安全简讯（2025.01.15）

1. OneBlood遭勒索软件攻击，献血者个人信息泄露

1月13日，非盈利献血机构OneBlood证实，2024年夏天遭受了一次勒索软件攻击，导致献血者的个人信息被窃取。该机构于2024年7月31日首次公开了这一事件，指出攻击者加密了其虚拟机，迫使其采用手动流程，进而影响了血液采集、检测和分配，导致部分诊所出现严重血液短缺。OneBlood随即发出紧急呼吁，请求捐献O型血、O型血阴性血和血小板。上周，OneBlood开始向受影响个人发送数据泄露通知，确认泄露发生在2024年7月14日，且威胁行为者直至7月29日才失去网络访问权限。泄露数据主要包括姓名和社会安全号码（SSN），这些信息可能被用于身份盗窃和金融欺诈，风险持续多年。为降低风险，OneBlood提供了一年免费信用监控服务，并建议受影响个人设置信用冻结和欺诈警报。尽管OneBlood已履行通知义务，但六个月的延迟仍使受影响者面临风险。目前，勒索软件攻击的具体受影响人数尚未披露。

https://www.bleepingcomputer.com/news/security/oneblood-confirms-personal-data-stolen-in-july-ransomware-attack/

2. 俄情报关联黑客组织利用哈政府文件网络钓鱼攻击中亚官员

1月13日，Sekoia研究人员揭示，一个与俄罗斯情报部门相关联的黑客组织，利用看似合法的哈萨克斯坦政府文件作为网络钓鱼诱饵，成功感染和监视了中亚政府官员。这些文件包括哈萨克斯坦政府的外交声明、信函等草稿，且内容与真实文件高度相似，内嵌有恶意软件。该黑客组织被指认为APT 28（Fancy Bear），与莫斯科中央情报局(GRU)有联系。自2024年7月以来，该组织在中亚、东亚和欧洲地区已诱骗数十名受害者，使用HATVIBE和CHERRYSPY两种恶意软件。这些文档在Word中执行恶意宏文件，降低设备安全设置，保存恶意软件变量并启动秘密程序。此次活动被命名为“双击”。据分析，HATVIBE与ZEBROCY后门技术重叠，均指向Fancy Bear。尽管尚不清楚APT 28如何获取这些哈萨克斯坦政府文件，但研究人员推测可能通过早期网络行动泄露、开源收集或物理行动获得。哈萨克斯坦因在乌克兰战争等问题上脱离俄罗斯影响，以及成为贸易重要伙伴和建设核电站的国际竞争，成为网络间谍活动的主要目标。俄罗斯旨在确保哈萨克斯坦政治一致，抵消竞争对手影响，并巩固其在该地区的经济和战略地位。

https://cyberscoop.com/fancy-bear-kazakhstan-russia-sekoia/

3. Aviatrix Controller高危漏洞致云部署受威胁

1月13日，Aviatrix Controller中的一个高严重性漏洞（CVE-2024-50603）被披露后，对多个云部署构成了威胁。该漏洞允许远程代码执行（RCE），并且在AWS中的默认部署存在权限提升风险，因此特别危险。漏洞于1月7日披露，已有公开的概念验证（PoC）漏洞。Aviatrix Controller用于帮助管理和自动化AWS部署，尽管只有约3%的AWS客户使用该产品，但在65%的云环境中，它部署在虚拟机上，存在横向移动路径，允许攻击者获得管理员权限。研究人员观察到成功漏洞导致恶意软件部署，如Silver后门和加密劫持。防御者可以升级到7.2.4996版本以避免该漏洞，并阻止通过端口443的公开访问。Aviatrix还提供了补丁，但指出在某些情况下可能需要重新应用。

https://www.theregister.com/2025/01/13/severe_aviatrix_controller_vulnerability/

4. 《流放之路2》遭黑客攻击，66个玩家帐户被盗

1月13日，《流放之路2》遭受了一起严重的黑客攻击事件，攻击者通过盗取的一个旧Steam帐户，获得了与该帐户相关联的管理员帐户访问权限。这一漏洞使得威胁行为者能够更改至少66个玩家帐户的密码，并访问这些帐户，导致许多玩家丢失了游戏内购买的物品，包括贵重装备和花费数百小时才获得的物品。由于日志保留的时间限制，可能还有更多帐户在此次违规行为中受损，但具体范围已无法确定。游戏开发商Grinding Gear Games的游戏总监证实了这次攻击，并表示这是通过一个被盗的管理员帐户进行的。他还透露，游戏后端存在错误和安全漏洞，本可以阻止这次攻击，但遗憾的是他们“完全搞砸了”。尽管开发商已经采取了一些安全措施，但对于那些受影响的帐户，他们尚未宣布任何补偿计划，并表示无法恢复被盗物品。此次事件对玩家社区造成了重大影响，许多玩家对游戏的安全性表示担忧。

https://www.bleepingcomputer.com/news/security/stolen-path-of-exile-2-admin-account-used-to-hack-player-accounts/

5. AWS S3存储桶遭Codefinger勒索软件加密攻击

1月13日，一种新的勒索软件活动正在利用AWS的服务器端加密和客户提供的密钥（SSE-C）来加密Amazon S3存储桶中的数据，并要求支付赎金才能获得解密密钥。这一活动由名为“Codefinger”的威胁行为者发起，并已至少对两名受害者实施了攻击。亚马逊简单存储服务（S3）是一种可扩展、安全且高速的对象存储服务，而SSE-C是一种加密选项，允许客户使用自己的加密密钥通过AES-256算法加密和解密数据。在Codefinger的攻击中，威胁行为者使用受损的AWS凭证定位具有特定权限的受害者密钥，然后在本地生成加密密钥来加密目标数据。由于AWS不存储这些加密密钥，因此数据恢复变得不可能，除非得到攻击者的合作。攻击者还设置了为期七天的文件删除策略，并在所有受影响的目录中放置赎金通知，要求受害者在指定的比特币地址上支付赎金。为了防御此类攻击，亚马逊建议实施严格的安全协议，并鼓励AWS客户设置限制性策略，防止在其S3存储桶上使用SSE-C。同时，应禁用未使用的AWS密钥，经常轮换活动密钥，并将帐户权限保持在所需的最低级别。

https://www.bleepingcomputer.com/news/security/ransomware-abuses-amazon-aws-feature-to-encrypt-s3-buckets/

6. 埃因霍温理工大学遭网络攻击，紧急关闭网络并取消教育活动

1月13日，埃因霍温理工大学在周六晚上9点左右检测到网络攻击后，迅速采取了关闭网络的措施以防止更严重的后果。尽管此举导致依赖大学网络的设施（如电子邮件、WiFi和食堂收银机）无法使用，但学生和员工仍可以进入校园。大学在周日发表声明称，由于学生正在准备考试，预计此次网络攻击对教学时间的影响将有限，同时强调其IT人员正在全力调查此次攻击，并指出目前尚无迹象表明数据被盗。副校长帕特里克·格鲁特胡斯表示，他们意识到关闭网络会带来严重后果，但这是为了防止更糟糕的结果发生，并希望得到大家的理解。尽管此次攻击的具体性质尚未披露，但欧洲许多理工大学近年来都受到了勒索软件组织的影响。值得注意的是，尽管埃因霍温理工大学与许多企业保持着联系，但目前没有迹象表明这些企业可能受到影响。

https://therecord.media/tu-eindhoven-cyberattack-lectures-canceled