安全简讯（2024.06.28）

1. BSNL 数据泄露使数百万用户面临欺诈和安全风险

6月27日，印度国有电信供应商印度国家电信有限公司 (BSNL) 遭遇重大数据泄露，攻击者名为“kiberphant0m”。此次网络攻击泄露了超过 278GB 的敏感数据，使数百万用户面临 SIM 卡克隆、身份盗窃和金融欺诈的风险。根据数字风险管理公司 Athentian Tech 的报告，泄露的数据包括国际移动用户识别码 (IMSI) 号码、SIM 卡详细信息、归属位置寄存器 (HLR) 数据和关键安全密钥。这些广泛的运营数据可能引发复杂的攻击，不仅针对 BSNL，还针对互连的系统和网络，对国家安全造成重大风险。Athentian Tech 首席执行官 Kanishk Gaur向《经济时报》透露，泄露的数据正在暗网上以 5,000 美元的价格出售。Gaur 强调了泄露数据的复杂性和关键性，这些数据超出了一般用户信息的范围，并且针对的是 BSNL 运营系统的核心。由于数据的敏感性和广泛的范围，如此高的价格凸显了数据的价值，数据超出了典型的用户信息，并且针对的是 BSNL 的核心业务。此次事件是 BSNL 在过去六个月内遭遇的第二次数据泄露。2023 年 12 月，一个名为“Perell”的威胁行为者发布了一个数据集，其中包含有关 BSNL 光纤和固定电话用户的 32,000 行敏感信息。

https://gbhackers.com/bsnl-data-breach-exposes-millions/

2. 韩国电信公司涉嫌向其 P2P 用户感染恶意软件

6月27日，韩国一家媒体称，本土电信公司 KT 由于客户过度使用点对点 (P2P) 下载工具而故意让部分客户感染恶意软件。据报道， “网络硬盘”（韩国术语，指允许上传和共享内容的在线存储服务）的感染用户数量已达到 600,000。用于隐藏文件的恶意软件被插入了网格程序中，该程序允许 KT 用户以点对点方式交换数据。文件交换服务随后停止工作，导致用户在公告板上抱怨。从 2020 年 5 月开始，限制流量的行为已持续了近 5 个月，并且是在 KT 自己的一个数据中心内部进行的。该事件引起了足够多的关注，警方展开了调查，他们搜查了 KT 的总部和数据中心，并查获了证据，以寻找该电信公司违反韩国《通信秘密保护法》（CSPA）和《信息和通信网络法》（ICNA）的证据。CSPA 旨在保护通信的隐私和机密性，而 ICNA 则解决信息和通信网络的使用和安全问题。调查发现 KT 内部有一整个团队专门负责检测和干扰文件传输，其中一些员工负责开发恶意软件，另一些负责分发和操作以及窃听。据称，13 名 KT 员工和合作伙伴员工已被确定并可能被起诉。

https://www.theregister.com/2024/06/27/kt_p2p_malware_claim/

3. Snowblind安卓恶意软件和窃取登录信息和绕过安全功能

6月27日，移动应用安全提供商 Promon 发现了一种名为 Snowblind 的新 Android 恶意软件。在 6 月 26 日星期三与 Hackread.com 发布之前，Promon 在其报告中透露，这种恶意软件具有独特的能力，可以禁用应用检测恶意修改的能力，从而绕过最强大的防篡改机制，使用户面临财务损失和欺诈等风险。它通过操纵 Android 设备上的辅助功能服务和“seccomp”功能来实现其恶意目标。供您参考，“ seccomp ”（安全计算）是 Linux 内核中的安全过滤器，可限制应用程序对操作系统进行系统调用或请求的能力。辅助功能服务使残障用户能够与应用程序界面交互和修改应用程序界面、阅读屏幕内容、输入文本等。Snowblind 旨在通过绕过目标应用中的防篡改机制来阻止对重新打包的应用的检测。它会修改应用以避免检测无障碍服务，并使用 seccomp 功能来拦截和操纵系统调用，从而绕过安全检查并保持不被发现。它还会安装一个 seccomp 过滤器来捕获特定的系统调用，并使用信号处理程序来拦截和修改这些调用以防止检测。通过此过滤器，Snowblind 可以检查系统调用的来源，只有当调用来自防篡改库时，它才会生成信号。这提高了攻击速度，并允许攻击者过滤、检查和操纵任何系统调用。

https://hackread.com/snowblind-android-malware-steals-bypasses-security/

4. 威胁者声称出售包含20万条记录的 Hey You 数据库

6月26日，一名威胁行为者宣布出售据称属于 Hey You (heyyou.com.au) 的数据库，Hey You 是一款流行的澳大利亚应用程序，允许用户从全国各地的各种咖啡馆和快餐店订购食物和饮料。该数据库包含 202,488 条记录，包括全名、电子邮件、电话号码、地址、用户名和密码。威胁行为者提供的详细信息包括客户数据列，例如客户 ID、用户 ID、名字和姓氏、手机号码、电子邮件地址、可用和实际余额、免费交易、推荐信息、出生日期、付款方式、图像、匿名状态、计划 ID、信标设置、推荐人代码、验证状态、IP 地址、用户代理、地理编码地址和 Google 选择加入状态。威胁者提供这些信息是为了证明数据泄露的程度并吸引潜在买家。出售此类数据对受影响用户的隐私和安全构成重大风险。

https://dailydarkweb.net/threat-actor-claims-to-sell-database-of-hey-you-with-202488-records/

5. LockBit称美联储的数据实际上可能属于 Evolve 银行

6月26日，勒索软件组织 LockBit 声称已经攻破美国中央银行系统——美国联邦储备委员会，这在金融界引起了轩然大波。在 LockBit 的暗网泄密网站上，该组织威胁说，如果在 6 月 25 日之前不支付赎金，他们将公布超过 30 TB 的包含美国人银行数据的银行信息。声明最后表达了该组织对一位明显愿意支付 50,000 美元的谈判人员的失望。因此，你可以想象，每个人都屏息期待着被盗数据被发布的倒计时结束。然而，当截止日期过去并且数据公布后，查看数据的人们发现，这些数据实际上并不属于美联储，而是属于一个特定的金融机构：Evolve Bank & Trust。所有链接都指向包含似乎属于 Evolve 的数据的目录。目前还没有足够的时间对大量数据进行全面分析，但看起来，这些数据与美联储仅有一点点联系，因为其中包含了一些从六月中旬开始的美联储新闻链接。美国联邦储备委员会对Evolve Bancorp及其子公司Evolve Bank＆Trust进行了处罚，原因是该银行在风险管理、反洗钱（AML）和合规实践中存在多项“缺陷”。

https://www.malwarebytes.com/blog/news/2024/06/federal-reserve-breached-data-may-actually-belong-to-evolve-bank

6. 俄罗斯黑客利用 XWorm RAT 恶意软件攻击乌克兰

6月27日，Cyble 研究与情报实验室 (CRIL) 的研究人员观察到与俄罗斯有关的威胁行为者组织 UAC-0184 通过使用与 Python 相关的文件，利用 XWorm 远程访问木马 (RAT) 攻击乌克兰。该活动以恶意的 LNK 快捷方式文件开始，伪装成合法的 Excel 文档，执行后会执行 PowerShell 脚本。该脚本从指定的 URL 下载两个文件“pkg.zip”和“NewCopy.xlsx”。然后，LNK 快捷方式文件使用启动命令执行“pythonw.exe”，复制文件并将其存储在新文件夹中。“pythonw.exe”通过 DLL 侧加载加载恶意 DLL“python310.dll”，将 shellcode 注入 MSBuild 进程。黑客使用一种称为 DLL 侧载的技术，其中恶意库文件伪装成合法文件。这使攻击者能够以受信任软件的名义运行其代码。此外，他们还使用一种名为 Shadowloader 的工具将 XWorm RAT 注入正在运行的进程中，进一步掩盖其存在。然后，XWorm RAT 被执行，提供一系列功能，包括数据窃取、DDoS攻击和加密货币地址操纵。该恶意软件尝试连接到命令和控制 (C&C) 服务器，但在分析时，该服务器处于非活动状态，因此没有观察到任何恶意活动。

https://thecyberexpress.com/russian-hackers-target-ukraine-xworm-rat/?&web_view=true