一周全球重大网络安全事件速递（第八期）

1月14日

美国海军造船厂遭勒索软件攻击泄露近17,000人信息

根据近日向缅因州监管机构提交的文件，四月份一家为美国海军建造船舶的公司遭受勒索软件攻击，导致近17,000人的信息泄露。

近九个月前，威斯康星州几家当地新闻媒体报道称，意大利造船公司Fincantieri的美国子公司Fincantieri Marine Group（FMG）正在应对导致广泛生产问题的勒索软件攻击。该公司当时没有回应置评请求，但向美国海军研究所（USNI）和绿湾新闻公报发送了一份声明，确认其经历了一次网络安全事件，导致“其公司的某些计算机系统暂时中断网络。”

FMG 随后对受影响的数据进行了全面审查，以确认哪些信息受到了影响。2023 年 11 月 6 日，FMG 确定相关文件中包含缅因州居民的个人信息。涉及的个人信息包括姓名和社会安全号码。该公司告诉缅因州监管机构，有16,769人的信息因勒索软件攻击而泄露，他们将为受害者提供两年的免费信用监控服务。

1月15日

麦当劳再遭攻击，员工和客户数据被泄露

有报道称麦当劳发生了新的数据泄露事件，这一事件正在不断发展，凸显了企业界网络安全面临的持续挑战。有关最新麦当劳数据泄露事件的信息出现在BreachForums上，其中一位名为“euphoria”的用户”声称访问了麦当劳的大量内部数据。根据该帖子，泄露的数据包括组织名称、用户名、真实名称、LastChange、过期、权限、状态和状态注释等敏感字段，表明公司系统可能遭到严重破坏。

据报道，2024 年麦当劳的数据泄露不仅涉及员工和客户的姓名和电子邮件，还涉及内部工具和银行日志，这意味着严重违反了安全协议。与众不同的是，威胁行为者似乎正在寻求数据的私人交易，而不是公开信息或索要赎金，这一策略可能意味着网络犯罪分子所采用策略的转变。

1月16日

西班牙卡尔维亚市在勒索软件攻击中被勒索 1100 万美元

卡尔维亚（Calvià）是西班牙马略卡岛的一座历史古镇，人口约 5 万，是马略卡岛的主要旅游热点之一，预计每年接待游客 160 万人次。周末期间，卡尔维亚的系统遭到勒索软件攻击，市政服务受到影响，迫使该委员会成立一个危机委员会来评估造成的损害并制定影响缓解计划。

卡尔维亚市议会在声明中表示：“卡尔维亚市议会在上周六凌晨成为勒索软件网络攻击的目标后，正在努力尽快恢复正常。”市长表示，IT 专家团队目前正在进行取证分析，以估计未经授权访问的程度并恢复受影响的系统和服务。

1月17日

CISA 和 FBI 警告：

Androxgh0st 恶意软件黑客正在创建大型僵尸网络

美国网络安全机构周二警告说，Androxgh0st恶意软件背后的黑客正在创建一个强大的僵尸网络。

周二，美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA)发布了一份关于该恶意软件的联合公告，称多项正在进行的调查使他们能够评估部署该恶意软件的威胁行为者所使用的策略。他们观察到Androxgh0st恶意软件建立了一个僵尸网络，“用于目标网络中的受害者识别和利用”。僵尸网络搜索.env文件，威胁者通常会寻找这些文件，因为它们存储凭据和令牌。网络安全专家John Smith表示，AndroxGh0st 是云基础设施面临的威胁日益增长的又一个例子。

1月17日

Ivanti VPN两大零日漏洞已被黑客大规模利用

威胁情报公司Volexity发现，影响 Ivanti 的 Connect Secure VPN 和 Policy Secure 网络访问控制 (NAC) 设备的两个零日漏洞正在被大规模利用。自1月11日开始，多个威胁组织在大范围攻击中利用两个未修补的漏洞（编号为 CVE-2023-46805 和 CVE-2024-21887）闯入网络并窃取数据。

据Volexity称，迄今为止，全球已有 1,700 多个 Ivanti Connect Secure 设备被利用，影响了航空航天、银行、国防、政府和电信行业的组织。Volexity表示：“受害者分布在全球，规模差异很大，从小型企业到世界上一些最大的组织，其中包括多个垂直行业的多家财富 500 强公司。”

但Volexity也指出，受感染组织的数量可能要高得多。非营利性安全威胁跟踪机构 Shadowserver Foundation的数据显示，全球有超过 17,000 台互联网可见的Ivanti VPN设备，其中包括美国的 5,000 多台设备。

1月17日

Innefu Labs数据泄露：

印度网络安全公司成为网络攻击的受害者

据报道，印度网络安全公司Innefu Labs以其先进的人工智能和数据分析解决方案而闻名，该公司已成为复杂网络攻击的受害者。Innefu Labs的泄露不仅对该公司（年收入超过2500万美元）造成打击，而且对其广泛的客户（包括企业和政府部门）造成打击。

Innefu Labs于2012年创立，为各种企业和政府客户提供身份验证、预测智能和数据保护产品。Innefu Labs数据泄露事件在网络安全领域引起了不小的轰动，甚至在专门从事数字安全的公司内部也引起了人们对这些漏洞的关注。

PreciousMadness的产品包括未经授权访问Innefu基础设施的关键组件，例如Fortinet VPN和Microsoft 365服务，售价为1,300美元。此外，Innefu数据泄露涉及54 GB的泄露数据，需要支付额外费用。

1月17日

印度空军遭遇网络间谍活动：

隐藏在“SU-30飞机采购”文件中的恶意软件

针对印度空军的复杂网络间谍攻击已经曝光。针对印度空军的网络攻击涉及臭名昭著的 Go Stealer 的变种，这是一种旨在秘密提取敏感信息的恶意软件。

该恶意软件通过一个名为“SU-30_Aircraft_Procurement”的 ZIP 文件传播，利用了最近的国防采购公告，特别是印度国防部于 2023 年 9 月批准的 12 架 Su-30 MKI 战斗机。

根据Cyble研究与情报实验室（CRIL）的说法，这种网络威胁的作案手法是通过一系列精心策划的步骤展开的。攻击者使用名为Oshi的匿名文件存储平台来托管欺骗性 ZIP 文件，将其伪装成关键的防御文档。该链接“hxxps://oshi[.]at/ougg”可能通过垃圾邮件或其他通信渠道传播。

1月17日

Clearview Resources Ltd遭网络攻击，蒙受150万美元损失

加拿大能源生产商 Clearview Resources Ltd 最近披露了一次网络攻击的详细信息，该攻击给该公司造成了 150 万美元的财务损失。Clearview 网络攻击的曝光是在 2023 年 12 月 6 日发布最初的新闻声明之后发布的。

Clearview遭到的网络攻击是通过内部电子邮件地址的泄露而展开的，恶意行为者利用该地址将公司资金重定向到第三方账户。Clearview在 2024 年 1 月发布的新闻声明中解释说：“一个内部电子邮件地址被泄露，并被欺诈者用来将某些公司资金转移到第三方账户，导致 150 万美元的损失。”

1月18日

台湾半导体大厂京鼎遭遇勒索软件攻击

台湾最大的半导体制造商京鼎成为网络攻击的受害者，据称该攻击是由LockBit勒索软件团伙发起的。黑客在京鼎的网站上发布了一条威胁信息，称他们窃取了客户的个人数据，如果该公司拒绝付款，他们将在其暗网网站上发布这些数据。

“请记住，一旦您的数据出现在我们的泄露网站上，您的竞争对手随时可能会购买它，因此请不要犹豫很长时间，”勒索信中写道。黑客声称已经访问了该公司 5 TB 的数据。他们在攻击京鼎时使用的策略对于LockBit来说是非典型的：通常，他们将受害者的姓名发布在勒索网站上，而不是破坏公司的网页。

台湾媒体周三报道称，福克斯半导体在向台湾证券交易所提交的一份声明中表示，在检测到此次攻击后很快就恢复了其网站，目前正在与安全专家合作。京鼎在声明中表示，初步调查显示该事件“不会对公司的运营造成重大影响”。然而，截至美国东部时间周三下午，该公司网站无法访问，而谷歌搜索结果仍然显示黑客的信息。该公司的股价当天在台湾市场下跌了约 3% 。

1月18日

堪萨斯州立大学受到网络攻击，IT网络和服务被破坏

堪萨斯州立大学 (K-State) 宣布正在处理一起网络安全事件，该事件导致某些网络系统中断，包括 VPN、K-State Today 电子邮件以及 Canvas 和 Mediasite 上的视频服务。

周二上午，该大学在其媒体门户网站上宣布，部分 IT 系统出现中断，下午确认是网络攻击造成的。受影响的系统在检测到攻击后立即离线，导致 VPN、电子邮件、Canvas 和 Mediasite 视频、打印、共享驱动器和邮件列表管理服务 (Listservs) 不可用。

该大学在更新中写道：“请放心，我们正在投入大量资源，让相关系统快速安全地恢复在线。此外，我们还聘请了第三方 IT 取证专家来协助我们正在进行的调查工作。”

1月18日

TeamViewer在新的勒索软件攻击中被滥用来破坏网络

勒索软件攻击者再次使用TeamViewer获得对组织端点的初始访问权限，并尝试基于泄露的 LockBit 勒索软件构建器部署加密器。

TeamViewer是一种在企业界广泛使用的合法远程访问工具，因其简单性和功能而受到重视。不幸的是，该工具也受到诈骗者甚至勒索软件攻击者的青睐，他们使用它来访问远程桌面，不受阻碍地删除和执行恶意文件。

类似的案例首次报道于 2016 年 3 月，当时众多受害者在BleepingComputer 论坛上确认，他们的设备遭到利用 TeamViewer 和Surprise勒索软件加密文件的攻击。Huntress的一份新报告显示，网络犯罪分子并没有放弃这些旧技术，仍然通过 TeamViewer 接管设备来尝试部署勒索软件。

1月18日

以色列最大炼油厂Bazan集团遭匿名苏丹袭击

臭名昭著的黑客组织“Anonymous Sudan（匿名苏丹）”声称对Bazan Group（以色列领先的炼油和石化公司，前身为炼油厂有限公司）发动了“大规模”网络攻击。这次网络攻击针对 Bazan Group的数字基础设施，引发了人们对以色列经济强国潜在影响的担忧。

匿名苏丹组织宣布了他们的网络攻击，并发布了一条消息：“我们对以色列最大的炼油和石化公司之一——Bazan Group（前身为 Oil Refineries Ltd）的数字基础设施进行了大规模的网络攻击。”

Bazan Group的一位发言人证实了该行动的暂时中断，并表示：“我们知道此类报道。昨天，我们的连接出现了暂时性的小幅放缓。没有对业务或运营流程造成任何损害。我们始终保持最高的安全标准，并继续保护我们公司的基础设施和资产。”