2024年上半年已經過去,全球網絡安(ān)全威脅态勢依然嚴峻,嚴重的網絡攻擊事件從未間斷,衆多(duō)組織遭到了勒索軟件、數據竊取和隐私洩密的攻擊威脅。日前,專業網站“CRN.com”按時間順序,對2024年上半年的所發生的典型網絡攻擊和數據洩密事件進行了總結梳理(lǐ)和盤點。
1、Ivanti VPN 零日攻擊(2024年1月)
lvanti Connect Secure VPN是一款企業級遠(yuǎn)程訪問解決方案,主要提供安(ān)全遠(yuǎn)程訪問和多(duō)因素認證等功能(néng)。在今年1月,該系統被披露出兩個高危的零日漏洞,并被威脅分(fēn)子大肆利用(yòng)。研究人員表示,在攻擊期間,數千台Ivanti VPN設備遭到破壞,影響了衆多(duō)企業組織,其中(zhōng)包括了美國(guó)網絡安(ān)全和基礎設施安(ān)全局(CISA)和Mitre(由美國(guó)政府資助的網絡攻擊框架研究機構)
谷歌雲旗下的Mandiant團隊研究人員稱,Ivanti VPN漏洞與一個名(míng)為(wèi)UNC5221的威脅團夥密切相關,該團夥發動的攻擊最早可(kě)以追溯到12月3日。
這起攻擊促使CISA向美國(guó)聯邦政府的行政部門發出了安(ān)全提醒,要求采取緊急措施,在48小(xiǎo)時内斷開Ivanti Connect Secure VPN連接。1月31日,在相關漏洞被披露的三周後,Ivanti才發布了其部分(fēn)版本的安(ān)全補丁。
2、微軟公(gōng)司高管賬戶洩露攻擊(2024年1月)
微軟公(gōng)司在1月份對外披露,網絡攻擊者攻擊了其高級領導團隊成員以及網絡安(ān)全和法務(wù)團隊的電(diàn)子郵件系統,并将攻擊活動歸咎于Midnight Blizzard(午夜暴雪(xuě))團夥。該團夥曾在2020年策劃實施了轟動一時的SolarWinds洩密案。
CISA稍後的調查發現,本次賬戶洩露事件廣泛影響了多(duō)家聯邦政府機構。通過入侵微軟公(gōng)司電(diàn)子郵件賬戶,Midnight Blizzard竊取了大量聯邦政府行政部門(FCEB)和微軟之間的電(diàn)子郵件通信。
為(wèi)了降低攻擊造成的影響,微軟公(gōng)司向可(kě)能(néng)受到影響的客戶發出了安(ān)全提醒通知,告知他(tā)們的電(diàn)子郵件内容已被非法查看。調查人員還表示,本次洩密事件最早發生于2023年11月,黑客利用(yòng)了一個未實施多(duō)因素身份驗證(MFA)的過期賬戶獲得了對郵件系統的訪問權限。
3、Change Healthcare網絡攻擊(2024年2月)
美國(guó)最大的醫(yī)療處方服務(wù)上Change Healthcare公(gōng)司在今年初遭受網絡攻擊,并于今年2月22日首次被研究人員披露,該攻擊導緻美國(guó)醫(yī)療保健系統持續了數周時間的大規模中(zhōng)斷。調查人員為(wèi)阻止攻擊而被迫關閉部分(fēn)IT系統,這使得許多(duō)藥店(diàn)、醫(yī)院以及其他(tā)醫(yī)療保健組織無法處理(lǐ)藥品訂單和接收付款。
一個名(míng)為(wèi)Blackcat(也叫Alphv)的網絡犯罪團夥聲稱對本次攻擊活動負責,他(tā)們表示在攻擊中(zhōng)收到了被攻擊企業所支付的2200萬美元贖金。
不久之後,另一個名(míng)為(wèi)RansomHub的網絡犯罪團夥也聲稱從Change Healthcare攻擊中(zhōng)竊取了數據。UnitedHealth在4月底表示,Change Healthcare攻擊事件導緻了三分(fēn)之一的美國(guó)人個人隐私數據被盜,其影響非常廣泛、惡劣。
Change Healthcare公(gōng)司在6月份證實了有(yǒu)患者醫(yī)療數據在這次攻擊中(zhōng)已洩露,攻擊期間被盜的醫(yī)療數據可(kě)能(néng)包括診斷、藥物(wù)、檢驗結果、影像、護理(lǐ)和治療。
4、ConnectWise ScreenConnect漏洞利用(yòng)攻擊(2024年2月)
2024年2月,Gotham Security公(gōng)司的研究團隊發現,在廣泛應用(yòng)的ConnectWise ScreenConnect 中(zhōng)存在兩個漏洞(CVE-2023-47257和CVE-2023-47256),可(kě)導緻數萬家企業遭受重大網絡攻擊。
ConnectWise ScreenConnect 是一款遠(yuǎn)程控制軟件,應用(yòng)于全球 IT 管理(lǐ)服務(wù)提供商(shāng) (MSPs)。如黑客将這兩個漏洞用(yòng)于 0day 攻擊中(zhōng),可(kě)導緻MSP 及其客戶遭攻擊。惡意人員可(kě)從局域網獲得對所有(yǒu)工(gōng)作(zuò)站和服務(wù)器的訪問權限,之後将權限提升為(wèi)受影響系統的本地管理(lǐ)員。
ConnectWise公(gōng)司很(hěn)快意識到相關漏洞被利用(yòng)的風險,并采取了緊急的預防措施,并在披露後數天内發布了安(ān)全補丁。CISA發布的安(ān)全通告表示,如果ConnectWise的合作(zuò)夥伴和終端客戶無法升級到最新(xīn)版本,就應該立即關閉所有(yǒu)本地ScreenConnect服務(wù)器。
5、XZ Utils軟件供應鏈攻擊(2024年3月)
xz是在所有(yǒu)Linux發行版中(zhōng)的通用(yòng)數據壓縮格式,應用(yòng)非常廣泛。在今年3月份,Red Hat公(gōng)司和CISA分(fēn)别發出警告,在最新(xīn)版本的XZ Utils中(zhōng)發現被植入的惡意代碼。XZ Utils項目的原始維護者披露,XZ Utils的一名(míng)代碼貢獻者插入了惡意代碼。
在2024 年 3 月 29 日,微軟PostgreSQL開發人員Andres Freund 發了一封電(diàn)子郵件給oss-security,說在 xz/liblzma 中(zhōng)發現了一個後門,涉及混淆惡意代碼的供應鏈攻擊。Freund花(huā)大量的精(jīng)力來追查這個問題,最終披露了軟件後門。
調查發現,xz-utils 軟件包遭受的供應鏈攻擊曆時三年,幾乎成功在衆多(duō) Linux 發行版中(zhōng)為(wèi) sshd 植入後門,這将允許攻擊者繞過密鑰認證,其後果難以想象。
6、AT&T數據洩露攻擊(2024年3月)
3月30日,AT&T(美國(guó)電(diàn)話電(diàn)報公(gōng)司)發布聲明稱發生了數據洩露,涉及約760萬該公(gōng)司當前客戶和約6540萬前客戶,總計約7300萬個賬戶的信息。洩露的内容可(kě)能(néng)涉及用(yòng)戶的姓名(míng)、郵件地址、社保号碼、登錄賬号和密碼等個人信息。初步調查發現,被洩露的數據大約在3月初就出現在暗網上,數據大約來自2019年或者更早的時間。
而在之前的2月22日,AT&T公(gōng)司剛發生了一起長(cháng)達10小(xiǎo)時的重大網絡中(zhōng)斷事件,涉及通話、網絡和短信服務(wù),據稱有(yǒu)超過7萬名(míng)用(yòng)戶受到影響。根據美國(guó)多(duō)座城市的政府部門在社交媒體(tǐ)平台X上發布的信息,此次服務(wù)中(zhōng)斷甚至影響到了人們撥打911号碼聯系應急服務(wù)機構的能(néng)力。
7、美國(guó)國(guó)家環境保護局數據洩露攻擊(2024年4月)
4月10日,hackread網站對外披露美國(guó)聯邦環境保護局(EPA)發生了一起重大的數據洩露事件。此次事件可(kě)能(néng)由一名(míng)被稱為(wèi)USDoD的黑客所為(wèi),涉及超過850萬用(yòng)戶(包括其系統承包商(shāng))的個人隐私信息被外洩。這一事件再次引發了美國(guó)民(mín)衆對身份盜用(yòng)、網絡間諜活動的擔憂。
據了解,USDoD 曾有(yǒu)過竊取隐私數據的曆史,在之前的攻擊事件中(zhōng)就曾曝光了一個由美國(guó)聯邦調查局資助敏感項目。在本次攻擊事件發生後,該團夥在暗網數據洩露論壇上發帖炫耀稱:“我們将很(hěn)快公(gōng)開發布EPA的完整聯系人數據庫。其中(zhōng)不僅包含美國(guó)關鍵基礎設施的組織成員,還包括美國(guó)之外的相關機構和個人的數據信息。”
8、Giant Tiger用(yòng)戶數據竊取攻擊(2024年4月)
Giant Tiger是加拿(ná)大零售連鎖巨頭企業,4月14日,一個活躍黑客論壇發布了題為(wèi)“Giant Tiger Database – Leak, Download!”的帖子,聲稱已竊取了完整的 Giant Tiger 客戶記錄數據庫,據稱本次數據竊取攻擊發生在2024 年 3 月。黑客聲稱:“我們已經獲取超過 280 萬客戶的個人信息,包括電(diàn)子郵件地址、姓名(míng)、電(diàn)話号碼以及通信地址,此外,本次獲取的數據還涉及 Giant Tiger 客戶的網站活動數據。”
Giant Tiger 相關安(ān)全負責人回應稱:我們目前已經發現了一個核心業務(wù)系統的第三方供應商(shāng)存在安(ān)全問題。導緻了部分(fēn) Giant Tiger 客戶的聯系信息未經授權獲取,但不涉及财務(wù)信息或支付密碼。目前已向所有(yǒu)相關客戶發送通知,并告知此事件的情況。
9、佳士得拍賣行網絡攻擊(2024年5月)
2024年5月22日,全球著名(míng)的藝術品拍賣機構佳士得拍賣行宣布遭遇了網絡攻擊,導緻其拍賣網站在本年度春季拍賣活動開始前因為(wèi)“技(jì )術安(ān)全問題”臨時離線(xiàn)。本次春季拍賣活動的藝術品總價值預計高達8.4億美元(約合60億元人民(mín)币),其中(zhōng)包括一幅價值超過3500萬美元的文(wén)森特·梵高(Vincent van Gogh)畫作(zuò)。
佳士得發言人在稍後的一份聲明中(zhōng)表示:”公(gōng)司已經采取一切必要措施來處理(lǐ)這一事件,并聘請了一個額外的技(jì )術專家團隊協助。我們會視進展情況及時向客戶提供進一步的最新(xīn)信息,并對此次事件所造成的拍賣活動延期表示道歉。”
10、CDK網絡攻擊(2024年6月)
CDK Global 是北美地區(qū)一家大型汽車(chē)經銷商(shāng)軟件即服務(wù)提供商(shāng),專為(wèi)汽車(chē)行業客戶提供 SaaS 平台,并處理(lǐ)汽車(chē)經銷商(shāng)運營的方方面面,包括客戶關系管理(lǐ)、融資、薪資、支持與服務(wù)、庫存和後台運營。該公(gōng)司目前與15000 多(duō)家汽車(chē)經銷商(shāng)都有(yǒu)合作(zuò)。6月18日和19日,該公(gōng)司連續遭遇兩次網絡攻擊,并在之後緊急關閉了大部分(fēn)系統。
CDK公(gōng)司确認,導緻其汽車(chē)經銷商(shāng)客戶軟件平台癱瘓的網絡攻擊是一起“勒索事件”。在其發給客戶的一份說明中(zhōng),CDK 承認黑客通過攻擊其經銷商(shāng)管理(lǐ)系統(DMS),導緻該系統無法正常使用(yòng),并要求支付贖金以恢複系統。媒體(tǐ)報道稱,CDK計劃支付據稱高達數千萬美元的贖金,旨在更快地恢複系統,但CDK尚未對此作(zuò)出回應。
轉載自安(ān)全客