网络安全资讯周报（5/6- 4/10）

• 戴尔披露数据泄露影响数百万客户 

• LOCKBIT 公布了从戛纳 SIMONE VEIL 医院窃取的数据 

• 佐治亚大学系统称在2023年MOVEit攻击中泄露了80万个人数据 

• 医疗公司DocGo患者健康数据在网络攻击中被盗 

• 萨尔瓦多遭遇生物识别数据大规模泄露影响超500万公民的个人信息 

去年，第三方造成的数据泄露增加了 68%，这主要是由于勒索软件和勒索攻击中利用的软件漏洞造成的。近年来供应链违规事件一直呈上升趋势。根据 Verizon 最新的数据泄露调查报告 (DBIR)，近几个月来这一增长尤为急剧。2023 年所有泄露事件中约有 15% 涉及第三方，比 2022 年的 9% 显着增加。不过，这些数字与会计和攻击的关系同样重要。在今年的DBIR中，Verizon Business 扩展了 “供应链漏洞 ”的定义，不仅包括通过供应商（如 2013 年的 Target）、数据托管商（MOVEit）和软件更新（SolarWinds）造成的漏洞，还包括第三方软件中的漏洞。

原文链接：

https://www.darkreading.com/cyber-risk/supply-chain-breaches-up-68-yoy-according-to-dbir

国际特赦组织安全实验室的最新研究表明，印度尼西亚是监控工具和供应商的新兴中心。该组织发现了从 2017 年到去年从以色列、希腊、新加坡和马来西亚等国家向印度尼西亚销售和运输高度侵入性间谍软件和其他监控技术的证据。据报道，这些监控工具属于“Q Cyber Technologies（与 NSO Group 相关）、Intellexa 财团、Saito Tech（也称为 Candiru）、FinFisher 及其全资子公司 Raedarius M8 Sdn Bhd 和 Wintego Systems”等公司。国际特赦组织还详细介绍了与针对印度尼西亚个人的间谍软件平台相关的各种恶意域名和网络基础设施。国际特赦组织表示，虽然这些域名模仿了政党和媒体机构，但目前尚不清楚谁是真正的目标。国际特赦组织的报告称，间谍软件历来被政府实体用来针对民间社会和记者，因此对于公民权利受到侵犯的印度尼西亚来说，这是特别令人担忧的。 

原文链接：https://www.darkreading.com/cybersecurity-operations/amnesty-international-cites-indonesia-as-spyware-hub

乌克兰政府报告称，与俄罗斯有关的先前身份不明的黑客出于经济动机发起的网络攻击有所增加。根据最近的一份报告，这些组织在 2023 年下半年在乌克兰网络中变得更加活跃，导致之前由克里姆林宫支持的著名黑客组织（如“Sandworm”和“Armageddon”）主导的持续网络战争发生了转变。乌克兰计算机应急响应小组 (CERT-UA) 负责人 Yevheniia Volivnyk 表示新参与者的出现表明俄罗斯有意使其网络战武器库多样化。这些团体可能拥有独特的技能或专注于特定的运营目标。乌克兰网络研究人员表示，这些新组织通过使用经过深思熟虑的网络钓鱼攻击而脱颖而出。主要目标是分发恶意远程访问软件（例如RemcosRAT和 RemoteUtilities）或数据盗窃程序（包括 LummaStealer 和 MeduzaStealer）。在 CERT-UA 分析期间，近 40% 的报告事件与金融盗窃有关。机构表示，总体而言，过去两年针对乌克兰的事件数量一直在稳步增长，而且黑客的针对性也越来越强。他们利用最新的漏洞，并将攻击与趋势事件和新闻结合起来，以“增加目标的注意力和潜在的自满情绪”。例如，在以色列战争开始时，黑客发送了伪装成工作机会的恶意电子邮件，专门针对在以色列国防军 (IDF) 担任顾问职务的乌克兰军事人员。此外，包括电信行业在内的乌克兰关键基础设施仍然是俄罗斯黑客的最优先目标，而且这种趋势可能会持续下去。俄罗斯针对乌克兰关键基础设施的许多行动被描述为“混合”行动。例如，乌克兰最大的移动运营商 Kyivstar（为 2500 万用户提供服务）遭到攻击，恰逢对乌克兰进行大规模导弹袭击。

原文链接：https://therecord.media/ukraine-russia-increase-financially-motivated-cyberattacks?&web_view=true

Insikt Group的新研究描述了一场名为 Emerald Divide 的复杂影响力活动，据信该活动是由与伊朗结盟的参与者发起的 Storm-1364 组织，自 2021 年以来一直活跃。该活动旨在通过扩大意识形态分歧和削弱对以色列政府的信任来操纵以色列社会。特别是利用对以色列-哈马斯冲突和其他社会和政治问题的反应。Insikt Group、微软和以色列安全局 (Shin Bet) 等多个实体已确定了这一影响活动的各个组成部分，每个实体都将这一恶意活动的部分内容归咎于伊朗国家行为者，名称为 Storm-1364。Emerald Divide 活动以其动态的方式而闻名，能够迅速调整其影响力叙事以适应以色列不断变化的政治格局。它利用现代数字工具，例如人工智能生成的深度伪造品和战略运营的社交媒体帐户网络，这些帐户针对不同且往往是对立的受众，有效地煽动社会分歧，并鼓励抗议和传播反政府信息等实际行动。该行动还涉及严重的网络安全威胁，例如收集个人身份信息和对以色列官员进行人肉搜索。它的持续发展和适应性使其成为持续的安全威胁，未来的行动可能会集中于利用以色列社会内的其他有争议的问题。

原文链接：https://www.recordedfuture.com/iran-aligned-emerald-divide-influence-campaign-evolves-to-exploit-israel-hamas-conflict

CERT Polska 和 CSIRT MON 团队就针对波兰政府机构的大规模恶意软件活动发出警告，据称该活动是由与俄罗斯有关联的APT28组织精心策划的。将这些攻击归因于该APT是基于与APT28在针对乌克兰实体的攻击中使用的 TTP 的相似性。APT28送旨在激发收件人兴趣并鼓励他们点击链接的电子邮件。单击该链接后，受害者将被重定向到 run.mocky[.]io 域，这是开发人员用于创建和测试 API 的免费服务。该域又重定向到另一个名为webhook[.]site的合法站点，该站点允许将所有查询记录到生成的地址并配置响应。CERT Polska 指出，网络间谍活动的“整个攻击流程”（从第一封电子邮件诱饵到最终有效负载）与“Headlace 恶意软件”相同，后者是 APT28 已在使用的定制后门传送系统。

原文链接：https://securityaffairs.com/162965/apt/russia-linked-apt28-targets-government-polish-institutions.html

LockBit 勒索软件组织将威奇托市添加到其 Tor 泄露站点，并威胁要发布被盗数据。威奇托是美国堪萨斯州人口最多的城市，也是塞奇威克县的县城。截至2020年人口普查，该市人口为397,532人。安全漏洞发生于 2024 年 5 月 5 日，市政府立即启动事件响应程序，以防止威胁蔓延。该市正在第三方安全专家以及联邦和地方执法机构的帮助下调查并遏制这一事件。“出于操作安全的目的，这个[声称对此次攻击负责的组织的名称不会被共享。”报告指出。然而，LockBit 勒索软件团伙声称对威奇托市的网络攻击负责。支付赎金的截止日期是 2024 年 5 月 15 日。

原文链接：

https://securityaffairs.com/162910/cyber-crime/city-of-wichita-lockbit-ransomware.html

研究人员发现了两种针对高性能英特尔 CPU 的新颖攻击方法，可利用这些方法对高级加密标准 (AES) 算法发起密钥恢复攻击。这些技术被来自加州大学圣地亚哥分校、普渡大学、北卡罗来纳大学教堂山分校、佐治亚理工学院和谷歌的一组学者统称为“探路者”（Pathfinder）。“探路者”允许攻击者读取和操纵分支预测器的关键组件，从而实现两种主要类型的攻击：重建程序控制流历史记录和发起高分辨率 Spectre 攻击。Spectre 是一类侧通道攻击的名称，这些攻击利用现代 CPU 上的分支预测和推测执行来读取内存中的特权数据，从而绕过应用程序之间的隔离保护。最新的攻击方法针对的是分支预测器中称为路径历史寄存器 ( PHR ) 的功能（该功能保留最后采用的分支的记录），以诱发分支错误预测并导致受害者程序执行非预期的代码路径，从而无意中暴露其机密数据。具体来说，它引入了新的原语，可以操纵 PHR 以及条件分支预测器 (CBR) 内的预测历史表 (PHT)，以泄漏历史执行数据并最终触发 Spectre 式漏洞。在研究中概述的一组演示中，研究人员发现该方法可以有效地提取秘密 AES 加密密钥以及在广泛使用的 libjpeg 图像库处理过程中泄露秘密图像。

原文链接：https://thehackernews.com/2024/05/new-spectre-style-pathfinder-attack.html

5月3日，美国两家极右翼媒体网站——Post Millennial 和Human Events遭到黑客攻击和破坏，订阅者和其内部网站数据被泄露，这是一次明显出于政治动机的攻击的一部分。目前尚未公开声称对此次攻击负责，但这至少是本周第二起看似出于政治动机的黑客攻击。过去曾发动过出于政治动机的攻击的网络犯罪组织SiegedSec声称对臭名昭著的 Westboro 浸信会教堂发动了攻击。没有迹象表明这两起事件有关联。Human Events 是一家成立于 1944 年的保守派新闻机构，于 2022 年 5 月收购了Post Millennial。这两个组织的网站均指出，它们是由政治媒体公司 (Political Media, Inc. ) 设计和维护的，该公司是一家位于弗吉尼亚州的“中右翼新媒体咨询公司”，提供的服务包括内容管理系统、网页设计、电子邮件服务和营销。据Psyclone Media 网站称，Political Media, Inc. 及其姊妹公司 Psyclone Media, Inc. 的其他客户包括政治行动委员会、国会候选人和“各种其他政治组织”。

原文链接：https://cyberscoop.com/far-right-websites-hacked-and-defaced/

被追踪为 APT42 的伊朗国家支持的威胁行为者正在利用社会工程攻击（包括冒充记者）来破坏西方和中东目标的企业网络和云环境。Mandiant 于 2022 年 9 月首次记录了APT42   ，该组织报告称，威胁行为者自 2015 年以来一直活跃，已在 14 个国家/地区开展了至少 30 次行动。据观察，该间谍组织隶属于伊朗伊斯兰革命卫队情报组织（IRGC-IO），其目标是非政府组织、媒体机构、教育机构、活动人士和法律服务机构。APT42的攻击依赖于社交工程和钓鱼，其最终目标是通过定制的后门感染目标设备，从而使威胁行为者获得对组织网络的初始访问权限。攻击从冒充记者、非政府组织代表或活动组织者的在线身份发送的电子邮件开始，这些电子邮件的域名“typosquat”（使用类似的URL）与合法组织的域名相似。攻击者与受害者进行足够的沟通以建立信任后，会向受害者发送与会议或新闻文章相关的文档链接，具体取决于所选的诱饵主题。点击这些链接会将目标重定向到模仿知名服务（如Google和Microsoft）或与受害者工作领域相关的专业平台的虚假登录页面。APT42使用两个定制的后门恶意软件，分别命名为Nicecurl和Tamecat，每个后门都针对网络间谍活动中的特定功能。

原文链接：https://www.bleepingcomputer.com/news/security/iranian-hackers-pose-as-journalists-to-push-backdoor-malware/

捷克和德国透露，它们是与俄罗斯有联系的民族国家组织APT28进行的长期网络间谍活动的目标，此举引起了欧盟 (EU)、北大西洋公约组织 (NATO) 、英国和美国的谴责。捷克共和国外交部 (MFA) 在一份声明中表示，该国一些未透露姓名的实体因去年初曝光的 Microsoft Outlook 安全漏洞而遭到攻击。所涉及的安全漏洞是CVE-2023-23397，这是 Outlook 中现已修补的一个关键权限升级漏洞，可能允许攻击者访问 Net-NTLMv2 哈希值，然后使用它们通过中继攻击来验证自己的身份。德国联邦政府（又名 Bundesregierung）将威胁行为者归咎于针对社会民主党执行委员会的网络攻击，该攻击在“相对较长的时间内”使用相同的 Outlook 漏洞，使其能够“危害大量电子邮件帐户”。该活动针对的一些垂直行业包括位于德国、乌克兰和欧洲的物流、军备、航空航天工业、IT 服务、基金会和协会，联邦监管机构还暗示该组织参与了 2015 年对德国联邦议（Bundestag）的攻击。

原文链接：https://thehackernews.com/2024/05/microsoft-outlook-flaw-exploited-by.html

FBI 警告美国零售公司，至少自 2024 年 1 月以来，一个出于经济动机的黑客组织一直在针对其礼品卡部门的员工进行网络钓鱼攻击。该黑客组织被追踪为 Storm-0539，其目标是零售部门员工的个人和工作移动设备，使用复杂的网络钓鱼工具包，使他们能够绕过多因素身份验证。渗透到员工的帐户后，攻击者会在网络中横向移动，试图识别礼品卡业务流程，并转向与该特定投资组合相关的受感染帐户。除了窃取礼品卡部门人员的登录凭据之外，他们还试图获取安全外壳 (SSH) 密码和密钥。连同被盗的员工信息（例如姓名、用户名和电话号码），这些信息可能会被出售以获取经济利益，或被 Storm-0539 在未来的攻击中利用。

原文链接：https://www.bleepingcomputer.com/news/security/fbi-warns-of-gift-card-fraud-ring-targeting-retail-companies/

戴尔披露了一项安全漏洞，该漏洞暴露了数百万客户的姓名和实际邮寄地址。该公司该事件展开了调查，涉及的戴尔门户网站包含一个数据库，其中包含与从 IT 公司购买产品相关的有限类型的客户信息。泄露的数据包括客户姓名、实际地址以及硬件和订单信息，包括服务标签、商品描述、订单日期和相关保修信息。该公司补充说，财务或付款信息、电子邮件地址、电话号码或任何高度敏感的客户信息都没有被泄露。目前戴尔公司没有透露有关该安全漏洞的更多细节。

原文链接：

https://securityaffairs.com/162942/cyber-crime/dell-data-breach-2.html

5月3日，LockBit 勒索软件运营商公布了据称从戛纳 Simone Veil 医院窃取的敏感数据。4 月，戛纳 Simone Veil 医院(CHC-SV) 遭受网络攻击，迫使工作人员重新使用笔和纸。医院被迫关闭所有计算机，但电话线未受影响。医院正在 ANSSI、Cert Santé、Orange Cyber Défense 和 GHT06 的帮助下调查这一事件。戛纳西蒙娜·维尔医院是一家位于法国戛纳的公立医院。医院为当地社区及周边地区提供一系列医疗服务和保健设施。CHC-SV拥有2000多名员工，可容纳800多张床位。LockBit勒索软件组织声称对此次攻击负责，并在医院拒绝支付赎金后于 5 月 1 日公布了被盗的机密数据。戛纳西蒙娜·韦伊医院中心在其网站上发表声明，确认勒索软件组织发布的数据属于其所有。过去，法国其他医院也是网络攻击的受害者。2022 年 12 月， 凡尔赛医院中心 遭受网络攻击 ，被迫取消运营并将部分患者转移到其他医院。

原文链接：

https://securityaffairs.com/162721/cyber-crime/lockbit-published-simone-veil-hospital-data.html

佐治亚大学系统 (USG) 正在向其数据在 2023 年 Clop MOVEit 攻击中暴露的 80 万人发送数据泄露通知。USG 是一个州政府机构，在佐治亚州运营着 26 所公立学院和大学，拥有超过 340000 名学生。Clop 勒索软件团伙 于 2023 年 5 月下旬利用 Progress Software MOVEit 安全文件传输解决方案中的零日漏洞 进行了大规模的全球数据盗窃活动。当威胁组织在影响全球数千个组织的 MOVEit 攻击中开始勒索阶段时，USG 是最先被列为受感染组织之一。大约一年后，在 FBI 和 CISA 的帮助下，USG 确定 Clop 窃取了其系统中的敏感文件，并开始通知受影响的人员。数据泄露的信息包括完整或部分（最后四位）社会安全号、出生日、银行帐和带有税号的联邦所得税文件。

原文链接：

https://www.bleepingcomputer.com/news/security/university-system-of-georgia-800k-exposed-in-2023-moveit-attack/

医疗保健提供商 DocGo披露其公司部分系统的遭遇网络攻击。DocGo 是一家医疗保健提供商，为美国 30 个州和英国各地的患者提供移动医疗服务、救护车服务和远程监控。在周二晚上向 SEC 提交的 FORM 8-K 文件中，DocGo 警告称，他们最近遭受了网络攻击，正在与第三方网络安全专家合作协助调查。该公司表示已确定攻击者访问并获取了数据，包括某些受保护的健康信息。DocGo在向 SEC 提交的文件中写道：“在检测到未经授权的活动后，公司立即采取措施控制和应对这一事件，包括在领先的第三方网络安全专家的协助下发起调查，并通知相关执法部门。”

原文链接：https://www.malwarebytes.com/blog/news/2024/05/docgo-patient-health-data-stolen-in-cyberattack

研究人员发现了一起大规模泄露事件，涉及超过 500 万萨尔瓦多公民的个人身份信息 (PII) 在暗网上的暴露，影响到该国 80% 以上的人口。化名“CiberinteligenciaSV”的威胁行为者将 144 GB 的数据转储发布到 Breach 论坛，并写道，泄露的内容包括 5129518 张高清照片，每张照片都标有相应的萨尔瓦多证件识别 (DUI) 号码。数据转储包括以下字段：ID、身份证明文件 (DUI)、姓名、出生日期、电话、电子邮件、地址、受害者照片。除了大规模的萨尔瓦多 PII 记录外，威胁行为者还获取了每位受害者的头像，这是一个重要的生物识别数据标记--尤其是在生成式人工智能的黄金时代。值得注意的是，这次大规模的生物识别和 PII 数据泄露事件使萨尔瓦多大部分人口面临身份盗窃和欺诈的重大风险。借助现代深度伪造技术，威胁行为者可以利用受害者的头像和相关 PII，在数字优先的金融、商业和政府门户网站等广泛领域实施更具说服力的欺诈行为。

原文链接：https://securityaffairs.com/162790/data-breach/el-salvador-massive-leak-biometric-data.html