烽火狼烟丨暗网数据及攻击威胁情报分析周报（11/25-11/29）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件247起，同比上周上升21.08%。本周内贩卖数据总量共计24546.21万条；累计涉及9个主要地区，主要涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及博彩、贸易、金融等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期勒索组织活动越发频繁，需加强防范；本周内出现的安全漏洞以Zabbix SQL注入漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8294条，主要涉及命令注入、扫描防护、组件漏洞组件攻击等类型。

01.

重点数据泄露事件

Facebook数据泄露

泄露时间：2024-11-27

泄露内容：近期，名为BrokerAB的攻击者在黑客论坛上公开出售一个包含3.8亿条Facebook用户记录的数据库,并声称他们最近从Facebook抓取了这些用户记录。根据发布的信息，数据包括用户ID、姓名、电子邮件地址、用户名、手机号码、位置、出生日期和性别等详细信息。BrokerAB表示“数据库包含了电子邮件和电话号码以及所有详细信息。”为证明其真实性，BrokerAB还提供了一份来自新加坡用户的样本数据。

泄露数据量：3.8亿

关联行业：互联网

地区：美国

Finsure数据泄露

泄露时间：2024-11-27

泄露内容：近期，澳大利亚按揭经纪公司Finsure的296,124个独立账户信息被泄露，涉及的泄露数据包括电子邮件地址、姓名、电话号码和实际地址。”Finsure发言人表示，他们已向部分受影响的客户和经纪人发出预防性通知，并确认泄露数据主要是公开的基本联系信息，并未涉及财务数据、密码或敏感的个人身份信息，同时相关问题在与第三方供应商合作后已得到解决。

泄露数据量：29w+

关联行业：金融

地区：澳大利亚

ATF Services 数据泄露

泄露时间：2024-11-26

泄露内容：近期，勒索软件组织INC Ransom在其网站上将ATF Services列为受害者，并公布了部分被盗数据的细节和文件以证实其攻击行为。“我们掌握了这家公司1TB的数据，”INC Ransom的发言人在证明文件中表示。这些文件包括文件结构和文件夹的截图、内部联系人列表、贷款和税务文件、债权人与债务人信息、客户数据以及收益预测等内容。截至目前，INC Ransom未提出赎金要求或设定支付期限，根据网站的统计信息显示此次攻击详情已被查看400次。

泄露数据量：1TB

关联行业：制造业

地区：澳大利亚

澳大利亚电信公司Telstra员工数据泄露

泄露时间：2024-11-25

泄露内容：近期，名为“UnicornLover67”的攻击者声称拥有澳大利亚电信公司Telstra 47,300名员工的数据，信息包括姓名、电子邮件地址、住址等。Telstra确认数据属于其员工和合作伙伴，但重申未涉及任何客户数据，并表示经过初步审查，泄露的数据主要为基本信息，且大部分为内部数据。

泄露数据量：4w+

关联行业：电信

地区：澳大利亚

Triton Sourcing & Distribution数据遭泄露

泄露时间：2024-11-25

泄露内容：近期，勒索软件组织SafePay在其网站上公布了总部位于奥克兰的进口公司Triton Sourcing & Distribution，声称从该公司窃取了至少10GB的数据。SafePay未透露更多细节，仅提供了一个数据存档的链接和文件列表，显示大部分数据为.XML文件。Triton公司发言人证实：“我们了解到此次事件，攻击确实发生，我们当时已与客户和员工进行了沟通。”被窃数据主要与公司Exo订单系统相关，该系统是此次攻击的目标，泄露的信息主要涉及订单详情和其他运营流程。

泄露数据量：10GB

关联行业：服务

地区：新西兰

02.

热点资讯

TAG-110网络间谍活动

近期，Insikt Group揭露威胁组织TAG-110发起网络间谍活动，使用HATVIBE和CHERRYSPY等定制恶意软件。攻击目标包括中亚、东亚和欧洲的政府机构、人权组织和教育机构。TAG-110的战术与APT28（又称Fancy Bear）高度相似，主要通过钓鱼邮件和漏洞利用获取访问权限。HATVIBE加载器通过混淆技术隐藏自身，部署后门CHERRYSPY，实现数据加密外传和监控。报告称TAG-110将持续威胁中亚、乌克兰及其盟友，并附有相关入侵指标和检测规则。

消息来源：

https://securityaffairs.com/171343/apt/tag-110-targets-asia-europe.html

黑客组织RomCom利用0day漏洞大规模攻击Firefox和Tor用户

近期，一个名为“RomCom”的黑客组织利用两个0day漏洞攻击了欧洲和北美的 Firefox 和 Tor 浏览器用户。这些漏洞分别是 CVE-2024-9680 和 CVE-2024-49039，黑客通过恶意网页进行传播，无需用户交互即可触发漏洞，在受害者的计算机上安装后门程序。该后门能够执行文件窃取、截屏、以及窃取浏览器 cookie 和保存的密码等操作。ESET 将这一攻击与 RomCom 黑客组织相关联，且认为此次攻击涉及大规模活动。

消息来源：

https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/

APT28利用“近邻攻击”突破WiFi安全，远程入侵美国公司网络

近期，黑客组织APT28（Fancy Bear）利用一种新型技术“近邻攻击”，在数千英里外成功入侵了美国一家公司的企业WiFi网络。攻击者首先入侵了 WiFi 范围内附近建筑物内的网络，然后转向目标。利用其网络连接进入目标WiFi。APT28通过密码喷射攻击获取了WiFi凭证，尽管多因素认证（MFA）限制了远程访问，但黑客以邻近组织的双重连接设备作为跳板，成功连接到了目标网络。随后，黑客通过远程桌面协议（RDP）在目标网络中横向移动并窃取数据。

消息来源：

https://www.bleepingcomputer.com/news/security/hackers-breach-us-firm-over-wi-fi-from-russia-in-nearest-neighbor-attack/

Ransomhub 勒索软件团伙声称对墨西哥政府法律事务办公室发起攻击

墨西哥总统宣布政府正在调查针对该政府法律事务办公室的黑客攻击事件，基于Ransomhub 勒索组织声称从墨西哥政府办公室窃取了 313 GB 的数据，且获取了包括合同、保险和财务文件。RansomHub 是一个相对较新的勒索软件即服务 (RaaS) 组织，于 2024 年初出现，因其激进的策略和对关键基础设施领域的关注而闻名，

消息来源：

https://securityaffairs.com/171257/data-breach/mexico-suffers-ransomware-attack.html

Matrix黑客组织发起大规模DDoS攻击，数百万物联网设备成为目标

近期，安全研究人员揭示了由 Matrix 发起的大规模 DDoS 攻击活动。Matrix 是一个黑客组织，专门针对物联网设备（如摄像头、路由器和 DVR）以及企业系统发起攻击。攻击者利用弱密码和配置错误，通过暴力破解手段获取初始访问权限，成功构建了一个大型僵尸网络，发起全球性的 DDoS 攻击。受害者包括多家企业和大量联网设备，攻击不仅扰乱了在线运营，还可能导致大规模的服务中断。Matrix 还通过 Telegram 机器人销售 DDoS 攻击服务，进一步显示了其商业化的攻击模式。

消息来源：

https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign/

03.

热点技术

新型GodLoader恶意软件跨平台传播

近期，黑客利用Godot游戏引擎的功能，部署了新型GodLoader恶意软件，在三个月内感染了超过17,000个系统。该恶意软件加载器通过利用Godot引擎的GDScript脚本语言和.pck文件（游戏资源文件），可以执行任意代码并绕过传统的安全检测系统。这些恶意文件被植入到游戏或工具中，诱使用户下载并运行，从而在设备上触发恶意代码，可能窃取用户凭据、安装额外的恶意软件负载，甚至包括XMRig加密矿工。该攻击链的目标主要是游戏玩家，恶意软件能够在Windows、macOS、Linux、Android和iOS等多个平台上进行传播。恶意代码的隐蔽性很强，至今大多数杀毒软件未能及时检测出该威胁。研究人员在该攻击链中共发现了四次不同的攻击浪潮，针对开发者和玩家诱导其下载恶意工具或游戏。尽管研究人员目前只发现了针对Windows系统的GodLoader样本，但他们也展示了如何轻松将该恶意软件代码适配到Linux和macOS平台。

消息来源：

https://www.bleepingcomputer.com/news/security/new-godloader-malware-infects-thousands-of-gamers-using-godot-scripts/

首个针对Linux系统的UEFI引导病毒Bootkitty现身

近期，安全研究人员发现首个专门针对Linux系统的UEFI引导病毒Bootkitty。这款恶意软件通过篡改UEFI引导流程，绕过内核签名验证，加载恶意模块，在系统启动时实现深度持久化控制。尽管Bootkitty目前是概念验证（PoC）阶段，且只针对部分Ubuntu版本和配置，但其出现标志着UEFI引导级威胁从Windows扩展到Linux领域。Bootkitty的核心攻击方式包括篡改UEFI安全协议以禁用Secure Boot、修改GRUB功能禁用内核模块签名验证、以及在启动环境中注入恶意库文件（LD_PRELOAD=/opt/injector.so），实现对用户空间的控制。这一发现表明Linux系统的引导安全已成为恶意攻击者的新目标。研究人员建议启用Secure Boot并保持系统及时更新，以规避潜在威胁。Bootkitty相关威胁指标（IoC）已发布在GitHub供安全团队参考。

消息来源：

https://www.bleepingcomputer.com/news/security/researchers-discover-bootkitty-first-uefi-bootkit-malware-for-linux/

旧版Avast Anti-Rootkit驱动被滥用

近期，研究人员发现了一场利用“自带漏洞驱动”（BYOVD）技术的新型恶意攻击活动。攻击者滥用一款旧版的Avast Anti-Rootkit驱动程序（aswArPot.sys）来禁用安全软件，并获得对目标系统的控制。在此次攻击中，恶意软件（文件名为kill-floor.exe）会将旧版驱动文件（ntfs.bin）放置于默认Windows用户文件夹中，并通过Service Control工具(sc.exe)注册该驱动服务。随后，恶意软件利用硬编码的142个安全进程名单，匹配系统中运行的进程，一旦找到目标进程，即调用驱动的‘DeviceIoControl’接口发出IOCTL命令终止安全进程。被攻击的安全产品包括McAfee、Symantec、Sophos、Trend Micro、Microsoft Defender等。安全防护被禁用后，恶意软件可在不触发告警的情况下执行恶意操作。

消息来源：

https://www.bleepingcomputer.com/news/security/hackers-abuse-avast-anti-rootkit-driver-to-disable-defenses/

NachoVPN漏洞导致Palo Alto和SonicWall VPN客户端受威胁

近期，安全研究人员发现了一组名为“NachoVPN”的漏洞，允许攻击者通过伪造VPN服务器，利用未修补的Palo Alto GlobalProtect和SonicWall NetExtender客户端实施恶意更新。此漏洞使得攻击者能够窃取受害者的登录凭据、执行特权代码、安装恶意软件，甚至进行代码签名伪造或中间人攻击（MITM），安装恶意根证书。具体来说，攻击者可以通过社交工程或钓鱼攻击，诱使目标连接到攻击者控制的VPN服务器。恶意服务器可以在连接过程中向客户端推送恶意更新，利用漏洞执行高权限操作。虽然SonicWall已在7月发布了针对CVE-2024-29014漏洞的补丁，Palo Alto Networks也在今天发布了针对CVE-2024-5921的修复，但许多用户仍未及时更新，导致大量设备暴露在攻击之下。

消息来源：

https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/

04.

热点漏洞

mySCADA myPRO Manager目录遍历漏洞（CVE-2024-50054 ）

mySCADA myPRO是专业的HMI/SCADA系统，主要设计用于工业过程的可视化和控制。mySCADA myPRO Manager存在目录遍历漏洞，攻击者可利用该漏洞提交特殊的请求，在应用程序上下文查看系统文件内容，获取敏感信息。

影响版本：

mySCADA myPRO Manager <1.3

ProjectSend身份验证绕过漏洞（CVE-2024-11680 ）

ProjectSend 是一个开源文件共享Web应用程序，旨在促进服务器管理员和客户端之间的安全、私密文件传输。ProjectSend r1720 之前版本中存在身份验证绕过漏洞，未经身份验证的远程攻击者可通过向options.php发送恶意构造的HTTP POST请求来利用该漏洞，成功利用可能导致更改站点配置（比如修改站点标题、启用用户注册等）、上传恶意文件（WebShell）或注入恶意 JavaScript。

影响产品：

ProjectSend < r1720

Zabbix SQL注入漏洞（CVE-2024-42327）

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案，用来监控服务器、硬件、网络等。该产品由于函数未对输入数据进行充分验证和转义，导致具有API访问权限的恶意用户可以输入触发SQL注入攻击，进而利用该漏洞实现权限提升或访问敏感数据。

影响产品：

Zabbix 6.0.0 - 6.0.31
Zabbix 6.4.0 - 6.4.16
Zabbix 7.0.0

7-Zip代码执行漏洞（CVE-2024-11477 ）

7-Zip 是一款免费的开源文件压缩和解压工具，支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式。由于对用户提供的数据缺乏适当验证，攻击者可通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压，当目标用户使用受影响的 7-Zip 解压缩该文件时触发漏洞，从而可能导致在相关系统上执行任意代码。

影响版本：

7-Zip < 24.07

GitLab权限提升漏洞（CVE-2024-8114）

GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。Git LFS（Git Large File Storage）是一个用于管理和存储大文件的 Git 扩展，避免将大文件直接存储到 Git 仓库中；LFS 令牌是一种临时认证凭据，用于授权访问 Git LFS 中的大文件，该令牌的生成基于用户的身份验证凭据（如个人访问令牌PAT）。由于GitLab中对 LFS令牌的权限管理不当，当攻击者获取目标用户的个人访问令牌（PAT）后，可以进一步滥用该PAT生成的 LFS令牌，利用该漏洞实现权限提升，从而可能导致敏感信息泄露或未授权操作。

受影响版本：