一周全球网络安全事件速递（第四十期）

 Mallox 勒索软件业务的附属公司 TargetCompany，被发现使用略微修改的 Kryptina 勒索软件新版本来攻击 Linux 系统。

 Kryptina 于 2023 年底作为低成本勒索软件服务平台推出，用于针对 Linux 系统进行网络攻击，但未能在网络犯罪社区中获得关注。2024 年 2 月，其所谓的管理员使用别名“Corlys”在黑客论坛上免费泄露了 Kryptina 的源代码。

根据研究机构的说法，这一新变体与 Mallox 的其他面向 Linux 的变体不同，这是一个迹象，表明以前仅限 Windows 的恶意软件 Mallox 正在将 Linux 和 VMWare ESXi 系统置于其目标之中，标志着该勒索操作的重大演变。目前，仍不确定 Mallox Linux 1.0 变体是否与上一份报告中讨论的 Linux 变体一起被单个附属公司、多个附属公司或所有 Mallox 勒索软件运营商使用。

汽车经销商 AutoCanada 警告说，员工数据可能已在 Hunters International 勒索软件团伙 8 月份展开的网络攻击中暴露。尽管该公司表示没有检测到针对受影响个人的欺诈活动，但它正在发送通知以提醒受影响的人注意潜在风险。

8 月中旬，这家汽车经销商公司遭受网络攻击，为遏制网络攻击，它必须使特定的内部 IT 系统离线，从而导致了运营中断。

虽然该公司没有发布更多信息或更新，但勒索软件团伙 Hunters International 于 9 月 17 日在其勒索门户网站上发帖声称制造了这次攻击。威胁行为者发布了据称从 AutoCanada 窃取的数 TB 数据，包括数据库、NAS 存储图像、高管信息、财务文件和人力资源数据。 

为了回应对此次数据泄露的担忧，AutoCanada 发布了一个问题解答页面来回复关注者感兴趣的问题，其中包含调查期间发现的有关网络攻击的更多信息。

堪萨斯州考利县的一个小城市阿肯色城被迫在周末将其水处理设施转为手动操作，以遏制周日早上检测到的网络攻击。据当地媒体报道，市政府官员已将这一事件通知了有关当局，国土安全部和联邦调查局特工正在调查。

城市经理 Randy Frazer 证实，供水是安全的，网络攻击并未影响水处理作业。“尽管发生了事件，但供水仍然完全安全，服务没有中断。出于谨慎考虑，在情况得到解决前，水处理设施已改用人工操作。居民可以放心，他们的饮用水是安全的，在此期间，纽约市的运营处于完全受控状态。”

政府当局和网络安全专家现在正在努力解决问题，并使该市的水厂恢复正常运营。

 “目前已采取加强的安全措施来保护供水，预计居民的水质或服务不会发生变化，”该市补充说。

在过去十年中，美国供水和废水处理系统 （WWS） 部门的设施也多次遭到勒索软件攻击，这些攻击影响了2016 年软件和硬件设备过时的一家水务公司、2020 年 8 月的南加州卡姆罗萨水区和 2021 年 5 月的宾夕法尼亚州供水系统。

医疗保险和医疗补助服务中心（CMS）联邦机构本月早些时候宣布，超过三百万健康计划受益人的健康信息和个人信息在去年发生的MOVEit攻击中被泄漏。黑客入侵为 CMS 提供 Medicare 管理服务的威斯康星医师服务（WPS）健康保险公司后，窃取了数据。

CMS 负责管理美国的主要医疗保健计划，包括 Medicaid 和 CHIP。它监督这些计划是否符合联邦标准，并提供资金支持，执行政策和法规，监控质量和成本，还帮助监管平价医疗法案（ACA）的健康保险市场。

CMS 于 9 月 6 日发布的一份新闻稿通知说，该机构和 WPS 正在向 946,801 名拥有 Medicare 的人通知这起事件。同一天，联邦机构在美国卫生与公众服务部（HSS）的门户上报告称，信息被盗的总人数为 3,112,815 人。

随着事件调查的继续，Experian 为受影响的个人提供 12 个月的免费信用监控服务，以减轻其数据泄露带来的风险。尽管攻击方声称他们会删除属于医院、医疗保健组织和美国政府实体的数据，但几乎不可能保证被盗数据没有在暗网上共享或出售。

MoneyGram 是一家美国点对点支付和汇款公司，它是世界第二大汇款公司，每年处理来自数千万用户的超过 1.2 亿笔交易。

汇款巨头 MoneyGram 证实，自周五以来的系统中断是遭受了网络攻击导致的。在此之前，虽然许多人怀疑该公司受到了网络攻击，但直到周一早上，MoneyGram 才证实了这起事件。

“MoneyGram 最近发现了一个影响我们某些系统的网络安全问题，”公告中写道，“发现后，我们立即展开调查并采取保护措施来解决它，包括主动使系统离线，这影响了网络连接。”

Ivanti vTM 是一款基于软件的应用程序交付控制器 （ADC），可为托管关键业务服务提供负载平衡和流量管理。CISA 已将一个关键的 Ivanti 安全漏洞标记为在攻击中被积极利用的漏洞，该漏洞会让威胁行为者在易受攻击的 vTM 设备上创建流氓管理员用户。

此身份验证绕过缺陷被跟踪为 CVE-2024-7593，是由于身份验证算法的实现不正确导致的，该算法允许未经身份验证的远程攻击者绕过 Internet 公开的 vTM 管理面板上的身份验证。

 “成功利用此漏洞可能会允许攻击者绕过身份验证并创建管理员用户，”Ivanti 在发布安全更新以修补此严重漏洞时警告说。

该公司建议检查通过 GUI 或公开可用的漏洞利用代码添加的新“user1”或“user2”管理员用户的审核日志输出，以查找泄露证据。他们还建议管理员通过将 vTM 管理界面绑定到内部网络或私有 IP 地址来限制对 vTM 管理界面的访问，以阻止潜在的攻击尝试并减少攻击面。

由内存安全问题引起的 Android 漏洞百分比已从 2019 年的 76% 下降到 2024 年的仅 24%，五年内大幅下降了 68% 以上。这远低于之前在 Chromium 中发现的 70%，这使得 Android 成为大型公司如何在不破坏向后兼容性的情况下有条不紊地提高安全性的一个很好的例子。

谷歌表示，它通过优先使用 Rust 等内存安全语言编写新代码，从而最大限度地减少新漏洞的引入。同时，旧代码的维护方式是在重要的安全修复上执行最小的更改，而不是广泛重写。

“根据我们所学到的知识，很明显，我们不需要丢弃或重写所有现有的内存不安全代码，”谷歌的报告写道，“相反，Android 专注于使互操作性安全便捷。”

这种策略使旧代码成熟并随着时间的推移变得安全，从而减少其中与内存相关的漏洞的数量。

一组安全研究人员在 Kia 的经销商门户中发现了严重缺陷，这些漏洞可能让黑客仅使用目标车辆的车牌就能定位并窃取 2013 年之后制造的数百万辆 Kia 汽车信息。

大约两年前，安全研究员和漏洞赏金猎人 Sam Curry发现了影响十几家汽车公司的其他关键漏洞，这些漏洞将允许犯罪分子远程定位、禁用启动器、解锁和启动法拉利、宝马、劳斯莱斯、保时捷和其他汽车制造商制造的超过 1500 万辆汽车。

今天，Curry 透露，2024 年 6 月 11 日发现的起亚门户网站漏洞可以在 30 秒内被利用，用来控制任何配备远程硬件的起亚汽车，这些漏洞还暴露了车主的敏感个人信息，包括他们的姓名、电话号码、电子邮件地址和实际地址，并可能使攻击者能够在车主不知情的情况下将自己添加为目标车辆的第二个用户。

为了进一步演示这个问题，该团队构建了一个工具，展示了攻击者如何进入车辆的车牌，并在 30 秒内远程锁定或解锁汽车、启动或停止汽车、按喇叭或定位车辆。