安全简讯（2024.08.12）

1. 黑客论坛曝光数万客户信息，ADT 确认发生数据泄露

8月8日，美国ADT公司近期确认遭遇了数据泄露事件，威胁行为者在一个黑客论坛上公开了部分据称被盗的客户数据。ADT是一家专注于住宅与小型企业安全及智能家居服务的上市公司，拥有庞大的客户群体和广泛的业务覆盖。此次事件中，黑客侵入了ADT的部分数据库，非法获取了包含客户订单信息的敏感资料，具体涉及电子邮件地址、电话号码及邮政地址等有限信息。ADT迅速响应，关闭了非法访问并启动了与第三方网络安全专家的联合调查。ADT强调没有迹象表明客户的家庭安全系统本身受到直接入侵，且信用卡及银行信息等更为敏感的数据据信未被窃取。ADT进一步指出，受此次事件影响的客户数量仅占其庞大客户群的一小部分，但具体数字未予披露。7月31日，名为“netnsher”的威胁者公开声称泄露了来自ADT的30,800条客户记录，详细列出了客户的电子邮件、完整地址、用户ID及购买产品等信息，加剧了公众对个人信息安全的担忧。

https://www.bleepingcomputer.com/news/security/adt-confirms-data-breach-after-customer-info-leaked-on-hacking-forum/

2. LoanDepot遭勒索软件攻击，损失达 2700 万美元

8月11日，美国知名抵押贷款服务提供商LoanDepot近期披露了其在2024年初遭遇的一起重大网络攻击事件的财务影响，此次事件不仅对其业务运营造成了显著冲击，还引发了广泛的客户数据泄露。据悉，该起由勒索软件集团Alphv/BlackCat实施的攻击，导致LoanDepot的数据被非法加密，系统部分功能中断，更为严重的是，超过1600万客户的敏感信息，如姓名、地址、电话号码及社保号码等，不幸泄露。这一恶劣事件迅速引发了业界的广泛关注与担忧。LoanDepot公布的财务报告中指出，为应对此次网络攻击及其后续影响，公司已投入近2700万美元，该笔资金主要用于事件调查、向受影响的庞大客户群体发送通知、提供必要的身份保护服务，以及覆盖因法律诉讼和潜在和解协议所产生的各项费用。尤为引人注目的是，为妥善处理随之而来的集体诉讼问题，LoanDepot已预留高达2500万美元的专项资金。

https://securityonline.info/loandepot-cyberattack-27-million-fallout/

3. 恶意软件利用恶意 Chrome 和 Edge 扩展程序感染 30 万用户

8月10日，一场大规模且持续的恶意软件活动威胁着网络安全，该活动通过伪装成热门软件下载网站的策略，分发木马程序并安装至Google Chrome和Microsoft Edge浏览器。ReasonLabs研究发现，这种木马不仅包含简单的广告劫持扩展，还具备更复杂的功能，如窃取私人数据、执行恶意命令等。自2021年起，该恶意软件便利用模仿下载站点的手法，已影响至少30万用户，显示出其广泛的破坏力。该活动的核心在于利用恶意广告诱导用户访问假冒网站，下载并安装木马，进而在浏览器中安装恶意扩展。这些扩展能够劫持搜索查询，将其重定向至攻击者控制的服务器，实现广告欺诈或数据窃取。木马还通过计划任务、PowerShell脚本及修改注册表等手段，确保恶意扩展的持久运行，即便在开发者模式下也无法轻易禁用。此外，恶意软件还包含一个直接从命令和控制服务器下载的本地扩展，具备拦截Web请求、接收并执行加密命令的广泛能力，进一步加剧了安全风险。

https://thehackernews.com/2024/08/new-malware-hits-300000-users-with.html

4. 俄黑客入侵微软，英政府数据泄露引国际关注

8月9日，俄罗斯对外情报机构支持的网络间谍1月份成功侵入了微软系统，进而获取了包括英国政府在内的多家客户的电子邮件和个人数据。尽管黑客未直接入侵英国内政部系统，但微软持有的与内政部共享的数据仍遭泄露。微软早在1月便披露了Midnight Blizzard黑客组织的活动，而内政部直到5月才向监管机构报告此事，违反了数据保护法。该事件被视为“国家对部门公司系统供应商的攻击”，引发了对国家支持网络威胁的关注。英国和美国的网络安全机构均对此发出警告，强调此类攻击对政府机构构成的严重风险。俄罗斯情报部门的积极行动与其在乌克兰的军事行动相呼应，加剧了国际网络空间的紧张局势。专家指出，此类事件不仅破坏了公众信任，也凸显了私营部门在提供政府服务时的责任和潜在风险。增加供应商多样性成为提升系统韧性的关键建议。同时，官方归因和制裁等措施的结合被认为是应对此类网络威胁的有效手段。

https://therecord.media/russia-hack-uk-government-home-office-microsoft?&web_view=true

5. 思科设备遭黑客攻击，CISA发出紧急通报

8月9日，美国网络安全机构CISA近期发出紧急通报，指出存在针对配置不当的思科设备的攻击活动。黑客正利用思科智能安装（SMI）功能等漏洞，滥用协议或软件以获取系统配置文件，进一步入侵网络。CISA特别强调了思科设备中使用弱密码类型的问题，这增加了密码被破解的风险。一旦入侵者获取访问权限，就能轻松访问配置文件和系统密码，对网络安全构成严重威胁。同时，非营利组织Shadowserver Foundation发现超过6,000个具有Cisco SMI功能的IP地址暴露在互联网上，进一步加剧了这一风险。此外，思科还披露了其小型企业SPA300和SPA500系列IP电话中存在的五个安全漏洞，其中三个被评为严重级别，这些漏洞无需身份验证即可远程利用，执行任意命令或导致服务拒绝（DoS）攻击。然而，由于这些产品已接近生命周期终点，思科未提供补丁修复。另一项值得关注的是，思科还警告了智能软件管理器本地漏洞CVE-2024-20419的公开概念验证（PoC），该漏洞允许未经身份验证的攻击者远程更改用户密码。尽管目前互联网上仅有40个受影响的实例被检测到，但这一发现再次凸显了思科设备面临的安全挑战。

https://www.securityweek.com/warnings-issued-over-cisco-device-hacking-unpatched-vulnerabilities/

6. 微软Office曝高危零日漏洞CVE-2024-38200，呼吁用户紧急采取行动

8月11日，微软在8月8日公告中披露了影响多个Office软件版本的高严重性零日漏洞CVE-2024-38200，该漏洞允许未经授权访问敏感信息，包括NTLM哈希，可能危及整个网络安全。此漏洞源于信息泄露，可能通过基于Web的攻击场景被利用，需用户点击恶意链接或文件。微软确认该漏洞在官方修复前已公开，使得使用受影响Office版本的组织面临风险。受影响的版本包括Office 2016至2021及Microsoft 365企业应用版。尽管正式补丁定于8月13日发布，微软已提前通过Feature Flighting实施临时修复措施。微软评估该漏洞被利用可能性较小，但仍建议用户采取网络安全配置、加入受保护用户安全组及阻止出站TCP 445/SMB流量等临时策略以降低风险，并强调最终补丁应用的重要性。

https://securityonline.info/cve-2024-38200-zero-day-vulnerability-in-microsoft-office-a-call-for-urgent-action/