2023年，數據泄露和網絡攻擊事件仍然頻發，涉及面廣，影響力大，很多全球知名的企業組織也因此面臨著監管合規與社會輿情的雙重壓力。近日，IT專業媒體CRN.COM梳理了2023年受到行業廣泛關注的十大網絡攻擊和數據泄露事件，并對事件進行了點評分析。

1、2023年2月，ESXi勒索軟件攻擊

今年2月，“ESXiArgs”勒索軟件組織攻擊了運行VMware ESXi虛擬機管理程序的客戶。據美國聯邦調查局和美國計算機安全管理局調查數據顯示，全球受到攻擊影響的服務器數量超過了3800臺。

據網絡安全供應商Censys的安全研究人員介紹，這起活動的目標主要是針對美國、加拿大、法國和德國等國家的企業組織，攻擊者利用了一個已經存在兩年之久的漏洞（編號為CVE-2021-21974），主要影響舊版本VMware ESXi中的OpenSLP服務，可以被用來遠程執行代碼。此次ESXiArgs勒索軟件攻擊事件，再次凸顯了保護虛擬化應用基礎設施的重要性。

2、2023年2月，GoAnywhere攻擊

今年2月，Fortra公司緊急發布公告并通知其客戶，在其GoAnywhere文件傳輸平臺上發現了一個被大肆利用的零日漏洞，該漏洞可用于在被控制的計算機系統上遠程執行惡意代碼。調查顯示，在此次GoAnywhere漏洞利用攻擊活動中，最具代表性的事件是黑客攻擊了醫療福利服務機構NationsBenefits，并獲取了其300萬會員的部分個人隱私信息。

據了解，黑客還利用GoAnywhere平臺漏洞竊取了包括寶潔和數據安全公司Rubrik在內的眾多大型組織業務數據。根據Fortra在調查攻擊的過程中發現，GoAnywhere漏洞被用來攻擊少數運行特定配置的GoAnywhere MFT解決方案的內部部署環境，這種情形早在今年1月就已經出現。

3、2023年3月，3CX軟件供應鏈攻擊

今年3月，全球知名的通訊軟件服務商3CX遭到網絡攻擊，在許多關鍵特征方面與2020年爆發的SolarWinds供應鏈攻擊非常相似。

在此次事件中，攻擊者們主要利用了3CX的一款VoIP電話系統應用軟件，該軟件的客戶群涵蓋了全球60余萬家組織，以及2.5萬個渠道合作伙伴，其中主要的客戶包括美國運通、麥當勞、可口可樂、NHS、豐田、寶馬和本田。

網絡安全Mandiant聲稱，3CX攻擊有別于以往軟件供應鏈攻擊的地方在于：3CX活動是由早期的供應鏈攻擊造成的。Mandiant的研究人員透露：我們監測到攻擊者篡改了金融軟件公司Trading Technologies發布的一款軟件包。這是Mandiant首次看到由一起軟件供應鏈攻擊導致了另一起軟件供應鏈攻擊。

4、2023年5月，MOVEit攻擊

今年5月，勒索軟件Clop組織利用了Progress的MOVEit文件傳輸工具中的一個嚴重漏洞，開始了大規模的勒索軟件攻擊活動。與傳統的勒索軟件攻擊不同，本次的攻擊行動并沒有采用任何加密機制，而是以非法泄露數據作為勒索條件。Clop聲稱，如果受害者公司支付贖金，它將不會在其暗網網站上泄露受害者的被盜數據。針對數百家選擇不支付贖金的公司，Clop確實是這么做的。

目前尚不清楚哪些公司實際上支付了贖金。但據網絡安全事件響應公司Coveware估計，Clop將從攻擊活動中獲利7500萬美元至1億美元。截至目前，受MOVEit活動影響的組織總數或許已經接近3000家。就已知受影響的個人而言，如今總數接近8400萬人。這使其成為2023年影響最廣泛的攻擊之一，也使其成為近年來最嚴重的數據泄露事件之一。在IT行業，MOVEit數據勒索活動的受害者包括IBM、高知特、德勤、普華永道和安永。

5、2023年5月，PBI Research Services泄密

2023年5月，同樣是受到MOVEit漏洞影響，導致了一家大型軟件系統開發供應商的眾多下游客戶企業泄密。數據顯示，就受影響的人員數量而言，PBI Research Services（PBI）泄密事件或許是與MOVEit相關的最大單一事件，最終導致超過1400萬人的個人隱私數據遭到泄露。

使用PBI服務的組織包括政府養老金系統、保險公司以及知名的投資公司。美國最大的公共養老基金CalPERS在事件說明的新聞發布會上就表示，有76.9萬名退休人員的個人數據遭到泄露。

6、2023年6月，梭子魚電子郵件安全網關攻擊

今年6月，知名網絡安全公司梭子魚發布公告披露，超過5%該公司生產的ESG設備已被攻擊者入侵。攻擊活動利用了該公司電子郵件安全網關（ESG）內部設備中的一個嚴重漏洞。通過進一步調查發現，該漏洞早在2022年10月就被利用了。這些攻擊促使梭子魚建議其受影響的客戶免費更換ESG設備。

Mandiant公司將這次大范圍的活動歸咎于編號為UNC4841的黑客組織。該公司的研究人員報告，政府部門是該攻擊團伙特別偏愛的目標，尤其是針對美國的政府機構。

7、2023年6月，微軟云電子郵件泄露

今年6月，屬于多家美國政府機構的微軟云電子郵件賬戶遭到非法入侵，其中包括了多位高級政府官員的電子郵件。據報道，美國國務院的10個郵件賬戶中共有6萬封電子郵件被盜。這起事件促使美國參議員Ron Wyden要求聯邦政府展開調查，以確定微軟公司松懈的安全防護措施是否是導致本次泄密事件的主要原因。

微軟公司表示，安全專家已經發現了使威脅團伙“Storm-0558”得以闖入美國官員云電子郵件賬戶的原因和問題。在2021年Windows系統崩潰后，一個漏洞導致攻擊中使用的Azure Active Directory密鑰被不適當地捕獲，并存儲在一個文件中。微軟表示，有一個漏洞導致這些不規范存放的密鑰沒有被檢測出來。

此外，這次攻擊的幕后黑手是通過侵入屬于微軟工程師的公司賬戶來訪問含有密鑰的文件。而微軟此前表示，被盜的Azure Active Directory密鑰可以被用來偽造身份驗證令牌，并訪問來自約25家組織的電子郵件。

8、2023年9月，賭場運營商被攻擊

今年9月份，攻擊者針對賭場運營商米高梅和凱撒娛樂發起了極具破壞性的攻擊，攻擊手法包括利用社會工程伎倆欺騙IT求助臺，非法進入米高梅的網絡系統。在此次攻擊的調查中還發現，一個名為Scattered Spider的年輕黑客組織與俄羅斯背景的勒索軟件團伙Alphv相互勾結、狼狽為奸。

據安全研究人員聲稱，Scattered Spider的黑客使用了Alphv提供的BlackCat勒索軟件（Alphv團伙的成員之前隸屬于發動Colonial Pipeline攻擊的DarkSide團伙）。雖然多年來勒索軟件即服務在東歐一直日益猖獗，但歐美黑客與俄羅斯背景黑客團伙結為聯盟似乎再讓威脅領域向更加令人不安的新方向發展。

9、2023年10月，思科IOS XE攻擊

今年10月中旬，針對思科IOS XE客戶的攻擊迅速成為有史以來影響最廣泛的邊緣攻擊之一。據Censys研究人員表示，10月16日發現的一個嚴重IOS XE漏洞導致近42000臺思科設備中招。

思科在當天的安全報告中表示，IOS XE中的零日漏洞被攻擊者大肆利用。思科對這個特權升級漏洞賦予了最嚴重的10.0分。思科的Talos威脅情報團隊表示，利用這個嚴重漏洞，惡意分子就可以全面控制中招的設備。在大量的思科設備中使用了IOS XE網絡軟件平臺，其中許多設備被部署在企業網絡邊緣環境中。這些產品包括分支路由器、工業路由器和聚合路由器，以及Catalyst 9100接入點和支持物聯網的Catalyst 9800無線控制器。

10月23日，思科發布了針對該漏洞的首個補丁，以限制嚴重的IOS XE漏洞。

10、2023年10月，Okta支持系統泄密

10月20日，身份安全廠商Okta公司披露了一起影響其支持案例管理系統的數據泄露事件，該公司最初以為只影響其18000家客戶中的很小一部分。然而在11月下旬卻改口表示，稱所有支持客戶的姓名和電子郵件都可能被攻擊者非法竊取。在Okta最初披露支持系統泄密后，BeyondTrust、Cloudflare和1Password都表示自己是這次事件中受影響的客戶。

這家身份管理公司在11月底的最新披露中表示，它一直在重新檢查攻擊者執行的操作。攻擊者運行并下載了一份報告，其中包含所有Okta客戶支持系統用戶的姓名和電子郵件地址。然而，攻擊者下載的報告不包含用戶憑據及其他敏感數據。

在最新披露之后，該公司將產品更新推遲90天發布，以優先考慮安全。

參考鏈接：https://www.crn.com/news/security/10-major-cyberattacks-and-data-breaches-in-2023