美国财政部称遭“中国政府支持的黑客”攻击，外交部回应；哈雷-戴维森遭遇网络攻击，6.67万名客户敏感信息或被泄露 

新闻速览

•美国财政部称遭“中国政府支持的黑客”攻击，外交部回应

•法国多个城市网站遭黑客攻击

•哈雷-戴维森遭遇网络攻击，6.67万名客户敏感信息或被泄露

•黑客组织正利用AWS工具和泄露凭证发起攻击

•美国一牙科诊所因勒索攻击支付35万美元用于和解

•Azure数据工厂三个安全漏洞或导致整个集群面临攻击

特别关注

美国财政部称遭“中国政府支持的黑客”攻击，外交部回应

2024年12月31日，在中国外交部发言人毛宁主持例行记者会上，有记者提问：美国财政部日前表示，其系统遭到“中国政府支持的黑客”攻击，请问中方对此有何评论？

毛宁回复：对于此类缺乏证据的无端指控，我们已经多次表明了立场。中方一贯反对各种形式的黑客攻击，更反对出于政治目的散布针对中国的虚假信息。

原文链接：

https://mp.weixin.qq.com/s/N-XOHwRH3tgtz37RIa_a3g

热点观察

法国多个城市网站遭黑客攻击

1月1日，多个法国城市的网站因黑客攻击而瘫痪。黑客组织NoName声称对此次攻击负责，并在其X账号上宣布，他们还针对了其他城市，包括南特、波尔多、普瓦捷、波城、尼姆、尼斯、昂热、勒阿弗尔和蒙彼利埃，以及兰德省、法属波利尼西亚和新喀里多尼亚。

当地时间下午4点左右，马赛、塔尔布和高加朗省的网站被报告无法访问。幸运的是，这些网站在事件发生期间仍保持运行。巴黎检察官办公室确认，共有23个网站受到影响。尼斯市市长Christian Estrosi在X上承认，尼斯市的网站也是被攻击的目标之一。此外，马赛市政厅表示，服务器遭到攻击后需要采取保护措施，导致其网站暂时无法访问。

尽管发生了攻击，波城和昂热等城市并未报告明显的事件。此次攻击采用了分布式拒绝服务（DDoS）技术，通过大量自动请求淹没网站，使其无法操作，但并未损害数据。网络安全专家指出，这些攻击似乎旨在制造数字安全感的不安，而非窃取信息。

原文链接：

https://english.aaj.tv/news/330395710/cyber-attacks-disrupt-internet-sites-of-multiple-french-cities

网络攻击

哈雷-戴维森遭遇网络攻击，6.67万名客户敏感信息或被泄露

标志性的美国摩托车制造商哈雷-戴维森（Harley-Davidson）近日陷入重大数据泄露困境中。“888”声称已泄露超过66700名哈雷-戴维森客户的个人信息敏感，可能导致严重的身份盗用和其他网络犯罪风险。

这些泄露的数据包括姓名、地址、电子邮件地址和手机号码。攻击者“888”据称已将该数据库发布给其订阅者访问。

尽管泄露的范围和声明的真实性尚未得到哈雷-戴维森官方确认，但这一事件已引起网络安全专家和客户的高度关注。如果这一泄露事件得到确认，可能会损害哈雷-戴维森作为美国最受欢迎品牌之一的声誉。

原文链接：

https://cybersecuritynews.com/harley-davidson-data-breach/

黑客组织正利用AWS工具和泄露凭证发起攻击

FortiGuard Labs的研究人员发现，黑客组织EC2 Grouper利用AWS工具和泄露的凭证进行攻击。研究表明，EC2 Grouper通过使用特定的命名模式（如“ec2group12345”）来利用AWS凭证和工具，主要从与有效账户关联的代码存储库中获取凭证。

该组织避免手动操作，转而使用API进行侦察和资源创建，这使得其活动更加隐蔽。尽管命名约定和用户代理等指标提供了一些线索，但研究人员指出，这些指标并不足以可靠地检测到威胁，因为攻击者可以轻易修改用户代理并改变命名模式。

在调查中，研究人员没有观察到对AuthorizeSecurityGroupIngress的调用，这对于配置EC2的入站访问至关重要，但却发现了CreateInternetGateway和CreateVpc的调用，表明该组织在进行远程访问时的活动。此外，受感染的云环境中没有任何操作是基于目标或手动活动，EC2 Grouper在升级时可能会选择性地检测并隔离被盗用的账户。

为了确保安全，安全专家建议，组织应利用云安全态势管理（CSPM）工具，持续监控和评估云环境的安全状况。同时，实施异常检测技术以识别云环境中的异常行为，如意外的API调用、资源创建或数据泄露，也将大有裨益。

原文链接：

https://hackread.com/fortiguard-labs-ec2-grouper-aws-credential-exploits/

美国一牙科诊所因勒索攻击支付35万美元用于和解

美国印第安纳波利斯的一家牙科诊所近日同意支付35万美元，并加强其数据保护和患者隐私措施。此举是针对一起勒索软件攻击和患者信息未经授权披露的州调查结果。

印第安纳州检察长Todd Rokita于2024年12月23日对Westend Dental提起诉讼，指控该诊所在2020年10月发生的网络攻击中暴露了患者的受保护健康信息，但直到2022年10月28日才向州政府报告这一泄露事件。检察长指责Westend Dental未能及时报告这一泄露事件，并试图掩盖和否认该事件。

攻击发生在Westend Dental的Arlington地点的服务器上，入侵者在Westend Dental的Arlington网点的服务器上部署了勒索软件，使患者的受保护健康信息被加密并无法访问。入侵者随后要求支付赎金以恢复信息。当时该网点至少有450名患者，泄露的信息包含患者的生物识别信息、保险信息、治疗计划，以及牙科记录和影像。根据诉讼，Westend Dental在泄露后无法恢复患者文件。

勒索事件促使该州检察院调查Westend的整体HIPAA合规性，结果发现该诊所在公共帖子和在线患者评论回复中多次不当披露患者的受保护健康信息。

原文链接：

yhttps://www.insideindianabusiness.com/articles/dental-office-agrees-to-pay-state-350k-after-data-breach-privacy-investigation 

安全漏洞

Azure数据工厂三个安全漏洞或导致整个集群面临攻击

网络安全研究人员近日发现了微软Azure数据工厂Apache Airflow集成中的三个安全漏洞：Airflow集群中的Kubernetes RBAC配置错误、Azure内部Geneva服务的秘密处理不当，以及Geneva的身份验证弱点。如果被成功利用，攻击者可能会获得进行各种隐秘操作的能力，包括数据窃取和恶意软件部署。

Palo Alto Networks的Unit 42分析指出，利用这些漏洞，攻击者可以作为影子管理员获得对整个Airflow Azure Kubernetes Service（AKS）集群的持续访问权限。微软随后更新了其文档，强调访问策略风险。

攻击者的初始访问技术涉及构建一个有向无环图（DAG）文件，并将其上传到与Airflow集群连接的私有GitHub存储库，或修改现有的DAG文件，旨在在导入时启动一个反向Shell连接到外部服务器。为了实现这一目标，攻击者需要先利用被攻陷的服务主体或共享访问签名（SAS）令牌，获得对存储账户中DAG文件的写入权限。另一种方法是使用泄露的凭证入侵Git存储库。虽然以这种方式获得的Shell在Kubernetes Pod中以Airflow用户身份运行的权限较小，但进一步分析发现与Airflow运行器Pod连接的服务账户具有集群管理员权限。这一配置错误，加上Pod可以通过互联网访问，使得攻击者能够下载Kubernetes命令行工具kubectl，最终通过部署特权Pod并突破到底层节点来完全控制整个集群。

攻击者随后可以利用对主机虚拟机（VM）的根访问权限，深入云环境，获得对Azure管理的内部资源的未授权访问，包括Geneva，其中一些资源允许对存储账户和事件中心进行写入访问。

原文链接：

https://thehackernews.com/2024/12/misconfigured-kubernetes-rbac-in-azure.html