烽火狼烟丨暗网数据及攻击威胁情报分析周报（08/19-08/23）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件199起，同比上周增加21.34%。本周内贩卖数据总量共计102666.7万条；累计涉及10个主要地区，主要涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及贸易、社交、服务等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期恶意软件利用社会工程学持续对企事业单位进行攻击，需加强防范；本周内出现的安全漏洞以微软 Azure Kubernetes服务权限提升漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8795条，主要涉及命令注入、漏洞利用攻击、扫描防护等类型。

以色列关键基础设施数据泄露

泄露时间：2024-08-23

泄露内容：以色列关键基础设施服务器遭到攻击导致约80 TB的敏感数据泄露。该组织声称，这些数据涵盖了各个部门的重要细节，包括水、石油、天然气、电力和电力，影响了该国大部分地区和政府部门。

泄露数据量：80 TB

关联行业：政府

地区：以色列

印度尼西亚交通部数据泄露

泄露时间：2024-08-21

泄露内容：据称印度尼西亚交通部的官方平台 dephub.go.id遭到攻击，该网站管理该部的人事信息系统，该系统处理14,000多名雇员的行政和人事数据，泄露的数据包括敏感信息，例如员工 ID、出生日期、姓名、职位等。

泄露数据量：1.4W

关联行业：政府

地区：印度尼西亚

美国国会议员个人信息泄露

泄露时间：2024-08-20

泄露内容：至少329名美国众议院议员的个人信息被售卖，包括家庭住址、电话号码、亲属关系和财产记录等。暴露的信息包括地址、联系方式、社会关系、商业联系、犯罪记录、留置权和判决记录等。

泄露数据量：329

关联行业：政府

地区：美国

丰田公司第三方数据泄露

泄露时间：2024-08-20

泄露内容：黑客组织ZeroSevenGroup 公开声称，他们成功入侵了丰田公司在美国的一家分支机构，窃取了多达 240GB 的文件数据。这些被盗数据中包含了丰田员工及客户的详细信息、合同和财务数据等。黑客通过使用开源工具 ADRecon 从 Active Directory 环境中收集了大量网络基础设施信息，其中包括关键的凭证数据。被窃取的数据涵盖了联系人信息、财务数据、客户资料、各种方案、员工信息、照片、数据库、网络基础设施、电子邮件等几乎所有的关键数据。

泄露数据量：240GB

关联行业：汽车

地区：美国

Alice's Table客户数据泄露

泄露时间：2024-08-22

泄露内容：Alice's Table在2020年与1-800-FLOWERS.COM, Inc.合作，成功转型为一家提供全数字化和精心策划体验的企业，由于该公司错误配置Google Cloud Storage bucket 导致本次数据泄露。Google Cloud Storage容器中总共包含了超过37,000个文件，包括10,183个XLSX和CSV文件。这些文件包含客户的个人信息，如全名、电子邮件地址、家庭住址和订单详情。泄露的电子邮件地址中，除了个人邮箱，还包括来自BCG、辉瑞、普华永道、查尔斯·施瓦布等公司的工作邮箱帐户，以及政府雇员的相关的账户。

泄露数据量：8.3W

关联行业：电子商务

地区：美国

北韩黑客使用新型远控木马“MoonPeak”发起攻击

近日，Cisco Talos安全研究团队揭露了一场网络攻击活动，攻击者使用了一种新型远程访问木马（RAT）——“MoonPeak”。该攻击活动被归因于一个名为UAT-5394的黑客组织，其与已知的北韩国家黑客组织“Kimsuky”存在战术上的相似之处。MoonPeak木马是基于开源软件Xeno RAT的变种，具备加载插件、启动和终止进程、与命令控制（C2）服务器通信等功能。攻击者通过网络钓鱼手段将恶意软件植入到由其控制的云服务中，例如Dropbox、Google Drive和Microsoft OneDrive。此次攻击的目标目前尚未完全明确，但研究人员发现，攻击者已经建立了新的基础设施，包括C2服务器、恶意软件托管站点和测试虚拟机，以支持MoonPeak的持续迭代和更新。攻击者通过这些服务器不断更新其恶意负载，并收集受感染系统中的日志和敏感信息。

消息来源：

https://thehackernews.com/2024/08/north-korean-hackers-deploy-new.html

伊朗黑客组织TA453发动定向钓鱼攻击，瞄准犹太知名人士

Proofpoint公司近日披露，伊朗国家支持的黑客组织TA453于2024年7月末开始，针对一名犹太知名人士发起了定向钓鱼攻击，目的是部署一种名为“AnvilEcho”的新型情报收集工具。TA453（也被称为APT42、Charming Kitten等）被认为与伊朗的伊斯兰革命卫队（IRGC）有关，执行的网络攻击支持其政治和军事利益。该组织利用新型恶意软件AnvilEcho进行攻击，通过PowerShell木马BlackSmith传播。该组织通过伪装成“战争研究所”的研究总监，向目标发送虚假邀请，企图以Podcast访谈为由诱骗目标点击恶意链接，通过社会工程学手段建立信任后发送包含恶意软件的文档。此次攻击将导致目标的敏感信息被盗取。AnvilEcho木马具有强大的情报收集和数据泄露功能，能够对系统进行侦察、截图、下载远程文件，并通过FTP和Dropbox上传敏感数据。TA453的行动反映了伊朗革命卫队的情报优先事项，而此次攻击是该组织一贯的网络攻击策略的一部分，主要针对政客、人权捍卫者、持不同政见者以及学术界人士。

消息来源：

https://thehackernews.com/2024/08/iranian-cyber-group-ta453-targets.html

FakeBat恶意软件感染激增，源自恶意广告攻击

近期，研究人员发现恶意广告攻击导致FakeBat恶意软件感染迅速增长。FakeBat，又称为EugenLoader和PaykLoader，与名为Eugenfest的威胁行为者有关。Google旗下的威胁情报团队将该恶意软件跟踪为NUMOZYLOD，并将其作为恶意软件即服务（MaaS）操作归因于UNC4536。FakeBat的传播利用了“驱动下载”技术，将用户引导至伪造网站，这些网站上托管了带有陷阱的MSI安装程序。受害者在搜索流行软件时，会下载这些伪装的安装程序。这些伪装的安装程序在启动主要应用程序之前执行脚本，称为startScript。NUMOZYLOD收集系统信息，包括操作系统详情、域连接状态和已安装的杀毒产品。某些变种还会收集主机的公共IPv4和IPv6地址，并将这些信息发送到其指挥控制中心（C2），同时在启动文件夹中创建快捷方式（.lnk）以实现持久性。通过FakeBat传递的恶意软件包括IcedID、RedLine Stealer、Lumma Stealer、SectopRAT（也称为ArechClient2）和Carbanak（与FIN7网络犯罪集团相关联）。用户应提高警惕，避免下载来源不明的软件，并及时更新和扫描系统以保护自身安全。

消息来源：

https://thehackernews.com/2024/08/cybercriminals-exploit-popular-software.html

美国芯片制造商由于网络攻击而导致服务中断

美国半导体制造商Microchip Technology报告称，其多个制造工厂在网络攻击中遭遇了中断。公司在2024年8月17日发现IT基础设施中存在潜在可疑活动。攻击严重影响了公司的生产能力，导致部分系统被关闭或隔离以遏制事件的扩散。Microchip Technology启动了安全漏洞调查，并邀请外部网络安全专家协助处理。公司确认此次攻击影响了其履行订单的能力。Microchip Technology是一家公开上市的美国公司，主要生产微控制器、混合信号、模拟和Flash-IP集成电路。公司总部位于亚利桑那州钱德勒，公司还在泰国查猜翁和菲律宾卡兰巴、卡布亚奥设有组装/测试设施。2024财政年度的销售额为76亿美元。

消息来源：

https://securityaffairs.com/167369/hacking/cyberattack-disrupted-operations-microchip-technology.html

数百家运行Magento e-commerce软件的在线商店受恶意攻击

黑客利用线上购物网站的漏洞，特别是使用Magento（现称Adobe Commerce）开源电子商务软件的网站，注入恶意代码，窃取消费者的支付信息。黑客首先识别出存在漏洞的在线商店网站，然后使用自动化工具将一段窃取代码（skimmer）注入这些网站。一旦网站被攻破，这段代码会自动嵌入，通常在短时间内攻击成千上万的在线商店。这一看似无害的代码实际上是一个简单的脚本标签，用于加载由黑客控制的远程网站内容。研究人员发现，黑客在多个受攻击的网站上使用了相同的命名模式，即{domain}.{shop|online}/img/。在被感染的网站上，黑客能够实时窃取消费者在支付页面输入的支付信息，包括姓名、地址、电子邮件地址、信用卡号码、有效期和CVV/CVC码等。除了传统的窃取代码外，黑客还创建了完全伪造的支付页面，甚至在不涉及支付的页面上添加了假的结账页面，进一步扩大了攻击的影响范围。这些敏感支付数据会被自动重定向至黑客的指挥控制服务器，存储在数据库中供犯罪分子使用。窃取的数据可能直接用于欺诈行为，或被转售到暗网上。研究人员发现了15个感染恶意代码的网站域名，包括datawiz[.]shop、happywave[.]shop和salesguru[.]online等。

消息来源：

https://cybernews.com/security/e-commerce-malware-campaign-adobe-magento-steal-payment-info/

新型网络钓鱼攻击能够绕过iOS和Android安全措施

近期，研究人员发现了一种新型的网络钓鱼攻击手法，该手法利用了渐进式Web应用（PWA）的特点。对于 iOS 用户来说，这样的操作可能会打破任何有关安全的“围墙”假设。在 Android 上，这可能会导致默认安装一种特殊类型的 APK。PWA是一类可以直接通过网页安装的应用程序，不需要经过应用商店的审核。攻击者通过伪造这些PWA应用，冒充常见的合法应用程序，诱骗用户安装。这些恶意的PWA应用被设计得与正版应用非常相似，攻击者通常会利用与真实应用类似的域名和网页，诱导用户在不经意间下载安装这些假冒应用。由于PWA不需要通过应用商店审核，攻击者可以通过社会工程学手段（如网络钓鱼邮件或信息）轻松传播这些恶意应用，绕过应用商店的安全检查。一旦用户安装了这些假冒的PWA应用，攻击者便能够拦截并窃取用户的敏感信息，例如登录凭据和支付详情等。这种攻击手法不仅极具隐蔽性，还大大增加了用户数据泄露的风险。

消息来源：

https://www.welivesecurity.com/en/eset-research/be-careful-what-you-pwish-for-phishing-in-pwa-applications/

新型恶意软件PGMem专门攻击PostgreSQL数据库

近日，一种名为PGMem的新型恶意软件被发现，其专门针对PostgreSQL数据库进行攻击。这种恶意软件的主要特征和攻击方式使其对数据库的安全性构成了严重威胁。PGMem使用了一种无文件的攻击方式，这意味着它不在磁盘上存储任何文件，而是直接在受害者的内存中执行。这种技术让它能够绕过大多数传统的防病毒和安全软件的检测。PGMem通过利用PostgreSQL数据库的漏洞来植入恶意代码。攻击者可以通过恶意SQL查询的方式，将恶意负载直接注入数据库进程中，从而控制数据库服务器。该恶意软件通过创建恶意的数据库触发器和函数来保持持久性，即使数据库重新启动，它也能继续执行其恶意操作。PGMem的攻击链通常从获取数据库的访问权限开始，可能是通过钓鱼邮件或暴力破解。成功获取访问权限后，攻击者会发送特制的SQL命令，将恶意代码注入数据库内存中，从而在服务器上执行恶意操作。PGMem的攻击可能导致数据库中的敏感数据被窃取或篡改，严重影响企业和组织的正常运营。

消息来源：

https://thehackernews.com/2024/08/new-malware-pgmem-targets-postgresql.html

新型恶意软件“Cthulhu Stealer”窃取Apple用户信息

近日，研究人员发现了一种专门针对macOS操作系统的信息窃取恶意软件，名为Cthulhu Stealer。该恶意软件使用Golang编写，伪装成合法软件，一些常见的伪装程序包括CleanMyMac、侠盗猎车手IV以及Adobe GenP。当用户明确允许运行未签名的文件（即绕过Gatekeeper保护）后，恶意软件会提示用户输入系统密码，这种基于osascript的技术此前已被Atomic Stealer、Cuckoo、MacStealer和Banshee Stealer所采用。随后，恶意软件还会要求用户输入其MetaMask密码。Cthulhu Stealer旨在收集系统信息，并利用一个名为Chainbreaker的开源工具，窃取iCloud钥匙串密码。被窃取的数据包括Web浏览器的Cookie、Telegram账户信息等，随后这些数据会被压缩并存储为ZIP压缩文件，最终被传输到命令与控制（C2）服务器。Cthulhu Stealer的主要功能是从各种存储中窃取凭据和加密货币钱包，包括游戏账户。据悉，Cthulhu Stealer的功能和特点与Atomic Stealer非常相似，两者都使用osascript提示用户输入密码，甚至包括相同的拼写错误。

消息来源：

https://thehackernews.com/2024/08/new-macos-malware-cthulhu-stealer.html

Mad Liberator 勒索软件组织使用社会工程技术

近日，研究人员揭示了一个名为 Mad Liberator 的新型网络犯罪组织，该组织主要针对使用 AnyDesk 远程访问应用程序的用户，通过社会工程手段，获取受害者环境的访问权限。AnyDesk 为每台设备分配一个唯一的 10 位数 ID，用户可通过输入此 ID 来请求远程访问，或邀请他人控制其设备。一旦连接建立，攻击者会将一个名为“Microsoft Windows Update”的二进制文件传输到受害者的设备并执行。该文件会模拟 Windows 更新界面，使系统看似正在进行更新，而实际上此界面只是在掩盖攻击者的数据窃取操作。此外，攻击者还利用 AnyDesk 的功能禁用了受害者的键盘和鼠标输入，以防止受害者退出该假冒的更新界面。在成功连接后，Mad Liberator 使用 AnyDesk 访问受害者的 OneDrive 账户，并通过网络共享访问中央服务器上的文件，利用 AnyDesk 的文件传输功能进行数据窃取。整个攻击过程持续了近四个小时，期间攻击者通过虚假的 Windows 更新界面掩盖了其操作，最终在结束 Anydesk 会话后，将设备控制权归还给受害者。

消息来源：

https://securityaffairs.com/167231/malware/mad-liberator-ransomware-social-engineering.html

新型Vermin恶意软件攻击活动再度来袭

乌克兰计算机应急响应小组（CERT-UA）发布警告，揭示了一场由Vermin恶意软件主导的新型网络攻击活动。这一攻击活动与已知的APT（高级持续性威胁）组织有密切关联，该恶意软件特征为Vermin是一种强大的远程访问木马（RAT），以其出色的情报收集和数据窃取能力闻名。该恶意软件可在受感染系统上执行各种操作，包括窃取凭据、录制键盘输入、以及拍摄屏幕截图。Vermin此前曾被用于多次针对乌克兰政府和军事机构的攻击活动。最新的攻击活动通过精心设计的钓鱼邮件展开，这些邮件伪装成合法的政府或公司通信。一旦受害者点击邮件中的恶意链接或附件，Vermin木马会被秘密下载并安装到受害者的设备上，从而开始进行数据窃取和监控活动。当前恶意软件的开发者采用了更复杂的混淆和逃避技术，使其更难被传统的防病毒软件检测到。此外，Vermin还更新了通信机制，能够与攻击者的指挥控制（C2）服务器保持隐蔽连接，持续发送窃取的数据。

消息来源：

https://thehackernews.com/2024/08/cert-ua-warns-of-new-vermin-linked.html

SolarWinds web帮助台硬编码凭证漏洞 (CVE-2024-28987)

SolarWinds的Web Help Desk (WHD)软件存在硬编码凭证漏洞，可能导致远程未授权用户获得未经授权的访问权限。该漏洞影响内部功能访问和数据修改，可能造成严重的安全隐患。此漏洞使远程未授权用户能够利用硬编码的凭证，访问受影响实例的内部功能，并修改数据。若该漏洞被利用，攻击者可能会获得对目标系统的控制权，进行未经授权的数据修改，甚至进一步执行恶意操作。

影响版本：

WHD <= 12.8.3 Hotfix 1，用户需要已经安装了 Web Help Desk 的版本 12.8.3.1813 或者 12.8.3 Hotfix 1才能安装 Hotfix 2。

Chrome V8引擎高危类型混乱漏洞(CVE-2024-7971)

Google的Chrome浏览器近期发现并修复了一个高危安全漏洞，该漏洞已在野利用。此漏洞被描述为V8 JavaScript和WebAssembly引擎中的类型混淆错误，可能导致远程攻击者通过特制的HTML页面引发堆内存损坏。此次修复的漏洞是2024年内Chrome修复的第三个V8引擎中的类型混淆漏洞，为了防范潜在威胁，Google建议用户将Chrome更新至128.0.6613.84或更高版本，同时使用Chromium内核浏览器的用户如Microsoft Edge、Brave、Opera和Vivaldi也应尽快应用相关补丁。

影响版本：

Chrome <= 128.0.6613.83

WordPress GiveWP捐赠插件存在远程代码执行漏洞(CVE-2024-5932)

WordPress的“GiveWP”捐赠插件存在严重漏洞，在 3.14.1 及之前的所有版本中，由于反序列化‘give_title’参数中不受信任的输入，都容易受到 PHP 对象注入的攻击”。此外，如果存在POP链，攻击者可以远程执行代码并删除任意文件。此次漏洞源于插件对用户输入的缺乏充分验证，特别是在处理捐赠表单时。这一漏洞使得攻击者能够绕过身份验证，获取对管理员账户的访问权限，并进一步修改网站内容或执行恶意代码。

影响版本：

GiveWP <= 3.14.1

微软 Azure Kubernetes服务权限提升漏洞

该漏洞可能会导致攻击者升级其权限并获得对集群内敏感凭据的未经授权的访问。该问题涉及TLS证书在节点加入集群时的分发过程，攻击者可能利用这一机制以获取集群内部的敏感信息或执行恶意操作。这一漏洞的存在是由于Kubernetes在TLS引导时缺乏对客户端身份的严格验证，导致攻击者可以伪装成合法节点，从而获得进入集群的权限。攻击者利用 Azure WireServer 请求加密保护设置值的密钥（wireserver.key），解码包含多个机密的脚本，包括 TLS 引导认证令牌、Kubernetes CA 证书等。即使 pod 不以 root 身份运行，攻击者仍可利用 TLS 引导令牌执行攻击，最终获取正在运行的工作负载的所有机密信息。Microsoft 已经修复了此漏洞，建议受影响的组织创建限制性 NetworkPolicies，仅允许访问必要的服务以防止此类攻击。

影响产品：

使用 "Azure CNI" 进行网络配置并使用 "Azure" 进行网络策略的计算节点集群。易受此漏洞影响。

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。