网络安全资讯周报（2023/11/13 - 2023/11/17）

目录

11月16日，美国联邦调查局(FBI)和网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)发布了一份报告，称黑客组织Scattered Spider目前正在与俄罗斯勒索软件组织ALPHV/BlackCat合作，此外该报告还包括分享Scattered Spider的攻击战术。警报介绍了Scattered Spider 初始访问策略，该策略涉及通过冒充 IT 或服务台员工并诱骗他们提供凭据甚至直接网络访问来针对公司员工。研究人员对该组织的攻击方法表明，其成员的技能延伸到网络犯罪的不同领域，从社会工程和黑客攻击，到SIM卡交换，网络钓鱼和绕过登录保护。在网络上建立立足点后，Scattered Spider使用一系列公开可用的软件工具进行侦察和横向移动，包括：Fleetdeck.io、Level.io、Mimikatz、Ngrok、Pulseway、Screenconnect、Splashtop、Tactical.RMM、Tailscale、Teamviewer工具。除了这些工具外，Scattered Spider 还进行网络钓鱼攻击以安装 WarZone RAT、Raccoon Stealer 和 Vidar Stealer 等恶意软件，以从受感染的系统中窃取登录凭据、cookie 和其他在攻击中有用的数据。

11 月16 日，新加坡电信驳斥8日其主干网络Singtel Internet Exchange进行软件升级后，导致其澳大利亚子公司Optus在升级后经历了网络中断的言论。新加坡电信公司表示：“我们知道 Optus 在升级后经历了网络中断，当时通过其网络传播的地址显着升级触发了预设故障保护。然而，升级并不是根本原因。”11 月 8 日的服务中断导致许多人无法使用电话和宽带服务，影响了超过 1000 万 Optus 客户，其中包括 400,000 家企业。长达数小时的停电还导致支付系统瘫痪，维多利亚州的火车服务停飞，紧急呼叫服务无法使用。停电发生后 6 个多小时，服务逐步恢复，12 小时后完全恢复。

据11月15日报道，PJ&A(Perry Johnson & Associates)透露，今年3月的一次网络攻击泄露了近900万患者的信息。PJ&A为美国的医疗机构提供医疗转录服务，该公司表示攻击者入侵了他们的系统，并在3月27日至5月2日期间进行了访问。泄露数据包括姓名、病历号、社会安全号码(SSN)、保险信息和医疗转录文件等，影响了8952212名患者。14日，纽约最大的医疗提供商Northwell Health称， PJ&A遭到攻击导致其数据在4月7日至19日被盗，涉及超过380万人。

据11月16日外媒报道，谷歌威胁分析小组 (TAG) 透露，今年早些时候，Zimbra协作套件零日漏洞被用于窃取多个国家政府组织的电子邮件数据。该漏洞的编号为 CVE-2023-37580，于7月中旬被公开，当时 Zimbra 向客户发送其电子邮件服务器解决方案。该缺陷被描述为反射型跨站点脚本 (XSS) 错误，允许攻击者通过向目标组织发送包含特制 URL 的电子邮件来执行恶意代码，目标用户需要在通过 Zimbra 会话身份验证时单击恶意链接。在 Zimbra 于 7 月 25 日宣布发布官方补丁后不久，谷歌的 TAG 警告称已观察到野外利用行为，但没有分享有关攻击的任何信息。

11月14日报道，勒索团伙Medusa在周一声称他们攻击了Moneris，并给该公司9天的时间支付600万美元的赎金。Moneris是加拿大两家最大的银行创建的一家科技公司，它表示已成功抵御了最近的勒索攻击。关键数据没有被访问，也没有赎金要求。Moneris发言人说，确实有外部人员试图入侵Moneris的系统，但他们的团队对这一事件进行了全面的审计和分析，得出的结论是没有触发其数字丢失防护政策。Moneris曾在9月份发生系统中断，影响了加拿大各地的数十家企业。

据11月14日报道，丹麦关键部门的非营利网络安全中心SektorCERT披露，其关键基础设施遭到了有史以来最大规模的网络攻击。第一波攻击于5月11日发起，短暂停歇后，第二波攻击于5月22日开始，SektorCERT于5月22日意识到这些攻击。攻击者利用Zyxel防火墙中的漏洞（CVE-2023-28771），入侵了22家从事能源基础设施运营的公司。SektorCERT认为，攻击者掌握了目标的详细信息，很可能是通过之前未被发现的侦察活动收集的。并且这些攻击可能是多个团伙执行的，其中至少有一个可归因于Sandworm。

据11月13日报道，黑客从加密货币交易平台Poloniex窃取了超过1亿美元。该平台在社交媒体上证实，正在调查这起事件，并计划全额赔偿受影响的客户。Poloniex表示将向黑客支付被盗资金的5%作为赏金，希望其归还资金。Poloniex称他们的团队已成功识别并冻结了与黑客地址相关的部分资产。目前，损失在可控范围内，Poloniex的营业收入可以弥补这些损失。安全公司Slow Mist表示损失约为1.3亿美元，Beosin公司估计损失为1.14亿美元。

据媒体11月13日报道，物流公司DP World Australia遭到攻击，导致澳大利亚的4个主要港口关闭。DP World处理澳大利亚40%的集装箱贸易，声明称，11月10日的网络攻击影响了其港口的陆路货运业务。自上周五以来，约30000个集装箱一直没有被移动，并且占满了可用的存储空间，预计损失达数百万美元。目前，运营正在逐步恢复，尚无攻击团伙声称对此事负责。

11月16日据外媒报道，在美杜莎勒索软件声称对该公司进行攻击后，丰田金融服务（TFS）已确认检测到其在欧洲和非洲的某些系统上存在未经授权的访问。丰田金融服务是丰田汽车公司的子公司，在丰田销售汽车的 90% 的市场开展业务，为其客户提供汽车融资。此前，美杜莎勒索软件团伙将 TFS 列入其暗网上的数据泄露网站，要求支付 8,000,000 美元以删除据称从这家日本公司窃取的数据。威胁行为者给了丰田10天的时间做出回应，并可以选择延长每天10,000 美元的截止日期。虽然丰田金融没有确认数据是否在攻击中被盗，但威胁行为者声称已经泄露了文件，并威胁如果不支付赎金，就会泄露数据。

11月16日据外媒报道，三星发现了数据泄露事件，并确定这是黑客利用该公司使用的第三方应用程序的漏洞造成的。三星电子通知部分客户，他们的个人信息被泄露给了未经授权的个人。该公司表示，网络攻击仅影响了2019年7月1日至2020年6月30日期间在三星英国在线商店购物的客户。目前还没有提供有关攻击中利用的安全问题，或使攻击者能够访问三星客户个人信息的易受攻击应用程序的细节。三星向客户发出的通知称，泄露的数据可能包括姓名、电话号码、邮政和电子邮件地址。该公司强调，凭证或财务信息不会受到此次事件的影响三星的一位发言人说，该公司最近收到了网络安全事件的警报，该事件仅限于英国地区，并不影响美国客户、员工或零售商的数据。该发言人表示，该公司已采取一切必要措施解决安全问题，并补充说，该事件也已报告给英国信息专员办公室。

美国伊利诺伊州德斯普兰斯市的一个赌场Rivers Casino向顾客发出数据泄露警告。赌场管理员于 11 月 2 日星期四表示，他们确定黑客进入了他们的系统并窃取了 Rivers Casino 员工、客户和在线体育博彩客户的个人信息。由于该赌场于 8 月 12 日或前后发生的事件，这些信息可能已被访问或删除。受影响的信息包括姓名、联系信息（例如电话号码、电子邮件地址或邮政地址）、出生日期以及驾驶执照和政府身份证号码。对于数量有限的顾客或员工，赌场警告称，财务账户、纳税身份、社会保障和护照号码可能受到影响。据信客户密码和支付卡并未受到影响。没有迹象表明任何其他河流赌场的网络受到影响。Betrivers 在线和移动游戏系统也没有受到影响。目前，Rivers Casino Des Plaines 已设立事件响应中心。

11月17日，勒索软件组织ALPHV（又称BlackCat，前身是攻击殖民地管道的DarkSide组织）向美国证券交易委员会（SEC）提交投诉，举报其受害者——上市软件公司MeridianLink未按规定披露数据泄漏事件。ALPHV声称在11月7日侵入了MeridianLink的网络并窃取了公司数据，但并未加密系统。并威胁后者在24小时不支付赎金就泄露所窃取的数据。ALPHV表示，尽管MeridianLink似乎有意与其接触进行赎金谈判，但尚未收到公司的正式回应。MeridianLink的拖延战术激怒了ALPHV，后者愤然向SEC提交投诉，称MeridianLink未按政策要求披露影响“客户数据和运营信息”的网络安全事件。

据媒体11月14日消息称，美国药店供应商Truepill泄露了2364359人的信息。Truepill是一个专注于B2B的药房平台，使用API为美国50个州的医疗保健机构提供订单执行和交付服务。该公司于8月31日发现未经授权的访问，调查显示攻击者在前一天获得了访问权限。该公司可能面临法律后果，全国各地都在准备多起集体诉讼。具体来说，它未对其服务器上存储的敏感医疗信息进行加密，延迟通知消费者，以及通知的内容过于含糊。