网络安全资讯周报（03/11- 03/15）

• 日产大洋洲数据泄露影响约 10 万人 

• 宏碁菲律宾公司第三方供应商遭黑客攻击数据泄露 

• 法国政府机构数据泄露影响 4300 万人 

• Equilend 员工数据被勒索软件团伙窃取 

• 电动车充电公司Qmerit服务器泄露用户信息 

网络上的扫描显示，大约150000台Fortinet的FortiOS和FortiProxy安全网关系统易受CVE-2024-21762严重安全漏洞的威胁，该漏洞允许未经认证执行代码。上月，美国网络防御机构CISA确认，攻击者正积极利用该漏洞，并将其添加到已知被利用漏洞(KEV)目录中。几乎在Fortinet解决CVE-2024-21762漏洞一个月后，研究人员宣布，他们发现了近15万台有漏洞的设备。远程攻击者可通过向脆弱机器发送特制的HTTP请求来利用CVE-2024-21762漏洞(NIST评分为9.8严重性)。根据研究人员的数据，美国有逾24000台设备易受攻击，其次是印度、巴西和加拿大。目前关于积极利用CVE-2024-21762的威胁行动者的详细信息还很有限，公共平台上没有显示此类活动，或者漏洞在由更复杂的对手选择性攻击中被利用。

原文链接：

https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may-impact-150-000-exposed-devices/

澳大利亚网络与基础设施安全中心（CISC）周一发布了最新指导材料，旨在加强国家重要系统（SoNS）的网络安全措施，这些系统代表了澳大利亚最关键的基础设施资产。指导材料包括对 SoNS 履行事件响应规划义务的具体指导，以及履行网络安全演习义务的详细指南。该指南将作为加强其重要基础设施应对网络威胁的复原力和安全性而持续努力的一部分。根据《关键基础设施安全（SOCI）法案》，SoNS可能需要履行一项或多项强化网络安全义务，目的是确保关键基础设施实体制定行之有效的计划，以应对和减轻网络攻击。

原文链接：https://industrialcyber.co/threats-attacks/australias-cisc-releases-updated-cybersecurity-guidance-for-systems-of-national-significance/

原文链接：https://www.infosecurity-magazine.com/news/nsa-top-10-cloud-security/

研究人员在 2024 年 1 月中旬发现了一次DarkGate活动，该活动使用虚假软件安装程序利用了 Windows 零日漏洞CVE-2024-21412。CVE-2024-21412  （CVSS 评分 8.1）是一个 Internet 快捷方式文件安全功能绕过漏洞。未经身份验证的攻击者可以通过向受害者发送旨在绕过显示的安全检查的特制文件来触发该缺陷。攻击者必须诱骗受害者点击文件链接。在活动中，威胁行为者使用了包含 Google DoubleClick Digital Marketing (DDM) 开放重定向的 PDF 文档诱饵。受害者被重定向到托管 Microsoft Windows SmartScreen 绕过漏洞 CVE-2024-21412 漏洞的受感染网站，该漏洞可导致恶意 Microsoft (.MSI) 安装程序。微软已于今年二月中旬修复了该漏洞，但据趋势科技披露，Water Hydra黑客组织曾利用该漏洞将DarkMe恶意软件投放到交易商的系统中。

原文链接：https://securityaffairs.com/160457/malware/recent-darkgate-campaign-exploited-microsoft-zero-day.html

3月9日，臭名昭著的黑客IntelBroker声称对最近发生的一起数据泄露事件负责，据称该事件的目标是位于弗吉尼亚州雷斯顿的联邦承包商 Acuity Inc.。此次泄露导致美国两个著名政府实体的敏感数据和文件被盗：美国移民和海关执法局 (ICE) 以及美国公民和移民服务局 (USCIS)。，Acuity Inc . 是一家联邦技术咨询公司，总部位于弗吉尼亚州雷斯顿。他们为联邦机构，特别是那些专注于国家安全和公共安全的机构提供深厚的行业专业知识。该公司表示，他们的核心使命是帮助这些机构规划未来，提高为公民服务的能力，并通过创新的技术解决方案和经过验证的管理技术提供可衡量的成果。据悉，被盗数据目前正在论坛上以仅 3,000 美元的门罗币 (XMR) 加密货币出售。

原文链接：

https://www.hackread.com/hacker-breach-federal-contractor-acuity-ice-uscis-data/

总理加布里埃尔·阿塔尔办公室于3月12日发布声明，自 3 月 10 日晚以来，法国多个国家机构遭受了‘前所未有的强度’的网络攻击。受影响的实体包括该国的一些部级服务机构，该声明指出，针对“强烈”攻击的对策已经开始，但没有具体说明是否仅面向公众的网站受到影响。声明称：“这些攻击对大多数服务的影响已经减少，对国家网站的访问也已恢复。” 虽然有关该事件的更多细节尚未得到证实，但怀疑这些入侵是分布式拒绝服务攻击（DDoS）。尽管 DDoS 攻击不具备数据外渗能力，但它一直是黑客组织的主要攻击手段，尤其是在俄罗斯和乌克兰持续交战的情况下。法国尚未指明攻击背后的具体威胁行为体。

原文链接：https://www.scmagazine.com/brief/unprecedented-cyberattacks-hit-french-government-agencies

微软透露，在 2024 年 1 月曝光的一次黑客攻击之后，俄罗斯黑客组织APT29 访问了其部分源代码存储库和内部系统，但迄今为止，尚未发现有任何证据表明微软托管的面向客户的系统已受到损害。2024 年 1 月 12 日，微软发现俄罗斯黑客于 2023 年 11 月入侵了其系统，并窃取了其领导层、网络安全和法律团队的电子邮件。据称，黑客采用密码喷射攻击成功渗透到未启用多因素身份验证 （MFA） 的旧版非生产测试租户帐户。

原文链接：https://thehackernews.com/2024/03/microsoft-confirms-russian-hackers.html

黑客组织Magnet Goblin出于经济动机，正在迅速将1day安全漏洞纳入其武器库，以便伺机破坏边缘设备和面向公众的服务，并在受感染的主机上部署恶意软件。对手发起的攻击利用未修补的 Ivanti Connect Secure VPN、Magento、Qlik Sense 以及可能的 Apache ActiveMQ 服务器作为初始感染媒介来获得未经授权的访问。据称该组织至少自 2022 年 1 月起就一直活跃。成功利用此漏洞后，会部署一个名为 Nerbian RAT 的跨平台远程访问木马 (RAT)，该木马由 Proofpoint 于 2022 年 5 月首次披露，其简化变种为 MiniNerbian。Darktrace之前曾强调过 Linux 版本 Nerbian RAT 的使用。这两种病毒都允许执行从命令与控制 (C2) 服务器接收的任意命令，并泄露返回给它的结果。Magnet Goblin 使用的其他一些工具包括WARPWIRE JavaScript 凭证窃取程序、基于 Go 的隧道软件 Ligolo，以及合法的远程桌面产品（例如 AnyDesk 和 ScreenConnect）。 

原文链接：https://thehackernews.com/2024/03/magnet-goblin-hacker-group-leveraging-1.html

BianLian勒索软件团伙正在利用TeamCity服务器中的漏洞(CVE-2024-27198或CVE-2023-42793)获取了对目标环境的初始访问权BianLian 勒索软件于 2022 年 8 月出现，该恶意软件被用来攻击各个行业的组织，包括制造、媒体和娱乐以及医疗保健。2023年1月，研究人员发布了一个免费的BianLian勒索软件解密工具以帮助受害者恢复被锁定的文件。在此次攻击中，攻击者在受影响的服务器上创建了新用户，并执行了恶意命令进行后期开发和横向移动。攻击者随后在目标环境中发现了两台构建服务器，以此为基础在受害者组织中扩大了攻击范围并进一步进行了开发。研究人员注意到，BianLian团伙在多次尝试执行其定制的GO后门不成功后，转而采用了活在地上(living off the land)的策略，并利用了PowerShell实现的后门。尽管这个PowerShell后门被混淆了，但并没有采用任何新颖的技术来避免被检测或防止恶意软件被分析。

原文链接：https://securityaffairs.com/160357/hacking/bianlian-group-ttack-jetbrains-teamcity.html

跨国汽车制造商日产大洋洲地区分部于 2023 年 12 月宣布遭受网络攻击，并对事件展开调查。但当时该公司没有透露攻击的细节或范围，几周后，Akira 勒索软件组织声称从该公司窃取了 100 GB 的信息。日产拒绝支付赎金，网络犯罪团伙于是公布了据称被盗的文件。该公司于近日开始通知受影响的个人。该公司补充说，数据泄露影响了一些日产客户、经销商以及现任和前任员工。此次数据泄露还影响了三菱、雷诺、Skyline、英菲尼迪、LDV 和 RAM 品牌金融业务的客户，涉及近10万人。每个人所涉及的信息类型都会有所不同。目前估计，多达 10% 的个人的政府身份认证的身份信息遭到泄露。该数据集包括大约 4000 张医疗保险卡、7500 张驾照、220 本护照和 1300 个税号。其余的90% 则是一些其他个人信息遭到泄露，包括贷款账户的贷款相关交易报表副本、就业或工资信息或出生日期等一般信息。

原文链接：

https://securityaffairs.com/160458/data-breach/nissan-oceania-data-breach-impacted-100000-people.html

宏碁菲律宾公司证实，其员工数据在针对第三方服务提供商的攻击中遭到泄露。被黑客攻击的第三方公司管理着宏碁员工的考勤数据。使用化名ph1ns的威胁行为者在一个黑客论坛上泄露了被盗的数据，并声称这些数据来自宏碁公司的人力资源部门。ph1ns在论坛上发布了一个含有被盗数据的数据库的链接，但并未部署任何勒索软件。他们还强调，并未对公司进行敲诈，而是抹除了受损系统上的数据。对此，宏碁公司表示只有一小部分员工受到影响，客户数据未受到泄露。

原文链接：

https://securityaffairs.com/160432/data-breach/acer-philippines-data-breach.html

法国政府机构France Travail系统遭黑客入侵，导致数据泄露。France Travail 是法国政府机构，负责登记失业人员、提供经济援助并协助他们寻找工作。该机构透露，黑客在 2 月 6 日至 3 月 5 日期间的一次网络攻击中窃取了过去 20 年来在该机构注册的求职者的详细信息。求职者个人资料的个人数据也被曝光。France Travail 已通知该国数据保护机构国家信息和自由委员会 (CNIL)，该机构表示多达 4300 万人 可能受到影响。

原文链接：

https://www.bleepingcomputer.com/news/security/french-unemployment-agency-data-breach-impacts-43-million-people/

总部位于纽约的证券借贷平台 EquiLend Holdings 在发给员工的数据泄露通知信中证实，他们的数据在 1 月份的勒索软件攻击中被盗。该公司曾于 1 月 24 日向媒体披露，其被迫在1月22日关闭部分系统，以控制漏洞。虽然 Equilend 没有立即披露事件的性质，但 LockBit 勒索软件在给彭博社的一份声明中声称对此次攻击负责。尽管这家金融科技公司没有证实 LockBit 的说法，但它于2月2日通过一个专门页面透露了有关该事件的更多信息，称1月份的泄露是由勒索软件攻击造成的。

原文链接：https://www.bleepingcomputer.com/news/security/equilend-warns-employees-their-data-was-stolen-by-ransomware-gang/

研究人员发现了一个未设置密码保护的数据库，其中包含超过五十万条记录，包括一个美国知名电动车服务提供商的敏感用户信息和发票记录。暴露的数据库大小总计 585.81 GB，包含大量文件，例如工作发票、价格建议、电力许可证和调查，以及客户提交的信息，包括其房屋图像和充电器位置详细信息。经调查，研究人员确定这些数据属于一家总部位于德克萨斯州的公司Qmerit，该公司自2016年开始专门从事电动车充电基础设施安装和维护。研究人员披露这一安全漏洞后，Qmerit迅速采取行动确保暴露的数据安全，并启动内部调查。针对此事，Qmeri强调公司致力于安全为先，并作出保护个人可识别信息(PII)的承诺。然而，数据暴露的持续时间和潜在的未授权访问尚不确定，需要通过内部审计进一步审查。

原文链接：https://www.hackread.com/ev-charging-firm-spills-trove-of-customer-info/