网络安全资讯周报（03/04- 03/08）

• 美国运通信用卡遭遇第三方数据泄露 

• 律师事务所Houser LLP报告数据泄露影响超过 325000 人 

• 数据库暴露导致世界科技巨头的2FA代码泄露 

• Golden Corral连锁餐厅数据泄露影响18万人 

在上周的两份报告中暴露了其基础设施后，Predator 间谍软件平台的运营商在拆除了一系列用于管理该工具的交付服务。然而，据Recorded Future 的 Insikt 集团研究人员揭露的间谍软件重建的基础设施，表明 Predator 可能在至少 11 个国家积极使用，包括安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯、特立尼达和多巴哥。Predator专为 Android 和 iOS 设备设计，其隐秘渗透功能使其能够在用户不知情的情况下访问设备的麦克风、摄像头和敏感数据。这种多功能性，加上其难以捉摸的性质，使 Predator 成为恶意行为者手中的强大工具。

原文链接：

https://securityonline.info/predator-spyware-spreads-11-countries-now-at-risk/

CISA，FBI和MS-ISAC发布了一份关于Phobos勒索软件的联合网络安全指南，该活动旨在发布一些针对网络防御者的咨询，详细介绍了各种勒索软件变体和勒索软件威胁行为者。这些防御指南内容包括了最近和历史上观察到的TTPs和IOCs，以帮助组织防范勒索软件。Phobos勒索软件是一种RaaS模式的勒索软件，自 2019 年 5 月以来一直活跃，攻击目标包括政府、教育、紧急服务、医疗保健和其他关键基础设施部门。联合网络安全咨询提供了Phobos勒索软件的技术细节，包括其分发方法，部署和安装过程，远程控制能力，以及一些反分析技术。

原文链接：https://securityaffairs.com/159822/cyber-crime/cisa-phobos-ransomware-attacks.html

原文链接：https://securityonline.info/noname05716-russias-ddos-disruptors-target-the-west/

据思科 Talos 报道，GhostSec和Stormous勒索软件团伙正在联合针对多个国家的各个组织开展勒索软件活动。GhostSec 是一个出于经济动机的威胁行为者，也参与与黑客行动主义相关的行动。该组织与黑客组织 Ghost Security Group 没有联系，该组织主要专注于反恐工作并针对亲 ISIS 网站。研究人员最新的报告指出，两个黑客团伙GhostSec和Stourmous正在联合进行一场勒索软件攻击。这场攻击利用了新的GhostLocker2.0勒索软件，该软件是GhostLocker勒索软件的Golang变体。这两个团伙启动了一个名为STMX_GhostLocker的勒索软件即服务(RaaS)运营，为其附属成员提供多种选项。这些组织在其 Telegram 频道中披露，勒索软件攻击袭击了古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国的组织和印度尼西亚。研究人员报告称，GhostSec 团队继续以以色列的工业系统、关键基础设施和技术公司为目标。GhostSec 是现代五大家族组织的成员，该组织包括ThreatSec、Stormous、Blackforums和SiegedSec。该组织的活动包括拒绝服务 (DoS) 攻击、勒索软件攻击和黑客活动。

原文链接：https://securityaffairs.com/160066/cyber-crime/ghostsec-stourmous-ransomware.html

据韩国国家情报院(NIS)透露，朝鲜黑客于2023年12月和今年2月侵入了韩国的两家芯片设备制造商的服务器，窃取了产品设计图和设施照片。此行为被认为是朝鲜为了规避国际制裁并自行生产用于武器计划的半导体芯片所采取的行动。NIS表示，自去年底以来，韩国公司一直是朝鲜黑客的主要目标，并呼吁加强安全保障。

原文链接：https://www.darkreading.com/cyberattacks-data-breaches/seoul-spies-say-north-korea-hackers-stole-semiconductor-secrets

一种名为 CryptoChameleon 的新网络钓鱼工具包被用于针对联邦通信委员会 (FCC) 员工，该工具包使用专门为 Okta 制作的单点登录 (SSO) 页面，这些页面与原始页面非常相似。该活动还针对 Binance、Coinbase、Kraken 和 Gemini 等加密货币平台的用户和员工，使用冒充 Okta、Gmail、iCloud、Outlook、Twitter、Yahoo 和 AOL 的网络钓鱼页面。攻击者精心策划了复杂的网络钓鱼和社会工程攻击，包括电子邮件、短信和语音网络钓鱼，以欺骗受害者在网络钓鱼页面上输入敏感信息，例如用户名、密码，在某些情况下甚至包括带照片的身份证件。Lookout研究人员发现的网络钓鱼操作与Scattered Spider黑客组织在 2022 年 进行的 Oktapus 活动类似，但没有足够的证据证明其归属。

原文链接：https://www.bleepingcomputer.com/news/security/hackers-target-fcc-crypto-firms-in-advanced-okta-phishing-attacks/l

黑客组织 TA577 最近改变了策略，使用网络钓鱼电子邮件窃取NT LAN Manager (NTLM) 身份验证哈希值来执行帐户劫持。电子邮件安全公司 Proofpoint 报告称，其发现 TA577 在 2024 年 2 月 26 日至 27 日期间至少有两次活动使用了这种技术。这些活动针对全球数百个组织，发送了数万条消息。攻击者利用线程劫持，将消息伪装成对之前电子邮件的回复，并包含为每个收件人量身定制的压缩 HTML 附件。这些附件一旦被打开，就会触发系统尝试连接到外部的Server Message Block(SMB)服务器。TA577的目的是从SMB服务器获取NTLMv2挑战/响应对，以窃取NTLM哈希值。在某些情况下，根据所采取的安全措施，被盗的哈希值可能使攻击者能够升级权限、劫持帐户、访问敏感信息、规避安全产品以及在被破坏的网络中横向移动。

原文链接：https://www.bleepingcomputer.com/news/security/hackers-steal-windows-ntlm-authentication-hashes-in-phishing-attacks/

研究人员在Hugging Face平台上发现了超过100个恶意的人工智能/机器学习(AI/ML)模型。这些模型中的一些能够在受害者的机器上执行代码，为攻击者提供了持久的后门。研究人员表示，这些模型的载荷使攻击者能够在受害者的机器上获得一个shell，从而完全控制受害者的机器，这被通常称为“后门”。这种无声渗透可能会授予对关键内部系统的访问权限，并为大规模数据泄露甚至企业间谍活动铺平道路，不仅影响个人用户，还可能影响全球的整个组织，同时让受害者完全不知道自己的已经受到威胁。具体来说，这些恶意模型启动了一个反向shell连接到210.117.212[.]93，该IP 地址属于韩国研究环境开放网络(KREONET)。已观察到具有相同负载的其他存储库连接到其他 IP 地址。

原文链接：https://thehackernews.com/2024/03/over-100-malicious-aiml-models-found-on.html

据研究人员披露，Lazarus组织利用了Windows AppLocker驱动程序(appid.sys)的一个未知的零日漏洞，一旦利用该漏洞，威胁行为者就可以进行各种恶意活动，包括破坏软件、隐藏感染指标和内核模式遥测禁用。该漏洞被微软标记为CVE-2024-21338，并在2月份的补丁更新中修复。该漏洞存在于Windows AppLocker驱动程序的IOCTL分发器中，可以让攻击者在内核中执行任意回调函数，从而控制重要的功能。Lazarus组织利用该漏洞，增强了他们自己的FudModule rootkit程序，该程序是一个完全在用户空间执行的数据型rootkit程序，可以直接操作内核对象，破坏各种内核安全机制。与之前使用较为显眼的BYOVD(自带易受攻击的驱动程序)技术不同，Lazarus组织利用该零日漏洞进行了更为隐蔽的攻击。

原文链接：https://cybersecuritynews.com/lazarus-windows-kernel-exploit/

美国运通警告客户，在商户处理器遭到黑客攻击后，信用卡在第三方数据泄露中暴露。该事件并非由美国运通卡的数据泄露造成，而是由处理美国运通卡会员数据的商家处理器造成。此次泄露导致客户的美国运通卡帐号、姓名和卡过期数据被黑客获取。目前尚不清楚有多少客户受到影响、哪个商家处理器遭到破坏以及攻击发生的时间。美国运通已开始调查此事，并已通知相关监管机构和受影响的客户。公司建议客户在接下来的12至24个月内密切审查账户对账单，并报告任何可疑活动。露事件可能会对国家安全和国际关系造成冲击。

原文链接：

https://www.bleepingcomputer.com/news/security/american-express-credit-cards-exposed-in-third-party-data-breach/#google_vignette

专门为知名金融机构提供服务的美国律师事务所 Houser LLP 表示，2023 年 5 月发现的一次系统漏洞暴露了超过 325000 人的个人数据，可能包括信用卡号等敏感信息。这些数据包括姓名以及社会安全号码、驾驶执照号码、个人纳税识别号码、金融账户信息和医疗信息中的一项或多项。在给可能受到此次泄露影响的人们的通知中，该公司提供了有关其随后采取的网络安全措施的详细信息：“这些额外的保护措施包括但不限于部署端点检测和响应工具 RocketCyber。我们还为 Outlook 365、Net Extender VPN 隧道和远程桌面连接实施了多重身份验证。”“我们还添加了勒索软件检测软件，实施了网络钓鱼模拟软件的使用，并进行了漏洞评估和渗透测试。”

原文链接：

https://therecord.media/houser-law-firm-reports-data-breach

YX International是一家生产移动网络设备和提供短信转发服务的公司。短信转发服务可以帮助将及时的短信信息发送到不同地区和运营商的目的地，例如Facebook和WhatsApp。有研究人员发，该公司将其一个内部数据库暴露在互联网上，没有密码，任何人都可以通过浏览器访问其中的敏感数据。暴露的数据库包括发送给用户的短信内容，包括一些世界上最大的科技和在线公司的一次性密码和密码重置链接，包括 Facebook 和 WhatsApp、谷歌、TikTok 等。该数据库的每月日志可以追溯到 2023 年 7 月，并且规模每分钟都在增长。该数据库目前已被保护起来。

原文链接：

https://techcrunch.com/2024/02/29/leaky-database-two-factor-codes/

据美国餐饮连锁企业 Golden Corral 披露，183272人的个人信息在其一次数据泄露中被盗。该公司表示，该事件于 2023 年 8 月 15 日发现，并导致某些公司运营中断。随后的调查确定，威胁行为者访问了某些系统，并在 2023 年 8 月 11 日至 2023 年 8 月 15 日期间获取了与现任和前任员工及受益人相关的某些数据。根据调查结果，泄露的数据中包括姓名、社会安全号码、驾驶执照号码、财务账户信息、医疗信息、健康保险信息和凭证等信息。

原文链接：https://www.securityweek.com/data-breach-at-golden-corral-impacts-180000-employees/