盘点 | 2024年重大网络攻击事件回顾

unsetunset前言unsetunset

2024年已经接近尾声，全球网络安全形势依然不容乐观，网络攻击事件层出不穷，给企业和政府机构带来了前所未有的挑战和威胁。黑客组织利用各种手段和技术，不断试图突破网络安全防线，窃取敏感信息、破坏系统运行，甚至进行勒索和敲诈，使得网络安全问题日益凸显其重要性和紧迫性。

unsetunset1月unsetunset

知名火锅连锁品牌信息安全问题

网信办通报知名火锅连锁品牌外送微信小程序强制索取精准位置信息，且其1.5亿条会员个人信息以及18万条公司员工信息未加密存储。

IvantiVPN零日攻击。

lvantiConnectSecureVPN是一款企业级远程访问解决方案，主要提供安全远程访问和多因素认证等功能。在今年1月，该系统被披露出两个高危的零日漏洞，并被威胁分子大肆利用。

研究人员表示，在攻击期间，数千台IvantiVPN设备遭到破坏，影响了众多企业组织，其中包括了美国网络安全和基础设施安全局（CISA）和Mitre（由美国政府资助的网络攻击框架研究机构）谷歌云旗下的Mandiant团队研究人员称，IvantiVPN漏洞与一个名为UNC5221的威胁团伙密切相关，该团伙发动的攻击最早可以追溯到12月3日。

这起攻击促使CISA向美国联邦政府的行政部门发出了安全提醒，要求采取紧急措施，在48小时内断开IvantiConnectSecureVPN连接。1月31日，在相关漏洞被披露的三周后，Ivanti才发布了其部分版本的安全补丁。

微软公司高管账户泄露攻击

微软公司在1月份对外披露，网络攻击者攻击了其高级领导团队成员以及网络安全和法务团队的电子邮件系统，并将攻击活动归咎于MidnightBlizzard（午夜暴雪）团伙。该团伙曾在2020年策划实施了轰动一时的SolarWinds泄密案。

CISA稍后的调查发现，本次账户泄露事件广泛影响了多家联邦政府机构。通过入侵微软公司电子邮件账户，MidnightBlizzard窃取了大量联邦政府行政部门（FCEB）和微软之间的电子邮件通信。

为了降低攻击造成的影响，微软公司向可能受到影响的客户发出了安全提醒通知，告知他们的电子邮件内容已被非法查看。调查人员还表示，本次泄密事件最早发生于2023年11月，黑客利用了一个未实施多因素身份验证（MFA）的过期账户获得了对邮件系统的访问权限。

网络战伊朗黑客利用新后门瞄准美国国防工业基地实体

1月3日消息，微软对伊朗国家支持的针对美国国防工业基地(DIB)组织员工的新攻击发出警报。这家科技巨头将这些攻击归咎于PeachSandstorm，它用来命名活动集群的名称也被追踪为APT33。攻击方式为向被攻击者提供一个新开发的名为FalseFont的后门，为攻击者提供了对受感染系统的远程访问，允许他们执行文件并将数据泄露到命令和控制（C＆C）服务器。

乌克兰指责俄罗斯沙虫黑客制造了Kyivstar攻击

1月5日消息，乌克兰安全部门将对移动运营商Kyivstar的网络攻击归咎于俄罗斯黑客组织Sandworm。Kyivstar是乌克兰最大的移动网络运营商，2023年12月的网络攻击导致其客户暂时无法访问互联网和移动通信。Sandworm被认为是俄罗斯军事情报部门（GRU）的一个单位，被指责对乌克兰关键基础设施发动了多次网络攻击。这次复杂的攻击擦除了数千台虚拟服务器和个人电脑，造成了“灾难性”破坏。

瑞士空军敏感文件在黑客攻击中被泄露

1月10日消息，美国安全公司UltraIntelligence&Communications遭遇数据泄露后，瑞士空军的文件在暗网上泄露。瑞士联邦国防部确认瑞士空军是受影响的组织之一。该勒索软件团伙从这家美国公司窃取了大约30GB的敏感文件。泄露的文件包括瑞士国防部与美国公司之间的一份价值近500万美元（428万瑞士法郎）的合同。根据这份文件和其他泄露的文件，国防部购买了用于空军加密通信的技术。在泄露的文件中，还有显示交易发生时间的电子邮件和付款收据。瑞士联邦国防部证实，武装部队的作战系统没有受到该事件的影响。

乌克兰安全局联合黑客组织入侵俄互联网提供商

1月11日消息，乌克兰黑客组织Blackjack称其入侵了俄罗斯互联网提供商M9com，以报复俄罗斯对乌克兰最大电信公司Kyivstar的网络攻击。据称乌克兰安全局（SBU）参与了此次攻击，但具体情况并未公布。目前攻击方提供了据称被入侵的M9com系统的屏幕截图，并在通过Tor浏览器访问的暗网网站上发布了窃取的数据。目前M9com在正常运营，其官方网站和俄罗斯媒体也没有提及此次攻击。这不是乌克兰黑客组织第一次与SUB合作攻击俄罗斯：在2023年10月，两个亲乌克兰黑客组织和SBU声称入侵了俄罗斯最大的私人银行AlfaBank。

美国网络安全巨头Mandiant的X账号被盗

1月11日消息，网络安全公司Mandiant的X账户被Drainer-as-a-Service（DaaS）团伙劫持。攻击者可能使用了暴力密码攻击，并利用了X公司改组期间因更改策略而产生的双重认证（2FA）漏洞。目前Mandiant重新获得了其账户的控制权，且没有发现其系统受到进一步的损害。

然而攻击者此前已将Mandiant账户关注者重定向到加密货币盗窃的网络钓鱼页面，以利用CLINKSINK等Drainer脚本来窃取伪装成虚假代币的资金。近期美国证券交易委员会、Netgear、现代MEA和Web3安全公司CertiK的X账户也遭到类似攻击，其中利用美国证券交易委员会账户发布的虚假消息甚至导致比特币价格一度飙升。

俄罗斯黑客组织在世界经济论坛期间对瑞士网站发动DDoS攻击

1月23日消息，瑞士国家网络安全中心（NCSC）称联邦管理局运营的多个网站遭受了一波分布式拒绝服务（DDoS）攻击，导致网站运行暂时中断。名为NoName的俄罗斯黑客组织承认发动了此次攻击，理由是在瑞士举行的达沃斯世界经济论坛邀请了乌克兰总统弗拉基米尔•泽连斯基出席。除政府网站外，NoName还声称袭击了当地的机场、铁路、酒店和餐馆。NoName自2022年3月起发动了1500多次DDoS攻击，其经常使用免费或廉价的公共云和Web服务作为DDoS僵尸网络的启动平台。在攻击瑞士后，NoName称未来将攻击爱沙尼亚。

乌克兰的关键基础设施遭受一系列网络攻击

1月29日消息，包括该国最大的国有石油和天然气公司Naftogaz在内的几个乌克兰关键基础设施遭到网络攻击。Naftogaz报告说，恶意行为者攻击了其数据中心，其专家正在寻求解决这个问题。据报道，乌克兰网络安全机构也在调查这个问题，尽管它没有提供有关网络攻击的细节。

unsetunset2月unsetunset

at&tmobility服务中断事件

影响了美国1.25亿台移动设备，中断持续超过12小时，导致约9200万个通话无法完成，包括2.5万个911紧急通话，原因是设备配置错误。

changehealthcare遭受勒索软件攻击

美国最大的医疗处方服务上ChangeHealthcare公司在今年初遭受网络攻击，并于今年2月22日首次被研究人员披露，该攻击导致美国医疗保健系统持续了数周时间的大规模中断。调查人员为阻止攻击而被迫关闭部分IT系统，这使得许多药店、医院以及其他医疗保健组织无法处理药品订单和接收付款。

一个名为Blackcat（也叫Alphv）的网络犯罪团伙声称对本次攻击活动负责，他们表示在攻击中收到了被攻击企业所支付的2200万美元赎金。

不久之后，另一个名为RansomHub的网络犯罪团伙也声称从ChangeHealthcare攻击中窃取了数据。UnitedHealth在4月底表示，ChangeHealthcare攻击事件导致了三分之一的美国人个人隐私数据被盗，其影响非常广泛、恶劣。

ChangeHealthcare公司在6月份证实了有患者医疗数据在这次攻击中已泄露，攻击期间被盗的医疗数据可能包括诊断、药物、检验结果、影像、护理和治疗。

ESXi勒索软件攻击

今年2月，“ESXiArgs”组织针对运行VMwareESXi虚拟机监控程序的客户展开勒索攻击。据联邦调查局（FBI）和CISA数据估计，全球受感染的服务器数量超过了3800台。

网络安全供应商Censys称，该活动主要针对美国、加拿大、法国和德国等国家的组织。研究人员表示：这些攻击利用了一个两年前的漏洞（在CVE-2021-21974中跟踪），实现代码的远程执行，主要影响了旧版本的VMwareESXi中的OpenSLP服务。

VMware发表声明称，“此次ESXiArgs勒索软件攻击，再次凸显了有关保护虚拟应用基础设施的重要性。

微软copilot聊天机器人被攻击

社交媒体上出现有关微软copilot聊天机器人嘲讽考虑自杀用户的报告，原因是提示注入攻击，微软随后展开调查。

lockbit勒索软件团伙遭打击

在“cronos行动”中，lockbit勒索软件团伙的服务器和网页域名被查封，违规账户被关闭，嫌疑人在波兰和乌克兰被捕，但之后仍有使用lockbit勒索软件或其变种的攻击报告。

ConnectWiseScreenConnect漏洞利用攻击

2024年2月，GothamSecurity公司的研究团队发现，在广泛应用的ConnectWise ScreenConnect中存在两个漏洞（CVE-2023-47257和CVE-2023-47256），可导致数万家企业遭受重大网络攻击。

ConnectWiseScreenConnect是一款远程控制软件，应用于全球IT管理服务提供商(MSPs)。如黑客将这两个漏洞用于0day攻击中，可导致MSP及其客户遭攻击。恶意人员可从局域网获得对所有工作站和服务器的访问权限，之后将权限提升为受影响系统的本地管理员。

ConnectWise公司很快意识到相关漏洞被利用的风险，并采取了紧急的预防措施，并在披露后数天内发布了安全补丁。CISA发布的安全通告表示，如果ConnectWise的合作伙伴和终端客户无法升级到最新版本，就应该立即关闭所有本地ScreenConnect服务器。

unsetunset3月unsetunset

乌克兰声称入侵俄罗斯国防部服务器

3月5日消息，乌克兰国防部情报局（GUR）声称入侵了俄罗斯国防部（Minoborony）的服务器并窃取了敏感文件。乌克兰政府官方网站上发布的新闻稿将此次攻击描述为GUR网络专家实施的一次“特别行动”。

由于此次违规行为，GUR声称已获得包含特工信息的敏感文件，包括俄罗斯国防部用于保护和加密数据的软件，俄罗斯国防部的一系列特勤文件，包括命令、报告、指令和各种其他文件，在该部的2000多个下属单位中流传，以及建立Minoborony系统及其链接的完整结构信息。

此前，GUR声称俄罗斯空间水文气象中心（又名“planeta”(планета))、俄罗斯联邦航空运输局（“Rosaviatsia”）和俄罗斯联邦税务局（FNS）遭到未经证实的入侵。

美国网络安全与基础设施安全局遭到基于Ivanti漏洞的网络攻击

3月12日消息，美国网络安全与基础设施安全局（CISA）表示在2月期间，该机构因网络攻击而被迫关闭两套关键系统。受感染的系统包括CISA的基础设施保护网关，以及提供私营部门化学品安全信息的化学品安全评估工具。

此次攻击利用了Ivanti虚拟专用网络产品有关的漏洞，CISA的运行没有受到影响，并将很快更换采用问题技术的系统。此前CISA于2月29日发布有关Ivanti漏洞的警报，警告称黑客可能会绕过监控系统，而采取Ivanti建议的安全更新和恢复出厂设置可有效消除该漏洞。

伊朗黑客组织声称入侵以色列核设施

3月22日消息，为声援“巴勒斯坦伊斯兰抵抗运动”（哈马斯），与伊朗有关的匿名黑客组织声称入侵了以色列的敏感核设施西蒙•佩雷斯•内盖夫（ShimonPeresNegev）核研究中心。该组织称其窃取并发布了数千份文件，包括PDF、电子邮件和PPT文件等。

这些文件表明黑客或许破坏了连接该设施的IT网络，但没有证据表明其破坏了该设施的运营技术（OT）网络。该组织还呼吁该设施附近的居民撤离。以色列对该事件未作回应，据称该设施有座与以色列核武器计划有关的反应堆，且一直是哈马斯火箭弹的攻击目标。

俄罗斯军方黑客疑似攻击乌克兰互联网服务提供商

3月22日消息，俄罗斯军方黑客在入侵开始时使用的擦除软件AcidRain出现更新版本，而该新版恶意软件已被黑客组织Solntsepek用于攻击Triacom、MistoTV、Linktelecom和KIM这四家乌克兰互联网服务提供商。AcidRain在俄乌冲突之初被用于攻击与Viasat公司服务有关的数千台KA-SAT调制解调器，而且新变体AcidPour则拥有一系列扩展功能和潜在的目标定位能力。

有迹象表明多个乌克兰电信网络受到AcidPour干扰，导致这些网络自3月13日以来一直处于离线状态。Solntsepek是一个据说由俄罗斯军事情报局（GRU）控制的黑客组织，其之所以发动此次攻击，是因为这些提供商向乌克兰政府机构和武装部队提供了互联网服务。负责网络防御的乌克兰国家特殊通信和信息保护局以及乌克兰安全局均未对此事作出回应。

韩国卫星业务之心在网络攻击中被攻破

3月28日消息，韩国国家情报院（NIS）证实，济州岛的韩国卫星运营中心最近遭到网络入侵。负责管理侦察多用途卫星的韩国卫星运营中心和公共卫星CompactAdvancedSatellite500已成为黑客事件的受害者。违规行为的全部范围仍不确定，凸显了韩国太空基础设施的重大漏洞。

AT&T数据泄露攻击

3月30日，AT&T（美国电话电报公司）发布声明称发生了数据泄露，涉及约760万该公司当前客户和约6540万前客户，总计约7300万个账户的信息。泄露的内容可能涉及用户的姓名、邮件地址、社保号码、登录账号和密码等个人信息。初步调查发现，被泄露的数据大约在3月初就出现在暗网上，数据大约来自2019年或者更早的时间。

而在之前的2月22日，AT&T公司刚发生了一起长达10小时的重大网络中断事件，涉及通话、网络和短信服务，据称有超过7万名用户受到影响。根据美国多座城市的政府部门在社交媒体平台X上发布的信息，此次服务中断甚至影响到了人们拨打911号码联系应急服务机构的能力。

unsetunset4月unsetunset

乌克兰黑客摧毁俄罗斯工业巨头数据中心

4月9日消息，与乌克兰安全局（SBU）网络部门有联系的乌克兰黑客摧毁了俄罗斯工业巨头使用的数据中心。其中包括俄罗斯天然气工业股份公司、卢克石油公司、电信以及俄罗斯国防工业龙头企业。这是乌克兰黑客组织BLACKJACK和SBU网络部门的联合行动。此次攻击导致超过300TB的数据被毁，特别是400台虚拟服务器和42台托管物理服务器内部文档、备份和其他程序。

美国国家环境保护局数据泄露攻击

4月10日，hackread网站对外披露美国联邦环境保护局（EPA）发生了一起重大的数据泄露事件。此次事件可能由一名被称为USDoD的黑客所为，涉及超过850万用户（包括其系统承包商）的个人隐私信息被外泄。这一事件再次引发了美国民众对身份盗用、网络间谍活动的担忧。

据了解，USDoD曾有过窃取隐私数据的历史，在之前的攻击事件中就曾曝光了一个由美国联邦调查局资助敏感项目。在本次攻击事件发生后，该团伙在暗网数据泄露论坛上发帖炫耀称：“我们将很快公开发布EPA的完整联系人数据库。其中不仅包含美国关键基础设施的组织成员，还包括美国之外的相关机构和个人的数据信息。”

乌克兰能源部门受到俄罗斯黑客的网络围攻

4月24日消息，乌克兰网络防御者发出紧急警告，称能源部门正受到俄罗斯黑客网络攻击浪潮的严重威胁，越来越担心今年春天晚些时候会发动大规模攻势。据乌克兰计算机应急响应小组称，俄罗斯军事情报部门的网络战部门Sandworm被称为“全球最广泛、最严重的网络威胁之一”。俄罗斯威胁行为者通过一个名为“Kapeka”的后门成功地破坏了至少三条供应链。

GiantTiger用户数据窃取攻击（2024年4月）

GiantTiger是加拿大零售连锁巨头企业，4月14日，一个活跃黑客论坛发布了题为“GiantTigerDatabase-Leak,Download!”的帖子，声称已窃取了完整的GiantTiger客户记录数据库，据称本次数据窃取攻击发生在2024年3月。黑客声称：“我们已经获取超过280万客户的个人信息，包括电子邮件地址、姓名、电话号码以及通信地址，此外，本次获取的数据还涉及GiantTiger客户的网站活动数据。”

GiantTiger相关安全负责人回应称：我们目前已经发现了一个核心业务系统的第三方供应商存在安全问题。导致了部分GiantTiger客户的联系信息未经授权获取，但不涉及财务信息或支付密码。目前已向所有相关客户发送通知，并告知此事件的情况。

unsetunset5月unsetunset

佳士得拍卖行网络攻击

2024年5月22日，全球著名的艺术品拍卖机构佳士得拍卖行宣布遭遇了网络攻击，导致其拍卖网站在本年度春季拍卖活动开始前因为“技术安全问题”临时离线。本次春季拍卖活动的艺术品总价值预计高达8.4亿美元（约合60亿元人民币），其中包括一幅价值超过3500万美元的文森特·梵高（VincentvanGogh）画作。

佳士得发言人在稍后的一份声明中表示："公司已经采取一切必要措施来处理这一事件，并聘请了一个额外的技术专家团队协助。我们会视进展情况及时向客户提供进一步的最新信息，并对此次事件所造成的拍卖活动延期表示道歉。"

印度警军方500GB生物特征数据遭泄露

5月27日消息，网络安全研究员发现并报告了一个未加密保护的数据库，包含超过160万份文档（总计约496.4GB），内容涉及印度军事人员、警察及其他职工的面部扫描图像、指纹、签名等身份标记，同时还有出生证明、电子邮件地址、教育信息等文件。这起数据泄露事件涉及2021年至2024年的记录，并引发了对身份盗窃和选举安全的担忧。

unsetunset6月unsetunset

黑客使用MSExcel宏发起多阶段恶意软件攻击

6月5日消息，据观察，一种针对定位到乌克兰端点的新型复杂网络攻击，旨在部署CobaltStrike并夺取对受感染主机的控制权。攻击链涉及一个MicrosoftExcel文件，该文件带有嵌入式VBA宏以启动感染。攻击者使用多阶段恶意软件策略来提供臭名昭著的CobaltStrike有效载荷，并与命令和控制（C2）服务器建立通信。

这种攻击采用了各种规避技术来确保有效载荷的成功交付。CobaltStrike由Fortra开发和维护，是用于红队行动的合法对手模拟工具包。然而，多年来，该软件的破解版本已被威胁行为者广泛利用以达到恶意目的。

乌克兰对俄政府机构发起大规模网络攻击

6月7日消息，当地时间6月5日，乌克兰国防部情报总局的网络专家对俄政府机构和大公司进行了大规模分布式拒绝服务（DDoS）攻击。俄罗斯多个政府机构和私营企业的工作实际上已经瘫痪。截至6月5日11时，俄罗斯国防部、财政部、内政部、司法部、工业和能源部、信息技术部等机构网络瘫痪。俄罗斯联邦税务局的网站和服务也出现了故障。此外俄罗斯储蓄银行和阿尔法银行机构的服务也无法使用。俄罗斯方面对此暂无回应。

Snowflake数据泄露

据Mandiant的研究人员称，今年6月，针对Snowflake客户的大规模攻击导致“大量”数据被盗，已知有100多家客户可能受到影响，其中包括Ticketmaster、桑坦德银行、PureStorage、AdvanceAutoParts以及Cylance这样的网络安全巨头。

Mandiant的研究人员表示，一群黑客利用信息窃取恶意软件获取的凭据，对未启用多因素认证（MFA）的Snowflake账户和未对不受信任位置访问设置限制的Snowflake客户实例实施大规模攻击。黑客使用的某些凭据已有数年历史。

Snowflake公司在其咨询中表示，它正在“制定一项计划，要求客户实施先进的安全控制，如多因素身份验证（MFA）或网络策略。”

美中央证券公司遭地下勒索软件组织攻击

6月12日消息，地下勒索软件组织声称对中央证券公司发起了网络攻击，并声称窃取了42.8GB的敏感数据，包括历史报告、个人信件、员工及其亲属的护照等机密信息。中央证券公司的网站因此次攻击而瘫痪，外界对公司的反应和损失程度一无所知。勒索软件组织公然索要近300万美元的赎金，使公司面临更大困境。

亲俄黑客组织Vermin对乌军发动网络间谍行动

6月14日消息，近日，乌克兰计算机应急响应小组（CERT-UA）称，隶属于乌东部亲俄武装的黑客组织Vermin正试图窃取乌军装备中的敏感信息。Vermin为此使用了合法的文件同步软件SyncThing和恶意软件Spectr，一边通过网络钓鱼邮件将受密码保护的恶意文档投送到目标计算机上。

其中Spectr可每10秒执行一次的截屏操作，复制拥有特定扩展名的文件，窃取Telegram、Signal和Skype等即时通讯应用程序中的身份验证数据，以及窃取Firefox、Edge和Chrome等浏览器中的身份验证信息、会话数据和浏览历史记录等信息。

CDK网络攻击

CDKGlobal是北美地区一家大型汽车经销商软件即服务提供商，专为汽车行业客户提供SaaS平台，并处理汽车经销商运营的方方面面，包括客户关系管理、融资、薪资、支持与服务、库存和后台运营。该公司目前与15000多家汽车经销商都有合作。6月18日和19日，该公司连续遭遇两次网络攻击，并在之后紧急关闭了大部分系统。

CDK公司确认，导致其汽车经销商客户软件平台瘫痪的网络攻击是一起“勒索事件”。在其发给客户的一份说明中，CDK承认黑客通过攻击其经销商管理系统（DMS），导致该系统无法正常使用，并要求支付赎金以恢复系统。媒体报道称，CDK计划支付据称高达数千万美元的赎金，旨在更快地恢复系统，但CDK尚未对此作出回应。

日本宇宙航空研究开发机构遭到一系列网络攻击

6月26日消息，近日，日本官方航天机构“宇宙航空研究开发机构”（JAXA）透露，该机构自去年起多次遭到来自境外的网络攻击。在最近的攻击中，黑客入侵了JAXA的服务器，并获取了该机构的一般性业务运营信息，其中包括JAXA与丰田等外部机构之间的通信内容，以及JAXA工作人员的个人信息等。不过日本官房长官林芳正强调，与火箭和卫星相关的敏感信息并未受到这些攻击的影响，安全部门正在对这些攻击进行深入调查，并关闭了受影响的JAXA网段。

unsetunset7月unsetunset

美军“史上最大规模泄密”

包括美军F-15、F-35战斗机以及多种无人机在内的大批美军装备的机密性能手册被放到互联网上任人下载，由于涉及的关键武器信息非常完整，甚至被军事爱好者戏称为“我们可以自己在车库里打造一架战斗机”。尽管五角大楼对此事保持沉默，但美国《技术时报》称，类似的泄密事件近年来多次发生，可能会暴露美军装备的真正弱点。

2024年CrowdStrike大规模蓝屏事件

2024年7月19日，由于美国网络安全公司CrowdStrike分发异常更新，导致其全球大量客户的Windows操作系统计算机和虚拟机设备出现故障，表现为显示蓝屏或恢复（Recovery）界面。该事件波及多个行业，造成众多服务中断。微软初步估计此次故障影响了全球近850万台设备。

乌克兰对俄罗斯银行的网络攻击

7月23日开始，乌克兰对俄罗斯包括Dom.RF、VTBBank、Alfa-Bank等在内的多家主要银行发动大规模网络攻击，导致银行的自动取款机服务、支付系统和移动应用程序受影响，许多客户的借记卡和信用卡在使用自动取款机时被封锁，造成个人办公中断和公共交通支付受阻。

unsetunset8月unsetunset

BlackSuit勒索软件泄露近100万名年轻咨询客户的数据

美国知名软件供应商、专注于雇主止损保险的YoungConsulting证实，BlackSuit勒索软件组织泄露了近百万客户的个人数据。

此次入侵事件发生于4月份，攻击者未经授权访问并随后加密数据。被盗数据包括客户的全名、社会安全号码(SSN)、出生日期和保险索赔详情，对加州蓝盾(BlueShieldofCalifornia)的订户影响尤为严重。

此外，BlackSuit声称其勒索网站上泄露了大量公司数据，包括合同、财务记录和员工个人信息，这加大了这些暴露信息被进一步非法使用的风险。

丰田回应涉嫌第三方数据泄露事件

丰田对涉及240GB数据被盗的重大数据泄露报告做出回应，澄清说，该事件并未直接影响其系统，而是影响了与该汽车巨头相关的第三方。

丰田此次数据泄露事件于2024年8月得到确认，引发了人们对敏感信息可能泄露的担忧。事件细节仍有些模糊，丰田表示，事件涉及范围有限，并不代表整个系统存在更广泛的问题。与最初的报道相反，丰田汽车北美公司强调其自己的系统没有受到入侵或损害，这澄清了人们对其网络直接参与的误解。

声称对此次泄密事件负责的实体ZeroSevenGroup声称，被盗数据包括丰田员工、客户、合同和财务记录的详细资料。他们还声称使用ADRecon工具访问了网络基础设施信息，这表明此次泄密事件的影响可能十分广泛。

我国某先进材料设计研究单位遭境外网络攻击

2024年8月起，我国某先进材料设计研究单位遭疑似美国情报机构网络攻击。经分析，攻击者利用我境内某电子文档安全管理系统漏洞，入侵该公司部署的软件升级管理服务器，通过软件升级服务向该公司的270余台主机投递控制木马，窃取该公司大量商业秘密信息和知识产权。

unsetunset9月unsetunset

运动软件泄露法国总统出访路线

据法国《世界报》调查发现，因为GSPR（法国“共和国总统安全小组”）成员的日常行程会被运动软件Strava追踪并记录，马克龙的出访路线会因此暴露。

例如，Strava平台上显示，安保人员在行程开始前3天就来过马克龙今年9月访问立陶宛时入住的五星级酒店。《世界报》记者还利用这一漏洞，成功找到了马克龙在圣彼得堡、东京和耶路撒冷访问时入住过的酒店。除了会暴露国家元首的行程，Strava上还能找到这些安保人员的个人信息。不少人在软件中不加戒备地留下了他们的真实姓名、家庭住址和家人照片，一旦这些信息遭到泄露，安保人员可能因此受到威胁，继而危及总统的安全。

黎巴嫩真主党遭受疑似由网络攻击引发的传呼机爆炸袭击

黎巴嫩真主党成员的数百台传呼机9月17日同时发生爆炸，已造成近十人死亡、近3000人受伤。真主党指责，爆炸是由针对该组织成员携带的传呼机的“安全行动”引起的，以色列是此次袭击的罪魁祸首并将遭受报复。以色列政府尚未对此次袭击发表评论或承担责任。

国内数据泄露事件

据数世咨询联合零零信安基于0.zone安全开源情报系统共同发布的《数据泄露态势》月度报告显示，2024年9月25日某暗网售卖某市公务员信息数据，卖家称有10000条数据；9月29日某暗网有人售卖某省文化和旅游厅数据，卖家称有432条数据，包含姓名、电话、身份证号、居住地址等；9月17日某暗网数据交易平台有人称正在售卖一份电信数据，且9月份在匿名社交社群中监控到数据泄露数量达17738026条，其中涉及我国各行各业的数据泄露。

unsetunset10月unsetunset

法国互联网服务提供商遭黑客入侵

10月28日，法国第二大互联网服务提供商free确认其系统遭到黑客入侵，客户个人信息被盗。free已向公共检察官提交刑事投诉，并通知了法国信息技术与公民自由委员会（cnil）和国家信息系统安全局（anssi）。盗取的数据现被黑客“drussellx”在breachforums上拍卖，声称涉及1920万客户，包括511万个国际银行账号（iban）。 广东打击网络黑灰产。

广东警方在“净网2024”专项行动中，侦破涉网络黑灰产业案件1328起，刑事拘留1489人。这些案件涉及利用技术手段搭建发卡平台非法出售网民账号、非法获取网民账号、开发销售外挂软件、售卖虚拟定位软件等违法犯罪行为。

上海一科技公司员工获刑

上海杨浦检察院通报一起案例，被告人吴某是某安全科技有限公司员工，2024年2月，其通过翻墙软件违规访问境外telegram平台，并在该软件“ling某”群的“资源共享”内下载含有公民个人信息的文件，储存在其持有的移动硬盘中，同时将上述下载渠道提供给他人。经鉴定，吴某非法获取的公民个人信息共计1亿余条。经公诉，法院以侵犯公民个人信息罪判处吴某有期徒刑一年六个月，缓刑一年六个月，并处罚金人民币二千元

unsetunset11月unsetunset

工信部通报违规APP与SDK

11月13日，工信部通报27款存在侵害用户权益行为的APP（SDK），这些应用涉及违规收集个人信息、超范围收集个人信息、频繁请求无关权限以及欺骗误导用户下载等问题，工信部已要求相关开发运营者进行整改。

国家计算机病毒应急处理中心监测

11月15日，国家计算机病毒应急处理中心监测发现13款违规移动应用，存在违规收集用户信息、恶意推送广告、诱导用户下载其他应用等行为，已启动应急响应机制，并建议用户及时卸载违规应用。

以色列总理媒体顾问泄露涉密文件

11月4日，以总理内塔尼亚胡的一位媒体顾问在不具备任何授权的情况下，向媒体泄露了所谓关于哈马斯谈判立场的“秘密文件”，而这些文件被指操纵舆论，误导以色列民众支持内塔尼亚胡在加沙问题上的强硬立场。

以色列遭网络攻击

以色列的加油站和信用卡系统遭受网络攻击，数千台信用卡读卡器出现故障，初步判断为DDoS攻击所致，有猜测认为受伊朗支持的黑客组织是幕后策划者，其目的在于破坏以色列的经济和基础设施。

苹果系统零日漏洞

11月19日，苹果公司发布安全更新，修复了两个被用于攻击Mac用户的零日漏洞CVE-2024-44308、CVE-2024-44309，并建议所有用户安装。

研究人员发布Ymir勒索软件分析报告

在一起近期的事件响应案例中，研究人员发现了一种新型勒索软件家族，被命名为 “Ymir”。该恶意软件在攻击中表现出显著的规避检测能力，其关键特点是通过调用 malloc、memmove和memcmp函数在内存中执行大规模操作，以减少磁盘活动，从而避开传统防护措施。分析显示，攻击者首先通过PowerShell远程控制命令成功入侵系统，随后部署了ProcessHacker和AdvancedIPScanner等工具，降低系统的安全防护能力。在完成初步准备后，攻击者最终运行Ymir勒索软件达成目的。研究人员在报告中详细解析了Ymir勒索软件的技术特性及其攻击者的战术、技术和程序（TTPs），揭示了从初始入侵到勒索软件部署的完整链条。

亚马逊确认第三方供应商遭黑客攻击后泄露员工数据

亚马逊近日披露，员工数据因第三方物业管理供应商遭到攻击而被泄露，此次事件再次凸显了2023年MOVEit漏洞的长期危害。泄露事件由威胁行为者“Nam3L3ss”曝光，他们声称掌握了超过250TB的数据库文件，其中包括亚马逊和其他25家主要组织的数据。此次泄露与CVE-2023-34362漏洞相关，该漏洞是2023年5月首次被利用的严重SQL注入缺陷，攻击者可借此绕过身份验证并访问MOVEitTransfer数据库中的敏感信息。

MOVEitTransfer是一种企业级安全文件传输解决方案，在企业数据管理中被广泛使用。Nam3L3ss通过利用暴露的网络资源，包括MySQL、PostgreSQL、SQLServer数据库以及Azure备份文件，从中下载完整数据集。他们近期在BreachForums发布了280万行亚马逊员工数据，并威胁将泄露更多信息。这些数据包括员工姓名、联系方式、办公地址，以及内部成本中心代码和组织架构等敏感细节。

unsetunset12月unsetunset

马斯克因涉密问题被军方审查

《纽约时报》12月18日报道称，太空探索技术公司及其创始人埃隆·马斯克因多次违反旨在保护国家机密的联邦报告协议，包括少报或瞒报自己诸多行程安排，其中包括其与某些外国领导人会晤的重要情节等，招致军方审查。

报道称，马斯克能够了解美国先进军事技术等机密材料。根据政府保密规定，马斯克不仅要向国防部汇报自己的出国行程，就连私生活也要保证一定透明度。然而，马斯克至少从2021年起就不再遵循这类规定。

越南机关和企业网络安全调查结果公布

据越南《经济时报》12月23日报道，越南国家网络安全协会公布的2024年越南机关和企业网络安全调查研究报告显示，46.15%的越南机关和企业遭受至少一起网络攻击，其中6.77%的机关和企业经常遭受攻击，年内网络攻击超65.9万起。各重要单位遭受超7.4万起网络攻击，其中82起为高级持续性威胁（APT）攻击，APT攻击是2024年最普遍的网络攻击方式，且14.59%的机关和企业遭受勒索病毒攻击。