烽火狼烟丨暗网数据及攻击威胁情报分析周报（04/15-04/19）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件250起，同比上周减少5.66%。本周内贩卖数据总量共计177396.4258万条；累计涉及12个主要地区，涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及贸易、服务、金融等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期针对医疗机构的勒索攻击不断增多，影响恶劣且具破坏力，严重者甚至危及患者生命安全。本周内出现的安全漏洞以PuTTY SSH客户端漏洞影响程度较大；内部安全运营中心共发现恶意攻击来源IP 9129条，主要涉及命令注入、漏洞利用、Log4j2攻击等类型。

01.

重点数据泄露事件

密歇根州医疗机构数据泄露

泄露时间：2024-04-18

泄露内容：由于勒索软件，攻击者获取了美国密歇根州医疗机构Cherry Street Services客户的信用卡号、安全代码和密码等财务信息。到目前为止，已经确定了184372名潜在受害者，目前没有具体说明攻击的确切性质和涉及的勒索软件组织。

泄露数据量：184372

关联行业：医疗

地区：美国

Numotion数据泄露

泄露时间：2024-04-17

泄露内容：Numotion是美国一家医疗设备制造公司,该公司在近期发现黑客访问了其计算机系统上存储的机密信息，该事件导致消费者的姓名、出生日期、社会安全号码和就业信息遭到泄露。

泄露数据量：未公布

关联行业：医疗

地区：美国

Asantee Games数据泄露

泄露时间：2024-04-18

泄露内容：Asantee Games是一家位于巴西的游戏开发公司，其旗舰项目Magic Rampage 游戏下载量累计超1000万次。由于其MongoDB数据库平台配置错误导致其可以被未授权访问。泄露的数据包括：玩家的用户名、电子邮件、设备数据和加密的管理员凭据，数据量约为1400万。暴露的用户名和电子邮件可能会被用来进行身份盗窃、实施诈骗等。

泄露数据量：1400万

关联行业：娱乐

地区：巴西

Omni Hotels数据泄露

泄露时间：2024-04-16

泄露内容：连锁酒店巨头Omni Hotels & Resorts确认了近期发生的一起勒索软件攻击事件，该事件导致攻击者窃取了其客户的个人信息，被盗的数据包括：客户姓名、电子邮件、邮编等。该公司表示被盗数据不包括财务信息和社会安全号码。一个名为“Daixin gang”的勒索软件组织表示对该事件负责。

泄露数据量：350万

关联行业：服务

地区：美国

Randolph Health数据泄露

泄露时间：2024-04-15

泄露内容：Randolph Health提交了数据泄露通知，由于内部员工的电子邮件账户被入侵，攻击者访问了电子邮件账户中存储的消费者的敏感信息，包括姓名、出生日期、医疗记录号码、健康保险识别号码等。

泄露数据量：未公布

关联行业：医疗

地区：美国

02.

热点资讯

英国警方成功打击网络钓鱼活动

英国警方声称已成功渗透并破坏了一起网络钓鱼即服务（PhaaS）活动，该钓鱼活动已经成功的从几万名受害者身上获利超过100万英镑。LabHost被欧洲刑警组织描述为全球最大的PhaaS平台之一，它为欺诈者提供了发起复杂的网络钓鱼和短信钓鱼活动所需的所有工具。到2024年托管多达40000个钓鱼网站，每月约有2000名用户为其服务支付订阅费用。警方活动始于2022年，当时警方得到了有关LabHost的重要情报，随后联合19个国家的执法人员以及网络安全公司进行合作摧毁该平台。该行动在全球范围内抓捕37名嫌疑人，发现了被盗480000个卡号，64000个PIN码和超过100万个密码。

消息来源：

https://www.infosecurity-magazine.com/news/uk-police-disruption-1m-phaas/

法国一医院因网络攻击推迟手术

Hospital Simone Veil in Cannes医院在16日上午遭到网络攻击，导致其运营受到严重影响，目前被迫关闭所有计算机，仅保留电话系统可用；医院中目前的科室已经恢复运作，但是所有数据都已改为纸笔记录，同时取消了本周30%的非紧急外科手术，一些患者根据其具体情况被转移到附近的医院。该医疗机构没有透露有关此次攻击的细节，但表示尚未收到网络犯罪分子的赎金要求以及数据泄露的迹象。

消息来源：

https://www.bleepingcomputer.com/news/security/chc-sv-hospital-in-france-postpones-procedures-after-cyberattack/

Frontier在网络攻击后关闭系统

美国电信提供商Frontier在最近的一次网络攻击活动中其部分IT系统遭到破环。在发现该事件后，Frontier被迫关闭了一些系统来防止攻击者在其网络上进行横向移动，这也导致了一些运营中断。Frontier表示攻击者可以访问一些PII数据，但没有透露这些数据是否属于客户还是员工。在能控制情况后，Frontier恢复了受影响的核心IT系统并努力恢复业务运营，受到影响的平台有：虚拟前台多个模块，电子保税应用，客户批发门户和运行网站等。

消息来源：

https://www.bleepingcomputer.com/news/security/frontier-communications-shuts-down-systems-after-cyberattack

针对LastPass用户的钓鱼活动

LastPass近日警告称存在针对其用户的恶意活动，该活动使用与加密货币盗窃相关的CryptoChameleon网络钓鱼工具包。LastPass在调查过程中发现其服务最近被添加到了钓鱼工具的套件中，并且在一个假域名中托管了一个网络钓鱼站点，攻击者结合了多种社会工程技术，包括联系潜在受害者（网络语音钓鱼）并冒充LastPass员工，以帮助其保护账户的幌子再次发送钓鱼电子邮件，诱导受害者点击钓鱼网站链接并指引输入密码等信息。

消息来源：

https://www.bleepingcomputer.com/news/security/cybercriminals-pose-as-lastpass-staff-to-hack-password-vaults/

Google搜索广告推送恶意软件

Whales Market 是一个去中心化的场外交易平台，允许用户跨区块链交换资产。在Google中快速搜索Whales Market会在搜索结果的顶部显示赞助广告，该广告显示的URL为合法的链接，实际点击后会重定向到一个钓鱼站点并推送恶意软件诱导受害者安装。攻击者在重定向时会根据访问者的IP和浏览器UA头来定向到不同的网站，同时在Google和微软的搜索机器人访问广告并点击网址来验证时，根据已知的一些信息会将URL重定向到正在推广的合法网站，由于广告平台将最终访问的页面视为合法网站，因此会在广告中显示该网址。

消息来源：

https://www.bleepingcomputer.com/news/security/google-ad-impersonates-whales-market-to-push-wallet-drainer-malware/

03.

热点技术

新的LockBit变体具有自传播功能

自LockBit被打击后，不断变种的新版本又重回了人们的视野，近期发生的一起安全事件中，黑客利用被盗的管理员凭据，在其网络内部署了具有自我传播功能的加密恶意软件的定制变体。LockBit 3.0构建器在2022年被泄露并进行二次开发，现在的变体表现出了前所未有的功能，包括模仿系统管理员和跨网络自适应的自我传播，利用高特权的域凭据，勒索软件还可以关闭安全措施、加密网络共享并删除事件日志以隐藏操作。每个受感染的主机都成为进一步感染的载体，扩大了对受害者网络的影响。

消息来源：

https://www.infosecurity-magazine.com/news/lockbit-variant-self-spreading/

Apple Store第三方提货政策滥用

一名韩国研究人员在近期的黑帽亚洲会议上透露了关于网络犯罪分子利用Apple Store第三方提货政策进行网络钓鱼牟利的犯罪活动，该犯罪活动利用虚假链接定向到一个使用虚假支付页面的在线商店网站，该网站为网络钓鱼攻击者提供了窃取信用卡详细信息的便利手段，流程为：犯罪分子通过在网上二手商店以折扣价格销售苹果新品，当访问这些二手店的买家购买的时候，犯罪分子利用被盗的信用卡信息从真正的苹果商店购买，重要的一点是Apple Store允许指定第三方提货，即第三方未付款购买产品，但是经买家授权、出示购买证明和身份证件后可将货物提走。犯罪分子将在二手店购物的人指定为第三方签收人，这样在二手商店购物的人即可收到货物。研究人员将该计划称为“毒苹果”，并表示该计划在2021年至2023年期间针对韩国和日本居民，其实整个过程看起来更像是“洗钱”，不过初始的信用卡信息是通过钓鱼网站获得。

消息来源：

https://www.theregister.com/2024/04/18/blackhat_apple_korea/

新网络威胁MadMxShell

安全研究人员发现了一种新的网络威胁行为，该威胁行为者利用假域名伪装成真实的IP站点。攻击者注册了多个类似于正版软件网站的域名，并利用Google Ads来提升其在搜索引擎结果中的可见度，该策略主要以引诱毫无戒心的受害者（主要是IT专业人员）访问恶意网站。站点模仿合法软件网站，仅细微修改前端页面中的js以重定向下载恶意文件。发现的后门名为MadMxShell，采用DLL注入以及DNS隧道与C2服务器进行通信，其重点是信息收集和系统控制。

消息来源：

https://www.infosecurity-magazine.com/news/madmxshell-exploits-typosquatting/

新型Android木马SoumniBot

在野检测到一种以韩国用户为目标的新型Android木马SoumniBot，该木马以逃避分析和检测的非常规方法而闻名，即混淆Android清单。每个Android应用程序都附带一个清单XML文件（“AndroidManifest.xml”），该文件位于根目录中，声明应用程序的各个组件，所需的权限、硬件及软件功能。安全研究人员会通过检查该文件确定其行为。该恶意软件中使用三种不同的技术来对抗分析，第一种是使用无效的压缩方法，第二种是修改清单文件大小提供一个超过实际的数值，最后一种是长xml命名空间导致分析工具无法直接使用。

消息来源：

https://thehackernews.com/2024/04/new-android-trojan-soumnibot-evades.html

TA558利用隐写术混淆恶意软件

据观察，被追踪为TA558的威胁行为者利用隐写术作为混淆技术来传播各种恶意软件，例如AgentTesla、FormBook、RemcosRAT、LokiBot、GuLoader、SnakeKeylogger和XWorm等。该活动的代号为SteganoAmor因为它依赖于隐写术并选择了Greatloverstory.vbs和easytolove.vbs等文件名。该组织通过隐写术将VBS脚本、PowerShell代码嵌入到RTF文档、图像或者文本文件中，随后利用电子邮件投递载荷，目前主要以窃取数据和凭证为目的。

消息来源：

https://thehackernews.com/2024/04/ta558-hackers-weaponize-images-for-wide.html

04.

热点漏洞

OpenMetadata漏洞

OpenMetadata是一个开源元数据管理平台，可帮助数据工程师和科学家索引和发现组织内的数据资产，包括数据库、表、文件和服务。目前存在多个漏洞可导致身份验证绕过和远程代码执行，漏洞编号分别为：CVE-2024-28255、CVE-2024-28847、CVE-2024-28253、CVE-2024-28848和CVE-2024-28254。目前已有黑客在最近的Kubernetes加密挖矿攻击活动中劫持OpenMetadata应用程序。

影响版本：

OpenMetadata < 1.2.4
OpenMetadata < 1.3.1

Cisco IMC漏洞

思科集成管理控制器（IMC）存在命令注入漏洞，编号为：CVE-2024-20295，由于IMC的命令行界面（CLI）存在缺陷，允许具有只读或更高权限的本地攻击者在底层操作系统上注入任意命令，获得root权限。该漏洞还影响基于UCS C系列服务器预配置版本的应用程序以及各种其他思科安全设备。

影响版本：

5000 Series Enterprise Network Compute Systems (ENCS)
Catalyst 8300 Series Edge uCPE
UCS C-Series Rack Servers in standalone mode
UCS E-Series Servers

PuTTY SSH客户端漏洞

PuTTY SSH客户端存在一个高危漏洞，编号为：CVE-2024-31497，由于使用ECDSA私钥生成签名的代码中存在漏洞，获得约60条签名消息和公钥的威胁者可能恢复用户的NIST P-521私钥，然后通过伪造签名登录使用该密钥的任何服务器，导致信息泄露和未授权访问SSH服务器。该漏洞除了影响PuTTY外，还影响使用了PuTTY相关组件的产品。

影响版本：

PuTTY (0.68 - 0.80)
FileZilla (3.24.1 - 3.66.5)
WinSCP (5.9.5 - 6.3.2)
TortoiseGit (2.4.0.2 - 2.15.0)
TortoiseSVN (1.10.0 - 1.14.6)

Palo Alto Networks PAN-OS命令注入漏洞

Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一款下一代防火墙软件。Palo Alto NetworksPAN-OS10.2、11.0、11.1存在命令注入漏洞，该漏洞源于GlobalProtect功能中存在命令注入缺陷，可能使未经身份验证的攻击者在防火墙上以root权限执行任意代码。

影响版本：