网络安全资讯周报（07/17 - 07/21） - 新鲜讯息

目录/contents

全球动态

乌克兰CERT披露UAC-0010组织的攻击活动
美国政府将Cytrox 和 Intellexa 间谍软件供应商列入黑名单

安全事件

化妆品巨头雅诗兰黛遭BlackCat 和 Clop 团伙入侵
Turla组织使用DeliveryCheck恶意软件进行攻击活动
朝鲜黑客试图对 JumpCloud 客户进行供应链攻击
FIN8组织使用Sardonic后门变种传播Noberus勒索软件
研究人员发现AMI MegaRAC 两个新的严重漏洞

数据泄露

VirusTotal泄露大量用户信息
亨利福特医疗集团遭到钓鱼攻击近17万患者信息泄露
科罗拉多州立大学遭到勒索攻击学生和员工的信息泄露
多个约会应用程序约230万条记录被泄露
Docker Hub中的大量镜像泄露敏感数据
国际汽联世界耐力锦标赛车手护照泄露

NEWS

Part 1

全球动态

乌克兰CERT披露UAC-0010组织的攻击

活动

乌克兰计算机应急响应中心（CERT-UA）近日披露了UAC-0010组织（又称Gamaredon、Armageddon、Shuckworm）的攻击活动。该组织以快速攻击的方式运作，在不到一小时的时间内从被入侵的系统中窃取数据。该组织经常使用鱼叉式网络钓鱼电子邮件和消息（Telegram、WhatsApp、Signal）作为初始攻击媒介，诱导目标打开伪装成 Office 文档的恶意附件（即 HTM、HTA 和 LNK 文件），从而执行用于窃密的PowerShell脚本并植入多种恶意程序。Gamaredon 自 2014 年以来一直活跃，其活动重点在乌克兰。

原文链接：https://www.infosecurity-magazine.com/news/ukraine-exposes-gamaredons-data/

美国政府将Cytrox 和 Intellexa 间谍软件

供应商列入黑名单

本周二，美国政府将两家欧洲商业间谍软件供应商 Cytrox 和 Intellexa 列入黑名单，理由是它们利用网络漏洞进行武器化，以获得未经授权的设备访问权限，并“威胁全球个人和组织的隐私和安全”。被列入实体名单的公司包括希腊的Intellexa S.A.、匈牙利的Cytrox Holdings Crt、爱尔兰的Intellexa Limited和北马其顿的Cytrox AD。Cytrox 是一款名为Predator的移动雇佣兵间谍软件的制造商，该软件类似于 NSO Group 的Pegasus软件。据多伦多大学公民实验室称，它是Intellexa的一部分，而Intellexa是作为一种“间谍软件明星联盟”而成立的，目的是与NSO集团竞争。据称，该联盟由 Nexa Technologies（前身为 Amesys）、WiSpear/Passitora Ltd.、Cytrox 和 Senpai 组成，而 Cytrox 和 Intellexa 之间的确切联系迄今为止仍不清楚。

原文链接：https://thehackernews.com/2023/07/us-government-blacklists-cytrox-and.html

Part 2

安全事件

化妆品巨头雅诗兰黛遭BlackCat 和 Clop

团伙入侵

据媒体7月19日报道，BlackCat和Clop两个勒索组织在其数据泄露网站上将化妆品公司雅诗兰黛列为受害者。雅诗兰黛证实了其中的一次网络攻击，称攻击者访问了其部分系统，并且可能窃取了数据。他们已采取行动并关闭了一些系统。Clop并声称窃取了超过131GB的数据。BlackCat 泽表示他们没有加密公司的任何系统，但要求进行谈判，否则他们将透露更多有关被盗数据的细节。

原文链接：https://securityaffairs.com/148651/hacking/alphv-blackcat-clop-estee-lauder.html

Turla组织使用DeliveryCheck恶意软件进

行攻击活动

研究人员称，Turla黑客组织正在发起新一轮的攻击活动，乌克兰和东欧的国防部门已成为其一种名为DeliveryCheck（又名 CAPIBAR 或 GAMEDAY）的新型基于 .NET 的后门的目标，该后门能够交付下一阶段的有效负载。Turla组织又名Secret Blizzard、KRYPTON、UAC-0003，被认为是俄罗斯的APT组织。攻击者利用包含Excel XLSM附件的钓鱼邮件发起攻击，这些文件中包含恶意宏，执行后将会执行PowerShell命令，并创建仿冒Firefox浏览器更新程序的计划任务。该计划任务将下载DeliveryCheck后门（也称为CapiBar和GAMEDAY）并在内存中运行，与C2服务器进行连接，以接收执行或部署进一步恶意载荷的命令。

原文链接：https://thehackernews.com/2023/07/turlas-new-deliverycheck-backdoor.html

朝鲜黑客试图对JumpCloud 客户进行供应

链攻击

JumpCloud 一家美国云解决方案提供商，为企业设备提供身份和访问管理工具。6 月 27 日，JumpCloud发现了其遭到入侵，其中“一个复杂的民族国家支持的威胁行为者”通过鱼叉式网络钓鱼攻击破坏了其系统。尽管没有立即证据表明客户受到影响，但作为预防措施，JumpCloud更换API密钥并重建被入侵的基础设施。7月12日，JumpCloud发布公告公开了该事件的详细信息，并发布了妥协指标 (IOC)。本周四，SentinelLabs 研究人员报告称，他们通过对JumpCloud 发布的妥协指标 (IOC)分析，将朝鲜APT组织Lazarus Group与该攻击事件联系起来。此外，CrowdStrike也证实Lazarus Group 的子集 Labyrinth Chollima 是此次攻击事件的幕后黑手。

原文链接：

https://therecord.media/north-korea-jumpcloud-attempted-supply-chain-attack-cryptocurrency

FIN8组织使用Sardonic后门变种传播

Noberus勒索软件

Symantec在7月18日称，FIN8组织（又称Syssphinx）正在使用 Sardonic 后门的改进版本来传播 BlackCat 勒索软件。Sardonic 是一个复杂的后门，支持多种旨在逃避检测的功能。据专家称，Sardonic 是一个仍在开发中的项目，包括多个组件，其中一些组件是在攻击之前编译的。FIN8自2016年1月开始活跃，主要针对零售、餐饮、酒店、医疗保健和娱乐等行业。

原文链接：https://securityaffairs.com/148569/cyber-crime/fin8-group-spotted-delivering-the-blackcat-ransomware.html

研究人员发现AMI MegaRAC 两个新的严

重漏洞

据Fortinet FortiGuard Labs称，一种名为ThirdEye的先前未记录的基于 Windows 的信息窃取程序已在野外被发现，具有从受感染主机获取敏感数据的能力。它在一个伪装成PDF 文件的可执行文件中发现了该恶意软件，其俄语名称为“CMK Правила оформления больничных листов.pdf.exe”。尽管诱饵的性质表明它被用于网络钓鱼活动，但该恶意软件的到达向量目前尚不清楚。第一个 ThirdEye 样本于 2023 年 4 月 4 日上传到 VirusTotal，功能相对较少。

原文链接：https://securityaffairs.com/148569/cyber-crime/fin8-group-spotted-delivering-the-blackcat-ransomware.html

Part 3

数据泄露

VirusTotal泄露大量用户信息

据媒体奥地利《标准报》和德国《明镜周刊》报道，恶意软件扫描服务VirusTotal泄露了部分注册客户的信息。泄露文件大小仅为313 KB，包含5600个注册用户的信息，例如姓名、邮件地址和组织等。受影响用户涉及美国网络司令部、美国司法部、联邦调查局和美国国家安全局，还有荷兰、台湾和英国的官方机构。此外，德国铁路、安联、宝马、戴姆勒和德国电信等德国知名公司的员工也受到影响。对此Google Cloud发言人表示，是其员工在VirusTotal平台上无意间泄露了部分客户数据。这些数据现在已被删除。

原文链接：https://www.hackread.com/virustotal-data-leak-user-intel-agencies-data/

亨利福特医疗集团遭到钓鱼攻击近17万患

者信息泄露

7月17日报道称，亨利福特医疗集团(Henry Ford Health）透露其遭到钓鱼攻击，导致168000名患者的信息泄露。该机构于周一通知受影响的患者，攻击者于3月30日获得了企业电子邮件帐户的访问权限。该机构及时发现了问题，并对电子邮件帐户进行了保护。5月16日，该机构发现受影响的邮件中包含部分患者信息，泄露的信息可能包括姓名、性别、年龄、化验结果、手术类型、诊断、医疗记录编号和内部跟踪编号等。该机构称其正在加强安全措施并为员工提供进一步培训。

原文链接：

https://www.clickondetroit.com/news/local/2023/07/17/henry-ford-health-confirms-data-breach-affecting-168000-patients

科罗拉多州立大学遭到勒索攻击学生和员工

的信息泄露

科罗拉多州立大学(CSU)确认遭到了Clop勒索攻击，现任和前任学生和员工的个人信息被窃取，其中可能包括姓名、出生日期、学生或员工身份号码、社会安全号码以及性别、种族、教育水平和领域等人口信息。科罗拉多州立大学是一所公立研究型大学，拥有近 28000 名学生和 6000 名教职工。该大学于7月12日向受影响学生和教职工发布通知。据该大学称，此次泄露是服务提供商、TIAA、国家学生信息交换所和Corebridge Financial等使用了MOVEit Transfer安全文件传输平台遭到入侵导致的。

原文链接：

https://www.bleepingcomputer.com/news/security/colorado-state-university-says-data-breach-impacts-students-staff/

多个约会应用程序约230万条记录被泄露

有网络安全研究人员向vpnMentor报告称其发现了一个包含大约230万条记录的无密码保护的数据库。进一步调查显示，这些数据涉及多个约会应用，可能因为这些应用属于同一个公司，或由同一公司开发。泄露记录共2357896条，总大小340.6 GB，包括姓名、帐号、电子邮件和密码等信息，甚至还有969571张用户图像。此外，该数据库还包含公开的SDK文件，这可能会被攻击者用于创建带有隐藏恶意功能或漏洞的应用程序。

原文链接：https://www.vpnmentor.com/news/report-419dating-breach/

Docker Hub中的大量镜像泄露敏感数据

Docker Hub 是一个基于云的存储库，供 Docker 社区存储、共享和分发 Docker 镜像。据研究人员近期发布的一项研究，Docker Hub 上托管的上万个容器镜像包含机密信息，从而使使软件、在线平台和用户暴露在大规模攻击之下。研究人员分析了来自Docker Hub和数千个私人注册中心的337171个镜像，从中发现大约8.5%的镜像包含私钥和API机密等敏感数据。

原文链接：https://www.bleepingcomputer.com/news/security/thousands-of-images-on-docker-hub-leak-auth-secrets-private-keys

国际汽联世界耐力锦标赛车手护照泄露

Cybernews研究团队在6月16日发现了两个配置错误（即公开暴露）的 Google Cloud Storage 存储桶，这意味意味着任何人都可以轻松访问这些数据库并滥用敏感数据。这两个存储桶合计包含超过 110 万个文件。其中包括国际汽联世界耐力锦标赛（FIA WEC）车手的数百本护照、政府签发的身份证件和驾驶执照。目前这两个数据库已被保护起来。

原文链接：https://securityaffairs.com/148587/security/fia-world-endurance-championship-data-leak.html