网络安全资讯周报（02/26- 03/01）

• Thales陷入困境：其数据泄露事件可能对国家安全和国际关系造成冲击 

• Cutout.Pro遭网络攻击，2000 万用户数据信息泄露 

• Blackcat勒索软件集团声称在医疗保健网络攻击中窃取了6TB数据 

• U-Haul 报告 67000 名客户受到数据泄露的影响 

• Cencora 在网络安全事件中披露数据泄露事件 

2月25日，加拿大联邦和国家执法机构加拿大皇家骑警 (RCMP) 遭受网络攻击。皇家骑警还通知了隐私专员办公室 (OPC)。加拿大皇家骑警发言人在向加拿大广播公司新闻发表的一份声明中表示：“情况正在迅速发展，但目前，加拿大皇家骑警的行动没有受到影响，加拿大人的安全也没有受到任何已知的威胁。” “虽然如此严重的违规行为令人震惊，但快速的工作和采取的缓解策略表明加拿大皇家骑警为检测和防止此类威胁所采取的重要步骤。”皇家骑警表示，不知道对外国警察和情报部门有任何影响。加拿大执法机构没有提供有关网络攻击的详细信息

原文链接：

https://securityaffairs.com/159568/hacking/cyber-attack-hit-royal-canadian-mounted-police.html

2月26日，美国、加拿大、英国、澳大利亚和新西兰的网络安全和执法机构发布联合警报，呼吁紧急关注与 APT29/Cozy Bear/Midnight Blizzard（一个臭名昭著的黑客组织）相关的最新策略、技术和程序 (TTP)。俄罗斯情报部门（SVR）。据观察，SVR 参与者并没有利用软件漏洞来攻击本地基础设施，而是发起暴力破解和密码喷射攻击来破坏服务帐户，以及针对前员工的休眠帐户来访问目标组织的环境。此外，还发现臭名昭著的 APT 组织使用令牌访问受害者帐户，并使用一种称为“MFA 轰炸”或“MFA 疲劳”的技术绕过多重身份验证 (MFA)。初次访问后，攻击者通常会将自己的设备注册到受害者的网络，并部署复杂的攻击后工具。此外，黑客还依靠住宅代理来隐藏其恶意活动，使流量看起来像是来自住宅宽带客户的 IP 地址。

原文链接：https://www.securityweek.com/russian-cyberspies-targeting-cloud-infrastructure-via-dormant-accounts/

原文链接：https://www.bleepingcomputer.com/news/security/labhost-cybercrime-service-lets-anyone-phish-canadian-bank-users/

2月27日， 美国联邦调查局与国家安全局、美国网络司令部及国际合作伙伴联合发布警告称，俄罗斯军方黑客正通过被入侵的Ubiquiti EdgeRouters来逃避检测。这些黑客属于俄罗斯总参谋部情报总局（GRU）下的26165军事单位，也被称为APT28和Fancy Bear。他们利用这些受到攻击的路由器创建了大型的僵尸网络，以便窃取登录凭证、搜集NTLMv2认证信息，并用作恶意流量的中转站。联合警告指出，EdgeRouters通常以默认的登录凭据出售，并且为了方便无线互联网服务提供商（WISPs）的使用，这些路由器的防火墙保护非常有限或几乎不存在。除非用户进行设置，否则EdgeRouters不会自动更新其固件。

原文链接：https://www.bleepingcomputer.com/news/security/russian-hackers-hijack-ubiquiti-routers-to-launch-stealthy-attacks/

2月27日据外媒报道，网络安全研究人员近期发现 WordPress  LiteSpeed Cache 插件中存在一个安全漏洞，该漏洞被追踪为 CVE-2023-40000，未经身份验证的威胁攻击者可利用该漏洞获取超额权限。Patchstack 研究员 Rafie Muhammad 表示，LiteSpeed Cache 插件中存在未经身份验证的全站存储的跨站脚本安全漏洞，可能允许任何未经身份验证的威胁攻击者通过执行单个 HTTP 请求，在 WordPress 网站上获取超额权限，从而获取受害者的敏感信息。WordPress 方面指出，CVE-2023-40000 安全漏洞出现的原因是缺乏用户输入”消毒"和转义输出，安全漏洞已于 2023 年 10 月在 5.7.0.1 版本升级时得到了解决。

原文链接：https://thehackernews.com/2024/02/wordpress-litespeed-plugin.html

2023年11月开始活跃，程序采用一系列复杂的技术来规避检测、进行秘密执行并确保其在受感染主机中的持久性。程序运行后，加载器将扫描Ntdll，创建一个函数hash表，所有敏感接口都直接通过系统进行调用。随后，存储于.data节的下一阶段载荷将被解密。TimbreStealer还将检查系统是否为攻击者的目标环境以及当前程序是否在沙箱环境中执行，同时提取多个嵌入的子模块负载。最终，TimbreStealer的核心负载可从机器收集各种信息并将数据传输至外部网站，收集的信息涉及不同浏览器的凭证存储文件、操作系统信息、特定扩展名的文件，此外，TimbreStealer还会捕获常用软件的网络数据包、查找远程桌面软件等。研究人员表示，此次攻击活动使用了地理位置限定技术，仅针对墨西哥的用户，任何从其他位置联系有效负载站点的尝试都将返回空白PDF文件，而不是恶意文件。

原文链接：https://thehackernews.com/2024/02/timbrestealer-malware-spreading-via-tax.html

2月27日，一种名为Xeno RAT的“精心设计”的远程访问木马 (RAT)已在 GitHub 上发布，其他参与者无需额外付费即可使用该木马。该开源 RAT 采用 C# 编写，与 Windows 10 和 Windows 11 操作系统兼容，配备了“用于远程系统管理的全面功能”，其开发人员（其名称为 moom825）表示。它包括 SOCKS5 反向代理和录制实时音频的功能，并结合DarkVNC 的隐藏虚拟网络计算 (hVNC) 模块，使攻击者能够远程访问受感染的计算机。值得注意的是，moom825 也是另一种名为DiscordRAT 2.0的基于 C# 的 RAT 的开发者，该 RAT 已由威胁行为者在名为 node-hide-console-windows 的恶意 npm 包中分发，正如ReversingLabs 于 2023 年 10 月披露的那样。

原文链接：https://thehackernews.com/2024/02/open-source-xeno-rat-trojan-emerges-as.html?&web_view=true

据3月1日外媒报道，在最近的一起网络事件中，一名与联邦调查局（FBI）和空中客车公司（Airbus）等高知名度泄密事件有关的黑客据称泄露了约 24GB 的数据，这些数据据称与国防承包商泰雷兹公司（Thales）有关。据称，臭名昭著的 USDoD 黑客参与了此次事件，在暗网上，USDoD 声称泄露了据称属于泰雷兹公司的约 24GB 数据。报告称，美国国防部的黑客可能利用了 Infostealer 恶意软件潜入泰雷兹公司，利用被泄露的凭证外流敏感信息。泄露的数据可能包含与国防合同、专有技术和人事记录有关的机密信息，数据泄露事件可能会对国家安全和国际关系造成冲击。

原文链接：

https://thecyberexpress.com/thales-data-breach/

2月29日，人工智能图像编辑工具 Cutout.Pro 近期发生一起严重数据泄露事件，约 2000 万会员用户的电子邮件地址、散列和加盐密码、IP 地址以及姓名等敏感信息被放在数据泄露论坛上出售。化名为 "KryptonZambie "的威胁犯罪分子在 BreachForums 黑客论坛上分享了一个链接，该链接指向一个CSV 文件（从 Cutout 窃取的 5.93 GB 数据），CSV 文件中有一个由 4140 万条记录组成的数据库转储，其中 2000 万条记录由唯一的电子邮件地址组成。据悉，数据泄露监控和警报服务 Have I Been Pwned (HIBP) 已经将 Cutout 用户数据泄露事件添加到其目录中，并确认泄露的数据集包括 19972829 Cutout 用户的敏感信息。威胁犯罪分子的泄密行为将使被盗数据在更大范围内流通，无疑会对 Cutout 造成严重影响。目前，虽然 Cutout.Pro 方面没有通过官方声明核实此次数据泄露事件，但多家媒体也已经证实，数据泄露中列出的电子邮件与 Cutout.Pro 的合法用户完全匹配。

原文链接：

https://www.bleepingcomputer.com/news/security/20-million-cutoutpro-user-records-leaked-on-data-breach-forum/

2月29日，Blackcat勒索软件组织声称在最近的网络攻击中窃取了Change Healthcare公司的大量数据。该组织的一名成员在其数据泄露网站上发布了一份声明，声称从UnitedHealth窃取了6TB的数据，该组织声称这些数据包括Change Healthcare所有客户的 "高度选择性数据"，其中包括Medicare、CVS Caremark、Health Net和美国军队医疗保健机构Tricare。该组织分享了部分数据的截图，作为数据被盗的证据，但尚未证实这些数据来自UnitedHealth。该组织还声称窃取了 Change Healthcare 应用程序的源代码,声称窃取了数百万患者的数据，包括医疗记录、保险记录、牙科记录、支付信息、索赔信息和患者的 PHI，其中包括健康数据、联系信息和社会安全号。

原文链接：

https://www.pjats.com/downloads/Notice.pdf

2月28日，U-Haul 是一家位于亚利桑那州的卡车、拖车和自助仓储租赁公司，去年年底已开始向 67,000 名客户通报数据泄露事件，该事件导致他们的个人信息遭到泄露。该漏洞发生在 12 月 5 日，当时未经授权的攻击者以某种方式使用合法凭据访问U-Haul经销商和团队成员用来跟踪客户预订和查看客户记录的系统。U-Haul 发现这一事件后，立即启动了响应协议，并与一家网络安全公司一起对此次泄露事件展开了调查。调查显示，某些客户记录在此次泄露中被访问，包括居住在缅因州的 136 名个人的姓名和驾驶执照信息。U-Haul在给受影响个人的通知信中指出，此次违规事件涉及的客户记录系统未连接到支付系统，因此威胁行为者没有访问任何银行卡数据。然而，对于租赁公司来说，这种违规行为并不是第一次。

原文链接：https://www.darkreading.com/cyberattacks-data-breaches/67k-customers-impacted-by-data-breach-according-to-u-haul

2月27日，Cencora公司（COR.N）披露了一起网络安全事件，该药品分销商的信息系统数据被盗，其中一些可能包含个人信息。Cencora 在一份监管文件中说，该未经授权的活动于 2 月 21 日被发现，公司已立即采取措施加以控制。该公司表示，已在执法部门、网络安全专家和外部顾问的协助下展开调查。Cencora 表示，此次事件未对其运营造成重大影响，其信息系统仍在继续运行。该公司尚未确定该事件是否可能对其财务或运营产生重大影响。

原文链接：https://www.reuters.com/business/healthcare-pharmaceuticals/cencora-says-hit-by-cyber-attack-its-information-systems-2024-02-27/