网络安全资讯周报（03/25- 03/29）

• 美国医疗保险公司Harvard Pilgrim更新数据泄露总数接近 290 万次 

• INC勒索软件团伙攻击苏格兰NHS并窃取3TB数据 

• “恶意代码”导致美国内华达州南部卫生区网站数据泄露 

• 数百万巴基斯坦公民的数据被泄露 

根据 Flashpoint 的2024 年全球威胁情报报告， 2023 年报告的数据泄露事件增加了 34.5%，全年超过 170 亿条个人记录遭到泄露。在记录的6077 起公开报告的数据泄露事件，其中包括姓名、社会安全号码和财务数据等敏感信息。其中超过 70% 的事件是由来自受影响组织外部的未经授权的访问造成的。研究人员还观察到，与去年同期相比，2024 年前两个月被盗或泄露的个人数据激增 429%，有 18970 亿条个人记录和凭证遭到泄露。2023 年，美国占全球数据泄露事件的大部分（60%），报告事件为 3804 起。与 2022 年相比，增长了 19.8%。

原文链接：

https://www.infosecurity-magazine.com/news/personal-records-exposed-data

德国当局于3月24日宣布取缔一个名为Nemesis Market的非法地下市场，该市场兜售毒品、被盗数据和各种网络犯罪服务。联邦刑事警察局（又名 Bundeskriminalamt 或 BKA）表示，它查获了位于德国和立陶宛的与暗网服务相关的数字基础设施，并没收了 94,000 欧元（102,107 美元）的加密货币资产。此次行动是与德国、立陶宛和美国的执法机构合作进行的，于 2022 年 10 月开始进行广泛调查后，于 2024 年 3 月 20 日进行。Nemesis Market 成立于 2021 年，估计在关闭之前拥有来自世界各地的超过 150,000 个用户帐户和 1,100 个卖家帐户。近 20 美元的卖家账户来自德国。近几个月来，德国当局还取缔了Kingdom Market和Crimemarket，这两个网站都拥有数千名用户，并提供广泛的洗钱和网络犯罪服务。

原文链接：https://securityaffairs.com/160664/uncategorized/aviation-and-aerospace-sectors-cyber-threats.html

美国政府为公共部门实体发布了新的分布式拒绝服务 (DDoS) 攻击指南，以帮助防止关键服务中断。该文件旨在作为综合资源，解决联邦、州和地方政府机构在防御 DDoS 攻击方面面临的具体需求和挑战。该通报指出，DDoS 攻击是指大量受感染的计算机向目标系统发送大量流量或请求，导致用户无法使用该攻击，这种攻击很难追踪和阻止。这种媒介通常被出于政治动机的攻击者使用，包括黑客活动分子和民族国家团体，政府网站经常成为攻击目标。例如，自 2022 年 2 月克里姆林宫入侵该国以来，与俄罗斯和乌克兰有关的黑客经常使用 DDoS 攻击对方政府网站。2023 年 10 月，英国王室官方网站因 DDoS 事件而下线，俄罗斯黑客组织 Killnet 声称对此次攻击负责。最近的研究表明，DDoS 攻击变得更加强大，有时被威胁行为者用作勒索方法。

原文链接：https://www.infosecurity-magazine.com/news/us-ddos-attack-guidance-public/?&web_view=true

研究人员观察到，与伊朗有关的 APT 组织MuddyWater（又名 SeedWorm、  TEMP.Zagros、TA450 和 Static Kitten）是 2024 年 3 月发起的一次新的网络钓鱼活动的幕后黑手，该活动试图在 2024 年 3 月投放名为 Atera 的合法远程监控和管理 (RMM) 解决方案。该活动针对大型跨国组织的以色列员工，利用与薪酬相关的社会工程为诱饵。该网络钓鱼活动于 3 月 7 日开始，一直持续到 2024 年 3 月 11 日这一周。TA450 组织发送鱼叉式网络钓鱼邮件，其中包含包含恶意链接的 PDF 附件。威胁行为者向同一收件人发送了多封带有 PDF 附件的网络钓鱼电子邮件，其中嵌入的链接略有不同。研究人员根据对与网络间谍组织、活动目标以及攻击中使用的恶意软件相关的策略、技术和程序的观察，将此次活动归因于 TA450。

原文链接：https://securityaffairs.com/161042/apt/iran-ta450-rmm-atera.html

OpenVPN 已发布重要安全更新（版本 2.6.10），以解决其 Windows 软件中的一系列漏洞，这些漏洞可能导致权限升级、远程攻击和系统崩溃。这些漏洞凸显了定期软件更新的必要性，特别是对于 OpenVPN 等处理网络流量的工具。本次更新的漏洞包括CVE-2024-27459（堆栈溢出保护）、CVE-2024-24974（远程访问限制）、CVE-2024-27903（插件加载限制）和CVE-2024-1305（TAP 驱动程序溢出修复）。

原文链接：

https://securityonline.info/openvpn-patches-serious-vulnerabilities-in-windows-installations/

研究人员发现了一系列新的网络钓鱼攻击，旨在传播名为 StrelaStealer 的恶意软件。这一威胁已影响到欧盟和美国的 100 多个组织。这些攻击是通过带有启动 StrelaStealer DLL负载的附件的垃圾邮件来执行的。为了逃避检测，攻击者会定期更改初始电子邮件中附件的文件格式。StrelaStealer 于 2022 年 11 月首次检测到，旨在从流行的邮件客户端窃取电子邮件帐户数据，并将这些信息传输到攻击者控制下的服务器。自该恶意软件出现以来，研究人员记录了两次部署该恶意软件的重大活动：一次于 2023 年 11 月，另一次于 2024 年 1 月。

原文链接：https://www.scmagazine.com/news/strelastealer-malware-hits-more-than-100-eu-and-us-organizations

一个与伊朗有关的黑客组织声称在“匿名”黑客宣布的一起事件中破坏了以色列敏感核设施的计算机网络，以抗议加沙战争。黑客声称从西蒙·佩雷斯·内盖夫核研究中心窃取并发布了数千份文件，包括 PDF、电子邮件和 PowerPoint 幻灯片。这个秘密设施内有一个与以色列未公开的核武器计划有关的核反应堆，一直哈马斯火箭弹的袭击目标。该组织在社交媒体消息中解释了他们的意图，声称“我们不像嗜血的内塔尼亚胡和他的恐怖军队那样，我们以没有平民受到伤害的方式进行这次行动。” 尽管有这一声明，该组织在另一条社交媒体消息中表示，它“无意进行核爆炸，但这次行动很危险，任何事情都可能发生”，同时还发布了一段描绘核爆炸和呼吁撤离人员的动画视频。

原文链接：https://news.hitb.org/content/iranian-hackers-claim-have-breached-israeli-nuclear-facility

研究人员发现了一个名为 Sign1 的恶意软件活动，该活动在过去六个月内已经危害了 39,000 个 WordPress 网站。专家们发现，威胁行为者入侵了网站，植入恶意 JavaScript 注入，将访问者重定向到恶意网站。Sign1 背后的威胁参与者将恶意 JavaScript 注入合法插件和 HTML 小部件中。注入的代码包括一个硬编码的数字数组，它使用 XOR 编码来获取新值。专家对 XOR 编码的 JavaScript 代码进行了解码，发现它用于执行远程服务器上托管的 JavaScript 文件。研究人员注意到，攻击者采用动态更改的 URL，动态 JavaScript 代码的使用允许每 10 分钟更改一次 URL。该代码在访问者的浏览器中执行，导致网站访问者出现不需要的重定向和广告。Sign1 活动最初由研究员Denis Sinegubko在 2023 年下半年发现，有报告称，自 2023 年 7 月 31 日以来，威胁行为者利用了多达 15 个不同的域。

原文链接：https://securityaffairs.com/160942/hacking/sign1-malware-campaign.html

研究人员警告称，与俄罗斯对外情报局（SVR）有联系的黑客组织首次针对德国政党，将其焦点从典型的外交使团目标转移开。网络钓鱼攻击旨在部署名为 WineLoader 的后门恶意软件，该恶意软件允许威胁行为者远程访问受感染的设备和网络。APT29（也称为 Midnight Blizzard、NOBELIUM、Cozy Bear）是一个俄罗斯间谍黑客组织。该黑客组织与许多网络攻击有关，包括 2020 年 12 月臭名昭著的SolarWinds 供应链攻击。这些年来，威胁行为者一直保持活跃，通常使用一系列网络钓鱼策略或供应链妥协来针对政府、大使馆、高级官员和各种实体。APT29 最近的重点是云服务，破坏 Microsoft 系统并窃取 Exchange 帐户的数据，并破坏Hewlett Packard Enterprise使用的 MS Office 365 电子邮件环境。

原文链接：https://www.bleepingcomputer.com/news/security/russian-hackers-target-german-political-parties-with-wineloader-malware/

研究人员发现了一场新型网络钓鱼攻击，威胁者通过伪装成银行支付通知的电子邮件，诱导用户打开附加的压缩文件。该压缩文件隐藏了一个恶意加载程序，用于在受害主机上部署一个称为Agent Tesla的信息窃取器和键盘记录器。这一加载程序运用了混淆技术来逃避检测，并利用复杂的解密方法和多态行为。它能够绕过杀毒软件防御，通过代理服务器和特定的URLs以及用户代理来检索其有效载荷，以此进一步隐藏其流量。攻击中所使用的加载器是用.NET编写的，研究者发现了两种不同的变体，每种都采用不同的解密程序来获取其配置，并最终从远程服务器检索经过异或编码的Agent Tesla有效载荷。在最后阶段，加载器将Agent Tesla解码并在内存中执行，使得攻击者能够通过使用一个在土耳其合法的安全系统供应商的被泄露电子邮件账户隐秘地窃取敏感数据。

原文链接：https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/agent-teslas-new-ride-the-rise-of-a-novel-loader/

哈佛皮尔格林公司（Harvard Pilgrim）是一家位于美国新英格兰地区的医疗保险公司，其于 2023 年 4 月 17 日遭到了一个仍未确定身份的勒索软件团伙的攻击，服务受限多日。自事件发生以来，该公司已向缅因州监管机构提交了多份不同的违约通知函，最新一份将数字上调至 2,860,795 份，比最初的总数增加了约 12%，这说明随着对事件调查的不断深入，受数据泄露影响的人数会不断增加。Harvard Pilgrim 表示，涉及的文件可能包含当前和以前的用户、家属以及当前签约供应商的个人数据和受保护健康信息。这家非营利机构为 110 多万会员提供服务，这些会员主要居住在马萨诸塞州、新罕布什尔州、缅因州和康涅狄格州。

原文链接：

https://therecord.media/harvard-pilgrim-data-breach-notification-update

INC勒索软件组织对苏格兰国家医疗服务体系(NHS)发起了网络攻击，并声称窃取了3TB的数据。该组织在其Tor泄露网站上发布了苏格兰NHS的受害者名单，并威胁要公开这些数据。此次攻击发生于2023年3月15日，影响了NHS邓弗里斯和加洛韦，导致至少有“有限数量”的患者数据被黑客获取。苏格兰NHS已确认将与苏格兰警察局、国家网络安全中心、苏格兰政府和其他机构合作，以应对这一事件。INC自2023年以来一直活跃，已声称对至少65个组织的违规行为负责，包括施乐公司和秘鲁电力公司。此次事件突显了医疗保健系统面临的日益增长的网络威胁，以及对患者数据安全的潜在影响。

原文链接：

https://securityaffairs.com/161143/data-breach/inc-ransom-hacked-national-health-service-of-scotland.html

美国内华达州南部卫生区于周三向大约 300 名客户发出关于最近发生的数据泄露事件的警报。据悉，3 月 4 日至 14 日期间在其网站上完成环境卫生发票付款单交易的客户的数据可能存在风险。卫生官员表示，该页面上被放置了“恶意代码”，客户被重定向到一个伪装成信用卡付款页面的欺诈性付款表格。该地区于3 月 14 日在网站上发现了代码，并立即删除了表格。该地区还通知了执法部门，并聘请了网络安全专家来保护该地点并调查该事件。

原文链接：

https://www.fox5vegas.com/2024/03/27/300-patients-data-compromised-southern-nevada-health-district-data-breach/

据巴基斯坦《国际新闻报》报道，根据巴基斯坦联合调查组（JIT）的报告，2019年至2023年间，巴基斯坦国家数据库管理局 (NADRA) 发生了严重数据泄露事件，多达270万巴基斯坦公民的数据从NADRA数据库被盗。据巴基斯坦联合调查组的调查结果显示，被盗信息随后从木尔坦贩运到白沙瓦，再发送到迪拜，最终在阿根廷和罗马尼亚等国家的黑市上出售。

原文链接：https://theprint.in/world/millions-of-pakistanis-data-breached-sold-in-argentina-romania/2017360/