网络安全资讯周报（01/29- 01/22）

目录/contents

全球动态

美国国家安全局承认在没有授权的情况下购买互联网浏览数据
研究人员对Pawn Storm组织攻击技术进行深入分析

安全事件

能源巨头施耐德电气遭受 Cactus 勒索软件攻击
意大利多个企业受到武器化USB传播加密劫持恶意软件攻击
乌克兰黑客组织针对俄罗斯空间水文气象中心发起攻击
Akira 勒索软件团伙称其从Lush 窃取了 110 GB 数据
乌克兰黑客删除俄罗斯研究中心2 PB 数据
攻击者滥用Microsoft Teams群聊传播DarkGate恶意软件

数据泄露

Keenan & Associates 150 万客户数据遭泄露
梅赛德斯-奔驰意外泄露敏感数据
德克萨斯州医疗提供商遭遇数据泄露影响其390万患者信息

NEWS

Part 1

全球动态

美国国家安全局承认在没有授权的情况下

购买互联网浏览数据

美国参议员罗恩·怀登 (Ron Wyden) 公布的文件证实，美国国家安全局 (NSA) 在没有法院命令的情况下购买美国人的互联网浏览记录。怀登在给国家情报总监艾薇儿·海恩斯 (Avril Haines) 的一封信中表示，“美国政府不应该资助一个黑幕行业并使其合法化，该行业公然侵犯美国人的隐私不仅是不道德的，而且是非法的。”采取措施“确保美国情报机构只购买以合法方式获得的美国人的数据”。有关用户浏览习惯的元数据可能会带来严重的隐私风险，因为这些信息可用于根据个人经常访问的网站收集个人详细信息。美国国家安全局表示，它已经制定了合规制度，并“采取措施尽量减少对美国个人信息的收集”，并“继续仅获取与任务要求相关的最有用的数据”。不过，该机构表示，未经法院命令，它不会购买和使用从美国使用的手机收集的位置数据。它还表示，它不使用从位于该国的车辆的汽车远程信息处理系统获得的位置信息。

原文链接：

https://securityaffairs.com/158277/intelligence/nsa-buys-internet-browsing-records.html

研究人员对Pawn Storm组织攻击技术进行

深入分析

Pawn Storm是一个高级持续性威胁(APT)攻击者，也被称为APT28或 Forest Blizzard，至少从2004年起就开始针对全球高价值实体使用一系列技术。从2022 年 4 月到 2023 年 11 月，Pawn Storm 试图通过不同的方式发起 NTLMv2哈希中继攻击，目标数量出现巨大峰值。该组织的目标位于欧洲、北美、南美、亚洲、非洲和中东多个国家，包括来自政府、国防工业、能源和交通部门等高价值目标。Pawn Storm组织修改受害者邮箱内的文件夹权限，从而增强持久性，并通过从受害者组织内部发送其他恶意电子邮件来进行横向移动。研究人员对该组织技战术 (TTP)进行分析，并在附录中提供IoC列表，帮助防御者检查自身是否已成为攻击目标。

原文链接：https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html

Part 2

安全事件

能源巨头施耐德电气遭受 Cactus 勒索软件

攻击

1月29日，能源管理和自动化巨头施耐德电气遭受了 Cactus 勒索软件攻击，导致公司数据被盗。勒索软件攻击于本月初的 1 月 17 日袭击了该公司的可持续发展业务部门。这次攻击扰乱了施耐德电气的部分资源顾问云平台，该平台至今仍处于中断状态。据报道，勒索软件团伙在网络攻击期间窃取了数 TB 的公司数据，现在威胁该公司，如果不支付赎金，就会泄露被盗的数据。虽然尚不清楚被盗的数据类型，但可持续发展业务部门为企业组织提供咨询服务，就可再生能源解决方案提供建议，并帮助他们满足全球公司复杂的气候监管要求。

原文链接：https://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/

意大利多个企业受到武器化USB传播加密

劫持恶意软件攻击

一个名为UNC4990的威胁行为体，出于经济动机正在利用武器化 USB 设备作为初始感染媒介攻击意大利的多个组织。这些攻击针对多个行业，包括医疗、交通、建筑和物流。UNC4990 操作通常涉及广泛的 USB 感染，然后部署 EMPTYSPACE 下载程序。攻击操作集群依赖 GitHub、Vimeo 和 Ars Technica 等第三方网站来托管编码的附加阶段，并在执行链的早期通过 PowerShell 下载和解码。目前尚不清楚 UNC4990的最终目标，其中在一个案例中部署了开源加密货币挖矿程序。

原文链接：https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware

乌克兰黑客组织针对俄罗斯空间水文气象

中心发起攻击

乌克兰国防部主要情报局声称，亲乌克兰的黑客活动分子侵入了俄罗斯空间水文气象中心（又名“planeta”（планета）），并擦除了 2PB 的数据。Planeta 是一个州立研究中心，利用空间卫星数据和雷达和站等地面资源提供有关天气、气候、自然灾害、极端现象和火山监测的信息和准确预测。该机构隶属于俄罗斯航天局，为军事、民航、农业和海事等部门提供支持。在另一起与国家有关的黑客事件中，乌克兰表示，被称为“BO Team”的网络志愿者成功入侵了 Planeta 的远东分支机构（三个分支机构中最大的一个）。虽然乌克兰政府没有说明他们是否参与了此次攻击，但他们声称黑客摧毁了该研究中心使用的 280 台服务器，其中保存着 2 PB（2000 TB）的数据。

原文链接：https://www.bleepingcomputer.com/news/security/ukraine-hack-wiped-2-petabytes-of-data-from-russian-research-center/

Akira 勒索软件团伙称其从Lush 窃取了

110 GB 数据

Akira 勒索软件团伙声称从英国全球化妆品巨头Lush窃取了 110 GB 数据。据称其中包括护照扫描等“大量个人文件”。Lush 是一家英国化妆品零售商，在全球经营着近 1000 家门店。由于在招聘过程中会定期收集护照扫描件以验证身份，这表明Akira的附属机构可能有权访问包含员工相关数据的系统。据称，与会计、财务、税务、项目和客户有关的公司文件也包含在网络犯罪分子获取的档案中。该团伙尚未分享或发布任何据称属于 Lush 的数据，但该公司已被列入其即将发布的数据之一。

原文链接：https://www.theregister.com/2024/01/26/akira_lush_ransomware/

乌克兰黑客删除俄罗斯研究中心2 PB 数据

乌克兰国防部情报总局透露，亲乌克兰黑客组织“BO Team”擦除了远东空间水文气象科学研究中心“星球”的数据库。俄罗斯中心处理从卫星收到的数据，并向50多个国家实体提供相关产品，包括俄罗斯联邦战争部、总参谋部和国防部各部门。黑客从 280 台服务器中删除了 2 PB 的数据，给该中心的运营造成了严重后果。该事件的影响是毁灭性的，对俄罗斯的制裁在一定程度上加剧了这一影响，这使得硬件和软件的供应变得更加复杂。此次网络攻击还影响了中心大楼的空调和加湿系统以及应急电源。该新闻稿未包含有关此次攻击的技术细节。目前尚不清楚 BO 团队如何侵入俄罗斯机构，以及是否使用恶意软件擦除数据。

原文链接：https://securityaffairs.com/158214/hacktivism/ukraines-ministry-of-defense-hit-russian-recent-center.html

攻击者滥用Microsoft Teams群聊传播

DarkGate恶意软件

新的网络钓鱼攻击滥用 Microsoft Teams 群聊请求来推送恶意附件，在受害者的系统上安装 DarkGate 恶意软件负载。攻击者使用看似受感染的 Teams 用户（或域）发送了 1000 多个恶意 Teams 群聊邀请。目标接受聊天请求后，威胁行为者会诱骗他们使用名为“Navigating Future Changes October 2023.pdf.msi”的双扩展名下载文件，这是一种常见的 DarkGate 策略。安装后，该恶意软件将访问其位于 hgfdytrywq[.]com 的命令和控制服务器，该服务器已确认为 DarkGate 恶意软件基础设施的一部分。

原文链接：https://cybersecurity.att.com/blogs/security-essentials/darkgate-malware-delivered-via-microsoft-teams-detection-and-response

Part 3

数据泄露

Keenan & Associates 150 万客户数据遭

泄露

保险咨询和经纪公司 Keenan & Associates 通知 150 多客户，他们的个人信息在 2023 年 8 月的一次网络攻击中被盗。该公司在其网站上发布的一份通知中说，该事件是在 8 月 27 日发现的，当时公司的一些服务器出现了中断，并在数小时内得到控制。在此期间，攻击者从公司系统中流出了一些数据，包括 Keenan 收到并用于向客户提供服务的个人信息。据该公司称，暴露的个人信息因人而异，但包括姓名、出生日期、社会安全号、驾照号、护照号、医疗保险信息和一般健康信息，泄露事件影响了1509616 人。

原文链接：

https://www.securityweek.com/1-5-million-affected-by-data-breach-at-insurance-broker-keenan-associates/

梅赛德斯-奔驰意外泄露敏感数据

2023 年 9 月 29 日，研究人员在属于梅赛德斯-奔驰员工的公共存储库中发现了 GitHub 令牌，该令牌可以访问公司内部的 GitHub Enterprise Server。GitHub 令牌可以对托管在内部 GitHub Enterprise Server 上的整个源代码进行‘不受限制’和‘不受监控’的访问。该事件暴露了包含大量知识产权的敏感存储库，泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他关键内部信息。

原文链接：

https://redhuntlabs.com/blog/mercedes-benz-source-code-at-risk-github-token-mishap-sparks-major-security-concerns/

德克萨斯州医疗提供商遭遇数据泄露影响

其390万患者信息

德克萨斯州一家物理和职业治疗提供商Concentra Health Services 于 1 月 9 日向美国卫生与公众服务部报告称，2023 年Perry Johnson & Associates(PJ&A) 遭受的黑客攻击已影响其390万患者。Concentra Health Services是医疗转录公司PJ&A的客户之一，PJ&A遭受的攻击后来成为 2023 年美国卫生部门最大的数据泄露事件。虽然 PJ&A 尚未公开列出所有受此次黑客攻击影响的客户，但 Concentra 与其他一些受影响的实体一样，已向 HHS OCR 提交了自己的违规报告，与 PJ&A 提交的报告分开。考虑到各个客户自行向 HHS OCR 提交的单独违规报告，医疗记录员尚未透露受黑客攻击影响的总人数。但到目前为止，这个总数似乎至少有 1400 万人。

原文链接：

https://www.pjats.com/downloads/Notice.pdf