每月网络安全动向（98）

01

网络安全

法国博物馆、奥运会场馆遭到网络攻击

据POLITICO于2024年8月6日发布的消息，巴黎检察官办公室表示，法国国家博物馆网络的IT系统（包括约40家博物馆）于8月4日遭受到勒索软件攻击，该办公室表示，法国警方的网络犯罪部门已于事后对相关事件展开调查。

据悉，该博物馆网络包括位于巴黎市中心的展览厅和博物馆大皇宫，相关博物馆被改建为举办2024年巴黎夏季奥运会的击剑和跆拳道赛事的体育场馆。截止至8月6日，巴黎检察官办公室表示，尚未发现该事件对2024年奥运会赛事举办的影响。

法国总理加布里埃尔·阿塔尔（Gabriel Attal）表示，在奥运会开幕后几天，相关部门便已挫败了68起网络攻击，其中就有两起为针对奥运场馆的网络攻击。

法国网络安全机构（ANSSI）在过去两年便预计在奥运会之前会发生网络攻击，因此针对该活动进行了准备，采取渗透测试并“大规模”提高了人们的认识。ANSSI主任文森特·斯特鲁贝尔（Vincent Strubel）就曾于4月份向POLITICO表示，其目标不是100%阻止奥运会期间发生的袭击，而是希望通过提高安全级别来阻止大部分攻击。

发布平台：POLITICO

阅读原文：https://www.politico.eu/article/french-museums-olympics-venue-hit-with-cyberattack/

黑客入侵了MDM公司Mobile Guardian并擦除了数千台设备

据悉，黑客入侵了移动设备管理（MDM）公司Mobile Guardian，相关公司于8月4日检测到对iOS和ChromeOS设备的未经授权的访问。相关公司称，该事件影响了全球用户，攻击者远程擦除了一小部分设备。

经新加坡教育部（MOE）证实，该事件严重影响了该国的学生。一些使用iPad或Chromebook作为个人学习设备的学生表示，他们无法访问他们的应用程序和存储在他们设备上的信息。根据新加坡教育部初步检查，新加坡26所中学的约13,000名学生的设备被肇事者远程擦除。目前没有证据表明肇事者访问了用户文件。教育部将通过从所有iPad和Chromebook中删除Mobile Guardian设备管理应用程序的举措作为预防措施。

作为对这一事件的回应，Mobile Guardian停止了其服务器以防止进一步的中断，并对安全漏洞展开了调查。该公司表示，根据其调查结果，此次安全事件影响了全球用户，包括北美、欧洲和新加坡实例，这导致一小部分设备从Mobile Guardian中取消注册，并且其设备被远程擦除，但没有证据表明肇事者可以访问用户的数据，但这一事件与7月30日发生的单独配置错误无关，相关错误影响了新加坡的iPad。

截止至2024年8月7日，相关威胁行为者的具体动机还不得而知。

发布平台：Security Affairs

阅读原文：https://securityaffairs.com/166710/hacking/mobile-guardian-firm-security-breach.html

制造公司在BEC骗局中损失了6000万美元

化学制造公司Orion透露，其在一次商业电子邮件泄露（BEC）骗局中损失了6000万美元。

在提交给美国证券交易委员会（SEC）的一份文件中，这家总部位于卢森堡的公司表示，一名非执行员工被欺骗将资金转移到第三方账户。

Orion表示，2024年8月10日，Orion S.A.确定一名非具名执行官的公司员工是犯罪计划的目标，该计划导致多次欺诈性地向未知第三方控制的账户进行出站电汇。Orion表示，其正在与执法部门合作，通过所有合法手段追回资金，包括可能可用的保险范围。

在8月12日的文件中没有提供有关BEC攻击的进一步细节。截止至2024年8月14日，没有证据表明存在其他欺诈活动，也没有证据表明攻击者获得了对公司系统或数据的任何未经授权的访问。

发布平台：Infosecurity Magazine

阅读原文：https://www.infosecurity-magazine.com/news/manufacturing-loses-60m-bec/

新的网络钓鱼攻击使用复杂的信息窃取恶意软件

威胁分析师发现了一种新的复杂网络钓鱼攻击，其特点是隐蔽的信息窃取恶意软件会泄露各种敏感数据。该恶意软件不仅针对保存的密码等传统数据类型，还包括会话cookie、信用卡信息、与比特币相关的扩展和浏览历史记录。然后，收集的数据将作为压缩附件发送到远程电子邮件帐户，这突显了信息窃取器功能的重大转变。

根据梭子鱼网络发布的公告，攻击始于一封网络钓鱼电子邮件，该电子邮件诱使收件人打开附加的采购订单文件。这些以语法错误为特征的电子邮件来自虚假地址。附件包含一个ISO光盘映像文件，它是CD或DVD等光盘中数据的精确复制品。 此图像文件中嵌入的是HTA（HTML 应用程序）文件，它允许在桌面上执行应用程序，而不受浏览器的安全限制。执行HTA文件后，会激活一系列恶意负载。此序列从远程服务器下载并执行经过混淆的JavaScript文件开始，然后触发一个PowerShell文件，该文件从同一服务器检索ZIP文件。ZIP文件包含基于Python的信息窃取恶意软件。

另外，该恶意软件会短暂运行以收集数据，然后删除所有文件（包括自身）以避免被发现。该恶意软件以PDF文件为目标并压缩整个目录，包括桌面、下载、文档和特定%AppData%文件夹中的目录。然后，被盗数据将通过电子邮件发送到域maternamedical.top的各个地址，每个地址都指定用于特定类型的信息，如cookie、PDF文件和浏览器扩展。

发布平台：Infosecurity Magazine

阅读原文：https://www.infosecurity-magazine.com/news/phishing-attack-uses-infostealer/

澳大利亚黄金生产商Evolution Mining受到勒索软件的攻击

Evolution Mining通知称，其于2024年8月8日成为勒索软件攻击的目标，该攻击影响了其IT系统。据悉，该公司已与外部网络安全专家签订合同，以帮助进行补救工作，截止至8月12日，相关攻击已完全得到控制。

Evolution Mining是澳大利亚最大的黄金生产商之一，在加拿大也有业务。2023年，它生产了超过650,000盎司黄金和180万吨铜，为澳大利亚和加拿大经济贡献了16亿澳元。该上市公司拥有1000万盎司的黄金矿石储量，这使其具有强大的市值地位，并跻身在澳大利亚证券交易所（ASX）上市的顶级矿业公司之列。

该公司表示，尽管勒索软件攻击对其IT系统造成了破坏，但预计此次攻击不会对其运营产生任何重大影响。这意味着采矿作业应该不间断地继续进行，且表明威胁行为者要么没有加密任何系统，要么没有攻击生产关键工作站。

澳大利亚网络安全中心已获悉此事。截止至8月12日，没有主要的勒索软件组织对Evolution Mining的攻击负责。此外，该公司没有说明在事件期间数据被盗的可能性，这通常是勒索软件攻击中不可或缺的一部分。

发布平台：Bleeping Computer

阅读原文：https://www.bleepingcomputer.com/news/security/australian-gold-producer-evolution-mining-hit-by-ransomware/

Unicoin员工在神秘攻击中被锁定在G-Suite之外

Unicoin是真人秀节目《独角兽猎人》的官方加密货币，自称为大多数数字货币的“更稳定的替代品”。

该公司在提交给美国证券交易委员会（SEC）的8-K表格中透露，8月9日，它检测到一个未知的威胁行为者设法访问了其Google G-Suite帐户。该文件表示，该威胁行为者更改了“该公司G-Suite产品（即G-Mail，G-Drive和其他相关G-Suite功能）的所有用户的密码”，从而拒绝了所有拥有@unicoin.com电子邮件地址的用户的访问权限。

据悉，在2024年8月13日前后，该公司能够删除威胁行为者对G-Suite帐户的访问权限，并恢复对其内部用户的访问权限。案发后，该公司对威胁行为者所访问的信息进行了检查，以确定和减轻事件的影响。该公司表示其还继续调查事件的程度。

截止至8月19日，尚不清楚被解雇的承包商是否涉及该安全漏洞。一家区块链分析公司表示，包括数千名朝鲜特工在内的威胁行为者正在使用复杂的社会工程策略，例如申请加密公司的IT工作，以窃取资金。

发布平台：Infosecurity Magazine

阅读原文：https://www.infosecurity-magazine.com/news/unicoin-staff-locked-out-gsuite/

Advanced ValleyRAT活动在中国打击Windows用户

一项新的复杂ValleyRAT活动一直针对中国系统。由FortiGuard Labs发现，该活动会影响Windows用户，使威胁行为者能够控制受感染的机器。

ValleyRAT主要针对电子商务、金融、销售和管理企业。该恶意软件使用多个阶段和技术来监视和控制其受害者，采用任意和特定的插件来造成额外的损害。它使用大量shellcode直接在内存中执行其组件，从而显著减少了其在受害者系统上的足迹。

ValleyRAT采用诸如使用合法应用程序（包括Microsoft Office）的图标等策略，使恶意文件看起来无害。文件名也会被创建为看起来像财务文档。一旦执行，ValleyRAT会创建一个名为TEST的互斥锁，以确保单个实例运行。然后，它更改特定的注册表项以存储其命令和控制（C2）服务器的IP和端口，从而允许它与攻击者的服务器进行通信。该恶意软件进一步试图通过确定它是否在虚拟机（VM）中运行来逃避检测，如果是，它会终止其进程。

FortiGuard表示，这种恶意软件涉及在不同阶段加载的几个组件，主要使用shellcode直接在内存中执行它们，从而显著减少了其在系统中的文件跟踪，一旦恶意软件在系统中站稳脚跟，它就会支持能够监控受害者活动并提供任意插件以进一步推动威胁行为者意图的命令。

为了应对此类威胁，相关单位应保持防病毒和入侵防御系统（IPS）签名的最新状态，并确保其员工接受安全意识培训。

发布平台:Infosecurity Magazine

阅读原文：https://www.infosecurity-magazine.com/news/valleyrat-campaign-hits-windows/

Microchip Technology披露影响运营的网络攻击

美国芯片制造商Microchip Technology Incorporated披露，上周末网络攻击影响了其系统，扰乱了多个制造设施的运营。

该公司总部位于亚利桑那州钱德勒市，在多个行业领域拥有约123,000名客户，包括工业、汽车、消费、航空航天和国防、通信和计算市场。

此次事件导致部分Microchip Technology制造设施的产能下降，影响了公司满足订单的能力。Microchip Technology还必须采取，如关闭一些系统，并在违规后隔离受影响的系统等措施来管理这种情况。

2024年8月17日，Microchip Technology Incorporated检测到涉及其信息技术（IT）系统的潜在可疑活动。在发现问题后，该公司开始采取措施评估、遏制和补救可能未经授权的活动，Microchip Technology周二在提交给美国证券交易委员会的一份文件中透露，2024年8月19日，该公司确定未经授权的一方破坏了公司对某些服务器的使用和一些业务运营。

该公司在8月20日的文件中表示，其公司的调查正在进行，事件的全部范围，性质和影响尚不清楚，截至该文件提交之日，其公司尚未确定该事件是否可能对公司的财务状况或经营业绩产生重大影响。

虽然该公司尚未透露事件的性质，但美国证券交易委员会的文件表明这是勒索软件。但截止至8月20日，没有任何勒索软件操作声称对这次攻击负责。

发布平台：Bleeping Computer

阅读原文：https://www.bleepingcomputer.com/news/security/microchip-technology-discloses-cyberattack-impacting-operations/

黑客利用PHP漏洞使用新的恶意软件对Windows系统进行后门部署

未知攻击者在台湾一所大学的Windows系统上部署了一个名为Msupedge的新发现的后门，可能是利用了最近修补的PHP远程代码执行漏洞（CVE-2024-4577）。

CVE-2024-4577是一个严重的PHP-CGI参数注入漏洞，已于6月修补，会影响在PHP以CGI模式运行的Windows系统上运行的PHP安装。它允许未经身份验证的攻击者执行任意代码，并在成功利用后导致系统完全受损。

威胁行为者将恶意软件作为两个动态链接库（weblog.dll和wmiclnt.dll）丢弃，前者由httpd.exe Apache进程加载。

Msupedge最值得注意的功能是使用DNS流量与命令和控制（C&C）服务器进行通信。虽然许多威胁组织过去都采用了这种技术，但在野外并不常见。

它利用DNS隧道（基于开源dnscat2工具实现的功能），该功能允许将数据封装在DNS查询和响应中，以从其C&C服务器接收命令。

攻击者可以使用Msupedge执行各种命令，这些命令是根据C&C服务器解析的IP地址的第三个八位字节触发的。后门还支持多个命令，包括创建进程、下载文件和管理临时文件。

赛门铁克的威胁猎人团队调查了这一事件并发现了新的恶意软件，他们认为攻击者在利用CVE-2024-4577漏洞后获得了对受感染系统的访问权限。

此安全漏洞绕过了PHP团队针对CVE-2012-1823实施的保护措施，该漏洞在修复后数年被恶意软件攻击利用，以使用RubyMiner恶意软件针对Linux和Windows服务器。

赛门铁克的威胁猎人团队表示，最初的入侵可能是通过利用最近修补的PHP漏洞（CVE-2024-4577）进行的。最近几周，赛门铁克已经看到多个威胁行为者扫描易受攻击的系统。迄今为止，其没有发现任何证据可以让我们归因于这种威胁，袭击背后的动机仍然未知。

2024年8月16日，在PHP维护者发布CVE-2024-4577补丁的第二天，WatchTowr Labs发布了概念验证（PoC）漏洞利用代码。同一天，Shadowserver基金会报告说，他们观察到了对他们的蜜罐的剥削尝试。一天后，在补丁发布不到48小时后，TellYouThePass勒索软件团伙也开始利用该漏洞部署webshell并加密受害者的系统。

发布平台：Bleeping Computer

阅读原文：https://www.bleepingcomputer.com/news/security/hackers-use-php-exploit-to-backdoor-windows-systems-with-new-malware/

美国知名军工芯片厂商因网络攻击生产能力受损

美国半导体制造公司微芯科技（Microchip Technology）透露，未经授权的第三方破坏了该公司对某些服务器的使用以及部分业务操作。

微芯科技的产品被设计用于关键任务，常用于汽车、飞机、导弹等高速移动的设备，或在恶劣的偏远地区运行的设备。例如，美国航空航天局（NASA）将在其下一代高性能航天计算机（HPSC）中使用微芯科技芯片。另外，该公司还提供铸造服务，若此次事件影响了铸造过程，这将会对硅材料供应造成严重打击。

微芯科技于2024年8月向美国证券交易委员会（SEC）提交文件披露称，8月17日，该公司在检测到可能涉及其信息技术系统的可疑活动后展开调查。8月19日，调查结果确认存在未经授权的访问。针对这一事件，该公司采取了隔离相关系统、关闭其他系统等多项措施，并聘请了外部网络安全顾问来确定问题范围。

由于这一事件，该公司某些制造设施的运营低于正常水平，其目前履行订单的能力受到影响。相关文件承诺，微芯科技正在尽快努力修复问题。文件虽然没有提及事件原因、对芯片制造商造成的破坏程度，或是否涉及勒索软件。但文件提到对受影响的系统进行隔离。这表明未经授权的第三方活动有蔓延到公司IT系统其他部分的潜在风险。

据悉，拜登政府曾于2024年1月向该公司拨款1.62亿美元，用于扩大其制造旗舰微控制器的工厂。美国政府称这笔资金将推动美国汽车、国防和航空航天工业的发展。这种表述反映出微芯科技是极其重要的军方供应商。

发布平台：The Register

阅读原文：https://www.theregister.com/2024/08/21/microchip_technology_security_incident/

美国油田巨头哈里伯顿遭受网络攻击导致运营中断

全球领先的油田服务商美国哈里伯顿公司（Halliburton）目前正在应对一次严重的网络攻击，该攻击已中断其休斯顿园区的运营并影响了其部分全球网络。

Halliburton是一家领先的油田服务公司，其业务遍布在70多个国家/地区，拥有近48,000名员工，是世界上最大的油田服务公司之一。该公司为全球主要能源生产商提供钻井服务和设备。

Halliburton发言人在一份声明中表示，其意识到一个影响某些公司系统的问题，并正在努力评估原因和潜在影响。此外，其已经启动了预先计划的响应计划，并正在内部与专家合作来修复问题。

虽然攻击的具体细节尚未披露，但对业务运营的影响是显而易见的。据路透社报道，北休斯顿园区的员工已被建议不要连接到内部网络，该公司正在与网络安全专家合作解决这一情况。

网络攻击在能源领域越来越普遍，给涉及关键基础设施的公司带来了重大挑战。鉴于Halliburton广泛的业务，此次网络攻击引发了人们对能源行业更广泛影响以及未来可能发生类似事件的担忧。

能源部和美国石油学会尚未对此事发表评论，随着细节的不断浮出水面，该行业处于高度警惕状态。这次攻击凸显了网络经济战日益增长的威胁，恶意行为者以关键经济资产为目标，造成破坏和财务损失。

据悉，该公司正在努力减少攻击的影响且已对利益相关者进行了通知，其正在采取一切必要措施来解决问题并尽快恢复正常。

发布平台：Cyber Security News

阅读原文：https://cybersecuritynews.com/halliburton-cyberattack/

02

数据安全

美国迪克体育用品公司惨遭数据泄露

美国领先的户外用品零售商迪克体育用品公司（Dick's Sporting Goods）披露，该公司上周遭受了网络攻击。迪克体育用品公司在2024年8月21日提交的一份SEC8-K表格中披露了遭受网络攻击的消息，该消息显示，一家未具名的第三方未经授权访问了该公司的信息系统。

SEC文件显示，对迪克体育用品公司的网络攻击涉及机密信息的访问，尽管有关目标数据的具体细节尚不清楚。尽管遭到入侵，但迪克体育用品公司报告称其业务运营并未受到明显干扰。

该公司对迪克体育用品公司网络攻击的回应是，在发现数据泄露后，公司立即启动了网络安全响应计划，并一直在与外部网络安全专家合作调查和遏制威胁。此外，联邦执法部门已收到该事件的通知。虽然针对Dick's Sporting Goods的网络攻击细节仍在调查中，但并未造成运营中断，这表明此次事件并未使用勒索软件。现代网络犯罪分子通常选择窃取敏感信息，并使用暴露威胁作为筹码，而不是使用勒索软件关闭系统。

目前，迪克体育用品公司继续专注于保护其系统并确保有效管理任何潜在威胁。

发布平台：The Cyber Express

阅读原文：https://thecyberexpress.com/dicks-sporting-goods-cyberattack/

AutoCanada在CDK中断后恢复时遭遇数据泄露

北美领先的多地点汽车经销商集团AutoCanada Inc.报告称，该公司在2024年8月11日发现了一起影响其内部IT系统的重大网络安全事件。AutoCanada数据泄露事件加剧了汽车行业面临的日益严峻的网络安全挑战，过去十年来，汽车行业针对关键运营系统的网络攻击数量激增。

发现该事件后，AutoCanada迅速采取行动，保护其网络和数据。该公司聘请了顶级网络安全专家来协助遏制漏洞并启动补救措施。这些专家还在对AutoCanada数据泄露事件进行彻底调查，以了解此次泄露事件的全部范围、性质和影响，包括是否有任何客户、供应商或员工数据遭到泄露。虽然调查仍在进行中，但损失的程度尚不清楚。不过，AutoCanada的业务运营仍在继续。

发布平台：The Cyber Express

阅读原文：https://thecyberexpress.com/autocanada-data-breach-confirmed/

安全巨头ADT确认数据泄露，客户信息在暗网上泄露

美国建筑安全巨头ADT证实，该公司经历了一次网络安全事件，未经授权的行为者非法访问了包含ADT客户订单信息的某些数据库。

据称，网络犯罪分子在一个流行的黑客论坛上泄露了超过30,812条记录，其中包括大约30,400个唯一电子邮件地址。此次泄露包含敏感的客户信息，包括电子邮件地址、实际地址、用户ID和购买历史记录。为了验证此次泄露的真实性，“netnsher”提供了被盗数据的样本，这进一步加剧了人们对此次泄露规模的担忧。

ADT数据泄露事件引起了依赖该公司满足家庭和企业安全需求的客户的极大担忧。虽然此次数据泄露事件并未危及实际的安全系统，但个人信息（包括电子邮件地址和实际地址）的泄露可能会带来网络钓鱼攻击和其他形式的身份盗窃风险。

发布平台：The Cyber Express

阅读原文：https://thecyberexpress.com/adt-data-breach-confirmed/

03

实用研究