2023年第18周安全周报 | 本周安全要闻速览

乌克兰计算机应急响应小组 (CERT-UA) 表示，俄罗斯黑客正针对该国的各个政府机构发送恶意电子邮件，这些电子邮件据称包含有关如何更新Windows以防御网络攻击的说明。CERT-UA认为，俄罗斯国家资助的黑客组织APT28（又名Fancy Bear）发送了这些电子邮件并冒充了目标政府实体的系统管理员，以便更容易地欺骗他们的目标。为此，攻击者在攻击准备阶段使用通过未知方式获取的真实员工姓名创建了@outlook.com电子邮件地址。恶意电子邮件建议收件人运行 PowerShell命令，而不是升级Windows系统的合法说明。

越南威胁行为者被认为是社交媒体平台上的“malverposting”活动的幕后黑手，该活动在过去三个月中感染了全球超过500,000台设备，以提供信息窃取程序的变体，例如S1deload Stealer和SYS01stealer。Malverposting是指在Facebook和Twitter等服务上使用推广的社交媒体帖子来大规模传播恶意软件和其他安全威胁。这个想法是通过付费广告来“放大”他们的帖子，从而覆盖更广泛的受众。根据Guardio Labs的说法，此类攻击始于对手创建新的业务资料并劫持已经流行的帐户以投放声称提供免费成人级相册下载的广告。在这些ZIP 存档文件中，声称的图像实际上是可执行文件，单击时会激活感染链，并最终将窃取者恶意软件部署到虹吸会话cookie、帐户数据和其他信息中。大多数感染病例发生在澳大利亚、加拿大、印度、英国和美国。

据美国法警局发言人称，美国法警局的一个关键计算机系统自2月以来在遭受勒索软件攻击和数据泄露后一直处于离线状态，将很快恢复运行——这一次网络安全能力有所提高。华盛顿邮报5月1日报道，该系统由法警技术运营小组运营，该部门是该机构的一个部门，使用复杂、秘密的技术方法通过手机、电子邮件和互联网追踪嫌疑犯。法警服务发言人德鲁韦德告诉Nextgov，这次袭击并未影响该机构进行调查或逮捕逃犯的能力。他进一步表示，该机构将很快部署具有改进IT功能的改进版系统。“数据泄露并未影响USMS逮捕逃犯和执行调查及其他任务的整体能力。大多数关键工具都在发现漏洞后的30天内恢复。此外，USMS很快将部署一个完全重构的系统，该系统具有改进的IT安全对策。

美国国土安全委员会主持了一次小组委员会听证会，这次会议为CISA局长Jen Easterly提供了一个机会，让她就该机构的发展以及到2025年工作计划发表看法。“我们在这次听证会上进行的对话将有助于为我们委员会的预算审查提供信息，特别是CISA在其中提出的新计划，包括国家网络安全保护系统的发展，”来自纽约的共和党人兼小组委员会主席安德鲁·加巴里诺(Andrew Garbarino)关于网络安全和基础设施保护，在委员会会议上说。在会上，伊斯特利讨论了该国的网络安全态势，强调了公共和私营组织之间合作保护关键基础设施的重要性。它还跟进了上个月由国土安全委员会主办的会议，行业领袖在会上提供了他们对美国网络安全状况以及CISA自五年前成立以来的发展情况的看法。Easterly表示，作为国家的网络防御机构，CISA负责领导全国努力了解、管理和降低美国人每天每时每刻都依赖的网络和物理基础设施的风险。“保护我们国家的关键基础设施是一项共同责任，不仅需要整个政府，而且需要整个国家的方法。” 

itmarck总部位于埃森，是德国最大的IT公司之一，为公共健康保险领域的80多家组织提供技术基础设施和服务。5月1日，该公司宣布其预警系统是由对其内部网络的攻击触发的，对此它的回应是迅速使数据中心和其他系统离线。据Bitmarck称，事件中似乎没有客户或被保险人的数据被盗。该公司表示，根据德国法规受到特殊保护的患者数据“过去和现在都不会受到攻击的威胁”。这家IT巨头表示，它已经开始恢复操作，但某些系统将需要更长的时间才能恢复，因为该操作是根据“安全和优先级导向的流程”执行的。据该公司称，“无工作能力电子证书(eAU)和访问电子患者档案 (ePA) 的数字处理”系统已经恢复或即将恢复。

一家为近50万人提供饮用水的意大利公司在勒索软件攻击后遇到了一些技术中断。Alto Calore Servizi SpA为意大利南部的两个省阿韦利诺和贝内文托的125个城市收集、供应和分配饮用水。这家政府经营的公司还为这两个省份管理污水和净化服务。该公司表示最近的一次黑客攻击导致他们所有的IT系统无法使用。“将无法执行任何操作或提供需要查询数据库的信息，”该公司表示。“系统的恢复将通过新闻机构联系起来。对于停运，我们深表歉意。”该组织没有回应关于客户是否受到事件影响的评论请求，但似乎水的供应没有受到攻击的影响。勒索组织表示，它窃取了客户数据、合同、董事会会议记录、报告、管道分布信息、扩展文件等。

Orqa是First Person View(FPV)无人机赛车护目镜的制造商，声称承包商将代码引入其设备的固件中，该固件充当旨在使其变砖的定时炸弹。星期六，Orqa开始收到客户的报告，他们惊讶地看到他们的FPV，一个V1护目镜进入引导加载程序模式并变得无法使用。“我们首先开始从日本的飞行员那里获得报告。然后在欧洲时间的清晨，我们开始收到来自土耳其一场比赛的报道，”该公司表示。该公司透露，在设备通电后开始变砖数小时后，该问题是由  “日期/时间功能引起的”固件错误引起的。“在这场危机发生后的5或6小时内，我们发现这个神秘的问题是勒索软件定时炸弹的结果，它是几年前由一个贪婪的前承包商秘密植入我们的引导加载程序中的，具有意图从公司索取过高的赎金，”Orqa说。

5月4日消息，德国IT巨头Bitmarck遭受网络攻击，被迫关闭了所有客户和内部系统，部分情况下甚至关闭了整个数据中心。作为德国最大的医疗保险服务提供商之一，Bitmarck于4月30日在临时网站发布最新通知，称这次网络攻击未能窃取任何客户、患者或受保人的数据，至少“目前的情况”如此。通知指出，患者数据“在攻击中以及之后从未受到威胁”，并指出根据德国医疗数据法规，这些敏感信息受到国家医疗数字化机构Gematik的“特殊保护”。Bitmarck向客户保证，“在抵御攻击和恢复系统时，我们始终优先保障客户、受保人和患者的数据安全。”

德克萨斯州达拉斯市遭受勒索软件攻击，导致其关闭部分IT系统以防止攻击扩散。根据美国人口普查数据，达拉斯是美国第九大城市，人口约260万。当地媒体报道 称，由于疑似勒索软件攻击，该市警方的通讯和IT系统周一早上被关闭。这导致911调度员不得不为警员写下收到的报告，而不是通过计算机辅助调度系统提交。由于安全事件，达拉斯县警察局的网站在当天的部分时间也处于离线状态，但此后已恢复。5月3日，达拉斯市确认中断是由勒索软件攻击造成的。“周三早上，该市的安全监控工具通知我们的安全运营中心(SOC)，我们的环境中可能发起了勒索软件攻击。随后，该市确认许多服务器已被勒索软件破坏，影响了多个功能区域，包括达拉斯警察局网站，”达拉斯市的一份媒体声明解释道。“市政府团队及其供应商正在积极努力隔离勒索软件以防止其传播，从受感染的服务器中删除勒索软件，并恢复目前受影响的所有服务。市长和市议会已根据市的事件响应计划 (IRP)。”“市政府目前正在评估全部影响，但目前，对向居民提供市政府服务的影响有限。如果居民在使用特定市政府服务时遇到问题，他们应该联系311。对于紧急情况，他们应该联系911。”BleepingComputer还证实，该市的法院系统取消了从5月2日到3日的所有陪审团审判和陪审团职责，因为他们的IT系统无法运行。