烽火狼烟丨暗网数据及攻击威胁情报分析周报（01/15-01/19)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件102起，同比上周减少34.62%。本周内贩卖数据总量共计181616.8567万条；累计涉及12个主要地区，主要涉及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、服务、政府等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期针对物联网设备的漏洞利用增多，应当及时关注厂商动态及时更新固件避免出现不必要的损失。本周内出现的安全漏洞以Citrix Netscaler代码执行漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 1991条，主要涉及命令注入、漏洞利用、SQL注入等类型。

Ameriprise Financial数据泄露

泄露时间：2024-01-17

泄露内容：阿默普莱斯金融公司（Ameriprise Financial）向马萨诸塞州总检察长提交了一份数据泄露通知，披露了一起未经授权方访问客户机密信息的案件。该公司指出，这起事件导致未经授权方获取了消费者的敏感信息，包括姓名、社会安全号码、账号、出生日期和地址。经过调查，Ameriprise已开始向受近期数据安全事件影响的所有人发送数据泄露通知邮件。

泄露数据量：未公开

关联行业：金融

地区：美国

Singing River Health System数据泄露

泄露时间：2024-01-16

泄露内容：Singing River Health System向缅因州总检察长提交了数据泄露通知，披露了其成为勒索软件攻击目标的消息。该组织指出，这起事件导致未经授权方获取了消费者的敏感信息，包括姓名、出生日期、地址、社会安全号码、医疗信息和健康记录。经过调查，Singing River已开始向受影响的消费者发送数据泄露通知邮件，提醒他们采取必要的措施来保护个人信息。

泄露数据量：未公开

关联行业：医疗

地区：美国

TTIBI数据泄露

泄露时间：2024-01-18

泄露内容：丰田通商保险经纪印度公司（TTIBI）是一家印度-日本合资保险公司，由于运营的服务器配置不当，导致超过65万封由微软托管的电子邮件消息暴露给客户。主要是由于该公司子域下的一个安卓应用程序后端API接口未授权导致了在报错时返回的日志中包含了base64编码的邮件账户密。

泄露数据量：65万

关联行业：保险

地区：印度

伊朗黑客瞄准研究人员

近日，微软揭露了一项新的网络攻击行动，伊朗黑客利用名为“mediapl”的恶意软件针对研究人员进行攻击。据悉，该恶意软件能够隐藏在合法的媒体播放器应用程序中，并在用户不知情的情况下安装后门、收集用户数据。微软已向受影响的用户发出警告，并提供了防范措施。

消息来源：

https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-target-researchers-with-new-mediapl-malware/

Bigpanzi 僵尸网络用恶意软件

近期，一款名为BigPanzi的僵尸网络病毒感染了17万台安卓电视盒子，并附带了恶意软件，被感染的设备数量庞大。该病毒通过伪装成合法的应用商店，诱骗用户下载并安装恶意软件。一旦感染，它会收集用户的个人信息，并可能对设备进行进一步的控制和操纵。专家警告称，对于使用安卓系统的设备，用户应谨慎下载应用程序，并定期更新操作系统以保护自己的隐私和安全。

消息来源：

https://www.theregister.com/2024/01/03/ban_ransomware_payments/

菲律宾将提出东盟人工智能监管框架

据菲律宾众议院议长所说，菲律宾正提议建立一个东盟（ASEAN）的人工智能（AI）监管框架，旨在为该地区制定统一的人工智能法规。这一提议在2024年1月17日的东盟议长会议上讨论。该框架旨在促进AI的公平、透明和负责任的使用，同时保护个人隐私和数据安全。这一举措表明菲律宾在人工智能领域的监管方面走在前列，并寻求与其他东盟国家共同制定相关法规。

消息来源：

https://www.reuters.com/technology/philippines-propose-asean-ai-regulatory-framework-house-speaker-says-2024-01-17/

GitHub已成为恶意软件传播的严重污染源

根据Recorded Future最近的一份报告，开发者平台GitHub最近已成为黑客用来托管和传播恶意软件的流行工具。该平台为攻击者提供了将其行为伪装成合法网络流量的能力，这使得跟踪和确定攻击者的身份变得困难。专家将这一策略称为“Living Off Trusted Sites”（LOTS），它是“Living off the Land”（LotL）技术的一种修改版本，攻击者经常使用这种技术来隐藏恶意活动。专家警告称，企业和个人应加强对GitHub和其他开源平台的监控，并采取措施保护自己的系统免受此类威胁的侵害。

消息来源：

https://www.recordedfuture.com/flying-under-the-radar-abusing-github-malicious-infrastructure

检测iOS间谍软件的新方法

卡巴斯基全球研究与分析团队推出了一种新的轻量级方法来检测复杂的iOS间谍软件比如Pegasus。Pegasus是一款高度先进的间谍软件，能够在用户不知情的情况下，在其手机上安装后门、收集用户数据。这种新方法通过扫描设备上的文件和进程，检测并识别出Pegasus间谍软件的存在。用户应定期使用安全软件进行设备扫描，并保持操作系统和应用程序的更新，以防范此类威胁。

消息来源：

https://www.infosecurity-magazine.com/news/tool-identifies-pegasus-ios-spyware/

Windows漏洞被利用来投放恶意软件

近日，研究人员发现了一个被利用的Windows SmartScreen漏洞，该漏洞允许攻击者下载并安装Phemedrone恶意软件。SmartScreen是Windows操作系统中的一个功能，旨在阻止恶意软件的安装和运行。然而，这个漏洞让攻击者能够绕过SmartScreen的防护，将恶意软件植入受害者的计算机。

消息来源：

https://www.bleepingcomputer.com/news/security/windows-smartscreen-flaw-exploited-to-drop-phemedrone-malware/

利用软件配置错误实现对Hadoop和Flink的加密劫持

网络安全研究人员发现一种新型攻击，利用Apache Hadoop和Flink软件中的配置缺陷，在目标系统上部署了加密货币矿工。由于攻击者采用shell程序和rootkit来隐匿恶意软件，因此攻击具有特殊的迷惑性。同时该恶意软件会删除特定目录的内容并修改系统配置，以规避检测。Apache Hadoop感染链利用了YARN（Yet Another Resource Negotiator）资源管理器的配置错误，该资源管理器负责追踪集群中的资源并调度应用程序。

消息来源：

https://securityaffairs.com/157455/hacking/apache-hadoop-crypto-miners.html

Androxgh0st恶意软件正在创建大型僵尸网络

美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)发布了一份关于该恶意软件的联合公告，称名为Androxgh0st恶意软件的幕后黑客正在创建一个强大的僵尸网络。Androxgh0st最早可以追溯到2022年12月，当时Lacework的研究人员发现该恶意软件被用于窃取各种凭证，这些凭证来自很多主流应用，例如Amazon Web Services、Microsoft Office 365、SendGrid和Twilio。研究人员表示，由Androxgh0st组建的僵尸网络会搜索.env文件，这类文件通常被用来存储凭证和令牌。恶意软件还支持许多能够滥用简单邮件传输协议(SMTP)的功能，例如扫描和利用暴露的凭据和应用程序编程接口(API)以及Webshell部署。

消息来源：

https://therecord.media/malware-hackers-creating-botnet-cisa-fbi

Balada Injector再次攻击互联网

Balada Injector恶意软件对数千个使用Popup Builder插件的WordPress网站进行了攻击。Doctor Web专家于去年 1 月首次记录该恶意活动，该活动由一系列攻击组成，这些攻击利用WordPress插件中的安全缺陷引入后门，旨在将受感染网站的访问者重定向到虚假技术支持页面、欺诈性彩票中奖和推送通知诈骗。

消息来源：

https://www.darkreading.com/application-security/7k-wordpress-sites-compromised-balada-injector

Citrix Netscaler 0day漏洞

Citrix强烈建议用户立即修补连接互联网的Netscaler ADC和Netscaler Gateway设备，以防止与两个新的主动利用的零日漏洞相关的攻击。这些安全漏洞分别标记为CVE-2023-6548和CVE-2023-6549，它们影响Netscaler管理界面，并使运行旧版软件的实例容易受到远程代码执行攻击和拒绝服务攻击。

影响版本：

• NetScaler ADC and NetScaler Gateway 14.1 before 14.1-12.35

• NetScaler ADC and NetScaler Gateway 13.1 before 13.1-51.15

• NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.21

• NetScaler ADC 13.1-FIPS before 13.1-37.176

• NetScaler ADC 12.1-FIPS before 12.1-55.302

• NetScaler ADC 12.1-NDcPP before 12.1-55.302

Chrome 0day漏洞

谷歌发布了一项紧急更新，旨在修复Chrome浏览器中的三个高度严重的安全漏洞，并警告其中一个漏洞已被广泛利用。被利用的零日漏洞被标记为CVE-2024-0519，被描述为V8 JavaScript引擎中的越界内存访问问题。除了未经授权访问越界内存之外，CVE-2024-0519还可以被利用来绕过ASLR等保护机制，从而更容易通过另一个漏洞实现代码执行。这也是2024谷歌Chrome的第一个主动利用漏洞。

补丁：

• Windows (120.0.6099.224/225)

• Mac (120.0.6099.234)

• Linux (120.0.6099.224)

GitHub Enterprise Server漏洞

GitHub轮换了12月份修补漏洞可能导致泄露的密钥，漏洞被追踪为CVE-2024-0200，不仅允许威胁攻击者在未打补丁的服务器上远程执行代码，还支持威胁攻击者访问生产容器的环境变量（包括凭据）。但是要利用此漏洞，攻击者者需要以组织所有者角色登录GHES实例上的帐户。

影响版本：

GitHub Enterprise Server < 3.12

博世智能恒温器漏洞

研究人员在广泛使用的博世BCC100家用Wi-Fi恒温器中发现一个漏洞。该漏洞允许攻击者远程操纵设备设置（包括温度）并安装恶意软件。该安全漏洞于2023年8月29日被发现，但直到2024年1月11日该公司修复后才公布详细信息。CVE-2023-49722漏洞允许攻击者用恶意固件替换设备的固件，然后自行决定使用受感染的恒温器，从而完全控制其功能。

影响版本：

• BCC100 = 1.7.0

• BCC100 HD = 4.13.22

VMware Aria Automation漏洞

VMware Aria Automation（以前称为vRealize Automation）是一个现代云自动化平台，可简化云基础架构和应用程序的部署、管理和治理。它提供了一个统一平台，用于跨多个云环境自动执行任务，包括 VMware Cloud on AWS、VMware Cloud on Azure 和 VMware Cloud Foundation。VMware 解决了一个严重漏洞，编号为 CVE-2023-34063（CVSS 评分 9.9），该漏洞影响其 Aria Automation 平台。该问题是缺少访问控制漏洞，经过身份验证的攻击者可以利用该漏洞来获得对远程组织和工作流程的未经授权的访问。

影响版本：

VMware Aria Automation < 8.16

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。