烽火狼烟丨暗网数据及攻击威胁情报分析周报（10/09-10/13)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件55起，同比上周上升12.24%，本周内贩卖数据总量共计26312.79万条；累计涉及9个主要地区，涉及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及政府、通信、企业等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期针对物联网设备的攻击增多，请及时升级设备版本以免遭受网络攻击；本周内出现的安全漏洞以Exim代码执行漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 12441条，主要涉及命令注入、漏洞利用、SQL注入等类型。

01.

重点数据泄露事件

美国最大银行之一数据泄露

泄露时间：2023-10-09

泄露内容：总部位于美国密歇根州特洛伊的最大的银行之一Flagstar Bank发布公告，第三方服务提供商遭受的数据泄露暴露了超过800000名客户的个人信息，其中包括银行和相关机构客户信息。

泄露数据量：超过800000人

关联行业：银行

地区：美国

加拿大卫生服务机构数据泄露

泄露时间：2023-10-11

泄露内容：纽芬兰和拉布拉多卫生服务局表示，由于操作失误，意外地将253份邮件同时分别发给了253名患者，每名患者都收到了253份邮件。

泄露数据量：253

关联行业：医疗

地区：加拿大

西班牙航空公司数据泄露

泄露时间：2023-10-10

泄露内容：西班牙航空公司Air Europa表示遭遇未授权访问，并被窃取了大量信用卡数据，目前被窃取数据的信用卡暂时被冻结。

泄露数据量：未知

关联行业：航空

地区：西班牙

沃尔玛数据泄露

泄露时间：2023-10-10

泄露内容：全球最大的零售连锁企业之一沃尔玛遭遇数据泄露事件，目前尚不知道未授权访问方从何处获取的数据，此次事件影响了85952人。

泄露数据量：85952

关联行业：零售

地区：其他

加拿大航空数据泄露

泄露时间：2023-10-12

泄露内容：BianLian勒索组织宣布在破坏加拿大航空公司的网络后窃取了210GB的数据，其中包括有关公司技术和安全挑战的详细信息，SQL备份，员工个人信息，有关供应商和供应商的数据，机密文件以及公司数据库中的档案。

泄露数据量：210GB

关联行业：航空

地区：加拿大

02.

热点资讯

研究发现针对教育部门的攻击中29%是利用漏洞造成的

最新网络威胁情报报告显示教育部门成为威胁行为者的主要目标。数据表明，2023年29%的攻击是通过漏洞利用进行的，而30%是来自K-12学校的网络钓鱼活动。报告还强调了网络钓鱼攻击中QR码的使用增加，以欺骗受害者。此外，勒索软件组织之间的合作更为广泛，共享策略和程序，反映了网络犯罪格局的演变。

消息来源：

https://www.infosecurity-magazine.com/news/exploitation-29-education-sector/

HelloKitty勒索软件源代码在黑客论坛上泄露

威胁行为者在一个俄语黑客论坛上泄露了HelloKitty勒索软件的第一版完整源代码，声称正在开发更强大的加密工具。源代码由一个名为"kapuchin0"或"Gookee"的威胁行为者发布，他曾与黑客和恶意软件活动有关。HelloKitty勒索软件一直活跃，以入侵公司网络、窃取数据和加密系统著称，威胁受害者支付赎金以防止数据泄露。虽然勒索软件源代码的发布有助于安全研究，但威胁行为者迅速利用它发起自己的勒索行动，这对网络安全构成威胁。HelloKitty勒索软件还以不同名称活动，如DeathRansom、Fivehands和Abyss Locker。

消息来源：

https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-source-code-leaked-on-hacking-forum/

Blackbaud以4950万美元的和解，解决2020年数据泄露事件

云计算提供商Blackbaud与美国49个州的司法部长达成了一项价值4950万美元的协议，解决了2020年5月的勒索软件攻击引发的数据泄露问题。Blackbaud是一家为慈善机构、学校和医疗保健机构等非营利组织提供服务的软件解决方案提供商，但在2020年遭受了大规模数据入侵。这项和解协议解决了多项指控，包括违反消费者保护法、违规通知法规和健康保险流通与责任法案（HIPAA）。协议要求Blackbaud采取一系列措施，包括加强数据保护、改进安全防御和接受七年的第三方评估。这个事件引发了多方的调查和诉讼，对Blackbaud造成了负面影响。

消息来源：

https://www.bleepingcomputer.com/news/security/blackbaud-agrees-to-495-million-settlement-for-ransomware-data-breach/

Lazarus Group参与70亿美元加密货币非法洗钱

Lazarus Group黑客组织，涉及了多达70亿美元的加密货币非法洗钱。他们从2022年7月到今年7月之间盗窃了约9亿美元的加密货币。这种犯罪行为涉及跨链转换，即将加密资产从一个代币或区块链转移到另一个，以混淆资金来源，成为一种盗窃洗钱手法。Lazarus Group使用跨链桥，导致通过这种服务发送的资金比例增加了111%。他们还与多起攻击案有关，包括对原子钱包、CoinsPaid、Alphapo、Stake.com和CoinEx的攻击，估计共窃取了近2.4亿美元的加密货币。这一系列活动表明Lazarus Group在网络犯罪、网络破坏和经济利益方面表现出多样性和复杂性。

消息来源：

https://thehackernews.com/2023/10/north-koreas-lazarus-group-launders-900.html

辛普森制造在网络攻击后关闭IT系统

美国建筑和结构材料制造商辛普森制造公司已通过SEC 8-K文件揭示了一次网络安全事件，导致其运营中断，事件起因于上周的网络攻击。公司表示，它已经采取措施使受影响的系统脱机，以应对这次攻击，但修复过程可能需要一些时间，因此业务运营的暂停情况将继续。尚未确定攻击的性质，也没有勒索软件组织对此负责。公司已聘请第三方专家进行调查和恢复工作，但目前处于初始阶段。

消息来源：

https://www.bleepingcomputer.com/news/security/simpson-manufacturing-shuts-down-it-systems-after-cyberattack/

03.

热点技术

Android电视盒T95感染恶意软件

研究人员发现了一个名为T95的基于Android的电视流媒体盒感染了预装的恶意软件，他们将此行动称为“Badbox”。这是一系列复杂、相互关联的大规模广告欺诈计划。恶意软件会在设备激活后连接到命令和控制服务器，还包括一个僵尸网络名为Peachpit，从事广告欺诈、住宅代理服务、虚假电子邮件/消息帐户以及未经授权的远程代码安装。这一行动可能影响全球至少74,000台Android设备，其中包括多个型号的Android电视盒和平板电脑。

消息来源：

https://www.darkreading.com/vulnerabilities-threats/badbox-operation-targets-android-devices-in-fraud-schemes

针对WordPress网站的恶意软件Balada

研究人员发现了一个名为Balada的恶意软件，已感染了超过17,000个WordPress网站。这个恶意软件利用已知的WordPress插件和主题漏洞，注入Linux后门，然后将受感染网站的访问者重定向到虚假的技术支持页面和欺诈性彩票中奖通知。攻击者可能是为了欺诈活动或将服务出售给欺诈者。攻击者还利用特定漏洞，包括CVE-2023-3169，通过注入恶意脚本破坏网站。建议用户升级相关插件，保持主题和插件更新，删除休眠用户帐户，以及扫描文件以查找隐藏的后门。

消息来源：

https://www.bleepingcomputer.com/news/security/over-17-000-wordpress-sites-hacked-in-balada-injector-attacks-last-month/

针对物联网设备的IZ1H9 Mirai变体

基于IZ1H9 Mirai的新型DDoS活动于9月爆发，包括13种有效载荷，用于攻击各种物联网（IoT）设备。感染易受攻击的设备，使用多个漏洞包括CVE扩展其僵尸网络。漏洞利用集中在多个设备上，包括D-Link、Netis、Sunhillo SureLine、Geutebruck、Yealink Device Management、Zyxel、TP-Link Archer、Korenix JetWave和TOTOLINK。每个有效载荷都是为特定漏洞设计，包括命令注入和远程代码执行。攻击者使用有效载荷下载器进行操控，删除日志，下载机器人客户端，阻止网络连接。IZ1H9是Mirai的变种，具有XOR密钥解码、附加有效载荷下载器URL和预设登录凭据的功能。

消息来源：

https://securityaffairs.com/150981/hacking/retool-smishing-attack.html

BunnyLoader，最新的恶意软件即服务

在九月初，出现了一种新的恶意软件即服务（MaaS）威胁，名为“BunnyLoader”，在各种论坛上以250美元的价格出售。BunnyLoader具备多种功能，包括下载和执行第二阶段有效负荷、记录键盘击键、窃取浏览器凭据和系统信息等。此外，它还使用键盘记录功能和剪刀功能来窃取加密货币钱包地址，并将其替换为攻击者控制的地址。窃取的数据被压缩成ZIP存档并传输到命令和控制（C2）服务器。BunnyLoader还能执行远程命令。它快速发展并采用多种反沙盒技术，不断更新并修复错误。该威胁具有广泛的功能，包括键盘记录、窃取、剪贴板监控、下载和执行文件等。

消息来源：

https://www.zscaler.com/blogs/security-research/bunnyloader-newest-malware-service

利用消息平台的恶意软件DarkGate

DarkGate恶意软件在即时消息平台上滥用信任关系，通过Skype和Microsoft Teams向受害者发送伪装成PDF或LNK文件的VBA脚本，欺骗他们执行附加的恶意脚本。一旦执行，该脚本下载并执行DarkGate的恶意代码，允许攻击者在受感染的系统上执行多种恶意操作。DarkGate还在安装后加载额外的有效载荷，可能包括勒索软件或其他恶意软件的变体。

消息来源：

https://www.trendmicro.com/en_us/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

04.

热点漏洞

Glibc ld.so权限提升漏洞

glibc的ld.so存在一个本地提权漏洞，编号为CVE-2023-4911。这个漏洞在glibc中引入了一个名为GLIBC_TUNABLES的环境变量，允许用户在运行时修改库的行为，而无需重新编译应用程序或库。通过设置GLIBC_TUNABLES，用户可以自定义各种性能和行为参数，然后在启动应用程序时应用这些参数。但在处理GLIBC_TUNABLES环境变量时，GNU C库的动态加载器ld.so存在一个缓冲区溢出漏洞。这意味着当本地低权限用户在运行具有SUID权限的二进制文件时，通过恶意构造的GLIBC_TUNABLES环境变量，他们可以提升权限到root用户级别。

影响版本：

2.34 <= glibc <= 2.38

Apache Tomcat请求走私漏洞

Apache Tomcat已修复一个请求走私漏洞，漏洞编号为CVE-2023-45648。此漏洞源于Tomcat未能正确解析HTTP Trailer标头。攻击者可以通过特制的无效Trailer标头导致Tomcat将单个请求视为多个请求，从而可能导致请求走私问题。成功利用此漏洞可能绕过安全控制，未经授权地访问敏感数据等。Apache Tomcat是一种流行的开源Web服务器和Java Servlet容器。

影响版本：

Apache Tomcat 11.0.0-M1 - 11.0.0-M11
Apache Tomcat 10.1.0-M1 - 10.1.13
Apache Tomcat 9.0.0-M1 - 9.0.80
Apache Tomcat 8.5.0 - 8.5.93

curl SOCKS5堆缓冲区溢出漏洞

cURL项目发布了一则安全公告，修复了curl/libcurl中的一个SOCKS5堆缓冲区溢出漏洞，漏洞编号CVE-2023-38545，该漏洞的细节和PoC已被公开。当curl被要求将主机名传递给SOCKS5代理以允许其解析地址时，如果检测到主机名长度超过255字节，curl会切换到本地名称解析，然后只将解析后的地址传递给代理。但在SOCKS5握手过程中，“让主机解析名称”功能的本地变量可能会获得错误的值，将过长的主机名复制到目标缓冲区（而不是解析后的地址），导致curl在SOCKS5代理握手过程中发生堆缓冲区溢出，成功利用此漏洞可能导致数据损坏或代码执行等。

影响版本：

7.69.0 <= libcurl <= 8.3.0

Exim代码执行漏洞

EXim发布了一则安全公告，修复了Exim中的代码执行漏洞，漏洞编号为为CVE-2023-42115。该漏洞存在于Exim的SMTP服务（默认监听TCP端口25）中，涉及AUTH的越界写入问题。由于未能对用户提供的数据进行适当的验证，可能导致写入超出缓冲区末尾的位置，未经身份验证的远程攻击者可以利用此漏洞执行任意代码。

影响版本：

Exim版本< 4.96.1

Apple iOS/iPadOS 本地权限提升漏洞

Apple发布了涉及iOS和iPadOS的风险通告，漏洞编号为CVE-2023-42824。这一漏洞存在于Apple iOS和iPadOS的内核中，允许本地攻击者在受影响的iPhone和iPad设备上进行权限提升。iOS是苹果公司为其移动设备开发的专有移动操作系统，为公司的多款移动设备提供操作界面，包括iPhone、iPad和iPod touch。

影响版本：