烽火狼烟丨暗网数据及攻击威胁情报分析周报（09/09-09/13）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件257起，同比上周上升4.47%。本周内贩卖数据总量共计135727.44万条；累计涉及10个主要地区，主要涉及9种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、贸易、社交等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期由于网络攻击导致的安全事件频发，需加强防范；本周内出现的安全漏洞以GitLab访问控制不当漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9295条，主要涉及XPATH注入、漏洞利用、apache log4j2攻击等类型。

美国 AI 医疗公司数据泄露

泄露时间：2024-09-10

泄露内容：2024年9月，美国人工智能医疗公司Confidant Health因服务器配置错误，不慎泄露了5.3TB的敏感心理健康记录。泄露的数据包括个人身份信息、心理健康评估、医疗记录、以及音频和视频记录等。

泄露数据量：5.3TB

关联行业：医疗

地区：美国

Avis 汽车租赁公司数据泄露

泄露时间：2024-09-10

泄露内容：Avis 汽车租赁公司遭遇数据泄露，影响了近30万人。未经授权的威胁行为者访问了其业务应用程序，导致部分个人身份信息 (PII) 泄露。Avis 已采取措施终止访问，展开调查，并通知了相关当局。

泄露数据量：30W

关联行业：车辆租赁

地区：美国

电子支付网关 Slim CD数据泄露

泄露时间：2024-09-10

泄露内容：支付网关提供商Slim CD遭受网络攻击，导致近170万人的信用卡信息和个人数据泄露。泄露的数据包括姓名、地址、信用卡号及其有效期。Slim CD建议受影响人员保持警惕，报告可疑活动，并提供防止身份盗窃指导。

泄露数据量：170W

关联行业：金融服务

地区：美国、加拿大

Immigrus移民局数据泄露

泄露时间：2024-09-11

泄露内容：Immigrus移民局遭受数据泄露，约7,000名客户的个人信息被曝光。泄露的信息包括姓名、出生日期、电子邮件地址和电话号码。Immigrus专注于指导客户完成美国移民程序，此次事件影响了绿卡申请服务的用户。

泄露数据量：7000

关联行业：移民服务

地区：美国

PopinBorder 数据库涉嫌泄露

泄露时间：2024-09-11

泄露内容：韩国购物中心综合管理解决方案商PopinBorder遭受数据泄露，威胁行为者在一个暗网论坛上声称已访问两个数据库，包含超过150,000行敏感信息，这些信息来自韩国主要的电子商务平台。泄露的数据被要求以3,000美元的加密货币出售，且交易可通过托管服务确保安全。

泄露数据量：150,000

关联行业：商业服务

地区：韩国

海兰公立学校因网络攻击被迫关闭

近日，美国太平洋西北地区的海兰公立学校因遭受网络攻击而被迫关闭至少两天。该学区有17,500多名K-12年级学生和34所学校。攻击导致所有学校停课，包括会议和体育活动。学区检测到技术系统上的未授权活动后，立即隔离关键系统，并与第三方、州和联邦合作伙伴合作以安全地恢复和测试系统。员工被告知不要使用学区发放的电脑，并断开网络连接，以防止进一步的安全风险。尽管没有发现个人数据被盗，但学校无法访问关键系统，包括管理学校交通的应用程序。安全专家建议学校修补面向互联网的网络并增加多因素身份验证来提高安全性。

消息来源：

https://www.infosecurity-magazine.com/news/highline-schools-cyberattack/

勒索软件“CosmicBeetle”袭击土耳其中小企业

名为“CosmicBeetle”的网络犯罪团伙正利用土耳其、西班牙、印度和南非小企业的技术漏洞安装勒索软件。斯洛伐克网络安全公司ESET分析显示，该团伙操作复杂度较低，开发的ScRansom软件常更新但加密方案混乱，导致数据恢复困难。CosmicBeetle试图与LockBit组织建立联系以增加信誉，并加入了RansomHub联盟计划，常安装其他勒索软件。他们通过扫描中小企业使用的软件漏洞进行攻击，如Veeam Backup & Replication和Microsoft Active Directory的漏洞。ESET报告指出，全球各行业的中小企业是常见受害者，因为他们更可能使用受影响软件且缺乏补丁管理流程。尽管有公司将CosmicBeetle与一名土耳其软件开发商联系起来，但ESET对此表示怀疑。

消息来源：

https://cybernews.com/news/massive-ddos-poured-billions-of-packets-on-microsoft-server/

朝鲜黑客通过LinkedIn求职诈骗部署COVERTCATCH恶意软件

近期，朝鲜相关的黑客组织通过LinkedIn进行虚假招聘活动，针对开发人员。Mandiant的报告指出，攻击者以编码测试为初始感染手段，发送含有COVERTCATCH恶意软件的ZIP文件，该软件作为启动器，下载第二阶段有效负载以在目标macOS系统上建立持久性。此外，Mandiant观察到攻击者发送伪装成招聘描述的恶意PDF，释放RustBucket后门，用于收集系统信息和建立持久性。这些攻击活动不仅利用社会工程学，还涉及软件供应链攻击。一旦立足点建立，攻击者会转向密码管理器窃取凭证，进行内部侦察，进入云托管环境，获取热钱包密钥并盗取资金。FBI警告称，朝鲜黑客利用高度定制化的社会工程活动瞄准加密货币行业，通过提供就业或投资机会进行明目张胆的加密货币盗窃。

消息来源：

https://hackernews.cc/archives/55339

RansomHub组织滥用TDSSKiller安全工具进行攻击

近日，卡巴斯基创建了一种名为TDSSKiller的工具，该工具可以扫描系统中是否存在rootkit和bootkit。研究人员最近发现RansomHub勒索组织滥用TDSSKiller工具，通过命令行脚本或批处理文件与内核级服务进行交互，从而禁用运行在机器上的Malwarebytes反恶意软件服务（MBAMService）。然后，RansomHub组织部署LaZagne凭证收集工具，从各种应用程序数据库中提取登录信息，用于在网络中进行横向移动。

消息来源：

https://www.threatdown.com/blog/new-ransomhub-attack-uses-tdskiller-and-lazagne-disables-edr/

兄弟会推出 BloodForge RaaS：勒索软件领域的新玩家

The Brotherhood是一个新出现的组织，它将BlackForums和即将推出的BloodForge勒索软件即服务(RaaS)联系起来，专注于高级勒索软件操作。BloodForge RaaS的初始版本Onyx (V1)提供了一系列高级功能，包括完全不可检测(FUD)、高速加密、企业级密码、先进的多态引擎BloodShift、信息抓取、自动权限提升、网络蠕虫传播、反防病毒措施、实时监控、延迟加密和单一执行锁。BloodForge Onyx (V1)的售价为每插槽750美元，限量发行10个插槽，强调其独家性和目标性。兄弟会的目标是加强其在网络犯罪生态系统中的作用，并随着BloodForge RaaS的发布，计划在更广泛的地下社区中发挥关键作用。

消息来源：

https://dailydarkweb.net/the-brotherhood-introduces-bloodforge-raas-a-new-player-in-the-ransomware-scene/

恶意软件家族利用GeoServer GeoTools漏洞进行传播

近期，多个威胁行为者利用新披露的 OSGeo GeoServer GeoTools 漏洞 CVE-2024-36401 进行恶意软件传播活动。该漏洞影响 GeoServer 的早期版本，允许远程代码执行（RCE），已被美国网络安全和基础设施安全局（CISA）列入已知利用漏洞（KEV）目录。Fortinet FortiGuard 实验室的研究人员发现，攻击者通过该漏洞传播加密货币矿工、机器人和 SideWalk 后门等恶意软件。攻击目标包括印度的IT服务提供商、美国的科技公司、比利时的政府实体以及泰国和巴西的电信公司。此外，该漏洞还被用于部署网络间谍组织Winnti（又名APT41）的高级Linux后门SideWalk，以及其他恶意活动。专家建议使用“JXPathUtils.newSafeContext”函数修补漏洞，并实施全面的网络安全措施以减轻风险。

消息来源：

https://securityaffairs.com/168197/malware/geoserver-geotools-flaw-cve-2024-36401-malware.html

Lazarus Group 使用虚假编码测试传播新型恶意软件

网络安全研究人员发现，Lazarus Group使用虚假的编码测试来传播恶意软件，目标是软件开发人员。这些恶意Python包伪装成编码评估，发布在公共存储库如npm和PyPI上，或托管在GitHub上。安全研究员Karlo Zanki指出，这些包嵌入在合法PyPI库的修改版本中，包含Base64编码的下载器功能，与C2服务器建立联系并执行命令。攻击者还通过创建虚假紧迫感，如限时编码任务，诱使求职者执行恶意软件包。这些测试冒充金融机构的技术面试，以增加合法性。Mandiant也报告了类似的攻击，其中包含COVERTCATCH恶意软件，通过ZIP文件传播，危害macOS系统。此外，威胁行为者还通过鱼叉式网络钓鱼和使用新恶意软件CURKON加强了对俄罗斯和韩国的攻击。这些活动突显了网络犯罪分子如何利用社会工程学和技术手段进行攻击。

消息来源：

https://thehackernews.com/2024/09/developers-beware-lazarus-group-uses.html

新型Android恶意软件“Ajina.Banker”通过Telegram窃取财务数据

近期，一种名为Ajina.Banker的新型Android恶意软件开始攻击中亚地区银行客户，目的是窃取财务信息和截取双因素身份验证(2FA)消息。该软件通过伪装成合法应用的Telegram频道传播，受影响国家包括亚美尼亚、阿塞拜疆、哈萨克斯坦等。恶意软件通过自动化Telegram账户发送带有链接和APK文件的伪造消息，诱导用户下载安装。一旦安装，Ajina.Banker便请求访问敏感权限，收集SIM卡信息、金融应用列表、短信等，并将这些信息传输到远程服务器。新版本还能提供钓鱼页面，收集更多银行信息，并阻止卸载和授予额外权限。研究人员认为，该恶意软件正在积极开发中，并得到了附属网络的支持。

消息来源：

https://thehackernews.com/2024/09/new-android-malware-ajinabanker-steals.html

打破物理隔离：RAMBO侧信道攻击令人防不胜防

以色列大学的研究团队最近公开了一种名为“RAMBO”的新型侧信道攻击方法，该方法利用物理隔离系统中的内存组件生成的电磁辐射来窃取数据。这种攻击方式通过恶意软件操控系统内存总线的读写操作，生成受控的电磁辐射，并将数据传输至附近的接收设备。尽管传输速率最高为1000bps，足以窃取敏感数据如密码和小型文件。RAMBO的传输范围可达7米，但速率超过5000bps时信噪比下降，有效性减弱。研究团队提出了多种防御措施，包括加强物理防御、使用RAM干扰和法拉第笼屏蔽系统的电磁辐射等。这项研究显示，即使是物理隔离的高安全性系统也面临着复杂的侧信道攻击威胁。

消息来源：

https://www.secrss.com/articles/69996

Adobe ColdFusion远程代码执行漏洞

由于ColdFusion 2023 Update 9及之前版本、ColdFusion 2021 Update 15及之前版本中存在反序列化漏洞，可能导致未经身份验证的远程威胁者通过反序列化攻击实现任意代码执行。Adobe ColdFusion 是一种用于构建动态网站和web应用程序的开发平台，利用CFML（ColdFusion Markup Language）语言简化数据交互和功能实现。

影响版本：

Adobe ColdFusion 2023 <= Update 9

Adobe ColdFusion 2021<= Update 15

Cisco IOS XR 软件专用 XML 代理 TCP 拒绝服务漏洞 (CVE-2024-20390)

Cisco IOS XR 软件的专用 XML 代理功能中存在一个漏洞，允许未经身份验证的远程攻击者在 XML TCP 监听端口 38751 上造成拒绝服务 (DoS)。此漏洞是由于缺乏对进入 XML 数据包的正确错误验证造成的。攻击者可以通过向目标设备发送持续的、精心设计的 XML 流量来利用此漏洞。成功利用此漏洞可使攻击者在攻击流量持续存在时导致 XML TCP 端口 38751 变得无法访问。

受影响版本：

7.0.0、7.1.1、7.0.90、7.0.2、7.2.0、7.1.2、7.0.11、7.3.1、7.6.1

GitLab访问控制不当漏洞

GitLab社区版（CE）和企业版（EE）中修复了一个访问控制不当漏洞（CVE-2024-6678），该漏洞允许威胁者在某些情况下以任意用户身份触发GitLab的CI/CD管道，从而可能导致权限提升或执行恶意操作，漏洞评分为9.9。

影响产品：

8.14 <= GitLab CE/EE < 17.1.7

17.2 <= GitLab CE/EE < 17.2.5

17.3 <= GitLab CE/EE < 17.3.2

code-projects 库存管理产品表页面sql 注入漏洞 (CVE-2024-8710)

在 code-projects Inventory Management 1.0 中发现一个被归类为严重的漏洞，受此漏洞影响的是/model/viewProduct.php 文件的相关功能。攻击可以远程发起攻击对参数 id 进行操纵，从而实现 sql 注入。

影响版本：

code-projects Inventory Management 1.0

Ivanti Endpoint Manager反序列化远程代码执行漏洞

Ivanti Endpoint Manager修复了一个CVSS评分为10.0的反序列化远程代码执行漏洞（CVE-2024-29847），未经身份验证的攻击者可利用该漏洞在目标服务器上执行远程代码，从而控制受影响的系统。Ivanti Endpoint Manager 是一个全面的IT资产和设备管理解决方案，用于自动化和简化设备配置、更新、监控和维护，帮助企业管理其端点设备，提高安全性和运营效率。

影响产品：

Ivanti Endpoint Manager 2024 < 2024 SU1

Ivanti Endpoint Manager 2022<= 2022 SU5

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。