一周全球重大网络安全事件速递（第三十一期）

=====================================================================================================================================================================================

恶意黑客正在假冒CrowdStrike发起攻击

时间：7月21日

威胁行为者正在利用CrowdStrike周五的故障更新造成的巨大业务中断，假冒CrowdStrike用数据擦除器和远程访问工具攻击公司。

当企业寻求帮助来修复受影响的Windows主机时，研究人员和政府机构发现试图利用这种情况的网络钓鱼电子邮件有所增加。

周六，网络安全研究员首次报告了针对BBVA银行客户的恶意软件活动，该活动提供了安装Remcos RAT的虚假CrowdStrike Hotfix更新。该虚假修补程序通过钓鱼网站进行推广，网站伪装成了BBVA内联网门户。

在另一条警告中，AnyRun宣布攻击者正在以提供CrowdStrike更新为幌子分发数据擦除器。威胁行为者通过从域名“crowdstrike.com.vc”发送电子邮件来冒充CrowdStrike，告诉客户已经创建了一个工具来使Windows系统恢复在线。

威胁行为者发送的网络钓鱼电子邮件

微软称850万台Windows设备受到CrowdStrike中断的影响

时间：7月21日

根据微软企业和操作系统安全副总裁戴维·韦斯顿 (David Weston) 在微软博客文章中的说法，大约有850万台设备（不到全球Windows机器的1%）受到了最近的CrowdStrike中断的影响。

这是微软和CrowdStrike首次公布有关昨天宕机规模的真实数据。这次宕机是由CrowdStrike网络安全软件更新引起的，导致Windows设备崩溃。（Mac和Linux设备未受影响）

虽然受影响的设备数量比例相对较少，但破坏范围广泛且遍布全球，影响到银行、零售商、经纪公司、铁路网络等。全球航空公司暂停了航班运营。

韦斯顿写道：“虽然受影响设备的比例很小，但广泛的经济和社会影响反映了运行许多关键服务的企业对CrowdStrike的使用。”他没有透露安装CrowdStrike软件的Windows设备中受影响的百分比。同样值得注意的是，即使只有一台计算机崩溃，也可能导致整个网络或数据中心瘫痪。

NCA入侵DDoS雇佣网站，嫌疑控制者在北爱尔兰被捕

时间：7月22日

英国国家犯罪局 (NCA) 周一宣布已“渗透”一项DDoS租赁服务，并证实一名涉嫌运营该服务的个人已于本月初被捕。

DigitalStress被描述为“每周在全球范围内发动数万起攻击的罪魁祸首”，它允许互联网用户发起分布式拒绝服务 (DDoS) 或“增强器”攻击——这是一种不太复杂的网络攻击形式，可以使网站离线，但不允许攻击者窃取任何数据。

NCA警告称：“此类攻击可能会对企业和关键的国家基础设施造成重大损害，并经常阻止人们获得消防、警察或救护队等基本公共服务。”

7月2日，警方与北爱尔兰警察局 (PSNI) 合作逮捕了一名涉嫌控制该网站的嫌疑人。PSNI尚未公布此人的姓名。

洛杉矶县法院系统定于周二在勒索软件攻击后重新开放

时间：7月23日

由于上周末遭受勒索软件攻击，洛杉矶县高等法院系统于周一关闭。法院在周一的最新消息中表示，受攻击的系统“涵盖了法院的整个运作，从MyJuryDuty门户和法院网站等外部系统到法院案件管理系统等内部系统”。

一位发言人在一份声明中表示：“尽管专家团队取得了重大进展，但仍存在一些阻碍进展的挑战。由于法院的许多网络系统仍然无法访问，法院今天关闭……以便再多一天时间让重要网络恢复在线。”

官员们表示，他们预计法院不会进一步关闭，因为恢复工作正在取得进展。所有远程举行的听证会都已重新安排，该县所有36家法院均因袭击而关闭。

FrostyGoop恶意软件攻击导致乌克兰冬季供暖中断

时间：7月23日

2024年1月，俄罗斯发动网络攻击，在零度以下的气温条件下，导致乌克兰利沃夫600多栋公寓楼的供暖中断两天。

据LB.UA报道，此次攻击迫使区域供热公司Lvivteploenergo于1月23日切断供热服务，影响到利沃夫Sykhiv住宅区超过10万人。

此次攻击中使用的Windows恶意软件FrostyGoop旨在针对使用Modbus TCP通信（所有工业领域的标准ICS协议）的工业控制系统。

俄罗斯主要银行遭DDoS攻击，乌克兰声称对此负责

时间：7月24日

据当地媒体报道，俄罗斯几家大型银行周三证实，他们遭受了分布式拒绝服务 (DDoS) 攻击，导致其移动应用程序和网站暂时中断。

俄罗斯国有银行VTB向国家通讯社塔斯社表示，由于此次“来自国外策划的”攻击，其客户在使用该银行的在线服务时遇到了问题。

俄罗斯农业银行向俄罗斯媒体《消息报》表示，该银行周二也遭受了DDoS攻击，但其后果“微乎其微”，因为该银行实施了“一种新的增强型系统来抵御此类攻击”。俄罗斯第三大银行、私营的俄罗斯天然气工业银行表示，由于遭受攻击，其客户在使用其应用程序进行交易时遇到了一些困难，但问题很快就得到了解决。

周三，乌克兰军事情报局 (HUR) 宣布对针对俄罗斯银行业的DDoS攻击负责HUR的一位匿名消息人士在接受乌克兰媒体采访时表示，这些攻击还扰乱了俄罗斯多家支付系统和大型电信运营商的运营。

CrowdStrike称“内容验证器”漏洞让错误更新通过检查

时间：7月24日

CrowdStrike发布了针对有缺陷的Falcon更新的初步事件后审查 (PIR)，解释说是一个漏洞允许错误数据通过其内容验证器并导致数百万个Windows系统在2024年7月19日崩溃。

该网络安全公司解释称，该问题是由内容配置更新问题引起的，该更新旨在收集有关新威胁技术的遥测数据。通过内容验证器后，由于信任先前成功部署的底层进程间通信 (IPC) 模板类型，因此更新未经过其他验证，在它到达运行Falcon 7.11及更高版本的在线主机之前也未被发现。

该公司意识到了错误并在一小时内恢复了更新，但那时已经太迟了。大约850万个Windows系统（甚至更多）在内容解释器处理新的配置更新时遭遇越界内存读取并崩溃。

五角大楼IT供应商Leidos被盗文件遭黑客泄露

时间：7月24日

据知情人士透露，黑客泄露了美国政府主要IT服务提供商Leidos Holdings Inc. 窃取的内部文件。该公司最近发现了这个问题，并认为这些文件是在之前披露的其使用的第三方系统遭到入侵时被盗取的。

Leidos的客户包括国防部、国土安全部和NASA，该公司正在调查此事。受此消息影响，该公司股价最初在盘后交易中下跌逾4%。

Leidos成立于2013年，由洛克希德马丁公司的IT业务收购而来，根据彭博政府数据，它是2022财年最大的联邦IT承包商，合同金额达39.8亿美元。该公司与政府签订了大量合同，而此次泄露文件的性质也引发了人们对潜在安全隐患的担忧。不过，此次泄密的严重程度以及泄露信息的敏感程度仍不清楚。

中东金融机构遭受为期六天的DDoS攻击

时间：7月25日

今年早些时候，中东一家金融机构遭受了分布式拒绝服务 (DDoS) 攻击，六天内共发生了多波攻击，持续时间约为100小时。

网络安全公司Radware的研究人员表示，此次攻击是由一个名为 SN_BLACKMETA的组织发起的。该事件之所以引人注目，是因为它持续了六天，峰值达到每秒1470万个请求 (RPS)。SN_BLACKMETA 事件对该金融机构发起了持续4到20小时的DDoS攻击，平均每秒攻击次数约为450万次。

研究人员表示：“在这六天里，一家位于中东的金融机构70%的时间都在遭受攻击。在遭受攻击时，合法与恶意Web请求的比例低至0.002%，平均为0.12%。在整个攻击活动中，攻击者多次试图破坏客户的Web应用程序，但未能影响服务。最终，在持续6天、100小时生成恶意Web请求后，攻击者继续攻击。”

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121