网络安全资讯周报(2024/12/30 - 2025/01/03)

• 美国罗德岛州公共福利数据被盗 

• Cariad 因配置错误泄露近80万辆电动汽车的数据 

• Hellcat 勒索软件泄露施耐德电气数据 

• ZAGG 客户信用卡数据被泄露 

• 黑客发布第二批思科被盗数据 

美国已对伊朗政府资助的认知设计生产中心（Cognitive Design Production Center，CDPC）和俄罗斯政府支持的地缘政治专业知识中心及其主任瓦列里·米哈伊洛维奇·科罗文实施制裁，原因是他们参与了旨在 干预美国总统大选的影响行动。美国财政部的一份声明称，在选举前，CDPC 发起虚假信息宣传和黑客泄密行动，加剧美国社会政治紧张局势的同时，CGE 利用生成人工智能建立了一个广泛的合法新闻媒体欺骗网站网络。财政部表示：“国际非营利基金会地缘政治专业知识中心（CGE）建立了一个服务器，托管生成人工智能工具和相关的人工智能创建的内容，以避免外国网络托管服务阻止其活动。”联邦情报机构和威胁情报公司还发现了俄罗斯和伊朗的其他虚假信息行动。美国国务院新闻秘书马修·米勒表示：“今天的制裁建立在美国政府此前采取的众多行动的基础上，这些行动挫败了伊朗破坏我们民主制度信心的企图，以及俄罗斯的全球恶意影响活动和非法网络活动。”

原文链接：

https://www.scworld.com/brief/iranian-russian-entities-face-us-sanctions-over-election-interference

美国司法部已最终确定一项规则，禁止向中国、俄罗斯、伊朗、朝鲜、委内瑞拉和古巴等国家出售美国人的生物特征、地理位置、健康、基因组和财务数据以及美国政府数据，该规则最初是作为 2 月份行政命令的一部分提出的。司法部称，对手不断加大数据收集力度，以加强人工智能能力、网络间谍活动以及针对政治对手、持不同政见者、记者等的影响运动，这迫使最终确定该规则。美国国家安全局助理司法部长马修奥尔森表示：“这项强有力的新国家安全计划旨在确保美国人的个人数据不再被出售给敌对的外国势力，无论是通过直接购买还是其他商业手段。”

原文链接：

https://thehackernews.com/2024/12/new-us-doj-rule-halts-bulk-data.html

随着2025年的到来，网络安全领域将迎来重大变革。AI驱动的安全协调、自动化和响应（SOAR）系统将实现自动化威胁检测和响应，提升防御能力。关键基础设施面临的网络攻击威胁加剧，可能由国家行为者发起，凸显数字化服务的脆弱性。信息战工具和“假信息即服务”将使网络犯罪分子能够发动更具说服力的攻击。地缘政治紧张局势将继续塑造全球组织的威胁格局，增加国家支持的网络活动和网络间谍行为。零信任和网络意识文化将被更多组织采纳，强调人类风险管理。深度伪造检测技术的进步将减少误报，并更易于消费者使用。网络安全的人为因素将重新受到关注，将员工从潜在的负担转变为保护组织的“人肉防火墙”。面对这些挑战和进步，组织和个人必须保持信息灵通、适应性强，并主动采取网络安全策略。

原文链接：https://www.fortinet.com/blog/threat-research/catching-ec2-grouper-no-indicators-required

福特汽车公司的 X 社交媒体账户于本周一发布了三篇表达对加沙支持的帖子，几个小时后，该公司声称遭到了黑客攻击。福特汽车公司表示，这些帖子均未经授权，现已被删除，该公司已对 X 账户入侵事件展开调查。Flow Specialty 经纪公司总裁David Derigiotis 指出，此类事件发生在一系列入侵知名组织和个人社交媒体账户的攻击事件之后。他敦促立即采取行动恢复被劫持的账户，同时警告威胁者利用各种手段发起入侵。

原文链接：https://www.cbsnews.com/detroit/news/ford-says-x-account-briefly-compromised/

根据最新发现，影响部分 Four-Faith 工业路由器的高严重性漏洞正在遭到广泛利用。超过 15000 台暴露在互联网上的 Four-Faith F3x24 和 F3x36 路由器可能会在持续的入侵中受到攻击，这些入侵利用了高严重性操作系统命令注入漏洞（跟踪编号为 CVE-2024-12856）。一份报告显示，针对易受攻击的路由器的攻击是从之前利用 Four-Faith 远程代码执行漏洞（跟踪编号为 CVE-2019-12168）的同一 IP 地址进行的，然后利用新漏洞部署反向 shell 以确保持久性并提示未经身份验证的操作系统命令执行。成功利用此漏洞后，攻击者可以在路由器上执行远程代码、安装恶意软件、窃取敏感数据、破坏网络操作，并将路由器用作进一步攻击的起点。有证据表明，利用该漏洞的攻击可能至少从 2024 年 11 月初就开始了，目前尚无关于补丁可用性的信息。

原文链接：

https://thehackernews.com/2024/12/15000-four-faith-routers-exposed-to-new.html

威胁者利用声称来自知名公司的恶意工作机会来传播窃取加密货币的恶意软件。攻击者冒充Meta、Gemini、Kraken 和 MEXC 的招聘人员，使用LinkedIn、Telegram、Discord 和其他求职网站提供高薪工作机会，主要针对那些寻求业务发展职位的人，最终发送“Willo | 视频面试”网站的链接。此类链接会重定向到求职面试问卷，要求目标制作视频录像，然后攻击者提供的修复程序会触发恶意软件。研究人员表示，如果一旦感染这种病毒，需要立刻清空电脑。

原文链接：https://cybernews.com/cybercrime/crypto-thieves-recruiting-messages/

乌克兰国家登记册遭受了一次大规模网络攻击，疑似由俄罗斯黑客发起。此次攻击导致存储公民生物特征数据、商业记录等敏感信息的数据库暂时关闭。乌克兰副总理奥尔加·斯特凡尼什娜表示，攻击目的是破坏关键基础设施，制造恐慌。乌克兰国家安全局怀疑与俄罗斯军事情报局有关联的黑客组织Sandworm是幕后黑手。亲俄组织XakNet宣称对攻击负责，并声称已窃取并删除了大量数据。此次攻击可能导致个人和企业流程延迟，乌克兰正在评估损失并努力恢复服务，同时考虑将此类攻击定性为战争罪。

原文链接：https://therecord.media/ukraine-government-cyberattack-state-registers-russia

亲俄罗斯黑客组织NoName57对多个意大利网站发起DDoS攻击，包括马尔彭萨和利纳特机场以及外交部网站。意大利国家网络犯罪中心正在调查并协助缓解攻击。攻击未影响机场运营，但网站仍存在问题。NoName57声称攻击是对意大利反俄情绪的回应。意大利外交部长表示将加强全球意大利办公室的网络安全。该组织自2022年3月以来活跃，使用多种工具进行攻击，包括Bobik僵尸网络。攻击通常在地缘政治紧张时期加剧。

原文链接：https://securityaffairs.com/172395/security/pro-russia-group-noname057-targets-italian-airports.html

EC2 Grouper是一个活跃的黑客团伙，以其在云环境中使用AWS工具和PowerShell进行攻击而知名。他们通过特定的用户代理和安全组命名约定来识别，例如在攻击中使用“ec2group”后缀。该团伙攻击行为通常是自动化的，包括查询EC2实例类型、区域信息，以及创建新的安全组和启动新的EC2实例。他们的目标可能是资源劫持，但具体目的尚未确认。EC2 Grouper被认为是通过代码库中泄露的云访问密钥来获取凭证的主要方式，这些密钥可能被公开或被秘密扫描器发现。这个群体以其频繁和一致的活动而突出，对云安全构成威胁。

原文链接：https://www.fortinet.com/blog/threat-research/catching-ec2-grouper-no-indicators-required

美国罗德岛州德勤管理的公共福利计算机系统RIBridges于2024年12月遭到 Brain Cipher 勒索软件攻击，部分文件遭泄露。罗德岛州州长丹尼尔·麦基在一份声明中表示，仍在调查 RIBridges 泄露的数据类型。该系统处理联邦和州福利计划的信息，包括医疗补助、补充营养援助计划、贫困家庭临时援助、罗德岛工程和 HealthSource RI。该声明敦促可能受到 RIBridges 漏洞影响的个人不仅要确保冻结信用、获取免费信用报告、从信用监控机构获得欺诈警报，还要利用多因素身份验证，同时警惕网络钓鱼电子邮件、消息和电话。

原文链接：

https://apnews.com/article/cybersecurity-breach-data-rhode-island-e4a7298010d59fe6cb095a436f912a5d

大众汽车集团旗下的汽车软件公司Cariad因亚马逊云存储配置错误而导致约 80 万辆奥迪、西雅特、斯柯达和大众电动汽车的数TB 客户数据暴露在互联网上长达数月之久。据悉，泄露的数据还包含超过半数车辆（约 46 万辆）的精确位置坐标。他们表示，部分位置数据精确到几厘米，数据显示了德国、挪威、瑞典、英国（按降序排列）等国家/地区发现的大多数车辆。Cariad公司已修复了导致数据泄露的漏洞，并表示没有证据表明除安全研究人员外，还有其他人接触过这些数据。

原文链接：

https://www.bleepingcomputer.com/news/security/customer-data-from-800-000-electric-cars-and-owners-exposed-online/

施耐德电气（Schneider Electric）在拒绝支付价值 12.5 万美元的赎金后，其 40 GB 的被盗数据文件于周日在暗网上被 Hellcat 勒索软件组织曝光。11 月初，法国跨国能源管理和自动化制造商 Atlassian Jira 系统遭到入侵，Hellcat 得以窃取该数据库，据称其中包含超过 40 万行用户详细信息以及公司项目、问题和插件信息。施耐德电气此前已证实遭受 Hellcat 攻击，但尚未对此次数据泄露事件发表评论。今年 2 月，该公司有 1.5 TB 的数据被 Cactus 勒索软件攻击泄露，而其系统也在去年遭到 Clop 勒索软件团伙发动的大规模 MOVEit 攻击。另一方面，Hellcat 此前曾声称对 Pinger 应用程序、坦桑尼亚商学院和约旦教育部进行过入侵。

原文链接：https://cybernews.com/security/schneider-electrics-data-breach/

美国消费电子配件公司ZAGG Inc.披露了一起数据泄露事件，该事件导致客户信用卡数据被泄露。泄露是由于其电子商务提供商BigCommerce的第三方应用程序FreshClick被黑客攻击。攻击者在2024年10月26日至11月7日之间注入恶意代码，窃取了ZAGG.com交易中的信用卡数据。受影响信息包括姓名、地址和支付卡详细信息。BigCommerce确认其系统安全，并已从客户商店中移除被黑客攻击的FreshClick应用程序。ZAGG已采取措施以降低未来类似事件的风险，并为受影响客户提供12个月的免费Experian信用监控服务。

原文链接：https://securityaffairs.com/172434/data-breach/zagg-credit-card-data-data-breach.html

黑客IntelBroker 发布了从 2024 年 10 月的数据泄露事件中提取的第二批思科数据，总计 4.84 GB，声称这是 4.5 TB 数据库中的一部分。此前IntelBroker 泄露了同一资料库中 2.9 GB 的文件。根据 IntelBroker 在 BreachForums 上发布的一篇帖子，最新数据转储中包含 Java 二进制文件、应用程序档案、源代码、思科 XRv9K 虚拟路由器映像和配置、云服务器磁盘映像、内部项目档案、测试日志和脚本、加密签名、零接触配置 (ZTP) 日志和包以及其他操作和杂项信息。思科已证实IntelBroker泄露的4GB数据为真实文件。

原文链接：https://hackread.com/hackers-release-second-batch-of-stolen-cisco-data/