11月安全威脅情報月報

01 情報綜述

全球資訊：

威脅情報中心論壇11月共發布99篇全球威脅資訊，4篇安全威脅情報周報，4篇原創分析文。在《 朝鮮APT組織Lazarus又又又對安全人員發起攻擊》中，安恒信息威脅情報中心獵影實驗室發現了Lazarus組織相關賬戶的一些攻擊活動，發現該組織利用漏洞研究相關內容建立賬戶信任感，發起攻擊。并且，獵影實驗室以高置信度將2021年5月的CVE-2021-33739野外漏洞利用攻擊活動歸因到Lazarus組織。

TI平臺11月收錄內容包括惡意軟件、熱點事件、攻擊團伙、惡意活動、最新APT組織事件相關信息；行業遍及政府、能源、金融、教育、航空、水利等等；11月情報資訊中收錄的關聯IOC，累計7216個。

按照攻擊類型，其中APT攻擊比例最高為19.19%，勒索軟件收錄占比第二，為18.18%。

▲11月威脅事件類型占比圖

11月多數行業均遭到不同程度的惡意威脅，按照攻擊行業，分布如下，其中政府部門、金融、外交、通信、交通運輸收錄內容占比較高。

▲11月威脅事件行業占比圖

11月收錄事件以發生在美國、中東最多，各地占比圖如下。

▲11月威脅事件分布各地占比圖

02 IP資產分布

威脅情報中心針對11月惡意IP情報進行分析，整理出11月惡意IP資產分布地圖，其中在全球分布地圖中，惡意IP最多的前10個國家分別為美國、中國、荷蘭、德國、俄羅斯、法國、英國、新加坡、保加利亞、韓國。其中美國的惡意IP情報最高，占所有資產19.37%。

▲11月惡意IP情報世界分布熱力圖

▲11月惡意IP情報世界分布占比圖

以中國的省市分布來看，IP惡意情報分布排名前5的分別為中國香港、上海、廣東、北京、浙江，其中中國香港的惡意IP占比最高，為21.1%。

▲11月惡意IP情報中國分布熱力圖 

▲11月中國惡意IP情報省內分布占比圖

03 高偽裝域名風險提示

安恒威脅情報中心每月收錄與真實域名非常接近的高偽裝惡意域名，提醒廣大用戶提高警惕。11月發現8個高偽裝域名，如下：

04 威脅事件

勒索情報綜述：

研究人員針對勒索軟件的分析、針對勒索團伙的研究，從未停止。過去1個月收錄的全球勒索攻擊事件中，勒索軟件攻擊的行業涉及媒體、金融、交通運輸、醫療衛生、電子商務等。其中交通運輸和醫療衛生的占比較高，分布占比17.65%和11.77%。

▲11月勒索軟件攻擊行業比例

05 漏洞情報

1.微軟11月安全更新補丁和多個高危漏洞風險提示

01漏洞公告

2021年11月9日，微軟官方發布了11月安全更新公告，包含了微軟家族多個軟件的安全更新補丁，包括：Microsoft Windows、Azure、Exchange Server、Microsoft Office 、Microsoft Dynamics、Microsoft Edge（基于 Chromium）、Hyper-V等55個安全漏洞。其中包含6個嚴重和多個高危漏洞。請相關用戶及時更新對應補丁修復漏洞。

相關鏈接參考：https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov

根據公告，此次更新中修復的Microsoft 虛擬機總線 (VMBus) 遠程代碼執行漏洞（CVE-2021-26443）、OpenSSL SM2解密緩沖區溢出漏洞（CVE-2021-3711）、遠程桌面客戶端遠程代碼執行漏洞（CVE-2021-38666）、Microsoft Excel安全功能繞過漏洞（CVE-2021-42292）、Microsoft Exchange Server遠程代碼執行漏洞（CVE-2021-42321）、Microsoft Defender 遠程代碼執行漏洞（CVE-2021-42298）、Chakra 腳本引擎內存損壞漏洞（CVE-2021-42279）、Microsoft Dynamics 365（本地）遠程代碼執行漏洞（CVE-2021-42316）等風險較大，建議盡快安裝安全更新補丁或采取臨時緩解措施加固系統。   

相關鏈接參考：https://msrc.microsoft.com/update-guide/vulnerability/

2.VMware vCenter Server權限提升漏洞風險提示

01漏洞公告

2021年11月10日，VMware官方發布了安全公告，修復了vCenter Server一處權限提升漏洞(CVE-2021-22048)，攻擊者可利用該漏洞提升普通權限至更高的權限組。

相關鏈接參考：https://www.vmware.com/security/advisories/VMSA-2021-0025.html

VMware歷史安全漏洞公告參考：https://www.vmware.com/security/advisories.html

通過安恒SUMAP平臺對全球部署的VMware vCenter Server進行統計，最新查詢分布情況如下：

▲國家數據分布 

▲國內數據分布

06 安恒漏洞分析情報

TI漏洞情報11月共發布11條漏洞分析，其中3個超危，8個高危。漏洞情報地址：https://ti.dbappsecurity.com.cn/vul，更多漏洞特權服務，聯系郵箱：ti_support@dbappsecurity.com.cn

07 安全解讀

《關于《網絡數據安全管理條例（征求意見稿）》的10條精簡歸納》

參考鏈接：https://mp.weixin.qq.com/s/anZPBpPogFyJFkd8DYho8g