盘点 | 2024年上半年重大网络攻击事件

admin 2024年7月19日00:21:55评论782 views字数 5170阅读17分14秒阅读模式

2024年上半年已结束,全球网络安全形势依然不容乐观,网络攻击事件层出不穷,给企业和政府机构带来了前所未有的挑战和威胁。黑客组织利用各种手段和技术,不断试图突破网络安全防线,窃取敏感信息、破坏系统运行,甚至进行勒索和敲诈,使得网络安全问题日益凸显其重要性和紧迫性。

1

网络战伊朗黑客利用新后门瞄准美国国防工业基地实体

1月3日消息,微软对伊朗国家支持的针对美国国防工业基地(DIB)组织员工的新攻击发出警报。这家科技巨头将这些攻击归咎于Peach Sandstorm,它用来命名活动集群的名称也被追踪为APT33。攻击方式为向被攻击者提供一个新开发的名为FalseFont的后门,为攻击者提供了对受感染系统的远程访问,允许他们执行文件并将数据泄露到命令和控制(C&C)服务器。

2

乌克兰指责俄罗斯沙虫黑客制造了 Kyivstar 攻击

1月5日消息,乌克兰安全部门将对移动运营商 Kyivstar 的网络攻击归咎于俄罗斯黑客组织 Sandworm。Kyivstar 是乌克兰最大的移动网络运营商,2023 年 12 月的网络攻击导致其客户暂时无法访问互联网和移动通信。Sandworm被认为是俄罗斯军事情报部门(GRU)的一个单位,被指责对乌克兰关键基础设施发动了多次网络攻击。这次复杂的攻击擦除了数千台虚拟服务器和个人电脑,造成了“灾难性”破坏。

3

瑞士空军敏感文件在黑客攻击中被泄露

1月10日消息,美国安全公司 Ultra Intelligence & Communications 遭遇数据泄露后,瑞士空军的文件在暗网上泄露。瑞士联邦国防部确认瑞士空军是受影响的组织之一。该勒索软件团伙从这家美国公司窃取了大约 30 GB 的敏感文件。泄露的文件包括瑞士国防部与美国公司之间的一份价值近 500 万美元(428 万瑞士法郎)的合同。根据这份文件和其他泄露的文件,国防部购买了用于空军加密通信的技术。在泄露的文件中,还有显示交易发生时间的电子邮件和付款收据。瑞士联邦国防部证实,武装部队的作战系统没有受到该事件的影响。    

4

乌克兰安全局联合黑客组织入侵俄互联网提供商

1月11日消息,乌克兰黑客组织Blackjack称其入侵了俄罗斯互联网提供商M9com,以报复俄罗斯对乌克兰最大电信公司Kyivstar的网络攻击。据称乌克兰安全局(SBU)参与了此次攻击,但具体情况并未公布。目前攻击方提供了据称被入侵的M9com系统的屏幕截图,并在通过Tor浏览器访问的暗网网站上发布了窃取的数据。目前M9com在正常运营,其官方网站和俄罗斯媒体也没有提及此次攻击。这不是乌克兰黑客组织第一次与SUB合作攻击俄罗斯:在2023年10月,两个亲乌克兰黑客组织和SBU声称入侵了俄罗斯最大的私人银行Alfa Bank。

5

美国网络安全巨头Mandiant的X账号被盗

1月11日消息,网络安全公司Mandiant的X账户被Drainer-as-a-Service(DaaS)团伙劫持。攻击者可能使用了暴力密码攻击,并利用了X公司改组期间因更改策略而产生的双重认证(2FA)漏洞。目前Mandiant重新获得了其账户的控制权,且没有发现其系统受到进一步的损害。然而攻击者此前已将Mandiant账户关注者重定向到加密货币盗窃的网络钓鱼页面,以利用CLINKSINK等Drainer脚本来窃取伪装成虚假代币的资金。近期美国证券交易委员会、Netgear、现代MEA和Web3安全公司CertiK的X账户也遭到类似攻击,其中利用美国证券交易委员会账户发布的虚假消息甚至导致比特币价格一度飙升。

6

俄罗斯黑客组织在世界经济论坛期间对瑞士网站发动DDoS攻击    

1月23日消息,瑞士国家网络安全中心(NCSC)称联邦管理局运营的多个网站遭受了一波分布式拒绝服务(DDoS)攻击,导致网站运行暂时中断。名为NoName的俄罗斯黑客组织承认发动了此次攻击,理由是在瑞士举行的达沃斯世界经济论坛邀请了乌克兰总统弗拉基米尔•泽连斯基出席。除政府网站外,NoName还声称袭击了当地的机场、铁路、酒店和餐馆。NoName自2022年3月起发动了1500多次DDoS攻击,其经常使用免费或廉价的公共云和Web服务作为DDoS僵尸网络的启动平台。在攻击瑞士后,NoName称未来将攻击爱沙尼亚。

7

乌克兰的关键基础设施遭受一系列网络攻击

1月29日消息,包括该国最大的国有石油和天然气公司Naftogaz在内的几个乌克兰关键基础设施遭到网络攻击。Naftogaz 报告说,恶意行为者攻击了其数据中心,其专家正在寻求解决这个问题。据报道,乌克兰网络安全机构也在调查这个问题,尽管它没有提供有关网络攻击的细节。

8

乌克兰声称入侵俄罗斯国防部服务器

3月5日消息,乌克兰国防部情报局(GUR)声称入侵了俄罗斯国防部(Minoborony)的服务器并窃取了敏感文件。乌克兰政府官方网站上发布的新闻稿将此次攻击描述为 GUR 网络专家实施的一次“特别行动”。由于此次违规行为,GUR 声称已获得包含特工信息的敏感文件,包括俄罗斯国防部用于保护和加密数据的软件,俄罗斯国防部的一系列特勤文件,包括命令、报告、指令和各种其他文件,在该部的 2000 多个下属单位中流传,以及建立 Minoborony 系统及其链接的完整结构信息。此前,GUR 声称俄罗斯空间水文气象中心(又名“planeta”(планета))、俄罗斯联邦航空运输局(“Rosaviatsia”)和俄罗斯联邦税务局(FNS)遭到未经证实的入侵。    

9

美国网络安全与基础设施安全局遭到基于Ivanti漏洞的网络攻击

3月12日消息,美国网络安全与基础设施安全局(CISA)表示在2月期间,该机构因网络攻击而被迫关闭两套关键系统。受感染的系统包括CISA的基础设施保护网关,以及提供私营部门化学品安全信息的化学品安全评估工具。此次攻击利用了Ivanti虚拟专用网络产品有关的漏洞,CISA的运行没有受到影响,并将很快更换采用问题技术的系统。此前CISA于2月29日发布有关Ivanti漏洞的警报,警告称黑客可能会绕过监控系统,而采取Ivanti建议的安全更新和恢复出厂设置可有效消除该漏洞。

10

伊朗黑客组织声称入侵以色列核设施

3月22日消息,为声援“巴勒斯坦伊斯兰抵抗运动”(哈马斯),与伊朗有关的匿名黑客组织声称入侵了以色列的敏感核设施西蒙•佩雷斯•内盖夫(Shimon Peres Negev)核研究中心。该组织称其窃取并发布了数千份文件,包括PDF、电子邮件和PPT文件等。这些文件表明黑客或许破坏了连接该设施的IT网络,但没有证据表明其破坏了该设施的运营技术(OT)网络。该组织还呼吁该设施附近的居民撤离。以色列对该事件未作回应,据称该设施有座与以色列核武器计划有关的反应堆,且一直是哈马斯火箭弹的攻击目标。

11

俄罗斯军方黑客疑似攻击乌克兰互联网服务提供商

3月22日消息,俄罗斯军方黑客在入侵开始时使用的擦除软件AcidRain出现更新版本,而该新版恶意软件已被黑客组织Solntsepek用于攻击Triacom、Misto TV、Linktelecom和KIM这四家乌克兰互联网服务提供商。AcidRain在俄乌冲突之初被用于攻击与Viasat公司服务有关的数千台KA-SAT调制解调器,而且新变体AcidPour则拥有一系列扩展功能和潜在的目标定位能力。有迹象表明多个乌克兰电信网络受到AcidPour干扰,导致这些网络自3月13日以来一直处于离线状态。Solntsepek是一个据说由俄罗斯军事情报局(GRU)控制的黑客组织,其之所以发动此次攻击,是因为这些提供商向乌克兰政府机构和武装部队提供了互联网服务。负责网络防御的乌克兰国家特殊通信和信息保护局以及乌克兰安全局均未对此事作出回应。    

12

韩国卫星业务之心在网络攻击中被攻破

3月28日消息,韩国国家情报院(NIS)证实,济州岛的韩国卫星运营中心最近遭到网络入侵。负责管理侦察多用途卫星的韩国卫星运营中心和公共卫星Compact Advanced Satellite 500已成为黑客事件的受害者。违规行为的全部范围仍不确定,凸显了韩国太空基础设施的重大漏洞。

13

乌克兰黑客摧毁俄罗斯工业巨头数据中心

4月9日消息,与乌克兰安全局(SBU)网络部门有联系的乌克兰黑客摧毁了俄罗斯工业巨头使用的数据中心。其中包括俄罗斯天然气工业股份公司、卢克石油公司、电信以及俄罗斯国防工业龙头企业。这是乌克兰黑客组织 BLACKJACK 和 SBU 网络部门的联合行动。此次攻击导致超过300TB的数据被毁,特别是400台虚拟服务器和 42台托管物理服务器内部文档、备份和其他程序。

14

乌克兰能源部门受到俄罗斯黑客的网络围攻

4月24日消息,乌克兰网络防御者发出紧急警告,称能源部门正受到俄罗斯黑客网络攻击浪潮的严重威胁,越来越担心今年春天晚些时候会发动大规模攻势。据乌克兰计算机应急响应小组称,俄罗斯军事情报部门的网络战部门 Sandworm 被称为“全球最广泛、最严重的网络威胁之一”。俄罗斯威胁行为者通过一个名为“Kapeka”的后门成功地破坏了至少三条供应链。    

15

印度警军方500GB生物特征数据遭泄露

5月27日消息,网络安全研究员发现并报告了一个未加密保护的数据库,包含超过160万份文档(总计约496.4GB),内容涉及印度军事人员、警察及其他职工的面部扫描图像、指纹、签名等身份标记,同时还有出生证明、电子邮件地址、教育信息等文件。这起数据泄露事件涉及2021年至2024年的记录,并引发了对身份盗窃和选举安全的担忧。

16

黑客使用 MS Excel 宏发起多阶段恶意软件攻击

6月5日消息,据观察,一种针对定位到乌克兰端点的新型复杂网络攻击,旨在部署 Cobalt Strike 并夺取对受感染主机的控制权。攻击链涉及一个 Microsoft Excel 文件,该文件带有嵌入式 VBA 宏以启动感染。攻击者使用多阶段恶意软件策略来提供臭名昭著的Cobalt Strike有效载荷,并与命令和控制(C2)服务器建立通信。这种攻击采用了各种规避技术来确保有效载荷的成功交付。Cobalt Strike 由 Fortra 开发和维护,是用于红队行动的合法对手模拟工具包。然而,多年来,该软件的破解版本已被威胁行为者广泛利用以达到恶意目的。

17

乌克兰对俄政府机构发起大规模网络攻击

6月7日消息,当地时间6月5日,乌克兰国防部情报总局的网络专家对俄政府机构和大公司进行了大规模分布式拒绝服务(DDoS)攻击。俄罗斯多个政府机构和私营企业的工作实际上已经瘫痪。截至6月5日11时,俄罗斯国防部、财政部、内政部、司法部、工业和能源部、信息技术部等机构网络瘫痪。俄罗斯联邦税务局的网站和服务也出现了故障。此外俄罗斯储蓄银行和阿尔法银行机构的服务也无法使用。俄罗斯方面对此暂无回应。    

18

美中央证券公司遭地下勒索软件组织攻击

6月12日消息,地下勒索软件组织声称对中央证券公司发起了网络攻击,并声称窃取了42.8GB的敏感数据,包括历史报告、个人信件、员工及其亲属的护照等机密信息。中央证券公司的网站因此次攻击而瘫痪,外界对公司的反应和损失程度一无所知。勒索软件组织公然索要近300万美元的赎金,使公司面临更大困境。

19

亲俄黑客组织Vermin对乌军发动网络间谍行动

6月14日消息,近日,乌克兰计算机应急响应小组(CERT-UA)称,隶属于乌东部亲俄武装的黑客组织Vermin正试图窃取乌军装备中的敏感信息。Vermin为此使用了合法的文件同步软件SyncThing和恶意软件Spectr,一边通过网络钓鱼邮件将受密码保护的恶意文档投送到目标计算机上。其中Spectr可每10秒执行一次的截屏操作,复制拥有特定扩展名的文件,窃取Telegram、Signal和Skype等即时通讯应用程序中的身份验证数据,以及窃取Firefox、Edge和Chrome等浏览器中的身份验证信息、会话数据和浏览历史记录等信息。

20

日本宇宙航空研究开发机构遭到一系列网络攻

6月26日消息,近日,日本官方航天机构“宇宙航空研究开发机构”(JAXA)透露,该机构自去年起多次遭到来自境外的网络攻击。在最近的攻击中,黑客入侵了JAXA的服务器,并获取了该机构的一般性业务运营信息,其中包括JAXA与丰田等外部机构之间的通信内容,以及JAXA工作人员的个人信息等。不过日本官房长官林芳正强调,与火箭和卫星相关的敏感信息并未受到这些攻击的影响,安全部门正在对这些攻击进行深入调查,并关闭了受影响的JAXA网段。

盘点 | 2024年上半年重大网络攻击事件

请联系:15710013727(微信同号)

原文始发于微信公众号(信息安全与通信保密杂志社):盘点 | 2024年上半年重大网络攻击事件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月19日00:21:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   盘点 | 2024年上半年重大网络攻击事件https://cn-sec.com/archives/2971191.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息