烽火狼烟丨暗网数据及攻击威胁情报分析周报（02/19-02/23）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件176起，同比上周增加38.6%。本周内贩卖数据总量共计309828万条；累计涉及9个主要地区，涉及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、服务、博彩等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期加密货币劫持威胁持续上升，网络犯罪分子通过劫持计算机或网络系统来挖矿加密货币。本周内出现的安全漏洞以ScreenConnect多个高危漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9327条，主要涉及命令注入、漏洞利用、Log4j2攻击等类型。

伊拉克选民信息数据泄露

泄露时间：2024-02-21

泄露内容：安全研究人员发现了一个21.58GB大小的公开数据库，其中包含投票信息、伊拉克选民卡和个人身份信息，以及为IHEC（伊拉克独立高级选举委员会）“运营和数据管理部门”设计的定制软件客户端。

泄露数据量：21.58GB

地区：伊拉克

哈德曼县社区卫生中心数据泄露

泄露时间：2024-02-22

泄露内容：据悉，哈德曼县社区卫生中心网站hardemanhealth.org遭到勒索组织攻击并公开售卖相关数据，哈德曼县社区卫生中心 (HCCHC) 是一家非营利性联邦合格健康中心 (FQHC)，提供全面、综合和优质的医疗保健服务，此次泄露数据大小169GB。

泄露数据量：169GB

关联行业：医疗

地区：美国

澳大利亚电信公司数据泄露

泄露时间：2024-02-21

泄露内容：澳大利亚电信公司Tangerine在本周三证实近期发生了数据泄露事件，因为第三方承包商的凭证泄露导致一个未关闭的历史数据库被访问，泄露数据包含客户的姓名、出生日期、手机号码、电子邮件地址、邮政地址和Tangerine账号。

泄露数据量：23.2万

关联行业：电信

地区：澳大利亚

美国拼车公司数据泄露

泄露时间：2024-02-19

泄露内容：总部位于美国的拼车公司HopSkipDrive遭第三方数据泄露，据该公司称，可能泄露的信息包括用户名、邮寄地址、电子邮件地址，以及驾驶执照号码或非驾驶员ID号码，该事件影响了超过约15.5万人。

泄露数据量：15.5万

关联行业：IT

地区：美国

AT&T大规模宕机影响全美

22日，来自Verizon、T-Mobile和AT&T的数万名美国用户投诉无线移动服务中断，其中拨出和拨入的电话都受到了影响。据统计，有超过7万名来自多个州的用户服务中断，同时旧金山消防局发布了一份“手机服务中断”公告称尽管911中心仍在运营，但AT&T用户依然无法拨打或接听电话，同时在网络服务提供商Cloudflare的数据流量统计中AT&T的流量存在重大数据丢失。

消息来源：

https://www.bleepingcomputer.com/news/mobile/massive-atandt-outage-impacts-us-mobile-subscribers/

LockBit勒索软件因全球警方行动而中断

来自10个国家和地区的执法机构在一项名为“克罗诺斯行动”的联合行动中挫败了臭名昭著的LockBit勒索软件团伙。根据LockBit数据泄露网站上显示的内容，该网站目前处于英国国家犯罪局的控制之下。虽然Lockbit的泄密网站无法再访问，但该团伙的一些其他暗网网站（包括该团伙用于托管数据并向其发送私人消息的网站）仍然在活动。

消息来源：

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-disrupted-by-global-police-operation/

美国悬赏1500万美元寻找勒索团伙信息

在联合执法打击LockBit勒索软件团伙后，美国国务院向任何能够提供有关LockBit勒索软件团伙成员及其信息的人提供总计高达1500万美元的奖励。其中1000万美元用于奖励可能定位或识别LockBit领导层的信息；另外500万美元奖金用于奖励提供LockBit勒索软件关联公司的信息。美国司法部表示该团伙已通过勒索活动获利超过1.2亿美元。

消息来源：

https://www.bleepingcomputer.com/news/security/us-offers-15-million-bounty-for-info-on-lockbit-ransomware-gang/

FTC将禁止Avast出于广告目出售浏览数据

美国联邦贸易委员会（FTC）现责令Avast公司支付罚款1650万美元，并禁止该公司出售用户的网络浏览数据给广告公司。FTC收到投诉称，Avast在未经消费者知情和同意的情况下收集、存储和出售他们的浏览数据，侵犯了数百万消费者的权利，同时误导他们认为收集数据的产品会帮助用户阻止在线跟踪。FTC表示，自2014年以来，英国公司Avast在用户不知情或未同意的情况下使用Avast浏览器扩展和防病毒软件收集了消费者的网络浏览信息累计8PB。

消息来源：

https://www.bleepingcomputer.com/news/security/ftc-to-ban-avast-from-selling-browsing-data-for-advertising-purposes/

加密货币交易所FixFloat发生安全事件

据Web3威胁研究人员称，去中心化加密货币交易所FixFloat遭遇安全事件，导致价值约2600万美元的比特币和以太币被盗。交易所团队确认了此次攻击，并将大量资金外流归因于“小技术问题”并暂时切换到维护模式。自周六以来，在该交易所的社交媒体页面上，用户一直反映交易被冻结和资金丢失。链上数据显示，黑客从该平台盗取了超过400个比特币，价值约2100万美元，以及超过1700个以太币，价值约500万美元。此次袭击的具体情况尚不清楚，交易所团队表示正在调查这一事件。

消息来源：

https://www.databreachtoday.com/cryptohack-roundup-26-million-fixedfloat-hack-a-24424

Bitwarden增加了网络钓鱼防御能力的新功能

Bitwarden开源密码管理服务引入了新的内联自动填充菜单，可降低通过恶意表单字段窃取用户凭据的风险。Bitwarden仅在用户选择表单字段时才会填写凭据，从而降低了在用户不知情的情况下在恶意网站或iframe上自动填写凭据的风险；用户可以选择使用密码保护登录信息，从而在使用自动填充时增加一层安全性。

消息来源：

https://www.bleepingcomputer.com/news/security/bitwardens-new-auto-fill-option-adds-phishing-resistance/

银行木马滥用Google云服务

安全研究人员警告称黑客滥用Google Cloud Run服务传播大量银行木马，例如Astaroth、Mekotio和Ousaban。Google Cloud Run允许用户部署前端和后端服务、网站或应用程序，处理工作负载，而无需管理基础设施或扩展。因低成本以及绕过标准安全检查和过滤器的能力而对网络犯罪分子产生了巨大吸引力，攻击者通过投递携带钓鱼链接的邮件，并使链接重定向到云服务托管的恶意网络服务达到攻击目的，谷歌目前正在删除那些恶意链接并且考虑加强措施遏制此类钓鱼活动。

消息来源：

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-cloud-run-in-massive-banking-trojan-campaign/

新的SSH-Snake恶意软件窃取SSH密钥

威胁行为者正在使用名为SSH-Snake的开源工具在系统上寻找隐藏的SSH私钥，以便在受害者基础设施上进行横向移动。该工具使用所发现的SSH私钥自动执行网络遍历并创建网络拓扑，它是完全自我复制和自我传播的无文件攻击。从很多方面来说，SSH-Snake实际上是一种蠕虫病毒：它会自我复制并尽可能地从一个系统传播到另一个系统。由于该工具的开源属性导致会有更多基于其二次开发的更高级的版本。

消息来源：

https://www.bleepingcomputer.com/news/security/new-ssh-snake-malware-steals-ssh-keys-to-spread-across-the-network/

利用无线充电器注入语音命令

在佛罗里达大学和CertiK研究人员署名的一份技术论文中将一种利用电磁干扰来操纵充电器行为的攻击称为VoltSchemer，这种攻击可以注入语音命令，通过现成的无线充电器发出的磁场来操纵智能手机的语音助手，还可用于对移动设备造成物理损坏，将靠近充电器的物品加热到280℃以上。从本质上讲，VoltSchemer利用了无线充电系统硬件设计和管理其通信的协议中的安全缺陷。这为VoltSchemer攻击开辟了至少三种潜在攻击途径，包括过热/过度充电、绕过Qi安全标准以及在充电智能手机上注入语音命令。

消息来源：

https://www.bleepingcomputer.com/news/security/voltschemer-attacks-use-wireless-chargers-to-inject-voice-commands-fry-phones/

Migo恶意软件活动

安全研究人员发现了一项新的恶意软件活动活动，该活动针对Linux主机上的Redis服务器，使用名为“Migo”的恶意软件来挖掘加密货币。Redis（远程字典服务器）是一种内存数据结构存储，用作数据库、缓存和消息代理，以其高性能而闻名。攻击者通过访问公网未授权的Redis服务器，在Redis CLI中禁用安全功能，并通过设置定时任务下载运行具有混淆功能的Migo二进制文件，Migo的主要功能是自动去Github的CDN节点上获取安装修改后的XMRig挖矿程序，并通过创建系统服务和定时启动来建立持久性。

消息来源：

https://www.bleepingcomputer.com/news/security/new-migo-malware-disables-protection-features-on-redis-servers/

ScreenConnect多个高危漏洞

ConnectWise ScreenConnect发布的安全更新中修复了一个身份验证绕过漏洞（CVE-2024-1709）和一个目录遍历漏洞（CVE-2024-1708），目前这些漏洞的技术细节及PoC已公开，且已发现被利用。攻击者可以通过特制请求访问已配置ScreenConnect实例上的设置向导并重置管理员账户，进而利用目录遍历漏洞结合扩展功能导致代码执行。

影响版本：

ConnectWise ScreenConnect <= 23.9.7

Joomla CMS漏洞

Joomla 内容管理系统中存在5个漏洞，可被用于在易受攻击网站上执行任意代码。CVE-2024-21722：当用户的MFA方法被修改后，MFA管理特性并未正确终止已有的用户会话。CVE-2024-21723：对URL的不当解析可导致开放重定向后果。CVE-2024-21724：对媒体选择字段的输入验证不当可导致在多个扩展中的XSS漏洞。CVE-2024-21725：邮件地址的不当逃逸可导致多个组件中的XSS漏洞。CVE-2024-21726：在过滤器代码中的内容过滤不当可导致多个XSS漏洞。

影响版本：

Joomla! CMS versions 1.5.0 - 3.10.14-elts, 4.0.0-4.4.2, 5.0.0-5.0.2

VMware漏洞

VMware近期修补的两个安全漏洞为CVE-2024-22245和CVE-2024-22250，可被攻击者用来中继Kerberos服务票据并接管EAP特权会话。CVE-2024-22245的攻击媒介为VMwar增强型身份验证插件（EAP），攻击者可以欺骗EAP域用户并中继请求SPN服务票据，Windows操作系统上CVE-2024-22250可以使得攻击者劫持特权域用户启动时的特权EAP会话。目前没有证据表明这些安全漏洞已被针对或在野利用。

影响版本：

• VMware Enhanced Authentication Plug-in 6.7.0

• Windows service (VMware Plug-in Service)

Wi-Fi漏洞

安全研究人员在Android、Linux和ChromeOS设备中发现开源Wi-Fi软件中存在两个身份验证绕过缺陷，这些缺陷允许攻击者诱骗受害者并拦截其流量，在不需要密码的情况下加入其安全网络。漏洞编号为CVE-2023-52160和CVE-2023-52161，CVE-2023-52161允许攻击者未经授权访问受保护的Wi-Fi网络，使现有用户和设备面临恶意软件感染、数据盗窃和商业电子邮件泄露等潜在攻击。

影响版本：

wpa_supplicant <= 2.10

苹果零点击漏洞

Apple Shortcuts中出现了一个漏洞，攻击者可以在未授权的情况下访问设备上的敏感数据。Apple的Shortcuts应用程序专为macOS和iOS设计，旨在执行自动化任务。漏洞CVE-2024-23204通过制作恶意快捷方式文件，该文件能够绕过苹果的透明度、同意和控制（TCC）安全框架，该框架能够确保应用程序在访问某些数据或功能之前明确请求用户许可。

影响版本：

• macOS Sonoma < 14.3

• iOS < 17.3

• iPadOS < 17.3

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。