烽火狼烟丨暗网数据及攻击威胁情报分析周报（02/26-03/01）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件155起，同比上周降低11.9%。本周内贩卖数据总量共计80849万条；累计涉及15个主要地区，涉及6种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及贸易、金融、教育等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期出现了利用AI大模型进行恶意软件传播的攻击案例；本周内出现的安全漏洞以Oracle WebLogic Server JNDI注入漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8751条，主要涉及命令注入、漏洞利用、扫描防护等类型。

推特信息数据泄露

泄露时间：2024-02-29

泄露内容：社交媒体巨头推特最近遭遇了一次严重的数据泄露事件。据称，推特的548万用户数据遭到了未经授权的访问并被泄露，数据量约在3GB左右。

泄露数据量：3GB

关联行业：社交

地区：美国

415.63 GB诉讼数据泄露

泄露时间：2024-02-29

泄露内容：据悉，BlackCat 侵入了Zalkin 律师事务所系统并窃取了 523 名客户的个人信息，威胁者声称已经窃取了 415.63 GB 的性骚扰诉讼数据，其中包括所有记录、笔记、证词和个人信息。

泄露数据量：415.63 GB

关联行业：律师

地区：美国

生物技术公司 Enzo Biochem 数据泄露

泄露时间：2024-02-29

泄露内容：纽约的生物科学和诊断公司 Enzo Biochem 表示，公司由于遭遇勒索软件攻击，导致约 2,470,000 人的临床测试信息被未授权访问。

泄露数据量：247万

关联行业：医疗

地区：美国

法国支付运营商数据泄露

泄露时间：2024-02-29

泄露内容：涉及到法国两家第三方支付运营商 Viamedis 和 Almerys。根据CNIL的调查，这次计算机攻击导致超过3300万人的个人数据受到影响。这两家公司负责管理补充健康保险第三方支付，因此受影响的数据可能涉及到医疗保健领域的敏感信息。

泄露数据量：3300万

关联行业：IT

地区：法国

美国、英国和澳大利亚联合对REvil勒索软件团伙实施制裁

美国、英国和澳大利亚联合对REvil勒索软件团伙实施制裁。REvil团伙被指发起了一系列严重的网络攻击，包括大规模勒索和数据泄露事件，对全球各行各业造成了严重影响。这次制裁旨在削弱REvil团伙的能力，打击其网络犯罪活动，并促使俄罗斯政府采取更加严厉的行动打击网络犯罪。

消息来源：

https://thehackernews.com/2024/01/us-uk-australia-sanction-russian-revil.html

Ivanti 网关漏洞被主动利用

FVEY情报联盟发布了一项网络安全报告称网络威胁行为者正在利用 Ivanti Connect Secure 和 Ivanti Policy Secure 网关中已知的安全漏洞进行攻击，迄今为止，Ivanti 被披露的5个安全漏洞已被多个威胁行为者利用，Ivanti 针对该通报表示，在实施安全更新和恢复出厂设置后，尚未发现任何使威胁行为者持续存在的案例。

消息来源：

https://thehackernews.com/2024/03/five-eyes-agencies-warn-of-active.html

Midnight Blizzard和Cloudflare的安全事件

一项名为"Midnight Blizzard"的大规模网络攻击袭击了全球许多网站，包括由Cloudflare提供服务的网站。这次攻击涉及对云服务提供商的网络基础设施发起大规模的分布式拒绝服务（DDoS）攻击，导致受影响网站的服务不稳定或不可用。Cloudflare正在努力应对这次攻击，并已采取措施以减轻攻击对其客户的影响。

消息来源：

https://thehackernews.com/2024/02/midnight-blizzard-and-cloudflare.html

科技巨头惠普遭黑客攻击

科技巨头惠普企业公司（HP Enterprise）遭到黑客攻击。据称，这次攻击是由黑客组织Lapsus$发起的，他们声称已经成功窃取了HP Enterprise的大量敏感数据。这些数据涉及客户信息、内部文档和源代码等。HP Enterprise表示已经在调查中发现了异常活动，并采取了必要的措施来应对此次攻击。

消息来源：

https://thehackernews.com/2024/01/tech-giant-hp-enterprise-hacked-by.html

适用于 Linux 的新 Bifrost 恶意软件模仿 VMware 域进行规避

Bifrost恶意软件在一个攻击活动中被发现，攻击者试图通过欺骗VMware vCenter服务器来隐藏其存在。这种恶意软件使用了VMware vCenter API向受感染的服务器发送指令，从而混淆了安全团队的视线。此外，Bifrost还具有针对Linux系统的远程访问功能，允许攻击者在受感染的系统上执行各种命令。这种恶意软件的发现提醒了安全专家需要密切关注恶意软件的不断演变，以及它们可能采用的新技术来逃避检测。

消息来源：

https://www.bleepingcomputer.com/news/security/new-bifrost-malware-for-linux-mimics-vmware-domain-for-evasion/

利用AI模型进行后门植入

通过在Hugging Face平台上发布恶意模型，骗取用户下载并在其机器上运行，从而对用户的设备进行后门攻击。这些模型被设计成看似有用的工具，但实际上它们会在后台执行恶意代码，以获取用户的敏感信息或实施其他恶意活动。这项发现引发了对AI模型安全性的担忧，以及对公共模型库管理和审查流程的需求。提醒用户在下载和使用AI模型时要格外谨慎，尤其是从未经验证的来源获取模型时要保持警惕。

消息来源：

https://www.bleepingcomputer.com/news/security/malicious-ai-models-on-hugging-face-backdoor-users-machines/

利用windows零日漏洞获取内核权限

Lazarus黑客组织近期利用了一个Windows零日漏洞，成功获取了内核权限。这个漏洞的利用使攻击者能够提升其在受影响的Windows系统中的权限级别，从而可能执行恶意操作或完全控制系统。Lazarus黑客组织一直以来都在进行各种类型的网络攻击活动。这次事件的曝光提醒用户及时应用补丁以保护其系统免受潜在的威胁。

消息来源：

https://www.bleepingcomputer.com/news/security/lazarus-hackers-exploited-windows-zero-day-to-gain-kernel-privileges/

朝鲜恶意PyPI软件包攻击日本

日本警方发出警告，称朝鲜黑客制作了恶意PyPI软件包。这些软件包被伪装成合法的Python程序库，但实际上含有恶意代码。这些恶意代码可能被用于窃取敏感信息或执行其他恶意活动。警方呼吁用户谨慎使用PyPI软件包，并采取加强的安全措施以保护其系统免受潜在的威胁。

消息来源：

https://www.bleepingcomputer.com/news/security/japan-warns-of-malicious-pypi-packages-created-by-north-korean-hackers/

IDAT使用隐写术来推送 Remcos RAT

一种新版本的iDaT加载器被发现利用隐写术传播Remcos RAT（远程访问工具）。这种恶意加载器利用隐写术将Remcos RAT的安装程序隐藏在图像文件中，并将其传递到目标系统上。一旦受害者打开了被感染的图像文件，Remcos RAT便会被释放，开始在系统上执行恶意活动。安全专家敦促用户保持警惕，避免打开来自未知来源的图像文件，并定期更新其防病毒软件，以确保系统安全。

消息来源：

https://www.bleepingcomputer.com/news/security/new-idat-loader-version-uses-steganography-to-push-remcos-rat/

Oracle WebLogic Server JNDI注入漏洞

WebLogic是Oracle公司研发的用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。Oracle WebLogic ServerJNDI注入漏洞（CVE-2024-20931），可绕过CVE-2023-21839补丁，导致未经身份验证的攻击者通过T3和IIOP协议进行网络访问，可能导致服务器被接管或未授权访问。

影响版本：

• Oracle WebLogic Server 12.2.1.4.0

• Oracle WebLogic Server 14.1.1.0.0

Outlook远程代码执行漏洞

Microsoft Office Outlook是一款功能强大的个人信息管理工具，集成了邮件管理、日历、任务和联系人等功能。在Microsoft Outlook桌面版中存在一个严重的远程代码执行漏洞。攻击者可以利用此漏洞绕过Office的安全措施，在编辑模式下打开文件，同时可能在预览窗格中发生。成功利用该漏洞可能导致受害者的NTLM哈希泄露以及远程代码执行。为确保系统安全，建议尽快应用相关的安全补丁或更新，并加强对Outlook程序的监控和审计。

影响产品：

• Microsoft Office LTSC 2021

• Microsoft 365 企业版

• Microsoft Outlook 2016

• Microsoft Office 2019

Apache OFBiz目录遍历漏洞

Apache OFBiz是一个广受欢迎的电子商务平台，它基于最新的J2EE/XML规范和技术标准，提供了一个多层、分布式的框架，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的电子商务类WEB应用系统。Apache OFBiz中存在一个路径遍历漏洞（CVE-2024-25065）。Apache OFBiz版本18.12.12之前，由于在LoginWorker::hasBasePermission中未充分验证用户输入的 contextPath导致存在路径遍历漏洞，威胁者可利用该漏洞绕过身份验证机制，导致未授权访问。

影响版本：

Apache OFBiz < 18.12.12

Bricks Builder命令执行漏洞

Bricks Builder是一个广受欢迎的WordPress开发主题，在1.9.6及之前的版本中存在一个严重的命令执行漏洞。这个漏洞源自于一个叫做prepare_query_vars_from_settings()的函数，它在执行eval函数时未正确检查用户输入的权限，这使得未经身份验证的攻击者可以利用这个漏洞在托管了WordPress网站的服务器上执行任意代码，最终可能控制服务器。

影响版本：

WordPress:Bricks Builder ≤ 1.9.6

aiohttp路径遍历漏洞

aiohttp 是一个用于异步HTTP请求的Python框架和库，它建立在 asyncio 之上，提供了易于使用的API来处理HTTP请求和响应。aiohttp 支持客户端和服务器端操作，适用于构建高性能的网络应用程序。当使用aiohttp作为web服务器并配置静态路由时，需要指定静态文件的根路径。选项“follow_symlinks”可用于确定是否遵循静态根目录之外的符号链接，当该选项设置为True时，不会验证给定的文件路径是否在根目录中，可能导致目录遍历漏洞，从而可能导致未经授权访问系统上的任意文件。

影响版本：

1.0.5 < Aiohttp < 3.9.2

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。