烽火狼烟丨暗网数据及攻击威胁情报分析周报（11/18-11/22）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件204起，同比上周下降13.56%。本周内贩卖数据总量共计40169.14万条；累计涉及9个主要地区，主要涉及9种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、贸易、社交等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期攻击者通过可信域名进行钓鱼活动的趋势不断增加，需加强防范；本周内出现的安全漏洞以Microsoft Windows Hyper-V Shared Virtual Disk权限提升漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8237条，主要涉及命令注入、SQL注入、组件漏洞组件攻击等类型。

01.

重点数据泄露事件

旧金山蕾舞芭团数据泄露

泄露时间：2024-11-19

泄露内容：旧金山芭蕾舞团（San Francisco Ballet Company），成立于1933年，是美国历史最悠久的专业芭蕾舞团，以高水平的芭蕾表演和舞蹈教育闻名。近期，该舞团遭遇了两支勒索软件组织——“Meow”和“INC Ransom”的攻击，导致大量敏感数据泄露，包括员工和客户的部分个人信息、合同与商业协议、财务文件、工作数据以及法律和保险文件等。

泄露数据量：40GB

关联行业：艺术

地区：美国

法国医院遭数据泄露

泄露时间：2024-11-20

泄露内容：一家法国医院遭遇了严重的数据泄露事件，导致 75 万名患者的医疗记录被曝光。攻击者通过窃取凭证入侵了该医院使用的电子病历系统。据悉，其攻击目标是由 Software Medical Group 提供的 MediBoard 系统，这是一款广泛应用于欧洲的电子病历解决方案。受影响的数据由医院托管，包括姓名、出生日期、性别、住址、联系方式、主治医生、处方记录和健康卡历史等。

泄露数据量：75w+

关联行业：医疗

地区：法国

Finastra 数据遭泄露

泄露时间：2024-11-20

泄露内容：金融软件公司Finastra近日确认其安全文件传输平台（SFTP）遭到入侵，导致潜在敏感数据泄露。攻击者“abyss0” 利用被盗凭证访问了 Finastra 的 SFTP 系统并声称拥有Finastra 公司的 400GB 数据，其试图在黑客论坛上出售。

泄露数据量：400GB

关联行业：互联网

地区：英国

俄克拉荷马州医疗中心数据泄露

泄露时间：2024-11-19

泄露内容：俄克拉荷马州的大平原地区医疗中心（Great Plains Regional Medical Center）遭遇勒索软件攻击，导致部分文件被访问、加密，并被攻击者复制。泄露的信息包括姓名、人口统计信息、健康保险信息、临床治疗记录、驾驶执照号码。此次事件影响了 133,149 名患者。

泄露数据量：13.3万

关联行业：医疗

地区：美国

福特汽车数据遭泄露

泄露时间：2024-11-20

泄露内容：名为 IntelBroker 和 EnergyWeaponUser的攻击者在网络犯罪论坛发布帖子，声称窃取了福特汽车公司 44,000 名客户的记录，包括客户姓名、地址和购买产品信息。福特发表声明称此次事件涉及第三方供应商以及一小部分公开可获取的经销商业务地址，该问题现已解决。

泄露数据量：4.4万

关联行业：制造

地区：美国

02.

热点资讯

伊朗攻击团体Cotton Sandstorm攻击多家以色列组织

近期，伊朗网络攻击团体 Cotton Sandstorm（也称为 Emennet Pasargad 或 Aria Sepehr Ayandehsazan，ASA）通过 WezRat 远程访问木马攻击了多家以色列的组织。该木马的分发途径包括通过伪装成谷歌浏览器的更新程序进行钓鱼攻击，感染目标计算机，并与攻击者的命令控制（C&C）服务器建立联系。WezRat 的主要功能包括远程执行命令、截图、键盘记录、窃取浏览器cookie等。

消息来源：

https://thehackernews.com/2024/11/iranian-hackers-deploy-wezrat-malware.html

越南黑客利用PXA Stealer恶意软件攻击欧洲和亚洲政府教育机构

近期，越南黑客团体利用一种名为PXA Stealer的恶意软件，针对欧洲和亚洲的政府及教育机构展开了一系列信息窃取攻击。据网络安全公司Cisco Talos的研究人员分析，PXA Stealer主要窃取受害者的敏感信息，包括各种在线账户的凭证、VPN和FTP客户端数据、金融信息、浏览器Cookies以及游戏软件的数据。PXA Stealer具备强大的功能，能够解密浏览器的主密码，从而获取存储在其中的各种账户凭证。此外，PXA Stealer特别注重窃取Facebook的Cookies，并利用这些Cookies进行身份验证，进一步收集与广告相关的信息。越南的网络攻击者通常以Facebook商业账户和广告账户为目标，PXA Stealer也未能例外。

消息来源：

https://thehackernews.com/2024/11/vietnamese-hacker-group-deploys-new-pxa.html

Transparent Tribe使用ElizaRAT入侵印度多个政府机构

近期，印度多个政府机构已成为总部位于巴基斯坦的Transparent Tribe黑客组织和以前未知的网络间谍组织IcePeony的网络入侵目标。有技术文章表示，与Transparent Tribe相关的入侵涉及使用名为ElizaRAT的恶意软件和一种名为ApoloStealer的新型有效载荷，用于特定受害者。ElizaRAT是一种Windows远程访问工具（RAT），Transparent Tribe于2023年7月首次被发现使用该工具，作为针对印度政府部门的网络攻击的一部分。据悉，自2023年以来IcePeony的高级持续威胁（APT）组织一直以印度、毛里求斯和越南等国家的政府机构、学术机构和政治组织为网络攻击目标。

消息来源：

https://thehackernews.com/2024/11/icepeony-and-transparent-tribe-target.html

俄罗斯国家黑客组织攻陷20,000台物联网设备

近期，疑似与俄罗斯民族国家黑客有联系的威胁组织将数千台易受攻击的IoT设备列为代理网络。据称，一场始于2020年的攻击活动迄今已感染了20,000台物联网设备。研究人员发现了一个代理僵尸网络活动，并将其归因于名为Water Barghest的威胁组织，该组织使用自动化工具来扩大其活动，使黑客能够在代理市场上获取受感染的设备以供租用。从初始感染到将机器人作为代理在市场上提供的整个过程可能不超过10分钟，在获得有关易受攻击的IP地址信息后，黑客继续利用IoT设备中的漏洞将恶意软件部署到IoT设备内存中。

消息来源：

https://www.bankinfosecurity.com/suspected-russian-hackers-infect-20000-iot-devices-a-26840?highlight=true

DemandScience发生严重信息泄露事件

近期，一个名为“KryptonZambie”的黑客者在论坛上出售 1.328亿条个人信息记录，这些数据来自DemandScience，泄露的数据包括全名、实际地址、电子邮件地址、电话号码、职称和职能以及社交媒体链接。DemandScience 是一家全球领先的B2B需求生成公司，提供一整套服务，覆盖销售漏斗的不同阶段。DemandScience通过数据驱动的策略，帮助企业与决策者建立联系，支持营销和销售的双重目标。

消息来源：

https://www.bleepingcomputer.com/news/security/leaked-info-of-122-million-linked-to-b2b-data-aggregator-breach/

03.

热点技术

Ghost Tap 攻击滥用 NFC 移动支付来窃取资金

"Ghost Tap"是一种新兴的网络犯罪手段，黑客通过窃取与移动支付系统（如Apple Pay和Google Pay）关联的信用卡信息进行欺诈操作。该方法建立在以往的NGate恶意软件基础上，但更加复杂且更难被检测到。Ghost Tap的攻击过程首先涉及窃取支付卡数据并拦截注册虚拟钱包所需的一次性密码（OTP）。这些攻击通常通过银行恶意软件（模拟支付应用程序的覆盖层）或网络钓鱼页面来捕获敏感信息。与NGate不同，Ghost Tap利用中介的转发服务器，将支付卡数据传递给全球各地的钱包替罪羊（money mules）。这些替罪羊使用小额、非接触式支付的POS交易，使得追踪欺诈活动变得异常困难。Ghost Tap通过这种方式避免了ATM取款等容易暴露身份的行为，从而将主要攻击者与欺诈活动之间的关联进一步掩盖。这使得银行和金融机构很难检测到这种新型欺诈方式，尤其是在多个地点的微小支付行为不易被反欺诈机制识别出来。由于这些交易看似来自同一个设备或账户，追踪和防范变得更加复杂。

消息来源：

https://www.bleepingcomputer.com/news/security/new-ghost-tap-attack-abuses-nfc-mobile-payments-to-steal-money/

Spotify平台被滥用推广盗版软件和恶意链接

近期，网络犯罪分子利用Spotify平台的播放列表和播客功能推广盗版软件、游戏外挂及恶意链接，进一步推进了非法内容的传播。攻击者通过在播放列表标题和播客描述中注入如“Sony Vegas Pro 13 Crack”等与盗版软件相关的关键字，提升其在搜索引擎中的排名，借此吸引用户点击。这些播放列表和播客链接往往会引导用户访问充满广告或虚假“调查”网站，甚至可能感染恶意软件。更有甚者，攻击者还通过合成语音创建虚假播客集数，诱导用户点击描述中的可疑链接，这些链接可能带来数据盗取或恶意扩展程序。此外，一些攻击者通过第三方播客发布平台（如Firstory）绕过Spotify的审查机制，将恶意内容上传至平台。Spotify已删除多个恶意播放列表和播客，并提醒用户警惕此类网络钓鱼活动。

消息来源：

https://www.bleepingcomputer.com/news/security/spotify-abused-to-promote-pirated-software-and-game-cheats/

微软365被滥用发送勒索邮件，绕过邮件安全平台

近期，攻击者开始滥用Microsoft 365消息中心（Message Center）发送勒索邮件，这样可以绕过大多数邮件过滤器，直接进入用户的收件箱。这些邮件是从"o365mc@microsoft.com"发送的，这是微软的合法邮箱地址，用于发送与Microsoft 365相关的通知。攻击者利用该功能中的“个人消息”字段，将勒索信息嵌入其中。通过修改浏览器开发者工具中的字符限制，攻击者能够突破该字段的长度限制，成功发送包含完整勒索内容的邮件。微软目前正在对此问题进行调查，并表示他们已采取措施减少这一问题的发生，但对于一些不熟悉此类邮件的用户来说，它们仍然可能造成不小的心理压力。

消息来源：

https://www.bleepingcomputer.com/news/security/microsoft-365-admin-portal-abused-to-send-sextortion-emails/

NodeStealer窃取信息并收集信用卡数据

近期，以Python为基础的NodeStealer恶意软件的最新版本能够从受害者的Facebook广告管理账户中提取信息并窃取浏览器中存储的信用卡数据。该恶意软件通过利用Windows重启管理器来解锁浏览器数据库文件，绕过安全限制，还通过批处理脚本动态生成并执行Python脚本，从而增强其数据窃取能力。研究人员指出，NodeStealer样本利用Facebook Graph API收集账户的预算细节，并通过Telegram将数据外泄，与此同时，恶意广告活动通过Facebook推送伪装成流行软件或游戏的广告，进一步传播恶意软件，并可能导致个人和企业遭受财务损失。

消息来源：

https://thehackernews.com/2024/11/nodestealer-malware-targets-facebook-ad.html

新型勒索病毒“Helldown”瞄准Linux系统

近日，研究人员揭示了“Helldown”勒索病毒的新Linux变种，表明攻击者正在扩大攻击范围。Helldown原本是基于LockBit 3.0代码的Windows勒索病毒，而最新版本则开始针对虚拟化基础设施，尤其是VMware环境中的虚拟机进行攻击。Helldown通过利用Zyxel防火墙的已知安全漏洞入侵网络，进行凭证盗取和持久化活动。Windows版本的Helldown会在加密文件前删除系统影像、关闭相关进程，并留下赎金信息。Linux版本没有复杂的混淆机制，主要功能是列出并停止所有虚拟机，尝试通过加密虚拟机镜像文件来进行勒索，尽管该功能在实际攻击中并未被激活，表明病毒可能仍处于开发阶段。该勒索病毒还与其他恶意软件家族如DarkRace和DoNex存在代码上的相似性，可能是LockBit 3.0代码泄露后衍生出的多个变种之一。

消息来源：

https://thehackernews.com/2024/11/new-helldown-ransomware-expands-attacks.html

04.

热点漏洞

Cisco Small Business WEB存在接口远程命令执行漏洞（CVE-2024-20519 ）

Cisco Small Business Routers是一款美国思科（Cisco）公司的一个路由器设备。Cisco Small Business WEB接口存在安全漏洞，通过验证的拥有WEB管理权限的远程攻击者可以利用该漏洞提交特殊的请求，成功利用即可在上下文执行任意代码。

影响版本：

Cisco Cisco Small Business RV042
Cisco Cisco Small Business RV042G
Cisco Cisco Small Business RV320
Cisco Cisco Small Business RV325

D-Link DSL6740C存在操作系统命令注入漏洞（CVE-2024-11065 ）

D-Link DSL6740C是中国友讯（D-Link）公司的一款无线VDSL路由器。D-Link DSL6740C存在操作系统命令注入漏洞，具有管理员权限的远程攻击者可利用此漏洞通过SSH和Telnet提供的特定功能注入和执行任意系统命令。

影响产品：

D-Link DSL6740C

Siemens SINEC INS操作系统命令注入漏洞（CVE-2024-46890 ）

Siemens SINEC INS是德国西门子（Siemens）公司的一款为网络基础设施提供中央服务的软件。Siemens SINEC INS存在操作系统命令注入漏洞，攻击者可利用该漏洞在底层操作系统上执行任意代码。

影响版本：

Siemens SINEC INS <1.0 SP2 Update 3

Microsoft Excel远程代码执行漏洞（CVE-2024-49029）

Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在远程代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

影响产品：

Microsoft Office 2019
Microsoft 365 Apps for Enterprise
Microsoft Office LTSC 2021
Microsoft Office LTSC for Mac 2021
Microsoft Microsoft Office LTSC 2024
Microsoft Office LTSC for Mac 2024
Microsoft Excel 2016 (64-bit edition)
Microsoft Excel 2016 (32-bit edition)

Microsoft Windows Hyper-V Shared Virtual Disk权限提升漏洞（CVE-2024-43624）

Microsoft Windows Hyper-V是微软开发的一种虚拟化技术，主要用于在Windows操作系统上创建和管理虚拟机，Shared Virtual Disk是其中的共享虚拟磁盘。Microsoft Windows Hyper-V Shared Virtual Disk存在权限提升漏洞，该漏洞是由Hyper-V共享虚拟磁盘中的缺陷引起的。攻击者可利用此漏洞在系统上获得更高的权限。

受影响版本：