网络安全资讯周报（07/24 - 07/28） - 新鲜讯息

目录/contents

全球动态

2023 年第二季度 APT 趋势报告
IBM发布关于2023年数据泄露成本的分析报告
SEC新规则要求美国公司在4天内披露网络攻击

安全事件

黑客对挪威政府12个部委使用的ICT平台进行攻击
雅马哈加拿大分公司遭到Black Byte和Akira的攻击
Lazarus APT 组织以 Windows IIS Web 服务器为目标分发恶意软件
VulnCheck披露影响90多万台MikroTik设备的提权漏洞
Clop利用MOVEit漏洞的攻击预估获利7500万至1亿美元

数据泄露

黑客在暗网出售声称从埃及卫生部窃取的200万条记录
国际律所Orrick泄露用户数据影响超过15万客户
黑客团伙SiegedSec公开近1GB与北约相关的文件
铃木的两家经销商网站因配置错误泄露客户的信息
泄露的BreachForums论坛成员数据正在被出售
美国政府承包商 Maximus 遭到攻击致数百万人数据泄露

NEWS

Part 1

全球动态

2023 年第二季度 APT 趋势报告

2023年7月27日，卡巴斯基全球研究与分析团队 (GReAT)发布了2023 年第二季度 APT 趋势报告。报告重点介绍了这一时期的观察到的APT 活动，包括工具集的更新、新恶意软件变种的创建以及威胁行为者对新技术的采用。据卡巴斯基称，地缘政治影响仍然是 APT 活动的主要驱动因素。APT活动在地理上仍然分散，攻击者主要集中在欧洲、拉丁美洲、中东和亚洲各地等地区。具有坚实的地缘政治背景的网络间谍活动仍然是这些活动的主要议程。

原文链接：https://securelist.com/apt-trends-report-q2-2023/110231/

IBM发布关于2023年数据泄露成本的分析

报告

7月24日，IBM发布关于2023年数据泄露成本的分析报告。据其最新研究显示，数据泄露成本持续增长，全球平均成本高达445万美元，三年内增长了15%。医疗保健行业的成本位居榜首，连续13年成为成本最高的行业。报告指出，安全人工智能和自动化、DevSecOps方法和IR计划在节省成本方面发挥了主导作用；而人工智能和ASM加速了违规事件的识别和遏制；当数据存储在多个环境中时，成本很高，并且需要更长时间才能遏制违规事件；拥有发现违规事件的内部团队的组织在控制成本方面表现得更好。

原文链接：https://securityintelligence.com/posts/whats-new-2023-cost-of-a-data-breach-report/

SEC新规则要求美国公司在4天内披露网络

攻击

美国证券交易委员会 (SEC) 于本周三颁布了新的规定，要求上市公司在确定网络攻击对其财务产生“重大”影响后四天内公布网络攻击的详细信息。新的规定要求公司披露事件的性质、范围、时间及其影响。如果确定披露此类细节“将对国家安全或公共安全构成重大风险”，则可能会额外延迟最多 60 天的披露。此外，新规定还要求公司每年描述用于评估、识别和管理网络安全威胁重大风险的方法和策略，详细说明这些事件造成的重大影响或风险，并分享有关正在进行或已完成的补救措施的信息。

原文链接：https://thehackernews.com/2023/07/new-sec-rules-require-us-companies-to.html

Part 2

安全事件

黑客对挪威政府12个部委使用的ICT平台

进行攻击

有威胁者攻击者似乎利用了Ivanti Endpoint Manager Mobile(EPMM)解决方案中的漏洞，对挪威政府12个部委使用的ICT平台进行了攻击。挪威安全与服务组织(DSS)在发现攻击事件后通知了国家安全局(NSM)，目前调查正在进行中。挪威数据保护局表明，黑客可能已经访问并窃取ICT系统中的敏感数据。尽管被攻击的平台在日常运作中发挥着重要作用，但此次攻击不会导致工作活动停止，政府部门将继续正常工作。

原文链接：https://securityaffairs.com/148778/hacking/norwegian-ministries-cyber-attack.html

雅马哈加拿大分公司遭到Black Byte和Akira

的攻击

在被两个不同的勒索软件组织声称攻击后，音乐设备生产商雅马哈加拿大分公司证实，其最近遭到一次网络攻击，导致了未经授权的访问和数据泄露。该公司表示其迅速采取措施遏制攻击，并通知了受影响的个人。6月14日，该公司被列入Black Byte勒索团伙的被攻击者列表。上周五，该公司又出现在Akira勒索团伙的网站上。研究人员称，组织被两个不同的勒索团伙列为受害者的情况越来越常见，这是今年的一个主要趋势。

原文链接：https://therecord.media/yamaha-confirms-cyberattack-after-multiple-ransomware-gangs-claim

Lazarus APT 组织以 Windows IIS Web

服务器为目标分发恶意软件

AhnLab 安全应急响应中心（ASEC）的研究人员称，朝鲜国家支持的黑客组织Lazarus APT正在积极针对 Windows Internet信息服务 (IIS) Web 服务器作为分发恶意软件。Lazarus使用水坑技术，通过入侵韩国网站并修改内容来获得初始访问权限。研究人员表示：“Lazarus 组织攻击 IIS Web 服务器并获得控制权后，将利用该服务器分发用于 INITECH 漏洞攻击的恶意软件。INITECH 是一家企业软件供应商，ASEC 此前观察到 Lazarus 利用其 INISAFE CrossWeb EX V3 系统管理解决方案中的漏洞将 DLL 文件注入目标系统。

原文链接：

https://heimdalsecurity.com/blog/lazarus-apt-group-targets-windows-iis-web-servers-to-distribute-malware/

VulnCheck披露影响90多万台MikroTik设备

的提权漏洞

VulnCheck于7月25日披露了MikroTik RouterOS路由器的中的提权漏洞（CVE-2023-30799）。该漏洞 CVE-2023-30799允许拥有现有管理员帐户的远程攻击者通过设备的 Winbox 或 HTTP 接口将其权限提升为“超级管理员”。

这是因为Mikrotik RouterOS操作系统无法防止密码的暴力攻击，并且还自带默认“admin”用户。研究人员预计该漏洞使超过 900000个 MikroTik RouterOS 路由器面临风险，可能使攻击者能够完全控制设备并且不被发现。

原文链接：https://www.bleepingcomputer.com/news/security/super-admin-elevation-bug-puts-900-000-mikrotik-devices-at-risk/

Clop利用MOVEit漏洞的攻击预估获利7500

万至1亿美元

据Coveware发布报告称，Clop利用MOVEit漏洞的大规模数据窃取活动预计将获得7500万美元至1亿美元的赎金收入。报告解释称，在2023年第二季度，虽然支付赎金的受害者比例已降至 34% ，创历史新低，但也促使勒索软件团伙改变策略，使他们的攻击更有利可图。Coveware表示，Clop已经改变了策略，勒索更高的赎金，希望通过几笔大额付款来克服整体下降的情况。此外，复杂性和自动化程度低的勒索攻击的影响和成本最小。

原文链接：https://www.coveware.com/blog/2023/7/21/ransom-monetization-rates-fall-to-record-low-despite-jump-in-average-ransom-payments

Part 3

数据泄露

黑客在暗网出售声称从埃及卫生部窃取的

200万条记录

研究人员于7月25日在黑客论坛Popürler上发现某黑客团伙声称从埃及卫生和人口部门窃取了两百万条记录。据称，该数据库包含患者的个人信息，涉及姓名、ID、电话、地址、手术分类详情、诊断和治疗详细信息等。此外，黑客还提供了1000人的数据作为样本，来支持这一说法。这名黑客还在上周出售了属于印度尼西亚实体的数据库。

原文链接：https://www.infosecurity-magazine.com/news/hacker-stolen-medical-records/

国际律所Orrick泄露用户数据影响超过15万

客户

全球律师事务所Orrick正在向近153000人通报一起安全事件，该事件导致多个客户文件泄露。这些文件包含敏感的个人信息，包括个人姓名、地址、出生日期和社会安全号码。Orrick在声明中称，其于3月13日发现攻击者针对其保存部分客户端文件的文件存储设备进行攻击。调查确定，未经授权的攻击者在2月28日至3月7日访问了包含健康信息和个人身份信息的客户文件。该事件并未导致任何客户服务或运营中断，也没有发现与此次攻击相关的勒索软件。

原文链接：

https://www.bankinfosecurity.com/law-firm-hack-affects-victims-earlier-breach-again-a-22633

黑客团伙SiegedSec公开近1GB与北约相关

的文件

7月25日，黑客团伙SiegedSec声称攻击了北约，并随后泄露了数百份供北约国家和合作伙伴使用的敏感文件。该数据还包含至少 70 名北约官员的全名、电子邮件地址、电话号码、办公地址和军衔，泄露的数据大小约为1GB。7月26日，北约称其 IT 团队正在对该事件进行调查。数据泄露如果得到证实，将会影响北约联盟的31个成员国。

原文链接：

https://www.bleepingcomputer.com/news/security/nato-investigates-alleged-data-theft-by-siegedsec-hackers/

铃木的两家经销商网站因配置错误泄露客户

的信息

Cybernews 研究小组近日发现两个铃木授权的经销商网站泄漏了客户的敏感信息，任何人都可以检索这两个网站用于访问用户数据、业务管理工具或管理网站的密码和秘密令牌。第一家经销店在巴西运营，研究人员发现了内容分发网络(CDN)GoChache的端点和密钥、MySQL数据库、SMTP凭证以及应用程序和外部第三方服务的各种密钥。第二家是巴林唯一的铃木汽车经销商，该公司的Laravel应用密钥、数据库和SMTP凭据不受保护。Cybernews 研究人员称，恶意行为者可能使用这些凭据通过官方经销商渠道向客户发送网络钓鱼电子邮件，在破坏网站后访问用户信息，改变网站的运行方式，并降低网站使用的安全措施。

原文链接：https://securityaffairs.com/148675/data-breach/nice-suzuki-sport-shame-dealer-left-your-data-up-for-grabs.html

泄露的BreachForums论坛成员数据正在

被出售

臭名昭著的Breached 网络犯罪论坛的数据库正在出售，并且成员数据与Have I Been Pwned共享。7月26日，Have I Been Pwned数据泄露通知服务宣布，访问者可以在Breached网络犯罪论坛的数据泄露事件中检查自己的信息是否被泄露。这次数据泄露暴露了 212k 条记录，包括用户名、IP 和电子邮件地址、网站成员之间的私人信息以及存储为 argon2 哈希值的密码。

原文链接：https://www.bleepingcomputer.com/news/security/breachforums-database-and-private-chats-for-sale-in-hacker-data-breach/

美国政府承包商 Maximus 遭到攻击致数

百万人数据泄露

美国政府服务承包商Maximus披露了一起数据泄露警告，称黑客在最近的 MOVEit Transfer 数据盗窃攻击中窃取了800至 1100 万人的个人数据，包括社会安全号码、受保护的健康信息和/或其他个人信息。Maximus 是一家承包商，负责管理美国政府赞助的项目，包括联邦和地方医疗保健项目以及学生贷款服务。该公司拥有 34300 名员工，年收入约 42.5 亿美元，业务遍及美国、加拿大、澳大利亚和英国。

原文链接：https://www.bleepingcomputer.com/news/security/8-million-people-hit-by-data-breach-at-us-govt-contractor-maximus/