烽火狼烟丨暗网数据及攻击威胁情报分析周报（11/04-11/08）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件214起，同比上周上升10.74%。本周内贩卖数据总量共计21377.01万条；累计涉及10个主要地区，主要涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、贸易、服务等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期针对政府行业的攻击持续上升，需加强防范；本周内出现的安全漏洞以Cisco Unified Industrial Wireless Software软件命令注入漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 7952条，主要涉及命令注入、漏洞利用、敏感信息泄露等类型。

施耐德电气遭勒索攻击40GB数据失窃

泄露时间：2024-11-04

泄露内容：名为“Grep”的威胁行为者声称窃取了40GB数据，包括75,000个电子邮件地址及员工和客户的全名。黑客通过暴露的凭据入侵了施耐德电气的Jira服务器，并使用MiniOrange REST API抓取了400k行用户数据。威胁行为者要求125,000美元作为赎金，并分享了更多被盗内容的详细信息。施耐德电气表示其产品和服务未受影响，全球事件响应团队已介入调查。

泄露数据量：40GB

关联行业：能源

地区：法国

诺基亚源代码泄露

泄露时间：2024-11-04

泄露内容：名为Intel Broker的黑客声称通过第三方承包商非法访问并窃取了诺基亚的敏感内部数据，包括SSH密钥、源代码、RSA密钥、Bitbucket登录信息、SMTP账户、webhook和硬编码凭据在内的关键数据，并以2万美元出售。尽管黑客声称未获取客户信息，但此次泄露仍可能带来严重后果。

泄露数据量：未知

关联行业：通信

地区：芬兰

澳大利亚设备供应商数据泄露

泄露时间：2024-11-04

泄露内容：威胁行为者“joonas”声称出售澳大利亚设备供应商LEE的客户数据库，涉及210,000条记录。泄露数据包括姓名、手机号码、电子邮件地址、住宅地址等个人信息。LEE（Lee Precision）是一家设备供应商，专注于提供弹药和射击装备的重新装填设备，涵盖各种工具和配件，包括模具、压力机、粉末测量器、子弹成型模具等重新装填工具。

泄露数据量：210,000

关联行业：零售批发

地区：澳大利亚

加拿大 Snowflake 遭黑客攻击导致数据泄露

泄露时间：2024-11-04

泄露内容：加拿大皇家骑警（RCMP）逮捕了涉嫌入侵多个Snowflake云存储账户的Alexander Connor Moucka，这些攻击导致了包括Ticketmaster和AT&T在内的多家公司遭受数据泄露。超过一百个Snowflake账户被盗，影响包括Santander Bank和Advance Auto Parts等市场巨头，仅Ticketmaster被盗事件就导致超过5亿个人账户暴露。攻击者在客户环境中徘徊数天，导致约3000万Santander客户和Advance Auto Parts数百万美元损失。

泄露数据量：5亿

关联行业：云计算

地区：加拿大

True World 遭遇数据泄露

泄露时间：2024-11-04

泄露内容：美国寿司供应商True World Holdings LLC（True World）遭遇数据泄露，影响8532名员工的个人数据。2024年8月23日，公司发现网络漏洞，威胁行为者破坏系统并复制了包含员工数据的文件。泄露数据的具体内容未公开，True World正在调查泄露程度，True World在全球拥有约1000名员工，经营多个餐饮品牌并管理一支渔船队。

泄露数据量：8532

关联行业：餐饮

地区：美国

伊朗 APT 组织瞄准 IP 摄像头，将攻击范围扩大至以色列以外

伊朗网络行动组织Emennet Pasargad（又名Cotton Sandstorm）扩大了攻击范围，不仅针对以色列和美国，还开始瞄准IP摄像头等新的IT资产。美国司法部、财政部和以色列 INCD 的咨询报告指出，该组织以合法公司ASA的名义提供资源和基础设施服务，扫描IP摄像头并进行攻击。安全专家警告，APT组织正越来越多地利用网络行动打击其所谓的敌人，目标包括政府、能源和金融等关键部门。组织需要不断调整防御措施以抵御威胁团体，包括从可信赖的供应商处购买技术和软件，并确保供应链验证和漏洞修复流程。

消息来源：

https://www.darkreading.com/vulnerabilities-threats/iranian-group-targets-ip-cameras-extends-attacks-beyond-israel

APT36 改进针对印度目标的攻击工具

最新ElizaRAT变种包括新的规避技术、增强的C2功能和额外的dropper组件，使得攻击行为更难检测。APT36还引入了ApoloStealer窃密负载，收集目标文件类型、元数据，并传输到C2服务器。该组织使用合法软件和Telegram、Slack、Google Drive等合法服务进行C2通信，增加了追踪难度。APT36的恶意软件包括针对Windows、Android和Linux设备的工具。最新活动配备了ConnectX USB窃取程序，会检查连接到受感染设备的USB和其他外部驱动器上的文件。

消息来源：

https://www.darkreading.com/cyberattacks-data-breaches/apt36-refines-tools-attacks-indian-targets

遭受网络攻击后华盛顿法院系统瘫痪

2024年11月，华盛顿州法院系统在检测到“未经授权的活动”后一直处于瘫痪状态，影响了所有州法院的司法信息系统、网站和相关服务。法院管理办公室（AOC）已采取行动确保关键系统安全，正在努力恢复服务。预计法院基本职能和诉讼程序将按计划进行，客户服务柜台开放，但建议访客提前确认服务可用性。此次攻击前，堪萨斯州法院管理局也曾遭受网络攻击，黑客窃取了包含机密信息的敏感文件，但无勒索组织声称负责。

消息来源：

https://www.bleepingcomputer.com/news/security/washington-courts-systems-offline-following-weekend-cyberattack/

Ollama AI框架被曝严重漏洞，可导致DoS、模型盗窃和中毒

网络安全研究人员发现了Ollama AI框架中的六个安全漏洞，这些漏洞可能被恶意行为者利用执行拒绝服务（DoS）、模型污染和模型盗窃等攻击。Ollama是一个开源应用程序，允许用户在不同设备上本地部署和操作大型语言模型（LLM）。漏洞包括文件存在确定、越界读取、资源耗尽、路径遍历等，其中两个漏洞可能导致模型污染和盗窃，目前尚未修补。Ollama建议用户通过代理或Web应用防火墙过滤暴露给互联网的端点。研究人员发现，有9831个运行Ollama的应用，其中四分之一容易受到已识别漏洞的影响。

消息来源：

https://www.secrss.com/articles/72120

恶意软件攻击政府网络的 Sophos 防火墙

英国 NCSC 分析了名为“Pigmy Goat”的Linux恶意软件，该软件针对Sophos XG防火墙设备进行后门攻击。Pigmy Goat是一个rootkit，模仿Sophos产品文件命名，具有高级持久性、逃避和远程访问机制。它通过LD_PRELOAD环境变量加载到SSH守护进程中，监控SSH流量，寻找特定序列的字节以识别后门会话。Pigmy Goat通过TLS与C2通信，使用嵌入式证书，模仿Fortinet的“FortiGate”CA。C2服务器可以发送命令执行各种操作，包括打开shell、捕获网络流量、管理cron任务、建立SOCKS5反向代理等。NCSC提供了文件哈希和YARA及Snort规则以检测Pigmy Goat活动，并建议监控ICMP数据包中的有效加密负载以及检查特定文件和进程环境变量。

消息来源：

https://www.bleepingcomputer.com/news/security/custom-pygmy-goat-malware-used-in-sophos-firewall-hack-on-govt-network/

新型 Android 银行恶意软件“ToxicPanda”以欺诈性资金转账为目标

新型Android银行恶意软件ToxicPanda已感染超过1,500台设备，允许攻击者进行欺诈性银行交易。该恶意软件主要通过账户接管(ATO)和技术设备内欺诈(ODF)发起资金转移，旨在绕过银行的身份验证和认证对策。ToxicPanda与另一种名为TgToxic的恶意软件相似，后者可从加密钱包中窃取凭证和资金。感染事件主要集中在意大利，其次是葡萄牙、香港、西班牙和秘鲁。ToxicPanda伪装成Google Chrome、Visa等应用，并通过假冒页面传播。一旦安装便会滥用Android辅助功能服务获取权限、操纵用户输入并捕获一次性密码(OTP)，绕过双因素身份验证(2FA)保护。Cleafy已能访问ToxicPanda的C2面板，显示受害设备列表并请求实时远程访问以进行ODF。

消息来源：

https://thehackernews.com/2024/11/new-android-banking-malware-toxicpanda.html

VEILDrive 利用 Microsoft 服务逃避检测并传播恶意软件

VEILDrive攻击活动利用微软的合法服务，如Teams、SharePoint、Quick Assist和OneDrive，来分发鱼叉式网络钓鱼攻击并存储恶意软件。这种云中心策略帮助威胁行为者避开传统监控系统的检测。近期，该活动被发现针对美国关键基础设施组织“Org C”。攻击始于冒充IT团队成员，通过Teams消息和Quick Assist请求远程访问，利用先前受害者的用户账户。攻击者通过SharePoint分享ZIP文件，嵌入远程访问工具LiteManager，通过Quick Assist获得的远程访问权限，创建计划任务执行LiteManager软件。第二个ZIP文件包含基于Java的恶意软件和JDK，该软件使用OneDrive作为C2服务器。攻击还包括回退机制，初始化HTTPS套接字到Azure虚拟机接收命令。这种依赖SaaS的策略使实时检测变得复杂，并绕过了传统防御措施。

消息来源：

https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html

黑客在攻击中频繁使用 Winos4.0 后漏洞利用工具包

近期，黑客频繁使用Winos4.0后漏洞利用工具包通过游戏相关应用程序传播恶意软件。研究人员记录了该工具包针对中国市场的攻击活动，攻击者利用游戏文件进行攻击。执行看似合法的安装程序时，会下载DLL文件启动感染过程。第一阶段，DLL文件下载其他文件并建立持久性。第二阶段，注入的shellcode加载API、检索配置数据并建立C2连接。第三阶段，另一个DLL从C2服务器检索额外数据并更新C2地址。最后阶段，加载登录模块执行主要恶意操作，包括收集系统信息、检查安全软件、收集加密货币钱包数据、维护C2连接、截屏、监视剪贴板变化和窃取文件。Winos4.0会检查多种安全工具以调整行为或停止执行，因而也被描述为一款类似于Cobalt Strike和Sliver的功能强大的框架。

消息来源：

https://www.bleepingcomputer.com/news/security/hackers-increasingly-use-winos40-post-exploitation-kit-in-attacks/

新型恶意软件利用驱动程序劫持 Windows PC

新型恶意软件SteelFox通过自带易受攻击的驱动程序技术，获取Windows机器上的系统权限，用于挖掘加密货币和窃取信用卡数据。该软件捆绑破解工具，能激活多种软件的合法版本。SteelFox利用WinRing0.sys驱动程序漏洞提升权限至NT/SYSTEM级别，执行加密货币挖掘和信息窃取。它通过SSL固定和TLS v1.3与C2服务器建立连接，保护通信不被拦截，并从浏览器中收集信用卡、浏览历史记录和cookie等数据。SteelFox主要针对AutoCAD、JetBrains和Foxit PDF Editor用户，感染了多个国家的系统。研究人员认为，尽管SteelFox较新，但已是一款功能齐全的犯罪软件包。

消息来源：

https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/

Interlib图书馆集群自动化管理系统存在sql注入漏洞（CVE-2024-10946）

广州图创计算机软件开发有限公司 Interlib 图书馆集群自动化管理系统 2.0.1 版中发现了一个被归类为“严重”的漏洞。该漏洞影响文件 /interlib/admin/SysLib?cmdACT=inputLIBCODE&mod=batchXSL&xsl=editLIBCODE.xsl&libcodes=&ROWID=，由于缺少对参数的有效过滤导致攻击者可以远程发起sql 注入攻击。

影响产品：

Interlib图书馆集群自动化管理系统 2.0.1 

Cisco Unified Industrial Wireless Software软件存在命令注入漏洞（CVE-2024-20418）

思科统一工业无线软件（URWB）接入点的 Web 管理界面中存在一个漏洞，该漏洞可能允许未经身份验证的远程攻击者以 root 权限对底层操作系统执行命令注入攻击。此漏洞是由于对 Web 管理界面的输入验证不当造成的。攻击者可以通过向受影响系统的 Web 管理界面发送精心设计的 HTTP 请求来利用此漏洞。

影响产品：

启用了 URWB 操作模式的

• Catalyst IW9165D Heavy Duty Access Points

• Catalyst IW9165E Rugged Access Points and Wireless Clients

• Catalyst IW9167E Heavy Duty Access Points

Google Chrome Serial释放后重用漏洞（CVE-2024-10827）

130.0.6723.116 之前 Google Chrome的Serial 中的 Use after free 允许远程攻击者通过精心设计的 HTML 页面潜在地造成堆损坏，成功利用可能导致浏览器崩溃、数据窃取甚至远程代码执行。Serial是 Chrome 浏览器中的一项功能，使得网页应用程序能够通过 USB 连接直接与串行设备（如微控制器和传感器）进行通信。

影响版本：

• Google Chrome（Windows/Mac）版本 < 130.0.6723.116/.117

• Google Chrome（Linux）版本< 130.0.6723.116

Apache ZooKeeper 身份验证不当漏洞（CVE-2024-51504）

在ZooKeeper管理服务器中使用 IPAuthenticationProvider 时，可能会出现绕过身份验证的情况。IPAuthenticationProvider 中客户端 IP 地址检测的默认配置使用 HTTP 请求标头，该配置较弱，允许攻击者通过在请求标头中欺骗客户端的 IP 地址来绕过身份验证。默认配置遵循 X-Forwarded-For HTTP 标头来读取客户端的 IP 地址，这可能会导致信息泄露或服务可用性问题。建议用户升级到修复此问题的版本 3.9.3。

受影响版本：

Apache ZooKeeper < 3.9.3

WooCommerce 视频库存在未授权漏洞（CVE-2024-10535）

适用于 WordPress 的 WooCommerce 视频图库插件存在漏洞，在 1.31 之前（包括 1.31）的所有版本中，由于 remove_unused_thumbnails() 函数的功能检查缺失，导致数据可能会被未经授权的修改。这使得未经身份验证的攻击者有可能删除 video-wc-gallery-thumb 目录中的缩略图。

影响版本：

WooCommerce 视频图库插件<= 1.31

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。