安全威胁情报周报（07.12~07.18） – 作者:Threatbook-安全小百科

一周情报摘要

金融威胁情报

美国橡树岭银行披露数据泄露事件

美国金融公司摩根士丹利遭到黑客攻击，发生数据泄漏

政府威胁情报

三部门联合发布关于网络产品安全漏洞管理规定的通知

赛门铁克发布关于政府部门攻击事件和策略的白皮书

伊朗道路和城市发展部遭到网络攻击

能源威胁情报

安徽省关于印发电力供应保障三年行动方案（2022—2024）的通知

广东省发展改革委关于印发《广东省2021年能耗双控工作方案》的通知

工控威胁情报

工业和信息化部、国家标准化管理委员会组织发布关于工业互联网综合标准化体系建设指南的征求意见稿

施耐德电气可编程逻辑控制器（Modico PLC）存在严重漏洞

三菱电机修补多款产品中的高危漏洞

流行威胁情报

BIOPASS RAT 的水坑攻击活动

谷歌商店再次下架含有 Joker 木马的 App

高级威胁情报

老树新花：Kimsuky 使用的新版 KGH 间谍组件分析

SpoofedScholars 活动：TA453 组织冒充英国学者开展攻击活动

Donot APT 组织针对军事人员的攻击活动

漏洞情报

谷歌 0day 漏洞已被在野利用，需紧急修复

Kaseya 发布针对大规模勒索软件供应链攻击中利用的漏洞的补丁

Adobe 更新修复6个程序中的28个漏洞

勒索专题

SonicWall 发布针对固件的勒索软件活动的紧急通知

美国零售商 Guess 遭勒索软件攻击，数据发生泄露

医疗管理服务提供商 Practicefirst 披露数据泄露

瑞士在线消费者网站 Comparis 遭到 REvil 勒索软件攻击

【金融威胁情报】

美国橡树岭银行披露数据泄露事件

Tag：银行，数据泄露，美国

事件概述：

近日，美国北卡罗来纳州橡树岭银行披露2021年4月26日至27日之间发生的数据泄露事件。此次攻击事件导致橡树岭银行的五家分行短暂关闭，部分客户的敏感数据信息遭到泄露。橡树岭银行在发现攻击者在未经授权访问其银行客户*数据后，立即向美国联邦调查局报告事件并展开调查。

调查发现，攻击者在访问银行系统后可能窃取了部分客户的历史敏感数据，在2009年9月30日之前开设账户的客户敏感信息可能遭到泄露，这些泄露的信息可能包括社会安全号码、银行账号、出生日期和驾驶证号码等信息。橡树岭银行的五家分行虽然受此次攻击事件影响在4月下旬都关闭两天，但是其银行发言人表示在关闭期间，客户依然可以访问网上银行和手机银行，以及通过 ATM 进行存款和取款。该银行已于7月7日向受影响客户发送数据泄露事件通知，并向受影响的客户提供12个月的身份保护服务。

截至外媒发表报道之前，橡树岭银行发言人表示目前没有任何证据证明其客户信息被盗。

来源：

https://www.wfmynews2.com/article/news/local/bank-of-oak-ridge-cyberattack/83-d1d540ba-c6fb-473e-99f1-417771b181e9

美国金融公司摩根士丹利遭到黑客攻击，发生数据泄漏

Tag：数据泄露，美国，第三方供应商

事件概述：

美国跨国金融公司摩根士丹利 (Morgan Stanley) 公司于7月2日发表通知称，由于攻击者入侵第三方供应商 Guidehouse 的 Accellion FTA 服务器，摩根士丹利客户敏感信息遭到泄露。第三方供应商于今年5月份通知摩根士丹利公司数据泄露事件，随后摩根士丹利公司向受影响的客户发送数据泄露通知。该银行表示由于第三方供应商遭到黑客攻击，摩根士丹利客户涉及Guidehouse 拥有的文件及加密文件可能遭到泄露，泄露的数据还包含股票参与者姓名、地址、出生日期、社会安全号码、法人公司名称等信息。据称，虽然被盗文件以加密形式存储在受感染的Guidehouse Accellion FTA服务器上，但攻击者在攻击过程中还获得解密的密钥，可能存在加密信息泄露。但摩根士丹利称被盗信息并不包含可以访问摩根士丹利客户金融账户的账号密码等敏感信息。

来源：

https://s3.documentcloud.org/documents/20985259/morgan-stanley-bc-20210702.pdf

【政府威胁情报】

三部门联合发布关于网络产品安全漏洞管理规定的通知

Tag：漏洞管理

事件概述：

为了规范网络产品安全漏洞发现、报告、修补和发布等行为，防范网络安全风险，根据《中华人民共和国网络安全法》，工业和信息化部、国家互联网信息办公室和公安部联合制定《网络安全漏管理规定》，该规定于7月12日发布，自2021年9月1日起施行。

《网络安全漏洞管理规定》主要围绕国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作；工业和信息化部负责网络产品安全漏洞综合管理，承担电信和互联网行业网络产品安全漏洞监督管理；公安部负责网络产品安全漏洞监督管理，依法打击利用网络产品安全漏洞实施的违法犯罪活动实施。规定还要求网络产品提供者应当履行网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施。《网络安全漏洞管理规定》还鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，还对其发布、修补等行为进行明确要求。

来源：

https://mp.weixin.qq.com/s/oXDXvjsYuBAi44NfyYV7NA

赛门铁克发布关于政府部门攻击事件和策略的白皮书

Tag：政府部门，网络攻击

事件概述：

2020年12月，SolarWinds 供应链攻击影响了美国联邦政府、北约、英国政府和欧洲议会的多个部门，以及数千家私营部门组织，据报道是美国有史以来遭受的最严重的网络间谍事件之一，也是诸多政府部门遭受重创事件之一。

针对政府部门的网络攻击数不胜数，美国和国际政府部门成为黑客攻击的主要目标，有组织的犯罪分子、外国黑客、治黑客和其他人的攻击不仅侵蚀公众对目标政府实体的信任，而且还可能严重影响政府的运作以及会对敏感信息和关键基础设施造成重大风险和财务成本损失。网络安全成为全球各国政府日益关注的一个重大问题。

随着联邦、州和地方政府越来越多的成为黑客试图窃取、操纵敏感数据和破坏业务的目标。赛门铁克发布关于政府部门有关事件和策略的白皮书，主要围绕遭受的攻击范围以及各种策略展开，详细的讲述针对政府部门的勒索软件、间谍活动、拒绝服务攻击事例，针对政府部门攻击的APT组织，恶意活动的发展趋势以及向政府部门提供保护网络安全的缓解措施。

来源：

https://symantec.broadcom.com/hubfs/Attacks-Against-Government-Sector.pdf

伊朗道路和城市发展部遭到网络攻击

Tag：交通部，伊朗，网络攻击

事件概述：

继伊朗铁路系统7月9日遭到黑客攻击后，伊朗道路和城市发展部计算机系统在10日遭到网络攻击。此次攻击活动导致伊朗道路和城市发展部网站、旗下其他网站中断服务。据该部门表示，事件起因仍在调查中。据伊朗媒体报道称，伊朗铁路售票和服务网站在9日遭到网络攻击后，车次信息显示系统被破坏，伊朗各地火车站出现混乱。伊朗铁路公司针对大量车次出现延误或取消的报道回应表示，仅是车站公告牌出现问题，列车运行并未受到影响。但据一张包含车站起点到车站终点图片显示一排排取消的行程和“由于网络攻击造成长时间延误行程取消”的消息，佐证了事情并非只是回应的那么简单。

伊朗电信部长在10日提醒相关部门修补计算机系统漏洞，以免遭到勒索软件攻击。

来源：

https://www.theguardian.com/world/2021/jul/11/cyber-attack-hits-irans-transport-ministry-and-railways

【能源威胁情报】

安徽省关于印发电力供应保障三年行动方案（2022—2024）的通知

Tag：电力，供应保障，行动方案

事件概述：

近年来，由于安徽省电力需求保持较快增长，国家能源局将安徽省2022—2024年电力供需形势确定为红色预警。为保障未来三年的电力供应及完善电力需求侧管理机制，安徽省人民政府办公厅于近日印发了《安徽省电力供应保障三年行动方案（2022—2024年）》（皖政办秘〔2021〕69号，以下简称《行动方案》）。《行动方案》以保证安徽全省电力供应，解决“十四五”期间存在的电力供应保障能力缺口的主要目标；以提高电力保供能力，有效削减用电负荷，创新形成新型保供力量，提高全民节电意识，加强运行调度管理为主要任务。《行动方案》主要围绕内建外引大力开源，努力提高供应能力；强化管理努力节流，有效削减用电负荷；推进能源改革创新，形成新型保供力量；促进能源消费转型，提高全民节电意识；加强运行调度管理，确保系统顶峰能力行动。该方案主要致力于加强区域协调发展，多方争取省外电力；激发市场主体活力，创新建设应急顶峰机组等创新举措。

来源：

https://baijiahao.baidu.com/s?id=1705157203374759760&wfr=spider&for=pc

广东省发展改革委关于印发《广东省2021年能耗双控工作方案》的通知

Tag：能耗双控，广东

事件概述：

根据《中华人民共和国节约能源法》和国家关于能耗双控工作的决策部署，为确保完成全省2021年能耗双控目标，广东省发展改革委制定《广东省2021年能耗双控工作方案》。该方案于近期发表，坚定不移贯彻落实新发展理念，坚决贯彻国家关于能耗双控工作的决策部署，把节能工作贯穿于经济社会发展全过程和各领域，切实推动经济社会高质量发展。

该方案以严格落实目标责任制、完善能耗双控管理之地、严格落实节能审查制度、严格节能监督执法来强化能耗双控；以调整产业结构和优化能源结构积极推进结构优化调整；加强工业、建筑、交通运输、消费流通、公共机构、重点用能单位的节能管理；完善价格、财务税收、绿色金融、市场化等配套政策；通过加强组织领导、健全节能法规标准、加强节能宣传培训强化保障措施。

来源：

http://www.paperinsight.net/ljz/1895.html

【工控威胁情报】

工业和信息化部、国家标准化管理委员会组织发布关于工业互联网综合标准化体系建设指南的征求意见稿

Tag：工业互联网，建设指南

事件概述：

为贯彻落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》关于推进工业互联网标准体系建设的部署要求，加强工业互联网标准化工作顶层设计，工业和信息化部、国家标准化管理委员会组织编制了《工业互联网综合标准化体系建设指南（2021版）》（征求意见稿）并公开征求意见。

该指南主要从网络体系、平台体系、安全体系及应用剖析技术与产业发展现状；以统筹规划、协同推进，共性先例，急用先行，兼容并蓄、合作共享为基本原则；以形成涵盖需求100+标准以上的工业互联网标准体系为最终目标；主要建设基础共性标准、网络标准、边缘计算标准、平台标准、安全标准、应用标准；通过加强统筹协调，加快标准研制，强化宣贯实施及深化国际合作进行组织实施。

来源：

https://baijiahao.baidu.com/s?id=1704767708826750199&wfr=spider&for=pc

施耐德电气可编程逻辑控制器（Modico PLC）存在严重漏洞

Tag：Modicon PLC ， ModiPwn

事件概述：

近期， Armis 研究人员披露施耐德电气可编程逻辑控制器（Modicon PLC）发现一个严重（CVE-2021-22779）。该漏洞是身份验证绕过漏洞，允许攻击者绕过身份验证机制，从而导致在易受攻击的 PLC 上执行本地远程代码。CVE-2021-22779涉及在开发过程中用于调试 Modicon 硬件的未记录指令，这些未记录的命令可以允许对 PLC 进行完全控制、覆盖关键内存区域、泄漏敏感内存内容或调用内部函数。这些命令还可用于接管 PLC 并在设备上获得本机代码执行，更改 PLC 的操作，同时对管理 PLC 的工程工作站进行隐藏更改。据研究人员表示该漏洞还影响 Modicon M340、M580 PLC 的最新固件版本和 Modicon 系列的其他型号。截至外媒报道前，ModiPwn 供应商尚未发布关于该漏洞的补丁。

技术详情：

攻击者可以利用 CVE-2021-22779 绕过身份验证并保留 PLC，上传未配置应用程序密码的新项目文件，释放 PLC reservation，断开与设备的连接，用基于 Reservation 的方法在不需要密码的情况下重新连接 PLC ，通过利用可以到达 RCE（ WritePhysicalAddress 或 PrivateMessage ）的未记录命令之一来实现代码执行。

来源：

https://www.armis.com/research/modipwn/

三菱电机修补多款产品中的高危漏洞

Tag：高危漏洞，三菱电气

事件概述：

三菱电机于近日发布公告称其多个空调系统存在高危漏洞（CVE-2021-20598），该漏洞是 XXE (XML External Entity Injection) 漏洞。这个漏洞是通过向监听 TCP 端口号1025的进程发送XXE有效载荷来触发，这会导致应用程序发出任意 HTTP 或 FTP 请求。利用此漏洞可能导致受影响的系统模型和固件版本上发生拒绝服务或信息泄露。据 CISA 披露，三菱电机空调系统膨胀控制器 PAC-YG50ECA：2.20 及更早版本，空调系统 BM 适配器 BAC-HD150：2.21 及更早版本和空调系统集中控制器的多个版本受此漏洞影响。

截至目前，三菱电机除发布相关补丁外，还提供可用的缓解措施和用于检查设备版本漏洞影响的说明。

来源：

https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-005_en.pdf

【流行威胁情报】

BIOPASS RAT 的水坑攻击活动

Tag：BIOPASS，RAT，水坑攻击

事件概述：

近日，趋势科技研究人员发现了一种新恶意软件 BIOPASS RAT 的攻击活动。攻击者通过水坑攻击，诱骗访问者下载伪装成 Adobe Flash Player 、 Microsoft Silverlight 安装程序的恶意软件加载程序。这些恶意软件程序加载 Cobalt Strike shellcode 和以前未记录的用 Python 编写的后门 BIOPASS RAT。该恶意软件主要针对中国在线浏览器，包括谷歌浏览器、Edge 浏览器、2345浏览器、QQ 浏览器、360安全浏览器、搜狗等浏览器。

技术详情：

在此次攻击活动攻击者利用水坑接入，在受感染的网站上注入攻击者自定义的 JavaScript 代码来交付恶意软件，这些代码通常注入在目标在线支持的聊天页面中。注入的脚本将通过向端口列表发送 HTTP 请求，尝试扫描受影响的主机，以端口是否接收到任何带有预期字符串的响应来判断主机是否被感染。如果主机尚未被感染，它将用攻击者自己的内容替换原始页面内容，并且显示一条错误消息和说明信息，通知网站访问者下载并执行恶意加载程序 Flash 安装程序或 Silverlight 安装程序（Adobe Flash 和 Microsoft Silverlight 已被各自的供应商弃用）。然后创建登录时的计划任务，运行 BPS 后门或 Cobalt Strike 加载器。

来源：

https://www.trendmicro.com/en_us/research/21/g/biopass-rat-new-malware-sniffs-victims-via-live-streaming.html

谷歌商店再次下架含有 Joker 木马的 App

Tag：Joker，App，谷歌商店

事件概述：

继谷歌商店下架8个含有 Joker 恶意软件的 App 和9个窃取 Facebook 凭据的木马 App 后，再次下架 Joker 变体伪装的 App 。Cyble 研究人员近期在谷歌商店发现 Joker 木马伪装的应用程序 QR Scanner Free。Joker 恶意软件通常执行间谍软件和特洛伊木马程序的恶意软件功能，为用户注册订阅高级收费服务，并将感染的应用程序从攻击者的命令与控制服务器下载到毫无戒备心理的用户设备上，然后利用与广告网站交互的广告从用户设备中窃取短信、设备信息、联系方式等信息。攻击者还可以利用恶意软件在未经用户同意的情况下从用户账户窃取资金。

研究人员表示该应用程序在2021年7月5日前仍存在于谷歌商店中。随后，谷歌商店立即下架该恶意 App 。

来源：

https://blog.cyble.com/2021/07/09/android-app-disguised-as-a-qr-scanner-spreads-joker-variant-trojan/

【高级威胁情报】

老树新花：Kimsuky 使用的新版 KGH 间谍组件分析

Tag；Kimsuky，APT，KGH

事件概述：

近期，微步情报局近期通过威胁狩猎系统监测到 Kimsuky APT 组织使用 KGH 间谍组件在进行攻击活动。Kimsuky 组织此次攻击活动疑似针对俄罗斯方向相关团体。研究人员通过样本分析发现，Kimsuky 组织使用一款名为 “MakeMail” 的私有工具用以制作钓鱼邮件进行攻击活动，利用漏洞 CVE-2019-0880 在受害者内部提权，利用 KGH 间谍组件窃取目标隐私信息。研究人员在文章中还披露，Kimsuky 组织在此次攻击活动中的 KGH 间谍组件非常有特点，复用KGH 间谍组件的部分代码，在其旧版本的基础上拓展持久化、远程控制等功能，且使用 FTP 协议与 C2 服务器通信。据样本显示， KGH 间谍组件疑似多个开发人员协同工作。微步情报局会对相关攻击活动持续进行跟踪，及时发现安全威胁并快速响应处置。

如果您想查看完整版报告，点击查看“老树新花：Kimsuky使用的新版KGH间谍组件分析”；如果你想获取含 IOC 的完整报告，可在后台回复“KGH”获取 PDF 版。

来源：

https://mp.weixin.qq.com/s/cbaePmZSk_Ob0r486RMXyw

SpoofedScholars 活动：TA453 组织冒充英国学者开展攻击活动

Tag：SpoofedScholars，TA453，APT

事件概述：

据 Proofpoint 研究人员近日报道，TA453 组织冒充伦敦大学和非洲研究学院的英国学者发起攻击活动，活动被称为“SpoofedScholars”。该活动至少从2021年1月开始，主要针对知名学术机构的高级教授、智囊团、关注中东地区事务的记者进行攻击活动，收集敏感信息。由于这些目标与伊*斯兰革命卫队（IRGC）历史收集信息目标一致，研究人员表示此次攻击活动可能是为（IRGC）收集情报。

TA453 是一个伊朗背景的 APT 组织，又称 Charming Kitten、 APT35、 Ajax Security Team、NewsBeef、 Newscaster 和 Phosphorus。该组织将继续迭代、创新和收集，以支持IRGC 的信息收集优先事项。Proofpoint 研究人员表示 TA453 组织将继续欺骗世界各地的学者，以支持 IRGC 的情报收集行动和伊朗政府的利益。

技术详情：

在此次攻击活动中，TA453 组织向目标投递诱饵内容为“美国在中东的安全挑战在线会议的会邀”的电子邮件，待目标确定激活会邀的具体时间后，该组织便会向目标提供一个指向伦敦大学研究机构被破坏的“网络研讨会控制面板”，然后滥用创建的凭证收集页面收集受害者凭据。

来源：

https://www.proofpoint.com/us/blog/threat-insight/operation-spoofedscholars-conversation-ta453

Donot APT 组织针对军事人员的攻击活动

Tag：Donot，APT，军事人员

事件概述：

近期，国内安全厂商捕获多个 Donot APT 组织攻击活动的样本，分析发现 Donot 保持以往攻击风格发起攻击活动，此次攻击活动目标疑似针对国外的重要军事部门或与军事相关的专业人员。Donot 组织向目标投递带有远程模版注入的 rtf 文档或是含有恶意宏的诱饵文档实施网络攻击。

Donot（肚脑虫、APT-C-35）是一个疑似具有印度背景的 APT 组织。该组织主要针对巴基斯坦、克什米尔等南亚地区国家进行网络间谍活动。该组织同时拥有针对 Windows 与 Android 双平台的攻击能力，通常以窃密目标群体设备敏感信息为主要目的。

来源：

https://mp.weixin.qq.com/s/3yiiZkYqLNIcsHorudKutA

【漏洞情报】

谷歌 0day 漏洞已被在野利用，需紧急修复

Tag：谷歌，0day，间谍软件

事件概述：

根据 CitizenLab 报道称，一家名为 Candiru 的以色列公司出售利用 Windows 漏洞的间谍软件，该软件已被用于针对巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡等多个国家的政客、人权活动家、记者、学者、大使馆工作人员和政治异议*人士发起攻击。截至目前，该活动至少有100名受害者。此次事件利用的漏洞是 Windows 内核提权漏洞 CVE-2021-31979 和 CVE-2021-33771，可被野外利用提权。微软于7月13日修复了 Candiru 利用的两个 Windows 内核提权漏洞，并更新了工具。

微软随后于7月14日发布了四个野外利用的 0day 漏洞（Chrome 中的 CVE-2021-21166 和CVE-2021-30551、Internet Explorer 中的 CVE-2021-33742、WebKit (Safari) 中的 CVE-2021-1879），三个 0day 被用来攻击亚美尼亚。其中包括两个谷歌 0day 漏洞 CVE-2021-21166 和 CVE-2021-30551，这两漏洞作为一次性链接通过电子邮件发送给目标的，链接会将目标重定向到一个对其设备进行指纹识别的网页，收集有关客户端的系统信息并生成 ECDH 密钥以加密漏洞利用，然后将此数据发送回漏洞利用服务器。由于这些 0day 漏洞已有在野利用，微步情报局建议您针对上述相关漏洞尽快响应处置、更新修复。

来源：

https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/

Kaseya 发布针对大规模勒索软件供应链攻击中利用的漏洞的补丁

Tag：Kaseya，供应链，漏洞

事件概述：

软件供应商 Kaseya 于7月11日发布 VSA 软件漏洞的补丁，该漏洞曾被 REVil 团伙利用进行大规模勒索软件供应链攻击。4月，荷兰漏洞披露研究所（DIVD）向 Kaseya 报告影响 Kaseya VSA 服务器的零日漏洞（CVE-2021-30116）及其他6个漏洞。针对这一事件，Kaseya 已敦促客户在发布补丁前关闭其内部 VSA 服务器，并于近日发布 VSA 版本 9.5.7a (9.5.7.2994) ，该版本修复了以下安全漏洞：

CVE-2021-30116 -凭证泄漏和业务逻辑漏洞；
CVE-2021-30119 – 跨站脚本漏洞；
CVE-2021-30120 – 2FA绕过漏洞；
修复用户门户会话 cookie 未使用安全标志的问题；
修复某些 API 响应会包含密码哈希的问题；
修复可能允许未经授权将文件上传到 VSA 服务器的漏洞。

Kaseya 还在以前的版本中修复了近期披露的多个安全漏洞，在 VSA 9.5.5 修复远程代码执行漏洞 CVE-2021-3011；在 VSA 9.5.6 版本中修复了 SQL 注入漏洞 CVE-2021-30117；在 VSA 9.5.6 版本中修复 SQL 注入漏洞 CVE-2021-30117 ，本地文件包含漏洞 CVE-2021-3012 ， XML 外部实体漏洞 CVE-2021-3020。

来源：

https://helpdesk.kaseya.com/hc/en-gb/articles/4403785889041

Adobe 更新修复6个程序中的28个漏洞

Tag：Adobe，漏洞

事件概述：

据外媒披露，Adobe 于7月12日发布更新版本，修复 Adobe Dimension、Illustrator、Framemaker、Acrobat、Reader 和 Bridge 中的漏洞。Adobe 通过更新总共修复28个漏洞，分别修复APSB21-40 | Adobe Dimension 的1个关键漏洞，APSB21-42 | Adobe Illustrator 中的2个关键漏洞和1个重要漏洞，APSB 21-45 | Adobe Framemaker中的1 个关键漏洞，APSB21-51 | Adobe Acrobat 和 Reader 中的14个关键漏洞和5个重要漏洞，APSB21-53 | Adobe Bridge中的 4个关键漏洞和1个中等漏洞。

这些漏洞几乎都可能导致任意代码执行，攻击者可以利用这些漏洞在易受攻击的计算机上执行任意命令。

来源：

https://www.bleepingcomputer.com/news/security/adobe-updates-fix-28-vulnerabilities-in-6-programs/

【勒索专题】

SonicWall 发布针对固件的勒索软件活动的紧急通知

2021年7月14日，网络设备制造商SonicWall向其客户发出了一份紧急通知，称一场使用被盗凭证的勒索软件活动即将展开，该活动的目标是安全移动访问(SMA) 100系列和安全远程访问(SRA)产品未打补丁且已停产8.x固件。SonicWall 除了在网站上发表通知外，还向使用 SMA 和 SRA 设备的个人发送电子邮件，敦促用户断开产品的连接。SonicWall 表示漏洞已在较新的版本中进行了修补，并敦促用户更新到最新的可用SRA和SMA 固件。

来源：

https://www.zdnet.com/article/sonicwall-releases-urgent-notice-about-imminent-ransomware-targeting-firmware/

美国零售商 Guess 遭勒索软件攻击，数据发生泄露

2021年7月13日，美国服装品牌和零售商 Guess 披露因2月份勒索软件攻击导致的数据泄露事件。此次攻击可能是由 DarkSide 勒索软件团伙实施的，该团伙于4月份在其数据泄露站点上列出 Guess 超过200 GB 的文件。Guess 称此次事件不会影响客户支付卡的信息，并且对公司运营和财务也没有产生重大影响。

来源：

https://securityaffairs.co/wordpress/120029/cyber-crime/guess-discloses-data-breach.html?utm_source=rss

医疗管理服务提供商 Practicefirst 披露数据泄露

2021年7月13日，总部位于纽约阿默斯特的医疗管理服务提供商 Practicefirst 于 7 月 1 日向联邦监管机构报告了去年年底发生的违规通知，该事件影响了超过120万人的敏感信息。Practicefirst 称在2020年12月30日遭到勒索攻击，攻击者试图部署勒索软件加密文件和窃取文件。该公司在发现恶意行为后，关闭系统、更改密码和聘请相关专家提供协助。Practicefirst 称此次事件黑客窃取了姓名、地址、电子邮件地址、出生日期、驾照号码、银行账户、信用卡等敏感信息。据Practicefirst 透露，黑客已销毁窃取的该公司数据信息。截至目前，该公司没有公开更多关于此次勒索事件的细节。

来源：

https://www.govinfosecurity.com/supply-chain-ransomware-breach-affects-12-million-a-17062