网络安全资讯周报（11/04 - 11/08） - 新鲜讯息

目录/contents

全球动态

美国陆军网络司令部新型AI工具有望增强五角大楼网络防御能力
RansomHub取代LockBit成为头号勒索软件集团
白宫即将完成包含多项议程的第二份网络安全行政命令
联邦数据安全领导者发布零信任实施指南

安全事件

勒索软件攻击导致微芯片技术公司损失超过2100万美元
网络入侵导致华盛顿法院系统中断
Strela Stealer 恶意软件袭击德国、西班牙
诺基亚遭到IntelBroker攻击
Microsoft 服务被利用来秘密部署恶意软件
施耐德电气确认受到网络攻击

数据泄露

超过7亿EA用户账户因严重账户系统漏洞而暴露
圣泽维尔大学数据泄露事件影响超过20万人
SelectBlinds 网站遭遇网络攻击泄露超过 20 万名客户的信息
Microlise 员工数据在网络攻击中遭到泄露
俄亥俄州哥伦布市已有50万人遭到Rhysida勒索软件攻击导致数据泄露

NEWS

Part 1

全球动态

美国陆军网络司令部新型AI工具有望增强

五角大楼网络防御能力

美国网络司令部开发的一种名为Panoptic Junction的人工智能工具在保护国防部网络方面取得了成功，并可能在未来扩展。Panoptic Junction是陆军网络司令部（ARCYBER）的一项努力，旨在通过AI和机器学习平台实现网络和平台的可扩展、持续安全监控。该工具能够分析系统合规性、威胁情报和网络事件数据流，以快速检测敌方活动、恶意软件和异常。美国陆军网络司令部执行主任 Morgan Adamski 指出，该技术提高了操作和维护效率，改善了识别风险和检测敌方活动的能力，并提供了实时加固建议。美国网络司令部最近成立了AI特别工作组，旨在探索AI在操作执行中的实时应用，并允许在90天内部署AI能力。

原文链接：https://defensescoop.com/2024/10/30/cybercom-army-cyber-command-panoptic-junction-artificial-intelligence/

RansomHub取代LockBit成为头号勒索软

件集团

RansomHub在勒索软件领域迅速崛起，取代了LockBit成为最主要的勒索软件集团。2024年9月，RansomHub声称了近五分之一的勒索软件受害者。与此同时，LockBit的影响力大幅下降，从2022年和2023年的40%受害者占比降至仅5%。RansomHub采用勒索软件即服务模式，允许合作伙伴使用其工具和基础设施进行攻击，并且已经渗透了超过200个组织。该集团的技术包括远程加密能力，主要针对工业制造和医疗保健行业。RansomHub的出现和增长标志着勒索软件行业的一个新转变，其攻击模式和技术的创新使得勒索软件威胁更加复杂和危险。

原文链接：https://cybernews.com/security/ransomhub-dethrones-lockbit-as-top-ransomware-cartel/

白宫即将完成包含多项议程的第二份网络

安全行政命令

白宫接近完成第二份涵盖广泛议题的网络安全行政命令，包括人工智能、安全软件、云安全、身份认证和后量子密码学等。这份命令是继拜登总统上任首年签署的网络安全行政命令之后的后续行动。命令草案已经完成了95%，目标是在12月初签署，但具体时间还需总统审查和批准。命令将重点关注AI在下一代网络防御模型中的应用，以及提高软件透明度和部署符合第一命令标准的安全软件。此外，还将更新云产品安全评估的FedRAMP程序，加强软件供应链安全，并建立在国家标准技术研究院今年早些时候发布的后量子密码学标准之上。命令还包括现代化联邦身份认证和访问管理，以及涉及软件物料清单、开源网络安全、保护联邦通信和互联网路由等内容。专家们对这份命令的看法不一，有人认为它应该继承第一份命令的内容，也有人质疑在没有资金保障的情况下给机构增加任务的价值。

原文链接：https://cyberscoop.com/biden-cybersecurity-executive-order-ai-cloud-security-identity-credential/

联邦数据安全领导者发布零信任实施指南

美国联邦政府IT领导者在白宫零信任实施计划截止日期前一周发布了一份指南，旨在加强数据安全实践。这份42页的《联邦零信任数据安全指南》由联邦首席数据官和联邦首席信息安全官理事会牵头，聚焦于“保护数据本身，而非保护数据的外围”。到11月7日，联邦机构必须向国家网络总监办公室和行政管理预算局提交更新的零信任实施计划。该指南提供了详细的零信任原则，旨在为系统所有者、管理员、网络安全工程师和数据经理提供决策指导，并与机构任务保持一致。指南还包括一个五步零信任安全路线图，概述了实践者可以采取的保护数据的行动，以及识别、定义和分类数据的部分。此外，指南强调了可能损害美国国家安全和经济利益的数据相关风险，并强调实践者必须理解其角色和责任，并为管理信息安全风险负责。最后，指南提出了一系列最佳数据实践建议，包括跨功能沟通、数据与安全团队之间的紧密关系、持续学习和教育、适应性、定期评估和全面认同。

原文链接：https://fedscoop.com/zero-trust-guide-federal-ciso-cdo-councils/

Part 2

安全事件

勒索软件攻击导致微芯片技术公司损失

超过2100万美元

美国半导体制造商微芯科技公司（Microchip Technology）报告称，在 8 月份其网络遭受 Play勒索软件攻击后，该公司损失了近 2140 万美元，这次攻击还中断了一些生产设施的运行。Play 此前声称，Microchip网络被入侵导致 4 GB 的档案文件被盗，据称其中不仅包括个人信息和客户档案，还包括税务、财务、会计、薪资和预算相关文件。Play 还承认，在 Microchip 未在规定期限内提供赎金要求的情况下，泄露了被盗数据。

原文链接：https://www.securityweek.com/microchip-technology-reports-21-4-million-cost-from-ransomware-attack/

网络入侵导致华盛顿法院系统中断

华盛顿州法院系统在上周末遭受网络攻击后，经州法院行政办公室（AOC）官员证实，该系统仍处于中断状态。AOC 副主任 Wendy Ferrell 表示，已立即采取行动关闭州法院的网站、司法信息系统和相关服务，以避免进一步的损害，并指出正在开展恢复工作。此类入侵导致多个市法院和地区法院的运营受限。一年多前，堪萨斯州司法部门遭受网络攻击，导致敏感文件泄露，以及多个州法院信息、案件管理和电子支付系统中断。

原文链接：https://www.bleepingcomputer.com/news/security/washington-courts-systems-offline-following-weekend-cyberattack/

Strela Stealer 恶意软件袭击德国、西班牙

作为新一轮攻击活动的一部分，欧洲中欧和西南部地区，特别是德国和西班牙，部署了比Strela Stealer电子邮件凭证窃取程序更强大、更隐蔽的版本进行攻击。Cyble 研究与情报实验室的分析显示，恶意电子邮件伪装成发票，其中包含 ZIP 附件，这些恶意电子邮件被用来执行 WebDAV 检索到的 DLL，该 DLL 会加载更新的 Strela Stealer 变种，该变种仅在验证位于德国和西班牙的设备后才会窃取和泄露 Outlook 和 Thunderbird 凭据以及系统信息。“Strela Stealer 活动的最新迭代揭示了恶意软件传播技术的显著进步，突显出其复杂性和隐蔽性有所提高。通过使用包含 ZIP 文件附件的鱼叉式网络钓鱼电子邮件，该恶意软件成功绕过了传统的安全防御措施，”研究人员表示，他们敦促加强对员工的网络钓鱼教育工作、WebDAV 服务器访问控制和端点安全解决方案。

原文链接：

https://cybernews.com/security/germany-and-spain-hit-with-stealthy-strela-stealer/

诺基亚遭到IntelBroker攻击

黑客声称通过第三方承包商入侵了诺基亚，窃取了SSH密钥、源代码和内部凭证等敏感信息，并在BreachForums上以2万美元的价格出售。黑客Intel Broker表示，尽管没有访问到客户数据，但已获取诺基亚系统的“关键内部数据”。泄露的数据包括SSH密钥、RSA密钥、Bitbucket登录凭证、SMTP账户、Webhook和硬编码凭证等，这些信息可能被用于进一步未授权访问内部系统或发动其他类型的网络攻击。诺基亚已确认正在积极调查这一指控，但目前没有证据表明其系统或数据受到影响。Intel Broker是Breach Forums的创始人，以高调的数据泄露事件而闻名，包括声称入侵苹果、AMD和欧洲刑警组织等。

原文链接：https://www.scworld.com/brief/nokia-purportedly-breached-by-intelbroker

Microsoft 服务被利用来秘密部署恶意软件

VEILDrive攻击活动被发现利用微软的合法服务，包括Teams、SharePoint、Quick Assist和OneDrive，来分发鱼叉式网络钓鱼攻击和存储恶意软件，以此逃避检测。以色列网络安全公司Hunters在2024年9月响应一起针对美国关键基础设施组织的网络事件时发现了这一活动。攻击者通过发送Teams消息，冒充IT团队成员，请求通过Quick Assist工具远程访问系统。他们利用了之前受害组织的信任基础设施，通过OneDrive部署基于Java的恶意软件，用于命令和控制。攻击者还使用了SharePoint下载链接和LiteManager远程访问工具。这种基于SaaS的策略使得攻击者能够绕过传统监控系统，增加了实时检测的复杂性，并绕过了常规防御。

原文链接：https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html

施耐德电气确认受到网络攻击

法国跨国公司施耐德电气（Schneider Electric）证实正在调查一起网络攻击事件，该事件涉及未经授权访问其内部项目执行跟踪平台。据报道，一个名为HellCat的相对较不知名的勒索软件团伙声称对此次攻击负责，并声称已窃取约40GB的项目数据和用户信息，要求支付12.5万美元的赎金以防止信息泄露。施耐德电气是全球最大的数字自动化和能源管理公司之一，拥有超过10万名员工，去年报告的收入为390亿美元。此前，该公司的可持续性业务部门也曾遭受勒索软件攻击。HellCat团伙还声称攻击了约旦教育部，但该事件无法得到验证。FBI表示，今年已进行了30多次勒索软件破坏行动，可能导致勒索软件团伙分裂成更小的行动组。

原文链接：https://therecord.media/schneider-electric-hackers-accessed-internal-project-tracking-platform

Part 3

数据泄露

超过7亿EA用户账户因严重账户系统漏洞

而暴露

美国大型视频游戏公司 Electronic Arts 的账户系统因存在严重漏洞而泄露了超过 7 亿个用户账户信息，该漏洞可能被利用来泄露用户名和游戏数据，以及未经授权的账户登录。游戏开发者兼道德黑客 Sean Kahler 通过识别游戏可执行文件中的硬编码凭据后获得的开发者测试环境特权访问令牌，发现了错误配置的 API 导致大量帐户暴露。该API允许修改玩家档案。他利用这个API将Steam账户和Xbox账户链接到其他用户的EA账户，无需密码即可登录游戏。这个漏洞还允许攻击者窃取用户名和游戏数据，更改用户名，禁止账户访问游戏或绕过禁令。Kahler在2024年6月16日向EA披露了这个漏洞，EA确认了这个漏洞并将其定为严重级别。随后在7月7日至10月8日之间发布了五个补丁。

原文链接：https://cybernews.com/security/whitehat-gains-access-to-over-700-million-ea-accounts/

圣泽维尔大学数据泄露事件影响超过20万人

位于芝加哥的圣泽维尔大学（Saint Xavier University）在 2023 年 6 月下旬遭受网络攻击后，有 212267 人的信息被外泄。圣泽维尔大学在一份违规通知函中表示，从 6 月 29 日至 7 月 18 日入侵其系统的攻击者能够窃取一些系统文件，其中包括个人姓名、财务详细信息和社会安全号码，被盗数据因人而异，该信函也已提供给缅因州总检察长办公室。圣泽维尔大学为数据被泄露的个人提供了一年的免费信用监控服务和数据保护建议，该大学还指出，由于对被盗数据的详尽审查和努力核对记录以改进通知流程，事件影响的披露被推迟。虽然圣泽维尔大学并未透露其遭受了何种类型的网络攻击，但 Alphv/ BlackCat勒索软件团伙曾于 2023 年 8 月声称对此次事件负责。

原文链接：

https://www.securityweek.com/210000-impacted-by-year-old-saint-xavier-university-data-breach/

SelectBlinds 网站遭遇网络攻击泄露超过

20 万名客户的信息

美国窗帘和遮光帘销售商 SelectBlinds 网站自1月初遭受恶意软件攻击后，超过 20 万名客户的信息被泄露。此类恶意软件攻击直到9月底才被发现，影响了访问过SelectBlinds网站结账页面的用户的登录信息、姓名、电话号码、电子邮件、送货和账单地址，以及包含CVV码和有效期的支付卡详细信息。除了锁定受影响的账户外，公司还敦促受影响的用户立即更换使用相同密码的其他网站的登录凭据。在 SelectBlinds 披露攻击事件之前，Recorded Future 的一份报告详细描述了暗网上信用卡商店出售 1500 万条被盗信用卡记录的情况。

原文链接：

https://therecord.media/selectblinds-customers-credit-card-info-data-breach-website-malware

Microlise 员工数据在网络攻击中遭到泄露

英国远程信息处理提供商Microlise 因遭受网络攻击，导致部分员工数据泄露。该公司向伦敦证券交易所报告称，客户数据未受影响，但员工信息受到泄露。Microlise最初于10月31日披露了这一入侵事件，导致其股价下跌16%，至今未完全恢复。公司预计服务将在本周末全面恢复，并表示已在控制和清除网络威胁方面取得实质性进展。尽管努力最小化影响，但主要客户如DHL和Serco确认受到了一定程度的影响。DHL的送货跟踪能力失效，影响了Nisa Group商店。Serco的囚犯运输车辆的紧急报警和跟踪系统短暂失效，但服务未中断。Microlise正在与第三方网络安全专家合作调查此事件，并专注于减少对客户的干扰。尽管如此，包括Tesco在内的其他客户未对此事发表评论。

原文链接：https://www.theregister.com/2024/11/06/microlise_cyberattack/

俄亥俄州哥伦布市已有50万人遭到Rhysida

勒索软件攻击导致数据泄露

2024年7月，哥伦布市遭受勒索软件攻击，泄露了50万人的个人和财务信息。Rhysida勒索软件团伙声称窃取了6.5TB的数据，包括员工凭证和城市紧急服务应用程序的服务器完整转储，并索要30比特币赎金。哥伦布市表示攻击被成功阻止，没有系统被加密。尽管市长声称数据可能已损坏且无法使用，但一名网络安全研究员发现居民信息已在暗网列出。目前，该团伙已在暗网泄露网站上公布了31TB的被盗数据。哥伦布市向受影响个人提供了24个月的信用监控和暗网监控服务。

原文链接：https://securityaffairs.com/170568/data-breach/city-of-columbus-ransomware-attack-impacted-500000-people.html