网络安全资讯周报（7/15- 7/19）

• MARINEMAX 数据泄露影响了超过 12.3万人 

• AT&T遭遇攻击约 1.1 亿客户的电话和短信记录被泄露 

• 连锁药店 Rite Aid数据泄露影响了 220 万人 

• Life360数据泄露影响44万用户 

• 黑客组织NullBulge声称入侵迪士尼Slack系统泄露了 1.1 TiB 数据 

• 法国电信巨头SFR遭遇数据泄露 

研究人员警告称，以经济为目的的FIN7组织正在使用多个假名在多个犯罪地下论坛上宣传一种安全规避工具。FIN7 开发了一种名为 AvNeutralizer（也称为 AuKill）的工具，可以绕过安全解决方案。研究人员注意到，该工具已被各种勒索软件操作使用，包括AvosLocker、MedusaLocker、BlackCat、Trigona和LockBit。AvNeutralizer 的新版本采用了一种新技术，利用Windows驱动程序 ProcLaunchMon.sys 来干扰和逃避安全措施。新证据表明，FIN7 使用多个假名来掩盖该组织的真实身份，并维持其在地下市场的犯罪活动。

原文链接：

https://securityaffairs.com/165863/cyber-crime/fin7-advertising-security-evasion.html

俄罗斯安全供应商卡巴斯基宣布退出美国市场。此前近一个月，美国商务部以国家安全风险为由宣布禁止其软件在美国销售。该公司预计将于 2024 年 7 月 20 日（即禁令生效的同一天）关闭其美国业务。2024 年 6 月底，美国商务部表示，经过“极其彻底的调查”，将实施禁令。该公司还被列入实体名单，禁止美国企业与其开展业务。美国工业和安全局 (BIS) 指出：“操纵卡巴斯基软件（包括操纵美国关键基础设施）可能造成数据盗窃、间谍活动和系统故障等重大风险。它还可能危及国家的经济安全和公共健康，导致人员受伤或丧生。”该公司预计将于 9 月 29 日停止提供软件和防病毒签名更新，因此敦促现有的美国客户在 9 月 29 日之前寻找替代的技术解决方案。卡巴斯基否认了这些指控，称其不从事可能威胁美国国家安全的活动，该决定是基于“当前的地缘政治气候和理论担忧”做出的，而不是对其产品和服务的全面评估。

原文链接：https://securityaffairs.com/165799/breaking-news/kaspersky-is-leaving-the-u-s-market.html

据观察，未知威胁行为者利用开源工具开展了针对全球政府和私营部门组织的疑似网络间谍活动。Recorded Future 正在以临时代号 TAG-100 跟踪该活动，并指出攻击者可能攻击了非洲、亚洲、北美洲、南美洲和大洋洲至少十个国家/地区的组织，其中包括两个未具名的亚太政府间组织。自 2024 年 2 月以来，柬埔寨、吉布提、多米尼加共和国、斐济、印度尼西亚、荷兰、台湾、英国、美国和越南的外交、政府、半导体供应链、非营利组织和宗教实体也被列入名单。该网络安全公司表示：“TAG-100 采用开源远程访问功能，并利用各种面向互联网的设备获取初始访问权限。”“该组织使用了开源 Go 后门Pantegana和Spark RAT进行后利用。”攻击链涉及利用影响各种面向互联网的产品的已知安全漏洞，包括 Citrix NetScaler、F5 BIG-IP、Zimbra、Microsoft Exchange Server、SonicWall、Cisco Adaptive Security Appliances (ASA)、Palo Alto Networks GlobalProtect 和 Fortinet FortiGate。据观察，该组织还针对至少 15 个国家/地区的组织机构的互联网设备开展了广泛的侦察活动，其中包括古巴、法国、意大利、日本和马来西亚。其中还包括位于玻利维亚、法国和美国的几个古巴大使馆。

原文链接：https://thehackernews.com/2024/07/tag-100-new-threat-actor-uses-open.html

据观察，伊朗民族国家行为者MuddyWater在最近的攻击活动中使用了前所未见的后门，不再采用其众所周知的部署合法远程监控和管理 (RMM) 软件来维持持续访问的策略。这个被称为 BugSleep 的新后门是研究人员在通过精心设计的网络钓鱼诱饵进行传播时发现的，目前仍在积极开发中。该活动通过伪装成网络研讨会或在线课程邀请的网络钓鱼电子邮件推送恶意软件。这些电子邮件将目标重定向到托管在 Egnyte 安全文件共享平台上的包含恶意负载的档案。在野外发现的一些版本还附带自定义恶意软件加载器，旨在将其注入少数应用程序的活动进程中，包括 Microsoft Edge、Google Chrome、AnyDesk、Microsoft OneDrive、PowerShell 和 Opera。该恶意软件的攻击目标包括土耳其、阿塞拜疆、约旦、沙特阿拉伯、以色列和葡萄牙等国家。

原文链接：

https://www.bleepingcomputer.com/news/security/new-bugsleep-malware-implant-deployed-in-muddywater-attacks/

微软透露，臭名昭著的网络犯罪组织Scattered Spider已将RansomHub和Qilin等勒索软件纳入其武器库。Scattered Spider 是以其复杂的社会工程方案而闻名的威胁行为者，这些方案可以入侵目标并建立持久性，以便进行后续攻击和数据窃取。它还曾针对 VMWare ESXi 服务器并部署 BlackCat 勒索软件。它与更广泛的网络安全社区追踪的 Gold Harvest、0ktapus、Octo Tempest 和 UNC3944 等活动集群有重叠。上个月，据报道该组织的一名关键成员在西班牙被捕。

原文链接：https://thehackernews.com/2024/07/scattered-spider-adopts-ransomhub-and.html

据观察，一个名为Void Banshee的高级持续性威胁 (APT) 组织利用微软 MHTML 浏览器引擎中最近披露的安全漏洞作为零日漏洞来传播名为Atlantida的信息窃取程序。网络安全公司趋势科技于 2024 年 5 月中旬观察到了该活动，该漏洞（追踪为CVE-2024-38112）被用作使用特制的互联网快捷方式 (URL) 文件的多阶段攻击链的一部分。研究人员表示，Atlantida 活动的变种在整个 2024 年都非常活跃，并已发展到使用 CVE-2024-38112 作为 Void Banshee 感染链的一部分；像 Void Banshee 这样的 APT 组织能够利用 [Internet Explorer] 等已禁用的服务，这对全球组织构成了重大威胁。

原文链接：https://thehackernews.com/2024/07/void-banshee-apt-exploits-microsoft.html

网络安全研究人员发现了一种已知窃取恶意软件的更新变种，该恶意软件是由与朝鲜有关的攻击者在先前针对求职者的网络间谍活动中发布的。研究人员表示，有问题的构件是一个名为“MiroTalk.dmg”的 Apple macOS 磁盘映像 (DMG) 文件，它模仿了同名的合法视频通话服务，但实际上，它充当了提供 BeaverTail 原生版本的渠道。BeaverTail 是一种 JavaScript 窃取恶意软件，最早由 Palo Alto Networks Unit 42 于 2023 年 11 月记录下来，是名为“传染性面试”的活动的一部分，该活动旨在通过所谓的工作面试过程用恶意软件感染软件开发人员。Securonix 正在以DEV#POPPER为名跟踪同一项活动。除了从网络浏览器和加密钱包中窃取敏感信息外，该恶意软件还能够提供其他负载，例如 InvisibleFerret，这是一个 Python 后门，负责下载 AnyDesk 以实现持久远程访问。

原文链接：https://thehackernews.com/2024/07/north-korean-hackers-update-beavertail.html

全球最大的休闲船舶和游艇零售商 MarineMax 披露了一次数据泄露事件，影响超过 123,000 人。MarineMax 代理各种船舶品牌，在美国拥有 70 多个零售点和在线销售网络。今年3月，该公司遭受网络攻击，Rhysida勒索软件团伙声称窃取了公司敏感数据。MarineMax 最初表示，网络攻击后没有任何敏感数据受到泄露。但根据根据其发送给受影响个人并提交给美国缅因州总检察长办公室的数据泄露通知，该组织从其与零售业务相关的有限部分信息环境中窃取了数据，其中包括一些客户和员工信息的个人身份信息。

原文链接：

https://securityaffairs.com/165843/data-breach/marinemax-data-breach.html

近日，美国电话电报公司AT&T披露了一起大规模数据泄露事件，影响了约1.09亿移动客户和移动虚拟网络运营商(MVNO)客户。泄露的数据包括电话号码、互动次数和通话时长，但不包含通话内容或个人信息。尽管通信元数据不直接暴露客户身份，但可能与公开信息关联，从而识别客户身份。据彭博社报道，AT&T 并未透露第三方云提供商的名称，但 Snowflake 已确认此次入侵与影响其他客户的黑客攻击有关，例如Ticketmaster、Santander、Neiman Marcus和LendingTree。目前，至少有一人已被逮捕，且AT&T正在努力确保数据未被公开。

原文链接：

https://securityaffairs.com/165658/data-breach/att-disclosed-a-new-data-breach.html

美国第三大连锁药店 Rite Aid 表示，其220 万客户的个人信息于上月被盗。在提交给缅因州总检察长办公室的数据泄露通知信中，Rite Aid表示其在 6 月 6 日发现了这一事件，即攻击者利用一名员工的凭证入侵其网络 12小时后。被盗的数据包括 2017 年 6 月 6 日至 2018 年 7 月 30 日期间购买者的姓名、地址、出生日期和驾驶执照号码或购买时出示的其他形式的政府签发的身份证件。尽管 Rite Aid 尚未透露 6 月份攻击事件的幕后黑手，但 RansomHub 勒索软件团伙声称对此次攻击负责。该团伙在其暗网泄密网站上表示，他们获得了超过 10 GB 的客户信息，相当于约 4500 万行个人信息，包括姓名、地址、dl_id 号码、出生日期、riteaid 奖励号码等。

原文链接：

https://www.bleepingcomputer.com/news/security/rite-aid-says-june-data-breach-impacts-22-million-people/#google_vignette

流行的 Android 和 iOS 家庭安全和位置共享应用程序Life360 遭遇重大数据泄露事件，443223 名用户的个人信息被泄露，涉及用户的全名、电话号码、电子邮件地址等敏感数据。数据泄露发生在 2024 年 3 月，但数据库直到 2024 年 7 月 17 日才在黑客论坛上泄露。此次泄露是由于 API 滥用造成的。黑客通过利用 Android 上应用程序登录端点的漏洞，从 API 响应中访问个人信息，例如名字和电话号码。

原文链接：https://hackread.com/family-location-tracker-app-life360-breach-data-leak/

一个名为NullBulge的黑客组织宣称对迪士尼内部Slack系统进行了入侵，并在Breach Forums上声称泄露了1.1 TiB的数据。此次泄密事件尚未得到证实，据称其中包含该公司开发团队使用的 Slack 通信的完整副本，包括在 Slack 工作区内交换的消息、文件和其他数据。黑客进一步声称，该转储包含“近 10,000 个频道、所有可能的消息和文件、未发布的项目、原始图像、代码、登录信息、内部 API/网页链接等”。该组织自称其行动是为了声援艺术家，确保他们的作品得到公正的报酬，这与迪士尼近年来面临的支付艺术家版税的争议相呼应。尽管NullBulge黑客的起源不明，但有猜测称其可能与LockBit勒索软件有关。

原文链接：https://hackread.com/disneys-internal-slack-breached-nullbulge-leak-data/

法国领先的电信公司、法国第三大电信提供商法国电信公司 (SFR) 遭到网络攻击。据称，此次入侵发生在 2024 年 7 月 12 日，攻击者是一名名为“KevAdams”的黑客。该黑客在在Breachforums论坛上公开了SFR超过140万固定电话用户的敏感信息，并提出以850美元的价格出售，据称的泄露的信息包括姓名、电话号码、地址等。截至目前，SFR 尚未确认此次入侵，黑客也未披露任何攻击细节。

原文链接：https://thecyberexpress.com/french-telecom-giant-sfr-data-breached-claims/