烽火狼烟丨暗网数据及攻击威胁情报分析周报（11/27-12/01)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件156起，同比上周减少6.02%。本周内贩卖数据总量共计99450.814万条；累计涉及12个主要地区，涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、服务、博彩等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期出现了较多关于数据和文件存储服务的攻击和勒索事件，危害较大，建议存在类似服务的组织和个人及时检查相关产品版本和补丁；本周内出现的安全漏洞以ownCloud敏感信息泄露漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9769条，主要涉及命令注入、漏洞利用、SQL注入等类型。

美国得克萨斯怀利水利公司数据泄露

泄露时间：2023-11-30

泄露内容：美国得克萨斯怀利水利公司NTMWD遭到黑客组织攻击导致数据泄露，包括:会会议记录、内部项目文档、人员详细信息、审计报告等文件。该组织发布了一个.txt文件，其中包含被盗数据的列表及33844个文件。

泄露数据量：33844

关联行业：水利

地区：美国

游戏发行商Gellyberry数据泄露

泄露时间：2023-11-27

泄露内容：独立游戏发行商“Gellyberry Studios”的主服务器被攻击，导致超17000名玩家信息泄露且账号被删除，勒索软件攻击者还加密了游戏商服务器上的文件并要求游戏官方支付赎金。

泄露数据量：17000

关联行业：IT

地区：美国

ZeroedIn Technologies数据泄露

泄露时间：2023-11-28

泄露内容：ZeroedIn Technologies 是一家位于佛罗里达州的人力资源数据分析公司，该公司专门提供基于云的人力资源分析平台，协助企业收集、分析和可视化劳动力数据。近日，该公司称有197.7万人的数据遭到泄露，但是仍不能确定具体目标范围。

泄露数据量：197.7万

关联行业：IT

地区：美国

Line Messenger数据泄露

泄露时间：2023-11-27

泄露内容：社交软件Line Messenger遭到数据泄露，泄露的数据包括用户、业务合作伙伴、员工和其他人员的个人信息。其中，有302569条用户信息记录、86105条业务合作伙伴信息记录以及51353条员工和人事信息记录已确认泄露。

泄露数据量：440027

关联行业：IT

地区：美国

凯撒娱乐公司数据泄露

泄露时间：2023-11-29

泄露内容：凯撒奖励计划会员（超过6500万人）的个人信息遭到泄露，信息包含会员姓名、出生日期、 社会安全号码、驾照信息以及政府颁发的其他身份证号码。

泄露数据量：6500万

关联行业：博彩

地区：美国

大多数的网站仍允许用户使用弱密码

最新分析显示，数以万计的人依旧可以使用弱密码作为其访问网站的登录凭证，这些网站不符合最低安全要求的标准。研究人员还发现，12%的网站对密码长度没有任何限制。超过一半的网站接受6个或更少字符的密码，75%的网站没有强制执行建议的至少8个字符。大约12%的网站没有长度限制，而30%的网站不允许特殊字符或空格。

消息来源：

https://gbhackers.com/most-popular-websites/

日本航天局JAXA遭到黑客攻击

日本宇宙航空研究开发机构 (JAXA) 在今年的一次网络攻击中遭到黑客勒索，可能使太空相关技术和数据面临风险。该服务器可能包含员工凭证等关键信息，从而增加了攻击的潜在影响。尽管尚未证实与JAXA勒索事件有关的数据泄露，但JAXA官员表示担忧，并表示：“只要AD服务器被黑客攻击，大部分信息基本可见。这是一个非常严重的情况。”

消息来源：

https://www.bleepingcomputer.com/news/security/japanese-space-agency-jaxa-hacked-in-summer-cyberattack/

Okta：10月份数据泄露影响所有客户

Okta上个月对其帮助中心环境遭到破坏的调查显示，黑客获取了属于所有客户支持系统的用户数据。该公司指出，攻击者还访问了其他报告和支持案例，其中包含所有Okta认证用户的联系信息。根据当时披露的详细信息，黑客使用134名客户（不到公司客户的 1%）的cookie和会话令牌访问了HAR文件，这些文件可用于劫持合法用户的Okta 会话。对此次攻击的进一步调查显示，攻击者还下载了一份报告，其中包含所有Okta客户支持系统用户的姓名和电子邮件地址。

消息来源：

https://www.bleepingcomputer.com/news/security/okta-october-data-breach-affects-all-customer-support-system-users/

DP World确认数据在网络攻击中被窃取

国际物流巨头迪拜环球港务集团（DP World）证实，本月早些时候发生的一次网络攻击导致其在澳大利亚的运营中断且数据被盗。然而，该公司表示攻击过程中并没有遭受到勒索。关于影响范围和网络攻击类型，迪拜环球港务集团已确定该安全事件仅影响其澳大利亚业务。

消息来源：

https://www.bleepingcomputer.com/news/security/dp-world-confirms-data-stolen-in-cyberattack-no-ransomware-used/

警方捣毁对71个国家发起攻击的勒索软件团伙

来自7个国家的执法机构与欧洲刑警组织和欧洲司法组织合作，在乌克兰逮捕了参与针对71个国家组织进行攻击的勒索软件团队中核心成员。网络犯罪分子使用LockerGoga、MegaCortex、HIVE和Dharma等勒索软件进行攻击，导致各大公司的运营陷入瘫痪。该犯罪团伙中的角色差异很大：据报道一些成员负责破坏和加密IT网络，而另一些成员则帮助受害者解密其文件。

消息来源：

https://www.bleepingcomputer.com/news/security/police-dismantle-ransomware-group-behind-attacks-in-71-countries/

黑客使用武器化文档攻击MacOS

黑客经常使用武器化文档来利用软件中的漏洞，从而执行恶意代码。这些文档包含恶意代码或宏，通常伪装成熟悉的文件，帮助黑客获得未授权的访问并将恶意软件传送到目标服务器。朝鲜黑客在2023年针对macOS开展的两项主要恶意攻击活动，包含RustBucket使用“SwiftLoader”，将自己伪装成PDF查看器，来下载Rust编写的恶意软件，以及KandyKorn活动中，以区块链工程师为目标，使用Python在劫持主机上的Discord应用程序后，提供了一个名为“KandyKorn”的C++后门RAT。

消息来源：

https://gbhackers.com/korean-macos-weaponized-documents/

新的BLUFFS攻击可让攻击者劫持蓝牙连接

Eurecom的研究人员发现了六种新型攻击，统称为“BLUFFS”，其可以破坏蓝牙会话的保密性，从而允许设备冒充并进行中间人（MitM）攻击。BLUFFS利用了蓝牙标准中两个未知缺陷，这些缺陷与如何导出会话密钥来解密交换数据有关。这些缺陷并非特定硬件或软件配置所拥有，而是架构性的，这意味着它们从根本上影响蓝牙的安全性。

消息来源：

https://www.bleepingcomputer.com/news/security/new-bluffs-attack-lets-attackers-hijack-bluetooth-connections/

Google Workspace的设计缺陷允许攻击者进行未经授权访问

近年来，随着云技术的不断发展， Google全域委派等工具也被越来越多的人使用。其GCP（Google Cloud Platform）身份能够代表Workspace用户在GWS（Google Workspace）应用中执行任务，从而简化工作流程。在Google Workspace的域范围委托中发现了一个设计缺陷，该缺陷被称为“DeleFriend”。这个缺陷允许：滥用、权限提升、无超级管理员权限未经授权的API访问。

消息来源：

https://gbhackers.com/delefriend-design-flaw/

FjordPhantom Android恶意软件利用虚拟化攻击银行

安全研究人员发现了一种新型Android恶意软件，从技术角度来看，该恶意软件主要通过电子邮件、短信和消息应用程序传播，促使用户下载看似合法的应用程序。下载后，就会发起社会工程攻击，引导用户执行应用程序，以此监视用户操作，进一步窃取凭据或敏感信息。该恶意软件的显着特征在于其使用虚拟化，通过将应用程序加载到虚拟容器中，打破了传统Android沙箱检测流程，允许不同的应用程序访问彼此的文件和内存。

消息来源：

https://www.infosecurity-magazine.com/news/fjordphantom-malware-targets-banks/

RedLine Stealer恶意软件通过ScrubCrypt进行部署

新版本的ScrubCrypt混淆工具正被使用RedLine Stealer恶意软件的组织利用。ScrubCrypt可以通过将可执行文件转换为批处理文件来避免工具的检测。研究人员表示，销售和托管这个新ScrubCrypt版本的网站是在俄罗斯注册和托管的，以避免美国和欧盟等地区的执法机构发现。Redline Stealer是一种众所周知的恶意软件，通过窃取cookie、浏览器登录数据和本地存储的登录信息来获取账号信息。

消息来源：

https://www.infosecurity-magazine.com/news/redline-stealer-malware-scrubcrypt/

Zyxel命令注入漏洞

Zyxel NAS（网络附加存储）产品中发现了三个命令注入漏洞，成功利用这些漏洞后可以执行系统命令。漏洞编号为：CVE-2023-35138（NAS设备-未授权）、CVE-2023-37928（WSGI服务器-需身份验证）、CVE-2023-4473：（WEB服务器-未授权）。

影响版本：

NAS326 < 5.21(AAZF.14)C0

NAS542 < 2.21(ABAG.11)C0

Chrome RCE漏洞

今年被利用的第六个Chrome零日漏洞。该漏洞编号为CVE-2023-6345，归类为 Skia中的整数溢出，Skia是一个用C++编写的开源2D图形库。这种高严重性的零日漏洞存在多种潜在风险，包括执行任意代码和崩溃。

影响版本：

Mac/Linux < 119.0.6045.199

Windows < 119.0.6045.199/.200

ownCloud敏感信息泄露漏洞

ownCloud是一种广泛使用的开源文件同步和共享解决方案，近期相关漏洞被大量利用于数据窃取，漏洞编号CVE-2023-49103，CVSS严重性最高评分为10.0，因为它允许远程威胁参与者通过ownCloud“graphapi”应用程序执行phpinfo()  ，从而泄露服务器的环境变量，包括存储在其中的凭据、密码、凭据、许可证密钥等。

影响版本：

graphapi 0.2.0 – 0.3.0

腾达I6缓冲区溢出漏洞

Tenda i6中发现了一个严重漏洞。这会影响文件/goform/wifiSSIDget。使用未知输入进行操作会导致缓冲区溢出漏洞，该产品将输入缓冲区复制到输出缓冲区，但未验证输入缓冲区的大小是否小于输出缓冲区的大小，从而导致缓冲区溢出。这将对机密性、完整性和可用性产生影响。

影响版本：

Tenda i6 = 1.0.0.8

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。