烽火狼烟丨暗网数据及攻击威胁情报分析周报（04/22-04/26）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件272起，同比上周上升8.8%。本周内贩卖数据总量共计301107.5万条；累计涉及15个主要地区，涉及9种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、通信、贸易等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期出现了部分针对政企单位的勒索事件，影响较大；本周内出现的安全漏洞以mysql2代码注入漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9215条，主要涉及命令注入、漏洞利用、apache log4j2攻击等类型。

南非养老金数据泄露

泄露时间：2024-04-26

泄露内容：南非官员正在调查有关勒索软件团伙窃取并在线泄露668GB国家养老金数据。GPAA数据的所谓妥协尚未得到公开证实，但该事件已经成为南非的全国新闻。

泄露数据量：663g

地区：南非

美国证券交易委员会与美国银行数据泄露

泄露时间：2024-04-25

泄露内容：LockBit勒索软件团伙声称拥有与DISB、美国证券交易委员会（SEC）、特拉华州银行机构和其他金融实体有关的800 Gb数据，并威胁除非DISB支付赎金否则便会公开这些数据。

泄露数据量：800Gb

地区：美国

密歇根州医疗保健组织的数据泄露

泄露时间：2024-04-25

泄露内容：美国密歇根州的医疗保健组织Cherry Street Services（Cherry Health）已经开始通知超过18万人，他们的个人信息在勒索软件攻击中受损。被泄露的信息包括姓名、地址、出生日期、社会安全号码、电话号码、健康保险信息、健康保险和病人身份证号码、治疗信息、处方信息和财务账户信息。

泄露数据量:18万

关联行业：医疗

地区：美国

经济分析和诉讼支持公司泄露 34万人信息

泄露时间：2024-04-25

泄露内容：美经济分析和诉讼支持公司 Greylock McKinnon Associates, Inc. (GMA) 通知超过 340,000 人，他们的个人和医疗信息在遭到泄露。泄露信息包括姓名、出生日期、地址、医疗保险健康保险索赔号码（其中包含与会员相关的社会安全号码）以及一些医疗信息和/或健康保险信息。

泄露数据量：30万

关联行业：咨询

地区：美国

遭受网络攻击后路灯无法关闭

由于市议会遭受的网络攻击影响了中央管理系统，导致英国莱斯特面临城市路灯“行为异常”无法关闭。网络攻击后果的最新发展引起了当地人的关注，因为灯光使用的能源量很大，这可能会推高电力成本。市议会表示灯光问题应在五月第一周结束前得到解决。

消息来源：

https://www.darkreading.com/cyberattacks-data-breaches/lights-on-in-leicester-city-streetlights-in-disarray-after-cyberattack

电动汽车充电站仍然存在网络安全漏洞

电动汽车（EV）的日益普及不仅是关注汽油的消费者的最爱，也是专注于使用EV充电站发动攻击的网络犯罪分子的最爱。来自充电站的威胁并不是唯一成为网络攻击者目标的物联网设备，这些站点只是众多物联网设备中的一个，其漏洞不断增加。众多安全设计和实践较差的小型供应商以及众多自动化工具（如僵尸网络）的组合，可以定位和破坏各种设备，使物联网设备都成为黑客的目标。

消息来源：

https://www.darkreading.com/ics-ot-security/ev-charging-stations-still-riddled-with-cybersecurity-vulnerabilities

Cisco Duo的多因素身份验证服务遭到破坏

为思科 Duo 多重身份验证 (MFA) 服务的第三方提供商遭到了社会工程攻击，Cisco Duo 客户已收到警告，要警惕后续的网络钓鱼计划。威胁行为者利用了泄露的员工凭据，进入服务提供商的系统并下载特定用户的短信日志，数据包含发送的电话号码、电话运营商、国家、州以及消息类型等。

消息来源：

https://www.darkreading.com/cyberattacks-data-breaches/cisco-duo-multifactor-authentication-service-breached

Change Healthcare被勒索2200万美元

美国医疗保健巨头Change Healthcare已被臭名昭著的BlackCat勒索软件组织（又名“ ALPHV ”）勒索了 2200 万美元，这场网络攻击已使全国处方药服务中断数周。BlackCat 被称为“勒索软件即服务”团体，这意味着他们依靠自由职业者或附属机构用勒索软件感染新网络，这些附属机构反过来赚取所支付赎金金额 60% 至 90% 的佣金。

消息来源：

https://krebsonsecurity.com/2024/03/blackcat-ransomware-group-implodes-after-apparent-22m-ransom-payment-by-change-healthcare/

Android 木马用AndroidManifest.xml来逃避检测

在野检测到一种名为SoumniBot的新型 Android 木马，该木马利用清单提取和解析过程中的弱点来逃避分析和检测。逃避方式一:使用 libziparchive 库解压 APK 清单文件时使用无效的压缩方法值，逃避方式二:利用清单文件中的长 XML 命名空间使得分析工具难以分配足够的内存来处理它们。

消息来源：

https://thehackernews.com/2024/04/new-android-trojan-soumnibot-evades.html

研究人员将 Palo Alto 软件变成完美的恶意软件

对 Palo Alto Networks 的扩展检测和响应 (XDR) 软件的创造性利用可能会让攻击者像恶意多功能工具一样操纵它，SafeBreach 的安全研究员 Shmuel Cohen 描述了他如何对公司标志性的 Cortex 产品进行逆向工程和破解，同时将其武器化以部署反向 shell 和勒索软件。

消息来源：

https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware

黑客通过Ghost GitHub和GitLab创建合法的网络钓鱼链接

黑客正在使用未发布的 GitHub 和 GitLab 评论来生成拟来自合法开源软件 (OSS) 项目的网络钓鱼链接，该问题既影响到 GitHub（拥有超过 1 亿注册用户的平台），也影响到其最接近的竞争对手 GitLab（拥有超过 3000 万用户）。当文件作为评论的一部分上传到 GitHub 和 GitLab 的内容分发网络 (CDN) 时，评论会自动分配一个与评论所属的项目相关的 URL，黑客发现这为他们的恶意软件提供了完美的掩护。例如他们可以将 RedLine Stealer 的恶意软件加载程序上传到 Microsoft 存储库，并获取疑似指向Microsoft 存储库文件的合法链接。

https://www.darkreading.com/threat-intelligence/hackers-create-legit-phishing-links-with-ghost-github-gitlab-comments

AWS和Google Cloud命令行工具可以暴露CI/CD日志中的秘密

安全研究人员警告说，在AWS和Google Cloud命令行界面（CLI）中执行的某些命令将返回存储在环境变量中的凭据和其他密码，如果这些命令作为CI/CD工具中构建工作流的一部分执行，则机密将包含在返回的构建日志中。用户需要采取措施确保敏感命令输出不保存在日志中，或者敏感凭证安全存储而不是存储在环境变量中。

消息来源：

https://www.csoonline.com/article/2092486/aws-and-google-cloud-command-line-tools-can-expose-secrets-in-ci-cd-logs.html

针对Apple 用户的“MFA 轰炸”攻击

最近，一些苹果用户报告称他们成为了精心设计的网络钓鱼攻击的目标，这些攻击涉及到苹果密码重置功能中的一个漏洞。在这种攻击中，受害者的苹果设备会显示大量系统级提示，导致设备无法正常使用，直到用户对每个提示做出“允许”或“不允许”的响应。即使用户成功地避免了数十个密码重置请求中的错误操作，诈骗者也会通过电话联系受害者，并伪装成苹果支持人员，在来电显示中欺骗用户，声称其账户受到攻击，需要用户提供一次性验证码以进行“验证”。

消息来源：

https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/

CrushFTP 任意文件读取漏洞

CrushFTP是一款支持FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV and WebDAV SSL等协议的跨平台FTP服务器软件。CVE-2024-4040 中，攻击者可构造恶意请求利用模版注入获取他人身份凭据，读取文件等，配合相关功能可造成远程代码执行，控制服务器。

影响版本：

CrushFTP <= v11.1.0

mysql2代码注入漏洞

mysql2 是用于操作 MySQL 数据库的高性能Node.js 库，可兼容 Node MySQL API并提供预编译语句、扩展编码等功能。由于调用本机 MySQL 服务器日期/时间函数对 readCodeFor 函数中的时区参数进行了不正确的清理，导致3.9.7 之前的 mysql2 包版本容易受到任意代码注入的攻击。

影响产品：

mysql2<3.9.7

ZenTao PMS 项目管理系统身份认证绕过漏洞

ZenTao PMS是一款国产的开源项目管理软件，它实现了软件完整生命周期的全面覆盖。ZenTao PMS存在身份认证绕过漏洞，攻击者可以利用该漏洞在未经验证的情况下调用相关API功能如重设密码，结合其他远程代码执行漏洞可以达到控制服务器的目的。

影响版本：

• 16.x <= version < 18.12（开源版）

• 3.x <= version < 4.12（旗舰版）

• 6.x <= version < 8.12（企业版）

普元 EOS Platform远程代码执行漏洞

Primeton EOS Platform 是普元信息开发的企业级应用集成平台。Primeton EOS Platform 7.6 及之前版本中存在反序列化漏洞，未授权的攻击者可向 default/.remote 接口发送包含恶意payload远程执行任意代码。

影响版本：

普元 EOS Platform<=7.6

思科自适应安全设备和Firepower威胁防御软件Web服务拒绝服务漏洞

Cisco Adaptive Security Appliance（阿萨）软件和Cisco Firepower Threat Defense（FTD）软件的管理和VPN Web服务器中存在一个漏洞，使得未经身份验证的远程攻击者能够导致设备意外重新加载，从而导致拒绝服务（DoS）情况。此漏洞是由于解析HTTP标头时错误检查不完整造成的。攻击者可以通过向设备上的目标Web服务器发送精心编制的HTTP请求来利用此漏洞。成功利用此漏洞可使攻击者在设备重新加载时造成DoS情况。

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。