网络安全资讯周报（04/15- 04/19）

• 勒索软件团伙开始公开部分 Change Healthcare 的数据 

• 加拿大零售连锁巨头 GIANT TIGER 泄露280万条数据 

• Roku遭到撞库攻击超过57万个账号信息泄露 

• 沃尔玛证实部分敏感员工数据遭到泄露 

• 美国咨询公司GMA披露数据泄露事件 

• 美国科技公司Bradford-Scott Data Corporation遭遇数据泄露事件 

据美国网络司令部和国家安全局领导人称，美国网络专家去年在十多个国家开展工作，以加强网络并揭露黑客使用的工具。美国国家安全局局长、空军上将蒂莫西·豪 (Timothy Haugh) 在向参议院军事委员会提交的书面证词中表示，仅去年一年，司令部就派遣网络国家任务部队（CNMF）的人员前17个国家往执行了22次“前出狩猎”任务。这一披露实为罕见，因为自2018年开始执行此类任务以来，司令部此前一直没有披露过具体数字。关于任务确切次数的数据一直很模糊，部分原因是东道国不希望对手知道他们邀请美国对其网络进行工作，从而无意中嗅出潜在的漏洞。

原文链接：

https://therecord.media/cyber-command-hunt-forward-missions-2023-haugh-senate

GSM 协会的欺诈和安全小组 (FASG) 发布了第一版框架，用于以结构化方式描述对手如何根据他们使用的策略、技术和程序 (TTP) 攻击和使用移动网络。移动威胁情报框架 (MoTIF) 专注于与移动网络相关的攻击，这些攻击尚未被MITRE ATT&CK（适用于企业和移动）和MITRE FiGHT等现有公共框架涵盖。范围包括 2G、3G、4G、5G，包括所有类型的电信服务推动者（例如漫游、SMS、VoIP）和未来移动技术的演进。还包括针对移动网络及其客户的欺诈攻击。MoTIF 原则提供了MoTIF的概述，并定义了框架中指定的技术和子技术。

原文链接：https://www.helpnetsecurity.com/2024/04/10/gsma-mobile-threat-intelligence-framework/?web_view=true

研究人员称，LockBit 网络犯罪组织似乎正在计划将勒索软件更名为DarkVault。研究人员在查看DarkVault最近推出的网站时，发现其网站的一些部分存在与LockBit网站相似的元素，这可能是由于攻击者的失误而导致。意识到该问题后，LockBit将DarkVault网站中与Lockbit相似的元素进行了删除。目前DarkVault网站中尚未列出受害者列表。

原文链接：https://cybernews.com/news/lockbit-dark-vault-rebrand

2023 年末，研究人员发现威胁行为者FIN7针对一家美国大型汽车制造商发起了鱼叉式网络钓鱼活动，主要针对在公司 IT 部门工作并拥有更高级别管理权限的员工。攻击者利用免费 IP 扫描工具的诱惑，通过Anunak后门感染系统。电子邮件中的链接将指向“advanced-ip-sccanner[.]com”，该域名对合法域名“advanced-ip-scanner[.]com”进行了模仿。研究人员发现，该虚假网站重定向到“myipscanner[.]com”（现已离线）。接下来，访问者将被定向到一个Dropbox页面，该页面提供伪装成Advanced IP Scanner的恶意可执行程序（‘WsTaskLoad.exe’）。该程序执行后，会触发一个涉及DLL、WAV文件和shellcode执行的多阶段流程，从而加载和解密一个名为“dmxl.bin”的文件，其中包含Anunak后门。Anunak/Carbanak是FIN7组织常使用的几种恶意软件工具之一。

原文链接：https://securityaffairs.com/162014/cyber-crime/fin7-targeted-u-s-carmaker.html

研究人员发现了一个名为 Kapeka 的新后门，至少从 2022 年年中开始，它就被用于针对东欧受害者的攻击。该后门非常复杂，既可作为初始工具包，也可作为后门用于维持对被入侵系统的长期访问。目标的性质、低检测率和复杂的恶意软件支持功能表明，这是一个 APT 组织开发的。研究人员注意到 Kapeka 和GreyEnergy以及Prestige 勒索软件攻击之间存在重叠，这些攻击归因于与俄罗斯有关的Sandworm APT 组织。因此 Kapeka 被认为很可能是 Sandworm 武器库的一部分。研究人员推测Kapeka是GreyEnergy的继承者，而 GreyEnergy 本身很可能是Sandworm 中BlackEnergy的替代品。

原文链接：

https://securityaffairs.com/161987/hacking/kapeka-backdoor-linked-sandworm.html

研究人员发现，针对南亚的新网络间谍活动使用了名为 LightSpy的 Apple iOS 间谍软件。该移动间谍软件在沉寂几个月后重新出现，新版本的LightSpy 被称为“F_Warehouse”，支持具有广泛间谍功能的模块化框架。它采用即插即用模块设计，允许攻击者自定义监视以满足特定目标：看不见的监视、深度数据渗透和远程控制的威胁。LightSpy 采用证书固定等复杂技术来逃避检测。它主要通过受损的新闻网站传播，这些网站包含与敏感政治问题相关的内容。一旦设备受到损害，LightSpy 就会部署多阶段植入过程，逐步释放其全部间谍功能。

原文链接：https://securityonline.info/espionage-campaign-returns-lightspy-targets-southern-asia/

Cisco Duo 警告其一家电话供应商发生数据泄露事件，导致通过 SMS 和 VOIP 发送给客户的多因素身份验证 (MFA) 消息受到损害。该安全漏洞发生于 2024 年 4 月 1 日，威胁行为者使用了通过网络钓鱼攻击非法获得的提供商员工的凭据。然后，他们使用该访问权限下载了一组属于客户 Duo 帐户的 MFA 短信日志。更具体地说，威胁行为者下载了 2024 年 3 月 1 日至 2024 年 3 月 31 日期间发送给Duo帐户下的某些用户的 SMS 消息的消息日志。消息日志不包含任何消息内容，但包含电话号码，每条消息发送到的电话运营商、国家和州，以及其他元数据（例如消息的日期和时间、消息类型等）。发现此事后，供应商立即展开调查并采取缓解措施。

原文链接：https://securityaffairs.com/161880/cyber-crime/cisco-duo-data-breach.html

TA558 黑客组织开展的一项新活动正在使用隐写术将恶意代码隐藏在图像内，从而将各种恶意软件工具传递到目标系统上。隐写术是一种将数据隐藏在看似无害的文件中的技术，使用户和安全产品无法检测到它们。TA558 是一个自 2018 年以来一直活跃的威胁组织，以 针对全球酒店和旅游组织（尤其是拉丁美洲）而闻名。研究人员在全球范围内发现了300多起由TA558发起的攻击活动。该组织通过发送VBS、PowerShell代码以及带有嵌入式漏洞的RTF文档、图像和文本文件，并广泛使用隐写术。研究人员将该攻击活动命名为“SteganoAmor”。

原文链接：https://www.bleepingcomputer.com/news/security/new-steganoamor-attacks-use-steganography-to-target-320-orgs-globally

2023年，研究人员披露了一个命令注入漏洞CVE-2023-1389，并为TP-Link Archer AX21（AX1800）的 Web管理界面开发了修复程序。最近，研究人员观察到针对该漏洞的多次攻击活动，主要涉及Moobot、Miori、基于Golang的代理“AGoent”和Gafgyt Variant等僵尸网络。尽管漏洞CVE-2023-1389已在去年被披露，但许多攻击活动仍在利用该漏洞显著峰值。用户应警惕僵尸网络，及时应用补丁以保护网络环境免受感染。

原文链接：https://www.fortinet.com/blog/threat-research/botnets-continue-exploiting-cve-2023-1389-for-wide-scale-spread

Daixin Team勒索组织声称最近对Omni Hotels & Resorts进行了网络攻击，并威胁称如果不支付赎金，将公布客户的敏感信息。尽管Daixin Team现在已将这家连锁酒店添加到他们的数据泄漏站点，但攻击者尚未发布能够证实他们说法数据样本，只是称他们将很快泄露据从Omni Hotels服务器中窃取的信息。窃取的数据中包括从2017年至今所有访客的记录。据悉，被盗的数据库转储包含 Omni Hotels访客的3,539,089 条记录，其中包含敏感信息，包括姓名、电子邮件地址和邮寄地址。

原文链接：https://www.bleepingcomputer.com/news/security/daixin-ransomware-gang-claims-attack-on-omni-hotels

RansomHub 勒索团伙已开始公开他们声称从 United Health 子公司 Change Healthcare 窃取的数据，其中包括患者个人信息，涵盖账单文件、保险信息以及医疗记录等不同类型的文档。今年 2 月， Change Healthcare遭受了网络攻击 ，对美国医疗保健系统造成了严重破坏，导致药房和医生无法向保险公司开具账单或提出索赔。这次攻击与 BlackCat/ALPHV 勒索软件操作有关，该勒索软件后来称他们在攻击期间窃取了6 TB 数据。该公司支付了2200万美元的赎金给ALPHV。然后，即使支付赎金后，Change Healthcare仍然深受2月份攻击事件的影响，部分原因是由于ALPHV组织在收到赎金后未能兑现承诺。据信，对Change发起攻击的一名或多名曾隶属于ALPHV组织的黑客没有领到他们“应得”的赎金份额，因此转而投靠RansomHub组织，利用最初窃取的数据再次勒索Change Healthcare。

原文链接：

https://www.bleepingcomputer.com/news/security/ransomware-gang-starts-leaking-alleged-stolen-change-healthcare-data/

一名网名为“ShopifyGUY”的威胁行为者声称对攻击加拿大零售连锁店 Giant Tiger 负责，并在黑客论坛上泄露了 280 万条记录。Giant Tiger 是一家加拿大折扣连锁店，在加拿大各地经营 260 多家商店。ShopifyGUY声称已上传 2024 年 3 月被盗的公司的完整数据库。泄露的数据包括电子邮件地址、姓名、电话号码、实际地址和网站活动。财务数据并未受到所谓事件的影响。加拿大零售连锁店的客户可以通过查询数据泄露监控服务 HaveIBeenPwned 来检查泄露的档案中是否存在其数据。

原文链接：

https://securityaffairs.com/161811/cyber-crime/giant-tiger-data-breach.html

Roku 宣布，威胁行为者使用从第三方平台窃取的凭据使其576,000个帐户在新的撞库攻击中遭到黑客攻击。今年早些时候，Roku 检测到异常帐户活动，并发现未经授权的攻击者使用通过“凭据填充”从不同来源获取的登录凭据访问了大约 15,000 个用户帐户。该公司完成对首个安全漏洞的调查后，于三月初通知了受影响的客户。该公司继续监控账户活动，并发现了第二起影响大约 576,000 个账户的事件。该公司表示，没有迹象表明 Roku 是这些攻击中使用的帐户凭据的来源，也没有迹象表明 Roku 的系统在这两起事件中受到了损害。相反，这些攻击中使用的登录凭据很可能是从其他来源获取的，例如另一个在线帐户，受影响的用户可能使用了相同的凭据。该公司宣布采取措施防止未来发生类似事件，包括为受影响的帐户重置密码。Roku 还计划对未经授权的购买进行退款，并为所有帐户实施双因素身份验证 (2FA)，同时建议客户为其帐户使用强而独特的密码，并对可疑活动保持警惕。

原文链接：

https://securityaffairs.com/161765/data-breach/roku-second-data-breach.html

沃尔玛表示，一名员工在2023年9月至2024年3月期间访问了同事的就业管理账户。通过访问这些账户，该员工可能已经查看了某些工资单记录，并更改了一些员工的工资单信息，以进行工资欺诈活动。沃尔玛声称，一些敏感的员工数据可能遭到泄露，如姓名、电话号码、电子邮件地址、邮寄地址、社会安全号码、出生日期、银行帐号和路由号码。该公司表示，此次泄露很可能是撞库或网络钓鱼攻击，泄露了200多个Spark Driver 帐户的详细信息。

原文链接：https://cybernews.com/news/walmart-employee-data-breach/

由于某种原因在花了九个月的时间后，美国咨询公司Greylock McKinnon Associates（GMA）披露了一起数据泄露事件，并表示该事件影响340000个社会安全号码。据该公司称，这些信息可能包括受害者的姓名、出生日期、地址、医疗保险健康保险索赔号码（包含与会员相关的社会安全号码）以及其他医疗或健康保险数据。有关此次事件的更多细节尚未公布。

原文链接：https://cybernews.com/news/social-security-numbers-data-breach-gma

总部位于美国的科技公司布拉德福德-斯科特数据公司（Bradford-Scott Data Corporation）遭遇数据泄露，43000人的敏感信息被曝光。泄露的信息包括：名字、社会安全号码、其他变量数据。2023年7月2日，该公司在其网络中发现了异常活动，并开始调查该事件。该公司了解到，攻击者在2023年5月19日至5月28日期间从其网络获取了特定文件。该公司对该事件进行了审查，并于2023年12月完成了事件调查。该公司声称已经对可能受影响的信息进行了全面审查，并将该事件报告给了联邦执法部门。

原文链接：https://cybernews.com/news/bradford-scott-data-breach