3月速遞

本月監(jiān)測(cè)到勒索事件26起、數(shù)據(jù)泄露事件14起、網(wǎng)絡(luò)攻擊28起。其中典型的勒索事件為以色列關(guān)鍵基礎(chǔ)設(shè)施情報(bào)信息遭Babuk2攻擊;典型的數(shù)據(jù)泄露事件為西班牙能源巨頭Endesa數(shù)據(jù)泄露事件，近4000萬客戶信息受影響;典型的網(wǎng)絡(luò)攻擊事件為波蘭航天局遭遇網(wǎng)絡(luò)攻擊。

以色列關(guān)鍵基礎(chǔ)設(shè)施情報(bào)信息遭Babuk2攻擊

2025年3月26日，以色列的關(guān)鍵基礎(chǔ)設(shè)施和秘密文件情報(bào)信息遭Babuk2勒索軟件組織攻擊。攻擊者竊取了大量涉及國家安全運(yùn)營(yíng)和基礎(chǔ)設(shè)施系統(tǒng)的重要文件，威脅泄露敏感數(shù)據(jù)，可能被惡意利用。此次事件凸顯了網(wǎng)絡(luò)犯罪組織攻擊手段的復(fù)雜性，以及加強(qiáng)網(wǎng)絡(luò)安全防護(hù)、保護(hù)關(guān)鍵資產(chǎn)和敏感信息的緊迫性。

資料來源：http://tn1.9dw5.sbs/NeL9VUK

西班牙能源巨頭Endesa數(shù)據(jù)泄露事件：近4000萬客戶信息受影響

2025年3月25日，西班牙能源巨頭Endesa被曝光涉嫌數(shù)據(jù)泄露事件。攻擊者“AgencyInt”聲稱成功入侵Endesa，導(dǎo)致3060萬電力客戶和860萬天然氣客戶的數(shù)據(jù)泄露。泄露信息包括姓名、身份證號(hào)、電話號(hào)碼、地址、郵箱、銀行賬號(hào)等。Endesa表示暫未發(fā)現(xiàn)系統(tǒng)被攻擊的證據(jù)，但此次事件引發(fā)對(duì)數(shù)據(jù)安全的高度關(guān)注。

資料來源：http://si1.9dw2.sbs/kMld1es

加拿大鋼鐵生產(chǎn)和回收公司Kimco Steel遭Play勒索軟件攻擊

2025年3月25日，加拿大鋼鐵生產(chǎn)和回收公司Kimco Steel成為Play網(wǎng)絡(luò)犯罪組織策劃的勒索軟件攻擊的受害者。此次攻擊擾亂了公司運(yùn)營(yíng)，引發(fā)了數(shù)據(jù)安全和敏感信息泄露的擔(dān)憂。事件凸顯了工業(yè)部門面臨復(fù)雜網(wǎng)絡(luò)威脅的脆弱性，也凸顯了加強(qiáng)網(wǎng)絡(luò)安全措施、提升防御能力的緊迫性。

資料來源：https://www.hendryadrian.com/ransom-kimco-steel/

白俄羅斯多家能源及電商企業(yè)遭Babuk勒索軟件攻擊

2025年3月15日，勒索組織Babuk宣稱攻破白俄羅斯G-Energy、Auto-Energy等多家能源及電商企業(yè)，竊取114GB未加密數(shù)據(jù)，包括3D模型與技術(shù)設(shè)計(jì)、財(cái)務(wù)記錄、客戶數(shù)據(jù)庫等核心商業(yè)機(jī)密與隱私信息。攻擊者已公開部分文件樣本及目錄結(jié)構(gòu)，免費(fèi)提供下載。此次泄露暴露出企業(yè)網(wǎng)絡(luò)安全防護(hù)薄弱，可能導(dǎo)致重大經(jīng)營(yíng)風(fēng)險(xiǎn)與用戶信息濫用。目前涉事企業(yè)尚未就事件原因及應(yīng)對(duì)措施作出官方回應(yīng)。

資料來源：http://kf2.9dw2.sbs/mQMKvEh

美國電焊碳鋼管主要生產(chǎn)商Vest LLC遭到攻擊

2025年3月19日，美國電焊碳鋼管主要生產(chǎn)商Vest LLC遭到攻擊，攻擊者為“akira”。攻擊者獲取了公司125 GB重要文檔，包括財(cái)務(wù)數(shù)據(jù)、NDA、HR文檔、員工和客戶聯(lián)系信息及社會(huì)安全號(hào)碼等，對(duì)隱私和運(yùn)營(yíng)造成嚴(yán)重威脅。

資料來源：https://www.hendryadrian.com/ransom-vest-llc/

英國汽車制造商捷豹路虎數(shù)據(jù)被盜

2025年3月10日，黑客“Rey”于暗網(wǎng)論壇公開約700份捷豹路虎(JLR)機(jī)密文件及135名員工數(shù)據(jù)集，含開發(fā)日志、專有源碼、技術(shù)追蹤數(shù)據(jù)及員工賬號(hào)信息。泄露內(nèi)容通過breachforums.st平臺(tái)發(fā)布，關(guān)聯(lián)WhiteIntel.io統(tǒng)計(jì)的145臺(tái)設(shè)備、424名客戶及英、美、中多國客戶憑證。

資料來源：http://gs2.9dw5.sbs/VPoNtCN

日本電信巨頭NTT數(shù)據(jù)泄露波及近1.8萬家企業(yè)客戶

2025年3月7日，日本電信服務(wù)提供商N(yùn)TT Communications Corporation(NTT)近日警告稱，其近1.8萬家企業(yè)客戶的信息在2025年2月的網(wǎng)絡(luò)安全事件中遭到泄露。NTT于2月5日發(fā)現(xiàn)未經(jīng)授權(quán)的訪問，次日確認(rèn)數(shù)據(jù)泄露。泄露信息包括客戶名稱、代表姓名、合同編號(hào)、電話號(hào)碼、電子郵件地址、物理地址和服務(wù)使用信息。盡管NTT迅速采取措施阻止攻擊并封鎖受影響設(shè)備，但仍有大量企業(yè)數(shù)據(jù)暴露。

資料來源：http://fr1.9dw2.sbs/CtarNZP

波蘭航天局遭遇網(wǎng)絡(luò)攻擊

2025年3月3日，波蘭航天局(POLSA)因檢測(cè)到網(wǎng)絡(luò)攻擊，緊急切斷網(wǎng)絡(luò)連接以保護(hù)數(shù)據(jù)安全。波蘭數(shù)字事務(wù)部長(zhǎng)稱，黑客通過未授權(quán)訪問入侵其IT系統(tǒng)，推測(cè)可能為勒索軟件或與俄烏沖突相關(guān)的國家級(jí)攻擊(波蘭長(zhǎng)期支持烏克蘭)。事件導(dǎo)致POLSA官網(wǎng)及內(nèi)部郵件系統(tǒng)癱瘓，社交媒體自周日未更新。國家網(wǎng)絡(luò)安全機(jī)構(gòu)及軍方團(tuán)隊(duì)已介入恢復(fù)系統(tǒng)并溯源，承諾后續(xù)公布進(jìn)展。目前尚無數(shù)據(jù)泄露證據(jù)，調(diào)查持續(xù)進(jìn)行中。

資料來源：https://x.com/POLSA_GOV_PL/status/1896247268069765211

本月監(jiān)測(cè)到操作技術(shù)(OT)漏洞共97個(gè)。其中越界寫15個(gè)，基于棧的緩沖區(qū)溢出13個(gè)，越界讀10個(gè)，內(nèi)存緩沖區(qū)邊界內(nèi)操作限制不當(dāng)7個(gè)，基于堆的緩沖區(qū)溢出4個(gè)，緩沖區(qū)大小計(jì)算錯(cuò)誤3個(gè)，輸入驗(yàn)證不當(dāng)3個(gè)，未檢查輸入大小的緩沖區(qū)復(fù)制2個(gè)，整數(shù)下溢2個(gè)，路徑名限制不當(dāng)導(dǎo)致目錄遍歷2個(gè)，釋放后使用2個(gè)，不受控的搜索路徑元素2個(gè)，空指針解引用2個(gè)，反序列化不受信任的數(shù)據(jù)2個(gè)，XML外部實(shí)體引用限制不當(dāng)2個(gè)，操作系統(tǒng)命令中特殊元素的不當(dāng)中和2個(gè)等。

Forescout揭露Sungrow等太陽能系統(tǒng)46個(gè)漏洞，威脅電網(wǎng)安全

2025年3月27日，據(jù).securityweek報(bào)道，網(wǎng)絡(luò)安全公司Forescout近期在太陽能供應(yīng)商Sungrow、Growatt和SMA的產(chǎn)品中發(fā)現(xiàn)46個(gè)漏洞，其中SMA的漏洞允許云端惡意代碼執(zhí)行，Growatt的30個(gè)漏洞可引發(fā)XSS攻擊及設(shè)備物理損壞，Sungrow存在敏感信息泄露和遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)。部分漏洞可能使攻擊者劫持逆變器，導(dǎo)致電網(wǎng)長(zhǎng)時(shí)間故障或價(jià)格操控。SMA和Sungrow已修補(bǔ)漏洞并獲CISA全球安全警示，但截至2024年2月底，Growatt多數(shù)漏洞仍未修復(fù)。Forescout建議加強(qiáng)設(shè)備安全隔離、監(jiān)控及采購環(huán)節(jié)安全審查，以降低電網(wǎng)和用戶數(shù)據(jù)風(fēng)險(xiǎn)。

資料來源：http://ze1.9dw2.sbs/9ma1ccb

PRODAFT發(fā)現(xiàn)mySCADA系統(tǒng)兩個(gè)嚴(yán)重漏洞

2025年3月18日，網(wǎng)絡(luò)安全公司PRODAFT在mySCADA myPRO Manager中發(fā)現(xiàn)了兩個(gè)關(guān)鍵的OS命令注入漏洞(CVE-2025-20014和CVE-2025-20061)，攻擊者可通過特制POST請(qǐng)求執(zhí)行任意命令，影響myPRO Manager 1.3之前版本和myPRO Runtime 9.2.1之前版本，可能導(dǎo)致工業(yè)控制網(wǎng)絡(luò)未經(jīng)授權(quán)訪問、運(yùn)營(yíng)中斷和經(jīng)濟(jì)損失。

資料來源：http://uq1.9dw5.sbs/z8ojTex

Schneider Electric Uni-Telway驅(qū)動(dòng)程序存在輸入驗(yàn)證漏洞

2025年3月13日，據(jù)CISA通報(bào)，Schneider Electric Uni-Telway驅(qū)動(dòng)程序(所有版本)存在不正確的輸入驗(yàn)證漏洞(CWE-20)，攻擊者可通過精心設(shè)計(jì)的輸入導(dǎo)致工程工作站拒絕服務(wù)。該漏洞的CVSS v4基本分?jǐn)?shù)為6.8。受影響的產(chǎn)品包括安裝在Control Expert、Process Expert、AVEVA System Platform和OPC Factory Server上的Uni-Telway驅(qū)動(dòng)程序。Schneider Electric建議使用McAfee Application and Change Control軟件進(jìn)行緩解，并遵循網(wǎng)絡(luò)安全最佳實(shí)踐。對(duì)于不需要該驅(qū)動(dòng)程序的用戶，建議卸載。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-070-01

ICONICS工業(yè)SCADA軟件中被爆存在多個(gè)漏洞

2025年3月7日，據(jù)媒體報(bào)道，Palo Alto Networks研究人員發(fā)現(xiàn)ICONICS SCADA軟件存在多個(gè)漏洞，影響版本10.97.2和10.97.3及更早版本。這些漏洞包括DLL劫持(CVE-2024-1182、CVE-2024-8299、CVE-2024-9852)、權(quán)限提升(CVE-2024-7587)和文件篡改等，可能導(dǎo)致權(quán)限升級(jí)、拒絕服務(wù)甚至系統(tǒng)受損。該軟件廣泛應(yīng)用于全球關(guān)鍵基礎(chǔ)設(shè)施，如政府、軍事、制造和能源等領(lǐng)域。

資料來源：https://cyberscoop.com/iconics-scada-vulnerabilities-2025-palo-alto/

日立能源Relion系列設(shè)備權(quán)限漏洞預(yù)警

2025年3月6日，據(jù)CISA通報(bào)，日立能源Relion 670/650/SAM600-IO系列設(shè)備存在權(quán)限不足處理漏洞(CVE-2021-35534)，CVSS v4評(píng)分8.6，攻擊復(fù)雜度低，可遠(yuǎn)程利用。攻擊者可通過用戶憑證或會(huì)話票據(jù)訪問ODBC協(xié)議(TCP 2102)，操控?cái)?shù)據(jù)庫表，繞過安全控制，修改或禁用設(shè)備。受影響版本包括Relion 670/650系列2.2.0至2.2.4版(部分除外)，2.2.5版及以下，以及SAM600-IO系列2.2.1版。日立能源建議用戶升級(jí)至安全版本，并采取防火墻隔離、限制ODBC協(xié)議使用等措施。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-065-02

Keysight Ixia Vision產(chǎn)品系列漏洞警報(bào)

2025年3月4日，據(jù)CISA通報(bào)，Keysight Ixia Vision產(chǎn)品系列存在多個(gè)漏洞，包括路徑遍歷(CVE-2025-24494、CVE-2025-21095、CVE-2025-23416)和XML外部實(shí)體引用不當(dāng)(CVE-2025-24521)，CVSS v4評(píng)分最高達(dá)8.6。攻擊者可利用這些漏洞遠(yuǎn)程執(zhí)行代碼、下載或刪除文件，導(dǎo)致設(shè)備崩潰。受影響版本為6.3.1，修復(fù)版本為6.7.0和6.8.0。Keysight建議用戶盡快升級(jí)至最新版本，并采取網(wǎng)絡(luò)隔離、防火墻保護(hù)等措施。CISA提醒用戶實(shí)施網(wǎng)絡(luò)安全策略，避免社會(huì)工程攻擊。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-02

臺(tái)達(dá)電子CNCSoft-G2緩沖區(qū)溢出漏洞警報(bào)

2025年3月4日，據(jù)CISA通報(bào)，臺(tái)達(dá)電子CNCSoft-G2(人機(jī)界面)版本V2.1.0.10及更早版本存在基于堆的緩沖區(qū)溢出漏洞(CVE-2025-22881)，CVSS v4評(píng)分8.5，攻擊復(fù)雜度低。攻擊者可通過誘導(dǎo)用戶訪問惡意頁面或文件，遠(yuǎn)程執(zhí)行代碼。臺(tái)達(dá)建議用戶更新至v2.1.0.20或更高版本，并采取網(wǎng)絡(luò)安全措施，如避免點(diǎn)擊可疑鏈接、隔離控制系統(tǒng)、使用VPN等。CISA提醒用戶采取防御措施，目前尚未發(fā)現(xiàn)針對(duì)該漏洞的公開利用。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-06