网络安全资讯周报（01/01- 01/05）

目录/contents

全球动态

Emsisoft发布2023年美国勒索攻击态势分析报告
美国FBI正向驻外大使馆增派网络特工

安全事件

维多利亚州法院服务中心被Qilin攻击听证会录音泄露
APT28利用新的恶意软件开展钓鱼攻击活动
瑞典连锁超市Coop遭到Cactus勒索攻击支付受到影响
UAC-0050组织使用新的网络钓鱼策略分发 Remcos RAT
俄罗斯黑潜伏在乌克兰电信巨头Kyivstar内网数月

数据泄露

美国Xerox公司遭到攻击导致数据泄露
伊朗外卖平台SnapFood被irleaks入侵3TB数据泄露
Transformative Healthcare披露影响近百万人的数据泄露
日本游戏开发商Ateam的Google Drive配置错误可能泄露近百万人信息
医疗保健技术公司 HealthEC数据泄露影响了近 450 万人

NEWS

Part 1

全球动态

Emsisoft发布2023年美国勒索攻击态势

分析报告

杀毒软件公司Emsisoft在1月2日发了布2023年美国勒索攻击态势的分析和统计报告。2023年，美国共有2207家医院、学校和政府机构受到勒索攻击的直接影响。46个医院系统的141家医院受到勒索软件的影响，其中至少32个医院系统的信息被盗。至少有108个K-12学区受到勒索软件的影响，比2022年的45个多了一倍多。至少有95家政府机构受到勒索攻击的影响，低于2022年的106家。MOVEit攻击事件影响了2600多个实体，总损失可能约为150亿美元。2018年，赎金平均为5000美元，但到2023年，这一数字增加了29900%，高达150万美元左右。

原文链接：

https://www.emsisoft.com/en/blog/44987/the-state-of-ransomware-in-the-u-s-report-and-statistics-2023/

美国FBI正向驻外大使馆增派网络特工

据 CyberScoop 报道，为加强国际网络犯罪打击能力，美国联邦调查局（FBI）向巴西利亚、新德里、罗马等地的美国驻外使馆增派了六名新的网络助理法律专员，这意味着美国联邦调查局驻外使馆中专注于网络的特工增加了近 40%。预计这些网络特工未来的工作重点是打击针对跨境关键基础设施的国际勒索软件攻击活动，这项工作既涉及执法，也涉及情报收集应用。值得注意的是，他们也担负着网络情报的搜集任务。

原文链接：https://cyberscoop.com/the-fbi-is-adding-more-cyber-focused-agents-to-u-s-embassies/

Part 2

安全事件

维多利亚州法院服务中心被Qilin攻击听证

会录音泄露

澳大利亚维多利亚州法院服务中心(CSV)遭到Qilin的勒索攻击，法庭听证会的视频记录遭到泄露。攻击于2023年12月21日被发现，该事件导致运营中断，包含敏感录音的视听档案遭到访问。被攻击的系统立即被隔离和禁用，但随后的调查显示，该事件发生的时间更早，即2023年12月8日，泄露的录音最早可以追溯到11月1日。

原文链接：https://thecyberexpress.com/victoria-court-ransomware-attack/

APT28利用新的恶意软件开展钓鱼攻击活动

乌克兰计算机紧急响应小组(CERT-UA警告称，俄罗斯黑客组织APT28开展了新一轮的钓鱼攻击活动，并使用以前未被发现的恶意软件从目标网络窃取敏感信息。最新活动发生在12月15日至25日，通过钓鱼邮件诱使收件人点击嵌入的链接来查看文档，并利用了OCEANMAP、MASEPIE和STEELHOOK等新恶意软件。MASEPIE是一个用于上传/卸载文件和执行命令的Python工具，OCEANMAP是用于使用cmd.exe执行命令的C#工具，STEELHOOK是旨在窃取浏览器数据以及DPAPI主密钥的PowerShell脚本。

原文链接：https://securityaffairs.com/156623/apt/apt28-phishing-new-malware.html

瑞典连锁超市Coop遭到Cactus勒索攻击

支付受到影响

Coop是瑞典最大的零售和杂货供应商之一，在全国拥有约800家门店。2023年12月29日，勒索团伙Cactus声称攻击了该公司，并威胁要披露大量个人信息，包括超过21000个目录。攻击始于2023年12月22日，当时所有Coop Värmland网点都无法接受银行卡支付。Coop在2021年7月也曾受到Kaseya供应链勒索攻击的影响，导致大量门店关闭。

原文链接：https://securityaffairs.com/156709/cyber-crime/cactus-ransomware-coop-sweden.html

UAC-0050组织使用新的网络钓鱼策略分

发 Remcos RAT

UAC-0050组织正在利用网络钓鱼攻击使用新策略来分发 Remcos RAT，以逃避安全软件的检测。该组织的选择武器是臭名昭著的远程监视和控制恶意软件Remcos RAT，该软件一直是其间谍武器库的先锋。在其最新攻击活动中，UAC-0050组织整合了一种管道方法进行进程间通信，展示了其高级适应能力。UAC-0050 自 2020 年以来一直活跃，通过针对乌克兰和波兰实体的社会工程活动进行网络钓鱼攻击，冒充合法组织以欺骗接收者打开恶意附件。

原文链接：https://thehackernews.com/2024/01/uac-0050-group-using-new-phishing.html

俄罗斯黑潜伏在乌克兰电信巨头Kyivstar

内网数月

Kyivstar 是乌克兰最大的移动网络运营商，于2023 年 12 月遭到网络攻击，导致数百万客户无法访问移动和互联网服务。乌克兰将此次攻击活动归因于俄罗斯黑客组织Sandworm。据乌克兰安全局（SBU）网络安全部门负责人表示，Sandworm 至少自 2023 年 5 月起就一直潜伏在 Kyvistar 的系统中，最晚于 11 月获得完全访问权限。

原文链接：https://www.theregister.com/2024/01/05/sandworm_kyivstar_hack/

Part 3

数据泄露

美国Xerox公司遭到攻击导致数据泄露

根据美国施乐公司（Xerox）的一份声明，施乐商业解决方案公司（XBS）的美国分部已遭到黑客攻击，可能会泄露有限数量的个人信息。施乐公司是一家文案管理和处理技术公司，产品包括打印机、复印机和数字印刷设备等。勒索软件团伙INC RANSOM已将施乐公司添加到其Tor网站的中，并威胁要公开被盗数据。该团伙发布了据称从该公司窃取的文件的屏幕截图，包括电子邮件和发票，作为攻击的证据。目前尚不清楚攻击者窃取了多少数据。

原文链接：

https://www.bleepingcomputer.com/news/security/xerox-says-subsidiary-xbs-us-breached-after-ransomware-gang-leaks-data/

伊朗外卖平台SnapFood被irleaks入侵3TB

数据泄露

名为“irleaks”的黑客在论坛Breach Forums和Telegram上公开了伊朗外卖平台Snappfood网络攻击事件。irleaks称已获取超过3TB的数据，包括超过2000万客户的详细信息、240000个供应商的记录、超过600000个客户的付款信息、1.8亿台设备的数据、超过8.8亿条产品订单记录、35000 条骑手信息以及 1.3 亿条行程详细记录等。Snapfood于2023年12月31日在Twitter上承认了此次攻击，随后在1月1日发布的推文中称已与攻击者达成协议，防止数据在线出售或泄露。目前，黑客也已删除帖子。

原文链接：

https://www.hackread.com/iranian-food-delivery-snappfood-cyber-attack/

Transformative Healthcare披露影响近

百万人的数据泄露

美国医疗保健公司Transformative Healthcare披露了影响近百万人的数据泄露事件。其救护车服务公司Fallon Ambulance Services在2022年12月停止运营，于2023年4月21日在其数据存储档案中检测到可疑活动。调查发现，该活动早在2月17日就开始，一直持续到4月22日。12月27日完成调查后，该公司确定近91.2万人的个人信息被访问。访问的信息类型包括姓名、地址、社会安全号码、医疗信息（包括 COVID-19 检测或疫苗接种信息）以及向 Fallon 提供的与就业或就业申请相关的信息。该公司将为被影响的个人提供两年的免费身份保护服务。

原文链接：

https://therecord.media/transformative-healthcare-data-breach-ambulance

日本游戏开发商Ateam的Google Drive配置

错误可能泄露近百万人信息

日本游戏开发商Ateam透露，Google Drive配置错误可能导致近一百万人的信息泄露。本月早些时候，Ateam通知其用户、员工和业务合作伙伴，他们于2023年11月21日发现，自2017年3月以来将Google Drive云存储实例设置为“互联网上拥有链接的任何人都可以查看”。不安全的Google Drive实例包含1369个文件，其中包含 Ateam 客户、Ateam 业务合作伙伴、前任和现任员工，甚至实习生和申请公司职位的人员的个人信息。Ateam 已确认有935779人的数据泄露，其中98.9%是客户。

原文链接：https://www.bleepingcomputer.com/news/security/android-game-devs-google-drive-misconfig-highlights-cloud-security-risks/

医疗保健技术公司 HealthEC数据泄露影响

了近 450 万人

医疗保健技术公司 HealthEC （HEC）披露了一起数据泄露事件，影响了其业务合作伙伴的4452782名客户。该公司发现一个未知行为者在 2023 年 7 月 14 日至 2023 年 7 月 23 日期间访问了其部分系统，并复制了一些文件。这些文件包含属于HEC部分客户的信息。2023 年 10 月 26 日，该公司开始通知受影响的客户，并与他们合作通知可能受影响的个人。被泄露的信息包括包括姓名、地址、出生日期、社会安全号码、纳税人识别号、病历号、医疗信息（包括但不限于诊断、诊断代码、精神/身体状况、处方信息以及提供者的姓名和位置）、健康保险信息（包括但不限于受益人号码、订户号码、医疗补助/医疗保险识别），和/或账单和索赔信息（包括但不限于患者帐号、患者识别号和治疗费用信息）等。

原文链接：https://securityaffairs.com/156911/data-breach/healthec-disclosed-data-breach.html