2023年11月国外重大网络攻击回顾

2023 年 11 月，数字领域发生了一系列重大网络攻击，在各行业产生了连锁反应。从破坏性勒索软件攻击到 Henry Schein 和 McLaren 等知名医疗机构的渗透，每一起事件都凸显了加强我们的数字防御的迫切需要。

回顾 2023 年 11 月发生的重大网络攻击，是为了反思其影响并强调保护业务的重要经验教训。

勒索软件扰乱了 70 多个德国城市

勒索软件攻击已扰乱德国西部70 多个城市的地方政府服务。这次攻击针对的是当地市政服务提供商 Südwestfalen IT，对其服务器进行了加密。这影响了该市的财政、居民、墓地和登记处，而内部和外部通信，包括电子邮件和电话服务，大多无法正常工作。

为了防止勒索软件感染蔓延，对基础设施的访问受到限制，严重限制了地方政府的服务。受影响地区（主要是北莱茵-威斯特法伦州）的市政厅出现中断，许多在线系统瘫痪。

该事件已促使德国警方和网络安全机构展开调查，而受影响的城市管理部门则致力于恢复服务并提供现场援助。 

Henry Schein Healthcare 再次成为 BlackCat 勒索软件的受害者

继10月份的一次攻击之后，美国医疗保健公司 Henry Schein 再次遭受BlackCat/ALPHV勒索软件团伙的网络攻击。该公司于 10 月 15 日首次披露，为了遏制前一天影响其业务的另一次网络攻击，该公司必须关闭部分系统。11月 22 日，Henry Schein 透露，在BlackCat 勒索软件团伙声称的另一次攻击中，某些应用程序及其电子商务平台再次被关闭。

该公司已恢复其美国电子商务平台，不久后又恢复了加拿大和欧洲的平台。据报道，尽管受到干扰，Henry Schein 仍在通过其他渠道接收订单并继续向客户发货。该勒索软件团伙将 Henry Schein 添加到其暗网泄露网站，声称对破坏该公司网络并窃取35 TB敏感数据负责。这是自 10 月 15 日以来 BlackCat 在获得未经授权的访问后第三次对 Henry Schein 的系统进行加密。

Socks5Systemz 僵尸网络：不断上升的威胁

自 10 月以来，新发现的名为 Socks5Systemz 的代理僵尸网络已感染全球约 10,000 个系统。尽管该僵尸网络自 2016 年以来就已存在，但直到最近才被发现。该恶意软件通过PrivateLoader 和 Amadey恶意软件加载程序进行分发，利用各种攻击媒介，例如网络钓鱼、漏洞利用工具包、恶意广告和木马可执行文件。

在最近的感染过程中，攻击者使用反向连接服务器与端口 1074/TCP 进行通信。安装后，恶意软件加载程序会执行名为previewer.exe的文件，从而激活僵尸网络。该僵尸网络是一个 300 KB 32 位 DLL，采用域生成算法 (DGA)系统与其命令和控制服务器连接并接收受感染机器的命令。

受感染的设备被用作代理服务器，然后出售给其他威胁参与者。一名名为“boost”的用户被发现通过Telegram频道上的两个订阅层出售受感染帐户和代理的访问权限。BitSight 识别出至少 53 个与 Socks5Systemz 相关的服务器，这些服务器位于欧洲，服务于各种目的，例如代理机器人、反向连接、自定义 DNS 和在线代理检查。

LinkedIn 数据泄露：USDoD 黑客泄露了 3500 万用户的个人详细信息

一名化名USDoD的黑客在名为 BreachForums 的黑客论坛上泄露了 LinkedIn 数据库，其中包含超过 3500 万用户的个人信息。

黑客确认通过网络抓取获取了 LinkedIn 数据库。据称泄露的数据库主要包括LinkedIn 个人资料中的公开信息，例如全名和简历。虽然它包含数百万个电子邮件地址，但令人欣慰的是，“泄露”的数据中不包含密码。

HaveIBeenPwned 的 Troy Hunt 分析了数据库中超过 500 万个帐户，确定它是来自各种来源的信息的混合体，包括公共 LinkedIn 个人资料、伪造的电子邮件地址和其他来源。尽管某些数据可能是捏造的，但个人、公司、域名和许多电子邮件地址都是合法的。该事件引发了人们对其潜在影响的担忧，特别是对美国政府高级官员和机构而言。

您可以在我们的博客文章中了解有关该事件和 USDoD 黑客的更多信息：揭开 USDoD 的面纱，网络领域的谜团

Perry Johnson & Associates (PJ&A) 医疗转录服务面临重大数据泄露

美国医疗转录服务公司 PJ&A 发生重大数据泄露事件，影响了近900 万患者。

这次网络攻击早在 2023 年 3 月就开始了，并在向美国卫生与公众服务部提交的文件中披露。PJ&A 透露，被盗数据包括患者姓名、出生日期、地址、医疗记录和医院账号、入院诊断、服务日期和时间以及一些社会安全号码 (SSN)。此外，医疗转录文件中的保险和临床信息（例如实验室和诊断测试结果、药物、治疗设施和医疗保健提供者的名称）也受到损害。

PJ&A 的客户 Northwell Health 和 Cook County Health 已确认其患者受到影响，分别有389 万人和 120 万人受到影响。

OpenAI 遭受匿名苏丹 DDoS 攻击

针对 OpenAI 的 DDoS 攻击是2023 年 11 月备受关注的重大事件之一。

OpenAI 面临 DDoS 攻击，该事件的证据出现在著名的 DDoS 提供商 SkyNet 的 Telegram 频道上。此次攻击由Anonymous苏丹发起，专门针对OpenAI登录门户。

值得注意的是，匿名苏丹威胁行为者已于 6 月对 OpenAI 进行了“测试攻击”。此外，这些攻击是在 2023 年 11 月 6 日在旧金山举行的 OpenAI DevDay 后不久发生的。匿名苏丹在接下来的几天里持续发起攻击，要求承认他们的参与。尽管 OpenAI 承认了这些网络攻击，但他们并未正式将其归咎于“匿名苏丹”组织。

后来，威胁行为者声称拥有能够绕过 Cloudflare 保护的漏洞，使攻击者能够以每秒 10K 的请求轻松关闭任何受 Cloudflare 保护的网站。此漏洞或漏洞的售价为 5,000 美元。该攻击者还开始在官方匿名苏丹电报频道上公开支持 DDoS 提供商（他们在 OpenAI 攻击中使用了该提供商）。

进一步消息称，因领导 ChatGPT 和 DALLE 等技术开发而受到认可的 OpenAI 首席执行官 Sam Altman 已被解雇。在 Altman 缺席期间，该公司的 CTO 担任临时首席执行官，而 Anonymous Hundred 则大胆地宣称自己的影响力，暗示 Sam Altman 被 OpenAI 解雇是因为他无法保护 ChatGPT 免受 DDoS 攻击。 

尽管如此，Altman 已经回归 OpenAI，威胁行为者的说法被证明是错误的。

据最新消息，名为“Termux Israel”的威胁组织对最近的这些攻击发表了评论，称Anonymous苏丹之所以针对OpenAI，是因为该公司与以色列合作，造成了“轻微干扰”。随后，Termux Israel 威胁要关闭 Anonymous 苏丹的 Telegram 频道。

迈凯伦医疗保健数据泄露导致 220 万人暴露

McLaren Health Care 已确认约220 万人的敏感个人信息在数据泄露中受到影响。该漏洞发生在 7 月底至 8 月之间，并于 2023 年 8 月 22 日检测到可疑活动。

对可能受影响的文件进行了审查，确认其中包含某些个人数据，从而向缅因州总检察长披露了违规行为。

暴露的信息因人而异，可能包括某些个人的姓名、社会安全号码、健康保险信息、出生日期和医疗信息的某种组合。包括账单信息、诊断、医生信息、病历号、医疗保险/医疗补助信息、处方/药物信息以及诊断和治疗信息。

该公司通知了美国当局和受影响的个人，并确保其网络安全。迈凯伦建议受影响的个人保持警惕并监控其财务报表，并提供身份盗窃保护服务。

2023 年 10 月初，ALPHV/BlackCat 勒索软件组织声称对此次泄露负责，并指责迈凯伦试图掩盖此事。该组织将迈凯伦添加到受害者名单中，并声称持续访问该组织的网络。

Poloniex 加密货币平台因黑客损失超过 1 亿美元

黑客从加密货币交易平台 Poloniex窃取了超过 1 亿美元的比特币和以太坊。Poloniex 证实了这起盗窃事件，并承诺全额赔偿受影响的用户。该平台一反常态地向黑客提供了 5% 的赏金，以换取黑客返还资金，并敦促其在 7 天内做出回应，然后再介入执法。

该公司因其松懈的客户控制和可疑代币交易而面临批评。Poloniex 背后的加密货币企业家 Justin Sun 向用户保证 Poloniex 保持健康的财务状况，成功识别并冻结了黑客的部分资产。对被盗金额的估计各不相同，不同的安全公司估计损失在1.14 亿美元到 1.3 亿美元之间，其中包括以太坊、TRX 和比特币。

加密安全专家表示，此次事件遵循了引人注目的攻击趋势，例如8 月份针对Exactly Protocol 和 Harbour Protocol 的攻击，导致价值数百万美元的加密货币被盗。

以太坊“Create2”功能被滥用：99,000 名受害者被盗 6000 万美元

据“Scam Sniffer”的 Web3 反诈骗专家报告，恶意行为者利用以太坊的“Create2”功能，绕过钱包安全警报，在六个月内从 99,000 名受害者那里窃取了6000 万美元的加密货币。Create2 是以太坊“君士坦丁堡”升级中引入的操作码，有助于智能合约的创建，提供灵活性，但也带来了安全隐患。

Create2 滥用涉及生成没有恶意交易历史的合约地址，绕过安全警报。受害者被诱骗签署恶意交易，将资产转移到预先计算的地址，从而不可逆转地损失资金。地址中毒是另一种形式的滥用，它创建与合法地址类似的地址，欺骗用户将资产发送给威胁行为者。 

自 2023 年 8 月以来，Scam Sniffer 记录了 11 名受害者损失近 300 万美元，其中一名受害者将 160 万美元转移到欺骗性地址。2023 年 8 月上旬，币安网操作员错误地向采用“地址投毒”伎俩的骗子发送了 2000 万美元，但很快就注意到了错误并冻结了收款人的地址。

诈骗者使用相似的地址，类似于剪贴板劫持恶意软件策略，增加了成功欺骗的机会。2023 年初，MetaMask 发布了关于诈骗者使用与受害者最近交易相匹配的新生成地址的警告。在执行加密货币交易时，始终建议在批准之前彻底验证收件人的地址。

Truepill 数据泄露影响了 236 万患者

Truepill 是一家位于美国的虚拟药房和邮购处方药公司，报告称数据泄露影响了约 236 万名患者。该漏洞于 8 月 30 日发现，涉及威胁行为者获取用于药房管理和履行服务的文件子集的访问权限。 

至少有六起针对 Truepill 的拟议联邦集体诉讼，指控 Truepill 疏忽和未能遵守联邦法规，包括 HIPAA 和联邦贸易委员会法案以及加利福尼亚州隐私法。

受损的文件包括患者姓名、药物类型、人口统计信息和/或处方医生姓名。幸运的是，社会安全号码没有受到影响，因为该公司不处理这些信息。

Truepill 立即与网络安全专家合作，以确保其 IT 环境的安全，但调查显示，攻击者在 8 月 30 日至 9 月 1 日期间访问了这些文件。作为回应，该公司正在加强其安全协议，加强技术保障，并为用户提供额外的网络安全意识培训。雇员。

Welltok 数据泄露影响 850 万患者

医疗保健SaaS 提供商Welltok披露了影响近 850 万美国患者的数据泄露事件。该漏洞发生在 2023 年 7 月 26 日，尽管及时应用了安全更新，但MOVEit Transfer服务器仍遭到入侵。

患者数据，包括全名、电子邮件地址、实际地址和电话号码都被泄露。有些人的社会安全号码、医疗保险/医疗补助 ID 号码以及某些健康保险详细信息等敏感信息也被泄露。此次泄露影响了多个州的机构，包括明尼苏达州、阿拉巴马州、堪萨斯州、北卡罗来纳州、密歇根州、内布拉斯加州、伊利诺伊州和马萨诸塞州。

据报道，此次泄露事件已确认影响了 8,493,379 人，成为继Maximus 事件之后第二大 MOVEit 数据泄露事件，后者影响了 1100 万人。

KyberSwap 网络攻击导致 5470 万美元的加密货币被盗

KyberSwap 披露了一次网络攻击，导致价值约 5470 万美元的加密货币被盗。

攻击者采用了“复杂的一系列行动”来促进剥削性交换，从而将用户的资金提取到他们的钱包中。该公司声称面临DeFi 历史上最复杂的事件之一，暂停存款，启动调查，并与攻击者进行谈判以追回资金。作为这项工作的一部分，我们提供了10% 的赏金，作为安全返还所利用资金的激励措施。

Okta 安全漏洞影响了客户支持系统的所有用户

Okta最近在 10 月份发生的安全漏洞影响了客户支持系统的所有用户，包括一些 Okta 员工，这与该公司的初步评估相反。

威胁参与者使用 Okta 客户支持系统访问了包含所有用户的用户名、公司名称和手机号码的客户报告，尽管大多数字段都是空白的。对于超过 99% 的列出客户来说，泄露的信息仅限于全名和电子邮件地址。

虽然该公司最初报告的影响为 1%，但实际影响程度要大得多。此次泄露影响了所有 Okta Workforce Identity Cloud 和客户身份解决方案客户，但 FedRamp High 和 DoD IL4 环境中的客户除外。

尽管没有证据表明存在主动利用，但 Okta 警告网络钓鱼和社会工程风险加剧，敦促客户实施强大的多重身份验证 (MFA)。重点特别关注 Okta 管理员，强调 MFA 保护支持系统和 Okta 管理控制台的迫切需要。 

请阅读我们的博客文章了解有关 Okta 支持系统漏洞的更多信息：Okta 支持系统中的安全漏洞继续引发担忧

美元树遭到破坏：近 200 万人受到影响

由于服务提供商 Zeroed-In Technologies 遭到黑客攻击，Dollar Tree 面临第三方数据泄露，影响了近 200 万人。该事件发生在 2023 年 8 月 7 日至 8 日期间，Dollar Tree 和 Family Dollar 员工的个人信息被泄露，包括姓名、出生日期和社会安全号码 (SSN)。

虽然无法完全确认被访问文件的范围，但 Zeroed-In 正在为受影响的个人提供为期 12 个月的身份保护和信用监控服务。该漏洞还可能影响其他 Zeroed-In 客户，但尚未确认。Family Dollar 发言人表示，Zeroed-In 向他们通报了这起安全事件，影响了现任和前任员工。

原文始发于微信公众号（河南等级保护测评）：2023年11月国外重大网络攻击回顾