2024年上半年已經(jīng)過(guò)去，全球網(wǎng)絡(luò)安全威脅態(tài)勢(shì)依然嚴(yán)峻，嚴(yán)重的網(wǎng)絡(luò)攻擊事件從未間斷，眾多組織遭到了勒索軟件、數(shù)據(jù)竊取和隱私泄密的攻擊威脅。現(xiàn)對(duì)2024年上半年的所發(fā)生的典型網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄密事件進(jìn)行了總結(jié)梳理和盤點(diǎn)。

1、Ivanti VPN 零日攻擊

1月，威脅情報(bào)公司Volexity發(fā)現(xiàn)，影響 Ivanti Connect Secure（以下簡(jiǎn)稱ICS） VPN 和 Policy Secure 網(wǎng)絡(luò)訪問(wèn)控制（NAC）設(shè)備的兩個(gè)零日漏洞——CVE-2023-46805身份驗(yàn)證繞過(guò)和CVE-2024-21887命令注入漏洞——正在被大規(guī)模利用。據(jù)悉，攻擊者使用GIFTEDVISITOR webshell變體對(duì)目標(biāo)系統(tǒng)進(jìn)行了后門攻擊，Volexity 發(fā)現(xiàn)有1700多臺(tái)ICS VPN設(shè)備被GIFTEDVISITOR webshell入侵。這些設(shè)備對(duì)受害者進(jìn)行無(wú)差別攻擊。受害者名單包括世界各地的政府和軍事部門、國(guó)家電信公司、國(guó)防承包商、技術(shù)公司、銀行、金融和會(huì)計(jì)機(jī)構(gòu)、全球咨詢公司以及航天、航空和工程公司。這些攻擊促使CISA向美國(guó)聯(lián)邦政府的行政部門發(fā)出緊急命令，要求采取緊急措施，在48小時(shí)內(nèi)斷開其ICS VPN的連接。1月31日，在首次漏洞披露三周后，Ivanti發(fā)布了其部分版本的Connect Secure VPN軟件的首個(gè)補(bǔ)丁。

2、微軟公司高管賬戶泄露攻擊

1月，微軟公司對(duì)外披露，網(wǎng)絡(luò)攻擊者攻擊了其高級(jí)領(lǐng)導(dǎo)團(tuán)隊(duì)成員以及網(wǎng)絡(luò)安全和法務(wù)團(tuán)隊(duì)的電子郵件系統(tǒng)，并將攻擊活動(dòng)歸咎于Midnight Blizzard（午夜暴雪）團(tuán)伙。該團(tuán)伙曾在2020年策劃實(shí)施了轟動(dòng)一時(shí)的SolarWinds泄密案。CISA稍后的調(diào)查發(fā)現(xiàn)，本次賬戶泄露事件廣泛影響了多家聯(lián)邦政府機(jī)構(gòu)。通過(guò)入侵微軟公司電子郵件賬戶，Midnight Blizzard竊取了大量聯(lián)邦政府行政部門（FCEB）和微軟之間的電子郵件通信。為了降低攻擊造成的影響，微軟公司向可能受到影響的客戶發(fā)出了安全提醒通知，告知他們的電子郵件內(nèi)容已被非法查看。調(diào)查人員還表示，本次泄密事件最早發(fā)生于2023年11月，黑客利用了一個(gè)未實(shí)施多因素身份驗(yàn)證（MFA）的過(guò)期賬戶獲得了對(duì)郵件系統(tǒng)的訪問(wèn)權(quán)限。

3、Change Healthcare勒索軟件攻擊

2月，美國(guó)最大的醫(yī)療處方服務(wù)上Change Healthcare公司在今年初遭受網(wǎng)絡(luò)攻擊，并于該月22日首次被研究人員披露，該攻擊導(dǎo)致美國(guó)醫(yī)療保健系統(tǒng)持續(xù)了數(shù)周時(shí)間的大規(guī)模中斷。調(diào)查人員為阻止攻擊而被迫關(guān)閉部分IT系統(tǒng)，這使得許多藥店、醫(yī)院以及其他醫(yī)療保健組織無(wú)法處理藥品訂單和接收付款。一個(gè)名為Blackcat（也叫Alphv）的網(wǎng)絡(luò)犯罪團(tuán)伙聲稱對(duì)本次攻擊活動(dòng)負(fù)責(zé)，他們表示在攻擊中收到了被攻擊企業(yè)所支付的2200萬(wàn)美元贖金。不久之后，另一個(gè)名為RansomHub的網(wǎng)絡(luò)犯罪團(tuán)伙也聲稱從Change Healthcare攻擊中竊取了數(shù)據(jù)。UnitedHealth在4月底表示，Change Healthcare攻擊事件導(dǎo)致了三分之一的美國(guó)人個(gè)人隱私數(shù)據(jù)被盜，其影響非常廣泛、惡劣。Change Healthcare公司在6月份證實(shí)了有患者醫(yī)療數(shù)據(jù)在這次攻擊中已泄露，攻擊期間被盜的醫(yī)療數(shù)據(jù)可能包括診斷、藥物、檢驗(yàn)結(jié)果、影像、護(hù)理和治療。

4、ConnectWise ScreenConnect漏洞利用攻擊

2月，Gotham Security公司的研究團(tuán)隊(duì)發(fā)現(xiàn)，在廣泛應(yīng)用的ConnectWise ScreenConnect 中存在兩個(gè)漏洞（CVE-2023-47257和CVE-2023-47256），可導(dǎo)致數(shù)萬(wàn)家企業(yè)遭受重大網(wǎng)絡(luò)攻擊。ConnectWise ScreenConnect 是一款遠(yuǎn)程控制軟件，應(yīng)用于全球 IT 管理服務(wù)提供商 (MSPs)。如黑客將這兩個(gè)漏洞用于 0day 攻擊中，可導(dǎo)致MSP 及其客戶遭攻擊。惡意人員可從局域網(wǎng)獲得對(duì)所有工作站和服務(wù)器的訪問(wèn)權(quán)限，之后將權(quán)限提升為受影響系統(tǒng)的本地管理員。ConnectWise公司很快意識(shí)到相關(guān)漏洞被利用的風(fēng)險(xiǎn)，并采取了緊急的預(yù)防措施，并在披露后數(shù)天內(nèi)發(fā)布了安全補(bǔ)丁。CISA發(fā)布的安全通告表示，如果ConnectWise的合作伙伴和終端客戶無(wú)法升級(jí)到最新版本，就應(yīng)該立即關(guān)閉所有本地ScreenConnect服務(wù)器。

5、XZ Utils軟件供應(yīng)鏈攻擊

3月，xz是在所有Linux發(fā)行版中的通用數(shù)據(jù)壓縮格式，應(yīng)用非常廣泛。在今年3月份，Red Hat公司和CISA分別發(fā)出警告，在最新版本的XZ Utils中發(fā)現(xiàn)被植入的惡意代碼。XZ Utils項(xiàng)目的原始維護(hù)者披露，XZ Utils的一名代碼貢獻(xiàn)者插入了惡意代碼。在2024 年 3 月 29 日，微軟PostgreSQL開發(fā)人員Andres Freund 發(fā)了一封電子郵件給oss-security，說(shuō)在 xz/liblzma 中發(fā)現(xiàn)了一個(gè)后門，涉及混淆惡意代碼的供應(yīng)鏈攻擊。Freund花大量的精力來(lái)追查這個(gè)問(wèn)題，最終披露了軟件后門。調(diào)查發(fā)現(xiàn)，xz-utils 軟件包遭受的供應(yīng)鏈攻擊歷時(shí)三年，幾乎成功在眾多 Linux 發(fā)行版中為 sshd 植入后門，這將允許攻擊者繞過(guò)密鑰認(rèn)證，其后果難以想象。

6、美國(guó)電話電報(bào)公司（AT&T）數(shù)據(jù)泄露

3月，AT&T（美國(guó)電話電報(bào)公司）發(fā)布聲明稱發(fā)生了數(shù)據(jù)泄露，涉及約760萬(wàn)該公司當(dāng)前客戶和約6540萬(wàn)前客戶，總計(jì)約7300萬(wàn)個(gè)賬戶的信息。泄露的內(nèi)容可能涉及用戶的姓名、郵件地址、社保號(hào)碼、登錄賬號(hào)和密碼等個(gè)人信息。初步調(diào)查發(fā)現(xiàn)，被泄露的數(shù)據(jù)大約在3月初就出現(xiàn)在暗網(wǎng)上，數(shù)據(jù)大約來(lái)自2019年或者更早的時(shí)間。而在之前的2月22日，AT&T公司剛發(fā)生了一起長(zhǎng)達(dá)10小時(shí)的重大網(wǎng)絡(luò)中斷事件，涉及通話、網(wǎng)絡(luò)和短信服務(wù)，據(jù)稱有超過(guò)7萬(wàn)名用戶受到影響。根據(jù)美國(guó)多座城市的政府部門在社交媒體平臺(tái)X上發(fā)布的信息，此次服務(wù)中斷甚至影響到了人們撥打911號(hào)碼聯(lián)系應(yīng)急服務(wù)機(jī)構(gòu)的能力。

7、美國(guó)國(guó)家環(huán)境保護(hù)局?jǐn)?shù)據(jù)泄露攻擊

4月，4月10日，hackread網(wǎng)站對(duì)外披露美國(guó)聯(lián)邦環(huán)境保護(hù)局（EPA）發(fā)生了一起重大的數(shù)據(jù)泄露事件。此次事件可能由一名被稱為USDoD的黑客所為，涉及超過(guò)850萬(wàn)用戶（包括其系統(tǒng)承包商）的個(gè)人隱私信息被外泄。這一事件再次引發(fā)了美國(guó)民眾對(duì)身份盜用、網(wǎng)絡(luò)間諜活動(dòng)的擔(dān)憂。據(jù)了解，USDoD 曾有過(guò)竊取隱私數(shù)據(jù)的歷史，在之前的攻擊事件中就曾曝光了一個(gè)由美國(guó)聯(lián)邦調(diào)查局資助敏感項(xiàng)目。在本次攻擊事件發(fā)生后，該團(tuán)伙在暗網(wǎng)數(shù)據(jù)泄露論壇上發(fā)帖炫耀稱：“我們將很快公開發(fā)布EPA的完整聯(lián)系人數(shù)據(jù)庫(kù)。其中不僅包含美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的組織成員，還包括美國(guó)之外的相關(guān)機(jī)構(gòu)和個(gè)人的數(shù)據(jù)信息。”

8、Giant Tiger用戶數(shù)據(jù)竊取攻擊

4月，一個(gè)活躍黑客論壇發(fā)布了題為“Giant Tiger Database – Leak, Download!”的帖子，聲稱已竊取了完整的 Giant Tiger （加拿大零售連鎖巨頭企業(yè)）客戶記錄數(shù)據(jù)庫(kù)，據(jù)稱本次數(shù)據(jù)竊取攻擊發(fā)生在2024 年3月。黑客聲稱：“我們已經(jīng)獲取超過(guò)280萬(wàn)客戶的個(gè)人信息，包括電子郵件地址、姓名、電話號(hào)碼以及通信地址，此外，本次獲取的數(shù)據(jù)還涉及 Giant Tiger 客戶的網(wǎng)站活動(dòng)數(shù)據(jù)。”Giant Tiger 相關(guān)安全負(fù)責(zé)人回應(yīng)稱：我們目前已經(jīng)發(fā)現(xiàn)了一個(gè)核心業(yè)務(wù)系統(tǒng)的第三方供應(yīng)商存在安全問(wèn)題。導(dǎo)致了部分 Giant Tiger 客戶的聯(lián)系信息未經(jīng)授權(quán)獲取，但不涉及財(cái)務(wù)信息或支付密碼。目前已向所有相關(guān)客戶發(fā)送通知，并告知此事件的情況。

9、Ascension勒索軟件攻擊

5月，Ascension公司（在19個(gè)州和華盛頓特區(qū)擁有140家醫(yī)院和業(yè)務(wù)，是美國(guó)最大的醫(yī)療系統(tǒng)之一）透露，由于一名員工無(wú)意中下載了惡意軟件，致使其遭受勒索軟件攻擊。此次攻擊影響了MyChart電子健康記錄系統(tǒng)、電話和用于訂購(gòu)測(cè)試、手術(shù)和藥物的系統(tǒng)，促使這家醫(yī)療巨頭將一些設(shè)備下線，以遏制勒索軟件攻擊影響。Ascension還暫停了一些非緊急選擇性手術(shù)、測(cè)試和預(yù)約，并將急救服務(wù)轉(zhuǎn)移到其他醫(yī)療單位以避免分診延誤。包括美國(guó)衛(wèi)生與公眾服務(wù)部和聯(lián)邦調(diào)查局在內(nèi)的多個(gè)聯(lián)邦機(jī)構(gòu)都參與了恢復(fù)工作，以盡量減少對(duì)患者護(hù)理的干擾。雖然Ascension后來(lái)證實(shí)，有證據(jù)表明威脅行為者僅訪問(wèn)并竊取了其網(wǎng)絡(luò)上數(shù)千臺(tái)服務(wù)器中的7臺(tái)服務(wù)器上的文件。但這一事件再次提醒人們加強(qiáng)醫(yī)療保健網(wǎng)絡(luò)安全彈性的緊迫性。

10、CDK Global網(wǎng)絡(luò)攻擊

6月，CDK Global公司連續(xù)遭遇兩次網(wǎng)絡(luò)攻擊，并在之后緊急關(guān)閉了大部分系統(tǒng)。據(jù)悉，該公司是北美地區(qū)一家大型汽車經(jīng)銷商軟件即服務(wù)提供商，專為汽車行業(yè)客戶提供 SaaS 平臺(tái)，并處理汽車經(jīng)銷商運(yùn)營(yíng)的方方面面，包括客戶關(guān)系管理、融資、薪資、支持與服務(wù)、庫(kù)存和后臺(tái)運(yùn)營(yíng)。公司目前與15000 多家汽車經(jīng)銷商都有合作。6月18日和19日，該CDK公司確認(rèn)，導(dǎo)致其汽車經(jīng)銷商客戶軟件平臺(tái)癱瘓的網(wǎng)絡(luò)攻擊是一起“勒索事件”。在其發(fā)給客戶的一份說(shuō)明中，CDK 承認(rèn)黑客通過(guò)攻擊其經(jīng)銷商管理系統(tǒng)（DMS），導(dǎo)致該系統(tǒng)無(wú)法正常使用，并要求支付贖金以恢復(fù)系統(tǒng)。媒體報(bào)道稱，CDK計(jì)劃支付據(jù)稱高達(dá)數(shù)千萬(wàn)美元的贖金，旨在更快地恢復(fù)系統(tǒng)，但CDK拒絕對(duì)此發(fā)表評(píng)論。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明