烽火狼烟丨暗网数据及攻击威胁情报分析周报（01/22-01/26)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件116起，同比上周增加13.73%。本周内贩卖数据总量共计39833.3万条；累计涉及10个主要地区，主要涉及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、博彩、贸易等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期由于网络攻击导致的业务受影响程度不断增加；本周内出现的安全漏洞以Jenkins 任意文件读取漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9204条，主要涉及命令注入、漏洞利用、apache log4j2等类型。

01.

重点数据泄露事件

连锁快餐店Subway数据泄露

泄露时间：2024-01-22

泄露内容：美国跨国连锁快餐店 Subway 受 LockBit 勒索软件组织窃秘并勒索，该组织声称其窃取了SUBS 内部系统，包括数百GB的数据和特许经营权的所有财务预期，包括员工工资、特许经营权使用费、主特许经营佣金支付、餐厅营业额等。

泄露数据量：100+GB

关联行业：零售

地区：美国

金融服务公司 LoanDepot数据泄露

泄露时间：2024-01-23

泄露内容：LoanDepot 是一家金融服务公司，主要从事抵押贷款业务。它是美国最大的非银行贷款机构之一，此次数据泄露是本月早些时候检测到的勒索软件攻击造成的，该公司已确定未经授权的第三方获取了其系统中约 1660 万人的敏感个人信息。

泄露数据量：1660万

关联行业：金融

地区：美国

食品提供商FreshMenu数据泄露

泄露时间：2024-01-23

泄露内容：向班加罗尔、孟买、古尔冈和德里提供食品的 FreshMenu 遭到用户数据泄露，该公司对外暴露了一个 26GB 的 MongoDB 数据库，包含超过 350 万个订单，其中涉及数据：名称、电子邮件、电话号码、帐单和送货地址、IP地址等。

泄露数据量：350万

关联行业：零售

地区：印度

系统集成公司Miracle Software数据泄露

泄露时间：2024-01-25

泄露内容：Miracle Software 是一家总部位于美国的系统集成公司，其将 IBM、谷歌云、微软、AWS 等列为合作伙伴，Miracle Software Systems 留下了一个开放的实例，其中 3,062 个用户之间有超过 1100 万条 Rocket.Chat 消息，暴露了数千名企业用户之间的数百万条消息，其中一些讨论了公司机密。

泄露数据量：1100万

关联行业：IT

地区：美国

02.

热点资讯

NCSC 警告勒索软件攻击或因人工智能而加剧

英国国家网络安全中心 (NCSC) 发布的一份新报告称，勒索软件仍是英国企业和组织所面临的最严重的网络威胁，而人工智能 (AI) 将进一步加剧这一全球性问题。当前网络犯罪分子已经开始使用生成式人工智能（也称为 GenAI），并提供“GenAI 即服务”，让任何愿意付费的人都可以使用，工智能降低了网络犯罪新手、雇佣黑客和黑客活动分子的进入门槛。

消息来源：

https://cybernews.com/security/ncsc-ransomware-attacks-expected-intensify/

EquiLend部分系统因遭受网络攻击下线

全球金融科技公司 EquiLend 表示，部分系统在周一的网络攻击中离线，导致其运营中断。事件发生后，这家公司还检测到对其网络的未经授权的访问，目前正在努力恢复所有受影响的服务。EquiLend 于 2001 年由十家全球银行和自营商组成的财团创立，其中包括美银美林、贝莱德、瑞士信贷、高盛、摩根大通、摩根士丹利、加拿大国家银行、北方信托、道富银行和瑞银。

消息来源：

https://www.bleepingcomputer.com/news/security/global-fintech-firm-equilend-offline-after-recent-cyberattack/

网络犯罪分子渴望 cookie，而不是密码

安全人员警告称，所有 cookie 都容易受到攻击，最近发现的 OAuth 漏洞证明了这一点。无论密码的长度或身份验证过程中因素的数量如何，如果恶意软件感染设备并发现会话令牌或 cookie，均可能会危及到帐户安全。Cookie 盗窃并不是绕过身份验证的新策略，有效的 Cookie 可以通过导入犯罪分子的系统，从而达到欺骗目的。

消息来源：

https://cybernews.com/security/cybercriminals-crave-cookies-not-passwords/

超过 5,300 台 GitLab 服务器遭受零点击帐户接管攻击

超过 5,300 个暴露在互联网上的 GitLab 实例容易受到 CVE-2023-7028 的攻击，这是 GitLab 本月发布的零点击帐户接管漏洞，该漏洞允许攻击者将目标帐户的密码重置电子邮件发送到攻击者控制的电子邮件地址，从而允许更改密码并接管目标帐户。尽管该缺陷不会绕过双因素身份验证 (2FA)，但对于不受此安全机制保护的帐户来说，都是一个重大风险。

消息来源：

https://www.bleepingcomputer.com/news/security/over-5-300-gitlab-servers-exposed-to-zero-click-account-takeover-attacks/

VexTrio为多个附属机构代理恶意软件

据悉，VexTrio 运营着一个由 70,000 多个已知域组成的网络，为多达 60 个附属机构代理流量，其中包括ClearFake、SocGholish和 TikTok Refresh。VexTrio 自 2017 年以来就一直活跃，常使用字典域生成算法生成的域来传播诈骗、间谍软件、广告软件、潜在有害程序和色情网站。其攻击链不仅包括多个参与者，VexTrio 还控制多个 TDS 网络，根据站点访问者的个人资料属性（例如地理位置、浏览器 cookie 和浏览器语言设置）将其路由到非法内容，以实现利润最大化。

消息来源：

https://thehackernews.com/2024/01/vextrio-uber-of-cybercrime-brokering.html

AKIRA 勒索软件攻击芬兰 IT 服务提供商 Tietoevry

Akira 勒索软件攻击袭击了芬兰 IT 服务和托管 Tietoevry 的企业云，导致多个瑞典政府机构、大学和商业活动的在线服务中断。Tietoevry 是一家芬兰跨国信息技术 (IT) 和咨询公司，为企业提供托管服务。这次攻击影响了该公司名为 Primula 的托管薪资和人力资源系统，该系统由瑞典政府机构使用，其中包括瑞典国家政府服务中心 (Statens Servicecenter) 使用的集中人力资源系统。鉴于安全漏洞的复杂性，Tietoevry 无法提供完整恢复过程的明确时间表，可能会持续几天，也可能是几周。

消息来源：

https://securityaffairs.com/158031/cyber-crime/tietoevry-akira-ransomware-attack.html

03.

热点技术

Blackwood 黑客劫持 WPS Office 更新以安装恶意软件

Blackwood的目标集中在中国、日本和英国，通过WPS Office（办公套件）、腾讯QQ即时通讯平台、搜狗拼音文档编辑器等正版软件的更新机制传播恶意软件。研究人员表示，该组织通过实施 AitM 攻击并拦截 NSPX30 生成的流量，以隐藏活动并隐藏命令和控制 (C2) 服务器，NSPX30 是一种复杂的植入程序，主要功能是从被破坏的系统收集信息，包括文件、屏幕截图、按键、硬件和网络数据以及凭据。

消息来源：

https://www.bleepingcomputer.com/news/security/blackwood-hackers-hijack-wps-office-update-to-install-malware/

Kasseika 勒索软件使用 BYOVD 技巧来解除安全预加密

Kasseika是一个利用自带漏洞驱动程序 ( BYOVD ) 攻击来解除受感染 Windows 主机上安全进程的勒索软件组织。据观察，该组织利用 Microsoft 的 Sysinternals PsExec 命令行来执行恶意批处理脚本，该脚本会检查是否存在名为“Martini.exe”的进程，该进程负责启动勒索软件负载（“smartscreen_protected.exe”）杀死所有正在访问 Windows 重新启动管理器的进程和服务，并利用 ChaCha20 和 RSA 算法处理加密过程。

消息来源：

https://thehackernews.com/2024/01/kasseika-ransomware-using-byovd-trick.html

针对MacOS加密钱包得恶意软件隐藏在破解应用程序中

据观察，破解软件会用一种新型恶意程序感染 Apple macOS 用户，该恶意软件能够收集系统信息和加密货币钱包数据。通过利用Activator和 xScope 等合法软件的盗版版本，形成可以运行任何具有管理员权限的后门脚本，并用恶意软件替换安装在计算机上的 Bitcoin Core 和 Exodus 加密钱包应用程序，这些软件会在钱包解锁时窃取信息。

消息来源：

https://thehackernews.com/2024/01/activator-alert-macos-malware-hides-in.html

针对SystemBC 恶意软件的 C2 服务器分析

网络安全研究人员揭示了一个名为SystemBC的已知恶意软件家族的命令和控制 (C2) 服务器。SystemBC 可以在地下市场购买，允许威胁行为者远程控制受感染的主机并传递额外的有效负载，包括木马、Cobalt Strike 和勒索软件。它还支持动态启动辅助模块以扩展其核心功能。该恶意软件的一个突出方面在于它使用 SOCKS5 代理来屏蔽进出 C2 基础设施的网络流量，充当后期利用的持久访问机制。

消息来源：

https://thehackernews.com/2024/01/systembc-malwares-c2-server-analysis.html

NS-STEALER 使用 Discord 机器人进行窃密

研究人员发现了一基于 Java 的信息窃取程序，它使用 Discord 机器人从受感染的主机中窃取敏感数据，这种名为NS-STEALER的恶意软件通过伪装成破解软件的 ZIP 压缩进行传播，其采用Windows 快捷方式充当 JAR 文件管道，并创建一个名为“NS-<11-digit_random_number>”的文件夹存储收集的数据，内容包含从浏览器窃取的屏幕截图、cookie、凭据和自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和Telegram 会话数据等。

消息来源：

https://thehackernews.com/2024/01/ns-stealer-uses-discord-bots-to.html

04.

热点漏洞

思科统一通信产品远程代码执行漏洞

多个思科统一通信和联络中心解决方案产品中存在漏洞，漏洞编号CVE-2024-20253。由于对读入内存的用户提供的数据处理不当，导致攻击者可以通过向受影响设备的侦听端口发送精心设计的数据包来利用此漏洞，成功利用该漏洞可能允许攻击者以 Web 服务用户的权限在底层操作系统上执行任意命令，同时通过访问底层操作系统，攻击者还可以在受影响的设备上建立根访问权限。

影响版本：

Unified Communications Manager (Unified CM) (CSCwd64245)
Unified Communications Manager IM & Presence Service (Unified CM IM&P) (CSCwd64276)
Unified Communications Manager Session Management Edition (Unified CM SME) (CSCwd64245)
Unified Contact Center Express (UCCX) (CSCwe18773)
Unity Connection (CSCwd64292)
Virtualized Voice Browser (VVB) (CSCwe18840)

enkins 任意文件读取漏洞

Jenkins 发布安全公告，修复了一个任意文件读取漏洞，漏洞编号：CVE-2024-23897,由于使用了args4j 库解析CLI命令参数，攻击者可利用相关特性读取 Jenkins 控制器文件系统上的任意文件，并结合其他功能等可能执行任意代码。

影响版本：

Jenkins<=2.441
Jenkins<=LTS 2.426.2

GitLab文件写入漏洞

GitLab社区版（CE）和企业版（EE）中修复了一个文件写入漏洞（CVE-2024-0402），由于GitLab CE/EE受影响版本中存在路径遍历问题，可能导致经过身份验证的用户可以在创建工作区时将文件写入 GitLab 服务器上的任意位置。

影响版本：

16.0 <= GitLab CE/EE < 16.5.8
GitLab CE/EE 16.6 < 16.6.6
GitLab CE/EE 16.7 < 16.7.4
GitLab CE/EE 16.8 < 16.8.1

Spring Framework拒绝服务漏洞

Spring Framework中修复了一个拒绝服务漏洞（CVE-2024-22233），版本 6.0.15 和 6.1.2 中，当应用程序使用Spring MVC，且classpath类路径中包含Spring Security 6.1.6+ 或 6.2.1+时，攻击者可发送特制HTTP请求导致拒绝服务。

影响版本：