每周安全速递²⁸⁰|密歇根大学遭黑客窃取员工和学生数据

第280期

本周热点事件威胁情报

密歇根大学遭黑客窃取员工和学生数据

2023年8月，密歇根大学的网络系统遭到了黑客的入侵，导致包括学生、申请者、校友、捐赠者、员工、病人和研究参与者在内的多个群体的个人、财务和医疗信息被泄露。黑客对服务器的非法访问持续了从8月23日到27日的四天时间，大学方面在一周后发现并披露了这一事件，并强制所有账户重置密码。大学还关闭了所有系统和在线服务，以防止进一步的损失。目前，大学正在与联邦调查局(FBI)合作，调查此次网络攻击的来源和影响，并为可能受到影响的个人提供免费的信用监控服务。该教育机构是美国历史最悠久、规模最大的教育机构之一，拥有超过30000名学术和行政人员以及约51000名学生。

参考链接：

https://publicaffairs.vpcomm.umich.edu/key-issues/august-2023-data-incident/

美国家庭保险公司遭受网络攻击，部分IT系统关闭

美国家庭保险公司(AmFam)是一家专注于商业和个人财产、责任、汽车和人寿保险，以及提供投资和退休规划的保险公司。该公司拥有13000名员工，2022年的收入为144亿美元。本周早些时候，该公司确认遭受了网络攻击，并关闭了部分IT系统，以防止攻击的扩散。这导致了客户报告的网站中断。客户无法在线支付账单或提交索赔，只能通过电话联系公司。该公司表示，他们正在调查这次事件，并没有发现任何关键的业务或客户数据处理或存储系统被泄露。

参考链接：

https://www.bleepingcomputer.com/news/security/american-family-insurance-confirms-cyberattack-is-behind-it-outages/

Citrix和VMware漏洞的PoC公开

Citrix和VMware两家虚拟化服务提供商近日发布了针对其产品中存在的高危安全漏洞的修复补丁，并警告用户尽快更新，以防止黑客利用。这些漏洞分别是Citrix NetScaler ADC和NetScaler Gateway中的CVE-2023-4966，以及VMware Aria Operations for Logs中的CVE-2023-34051。这两个漏洞都涉及到身份验证绕过，可能导致远程代码执行。已经有证据表明，这些漏洞已经被黑客利用，进行会话劫持、数据窃取等攻击。而且，这些漏洞的PoC利用代码也已经被公开，增加了被攻击的风险。Citrix和VMware都建议用户尽快更新到最新版本，以消除这些漏洞。此外，用户还应该终止所有活动会话，以防止黑客利用之前窃取的会话数据。

参考链接：

https://www.horizon3.ai/vmware-aria-operations-for-logs-cve-2023-34051-technical-deep-dive-and-iocs/

BlackCat勒索软件使用新策略进行隐蔽攻击

BlackCat(也称ALPHV)勒索软件团伙最近使用了一种新的名为“Munchkin”的Linux虚拟机，来加强其攻击的隐蔽性和持久性。Munchkin是一个定制的Alpine OS Linux发行版，以ISO文件的形式提供。在入侵设备后，威胁行为者安装VirtualBox，并使用Munchkin ISO文件创建一个新的虚拟机。然后，在虚拟机中执行恶意代码，对受害者的系统进行加密和破坏。BlackCat勒索软件最初于2021年11月被发现，是一种基于RansomEXX的变种。它主要针对政府、教育、医疗、能源和制造等行业的组织。它使用了多种技术来避免被检测和分析，如删除阴影卷、禁用恢复模式、清除事件日志、杀死安全进程等。

参考链接：

https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/