烽火狼烟丨暗网数据及攻击威胁情报分析周报（04/08-04/12）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件265起，同比上周增加16.22%。本周内贩卖数据总量共计27427.6万条；累计涉及28个主要地区，涉及9种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及贸易、通信、博彩等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期恶意软件变种不断增多，存在许多伪装为正常应用的恶意应用，个人在安装软件时应当选择官方下载渠道避免中招；本周内出现的安全漏洞以Apache Zeppelin shell 代码注入漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8751条，主要涉及命令注入、漏洞利用、扫描防护等类型。

美国电信巨头泄露7300 万客户信息

泄露时间：2024-04-11

泄露内容：AT&T是美国最大的移动和互联网服务提供商之一，其5G业务覆盖美国2.9亿人，美国电信巨头表示，监测到暗网上泄露了2019年之前的7300万的客户信息，这些信息包括地址、电子邮件和姓名。

泄露数据量：7300万

关联行业：电信

地区：美国

印度消费电子公司 boAt 百万客户信息泄露

泄露时间：2024-04-11

泄露内容：boAt公司是印度领先的无线音频和可穿戴设备制造商，黑客ShopifyGUY在暗网上发布了2GB 的文件，这些文件包含约 750 万条与 boAt 客户相关的个人身份信息 (PII)，包括姓名、地址、电话号码、电子邮件等。

泄露数据量：750万

关联行业：电子

地区：印度

美国司法局遭到供应商信息泄露

泄露时间：2024-02-29

泄露内容：美国咨询公司Greylock McKinnon Associates拥有司法部341650人的个人信息，黑客通过攻击美国咨询公司，获取了341650人的信息，其中包括个人的姓名、出生日期、地址。

泄露数据量：30万

地区：美国

苹果更新间谍软件警报系统

苹果修改了有关其雇佣间谍软件威胁通知系统的文档，并提到当用户成为此类攻击的单独目标时，它会向用户发出警报。苹果公司表示：“虽然间谍软件攻击的目标是极少数人——通常是记者、活动家、政治家和外交官——但这种攻击仍在持续进行，而且是全球性的。雇佣间谍软件攻击的极高成本、复杂性和全球性使其成为当今存在的最先进的数字威胁之一。”

消息来源：

https://thehackernews.com/2024/04/apple-expands-spyware-alert-system-to.html

Python 的 PyPI 揭开了它的密码

GitGuardian 报告发现了超过 11,000 个暴露的独特密码，其中 1,000 个在 2023 年被添加到 PyPI 中，更令人痛心的是，在2017年出台的密码中，有近100个在6-7年后仍然有效。Python表示，他们没有能力检查所有密码的有效性。尽管如此，还是发现了 300 多个独特且有效的秘密。虽然这对不经意的观察者来说有点令人震惊，而且不一定对随机的 Python 开发人员构成威胁，但对这些软件包的所有者来说，这是一个未知程度的威胁。

消息来源：

https://thehackernews.com/2024/04/gitguardian-report-pypi-secrets.html

Google Chrome 添加了 V8 沙箱 - 针对浏览器攻击的新防御

Google Chrome 引入被描述为 JavaScript 和 WebAssembly 引擎的轻量级进程内沙箱V8 Sandb，Google V8 安全技术负责人 Samuel Groß 表示，该沙箱旨在防止“V8 中的内存损坏在主机进程内传播”，这个想法是通过将 V8 执行的代码限制在进程虚拟地址空间（“沙箱”）的子集，并与进程的其余部分隔离来限制 V8 漏洞的影响。

消息来源：

https://thehackernews.com/2024/04/google-chrome-adds-v8-sandbox-new.html

CISA 公开其“下一代恶意软件”分析系统

CISA发布了新版本的下一代恶意软件分析平台：Malware Next-Gen，用于检查恶意软件样本中是否存在可疑工件，它最初的设计目的是允许美国联邦、州、地方、部落和地区政府机构提交可疑文件并通过静态和动态分析工具自动进行恶意软件分析。现在允许公众提交恶意软件样本以供 CISA 分析，CISA 网络安全执行助理主任 Eric Goldstein 认为这个新平台将为国家网络安全和关键基础设施支持工作做出贡献。

消息来源：

https://www.bleepingcomputer.com/news/security/cisa-makes-its-malware-next-gen-analysis-system-publicly-available/

利用GitHub 的虚假人气骗局诱骗开发人员下载恶意软件

攻击者使用流行的名称和主题创建恶意存储库，使用自动更新和假星等技术来提高搜索排名并欺骗用户。这个想法是操纵 GitHub 中的搜索排名，当用户根据最新更新对结果进行过滤和排序时，将威胁行为者控制的存储库置于顶部，并通过虚假帐户添加虚假明星来提高受欢迎程度。在此过程中，攻击为欺诈披上合法性和信任的外衣，从而欺骗开发人员下载它们。

消息来源：

https://thehackernews.com/2024/04/beware-githubs-fake-popularity-scam.html

YouTube 游戏破解视频为恶意软件提供服务

多个 YouTube 频道宣传破解和盗版视频游戏，其通过在视频描述中添加恶意链接，充当传播 Lumma Stealer、Stealc 和 Vidar 等信息窃取程序的渠道。这些视频旨在向最终用户展示如何免费下载软件或升级视频游戏等操作，但视频描述中的链接会导致恶意软件。

消息来源：

https://thehackernews.com/2024/04/mispadu-trojan-targets-europe-thousands.html

利用MAGENTO 缺陷被用来部署隐藏在 XML 中的持久后门

Magento是一个用 PHP 编写的电子商务平台，Sansec 研究人员在数据库中发现了一个精心设计的布局模板，用于自动注入 XML 代码，研究人员观察到攻击者将 Magento 布局解析器与 beberlei/assert 默认安装的软件包组合起来执行系统命令，并敦促基于 Magento 的电子商务网站的管理员尽快更新到版本 2.4.6-p4、2.4.5-p6 或 2.4.4-p7，并扫描其网站是否存在任何入侵迹象。

消息来源：

https://securityaffairs.com/161534/hacking/magento-vulnerability-actively-exploited.html

eXotic Visit间谍软件活动针对印度和巴基斯坦的Android 用户

一个名为 eXotic Visit 的活跃 Android 恶意软件活动主要针对南亚用户，特别是印度和巴基斯坦的用户，eXotic Visit使用Sim Info 、Telco DB 、消息服务程序等应用程序进行敏感信息收集。XploitSPY早在 2020 年 4 月就由名为RaoMK的用户上传到 GitHub ，与一家名为 XploitWizer 的印度网络安全解决方案公司相关，该间谍活动可能针对巴基斯坦或印度区域用户。

消息来源：

https://thehackernews.com/2024/04/exotic-visit-spyware-campaign-targets.html

新的恶意软件活动通过 WSF 文件传播

网络安全研究人员发现了新的 Raspberry Robin 活动，通过严重混淆的 WSF 文件充当下载程序，使用curl 命令从远程服务器检索主 DLL 有效负载，但在此之前会执行一系列反分析和反虚拟机评估，以确定它是否正在运行。如果 Windows 操作系统存在防病毒进程，它还可以终止执行。它还配置了 Microsoft Defender 防病毒排除规则，通过将整个主驱动器添加到排除列表并防止其被扫描来避开检测。

消息来源：

https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html

Apache Zeppelin shell 代码注入漏洞

Apache Zeppelin是一个开源的交互式数据分析和可视化平台，用户可以使用多种编程语言（如Scala、Python、R等）编写和运行数据分析代码，并实时查看分析结果。Apache Zeppelin shell存在代码注入漏洞，攻击者可利用Zeppelin 中的shell功能执行任意命令。

影响产品：

0.10.1 <= Apache Zeppelin < 0.11.1

Fortinet 推出针对 FortiClient Linux 漏洞的安全补丁

FortiClientLinux 中的代码生成控制不当，允许未经身份验证的攻击者通过欺骗 FortiClientLinux 用户访问恶意网站来执行任意代码。该漏洞的编号为CVE-2023-45590，目前Fortinet已经发布补丁来解决这一漏洞。

影响产品：

• FortiClientLinux 版本 7.0.3 至 7.0.4 和 7.0.6 至 7.0.10（升级到 7.0.11 或更高版本）

• FortiClientLinux 版本 7.2.0（升级到 7.2.1 或更高版本）

Rust 存在严重漏洞

Rust 标准库中的一个关键安全漏洞可能会被利用来针对 Windows 用户并发起命令注入攻击。在 Windows 上使用 Command API 调用批处理文件（带有 bat 和 cmd 扩展名）时，Rust 标准库没有正确转义参数。能够控制传递给生成进程的参数的攻击者可以通过绕过转义来执行任意 shell 命令。

影响产品：

Rust<  1.77.2

LG 智能电视存在允许 root 访问的漏洞

LG 智能电视上运行的 webOS 已被披露存在多个安全漏洞，这些漏洞可被用来绕过授权并获得设备的 root 访问权限。这使得未经身份验证的攻击者可以利用这个漏洞在托管了WordPress网站的服务器上执行任意代码，最终可能控制服务器。

影响产品：

• 在 LG43UM7000PLA 上运行的 webOS 4.9.7 - 5.30.40

• webOS 5.5.0 - 04.50.51 在 OLED55CXPUA 上运行

• webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 OLED48C1PUB 上运行

• webOS 7.3.1-43 (mullet-mebin) - 03.33.85 在 OLED55A23LA 上运行

Spectre v2攻击影响英特尔CPU上的Linux系统

CVE-2024-2201允许未经身份验证的攻击者通过利用推测性执行来读取任意内存数据，绕过目前旨在隔离特权级别的安全机制。现在建议禁用 eBPF)功能，启用eIBRS，并启用管理员模式执行保护 (SMEP)来缓解Spectre v2攻击。

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。