烽火狼烟丨暗网数据及攻击威胁情报分析周报（11/20-11/24)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件166起，同比上周减少17.41%。本周内贩卖数据总量共计110192万条；累计涉及14个主要地区，涉及12种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及贸易、金融、服务等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期出现了较多关于中间件和系统的严重漏洞，危害较大，建议相关人员及时检查；本周内出现的安全漏洞以Looney Tunables Linux缓冲区溢出漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9769条，主要涉及命令注入、漏洞利用、SQL注入等类型。

01.

重点数据泄露事件

TmaxSoft数据泄露

泄露时间：2023-11-22

泄露内容：TmaxSoft是一家开发和销售企业软件的韩国IT公司，已泄露超过5000万条敏感记录。泄露的数据包括：员工姓名、电子邮件和电话号码、雇员/雇佣合同号码、发送附件的内容（docx、pdf）、发送的二进制文件的元数据（可执行文件名称、存储位置的文件路径、版本名称等）、员工IP、用户代理等。

泄露数据量：5000万

关联行业：IT

地区：韩国

医疗保健SaaS提供商Welltok数据泄露

泄露时间：2023-11-22

泄露内容：医疗保健SaaS提供商Welltok警告称，该公司使用的文件传输程序遭到黑客攻击及数据窃取，导致美国近850万名患者的个人数据泄露。泄露数据包括患者全名、电子邮件地址、实际地址和电话号码。此次泄露事件影响了多个州的机构，由于Welltok没有立即披露这一信息，因此对受影响人数的初步估计有所不同。

泄露数据量：850万

关联行业：医疗

地区：美国

以色列宜家数据泄露

泄露时间：2023-11-22

泄露内容：Cyber Toufan声称其获取了以色列的宜家用户数据内容，包含超过40万用户的个人数据。

泄露数据量：40万

关联行业：零售

地区：以色列

02.

热点资讯

为什么防御者应该拥有黑客心态

当今的安全领导者必须管理由于互连设备、云服务、物联网技术和混合工作环境而不断变化的攻击面和动态威胁环境。安全团队仅检测和响应已经不够了；现在还必须预测和预防。为了应对当今的安全环境，防御者需要保持敏捷和创新。简而言之，需要开始像黑客一样思考。采用机会主义威胁行为者的心态，不仅可以更好地了解潜在的可利用路径，还可以更有效地确定补救工作的优先级。

消息来源：

https://thehackernews.com/2023/11/why-defenders-should-embrace-hacker.html

MOVEit漏洞影响超过2600个组织和7700万个人

根据Emsisoft的数据，迄今为止，已有2620个组织和超过7700万人受到MOVEit漏洞的影响，其中反病毒公司Avast就是其中的受害者之一，该公司最近披露，攻击者访问了一些“低风险客户个人信息”，虽然核心IT系统或服务没有受到影响，但在持续的调查过程中发现Avast客户的一些个人信息（例如姓名、电子邮件地址和电话号码）受到了影响，Avast已通知客户并免费提供六个月的暗网监控。

消息来源：

https://www.theregister.com/2023/11/20/moveit_victim_77m_medical/

Lookout本周向美国员工和企业发出网络钓鱼威胁警报

随着越来越多的企业数据驻留在云端及远程工作的需求数量不断增加，移动设备已成为现代员工必不可少的工具。然而，由于这些设备历来被忽视作为公司整体安全策略的一部分，因此它们也成为黑客通过社会工程和凭证盗窃来访问企业云基础设施的目标之一。

消息来源：

https://www.itsecurityguru.org/2023/11/21/lookout-alerts-u-s-employees-and-businesses-of-significant-phishing-threat-this-week/

26%的网络事件是由违反员工政策造成的

来自卡巴斯基的最新研究：过去两年中，有26%的企业网络安全事件是由于员工故意违反安全协议造成的。这一数字与外部黑客攻击造成的20%非常接近。该研究解释说，与人为错误是网络安全事件主要原因的普遍看法相反，未经授权的服务或设备被认为是故意违反政策的重要原因，14%的公司因未经授权的数据共享系统而遭受网络安全事件。令人担忧的是，20%的恶意行为是员工为了个人利益而实施的，其中金融服务部门报告的此类事件占34%。

消息来源：

https://www.infosecurity-magazine.com/news/employee-violations-cause-26-cyber/

微软表示：对讯连科技的攻击影响了世界各地的设备

微软发现黑客发起了供应链攻击，他们将恶意文件附加到合法的照片和视频编辑应用程序安装包中，到目前为止，该恶意活动已经影响了包括日本、台湾、加拿大和美国在内的多个国家的100多台设备。微软威胁情报在周三的博客中表示，将此次活动归咎于一个名为“Diamond Sleet”的组织，该组织主要从事间谍活动、数据盗窃、经济利益和网络破坏，并以媒体、IT服务以及世界各地的国防相关实体为目标。

消息来源：

https://therecord.media/north-korea-attack-cyberlink-microsoft/

03.

热点技术

新的网络钓鱼攻击劫持电子邮件线程以注入恶意URL

研究人员发现了一种利用DarkGate和PikaBot的新型恶意活动，其采用的策略与QakBot网络钓鱼策略类似。此操作会发送大量电子邮件，并且由于传输的恶意软件具有加载器功能，因此收件人容易受到恶意软件和勒索软件等更复杂的威胁。这些恶意软件最突出的特点是一旦成功植入于PC上，它们就能够提供额外的有效负载。攻击者可能通过Microsoft Proxy Logon漏洞（CVE-2021-26855）劫持电子邮件线程并传播钓鱼邮件。

消息来源：

https://gbhackers.com/phishing-hijacks-email-thread/

APT29在最近的攻击中利用了WinRAR中的漏洞

相关的APT组织使用了特制的ZIP存档，该存档在后台运行脚本以显示PDF诱饵，同时下载PowerShell代码以获取并执行有效负载。值得注意的是，攻击者引入了一种与恶意服务器通信的新技术，使用Ngrok免费静态域来访问托管在Ngrok实例上的服务器。在这个攻击方案中，Ngrok被用来托管他们的下一代PowerShell负载并建立隐蔽的通信通道。攻击者使用该工具来混淆与受感染系统的通信并逃避检测。

消息来源：

https://securityaffairs.com/154460/apt/apt29-targets-embassies-winrar-flaw.html

指纹传感器漏洞可让攻击者绕过Windows Hello登录

一项新的研究发现了多个漏洞，这些漏洞可被用来绕过Dell Inspiron15、Lenovo ThinkPad T14和Microsoft Surface ProX笔记本电脑上的Windows Hello身份验证。Blackwing Intelligence的研究人员发现了嵌入到设备中的Goodix、Synaptics和ELAN指纹传感器的脆弱点。指纹识别器利用的先决条件是目标笔记本电脑的用户已经设置了指纹身份验证，并采用MoC传感器将生物识别管理功能直接集成到传感器的集成电路中，由于MoC本身并不能阻止恶意传感器欺骗合法传感器与主机的通信，因此会错误地认为授权用户已成功通过身份验证。

消息来源：

https://thehackernews.com/2023/11/new-flaws-in-fingerprint-sensors-let.html

新的僵尸网络恶意软件利用零日漏洞感染NVR和路由器

一种名为“InfectedSlurs”的新型基于Mirai的恶意软件僵尸网络一直在利用两个零日远程代码执行（RCE）漏洞来感染路由器和录像机（NVR）设备。Akamai的安全团队（SIRT）于2023年10月发现该僵尸网络，由于发现了一个很少使用的TCP端口上存在的异常活动，该活动涉及尝试通过POST请求进行身份验证的低频探测，然后尝试进行命令注入。其实在9月份就已经出现了大量利用NVR命令执行攻击行为，这些攻击可能会让攻击者进入内网。

消息来源：

https://www.bleepingcomputer.com/news/security/new-botnet-malware-exploits-two-zero-days-to-infect-nvrs-and-routers/

Konni Campaign部署具有UAC绕过功能的高级RAT

安全研究人员在正在进行的Konni活动中检测到带有恶意宏Word文档。根据Fortinet安全研究员CaraLin周一发布的一份报告称，打开该文档时会触发VisualBasicforApplications（VBA）脚本，显示与军事行动相关的俄语文本。该脚本检索信息并运行批处理脚本，同时执行系统检查、UAC绕过和DLL文件操作，其用户帐户控制（UAC）绕过模块利用合法的Windows应用程序以提升权限并执行命令，且不会触发UAC提示。

消息来源：

https://www.infosecurity-magazine.com/news/konni-deploys-advanced-rat-with/

04.

热点漏洞

Looney Tunables Linux缓冲区溢出漏洞

Looney Tunables Linux缓冲区溢出漏洞，编号 CVE-2023-4911（CVSS评分7.8）又名LooneyTunables，是处理GLIBC_TUNABLES环境变量时驻留在GNUC库的动态加载器ld.so中的缓冲区溢出问题。攻击者可以触发该漏洞以提升权限执行代码。缓冲区溢出影响多个Linux发行版，包括Debian、Fedora和Ubuntu。

影响版本：

Red Hat Enterprise Linux 8 glibc
Red Hat Enterprise Linux 8 glibc
Red Hat Enterprise Linux 8.6 Extended Update Support glibc
Red Hat Enterprise Linux 9 glibc
Red Hat Enterprise Linux 9 glibc
Red Hat Enterprise Linux 9.0 Extended Update Support glibc
Red Hat Virtualization 4 for Red Hat Enterprise Linux 8 glibc

Citrix未授权和缓冲区相关漏洞

NetScaler ADC（以前称为 Citrix ADC）和 NetScaler Gateway（以前称为 Citrix Gateway）中发现了多个漏洞。Citrix敦促管理员积极保护所有NetScaler ADC和Gateway设备免受攻击者利用的CVE-2023-4966漏洞的影响。NetScaler ADC 和 NetScaler Gateway包含未授权和缓冲区相关漏洞，利用CVE-2023-4966漏洞可劫持现有的经过身份验证的会话并绕过多因素身份验证或其他强身份验证要求，即使在部署更新后，这些会话也可能持续存在。

影响版本：

NetScaler ADC and NetScaler Gateway 14.1 < 14.1-8.50
NetScaler ADC and NetScaler Gateway 13.1 < 13.1-49.15
NetScaler ADC and NetScaler Gateway 13.0 < 13.0-92.19
NetScaler ADC 13.1-FIPS < 13.1-37.164
NetScaler ADC 12.1-FIPS < 12.1-55.300
NetScaler ADC 12.1-NDcPP < 12.1-55.300

Windows SmartScreen漏洞

Windows SmartScreen存在一个严重漏洞，编号CVE-2023-36025，该漏洞允许攻击者绕过Windows Defender检查并执行恶意代码，而不会触发任何警报。攻击者可以通过诱骗用户单击恶意Internet快捷方式或链接来利用此漏洞。CVE-2023-36025可能会导致网络钓鱼攻击、恶意软件分发和其他网络安全威胁。

影响版本：

Windows Server 2008 多个发行版
Windows Server 2012 多个发行版
Windows Server 2016 多个发行版
Windows 10 多个发行版
Windows 11 多个发行版
Windows Server 2019 多个发行版
Windows Server 2022 多个发行版

详细见微软官方：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36025

ManageEngine 敏感信息泄露信息泄露

多个ManageEngine产品中存在信息泄露漏洞，可能导致加密密钥泄露。拥有操作系统低权限用户可以查看并使用暴露的密钥来解密产品数据库密码，访问ManageEngine产品数据库。除此之外，攻击者还可以重置管理用户的密码并查看敏感信息和数据。受影响的产品包括ADManager、ADSelfService、M365 Manager、Endpoint Central、Service Desk、Access Manager等。

影响版本：