网络安全资讯周报（10/30 - 11/03）

• 英国滨海绍森德市议会发生重大数据泄露 

• Okta因第三方数据泄露致其员工信息遭泄露 

• 632000个司法部和五角大楼电子邮件地址被泄露 

• 8亿印度人遭遇大规模数据泄露 

11月1日，俄罗斯联邦安全局（FSB） 逮捕了两名黑客，这两名人员帮助乌克兰网络部队坏俄罗斯关键基础设施目标。两名嫌疑人于同一天在西伯利亚的托木斯克和克麦罗沃被拘留，将面临叛国罪指控，该罪名最高可判处20年监禁。俄罗斯安全机构31日发布新闻稿称，其官员拘留了两名协助或加入乌克兰黑客进行网络攻击的黑客。第一名嫌疑人是托木斯克国立控制系统和无线电电子大学的学生，调查发现他协助乌克兰黑客组织对俄罗斯信息结构网络进行网络攻击。第二名嫌疑人是一名来自贝洛沃小镇的 36 岁男子，据信是乌克兰网络部队的成员。据俄罗斯联邦安全局称，他参与了乌克兰军队指挥的黑客行动，这些行动部署了恶意软件并破坏了俄罗斯的关键基础设施网络。

原文链接：

https://www.bleepingcomputer.com/news/legal/fsb-arrests-russian-hackers-working-for-ukrainian-cyber-forces/

11月1日，事件响应和安全团队论坛（The Forum of Incident Response and Security Teams，FIRST） 周一更新了 CVSS 漏洞评分标准，试图提供更多数据并消除下游问题严重性评级中的模糊性。FIRST是一家非营利机构，包括来自 100 多个国家的 650 多个组织， FIRST 表示，使用更新后的标准来评估已知软件缺陷的严重性，为消费者提供了更细粒度的基本指标，消除了下游评分的模糊性并简化了威胁指标。此次更新添加了一些漏洞评估补充指标，方便将漏洞标记为可自动化（可蠕虫）、恢复（弹性）、价值密度、漏洞响应等级和供应商危急程度。

原文链接：https://www.securityweek.com/first-releases-cvss-4-0-vuln-scoring-standard/

11月2日，勒索软件组织LockBit声称破坏波音公司系统，随后，该公司确认其部分分销业务受到了网络攻击。LockBit 勒索软件组织将波音列入其泄密网站，声称窃取了“大量敏感数据”后，波音公司表示已展开调查。随后，网络犯罪分子从其网站上删除了有关波音的内容，并告诉网络安全研究和威胁情报组织 VX-Underground 谈判已经开始。Lockbit 代表还告诉 VX-Underground，其分支机构利用零日漏洞来访问波音系统。波音公司周三（11月1日）对一家网安媒体表示：“我们意识到网络事件影响了我们的部分分销业务。但飞行安全并未受到该事件的影响。”该公司补充道：“我们正在积极调查这一事件，并与执法和监管机构协调。我们正在通知我们的客户和供应商。”

原文链接：https://www.securityweek.com/boeing-confirms-distribution-business-hit-by-cyberattack/

11月2日，据信息安全外媒报道，美联社新闻网站经历了一次中断，这似乎与拒绝服务攻击有关，该网络攻击在网站过量加载数据，导致其不堪重负而中断服务。从10月31日下午开始，，尽管个别报道的链接以各种方式失败，但在访问 apnews.com 网站皆显示主页“正在加载”。这种情况在11月1日早上得到解决。美联社向客户提供的交付系统和移动应用程序并未受到中断的影响。该公司媒体关系经理 Nicole Meir表示：“我们经历了流量的周期性激增，目前仍在调查原因。”一个自称“匿名苏丹”的黑客组织10月31日上午在其 Telegram 频道上表示，将对西方新闻媒体发动攻击。但目前美联社尚未证实“匿名苏丹”组织是否是此次袭击的幕后黑手。

原文链接：https://www.securityweek.com/ap-news-site-hit-by-apparent-denial-of-service-attack/

11月2日消息，美国五金零售连锁巨头王牌五金（Ace Hardware）似乎成为了最新遭到网络攻击的机构。该公司网站日前警告称，公司拥有的零售合作社目前无法处理在线订单。而首席执行官约翰·文惠森（John Venhuizen）也发布备忘录，说明问题十分严重。约翰·文惠森发给王牌五金零售商一份备忘录中表示：“上周日早上，我们检测到一起影响我们大多数IT系统的网络安全事件。由于这一事件，我们许多关键运营系统，包括ACENET（网络）、仓库管理系统、零售商移动助手（ARMA）、热销产品目录、发票、奖励系统及客服中心的电话系统都已中断或暂停运行。”

原文链接：https://www.theregister.com/2023/10/31/ace_hardware_cyberattack/

10月31日，Cisco Talos发布了关于Arid Viper攻击活动的分析报告。该活动自2022年4月开始活跃，一直针对阿拉伯语地区。攻击者利用伪造的恶意Android应用，旨在从目标手机中收集数据。有趣的是，该恶意软件与约会软件Skipped的源代码相似，这表明运营团伙要么与Skipped的开发人员有联系，要么非法获得了项目的访问权限。攻击者会分发伪装成约会应用更新的恶意链接，从而将恶意软件安装到用户的设备。

原文链接：https://blog.talosintelligence.com/arid-viper-mobile-spyware/

Check Point于10月31日披露了Scarred Manticore针对中东国家军政机构和电信公司的攻击活动。该团伙从2019年起一直活跃，目前的活动在2023年中期达到顶峰。最新活动利用了LIONTAIL，这是一种安装在Windows服务器上的被动恶意软件框架。出于隐蔽性，LIONTIAL植入程序利用对Windows HTTP栈驱动程序HTTP.sys的直接调用来加载常驻内存的payload。研究人员还称，Scarred Manticore与OilRig（又名APT34）有关联。

原文链接：https://research.checkpoint.com/2023/from-albania-to-the-middle-east-the-scarred-manticore-is-listening/

10月30日，Fortinet发布了关于勒索软件Knight的综述报告。Knight是一个相对较新的勒索团伙，于今年8月出现。Knight的前身Cyclops拥有适用于Windows、Linux和Mac OS的多系统工具。因此，虽然研究人员仅发现了Knight的Windows版本，但其他版本可能正在出现。Knight针对多个垂直行业，其中零售行业受影响最大。按地区分类，美国遭到的Knight攻击最多。

原文链接：https://www.fortinet.com/blog/threat-research/ransomware-roundup-knight

11月3日，英国滨海绍森德市议会发生巨大数据泄露。此次泄露事件涉及 1,854 名现任员工和 276 名前员工的数据，包括他们姓名、地址和国民保险号码。还有169人被连带泄露，其中包括公职人员和游说者，以及议员和增选成员。滨海绍森德市议会的保守党领袖托尼·考克斯表示：“我们已立即开始调查，以了解这是如何发生的，我代表市议会向受影响的人真诚地道歉。需要强调的是，这些信息不包含银行详细信息。它包括国民保险号码、养老金计划详细信息、工资、姓名和地址以及平等机会数据等详细信息。“该电子表格已从网站上删除。我们已将此作为数据泄露事件自行报告给信息专员办公室，受影响的议员、工作人员和前工作人员已收到通知，并向他们提供建议和支持。”

原文链接：

https://www.bbc.com/news/uk-england-northamptonshire-67304836

11月2日，据外媒报道Okta 在第三方供应商Rightway Healthcare被入侵后遭到数据泄露，该公司为 Okta 员工及其家人提供医疗保险。Okta 是一家位于旧金山的云身份和访问管理解决方案提供商，其单点登录 (SSO)、多重身份验证 (MFA) 和 API 访问管理服务被全球数千个组织使用。Okta在2023年10月12日Rightway 披露攻击事件时了解到了此次泄露，并立即启动调查以确定泄露的程度。根据 Okta 向缅因州总检察长办公室提交的报告，此次违规行为总共影响了 4,961 名员工。除了暴露健康信息之外，泄露员工名册还可能导致网络犯罪分子获取员工公司电子邮件地址，并进行有针对性的暴力破解以劫持公司内的有价值帐户。

原文链接：

https://www.bleepingcomputer.com/news/security/okta-hit-by-third-party-data-breach-exposing-employee-information/#google_vignette

10月30日，据彭博社报道，今年早些时候，美国司法部和国防部约 632,000 名员工的电子邮件地址在一次黑客攻击中被访问，这导致包括航空公司、大学和其他美国机构在内的组织在很大程度上受到影响。根据彭博社获得的人事管理办公室的一份报告，泄露的数据信息包括：被访问的电子邮件地址、该机构管理的政府雇员调查的链接以及机构内部跟踪代码。黑客通过数据公司 Westat 使用的名为 MOVEit 的文件传输程序获得了访问权限，OPM 使用该程序来管理员工调查。受影响的国防部员工包括空军、陆军、陆军工程兵团、国防部长办公室和联合参谋部的官员。

原文链接：

https://www.forbes.com/sites/tylerroush/2023/10/30/russian-hackers-breached-632000-doj-and-pentagon-email-addresses-in-massive-moveit-cyberattack-report-says/?sh=126bc6353cd8

据美国一家安全公司称，超过8亿印度人的高度敏感个人信息正在网上以8万美元的价格出售。在这个世界上人口最多的国家，超过14亿的人口中，超过一半的人可能受到了数据泄露的影响，如果得到证实，这可能是印度最大的违规行为。网络安全公司Resecurity表示，10月初，该公司在暗网上发现了数百万份属于印度居民的个人信息记录。据报道，网上提供的个人数据包括Aadhaar生物识别身份证和护照信息，以及姓名、电话号码和地址。Aadhaar是世界上最大的生物识别身份系统，自2009年该项目启动以来，政府当局估计已发行了14亿张卡。这些卡片包含生物特征信息，如指纹和虹膜扫描。

原文链接：https://cybernews.com/news/800-million-indians-data-breach/