一周全球网络安全大事件：美国银行数据泄露

美国银行客户数据泄露影响20,000+客户

前段时间，总部位于亚利桑那州的 Western Alliance Bank 的第三方供应商安全文件传输软件遭到破坏，近日，它们通知近 22,000 名客户，表示其个人信息于该事件后被盗。

该银行在提交给 SEC 的文件中透露，攻击者利用第三方软件中的0day漏洞入侵了有限数量的 Western Alliance 系统并泄露了存储在受感染设备上的文件。此后经过调查发现，包含客户信息的部分数据也遭到泄漏，这些信息包括客户的姓名和社会安全号码、出生日期、财务账号、驾驶执照号码、税号或护照信息。

虽然目前没有证据表明客户的个人信息遭到滥用，但该公司仍需对该事件负责。

瑞士电信公司IT基础设施遭到攻击

瑞士全球解决方案提供商 Ascom 确认其 IT 基础设施受到网络攻击，而攻击者正是一个名为 Hellcat 的黑客组织，他们使用泄露的凭据进行网络攻击，并以全球的 Jira 服务器为目标。

Ascom 表示，黑客破坏了其技术票证系统，但该事件对公司的业务运营没有影响，因此客户和合作伙伴不需要采取任何预防措施。

但攻击者 HellCat 黑客组织的成员告诉媒体，他们窃取了大约 44GB 的数据，包括多个产品的源代码、有关各种项目的详细信息、发票、机密文档以及工单系统中的问题，这些数据可能会影响公司的所有部门。

这家瑞士公司没有提供有关泄露的技术细节，但针对 Jira 票证系统已成为 HellCat 黑客的常见攻击方法。

宾夕法尼亚州教育工会数据泄露事件涉及 500,000 人

宾夕法尼亚州最大的公共部门工会宾夕法尼亚州教育协会（PSEA）遭受了一次安全漏洞攻击，在经过调查后，该工会表明，这一数据泄露事件涉及超过五十万人的个人信息。

该工会表示，被盗信息因人而异，包括个人、财务和健康数据，驾驶执照或州身份证，支付卡信息和护照信息等数据。收到数据泄露提示邮件的个人，将会接收到该工会提供的信用监控和身份恢复服务，但他们自身也应该加强警惕，防止可疑活动。

恶意软件活动“DollyWay”入侵20,000 个WordPress 网站

自 2016 年以来，一项名为“DollyWay”的恶意软件活动一直在进行，破坏了全球 20,000 多个 WordPress 网站，将用户重定向到恶意网站。该活动在过去八年中不断变化攻击方式，利用了先进的规避、再感染和货币化策略实施攻击。

根据研究员的说法，DollyWay 在其最新版本（v3）中一直使用大规模诈骗重定向系统。而在过去，它主要是分发有害负载，例如勒索软件和银行木马。该研究公司针对 DollyWay 恶意软件开展了长期追踪研究，并发布了报告。

该恶意软件的肆虐对网络公共设施造成了巨大影响，影响了受害者的信息安全和财产安全。

恶意应用程序窃取Microsoft 365 账户数据

网络犯罪分子正在推广伪装成 Adobe 和 DocuSign 应用程序的恶意 Microsoft OAuth 应用程序，以传播恶意软件并窃取 Microsoft 365 账户凭据。这些活动由研究人员发现并发布在了网络上。

当用户安装了这些伪装的恶意应用程序，它们会请求访问不太敏感的权限，例如“profile”、“email”和“openid”，以避免被发现和怀疑。但用户一旦授予了这些权限，攻击者将能够访问用户的更多隐私信息，包括：个人资料、电子邮件、openid等。这些信息将被用于进行更有针对性的攻击。

新的信息窃取程序通过游戏作弊感染用户

一种名为 Arcane 的新发现的信息窃取恶意软件正在窃取大量用户数据，包括 VPN 账户凭据、游戏客户端、消息传递应用程序以及存储在 Web 浏览器中的信息。

根据专业机构的调查，Arcane 恶意软件活动于 2024 年 11 月开始，经历了几个进化步骤。

威胁行为者试图在 Discord上招募 YouTube 创作者（来源：卡巴斯基）

分发 Arcane Stealer 的活动依赖于宣传游戏作弊和破解软件的 YouTube 视频，在视频下方诱骗用户点击链接下载受密码保护的存档。这些文件包含一个“start.bat”脚本，该脚本获取了另一个包含恶意可执行文件的受密码保护的存档。下载的文件会将所有驱动器根文件夹的 Windows Defender SmartScreen 筛选器添加排除项，或通过修改 Windows 注册表将其完全关闭。

这一信息窃取恶意软件在国外视频网站上得到了大力推广，运营商甚至邀请内容创作者在他们的博客或视频上付费推广它，因此用户遭受攻击的概率大大升高。

CISA警告美国联邦机构防范备份漏洞

CISA已警告美国联邦机构保护他们的网络免受利用NAKIVO（美国的备份和勒索软件恢复软件供应商）备份和复制软件中的高严重漏洞的攻击。此绝对路径遍历漏洞被跟踪为 CVE-2024-48248，未经身份验证的攻击者可利用此绝对路径遍历缺陷读取易受攻击设备上的任意文件。

研究机构表明，“利用此漏洞可能会暴露敏感数据，包括配置文件、备份和凭据，可能导致数据泄露或进一步的安全危害，可能性非常广泛”。

前几日，CISA 将 CVE-2024-48248 添加到其已知被利用的漏洞目录中，该目录列出了被网络安全机构标记为在野外利用的安全漏洞。他们建议所有组织尽快优先修补此漏洞，以阻止正在进行的攻击。