安全简讯（2024.12.19）

1. SonicWall SSLVPN 设备严重漏洞曝光：超25,000台设备易受攻击

12月17日，网络安全公司Bishop Fox的分析揭示，超过25,000台可公开访问的SonicWall SSLVPN设备存在重大安全隐患，其中20,000台设备运行着供应商不再支持的SonicOS/OSX固件版本。这些设备容易遭受勒索软件组织如Fog和Akira的攻击，成为其入侵公司网络的入口。通过扫描工具，Bishop Fox发现了430,363个公开暴露的SonicWall防火墙，管理或SSL VPN接口可从互联网访问，为攻击者提供了探测漏洞、过时固件、错误配置和破解弱密码的机会。其中，6,633台设备已达到使用寿命，另有14,077台使用Series 6的不再受支持版本，共20,710台易受公开漏洞攻击。此外，还有大量设备运行着未知版本或不受支持的固件。虽然相比2024年1月，易受攻击的端点数量有所下降，但补丁采用速度仍然缓慢，显示出网络安全形势依然严峻。

https://www.bleepingcomputer.com/news/security/over-25-000-sonicwall-vpn-firewalls-exposed-to-critical-flaws/

2. 纳米比亚电信遭勒索软件攻击，敏感数据泄露

12月17日，纳米比亚国有电信公司近期遭受了勒索软件攻击，导致近50万条敏感客户数据被泄露，其中包括高级政府官员的信息。在拒绝与黑客组织“猎人国际”合作后，黑客将这些数据公布到了暗网上。纳米比亚电信公司正在调查此次大规模系统入侵的原因，并正与安全官员合作，以减少进一步的信息泄露并追捕罪犯。即将卸任的总统南戈洛·姆本巴对此次网络攻击表示谴责，并呼吁以应有的紧迫性处理此事，指出网络安全是国家安全问题。据纳米比亚电信公司首席执行官斯坦利·沙纳平达表示，公司不会与黑客就赎金进行谈判，因为赎金数额过高且支付赎金也不能保证信息不被泄露。此次攻击中，黑客窃取了包括个人身份信息、地址和银行信息等在内的敏感客户记录，并在社交媒体上分享。纳米比亚电信公司警告人们不要分享任何泄露的信息，并敦促客户更改密码，避免在可疑情况下进行转账。

https://www.capitalfm.co.ke/news/2024/12/sensitive-data-leaked-after-namibia-ransomware-hack/

3. 网络钓鱼诈骗新手段：滥用Google日历和绘图页面窃取凭证

12月18日，近期网络钓鱼诈骗活动频繁，不法分子利用Google日历邀请和Google绘图页面作为工具，企图窃取用户凭证，并成功绕过了垃圾邮件过滤器。据网络安全监控机构Check Point报告，短短四周内，已有300个品牌遭受攻击，超过4,000封钓鱼邮件被发送。这些邮件的目标广泛，包括教育机构、医疗机构、建筑公司和银行等。攻击手法主要是通过Google日历发送看似无害的会议邀请，邀请中嵌入指向Google Forms或Google Drawing的链接，诱导用户点击伪装成reCaptcha或支持按钮的另一个链接。由于这些邀请来自合法的Google服务，因此能够绕过垃圾邮件过滤器。Check Point指出，攻击者利用了Google日历服务，使得邮件标题看起来完全合法，与正常Google日历邀请无异，并通过了DKIM、SPF和DMARC等电子邮件安全检查。此外，攻击者还会取消Google日历活动并附加消息，以增加钓鱼邮件的发送量。尽管Google曾推出保护措施，但若Google Workspace管理员未启用，日历中仍会自动添加此类邀请。

https://www.bleepingcomputer.com/news/security/ongoing-phishing-attack-abuses-google-calendar-to-bypass-spam-filters/

4. APT29黑客组织利用193个RDP代理服务器执行MiTM攻击

12月18日，俄罗斯黑客组织APT29（又称“午夜暴雪”）正利用由193个远程桌面协议（RDP）代理服务器构成的网络执行中间人（MiTM）攻击，旨在窃取数据、凭据并安装恶意负载。该组织使用PyRDP红队代理工具，通过RDP协议扫描受害者文件系统、窃取数据并在远程执行恶意程序。据趋势科技（Trend Micro）报告，APT29的目标包括政府、军事、外交、IT、云服务、电信及网络安全公司等，特别针对美国、法国、澳大利亚等多个国家的实体。2024年10月，亚马逊和CERT-UA发布的报告显示，APT29诱骗受害者通过网络钓鱼邮件连接到恶意RDP服务器，共享本地资源，从而无条件访问敏感信息。趋势科技的最新研究揭示了193个RDP代理服务器将连接重定向至34个后端服务器，使攻击者能监视和拦截RDP会话。黑客利用PyRDP工具拦截受害者与远程会话间的通信，记录凭据、窃取数据并在新连接上运行恶意命令。此外，APT29还采用商业VPN、TOR出口节点和住宅代理服务掩盖恶意服务器IP地址。为防范此类攻击，用户应仅与已知、受信任的服务器建立RDP连接，并警惕来自未知来源的RDP连接请求。

https://www.bleepingcomputer.com/news/security/russian-hackers-use-rdp-proxies-to-steal-data-in-mitm-attacks/

5. 网络钓鱼活动滥用HubSpot窃取20,000 Azure帐户凭据

12月18日，针对德国和英国的汽车、化学及工业制造公司，一场网络钓鱼活动正在利用HubSpot平台窃取Microsoft Azure帐户凭据。据Palo Alto Networks的Unit 42研究团队报告，该活动自2024年6月起至少持续至9月，已危及约20,000个账户。威胁行为者通过HubSpot Free Form Builder创建欺骗性表格，并利用模仿DocuSign的PDF将受害者重定向至凭证收集页面。这些页面位于攻击者控制的“.buzz”域名网站上，模仿Microsoft Outlook Web App和Azure登录界面。尽管HubSpot基础设施未受攻击，但其被用作中间步骤引导受害者。由于邮件包含合法服务链接，它们常能避开安全工具检测进入收件箱。然而，相关邮件未通过SPF、DKIM和DMARC检查。在成功入侵后，威胁行为者使用VPN伪装地理位置，并与IT部门争夺账户控制权。Unit 42还发现了该活动中使用的新型自治系统编号和用户代理字符串，可用于威胁识别。尽管多数服务器已下线，但该活动再次表明威胁行为者正不断探索绕过安全的新方法。

https://www.bleepingcomputer.com/news/security/hubspot-phishing-targets-20-000-microsoft-azure-accounts/

6. 内布拉斯加州Regional Care医疗保险公司数据泄露

12月18日，内布拉斯加州医疗保险公司Regional Care近期披露了一起数据泄露事件，该事件影响了超过225,000人。2024年9月中旬，Regional Care发现其网络中的一个账户出现异常活动，并立即关闭了该账户。经过网络安全专家的调查，确认“未经授权的一方”可能从其系统中获取了一些文件。11月8日，该公司确定部分受损文件包含敏感个人信息，如姓名、出生日期、社会安全号码、医疗信息和健康保险信息等。针对社会保障号码被泄露的个人，Regional Care提供了免费的信用监控服务。该事件已被通报给缅因州总检察长办公室。截至目前，该保险公司尚未分享更多关于此次入侵的信息，且SecurityWeek也未发现任何已知的勒索软件组织声称对此次攻击负责。

https://www.securityweek.com/regional-care-data-breach-impacts-225000-people/