网络安全资讯周报（8/26- 8/30）

• 错误配置暴露了美国伊利诺伊州县的选民文件 

• 现场服务管理平台ServiceBridge近 3200万份文件遭曝光 

• Young Consulting数据遭BlackSuit勒索软件窃取影响近百万用户 

• Park'N Fly 遭遇网络攻击导致100万客户数据泄露 

• Patelco因RansomHub勒索软件攻击72.6万名客户的个人数据被窃取 

荷兰国防部使用的数据中心在27日晚间发生故障，导致荷兰全国范围内的广泛混乱。该故障影响了空中交通管制，致民用航班停飞。此外还影响了紧急服务通信，导致国防部和其他共享同一网络的部门的公务员无法访问他们的政府工作站。荷兰国家网络安全中心 （NCSC-NL） 将该事件描述为“全国中断”，并表示正在努力寻找解决方案。故障的性质，包括它是否由网络攻击引起，目前尚不清楚。

原文链接：

https://therecord.media/netherlands-defense-ministry-data-center-malfunction-outages

美国网络安全和情报机构指控伊朗一个黑客组织入侵了美国境内多个组织，并与其同伙协作发送勒索软件。该活动与一个名为Pioneer Kitten 的威胁行为者有关，该威胁行为者也被称为 Fox Kitten、Lemon Sandstorm（以前称为 Rubidium）、Parisite 和 UNC757，据描述，该威胁行为者与伊朗政府有联系，并使用伊朗信息技术 (IT) 公司 Danesh Novin Sahand 作为掩护。美国网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和国防部网络犯罪中心 (DC3)表示：“他们的恶意网络行动旨在部署勒索软件攻击，以获取和开发网络访问权限。”“这些行动帮助恶意网络行为者进一步与关联行为者合作，继续部署勒索软件。”攻击的目标包括美国的教育、金融、医疗保健和国防部门以及地方政府实体，据报告，以色列、阿塞拜疆和阿拉伯联合酋长国 (UAE) 也遭遇入侵，目的是窃取敏感数据。据该机构评估，其目标是先在受害者网络中站稳脚跟，随后与NoEscape、RansomHouse和BlackCat（又名 ALPHV）相关的勒索软件附属行为者合作，部署文件加密恶意软件，以换取非法收益的一部分，同时“故意模糊”他们的国籍和来源。

原文链接：https://thehackernews.com/2024/08/us-agencies-warn-of-iranian-hacking.html

臭名昭著的黑客 USDoD（也称为 EquationCorp）在被网络安全公司 CrowdStrike “人肉搜索”后透露自己是来自巴西的 Luan G。该黑客最近因入侵美国 API 公司 National Public Data 并在线泄露超过 32 亿个社会安全号码 （SSN）而广为人知。在此之前，USDoD 入侵了 FBI 的安全平台 InfraGard，并暴露了 87000 名成员的个人详细信息。该黑客还参与了其他几起重大数据泄露和网络抓取事件。

原文链接：https://hackread.com/usdod-hacker-ssn-leak-reveals-brazilian-citizen/

美国国家安全局（NSA)正在推出一系列播客，以便更好地向公众介绍其如何开展支持美国武装部队、追踪恐怖分子和阻止网络攻击的秘密活动，该播客被称为“No Such Podcast”。此举是NSA历史上首次尝试以播客形式向外界公开其工作内容，预计会分享过去在重要军事和情报事件中的秘密工作故事，并介绍NSA的日常活动。据一位发言人称，它将邀请美国国家安全局的专家讨论该机构在战斗支援、信号情报和网络安全任务中的作用。播客的推出反映了NSA在与公众和媒体沟通方面的态度转变。

原文链接：https://www.nextgov.com/digital-government/2024/08/nsa-debut-podcast-boost-public-awareness-classified-missions/399134/?oref=ng-homepage-river

Microsoft 研究人员报告说，作为 4 月至 7 月情报行动的一部分，伊朗民族国家黑客组织 APT33（也称为 Peach Sandstorm 和 Refined Kitten）对美国和阿拉伯联合酋长国的石油和天然气、政府、国防和卫星组织发起了新型 Tickler 恶意软件的攻击。Microsoft 的一项分析显示，APT33 利用现已中断的 Microsoft Azure 订阅开始对目标实体进行密码喷洒攻击，同时使用受感染的教育部门帐户获取额外的基础设施，然后用于成功对政府、太空和国防行业的恶意软件入侵。这样的发展是在 APT33 采用类似技术通过 FalseFont 恶意软件入侵世界各地的国防承包商几个月后发生的。Microsoft 还报告称，自 2023 年 2 月以来，全球数千家组织遭到密码喷射入侵后，APT33 已攻破国防、制药和卫星行业组织。

原文链接：https://securityaffairs.com/167730/apt/apt33-used-new-tickler-malware.html

自 3 月份以来，威胁行为者一直在利用 Windows SmartScreen 绕过漏洞（追踪编号为 CVE-2024-38213）作为零日攻击。微软表示，利用该漏洞的入侵可能由获得目标用户交互的攻击者远程发起，该漏洞已在 6 月补丁星期二更新中得到修补但未详细说明。成功利用此漏洞的攻击者可以绕过 SmartScreen 用户体验。攻击者必须向用户发送恶意文件并诱使他们打开它 “成功利用此漏洞的攻击者可以绕过 SmartScreen 用户体验。攻击者必须向用户发送恶意文件并诱使他们打开它，”微软表示。趋势科技的威胁搜寻团队（ZDI ）9在 3 月分析 另一个 SmartScreen 漏洞（跟踪为 CVE-2024-21412）时发现了此类安全问题， 该漏洞曾在 DarkGate 恶意软件活动中被利用。ZDI 将此漏洞命名为 copy2pwn，它会导致 WebDAV 中的文件在本地被复制，而没有 Mark-of-the-Web 保护。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/new-windows-smartscreen-bypass-exploited-as-zero-day-since-march/

自 3 月以来，黑客已经发起了利用影响已停产的 AVTECH AVM1203安全摄像头的关键零日漏洞（跟踪为 CVE-2024-7029）的攻击，以促进 Corona Mirai 恶意软件变体的分发。Akamai 的一份报告显示，此类漏洞针对的是自 2019 年以来已知的安全问题，可用于促进代码注入。进一步的分析表明，该错误已被用于执行部署 Mirai 变体的 JavaScript 文件。僵尸网络可能使用 Corona Mirai 变体，执行后，恶意软件通过端口 23、2323 和 37215 上的 Telnet 连接到大量主机，它还将字符串“Corona”打印到受感染主机上的控制台。2024 年 8 月，美国 CISA 发布了工业控制系统 （ICS） 公告，以警告此漏洞。“成功利用此漏洞可能允许攻击者以正在运行的进程的所有者身份注入和执行命令。”命令可以通过网络注入，无需身份验证即可执行。

原文链接：https://www.scmagazine.com/brief/mirai-variant-deployed-via-avtech-security-camera-exploit

新发现的 Linux 恶意软件 “sedexp ”自 2022 年以来一直利用一种非常规技术在受感染系统上实现持久性，并隐藏信用卡盗刷代码。sedexp 能够部署允许远程访问受感染设备和修改内存的远程 shell，因此已被威胁行为者用于促进对修改后的 Apache 配置文件、Web shell 和 udev 规则的混淆——SUSE Linux 注意到该规则用于启用设备节点命名、节点指向链接包含和指定的程序执行。该恶意软件归因于出于经济动机的威胁行为者。

原文链接：https://www.nextgov.com/cybersecurity/2024/08/trump-campaign-hacked-blames-iran-stealing-internal-communications/398729/

据观察，与朝鲜有联系的威胁行为者在 npm 注册表中发布了一组恶意软件，这表明他们正在“协调一致且不懈地”努力，利用恶意软件瞄准开发人员并窃取加密货币资产。最新一波攻击发生在 2024 年 8 月 12 日至 27 日之间，涉及名为 temp-etherscan-api、ethersscan-api、telegram-con、helmet-validate 和 qq-console 的软件包。研究人员表示，最新的攻击活动活表明，qq-console 是朝鲜名为contagious interview（传染性面试）的攻击活动所致。Contagious Interview 指的是一个正在进行的活动，该活动试图用恶意软件窃取软件开发人员的信息，作为所谓求职面试过程的一部分，包括诱骗他们下载假的 npm 软件包或假的视频会议软件（如托管在诱饵网站上的 MiroTalk）安装程序。攻击的最终目标是部署一个名为 InvisibleFerret 的 Python 有效负载，该负载可以从加密货币钱包浏览器扩展中窃取敏感数据，并使用合法的远程桌面软件（如 AnyDesk）在主机上设置持久性。CrowdStrike 正在以 Famous Chollima 为名跟踪该活动。

原文链接：https://thehackernews.com/2024/08/north-korean-hackers-target-developers.html

大规模的二维码网络钓鱼活动滥用 Microsoft Sway来托管登录页面，以诱骗 Microsoft 365 用户泄露登陆凭据。该工具活动主要针对亚洲和北美的用户，其中科技、制造业和金融行业是重点目标。这些电子邮件将潜在受害者重定向到托管在sway.cloud.microsoft域上的网络钓鱼登录页面，诱导目标扫描二维码，然后将目标发送到其他恶意网站。攻击者会引导受害者使用移动设备扫描二维码，由于移动设备的安全措施通常较弱，从而增加了绕过安全控制的机会，并允许他们不受限制地访问钓鱼网站。攻击者采用了多种策略来进一步提升其活动的有效性，例如透明网络钓鱼，通过窃取凭证和多因素身份验证代码，让受害者登录到他们的 Microsoft 帐户，同时向他们显示合法的登录页面。攻击者还使用了 Cloudflare Turnstile（一种旨在保护网站免受机器人攻击的工具），以向静态扫描仪隐藏其登录页面的钓鱼内容，从而有助于维护钓鱼域的良好声誉并避免被 Google Safe Browsing 等网络过滤服务阻止。

原文链接：https://www.bleepingcomputer.com/news/security/microsoft-sway-abused-in-massive-qr-code-phishing-campaign/

西雅图港及其运营的塔科马国际机场近日报告称遭遇了“可能的网络攻击”，导致其网站和电话系统出现故障。该事件首次于8月24日早晨通过社交媒体被公开，机场随后确认系统故障可能与网络攻击有关。到24日晚间，机场依旧面临服务中断，并提醒旅客通过航空公司应用程序获取登机牌和行李标签，建议留出更多时间抵达登机口。至25日早晨，西雅图港的公共网络基础设施仍大部分离线，尽管运输安全局表示安全操作未受影响。

原文链接：https://therecord.media/seatac-airport-port-of-seattle-cyberattack

卡巴斯基安全研究人员发现，一种名为“HZ Rat”的新型 macOS 后门恶意软件专门针对中国流行通信平台钉钉和微信的用户。该后门被发现隐藏在看似合法的 OpenVPN 安装包中。执行后会触发shell命令执行、文件写入磁盘、文件传输到命令控制服务器和设备可用性监控，Windows版恶意软件也会进行这些操作。报告称，macOS版HZ RAT随后会窃取微信用户的电话号码、电子邮件地址和微信ID，同时窃取丁丁网用户的用户名、公司电子邮件地址、电话号码以及雇主和部门名称。虽然迄今为止观察到的主要功能是数据收集，但专家警告称，HZ Rat 的全部功能可能尚未完全了解。横向移动和使用私人 C2 地址的可能性引发了人们对该恶意软件可能进行更大规模间谍活动和未来攻击的严重担忧。

原文链接：https://thehackernews.com/2024/08/macos-version-of-hz-rat-backdoor.html

代号为SLOW#TEMPEST的秘密活动瞄准中文用户，该活动可能会利用网络钓鱼电子邮件通过 Cobalt Strike 负载感染 Windows 系统。该活动并未归属于任何已知威胁行为者，它从恶意 ZIP 文件开始，解压后会激活感染链，从而在受感染系统上部署后利用工具包。ZIP 存档中包含一个 Windows 快捷方式 (LNK) 文件，该文件伪装成 Microsoft Word 文件“违规远程控制软件人员名单.docx.lnk”。研究人员指出：“从诱饵文件中使用的语言来看，特定的中国相关商业或政府部门很可能成为目标。”

原文链接：https://thehackernews.com/2024/08/new-cyberattack-targets-chinese.html

美国伊利诺伊州圣克莱尔县由于县办事员办公室使用的亚马逊 S3 存储桶配置错误，导致 47 万份敏感的选民文件暴露数月之久。泄露的信息包括无纸化在线选民申请、全国地址变更申请和邮寄投票申请，其中包含个人姓名、出生日期、当前和以前的地址、社会安全号码、身份证号码、驾照号码、电话号码、电子邮件地址和签名。研究人员表示，暴露选民文件会增加潜在的选民欺诈和操纵投票的风险。此外，恶意行为者可能会利用这些数据进行身份盗窃、金融欺诈或有针对性的网络钓鱼尝试，这对依赖于保护措施来保护自身安全和保密性的弱势成年人构成了特别的风险。

原文链接：

https://cybernews.com/security/usa-voter-data-leak/

由于云服务器配置错误，被广泛使用的现场服务管理平台 ServiceBridge 有一个包含 2.68 TB 数据（超过 3100 万条记录）的数据库被暴露。该数据库可供公众访问，无需任何密码或安全身份验证。暴露的数据包括敏感信息，例如姓名、地址、电子邮件地址、电话号码，甚至部分信用卡数据。此外，还发现了 HIPAA 患者同意书和医疗设备协议，揭示了个人健康信息。这些文件可以追溯到 2012 年，属于各种企业，包括私人房主、学校、宗教机构、连锁餐厅、洛杉矶赌场、医疗服务提供者等。这些文件数量约为 31,524,107 个，采用 PDF and.htm 格式，包括合同、工单、发票、提案、检查和完成协议。该数据库已被限制对公众访问。但目前尚不清楚它暴露了多长时间，或者是否有其他人获得了访问权限，且尚不清楚它是由 ServiceBridge 还是第三方管理的。

原文链接：

https://hackread.com/servicebridge-expose-2tb-records-cloud-misconfiguration/

BlackSuit 组织对 Young Consulting （现Connexure）的勒索软件攻击泄露了超过 95 万人的个人信息。2024年4月13日，该公司发现其于4月10日至4月13日期间遭遇BlackSuit勒索软件攻击，随后启动调查，并于6月28日完成。根据该公司与缅因州总检察长办公室分享的数据泄露通知，该事件影响了 954177 人。泄露的信息因人而异，可能包括全名、社会安全号码（SSN）、出生日期和保险索赔信息。

原文链接：

https://cybernews.com/security/million-affected-by-young-consulting-breach-by-blacksuit-ransomware/

加拿大大型机场外停车服务提供商Park'N Fly 警告称，由于黑客入侵其网络，导致加拿大 100 万客户的个人和账户信息遭数据泄露，威胁者于 2024 年 7 月 11 日至 7 月 13 日之间通过窃取 VPN 凭证侵入Park'N Fly网络并窃取公司数据。8 月 1 日，该公司确定客户信息也在攻击过程中遭到访问。泄露的信息包括全名、电子邮件地址、实际地址、飞机号码和民航局号码。

原文链接：https://www.bleepingcomputer.com/news/security/parkn-fly-notifies-1-million-customers-of-data-breach/

Patelco 是一家会员制非营利信用合作社，服务于北加州，特别是旧金山湾区。该组织在其网站上的数据泄露通知中透露，其于6月29日检测到了一次涉及未经授权访问其数据库的勒索软件攻击。调查显示，黑客在5月23日至6月29日期间访问了其系统，726000名客户和员工受到影响。Patelco 于 8 月 16 日被添加到 RansomHub 勒索软件组织的网站。该勒索软件组织声称已经进行了两周的谈判，但未能与该金融机构达成协议，因此这些数据正在被黑客拍卖。黑客公开的样本显示，数据库包含姓名、邮政地址、电话号码、电子邮件地址、出生日期、性别、社会安全号码、驾驶执照号码、密码和信用评级等信息。 

原文链接：https://www.securityweek.com/patelco-credit-union-says-breach-impacts-726k-after-ransomware-gang-auctions-data/