2024年上半年已經(jīng)過去，全球網(wǎng)絡(luò)安全威脅態(tài)勢依然嚴(yán)峻，嚴(yán)重的網(wǎng)絡(luò)攻擊事件從未間斷，眾多組織遭到了勒索軟件、數(shù)據(jù)竊取和隱私泄密的攻擊威脅?，F(xiàn)對2024年上半年的所發(fā)生的典型網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄密事件進(jìn)行了總結(jié)梳理和盤點。

1、Ivanti VPN 零日攻擊

1月，威脅情報公司Volexity發(fā)現(xiàn)，影響 Ivanti Connect Secure（以下簡稱ICS） VPN 和 Policy Secure 網(wǎng)絡(luò)訪問控制（NAC）設(shè)備的兩個零日漏洞——CVE-2023-46805身份驗證繞過和CVE-2024-21887命令注入漏洞——正在被大規(guī)模利用。據(jù)悉，攻擊者使用GIFTEDVISITOR webshell變體對目標(biāo)系統(tǒng)進(jìn)行了后門攻擊，Volexity 發(fā)現(xiàn)有1700多臺ICS VPN設(shè)備被GIFTEDVISITOR webshell入侵。這些設(shè)備對受害者進(jìn)行無差別攻擊。受害者名單包括世界各地的政府和軍事部門、國家電信公司、國防承包商、技術(shù)公司、銀行、金融和會計機構(gòu)、全球咨詢公司以及航天、航空和工程公司。這些攻擊促使CISA向美國聯(lián)邦政府的行政部門發(fā)出緊急命令，要求采取緊急措施，在48小時內(nèi)斷開其ICS VPN的連接。1月31日，在首次漏洞披露三周后，Ivanti發(fā)布了其部分版本的Connect Secure VPN軟件的首個補丁。

2、微軟公司高管賬戶泄露攻擊

1月，微軟公司對外披露，網(wǎng)絡(luò)攻擊者攻擊了其高級領(lǐng)導(dǎo)團隊成員以及網(wǎng)絡(luò)安全和法務(wù)團隊的電子郵件系統(tǒng)，并將攻擊活動歸咎于Midnight Blizzard（午夜暴雪）團伙。該團伙曾在2020年策劃實施了轟動一時的SolarWinds泄密案。CISA稍后的調(diào)查發(fā)現(xiàn)，本次賬戶泄露事件廣泛影響了多家聯(lián)邦政府機構(gòu)。通過入侵微軟公司電子郵件賬戶，Midnight Blizzard竊取了大量聯(lián)邦政府行政部門（FCEB）和微軟之間的電子郵件通信。為了降低攻擊造成的影響，微軟公司向可能受到影響的客戶發(fā)出了安全提醒通知，告知他們的電子郵件內(nèi)容已被非法查看。調(diào)查人員還表示，本次泄密事件最早發(fā)生于2023年11月，黑客利用了一個未實施多因素身份驗證（MFA）的過期賬戶獲得了對郵件系統(tǒng)的訪問權(quán)限。

3、Change Healthcare勒索軟件攻擊

2月，美國最大的醫(yī)療處方服務(wù)上Change Healthcare公司在今年初遭受網(wǎng)絡(luò)攻擊，并于該月22日首次被研究人員披露，該攻擊導(dǎo)致美國醫(yī)療保健系統(tǒng)持續(xù)了數(shù)周時間的大規(guī)模中斷。調(diào)查人員為阻止攻擊而被迫關(guān)閉部分IT系統(tǒng)，這使得許多藥店、醫(yī)院以及其他醫(yī)療保健組織無法處理藥品訂單和接收付款。一個名為Blackcat（也叫Alphv）的網(wǎng)絡(luò)犯罪團伙聲稱對本次攻擊活動負(fù)責(zé)，他們表示在攻擊中收到了被攻擊企業(yè)所支付的2200萬美元贖金。不久之后，另一個名為RansomHub的網(wǎng)絡(luò)犯罪團伙也聲稱從Change Healthcare攻擊中竊取了數(shù)據(jù)。UnitedHealth在4月底表示，Change Healthcare攻擊事件導(dǎo)致了三分之一的美國人個人隱私數(shù)據(jù)被盜，其影響非常廣泛、惡劣。Change Healthcare公司在6月份證實了有患者醫(yī)療數(shù)據(jù)在這次攻擊中已泄露，攻擊期間被盜的醫(yī)療數(shù)據(jù)可能包括診斷、藥物、檢驗結(jié)果、影像、護(hù)理和治療。

4、ConnectWise ScreenConnect漏洞利用攻擊

2月，Gotham Security公司的研究團隊發(fā)現(xiàn)，在廣泛應(yīng)用的ConnectWise ScreenConnect 中存在兩個漏洞（CVE-2023-47257和CVE-2023-47256），可導(dǎo)致數(shù)萬家企業(yè)遭受重大網(wǎng)絡(luò)攻擊。ConnectWise ScreenConnect 是一款遠(yuǎn)程控制軟件，應(yīng)用于全球 IT 管理服務(wù)提供商 (MSPs)。如黑客將這兩個漏洞用于 0day 攻擊中，可導(dǎo)致MSP 及其客戶遭攻擊。惡意人員可從局域網(wǎng)獲得對所有工作站和服務(wù)器的訪問權(quán)限，之后將權(quán)限提升為受影響系統(tǒng)的本地管理員。ConnectWise公司很快意識到相關(guān)漏洞被利用的風(fēng)險，并采取了緊急的預(yù)防措施，并在披露后數(shù)天內(nèi)發(fā)布了安全補丁。CISA發(fā)布的安全通告表示，如果ConnectWise的合作伙伴和終端客戶無法升級到最新版本，就應(yīng)該立即關(guān)閉所有本地ScreenConnect服務(wù)器。

5、XZ Utils軟件供應(yīng)鏈攻擊

3月，xz是在所有Linux發(fā)行版中的通用數(shù)據(jù)壓縮格式，應(yīng)用非常廣泛。在今年3月份，Red Hat公司和CISA分別發(fā)出警告，在最新版本的XZ Utils中發(fā)現(xiàn)被植入的惡意代碼。XZ Utils項目的原始維護(hù)者披露，XZ Utils的一名代碼貢獻(xiàn)者插入了惡意代碼。在2024 年 3 月 29 日，微軟PostgreSQL開發(fā)人員Andres Freund 發(fā)了一封電子郵件給oss-security，說在 xz/liblzma 中發(fā)現(xiàn)了一個后門，涉及混淆惡意代碼的供應(yīng)鏈攻擊。Freund花大量的精力來追查這個問題，最終披露了軟件后門。調(diào)查發(fā)現(xiàn)，xz-utils 軟件包遭受的供應(yīng)鏈攻擊歷時三年，幾乎成功在眾多 Linux 發(fā)行版中為 sshd 植入后門，這將允許攻擊者繞過密鑰認(rèn)證，其后果難以想象。

6、美國電話電報公司（AT&T）數(shù)據(jù)泄露

3月，AT&T（美國電話電報公司）發(fā)布聲明稱發(fā)生了數(shù)據(jù)泄露，涉及約760萬該公司當(dāng)前客戶和約6540萬前客戶，總計約7300萬個賬戶的信息。泄露的內(nèi)容可能涉及用戶的姓名、郵件地址、社保號碼、登錄賬號和密碼等個人信息。初步調(diào)查發(fā)現(xiàn)，被泄露的數(shù)據(jù)大約在3月初就出現(xiàn)在暗網(wǎng)上，數(shù)據(jù)大約來自2019年或者更早的時間。而在之前的2月22日，AT&T公司剛發(fā)生了一起長達(dá)10小時的重大網(wǎng)絡(luò)中斷事件，涉及通話、網(wǎng)絡(luò)和短信服務(wù)，據(jù)稱有超過7萬名用戶受到影響。根據(jù)美國多座城市的政府部門在社交媒體平臺X上發(fā)布的信息，此次服務(wù)中斷甚至影響到了人們撥打911號碼聯(lián)系應(yīng)急服務(wù)機構(gòu)的能力。

7、美國國家環(huán)境保護(hù)局?jǐn)?shù)據(jù)泄露攻擊

4月，4月10日，hackread網(wǎng)站對外披露美國聯(lián)邦環(huán)境保護(hù)局（EPA）發(fā)生了一起重大的數(shù)據(jù)泄露事件。此次事件可能由一名被稱為USDoD的黑客所為，涉及超過850萬用戶（包括其系統(tǒng)承包商）的個人隱私信息被外泄。這一事件再次引發(fā)了美國民眾對身份盜用、網(wǎng)絡(luò)間諜活動的擔(dān)憂。據(jù)了解，USDoD 曾有過竊取隱私數(shù)據(jù)的歷史，在之前的攻擊事件中就曾曝光了一個由美國聯(lián)邦調(diào)查局資助敏感項目。在本次攻擊事件發(fā)生后，該團伙在暗網(wǎng)數(shù)據(jù)泄露論壇上發(fā)帖炫耀稱：“我們將很快公開發(fā)布EPA的完整聯(lián)系人數(shù)據(jù)庫。其中不僅包含美國關(guān)鍵基礎(chǔ)設(shè)施的組織成員，還包括美國之外的相關(guān)機構(gòu)和個人的數(shù)據(jù)信息?！?/p>

8、Giant Tiger用戶數(shù)據(jù)竊取攻擊

4月，一個活躍黑客論壇發(fā)布了題為“Giant Tiger Database – Leak, Download!”的帖子，聲稱已竊取了完整的 Giant Tiger （加拿大零售連鎖巨頭企業(yè)）客戶記錄數(shù)據(jù)庫，據(jù)稱本次數(shù)據(jù)竊取攻擊發(fā)生在2024 年3月。黑客聲稱：“我們已經(jīng)獲取超過280萬客戶的個人信息，包括電子郵件地址、姓名、電話號碼以及通信地址，此外，本次獲取的數(shù)據(jù)還涉及 Giant Tiger 客戶的網(wǎng)站活動數(shù)據(jù)?！盙iant Tiger 相關(guān)安全負(fù)責(zé)人回應(yīng)稱：我們目前已經(jīng)發(fā)現(xiàn)了一個核心業(yè)務(wù)系統(tǒng)的第三方供應(yīng)商存在安全問題。導(dǎo)致了部分 Giant Tiger 客戶的聯(lián)系信息未經(jīng)授權(quán)獲取，但不涉及財務(wù)信息或支付密碼。目前已向所有相關(guān)客戶發(fā)送通知，并告知此事件的情況。

9、Ascension勒索軟件攻擊

5月，Ascension公司（在19個州和華盛頓特區(qū)擁有140家醫(yī)院和業(yè)務(wù)，是美國最大的醫(yī)療系統(tǒng)之一）透露，由于一名員工無意中下載了惡意軟件，致使其遭受勒索軟件攻擊。此次攻擊影響了MyChart電子健康記錄系統(tǒng)、電話和用于訂購測試、手術(shù)和藥物的系統(tǒng)，促使這家醫(yī)療巨頭將一些設(shè)備下線，以遏制勒索軟件攻擊影響。Ascension還暫停了一些非緊急選擇性手術(shù)、測試和預(yù)約，并將急救服務(wù)轉(zhuǎn)移到其他醫(yī)療單位以避免分診延誤。包括美國衛(wèi)生與公眾服務(wù)部和聯(lián)邦調(diào)查局在內(nèi)的多個聯(lián)邦機構(gòu)都參與了恢復(fù)工作，以盡量減少對患者護(hù)理的干擾。雖然Ascension后來證實，有證據(jù)表明威脅行為者僅訪問并竊取了其網(wǎng)絡(luò)上數(shù)千臺服務(wù)器中的7臺服務(wù)器上的文件。但這一事件再次提醒人們加強醫(yī)療保健網(wǎng)絡(luò)安全彈性的緊迫性。

10、CDK Global網(wǎng)絡(luò)攻擊

6月，CDK Global公司連續(xù)遭遇兩次網(wǎng)絡(luò)攻擊，并在之后緊急關(guān)閉了大部分系統(tǒng)。據(jù)悉，該公司是北美地區(qū)一家大型汽車經(jīng)銷商軟件即服務(wù)提供商，專為汽車行業(yè)客戶提供 SaaS 平臺，并處理汽車經(jīng)銷商運營的方方面面，包括客戶關(guān)系管理、融資、薪資、支持與服務(wù)、庫存和后臺運營。公司目前與15000 多家汽車經(jīng)銷商都有合作。6月18日和19日，該CDK公司確認(rèn)，導(dǎo)致其汽車經(jīng)銷商客戶軟件平臺癱瘓的網(wǎng)絡(luò)攻擊是一起“勒索事件”。在其發(fā)給客戶的一份說明中，CDK 承認(rèn)黑客通過攻擊其經(jīng)銷商管理系統(tǒng)（DMS），導(dǎo)致該系統(tǒng)無法正常使用，并要求支付贖金以恢復(fù)系統(tǒng)。媒體報道稱，CDK計劃支付據(jù)稱高達(dá)數(shù)千萬美元的贖金，旨在更快地恢復(fù)系統(tǒng)，但CDK拒絕對此發(fā)表評論。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明