网络安全资讯周报（11/27- 1201）

目录/contents

全球动态

欧洲刑警捣毁乌克兰勒索软件组织
赛门铁克发布间谍软件利用各种技术绕过分析的报告

安全事件

日本宇宙航空研究开发机构JAXA的AD服务器遭到攻击
攻击者通过暴露的Unitronics PLCs入侵美国水处理设施
Lazarus在供应链攻击中利用MAGICLINE4NX零日漏洞
攻击者利用ownCloud 漏洞 (CVE-2023-49103)进行攻击活动
Google Drive用户称云服务中的存储数据丢失
北德克萨斯州水务局NTMWD遭到Daixin勒索团伙攻击

数据泄露

Zeroed-In遭攻击导致Dollar Tree近200万人数据泄露
通用电气的访问权限和大量数据在黑客论坛被出售
日本通讯应用Line遭攻击泄露数十万条员工和用户的数据
IT公司Appscook配置错误泄露数百所学校的学生信息
伦敦爱德华七世国王医院遭到Rhysida勒索团伙攻击

NEWS

Part 1

全球动态

欧洲刑警捣毁乌克兰勒索软件组织

由欧洲刑警组织和欧洲司法组织领导的联合执法行动，在德国、法国、荷兰、挪威、乌克兰、美国和瑞士的警察部门的支持下，在乌克兰逮捕了一个勒索软件组织的核心成员。据信，该组织是勒索“1000多台服务器”的幕后黑手。该组织针对 71 个国家/地区的组织使用多个勒索软件系列，包括 LockerGoga、MegaCortex、HIVE 和 Dharma。该勒索软件组织以大公司为目标，造成至少数亿欧元的损失。

原文链接：

https://securityaffairs.com/154897/cyber-crime/ukraine-based-ransomware-group-dismantled.html

赛门铁克发布间谍软件利用各种技术绕过

分析的报告

11月29日，赛门铁克发布了间谍软件利用各种混淆技术来绕过静态分析的报告。最近，研究人员发现了一个间谍软件集群，采用了一系列技术来增加静态分析的难度。其中包括资源伪装，在APK中创建与重要资源名称和权限相同的目录；压缩欺骗，通过不受支持的压缩方法来隐藏APK中的关键资源；通过‘无压缩’数据规避签名方案；资源混淆，经过“混淆”的AndroidManifest.xml和resources.arsc文件会破坏逆向工程工具；以及伪装成游戏、应用程序和系统应用等。

原文链接：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spyware-obfuscation-static-analysis

Part 2

安全事件

日本宇宙航空研究开发机构JAXA的AD服

务器遭到攻击

日本宇宙航空研究开发机构(JAXA)于本周三称其遭到了网络攻击。JAXA没有透露攻击发生的具体时间，有消息人士透露发生于夏季。但直到秋季当执法部门联系他们时，他们才意识到此次攻击。据报道，攻击者获得了对该机构Active Directory (AD)服务器的访问权限，但未能获取敏感信息。在调查期间，该机构暂时关闭了部分网络，以评估事件的严重程度。该机构的一位内部人员透露，迄今为止尚未证实有数据泄露。

原文链接：https://therecord.media/japan-space-agency-cyberattack

攻击者通过暴露的Unitronics PLCs入侵

美国水处理设施

美国网络安全和基础设施安全局（CISA）警告称，攻击者通过攻击在线暴露的Unitronics可编程逻辑控制器（PLCs），入侵了美国的一个水处理设施。PLCs是工业环境中至关重要的控制和管理设备，黑客入侵PLCs可能会造成严重后果，例如通过操纵设备改变化学品剂量造成供水污染。CISA证实了攻击者的入侵行为，但攻击并没有危及为供水社区提供饮用水的安全性。CISA称，此次攻击事件是由于不良的安全措施而导致的，而非设备存在零日漏洞。

原文链接：https://www.bleepingcomputer.com/news/security/hackers-breach-us-water-facility-via-exposed-unitronics-plcs/

Lazarus在供应链攻击中利用

MAGICLINE4NX零日漏洞

韩国国家网络安全中心（NCSC）和韩国国家情报院（NIS）联合警告称，与Lazarus黑客组织正在利用MagicLine4NX软件中的零日漏洞进行供应链攻击。MagicLine4NX是一款由韩国当地安全企业Dream Security开发的身份认证软件，攻击发生于今年3月份。攻击链始于水坑攻击，攻击者入侵了一家媒体网站，并将恶意脚本植入到一篇文章中，这些脚本仅针对特定IP范围的访问者。当用户使用MagicLine4NX访问被感染网站时，恶意代码就会执行从而完全控制系统。随后，攻击者利用系统漏洞从联网的PC上非法访问服务器，并滥用联网系统的数据同步功能将恶意代码传播到业务端服务器，最终旨在窃取信息。

原文链接：https://securityaffairs.com/154765/apt/lazarus-magicline4nx-supply-chain-attack.html

攻击者利用ownCloud 漏洞

(CVE-2023-49103)进行攻击活动

2023年11月21日，ownCloud公开披露了一个高危漏洞，该漏洞被标记为CVE-2023-49103，位于 Graphapi 应用程序中，该应用程序依赖于提供 URL 的第三方 GetPhpInfo.php 库。访问此URL时，它会显示 PHP 环境（phpinfo）的配置详细信息。攻击者能够利用该漏洞访问管理员密码、邮件服务器凭据和许可证密钥。多家网络安全公司报告说，威胁行为者已经在利用该漏洞。禁用该库并不能完全解决问题，即使是非容器化的ownCloud实例也存在风险，因此使用ownCloud的组织应尽快修复漏洞。

原文链接：https://securityaffairs.com/154928/hacking/owncloud-cve-2023-49103-actively-exploited.html

Google Drive用户称云服务中的存储数据

丢失

有Google Drive用户报告称，最近存储在云中的文件突然消失了，云服务恢复到了2023年4月到5月左右的存储快照。受影响帐户的活动日志显示用户最近没有任何修改，确认不是用户意外删除了数据。总之，没有迹象表明是用户出错，而是服务系统出了问题，导致本地设备和Google Cloud之间的数据无法同步。一些用户的离线缓存中可能包含丢失的数据，但目前还没有方法来恢复对其中数据的访问。Google已经在调查这个问题，尚未提供修复的预计时间，建议用户在问题得到解决之前不要对root/data文件夹进行更改。

原文链接：https://www.bleepingcomputer.com/news/google/google-drive-users-angry-over-losing-months-of-stored-data/

北德克萨斯州水务局NTMWD遭到Daixin

勒索团伙攻击

勒索团伙Daixin将北德克萨斯市政水区(NTMWD)添加到其泄露网站。该团伙声称从公司窃取了大量敏感数据，并威胁要公布这些数据。被窃取的数据包括33844个文件，包括董事会会议纪要、内部项目文件、人员详细信息、审计报告等数据，其网站中还发布了窃取文件的列表文件。目前，NTMWD称他们只是电话服务中断，未透露更多信息。

原文链接：https://therecord.media/north-texas-water-utility-cyberattack

Part 3

数据泄露

Zeroed-In遭攻击导致Dollar Tree近200

万人数据泄露

折扣零售公司Dollar Tree受到第三方服务提供商Zeroed-In Technologies的影响，1977486人的信息泄露。Dollar Tree在美国和加拿大的23000个地点经营Dollar Tree和Family Dollar商店。攻击发生于8月7日至8日，攻击者成功窃取了Dollar Tree员工的姓名、出生日期和社会安全号码(SSN)。Zeroed-In将为受影响个人提供12个月的身份保护和信用监控服务。据悉，Zeroed-In的其它客户也可能受到该事件的影响，但这一点尚未得到证实。

原文链接：

https://www.bleepingcomputer.com/news/security/dollar-tree-hit-by-third-party-data-breach-impacting-2-million-people/

通用电气的访问权限和大量数据在黑客

论坛被出售

据11月25日报道，美国跨国公司通用电气(GE)正在调查其数据被盗的问题。本月早些时候，黑客IntelBroker在暗网以500美元的价格出售GE的访问权限。然后，攻击者再次发帖称，他们现在同时出售网络访问权限（SSH和SVN等）和被盗数据，其中被盗数据包括大量与DARPA相关的军事信息、文件、SQL文件和文档等。作为泄露证据，攻击者公开了数据截图，包括GE Aviations的一个数据库，涉及军事项目的信息。GE表示已获悉此事件，并正在进行调查。

原文链接：

https://www.bleepingcomputer.com/news/security/general-electric-investigates-claims-of-cyber-attack-data-theft/

日本通讯应用Line遭攻击泄露数十万条

员工和用户的数据

11月27日，通讯应用Line向受影响用户发出通知，其系统遭到未经授权的访问，导致数十万用户、业务合作伙伴和员工记录泄露。攻击发生在10月9日，其韩国子公司Naver Cloud Corp.的一名员工的电脑感染了恶意软件，导致未经授权的访问。泄露的Line 应用用户数据包括通话页面活动、通话终止类型、谈话室详细信息（包括国家/地区、性别、年龄组以及发送者和接收者的操作系统）等信息，以及有关内容发布的详细信息，包括时间和日期、关注者/好友总数以及发布视频的开始和结束时间。员工的个人信息也被泄露，包括姓名、员工身份证号码和电子邮件地址，以及公司业务合作伙伴电子邮件地址的 86071 条记录。

原文链接：

https://cybernews.com/news/line-messaging-app-hacked-data-leak/

新加坡滨海湾金沙酒店66.5万客户的个人

数据遭泄露

有研究人人员发现，IT公司Appscook由于系统配置错误，泄露了大量未成年人的数据，涉及学生和家长姓名、照片、出生证明和家庭住址等。开放的DigitalOcean存储桶包含近一百万个敏感文件，未经身份验证的任何人都可以进行访问。该公司开发的应用程序被印度和斯里兰卡的600多所学校用于教育管理，其官网称超过50万学生和100万家长使用该平台。

原文链接：https://securityaffairs.com/154743/security/app-used-by-hundreds-of-schools-leaking-childrens-data.html

伦敦爱德华七世国王医院遭到Rhysida

勒索团伙攻击

勒索团伙Rhysida声称入侵了伦敦爱德华七世国王医院，并将其添加到其泄漏网站的受害者名单中。该团伙发布了被盗文件的图片作为攻击证据，包括医疗报告、登记表、X光片、医疗处方和医疗报告等，还称窃取了包括英国皇室在内的大量患者和员工的信息。攻击者以10 BTC的价格拍卖窃取的大量“敏感数据”。与往常一样，它计划将数据出售给唯一的买家，并将在公告发布后的七天内公开发布这些数据。

原文链接：https://securityaffairs.com/154999/cyber-crime/rhysida-ransomware-king-edward-viis-hospital.html