烽火狼烟丨暗网数据及攻击威胁情报分析周报（05/20-05/24）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件105起，同比上周增加20.68%。本周内贩卖数据总量共计238536.8万条；累计涉及13个主要地区，主要涉及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、博彩、贸易等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期恶意投毒事件频发，攻击者通过云服务投递、正版软件篡改等方式实现投毒目的，需加强防范；本周内出现的安全漏洞以GitHub Enterprise Server危害程度较大；内部安全运营中心共发现恶意攻击来源IP8929条，主要涉及扫描防护、命令注入、apache log4j2等类型。

01.

重点数据泄露事件

医疗保健公司 WEBTPA 数据泄露

泄露时间：2024-05-20

泄露内容：WebTPA是GuideWell Mutual Holding Corporation的子公司，是一家第三方管理公司（TPA），为健康计划和保险公司提供定制的管理服务。根据美国卫生与公众服务部数据泄露门户网站的最新更新，已泄露约 250 万人的个人信息数据，包括姓名、联系信息和社会安全号码等。

泄露数据量：250万

关联行业：医疗

地区：美国

威尔士橄榄球联盟数据泄露

泄露时间：2024-05-22

泄露内容：WRU 留下了一个可公开访问的 Amazon Web Services (AWS) 简单存储服务 (S3) 存储桶。暴露的实例包含 1419 个文本文件，涉及69,317 名 WRU 成员的详细信息。WRU 是威尔士橄榄球的管理机构，威尔士是英国的一部分，但其作为独立实体参加橄榄球比赛和足球等其他运动。本次暴露的数据包含：全名、出生日期、家庭住址、电话号码、电子邮件地址、购买会员资格的日期、会员费支付方式、购买的会员类型等。

泄露数据量：70000

关联行业：体育

地区：英国

The Real World数据泄露

泄露时间：2024-05-21

泄露内容：社交媒体名人Andrew Tate的学习平台"The Real World"因MongoDB用户配置错误而导致近100万用户和超过2200万条消息被泄露。泄露的数据包括用户账户信息、会话令牌和大量敏感聊天记录，这可能会导致用户隐私遭受严重威胁。

泄露数据量：2200万

关联行业：IT

地区：英国

西悉尼大学数据泄露

泄露时间：2023-05-20

泄露内容：西悉尼大学 (WSU) 的 Office 365 环境遭遇黑客攻击，学校被迫通知师生有关数据泄露的情况。调查显示，黑客未经授权访问了 WSU 的电子邮件和 SharePoint 文件，约有 7,500 人受到了影响。WSU 正在紧急处理此事件，并强调未收到任何勒索要求，且核心运营未受到影响。

泄露数据量：0.75万

关联行业：教育

地区：澳大利亚

美国犯罪数据库数据泄露

泄露时间：2023-05-23

泄露内容：包含 7000 万行敏感个人数据的美国犯罪数据库已发布在数据泄密论坛上，样本包括犯罪类别和罪行，例如盗窃、持有冰毒或入室盗窃，以及个人详细信息，样本包括全名、地址、出生日期、别名、定罪日期、刑期等。据黑客称，实际数据包含社会安全号码在内的更多数据。

泄露数据量：7000 万

地区：美国

02.

热点资讯

罗克韦尔建议断开面向互联网 ICS 设备的连接

为应对全球地缘紧张局势导致的网络威胁升级，2024年5月23日罗克韦尔敦促其客户立即断开所有不打算连接到公共互联网的工业控制系统 (ICS) 设备。CISA和NSA也发布了联合警告，称网络攻击者可能利用可访问的运营技术 (OT)/ICS 资产发动攻击，对关键基础设施造成严重破坏。

消息来源：

https://thehackernews.com/2024/05/rockwell-advises-disconnecting-internet.html

一个时代的终结：Microsoft 逐步淘汰VBScript

2024年5月,微软宣布逐步淘汰 VBScript转而支持更先进的脚本语言如JavaScript和PowerShell。由于这些语言提供了更广泛的功能，更适合现代Web开发和自动化任务，同时微软还计划在Windows 11中弃用NTLM身份验证并使用Kerberos，这些举措旨在减少攻击面并限制一些容易被恶意利用的功能。不过，微软新推出的"Recall"功能也引发了用户隐私和系统安全方面的担忧。

消息来源：

https://thehackernews.com/2024/05/the-end-of-era-microsoft-phases-out.html

威联通修补 QTS 及 QuTS hero的新缺陷

QNAP于2024年5月针对其QTS和QuTS hero操作系统修复了一系列中等严重性漏洞。这些漏洞包括权限分配错误和缓冲区溢出等问题，可能导致远程代码执行，这些漏洞由watchTowr Labs的Aliz Hammond于2024年1月发现并报告。QNAP表示已发布修复程序，并承诺今后将与安全研究人员加强合作,尽快修复高危漏洞维护产品安全，用户应尽快更新系统以应对潜在威胁。

消息来源：

https://thehackernews.com/2024/05/qnap-patches-new-flaws-in-qts-and-quts.html

JAVS 法庭录音软件在供应链攻击中被植入后门

攻击者在Justice AV Solutions (JAVS) 法庭视频录制软件的安装程序中植入了恶意软件，从而达到接管受感染系统的目的。JAVS 随后从其官方网站上删除了受感染的版本，并称包含恶意 fffmpeg.exe 二进制文件的木马软件“并非源自 JAVS 或与 JAVS 相关的任何第三方”，该公司表示通过持续监控以及与网络管理部门的合作，我们发现有人试图用受感染的文件替换我们的 Viewer 8.3.7 软件。

消息来源：

https://www.bleepingcomputer.com/news/security/javs-courtroom-recording-software-backdoored-in-supply-chain-attack/

03.

热点技术

利用 MS Exchange Server 漏洞在攻击目标中部署键盘记录器

网络安全研究人员发现，攻击者正利用Microsoft Exchange Server的安全漏洞在针对非洲和中东的攻击中部署键盘记录器恶意软件。俄罗斯网络安全公司Positive Technologies表示，它确定了30多名受害者，涉及政府机构、银行、IT公司和教育机构，攻击者利用ProxyShell漏洞进行初始渗透,并在服务器主页注入键盘记录器窃取帐户凭据。受害组织应立即更新Exchange Server至最新版本并检查服务器主页以查找潜在入侵痕迹。

消息来源：

https://thehackernews.com/2024/05/ms-exchange-server-flaws-exploited-to.html

Veeam Backup Enterprise Manager 存在多个严重漏洞

网络安全研究人员发现Veeam Backup Enterprise Manager、Veeam Agent for Windows和Veeam服务提供商控制台中存在多个严重漏洞，影响范围广泛，涵盖未经身份验证登录、NTLM中继攻击、权限提升、日志泄露、远程代码执行等方面。Veeam产品的这些严重漏洞可能导致攻击者窃取敏感信息、控制关键系统甚至发动勒索攻击，用户应高度重视并立即采取措施进行修复。

消息来源：

https://thehackernews.com/2024/05/critical-veeam-backup-enterprise.html

利用云服务投递恶意软件的新型网络钓鱼攻击

最新报告显示一项名为 CLOUD#REVERSER 的新攻击活动利用合法的云存储服务如 Google Drive 和 Dropbox 来部署恶意软件。这些攻击通过网络钓鱼邮件引导用户下载 ZIP 压缩包，包内包含一个伪装成 Excel 文件的可执行文件。恶意软件利用 Unicode 隐藏字符欺骗用户，下载并执行多个恶意脚本，从而实现对目标系统的持久控制和数据盗取。

消息来源：

https://thehackernews.com/2024/05/malware-delivery-via-cloud-services.html

Grandoreiro 银行木马重新浮出水面，针对全球 1,500 多家银行

自2024年3月起，操控Grandoreiro银行木马的威胁行为者再次发动大规模网络钓鱼攻击，波及60多个国家的1,500家银行。该木马主要针对拉丁美洲、西班牙和葡萄牙，恶意软件经过重大改进，利用受感染主机上的 Outlook 传播网络钓鱼邮件。攻击者诱导用户点击链接，下载包含Grandoreiro加载器的压缩包，随后收集数据并下载主要银行木马。Grandoreiro 具备远程控制、文件操作和利用 Outlook 发送垃圾邮件等功能。

消息来源：

https://thehackernews.com/2024/05/grandoreiro-banking-trojan-resurfaces.html

04.

热点漏洞

GitHub Enterprise Server 严重漏洞致使身份验证失效

GitHub 修复了一个严重漏洞 CVE-2024-4985 (CVSS 10.0),该漏洞存在于 GitHub Enterprise Server (GHES) 中,可能允许未经授权的访问并绕过身份验证保护。此漏洞影响 3.13.0 之前的所有 GHES 版本,已在版本 3.9.15、3.10.12、3.11.10 和 3.12.4 中得到解决。默认情况下不启用加密断言,仅影响使用启用加密断言的 SAML 单点登录的实例。建议使用易受攻击版本的组织尽快更新到最新版本,以防止潜在的安全威胁。

影响版本：

GitHub Enterprise Server 3.9.0 - 3.9.14
GitHub Enterprise Server 3.10.0 - 3.10.11
GitHub Enterprise Server 3.11.0 - 3.11.9
GitHub Enterprise Server 3.12.0 - 3.12.3

WordPress Elementor 插件跨站脚本攻击漏洞

由于输入清理和输出转义不足，WordPress 的 Elementor 插件 LottieFiles（基于 JSON 的动画 Lottie 和 Bodymovin）在 1.10.9 及以下版本中都容易受到存储型跨站点脚本攻击，经过身份验证的攻击者可以在页面中注入任意 Web 脚本。

影响版本：

LottieFiles 1.10.9 及以下版本

Google Chrome V8类型混淆漏洞

Google 发布公告称，Google Chrome 存在一个 V8 类型混淆漏洞 (CVE-2024-4947)，且已被在野利用。远程攻击者可以通过诱导用户打开恶意链接，利用此漏洞获取敏感信息或执行代码。由于此漏洞影响范围较大，建议用户尽快进行自查。

影响版本：

Google Chrome(Windows/Mac) < 125.0.6422.60/.61
Google Chrome(Linux) < 125.0.6422.60

Atlassian Confluence远程代码执行漏洞

Confluence Data Center修复了一个远程代码执行漏洞（CVE-2024-21683），经过身份验证的攻击者通过构造恶意请求，利用该漏洞并达到执行任意代码的目的。Atlassian Confluence是一款企业级的知识管理和团队协作软件，主要功能包括团队协作、知识管理、版本控制、权限管理、扩展性、数据分析和报告等。

影响版本：