安全简讯（2024.03.21）

1. 网络攻击导致彭萨科拉市政府电话线路瘫痪

3月20日，佛罗里达州彭萨科拉市政府正在处理因上周末宣布的网络攻击而造成的大范围电话中断问题。市政府发言人贾森·惠勒 (Jason Wheeler) 告诉 Recorded Future News，市政府各个部门的官员都遇到了电话问题，导致 311 公民支持系统接收服务出现延误。911 等紧急电话号码仍在使用，惠勒表示，可以使用非紧急电话号码联系彭萨科拉警察局和消防局。该市还为能源部门、卫生部门、公共工程、工程、住房和其他部门创建了备用电话号码。《彭萨科拉新闻日报》称惠勒向他们通报了网络攻击，并重申警察和消防等紧急服务并未受到停电影响。彭萨科拉位于佛罗里达州和阿拉巴马州交界处，距莫比尔约一小时车程，拥有超过 53,000 名居民。该市此前曾遭遇过勒索软件攻击，在 2019 年的一次事件中曾与来自 Maze 勒索软件团伙的黑客打交道。据《彭萨科拉新闻杂志》报道，该团伙窃取了 2GB 数据，但市政府拒绝支付赎金，而是花费了约 30 万美元从事件中恢复过来。该市被迫通知超过 57000 人，他们的信息在袭击期间被盗取。

https://therecord.media/cyberattack-pensacola-florida-knocks-out-phones?&web_view=true

2. 白宫和环保局警告黑客可能攻击供水系统

3月19日，美国国家安全顾问杰克·沙利文和环境保护局 (EPA) 局长迈克尔·里根今天警告州长们，黑客正在攻击全国水务部门的关键基础设施。在周二发送的一封联合信中，他们请求州长们提供支持，以确保各州的供水系统得到充分防御，免受网络攻击，并且在遭到破坏时能够恢复。国家安全委员会 (NSC) 和环境保护局 (EPA) 邀请州长们参加 3 月 21 日的虚拟会议，以加强政府实体和水系统之间的合作，并建立水部门网络安全工作组。该工作组将负责确定可在全国范围内实施的行动和战略，以尽量减少供水系统遭受网络攻击的风险。近几个月来，多个威胁组织都瞄准并破坏了美国的供水系统。IRGC 附属威胁行为者渗透了宾夕法尼亚州的供水设施，而 Volt Typhoon 黑客则入侵了关键基础设施组织的网络，包括饮用水系统。

https://www.bleepingcomputer.com/news/security/white-house-and-epa-warn-of-hackers-breaching-water-systems/

3. 新的钓鱼攻击利用 Office 部署 NetSupport RAT

3月19日，一项新的网络钓鱼活动针对美国，旨在部署名为 NetSupport RAT 的远程访问木马。以色列网络安全公司 Perception Point 正在追踪名为“Operation PhantomBlu”的活动。PhantomBlu 操作引入了一种微妙的利用方法，与 NetSupport RAT 的典型交付机制不同，它利用 OLE（对象链接和嵌入）模板操作，利用 Microsoft Office 文档模板执行恶意代码，同时逃避检测。NetSupport RAT 是合法远程桌面工具（称为 NetSupport Manager）的恶意分支，允许威胁参与者在受感染的端点上执行一系列数据收集操作。起点是一封以薪资为主题的网络钓鱼电子邮件，该电子邮件声称来自会计部门，并敦促收件人打开随附的 Microsoft Word 文档以查看“月度薪资报告”。对电子邮件标头（尤其是 Return-Path 和 Message-ID 字段）的仔细分析表明，攻击者使用名为 Brevo（以前称为 Sendinblue）的合法电子邮件营销平台来发送电子邮件。Word 文档打开后，会指示受害者输入电子邮件正文中提供的密码并启用编辑，然后双击文档中嵌入的打印机图标以查看工资图表。

https://thehackernews.com/2024/03/new-phishing-attack-uses-clever.html

4. 法国最Travail重大安全漏洞泄露超过 4300 万个人信息

3月13日，据报道，该公司成为数据泄露的受害者，该事件暴露了注册用户的个人详细信息，包括姓名、社会安全号码、出生日期、电子邮件地址、邮政地址、电话号码和用户标识符。这一事件影响了该国约三分之二的人口，引发了人们对欺诈和身份盗窃风险的担忧。发现这一事件后，该机构立即通知法国国家信息与自由委员会（CNIL）并向警方报案，启动正式调查。初步调查结果显示，犯罪者于 2 月 6 日冒充一名员工，未经授权访问了该机构的系统。尽管该机构强调银行信息和账户密码并未被盗，但 CNIL 警告称，犯罪分子可能会利用披露的数据从其他来源收集更多信息。因此，建议公民对潜在的网络钓鱼、欺诈和身份盗窃保持警惕。该委员会还透露，此次数据泄露可能会影响过去 20 年来的现任和前任求职者。据 CNIL 称，所有受影响的用户都将收到单独通知。此外，鼓励所有受害者向巴黎检察官办公室提出申诉，以协助调查。

https://meterpreter.org/france-travail-breach-compromises-data-of-millions/

5. 数百个网站错误配置 Firebase 泄露超过 1.25 亿条用户记录

3月19日，这一切都始于Chattr 的黑客攻击，这是一个为美国多个组织提供服务的人工智能招聘系统，其中包括 Applebee's、Chick-fil-A、KFC、Subway、Taco Bell 和 Wendy's 等快餐连锁店。Chattr 的Firebase实施中的一个弱点使得研究人员能够通过注册新用户来获得数据库的完全权限。他们获得了姓名、电话号码、电子邮件地址、某些帐户的明文密码、机密消息等的访问权限。研究人员表示，受影响的个人包括员工、特许经营经理和求职者。通过创建新的管理帐户，研究人员可以访问管理仪表板，这提供了对系统的更多访问权限，包括退款选项。还发现了一种额外的“幽灵”模式，提供对账单信息的访问、对用户帐户的完全控制以及雇用人员的选项。

https://www.securityweek.com/misconfigured-firebase-instances-expose-125-million-user-records/

6. 超过 13万台 Fortinet 设备易受到 CVE-2024-21762 的影响

3月19日，尽管漏洞补丁已经更新，但暴露在公共互联网上且易受 FortiOS 一个月前严重安全漏洞影响的 Fortinet 盒子数量仍然非常高。根据安全非营利组织 Shadowserver 的最新数据，易受 CVE-2024-21762 影响的 Fortinet 设备数量超过 133000 台，仅比十天前的 150000 多台略有下降。数量最多的是亚洲，有 54310 台设备仍然容易受到严重 RCE 漏洞的影响。北美和欧洲分别以 34945 和 28058 占据第二和第三位，其余为南美洲、非洲和大洋洲。暴露的 SSL VPN 的数量说明了该关键漏洞的广泛攻击面，并且已知该漏洞已被积极利用。

https://www.theregister.com/2024/03/18/more_than_133000_fortinet_appliances/?&web_view=true