安全威胁情报周报（2023/06/19-2023/06/25）

近日，Zyxel针对CVE-2023-27992 (CVSS评分:9.8)发布了安全更新，这个严重的安全漏洞影响到了其网络附加存储(NAS)设备。

该漏洞存在预认证命令注入问题，影响了V5.21(AAZF.14)C0之前的多个固件版本，未经身份验证的远程攻击者可以通过发送特制的HTTP请求来利用该漏洞执行某些操作系统命令。Zyxel发布了补丁解决该漏洞。

威胁行为者正在积极尝试利用近期发现的漏洞攻击Zyxel的防火墙。他们的目标是利用这个漏洞在受影响的系统上部署和安装恶意软件。Zyxel表示，一旦受到攻击，设备得Web GUI或SSH管理界面将无法访问。

微软透露，最近Azure、Outlook和OneDrive门户网站的中断是由于针对该公司服务的第7层DDoS攻击造成的。

故障发生在6月初，Outlook.com的网络门户在6月7日被攻击，OneDrive在6月8日被攻击，而微软Azure门户在6月9日被攻击。

微软于近期确认这些故障是由他们跟踪的威胁行为者Storm-1359对其服务进行的第7层DDoS攻击造成的。目前微软方面表示没有客户数据被访问或泄露。

近日，Cl0p 勒索团伙的全球黑客活动利用 MOVEit 文件传输平台中的零日漏洞入侵了多个美国政府机构。

据悉，与俄罗斯有联系的 Cl0p 勒索软件组织声称通过在其黑暗泄漏网站上发布公告进行了大规模的 MOVEit 攻击，并威胁说，如果受害者没有支付赎金要求，将公布受害者的姓名以及大量被盗数据。

美国多个政府机构使用的MOVEit软件中存在的漏洞，且已被发现他们遭到攻击。美国能源部被确定为受影响的联邦机构之一。

印度制药巨头Granules India近日遭到了与俄罗斯有关的勒索软件团伙LockBit的网络攻击，部分数据被窃取并公开。

LockBit在其泄露网站上于上周三将Granules India列为其最新的受害者之一。

Granules India 尚未证实此次勒索软件攻击。然而，该公司上个月向印度证券交易所披露了一起网络安全事件。当时，它表示受影响的IT资产已被隔离。

近日，研究人员发现了一个新的恶意软件活动，攻击者利用假冒的LetsVPN网站来传播多种恶意软件。

这些伪造的网站与真正的LetsVPN网站在设计和外观上非常相似，但实际上是用来分发恶意软件的，包括BlackMoon、AgentTesla、Formbook等银行木马，它们都是伪装成合法的VPN应用程序的。

BlackMoon是一个针对韩国用户的银行木马，可以窃取与在线银行和金融交易相关的敏感信息。AgentTesla是一个键盘记录器和信息窃取器，可以从浏览器、电子邮件客户端、剪贴板等处收集用户凭据、密码、银行卡信息等。Formbook是一个表单窃取器和键盘记录器，可以从Web表单、浏览器、电子邮件客户端等处窃取用户输入的数据，并能够执行远程命令。

6月23日，全球最大的两家航空公司美国航空(American Airlines)和西南航空(Southwest Airlines)披露了一起数据泄露事件，泄露原因是航空飞行员管理招聘平台Pilot Credentials遭遇了黑客入侵。

4月30日，黑客入侵了Pilot Credentials的系统，窃取了飞行员申请人及飞行员学员招聘过程中提供的个人信息文件。此次事件导致至少5745名飞行员和申请人的数据被泄露，西南航空公司报告的数据泄露总数为3009人。

据调查，泄露的数据涉及到了一些个人信息，例如姓名、社保号码、驾驶执照号码、护照号码、出生日期、飞行员证书号码以及其他政府颁发的身份证号等。

据悉，数据泄露是由竞争对手的黑客论坛实施的，该论坛利用了免费开源论坛软件 MyBB 中的零日漏洞。

今年3月，BreachForums 论坛因前任站长被FBI逮捕而宣布关闭，近期该论坛在 ShinyHunters 黑客的控制下卷土重来，这些黑客与原 BreachForums 的原版主团队合作。

目前，恢复的论坛已成为数据泄露的受害者，导致 4,000 多名注册会员的个人信息暴露。考虑到涉及安全机构以及 BreachForums 过去和现在的管理部门的复杂动态，此漏洞背后的黑客的身份和动机尚不清楚。

曾于今年2月5日攻击流行社交新闻聚合平台Reddit的幕后主使于近日浮出水面，BlackCat(又名 ALPHV)勒索软件组织发布消息称对这起网络攻击负责。

Reddit曾在事发后表示，该攻击是针对对 Reddit 员工的一次复杂网络钓鱼活动，将他们引导至一个假冒的公司内网网关站点，骗取其账号和密码，进而获得一些内部文档和业务系统的访问权限。Reddit曾指出有部分公司员工及广告商信息被泄露，Reddit 用户密码和账户没有受到损害。

近日，BlackCat宣布他们窃取了Reddit 80GB 的数据压缩包，并表示Reddit 没有查明所有被窃取的数据类型。

近日，暗网上出现了220万份与英国100所顶尖大学相关的泄露证书，使教职员工、学生及其数据处于危险之中。

据悉，其中约一半(54%)的证书属于罗素集团(russell Group)的精英机构。

经统计，泄露的数据受大学的位置和规模影响，伦敦的风险更高，有506,330份(20%)证书被泄露，其次是东南部(334,251份，13%)和苏格兰(306,873份，12%)。

近期，厦门市公安局网安支队联合思明分局横跨4省市，成功打掉一个集黑客攻击、数据清洗、买卖信息、提供资金、数据使用等为一体的全链条网络犯罪团伙，破获某公司被侵犯公民个人信息案，抓获犯罪嫌疑人7名，查获非法获取的公民个人信息100万余条。

今年2月3日，厦门市思明区某科技公司报警称，其运营的计算机系统被恶意攻击，导致用户信息泄露。接报后，省、市、区三级公安机关立即组建专案组开展侦查攻坚。2月15日，专案组民警连夜奔赴黑龙江哈尔滨，次日将犯罪嫌疑人杨某抓获。经突审，犯罪嫌疑人杨某对其使用黑客手段获取公民个人信息并利用聊天软件贩卖的行为供认不讳。随后，协助杨某进行黑客攻击的陈某、唆使他人非法获取公民个人信息的马某、非法获取公民个人信息的李某涛被抓获。

根据现场取证及前期后端的研判情况，专案组成功抓获购买及使用数据进行产品推销的刘某海、黄某南，并抓获非法倒卖公民个人信息、从中赚取差价的“中间商”汪某波。至此，这一集黑客攻击、数据清洗、买卖信息、提供资金、数据使用等为一体的全链条网络犯罪团伙被全链条捣毁。

一项研究表明，在针对云的网络攻击中，攻击者能够在短短两分钟内发现配置错误和易受攻击的资产，并立刻开始对其进行利用。

这项研究为期6个月，在9个不同的云环境中设置蜜罐，这些蜜罐旨在模拟错误配置的资源以吸引攻击者，每个蜜罐都包含一个 AWS 密钥。调查显示，GitHub、HTTP和SSH上暴露的敏感信息仅在5分钟内就被发现，AWS S3则在一小时内被发现。

密钥使用时间因资产类型而异。研究人员在两分钟内就观察到 GitHub 上的密钥使用情况，这意味着暴露的密钥几乎立即被泄露。其他资产的过程相对较慢，对于 S3 Buckets，密钥泄露大约需要8个小时，而对于 Elastic Container Registry，该过程则将近4个月。

研究显示，攻击者更倾向于对那些流行的、容易获得的、可能包含敏感信息的资源进行侦察。特别是像SSH这样的资产，由于其价值高，经常成为恶意软件的目标。在这种环境下，管理人员必须确保其资产在非必要的情况下不被公开访问，并确保敏感信息得到妥善管理；同时，不同的云服务环境需采用部署不同的安全控制策略来保护，可使用多种认证手段和加密措施以防止数据泄露事件的发生。

国际网络安全公司 Group-IB 报告显示，暗网交易平台上正在出售超过 10 万名 ChatGPT 用户的个人信息。

从统计的数据来看，2022 年 6 月至 2023 年 5 月期间，暗网平台有许多 ChatGPT 账户正在”待售“，买卖高峰期出现在 2023 年 5 月，当时威胁者发布了 26800 个新 ChatGPT 用户信息。值得一提的是，Group-IB 表示按照 ChatGPT 帐户所属地区划分，亚太地区为 40999 条、中东和非洲地区 24925 条、欧洲 16951 条。

信息窃密恶意软件主要攻击目标是存储在电子邮件客户端、网络浏览器、即时通讯工具、游戏服务、加密货币钱包等应用程序上的账户数据。这些类型的恶意软件通过从程序 SQLite 数据库中提取证书，并滥用 CryptProtectData 功能对存储的数据信息进行反向加密，从而窃取保存在网络浏览器中的凭证。一旦得手，凭证和其它被盗数据就会立刻被打包到日志文档中，发送回攻击者的服务器进行检索。

数据显示，随着时间推移，被盗 ChatGPT 日志数量稳步增长，几乎 80% 的日志来自 Raccoon 窃取者，其次是 Vidar（13%）和 Redline（7%）。

考虑到数据安全性，如果用户在 ChatGPT 上输入了敏感数据，请认真考虑在设置菜单中禁用聊天保存功能或在使用完工具后立即手动删除这些对话。