网络安全资讯周报（6/3 - 6/7）

• 美国一背景调查公司数十亿条个人信息记录被窃取 

• RansomHub组织声称窃取FRONTIER COMMUNICATIONS 5GB数据 

• BianLian勒索软件团伙泄露澳洲稀土矿商北方矿业数据 

• 威胁者声称出售包含1700万用户记录的Pandabuy数据库 

• 桑坦德银行3000万客户数据被盗 

• 零部件供应商Advance Auto Parts遭遇数据泄露 

Bitdefender 的网络安全研究人员发现 Discord 上的恶意软件和网络钓鱼攻击激增。据Bitdefender 的一份报告称，其在 Discord 上发现了50,000 多个恶意链接，这表明该平台越来越容易受到网络威胁。报告称，恶意软件和网络钓鱼占主导地位，占检测到的恶意链接的39%。这些攻击通常涉及欺骗手段，诱骗用户下载有害软件或提供敏感信息。其中，美国用户尤其容易受到攻击，占威胁的 16.2%。这使他们成为最容易受到攻击的群体，而且占比显著。通过 Discord 发起恶意攻击的其他国家还包括法国、罗马尼亚、英国和德国。

原文链接：https://hackread.com/discord-malware-attacks-as-50000-malicious-links/

据专注于隐私的解决方案提供商 Proton 称，数百名英国、法国和欧洲议会政客的电子邮件地址和其他信息可以在暗网市场上找到。作为 Proton 与 Constella Intelligence 合作开展的一项研究的一部分，研究人员在暗网上搜索了近 2,300 个属于英国、法国和欧洲议会议员的官方政府电子邮件地址。总共有 918 个电子邮件地址被泄露到网络犯罪市场，但每个组织受影响的政客比例有所不同。例如，英国议员受到的影响最大，68% 的目标电子邮件地址出现在暗网上。就欧盟议会议员而言，44% 的电子邮件地址被发布在黑客论坛上。只有 18% 的法国议员和参议员的数据被泄露。就英国政客的案例而言，其中包括政府高层和反对派人物，他们的电子邮件地址在暗网上被发现超过 2,100 次。Proton 指出，在许多情况下，电子邮件地址在政府网站上是公开的。问题在于，电子邮件地址出现在暗网市场上表明这些地址曾被用来在各种第三方在线服务上建立账户，而这些服务在某个时候遭到了黑客攻击。这些网站包括 Adobe、LinkedIn、Dropbox、Dailymotion、请愿网站、新闻服务，甚至还有约会网站。

原文链接：https://www.securityweek.com/information-of-hundreds-of-european-politicians-found-on-dark-web/

研究人员对一种名为RansomHub的新兴勒索软件的分析表明，它是更新和改名后的Knight勒索软件，Knight勒索软件本身则是另一种名为Cyclops的勒索软件的进化版本。Knight（也称为Cyclops 2.0）勒索软件首次出现在2023年5月，采用双重勒索策略，窃取和加密受害者的数据以获取经济利益。它在多个平台上运行，包括Windows、Linux、macOS、ESXi和Android。该勒索软件在 RAMP 网络犯罪论坛上进行宣传和销售，已发现涉及该勒索软件的攻击利用网络钓鱼和鱼叉式网络钓鱼活动，形式为恶意附件。这一勒索软件即服务（RaaS）操作在2024年2月底关闭，当时其源代码被公开出售，这表明它有可能已转手给不同的行为者，后者决定以RansomHub品牌进行更新和重新发布。

原文链接：https://thehackernews.com/2024/06/rebranded-knight-ransomware-targeting.html

与朝鲜有关的威胁行为者Andariel被发现使用一种名为 Dora RAT 的基于 Golang 的新型后门，针对韩国的教育机构、制造公司和建筑企业进行攻击。这些攻击使用了键盘记录器、信息窃取工具和代理工具等恶意软件，可能用于控制并窃取感染系统中的数据。这些攻击的特点是利用一个存在漏洞的Apache Tomcat服务器来分发恶意软件。研究人员指出，该系统运行的是2013年版本的Apache Tomcat，容易受到多种漏洞的攻击。Andariel也被称为Nicket Hyatt、Onyx Sleet和Silent Chollima，是一个高级持续性威胁 (APT) 组织，自 2008 年以来一直代表朝鲜的战略利益开展活动。作为 Lazarus Group 的一个子集群，该组织通常使用鱼叉式网络钓鱼、水坑攻击和已知软件漏洞获取初始访问权并向目标网络分发恶意软件。

原文链接：https://thehackernews.com/2024/06/andariel-hackers-target-south-korean.html

Insikt Group 的研究人员观察到，威胁行为者APT28使用HeadLace恶意软件和凭证收集网页，针对欧洲的网络进行攻击。APT28，也被称为BlueDelta、Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy和TA422，是与俄罗斯战略军事情报单位GRU相关的高级持续性威胁（APT）组织。专家观察到，该组织在 2023 年 4 月至 12 月期间分三个不同阶段部署了Headlace恶意软件，分别使用网络钓鱼、受感染的互联网服务和本地二进制文件（LOLBins）。凭据收集页面的目标是乌克兰国防部、欧洲交通基础设施和阿塞拜疆智库。APT28的间谍活动反映了一种更广泛的策略，旨在收集对俄罗斯在其对乌克兰的持续侵略中具有军事意义的实体的情报。

原文链接：

https://securityaffairs.com/164061/apt/apt28-headlace-malware-europe.html

网络犯罪分子正在 Telegram 上推广一种名为“V3B”的新型网络钓鱼工具包，目前该工具包的目标是爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利的 54 家主要金融机构的客户。该网络钓鱼工具包的价格在每月 130 至 450 美元之间，具体取决于购买的内容，具有高级混淆、本地化选项、OTP/TAN/2FA 支持、与受害者的实时聊天以及各种逃避机制。据发现 V3B 的 Resecurity 研究人员称，其 Telegram 频道已经拥有超过 1,250 名成员，这表明新的网络钓鱼即服务 (PhaaS) 平台正在网络犯罪领域迅速获得关注。V3B 在自定义 CMS 上使用高度混淆的 JavaScript 代码来逃避反网络钓鱼和搜索引擎机器人的检测并防止研究人员的攻击。它包含芬兰语、法语、意大利语、波兰语和德语等多种语言的专业翻译页面，以增强网络钓鱼攻击的有效性，使威胁行为者能够开展多国活动。该套件可在移动和桌面平台上运行，可以拦截银行账户凭证和信息以及信用卡详细信息。此外，管理面板（uPanel）允许欺诈者通过聊天系统与受害者实时互动，通过发送自定义通知来获取一次性密码（OTP）。被盗信息通过 Telegram API 传回给网络犯罪分子。

原文链接：https://www.bleepingcomputer.com/news/security/new-v3b-phishing-kit-targets-customers-of-54-european-banks/

高级持续威胁行动 HellHounds使用 Windows 版Decoy Dog 恶意软件对俄罗斯 48 家电信、IT、政府和航天工业实体发动了攻击。据 Positive Technologies 报告称，除了利用自定义加载程序分发 Windows 版 Decoy Dog 外，HellHounds还利用自定义 3snake 版本来窃取 Linux 主机的凭据。进一步分析显示，HellHounds 还利用泄露的安全 Shell 登录凭据入侵了至少两名受害者。研究人员表示，攻击者长期以来一直能够潜伏在俄罗斯的关键组织内。尽管几乎所有的 Hellhounds 工具包都是基于开源项目，但攻击者已经对其进行了相当出色的修改，以绕过恶意软件防御并确保在受感染组织内长期隐蔽存在。HellHounds首次被该公司记录是在2023年11月底。有证据表明，自2021年以来，该威胁行为者一直在针对俄罗斯公司，恶意软件的开发可以追溯到2019年11月。

原文链接：https://www.scmagazine.com/brief/new-decoy-dog-trojan-for-windows-deployed-against-russia

LightSpy间谍工具的macOS版本已被发现，确认了这一工具的广泛影响，此前该工具仅被认为针对Android和iOS设备。LightSpy是一种模块化的iOS和Android监控框架，用于从人们的移动设备中窃取各种数据，包括文件、截图、位置信息（包括建筑楼层）、微信通话中的语音记录、微信支付的支付信息，以及从Telegram和QQ Messenger中的数据外泄。该框架背后的攻击者使用它对亚太地区的目标进行攻击。自2024年1月以来，已经发现一个macOS版本在野外活跃。然而，其操作目前似乎仅限于测试环境，只有少数被感染的机器被网络安全研究人员使用。研究人员通过利用配置错误侵入了LightSpy的控制面板，获得了关于其功能、基础设施和受感染设备的深入了解。

原文链接：https://www.threatfabric.com/blogs/lightspy-implant-for-macos

佛罗里达州一家负责背景调查和其他个人信息请求公司的数十亿份记录被窃取，这些记录可能很快就会被泄露到网上。今年 4 月，一个自称 USDoD 的犯罪团伙在地下论坛上以350 万美元的价格出售该数据库，并声称该数据库包含 29 亿条美国、加拿大和英国公民的记录。据信，该数据泄露的幕后黑手是一名或多名自称 SXUL 的犯罪团伙，他们将这些数据交给了充当中间人的 USDoD。被盗信息包括个人全名、地址和至少30年前的地址历史、社会安全号码以及人们的父母、兄弟姐妹和亲戚，其中一些人已经去世近20年。据美国国防部称，这些信息并非从公共来源抓取的，数据库中可能存在重复的条目。

原文链接：https://www.theregister.com/2024/06/03/usdod_data_dump/

RansomHub 勒索软件组织将美国电信公司 Frontier Comunications 添加到其 Tor 泄漏网站的受害者名单中，声称窃取了其5GB 数据，超过 200 万客户受到影响。被盗数据包括姓名、电子邮件地址、社会保险号、信用、分数、出生日期和电话号码。今年 4 月，Frontier Communications通知美国证券交易委员会 (SEC)，该公司在遭遇网络攻击后必须关闭某些系统。该事件于 4 月 14 日被发现，原因是一名未经授权的威胁行为者未经授权访问了该公司的部分 IT 环境。该公司对该安全漏洞展开了调查，并采取行动控制事件。该公司没有提供有关此次攻击的详细信息，也尚未透露受影响人数。RansomHub 发布了被盗记录的图片作为数据泄露的证据，并威胁说，如果受害者在九天内不支付赎金，他们将公布被盗数据。

原文链接：

https://securityaffairs.com/164126/data-breach/ransomhub-gang-hacked-frontier-communications.html

澳洲稀土矿商北方矿业（Northern Minerals）披露，在 3 月底其系统遭受网络攻击后，其数据被盗并暴露在暗网上。该矿业公司在提交给澳大利亚证券交易所的文件中表示，此次入侵事件泄露的信息包括北方矿业公司的公司、财务和运营数据，以及其现任和前任雇员和股东的某些信息。Northern Minerals 的此类披露是在它被添加到BianLian 勒索软件行动的勒索页面之后做出的，该页面已公布了据称从该公司窃取的所有数据，包括运营信息、研发细节、财务信息、有关澳大利亚和外国项目的文件、员工个人信息、股东和潜在投资者详细信息，以及该公司董事长、执行董事和首席财务官的电子邮件。

原文链接：

https://www.scmagazine.com/brief/data-breach-confirmed-by-northern-minerals-after-bianlian-leak

威胁行为者 Sanggiero 声称拥有著名在线市场 Pandabuy 的整个数据库。被盗数据库包含多达 1700 万行用户记录，涵盖名字、姓氏、用户 ID、电子邮件、订单数据、IP 地址、国家、密码等敏感信息。威胁者 Sanggiero 已就其意图发表声明。他们声称，用于破坏 Pandabuy 防御系统的漏洞（据称该公司尚未解决）将很快在其博客网站上公布。此外，他们还宣布打算披露 Pandabuy 员工的姓名和密码，尽管是以使用 base-64 加密的编码形式。威胁者警告 Pandabuy 仍有可能进行谈判，但时间不多了。他们为被盗数据库开出了 40,000 美元的高价，表明他们准备将窃取的数据卖给出价最高的人。

原文链接：https://dailydarkweb.net/threat-actor-claims-to-sell-pandabuy-database-with-17-million-user-records/

臭名昭著的威胁行为者 ShinyHunters 正在出售据称从桑坦德银行窃取的大量数据，售价为 200 万美元。ShinyHunters 声称窃取了 3000 万客户、员工和银行账户数据。5 月中旬，西班牙金融机构桑坦德银行披露了一起涉及第三方提供商的数据泄露事件，影响了智利、西班牙和乌拉圭的客户。该银行发现第三方提供商托管的其中一个数据库遭到未经授权的访问。该公司宣布立即采取措施控制事件。该公司阻止了对数据库的入侵访问，并建立了额外的欺诈预防控制措施来保护受影响的客户。被盗数据库包含所有现任和部分前任员工的信息。该银行指出，该数据库不存储交易数据、网上银行详细信息、密码或其他允许某人进行交易的数据。该金融机构尚未提供此次事件的技术细节或泄露的数据种类。目前尚不清楚有多少人受到影响。

原文链接：https://securityaffairs.com/163956/data-breach/shinyhunters-claims-santander-breach.html

威胁行为者声称正在出售从领先的汽车售后市场零部件供应商Advance Auto Parts公司窃取的3TB数据，这些数据是在攻破该公司Snowflake账户后被盗取的。Advance Auto Parts在美国、加拿大、波多黎各、美属维尔京群岛、墨西哥和多个加勒比海岛经营着4,777家门店和320个Worldpac分支机构，并为1,152家独立拥有的Carquest门店提供服务。根据威胁行为者（使用Sp1d3r代号）透露的信息，从Advance的Snowflake云存储环境中窃取的大量数据档案包括：3.8亿个客户档案（姓名、电子邮件、手机、电话、地址等）、1.4亿个客户订单、4400万个忠诚度/加油卡号（含客户详细信息）、汽车零部件/零件编号、销售历史、含有社会安全号码 (SSN)、驾驶执照号码和人口统计详细信息的求职者信息、交易支付详情。

原文链接：https://www.bleepingcomputer.com/news/security/advance-auto-parts-stolen-data-for-sale-after-snowflake-attack/