2024年上半年已經過去，全球網絡安全威脅態勢依然嚴峻，嚴重的網絡攻擊事件從未間斷，眾多組織遭到了勒索軟件、數據竊取和隱私泄密的攻擊威脅?，F對2024年上半年的所發生的典型網絡攻擊和數據泄密事件進行了總結梳理和盤點。

1、Ivanti VPN 零日攻擊

1月，威脅情報公司Volexity發現，影響 Ivanti Connect Secure（以下簡稱ICS） VPN 和 Policy Secure 網絡訪問控制（NAC）設備的兩個零日漏洞——CVE-2023-46805身份驗證繞過和CVE-2024-21887命令注入漏洞——正在被大規模利用。據悉，攻擊者使用GIFTEDVISITOR webshell變體對目標系統進行了后門攻擊，Volexity 發現有1700多臺ICS VPN設備被GIFTEDVISITOR webshell入侵。這些設備對受害者進行無差別攻擊。受害者名單包括世界各地的政府和軍事部門、國家電信公司、國防承包商、技術公司、銀行、金融和會計機構、全球咨詢公司以及航天、航空和工程公司。這些攻擊促使CISA向美國聯邦政府的行政部門發出緊急命令，要求采取緊急措施，在48小時內斷開其ICS VPN的連接。1月31日，在首次漏洞披露三周后，Ivanti發布了其部分版本的Connect Secure VPN軟件的首個補丁。

2、微軟公司高管賬戶泄露攻擊

1月，微軟公司對外披露，網絡攻擊者攻擊了其高級領導團隊成員以及網絡安全和法務團隊的電子郵件系統，并將攻擊活動歸咎于Midnight Blizzard（午夜暴雪）團伙。該團伙曾在2020年策劃實施了轟動一時的SolarWinds泄密案。CISA稍后的調查發現，本次賬戶泄露事件廣泛影響了多家聯邦政府機構。通過入侵微軟公司電子郵件賬戶，Midnight Blizzard竊取了大量聯邦政府行政部門（FCEB）和微軟之間的電子郵件通信。為了降低攻擊造成的影響，微軟公司向可能受到影響的客戶發出了安全提醒通知，告知他們的電子郵件內容已被非法查看。調查人員還表示，本次泄密事件最早發生于2023年11月，黑客利用了一個未實施多因素身份驗證（MFA）的過期賬戶獲得了對郵件系統的訪問權限。

3、Change Healthcare勒索軟件攻擊

2月，美國最大的醫療處方服務上Change Healthcare公司在今年初遭受網絡攻擊，并于該月22日首次被研究人員披露，該攻擊導致美國醫療保健系統持續了數周時間的大規模中斷。調查人員為阻止攻擊而被迫關閉部分IT系統，這使得許多藥店、醫院以及其他醫療保健組織無法處理藥品訂單和接收付款。一個名為Blackcat（也叫Alphv）的網絡犯罪團伙聲稱對本次攻擊活動負責，他們表示在攻擊中收到了被攻擊企業所支付的2200萬美元贖金。不久之后，另一個名為RansomHub的網絡犯罪團伙也聲稱從Change Healthcare攻擊中竊取了數據。UnitedHealth在4月底表示，Change Healthcare攻擊事件導致了三分之一的美國人個人隱私數據被盜，其影響非常廣泛、惡劣。Change Healthcare公司在6月份證實了有患者醫療數據在這次攻擊中已泄露，攻擊期間被盜的醫療數據可能包括診斷、藥物、檢驗結果、影像、護理和治療。

4、ConnectWise ScreenConnect漏洞利用攻擊

2月，Gotham Security公司的研究團隊發現，在廣泛應用的ConnectWise ScreenConnect 中存在兩個漏洞（CVE-2023-47257和CVE-2023-47256），可導致數萬家企業遭受重大網絡攻擊。ConnectWise ScreenConnect 是一款遠程控制軟件，應用于全球 IT 管理服務提供商 (MSPs)。如黑客將這兩個漏洞用于 0day 攻擊中，可導致MSP 及其客戶遭攻擊。惡意人員可從局域網獲得對所有工作站和服務器的訪問權限，之后將權限提升為受影響系統的本地管理員。ConnectWise公司很快意識到相關漏洞被利用的風險，并采取了緊急的預防措施，并在披露后數天內發布了安全補丁。CISA發布的安全通告表示，如果ConnectWise的合作伙伴和終端客戶無法升級到最新版本，就應該立即關閉所有本地ScreenConnect服務器。

5、XZ Utils軟件供應鏈攻擊

3月，xz是在所有Linux發行版中的通用數據壓縮格式，應用非常廣泛。在今年3月份，Red Hat公司和CISA分別發出警告，在最新版本的XZ Utils中發現被植入的惡意代碼。XZ Utils項目的原始維護者披露，XZ Utils的一名代碼貢獻者插入了惡意代碼。在2024 年 3 月 29 日，微軟PostgreSQL開發人員Andres Freund 發了一封電子郵件給oss-security，說在 xz/liblzma 中發現了一個后門，涉及混淆惡意代碼的供應鏈攻擊。Freund花大量的精力來追查這個問題，最終披露了軟件后門。調查發現，xz-utils 軟件包遭受的供應鏈攻擊歷時三年，幾乎成功在眾多 Linux 發行版中為 sshd 植入后門，這將允許攻擊者繞過密鑰認證，其后果難以想象。

6、美國電話電報公司（AT&T）數據泄露

3月，AT&T（美國電話電報公司）發布聲明稱發生了數據泄露，涉及約760萬該公司當前客戶和約6540萬前客戶，總計約7300萬個賬戶的信息。泄露的內容可能涉及用戶的姓名、郵件地址、社保號碼、登錄賬號和密碼等個人信息。初步調查發現，被泄露的數據大約在3月初就出現在暗網上，數據大約來自2019年或者更早的時間。而在之前的2月22日，AT&T公司剛發生了一起長達10小時的重大網絡中斷事件，涉及通話、網絡和短信服務，據稱有超過7萬名用戶受到影響。根據美國多座城市的政府部門在社交媒體平臺X上發布的信息，此次服務中斷甚至影響到了人們撥打911號碼聯系應急服務機構的能力。

7、美國國家環境保護局數據泄露攻擊

4月，4月10日，hackread網站對外披露美國聯邦環境保護局（EPA）發生了一起重大的數據泄露事件。此次事件可能由一名被稱為USDoD的黑客所為，涉及超過850萬用戶（包括其系統承包商）的個人隱私信息被外泄。這一事件再次引發了美國民眾對身份盜用、網絡間諜活動的擔憂。據了解，USDoD 曾有過竊取隱私數據的歷史，在之前的攻擊事件中就曾曝光了一個由美國聯邦調查局資助敏感項目。在本次攻擊事件發生后，該團伙在暗網數據泄露論壇上發帖炫耀稱：“我們將很快公開發布EPA的完整聯系人數據庫。其中不僅包含美國關鍵基礎設施的組織成員，還包括美國之外的相關機構和個人的數據信息?！?/p>

8、Giant Tiger用戶數據竊取攻擊

4月，一個活躍黑客論壇發布了題為“Giant Tiger Database – Leak, Download!”的帖子，聲稱已竊取了完整的 Giant Tiger （加拿大零售連鎖巨頭企業）客戶記錄數據庫，據稱本次數據竊取攻擊發生在2024 年3月。黑客聲稱：“我們已經獲取超過280萬客戶的個人信息，包括電子郵件地址、姓名、電話號碼以及通信地址，此外，本次獲取的數據還涉及 Giant Tiger 客戶的網站活動數據?！盙iant Tiger 相關安全負責人回應稱：我們目前已經發現了一個核心業務系統的第三方供應商存在安全問題。導致了部分 Giant Tiger 客戶的聯系信息未經授權獲取，但不涉及財務信息或支付密碼。目前已向所有相關客戶發送通知，并告知此事件的情況。

9、Ascension勒索軟件攻擊

5月，Ascension公司（在19個州和華盛頓特區擁有140家醫院和業務，是美國最大的醫療系統之一）透露，由于一名員工無意中下載了惡意軟件，致使其遭受勒索軟件攻擊。此次攻擊影響了MyChart電子健康記錄系統、電話和用于訂購測試、手術和藥物的系統，促使這家醫療巨頭將一些設備下線，以遏制勒索軟件攻擊影響。Ascension還暫停了一些非緊急選擇性手術、測試和預約，并將急救服務轉移到其他醫療單位以避免分診延誤。包括美國衛生與公眾服務部和聯邦調查局在內的多個聯邦機構都參與了恢復工作，以盡量減少對患者護理的干擾。雖然Ascension后來證實，有證據表明威脅行為者僅訪問并竊取了其網絡上數千臺服務器中的7臺服務器上的文件。但這一事件再次提醒人們加強醫療保健網絡安全彈性的緊迫性。

10、CDK Global網絡攻擊

6月，CDK Global公司連續遭遇兩次網絡攻擊，并在之后緊急關閉了大部分系統。據悉，該公司是北美地區一家大型汽車經銷商軟件即服務提供商，專為汽車行業客戶提供 SaaS 平臺，并處理汽車經銷商運營的方方面面，包括客戶關系管理、融資、薪資、支持與服務、庫存和后臺運營。公司目前與15000 多家汽車經銷商都有合作。6月18日和19日，該CDK公司確認，導致其汽車經銷商客戶軟件平臺癱瘓的網絡攻擊是一起“勒索事件”。在其發給客戶的一份說明中，CDK 承認黑客通過攻擊其經銷商管理系統（DMS），導致該系統無法正常使用，并要求支付贖金以恢復系統。媒體報道稱，CDK計劃支付據稱高達數千萬美元的贖金，旨在更快地恢復系統，但CDK拒絕對此發表評論。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明