2024年上半年已经过去,全球网络安全威胁态势依然严峻,严重的网络攻击事件从未间断,众多组织遭到了勒索软件、数据窃取和隐私泄密的攻击威胁。日前,专业网站“CRN.com”按时间顺序,对2024年上半年的所发生的典型网络攻击和数据泄密事件进行了总结梳理和盘点。

1、Ivanti VPN 零日攻击

(2024年1月)

lvanti Connect Secure VPN是一款企业级远程访问解决方案,主要提供安全远程访问和多因素认证等功能。在今年1月,该系统被披露出两个高危的零日漏洞,并被威胁分子大肆利用。研究人员表示,在攻击期间,数千台Ivanti VPN设备遭到破坏,影响了众多企业组织,其中包括了美国网络安全和基础设施安全局(CISA)和Mitre(由美国政府资助的网络攻击框架研究机构)

谷歌云旗下的Mandiant团队研究人员称,Ivanti VPN漏洞与一个名为UNC5221的威胁团伙密切相关,该团伙发动的攻击最早可以追溯到12月3日。

这起攻击促使CISA向美国联邦政府的行政部门发出了安全提醒,要求采取紧急措施,在48小时内断开Ivanti Connect Secure VPN连接。1月31日,在相关漏洞被披露的三周后,Ivanti才发布了其部分版本的安全补丁。

2、微软公司高管账户泄露攻击

(2024年1月)

微软公司在1月份对外披露,网络攻击者攻击了其高级领导团队成员以及网络安全和法务团队的电子邮件系统,并将攻击活动归咎于Midnight Blizzard(午夜暴雪)团伙。该团伙曾在2020年策划实施了轰动一时的SolarWinds泄密案。

CISA稍后的调查发现,本次账户泄露事件广泛影响了多家联邦政府机构。通过入侵微软公司电子邮件账户,Midnight Blizzard窃取了大量联邦政府行政部门(FCEB)和微软之间的电子邮件通信。

为了降低攻击造成的影响,微软公司向可能受到影响的客户发出了安全提醒通知,告知他们的电子邮件内容已被非法查看。调查人员还表示,本次泄密事件最早发生于2023年11月,黑客利用了一个未实施多因素身份验证(MFA)的过期账户获得了对邮件系统的访问权限。

3、Change Healthcare网络攻击

(2024年2月)

美国最大的医疗处方服务上Change Healthcare公司在今年初遭受网络攻击,并于今年2月22日首次被研究人员披露,该攻击导致美国医疗保健系统持续了数周时间的大规模中断。调查人员为阻止攻击而被迫关闭部分IT系统,这使得许多药店、医院以及其他医疗保健组织无法处理药品订单和接收付款。

一个名为Blackcat(也叫Alphv)的网络犯罪团伙声称对本次攻击活动负责,他们表示在攻击中收到了被攻击企业所支付的2200万美元赎金。

不久之后,另一个名为RansomHub的网络犯罪团伙也声称从Change Healthcare攻击中窃取了数据。UnitedHealth在4月底表示,Change Healthcare攻击事件导致了三分之一的美国人个人隐私数据被盗,其影响非常广泛、恶劣。

Change Healthcare公司在6月份证实了有患者医疗数据在这次攻击中已泄露,攻击期间被盗的医疗数据可能包括诊断、药物、检验结果、影像、护理和治疗。

4、ConnectWise ScreenConnect漏洞利用攻击

(2024年2月)

2024年2月,Gotham Security公司的研究团队发现,在广泛应用的ConnectWise ScreenConnect 中存在两个漏洞(CVE-2023-47257和CVE-2023-47256),可导致数万家企业遭受重大网络攻击。

ConnectWise ScreenConnect 是一款远程控制软件,应用于全球 IT 管理服务提供商 (MSPs)。如黑客将这两个漏洞用于 0day 攻击中,可导致MSP 及其客户遭攻击。恶意人员可从局域网获得对所有工作站和服务器的访问权限,之后将权限提升为受影响系统的本地管理员。

ConnectWise公司很快意识到相关漏洞被利用的风险,并采取了紧急的预防措施,并在披露后数天内发布了安全补丁。CISA发布的安全通告表示,如果ConnectWise的合作伙伴和终端客户无法升级到最新版本,就应该立即关闭所有本地ScreenConnect服务器。

5、XZ Utils软件供应链攻击

(2024年3月)

xz是在所有Linux发行版中的通用数据压缩格式,应用非常广泛。在今年3月份,Red Hat公司和CISA分别发出警告,在最新版本的XZ Utils中发现被植入的恶意代码。XZ Utils项目的原始维护者披露,XZ Utils的一名代码贡献者插入了恶意代码。

在2024 年 3 月 29 日,微软PostgreSQL开发人员Andres Freund 发了一封电子邮件给oss-security,说在 xz/liblzma 中发现了一个后门,涉及混淆恶意代码的供应链攻击。Freund花大量的精力来追查这个问题,最终披露了软件后门。

调查发现,xz-utils 软件包遭受的供应链攻击历时三年,几乎成功在众多 Linux 发行版中为 sshd 植入后门,这将允许攻击者绕过密钥认证,其后果难以想象。

6、AT&T数据泄露攻击

(2024年3月)

3月30日,AT&T(美国电话电报公司)发布声明称发生了数据泄露,涉及约760万该公司当前客户和约6540万前客户,总计约7300万个账户的信息。泄露的内容可能涉及用户的姓名、邮件地址、社保号码、登录账号和密码等个人信息。初步调查发现,被泄露的数据大约在3月初就出现在暗网上,数据大约来自2019年或者更早的时间。

而在之前的2月22日,AT&T公司刚发生了一起长达10小时的重大网络中断事件,涉及通话、网络和短信服务,据称有超过7万名用户受到影响。根据美国多座城市的政府部门在社交媒体平台X上发布的信息,此次服务中断甚至影响到了人们拨打911号码联系应急服务机构的能力。

7、美国国家环境保护局数据泄露攻击

(2024年4月)

4月10日,hackread网站对外披露美国联邦环境保护局(EPA)发生了一起重大的数据泄露事件。此次事件可能由一名被称为USDoD的黑客所为,涉及超过850万用户(包括其系统承包商)的个人隐私信息被外泄。这一事件再次引发了美国民众对身份盗用、网络间谍活动的担忧。

据了解,USDoD 曾有过窃取隐私数据的历史,在之前的攻击事件中就曾曝光了一个由美国联邦调查局资助敏感项目。在本次攻击事件发生后,该团伙在暗网数据泄露论坛上发帖炫耀称:“我们将很快公开发布EPA的完整联系人数据库。其中不仅包含美国关键基础设施的组织成员,还包括美国之外的相关机构和个人的数据信息。”

8、Giant Tiger用户数据窃取攻击

(2024年4月)

Giant Tiger是加拿大零售连锁巨头企业,4月14日,一个活跃黑客论坛发布了题为“Giant Tiger Database - Leak, Download!”的帖子,声称已窃取了完整的 Giant Tiger 客户记录数据库,据称本次数据窃取攻击发生在2024 年 3 月。黑客声称:“我们已经获取超过 280 万客户的个人信息,包括电子邮件地址、姓名、电话号码以及通信地址,此外,本次获取的数据还涉及 Giant Tiger 客户的网站活动数据。”

Giant Tiger 相关安全负责人回应称:我们目前已经发现了一个核心业务系统的第三方供应商存在安全问题。导致了部分 Giant Tiger 客户的联系信息未经授权获取,但不涉及财务信息或支付密码。目前已向所有相关客户发送通知,并告知此事件的情况。

9、佳士得拍卖行网络攻击

(2024年5月)

2024年5月22日,全球著名的艺术品拍卖机构佳士得拍卖行宣布遭遇了网络攻击,导致其拍卖网站在本年度春季拍卖活动开始前因为“技术安全问题”临时离线。本次春季拍卖活动的艺术品总价值预计高达8.4亿美元(约合60亿元人民币),其中包括一幅价值超过3500万美元的文森特·梵高(Vincent van Gogh)画作。

佳士得发言人在稍后的一份声明中表示:"公司已经采取一切必要措施来处理这一事件,并聘请了一个额外的技术专家团队协助。我们会视进展情况及时向客户提供进一步的最新信息,并对此次事件所造成的拍卖活动延期表示道歉。"

10、CDK网络攻击

(2024年6月)

CDK Global 是北美地区一家大型汽车经销商软件即服务提供商,专为汽车行业客户提供 SaaS 平台,并处理汽车经销商运营的方方面面,包括客户关系管理、融资、薪资、支持与服务、库存和后台运营。该公司目前与15000 多家汽车经销商都有合作。6月18日和19日,该公司连续遭遇两次网络攻击,并在之后紧急关闭了大部分系统。

CDK公司确认,导致其汽车经销商客户软件平台瘫痪的网络攻击是一起“勒索事件”。在其发给客户的一份说明中,CDK 承认黑客通过攻击其经销商管理系统(DMS),导致该系统无法正常使用,并要求支付赎金以恢复系统。媒体报道称,CDK计划支付据称高达数千万美元的赎金,旨在更快地恢复系统,但CDK尚未对此作出回应。