近日，明朝万达安元实验室发布了2021年第十一期《安全通告》。

      该份报告收录了今年11月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

研究团队称僵尸网络 Pink 已感染超过 160 万台中国的设备

研究团队在10月29日披露了在过去六年发现的最大僵尸网络的细节。因为其大量的函数名称以pink为首，所以取名Pinkbot。该僵尸网络已感染了超过160万台设备，其中96%位于中国。它主要针对基于MIPS的光纤路由器，利用第三方服务的组合，例如GitHub、P2P网络和C2服务器，还对部分域名的解析查询采取了DNS-Over-HTTPS的方式。研究人员称，迄今为止，PinkBot发起了近百次DDoS攻击。

加州社区医疗中心CMC确认已泄露超过65万患者的信息

加州的社区医疗中心CMC于10月15日发布声明称，他们在10月10日检测到了一些异常的网络活动。作为响应措施，该机构关闭了整个系统，并对异常网络活动展开调查。11月2日，该机构发布了数据泄露通知，确认其泄露了656047个人的信息，其中包括姓名、医疗信息和社会安全码等。CMC表示将为受影响的个人提供免费的身份盗用保护、身份盗用解决方案和信用监控服务。

Kaspersky发布2021年Q3垃圾邮件和钓鱼活动的报告

11月1日，Kaspersky发布了2021年Q3垃圾邮件和钓鱼活动的分析报告。报告指出，在2021年Q3，垃圾邮件在邮件总量中的占比再次下降，平均为45.47%，比Q2下降了1.09%。垃圾邮件的最大来源国仍然是俄罗斯（24.90%），其次是德国(14.19%)、中国(10.31%)和美国(9.15%)。该季度总共检测到35958888个恶意邮件附件，比上季多了170万个。Agensla(9.74%)再次成为垃圾邮件中最常见的恶意软件，其次是Badun（6.89%）和Noon(5.19%)。

珠宝商Graff遭到Conti勒索攻击，特朗普等人信息泄露

10月31日，每日邮报报道勒索团伙Conti攻击了珠宝商Graff并窃取大量数据。目前，攻击者已在暗网上公开了涉及唐纳德·特朗普、奥普拉·温弗瑞和大卫·贝克汉姆的69000份机密文件，作为样本数据。并声称目前公开的信息涉及了该公司约11000个客户，仅占其窃取的全部数据的1%。Conti的赎金非常高，约占受害者年收入的10%，而Graff在2019年的收入为4.5亿英镑。

CiscoTalos发布2021年Q3应急响应事件的分析报告

CiscoTalos在10月28日发布了2021年Q3应急响应事件的分析报告。报告指出，在2021年7月至10月期间，勒索软件依然是本季度最主要的威胁，约占所有威胁的38%，还出现了许多新的勒索软件家族ViceSociety、Hive、Karma、Grief、CryptBD和Thanos。电子邮件是最常见的初始感染媒介，而缺乏多因素身份验证(MFA)成为企业安全的最大障碍之一。

欧洲网络安全局ENISA发布2021年威胁态势分析报告

欧洲网络安全局ENISA在10月27日发布了2021年威胁态势分析报告。报告确定了主要威胁、攻击技术、值得注意的事件和相关趋势，还提供了降低风险的建议。本报告主要讨论了9种网络安全威胁类别：勒索软件、恶意软件、加密劫持、电子邮件相关威胁、对数据的威胁、对可用性和完整性的威胁、虚假信息（错误信息）、非恶意威胁、和供应链攻击。此外，报告指出，勒索软件攻击已成为主要威胁。

Facebook将关闭人脸识别系统并删除数十亿条记录

Facebook的母公司Meta在周二宣布，将关闭已有十年历史的人脸识别系统，并删除超过10亿用户的面部识别模板。Facebook在2010年引入了面部识别功能，来自动标记照片和视频名称。而此次的终止计划是因为该技术引发了持续的隐私和道德问题，美国的多个城市已经禁止使用该技术，如波士顿、旧金山、新奥尔良和明尼阿波利斯等。近年来，亚马逊、微软和IBM等科技公司都已停用或停止出售此类产品。

Robinhood平台称因遭到攻击700万客户信息泄露

股票交易平台Robinhood在11月8日发布公告，声称其遭到了网络攻击。攻击发生在11月3日，攻击者通过社会工程攻击获得了客户支持系统的访问权限，可能已经访问了约700万客户的数据，涉及姓名、邮件地址、出生日期和邮政编码等信息。此外，RobinHood表示他们还遭到了勒索，但并未提供有关勒索要求的细节信息。目前，该公司正在安全公司Mandiant的协助下对此事展开调查。

Detectify新研究发现SSL证书可能会泄露敏感信息

Detectify11月4日的最新研究发现，SSL证书可能会泄露敏感信息。自7月份以来，Detectify已经收集和分析了超过9亿个公共SSL/TLS证书，并发现其中存在的“陷阱”可能会泄露公司的机密信息。绝大多数新认证的域都被赋予了描述性名称，如果证书是在公开前的开发阶段颁发的，可能让竞争对手有时间在新产品进入市场之前进行破坏。此外，通配符证书可能会受到ALPACA攻击的影响。

Intel471发布针对交通运输行业的攻击的分析报告

Intel471在11月2日发布了针对交通运输行业的攻击的分析报告。研究人员发现，大量黑客在暗网出售运输和物流组织的访问权限，并推断他们是利用远程访问解决方案（包括远程桌面协议RDP、VPN、Citrix和SonicWall等）中的漏洞获得的。报告指出，物流行业逐渐成为攻击目标，攻击可能会对全球经济造成严重的连锁反应，一次成功的攻击可能会使整个行业停滞，因此相关组织要主动修复漏洞以避免此类攻击。

PositiveTechnologies发布Rootkit演变趋势报告

PositiveTechnologies在11月3日发布了Rootkit的演变趋势和当前威胁的分析报告。研究人员分析了近10年最著名的16个rootkit家族，发现其中的44%用于攻击政府机构，77%被用于网络间谍活动。此外，rootkit很难开发，需要花费很多时间和金钱，因此大多数基于rootkit的攻击都与APT组织有关。所有的rootkit中38%属于内核模式，31%是用户模式，31%是组合类型，且大部分针对Windows系统。

CyberX9称印度证券机构CDSL4390万用户信息泄露

安全团队CyberX9在11月7日披露印度证券托管机构CDSL的4390万用户信息泄露。早在十月初，研究人员发现CDSL存在严重的漏洞，可泄露4390万投资者的个人信息和财务数据。10月26日，漏洞已被修复。但是，研究人员于10月29日发现新的补丁可以轻易地被绕过，依然可以泄露4390万人的数据。此次泄露的信息可以追溯到2005年左右注册的用户，由于此类数据的敏感度较高，如果落入攻击者手中对用户来说可能是致命的。

F5发布关于数字化转型所面临危险的分析报告

11月5日，F5发布了关于数字化转型所面临危险的分析报告。专注于数字转型的组织需要将不同的应用程序、系统和服务拼接成无缝的数字体验，也就是说组织已经接受了API。研究人员估计，如今公共和私有API的总量接近2亿，到2031年这一数字可能会达到数十亿。而API的扩张给运营和安全方面带来了挑战，例如随着API数量和应用复杂性的增加，追踪API的位置变得困难；以及API的频繁更新会导致版本和文档出现问题等。

Kaspersky发布2021年Q3DDoS攻击的分析报告

Kaspersky在11月8日发布了2021年Q3DDoS攻击的分析报告。报告指出，与上一季度和去年相比，第三季度的攻击数量显著增加。其中美国遭到的DDoS攻击最多（40.80%），其次是中国香港（15.07%）和中国(7.74%)。第三季度单日的DDoS攻击次数打破了之前的所有记录：8月18日有8825次攻击，8月21日和22也有超过5000次。大多数DDoS攻击采取了SYN泛洪的形式，而大多数僵尸网络C&C服务器位于美国（43.44%）。

网信办发布《网络数据安全管理条例（征求意见稿）》

国家网信办于11月14日发布了《网络数据安全管理条例（征求意见稿）》的公开征求意见通知。截至今年6月，我国网民规模达10.11亿，由此产生的网络数据量更是天文数字。该条例规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益。中国互联网协会法工委副秘书长胡钢指出，这是新时代规范互联网平台企业，强化反垄断和资本无序扩张的应有之义，也是维护国家安全、保护社会公共利益的需要。

CheckPoint发布2021年10月全球威胁指数报告

CheckPoint在近期发布了2021年10月全球威胁指数报告。报告指出，Trickbot仍位居恶意软件榜单之首，影响了全球4%的组织，其次是XMRig（3%）和Remcos（2%）；教育和研究行业是全球受攻击最多的行业，其次是通信行业，以及政府和军事组织；最常见的漏洞是Web服务器URL目录遍历漏洞，包括CVE-2010-4598和CVE-2011-2474等；xHelper仍然是最常见的移动恶意软件，其次是AlienBot和XLoader。

AppGallery中多款游戏应用存在木马，已感染900多万设备

11月23日，Dr.Web的研究人员披露华为应用商店AppGallery中的190款游戏中存在木马Android.Cynos.7.origin，已安装约9300000次。该木马是恶意软件Cynos的变体，旨在收集用户的信息。这些游戏主要使用俄语、中文和英语，其中游戏“快点躲起来”的下载量高达2000000次。研究人员称，该木马可发送和拦截短信、下载和启动其它模块，以及下载和安装其他应用。目前，华为公司已将这些游戏下架。

Kaspersky发布2022年ICS和工业行业威胁的预测报告

Kaspersky于11月23日发布了2022年ICS和工业行业威胁的预测报告。报告指出，在未来攻击者可能会减少每次攻击的目标数量，缩短恶意软件的生命周期并最大限度地减少恶意基础设施的使用。此外，报告表示以下攻击策略和技术无疑将在来年被积极利用：钓鱼攻击、将硬件中的已知漏洞作为渗透媒介、利用操作系统组件和IT产品中的零日漏洞、入侵域名注册商和认证机构以及针对供应商的攻击。

WSpot公司因AWS存储桶配置错误泄露250万用户信息

安全公司SafetyDetectives发现巴西软件公司WSpot已泄露超过250万用户的信息。WSpot的产品可用于企业保护其内部的WiFi网络，并提供无密码的在线访问，该公司的客户包括Sicredi、必胜客和Unimed等。研究人员于9月2日发现WSpot配置错误的AmazonWebServicesS3存储桶泄露了10GB的数据，并于9月7日通知WSpot。WSpot表示此事件影响了其5%的客户群，已在11月18日修复完成。