今年最大规模网络攻击:受害机构数量逼近400家,影响人数超2千万

VSole2023-07-24 10:05:29

安全内参7月21日消息,利用MOVEit文件传输软件漏洞实施的大规模软件供应链攻击已经进入第七周,受害者数量和损失持续攀升。

今年5月下旬,俄罗斯勒索软件组织Clop利用美国Progress Software公司旗下产品MOVEit的一个安全漏洞,从易受攻击网络中窃取大批文件。截至目前,已有近400家组织受到影响,其中不乏美国能源部等联邦机构、能源巨头壳牌、德意志银行、普华永道、零售巨头TJX等知名公司机构。

零日漏洞曝光近两月,

受害机构逼近400家

零售巨头TJX在7月19日确认:“在Progress通知我们该漏洞之前,一些文件已被未经授权的第三方下载。”TJX拥有TJ Maxx、Marshalls、HomeGoods、HomeSense和Sierra等多个零售品牌。

虽然公司遭到攻击影响,TJX发言人强调:“我们认为TJX系统中没有任何客户或员工个人信息被未经授权用户访问,攻击未对TJX造成任何重大影响。”

拥有20多个美容品牌的雅诗兰黛公司也可能是受害者。Clop团伙在其泄露网站上列出该公司信息。雅诗兰黛也于同一天披露了“网络安全事件”。

据网络安全厂商Emsisoft统计,截至7月19日,共有383家组织和超过2千万个人遭受这次攻击。该统计的数据来源包括泄露通知、美国证券交易委员会(SEC)公告、其他公开数据及Clop团伙的泄露网站。

Emsisoft团队指出,一些受到MOVEit漏洞影响的公司为许多其他组织提供服务。

例如,Clop利用了英国薪资服务提供商Zellis部署的MOVEit工具。该公司客户众多,包括英国航空公司、英国广播公司(BBC)和英国博姿连锁药店。结果,俄罗斯黑客团伙利用MOVEit软件漏洞窃取了这些公司的员工记录。据Emsisoft报道,另一家MOVEit用户美国学生信息中心,与美国3500多所学校合作,处理1710万名学生的信息。因此,受害者的总数很可能会继续增长。

Emsisoft威胁分析师Brett Callow表示:“虽然严重性不及SolarWinds事件,这依然是近年来规模最大的黑客事件之一。后续需对数百万人进行信用监控、引发无数诉讼,损失将极其巨大。”

Progress Software公司目前面临多起指控,控方认为MOVEit漏洞是安全性不足所致。据《华尔街日报》消息,相关诉讼至少有13起。 

Emsisoft补充道:“更糟糕的是,被窃取信息有极大可能遭到滥用。不单单是Cl0p团伙可能滥用这些信息。一旦信息在网上公开,全球的网络犯罪分子都可以将这些信息用于商业电子邮件欺诈、身份欺诈。”

Progress Software公司拒绝回答有多少组织受到MOVEit漏洞影响。

该公司一位发言人表示:“我们会继续专注于客户支持。Emsisoft报告表明,频繁和透明的更新有助于鼓励客户迅速应用我们发布的漏洞补丁。我们将继续与行业领先的网络安全专家合作,调查攻击事件,确保采取适当的应对措施。据我们目前所知,5月31日漏洞之后发现的漏洞没有被大幅滥用。”

自5月底以来,其他漏洞陆续被发现。

漏洞曝光时间线

5月31日披露的首个漏洞是SQL注入漏洞。次日,Progress Software修补该漏洞,标记为CVE-2023-34362。

6月9日,第二个漏洞CVE-2023-35036被发现,并于次日被修复。

6月15日,Progress Software披露了第三个漏洞CVE-2023-35708。

最后(我们希望是),7月5日,又有三个漏洞CVE-2023-36934、CVE-2023-36932、CVE-2023-36933被发现并得到修复。

网络安全评级公司Bitsight表示,虽然受害者数量不断增加,但是易受攻击的组织在修补MOVEit漏洞方面表现相当不错。

本周四,Bitsight研究员Noah Stone在博客写道:5月31日漏洞披露以来,“易受CVE-2023-34362攻击的组织数量已经减少,至少77%最初受影响的组织现在不再易受攻击,而最初受影响的组织中至多还有23%仍然存在漏洞。后续披露的CVE漏洞,易受攻击的组织比率更高。”

更多组织仍然容易受到本月早些时候披露的三个最新漏洞的攻击,这并不令人意外。Noah Stone表示:“最初受到较新CVE漏洞攻击的组织中,至多有56%仍然容易受到攻击。”

Huntress公司的威胁猎人发现了第2个MOVEit漏洞。该公司高级安全研究员John Hammond表示,这类供应链攻击对犯罪分子越来越具有吸引力,因为它们可以为攻击者带来更多利益。

John Hammond表示:“不论是像MOVEit Transfer这样的攻击,还是过去的重大入侵案例,比如Kaseya VSA勒索软件事件、SolarWinds漏洞利用事件,所有攻击都对软件供应链有影响。这大幅提高了潜在受害者数量,影响了下游组织和供应商/消费者关系。对黑客来说,这种一对多的影响非常有吸引力。这也是供应链威胁如此阴险的原因。”

当然,John Hammond指出,这类入侵意味着“威胁行为者发起的每次攻击都是一次性的。下游受害者遭受损失后,机会就不复存在,攻击者必须重新发动攻击。”


网络攻击组织与机构
本作品采用《CC 协议》,转载必须注明作者和本文链接
国家级APT(Advanced Persistent Threat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击。 2021 年上半年,网络武器威力和攻击规模持续增大,可能是近年来APT攻击活动最黑暗的半年。全球 APT 组织为达到攻击目的,不惜花费巨额资金和人力成本, 使用的在野0day 漏洞数量陡然剧增,出现的频次之高为历年罕见。
毒云藤、蔓灵花、 海莲花等国家级攻击组织,持续针对我国境内开展攻击活动。(感恩节互动有礼)
但Kershaw没有指出任何实体对这次袭击负责。澳大利亚领导人谴责俄罗斯在该事件中的作用。这些组织被称为高级持续威胁 组。不过,她表示,北约对网络攻击的技术回应是不够的。Neuberger今年2月访问布鲁塞尔和华沙,期间会见了来自北约、波兰和波罗的海国家的官员,讨论应对俄罗斯入侵乌克兰的网络威慑问题,赢得了盟友的称赞。
Check Point Research 指出,Emotet 是目前第七大最猖獗的恶意软件,此次重返榜单“令人深感担忧”。Trickbot 再度位列榜首。教育和研究行业仍然是黑客的首要攻击目标。 2021 年 12 月, 全球领先网络安全解决方案提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research 发布了其 20
·“黑帽2023”大会关注美国政府及其在应对新出现的网络威胁,尤其是那些可能影响国家安全的网络威胁方面所做出的努力。
此次报告发布将为遍布全球的网络攻击受害者提供参考和建议。在针对中国境内多起典型网络攻击事件的调查过程中,联合调查组从受害单位信息网络中捕获并成功提取了一大批美国中央情报局紧密关联的木马程序、功能插件和攻击平台样本。目前,联合调查组已将相关情况提供给我国受害单位所在辖区的公安机关。
同时,美国司法部长梅里克表示,警方正在构建Hive开发人员、管理员和附属机构的地图,作为逮捕、扣押Hive 勒索软件组织以及其他行动的重要支撑证据。最终,Hive勒索软件组织被FBI一锅给端了,整个组织结构遭到了毁灭性的打击。目前尚不清楚的是,Hive勒索软件组织主要领导核心成员是否已经被逮捕。持续增强勒索攻击的打击力度美国FBI联合欧洲警方共同执法,对Hive勒索软件组织进行彻底的打击,进一步体现了全球主要国家对于勒索攻击的态度。
作为全球数字转型的领先国家,韩国将网络安全作为发展国民经济、稳定社会秩序、提高国际地位的重要政策着力点。从制度建设历程、治理体系侧重以及美韩同盟合作前景 3个维度,综合分析了韩国网络安全战略的特征走向。在制度建设维度上,外部网络威胁的加剧国内民众意识的萌生共同促使韩国逐步完善网络安全战略。在治理体系维度上,军队国情院二元主导机制带来了一系列的内外部挑战。在美韩合作维度上,尹锡悦的上台预示着美
美国国家宇航局(NASA)负有特殊使命,公众、教育机构和外部研究机构有着广泛联系,因而令人瞩目。大多数其他政府机构相比,更可能被网络不法分子盯上。NASA拥有约3000个网站和42,000多个可公开访问的数据集,在线业务庞大,极易受到入侵。近年来,NASA的首席信息官办公室(OCIO)牵头相关工作,着力提升该局的网络安全准备度。尽管如此,仅在过去4年间,NASA就遭受了6000多起网络攻击,包
VSole
网络安全专家