TOP5 | 头条：疑似借助用友畅捷通T+的勒索攻击爆发

暗网上正在出售 COVID-19 患者数据；

标签：泰国，医学科学部，数据泄漏，患者个人身份信息

研究人员发现了从泰国医学科学部泄漏的患者个人身份信息（PII），其中包含部分 COVID-19患者的数据信息。

首次发现泄露泰国患者 PII 的是网络安全公司 Resecurity，随后与泰国 CERT共享这一事件。（Resecurity 公司主要为大型企业提供网络安全保护服务）

值得一提的是，目前已经有几个暗网市场在出售泄露的数据，可通过不良犯罪分子创建的 Telegram 频道进一步购买。

根据对获得样本进行详细分析可以发现，攻击者能够在未经授权的情况下，访问政府门户网站，使其能够非法管理用户信息和相关记录。

从 Resecurity 发布的帖子来看，由于用于在线调查的 WEB-app 授权模块中存在主动 SQL 注入漏洞，使得攻击者能够窃取用户个人信息。据不完全统计，患者信息主要包括姓氏、名字、性别、年龄、联系方式、医疗史和相关当地医疗识别码等。

漏洞爆出之前，攻击者可能已经访问了至少 5151 份详细记录，潜在暴露的总数约为 15000 份。

在泰国，大多数医疗服务都是以数字形式提供给其公民，这导致其成为网络黑客组织和其他攻击者收集信息的诱人目标。举一个很简单的例子，黑客在成功盗取公民个人信息后，可以使用被盗数据进一步盗取身份。

泰国并不是网络犯罪分子窃取公民个人医疗数据唯一地区，印度尼西亚和印度也发生了 COVID-19 患者记录被盗事件。

Resecurity 已经与相关部门和执法部门分享了被曝光的泄漏数据，以确保受影响的公民能够在泰国现有的隐私法和数据保护条例范围内得到保护。

信源：https://securityaffairs.co/wordpress/134952/deep-web/covid-19-data-dark-web.html

美国联邦贸易委员会起诉数据中间商 Kochava，涉及售卖上亿手机敏感位置数据；

标签：美联邦贸易委员会，数据中间商，Kochava，手机，地理位置，数据

据TechCrunch消息，美国联邦贸易委员会（FTC）在当地时间8月29日宣布，已对数据中间商Kochava提起诉讼，称其出售数亿手机的地理位置数据，这些涉及个人隐私信息的数据可能会使人们暴露在“耻辱、跟踪、歧视、失业甚至肢体暴力”的威胁中。

该诉讼旨在阻止Kochava收集涉及敏感地理位置的数据，并要求该公司删除已经收集的数据。

联邦贸易委员会指出，这些数据可用于追踪个人行踪，包括那些进出敏感位置的人，例如生殖健康诊所、家庭暴力/无家可归者收容所、成瘾康复中心和礼拜场所等场所的访问情况。

这起诉讼表明，联邦贸易委员会正在打击移动数据中间商，这些中间商从消费者手机上收集和转售数据。此前，苹果还对追踪数据进行了重大反思，更新了移动操作系统，允许消费者选择不按应用程序收集某些数据。

最近，在罗伊诉韦德案后，美国众议院监督委员会开始调查，周期性跟踪应用程序和数据中间商的商业行为，将消费者私人健康数据武器化的问题。

收集大量精确数据

Kochava总部在爱达荷州，名声不大，但在数据收集行业占有相当大的市场份额。它是一家位置数据代理公司，从消费者的智能手机上收集精确的位置数据，也从其他代理公司购买数据然后转售给客户。客户经常使用这些数据流来分析当地商店或其他地点的人流量等信息。收集的数据本非常精确——包括移动设备确切位置的时间标记、经纬度坐标、设备ID、P地址、设备类型等等。

设备ID也被称为移动广告ID，是运营商分配给消费者移动设备的唯一标识符，用于帮助想要向终端用户做广告的营销人员。虽然消费者有权选择重置设备ID，但很多人并不知道如何操作，甚至很多并不知道可以重置设备ID。

根据联邦贸易委员会起诉书中引用的Kochava产品描述，该公司为客户提供“原始的经纬度数据，每个月大约有940多亿次地理交互信息，1.25亿的月活跃用户，3500万的日活跃用户，平均每台设备每天记录到超过90次交互信息。”

截至2022年6月，Kochava在公开可访问的网站（包括AWS市场）上以订阅的方式出售其数据源。访问数据源之前，买家需要免费的AWS账户，以及2.5万美元订阅费。其中某个数据样本包含超过3.27亿行和11类数据集，涉及6180多万台移动设备。

联邦贸易委员会表示，这些数据没有脱敏处理，可以用来识别移动设备的用户或所有者。数据代理商专门出售将这些移动广告ID与线下信息（如消费者姓名和物理地址）匹配的服务。

除了能够跟踪访问敏感地点的用户之外，联邦贸易委员会指出，这些数据还可用于推断用户的LGBTQ+身份，并将其活动与家庭住址联系起来。

联邦贸易委员会的目标是起诉Kochava，理由是它违反了《联邦贸易委员会法》，包括那些涉及销售敏感数据和损害消费者利益的行为。它正在寻求一项永久禁令，以预防未来的违规行为。

美国联邦贸易委员会消费者保护局（Bureau of Consumer Protection）局长塞缪尔·莱文（Samuel Levine）在一份声明中表示：”涉及消费者寻求医疗保健、接受咨询或做礼拜地点的私人信息，不应该进行买卖。“”联邦贸易委员会将Kochava告上法庭，以保护人们的隐私，并停止出售敏感地理位置信息。”

信源：https://techcrunch.com/2022/08/29/ftc-sues-data-broker-kochava-for-sale-of-peoples-sensitive-location-data-including-visits-to-reproductive-health-clinics/FTC sues data broker Kochava for sale of people’s sensitive location data, including visits to reproductive health clinics | TechCrunch

黑客利用天文望远镜拍摄的图像传播恶意软件；

标签：黑客，天文望远镜，图像，恶意软件

威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动，该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。

该恶意软件由 Golang 编写，Golang 因其跨平台的特性（Windows、Linux、Mac）以及对逆向工程和分析的强抵抗力而越发得到网络犯罪分子的青睐。在 Securonix 的研究人员最近发现的活动中，攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为病毒的有效负载。

感染始于一封带有“Geos-Rates.docx”恶意文档的网络钓鱼电子邮件，该文档会下载模板文件，其中包含一个经过混淆的 VBS 宏，如果在 Office 套件中启用了宏，该宏会自动执行。之后，该代码从一个远程资源（“xmlschemeformat[.]com”）下载 JPG 图片（“OxB36F8GEEC634.jpg”），使用 certutil.exe 将其解码为可执行文件（“msdllupdate.exe”）并启动。

以图像查看器（左）和文本编辑器（右）打开图片文件

在图像查看器中，这是一张由 NASA 的詹姆斯韦伯望远镜于 2022 年 7 月发布的星系团 SMACS 0723图片，若使用文本编辑器打开，则会显示伪装成内含证书的额外内容，其本质是Base64编码的恶意有效载荷。有效载荷的字符串使用ROT25进一步混淆，而二进制文件使用XOR来隐藏Golang程序集，以防止分析人员发现。除此之外，这些程序集还使用了案例修改来避免安全工具基于签名的检测。

根据动态恶意软件分析推断出的情况，该可执行程序通过复制到’%localappdata%%microsoftvault’并添加一个新的注册表键来实现持久性，之后便与命令和控制（C2）服务器建立了DNS连接，并发送加密查询。C2可通过设置连接请求之间的时间间隔、更改nslookup超时或通过Windows cmd.exe工具发出执行命令来响应恶意软件。

在测试过程中，Securonix观察到攻击者在其测试系统上运行任意的枚举命令，这是一个标准侦察步骤的第一步。研究人员指出，用于该活动的域名注册时间较新，最早的注册时间是 2022 年 5 月 29 日。

Securonix 提供了一组危害指标 (IoC)，其中包括基于网络和主机的指标。

信源：https://www.bleepingcomputer.com/news/security/hackers-hide-malware-in-james-webb-telescope-images/

 因未告知消费者出售其个人信息，丝芙兰被罚 120 万美元；

标签：美国,加利福尼亚州，，化妆品品牌，丝芙兰，消费者隐私

信源：https://www.cnbeta.com/articles/tech/1309189.htm

俄罗斯流媒体巨头遭恶意攻击，210万中国用户数据泄露；

 标签：俄罗斯，流媒体，恶意攻击

俄罗斯流媒体巨头START 在上周日表示，其客户的个人信息在一次网络攻击中被泄露。

该公司没有透露具体有多少用户受到此次事件的影响，但根据俄罗斯Telegram频道“Information Leaks”的信息（该频道率先公布了此次事件，并附上一张据称为泄露信息的截图），泄露数据库总计72 GB大小，包含4400万客户的数据（据后续分析，该数据内包含745万个唯一电子邮箱，这可能更接近受影响用户的真实数量）。

此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期，以及最后一次登录记录。

START共在超过174个国家销售电影和电视节目，此次事件也让其成为俄乌冲突爆发后，遭受数据泄露和黑客攻击影响的众多俄罗斯企业之一。

据称，这起数据泄露事件已经影响到全球观众，包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、中国的210万用户及乌克兰的170万用户。

恶意黑客宣称，这些数据来自一个暴露在互联网上的MongoDB数据库，其中包含去年9月22日之前在START网站上注册用户的详细信息。

START公司表示，已经修复了漏洞并设置了数据库访问权限，事件声明中写道，“泄露的数据对恶意黑客而言意义不大，其中最重要的内容也只有用户的电子邮件和电话号码。”

据START介绍，该数据库中不存在信用卡号等重要的财务信息。由于密码已经加密，该公司也未要求用户更改原有密码。

START公司数据科学主管Ilya Braslavskiy表示，只有少部分用户（不到2%）在网站注册时填写了真实姓名。他在Telegram上写道，“本人姓名并非必填字段，所以大多数用户没必要提交。”

目前尚不清楚此次攻击的幕后黑手和行为动机，也没有黑客团伙宣称对这起事件负责。

广电媒体成俄乌冲突期间攻击重点

今年7月初，来自乌克兰IT军的恶意黑客利用分布式拒绝服务（DDoS）攻击影响了约80家俄罗斯在线电影网站，泛滥的垃圾流量导致这些线上观影平台无法正常访问。

今年3月，匿名恶意黑客还曾入侵俄罗斯流媒体服务Wink和Ivi，并播放了俄乌战场上拍摄的真实画面。

俄乌战争期间，乌克兰方面的流媒体服务也同样饱受俄方网络攻击的摧残。今年6月，亲俄派黑客就攻击了乌克兰流媒体服务Oll.tv，并把足球赛转播替换成了俄文宣传影像。

Megogo、Sweet.tv等其他重要流媒体服务商也大多表示受到DDoS攻击，但并未受到重大影响。

信源：https://www.secrss.com/articles/46367