一周全球重大网络安全事件速递（第三十六期）

审计发现FBI的存储介质管理中存在明显的安全漏洞

时间：8月25日

司法部监察长办公室（OIG）的一项审计发现，FBI在库存管理和处置包含敏感和机密信息的电子存储媒体方面存在“重大弱点”。

该报告强调了用于跟踪从设备中提取的存储介质的策略和程序中多个问题，以及介质销毁过程中的重大物理安全漏洞。OIG已向FBI提出了三项具体建议，以解决已发现的问题。联邦调查局承认了审计结果，并表示正在制定一项名为“机密和敏感电子设备的物理控制和销毁以及材料政策指令”的新指令。这项新政策有望解决在存储介质追踪和分类标记中发现的问题。

此外，FBI表示，它正在安装保护性“笼子”，用作媒体的存储点，这些储存点将被视频监控覆盖。

西雅图塔科马机场IT系统因网络攻击而瘫痪

时间：8月26日

西雅图-塔科马国际机场已证实，持续的IT系统中断可能是由网络攻击造成的，这些中断导致预订值机系统崩溃，并在周末延误航班。

上星期六，西雅图港警告说，它和东南亚机场正在遭受由“可能的网络攻击”引起的持续中断，迫使他们隔离某些关键系统以遏制损害。

西雅图港发布的帖子中写道：“西雅图港，包括东南亚机场，正在经历互联网和网络系统中断，这影响了机场的一些系统。鼓励乘客向他们的航空公司查询他们航班的最新信息。”

周日，中断仍在继续，机场建议人们在航空公司网站上访问旅行信息，例如与他们的航班相对应的登机口号。在撰写本文时，机场的网站仍处于离线状态。

Park'N Fly通知100万客户数据泄露

时间：8月27日

Park'N Fly是加拿大一家大型机场外停车服务提供商，为旅客在飞出全国主要机场时提供便利的停车地点。Park'N Fly警告说，在黑客入侵其网络后，数据泄露暴露了加拿大100万客户的个人和帐户信息，其中公开的信息包括全名、电子邮件地址、实际地址、Aeroplan编号和CAA编号。

威胁行为者在7月中旬通过窃取的 VPN 凭据入侵了Park'N Fly网络，并窃取了该公司的数据。8月1日，该公司确定客户信息在攻击期间也被访问，但Park'N Fly 表示，没有泄露任何财务或支付卡信息。

“根据我们的调查，我们确定未经授权的活动发生在2024年7月11日至7月13日之间。2024年8月1日，我们确定您的一些个人信息可能受到该事件的影响。“

发言人表示，受影响的系统在五天内完全恢复，并补充说他们正在实施额外的安全措施，以在未来保护用户信息。

DICK'S在网络攻击后关闭电子邮件并锁定员工帐户

时间：8月28日

美国最大的体育用品零售连锁店DICK'S Sporting Goods表示，其机密信息在上周三检测到的网络攻击中被泄露，该公司已聘请外部网络安全专家来帮助遏制安全漏洞并评估网络攻击的影响。

“2024年8月21日，公司发现未经授权的第三方访问其信息系统，包括其系统中包含某些机密信息的部分，在检测到事件后，公司立即启动了其网络安全响应计划，并与外部网络安全专家合作，以调查、隔离和遏制威胁。”

据一位要求匿名自由发言的消息人士称，该公司几乎没有提供有关此次泄露的细节，并告诉员工不要公开讨论或以书面形式发布任何内容。据称，电子邮件系统已被关闭，可能会隔离攻击，所有员工的帐户都已被锁定。IT员工现在可以在摄像头上手动验证员工的身份，然后才能重新获得对内部系统的访问权限。

在今天提交给美国证券交易委员会的文件中，这家财富 500 强零售商表示，它已向相关执法机构报告了违规行为，目前该事件对公司的运营没有影响。

新的Tickler恶意软件用于美国政府、国防组织

时间：8月28日

APT33伊朗黑客组织使用新的Tickler恶意软件对美国和阿拉伯联合酋长国的政府、国防、卫星、石油和天然气部门的组织网络进行后门操作。

在这些攻击中，威胁行为者利用Microsoft Azure基础设施进行命令和控制（C2），使用欺诈性的、攻击者控制的Azure订阅。在这些攻击中，他们试图使用少量常用密码来访问许多帐户，以避免触发帐户锁定。

Microsoft警告称，自2023年2月以来，APT33活动已针对全球数千家组织进行了广泛的密码喷射攻击，导致国防、卫星和制药部门出现漏洞。

Microsoft已宣布，从10月15日开始，所有Azure登录尝试都必须进行多重身份验证（MFA），以保护Azure帐户免受网络钓鱼和劫持尝试。该公司之前发现，MFA 允许99.99%的支持MFA的账户抵御黑客攻击，并将泄露风险降低98.56%，即使攻击者试图使用以前泄露的凭证入侵账户也是如此。

据称芯片巨头AMD在2024年遭受了第二次网络攻击

时间：8月29日

据报道，Advanced Micro Devices（AMD）已成为又一次网络攻击的受害者。这是2024年的第二起此类事件。AMD网络攻击与犯罪集团IntelBroker和EnergyWeaponUser有关，他们现在在暗网市场上出售被盗数据，据称黑客泄露了敏感的内部通信和员工信息。

最新的AMD网络攻击是在2024年6月的一次早期泄露事件之后发生的，当时IntelBroker声称对AMD的大规模数据泄露负责，此次事件也在BreachForums上披露。

作为对之前的说法的回应，AMD发表了一份声明，表示正在积极调查涉嫌违规的行为。“我们正在努力了解所报告的违规行为的影响，并将尽快提供更新，”AMD告诉路透社。

石油和天然气服务巨头Halliburton遭受网络攻击

时间：8月29日

RansomHub勒索软件团伙是最近对石油和天然气服务巨头哈里伯顿（Halliburton）进行网络攻击的幕后黑手，该攻击破坏了该公司的 IT 系统和业务运营。这次攻击造成了广泛的中断，由于所需的系统已关闭，客户无法生成发票或采购订单。

哈里伯顿上周五在SEC文件中披露了这次攻击，称他们于2024年8月21日遭受了未经授权一方的网络攻击。“当公司得知该问题时，公司启动了其网络安全响应计划，并在外部顾问的支持下在内部启动了调查，以评估和补救未经授权的活动。”

然而，该公司尚未分享有关此次攻击的许多细节，石油和天然气行业的一位客户告诉BleepingComputer，他们一直不知道攻击是否影响了他们以及如何保护自己。由于缺乏共享信息，这导致其他客户与Halliburton断开连接。

一些公司正在与ONG-ISAC（该机构充当针对石油和天然气行业的物理和网络安全威胁的协调和沟通中心点）合作，以接收有关攻击的技术信息，以确定它们是否也遭到入侵。

FBI：自2月以来，RansomHub勒索软件入侵了210名受害者

时间：8月29日

自 2024 年2月浮出水面以来，RansomHub 勒索软件附属公司已经入侵了来自美国广泛关键基础设施领域的200多名受害者。该勒索软件组织专注于基于数据盗窃的勒索，而不是加密受害者的文件。

自今年年初以来，RansomHub声称对美国非营利性信用合作社Patelco、Rite Aid 连锁药店、佳士得拍卖行和美国电信提供商 Frontier Communications 的勒索事件负责。FBI、CISA、多州信息共享和分析中心（MS-ISAC）和卫生与公众服务部（HHS）今天发布的联合咨询也证实，威胁行为者以受害者为目标进行双重勒索攻击。

联邦机构表示：“自2024年2月成立以来，RansomHub已加密和泄露了至少210名受害者的数据，这些受害者包括了信息技术、政府服务和设施、医疗保健和公共卫生、紧急服务等关键基础设施部门。”

机构推荐网络防御者实施公告中的建议，以降低RansomHub勒索软件攻击的风险和影响。他们应该专注于修补已经被广泛利用的漏洞，并对webmail、VPN和链接到关键系统的账户使用强密码和多因素身份验证（MFA）。

大规模Mirai僵尸网络利用AVTECH相机中的零日漏洞

时间：8月30日

研究人员发现了一个僵尸网络活动，该活动正在利用多个漏洞，包括AVTECH闭路电视（CCTV）摄像机中的零日漏洞（CVE-2024-7029），该漏洞可能允许远程执行代码。

CISA在其公告中表示，该漏洞很容易被利用，并将其归类为“可远程利用/攻击复杂性低/公共漏洞可用/已知公共漏洞”。虽然该漏洞于2024年3月才首次被发现，但分析表明，威胁行为者自2023年12月以来就一直很活跃。

AVTECH网络摄像机中的CVE-2024-7029漏洞影响的固件版本最高为FullImg-1023-1007-1011-1009 AVM1203。受CVE-2024-7029影响的AVTECH闭路电视设备仍然被广泛使用，尽管有问题的模型在几年前就已停产。这些设备存在于各个行业，包括交通部门和其他关键基础设施实体。

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121