烽火狼烟丨暗网数据及攻击威胁情报分析周报（10/14-10/18）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件207起，同比上周下降5.05%。本周内贩卖数据总量共计39237万条；累计涉及9个主要地区，主要涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及贸易、金融、服务等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期针对金融行业的恶意软件持续更新，需加强防范；本周内出现的安全漏洞以Apache Solr身份验证绕过漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9989条，主要涉及命令注入、漏洞利用、apache log4j2攻击等类型。

OwlTing泄露酒店客户数据

泄露时间：2024-10-15

泄露内容：区块链技术公司OwlTing因配置错误的AWS S3存储桶，不慎泄露了765,000名台湾酒店客人的敏感信息。泄露的数据包括全名、电话号码、电子邮件地址、酒店预订详情等。虽然OwlTing声称泄露不涉及敏感数据，但研究人员警告，这些信息可能导致身份盗窃和欺诈。受影响的电话号码中92%属于台湾用户，还包括来自日本、香港、新加坡等地区的用户。

泄露数据量：765,000

关联行业：服务

地区：中国台湾

思科再遭数据泄露

泄露时间：2024-10-15

泄露内容：黑客IntelBroker声称在2024年10月从思科窃取了数据并进行出售，影响了微软、亚马逊、AT&T等公司。泄露的数据包括源代码、硬编码凭证、证书和密钥、机密文档、API令牌和存储桶等敏感信息。思科尚未对此泄露事件作出回应，如果确认，可能会对思科和相关公司造成严重影响。

泄露数据量：未知

关联行业：信息技术

地区：美国

宝可梦游戏开发商（Game Freak）遭遇数据泄露

泄露时间：2024-10-15

泄露内容：日本游戏开发商Game Freak遭受数据泄露，影响了2606名员工和合作伙伴。泄露信息包括游戏内幕消息、源代码、下一代游戏数据等。Game Freak确认近期发生了安全事件，导致前现任员工信息泄露，并正在加强安全措施和联系受影响员工。

泄露数据量：2606

关联行业：游戏

地区：日本

卡西欧遭勒索组织攻击导致数据泄露

泄露时间：2024-10-14

泄露内容：日本电子公司卡西欧确认，其网络在10月遭受勒索软件攻击，导致数据泄露。攻击者获取了员工、业务合作伙伴、求职者的个人信息以及客户数据。泄露的信息还包括合同、发票、销售信息以及法律、财务、人力资源等内部文件。名为Underground的勒索软件组织声称对此次攻击负责，并已开始公开被盗数据，暗示卡西欧未支付赎金。

泄露数据量：200 GB

关联行业：电子

地区：日本

Gryphon Healthcare遭数据泄露

泄露时间：2024-10-15

泄露内容：10月14日，Gryphon Healthcare遭遇信息泄露，攻击者进入了Gryphon的客户系统，掌握了393,358名人员的数据，包括患者的姓名、出生日期、地址、社会保险号以及医疗数据，包括诊断、治疗、处方和保险信息等。据悉，这些数据由Gryphon为其提供医疗账单服务的组织存储，可能包括医院、急诊室、影像中心等多种医疗机构。

泄露数据量：393,358

关联行业：医疗

地区：美国

大众汽车集团遭遇8Base勒索软件攻击

勒索软件组织8Base声称从大众汽车集团系统中窃取了包括发票、收据、会计文件、个人数据、证书、雇佣合同、人事档案以及大量机密信息。大众汽车发言人向《安全周刊》表示，公司的IT基础设施并未受到影响，并将持续关注此事的发展。8Base自2023年初以来活跃，已在其网站上公布了400多名受害者的信息。尽管8Base声称窃取了数据，但暂未公开任何被盗信息。这不是大众汽车首次成为黑客攻击的目标，大众汽车集团拥有多个知名汽车品牌，包括大众、斯柯达、西雅特、奥迪等。

消息来源：

https://www.securityweek.com/volkswagen-says-it-infrastructure-not-affected-after-ransomware-gang-claims-data-theft/

伊朗政府部门和核设施遭受大规模网络攻击

近期，伊朗遭受了一场大规模网络攻击，导致政府服务中断和重要信息泄露，特别是核设施也受到了影响。此次攻击影响了包括司法、立法和行政在内的关键部门，以及燃料分配、市政服务、交通和港口的关键网络。这被认为是以色列对伊朗早先导弹袭击的报复，加剧了两国间的紧张关系。以色列国防部长曾警告将对伊朗进行“致命的、精确的和出其不意的”报复。伊朗表示已准备好捍卫其主权和领土完整，美国总统拜登已明确表示不支持对伊朗核设施进行报复性打击。国际社会对中东未来的安全局势表示严重担忧，外交谈判正在进行中。

消息来源：

https://www.secrss.com/articles/71145

WordPress Jetpack插件严重漏洞影响2700万网站

近期，WordPress Jetpack插件发现并修复了一个严重漏洞，该漏洞存在于3.9.9版本，并影响了所有后续版本，直至在13.9.1版本中被解决。这个插件在约2700万个WordPress网站上使用，漏洞允许登录用户查看同一网站上其他用户提交的表单数据。Automattic公司，即WordPress.com的母公司，表示这是在内部安全审计中发现的问题，并且没有证据表明该漏洞已被广泛利用。大多数网站已经或即将自动更新到最新版本以修复此问题。尽管如此，运维人员提醒用户，更新发布后，可能会有人尝试利用此漏洞，因此建议用户尽快更新以确保网站安全。

消息来源：

https://securityaffairs.com/169848/uncategorized/wordpress-jetpack-plugin-critical-flaw.html

Android 银行木马窃取资金：没有杀毒软件可以检测

近期，威胁行为者利用Cerberus Android银行木马的新变种ErrorFather攻击Android用户。该木马能够动态切换命令和控制服务器，其复杂的感染链使得检测和清除变得困难。Cerberus的新变种包括基于会话的植入程序、本机库和加密的有效负载，采用键盘记录、覆盖攻击和VNC。它使用域生成算法动态生成域来更改C&C服务器，且没有任何防病毒引擎检测到其改版。木马通过伪装成合法应用或更新，利用钓鱼网站和社会工程学手段传播，窃取用户登录凭据或信用卡信息。Cyble研究人员建议用户只从官方来源下载应用，启用Google Play Protect，谨慎处理权限，并避免点击可疑链接。

消息来源：

https://cybernews.com/security/android-banking-trojans-peak-stealing-money-undetected/

ConfusedPilot 攻击可操纵基于 RAG 的 AI 系统

德克萨斯大学奥斯汀分校的研究人员发现了一种名为ConfusedPilot的攻击方式，能够操纵基于检索增强生成（RAG）的AI系统，如Microsoft 365 Copilot。攻击者通过向AI系统的数据池中添加恶意文档来混淆系统，可能导致错误信息的传播和决策过程的损害。这种攻击不需要复杂的技术，只需基本访问权限，且即使恶意内容被删除，影响仍可能持续存在。目前，65%的财富500强公司正在实施或计划实施基于RAG的AI系统，因此这种攻击的潜在影响非常严重。研究人员建议采取数据访问控制、数据完整性审计和数据分段等措施来缓解此类攻击。

消息来源：

https://www.darkreading.com/cyberattacks-data-breaches/confusedpilot-attack-manipulate-rag-based-ai-systems

Astaroth 恶意软件通过鱼叉式网络钓鱼攻击

近期，巴西遭遇新型鱼叉式网络钓鱼攻击，攻击者利用混淆的JavaScript传播Astaroth（又名Guildma）银行恶意软件。这些恶意邮件常冒充官方税务文件，诱骗用户下载。趋势科技与谷歌威胁分析小组分别追踪到名为Water Makara和PINEAPPLE的威胁活动集群，它们都以官方实体的网络钓鱼信息为开端，诱导用户下载伪装成所得税文件的ZIP附件，内含伪装成合法程序mshta.exe的Windows快捷方式，可以执行JavaScript命令并连接命令和控制服务器。Astaroth虽看似古老，但其重新出现和持续进化将构成持续威胁，导致数据被盗、消费者信任受损、监管罚款、业务中断及成本增加。为减轻风险，建议实施强密码策略、多因素身份验证、保持软件更新，并应用最小特权原则。

消息来源：

https://thehackernews.com/2024/10/astaroth-banking-malware-resurfaces-in.html

黑客滥用 EDRSilencer 工具绕过安全措施并隐藏恶意活动

近期，黑客开始滥用开源EDRSilencer工具，试图篡改端点检测和响应（EDR）解决方案并隐藏恶意活动。EDRSilencer利用Windows过滤平台（WFP）阻止EDR进程的出站流量，使EDR软件无效，增加了识别和删除恶意软件的难度。黑客通过扫描系统收集与常见EDR产品相关的进程列表，配置WFP过滤器抑制这些进程的出站流量，使恶意软件或活动无法被发现，增加攻击成功的可能性。这一行为凸显了威胁行为者寻求更有效攻击工具的持续趋势，尤其是禁用防病毒和EDR解决方案的工具。随着勒索软件团体越来越多地使用此类工具，网络安全面临更大挑战。

消息来源：

https://thehackernews.com/2024/10/hackers-abuse-edrsilencer-tool-to.html

新的恶意软件活动使用 PureCrypter Loader 来传播 DarkVision RAT

近期，网络安全研究人员揭露了一项新的恶意软件活动，该活动利用PureCrypter加载器来传播DarkVision远程访问木马（RAT）。PureCrypter是一种现成的恶意软件加载器，以订阅方式出售，使客户能够分发信息窃取程序、RAT和勒索软件。DarkVision RAT支持多种命令和插件，包括键盘记录、远程访问、密码盗窃、录音和屏幕截图等功能。Donut加载器启动PureCrypter并通过加载DarkVision RAT设置持久性，同时会将其文件路径和进程名称添加到Microsoft Defender Antivirus排除列表中。DarkVision RAT自2020年首次亮相，以60美元的价格在clearnet网站上宣传，其吸引力在于低成本和多功能，包括进程注入、远程shell、反向代理、剪贴板操作等，使得操作员能完全控制受感染的Windows主机。

消息来源：

https://thehackernews.com/2024/10/new-malware-campaign-uses-purecrypter.html

新版FASTCash恶意软件针对金融系统进行攻击

网络安全研究员HaxRob发现有黑客组织部署了针对Linux系统的新型FASTCash恶意软件变种，专门针对Ubuntu 22.04 LTS发行版，用以攻击金融系统。FASTCash恶意软件自2016年以来被Lazarus APT组织用于从亚洲和非洲的中小型银行ATM机中窃取资金。新变种通过拦截被拒绝的磁条刷卡交易，并以随机金额授权特定持卡人账户进行交易，从而允许在ATM和PoS终端进行未经授权的交易。该恶意软件以共享库形式实现，通过“ptrace”系统调用注入支付交换服务器，拦截ISO8583交易消息。Linux变种的功能虽略少于Windows版本，但保留了关键操作，即拦截预定义持卡人账号列表的拒绝交易消息，并以土耳其里拉货币的随机金额授权交易。这一发现强调了对Linux服务器环境检测能力的需求，以及实施更安全的金融交易措施的重要性。

消息来源：

https://securityaffairs.com/169860/malware/new-linux-variant-fastcash-malware-targets-financial-systems.html

TrickMo 银行木马可以捕获 Android PIN 和解锁图案

近期，名为TrickMo的Android银行木马新变种被发现能窃取设备解锁图案或PIN。该木马与TrickBot网络犯罪组织有关，能远程控制设备、窃取短信验证码并滥用辅助功能获取凭据。新变种通过仿冒用户界面获取用户解锁信息，并传输至攻击者服务器。这些信息不仅限于银行信息，还包括访问公司资源所需的凭证。TrickMo目标范围广泛，收集来自多个类别应用程序的数据。此进展发生在新的ErrorFather Android银行木马活动之际，凸显恶意软件重复利用的危险。据Zscaler数据，2023年6月至2024年4月，涉及银行恶意软件的移动攻击增加了29%，印度成为最大目标。

消息来源：

https://thehackernews.com/2024/10/trickmo-banking-trojan-can-now-capture.html

IBM WebSphere Application Server XML 外部实体注入（CVE-2024-45072）

IBM WebSphere Application Server 8.5 和 9.0 在处理 XML 数据时容易受到 XML 外部实体注入 (XXE) 攻击。特权用户可以利用此漏洞泄露敏感信息或消耗内存资源。

影响产品：

IBM WebSphere Application Server     8.5 ~ 9.0 

RDS Light 缺乏输入验证漏洞（CVE-2024-48918）

RDS Light是Reflective Dialogue System (RDS) AI框架的简化版，1.1.0前版本存在输入验证漏洞，用户输入处理代码易受注入攻击和内存篡改，影响与敏感系统交互、执行动态内存缓存或分析用户数据的RDS AI用户。受影响领域包括AI驱动应用后端开发人员和运行RDS AI的系统。漏洞已在1.1.0版中修补，建议用户升级并确保依赖项最新。无法升级的用户可实施变通方法，如自定义验证检查过滤不安全字符和模式，限制或删除用户输入功能等措施。

影响产品：

RDS Light< 1.1.0 

Kubernetes Image Builder默认凭证漏洞（CVE-2024-9486）

在 Kubernetes Image Builder 版本 <= v0.1.37 中发现了一个安全问题，在映像构建过程中启用了默认凭据。使用 Proxmox 提供程序构建的虚拟机映像不会禁用这些默认凭据，使用生成的映像的节点可以通过这些默认凭据访问。这些凭据可用于获取 root 访问权限。只有当 Kubernetes 集群的节点使用通过 Image Builder 项目及其 Proxmox 提供程序创建的 VM 映像时，Kubernetes 集群才会受到影响。

影响版本：

Kubernetes Image Builder <= v0.1.37

LibHTP拒绝服务攻击漏洞（CVE-2024-45797）

LibHTP 是一个针对 HTTP 协议及其相关部分的安全感知解析器。在 0.5.49 版本之前，对 HTTP 请求和响应标头的无限制处理可能会导致过多的 CPU 时间和内存利用率，从而可能导致极度减速。此问题已在 0.5.49 版本中得到解决

受影响版本：

LibHTP <  0.5.49 

Apache Solr身份验证绕过漏洞（CVE-2024-45216）

Apache Solr发布安全公告，修复了Solr中的一个身份验证绕过漏洞，漏洞编号：CVE-2024-45216。当使用 PKIAuthenticationPlugin 的 Solr 实例（在使用 Solr 身份验证时默认启用）容易受到身份验证绕过的影响。攻击者可以通过构造 Solr API URL 的路径请求来绕过Solr的认证机制，从而访问敏感数据或执行未授权操作。

影响版本：

5.3.0 <= Apache Solr < 8.11.4

9.0.0 <= Apache Solr < 9.7.0

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。