)外安全廠商、安全組織3月份針對于APT事件披露情況分析，近期活躍的APT組織有Kimsuky、Charming Kitten、Transparent Tribe、UNC1151、InvisiMole、DarkHotel、MuddyWater、Bitter、NSA等，其中當(dāng)屬Kimsuky組織攻擊事件居多。

▲3月APT組織發(fā)起攻擊占比圖

根據(jù)APT組織所屬地分布來看，以朝鮮地區(qū)的APT組織最為活躍，占比21.05%。

▲3月APT組織所屬地分布圖

此處分析了Kimsuky、NSA、Transparent Tribe、UNC1151、Bitter、Charming Kitten、DarkHotel等14個APT組織情報。

01 Kimsuky組織

本月，Lapsus$團伙是引起最多關(guān)注的勒索組織之一，該團伙在3月上旬持續(xù)針對大型公司發(fā)起攻擊，并且于3月10日公開招募受雇于主要科技巨頭和 ISP 的內(nèi)部人員。此前，LockBit 2.0勒索軟件團伙也曾招募企業(yè)內(nèi)部人員以獲取訪問權(quán)限，這表明招募內(nèi)部員工的策略在勒索團伙中已逐漸形成趨勢，此類活動會造成重大的內(nèi)部威脅風(fēng)險，并且類似的手法可能會被暗網(wǎng)上的其他攻擊者積極利用。

根據(jù)安恒獵影實驗室3月的勒索事件數(shù)據(jù)顯示，勒索軟件攻擊的行業(yè)涉及金融、能源、電子商務(wù)、制造業(yè)、通信、科技公司、政府部門、醫(yī)療衛(wèi)生、食品和農(nóng)業(yè)等，占比如下所示。

▲3月勒索軟件攻擊行業(yè)比例

此處介紹Lapsus$、LockBit、Conti、LokiLocker、Avoslocker等9大勒索團伙/軟件。

01 Lapsus$勒索團伙

根據(jù)安恒獵影實驗室針對3月的挖礦數(shù)據(jù)分析，其中行業(yè)挖礦行為主要分布在教育、IT、科研、通信、汽車等行業(yè)，其他行業(yè)也存在一定的挖礦行為。

▲2022年3月挖礦行業(yè)分布占比

▲2022年3月活躍礦池TOP 20

六

3月暗鏈情報

根據(jù)安恒零壹實驗室針對3月暗鏈數(shù)據(jù)分析，本月共有1762個網(wǎng)站的2894個網(wǎng)頁被植入暗鏈，其中包含37個政府網(wǎng)站的510個網(wǎng)頁，8個高校網(wǎng)站的12個網(wǎng)頁。

▲3月發(fā)現(xiàn)被植入暗鏈的網(wǎng)頁數(shù)量

七

3月漏洞情報

根據(jù)安恒衛(wèi)兵實驗室針對3月的漏洞分析數(shù)據(jù)顯示，超危和高危漏洞占據(jù)5成以上，威脅等級占比圖如下：

▲3月全網(wǎng)漏洞威脅等級占比圖

八

黑灰產(chǎn)情報

根據(jù)安恒神盾局?jǐn)?shù)據(jù)顯示，截止2022年3月，惡意網(wǎng)站歷史總庫中，鮮活的惡意網(wǎng)站占比7.2%。在所有惡意網(wǎng)站中，淫穢色情類網(wǎng)站占比5成以上，惡意網(wǎng)站類型占比如下圖所示。

▲惡意網(wǎng)站類型占比圖

九

安全數(shù)據(jù)部說

陽春三月，萬象更新，全球網(wǎng)絡(luò)安全領(lǐng)域經(jīng)歷了一個復(fù)雜多變的月份。（詳見完整版）

簡版報告下載地址：

https://ti.dbappsecurity.com.cn/info/3336