每日安全简讯(20240814)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 韩国称朝鲜黑客窃取K2坦克和侦察机技术数据

2024年8月12日，韩国执政党国民力量党（PPP）宣称朝鲜黑客窃取了关于韩国K2主战坦克以及“白头”和“金刚”侦察机的重要技术信息。PPP担心朝鲜会利用这些信息躲避军事监视并在战场上获取优势，因此呼吁紧急采取更强有力的措施来保障国家安全。K2“黑豹”坦克是由韩国国防发展局设计，并由现代Rotem公司制造的主战坦克，于2008年引入，单价850万美元，目前有260辆在役，另有150辆计划中。白头和金刚侦察机在过去20年中被韩国广泛用于边境监视，监控朝鲜的军事活动和无线通信。据当地媒体报道，K2坦克数据泄露发生在其零部件制造商的工程师跳槽至竞争公司时，这些工程师带走了设计蓝图、开发报告和过压系统的详细信息。新雇主试图将这项技术出口到中东国家，因此泄露问题可能已超出韩国范围。关于白头和金刚侦察机，《东亚日报》报道称，生产包括这两架侦察机在内的军事设备操作和维护手册的韩国防务承包商被朝鲜黑客入侵。黑客窃取了两架侦察机的重要技术数据，包括技术细节、近期技术升级、操作能力和维护信息。

https://www.hankyung.com/article/202408078398i

---

2 黑客假冒乌克兰安全局感染100台政府电脑

乌克兰计算机应急响应小组（CERT-UA）披露，攻击者假冒乌克兰安全局（SSU）通过恶意垃圾邮件攻击该国政府机构的系统，成功感染了超过100台电脑，安装了AnonVNC恶意软件。这些攻击始于7月12日，攻击者利用带有链接的电子邮件，将收件人引导至一个名为Documents.zip的压缩文件，实则是下载一个包含恶意软件的Windows安装程序MSI文件。CERT-UA表示，这些攻击使得被追踪为UAC-0198的威胁组织能够秘密访问被妥协的电脑，尽管未提供恶意软件的具体功能描述。CERT-UA已确认超过100台受影响的电脑，主要集中在中央和地方政府机构。

https://cert.gov.ua/article/6280345

---

3 澳大利亚黄金生产商Evolution Mining遭遇勒索软件攻击

澳大利亚著名黄金生产商Evolution Mining遭遇勒索软件攻击，导致其IT系统受到影响。该公司已聘请外部网络安全专家进行修复，目前攻击已被完全遏制。Evolution Mining是澳大利亚最大的黄金生产商之一，在加拿大也有业务。2023年，该公司生产了超过65万盎司黄金和180万吨铜，为澳大利亚和加拿大经济贡献了16亿美元。拥有1000万盎司黄金矿石储备的Evolution Mining，在澳大利亚证券交易所（ASX）上市，交易代码为EVN。尽管此次勒索软件攻击对IT系统造成了干扰，但公司表示这不会对运营产生实质性影响。这表明，攻击者可能未加密任何系统或未攻击生产关键的工作站，矿业运营将继续不受影响。澳大利亚网络安全中心已被通知此次事件。截至目前，尚无主要勒索软件团体宣称对此次攻击负责，公司也未说明是否有数据在事件中被窃取。

https://evolutionmining.com.au/storage/2024/08/2759355-Cyber-Security-Incident.pdf

---

4 东谷理工学院数据泄露影响20万人

东谷理工学院（EVIT）通知超过200000名个人，他们的个人和健康信息在最近的数据泄露事件中被泄露。此次事件发生于1月9日，当时威胁行为者未经授权访问了EVIT的网络，获取了当前和前学生、教职员工及家长的敏感信息。可能被泄露的信息包括姓名、地址、电子邮件地址、社会安全号码、出生日期、驾驶执照、学生证号码、种族/民族信息、账户号码、医疗信息、助学金信息以及其他学生信息。医疗信息方面，包括诊断、治疗和处方详情、健康保险信息、精神和身体状况及治疗信息、患者账户号码等也被泄露。此外，生物识别数据、登录信息（包括用户名和密码）、支付卡类型、军人身份证号码及其他信息也被访问。具体泄露的信息因人而异。EVIT表示，已通知可能受影响的个人，并未发现被泄露的数据在网上发布的证据。

https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/e1ddfb24-c68c-48f2-9b14-79b5bb76048d.html

---

5 FBI关闭了攻击数十家公司勒索软件团伙的服务器

FBI克利夫兰分局宣布成功破获了由网名“Brain”领导的勒索软件组织“Radar/Dispossessor”，并拆除了三台美国服务器、三台英国服务器、十八台德国服务器、八个美国域名和一个德国域名。自2023年8月成立以来，Radar/Dispossessor迅速发展成为一个国际性影响力的勒索软件组织，专门针对中小型企业及组织，涉及生产、开发、教育、医疗、金融服务和运输等多个行业。调查发现，该组织在美国及阿根廷、澳大利亚、比利时、巴西、洪都拉斯、印度、加拿大、克罗地亚、秘鲁、波兰、英国、阿联酋和德国等国家攻击了43家公司。FBI在调查期间识别出了多个与Brain及其团队相关的网站。尽管目前受影响的企业和组织总数尚未确定，FBI鼓励任何有关于Brain或Radar Ransomware的信息，或其业务或组织曾成为勒索软件目标或受害者的人，联系互联网犯罪投诉中心或拨打1-800-CALL-FBI，身份可以保持匿名。

https://www.fbi.gov/contact-us/field-offices/cleveland/news/international-investigation-leads-to-shutdown-of-ransomware-group?7194ef805fa2d04b0f7e8c9521f97343

---

6 研究人员发现Solarman和Deye太阳能系统漏洞

研究人员在Solarman和Deye运营的光伏系统管理平台中发现了多个安全漏洞，这些漏洞可能被恶意行为者利用，导致电力中断和停电。研究人员的分析报告中表示，这些漏洞如果被利用，攻击者可以控制逆变器设置，可能导致电网部分区域瘫痪。这些问题在5月22日披露后，已由Solarman和Deye在2024年7月修复。研究人员指出，这些漏洞可能导致账户接管、信息泄露，甚至生成任何用户的认证令牌，严重破坏平台的保密性和完整性。成功利用这些漏洞，攻击者可以控制任何Solarman账户，重用Deye云的JSON Web Tokens（JWTs）来获得未授权的访问，并收集所有注册组织的私人信息。他们还可以获取任何Deye设备的信息，访问机密用户数据，甚至为平台上的任何用户生成认证令牌。这些攻击不仅能接管账户，还能控制太阳能逆变器，扰乱发电过程，可能引起电压波动，给电网稳定性带来严重威胁。

https://www.bitdefender.com/blog/labs/60-hurts-per-second-how-we-got-access-to-enough-solar-power-to-run-the-united-states/

---