2024年上半年已经过去,全球网络安全威胁态势依然严峻,严重的网络攻击事件从未间断,众多组织遭到了勒索软件、数据窃取和隐私泄密的攻击威胁。现对2024年上半年的所发生的典型网络攻击和数据泄密事件进行了总结梳理和盘点。
1、Ivanti VPN 零日攻击
1月,威胁情报公司Volexity发现,影响 Ivanti Connect Secure(以下简称ICS) VPN 和 Policy Secure 网络访问控制(NAC)设备的两个零日漏洞——CVE-2023-46805身份验证绕过和CVE-2024-21887命令注入漏洞——正在被大规模利用。据悉,攻击者使用GIFTEDVISITOR webshell变体对目标系统进行了后门攻击,Volexity 发现有1700多台ICS VPN设备被GIFTEDVISITOR webshell入侵。这些设备对受害者进行无差别攻击。受害者名单包括世界各地的政府和军事部门、国家电信公司、国防承包商、技术公司、银行、金融和会计机构、全球咨询公司以及航天、航空和工程公司。这些攻击促使CISA向美国联邦政府的行政部门发出紧急命令,要求采取紧急措施,在48小时内断开其ICS VPN的连接。1月31日,在首次漏洞披露三周后,Ivanti发布了其部分版本的Connect Secure VPN软件的首个补丁。
2、微软公司高管账户泄露攻击
1月,微软公司对外披露,网络攻击者攻击了其高级领导团队成员以及网络安全和法务团队的电子邮件系统,并将攻击活动归咎于Midnight Blizzard(午夜暴雪)团伙。该团伙曾在2020年策划实施了轰动一时的SolarWinds泄密案。CISA稍后的调查发现,本次账户泄露事件广泛影响了多家联邦政府机构。通过入侵微软公司电子邮件账户,Midnight Blizzard窃取了大量联邦政府行政部门(FCEB)和微软之间的电子邮件通信。为了降低攻击造成的影响,微软公司向可能受到影响的客户发出了安全提醒通知,告知他们的电子邮件内容已被非法查看。调查人员还表示,本次泄密事件最早发生于2023年11月,黑客利用了一个未实施多因素身份验证(MFA)的过期账户获得了对邮件系统的访问权限。
3、Change Healthcare勒索软件攻击
2月,美国最大的医疗处方服务上Change Healthcare公司在今年初遭受网络攻击,并于该月22日首次被研究人员披露,该攻击导致美国医疗保健系统持续了数周时间的大规模中断。调查人员为阻止攻击而被迫关闭部分IT系统,这使得许多药店、医院以及其他医疗保健组织无法处理药品订单和接收付款。一个名为Blackcat(也叫Alphv)的网络犯罪团伙声称对本次攻击活动负责,他们表示在攻击中收到了被攻击企业所支付的2200万美元赎金。不久之后,另一个名为RansomHub的网络犯罪团伙也声称从Change Healthcare攻击中窃取了数据。UnitedHealth在4月底表示,Change Healthcare攻击事件导致了三分之一的美国人个人隐私数据被盗,其影响非常广泛、恶劣。Change Healthcare公司在6月份证实了有患者医疗数据在这次攻击中已泄露,攻击期间被盗的医疗数据可能包括诊断、药物、检验结果、影像、护理和治疗。
4、ConnectWise ScreenConnect漏洞利用攻击
2月,Gotham Security公司的研究团队发现,在广泛应用的ConnectWise ScreenConnect 中存在两个漏洞(CVE-2023-47257和CVE-2023-47256),可导致数万家企业遭受重大网络攻击。ConnectWise ScreenConnect 是一款远程控制软件,应用于全球 IT 管理服务提供商 (MSPs)。如黑客将这两个漏洞用于 0day 攻击中,可导致MSP 及其客户遭攻击。恶意人员可从局域网获得对所有工作站和服务器的访问权限,之后将权限提升为受影响系统的本地管理员。ConnectWise公司很快意识到相关漏洞被利用的风险,并采取了紧急的预防措施,并在披露后数天内发布了安全补丁。CISA发布的安全通告表示,如果ConnectWise的合作伙伴和终端客户无法升级到最新版本,就应该立即关闭所有本地ScreenConnect服务器。
5、XZ Utils软件供应链攻击
3月,xz是在所有Linux发行版中的通用数据压缩格式,应用非常广泛。在今年3月份,Red Hat公司和CISA分别发出警告,在最新版本的XZ Utils中发现被植入的恶意代码。XZ Utils项目的原始维护者披露,XZ Utils的一名代码贡献者插入了恶意代码。在2024 年 3 月 29 日,微软PostgreSQL开发人员Andres Freund 发了一封电子邮件给oss-security,说在 xz/liblzma 中发现了一个后门,涉及混淆恶意代码的供应链攻击。Freund花大量的精力来追查这个问题,最终披露了软件后门。调查发现,xz-utils 软件包遭受的供应链攻击历时三年,几乎成功在众多 Linux 发行版中为 sshd 植入后门,这将允许攻击者绕过密钥认证,其后果难以想象。
6、美国电话电报公司(AT&T)数据泄露
3月,AT&T(美国电话电报公司)发布声明称发生了数据泄露,涉及约760万该公司当前客户和约6540万前客户,总计约7300万个账户的信息。泄露的内容可能涉及用户的姓名、邮件地址、社保号码、登录账号和密码等个人信息。初步调查发现,被泄露的数据大约在3月初就出现在暗网上,数据大约来自2019年或者更早的时间。而在之前的2月22日,AT&T公司刚发生了一起长达10小时的重大网络中断事件,涉及通话、网络和短信服务,据称有超过7万名用户受到影响。根据美国多座城市的政府部门在社交媒体平台X上发布的信息,此次服务中断甚至影响到了人们拨打911号码联系应急服务机构的能力。
7、美国国家环境保护局数据泄露攻击
4月,4月10日,hackread网站对外披露美国联邦环境保护局(EPA)发生了一起重大的数据泄露事件。此次事件可能由一名被称为USDoD的黑客所为,涉及超过850万用户(包括其系统承包商)的个人隐私信息被外泄。这一事件再次引发了美国民众对身份盗用、网络间谍活动的担忧。据了解,USDoD 曾有过窃取隐私数据的历史,在之前的攻击事件中就曾曝光了一个由美国联邦调查局资助敏感项目。在本次攻击事件发生后,该团伙在暗网数据泄露论坛上发帖炫耀称:“我们将很快公开发布EPA的完整联系人数据库。其中不仅包含美国关键基础设施的组织成员,还包括美国之外的相关机构和个人的数据信息。”
8、Giant Tiger用户数据窃取攻击
4月,一个活跃黑客论坛发布了题为“Giant Tiger Database – Leak, Download!”的帖子,声称已窃取了完整的 Giant Tiger (加拿大零售连锁巨头企业)客户记录数据库,据称本次数据窃取攻击发生在2024 年3月。黑客声称:“我们已经获取超过280万客户的个人信息,包括电子邮件地址、姓名、电话号码以及通信地址,此外,本次获取的数据还涉及 Giant Tiger 客户的网站活动数据。”Giant Tiger 相关安全负责人回应称:我们目前已经发现了一个核心业务系统的第三方供应商存在安全问题。导致了部分 Giant Tiger 客户的联系信息未经授权获取,但不涉及财务信息或支付密码。目前已向所有相关客户发送通知,并告知此事件的情况。
9、Ascension勒索软件攻击
5月,Ascension公司(在19个州和华盛顿特区拥有140家医院和业务,是美国最大的医疗系统之一)透露,由于一名员工无意中下载了恶意软件,致使其遭受勒索软件攻击。此次攻击影响了MyChart电子健康记录系统、电话和用于订购测试、手术和药物的系统,促使这家医疗巨头将一些设备下线,以遏制勒索软件攻击影响。Ascension还暂停了一些非紧急选择性手术、测试和预约,并将急救服务转移到其他医疗单位以避免分诊延误。包括美国卫生与公众服务部和联邦调查局在内的多个联邦机构都参与了恢复工作,以尽量减少对患者护理的干扰。虽然Ascension后来证实,有证据表明威胁行为者仅访问并窃取了其网络上数千台服务器中的7台服务器上的文件。但这一事件再次提醒人们加强医疗保健网络安全弹性的紧迫性。
10、CDK Global网络攻击
6月,CDK Global公司连续遭遇两次网络攻击,并在之后紧急关闭了大部分系统。据悉,该公司是北美地区一家大型汽车经销商软件即服务提供商,专为汽车行业客户提供 SaaS 平台,并处理汽车经销商运营的方方面面,包括客户关系管理、融资、薪资、支持与服务、库存和后台运营。公司目前与15000 多家汽车经销商都有合作。6月18日和19日,该CDK公司确认,导致其汽车经销商客户软件平台瘫痪的网络攻击是一起“勒索事件”。在其发给客户的一份说明中,CDK 承认黑客通过攻击其经销商管理系统(DMS),导致该系统无法正常使用,并要求支付赎金以恢复系统。媒体报道称,CDK计划支付据称高达数千万美元的赎金,旨在更快地恢复系统,但CDK拒绝对此发表评论。
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:互联网
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照