烽火狼烟丨暗网数据及攻击威胁情报分析周报（10/28-11/01）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件191起，同比上周下降9.05%。本周内贩卖数据总量共计114914.41万条；累计涉及8个主要地区，主要涉及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及贸易、金融、服务等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期黑客组织活动异常活跃，需加强防范；本周内出现的安全漏洞以ServiceNow沙箱逃逸漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 7924 条，主要涉及命令注入、组件漏洞攻击、扫描防护等类型。

01.

重点数据泄露事件

巴西国家工商局遭数据泄露

泄露时间：2024-10-30

泄露内容：一名威胁行为者在暗网论坛声称拥有并出售包含超过16万巴西公民敏感信息的数据库，这些数据来自巴西国家工商局（SAIC）系统。泄露数据包括身份证号码、UUID、CPF号码以及健康单位编号、名称、CNS编号等个人和医疗保健信息。

泄露数据量：16W

关联行业：政府

地区：巴西

法国第二大电信供应商 Free 遭数据泄露

泄露时间：2024-10-28

泄露内容：威胁行为者入侵了法国第二大互联网服务提供商Free SAS，据称访问了客户个人信息，卖家列出了两个数据库，一个包含 19,192,948 名客户账户，另一个包含 511 万个 IBAN 详细信息。泄露数据包括名字、姓氏、电话号码、邮政地址、出生日期和电子邮件等。Free SAS确认部分用户账户相关的个人数据被未经授权访问，但密码、银行卡信息和通信内容未受影响。

泄露数据量：2430W

关联行业：运营商

地区：法国

意大利国家数据库数据泄露

泄露时间：2024-10-28

泄露内容：意大利警方破获一起重大数据泄露案，犯罪团伙涉嫌非法入侵国家数据库，盗取并转售高达80万条敏感记录，包括金融活动警报、公民银行交易明细和警方调查数据库。此次事件牵涉多名意大利知名人士，相关数据可能已被泄露。

泄露数据量：80W

关联行业：金融

地区：意大利

美国医疗隐私数据泄露

泄露时间：2024-10-28

泄露内容：美国联合健康集团（UnitedHealth）旗下子公司Change Healthcare遭受勒索软件攻击，导致超过1亿人的个人信息和医疗数据被盗。泄露信息包括健康保险信息、健康信息、账单、索赔和支付信息，以及社会安全号码等。攻击由BlackCat勒索软件团伙发起，联合健康集团支付了赎金以获取解密器，并要求删除数据。

泄露数据量：1亿

关联行业：医疗

地区：美国

秘鲁知名银行用户数据泄露

泄露时间：2024-10-31

泄露内容：秘鲁金融机构Interbank遭受勒索软件攻击，超过300万用户的敏感数据被泄露。泄露信息包括客户全名、账户ID、出生日期、地址、电话号码、电子邮件、信用卡信息等。攻击者在黑客论坛上出售被盗数据，并声称拥有超过3.7TB的数据样本。尽管Interbank与攻击者进行了谈判，但由于拒绝支付赎金，勒索未能成功。

泄露数据量：300W

关联行业：金融

地区：秘鲁

02.

热点资讯

黑客组织与 Play 勒索软件合作发动重大网络攻击

近期，Jumpy Pisces威胁行为者与Play勒索软件家族合作，发动了重大网络攻击。分析报告指出，这是Jumpy Pisces组织与地下勒索软件网络首次有记录的合作。Andariel，Jumpy Pisces的别名之一，自2009年以来活跃，隶属于朝鲜侦察总局(RGB)，之前部署过SHATTEREDGLASS和Maui勒索软件。Andariel通过受损用户账户获得初始访问权限，使用Sliver C2框架和Dtrack后门进行横向移动和持久性活动，最终导致Play勒索软件的部署。攻击者还利用木马二进制文件收集浏览器历史记录、自动填充信息和信用卡详细信息。此次合作可能是Jumpy Pisces作为初始访问代理出售网络访问权，或者已正式成为Play勒索软件的附属机构。

消息来源：

https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html

墨西哥大型机场集团疑遭勒索攻击

2024年10月，墨西哥中北部机场集团（OMA）遭受网络攻击，导致旗下13个机场的航班信息大屏关闭，迫使其切换至备用系统和人工服务维持运营。黑客组织RansomHub声称对此次攻击负责，并威胁公开3TB被盗数据以索取赎金。攻击影响超过10天，OMA提醒乘客机场仍面临问题，并敦促按时到达机场关注最新动态。OMA表示，IT团队正与外部网络安全专家合作调查事件范围，并确保系统完整性、保密性和可用性。尽管部分服务已逐步恢复，但OMA未明确证实RansomHub的声明。RansomHub自今年2月以来已发动超过210次攻击，成为勒索软件新势力。

消息来源：

https://www.secrss.com/articles/71806

Meta 和 Redline 恶意软件服务器被破坏，VIP 被曝光

近期，在打击网络犯罪的“马格努斯行动”中，荷兰国家警察、FBI 和英国国家犯罪局 (NCA) 等执法机构成功入侵了 Redline 和 Meta 信息窃取系统的服务器。Redline 和 Meta 是网络犯罪分子广泛使用的恶意软件即服务 (MaaS) 工具，帮助黑客通过网络钓鱼等手段窃取用户凭据，并在暗网上贩卖。行动期间，执法人员获得了管理员级别访问权限，能够查看控制面板、社交媒体账户，并获取用户的用户名、密码、IP 地址和其他关键信息。部分 VIP 用户信息已被曝光，可能面临法律追责。此次行动不仅对信息窃取者带来打击，还将使犯罪分子更难发起攻击。

消息来源：

https://cybernews.com/cybercrime/meta-and-redline-servers-busted/

黑客组织利用微软和 AWS 诱骗关键部门

近期，微软披露黑客组织 Cozy Bear（又称 APT29 或 Midnight Blizzard）发起新的网络钓鱼活动，瞄准全球 100 多个组织，尤其是政府、国防、学术和非政府组织等关键部门。攻击使用伪装成合法文档的签名 RDP 文件，引诱用户点击以获取设备的远程访问权限，从而窃取敏感数据。此次攻击通过 RDP 文件伪装成 Microsoft 和 AWS 相关的文档，并通过冒充微软员工提升可信度。用户一旦打开文件，即与黑客服务器建立连接，允许攻击者访问文件、外围设备和剪贴板等资源，甚至在会话关闭后仍能维持控制。此攻击可能泄露机密数据，并利用受感染设备扩散。微软、CERT-UA 和亚马逊已开始通知受影响的用户。专家建议启用多因素身份验证、使用AI检测恶意文件，并加强防钓鱼培训，以应对此类复杂攻击。

消息来源：

https://hackread.com/russian-cozy-bear-hackers-phish-microsoft-aws-lures/

03.

热点技术

新版 Android 恶意软件 FakeCall 将银行电话重定向至诈骗者

近期，Zimperium研究人员发现了Android版FakeCall恶意软件的新版本，该软件能拦截并重定向拨出的银行电话给攻击者，以窃取敏感信息和资金。新版本的FakeCall在安装后将自己设置为默认呼叫处理程序，控制所有拨出电话，并模仿Android拨号器显示可信信息欺骗用户。该木马主要针对韩国用户，新版本增强了逃避检测和数据窃取能力，能访问受感染设备的实时音频和视频流。FakeCall通过显示虚假用户界面模仿实际的银行体验，允许攻击者提取敏感信息或未经授权访问受害者的金融账户。Zimperium已发布新恶意软件版本的入侵指标(IoC)列表。

消息来源：

https://securityaffairs.com/170410/malware/fakecall-malware-intercepts-outgoing-bank-calls.html

勒索软件攻击利用 SonicWall VPN漏洞进行攻击

2024年8月以来，Fog和Akira勒索软件运营商利用SonicWall VPN的严重漏洞CVE-2024-40766入侵企业网络。该漏洞影响SonicWall SonicOS，可能导致未经授权的资源访问和防火墙崩溃，SonicWall已于8月修复。Arctic Wolf研究人员检测到超过30起勒索软件入侵，全部利用未修补的SonicWall SSL VPN漏洞。攻击者通过SSL VPN访问受害者环境，然后部署勒索软件，有时从访问到执行勒索软件的时间间隔短至1.5到2小时。SonicWall敦促客户尽快打补丁，并提供最小化潜在风险的方法，包括限制防火墙管理访问和禁用从Internet访问SSLVPN。

消息来源：

https://securityaffairs.com/170359/cyber-crime/fog-akira-ransomware-sonicwall-vpn-flaw.html

Black Basta 关联企业在最近的攻击中使用了 Microsoft Teams

ReliaQuest研究人员发现，Black Basta勒索软件团伙开始利用Microsoft Teams冒充IT支持人员，以获取目标网络的初始访问权限。该团伙通过发送大量垃圾邮件诱使员工创建帮助台工单，然后冒充帮助台响应工单，通过Microsoft Teams聊天加入恶意二维码以便于初始访问。他们试图诱骗用户下载AnyDesk等远程监控和管理工具，以便在获得初步访问权限后部署勒索软件。研究人员观察到，攻击者在50分钟内向单个用户发送了约1000封电子邮件，并将目标用户添加到假冒支持、管理员或服务台人员的Teams聊天中。攻击者的操作一般来自俄罗斯，采用莫斯科时区。获得访问权限后，攻击者会部署包括代理恶意软件和Cobalt Strike在内的恶意文件，以加深网络渗透。专家建议限制外部Microsoft Teams通信并记录可疑聊天活动，以提高安全性。

消息来源：

https://securityaffairs.com/170311/cyber-crime/black-basta-ransomware-microsoft-teams.html

研究人员发现针对加密钱包的恶意代码Python 软件包

网络安全研究人员揭露了一个名为“CryptoAITools”的恶意Python软件包，该包伪装成加密货币交易工具，实则旨在窃取敏感数据和盗取受害者加密钱包中的资产。该软件包通过PyPI和虚假GitHub存储库分发，下载次数超过1300次。恶意软件针对Windows和macOS操作系统，使用欺骗性图形用户界面(GUI)分散受害者注意力，同时后台执行恶意操作。它还下载和执行额外的有效负载，启动多阶段感染过程。CryptoAITools主要目标是收集有助于攻击者窃取加密货币资产的数据，包括来自各种加密货币钱包的数据、已保存的密码、cookies、浏览历史记录等。收集的信息被上传到gofile.io文件传输服务后删除本地副本。研究人员还发现，攻击者通过名为Meme Token Hunter Bot的GitHub存储库分发相同的窃取恶意软件，该存储库声称是一个人工智能驱动的交易机器人。这种多平台策略使攻击者能够触及更广泛的受害者群体。

消息来源：

https://thehackernews.com/2024/10/researchers-uncover-python-package.html

虚假广告劫持 Facebook 账户以传播信息窃取程序

近期，Meta 平台上出现恶意广告活动，利用虚假广告传播 SYS01 信息窃取程序，目标为 45 岁以上男性。该恶意软件窃取 Facebook 凭证，尤其是商业账户的凭证，攻击波及全球。黑客发布假冒流行软件和服务的广告，如 Office 365、Netflix 和热门游戏等，用户点击广告后被引导至 MediaFire 链接下载恶意软件。下载的文件包含伪装的 Electron 应用程序，一旦执行，恶意程序便在后台植入 SYS01 信息窃取程序，窃取 Facebook 登录信息并劫持账户。被劫持的账户用于发布更多恶意广告，绕过安全过滤器，从而形成自我传播循环。Bitdefender 提醒用户保持警惕，建议监控账户、避免点击可疑广告、使用强大安全软件并启用双因素身份验证以增强安全性。

消息来源：

https://hackread.com/fake-meta-ads-hijacking-facebook-sys01-infostealer/#google_vignette

04.

热点漏洞

Chrome Dawn越界写入漏洞（CVE-2024-10487）

130.0.6723.92 之前的 Google Chrome 版本中的 Dawn 存在越界写入漏洞，允许远程攻击者通过精心设计的 HTML 页面执行越界内存访问，从而造成程序崩溃、敏感信息泄露或任意代码执行。

受影响版本：

Google Chrome（Windows/Mac）< 130.0.6723.91/.92
Google Chrome（Linux）< 130.0.6723.91

Spring Security授权绕过漏洞（CVE-2024-38821）

在使用WebFlux 应用程序、Spring 的静态资源支持以及对静态资源支持应用非 permitAll 授权规则的情况下，在静态资源上具有 Spring Security 授权规则的 Spring WebFlux 应用程序可能会被绕过。Spring Security 是一个功能强大的框架，用于在 Spring 应用程序中实现身份验证和授权。它提供了灵活且高度可配置的安全功能，可以保护应用程序免受常见的安全漏洞（如会话固定攻击、点击劫持和跨站请求伪造）。

影响版本：

Spring Security 5.7.0 - 5.7.12
Spring Security 5.8.0 - 5.8.14
Spring Security 6.0.0 - 6.0.12
Spring Security 6.1.0 - 6.1.10
Spring Security 6.2.0 - 6.2.6
Spring Security 6.3.0 - 6.3.3

WordPress礼品卡通过 SVG 文件上传进行身份验证存储跨站点脚本（CVE-2024-9165）

由于输入清理和输出转义不足，WordPress 的礼品卡（WooCommerce 支持）插件在 4.4.4 及以上版本中都容易受到通过 SVG 文件上传存储的跨站点脚本攻击。这使得经过身份验证的攻击者（具有作者级别及以上访问权限）可以在页面中注入任意 Web 脚本，这些脚本将在用户访问 SVG 文件时执行。

影响产品：

Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported)>= 4.4.4

ServiceNow沙箱逃逸漏洞（CVE-2024-8923）

ServiceNow修复了NowPlatform中的一个沙箱逃逸漏洞（CVE-2024-8923），由于缺乏对用户输入的充分验证，恶意攻击者可以采用构造恶意请求发送特定数据来利用该漏洞，成功利用该漏洞可导致服务中断、敏感信息泄露或任意代码执行。ServiceNow 是一个基于云的平台，主要用于企业 IT 服务管理（ITSM）。

影响版本：