信息化觀察網(wǎng)

本文來自安全牛。

2024年上半年已經(jīng)過去，全球網(wǎng)絡(luò)安全威脅態(tài)勢(shì)依然嚴(yán)峻，嚴(yán)重的網(wǎng)絡(luò)攻擊事件從未間斷，眾多組織遭到了勒索軟件、數(shù)據(jù)竊取和隱私泄密的攻擊威脅。日前，專業(yè)網(wǎng)站“CRN.com”按時(shí)間順序，對(duì)2024年上半年的所發(fā)生的典型網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄密事件進(jìn)行了總結(jié)梳理和盤點(diǎn)。

1、

Ivanti VPN零日攻擊

（2024年1月）

lvanti Connect Secure VPN是一款企業(yè)級(jí)遠(yuǎn)程訪問解決方案，主要提供安全遠(yuǎn)程訪問和多因素認(rèn)證等功能。在今年1月，該系統(tǒng)被披露出兩個(gè)高危的零日漏洞，并被威脅分子大肆利用。研究人員表示，在攻擊期間，數(shù)千臺(tái)Ivanti VPN設(shè)備遭到破壞，影響了眾多企業(yè)組織，其中包括了美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）和Mitre（由美國(guó)政府資助的網(wǎng)絡(luò)攻擊框架研究機(jī)構(gòu)）

谷歌云旗下的Mandiant團(tuán)隊(duì)研究人員稱，Ivanti VPN漏洞與一個(gè)名為UNC5221的威脅團(tuán)伙密切相關(guān)，該團(tuán)伙發(fā)動(dòng)的攻擊最早可以追溯到12月3日。

這起攻擊促使CISA向美國(guó)聯(lián)邦政府的行政部門發(fā)出了安全提醒，要求采取緊急措施，在48小時(shí)內(nèi)斷開Ivanti Connect Secure VPN連接。1月31日，在相關(guān)漏洞被披露的三周后，Ivanti才發(fā)布了其部分版本的安全補(bǔ)丁。

2、

微軟公司高管賬戶泄露攻擊

（2024年1月）

微軟公司在1月份對(duì)外披露，網(wǎng)絡(luò)攻擊者攻擊了其高級(jí)領(lǐng)導(dǎo)團(tuán)隊(duì)成員以及網(wǎng)絡(luò)安全和法務(wù)團(tuán)隊(duì)的電子郵件系統(tǒng)，并將攻擊活動(dòng)歸咎于Midnight Blizzard（午夜暴雪）團(tuán)伙。該團(tuán)伙曾在2020年策劃實(shí)施了轟動(dòng)一時(shí)的SolarWinds泄密案。

CISA稍后的調(diào)查發(fā)現(xiàn)，本次賬戶泄露事件廣泛影響了多家聯(lián)邦政府機(jī)構(gòu)。通過入侵微軟公司電子郵件賬戶，Midnight Blizzard竊取了大量聯(lián)邦政府行政部門（FCEB）和微軟之間的電子郵件通信。

為了降低攻擊造成的影響，微軟公司向可能受到影響的客戶發(fā)出了安全提醒通知，告知他們的電子郵件內(nèi)容已被非法查看。調(diào)查人員還表示，本次泄密事件最早發(fā)生于2023年11月，黑客利用了一個(gè)未實(shí)施多因素身份驗(yàn)證（MFA）的過期賬戶獲得了對(duì)郵件系統(tǒng)的訪問權(quán)限。

3、

Change Healthcare網(wǎng)絡(luò)攻擊

（2024年2月）

美國(guó)最大的醫(yī)療處方服務(wù)上Change Healthcare公司在今年初遭受網(wǎng)絡(luò)攻擊，并于今年2月22日首次被研究人員披露，該攻擊導(dǎo)致美國(guó)醫(yī)療保健系統(tǒng)持續(xù)了數(shù)周時(shí)間的大規(guī)模中斷。調(diào)查人員為阻止攻擊而被迫關(guān)閉部分IT系統(tǒng)，這使得許多藥店、醫(yī)院以及其他醫(yī)療保健組織無法處理藥品訂單和接收付款。

一個(gè)名為Blackcat（也叫Alphv）的網(wǎng)絡(luò)犯罪團(tuán)伙聲稱對(duì)本次攻擊活動(dòng)負(fù)責(zé)，他們表示在攻擊中收到了被攻擊企業(yè)所支付的2200萬美元贖金。

不久之后，另一個(gè)名為RansomHub的網(wǎng)絡(luò)犯罪團(tuán)伙也聲稱從Change Healthcare攻擊中竊取了數(shù)據(jù)。UnitedHealth在4月底表示，Change Healthcare攻擊事件導(dǎo)致了三分之一的美國(guó)人個(gè)人隱私數(shù)據(jù)被盜，其影響非常廣泛、惡劣。

Change Healthcare公司在6月份證實(shí)了有患者醫(yī)療數(shù)據(jù)在這次攻擊中已泄露，攻擊期間被盜的醫(yī)療數(shù)據(jù)可能包括診斷、藥物、檢驗(yàn)結(jié)果、影像、護(hù)理和治療。

4、

ConnectWise ScreenConnect漏洞利用攻擊

（2024年2月）

2024年2月，Gotham Security公司的研究團(tuán)隊(duì)發(fā)現(xiàn)，在廣泛應(yīng)用的ConnectWise ScreenConnect中存在兩個(gè)漏洞（CVE-2023-47257和CVE-2023-47256），可導(dǎo)致數(shù)萬家企業(yè)遭受重大網(wǎng)絡(luò)攻擊。

ConnectWise ScreenConnect是一款遠(yuǎn)程控制軟件，應(yīng)用于全球IT管理服務(wù)提供商(MSPs)。如黑客將這兩個(gè)漏洞用于0day攻擊中，可導(dǎo)致MSP及其客戶遭攻擊。惡意人員可從局域網(wǎng)獲得對(duì)所有工作站和服務(wù)器的訪問權(quán)限，之后將權(quán)限提升為受影響系統(tǒng)的本地管理員。

ConnectWise公司很快意識(shí)到相關(guān)漏洞被利用的風(fēng)險(xiǎn)，并采取了緊急的預(yù)防措施，并在披露后數(shù)天內(nèi)發(fā)布了安全補(bǔ)丁。CISA發(fā)布的安全通告表示，如果ConnectWise的合作伙伴和終端客戶無法升級(jí)到最新版本，就應(yīng)該立即關(guān)閉所有本地ScreenConnect服務(wù)器。

5、

XZ Utils軟件供應(yīng)鏈攻擊

（2024年3月）

xz是在所有Linux發(fā)行版中的通用數(shù)據(jù)壓縮格式，應(yīng)用非常廣泛。在今年3月份，Red Hat公司和CISA分別發(fā)出警告，在最新版本的XZ Utils中發(fā)現(xiàn)被植入的惡意代碼。XZ Utils項(xiàng)目的原始維護(hù)者披露，XZ Utils的一名代碼貢獻(xiàn)者插入了惡意代碼。

在2024年3月29日，微軟PostgreSQL開發(fā)人員Andres Freund發(fā)了一封電子郵件給oss-security，說在xz/liblzma中發(fā)現(xiàn)了一個(gè)后門，涉及混淆惡意代碼的供應(yīng)鏈攻擊。Freund花大量的精力來追查這個(gè)問題，最終披露了軟件后門。

調(diào)查發(fā)現(xiàn)，xz-utils軟件包遭受的供應(yīng)鏈攻擊歷時(shí)三年，幾乎成功在眾多Linux發(fā)行版中為sshd植入后門，這將允許攻擊者繞過密鑰認(rèn)證，其后果難以想象。

6、

AT&T數(shù)據(jù)泄露攻擊

（2024年3月）

3月30日，AT&T（美國(guó)電話電報(bào)公司）發(fā)布聲明稱發(fā)生了數(shù)據(jù)泄露，涉及約760萬該公司當(dāng)前客戶和約6540萬前客戶，總計(jì)約7300萬個(gè)賬戶的信息。泄露的內(nèi)容可能涉及用戶的姓名、郵件地址、社保號(hào)碼、登錄賬號(hào)和密碼等個(gè)人信息。初步調(diào)查發(fā)現(xiàn)，被泄露的數(shù)據(jù)大約在3月初就出現(xiàn)在暗網(wǎng)上，數(shù)據(jù)大約來自2019年或者更早的時(shí)間。

而在之前的2月22日，AT&T公司剛發(fā)生了一起長(zhǎng)達(dá)10小時(shí)的重大網(wǎng)絡(luò)中斷事件，涉及通話、網(wǎng)絡(luò)和短信服務(wù)，據(jù)稱有超過7萬名用戶受到影響。根據(jù)美國(guó)多座城市的政府部門在社交媒體平臺(tái)X上發(fā)布的信息，此次服務(wù)中斷甚至影響到了人們撥打911號(hào)碼聯(lián)系應(yīng)急服務(wù)機(jī)構(gòu)的能力。

7、

美國(guó)國(guó)家環(huán)境保護(hù)局?jǐn)?shù)據(jù)泄露攻擊

（2024年4月）

4月10日，hackread網(wǎng)站對(duì)外披露美國(guó)聯(lián)邦環(huán)境保護(hù)局（EPA）發(fā)生了一起重大的數(shù)據(jù)泄露事件。此次事件可能由一名被稱為USDoD的黑客所為，涉及超過850萬用戶（包括其系統(tǒng)承包商）的個(gè)人隱私信息被外泄。這一事件再次引發(fā)了美國(guó)民眾對(duì)身份盜用、網(wǎng)絡(luò)間諜活動(dòng)的擔(dān)憂。

據(jù)了解，USDoD曾有過竊取隱私數(shù)據(jù)的歷史，在之前的攻擊事件中就曾曝光了一個(gè)由美國(guó)聯(lián)邦調(diào)查局資助敏感項(xiàng)目。在本次攻擊事件發(fā)生后，該團(tuán)伙在暗網(wǎng)數(shù)據(jù)泄露論壇上發(fā)帖炫耀稱：“我們將很快公開發(fā)布EPA的完整聯(lián)系人數(shù)據(jù)庫(kù)。其中不僅包含美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的組織成員，還包括美國(guó)之外的相關(guān)機(jī)構(gòu)和個(gè)人的數(shù)據(jù)信息。”

8、

Giant Tiger用戶數(shù)據(jù)竊取攻擊

（2024年4月）

Giant Tiger是加拿大零售連鎖巨頭企業(yè)，4月14日，一個(gè)活躍黑客論壇發(fā)布了題為“Giant Tiger Database-Leak,Download!”的帖子，聲稱已竊取了完整的Giant Tiger客戶記錄數(shù)據(jù)庫(kù)，據(jù)稱本次數(shù)據(jù)竊取攻擊發(fā)生在2024年3月。黑客聲稱：“我們已經(jīng)獲取超過280萬客戶的個(gè)人信息，包括電子郵件地址、姓名、電話號(hào)碼以及通信地址，此外，本次獲取的數(shù)據(jù)還涉及Giant Tiger客戶的網(wǎng)站活動(dòng)數(shù)據(jù)。”

Giant Tiger相關(guān)安全負(fù)責(zé)人回應(yīng)稱：我們目前已經(jīng)發(fā)現(xiàn)了一個(gè)核心業(yè)務(wù)系統(tǒng)的第三方供應(yīng)商存在安全問題。導(dǎo)致了部分Giant Tiger客戶的聯(lián)系信息未經(jīng)授權(quán)獲取，但不涉及財(cái)務(wù)信息或支付密碼。目前已向所有相關(guān)客戶發(fā)送通知，并告知此事件的情況。

9、

佳士得拍賣行網(wǎng)絡(luò)攻擊

（2024年5月）

2024年5月22日，全球著名的藝術(shù)品拍賣機(jī)構(gòu)佳士得拍賣行宣布遭遇了網(wǎng)絡(luò)攻擊，導(dǎo)致其拍賣網(wǎng)站在本年度春季拍賣活動(dòng)開始前因?yàn)?ldquo;技術(shù)安全問題”臨時(shí)離線。本次春季拍賣活動(dòng)的藝術(shù)品總價(jià)值預(yù)計(jì)高達(dá)8.4億美元（約合60億元人民幣），其中包括一幅價(jià)值超過3500萬美元的文森特·梵高（Vincent van Gogh）畫作。

佳士得發(fā)言人在稍后的一份聲明中表示："公司已經(jīng)采取一切必要措施來處理這一事件，并聘請(qǐng)了一個(gè)額外的技術(shù)專家團(tuán)隊(duì)協(xié)助。我們會(huì)視進(jìn)展情況及時(shí)向客戶提供進(jìn)一步的最新信息，并對(duì)此次事件所造成的拍賣活動(dòng)延期表示道歉。"

10、

CDK網(wǎng)絡(luò)攻擊

（2024年6月）

CDK Global是北美地區(qū)一家大型汽車經(jīng)銷商軟件即服務(wù)提供商，專為汽車行業(yè)客戶提供SaaS平臺(tái)，并處理汽車經(jīng)銷商運(yùn)營(yíng)的方方面面，包括客戶關(guān)系管理、融資、薪資、支持與服務(wù)、庫(kù)存和后臺(tái)運(yùn)營(yíng)。該公司目前與15000多家汽車經(jīng)銷商都有合作。6月18日和19日，該公司連續(xù)遭遇兩次網(wǎng)絡(luò)攻擊，并在之后緊急關(guān)閉了大部分系統(tǒng)。

CDK公司確認(rèn)，導(dǎo)致其汽車經(jīng)銷商客戶軟件平臺(tái)癱瘓的網(wǎng)絡(luò)攻擊是一起“勒索事件”。在其發(fā)給客戶的一份說明中，CDK承認(rèn)黑客通過攻擊其經(jīng)銷商管理系統(tǒng)（DMS），導(dǎo)致該系統(tǒng)無法正常使用，并要求支付贖金以恢復(fù)系統(tǒng)。媒體報(bào)道稱，CDK計(jì)劃支付據(jù)稱高達(dá)數(shù)千萬美元的贖金，旨在更快地恢復(fù)系統(tǒng)，但CDK尚未對(duì)此作出回應(yīng)。

參考鏈接：

https://www.crn.com/news/security/2024/10-major-cyberattacks-and-data-breaches-in-2024-so-far?page=1#