网络安全资讯周报（8/19- 8/23）

• 错误配置的数据库暴露了 Al-Anon 数据 

• CannonDesign公司遭遇勒索软件攻击致13000名客户数据泄露 

• 俄勒冈州动物园黑客事件导致泄露影响超过 10 万人 

• FlightAware客户数据因配置错误而暴露 

• 丰田数据遭泄露240 GB 数据被盗 

• 美国Carespring 养老院数据泄露事件影响近 7.7 万人 

• 数据库配置错误导致智利一半以上人口数据泄露 

网络安全研究人员发现了与以经济为动机的威胁行为者FIN7相关的新的基础设施。这些基础设施由来自俄罗斯的Post Ltd和爱沙尼亚的SmartApe提供，表明FIN7通过这些IP地址进行通信。最新的分析显示，这些主机可能是通过Stark的经销商采购的。研究发现，FIN7的基础设施与至少15个Stark分配的主机和16个其他主机进行了通信。Stark在负责任的披露后已暂停这些服务。

原文链接：

https://thehackernews.com/2024/08/researchers-uncover-new-infrastructure.html

微软于本月修复了一个被朝鲜黑客组织 Lazarus Group利用的零日漏洞，该漏洞被追踪为CVE-2024-38193，CVSS评分为7.8。该漏洞存在于Windows Ancillary Function Driver（AFD.sys）中，允许攻击者通过特权升级获取SYSTEM权限。攻击者利用这一漏洞绕过正常的安全限制，访问敏感系统区域，攻击通常使用一种名为FudModule的rootkit以规避检测。这种攻击与2024年2月修复的CVE-2024-21338类似，也被Lazarus集团利用。两者都利用了Windows主机上已安装的驱动程序中的安全漏洞，而非引入新的易受攻击驱动程序。

原文链接：https://www.scmagazine.com/brief/patched-windows-zero-day-used-in-lazarus-attack

由于连通性不断增强，针对航空设备、系统和网络的网络安全威胁日益加剧，这促使美国联邦航空管理局 ( FAA) 提出新的网络规则，旨在加强对故意未经授权的电子交互的防御能力。除了强制识别和评估涉及飞机、发动机和螺旋桨运行的网络的网络安全漏洞外，根据拟议规则，航空业组织还必须为飞行员建立网络攻击响应程序并降低 IUEI 风险。研究人员表示“我们既需要有能力防止未来对制造商发出持续适航指令后发现的未知漏洞的攻击，也需要制造商和运营商商定何时更新运营商的飞机以解决影响适航的未来软件漏洞的流程。”

原文链接：https://therecord.media/faa-new-cybersecurity-rules-airplanes

朝鲜国家支持的威胁行动UAT-5394 使用新型MoonPeak远程访问木马（XenoRAT 恶意软件的变种）发起了攻击 。根据 Cisco Talos 分析，UAT-5394（被怀疑是 Kimsuky、其分支或利用 Kimsuky 工具包的独立行动）建立了更新的测试虚拟机、有效载荷托管站点和命令与控制服务器，以支持在攻击活动中创建新的 MoonPeak RAT 变种。研究人员还发现，在每一次后续 MoonPeak 迭代中，都会引入更先进的反分析技术，并改变整体通信机制。“新恶意软件的持续采用及其演变（例如 MoonPeak 的情况）的时间表表明，UAT-5394 继续在其武器库中添加和增强更多工具。UAT-5394 快速建立新的支持基础设施表明，该组织旨在迅速扩大这一活动，并设置更多的投放点和 C2 服务器，”研究人员表示。

原文链接：https://www.infosecurity-magazine.com/news/moonpeak-rat-north-korea/

来自拉丁美洲多个国家（包括智利、哥伦比亚、厄瓜多尔和巴拿马）不同行业的组织和个人均遭受了 Blind Eagle 威胁行动（也称为 APT-C-36）的鱼叉式网络钓鱼攻击，攻击利用包括 AsyncRAT、Remcos RAT、NjRAT 和 BitRAT 在内的远程访问木马进行攻击。根据卡巴斯基的报告，Blind Eagle 的入侵始于分发带有恶意附件的政府和金融机构钓鱼电子邮件，这些恶意附件包含链接，这些链接在经过地理验证后会重定向到托管压缩 ZIP 存档的网站，作为初始植入程序。然后，此类植入程序利用 Visual Basic 脚本从服务器（可能包括 GitHub 和 Pastebin）中检索第二阶段有效负载，然后获取RAT，这些RAT大多通过进程挖空执行。“尽管 BlindEagle 的技术和程序看似简单，但它们的有效性使该组织能够维持高水平的活动。通过持续执行网络间谍活动和金融凭证盗窃活动，Blind Eagle仍然是该地区的重大威胁，”卡巴斯基表示。

原文链接：

https://www.scmagazine.com/brief/blind-eagle-attacks-target-latin-america-with-rats

伊朗国家支持的威胁行动TA453（也称为 APT42、Damselfly、Charming Kitten、Yellow Garuda 和 Mint Sandstorm）在 上个月底针对犹太重要人物发起的鱼叉式网络钓鱼攻击活动中寻求新的AnvilEcho PowerShell木马分发。根据 Proofpoint 的分析，TA453 在钓鱼邮件中冒充战争研究所研究主任，邀请这位犹太人做客播客，随后又发送了后续消息，其中包含受密码保护的 DocSend URL 和带有 ZIP 存档的 Google Drive URL。报告显示，此类 ZIP 存档中有一个部署了 BlackSmith 工具集的 LNK 文件，该文件随后会执行具有情报收集和泄露功能的 AnvilEcho 恶意软件，包括系统侦察、远程文件下载、屏幕截图和数据上传。

原文链接：https://thehackernews.com/2024/08/iranian-cyber-group-ta453-targets.html

美国半导体制造公司Microchip Technology 于8月20日披露，其于8月17日检测到其信息技术系统中可能存在的可疑活动，并于 8 月 19 日确定某些服务器和业务运营已中断。经过调查确认存在未经授权的访问行为。为应对此次事件，公司隔离了相关系统并关闭了一些业务操作，同时聘请外部网络安全顾问进行深入分析。此攻击已导致Microchip部分制造设施的生产能力低于正常水平，影响了订单的履行。鉴于该公司在汽车、国防和航空航天领域的重要性，此次事件尤其令人担忧。目前尚未明确此次攻击的具体原因及破坏范围，也未确认是否涉及勒索软件。该制造商表示，尚未确定该事件是否会产生重大影响。

原文链接：https://therecord.media/microchip-technology-operations-cyberattack-disrupted

自去年11月开始的钓鱼活动中，一对攻击基础设施截然不同的威胁行为者利用冒充匈牙利 OTB 银行、格鲁吉亚 TBC 银行和一家未具名捷克银行的恶意渐进式 Web 应用程序来窃取Android 和 iOS 用户的银行数据。ESET 的一份报告显示，攻击者利用自动语音呼叫、社交媒体广告和短信诱使目标下载 PWA，这些应用与合法应用类似，可以秘密入侵设备的摄像头、麦克风、地理位置和其他浏览器功能。研究人员表示，安装了 PWA 的目标随后被提示提供银行凭证，这些凭证被泄露到攻击者控制的服务器中，他们还试图拆除黑客使用的网络钓鱼域和服务器。ESET 指出：“我们预计会有更多山寨应用被创建和分发，因为安装后很难区分合法应用和网络钓鱼应用。”

原文链接：https://therecord.media/hackers-target-bank-clients-czechia-hungary-georgia-phishing

Al-Anon 是一家为酒精使用障碍患者的家人和朋友提供支持的国际组织，其不安全的 MongoDB 数据库在 7 月下旬暴露了超过 200000 条用户记录的数据集。数据库泄露的信息  包括个人的全名、电子邮件、电话号码、加密密码和验证令牌，以及加入日期和私人聊天记录。尽管 Al-Anon 在报告后立即采取行动保护数据库，但泄漏仍然十分严重。研究人员表示：“不仅个人数据，而且私人通信的泄露，都严重违背了用户的信任，可能会导致情绪困扰、身份盗窃和其他隐私问题。”他们建议采用强大的数据库身份验证和加密、全面的数据审计、定期的安全评估和违规通知透明度来防止和减轻数据泄露。

原文链接：

https://www.scmagazine.com/brief/misconfigured-database-exposes-al-anon-data

总部位于美国的全球建筑、工程和咨询公司 CannonDesign 证实，在 2023 年 1 月遭受AvosLocker 勒索软件攻击 后，其 13000 名客户的数据遭到泄露 。CannonDesign 在泄密通知信中表示，1 月 19 日至 25 日期间，攻击者未经授权访问了 CannonDesign 的网络，窃取了姓名、社会安全号码、地址和驾驶执照号码，并强调没有证据表明被盗数据被滥用。然而，AvosLocker 此前声称 CannonDesign 的系统被窃取了 5.7 TB 的数据，其中不到一半的数据后来在该公司未能支付要求的赎金后泄露在Dark Angels勒索软件团伙的 Dunghill Leak 网站上。除了项目示意图、客户详细信息、IT 和基础设施信息以及招聘文件外，Dunghill Leak 上曝光的信息据称还包括数据库转储、质量保证报告和营销材料。这些数据后来也被发布在 ClubHydra 和 Breached Forums 上，但 CannonDesign 并未证实这些数据是否也是此次泄密的一部分。

原文链接：

https://www.bleepingcomputer.com/news/security/cannondesign-confirms-avos-locker-ransomware-data-breach/

俄勒冈州动物园网站的支付平台遭受了长达数月的支付盗刷恶意软件攻击，随后 117815 名个人的个人和信用卡信息被泄露。俄勒冈动物园官员在提交给缅因州监管机构的文件中表示，威胁行为者在从第三方供应商重定向在线门票交易后，在 2023 年 12 月 20 日至 2024 年 6 月 26 日期间获取了支付卡详细信息，包括个人姓名、支付卡号、CVV 和有效期。俄勒冈动物园的泄密事件是在过去一年中坦帕湾动物园和多伦多动物园分别遭受网络攻击之后发生的。 

原文链接：

https://therecord.media/cybercriminals-siphon-credit-card-info-from-zoo

美国主要航班数据聚合器 FlightAware 自 2021 年 1 月以来的客户数据因配置错误而暴露，该错误于上个月底被发现后已得到解决 。FlightAware 在其网站上表示，由于 配置错误而泄露的信息包括个人姓名、出生年份、送货地址、账单地址、IP 地址、社交媒体帐户和电话号码，以及信用卡的后四位数字、飞机和行业详细信息、头衔、飞行员身份和帐户活动。然而，该公司向加州总检察长办公室提交的文件中披露的进一步调查显示，个人的社会安全号码和密码被泄露。有关受此次入侵影响的人数以及泄露信息的潜在泄露的更多细节仍不确定，但FlightAware 已经要求所有受影响的用户重置帐户凭证。

原文链接：https://techcrunch.com/2024/08/19/flightaware-warns-that-some-customers-info-has-been-exposed-including-social-security-numbers/

丰田已确认其网络遭受了有限的攻击，此前威胁行为者 ZeroSevenGroup 曝光了据称从这家日本跨国汽车制造商美国分公司窃取的240 GB数据。ZeroSevenGroup声称，丰田分公司的入侵不仅导致客户和员工数据被泄露，还导致通过 ADRecon工具获取的财务信息、合同、电子邮件和网络基础设施详细信息被泄露。攻击者可能在 2022 年圣诞节发现被泄露的文件被盗或被创建后获得了备份数据服务器的访问权限。几个月前，丰田云服务中发现了几处配置错误，近十年来数百万客户的个人详细信息和汽车位置数据被泄露。此外，丰田 金融服务公司还报告称，去年11月，该汽车制造商的欧洲和非洲系统遭到 Medusa 勒索软件攻击后，其客户数据遭到泄露。

原文链接：https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-stolen-data-leaks-on-hacking-forum/

总部位于俄亥俄州的养老院 Carespring Health Management 在去年 10 月遭受网络攻击后，76719 名个人信息遭泄露。Carespring 在向缅因州总检察长办公室提供的通知信中表示，威胁行为者在 10 月 12 日至 10 月 30 日期间入侵了 Carespring 的网络，窃取了个人的姓名、出生日期、社会安全号码、地址和健康保险详细信息以及医疗和诊断数据。Carespring 上个月才确定了这一漏洞。有关该事件细节的其他信息仍在调查中，Carespring 并未提供有关该事件细节的其他信息，但自入侵以来，该养老院已被列在众多勒索软件操作的泄密网站上。11 月， NoEscape 勒索软件操作声称入侵了Carespring，该操作据称从该机构窃取了 364 GB 的数据。此后，Carespring 分别于 2 月和 5 月被添加到 Hunters International 和 LockBit 勒索软件团伙的网站中。

原文链接：https://www.securityweek.com/carespring-data-breach-exposes-personal-and-medical-information-of-nearly-77000-patients/

原文链接：https://cybernews.com/security/caja-los-andes-chile-data-leak/