2024年上半年典型網絡攻擊事件盤點
2024年上半年已經過去,全球網絡安全威脅態勢依然嚴峻,嚴重的網絡攻擊事件從未間斷,眾多組織遭到了勒索軟件、數據竊取和隱私泄密的攻擊威脅。日前,專業網站“CRN.com”按時間順序,對2024年上半年的所發生的典型網絡攻擊和數據泄密事件進行了總結梳理和盤點。
1、Ivanti VPN 零日攻擊
(2024年1月)
lvanti Connect Secure VPN是一款企業級遠程訪問解決方案,主要提供安全遠程訪問和多因素認證等功能。在今年1月,該系統被披露出兩個高危的零日漏洞,并被威脅分子大肆利用。研究人員表示,在攻擊期間,數千臺Ivanti VPN設備遭到破壞,影響了眾多企業組織,其中包括了美國網絡安全和基礎設施安全局(CISA)和Mitre(由美國政府資助的網絡攻擊框架研究機構)
谷歌云旗下的Mandiant團隊研究人員稱,Ivanti VPN漏洞與一個名為UNC5221的威脅團伙密切相關,該團伙發動的攻擊最早可以追溯到12月3日。
這起攻擊促使CISA向美國聯邦政府的行政部門發出了安全提醒,要求采取緊急措施,在48小時內斷開Ivanti Connect Secure VPN連接。1月31日,在相關漏洞被披露的三周后,Ivanti才發布了其部分版本的安全補丁。
2、微軟公司高管賬戶泄露攻擊
(2024年1月)
微軟公司在1月份對外披露,網絡攻擊者攻擊了其高級領導團隊成員以及網絡安全和法務團隊的電子郵件系統,并將攻擊活動歸咎于Midnight Blizzard(午夜暴雪)團伙。該團伙曾在2020年策劃實施了轟動一時的SolarWinds泄密案。
CISA稍后的調查發現,本次賬戶泄露事件廣泛影響了多家聯邦政府機構。通過入侵微軟公司電子郵件賬戶,Midnight Blizzard竊取了大量聯邦政府行政部門(FCEB)和微軟之間的電子郵件通信。
為了降低攻擊造成的影響,微軟公司向可能受到影響的客戶發出了安全提醒通知,告知他們的電子郵件內容已被非法查看。調查人員還表示,本次泄密事件最早發生于2023年11月,黑客利用了一個未實施多因素身份驗證(MFA)的過期賬戶獲得了對郵件系統的訪問權限。
3、Change Healthcare網絡攻擊
(2024年2月)
美國最大的醫療處方服務上Change Healthcare公司在今年初遭受網絡攻擊,并于今年2月22日首次被研究人員披露,該攻擊導致美國醫療保健系統持續了數周時間的大規模中斷。調查人員為阻止攻擊而被迫關閉部分IT系統,這使得許多藥店、醫院以及其他醫療保健組織無法處理藥品訂單和接收付款。
一個名為Blackcat(也叫Alphv)的網絡犯罪團伙聲稱對本次攻擊活動負責,他們表示在攻擊中收到了被攻擊企業所支付的2200萬美元贖金。
不久之后,另一個名為RansomHub的網絡犯罪團伙也聲稱從Change Healthcare攻擊中竊取了數據。UnitedHealth在4月底表示,Change Healthcare攻擊事件導致了三分之一的美國人個人隱私數據被盜,其影響非常廣泛、惡劣。
Change Healthcare公司在6月份證實了有患者醫療數據在這次攻擊中已泄露,攻擊期間被盜的醫療數據可能包括診斷、藥物、檢驗結果、影像、護理和治療。
4、ConnectWise ScreenConnect漏洞利用攻擊
(2024年2月)
2024年2月,Gotham Security公司的研究團隊發現,在廣泛應用的ConnectWise ScreenConnect 中存在兩個漏洞(CVE-2023-47257和CVE-2023-47256),可導致數萬家企業遭受重大網絡攻擊。
ConnectWise ScreenConnect 是一款遠程控制軟件,應用于全球 IT 管理服務提供商 (MSPs)。如黑客將這兩個漏洞用于 0day 攻擊中,可導致MSP 及其客戶遭攻擊。惡意人員可從局域網獲得對所有工作站和服務器的訪問權限,之后將權限提升為受影響系統的本地管理員。
ConnectWise公司很快意識到相關漏洞被利用的風險,并采取了緊急的預防措施,并在披露后數天內發布了安全補丁。CISA發布的安全通告表示,如果ConnectWise的合作伙伴和終端客戶無法升級到最新版本,就應該立即關閉所有本地ScreenConnect服務器。
5、XZ Utils軟件供應鏈攻擊
(2024年3月)
xz是在所有Linux發行版中的通用數據壓縮格式,應用非常廣泛。在今年3月份,Red Hat公司和CISA分別發出警告,在最新版本的XZ Utils中發現被植入的惡意代碼。XZ Utils項目的原始維護者披露,XZ Utils的一名代碼貢獻者插入了惡意代碼。
在2024 年 3 月 29 日,微軟PostgreSQL開發人員Andres Freund 發了一封電子郵件給oss-security,說在 xz/liblzma 中發現了一個后門,涉及混淆惡意代碼的供應鏈攻擊。Freund花大量的精力來追查這個問題,最終披露了軟件后門。
調查發現,xz-utils 軟件包遭受的供應鏈攻擊歷時三年,幾乎成功在眾多 Linux 發行版中為 sshd 植入后門,這將允許攻擊者繞過密鑰認證,其后果難以想象。
6、AT&T數據泄露攻擊
(2024年3月)
3月30日,AT&T(美國電話電報公司)發布聲明稱發生了數據泄露,涉及約760萬該公司當前客戶和約6540萬前客戶,總計約7300萬個賬戶的信息。泄露的內容可能涉及用戶的姓名、郵件地址、社保號碼、登錄賬號和密碼等個人信息。初步調查發現,被泄露的數據大約在3月初就出現在暗網上,數據大約來自2019年或者更早的時間。
而在之前的2月22日,AT&T公司剛發生了一起長達10小時的重大網絡中斷事件,涉及通話、網絡和短信服務,據稱有超過7萬名用戶受到影響。根據美國多座城市的政府部門在社交媒體平臺X上發布的信息,此次服務中斷甚至影響到了人們撥打911號碼聯系應急服務機構的能力。
7、美國國家環境保護局數據泄露攻擊
(2024年4月)
4月10日,hackread網站對外披露美國聯邦環境保護局(EPA)發生了一起重大的數據泄露事件。此次事件可能由一名被稱為USDoD的黑客所為,涉及超過850萬用戶(包括其系統承包商)的個人隱私信息被外泄。這一事件再次引發了美國民眾對身份盜用、網絡間諜活動的擔憂。
據了解,USDoD 曾有過竊取隱私數據的歷史,在之前的攻擊事件中就曾曝光了一個由美國聯邦調查局資助敏感項目。在本次攻擊事件發生后,該團伙在暗網數據泄露論壇上發帖炫耀稱:“我們將很快公開發布EPA的完整聯系人數據庫。其中不僅包含美國關鍵基礎設施的組織成員,還包括美國之外的相關機構和個人的數據信息。”
8、Giant Tiger用戶數據竊取攻擊
(2024年4月)
Giant Tiger是加拿大零售連鎖巨頭企業,4月14日,一個活躍黑客論壇發布了題為“Giant Tiger Database - Leak, Download!”的帖子,聲稱已竊取了完整的 Giant Tiger 客戶記錄數據庫,據稱本次數據竊取攻擊發生在2024 年 3 月。黑客聲稱:“我們已經獲取超過 280 萬客戶的個人信息,包括電子郵件地址、姓名、電話號碼以及通信地址,此外,本次獲取的數據還涉及 Giant Tiger 客戶的網站活動數據。”
Giant Tiger 相關安全負責人回應稱:我們目前已經發現了一個核心業務系統的第三方供應商存在安全問題。導致了部分 Giant Tiger 客戶的聯系信息未經授權獲取,但不涉及財務信息或支付密碼。目前已向所有相關客戶發送通知,并告知此事件的情況。
9、佳士得拍賣行網絡攻擊
(2024年5月)
2024年5月22日,全球著名的藝術品拍賣機構佳士得拍賣行宣布遭遇了網絡攻擊,導致其拍賣網站在本年度春季拍賣活動開始前因為“技術安全問題”臨時離線。本次春季拍賣活動的藝術品總價值預計高達8.4億美元(約合60億元人民幣),其中包括一幅價值超過3500萬美元的文森特·梵高(Vincent van Gogh)畫作。
佳士得發言人在稍后的一份聲明中表示:"公司已經采取一切必要措施來處理這一事件,并聘請了一個額外的技術專家團隊協助。我們會視進展情況及時向客戶提供進一步的最新信息,并對此次事件所造成的拍賣活動延期表示道歉。"
10、CDK網絡攻擊
(2024年6月)
CDK Global 是北美地區一家大型汽車經銷商軟件即服務提供商,專為汽車行業客戶提供 SaaS 平臺,并處理汽車經銷商運營的方方面面,包括客戶關系管理、融資、薪資、支持與服務、庫存和后臺運營。該公司目前與15000 多家汽車經銷商都有合作。6月18日和19日,該公司連續遭遇兩次網絡攻擊,并在之后緊急關閉了大部分系統。
CDK公司確認,導致其汽車經銷商客戶軟件平臺癱瘓的網絡攻擊是一起“勒索事件”。在其發給客戶的一份說明中,CDK 承認黑客通過攻擊其經銷商管理系統(DMS),導致該系統無法正常使用,并要求支付贖金以恢復系統。媒體報道稱,CDK計劃支付據稱高達數千萬美元的贖金,旨在更快地恢復系統,但CDK尚未對此作出回應。
