2024年3月全球网络攻击事件汇总

1.1与伊朗有关的黑客瞄准中东航空航天和国防部门

https://thehackernews.com/2024/02/iran-linked-unc1549-hackers-target.html

研究人员发现针对中东国家（包括以色列和阿拉伯联合酋长国（UAE），可能还有土耳其、印度和阿尔巴尼亚）的航空航天和国防工业的涉嫌与伊朗有联系的间谍活动。研究人员将这一活动归因于伊朗攻击者 UNC1549 ，该攻击者与Tortoiseshell重叠，Tortoiseshell是一个已公开与伊朗伊斯兰革命卫队 (IRGC)有联系的威胁攻击者。这一可疑的 UNC1549 活动至少自 2022 年 6 月以来一直活跃，并且截至 2024 年 2 月仍在持续。虽然其本质上是区域性的，并且主要集中在中东，但目标包括在全球运营的实体。此外还观察到该活动部署了多种规避技术来掩盖活动路径。

1.2Anycubic 3D打印机在全球范围内遭到黑客攻击

https://www.bleepingcomputer.com/news/security/anycubic-3d-printers-hacked-worldwide-to-expose-security-flaw/

根据 Anycubic 的一波在线报告，有人入侵了他们的 3D 打印机，并警告这些设备面临攻击。据称，此漏洞使潜在攻击者能够使用该公司的 MQTT 服务 API 控制任何受此漏洞影响的 Anycubic 3D 打印机。部分受害机器会收到提醒消息“您的机器存在严重漏洞，对您的安全构成重大威胁。强烈建议立即采取行动，以防止潜在的利用，”建议收到此警告消息的客户断开打印机与互联网的连接，直到修复安全问题。

1.3欧洲零售巨头Pepco遭遇钓鱼攻击损失1550万欧元

https://www.pepcogroup.eu/media-news/pepco-group-n-v-notice-regarding-hungarian-business/

Pepco集团(Pepco或Group)是一家在欧洲16个国家经营超过3000家折扣店的零售公司。该公司近日公布，其在匈牙利的业务遭到了一场复杂的钓鱼攻击，导致约1550万欧元的现金损失。据报道，攻击者冒充Pepco的高管，通过电子邮件诱骗员工转账给一个虚假的账户。Pepco表示，这起事件已经报告给了相关的执法机构，并正在与保险公司合作，以尽可能地挽回损失。Pepco还表示，这起攻击并未影响其业务运营，也没有泄露任何客户或员工的个人数据。钓鱼攻击是一种常见的网络犯罪手段，旨在利用受害者的信任或好奇心，诱使他们点击恶意链接或附件，或者泄露敏感信息。

1.4GitHub遭大规模攻击，超过 10 万个存储库被感染

https://www.freebuf.com/news/393211.html

网络安全公司 Apiiro 报告称，GitHub 遭受了大规模攻击，可能影响成千上万的人。这种攻击涉及克隆安全且干净的存储库，添加恶意的、模糊的代码后重新上传。

1.5Savvy Seahorse利用DNS骗局诱导投资者进入假冒平台

https://insights.infoblox.com/resources-whitepaper/infoblox-report-blog-beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads

Savvy Seahorse是一个网络威胁行为者，专门针对投资平台进行DNS骗局，诱导用户进入伪造的网站，然后窃取他们的资金和个人信息。Savvy Seahorse使用Facebook广告，假冒知名公司如Tesla和Facebook/Meta，吸引用户点击恶意链接。根据报道，Savvy Seahorse的特点是使用了一些先进的技术，包括使用假的ChatGPT和WhatsApp机器人，自动回复用户的问题，诱使他们透露个人信息，以换取承诺的高回报投资。Savvy Seahorse还使用了一种隐蔽的技术，利用DNS规范名称(CNAME)记录，建立一个流量分发系统(TDS)，用于控制其骗局活动的访问和更新。这种技术使得Savvy Seahorse能够逃避安全行业的检测。Savvy Seahorse自2021年8月以来一直在活动，其参与的域名有时会被安全工具标记，但其背后的基础设施和行为者却没有被安全行业发现。Savvy Seahorse还使用了通配符DNS条目，快速创建独立的活动，使得被动DNS分析变得困难。

1.6CrowdStrike全球威胁报告：云入侵上升75%

https://www.freebuf.com/articles/paper/393157.html

近日，CrowdStrike发布了《2024年全球威胁报告》，揭示了网络攻击的最新趋势。报告指出，网络攻击生态系统仍在持续增长，CrowdStrike在2023年观察到了34个新的威胁参与者。同时，攻击者正越来越多地瞄准云环境，以满足其牟利需求，某些情况下甚至允许攻击者到达内部部署的服务器。

1.7乌克兰GUR称入侵了俄罗斯国防部服务器

https://www.freebuf.com/news/393297.html

近日，乌克兰国防部情报总局（GUR）声称入侵了俄罗斯国防部（Minoborony）的内部服务器，并成功窃取大量敏感文件。

1.8乌克兰情报部门宣称成功入侵俄罗斯国防部

https://gur.gov.ua/content/soft-shyfry-sekretni-dokumenty-kiberfakhivtsi-hur-zlamaly-minoborony-rosii.html

乌克兰国防部主要情报总局(GUR)宣布，其网络专家成功侵入俄罗斯国防部的服务器，并获得了大量机密文件。这些文件披露了俄罗斯国防部的领导层，包括俄罗斯国防部各部门的其他高级官员。这包括代表、助理和专家，以及使用被称为“官僚”的电子文件管理系统的个人。据悉，这些文件包括俄国防部副部长Timur Vadimovich Ivanov的官方文件。GUR表示，这次网络攻击的成功，使得乌克兰情报部门能够详细地描绘出俄军的指挥结构和指挥通道。这次事件是乌克兰和俄罗斯之间网络战争的最新进展，也显示出乌克兰在网络空间的活跃和能力。

1.9FBI发布互联网犯罪报告称2023 年网络犯罪损失达 125 亿美元

https://securityaffairs.com/160142/cyber-crime/2023-fbi-internet-crime-report.html

FBI 网络犯罪投诉中心 (IC3) 发布的《2023 年网络犯罪报告》显示，2023 年报告的网络犯罪损失达到 125 亿美元。与 2022 年相比，这一数字标志着报告的损失激增 22%。

1.10俄罗斯黑客成功获取微软源代码

https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/

近日，微软在其安全博客及向证券交易委员会提交的报告中宣布了一个关于网络安全的严重发现：俄罗斯黑客组织Cozy Bear(微软称之为Midnight Blizzard)不仅在去年11月通过密码喷射攻击侵入了一个非生产测试租户账号，而且在随后的行动中成功访问了公司的一些内部系统及源代码库。在这个持续的安全冲突中，微软正与这些攻击者斗争，试图将他们从系统中清除或阻止他们再次入侵。微软暗示，此次安全事件并不简单——它是涉及精心协调和重大资源承诺的有组织攻击，并可能是对进一步攻击目标的一次侦查行动。这起事件再次突显了公司必须面对的复杂国际安全威胁布局，迫使其必须加强对其系统保安的资源和关注。

1.11MiTM攻击可让攻击者解锁并窃取特斯拉汽车

https://www.bleepingcomputer.com/news/security/mitm-phishing-attack-can-let-attackers-unlock-and-steal-a-tesla/

研究人员演示了如何进行中间人(MiTM)网络钓鱼攻击，以危害Tesla帐户、解锁汽车并启动汽车。该攻击适用于最新的Tesla应用程序版本4.30.6和Tesla软件版本11.12022.2.7。作为此次攻击的一部分，研究人员注册了一个新的“电话密钥”，可用于访问Tesla。虽然研究人员使用FlipperZero执行这种网络钓鱼攻击，但也可以使用其他设备轻松完成，例如计算机、RaspberryPi或Android手机。研究人员认为，在添加新手机钥匙时需要物理特斯拉卡钥匙可以通过为新手机添加身份验证层来提高安全性。

1.12加拿大反洗钱机构因网络攻击而关闭

https://fintrac-canafe.canada.ca/new-neuf/statement-declaration-eng

加拿大金融交易和报告分析中心(FINTRAC)宣布，作为预防措施，一次“网络事件”迫使其公司系统下线。FINTRAC是加拿大的一个政府机构，作为该国的金融情报机构运作。它从事洗钱调查，每年追踪数百万笔可疑交易，并向警方披露数千起非法资金流向。该机构在其网站上发表了一份简短的新闻声明，指出该中心的情报或机密系统未被访问，因此与其核心任务相关的敏感信息和操作能力仍然安全。作为预防措施，FINTRAC已将其公司系统关闭，以确保其完整性并保护中心维护的信息。

1.13超22.5万个被盗的ChatGPT凭证在暗网市场上出售

https://www.secrss.com/articles/64185

Group-IB 调查结果显示，2023 年 1 月至 10 月期间，超过 225000 个含有泄露的 OpenAI ChatGPT 凭证的日志在地下市场上售出。

1.14黑客冒充美国政府机构进行BEC攻击

https://www.proofpoint.com/us/blog/threat-insight/ta4903-actor-spoofs-us-government-small-businesses-phishing-bec-bids

近日，一伙专门从事商业电子邮件妥协(BEC)攻击的黑客团伙，代号为TA4903，被发现冒充各种美国政府实体，以诱使目标打开含有虚假招标过程链接的恶意文件。这些攻击活动旨在诱骗受害者点击链接，进而窃取其凭证信息。TA4903团伙此前已被观察到使用类似的攻击策略，他们通过发送大量伪装成来自美国政府部门和私营企业的电子邮件，试图盗取受害者的企业凭证。这些攻击行为表明，黑客正利用受害者对政府机构的信任进行网络攻击，这对企业的网络安全构成了严重威胁。

1.15黑客滥用QEMU隧道隐藏网络流量

https://securelist.com/network-tunneling-with-qemu/111803/

研究人员发现，黑客在针对一家大型公司的网络攻击中滥用开源虚拟化平台QEMU作为隧道工具。这种攻击涉及使用“Angry IP Scanner”进行网络扫描、“mimikatz”进行凭证盗窃，并利用QEMU创建复杂的网络隧道设置，以建立隐蔽的通信渠道。这种隧道通常加密流量，以逃避防火墙和入侵检测系统的监控。研究人员指出，攻击者利用QEMU的能力来模拟操作系统和硬件平台，将其操纵为创新的隧道机制。这一发现突显了网络安全领域中的新挑战，以及保护组织免受此类隐蔽攻击的重要性。

1.16韩国情报机关称两家芯片公司数据被朝鲜黑客窃取

https://www.nis.go.kr:4016/CM/1_4/view.do?seq=286

据韩国国家情报院(NIS)透露，朝鲜黑客侵入了韩国的两家芯片设备制造商的服务器，窃取了产品设计图和设施照片。这次网络攻击发生在去年12月和今年2月，被认为是朝鲜为了规避国际制裁并自行生产用于武器计划的半导体芯片所采取的行动。NIS表示，朝鲜可能正面临由于制裁而难以获取半导体的困境，因此试图自产芯片，尤其是用于其卫星和导弹等武器计划的芯片。此外，NIS还警告其他芯片制造业公司提防可能的网络攻击。朝鲜一直否认参与网络犯罪，但韩国多次指责其黑客通过网络攻击窃取大量资金，通常是加密货币，以资助其政权和核武器计划。自2016年以来，朝鲜估计已通过网络攻击盗取了约30亿美元。

1.17黑客声称入侵美国联邦承包商Acuity并出售数据

https://www.hackread.com/hacker-breach-federal-contractor-acuity-ice-uscis-data/

黑客IntelBroker声称已经入侵了美国联邦承包商Acuity，并且正在出售属于美国移民和海关执法局(ICE)及美国公民及移民服务局(USCIS)的数据。据报道，黑客IntelBroker在黑客论坛上发帖，声明他负责最近一起针对位于弗吉尼亚州雷斯顿的联邦承包商Acuity Inc.的数据泄露。泄露导致来自两个著名美国政府实体的敏感数据和文件被盗。目前这些被盗数据正在该论坛上以3000美元的门罗币(XMR)价格出售。在黑客论坛上宣布数据泄露事件后，IntelBroker展示了据称被盗数据的样本，其中包含超过100000名受害者的个人信息和个人身份信息(PII)。这些记录包括：电话、号码、电子邮件地址、实际地址、身体特征等。黑客还声称，“所有这些都属于美国公民”，意味着泄露的数据中包含了平民以及政府官员的信息。

1.18WordPress站点遭受分布式暴力破解攻击

https://blog.sucuri.net/2024/03/from-web3-drainer-to-distributed-wordpress-brute-force-attack.html

研究人员的新发现显示，威胁行为者正在利用恶意JavaScript注入对WordPress网站进行暴力破解攻击。该活动是先前记录的攻击浪潮的一部分，其中受感染的WordPress网站被用来直接注入AngelDrainer等加密货币排水器，或将网站访问者重定向到包含排水器恶意软件的Web3网络钓鱼网站。最新的迭代值得注意的是，迄今为止在700多个网站上发现的注入不会加载排水器，而是使用常见和泄露的密码列表来暴力破解其他WordPress网站。目前尚不清楚是什么原因促使威胁行为者从加密货币消耗者转向分布式暴力破解攻击。

1.19法国政府机构遭受大规模网络攻击

https://securityaffairs.com/160374/hacking/massive-cyberattacks-hit-french-government-agencies.html

法国总理加布里埃尔·阿塔尔办公室 3 月 11 日星期一表示，“法国多个国家机构遭受了‘前所未有的强度’的网络攻击，同时坚称政府已经能够控制影响。” 法国《世界报》报道。阿塔尔办公室表示，从周日开始，“许多部长级服务都受到了攻击，使用了熟悉的技术手段，但强度空前”，但没有提供目标的进一步细节。

1.20EquiLend警告员工数据在勒索软件攻击中被盗

https://www.mass.gov/doc/assigned-data-breach-number-2024-459-equilend-holdings-llc/download

纽约证券借贷平台EquiLend Holdings在给员工发送的数据泄露通知信中确认，他们的数据在一月份的勒索软件攻击中被盗。为了控制这次安全漏洞，该公司不得不在1月22日将部分系统离线。虽然EquiLend没有立即透露事件的性质，但LockBit勒索软件在接受彭博社采访时声称对此次攻击负责。尽管这家金融技术公司并没有证实LockBit的说法，但它在2月2日通过一个专门用于分享有关次事件更多信息的页面透露，一月份的安全漏洞是由勒索软件攻击造成的。几天后，EquiLend表示所有面向客户的服务已重新上线，并还未发现“客户交易数据在网络攻击期间被访问或带出”的证据。然而，该公司最近在发送给EquiLend员工的违规通知信中确实确认，未具名的攻击者确实窃取了他们的个人身份信息(PII)。该公司表示：“我们正在通知您一起涉及您EquiLend薪酬和其他人力资源信息的近期数据安全事件，包括您的姓名、出生日期和社会安全号码。” EquiLend补充说：“目前，我们的调查没有证据表明有任何个人信息被用来犯下身份盗窃或欺诈。”

1.21日产通知10万人数据在网络攻击中被盗

https://www.nissan.com.au/website-update.html

在2023年12月对其系统的攻击中，日产大洋洲将在未来几周内联系澳大利亚和新西兰约10万名数据被盗的人士。可能是Akira勒索软件团伙实施了这次网络攻击。网络犯罪分子从受害者中盗走了政府身份认证的某种形式，高达十分之一的受害者受到影响。从这家汽车制造商处窃取的数据包括4000张澳大利亚国家医疗保险计划的Medicare卡信息，以及7500张驾驶执照、220本护照和1300个税务文件号码。其余90%的人的其他信息被盗——可能是贷款相关交易声明的副本、就业细节或薪资信息。这次盗窃也可能包括如出生日期等个人身份信息(PII)。这次泄露事件影响到的某些人是日产为竞争对手汽车制造商三菱、雷诺、英菲尼迪、LDV和RAM所运营和品牌化的金融服务的客户。

1.22DarkGate活动利用微软零日漏洞进行攻击

https://www.trendmicro.com/en_us/research/24/c/cve-2024-21412--darkgate-operators-exploit-microsoft-windows-sma.html

研究人员在2024年1月中旬发现了一个名为DarkGate的攻击活动，该活动利用了Windows零日漏洞CVE-2024-21412。研究人员报告称，APT组织“水木马”(Water Hydra)利用CVE-2024-21412漏洞进行了零日攻击。DarkGate远程访问木马(RAT)使用Borland Delphi编写，并以恶意软件即服务(MaaS)模式存在于网络犯罪生态系统中，被认为是一个复杂的威胁，并且持续进行优化。自2018年起，DarkGate活动支持包括进程注入、下载与执行文件、信息盗窃、执行shell命令及键盘记录等功能，其恶意负载还采用多种规避技术。攻击链的分析开始于利用PDF附件的网络钓鱼信息，该PDF含有一个精心构建的链接。威胁行为者在PDF文件中部署了来自doubleclick[.]net域的开放重定向。当受害者点击链接时，会被重定向到一个托管.URL因特网快捷方式文件的受损Web服务器，该文件利用了CVE-2024-21412漏洞。威胁行为者使用开放重定向分发假冒的Microsoft软件安装程序(.MSI)，它们假装是包括Apple iTunes、Notion、NVIDIA等正版软件。

1.23StrelaStealer网络钓鱼攻击影响逾百个欧美机构

https://unit42.paloaltonetworks.com/strelastealer-campaign/

研究人员最新发现了一波针对性的网络钓鱼攻击，这次攻击主要通过传播名为StrelaStealer的信息窃取恶意软件。据研究人员发布的报告，这次攻击波及了超过100家欧盟和美国的组织。研究者发现，攻击者通过垃圾邮件附件的形式散布恶意软件，并不断更换邮件附件文件格式以躲避安全检测。StrelaStealer主要用于盗取知名邮件客户端的登录数据，并将其传送至攻击者控制的服务器。自2022年11月首次揭露StrelaStealer以来，研究人员在2023年11月和2024年1月监测到两次大规模使用该恶意软件的攻击行动，目标涉及高科技、金融、专业及法律、制造业、政府、能源、保险以及建筑行业。此外，攻击者还传播了采用更多混淆和反分析技术的新变种，并改用装有ZIP附件的发票主题邮件。ZIP压缩包内含有JavaScript文件，该文件会释放一个批处理文件进而运行恶意的DLL载荷。恶意软件还利用多种混淆手段，使得在沙箱环境中的分析变得困难。与此同时，Broadcom旗下的Symantec公司揭露，伪造的知名软件安装程序或在GitHub、Mega或Dropbox上托管的破解软件正成为传播名为Stealc的窃取恶意软件的渠道。另有研究显示，钓鱼活动还传播了Revenge RAT和Remcos RAT(又名Rescoms)，其中后者是通过名为AceCryptor的加密程序即服务(CaaS)传播的。

1.24俄罗斯黑客利用TinyTurla-NG入侵欧洲NGO网络

https://blog.talosintelligence.com/tinyturla-full-kill-chain/

据研究人员最新发布的报告，与俄罗斯有关联的网络威胁行动组织Turla，成功侵入了一个未命名欧洲非政府组织(NGO)的多个系统，并部署了名为TinyTurla-NG(TTNG)的后门程序。攻击者首次渗透系统后，建立了持久性并修改了端点上运行的防病毒产品设置。此后，通过一个名为Chisel的通讯渠道来窃取数据，并向网络中其他可访问的系统拓展其控制范围。有证据显示，这些系统最早在2023年10月就已遭到破坏，Chisel在2023年12月部署，数据窃取活动在2024年1月12日左右发生。TinyTurla-NG首次被记录是在上个月，当时它被用于针对一家支持乌克兰抵抗俄罗斯入侵的波兰NGO的网络攻击中。攻击链条涉及Turla利用初期访问权限配置Microsoft Defender防病毒排除项来躲避检测，并部署TinyTurla-NG，该恶意软件被伪装成一个名为“System Device Manager”的服务以实现持久化。TinyTurla-NG作为一个后门，用于进行后续侦察、将感兴趣的文件窃取到命令与控制(C2)服务器，以及部署定制版本的Chisel隧道软件。具体的入侵途径仍在调查中。一旦攻击者获得对新系统的访问权限，他们将重复创建Microsoft Defender排除项、部署恶意组件并实现持久化的活动。

1.25Fortinet软件关键漏洞遭野外积极利用

https://www.horizon3.ai/attack-research/attack-blogs/cve-2023-48788-fortinet-forticlientems-sql-injection-deep-dive/

研究人员发布了Fortinet公司FortiClient Enterprise Management Server(EMS)软件中一个关键漏洞(CVE-2023-48788，CVSS评分9.3)的概念验证(PoC)利用代码。该漏洞目前在野外被积极利用进行攻击。这个关键漏洞是一个普遍存在的SQL注入问题，位于DAS组件中。该SQL注入漏洞可能允许未认证的攻击者通过特定构造的请求执行未授权的代码或命令。受影响的版本及解决方案已经公布，包括FortiClientEMS 7.2版本的7.2.0至7.2.2版本需要升级到7.2.3或以上版本，以及FortiClientEMS 7.0的7.0.1至7.0.10版本需要升级到7.0.11或以上版本。研究人员演示了如何利用Microsoft SQL Server内置的xp_cmdshell功能将此SQL注入问题转化为远程代码执行。研究人员解释称，尽管数据库没有配置为运行xp_cmdshell命令，但可以使用其他一些SQL语句来实现。研究人员发布的分析中写道：“我们发布的PoC只通过使用一个简单的SQL注入来确认漏洞，而不使用xp_cmdshell。要启用RCE，需要修改PoC。”

1.26PWN2OWN 温哥华 2024第一天 – 特斯拉被攻破

https://securityaffairs.com/160870/hacking/pwn2own-vancouver-2024-day-1.html

2024 年 Pwn2Own 温哥华黑客大赛第一天，参赛者团队展示了特斯拉黑客技术，参与者在 2024 年 Pwn2Own 温哥华黑客竞赛第一天因展示 19 个独特的零日而获得了 732,000 美元的奖金。专家们成功演示了针对 Tesla 汽车、Linux 和 Windows 操作系统等的漏洞利用。

1.27微软报告，英国87%的组织容易受到网络攻击

https://cybernews.com/security/uk-organizations-ai-attacks/

报告显示，39%的组织没有将网络威胁告知其领导层，没有业务连续性计划，没有专门的网络安全预算，且缺乏对技术升级的投资。

1.28麦当劳 IT 系统中断，波及全球餐厅

https://www.bleepingcomputer.com/news/technology/mcdonalds-it-systems-outage-impacts-restaurants-worldwide/

由于系统中断，导致麦当劳员工无法接受订单和接受付款，包括美国、日本、澳大利亚、加拿大、荷兰、意大利、新西兰和英国等多国的麦当劳门店于当日停止营业。

1.29ShadowSyndicate针对aiohttp漏洞发起扫描攻击

https://cyble.com/blog/cgsi-probes-shadowsyndicate-groups-possible-exploitation-of-aiohttp-vulnerability-cve-2024-23334/

研究人员监测到，自2024年2月27日公布了aiohttp(异步HTTP客户端/服务器框架)漏洞(CVE-2024-23334)的概念验证(PoC)及教学视频后，网络犯罪集团ShadowSyndicate可能开始利用这一漏洞进行网络攻击。此漏洞为目录遍历问题，可能让未经认证的远程攻击者访问服务器上的敏感文件。根据研究人员的数据显示，全球有超过43000个aiohttp实例暴露在互联网上，其中美国、德国和西班牙的实例数量尤为突出。因此，这些未修补的实例潜在面临严重威胁，强烈建议立即修补至最新版本。研究人员监测到2月29日开始，有大量针对该漏洞的扫描尝试。通过对攻击源IP地址的分析发现，ShadowSyndicate自2022年7月活跃至今，涉嫌与多起勒索软件攻击事件有关。鉴于该集团对aiohttp漏洞的兴趣，组织应尽快更新软件至推荐版本3.9.2并采取必要的防护措施，以避免未来潜在的系统安全风险。

1.30英国国防大臣专机在波兰遭电子战攻击

https://www.thesun.co.uk/news/26691317/russia-putin-grant-shapps-plane-hacked-gps-communications-ww3/

英国国防大臣格兰特·沙普斯的RAF Dassault Falcon 900喷气式飞机最近在飞往英国途中，据称遭到了俄罗斯黑客发起的电子战攻击，导致飞机的全球定位系统(GPS)和通信设备短暂失效。沙普斯此行前往波兰访问英国在"坚定捍卫者"军事演习中的军队，并确认了英国对乌克兰的全力支持。《太阳报》的国防编辑在起飞时搭乘了RAF Dassault Falcon 900喷气式飞机，并报告说飞机在靠近俄罗斯飞地加里宁格勒的区域附近时，GPS和通信被干扰大约30分钟。如果确认是电子战攻击导致了这次事故，但并未影响飞机的安全。英国官员表示，沙普斯的飞机并非外科手术式袭击的目标，而是受到了大规模俄罗斯对卫星通讯和信号的干扰，这可能影响所有飞机和GPS设备。

1.31新声学攻击可凭打字模式识别键盘输入

https://arxiv.org/pdf/2403.08740.pdf

最新研究展示了一种新型声学旁道攻击方法，即使在噪音环境下，也能根据键盘打字模式推断用户输入。该方法的平均成功率虽然只有43%，低于过去提出的其他方法，但它不需要受控的录音条件或特定的打字平台。这一技术更适用于现实攻击，在特定的目标相关参数下，通过收集后的分析产生足够可靠的数据，以解密目标的整体输入。美国奥古斯塔大学的研究人员公布了他们独特的声学旁道方法的技术细节。这种攻击利用通过专用软件捕捉的不同按键的特有声音排放和用户的打字模式来收集数据集。收集目标的一些打字样本至关重要，以便将特定的按键和单词与声波联系起来。虽然论文并未详述捕获文本的可能方法，但它可能是通过恶意软件、恶意网站或浏览器扩展、受损的应用程序、跨站脚本攻击或被篡改的USB键盘获取的。目标的打字可能通过在他们附近隐藏的麦克风记录，或使用周围被篡改的设备远程记录，例如智能手机、笔记本电脑或智能扬声器。捕获的数据集包括在不同条件下的打字样本，因此必须记录多个打字会话，这对攻击的成功至关重要。

1.32航空航天部门面临猛增的网络安全威胁

https://securityaffairs.com/160664/uncategorized/aviation-and-aerospace-sectors-cyber-threats.html

随着全球地缘政治紧张局势加剧，民航业和航空航天领域遭受破坏性网络攻击的风险加大。Resecurity 详细介绍了针对这些部门的威胁行为者最近的显着活动。Lockbit 3.0是针对这些行业的最活跃的勒索软件组织之一，已对多家知名公司发起了攻击。它于 2021 年 9 月攻击泰国主要航空公司曼谷航空，于 2021 年 10 月攻击以色列航空航天和国防公司 EMIT Aviation Consulting，于 2022 年 6 月攻击科威特航空，于 2023 年攻击阿尔巴尼亚航空，最近一次更新于 2024 年 3 月。

1.33SIM交换者在eSIM攻击中可劫持电话号码

https://www.facct.ru/media-center/press-releases/esim-bank-attacks/

SIM换号攻击者已经适应了新的攻击手段，通过将受害者的电话号码端口转移到一张新的eSIM卡(一种存储在许多新型智能手机芯片上的可重写数字SIM卡)来窃取该号码。eSIM(嵌入式用户身份识别模块)是存储在移动设备芯片上的数字卡片，与物理SIM卡承担相同的角色和功能，但可以远程重新编程、配置、停用、更换和删除。用户通常可以通过扫描服务提供商的QR码，将eSIM添加到支持该功能的设备上。随着智能手机制造商越来越青睐eSIM，因为eSIM无需SIM卡插槽，还能在小型可穿戴设备上提供蜂窝连接，这项技术逐渐流行起来。研究报告称，自2023年秋以来，俄罗斯及全球的SIM换号者利用向eSIM的转变劫持电话号码，并绕过保护措施访问银行账户。只是在一个金融机构，分析师就记录了一百多次企图访问客户个人在线服务账户的案例。以前，SIM换号攻击者依赖社交工程手段或与移动运营商服务内部人员合作来助攻转移目标号码。然而，随着公司实施更多保护措施防范这类接管行为，网络犯罪分子转而关注新技术的出现机遇。目前，攻击者使用被盗、暴力破解或泄露的凭证入侵用户的移动账户，并自行开始把受害者的号码转移到另一台设备上。他们通过被劫持的移动账户生成可用于激活新eSIM的QR码，然后用自己的设备扫描该QR码，从而实际上劫持了该号码。

1.34国际货币基金组织邮箱账户遭黑客攻击

https://www.bleepingcomputer.com/news/security/international-monetary-fund-email-accounts-hacked-in-cyberattack/

国际货币基金组织(IMF)在上周五披露了今年早些时候其11个电子邮件账户被未知攻击者入侵的网络安全事件。这一由190个会员国资助的国际金融机构，也是总部位于华盛顿特区的联合国主要金融机构。根据发布的新闻稿，IMF在二月份检测到了这次事件，并正在进行调查以评估攻击的影响。到目前为止，IMF未发现证据表明攻击者获得了进入受损电子邮件账户之外的其他系统或资源的访问权限。IMF表示：“国际货币基金组织(IMF)最近经历了一次网络事件，该事件于2024年2月16日被侦测到。随后的调查，得到了独立网络安全专家的协助，确定了入侵的性质，并采取了补救措施。调查确定了11个IMF电子邮件账户受到了泄露。受影响的电子邮件账户已重新保安。我们目前没有迹象表明除这些电子邮件账户之外还有更多的泄露。对这一事件的调查仍在继续。”虽然IMF没有提供有关该事件的更多细节，但该组织确认他们使用基于云的Microsoft 365电子邮件平台。目前尚不清楚这些事件是否与IMF电子邮件账户受到安全泄露的事件有关。