网络安全资讯周报（01/08- 01/12）

• 伊朗加密货币交易所Bit24.cash泄露用户信息 

• 肯尼亚航空公司遭到Ransomexx攻击泄露乘客详细信息 

• 美国安全公司遭到攻击致使瑞士空军敏感文件被盗 

• 沙特工业和矿产资源部敏感数据被暴露长达15个月 

2023 年，朝鲜黑客已经窃取了至少 6 亿美元的加密货币，在去年加密货币攻击中被盗的资金中几乎占到了三分之一。虽然这一数字较 2022 年下降了30%，但朝鲜黑客实施的攻击造成的平均破坏性是与朝鲜无关的黑客攻击的十倍。有迹象表明，到 2023 年底，针对加密货币行业的更多违规行为可能会将这一数字推高至 7 亿美元左右。对于朝鲜国家支持的行为者来说，针对加密货币公司的攻击并不新鲜，自 2017 年以来，他们已经窃取了约 30 亿美元。

原文链接：

https://thehackernews.com/2024/01/north-koreas-cyber-heist-dprk-hackers.html

从世界大事到经济，20234年是难以预测的一年。网络安全并没有偏离这个主题，带来了一些意想不到的变化。2024 年对于网络犯罪分子来说将是忙碌的一年，因为持续的地缘政治紧张局势、美国和欧盟的重大选举以及世界上最大的体育赛事（巴黎奥运会）都在几个月内举行。到目前为止，网络犯罪分子从多年来泄露的数十亿数据中收集的数据获利的方式非常有限。暗网上有数以百万计的有效企业凭证，而且数量还在持续增加，攻击者正在将身份武器化，将其视为访问特权帐户的秘密手段。勒索软件可能会在 2024 年面临衰退，因为越来越多的国家承诺不支付赎金，越来越少的企业屈服于加密系统的压力——选择将资金转移到重建系统而不是解密系统。

原文链接：https://securityintelligence.com/articles/cybersecurity-trends-ibm-predictions-2024/

巴拉圭运营商Tigo Business于上周遭受网络攻击，影响该公司业务部门的云和托管服务后，巴拉圭军方就 Black Hunt 勒索软件攻击发出警告。Tigo 是巴拉圭最大的移动运营商，其 Tigo 业务部门为企业提供数字解决方案，包括网络安全咨询、云和数据中心托管以及广域网 (WAN) 解决方案。Tigo Business 的一份声明中称，其于1月4日遭到了网络攻击，但此次攻击并未影响其互联网、电话服务和 Tigo Money 电子钱包。虽然 Tigo 没有提供有关网络攻击的任何细节，但社交媒体上的大量报道表明他们遭受了 Black Hunt 勒索软件的攻击。超过 330 台服务器被加密，备份数据在攻击期间遭到破坏。虽然勒索字条声称黑客在攻击过程中窃取数据，但目前还没有任何已知的勒索软件泄露被盗数据的实例。

原文链接：https://www.bleepingcomputer.com/news/security/paraguay-warns-of-black-hunt-ransomware-attacks-after-tigo-business-breach/

LockBit声称对Capital Health在2023 年 11 月遭到的网络攻击负责，并威胁要泄露被盗数据和谈判聊天记录。2023年11月，Capital Health因遭到攻击后系统出现中断。LockBit在8日将该医疗机构列入其网站，声称窃取了7 TB的医疗数据，价值 250000 美元。还威胁称如果该机构未能满足他们的要求，他们就会在1月9日泄露这些数据。

原文链接：https://securityaffairs.com/157170/cyber-crime/lockbit-ransomware-hit-capital-health.html

据AT&T Alien Labs披露，AsyncRAT潜伏在美国的关键基础设施系统中长达11个月未被发现。攻击活动利用了300个独特的加载器样本和 100 多个域，首先是发送带有 GIF 附件的恶意电子邮件，然后下载混淆的 JavaScript 和PowerShell脚本，最后会执行AsyncRAT客户端。

原文链接：https://www.scmagazine.com/brief/us-critical-infrastructure-others-subjected-to-prolonged-asyncrat-malware-attacks

安全公司Hunt & Hacket称其发现Sea Turtle在荷兰开展了多次攻击活动，主要针对荷兰的电信、媒体、ISP、IT服务提供商等行业。目标的基础设施容易受到供应链和跳岛攻击，攻击组织利用这些攻击收集出于政治动机的信息，如少数群体和潜在政治异见者的个人信息。Sea Turtle，也被称为 Cosmic Wolf、Marbled Dust （formerly Silicon）、Teal Kurma 和 UNC1326，由 Cisco Talos 于 2019 年 4 月首次记录，详细介绍了针对中东和北非公共和私人实体的国家支持的攻击。在2023年最近的一次活动中，攻击者使用了名为SnappyTCP的Linux/Unix反向TCP shell，用于建立持久性。

原文链接：https://thehackernews.com/2024/01/sea-turtle-cyber-espionage-campaign.html

研究人员观察到一个自称“Anonymous Arabic”的黑客组织正在分发一种名为 “Silver RAT”的隐蔽远程访问木马，该木马能够绕过防病毒软件以及秘密启动隐藏的应用程序、浏览器和键盘记录器。该黑客组织活跃在多个黑客论坛（XSS、Darkforum、TurkHackTeam 等）上，并开设了一个Telegram 频道，提供一系列服务，包括分发破解的 RAT、泄露的数据库、卡盗活动和出售社交媒体机器人。该组织还开发了另一款恶意软件名为S500 RAT的恶意软件。

原文链接：hhttps://securityaffairs.com/157153/cyber-crime/syrian-group-anonymous-arabic-silver-rat.html

原文链接：https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-sql-servers-in-mimic-ransomware-attacks/

研究人员发现了伊朗加密货币交易所Bit24.cash存在一个配置错误的MinIO实例，允许访问包含该平台KYC数据的S3存储桶，造成大量用户信息泄露。该错误配置泄露了用户的护照、身份证和信用卡等信息，约230000名伊朗公民受到影响。目前，该实例已被保护起来。

原文链接：

https://securityaffairs.com/157043/breaking-news/bit24-cash-leaks-data-leak.html

非洲最大的航空公司之一肯尼亚航空公司遭到了Ransomexx勒索团伙的攻击。攻击者在暗网发布了据称是从该航空公司窃取的超过2 GB数据，其中包含大量敏感数据，包括事故报告、护照复印件和各种空难报告。攻击者在发布帖子时，先上传了一张据称是肯尼亚航空公司一架飞机引擎受损的图片，数据样本中还包括一些无归属系统的各种密码。目前，肯尼亚航空公司并未对此事作出回应。

原文链接：

https://cybernews.com/news/kenya-airways-attack-allegedly-exposes-passenger-details/

美国知名安全公司 Ultra Intelligence & Communications 遭遇Black Cat黑客攻击，导致瑞士空军敏感文件被泄露在暗网上。该公司遭到Black Cat黑客攻击后被窃取了大约30 GB的敏感文件。据瑞士资讯网站报道，泄露的文件包括瑞士国防部与美国公司之间的一份价值近500万美元的合同。根据这份文件和其它泄露的文件，国防部购买了用于空军加密通信的技术。美国当局已于2023年12月宣布捣毁了ALPHV并发布了其解密工具，目前该团伙的Tor网站无法访问。

原文链接：

https://securityaffairs.com/157144/cyber-crime/swiss-air-force-data-leak.html

有研究人员发现，沙特工业和矿产资源部(MIM)的暴露了一份环境文件(env.)长达15个月。暴露的env.涉及了多种类型的数据库凭据、邮件凭据和数据加密密钥，例如SMTP凭据、Laravel APP_Key、MySQL和Redis数据库的凭据等。泄露的信息可被攻击者用于在该部系统内进行横向移动，并导致帐户接管和勒索攻击等各种攻击。该文件在2022年3月首次被物联网搜索引擎收录，目前已被保护起来。

原文链接：https://securityaffairs.com/157133/security/saudi-ministry-data-leak.html