网络安全资讯周报（11/06- 1110）

• 黑客USDoD在暗网公开3500万条LinkedIn用户数据 

• 加拿大5家医院遭到勒索攻击超500万患者信息泄露 

• ALPHV声称窃取医疗公司Henry Schein 35TB数据 

• 新加坡滨海湾金沙酒店66.5万客户的个人数据遭泄露 

• 黑客在黑客论坛中出售俄罗斯保险公司Rosgosstrakh的数据 

11月6日，Kaspersky发布了2023年与游戏相关的网络威胁的分析报告。该报告分析了2022年7月1日至2023年7月1日期间收集的数据。报告指出，Kaspersky总共检测到4076530次与游戏相关的桌面感染尝试，影响了全球192456名游戏玩家。最常见的威胁是下载程序（89.70%），其次是广告软件（5.25%）和木马（2.39%）。最常被用作诱饵的是我的世界（70.29%），其次是Roblox（20.37%）、反恐精英：全球攻势（4.78%）和绝地求生（2.85%）。

原文链接：

https://securelist.com/game-related-threat-report-2023/110960/

Google提醒多个攻击团伙正在共享一个名为Google Calendar RAT(GCR)的PoC，它利用日历服务来托管命令和控制（C2）基础设施。其开发者表示，该脚本通过利用Google日历中的事件描述创建了一个“隐蔽通道”，目标将直接连接到Google。Google称尚未发现GCR在野外的使用情况，但目前多个团伙在黑客论坛上分享了PoC，这说明了他们对滥用云服务感兴趣。

原文链接：https://securityaffairs.com/153700/hacking/google-calendar-rat-attacks.html

Jamf威胁实验室披露朝鲜APT组织BlueNorOff利用新macOS恶意软件ObjCShellz的攻击活动。研究人员首先发现了一个Mach-O通用二进制文件与他们之前归类为恶意的域进行通信，被发现时它在VirusTotal上的检测率为零。ObjCShellz是基于Objective-C的恶意软件，充当远程shell，用于在被感染的系统上执行命令。目前尚不清楚攻击的初始访问载体，但该恶意软件很可能在攻击后期用于在入侵系统后手动执行命令。该恶意软件与BlueNoroff APT 组织相关的 RustBucket恶意软件活动有相似之处 。 

原文链接：https://www.jamf.com/blog/bluenoroff-strikes-again-with-new-macos-malware/

据悉，APT 组织SideCopy被观察到在针对印度政府实体的攻击中利用最新的 WinRAR 安全漏洞来CVE-2023-38831来分发AllaKore RAT、DRat和其它恶意荷载。此外，该组织还在分发一种名为Ares RAT的开源代理的Linux变种，并在初始载荷中发现与Transparent Tribe（APT36）存在相似的代码。SideCopy组织被认为是一个与巴基斯坦相关的APT组织，至少从 2019 年开始活跃，主要是印度国防和阿富汗政府机构进行攻击活动，并被认为是Transparent Tribe（APT36）的一个分支。

原文链接：https://thehackernews.com/2023/11/sidecopy-exploiting-winrar-flaw-in.html

OpenAI证实，其于本周三遭到了DDOS 攻击，导致ChatGPT 及其 API 服务中断。虽然OpenAI尚未声明发起此次攻击的攻击者，但黑客组织“匿名苏丹”在其 Telegram 频道上声称对此次攻击负责。该组织还证实在这些攻击中使用了SkyNet僵尸网络，该僵尸网络于上周增加了对应用层攻击或第7层（L7）DDoS攻击的支持。

原文链接：https://securityaffairs.com/153939/hacktivism/chatgpt-chatgpt-ddos-attack.html

研究人员披露俄罗斯黑客组织 Sandworm APT去年10月对乌克兰的一个能源设施发动了一次复杂的攻击。该攻击在俄罗斯对该国各地的关键基础设施发动广泛的导弹袭击之前造成了暂时的断电。Sandworm APT在这次攻击使用了一种以前从未观察到的入侵工业控制系统（ICS）和操作技术（OT）的技术。乌克兰网络官员以前曾警告过俄罗斯配合导弹袭击进行的网络攻击，但从未详细说明这些行动是如何进行的或影响了哪些设施。研究人员没有透露目标能源设施的位置、停电时间和受影响人数。

原文链接：https://securityaffairs.com/153920/apt/russian-sandworm-ot-attacks.html

研究人员近期发现APT组织MuddyWater针对以色列进行鱼叉式钓鱼攻击活动。在这次攻击活动中，MuddyWater组织采用了新的TTPs（技术、战术和程序），包括使用新的公共托管服务，使用LNK文件启动感染，以及利用中间恶意软件模拟打开目录，同时执行新的远程管理工具。一旦受害者被感染，MuddyWater组织将使用合法的远程管理工具连接到受感染的主机，并开始对目标进行控制。在对感染主机进行监控后，操作员很可能会执行PowerShell代码，使受感染的主机发与C2服务器进行通信。MuddyWater组织过去曾使用PhonyC2，而研究人员最近发现该组织使用一个名为MuddyC2Go的新C2框架。

原文链接：https://thehackernews.com/2023/11/muddyc2go-new-c2-framework-iranian.html

      2023 年 10 月，在巴以冲突爆发后，伊朗黑客组织 Imperial Kitten 瞄准了包括以色列在内的中东地区的运输、物流和技术部门。据CrowdStrike的一份技术报告称，Imperial Kitten 至少从 2017 年开始就活跃，很可能是为了满足伊朗与伊斯兰革命卫队行动相关的战略情报需求，其活动的特点是使用社会工程，特别是以工作招聘为主题的内容，来提供基于 .NET 的定制植入程序。攻击链利用受感染的网站（主要是与以色列相关的网站）使用定制的 JavaScript 来分析访问者，并将信息渗透到攻击者控制的域。除了水坑攻击之外，有证据表明 Imperial Kitten 还利用1day漏洞、窃取凭证、网络钓鱼，甚至针对上游 IT 服务提供商进行初始访问。

原文链接：https://www.fortinet.com/blog/threat-research/ransomware-roundup-knight

黑客USDoD在黑客论坛Breach Forums上泄露了超过3500万LinkedIn用户的信息。泄露的数据库分为两部分，一部分包含500万条用户记录，第二部分包含3500万条记录。该黑客表示，最新的LinkedIn数据库是通过网络抓取获得的，泄露的数据中包含一些属于美国政府的高级官员和机构的邮件地址。有研究人员表示，该数据库主要包含来自LinkedIn个人资料的公开信息，其中包括用户姓名和个人资料等信息，但不包含密码。该黑客曾在去年入侵了FBI安全平台InfraGard，并泄露了87000名用户的信息。

原文链接：

https://www.hackread.com/hacker-leaks-scraped-linkedin-user-records/

五家加拿大医院已确认，在遭受的勒索软件攻击中被窃取的患者和员工数据遭到泄露。此次数据泄露事件影响了Bluewater Health、Chatham-Kent Health Alliance、Erie Shores HealthCare、Hotel-Dieu Grace Healthcare和Windsor Regional Hospital，以及服务提供商TransForm Shared Service Organization。尽管受影响的组织没有公开透露此次攻击的攻击者，但Daixin勒索软件团伙声称对该事件负责，并在网上发布了据称从这五家医院窃取的数据。该团伙声称已掌握超过160 GB的数据，其中包括数千条个人可识别信息（PII）和受保护的健康信息（PHI）记录。

原文链接：

https://securityaffairs.com/153857/cyber-crime/canadian-hospitals-transform-ransomware-attack.html

ALPHV声称已入侵医疗公司Henry Schein，并收集了35 TB的数据。Henry Schein 是一家医疗保健解决方案提供商，也是一家财富 500 强公司，在 32 个国家/地区开展业务和附属机构，2022 年收入将超过 120 亿美元。该公司曾于10月15日披露，为了抵御其前日遭到的影响其制造和分销业务的网络攻击，部分系统被迫关闭。大约两周后，ALPHV将Henry Schein添加到其网站，声称已窃取35 TB的文件，包括工资数据和股东信息。并表示就在该公司几乎完成恢复所有系统的工作时，他们再次对公司的设备进行了加密，因为正在进行的谈判失败了。目前，ALPHV在其网站上删除了Henry Schein，表明该公司将重新谈判或交赎金。

原文链接：

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-breach-of-healthcare-giant-henry-schein/

新加坡滨海湾金沙（Marina Bay Sands，简称MBS）酒店证实其遭到网络攻击，66.5万名顾客的个人数据被泄露。该酒店在周二的声明中称，滨海湾金沙于2023年10月20日获悉一起数据安全事件，涉及到2023年10月19日和20日未经授权的第三方访问了部分客户的数据，被窃取的信息包括：姓名、电子邮件地址、手机号码、电话号码、居住国家、会员号码和级别等。目前尚无任何勒索团伙声称对滨海湾金沙发动了攻击。

原文链接：https://therecord.media/singapore-marina-bay-customers-data-cyberattack

一个用户名称为”Apathy”的黑客攻击了俄罗斯第二大保险公司Rosgosstrakh（俄语：Росгосстрах），并窃取了敏感数据信息。该黑客正在黑客论坛中以价值5万美元的比特币（BTC）或门罗币（XMR）对数据进行出售。泄露的数据包括对自2010年以来的投资和人寿保险部门记录的完全访问权限。这次数据泄露使大约300万份银行对账单处于风险之中，同时也泄露了73万人的数据，其中大约有8万人的俄罗斯社会保障号码（SNILS）和4.5万人的完整银行信息现在处于危险之中。此次数据泄露还包括对所有人寿保险政策和合同的访问权限，以及相关附件，如公共官员或其直系亲属的护照和扫描文件。该黑客还打算向买家提供对Rosgosstrakh内部Web用户界面的完全访问。

原文链接：https://www.hackread.com/russia-insurer-rosgosstrakh-hacked-data-sold/?web_view=true