烽火狼烟丨暗网数据及攻击威胁情报分析周报（01/08-01/12)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件156起，同比上周增加71.42%。本周内贩卖数据总量共计52882.7万条；累计涉及10个主要地区，涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及医疗、通信、贸易等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

本周内数据泄露事件较多，由于未授权访问和供应链导致的数据泄露事件危害不断增加；本周内出现的安全漏洞以GitLab密码重置漏洞危害程度较大；内部安全运营中心共发现恶意攻击IP 9912条，主要涉及命令注入、漏洞利用、扫描防护等类型。

01.

重点数据泄露事件

巴西人口数据泄露

泄露时间：2024-01-10

泄露内容：研究人员在可公开访问的 Elasticsearch中发现了包含大量属于巴西的私人数据，信息包含全名、出生日期、性别和 Cadastro de Pessoas Físicas (CPF) 号码等。

泄露数据量：2.23 亿

关联行业：其他

地区：巴西

印度电信Bharti Airtel数据泄露

泄露时间：2024-01-11

泄露内容：巴帝电信是印度第二大移动网络运营商，总部位于新德里，拥有超过4.142亿用户，能提供GSM，3G，4G LTE和4G+等服务。本次泄露数据包含：地址、城市、电子邮件、名字性别、姓氏、手机、地区等信息。

泄露数据量：1000万

关联行业：运营商

地区：印度

美国Parkmobile.com数据泄露

泄露时间：2024-01-11

泄露内容：ParkMobile 支持在移动设备上查找停车位并支付费用，通过 ParkMobile 可以实现快速支付街道和车库停车费，而无需使用计价器或自助服务终端。本次泄露数据包含名字，性别，电话，地址等。

泄露数据量：780万

关联行业：服务

地区：美国

在线电子竞技平台 Liquipedia数据泄露

泄露时间：2024-01-11

泄露内容：Liquipedia 是一本关于各种电子游戏的百科全书，涵盖从历史到战术的所有内容。该平台由 Team Liquid 创建并运营。本次泄露数据来源于一个身份验证服务器，其中包含 Liquipedia 用户的登录详细信息和信息，以及 Liquipedia 管理员的身份验证详细信息。

泄露数据量：11.8万

关联行业：娱乐

地区：美国

02.

热点资讯

美国证券交易委员会官方X账户被黑并发布虚假消息

美国证券交易委员会 (SEC) X (Twitter) 账号 @SECGov 于周二发布了一篇比特币 ETF 获得批准的帖子，并刊登了美国证券交易委员会主席加里·詹斯勒 (Gary Gensler)的照片，旁边还附有一份虚假声明，声明中写道：“今天的批准增强了市场透明度，并为投资者提供了在受监管框架内有效获取数字资产投资的机会“。该机构后来证实其 X 账户已被黑客入侵。这条未经授权的帖子发布了大约 30 分钟，现已被删除。

消息来源：

https://www.hackread.com/sec-x-twitter-account-hacked-bitcoin-etfs/

印度 Cherrinet ISP用户数据泄露

Cherrinet 是印度的一家互联网服务提供商 (ISP)，提供光纤互联网服务。该品牌属于 K Net Solutions Private Limited 公司。研究团队发现了属于该公司的一个开放的 Kibana 仪表板，其中包含 35 亿条条目和 1.8TB 数据，数据包含大量有关客户的个人信息，包括姓名、电子邮件地址、电话号码和家庭住址，以及授予客户访问网络的部分凭据。

消息来源：

https://cybernews.com/security/indias-cherrinet-isp-leaks-user-data-research/

T-Mobile 系统故障导致帐户访问和移动应用程序瘫痪

T-Mobile 的一次系统故障导致客户无法登录其帐户或使用该公司的移动应用程序，T-Mobile 的 Apache Kafka 事件存储和流处理平台出现 Conduktor 错误，警告该服务路由“account.t-mobile.com”主机和位于“tfb.t”的 T-Mobile for Business 站点-mobile.com' 无法找到。此外T-Mobile 的一线团队还发现多个应用程序出现登录和其他错误。

消息来源：

https://www.bleepingcomputer.com/news/technology/major-t-mobile-outage-takes-down-account-access-mobile-app/

会计师因遭网络钓鱼攻击导致数据泄露

会计服务提供商 Keating Consulting Group 成为网络钓鱼攻击的受害者后，泄露了数量不详的客户个人信息。由于公司内部的一名会计师被冒充为Framework 首席执行官的攻击者欺骗，分享了一份电子表格，其中包含购买Framework但未结余额的客户个人身份信息 (PII)，包含：客户姓名、电子邮件地址及其未结余额。

消息来源：

https://www.bleepingcomputer.com/news/security/framework-discloses-data-breach-after-accountant-gets-phished/

03.

热点技术

YouTube 视频用于传播恶意软件

近期，安全研究人员发现恶意攻击者正在利用 YouTube 频道传播恶意软件，通过破解 YouTube 帐户，上传带有破解软件安装指南的虚假视频并在视频描述中包含恶意链接，诱使用户下载 ZIP 文件。为了绕过Web 过滤器黑名单，攻击者利用 TinyURL 和 Cuttly 等服务来缩短 URL的同时使用 GitHub 和 MediaFire 开源平台作为服务器地址，恶意链接将引导用户下载私有 .NET程序并最终运行Lumma Stealer 恶意软件。

消息来源：

https://cybernews.com/news/youtube-lumma-stealer-malware/

新的 Balada Injector 活动感染了 6,700 个 WordPress 网站

据悉，由于Popup Builder 4.2.3 及更早版本中的跨站脚本 (XSS) 漏洞导致超过 6,700 个WordPress 网站感染 Balada Injector 恶意软件。Popup Builder插件用于构建营销、信息和功能目的的自定义弹窗，Balada Injector 通过劫持 Popup Builder 中的“sgpbWillOpen”事件，并在弹窗启动时在网站的数据库中执行恶意 JavaScript 代码达到注入后门、将受感染网站的访问者重定向到虚假的支持页面、彩票网站、推送通知或诈骗网站的目的。

消息来源：

https://www.bleepingcomputer.com/news/security/new-balada-injector-campaign-infects-6-700-wordpress-sites/

名为 SPECTRALBLUR 的新型 MACOS 后门

安全研究员发现了一个名为 SpectralBlur 的后门，该后门针对的是 Apple macOS。SpectralBlur支持普通的后门功能，包括根据 C2 发出的命令上传/下载文件、运行 shell、更新其配置、删除文件、休眠或睡眠，通过比对类似的字符串，可以将SpectralBlur 和 KandyKorn（归属于朝鲜有关的Lazarus子组织BlueNoroff）联系起来，该发现证实了与朝鲜有关的威胁行为者对开发 macOS 恶意软件及实践有极大兴趣。

消息来源：

https://securityaffairs.com/157010/apt/macos-backdoor-spectralblur-north-korea.html

Anonymousrabic传播新型木马

研究人员观察到名为“Anonymousrabic”的黑客组织正在分发名为 Silver RAT 的 C# 远程访问木马，该木马支持多种功能，包括绕过防病毒软件、秘密启动隐藏的应用程序、浏览器和键盘记录程序。该黑客组织活跃于多个黑客论坛（XSS、Darkforum、TurkHackTeam 等）并通过 Telegram 频道提供一系列服务，包括分发破解的 RAT、机器人，泄露的数据库等，该组织开发的另一种恶意软件称为 S500 RAT。

消息来源：

https://securityaffairs.com/157153/cyber-crime/syrian-group-anonymous-arabic-silver-rat.html

基于 Python 的 FBot 黑客工具包瞄准云和 SaaS 平台

一种名为FBot的基于 Python 的新型黑客工具被发现，其目标为 Web 服务器、云服务、内容管理系统 (CMS) 和 SaaS 平台，例如 Amazon Web Services (AWS)、Microsoft 365、PayPal、Sendgrid 和 Twilio。该工具通过劫持云、SaaS 和 Web 服务，从而获取凭证以获得访问权限，并通过将访问权限出售给其他参与者来获利。

消息来源：

https://thehackernews.com/2024/01/new-python-based-fbot-hacking-toolkit.html

04.

热点漏洞

GitLab密码重置漏洞

GitLab社区版（CE）和企业版（EE）修复了一个密码重置漏洞，漏洞编号：CVE-2023-7028，由于电子邮件验证过程中存在错误，重置邮件可以发送到未经验证的电子邮件地址，这可能导致攻击者在无需用户交互的情况下通过密码重置获取账号权限。GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。

影响产品：

GitLab CE/EE 16.1 < 16.1.5
GitLab CE/EE 16.2 < 16.2.8
GitLab CE/EE 16.3 < 16.3.6
GitLab CE/EE 16.4 < 16.4.4
GitLab CE/EE 16.5 < 16.5.6
GitLab CE/EE 16.6 < 16.6.4
GitLab CE/EE 16.7 < 16.7.2

Google Android权限提升漏洞

Google Android存在权限提升漏洞，漏洞编号：CVE-2023-21308。攻击者可利用此漏洞在系统上获得更高的权限。Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。

影响产品：

Google Android <14.0

Apache OFBiz服务器端请求伪造漏洞

Apache OFBiz存在服务器端请求伪造漏洞，漏洞编号：CVE-2023-50968，攻击者可通过发送特制请求利用该漏洞进行SSRF攻击，读取任意文件属性。Apache OFBiz是美国阿帕奇（Apache）基金会的一套电子商务平台，基于最新J2EE/XML规范和技术标准创建。

影响产品：

Apache OFBiz <18.12.11

Windows Kerberos 安全功能绕过漏洞

漏洞编号：CVE-2024-20674，该漏洞存在于Windows Kerberos中，是一个安全功能绕过漏洞。未经身份验证的攻击者可利用该漏洞执行中间人（MitM）攻击，伪造一个Kerberos服务器并向客户端发送恶意Kerberos 消息以冒充Kerberos身份验证服务器，成功利用该漏洞可能导致绕过身份验证功能。

影响产品：

Windows 10 Version 1809
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows 11 version 21H2
Windows 10 Version 21H2
Windows 11 version 22H2
Windows 10 Version 22H2
Windows 11 version 22H3
Windows 11 Version 23H2 Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 10 Version 1507
Windows 10 Version 1607
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2008 Service Pack 2