一周全球网络安全事件速递（第四十一期）

美国水务公司在网络攻击后关闭在线服务

时间：10月7日

美国水务公司（American Water）是美国最大的上市供水和废水公用事业公司，拥有 6,500 多名员工，为 14 个州和 18 个军事设施的 1400 多万人提供供水和废水处理服务。在周四受到网络攻击后，他们被迫关闭了部分系统。

在提交给美国证券交易委员会的一份文件中，American Water 表示，它已经聘请了第三方网络安全专家来帮助遏制事件和评估该事件的影响。“公司已经并将继续采取措施保护其系统和数据，包括断开或停用其某些系统，”他们在监管文件写道。

正如 American Water 在其网站上的另一份声明中所说，这次攻击还迫使其关闭了在线客户门户服务 MyWater，并暂停了计费服务。公司发言人鲁本·罗德里格斯告诉记者，“在这些系统不可用期间，客户不会收取滞纳金。”

乐高网站被黑客入侵以推送加密货币骗局

时间：10月7日

周五晚上，加密货币诈骗者短暂入侵了乐高网站，以推广一种可以用以太坊购买的假乐高代币。在泄露过程中，黑客将乐高官方网站的主横幅替换为一张图片，该图片显示带有“乐高”标志的加密代币和文字，“我们的新乐高币正式推出！今天就购买新的乐高币，解锁秘密奖励吧！”

根据乐高 Reddit 版主的说法，违规行为发生在美国东部时间晚上 9 点，持续了大约 75 分钟，直到美国东部时间晚上 10 点 15 分，该网站才得以恢复。

与许多加密货币骗局不同，这个骗局并没有推广窃取钱财的恶意网站，相反，单击“立即购买”链接会将访问者带到 Uniswap 加密货币平台，在那里您可以使用以太坊购买乐高诈骗代币。

乐高向 BleepingComputer 证实了这一漏洞，但不愿分享有关威胁行为者如何访问其网站的详细信息。

ADT 披露两个月内的第二次黑客入侵事件

时间：10月7日

ADT 是一家美国上市公司，专门为住宅和小型企业客户提供安全和智能家居解决方案。ADT 透露，在威胁行为者使用被盗凭据和泄露的员工帐户数据访问其系统后，它遭受了网络攻击。

在周一晚上提交给美国证券交易委员会的文件中，该公司表示，凭据是从第三方业务合作伙伴那里窃取的，作为对攻击的回应，ADT 终止了未经授权的访问，并开始与第三方网络安全专家一起调查该事件。

该公司表示，其调查并未表明客户的数据或安全系统已泄露。截至报道发出时，没有勒索软件团伙或其他威胁行为者声称对此次攻击负责。

这是 ADT 两个月来的第二次泄露事件，该公司在 8 月份的第一次攻击后警告说，威胁行为者在黑客论坛上泄露了 30,800 条客户记录，包括客户电子邮件、完整地址、用户 ID 和购买的产品。

MoneyGram 确认黑客在网络攻击中窃取了客户数据

时间：10月7日

MoneyGram 已确认，黑客在 9 月份的一次网络攻击中窃取了客户的个人信息和交易数据。该公司于 9 月 27 日首次检测到攻击，导致其关闭 IT 系统，阻止 MoneyGram 客户访问或向其他用户转账。

在今天发布的一份新的数据泄露通知中，MoneyGram 表示威胁行为者甚至更早地在 2024 年 9 月 20 日至 22 日期间访问了其网络。在此期间，威胁行为者窃取了大量敏感的客户信息，包括交易信息、电子邮件地址、邮政地址、姓名、电话号码、水电费账单、政府 ID 和社会安全号码。

MoneyGram 指出，被盗数据的数量和类型因受影响的客户而异。从客户那里窃取的特定信息可能会列在发送给受影响个人的数据泄露通知中。

目前尚不清楚谁是这次攻击的幕后黑手，也没有威胁行为者声称对此负责。但是，MoneyGram 已确认这不是勒索软件攻击。

欧洲政府气隙系统遭受自定义恶意软件攻击

时间：10月8日

一个名为 GoldenJackal 的 APT 黑客组织使用两个自定义工具集成功入侵了欧洲政府的气隙系统以窃取敏感数据，例如电子邮件、加密密钥、图像、档案和文档。

根据 ESET 的一份报告，类似的攻击至少发生了两次，一次是 2019 年 9 月和 2021 年 7 月针对一个南亚国家驻白俄罗斯的大使馆，另一次是在 2022 年 5 月至 2024 年 3 月期间针对一个欧洲政府机构。

ESET 看到的较早的攻击首先使用名为“GoldenDealer”的恶意软件感染连接互联网的系统，可能使用木马软件或恶意文档。GoldenDealer 会监控这些系统上是否有 USB 驱动器的插入，当它发生时，它会自动将自身和其他恶意组件复制到其上。

2023 年 5 月，卡巴斯基对 GoldenJackal 的活动发出警告，指出威胁行为者专注于政府和外交实体以进行间谍活动。

Internet Archive 的数据泄露影响了 3100 万用户

时间：10月9日

Internet Archive 的“The Wayback Machine”遭受了数据泄露，威胁行为者入侵网站并窃取了包含 3100 万条记录的用户身份验证数据库。

周三下午，在 archive.org 的访问者看到黑客创建的 JavaScript 警报后，有关泄露的消息开始流传，称 Internet Archive 已被入侵。

Hunt 告诉 BleepingComputer，威胁行为者在 9 天前共享了 Internet Archive 的身份验证数据库，该数据库包含注册成员的身份验证信息，包括其电子邮件地址、屏幕名称、密码更改时间戳、Bcrypt 哈希密码和其他内部数据。被盗记录的最新时间是 2024 年 9 月 28 日。亨特说，他在三天前联系了互联网档案馆并开始了披露程序，称数据将在 72 小时内加载到该服务中，但此后他一直没有收到回复。

目前尚不清楚威胁行为者是如何破坏 Internet Archive 的，以及是否有任何其他数据被盗。

富达投资遭受的数据泄露影响了超过 77,000 人

时间：10月10日

总部位于波士顿的跨国金融服务公司富达投资（Fidelity Investments）披露，在 8 月份其系统遭到入侵后，超过 77,000 名客户的个人信息被泄露。

作为全球最大的资产管理公司之一，富达管理着 14.1 万亿美元的资产和 5.5 万亿美元的资产，在北美、欧洲、亚洲和澳大利亚的 11 个国家/地区拥有超过 75,000 名员工。

在提交给缅因州总检察长办公室的一份文件中，该公司表示，一名身份不明的攻击者在 8 月 17 日至 19 日期间使用“他们最近建立的两个客户帐户”窃取了数据。

“我们在 8 月 19 日检测到了这一活动，并立即采取措施终止访问。在外部安全专家的协助下，迅速启动了调查，“富达在发送给受影响个人的数据泄露通知中说。

富达补充说，该事件暴露了 77,099 名客户的数据，但尚未透露除了姓名和其他个人标识符之外，数据泄露中还窃取了哪些个人信息。

Underground 勒索软件攻击卡西欧并泄露被盗数据

时间：10月10日

Underground 勒索软件团伙声称对 10 月 5 日对日本科技巨头卡西欧的攻击负责，该攻击导致系统中断并影响了该公司的一些服务。

本周早些时候，卡西欧在其网站上披露了这次攻击，但隐瞒了有关该事件的细节，称它已聘请外部 IT 专家调查个人数据或其他机密信息是否在攻击中被盗。

今天，Underground 勒索软件组织已将卡西欧添加到其暗网勒索门户上，泄露了据称从这家日本公司窃取的大量数据，包括法律文件、员工的个人数据、保密NDA、员工工资单信息、专利信息、公司财务文件、项目信息、事件报告。如果上述情况属实，则攻击已经损害了卡西欧的员工和知识产权，这可能会对其业务产生负面影响。

BleepingComputer 已再次联系卡西欧，要求对威胁行为者的索赔和数据泄露发表评论，但我们尚未收到发布的回复。因此，威胁行为者的说法仍未得到证实。