WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析,本周总体情况如下:
本周内共发现暗网数据贩卖事件191起,同比上周下降9.05%。本周内贩卖数据总量共计114914.41万条;累计涉及8个主要地区,主要涉及7种数据分类,数据泄露来源地区分布情况如图1所示。
图1 泄露数据来源地区分布情况
本周内泄露数据涉及贸易、金融、服务等多种类型数据,具体占比如图2所示。
图2 泄露信息数据类型占比
近期黑客组织活动异常活跃,需加强防范;本周内出现的安全漏洞以ServiceNow沙箱逃逸漏洞危害程度较大;内部安全运营中心共发现恶意攻击来源IP 7924 条,主要涉及命令注入、组件漏洞攻击、扫描防护等类型。
01.
重点数据泄露事件
巴西国家工商局遭数据泄露
泄露时间:2024-10-30
泄露内容:一名威胁行为者在暗网论坛声称拥有并出售包含超过16万巴西公民敏感信息的数据库,这些数据来自巴西国家工商局(SAIC)系统。泄露数据包括身份证号码、UUID、CPF号码以及健康单位编号、名称、CNS编号等个人和医疗保健信息。
泄露数据量:16W
关联行业:政府
地区:巴西
法国第二大电信供应商 Free 遭数据泄露
泄露时间:2024-10-28
泄露内容:威胁行为者入侵了法国第二大互联网服务提供商Free SAS,据称访问了客户个人信息,卖家列出了两个数据库,一个包含 19,192,948 名客户账户,另一个包含 511 万个 IBAN 详细信息。泄露数据包括名字、姓氏、电话号码、邮政地址、出生日期和电子邮件等。Free SAS确认部分用户账户相关的个人数据被未经授权访问,但密码、银行卡信息和通信内容未受影响。
泄露数据量:2430W
关联行业:运营商
地区:法国
意大利国家数据库数据泄露
泄露时间:2024-10-28
泄露内容:意大利警方破获一起重大数据泄露案,犯罪团伙涉嫌非法入侵国家数据库,盗取并转售高达80万条敏感记录,包括金融活动警报、公民银行交易明细和警方调查数据库。此次事件牵涉多名意大利知名人士,相关数据可能已被泄露。
泄露数据量:80W
关联行业:金融
地区:意大利
美国医疗隐私数据泄露
泄露时间:2024-10-28
泄露内容:美国联合健康集团(UnitedHealth)旗下子公司Change Healthcare遭受勒索软件攻击,导致超过1亿人的个人信息和医疗数据被盗。泄露信息包括健康保险信息、健康信息、账单、索赔和支付信息,以及社会安全号码等。攻击由BlackCat勒索软件团伙发起,联合健康集团支付了赎金以获取解密器,并要求删除数据。
泄露数据量:1亿
关联行业:医疗
地区:美国
秘鲁知名银行用户数据泄露
泄露时间:2024-10-31
泄露内容:秘鲁金融机构Interbank遭受勒索软件攻击,超过300万用户的敏感数据被泄露。泄露信息包括客户全名、账户ID、出生日期、地址、电话号码、电子邮件、信用卡信息等。攻击者在黑客论坛上出售被盗数据,并声称拥有超过3.7TB的数据样本。尽管Interbank与攻击者进行了谈判,但由于拒绝支付赎金,勒索未能成功。
泄露数据量:300W
关联行业:金融
地区:秘鲁
02.
热点资讯
黑客组织与 Play 勒索软件合作发动重大网络攻击
近期,Jumpy Pisces威胁行为者与Play勒索软件家族合作,发动了重大网络攻击。分析报告指出,这是Jumpy Pisces组织与地下勒索软件网络首次有记录的合作。Andariel,Jumpy Pisces的别名之一,自2009年以来活跃,隶属于朝鲜侦察总局(RGB),之前部署过SHATTEREDGLASS和Maui勒索软件。Andariel通过受损用户账户获得初始访问权限,使用Sliver C2框架和Dtrack后门进行横向移动和持久性活动,最终导致Play勒索软件的部署。攻击者还利用木马二进制文件收集浏览器历史记录、自动填充信息和信用卡详细信息。此次合作可能是Jumpy Pisces作为初始访问代理出售网络访问权,或者已正式成为Play勒索软件的附属机构。
消息来源:
https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html
墨西哥大型机场集团疑遭勒索攻击
2024年10月,墨西哥中北部机场集团(OMA)遭受网络攻击,导致旗下13个机场的航班信息大屏关闭,迫使其切换至备用系统和人工服务维持运营。黑客组织RansomHub声称对此次攻击负责,并威胁公开3TB被盗数据以索取赎金。攻击影响超过10天,OMA提醒乘客机场仍面临问题,并敦促按时到达机场关注最新动态。OMA表示,IT团队正与外部网络安全专家合作调查事件范围,并确保系统完整性、保密性和可用性。尽管部分服务已逐步恢复,但OMA未明确证实RansomHub的声明。RansomHub自今年2月以来已发动超过210次攻击,成为勒索软件新势力。
消息来源:
https://www.secrss.com/articles/71806
Meta 和 Redline 恶意软件服务器被破坏,VIP 被曝光
近期,在打击网络犯罪的“马格努斯行动”中,荷兰国家警察、FBI 和英国国家犯罪局 (NCA) 等执法机构成功入侵了 Redline 和 Meta 信息窃取系统的服务器。Redline 和 Meta 是网络犯罪分子广泛使用的恶意软件即服务 (MaaS) 工具,帮助黑客通过网络钓鱼等手段窃取用户凭据,并在暗网上贩卖。行动期间,执法人员获得了管理员级别访问权限,能够查看控制面板、社交媒体账户,并获取用户的用户名、密码、IP 地址和其他关键信息。部分 VIP 用户信息已被曝光,可能面临法律追责。此次行动不仅对信息窃取者带来打击,还将使犯罪分子更难发起攻击。
消息来源:
https://cybernews.com/cybercrime/meta-and-redline-servers-busted/
黑客组织利用微软和 AWS 诱骗关键部门
近期,微软披露黑客组织 Cozy Bear(又称 APT29 或 Midnight Blizzard)发起新的网络钓鱼活动,瞄准全球 100 多个组织,尤其是政府、国防、学术和非政府组织等关键部门。攻击使用伪装成合法文档的签名 RDP 文件,引诱用户点击以获取设备的远程访问权限,从而窃取敏感数据。此次攻击通过 RDP 文件伪装成 Microsoft 和 AWS 相关的文档,并通过冒充微软员工提升可信度。用户一旦打开文件,即与黑客服务器建立连接,允许攻击者访问文件、外围设备和剪贴板等资源,甚至在会话关闭后仍能维持控制。此攻击可能泄露机密数据,并利用受感染设备扩散。微软、CERT-UA 和亚马逊已开始通知受影响的用户。专家建议启用多因素身份验证、使用AI检测恶意文件,并加强防钓鱼培训,以应对此类复杂攻击。
消息来源:
https://hackread.com/russian-cozy-bear-hackers-phish-microsoft-aws-lures/
03.
热点技术
新版 Android 恶意软件 FakeCall 将银行电话重定向至诈骗者
近期,Zimperium研究人员发现了Android版FakeCall恶意软件的新版本,该软件能拦截并重定向拨出的银行电话给攻击者,以窃取敏感信息和资金。新版本的FakeCall在安装后将自己设置为默认呼叫处理程序,控制所有拨出电话,并模仿Android拨号器显示可信信息欺骗用户。该木马主要针对韩国用户,新版本增强了逃避检测和数据窃取能力,能访问受感染设备的实时音频和视频流。FakeCall通过显示虚假用户界面模仿实际的银行体验,允许攻击者提取敏感信息或未经授权访问受害者的金融账户。Zimperium已发布新恶意软件版本的入侵指标(IoC)列表。
消息来源:
https://securityaffairs.com/170410/malware/fakecall-malware-intercepts-outgoing-bank-calls.html
勒索软件攻击利用 SonicWall VPN漏洞进行攻击
2024年8月以来,Fog和Akira勒索软件运营商利用SonicWall VPN的严重漏洞CVE-2024-40766入侵企业网络。该漏洞影响SonicWall SonicOS,可能导致未经授权的资源访问和防火墙崩溃,SonicWall已于8月修复。Arctic Wolf研究人员检测到超过30起勒索软件入侵,全部利用未修补的SonicWall SSL VPN漏洞。攻击者通过SSL VPN访问受害者环境,然后部署勒索软件,有时从访问到执行勒索软件的时间间隔短至1.5到2小时。SonicWall敦促客户尽快打补丁,并提供最小化潜在风险的方法,包括限制防火墙管理访问和禁用从Internet访问SSLVPN。
消息来源:
https://securityaffairs.com/170359/cyber-crime/fog-akira-ransomware-sonicwall-vpn-flaw.html
Black Basta 关联企业在最近的攻击中使用了 Microsoft Teams
ReliaQuest研究人员发现,Black Basta勒索软件团伙开始利用Microsoft Teams冒充IT支持人员,以获取目标网络的初始访问权限。该团伙通过发送大量垃圾邮件诱使员工创建帮助台工单,然后冒充帮助台响应工单,通过Microsoft Teams聊天加入恶意二维码以便于初始访问。他们试图诱骗用户下载AnyDesk等远程监控和管理工具,以便在获得初步访问权限后部署勒索软件。研究人员观察到,攻击者在50分钟内向单个用户发送了约1000封电子邮件,并将目标用户添加到假冒支持、管理员或服务台人员的Teams聊天中。攻击者的操作一般来自俄罗斯,采用莫斯科时区。获得访问权限后,攻击者会部署包括代理恶意软件和Cobalt Strike在内的恶意文件,以加深网络渗透。专家建议限制外部Microsoft Teams通信并记录可疑聊天活动,以提高安全性。
消息来源:
https://securityaffairs.com/170311/cyber-crime/black-basta-ransomware-microsoft-teams.html
研究人员发现针对加密钱包的恶意代码Python 软件包
网络安全研究人员揭露了一个名为“CryptoAITools”的恶意Python软件包,该包伪装成加密货币交易工具,实则旨在窃取敏感数据和盗取受害者加密钱包中的资产。该软件包通过PyPI和虚假GitHub存储库分发,下载次数超过1300次。恶意软件针对Windows和macOS操作系统,使用欺骗性图形用户界面(GUI)分散受害者注意力,同时后台执行恶意操作。它还下载和执行额外的有效负载,启动多阶段感染过程。CryptoAITools主要目标是收集有助于攻击者窃取加密货币资产的数据,包括来自各种加密货币钱包的数据、已保存的密码、cookies、浏览历史记录等。收集的信息被上传到gofile.io文件传输服务后删除本地副本。研究人员还发现,攻击者通过名为Meme Token Hunter Bot的GitHub存储库分发相同的窃取恶意软件,该存储库声称是一个人工智能驱动的交易机器人。这种多平台策略使攻击者能够触及更广泛的受害者群体。
消息来源:
https://thehackernews.com/2024/10/researchers-uncover-python-package.html
虚假广告劫持 Facebook 账户以传播信息窃取程序
近期,Meta 平台上出现恶意广告活动,利用虚假广告传播 SYS01 信息窃取程序,目标为 45 岁以上男性。该恶意软件窃取 Facebook 凭证,尤其是商业账户的凭证,攻击波及全球。黑客发布假冒流行软件和服务的广告,如 Office 365、Netflix 和热门游戏等,用户点击广告后被引导至 MediaFire 链接下载恶意软件。下载的文件包含伪装的 Electron 应用程序,一旦执行,恶意程序便在后台植入 SYS01 信息窃取程序,窃取 Facebook 登录信息并劫持账户。被劫持的账户用于发布更多恶意广告,绕过安全过滤器,从而形成自我传播循环。Bitdefender 提醒用户保持警惕,建议监控账户、避免点击可疑广告、使用强大安全软件并启用双因素身份验证以增强安全性。
消息来源:
https://hackread.com/fake-meta-ads-hijacking-facebook-sys01-infostealer/#google_vignette
04.
热点漏洞
Chrome Dawn越界写入漏洞(CVE-2024-10487)
130.0.6723.92 之前的 Google Chrome 版本中的 Dawn 存在越界写入漏洞,允许远程攻击者通过精心设计的 HTML 页面执行越界内存访问,从而造成程序崩溃、敏感信息泄露或任意代码执行。
受影响版本:
Google Chrome(Windows/Mac)< 130.0.6723.91/.92
Google Chrome(Linux)< 130.0.6723.91
Spring Security授权绕过漏洞(CVE-2024-38821)
在使用WebFlux 应用程序、Spring 的静态资源支持以及对静态资源支持应用非 permitAll 授权规则的情况下,在静态资源上具有 Spring Security 授权规则的 Spring WebFlux 应用程序可能会被绕过。Spring Security 是一个功能强大的框架,用于在 Spring 应用程序中实现身份验证和授权。它提供了灵活且高度可配置的安全功能,可以保护应用程序免受常见的安全漏洞(如会话固定攻击、点击劫持和跨站请求伪造)。
影响版本:
Spring Security 5.7.0 - 5.7.12
Spring Security 5.8.0 - 5.8.14
Spring Security 6.0.0 - 6.0.12
Spring Security 6.1.0 - 6.1.10
Spring Security 6.2.0 - 6.2.6
Spring Security 6.3.0 - 6.3.3
WordPress礼品卡通过 SVG 文件上传进行身份验证存储跨站点脚本(CVE-2024-9165)
由于输入清理和输出转义不足,WordPress 的礼品卡(WooCommerce 支持)插件在 4.4.4 及以上版本中都容易受到通过 SVG 文件上传存储的跨站点脚本攻击。这使得经过身份验证的攻击者(具有作者级别及以上访问权限)可以在页面中注入任意 Web 脚本,这些脚本将在用户访问 SVG 文件时执行。
影响产品:
Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported)>= 4.4.4
ServiceNow沙箱逃逸漏洞(CVE-2024-8923)
ServiceNow修复了NowPlatform中的一个沙箱逃逸漏洞(CVE-2024-8923),由于缺乏对用户输入的充分验证,恶意攻击者可以采用构造恶意请求发送特定数据来利用该漏洞,成功利用该漏洞可导致服务中断、敏感信息泄露或任意代码执行。ServiceNow 是一个基于云的平台,主要用于企业 IT 服务管理(ITSM)。
影响版本:
ServiceNow Xanadu < Xanadu GA Release
ServiceNow Washington DC < Washington DC Patch 4 Hot Fix 1a
ServiceNow Washington DC < Washington DC Patch 5
ServiceNow Vancouver < Vancouver Patch 9 Hot Fix 2a
ServiceNow Vancouver < Vancouver Patch 10
code-projects血库管理系统updateprofile.php跨站请求伪造漏洞(CVE-2024-10557)
在代码项目血库管理系统 1.0 中发现一个漏洞,并被归类为存在问题。受此漏洞影响的是文件 /file/updateprofile.php 的未知功能。此操作会导致跨站点请求伪造。攻击可以远程发起。
影响产品:
code-projects 1.0
05.
攻击情报
本周部分重点攻击来源及攻击参数如下表所示,建议将以下IP加入安全设备进行持续跟踪监控。
请注意:以上均为监测到的情报数据,盛邦安全不做真实性判断与检测
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...