360发布网络安全九月月报 捕获APT组织“透明部落”攻击印度文档

近日，三六零公司(股票代码：601360.SH，以下简称“360”)网络安全响应中心（以下简称“360CERT”）发布《网络安全九月月报》（以下简称“九月月报”），通过对九月份安全漏洞分析、网络安全重大事件、勒索病毒攻击态势、移动安全数据分析、样本分析等内容的梳理，帮助相关人员全局掌握当前网络安全领域最新发展态势。

安全漏洞

2021年9月，360CERT共收录13个漏洞，其中严重1个，高危9个，中危3个。主要漏洞类型包含⾝份验证绕过、栈溢出、服务器端请求伪造等。涉及的厂商主要是Apache 、Cisco、QNAP、Windows、 VMware等。

在九月月报收录的13个漏洞中，重点介绍了其中5个严重及高危级别漏洞事件，包括VMware vCenter Server多个高危漏洞、2021-09 补丁日: 微软多个漏洞安全更新、2021-09 补丁日: Chrome多个漏洞安全更新、微软官方发布MSHTML组件在野0day漏洞、Confluence OGNL 注入漏洞。

安全事件

本月360CERT共收录安全事件211项，话题集中在数据泄露、恶意程序、网络攻击方面，涉及的组织有：Microsoft 、Google 、Intel 、Cisco、Apple、FBI、instagram等。涉及的行业主要包含IT服务业、金融业、制造业、政府机关及社会组织、医疗行业、交通运输业等，其中IT服务业发生安全事件的占比依然远超其他行业，这一点在九月月报中梳理的重点事件回顾中可见一斑，在收录的13起事件中有7起为IT服务业领域发生的。

APT事件作为网络安全领域不容忽视的一大网络安全威胁，在九月依然活跃。九月月报中重点梳理了17起极具代表性的APT事件，并对收录的APT事件进行了简要的说明。在九月月报中，收录了两起关于APT-C-56（透明部落）的预警——APT-C-56（透明部落）近期最新攻击分析与关联疑似Gorgon Group攻击和疑似APT-C-56透明部落攻击预警。

透明部落（Transparent Tribe）别名APT36、ProjectM、C-Major，是⼀个具有南亚背景的APT组织，其长期针对周边国家和地区（特别是印度）的政治、军事进行定向攻击活动，其开发有自己的专属木马CrimsonRAT，还曾被发现广泛传播USB蠕虫。TransparentTribe也曾经对Donot的恶意文档宏代码进行模仿，两者高度相似。之前透明部落也曾经模仿响尾蛇组织进行攻击。其⼀直针对印度的政府、公共部门、各行各业包括但不限于医疗、电力、金融、制造业等进行攻击和信息窥探。

近日360高级威胁研究分析中心在日常情报挖掘中发现并捕获到了透明部落攻击印度的文档，恶意文档最终释放CrimsonRAT。与此同时，360高级威胁研究分析中心还监控到了疑似Gorgon Group利用Netwire对印度的攻击行动，该组织由疑似巴基斯坦或与巴基斯坦有其他联系的成员组成。此外，360高级威胁研究院在日常情报挖掘中发现并捕获到了多批疑似透明部落攻击印度的文档，恶意文档最终释放NetWireRAT。

对此，九月月报也根据当月情况从网络防护、系统防护、数据安全、安全管理等方面给出了相应的安全建议。

恶意程序

对于近年来呈现高发态势的勒索病毒，九月月报显示，2021年9月全球新增的活跃勒索病毒家族有 :AtomSilo 、 BlackByte 、 Groove 、Sodinokibi(REvil) 等 勒 索 软 件 。 其中AtomSilo的数据泄露网站与BlackMatter高度相似，两者可能存在密切关系；Groove勒索软件由Babuk核心成员之一开发，并创建了一个名为RAMP的暗网论坛；消失近两月的Sodinokibi(REvil)在本月正式回归。

在勒索病毒态势分析针对本月统计的勒索病毒受害者所中勒索病毒家族进行感染数据分析时显示，phobos家族占比18.95%居首位，其次是占比17.32%的BeijingCrypt，Stop家族以14.05%位居第三。本月BeijingCrypt勒索感染量有大幅度的上升，从8月份的4.06%上升至本月的17.32%。在本月底，该家族出现新的变种，将被加密文件后缀修改为“.520”。

面对严峻的勒索病毒威胁态势，360安全大脑为企业用户给出了有针对性的安全建议，建议企业用户做好企业安全规划建设，包括安全规划、安全管理和人员管理等；此外，企业用户还应完善遭受勒索病毒攻击后的处理流程，并及时完善遭受攻击后的防护措施，避免损失进一步扩大；最重要的一点针对勒索病毒勒索不建议支付赎金。