网络安全资讯周报（6/24- 6/28）

目录/contents

全球动态

针对安卓设备的Rafel RAT 恶意软件威胁日益严重
美国及其盟友警告开源软件存在内存不安全风险

安全事件

黑客瞄准 MOVEit Transfer 新的关键身份验证绕过漏洞
LockBit 组织谎称美联储遭到黑客攻击
黑客组织Boolka对全球网站发动SQL注入攻击
ExCobalt 网络犯罪组织攻击俄罗斯多个领域的组织
超过 110,000 个网站受到劫持 Polyfill 供应链攻击的影响
TeamViewer 公司网络遭APT组织攻击

数据泄露

黑客出售澳大利亚票务销售巨头 TEG 公司数据
美国医疗保健系统 Geisinger遭遇数据泄露
化学安全评估平台CSAT遭入侵数据疑似泄露
奢侈品零售商Neiman Marcus 遭遇数据泄露
美国医疗服务提供商DRS数据泄露影响 585,000 人

NEWS

Part 1

全球动态

针对安卓设备的Rafel RAT 恶意软件威胁

日益严重

安全研究人员对针对 Android 设备的开源远程管理工具 (RAT) Rafel 发出了警告。Check Point Research (CPR) 的调查发现，多个威胁行为者利用 Rafel RAT，包括一个间谍组织，这表明该工具在实现不同恶意目标方面的多功能性。CPR 早期的一篇文章已将 Rafel 与 APT-C-35/DoNot 团队联系起来，强调了其远程访问、监视、数据泄露和在目标设备上保持持久性的能力。通过收集恶意软件样本和分析约 120 个命令与控制 (C2) 服务器，CPR 确定美国、中国和印度尼西亚是受影响最严重的国家。受感染的设备大部分是三星手机，其次是小米、Vivo 和华为。研究还显示，Android 11 是最容易受到攻击的版本，其次是版本 8 和 5。虽然较新的 Android 版本给恶意软件执行带来了更多挑战，但旧版本仍然很容易受到攻击。

原文链接：

https://www.infosecurity-magazine.com/news/android-users-targeted-rafel-rat/

美国及其盟友警告开源软件存在内存不

安全风险

根据网络安全和基础设施安全局 (CISA) 与澳大利亚和加拿大政府机构合作伙伴合作进行的最新分析，超过一半 (52%) 的关键开源项目包含使用内存不安全语言编写的代码。这份名为《探索关键开源项目的内存安全》的文件是在美国、英国、加拿大、澳大利亚和新西兰的政府机构发布针对软件制造商消除内存安全漏洞的建议半年后发布的。对开源安全基金会（OpenSSF）关键项目列表中的 172 个项目的分析表明，其中超过一半的项目包含用内存不安全的语言编写的代码，此类代码占这些项目总代码行数（LoC）的 55%。分析还表明，即使完全用内存安全语言编写的项目也并非没有风险：所分析的三个项目（Ansible、Distribution 和 Home Assistant）中的每一个都依赖于用内存不安全的语言编写的组件，这可能会导致内存安全漏洞，例如缓冲区溢出和释放后使用。成功利用这些类型的漏洞可以让攻击者控制软件、系统和数据。这些政府机构还指出，最大的 OSS 项目，包括 Chromium、Linux 内核、gecko-dev、kvm 和 linux-yocto-contrib，拥有超过 2500 万个 LoC，“其中大部分都是用内存不安全的语言编写的”。

原文链接：https://www.darkreading.com/cybersecurity-operations/amnesty-international-cites-indonesia-as-spyware-hub

Part 2

安全事件

黑客瞄准 MOVEit Transfer 新的关键身

份验证绕过漏洞

Progress Software 发布公告警告其文件传输软件中MOVEit Transfer 存在两个新的漏洞：CVE-2024-5805和CVE-2024-5806，并发布了针对这两个漏洞的修复程序。在 Progress 发布公告后不到一天，威胁监控平台Shadowserver Foundation就发现了利用CVE-2024-5806 漏洞的尝试，这表明黑客已经开始攻击易受攻击的端点。Censys 的网络扫描表明，目前大约有2,700 个暴露在互联网上的 MOVEit Transfer 实例，大部分位于美国、英国、德国、加拿大和荷兰。然而，尚未应用安全更新和/或针对第三方漏洞的建议缓解措施的用户比例尚不清楚。

原文链接：https://www.cyberdaily.au/security/10748-progress-software-warns-of-new-vulnerabilities-in-moveit-transfer-and-moveit-gateway

LockBit 组织谎称美联储遭到黑客攻击

上周，LockBit 团伙宣布其已入侵美国联邦储备委员会的系统并窃取了 33 TB 的敏感数据，其中包括“美国人的银行机密”。Lockbit 勒索软件组织将美联储添加到其 Tor 数据泄露网站的受害者名单中，并威胁将于 2024 年 6 月 25 日 20:27:10 UTC 泄露被盗数据。该组织尚未公布任何被盗数据样本。然而，研究人员对该组织 6 月 26 日在其 Tor 泄漏网站上泄露的数据进行分析后证实，这些文件属于 Evolve Bank & Trust。Evolve Bank & Trust 本周在其网站上发布公告，确认了安全漏洞的存在，并宣布已对该事件展开调查。该金融机构证实，某些个人信息可能已被泄露。

原文链接：

https://securityaffairs.com/164988/cyber-crime/lockbit-has-not-hacked-federal-reserve.html

黑客组织Boolka对全球网站发动SQL注入

攻击

一个之前未被记录的威胁行为者Boolka被发现使用恶意脚本入侵网站，以传播代号为BMANAGER 的模块化木马。Group-IB 研究人员在上周发布的一份报告中表示：“此次活动背后的威胁行为者至少从 2022 年开始就一直在对各个国家的网站进行机会性SQL注入攻击。”“在过去三年中，威胁行为者一直在用恶意 JavaScript 脚本感染易受攻击的网站，这些脚本能够拦截在受感染网站上输入的任何数据。”Boolka 的名称取自插入到网站中的 JavaScript 代码，每当不知情的访问者访问受感染的网站时，该代码就会向名为“boolka[.]tk”的命令和控制服务器发出信号。JavaScript 还旨在以 Base64 编码格式收集和泄露用户输入和交互，表明使用该恶意软件来获取凭证和其他个人信息等敏感详细信息。此外，它会将用户重定向到一个虚假的加载页面，提示受害者下载并安装浏览器扩展程序，而实际上，它会植入BMANAGER木马的下载程序，而后者会尝试从硬编码的URL 获取恶意软件。

原文链接：https://thehackernews.com/2024/06/new-cyberthreat-boolka-deploying.html

ExCobalt 网络犯罪组织攻击俄罗斯多个

领域的组织

Positive Technologies 的研究人员报告称，一个名为 ExCobalt 的网络犯罪团伙利用一种之前未知的基于 Golang 的后门（名为 GoRed）攻击了多个领域的俄罗斯组织。ExCobalt 组织成员至少自 2016 年起就开始活跃，研究人员认为该组织与臭名昭著的Cobalt Gang有联系。Cobalt 的标志是使用CobInt工具，该工具与 ExCobalt于 2022 年开始使用的工具相同。在过去的一年中，ExCobalt 针对俄罗斯冶金、电信、矿业、信息技术、政府和软件开发等多个行业的组织发起了攻击。

原文链接：https://securityaffairs.com/164838/breaking-news/excobalt-cybercrime-group-targets-russian-orgs.html

超过 110,000 个网站受到劫持 Polyfill 供应

链攻击的影响

Sansec在周二的一份报告中表示，超过110,000 个嵌入图书馆的站点网站面临恶意攻击，攻击会将流量重定向到体育博彩和色情网站。Polyfill 是一个流行的库，它支持 Web 浏览器中的现代功能。今年 2 月初，该公司被中国内容交付网络 (CDN) 公司 Funnull 收购，引发了人们的担忧。该项目的原创者 Andrew Betts敦促网站所有者立即将其删除，并补充说“如今没有任何网站需要 polyfill[.]io 库中的任何 polyfill”，并且“添加到 Web 平台的大多数功能都很快被所有主流浏览器采用，但有一些例外通常无法通过 polyfill 实现，例如 Web Serial 和 Web Bluetooth。”这一发展还促使网络基础设施提供商Cloudflare和Fastly提供替代端点，以帮助用户摆脱 polyfill[.]io。

原文链接：https://thehackernews.com/2024/06/over-110000-websites-affected-by.html

TeamViewer 公司网络遭APT组织攻击

远程访问软件公司 TeamViewer 警告称，其于 2024 年 6 月 26 日检测到其内部公司 IT 环境存在“异常”。该公司在一份声明中表示，他们发现问题后立即启动了响应团队和程序，与全球知名的网络安全专家团队一起展开调查，并实施了必要的补救措施。该公司进一步指出，其企业 IT 环境与产品环境完全隔绝，没有证据表明任何客户数据因该事件受到影响。据美国健康信息共享与分析中心 (Health-ISAC) 发布了一份关于威胁行为者积极利用 TeamViewer 的公告，此次攻击与APT29有关。APT29 又名 BlueBravo、Cloaked Ursa、Cozy Bear、Midnight Blizzard 和 The Dukes，是一个受国家支持的威胁行为者，隶属于俄罗斯对外情报局 (SVR)。目前尚不清楚这是否意味着攻击者正在利用 TeamViewer 的缺陷来侵入客户网络、利用不良安全措施渗透目标并部署软件，或者他们对 TeamViewer 自己的系统进行了攻击。

原文链接：https://www.bleepingcomputer.com/news/security/teamviewers-corporate-network-was-breached-in-alleged-apt-hack/

Part 3

数据泄露

黑客出售澳大利亚票务销售巨头 TEG公司

数据

一名威胁行为者在一个流行的黑客论坛上出售据称从TEG公司窃取的数据。该威胁行为者声称已获取 3000 万用户的信息，包括全名、用户名、性别、出生日期、哈希密码和电子邮件地址，并分享了据称被盗数据的样本作为黑客攻击的证据。TEG公司（Ticketek Entertainment Group）是一家澳大利亚公司，从事现场娱乐和票务行业。该公司在多个国家开展业务，每年售出超过 3000 万张门票，涵盖 30,000 多个活动，包括现场体育赛事、音乐会、戏剧、节日和展览。5月底，TEG公司披露了一起网络攻击事件，影响了 Ticketek Australia 账户持有人的信息，这些信息存储在由一家知名的全球第三方供应商管理的云平台上。TEG公司没有透露第三方服务提供商的名称，但专家认为可能是 Snowflake。网络安全公司 Mandiant 在本月早些时候表示，网络犯罪分子从几家 Snowflake 客户那里窃取了“大量数据”。Mandiant正在与 Snowflake 合作调查数据泄露事件，并在一篇博客文章中披露，两家公司已经通知了大约 165 名 Snowflake 客户。目前Snowflake 尚未对其涉嫌涉及TEG数据泄露事件发表评论。

原文链接：

https://techcrunch.com/2024/06/21/hacker-claims-to-have-30-million-customer-records-from-australian-ticket-seller-giant-teg/

美国医疗保健系统 Geisinger遭遇数据泄露

美国宾夕法尼亚州著名医疗保健系统 Geisinger 宣布发生数据泄露事件，涉及该组织签约的 IT 服务提供商 Nuance 的一名前雇员。Geisinger 是一家非盈利组织，运营 134 个护理站点、10 家医院和 Geisinger 健康计划，服务人数总计 120 万。该组织拥有 26,000 名员工，其中包括 1,600 名医生，被认为是宾夕法尼亚州最重要的组织之一。本周早些时候发布的一份公告解释说，2023 年 11 月，Geisinger 检测到一名前 Nuance 员工未经授权访问了其患者数据库。Nuance 立即得到通知并采取行动，阻止该前员工访问 Geisinger 保存患者记录的系统全名。泄露的数据包括电话号码、出生日期、地址、入院、出院或转院代码、病历编号、种族和性别和设施名称缩写。

原文链接：

https://www.bleepingcomputer.com/news/security/former-it-employee-accessed-data-of-over-1-million-us-patients/

化学安全评估平台CSAT遭入侵数据疑似

泄露

美国网络安全和基础设施安全局 (CISA) 透露，其化学品安全评估工具 (CSAT) 遭到恶意行为者入侵，并警告化工厂敏感数据可能已被泄露。2024 年 1 月 23 日至 26 日，攻击者利用 Ivanti Connect Secure 设备中的零日漏洞入侵 CSAT。化学安全评估工具(CSAT)是一个在线门户网站，用户可以使用该门户网站报告其拥有的怀疑可用于恐怖主义的化学品，以确定其是否被视为高风险设施。如果它们被视为高风险，该工具将提示他们上传包含有关敏感信息的安全漏洞评估(SVA)和场地安全计划(SSP)调查。虽然目前没有证据表明这些数据被泄露，但 CISA 已通知可能受影响的个人，他们的信息可能被不当访问。可能被泄露的数据包括顶层调查、安全漏洞评估、站点安全计划、人员保证计划提交以及CSAT用户帐户信息。

原文链接：

https://www.infosecurity-magazine.com/news/chemical-exfiltration-cisa-breach/

奢侈品零售商Neiman Marcus 遭遇数据

泄露

奢侈品零售商 Neiman Marcus 证实，该公司遭遇数据泄露，名为“Sp1d3r”的威胁行为试图以 15 万美元的价格出售在最近的Snowflake 数据盗窃攻击中窃取的数据库。在向缅因州总检察长办公室提交的数据泄露通知中，该公司表示，此次泄露影响了 64,472 人。受影响的个人信息类型因人而异，包括姓名、联系信息、出生日期以及 Neiman Marcus 或 Bergdorf Goodman 礼品卡号（不包括礼品卡 PIN）等信息。Neiman Marcus 表示，在发现漏洞后，他们立即禁用了数据库平台的访问，并与网络安全专家进行了调查，并通知了执法部门。

原文链接：https://www.bleepingcomputer.com/news/security/neiman-marcus-confirms-data-breach-after-snowflake-account-hack/

美国医疗服务提供商DRS数据泄露影响

585,000 人

美国加利福尼亚医疗保健收入周期管理服务提供商 Designed Receivable Solutions (DRS) 已通知当局，最近受数据泄露影响的个人数量已增加至 585,000 人。该公司于 2024 年 1 月 22 日检测到其网络受到入侵，调查显示，黑客访问并窃取了其系统中的文件，包括受保护的健康信息和个人身份信息。泄露的信息包括姓名、地址、出生日期、社会保险号码、健康保险数据和医疗信息。DRS 最初表示，此次泄密事件影响了不到 13 万人。今年 4 月，它通知缅因州总检察长，受影响人数已增至 49.8 万人。据本周四最新通知，受影响人数已增至 58.5 万人。目前尚不清楚是否有勒索软件组织是此次攻击的幕后黑手。目前似乎没有已知的网络犯罪团伙承认对此次攻击负责。

原文链接：https://www.securityweek.com/designed-receivable-solutions-data-breach-impacts-585000-people/