网络安全资讯周报(12/02- 12/06)

目录/contents

全球动态

欧盟新法寻求加强区域网络安全
美国联邦贸易委员会禁止数据经纪商出售美国人敏感位置数据
朝鲜IT渗透预计将持续存在
国际执法行动捣毁Matrix加密聊天平台

安全事件

英国跨国电信巨头 BT 集团遭到 Black Basta 勒索软件攻击
俄罗斯黑客组织Turla APT利用巴基斯坦黑客组织的基础设施进行间谍活动
俄罗斯黑客组织向日本多个组织机构发起 DDoS 攻击
SmokeLoader 恶意软件针对台湾的制造业和 IT 行业
朝鲜 Kimsuky 黑客利用俄罗斯电子邮件地址实施凭证盗窃攻击
多家英国医院遭到INC Ransom 勒索团伙攻击

数据泄露

多家世界大型公司的76万份员工记录被泄露
大型数据经纪商泄露60多万条敏感记录
RansomHub 攻击导致博洛尼亚足球俱乐部数据泄露
WotNot因云数据库错误配置暴露了超过 34.6万个文件

NEWS

Part 1

全球动态

欧盟新法寻求加强区域网络安全

欧盟通过了两项新法律，以增强整个欧盟的网络安全。除了建立支持网络攻击准备、识别和恢复的网络安全应急机制，以及建立用于攻击评估的欧洲网络安全事件审查机制外，第一部法律还制度化了欧洲网络安全警报系统，这是一个由人工智能驱动的跨境网络中心网络，将促进欧盟国家之间改善网络威胁协调。欧洲理事会表示：“它们将加强现有的欧洲框架，反过来，当局和相关实体将能够更高效、更有效地应对网络安全事件。”另一方面，另一部法律修订了欧盟 2019 年的《网络安全法》，对托管安全服务实施更严格的认证，据称包括安全审计、技术支持相关咨询、事件管理和渗透测试。

原文链接：

https://www.securityweek.com/new-eu-regulation-establishes-european-cybersecurity-shield/

美国联邦贸易委员会禁止数据经纪商出售

美国人敏感位置数据

美国联邦贸易委员会（FTC）近日宣布禁止数据经纪商Mobilewalla和Gravy Analytics收集和出售与敏感位置相关的美国人定位数据，这些敏感位置包括教堂、医疗设施、军事基地和学校。FTC指出，Mobilewalla和Gravy Analytics非法收集并出售与消费者访问宗教场所和健康相关地点的定位数据。弗吉尼亚州的Gravy Analytics及其子公司Venntel利用这些数据开发产品和服务，向客户提供至少三年的历史数据，包括精准的移动定位信息。客户，包括政府机构如美国国税局（IRS）、缉毒局（DEA）、联邦调查局（FBI）和美国边境保护局（CBP）等，能够获取在特定事件中出现的用户广告ID列表或在某个地点的定位信息。根据FTC的提案，Gravy Analytics和Venntel将被禁止在任何产品或服务中出售、披露或使用敏感位置数据，并且必须建立敏感数据位置管理计划。Mobilewalla也将被禁止收集在线广告拍卖中的消费者数据，除非用于拍卖本身。两家公司还需销毁所有历史定位数据及相关数据产品。

原文链接：https://www.bleepingcomputer.com/news/security/ftc-bans-data-brokers-from-selling-americans-sensitive-location-data/

朝鲜IT渗透预计将持续存在

在最近于华盛顿特区举行的网络战争大会上，安全研究人员详细介绍了朝鲜越来越多利用伪装的IT工作者渗透跨国公司并将收入输送给朝鲜政权，同时进行企业数据盗窃，以支持朝鲜的核武器计划。据专家称，这些黑客使用人工智能工具（如换脸和变声技术）创建虚假身份，冒充远程工作人员。全球数百家公司在不知情的情况下雇佣了朝鲜特工，只有少数公司承认存在此类漏洞。美国境内的协助者通过管理公司发放的笔记本电脑并启用远程访问来帮助规避制裁。朝鲜的网络攻击行动不仅限于企业渗透。“Ruby Sleet”等组织瞄准航空航天和国防公司，窃取军事应用技术；而“Sapphire Sleet”则部署恶意软件来入侵加密货币钱包，在六个月内窃取至少1000万美元。研究人员警告称，这些手段不太可能在近期消失。

原文链接：https://techcrunch.com/2024/11/28/north-korean-hackers-have-stolen-billions-in-crypto-by-posing-as-vcs-recruiters-and-it-workers/

国际执法行动捣毁Matrix加密聊天平台

欧洲刑警组织和欧洲司法组织协调的国际执法行动捣毁Matrix加密聊天平台。Matrix（又名 Mactrix、X-quantum、Totalsec 和 Q-safe），最初是在荷兰记者Peter de Vries的手机中被发现的，后来被荷兰和法国的一个联合调查小组渗透，结果发现并关闭了该平台用来支持至少8000个用户账户的40台服务器。除关闭服务器外，执法人员还逮捕了与 Matrix 有关的人员，包括一名疑似 Matrix 运营者的立陶宛男子，并扣押了价值 52.5 万美元的加密货币、15.25 万美元的现金、970 台加密移动设备和四辆汽车。在此之前，执法部门已采取行动拆除了 Ghost、Sky ECC、Exclu 和 EncroChat 加密电话服务。

原文链接：https://www.bleepingcomputer.com/news/security/police-seize-matrix-encrypted-chat-service-after-spying-on-criminals/

Part 2

安全事件

英国跨国电信巨头BT集团遭到Black Basta

勒索软件攻击

英国跨国电信巨头BT集团（前身为英国电信）已确认，其BT会议业务部门在遭遇 Black Basta 勒索软件攻击后关闭了部分服务器。尽管该集团强调，只有其英国电信会议平台遭到入侵企图，其他服务并未受到影响，但 Black Basta 声称已从该公司的服务器窃取了 500 GB 的数据，包括用户信息、个人文档、保密协议、财务和组织详细信息以及其他机密文件。为了证明其说法的真实性，Black Basta 还公布了文件夹列表和招聘文档截图，并威胁称，如果BT集团拒绝支付所要求的赎金，他们将在下周泄露整个数据库。此前，美国联邦调查局和网络安全与基础设施安全局报告称，Black Basta 已针对全球 500 多个组织发起攻击，包括 Ascension、ABB 和美国牙科协会。

原文链接：https://www.bleepingcomputer.com/news/security/bt-conferencing-division-took-servers-offline-after-black-basta-ransomware-attack/

俄罗斯黑客组织Turla APT利用巴基斯坦

黑客组织的基础设施进行间谍活动

自2022年底以来，俄罗斯国家支持的高级持续性威胁 (APT) 组织Turla（又称 Pensive Ursa、Secret Blizzard 和 Iron Hunter）通过渗透巴基斯坦黑客团伙 Storm-0156 的指挥控制服务器，窃取阿富汗和印度政府、军队和国防目标的信息。Black Lotus Labs 的一份报告显示，在 2022 年 12 月首次获得 Storm-0156 C2 服务器的访问权限后，Turla 试图接管更多巴基斯坦威胁行动的 C2，以利用 TwoDash 下载程序和 Statuezy 木马病毒入侵阿富汗政府组织的网络。微软的另一份报告显示，Turla 利用 C2 服务器窃取 Storm-0156之前的 Crimson RAT 感染，以促进 TwoDash 和 MiniPocket 下载程序的执行。Turla已经活跃了近 30 年，使用的工具集多样而复杂，包括Snake、ComRAT、Carbon、Crutch、Kazuar、HyperStack（又名 BigBoss）和TinyTurla，主要针对政府、外交和军事组织。该组织还曾为自己的目的劫持其他威胁行为体的基础设施。2019 年 10 月，英国和美国政府披露了 Turla 利用伊朗威胁行为体的后门来推进自己的情报需求。

原文链接：

https://www.darkreading.com/threat-intelligence/russian-fsb-hackers-breach-pakistan-storm-0156

俄罗斯黑客组织向日本多个组织机构发起

DDoS 攻击

自 10 月中旬以来，亲俄黑客组织 NoName057 和俄罗斯网络军事小组对日本组织机构，尤其是物流、制造和政府部门的组织机构，发动了一系列的 DDoS 攻击。此举是为了报复日本不断升级的军事化进程，其与美国的联合军事演习和增加的国防开支就是明证。据分析显示，除了利用众多臭名昭著的滋扰网络、VPN、云托管提供商基础设施和其他直接路径攻击媒介外，这场DDoS运动背后的威胁行为者还利用 DDoSia 僵尸网络最大限度地扩大入侵范围，其目标包括日本各地的港口和造船厂，以及新当选的日本首相的政党。研究人员补充说，这种针对关键基础设施的攻击长期以来一直与 NoName057 有关，尽管它们产生了破坏性影响，但并未导致日本的威胁格局发生巨大变化。

原文链接：https://www.techradar.com/pro/Pro-Russian-hackers-subjected-Japan-to-DDoS-attacks-over-military-ties-with-the-US

SmokeLoader 恶意软件针对台湾的制造业

和 IT 行业

台湾制造业、医疗保健和信息技术领域的实体已成为传播 SmokeLoader 恶意软件的新活动的目标。SmokeLoader是一种恶意软件下载器，于 2011 年首次出现在网络犯罪论坛上， 2024 年 5 月下旬，在欧洲刑警组织牵头破坏了该恶意软件多达一千个命令和控制域，同时还摧毁了TrickBot、IcedID、Bumblebee 、 PikaBot和SystemBC加载程序，SmokeLoader 活动大幅减少。SmokeLoader主要用于执行次级负载。此外，它还能够下载更多模块来增强其自身功能，以窃取数据、发起分布式拒绝服务 (DDoS) 攻击和挖掘加密货币。威胁行为者通过分发带有恶意 Microsoft Excel 文件的网络钓鱼电子邮件来发起攻击，该文件利用 CVE-2017-0199 和 CVE-2017-11882 漏洞来传播 Ande Loader。Ande Loader 随后会促进 SmokeLoader 的部署，它不仅包含解密阶段和持久性建立主模块，还具有广泛的插件支持，可泄露各种类型的数据，包括电子邮件地址、FTP 凭据和 Outlook 数据。研究人员表示，SmokeLoader 使用插件进行攻击表明了恶意软件加载器的“灵活性”，这应该促使安全团队提高警惕。

原文链接：https://thehackernews.com/2024/12/smokeloader-malware-resurfaces.html

朝鲜 Kimsuky 黑客利用俄罗斯电子邮件

地址实施凭证盗窃攻击

朝鲜国家支持的高级持续威胁行动 Kimsuky 利用俄罗斯在线社交媒体平台 VK 的 Mail.ru 电子邮件服务发起网络钓鱼入侵，旨在窃取可用于账户接管和其他攻击的凭证。一份报告显示，Kimsuky 使用 Mail.ru 的“mail.ru”、“bk.ru”、“internet.ru”、“list.ru”和“inbox.ru”域名发送的恶意电子邮件冒充金融机构和网络门户，包括 Naver 的 MYBOX 云存储服务，该服务在今年早些时候曾被该组织用于对美国、韩国和日本电子邮件地址域名的攻击。进一步分析还显示，钓鱼电子邮件也是通过美国 Evangelia 大学的入侵电子邮件服务器发送的。这些发现是 Kimsuky 在基于电子邮件的社会工程学方面声名狼藉之际得出的，美国国务院、国家安全局和联邦调查局指出，该 APT 通过错误配置的 DNS 基于域的消息认证、报告和一致性记录策略促成了秘密攻击。

原文链接：https://thehackernews.com/2024/12/north-korean-kimsuky-hackers-use.html

多家英国医院遭到INC Ransom勒索团伙

攻击

英国多家国家医疗服务体系 (NHS) 医院遭受一系列勒索软件攻击，导致医疗服务严重中断。至少有两家医院受到影响，包括 Alder Hey 儿童 NHS 基金会信托和利物浦心脏和胸腔 NHS 基金会信托。此次攻击发生在 11 月 28 日，Alder Hey 儿童 NHS 基金会信托在安全公告中确认了此事。巧合的是，威勒尔大学教学医院 NHS 基金会信托 (WUTH) 也遭受了勒索软件攻击，但据 Alder Hey儿童医院信托称，这两起勒索软件事件并无关联。INC Ransom 声称对 Alder Hey 儿童 NHS 基金会信托和利物浦心脏和胸腔 NHS 基金会信托发起的攻击负责，并开始泄露据称从受影响的医院系统窃取的一些敏感数据。泄露的信息包括机密患者记录，包括全名、地址、医生和全科医生的评论以及医院内部文件。这并不是 INC Ransom 第一次针对NHS。2024 年3 月，该网络犯罪团伙袭击了苏格兰NHS，窃取了3 TB 的患者数据。该组织威胁称，如果他们的要求得不到满足，他们就会泄露这些信息。

原文链接：https://hackread.com/nhs-ransomware-attack-russia-inc-ransom-steal-patient-data/

Part 3

数据泄露

多家世界大型公司的76万份员工记录被泄露

一个名为“Nam3l3ss ”的黑客在网上发布了超过760000 条员工记录，这些数据似乎是与去年文件传输工具 MOVEi 遭到攻击有关的大规模数据泄露事件有关。就在几周前，Nam3l3ss 泄露了亚马逊和其他二十多个领先组织的数百万份数据，这些数据也是在MOVEit 黑客攻击事件中被窃取。一份报告显示，大部分被曝光的员工记录（包括姓名、电话号码、电子邮件地址、职称、工号和经理姓名）属于美国银行，其次是美国跨国企业集团科氏、芬兰跨国电信公司诺基亚以及全球房地产和投资管理服务提供商仲量联行。受到数据泄露影响的还有施乐、摩根士丹利和桥水公司。

原文链接：

https://www.securityweek.com/760000-employee-records-from-several-major-firms-leaked-online/

大型数据经纪商泄露60多万条敏感记录

大型数据经纪商SL Data Services/Propertyrec 有 644,869 个 PDF 文件因数据库不安全而被泄露，其中包括法庭、车辆和财产所有权记录。SL Data Services/Propertyrec 是一家信息研究提供商，运营着至少 16 个不同的网站，提供房地产所有权数据和犯罪记录搜索信息。被曝光的文件包括全名、家庭住址、电话号码、电子邮件地址、工作情况、家庭成员、社交媒体账户和犯罪记录历史，提供了受影响个人的完整资料。这次发现是自 2024 年 8 月以来第二次由大型数据经纪商主导的数据泄露事件，当时National Public Data 遭遇了一次泄露，导致数十亿条记录被泄露，数百万人的数据暴露。事件发生后，该公司申请破产。

原文链接：

https://cybernews.com/security/data-broker-exposes-600k-background-checks/

RansomHub 攻击导致博洛尼亚足球俱乐

部数据泄露

意大利足球队博洛尼亚足球俱乐部1909披露，其数据因 RansomHub 勒索软件行动对其内部安全系统发起的攻击而遭到泄露。该足球队拒绝支付所要求的金额后，所有被窃取的信息均被曝光。RansomHub 窃取并泄露的数据包括博洛尼亚足球俱乐部新老球员的个人和机密文件、球迷和员工的敏感数据、体育场和建筑细节以及足球队的赞助合同和商业战略。这是继 NoEscape 和 BlackCyte 勒索软件在过去两年分别入侵法国篮球队ASVEL和旧金山49人队之后，RansomHub 又对博洛尼亚足球俱乐部发动了攻击。

原文链接：https://www.bleepingcomputer.com/news/security/bologna-fc-confirms-data-breach-after-ransomhub-ransomware-attack/

WotNot因云数据库错误配置暴露了超过

34.6万个文件

印度人工智能初创公司 WotNot 因不安全的 Google 云端存储桶而泄露了 346381个文件。WotNot提供以商业为中心的人工智能聊天机器人构建器，客户包括默克公司、Amneal Pharmaceuticals 和加州大学等。此次配置错误于8月底被发现，并于11月得到解决，泄露的文件包括护照和身份证、简历、医疗记录、旅行行程和火车票。研究人员表示：“尽管 WotNot 的规模可能不大，但此次泄密事件对受影响的个人构成了重大的安全和隐私威胁和影响。泄露的个人文件为威胁行为者提供了身份盗窃、医疗或工作相关欺诈以及各种其他诈骗的完整工具包。”他们指出，由于人工智能成为一种新的影子 IT 资源，加强企业数据安全责任至关重要。

原文链接：https://cybernews.com/security/wotnot-exposes-346k-sensitive-customer-files/