烽火狼烟丨暗网数据及攻击威胁情报分析周报（01/29-02/02）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件127起，同比上周增加9.48%。本周内贩卖数据总量共计39962万条；累计涉及15个主要地区，主要涉及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及通信、金融、医疗等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期由于人员疏忽导致的数据泄露事件频发；本周内出现的安全漏洞以Linux glibc 堆缓冲区溢出漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8921条，主要涉及漏洞利用、apache log4j2、扫描防护等类型。

施耐德泄露1TB数据

泄露时间：2024-01-29

泄露内容：施耐德电气可持续发展业务部门由于遭受勒索攻击致使其Resource Advisor云平台遭到破坏，超过1TB的数据信息遭到窃取。勒索软件组织Cactus向施耐德电气提出勒索要求，并威胁称若不支付赎金，将泄露所窃取的数据。当前，该系统依旧处于中断状态。

泄露数据量：1T

关联行业：能源

地区：法国

印度网络用户数据泄露

泄露时间：2024-01-30

泄露内容：一份庞大的数据库以3000美元的价格在暗网上出售，其中包含印度约7.5亿人的个人信息共计1.8 TB，数据包含了个人的姓名、电话号码、地址以及Aadhaar号码（印度唯一身份识别号码）等详细信息。

泄露数据量：1.85T

关联行业：运营商

地区：印度

江森自控国际27T数据泄露

泄露时间：2024-01-31

泄露内容：江森自控国际(Johnson Controls International)公司遭受了勒索软件攻击。这次攻击迫使公司关闭了大部分IT基础设施，对面向客户的系统造成了严重影响。幕后黑手是Dark Angels勒索软件团伙，他们声称已经从约翰逊控制公司窃取了超过27 TB的机密数据。

泄露数据量：27T

关联行业：建筑、能源、汽车

地区：美国

巴西Tim运营商客户数据泄露

泄露时间：2024-02-01

泄露内容：巴西Tim运营商泄露客户数据1562万条，泄露数据内容包含身份证号码，TIM是一家集服务、宽带互联网接入、增值服务等电信服务和产品的公司。

泄露数据量：1562万

关联行业：运营商

地区：巴西

意大利数据保护监管机构指控ChatGPT侵犯隐私

意大利数据保护机构近期表示，该机构已告知OpenAI，其AI聊天机器人ChatGPT违反了数据保护法规。在评估AI是否符合欧盟数据隐私法规方面，意大利数据监管机构是最积极的机构之一。去年，该机构曾短暂禁止了ChatGPT。意大利数据监管机构当时称已暂时限制OpenAI处理意大利用户的数据，同时，就ChatGPT涉嫌违反数据收集法规而展开了调查。如今，该调查结果显示， ChatGPT存在一个或多个潜在的数据隐私侵犯行为。对此，OpenAI有30天的时间进行辩护。

消息来源：

https://thehackernews.com/2024/01/italian-data-protection-watchdog.html

Europcar否认5000万用户数据泄露，称数据是AI生成的

近日，一名攻击者在知名数据泄露论坛上发布了一条帖子，售卖5000万Europcar客户的个人资料，攻击者声称获取的敏感信息包括用户名、密码、家庭地址、护照号码等详细信息。然而，Europcar否认了攻击者出售的数据来源于该公司的说法。Europcar表示通过对样本中的数据进行了详尽核查，确信帖子中的数据是假的，并进一步指出帖子所提供的记录数量与公司实际持有的记录数量不符。该公司表示，鉴于样本中存在邮政编码不匹配，姓名与电子邮件地址不一致、电子邮件地址使用了不常见的顶级域名等信息判断样本数据很可能是ChatGPT生成的

消息来源：

https://www.bleepingcomputer.com/news/security/europcar-denies-data-breach-of-50-million-users-says-data-is-fake/

奔驰 GitHub源代码和机密数据由于私钥外泄而泄露

梅赛德斯-奔驰由于没有妥善处理 GitHub 私钥，导致外界可未授权访问其内部 GitHub 企业服务，从而泄露了完整源代码。起因是安全研究人员在属于 Mercedez 员工的公共仓库中发现了一个 GitHub 私钥，该私钥可访问公司内部的 GitHub 企业服务器，泄露数据涉及关于知识产权的敏感数据库，包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他重要内部信息。

消息来源：

https://www.bleepingcomputer.com/news/security/a-mishandled-github-token-exposed-mercedes-benz-source-code

AllaKore RAT:持续狙击收入超过1亿美元的墨西哥公司

研究人员警告程，年收入超过 1 亿美元的墨西哥公司面临定期网络攻击的风险。据称，犯罪分子正在使用 AllaKore RAT 恶意软件窃取银行凭证和独立的身份验证信息。AllaKore RAT 是一款开源远程访问软件，此前曾被用于印度的间谍攻击。尽管很简单，但该恶意软件具有键盘记录、屏幕捕获、下载/上传文件等功能。攻击的目标受众不限于零售、农业、公共部门、制造业、运输、商业服务、资本货物和银行部门的公司。

消息来源：

https://thehackernews.com/2024/01/allakore-rat-malware-targeting-mexican.html

Microsoft Teams网络钓鱼通过群聊推送DarkGate恶意软件

研究显示，有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件，从而在受害者系统中安装 DarkGate 恶意软件。据统计，攻击者现已发送了 1000 多个恶意 Teams 群聊邀请，一旦目标对象接受聊天请求，攻击者会诱骗他们下载一个使用双扩展名的文件，文件名为 "Navigating Future Changes October 2023.pdf.msi"。安装成功后恶意软件就会连接到其位于 hgfdytrywq[.]com 的命令控制服务器，安全人员已确认该服务器是 DarkGate 恶意软件基础架构的一部分。

消息来源：

https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-pushes-darkgate-malware-via-group-chats

Linux glibc漏洞允许攻击者在获得root权限

在默认配置下无特权攻击者可以利用GNU C Library（glibc）中最新披露的本地权限提升漏洞获得Linux发行版的根访问权限。由于2022年8月在glibc 2.37中意外引入了基于堆的缓冲区溢出漏洞，使非特权用户能够通过对日志功能的应用程序进行精心制作的输入来获得完全的root访问权限。

消息来源：

https://www.bleepingcomputer.com/news/security/new-linux-glibc-flaw-lets-attackers-get-root-on-major-distros/

Telegram通过易于使用的恶意软件助长网络钓鱼攻击

卡巴斯基揭示了网络钓鱼者如何利用Telegram频道培训新手有关网络钓鱼的知识，并通过广告机器人自动创建网络钓鱼页面以获取敏感信息，例如登录凭据，一个恶意的Telegram机器人能够制作欺诈性的网页、电子邮件和短信，以协助攻击者进行大规模的网络钓鱼诈骗。

消息来源：

https://thehackernews.com/2024/01/telegram-marketplaces-fuel-phishing.html

研究人员发现通过Outlook漏洞可以获取NTLM密码

Microsoft Outlook中的一个现已修补的安全漏洞可能会被威胁行为者利用，以便在打开时访问NT LAN Manager（NTLM）v2散列密码。该漏洞植根于Outlook电子邮件应用程序中的邮件共享功能，攻击者可以通过向用户发送经特殊设计的文件并诱使用户打开该文件来利用该漏洞。

消息来源：

https://thehackernews.com/2024/01/researchers-uncover-outlook.html

MinIO 权限提升漏洞

MinIO发布 RELEASE.2024-01-31T20-20-33Z版本，新版本中修复了一个权限提升漏洞，漏洞编号：CVE-2024-24747，漏洞危害等级：高危。该漏洞主要是由于用户可以自己修改自己访问密钥的访问权限策略，这可能会导致低权限用户越权访问本无权访问的资源。

影响版本：

Minio<release.2024-01-31t20-20-33z

Linux glibc 堆缓冲区溢出漏洞

近日，glibc 官方修复了多个漏洞，其中包括一个 glibc syslog 堆溢出漏洞，漏洞编号：CVE-2023-6246，漏洞危害等级：高危。GNU C 库的__vsyslog_internal() 函数中存在堆缓冲区溢出漏洞，该函数被syslog()和vsyslog()调用，成功利用可能导致本地权限提升。

影响版本：

• glibc=2.36

• glibc=2.37

runc容器逃逸漏洞

runc官方发布了一份安全通告，修复了runc容器逃逸漏洞（CVE-2024-21626）。在runc 1.1.11及更早版本中存在内部文件描述符泄漏，攻击者可以通过这个漏洞使新生成的容器进程在主机文件系统命名空间中获取一个工作目录，从而允许攻击者通过访问主机文件系统来进行容器逃逸。

影响版本：

v1.0.0-rc93 <= runc <= 1.1.11

Ivanti Connect Secure服务器端请求伪造漏洞

Ivanti Connect Secure、Ivanti Policy Secure以及Ivanti Neurons for ZTA的SAML组件中存在服务器端请求伪造漏洞，成功利用此漏洞的未授权攻击者可能能够访问某些受限资源并获取内部信息。

影响版本：

• Ivanti Neurons for ZTA < 22.6R1.3

• 9.0 <= Ivanti Connect Secure < 9.1R14.4

• 9.0 <= Ivanti Connect Secure < 9.1R17.2

• 9.0 <= Ivanti Connect Secure < 9.1R18.3

• 22.0 <= Ivanti Connect Secure < 22.4R2.2

• 22.0 <= Ivanti Connect Secure < 22.5R1.1

• 9.0 <= Ivanti Policy Secure < 10.0

• 22.0 <= Ivanti Policy Secure < 23.0

Apache ServiceComb Service-Center SSRF漏洞

Apache ServiceComb Service-Center是Apache基金会的一个基于Restful的服务注册中心，专门提供微服务的发现和管理功能。在ServiceComb Service-Center的frontend组件中存在一个契约测试功能，该功能存在SSRF漏洞。由于未对请求中的instanceIP参数进行验证，攻击者可以构造恶意请求，进而获取敏感服务器信息。

影响版本：

Apache ServiceComb Service-Center < 2.2.0

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。