网络安全资讯周报（9/9- 9/13）

目录/contents

全球动态

波兰捣毁与俄罗斯、白俄罗斯有关的网络行动
与 Kimsuky 有关的黑客Konni 使用类似策略攻击俄罗斯和韩国
Ivanti修复多个产品中的安全漏洞

安全事件

APT34在针对伊拉克的新攻击活动中部署了新型载荷
PIXHELL攻击利用屏幕噪音窃取隔离计算机的数据
RansomHub勒索软件滥用卡巴斯基TDSSKiller安全工具进行攻击
Blind Eagle 部署的新型 Quasar RAT 变种
Vo1d 恶意软件感染了 197 个国家/地区的 130 万台 Android 电视盒
新兴勒索软件组织 CosmicBeetle 瞄准小型企业

数据泄露

电子支付网关 Slim CD 数据泄露影响170 万人
Fortinet 公司遭遇数据泄露
法国知名零售商证实客户数据遭黑客窃取
配置错误导致 MNA Healthcare 数据泄露
美国大型汽车租赁公司 Avis遭网络攻击泄露近30 万用户数据
英国人力资源公司GigtoGig泄露大量工人的数据信息
伦敦交通局证实客户数据遭到泄露

NEWS

Part 1

全球动态

波兰捣毁与俄罗斯、白俄罗斯有关的网络

行动

波兰安全部门称，他们捣毁了一个涉嫌与俄罗斯和白俄罗斯有联系的网络破坏组织“Beregini”，该组织试图通过网络攻击“瘫痪”波兰。该组织一直自称是乌克兰黑客组织，在上个月攻击了波兰反兴奋剂机构 POLADA，泄露了超过 50000 份机密文件，其中包括波兰运动员的医疗记录和检测历史。该组织声称这是对奥运会引发的“政治压迫”的报复。波兰数字事务部长克日什托夫·加夫科夫斯基 (Krzysztof Gawkowski) 表示，这种入侵是网络破坏组织为破坏该国政治、经济和军事组织而采取的行动的一部分。他指出，2024年上半年，波兰已经遭受了 400000 多起网络攻击，比去年增加了一倍，原因是亲俄威胁行为者因支持乌克兰及其难民而不断将波兰作为攻击目标。

原文链接：

https://therecord.media/poland-dismantles-cyber-sabotage-group-russia-belarus

与Kimsuky有关的黑客Konni 使用类似策

略攻击俄罗斯和韩国

据最近的一份报告显示，名为 Konni 的威胁行为者此前与朝鲜国家支持的组织 Kimsuky 有关，目前在针对俄罗斯和韩国的攻击中也采用了类似的策略、技术和程序，攻击的主要目标是网络间谍活动。Konni 对这两个国家的入侵始于分发钓鱼电子邮件，使用金融、奖学金和税收诱饵进行初始访问，然后继续交付远程访问木马，以完全接管系统。Genians 研究人员报告称，在利用可执行文件向受感染设备注入恶意模块后，Konni 继续输入内部命令以在受感染设备与其命令和控制服务器之间建立链接。研究人员表示：“威胁行为者多年来一直在使用类似的模式和攻击场景。然而，他们也在结合异常攻击策略来提高成功率。”

原文链接：https://therecord.media/kimsuky-north-korea-hackers-targeting-russia-south-korea

Ivanti修复多个产品中的安全漏洞

Ivanti修复了其Endpoint Management软件（EPM）中的一个最高严重性漏洞，该漏洞编号为 CVE-2024-29847，是由代理门户中不受信任数据的反序列化引起，可让未经身份验证的攻击者在核心服务器上获得远程代码执行权限。此外，Ivanti还修复了Ivanti EPM、Workspace Control（IWC）和Cloud Service Appliance（CSA）中的多个安全漏洞，这些漏洞在修复之前未被恶意利用。

原文链接：https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2024-patch-tuesday-fixes-4-zero-days-79-flaws/

Part 2

安全事件

APT34在针对伊拉克的新攻击活动中部署

了新型载荷

作为新网络间谍活动的一部分，伊朗国家支持的高级持续性威胁行动 OilRig（也称为 APT34）针对伊拉克政府机构和组织部署了新型 Veaty 和 Spearal 恶意软件攻击。根据 Check Point 的报告，OilRig 可能利用社会工程技术诱使目标打开恶意文档，从而触发部署两种有效载荷，这两种载荷使用不同的命令和控制机制。Check Point 研究人员指出，虽然 Veaty 利用被盗电子邮件账户进行 C2 通信，但 Spearal 通过自定义 DNS 协议执行此类任务，该协议将数据伪装成正常的 DNS 流量。研究人员表示：“这次针对伊拉克政府基础设施的攻击凸显了伊朗威胁行为者在该地区持续而专注的努力。”此前，该组织曾以支持巴勒斯坦激进组织哈马斯为目标，针对了几个以色列组织，随后发动了此类攻击。

原文链接：https://therecord.media/iran-linked-hackers-target-iraq-government

PIXHELL攻击利用屏幕噪音窃取隔离计算

机的数据

隔离网络的计算机可能会受到新型 PIXHELL 侧信道攻击的攻击，该攻击利用 LCD 屏幕产生的声音信号来窃取敏感数据。根据攻防网络研究实验室的研究，威胁行为者无需使用专门的音频设备进行 PIXHELL，就可以利用社会工程和软件供应链攻击来分发触发隐蔽数据泄露通道的恶意软件，从而为数据创建声学通道。研究人员称：“当交流电 (AC) 通过屏幕电容器时，它们会以特定频率振动。声波由 LCD 屏幕的内部电气部分产生。其特性受屏幕上投射的实际位图、图案和像素强度的影响。通过仔细控制屏幕上显示的像素图案，我们的技术可以从 LCD 屏幕产生特定频率的某些声波”。

原文链接：

https://thehackernews.com/2024/09/new-pixhell-attack-exploits-screen.html

RansomHub勒索软件滥用卡巴斯基

TDSSKiller安全工具进行攻击

RansomHub 勒索软件团伙一直在使用卡巴斯基的合法工具 TDSSKiller 尝试禁用目标系统上的端点检测和响应 (EDR) 服务。在突破防御后，RansomHub 尝试部署 LaZagne 凭证收集工具，从各种应用程序数据库中提取登录信息，以帮助在网络上横向移动。根据Malwarebytes ThreatDown Managed Detection and Response 团队的分析，在完成侦察和权限提升后，RansomHub 继续利用命令行脚本或批处理文件利用 TDSSKiller 实现内核级服务交互，从而禁用 Malwarebytes Anti-Malware Service，但并未被标记。研究人员表示，在这种入侵之后，他们部署了 LaZagne 来提取数据库存储的凭据并执行数十次文件写入，同时还执行了文件删除以隐藏恶意活动。研究人员补充说，RansomHub 使用 TDSSKiller（一些安全工具将其称为“风险软件”）应该会促使 EDR 解决方案激活篡改保护功能并监视“-dcsvc”标志，这有助于服务固定或删除。

原文链接：https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/

Blind Eagle 部署的新型 Quasar RAT 变种

高级持续威胁行动 Blind Eagle（也称为 APT-C-36、APT-Q-98 和 AguilaCiega）已部署了一种名为“BlotchyQuasar”的 Quasar RAT 后门的新变种，入侵哥伦比亚各地的保险组织。Blind Eagle 的攻击始于分发哥伦比亚税务机关欺骗性网络钓鱼电子邮件，诱使收件人点击嵌入的链接，重定向到 Google Drive 文件夹托管的 ZIP 存档，从而促进 BlotchyQuasar 的执行。除了促进击键记录、shell 命令执行、银行和支付服务监控以及浏览器和 FTP 客户端数据泄露之外，BlotchyQuasar 还通过使用 Pastebin 作为死信箱解析器启用命令和控制域检索，同时绕过 ConfuserEx 和 DeepSea 工具的检测。

原文链接：https://thehackernews.com/2024/09/blind-eagle-targets-colombian-insurance.html

Vo1d 恶意软件感染了 197 个国家/地区的

130 万台 Android 电视盒

研究人员发现了一种名为Vo1d的恶意软件，感染了 197 个国家/地区用户的近 130 万台 Android 电视盒。该恶意代码充当后门，允许攻击者秘密下载和安装第三方软件。感染的地理分布涉及近200个国家，感染人数最多的国家是巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚。感染源尚不清楚，但专家认为，这可能涉及利用操作系统漏洞的恶意软件或具有内置根访问权限的非官方固件。攻击者之所以将电视盒作为攻击目标，是因为这些设备通常运行的是过时的 Android 版本，存在未修补的漏洞，并且缺乏更新。此外，用户还可能误以为电视盒比智能手机更安全，而且不太可能安装防病毒软件，这增加了下载第三方应用程序或非官方固件时的风险。

原文链接：https://securityaffairs.com/168342/malware/vo1d-android-malware-tv-boxes.html

新兴勒索软件组织 CosmicBeetle 瞄准小

型企业

名为 CosmicBeetle 的威胁行为者推出了一种名为ScRansom的新型定制勒索软件，主要针对欧洲、亚洲、非洲和南美的中小型企业。该勒索软件取代了之前使用的Scarab勒索软件，攻击目标包括制造业、制药、法律、教育、医疗保健、技术、酒店、休闲、金融服务和地方政府等多个行业。斯洛伐克网络安全公司 ESET分析了该组织最近的活动后表示，CosmicBeetle 至少自 2020 年开始活跃，被认为是勒索软件世界中“不成熟”的参与者。该组织经常滥用更知名威胁行为者的名称，例如 LockBit，以更好地说服受害者付款。该组织在 2023 年 11 月就曾尝试使用泄露的 LockBit 构建器，试图在其勒索记录和泄漏网站中冒充臭名昭著的勒索软件团伙。此外，研究人员认为，CosmicBeetle很可能是RansomHub的附属机构。

原文链接：https://thehackernews.com/2024/09/new-rust-based-ransomware-cicada3301.html

Part 3

数据泄露

电子支付网关 Slim CD 数据泄露影响

170 万人

电子支付网关Slim CD披露了一起影响170万个人的数据泄露事件。在这次网络攻击中，攻击者访问了Slim CD的系统，导致个人数据和信用卡详细信息遭到泄露。泄露的数据包括姓名、地址、信用卡号和有效期。攻击者在2023年8月17日至2024年6月15日期间访问了系统，但信用卡验证值（CVV）未被泄露。Slim CD已通知联邦执法部门并启动了调查，同时建议受影响的个人保持警惕，对欺诈行为保持警觉，并报告任何可疑活动。

原文链接：

https://securityaffairs.com/168229/data-breach/slim-cd-disclosed-a-data-breach.html

Fortinet 公司遭遇数据泄露

知名网络安全公司 Fortinet 披露，其 Microsoft Azure SharePoint 服务器遭到威胁行为者 Fortibitch 的网络攻击，窃取并泄露了440 GB的数据，导致不到 0.3％的客户信息遭到泄露。关于被盗信息的范围（这些信息已在 Amazon S3 存储桶中提供）的更多详细信息尚不清楚，但 Fortibitch 强调网络安全解决方案提供商的云基础设施遭到入侵，同时声称首席执行官谢肯拒绝参与赎金谈判。尽管 Fortibitch 声称遭到了重大入侵，但 Fortinet 强调该事件的影响有限，并未影响其产品、服务和运营。

原文链接：

https://cybernews.com/news/russian-state-owned-social-network-vk-breached/

法国知名零售商证实客户数据遭黑客窃取

近日，法国多家知名零售商遭受了网络攻击，导致客户数据泄露。攻击者利用了零售商的支付系统漏洞，窃取了包括信用卡信息在内的敏感数据。专营电子产品和家用电器的 Boulanger 在一份声明中表示，黑客获取了客户的送货地址，但没有泄露任何银行数据。此前，一名昵称“horrormar44”的威胁行为者声称对Boulanger的攻击负责，并声称他们获得了该零售商的所有客户数据，包括姓名、地址、电话号码、电子邮件和笔记。在法国拥有110 家门店的 Cultura 也遭遇了网络攻击。据该公司发布声明，黑客窃取了其150 万客户的数据，包括客户的姓名、电话号码、电子邮件和邮政地址，以及订单内容，但密码和银行数据并未受到泄露。其他可能成为目标的零售商包括专营园艺、植物、宠物和家居装饰的 Truffaut 以及服装品牌 Pepe Jeans。多家法国媒体报道称，受攻击的名单可能更长。这一系列的攻击事件再次凸显了零售行业在网络安全方面面临的挑战，以及加强数据保护措施的紧迫性。

原文链接：https://therecord.media/france-retailers-hacked-confirm-cyberattack

配置错误导致 MNA Healthcare 数据泄露

美国医疗保健招聘公司 MNA Healthcare 因数据库备份不安全而泄露了14000个医生账户、11000 家医院、37000 条潜在线索和 11000 份求职申请的信息。泄露的数据包括医疗专业人员的全名、出生日期、电话号码、地址、电子邮件地址、工作经历、分配的工作、与 MNA Healthcare 的通信、散列临时密码和加密的社会安全号码 (SSN)。

原文链接：https://www.scmagazine.com/brief/misconfiguration-exposes-mna-healthcare-data

美国大型汽车租赁公司 Avis遭网络攻击

泄露近30 万用户数据

据美国大型汽车租赁公司 Avis 披露， 8月3日至8月6日之间其一款业务应用程序遭到入侵，导致 299006 名客户的数据遭到泄露。虽然 Avis 在提交给缅因州总检察长办公室的文件中提供了受此事件影响的人员总数，但并未具体说明入侵的性质及其对员工的影响。Avis表示，事件发生后公司已制定了一项计划来增强安全保护，并在其系统中实施了额外的保护措施。

原文链接：https://siliconangle.com/2024/09/09/avis-car-rental-reports-data-breach-affecting-nearly-300000-customers/

英国人力资源公司GigtoGig泄露大量工人

的数据信息

GigtoGig是一家英国的人力资源公司，为公司提供劳动力，并为工人提供多样化的工作机会以及薪资和保险服务。研究人员于近期发现了一个属于GigtoGig公司的配置错误的Amazon AWS S3存储库，该数据库暴露了217000个敏感文件，这意味着任何人都可以在不输入用户名和密码的情况下访问数据。暴露的数据包括：122964名工人的护照、17102个工作许可证、2810个签证、26311份简历。目前该数据库已得到保护。

原文链接：https://cybernews.com/security/gig-workers-passports-visas-data-leak/

伦敦交通局证实客户数据遭到泄露

伦敦交通局在最新通知中表示，9 月 1 日，伦敦交通局内部系统遭到入侵，导致部分客户姓名和联系信息以及近 5000 名 Oyster 卡持有人的退款数据被泄露。伦敦交通局还透露，持续的入侵继续影响其服务，包括其应用程序和网站上的 Live Tube 到达详情、Oyster 照片卡和 Zip 卡应用程序以及未完成的付款退款。此前，一名涉嫌参与攻击的青少年被国家犯罪局逮捕，随后获准保释。

原文链接：https://www.bleepingcomputer.com/news/security/transport-for-london-confirms-customer-data-stolen-in-cyberattack/