网络安全资讯周报（05/13 - 05/17)

• 孟加拉国 IT 提供商Tappware数据库遭泄露 

• Singing River卫生系统遭遇勒索软件攻击导致895000条数据泄露 

• 澳大利亚最大的非银行贷款机构Firstmac Limited披露数据泄露事件 

• 桑坦德银行第三方提供商的数据泄露影响了客户和员工 

• 攻击者利用未修补的漏洞发起网络攻击导致赫尔辛基数万人数据泄露 

据 FBI 和 CISA 报告，自 2022 年 4 月出现以来，Black Basta 勒索软件即服务 (RaaS) 行动已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。在网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI)、卫生与公众服务部 (HHS) 以及多州信息共享和分析中心 (MS-ISAC) 发布的联合咨询中，这些机构表示，威胁行为者加密并窃取了 16 个关键基础设施部门中至少 12 个部门的数据。Black Basta 附属公司使用常见的初始访问技术，例如网络钓鱼和利用已知漏洞，然后采用双重勒索模型，既加密系统又窃取数据。

原文链接：https://securityaffairs.com/163019/cyber-crime/black-basta-ransomware-500-organizations.html

卡巴斯基最新发布的 2023 年年度金融威胁报告数据显示，与 2022 年相比，全球移动银行恶意软件增长了 32%。报告强调针对 Android 用户的攻击激增，其中阿富汗、土库曼斯坦和塔吉克斯坦遭遇银行木马的比例最高。值得注意的是，土耳其在移动银行恶意软件攻击方面处于领先地位，影响了近 3% 的用户。尽管金融 PC 恶意软件数量下降了 11%，但来自 Ramnit 和 Zbot 等恶意软件家族的威胁仍然存在，主要针对消费者。金融网络钓鱼仍然是一个重大问题，占针对企业用户的所有网络钓鱼攻击的四分之一以上，以及针对家庭用户的近三分之一。电子商店品牌是金融网络钓鱼尝试的最大诱惑，仅 PayPal 网络钓鱼就占所有尝试的一半以上。与加密货币相关的网络钓鱼和诈骗正在增加。2023 年，卡巴斯基阻止了超过 580 万次追踪以加密货币为主题的网络钓鱼链接的尝试，比上一年增加了 16%。值得注意的是，就网络钓鱼尝试而言，亚马逊成为被模仿最多的在线商店，其次是苹果和 Netflix。为了减轻移动恶意软件带来的风险，卡巴斯基还建议仅从官方商店下载应用程序，检查应用程序权限，利用可靠的安全解决方案并定期更新操作系统和关键应用程序。

原文链接：https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/

美国邦调查局（FBI）、司法部和一系列国际执法机构于周三查封了臭名昭著的网络犯罪网站——BreachForums。该网站用于买卖被盗和被黑客入侵的数据。这是该网站近一年来第二次被查封。该论坛前身曾在2023年初的联合执法行动中被取缔。2023 年 6 月，美国当局逮捕了该网站的创建者和管理员Conor Fitzpatrick。Fitzpatrick 被捕后不久，管理员Baphomet曾短暂恢复过该论坛，但由于担心遭到当局破坏，新管理员很快就关闭了网站。Baphomet随后于 2023 年 6 月与 ShinyHunters 组织一起重新组建了网站。此次行动中，当局不仅成功接管了 Breach Forums 的明网域名，还查获了其托管域名和可通过 Tor 浏览器访问的暗网域名。此外，联邦调查局还接管了与该论坛相关的其他沟通渠道。这包括论坛的官方 Telegram 帐户@Breachforums、群聊 Telegram 帐户@Baphchat以及其主要管理员 Baphomet @OfficialBaphomet用于宣布重要更新的官方 Telegram 群组。

原文链接：https://thehackernews.com/2024/05/fbi-seizes-breachforums-again-urges.html

一个自称是“一流俄罗斯黑客”的组织破坏了 Newsquest Media Group 旗下的数百个英国当地和地区报纸网站。该组织污损了目标网站的主页，并发布了“PERVOKLASSNIY RUSSIAN HACKERS ATTACK”（一流俄罗斯黑客）的消息。Newsquest Media Group 是英国第二大地区和地方报纸出版商，隶属于美国大众传媒控股公司甘尼特(Gannett)。它在英国拥有 205 个品牌，在线和印刷出版（165 个报纸品牌和 40 个杂志品牌），每月吸引 2,800 万在线访问者，每周吸引 650 万印刷读者。Newsquest 总部位于伦敦，在英国共有员工超过 5,500 名。

原文链接：https://securityaffairs.com/163080/cyber-crime/russian-hackers-british-newspaper-websites.html

朝鲜黑客组织Kimsuky一直在使用一种名为Gomir的新Linux 恶意软件，它是通过木马软件安装程序传播的GoBear后门版本。2024 年2月初，SW2 威胁情报公司的研究人员报告了一场活动，其中Kimsuky使用各种软件解决方案的木马版本（例如SGA Solutions的TrustPKI 和 NX_PRNMAN、Wizvera VeraPort），用Troll Stealer和基于Go的Windows恶意软件GoBear感染韩国目标。Broadcom 公司赛门铁克的分析师在调查针对韩国政府组织的同一活动时发现了一种新的恶意工具，该工具似乎是GoBear后门的Linux变体。Gomir 与 GoBear 有许多相似之处，具有直接命令和控制 (C2) 通信、持久性机制以及对执行各种命令的支持。

原文链接：https://www.bleepingcomputer.com/news/security/kimsuky-hackers-deploy-new-linux-backdoor-in-attacks-on-south-korea/

消失了十多年的高级持续威胁(APT)组织突然在针对拉丁美洲和中非组织的网络间谍活动中重新出现。该组织名为“Careto”或“The Mask”，于2007年开始运作，然后在2013年似乎消失得无影无踪。在此期间，该组织声称其在包括美国、英国、法国、德国、中国和巴西在内的 31 个国家攻击了大约 380个目标。卡巴斯基公司的研究人员 10 年前就跟踪过 Careto，最近还发现了 Careto 的新攻击，他们发现 Careto 以前的受害者包括政府机构、外交机构和大使馆、能源、石油和天然气公司、研究机构和私募股权公司。

原文链接：

https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus?&web_view=true

据观察，出于经济动机的威胁行为者FIN7利用欺骗合法品牌的恶意Google广告作为提供MSIX安装程序的手段，最终部署NetSupport RAT。攻击者利用恶意网站冒充知名品牌，包括AnyDesk、WinSCP、BlackRock、Asana、Concur、华尔街日报、Workable和Google Meet。FIN7（又名Carbon Spider和Sangria Tempest），自2013年以来一直活跃，最初涉足针对销售点(PoS)设备的攻击以窃取支付数据，后来转向通过勒索软件活动破坏大型公司。多年来，攻击者改进了其策略和恶意软件库，采用了各种自定义恶意软件系列，例如BIRDWATCH、Carbanak、DICELOADER（又名Lizar和Tirion）、POWERPLANT、POWERTRASH和TERMITE等。FIN7 恶意软件通常通过鱼叉式网络钓鱼活动部署，作为目标网络或主机的入口，但近几个月来，该组织利用恶意广告技术启动攻击链。

原文链接：https://thehackernews.com/2024/05/fin7-hacker-group-leverages-malicious.html

一个未透露姓名的欧洲外交部 (MFA) 及其在中东的三个外交使团成为两个先前未记录的后门的目标，这两个后门被追踪为 LunarWeb 和 LunarMail。ESET发现了这一活动，并以中等可信度将其归咎于与俄罗斯结盟的网络间谍组织Turla（又名Iron Hunter、Pensive Ursa、Secret Blizzard、Snake、Uroburos和Venomous Bear），并列举了与之前被确认为由该威胁行为者策划的活动的战术重叠之处。“部署在服务器上的 LunarWeb 使用 HTTP(S) 进行 C&C [命令与控制] 通信并模仿合法请求，而部署在工作站上的 LunarMail 则作为 Outlook 加载项持久保存，并使用电子邮件进行 C&C通信，”安全研究员说道。对 Lunar 工具的分析表明，它们可能从 2020 年初甚至更早开始就被用于有针对性的攻击。据评估，Turla 隶属于俄罗斯联邦安全局 (FSB)，是一个高级持续性威胁 (APT)组织，已知至少从 1996 年开始活跃。它曾针对政府、大使馆、军事、教育、研究和制药等多个行业进行攻击。

原文链接：https://thehackernews.com/2024/05/turla-group-deploys-lunarweb-and.html

Tappware 是一家著名的 IT 服务提供商，其大约 50GB 的数据库在黑客论坛上遭到泄露，该数据库包含 230 万行数据，包括敏感的个人信息，例如与该公司相关的个人的姓名、地址和电话号码。根据孟加拉国网络安全情报 (BCSI)报告，泄露的数据采用 SQL 格式，日期为 2024 年，包含广泛的个人详细信息，对相关个人构成了巨大的隐私风险。该漏洞是在网络犯罪分子常用的交易被盗数据的平台上进行例行监控活动时发现的。此次泄露直接威胁到数千人的隐私和安全，可能导致身份盗窃和欺诈。

原文链接：https://gbhackers.com/bangladesh-it-provider-database/

美国密西西比州医疗保健提供商Singing River卫生系统警告称，目前估计有895204人受到2023年8月遭受的勒索软件攻击的影响。Singing River Health System是密西西比州的一家主要医疗保健提供者，拥有超过3,500名员工，运营着三家医院，总共提供700多个床位。该卫生系统还在墨西哥湾沿岸地区运营着两家临终关怀医院、四家药房、六家影像中心、十家专科中心和12家医疗诊所。根据 数据泄露通知中的最新信息，泄露的数据包括姓名、出生日期、实际地址、社会安全号码 (SSN)、医疗信息和健康资讯。

原文链接：

https://www.bleepingcomputer.com/news/security/singing-river-health-system-data-of-895-000-stolen-in-ransomware-attack/

澳大利亚最大的非银行贷款机构之一 Firstmac Limited 披露了一起数据泄露事件，Embargo 勒索组织本周泄露了据称这些数据是从该公司窃取的超过 500GB的数据。Firstmac是澳大利亚金融服务行业的重要参与者，主要专注于抵押贷款、投资管理和证券化服务。该公司总部位于昆士兰州布里斯班，拥有460名员工，已发放10万笔住房贷款，目前管理着150亿美元的抵押贷款。该公司正在通知受影响的客户。在外部网络安全专家的协助下，Firstmac通过随后的调查确定以下信息已被泄露：全名、居住地址、电子邮件地址、电话号码、出生日期、外部银行账户信息、驾驶执照号码。

原文链接：

https://www.bleepingcomputer.com/news/security/largest-non-bank-lender-in-australia-warns-of-a-data-breach/

西班牙桑坦德银行披露了第三方提供商的数据泄露事件，影响了智利、西班牙和乌拉圭的客户。该银行最近意识到，其由第三方提供商托管的数据库之一遭到未经授权的访问。该公司宣布立即采取措施遏制这一事件，阻止对数据库的受损访问，并建立了额外的欺诈预防控制措施来保护受影响的客户。受损的数据库包含所有现任员工和部分前任员工的信息。该金融机构尚未提供该事件的技术细节或泄露了哪些数据，目前尚不清楚有多少人受到影响。

原文链接：https://securityaffairs.com/163231/data-breach/santander-third-party-data-breach.html

赫尔辛基市正在调查其教育部门的一起数据泄露事件，该事件发现于2024年4月下旬，影响了数万名学生、监护人和工作人员。根据披露的细节，未经授权的攻击者在利用远程访问服务器中的漏洞后获得了对网络驱动器的访问权限。虽然该机构没有说明攻击目标是什么远程访问产品，但他们表示，攻击发生时已有针对该漏洞的安全补丁，但尚未安装。被访问的驱动器包含数千万个文件，其中大多数没有个人身份信息(PII)。不过，其中一些还包括用户名、电子邮件地址、个人ID和实际地址。此外，暴露的驱动器还包含有关费用、儿童教育和护理、儿童状况、福利请求、医疗证明和其他高度敏感信息的信息。

原文链接：https://www.bleepingcomputer.com/news/security/helsinki-suffers-data-breach-after-hackers-exploit-unpatched-flaw/