网络安全资讯周报（01/22 - 01/26)

• 抵押贷款机构LoanDepot遭遇网络攻击导致1660万用户数据泄露 

• 研究团队发现涵盖260亿条数据的史上最大规模数据泄露 

• Trezor官网遭遇网络攻击导致66000名客户数据泄露 

• 美国系统集成公司Miracle Software泄露 1100 万条企业聊天记录 

• 美国连锁餐厅Jason's Deli客户数据在撞库攻击中泄露 

安全研究人员分析了最近出现的 3AM 勒索软件操作的活动，发现其与 Conti 集团和 Royal 勒索软件团伙等臭名昭著的组织有密切联系。3AM（ThreeAM）也一直在尝试一种新的勒索策略：与受害者的社交媒体关注者分享数据泄露的消息，并使用机器人回复 X（以前称为 Twitter）上的高级帐户，发送指向数据泄露的消息。法国网络安全公司Intrinsec的研究人员表示，ThreeAM 很可能与 Royal 勒索软件组织有关，该组织现已更名为 Blacksuit，该团伙由 Conti 集团内Team 2的前成员组成。随着 Intrinsec对该组织的策略、攻击中使用的基础设施和通信渠道的调查取得进展，3AM 勒索软件与 Conti 集团之间的联系变得更加紧密。据分析显示，3AM 和 Conti 集团之间的通信渠道、基础设施以及战术、技术和程序 (TTP) 存在“重大重叠”。

原文链接：hthttps://www.bleepingcomputer.com/news/security/researchers-link-3am-ransomware-to-conti-royal-cybercrime-gangs/

供水和废水处理部门 （WWS）是能源、医疗保健和公共卫生等众多美国关键基础设施部门的重要组成部分，网络威胁攻击者瞄准这一点，近年来针对美国供水和废水处理行业发起了多次攻击。1月24日，CISA、环境保护局 (EPA) 和联邦调查局 (FBI) 联合发布了WWS部门的协作事件响应指南 (IRG），旨在帮助美国城市供水和污水处理领域的企业组织提高网络安全弹性和事件响应能力，防范严重网络安全事件发生。该指南为 WWS 部门的所有者和运营商详细介绍了网络事件响应 (IR) 生命周期每个阶段的联邦角色、资源和责任。 

原文链接：https://www.securityinfowatch.com/critical-infrastructure/press-release/53083305/cisa-fbi-and-epa-release-incident-response-guide-for-water-and-wastewater-systems-sector

研究人员新调查结果显示，ClearFake、SocGholish 和其他数十个攻击者背后的威胁行为者已与另一个名为 VexTrio 的实体建立了合作伙伴关系，作为大规模“犯罪附属计划”的一部分。该公司表示，最新的进展表明了“他们在网络犯罪行业中活动的广度和联系的深度”，并将VexTrio 描述为“安全文献中描述的最大的单一恶意流量代理”。据估计，VexTrio 运营着一个由 70000 多个域组成的网络。据信，VexTrio 至少自 2017 年以来就一直活跃，其归因于恶意活动，这些活动使用字典域生成算法 ( DDGA ) 生成的域来传播诈骗、风险软件、间谍软件、广告软件、潜在有害程序 (PUP)和色情内容。这包括一个 2022 年活动集群，该集群在 Google 于 2021 年 12 月尝试摧毁其大部分基础设施后分发了 Glupteba 恶意软件。

原文链接：https://www.darkreading.com/threat-intelligence/vextrio-tds-biggest-cybercrime-operation-web

惠普企业 (HPE) 披露，疑似俄罗斯黑客Midnight Blizzard获得了该公司 Microsoft Office 365 电子邮件环境的访问权限，以窃取其网络安全团队和其他职能部门的数据。Midnight Blizzard，又名 Cozy Bear、APT29 和 Nobelium，据信隶属于俄罗斯对外情报局 (SVR)。该组织以SolarWinds 供应链攻击而闻名，该攻击在 2020 年袭击了包括 Microsoft 在内的 18000 多个客户组织。HPE 于2023年12月意识到入侵，并立即在外部网络安全专家的帮助下对安全漏洞展开调查。据调查显示，Midnight Blizzard从 2023 年 5 月开始，从属于HPE网络安全、上市、业务部门和其他职能部门的个人的一小部分HPE邮箱中访问和窃取了数据。

原文链接：https://securityaffairs.com/158097/security/midnight-blizzard-hacked-hpe.html

赛百味（Subway IP LLC） 是一家美国跨国快餐连锁店，Lockbit 勒索软件组织将 Subway 添加到其 Tor 数据泄露网站的受害者名单中，并威胁于2024 年 2 月 2 日 21:44:16 UTC 泄露被盗数据。该组织声称窃取了数百GB的敏感数据。该团伙表示，被盗数据包括员工工资、特许经营权使用费、主特许经营佣金支付、餐厅营业额等。Lockbit 勒索软件组织称如果赛百味拒绝支付赎金，他们有意向将这些被盗数据出售给其竞争对手。

原文链接：https://securityaffairs.com/157852/cyber-crime/lockbit-hacked-sandwich-chain-subway.html

2023 年 12 月，名为ScarCruft的威胁行为者精心策划了一场新活动，媒体组织和朝鲜事务领域的知名专家成为了这场活动的目标。ScarCruft 一直在试验新的感染链，包括使用技术威胁研究报告作为诱饵，目标可能是网络安全专业人员等威胁情报的消费者。这个与朝鲜有联系的对手，也被称为 APT37、InkySquid、RedEyes、Ricochet Chollima 和 Ruby Sleet，被评估为隶属于朝鲜国家安全部 (MSS) 。该组织以政府和叛逃者为目标而闻名，利用鱼叉式网络钓鱼诱饵提供RokRAT 和其他后门，最终目标是秘密收集情报以实现朝鲜的战略利益。2023 年 8 月，ScarCruft与 Lazarus 集团一起对俄罗斯导弹工程公司NPO Mashinostroyeniya进行的攻击有关，这被认为是一次“非常理想的战略间谍任务”，旨在使其有争议的导弹计划受益。

原文链接：

https://thehackernews.com/2024/01/north-korean-hackers-weaponize-fake.html

https://asec.ahnlab.com/en/60703/

AhnLab 安全情报中心 (ASEC) 发现多个 SmokeLoader 恶意软件正在分发给乌克兰政府和公司。近期针对乌克兰的袭击事件似乎有所增加。目前确认的目标包括乌克兰司法部、公共机构、保险公司、医疗机构、建筑公司和制造公司等。分发的电子邮件遵循乌克兰语格式。正文包含与发票相关的信息，提示读者执行附件。附件是一个压缩文件（7z），里面有另一个压缩文件（ZIP）。在这个压缩文件中，可以找到一个 SFX 格式的 EXE 文件和伪装成 PDF 扩展名的 SmokeLoader。SmokeLoader是一种下载器恶意软件，它可以在连接到C&C服务器后通过接收命令来下载额外的模块或恶意软件。执行时会注入explorer.exe，并通过以下流程进行恶意活动。首先，它在 %AppData% 路径中将自身复制为“ewuabsi”，隐藏自身并授予系统文件属性。然后，它尝试连接到下面列出的 C&C 服务器，其中可以额外下载 Lockbit 勒索软件和各种其它恶意软件。

原文链接：https://asec.ahnlab.com/en/60703/

1月21日，芬兰 IT 服务和企业云托管提供商 Tietoevry 遭受勒索软件攻击，影响其位于瑞典的一个数据中心的云托管客户，据报道，此次攻击是由 Akira 勒索软件团伙发起的。Tietoevry 是一家芬兰 IT 服务公司，为企业提供托管服务和云托管。该公司在全球拥有约 24000 名员工，2023 年收入为 31 亿美元。勒索软件攻击对该公司的虚拟化和管理服务器进行了加密，这些服务器用于托管瑞典众多企业的网站或应用程序。瑞典最大的连锁影院 Filmstaden 已确认 他们受到此次攻击的影响，因此无法通过网站或移动应用程序在线购买电影票；其他受到攻击影响的公司包括折扣零售连锁店 Rusta、原材料供应商 Moelven和农业供应商 Grangnården，后者 在 IT 服务恢复期间被迫关闭商店；停电还影响了瑞典的众多政府机构和市政当局，包括Statens 服务中心、 Vellinge 市、 Bjuv市和乌普萨拉县。

原文链接：https://therecord.media/tietoevry-ransomware-attack-sweden-cloud-services-datacenter

Atlassian 于 1 月 16 日发布的一份公告通知客户，过时版本的Confluence 数据中心和服务器受到一个关键安全漏洞（ CVE-2023-22527 ）的影响，该漏洞允许未经身份验证的攻击者实现远程代码执行。1 月 22 日星期一，非营利网络安全组织 Shadowserver Foundation 报告称发现了利用CVE-2023-22527 的尝试。Shadowserver 已发现来自大约 600 个唯一 IP 地址的近 40,000 次利用尝试。该活动主要是“测试回调尝试和‘whoami’执行”，这表明恶意行为者正在寻找易受攻击的服务器，他们可以破坏和滥用这些服务器来访问受害者的网络。该组织指出，目前有 11,000 个 Confluence 实例暴露在互联网上，但尚不清楚其中有多少实例实际上容易受到利用 CVE-2023-22527 的攻击。

原文链接：https://www.securityweek.com/hackers-start-targeting-critical-atlassian-confluence-vulnerability-days-after-disclosure/

美国最大的非银行贷款机构之一LoanDepot 披露，其于在本月早些时候遭到的勒索软件攻击导致约 1660 万用户的个人信息遭到泄露。该公司于1月6日遭到攻击，迫使该公司关闭了部分系统以控制漏洞，之后该公司告诉客户，定期自动付款仍将继续处理，但付款历史记录会延迟。事件发生后，通过服务客户门户进行的付款也无法使用，其他几个在线门户，包括 MyloanDepot、HELOC 和 mellohome 网站也处于离线状态。几天后，loanDepot确认这是一次勒索软件攻击，恶意行为者还对受感染设备上的文件进行加密。在确认数百万人的数据被盗后，该公司表示将通知受此数据泄露影响的个人，为他们提供免费的信用监控和身份保护服务。

原文链接：https://www.bleepingcomputer.com/news/security/loandepot-cyberattack-causes-data-breach-for-166-million-people/

安全研究专家Bob Dyachenko和Cybernews团队发现了一个被称为“泄漏之母”（MOAB）的巨型数据泄露库。该库整合并重新索引了过去几年的泄露数据，其文件总容量高达12TB，共包含260亿条记录，是目前为止发现的最大规模的数据泄露事件。据称有数亿条数据来自微博 (504M)、MySpace (360M)、Twitter (281M)、Deezer (258M)、Linkedin (251M)、AdultFriendFinder (220M)、Adobe (153M)、Canva (143M) 、VK (101M)、Daily Motion (86M)、Dropbox (69M)、Telegram (41M) 以及许多其他公司和组织。此次泄露还包括美国、巴西、德国、菲律宾、土耳其和其他国家各个政府组织的记录。

原文链接：

https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/

硬件加密货币钱包供应商Trezor 于 1 月 17 日在第三方支持门户中发现了未经授权的访问。该事件的调查仍在进行中，Trezor表示迄今为止没有发现任何证据表明用户的数字资产在该事件中受到损害。该事件可能会导致自 2021 年 12 月以来使用过Trezor支持服务的66000 名用户的联系方式被窃取。该事件加剧了人们对针对 Trezor 用户的网络钓鱼尝试增加的担忧，至少 41 人报告称收到了可疑电子邮件，要求提供有关其恢复种子的信息。 

原文链接：

https://www.bleepingcomputer.com/news/security/trezor-support-site-breach-exposes-personal-data-of-66-000-customers/

Cybernews 研究团队最近发现了美国系统集成公司Miracle Software Systems 有一个开放的MongoDB实例，其中 3062 个用户之间有超过 1100 万条 Rocket.Chat 消息，其实一些涉及公司机密。据该团队称，暴露的数据库包含 2GB 的短信。本质上，员工和客户通过 Miracle 的 Rocket.Chat 平台讨论的所有内容都被公开了。根据泄露数据样本分析，发现泄露数据包括：公司内部和外部秘密、明文密码和访问 Miracle 员工共享的详细信息。研究人员认为，MongoDB 实例在 11 月和 12 月之间开放了至少三天，并且不再公开可用。这种规模的数据泄露给公司带来了严重的风险，因为数以百万计的公司消息为恶意行为者提供了破坏敏感信息、进行未经授权的访问以及可能利用公司机密资源的手段。

原文链接：

https://cybernews.com/security/miracle-leak-exposes-millions-corporate-messages/

美国连锁餐Jason's Deli通知其客户称，黑客从其他来源获取了Jason's Deli 会员帐户的凭据，并于 2023 年 12 月 21 日使用凭据对餐厅网站进行了撞库攻击。他们的个人数据可能在撞库攻击中暴露。泄露的信息可能包括客户的姓名、地址（包括所有已保存的送货地址）、电话号码、生日、首选的 Jason's Deli 位置、订单历史记录、联系人列表（如果有 - 用于发送团体订单的姓名和电子邮件地址）、房屋帐号（如果有）、Deli Dollars 积分、可用可兑换金额和银行奖励，以及截断的礼品卡/信用卡号码。根据Jason’s Deli向缅因州总检察长办公室提交的文件，可能超过 344000 名客户受到影响。

原文链接：https://www.bleepingcomputer.com/news/security/jasons-deli-says-customer-data-exposed-in-credential-stuffing-attack/