网络安全资讯周报（01/15 - 01/19）

• FNF的130万客户信息已在2023年勒索软件攻击中泄露 

• 勒索软件团伙公开瑞典最大的连锁超市Coop的泄露数据 

• 抵押贷款机构Academy Mortgage）遭遇数据泄露 

• 美国医疗保健提供商Singing River Health System证实遭遇数据泄露 

据Cloudflare《2023 年第四季度 DDoS 威胁趋势报告》称，环境服务行业遭遇了基于 HTTP 的分布式拒绝服务 (DDoS) 攻击的激增，占其所有 HTTP 流量的一半。这标志着 DDoS 攻击流量同比增长 61839%。网络攻击的激增恰逢2023 年 11 月 30 日至 12 月 12 日举行的COP 28会议”，研究人员将其描述为“网络威胁形势中令人不安的趋势”。针对环境服务网站的 HTTP 攻击的增加是过去几年每年观察到的更大趋势的一部分，特别是在 COP 26 和 COP 27 以及其他联合国环境相关决议或公告期间。研究人员说表示：“这种反复出现的模式凸显了环境问题与网络安全之间日益增长的交集，而在数字时代，这种交集正日益成为攻击者的焦点。”

原文链接：https://thehackernews.com/2024/01/ddos-attacks-on-environmental-services.html

自 2023 年 2 月在暗网上首次出现专门的数据泄露网站以来，与Medusa 勒索软件相关的威胁行为者加大了活动力度，以发布不愿同意其要求的受害者的敏感数据。作为多重勒索策略的一部分，当受害者的数据发布在泄露网站上时，该组织将为受害者提供多种选择，例如延长时间、删除数据或下载所有数据。所有这些选项都有一个价格标签，具体取决于受该群体影响的组织。Medusa是指 2022 年底出现、并于 2023 年盛行的勒索软件家族。它伺机攻击高科技、教育、制造、医疗保健和零售等广泛行业。据估计，2023 年将有多达 74 个组织受到勒索软件的影响，其中大部分位于美国、英国、法国、意大利、西班牙和印度。

原文链接：https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/

影响 Ivanti Connect Secure VPN 和 Policy Secure 网络访问控制 (NAC) 设备的两个零日漏洞现已被大规模利用。威胁情报公司Volexity发现，从1月11日开始，多个威胁组织在大范围攻击中利用CVE-2023-46805 和 CVE-2024-21887绕过身份验证并向易受攻击的系统注入任意命令。据悉，受害者分布在全球各地，规模差异很大，从小型企业到世界上一些最大的组织，其中包括多个垂直行业的多家财富 500 强公司。”

原文链接：https://www.bleepingcomputer.com/news/security/ivanti-connect-secure-zero-days-now-under-mass-exploitation/

网络安全公司、谷歌子公司Mandiant的 X（前身为 Twitter）账户上周遭到入侵，很可能是“暴力密码攻击”的结果，该攻击归咎于 Drainer-as-a-Service (DaaS) 组织。该公司表示，通常情况下，双因素身份验证可以缓解这种情况，但由于一些团队的过渡和X 2FA 政策的变化，账户没有得到充分的保护。此次攻击发生于 2023 年 1 月 3 日，攻击者能够控制该公司的 X 帐户，并分发指向钓鱼页面的链接，该钓鱼页面托管着被追踪为 CLINKSINK 的加密货币消耗者。据 Google 旗下子公司称，自 2023 年 12 月以来，据信多个威胁行为者利用 CLINKSINK 窃取 Solana (SOL) 加密货币用户的资金和代币。

原文链接：https://www.bleepingcomputer.com/news/security/mandiants-x-account-hacked-by-crypto-drainer-as-a-service-gang/

据观察，与俄罗斯有联系的APT组织ColdRiver 正在不断改进技术，已不仅仅局限于收集凭证，而是首次使用 Rust 编程语言编写了定制恶意软件。据谷歌的威胁分析组（TAG）分享了最新活动的细节，表示这些攻击链利用冒充账户发送的PDF文档作为诱饵，触发感染序列。该攻击活动旨在与潜在受害者接触、建立信任，最终目的是分享虚假的登录页面，以窃取他们的凭据并获取对帐户的访问权限。ColdRiver APT（又名“Seaborgium”、“Callisto”、“Star Blizzard”、“TA446”）是一个俄罗斯网络间谍组织，至少自 2015 年以来一直以政府官员、军事人员、记者和智囊团为目标。

原文链接：

https://thehackernews.com/2024/01/russian-coldriver-hackers-expand-beyond.html

Tura Scandinavia AB 已成为 LockBit 勒索软件组织的目标。Tura Scandinavia AB 是一家北欧公司，专门经销消费电子领域的配件，尤其是音频和视频领域的配件。LockBit 勒索软件组织在暗网上公布了该公司的敏感信息，包括声称可以完全访问 Tura Scandinavia AB 的公司网络、登录凭证和各种服务的密码。LockBit 组织声称，这次攻击之所以成功，是因为 Tura Scandinavia 的网络存在多个安全漏洞，如缺乏监控系统、防病毒程序和防火墙。他们声称，该公司未能解决这些漏洞并拒绝满足他们的要求，导致他们决定出售被入侵网络的访问权限。

原文链接：https://www.beyondmachines.net/event_details/lockbit-claims-attack-on-tura-scandinavia-ab-y-c-q-t-s

SonicWall 下一代防火墙 (NGFW) 系列 6 和 7 设备受到两个未经身份验证的拒绝服务漏洞的影响，分别为CVE-2022-22274 和 CVE-2023-0656，这可能会导致远程代码执行。尽管针对CVE-2023-0656缺陷的概念验证利用已公开发布，但供应商并不知道利用这些漏洞进行的野外攻击。Bishop Fox 的研究人员使用 BinaryEdge 源数据找到了暴露于互联网的管理界面的 SonicWall 防火墙。专家发现，76%（233,984 个中的 178,637 个）面向互联网的防火墙容易受到一个或两个问题的影响。专家指出，这两个问题本质上是相同的，但由于重用了易受攻击的代码模式，因此可以在不同的 HTTP URI 路径上利用。研究人员还开发了一个测试脚本，可以在不导致设备崩溃的情况下确定设备是否容易受到攻击。这意味着大规模攻击的影响可能很严重。

原文链接：https://securityaffairs.com/157524/hacking/vulnerable-sonicwall-ngfw-exposed-online.html

自 2023 年 11 月以来，在比利时、法国、加沙、以色列、英国和美国的大学和研究机构从事中东事务的知名人士已成为一个名为“Mint Sandstorm”的伊朗网络间谍组织的攻击目标。据Microsoft威胁情报团队的一份分析表示，该组织使用定制的网络钓鱼诱饵，试图通过社会工程手段让目标下载恶意文件。在某些情况下，这些攻击涉及使用一种以前没有记录的后门（被称为 MediaPl），这表明该组织正在努力完善其入侵后的技术。Mint Sandstorm 又名 APT35、Charming Kitten、TA453 和 Yellow Garuda，以其擅长的社交工程活动而闻名。据评估，该组织隶属于伊朗伊斯兰革命卫队（IRGC）。

原文链接：https://thehackernews.com/2024/01/iranian-hackers-masquerades-as.html

台湾鸿海集团旗下半导体设备大厂京鼎精密科技公司遭到勒索软件攻击。据称该攻击是由臭名昭著的 LockBit 勒索软件团伙发起的。黑客在该公司的网站上发布了一条威胁信息，称其已访问该公司5 TB的数据。如果该公司拒绝付款，他们将在其暗网网站上发布个人数据。据悉，该公司在向台湾证券交易所提交的一份声明中表示，在检测到该事件后很快就恢复了其网站攻击，目前正在与安全专家合作。该公司目前没有透露有关黑客索要赎金的任何信息，且尚未确认其客户或员工的任何个人信息是否被泄露。

原文链接：https://therecord.media/foxsemicon-ransomware-attack-taiwan?&web_view=true

富达国民金融公司（Fidelity National Financial ，FNF) 透露，大约 130 万客户的数据可能在 2023 年遭受的勒索软件攻击中遭到泄露。该公司为房地产和抵押贷款行业提供产权保险服务，在 2024 年 1 月 9 日更新的文件中向美国证券交易委员会 (SEC) 通报了可能受影响的消费者数量。该事件于 2023 年 11 月首次披露，并迫使 FNF 关闭某些系统，导致其业务运营中断。ALPHV/BlackCat 勒索软件组织随后声称对此次攻击负责，并宣布 FNF 已被纳入其泄露网站。FNF 表示，已通知大约 130 万可能受影响的消费者，并正在为他们提供信用监控、网络监控和身份盗窃恢复服务。它还继续与执法部门、监管机构和其他利益相关者进行协调。该公司表示，没有证据表明任何客户拥有的系统在该事件中受到直接影响，也没有收到任何客户报告表明发生了这种情况。

原文链接：https://www.infosecurity-magazine.com/news/fnf-customers-data-ransomware/

勒索软件团伙Cactus称，在显然未能达成协议后，它已发布了与瑞典最大的连锁超市Coop 有关的16.7万人的数据。1月2日，媒体报道称，Cactus勒索软件团伙已经黑入侵Coop，并威胁要公开大量个人信息，超过2万个目录。1 月 18 日，Cactus的专用泄密网站上的更新称，它已经发布了全部数据，共 257GB 。据悉，暴露的数据包括社会安全号码、实际地址、电子邮件和电话号码。

原文链接：

https://cybernews.com/news/167k-people-exposed-in-sweden-coop-data-leak/

美国抵押贷款机构Academy Mortgage披露，该公司受到的攻击可能暴露了个人详细信息。Academy Mortgage 在美国经营着 200 多家分支机构，2022 年的营业收入达到 16 亿美元。2023年3月下旬，该公司遭到了攻击。根据 Academy Mortgage 向缅因州检察官办公室提供的信息，该公司的 284,443 名现任和前任员工，以及客户、他们的配偶或家属，可能受到该攻击事件的影响，被泄露的信息包姓名括及他们的社会安全号码。

原文链接：

https://cybernews.com/news/academy-mortgage-breach-exposes-285k-people/

美国医疗保健提供商Singing River Health System已确认，253,000 名患者的 PHI 在 2023 年 8 月的勒索软件攻击中遭到泄露。  2023 年 8 月 ，Singing River Health System 遭遇勒索软件攻击，导致其 IT 系统（包括电子病历系统）瘫痪数日。Rhysida 勒索软件组织声称对此次攻击负责。据调查，泄露的信息可能包括患者的姓名、出生日期、地址、社会安全号码、医疗信息和健康信息。目前尚未有证据表这些信息信息被用于身份盗用或欺诈。

原文链接：https://cybernews.com/news/singing-river-breach-exposes-healthcare-data/