工业网络安全周报（2024年第14期）

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规3项，值得关注的有上海地区《区块链跨链通用要求DB31/T1460—2023》施行。

漏洞态势方面，本周监测到漏洞动态14条，值得关注的有网络安全公司Bitdefender修复了一个可能导致权限提升的漏洞。

安全事件方面，本周监测到重大网络安全事件16起，其中典型的事件有大规模网络钓鱼活动袭击拉丁美洲。

1、上海地区《区块链跨链通用要求DB31/T1460—2023》施行

4月1日，上海《区块链跨链通用要求DB31 T1460—2023》地方标准施行，标准规定了区块链跨链的基本要求、参考框架、数据及接口要求、应用要求和安全要求。本文件适用于上海地区开展区块链跨链互操作的组织。

资料来源：http://www.anquan419.com/knews/24/6769.html

2、美国CISA希望帮助高风险群体阻止网络攻击

4月2日，美国国土安全部网络安全和基础设施安全局发布了指导意见，以协助可能面临网络威胁的活动人士、记者、人权工作者、学者和其他与民间社会团体有联系的人。CISA表示，“其中许多社区的运营预算有限，无法在网络安全方面进行大量投资。

资料来源：http://mngfa.dwa2.sbs/oPIEmOP

3、Bitdefender修复其产品中的安全漏洞

4月2日，据报道，网络安全公司Bitdefender修复了一个可能导致权限提升的漏洞，该漏洞会影响其产品，包括Bitdefender Internet Security、Bitdefender Antivirus Plus、Bitdefender Total Security和Bitdefender Antivirus Free。该漏洞被标记为CVE-2023-6154，CVSS评分为7.8，可能导致权限提升，使攻击者完全控制他们所针对的系统。该漏洞已通过自动更新至27.0.25.115版本得到修复。

资料来源：https://cybersecuritynews.com/bitdefender-security-privilege-escalation-patch-now/

4、新的Ivanti RCE漏洞可能会影响16,000个暴露的VPN网关

4月5日，据报道，互联网上暴露的大约16,500个Ivanti Connect Secure和Poly Secure网关可能容易受到供应商本周早些时候解决的远程代码执行(RCE)缺陷的影响。该缺陷被追踪为CVE-2024-21894 ，是Ivanti Connect Secure 9.x和22.x的IPSec组件中的严重堆溢出，可能允许未经身份验证的用户导致拒绝服务(DoS)或RCE。

资料来源：http://akr6c.dwa2.sbs/kuCxVGr

5、Imperva防火墙成为SQL注入和XSS攻击的桥梁

网络安全专家拉响警报-流行的Web应用程序防火墙(WAF)Imperva SecureSphere中发现了一个严重漏洞。该问题已分配为CVE-2023-50969。它的最高风险级别为CVSS 9.8(满分10)，并允许攻击者绕过旨在防止SQL注入和跨站点脚本等Web攻击的安全规则。

资料来源：https://www.securitylab.ru/news/547162.php

6、大规模网络钓鱼活动袭击拉丁美洲

4月2日，据报道被称为TA558的威胁发起者被归因于一场新的大规模网络钓鱼活动，该活动针对拉丁美洲的广泛部门，其目标是部署Venom RAT。这些攻击主要针对西班牙、墨西哥、美国、哥伦比亚、葡萄牙、巴西、多米尼加共和国和阿根廷的酒店、旅游、贸易、金融、制造、工业和政府部门。

资料来源：https://thehackernews.com/2024/04/massive-phishing-campaign-strikes-latin.html

7、休闲游艇巨头称“网络犯罪组织”窃取了客户和员工数据

4月1日，休闲游艇巨头MarineMax向美国证券交易委员会监管机构提交了一份最新报告，警告称该事件期间客户和员工信息被盗。Rhysida勒索软件团伙声称对此次的攻击负责。MarineMax表示，这次攻击“并未对公司的运营产生重大影响，公司仍在确定该事件是否有合理可能性”对公司的财务状况或经营业绩产生重大影响。”

资料来源：https://therecord.media/cybercrime-organization-stole-customer-data-sec-marinemax

8、保德信保险公司称2月的网络攻击事件导致3.6万条数据泄露

4月2日，保德信保险公司向监管机构提交的一份文件中表示，它于2月5日检测到未经授权的访问，并立即展开调查。通过调查，了解到未经授权的第三方于2024年2月4日访问其网络，并从系统中删除了一小部分个人信息。该公司表示，有36545人的姓名、地址、驾驶执照号码或身份证被盗取。执法部门已获悉该事件，保德信聘请了一家外部网络安全公司来帮助应对。保德信保险没有回应有关哪些系统被访问或是否是勒索软件攻击的评论请求。受害者将获得两年的身份保护服务。

资料来源：https://therecord.media/prudential-discloses-new-information-from-february-incident

9、豪华酒店品牌Omni Hotels遭遇IT系统瘫痪事件

4月2日，据报道，知名豪华酒店品牌Omni Hotels正遭遇IT系统瘫痪事件，该品牌在美国、加拿大和墨西哥经营着50家酒店和度假村，事件发生在上周五，由于连锁酒店的IT系统不可用，全面影响了酒店预订、支付、门锁解锁等服务和基础设施功能的正常使用。Omni Hotels目前并未披露事件具体原因，但媒体评价称，考虑到受影响的服务范围广泛，且事件发生在周末假期，这表明事件可能是因网络攻击所引起。

资料来源：http://www.anquan419.com/knews/24/6770.html

10、托管公司的VMware ESXi服务器遭受新的SEXi勒索软件攻击

4月1日，智利数据中心和托管提供商IxMetro Powerhost发布公告称其遭受了名为SEXi的新勒索软件团伙的网络攻击，该团伙对该公司的VMware ESXi服务器和备份进行了加密。PowerHost是一家数据中心、托管和互连公司，在美国、南美和欧洲设有分支机构。

资料来源：http://ixdva.dwa2.sbs/E0rhmU2

11、攻击者通过YouTube视频传播恶意软件

4月3日，据报道，研究人员近期发现了多个YouTube频道，这些频道通过推广破解程序和盗版游戏内容来传播恶意软件，这些视频声称可以教用户免费下载软件或游戏，但视频描述中的链接却指向恶意软件，包括Vidar、StealC和Lumma Stealer等窃密木马。许多上传了恶意视频的账号是被窃取的合法用户账号，但研究人员发现了一些可能是攻击者创建和控制的账号，这些账号只活跃几个小时，专门用于传播恶意软件。

资料来源：http://lkfga.dwa2.sbs/xGJnAFg

12、攻击者声称窃取了美国联邦雇员的数据信息

4月3日，攻击者声称已经入侵了与美国国家和公共安全当局合作的技术咨询公司Acuity，公司尚未针对此事发布声明。据称，联邦特工的数据和机密文件被泄露。攻击者在一个数据泄露论坛中发布了相关消息，被盗细节包括大量信息，涉及联邦调查局、国务院、司法部和国土安全部的雇员详细信息，以及美国及其盟国之间的高度机密信息。。研究团队对数据样本进行了调查，并称虽然其中可能包含一些敏感数据，但泄露的规模被夸大了。例如，信息据称被盗取的数据库表明数据可能是测试数据。该团队称，数据转储中的信息似乎已有几年历史，其中的最新数据来自2016年。该数据库包含650个电子邮件地址，其中包括拼写错误的电子邮件地址。Acuity公司尚未针对此事发布声明，由于这些文件的敏感性，因此暂时无法验证信息的准确性。

资料来源：https://cybernews.com/news/acuity-allegedly-breached-confidential-data/

13、英国杂志社THE BIG ISSUE遭受勒索软件攻击

3月26日，据报道，英国杂志社THE BIG ISSUE近日确认遭遇了网络攻击。该公司的信息出现在了勒索组织Qilin的暗网勒索网站上。该组织声称窃取了550GB的机密数据，其中包括商业和人事运营相关文件。该杂志社证实了此次攻击事件，并表示已经开始恢复系统运行，杂志的出版和发行并未受到此事件影响。

资料来源：https://therecord.media/ransomware-gang-attacks-big-issue-street-paper

14、英国通信工人工会确认遭受网络攻击

3月25日，英国通信工人工会(CWU)确认其遭受网络攻击，并且导致电子右键系统停止运行，攻击的全部范围仍在评估中。一些CWU会员数据存储在遭受攻击的IT系统中，目前该工会不确定这些个人数据是否泄露。虽然目前尚不清楚该事件是否泄露了任何数据，但考虑到CWU 18.5万名的会员人数，任何可能的泄露都可能导致严重的后果。

资料来源：https://www.theregister.com/2024/03/25/cwu_security_incident/

15、MITRE为ICS版ATT&CK、移动版ATT&CK发布了新的Engage映射

4月1日，非营利组织MITRE宣布，其Engage团队已引入ATT&CK for Mobile和ICS Matrices技术的新映射。防御者现在可以应用相同的流程，从对手行为中识别参与机会，以进行基于ICS和移动环境的操作。MITRE Engage映射可以通过Engage Matrix Explorer或在Github上找到的原始数据中查看。

资料来源：http://teasa.dwa2.sbs/IxVXY0o