网络安全资讯周报（9/16- 9/20）

• 燃料行业软件提供商的服务器配置错误导致 SSN 和 PII 数据泄露 

• 不安全的Elasticsearch 集群暴露了超过 300 万条车辆记录 

• Stillwater矿业公司证实遭到勒索软件攻击后数据泄露 

• 英国公司Experience Engine遭黑客攻击致客户数据被盗 

• 美国保健提供商 Access Sports遭网络攻击影响88000 人 

• 黑客称窃取SAP公司员工数据 

美国网络安全和基础设施安全局、国家情报总监办公室和美国联邦调查局称，伊朗威胁行为者在拜登总统于7月初退出总统竞选之前，向其竞选团队的人员发送了包含从前总统唐纳德·特朗普竞选团队窃取的非公开详细信息的电子邮件。据这些机构称，没有证据表明拜登竞选团队的个人回复了这些未经请求的电子邮件，并指出黑客还向美国媒体组织提供了与特朗普竞选相关的信息。根据情报界的评估和参议院的一份详尽报告，此举的目的是增加特朗普当选的可能性，并破坏民众对美国制度的信心。

原文链接：

https://cyberscoop.com/iran-hackers-trump-campaign-emails-biden/

朝鲜威胁者利用领英上的求职诱饵，将加密货币行业从业人员作为攻击目标 ，从而感染RustDoor 恶意软件。据报告显示，朝鲜黑客的社会工程攻击包括在领英上冒充去中心化加密货币交易所 STON.fi 的招聘人员，诱骗目标下载一个恶意的 Visual Studio 项目，该项目声称是编码挑战的一部分，但通过“VisualStudioHelper”和“zsh_env”第二阶段有效载荷下载 RustDoor，这两个载荷充当后门，但与单独的命令和控制服务器进行通信。在威胁行为者所使用的技术越来越复杂的情况下，这些发现应该促使加密货币领域的员工加强培训，并提高对网络安全威胁的警惕。

原文链接：https://thehackernews.com/2024/09/north-korean-hackers-target.html

Vanilla Tempest 威胁行动（也称为 Vice Society 和 DEV-0832）已针对美国各地的医疗保健组织部署了 INC 勒索软件负载攻击。据 Microsoft 威胁情报团队称，Vanilla Tempest之前与Rhysida勒索软件组织有关联，它利用 Storm-0494 的 Gootloader 恶意软件攻击获得的初始网络访问权限来分发Supper恶意软件和 AnyDesk 远程监控和 MEGA 数据同步工具，然后进行横向移动并最终执行 INC 勒索软件。虽然没有提供有关受入侵影响的组织的更多详细信息，但据报道，上个月密歇根州的非营利性医疗保健系统 McLaren Health Care 的运营因 INC 勒索软件攻击而中断。几个月前，威胁行为者“salfetka”在黑客论坛上出售了 INC Ransom 勒索软件即服务运营的 Windows 和 Linux/VMware ESXi 加密器源代码。

原文链接：https://www.bleepingcomputer.com/news/microsoft/microsoft-vanilla-tempest-hackers-hit-healthcare-with-inc-ransomware/

朝鲜网络间谍活动UNC2970以工作为主题的钓鱼诱饵，将美国、新加坡、澳大利亚和世界其他地区的航空航天和能源组织作为攻击目标，旨在传播新型 MISTPEN 后门。UNC2970 通过伪装成知名公司高级/经理级员工职位空缺的鱼叉式网络钓鱼电子邮件与目标建立信任后，继续发送伪装成职位描述的恶意ZIP 文件。研究人员表示，通过恶意 Sumatra PDF 应用程序打开描述的PDF文件有助于部署 BURNBOOK 启动器，该启动器随后通过集成的 TEARPAGE 加载器触发 MISTPEN，他们还发现 BURNBOOK 和 MISTPEN 有效载荷不断增强。研究人员表示：“威胁行为者通过实现新功能和添加网络连接检查来阻碍对样本的分析，从而改进了他们的恶意软件。”

原文链接：

https://www.scmagazine.com/brief/novel-backdoor-leveraged-in-north-korean-hackers-global-aerospace-energy-attacks

网络安全公司Huntress称，身份不明的黑客通过名为Foundation 的会计软件攻击了建筑行业的公司。从9月14日开始，威胁行为者被发现大规模暴力破解该应用程序并使用默认凭据来访问受害者帐户。据 Huntress 称，管道、HVAC（供暖、通风和空调）、混凝土和其他子行业的多个组织已通过暴露在互联网上的 Foundation 软件实例受到攻击。Huntress 的研究人员表示，威胁行为者针对单个主机的Microsoft SQL Server进行了近 35,000 次暴力破解尝试，利用该软件进行数据库操作。研究人员还指出，由于软件实施过程中普遍使用弱密码，因此入侵风险进一步加剧，在近 500 台使用 Foundation 软件的主机中，有 33 台拥有默认凭据。虽然 Foundation 尚未对报告的入侵做出回应，但 Huntress 已经向受到可疑活动影响的实体发出了警告。

原文链接：https://www.securityweek.com/threat-actors-target-accounting-software-used-by-construction-contractors/

网络安全研究人员警告称，正在进行的网络钓鱼活动滥用 HTTP 标头中的刷新条目来提供旨在获取用户凭证的欺骗性电子邮件登录页面。据Palo Alto Networks Unit 42 研究人员报告，2024 年 5 月至 7 月期间观察到的大规模活动目标包括韩国的大公司以及美国的政府机构和学校，多达2000个恶意URL与这些活动有关。超过 36% 的攻击针对的是商业和经济领域，其次是金融服务（12.9%）、政府（6.9%）、卫生和医药（5.7%）以及计算机和互联网（5.4%）。入侵始于分发带有收件人电子邮件地址的标头刷新 URL，这些URL会重定向到收集目标凭证的网页。除了在虚假登录页面上预先填写收件人的电子邮件地址外，攻击者还试图通过支持URL跟踪、缩短和活动营销的域名来证明操作的合法性。通过仔细模仿合法域名并将受害者重定向到官方网站，攻击者可以有效掩盖其真实目的并增加成功窃取凭证的可能性。

原文链接：https://thehackernews.com/2024/09/cybercriminals-exploit-http-headers-for.html

位于纽约的住院精神病治疗机构 Brunswick Hospital Center 据称受到了3AM 勒索软件行动的攻击。该组织声称即将发布据称被盗的信息，但没有提供有关数据泄露程度的更多细节。3AM 已经入侵了 30 多个组织，其最近两名受害者分别在 4 月和 5 月被攻陷，到目前为止，该勒索软件团伙仅暴露了其被盗数据的 10%。SOCRadar 此前报道称，3AM 的攻击主要针对美国、法国和英国的制造业、专业 IT 和运输组织，尽管该组织此后也使用了自动机器人、社交媒体和其他勒索技术。

原文链接：https://cybernews.com/news/brunswick-hospital-psychiatric-center-ransomware-attack-3am-threeam-new-york/

中亚已成为一项新的恶意活动的目标，该活动传播名为“Ajina.Banker”的 Android 恶意软件，以窃取中亚地区，特别是乌兹别克斯坦银行用户的银行数据和双因素身份验证代码。Ajina.Banker于 2024 年 5 月被 Group-IB 发现，自 2023 年 11 月以来一直在肆虐，研究人员发现了大约 1400 种独特的恶意软件变种。Group-IB 的一份报告显示，威胁者利用多种社会工程手段部署 Ajina.Banker，包括伪造的银行、政府和实用程序应用程序，以及通过 Telegram 传播的声称是促销或优惠的恶意链接。Group-IB 的研究人员表示，除了帮助窃取短信、SIM 卡详细信息和金融账户的 2FA 代码外，Ajina.Banker 的最新版本还允许泄露用户的银行卡信息、PIN 码和电话号码，他们还发现该恶意软件以联盟计划模式运行。

原文链接：https://hackread.com/android-malware-ajina-banker-steal-2fa-codes-telegram/

俄罗斯反恶意软件公司 Doctor Web（Dr.Web 网络安全产品的开发商）周二表示，该公司最近遭遇了一次网络攻击。该安全公司在其网站上发布的声明中表示，其检测到 9 月 14 日针对其资源的针对性攻击，导致其所有服务器瘫痪。目前该公司的运营已经恢复 。Dr. Web表示，此次事件并未对任何客户造成影响，该公司还于周二宣布恢复病毒数据库更新，而就在一天前，该公司因入侵事件而断开了所有服务器的连接。该公司尚未透露此次攻击背后的任何信息。

原文链接：https://www.securityweek.com/russian-security-firm-doctor-web-discloses-targeted-hacker-attack/

由于严重的服务器 配置错误，美国主要燃料行业软件提供商 FleetPanda 的大量文档被泄露。FleetPanda 是一家位于加利福尼亚州的公司，为石油和燃料行业提供调度管理、驾驶员应用程序、报告和分析、发票和其他服务。暴露的数据库包含 780191 份文件，大小为 193 GB。文件包括 2019 年至 2024 年 8 月期间加利福尼亚、科罗拉多州、俄克拉荷马州、俄勒冈州和德克萨斯州等多个州的公司、管道和行业的燃料和石油运输、发票和送货单信息。此外还泄露了驾驶执照和载有社保号码和其他个人身份信息的申请表以及商店、车辆、卡车和工人的详细信息。

原文链接：

https://hackread.com/server-misconfiguration-fuel-software-exposed-pii-data/

一个配置错误的 Elasticsearch 集群泄露了超过 330 万条包含注册信息的车辆记录，由于其中存在来自黎巴嫩的信息，该集群据信由黎巴嫩政府机构所有 。除了包含车主的姓名、出生日期和电话号码外，此类Elasticsearch集群还包含车辆生产日期、底盘和发动机号以及其他带有“特殊需求”标记的记录。研究人员表示：“数据集中的信息和数据处理方式表明，车辆登记系统维护良好，能够跟踪大量数据。”他们还发现了可能反映黎巴嫩多语言性质和行政区域的信息。然而，数据集所有权的持续不确定性降低了受影响个人被告知此类暴露的可能性。几周前，有人发现一个配置错误的 Elasticsearch 服务器泄露了762000 名中国车主及其车辆的数据。

原文链接：

https://cybernews.com/security/millions-vehicle-records-left-open/

Stillwater矿业公司证实，其于今年6月份遭受了一次网络攻击。黑客在 6 月中旬入侵了公司系统，但直到7月8日才发现这一事件。该攻击导致7258 名员工的个人信息被盗。泄露的数据包括姓名、联系信息、政府身份证信息、护照号码、社会安全号码、税号、出生证明、银行账号等财务信息以及健康计划号码等医疗信息。对此次攻击的调查仍在进行中，但该矿业公司表示，已能够在 8 月 19 日确认数据泄露事件。外部网络安全专家已参与对该事件的响应。RansomHub勒索组织于7月22日声称对此次攻击负责，并于8月15日声称泄露了所有窃取的信息。

原文链接：

https://therecord.media/stillwater-mining-company-montana-platinum-data-breach

臭名昭著的 IntelBroker 黑客声称对英国 Experience Engine 公司的入侵负责，该公司提供体验式营销和促销人员配置服务。这名黑客之前曾涉嫌多起备受瞩目的数据泄露事件，目前正在Breach Forums上出售据称被盗的数据，要求以Monero (XML) 加密货币付款，以保持匿名和不可追踪。据称被盗的数据包括.bak 数据库文件，其中包含大量客户和交易详细信息，IntelBroker 共享了“dbo.invoice”和“dbo.booking_backup”表，分别包含 31000 行和 784000 行敏感记录。dbo.invoice 包含联系信息和发票金额，而dbo.booking_backup 包含来自美国、英国和圣卢西亚的客户的姓名、电子邮件、地址、收入信息和预订历史记录。

原文链接：https://hackread.com/hacker-breach-uk-experience-engine-data-sold-online/

今年 5 月，美国新罕布什尔州医疗保健提供商 Access Sports Medicine & Orthopaedics 遭受网络攻击，超过 88000 人的个人和健康信息被盗， INC Ransom勒索软件即服务行动声称对此负责。该提供商向缅因州总检察长办公室提交的文件中表示，Access Sports 系统遭到入侵，导致个人姓名、出生日期、社会安全号码、医疗信息、健康保险数据和财务详细信息被泄露。尽管据信 INC Ransom 泄露了从这家骨科服务提供商窃取的所有数据（据称包括财务信息、员工详细信息、合同和机密文件），但 Access Sports 强调，并未发现任何对泄露数据进行滥用的情况。

原文链接：https://www.securityweek.com/88000-impacted-by-access-sports-data-breach-resulting-from-ransomware-attack/

一名昵称为“888”的黑客声称窃取了SAP软件公司员工的敏感数据。据称，此次数据泄露涉及大约2600名员工的敏感信息，如姓名、电子邮件地址和职位。目前该事件的真实性尚未得到证实，SAP公司也尚未发布正式声明来回应此次事件。

原文链接：https://cybersecuritynews.com/leak-sap-employees-data/