烽火狼烟丨暗网数据及攻击威胁情报分析周报（06/12-06/16)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件34起，同比上周降低24.45%，本周内贩卖数据总量共计11429.4万条；累计涉及10个主要地区，涉及10种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及医疗、金融、教育等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期安全技术持续发展，通过图像或硬件设备的辅助进行安全攻击的技术已被尝试用于实践；本周内出现的安全漏洞以微软远程代码执行、 畅捷通T+反序列化漏洞较为严重；内部安全运营中心共发现恶意攻击来源IP 17425条，主要涉及命令注入、漏洞利用攻击、SQL注入等类型。

美国金融服务公司数据泄露

泄露时间: 2023-06-13

泄露内容：美国的金融服务公司Zacks遭遇黑客入侵，泄露部分客户未加密的账号密码，内容包括姓名，用户名，电子邮件，物理地址和电话号码。

泄露数据量：900万

关联行业：金融

地区：英国

美国医疗中心数据泄露

泄露时间：2023-06-15

泄露内容：位于纽约布鲁克林的迈蒙尼德医疗中心因黑客攻击导致数据泄露，泄露的内容包括患者的姓名，地址，社会安全号码，诊断和治疗信息。

泄露数据量：33000人

关联行业：医疗

地区：美国

美国教育服务委员会数据泄露

泄露时间：2023-06-13

泄露内容：美国合作教育服务委员会TST BOCES遭到数据泄露，泄露内容包括消费者的姓名，社会安全号码和用于直接存款的财务账户信息。

泄露数据量：11000人

关联行业：教育

地区：美国

印度大规模疫苗数据库泄露

泄露时间：2023-06-12

泄露内容：印度大规模疫苗数据库泄漏暴露了数百万印度人的身份证。这些数据可能来自印度的CoWIN疫苗接种跟踪应用程序，该应用程序拥有超过10亿注册用户。

泄露数据量：10000万

关联行业：其他

地区：印度

英国在线医疗机构数据泄露

泄露时间：2023-06-12

泄露内容：英国在线医疗机构Lantum因不安全的S3存储桶泄露了大量信息数据，泄露内容包括医生与患者的护照详细信息，国民保险号码，简历，医疗文件，专业证书，工资单详细信息和发票。

泄露数据量：98000

关联行业：医疗

地区：英国

 因Gozi恶意软件黑客被判入狱三年

一名罗马尼亚黑客因参与运营恶意软件基础设施而被判入狱三年。他帮助网络犯罪分子分发了多种恶意软件，包括Gozi病毒、宙斯木马、SpyEye木马和BlackEnergy恶意软件，这些软件被用于窃取财务信息和实施其他网络犯罪活动。该黑客提供了一项名为"防弹托管"的服务，允许网络犯罪分子匿名进行网络攻击和其他非法活动。

消息来源：

https://therecord.media/gozi-malware-hacker-sentenced-to-three-years

乌克兰黑客正在攻击俄罗斯的银行基础设施

乌克兰黑客组织对一家电信供应商发动了攻击，扰乱了俄罗斯银行服务。乌克兰报道称，这次攻击导致俄罗斯银行和信用合作社无法访问银行系统或进行付款。此次攻击似乎与乌克兰反攻的计划相吻合。这并非乌克兰黑客首次针对俄罗斯银行系统发动攻击，此前他们曾进行了大规模的DDoS攻击。

消息来源：

https://www.infosecurity-magazine.com/news/ukrainian-hackers-russian-banking

三年内美国的LockBit受害者支付超过9000万美元的赎金

七个国家联合发布了关于LockBit勒索软件服务团伙的告警提示。该团伙自2020年以来在全球造成了巨大的破坏，仅美国受害者就损失了超过9000万美元。告警提供了有关犯罪分子使用的工具和漏洞利用的详细信息，并提供了防止感染的措施和减少影响的建议。LockBit团伙使用了最新的数据加密和窃取软件，并以多个关键基础设施领域为目标。

消息来源：

https://www.theregister.com/2023/06/14/lockbit_joint_advisory/

大规模网络钓鱼活动使用6000个站点冒充100个品牌

近期发现了针对100多个流行服装、鞋类品牌的假冒活动。这些活动通过虚假网站诱骗人们输入账户和财务信息，被冒充的品牌包括耐克、彪马、阿迪达斯等知名品牌。据报道，这些活动依赖于3000多个域名和约6000个网站。此外，虚假网站的数量还在以每月300个不断新增。这些欺诈性域名通常与品牌名称、城市或国家、地区相结合。研究人员指出，一些虚假网站的设计与官方网站非常相似，非常具有迷惑性。

消息来源：

https://www.bleepingcomputer.com/news/security/massive-phishing-campaign-uses-6-000-sites-to-impersonate-100-brands/

人工智能网络安全创新的步伐快速而激烈

人工智能（AI）在网络安全中的应用具有巨大潜力。机器学习（ML）和深度学习（DL）算法模型可以帮助加强企业网络安全。这些AI技术能够分析大量数据集，比对已知的威胁模式和新出现的威胁，提供详细的分析、规范和预测指导。尽管与科幻作品中描述的完全自主的人工智能相比还存在差距，但AI在网络安全领域的实际应用已经取得了显著的成果。

消息来源：

https://www.forbes.com/sites/forbestechcouncil/2023/06/14/the-pace-of-ai-innovation-for-cybersecurity-is-fast-and-furious/?sh=5fbb6bfd4801

被关闭的BreachForums更名为ShinyHunters后回归

在Telegram上，黑客组织Baphomet宣布BreachForums的回归，该论坛是一个以网络犯罪和黑客活动著称的平台，几个月前被关闭。现在，在新的管理层领导下，BreachForums重新出现。然而，这次复兴的平台已经落入臭名昭著的黑客组织ShinyHunters的控制之下，引起了全球网络安全专家和执法机构的关注和警惕。

消息来源：

https://www.hackread.com/breachforums-returns-with-shinyhunters-hackers/

通过图像传播的新型窃取软件

一种复杂的攻击方式正在使用新型的加载程序和带有恶意软件的PNG图像文件来窃取加密货币或企业账户信息。这种多阶段攻击主要针对欧洲、美国和拉丁美洲的企业。攻击使用名为"DoubleFinger"的加载程序，通过将恶意代码的图像文件拖放到受害者的计算机上实施攻击。恶意软件"GreetingGhoul"被用来窃取加密货币凭据。

消息来源：

https://www.darkreading.com/attacks-breaches/new-loader-delivering-spyware-via-image-steals-cryptocurrency-info

BatCloak：被黑客利用绕过检测的恶意软件引擎

BatCloak是一款恶意软件混淆引擎，自2022年9月以来被用于部署恶意软件，并成功规避防病毒检测。研究人员发现，它能够通过高度混淆的批处理文件加载大量恶意软件，并且约有79.6%的样本在所有安全解决方案中无法检测到。BatCloak的核心组件是名为Jlaive的批处理文件构建器工具，它可以绕过反恶意软件扫描接口（AMSI），并压缩和加密有效负载，以增强安全规避功能。

消息来源：

https://thehackernews.com/2023/06/cybercriminals-using-powerful-batcloak.html

黑客可以通过录制电源LED来发现加密密钥

研究人员发现了一种能从智能卡和智能手机中提取隐蔽加密密钥的方法，可以将摄像头记录设备上电源LED的视频作为设备激活的指示器。黑客可以通过监控功耗、声音模式、电磁辐射和操作持续时间等变量，获取有价值的情报，从而揭示并制作加密算法的密钥。尽管这种攻击存在局限性，并且在许多现实场景中并不容易实施，但这项研究提供了一种全新的信道攻击方法，并克服了以往方法所面临的挑战。

消息来源：

https://gbhackers.com/hackers-uncover-cryptographic-keys/

新的PikaBot木马可执行任意命令

研究人员发现了一种名为Pikabot的新型恶意软件木马，它能执行恶意指令，该木马与已知的QakBot木马相似，并使用相同的传播方式。Pikabot通过后门运行，由加载程序和核心模块组成，允许未经授权远程访问被感染的系统；它从C2服务器接收指令，可以注入任意外壳代码、DLL或可执行文件，并传播其他恶意工具。Pikabot还采取反分析措施，加密核心模块并将其隐藏在PNG图像中。Pikabot在编程语言和通信方法的使用方面与另一个恶意软件Matanbuchus有许多相似之处，这表明它们可能有潜在联系。

消息来源：

https://cyware.com/news/new-pikabot-trojan-executes-diverse-range-of-commands-b77601bc

Fortinet FortiOS SSL-VPN远程代码执行漏洞

Fortinet的FortiOS中发现了一个远程代码执行漏洞,编号为CVE-2023-27997。这个漏洞源于Fortinet FortiOS SSL-VPN功能中的堆缓冲区溢出问题，攻击者可以在未经身份验证的情况下利用该漏洞来导致设备崩溃或执行任意代码。FortiOS是FortiGate网络安全平台上的专用安全操作系统，为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。

影响版本：

• Fortinet FortiOS 6.0.x版本  < 6.0.17

• Fortinet FortiOS 6.2.x版本  < 6.2.15

• Fortinet FortiOS 6.4.x版本  < 6.4.13

• Fortinet FortiOS 7.0.x版本  < 7.0.12

• Fortinet FortiOS 7.2.x版本  < 7.2.5

Progress MOVEit Transfer SQL注入漏洞

Progress发布了一份安全公告，披露了Progress MOVEit Transfer中的一个SQL注入漏洞，编号为CVE-2023-35036。该漏洞存在于MOVEit Transfer web应用程序中，攻击者可以在未经身份验证的情况下利用此漏洞未授权地访问MOVEit Transfer数据库。攻击者可以通过提交恶意Payload来利用此漏洞，可能导致修改或泄露MOVEit数据库内容。MOVEit Transfer是Progress提供的托管文件传输应用程序，提供安全的SFTP/S和HTTPS数据传输服务，支持各种标准协议、防篡改功能、安全消息和包交换，以及安全文件夹共享。

影响版本：

• Progress MOVEit Transfer 2021.0.x版本  < 2021.0.7（13.0.7）

• Progress MOVEit Transfer 2021.1.x版本  < 2021.1.5（13.1.5）

• Progress MOVEit Transfer 2022.0.x版本  < 2022.0.5（14.0.5）

• Progress MOVEit Transfer 2022.1.x版本  < 2022.1.6（14.1.6）

• Progress MOVEit Transfer 2023.0.x版本  < 2023.0.2（15.0.2）

• Progress MOVEit Transfer 2020.1.x版本

• Progress MOVEit Transfer 2020.0.x及之前版本

畅捷通T+反序列化漏洞

畅捷通T+ 反序列化漏洞(QVD-2023-13615)，未经过身份认证的攻击者可以通过构造恶意的请求在目标服务器上执行任意命令。畅捷通T+适用于异地多组织、多机构对企业财务汇总的管理需求；支持企业对远程仓库、异地办事处的管理需求。

影响版本：

• 畅捷通 T+ 13.0

• 畅捷通 T+ 16.0

微软远程代码执行漏洞

Microsoft发布了2023年6月安全更新，其中较为严重的为远程代码执行漏洞，编号CVE-2023-32031。该漏洞存在于Microsoft Exchange Server中，是一个远程执行漏洞。该漏洞是由于缺乏对用户提供的数据的适当验证，这可能会导致不可信数据的反序列化。攻击者需要在 Exchange 服务器上拥有一个帐户，成功利用该漏洞的攻击者可以 SYSTEM 权限执行代码。

影响版本：

Microsoft:Exchange Server  2016,2019

Google Chrome V8类型混淆漏洞

Google发布安全公告，修复了Chrome中的一个类型混淆漏洞（编号：CVE-2023-3216），该漏洞存在于Chrome V8 JavaScript引擎中，可以通过恶意设计的 HTML 页面触发该漏洞，成功利用该漏洞可能导致浏览器崩溃或执行任意代码。Chrome V8是Google开源的一个高性能JavaScript引擎，被广泛应用于各种JavaScript执行环境。

影响版本：

• Google Chrome（Windows）版本：<114.0.5735.133/134

• Google Chrome（Mac/Linux）版本：<114.0.5735.133

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。