2023年十大网络攻击和数据泄露事件-信息管理中心

2023 年，数据泄露和网络攻击事件仍然频发，涉及面广，影响力大，很多全球知名的企业组织也因此面临着监管合规与社会舆情的双重压力。近日，IT 专业媒体 CRN.COM 梳理了 2023 年受到行业广泛关注的十大网络攻击和数据泄露事件，并对事件进行了点评分析。

2023 年 2 月，ESXi 勒索软件攻击

今年 2 月，“ESXiArgs” 勒索软件组织攻击了运行 VMware ESXi 虚拟机管理程序的客户。据美国联邦调查局和美国计算机安全管理局调查数据显示，全球受到攻击影响的服务器数量超过了 3800 台。

据网络安全供应商 Censys 的安全研究人员介绍，这起活动的目标主要是针对美国、加拿大、法国和德国等国家的企业组织，攻击者利用了一个已经存在两年之久的漏洞（编号为 CVE-2021-21974），主要影响旧版本 VMware ESXi 中的 OpenSLP 服务，可以被用来远程执行代码。此次 ESXiArgs 勒索软件攻击事件，再次凸显了保护虚拟化应用基础设施的重要性。

2023 年 2 月，GoAnywhere 攻击

今年 2 月，Fortra 公司紧急发布公告并通知其客户，在其 GoAnywhere 文件传输平台上发现了一个被大肆利用的零日漏洞，该漏洞可用于在被控制的计算机系统上远程执行恶意代码。调查显示，在此次 GoAnywhere 漏洞利用攻击活动中，最具代表性的事件是黑客攻击了医疗福利服务机构 NationsBenefits，并获取了其 300 万会员的部分个人隐私信息。

据了解，黑客还利用 GoAnywhere 平台漏洞窃取了包括宝洁和数据安全公司 Rubrik 在内的众多大型组织业务数据。根据 Fortra 在调查攻击的过程中发现，GoAnywhere 漏洞被用来攻击少数运行特定配置的 GoAnywhere MFT 解决方案的内部部署环境，这种情形早在今年 1 月就已经出现。

2023 年 3 月，3CX 软件供应链攻击

今年 3 月，全球知名的通讯软件服务商 3CX 遭到网络攻击，在许多关键特征方面与 2020 年爆发的 SolarWinds 供应链攻击非常相似。

在此次事件中，攻击者们主要利用了 3CX 的一款 VoIP 电话系统应用软件，该软件的客户群涵盖了全球 60 余万家组织，以及 2.5 万个渠道合作伙伴，其中主要的客户包括美国运通、麦当劳、可口可乐、NHS、丰田、宝马和本田。

网络安全 Mandiant 声称，3CX 攻击有别于以往软件供应链攻击的地方在于：3CX 活动是由早期的供应链攻击造成的。Mandiant 的研究人员透露：我们监测到攻击者篡改了金融软件公司 Trading Technologies 发布的一款软件包。这是 Mandiant 首次看到由一起软件供应链攻击导致了另一起软件供应链攻击。

2023 年 5 月，MOVEit 攻击

今年 5 月，勒索软件 Clop 组织利用了 Progress 的 MOVEit 文件传输工具中的一个严重漏洞，开始了大规模的勒索软件攻击活动。与传统的勒索软件攻击不同，本次的攻击行动并没有采用任何加密机制，而是以非法泄露数据作为勒索条件。Clop 声称，如果受害者公司支付赎金，它将不会在其暗网网站上泄露受害者的被盗数据。针对数百家选择不支付赎金的公司，Clop 确实是这么做的。

目前尚不清楚哪些公司实际上支付了赎金。但据网络安全事件响应公司 Coveware 估计，Clop 将从攻击活动中获利 7500 万美元至 1 亿美元。截至目前，受 MOVEit 活动影响的组织总数或许已经接近 3000 家。就已知受影响的个人而言，如今总数接近 8400 万人。这使其成为 2023 年影响最广泛的攻击之一，也使其成为近年来最严重的数据泄露事件之一。在 IT 行业，MOVEit 数据勒索活动的受害者包括 IBM、高知特、德勤、普华永道和安永。

2023 年 5 月，PBI Research Services 泄密

2023 年 5 月，同样是受到 MOVEit 漏洞影响，导致了一家大型软件系统开发供应商的众多下游客户企业泄密。数据显示，就受影响的人员数量而言，PBI Research Services（PBI）泄密事件或许是与 MOVEit 相关的最大单一事件，最终导致超过 1400 万人的个人隐私数据遭到泄露。

使用 PBI 服务的组织包括政府养老金系统、保险公司以及知名的投资公司。美国最大的公共养老基金 CalPERS 在事件说明的新闻发布会上就表示，有 76.9 万名退休人员的个人数据遭到泄露。

2023 年 6 月，梭子鱼电子邮件安全网关攻击

今年 6 月，知名网络安全公司梭子鱼发布公告披露，超过 5% 该公司生产的 ESG 设备已被攻击者入侵。攻击活动利用了该公司电子邮件安全网关（ESG）内部设备中的一个严重漏洞。通过进一步调查发现，该漏洞早在 2022 年 10 月就被利用了。这些攻击促使梭子鱼建议其受影响的客户免费更换 ESG 设备。

Mandiant 公司将这次大范围的活动归咎于编号为 UNC4841 的黑客组织。该公司的研究人员报告，政府部门是该攻击团伙特别偏爱的目标，尤其是针对美国的政府机构。

2023 年 6 月，微软云电子邮件泄露

今年 6 月，属于多家美国政府机构的微软云电子邮件账户遭到非法入侵，其中包括了多位高级政府官员的电子邮件。据报道，美国国务院的 10 个邮件账户中共有 6 万封电子邮件被盗。这起事件促使美国参议员 Ron Wyden 要求联邦政府展开调查，以确定微软公司松懈的安全防护措施是否是导致本次泄密事件的主要原因。

微软公司表示，安全专家已经发现了使威胁团伙 “Storm-0558” 得以闯入美国官员云电子邮件账户的原因和问题。在 2021 年 Windows 系统崩溃后，一个漏洞导致攻击中使用的 Azure Active Directory 密钥被不适当地捕获，并存储在一个文件中。微软表示，有一个漏洞导致这些不规范存放的密钥没有被检测出来。

此外，这次攻击的幕后黑手是通过侵入属于微软工程师的公司账户来访问含有密钥的文件。而微软此前表示，被盗的 Azure Active Directory 密钥可以被用来伪造身份验证令牌，并访问来自约 25 家组织的电子邮件。

2023 年 9 月，赌场运营商被攻击

今年 9 月份，攻击者针对赌场运营商米高梅和凯撒娱乐发起了极具破坏性的攻击，攻击手法包括利用社会工程伎俩欺骗 IT 求助台，非法进入米高梅的网络系统。在此次攻击的调查中还发现，一个名为 Scattered Spider 的年轻黑客组织与俄罗斯背景的勒索软件团伙 Alphv 相互勾结、狼狈为奸。

据安全研究人员声称，Scattered Spider 的黑客使用了 Alphv 提供的 BlackCat 勒索软件（Alphv 团伙的成员之前隶属于发动 Colonial Pipeline 攻击的 DarkSide 团伙）。虽然多年来勒索软件即服务在东欧一直日益猖獗，但欧美黑客与俄罗斯背景黑客团伙结为联盟似乎再让威胁领域向更加令人不安的新方向发展。

2023 年 10 月，思科 IOS XE 攻击

今年 10 月中旬，针对思科 IOS XE 客户的攻击迅速成为有史以来影响最广泛的边缘攻击之一。据 Censys 研究人员表示，10 月 16 日发现的一个严重 IOS XE 漏洞导致近 42000 台思科设备中招。

思科在当天的安全报告中表示，IOS XE 中的零日漏洞被攻击者大肆利用。思科对这个特权升级漏洞赋予了最严重的 10.0 分。思科的 Talos 威胁情报团队表示，利用这个严重漏洞，恶意分子就可以全面控制中招的设备。在大量的思科设备中使用了 IOS XE 网络软件平台，其中许多设备被部署在企业网络边缘环境中。这些产品包括分支路由器、工业路由器和聚合路由器，以及 Catalyst 9100 接入点和支持物联网的 Catalyst 9800 无线控制器。

10 月 23 日，思科发布了针对该漏洞的首个补丁，以限制严重的 IOS XE 漏洞。

2023 年 10 月，Okta 支持系统泄密

10 月 20 日，身份安全厂商 Okta 公司披露了一起影响其支持案例管理系统的数据泄露事件，该公司最初以为只影响其 18000 家客户中的很小一部分。然而在 11 月下旬却改口表示，称所有支持客户的姓名和电子邮件都可能被攻击者非法窃取。在 Okta 最初披露支持系统泄密后，BeyondTrust、Cloudflare 和 1Password 都表示自己是这次事件中受影响的客户。

这家身份管理公司在 11 月底的最新披露中表示，它一直在重新检查攻击者执行的操作。攻击者运行并下载了一份报告，其中包含所有 Okta 客户支持系统用户的姓名和电子邮件地址。然而，攻击者下载的报告不包含用户凭据及其他敏感数据。

在最新披露之后，该公司将产品更新推迟 90 天发布，以优先考虑安全。

————————————————

原文作者：上官雨宝

转自链接：https://www.wangan.com/p/11v7c9fb2212c210