Stryker 遭受网络攻击，Windows 零日漏洞被利用，中国超级计算机被黑客入侵

执行摘要

一起重大网络攻击影响了全球主要医疗技术公司Stryker，可能泄露了敏感数据。另外，一个现已修补的Windows零日漏洞正在被积极利用，中国的超级计算机集群被入侵，这些事件突显了一周内多样化和高影响力的安全事件。这些事件强调了对关键基础设施、企业系统和高价值研究资产的持续威胁。

技术分析

根据现有报告，每个事件的技术机制细节仍然有限。对于Stryker事件，公司已确认发生了网络安全事件，但未披露具体的攻击向量（例如，勒索软件、数据外泄）。访问的数据性质也未具体说明。被利用的Windows零日漏洞，被识别为CVE-2024-21338，是Windows内核中的一个权限提升漏洞。微软在2024年2月的补丁星期二更新中修补了它，但证据表明在修复之前就被用于攻击。利用代码的技术细节并未公开。位于北京异常检测国家工程研究中心的中国超级计算机集群的入侵涉及未经授权的访问。入侵的程度和目标数据在公开来源中未详细说明。

入侵指标

目前没有识别出任何指标。

战术、技术与程序

这些事件的战术、技术与程序（TTPs）在源材料中没有完全详细说明。然而，在修补之前利用CVE-2024-21338与利用零日漏洞进行初始访问或权限提升的常见威胁行为者技术相一致（MITRE ATT&CK T1068）。超级计算机入侵可能涉及针对间谍活动和知识产权盗窃的高级持续性威胁（APT）战术，可能使用定制的恶意软件或凭证收集。Stryker攻击的方法未知，但符合针对医疗行业以获取财务收益或数据盗窃的模式。

威胁行为者背景

这些事件没有特定的威胁行为者群体被公开归因。Windows零日漏洞的利用表明，有能力开发或获取此类漏洞的财务驱动或国家对齐的团体可能参与其中。超级计算机黑客行为与国家支持的网络间谍活动行为者的目标一致，尽管没有命名起源国家。Stryker攻击背后的行为者仍然未知；可能的候选者包括勒索软件即服务（RaaS）的附属机构或数据勒索团体。

缓解措施与建议

• 补丁管理：立即应用2024年2月的微软安全更新，以解决CVE-2024-21338和其他已披露的漏洞。
• 医疗行业警惕：医疗组织及其供应商应审查访问控制，尽可能分割网络，并确保为供应链事件制定健全的事件响应计划。
• 研究安全：高性能计算（HPC）和研究设施应实施严格的访问控制，多因素认证，并持续监控不寻常的数据传输。
• 零日准备：假设存在未披露的漏洞。采用应用程序允许列表，端点检测和响应（EDR），并通过禁用不必要的服务来减少攻击面。