网络安全资讯周报

• WebWork 数据因配置错误导致泄露 

• Medusind遭到网络攻击36万个账户信息被泄露 

• Gravy Analytics 据称遭到黑客攻击导致大规模数据泄露 

• 联合国民航机构确认数据库被入侵 

• 卡西欧遭到勒索软件攻击影响近8500人 

• 绿湾包装工队官方商店数据遭泄露 

白宫于周二正式推出美国网络信任标签（U.S. Cyber Trust Mark），这是一个旨在增强互联网连接设备安全性的网络安全标签计划。该计划旨在解决消费者对“智能”设备安全漏洞日益增长的担忧。随着家庭对互联设备的依赖增加，网络攻击的威胁也日益显著。网络信任标志计划通过提供清晰的产品安全评估来增强用户信心。该计划在经过18个月的公众通知和评论期后推出，得到了联邦通信委员会（FCC）的两党一致授权，并建立了官方指南，包括为认证产品设计的盾形标志。该计划类似于成功的能源之星标签，旨在引导消费者选择，同时促使制造商严格测试和认证其产品，以符合美国国家标准与技术研究院的标准。FCC于2024年12月临时认证了11家公司为网络安全标签管理员，其中UL Solutions被任命为主管理员。包括百思买和亚马逊在内的主要电子产品、家电和消费品制造商和销售商也将参与该计划。该计划最初关注消费品，下一阶段将涉及小型办公室和家庭办公室（SOHO）路由器和智能电表等企业设备的标准。

原文链接：https://cyberscoop.com/us-cyber-trust-mark-launches-white-house-nist/

2024年，诈骗者通过钱包清空攻击窃取了价值4.94亿美元的加密货币，目标超过30万个钱包地址。与2023年相比，被盗金额增加了67%，尽管受害者数量仅上升了3.7%，表明平均每个受害者持有的金额显著增加。这些数据来自Web3反诈骗平台“Scam Sniffer”，该平台一直在追踪钱包清空活动。2024年，Scam Sniffer观察到30起大规模（超过100万美元）的盗窃案，其中最大单次盗窃金额达5540万美元。年初比特币价格上涨时，网络钓鱼活动激增，第一季度共窃取了1.87亿美元。第二季度，知名的钱包清空服务“Pink Drainer”宣布退出，导致网络钓鱼活动有所下降。然而，第三季度“inferno”服务成为主要力量，8月和9月共造成1.1亿美元的损失。第四季度活动有所减少，仅占2024年总损失的10.3%。大部分损失（85.3%）发生在以太坊上，其中质押（40.9%）和稳定币（33.5%）是最常被攻击的目标。Scam Sniffer还指出，2024年出现了使用假验证码和Cloudflare页面以及IPFS来逃避检测的趋势，以及签名类型的变化促进了资金盗窃。大多数盗窃依赖于“Permit”签名（56.7%）或“setOwner”（31.9%）来清空资金。此外，攻击者越来越多地使用谷歌广告和推特广告作为钓鱼网站的流量来源。为防止Web3攻击，建议用户仅与可信和经过验证的网站互动，仔细检查URL，阅读交易批准提示和权限请求，模拟交易，并启用钱包的内置警告功能。

原文链接：https://www.bleepingcomputer.com/news/security/cryptocurrency-wallet-drainers-stole-494-million-in-2024/

Ivanti 确认其 Connect Security 产品线中存在可远程利用的代码执行漏洞的零日攻击。Ivanti 已警告称，针对 Ivanti Connect Secure 22.7R2.5 之前的版本的入侵正在持续发生，这些版本受到严重的基于堆栈的缓冲区溢出漏洞 (CVE-2025-0282) 的影响。Ivanti 表示，虽然该安全漏洞（可能被滥用以促进任意代码执行）也影响 22.7R1.2 之前的 Ivanti Policy Secure 版本和 22.7R2.3 之前的 Ivanti Neurons for ZTA Gateways，但此类设备尚未受到攻击。所有上述 Ivanti 产品还受到尚未被利用的高严重性漏洞的影响，该漏洞被跟踪为 CVE-2025-0283，可用于提升权限。已敦促使用 Ivanti Connect Secure 的组织通过公司的完整性检查工具监控漏洞利用情况，并在实施更新的 Connect Secure 版本之前进行出厂重置。Ivanti 还指出，易受攻击的 Ivanti Policy Secure 被利用的可能性要低得多，该公司将于 1 月 21 日修补该漏洞。

原文链接：https://www.securityweek.com/ivanti-warns-of-new-zero-day-attacks-hitting-connect-secure-product

研究人员发现了一种名为NonEuclid的新型远程访问木马（RAT），它允许攻击者远程控制被入侵的Windows系统。NonEuclid由C#开发，具有高度复杂性，提供未经授权的远程访问并采用先进的规避技术，包括绕过杀毒软件、提升权限、反检测以及针对关键文件的勒索软件加密功能。自2024年11月底以来，NonEuclid已在地下论坛上被宣传，相关教程和讨论出现在Discord和YouTube等平台上，显示出其作为犯罪软件解决方案的广泛推广。该木马通过初始化客户端应用程序开始，执行一系列检测以规避检测，然后设置TCP套接字与指定IP和端口通信。它还会配置Microsoft Defender杀毒软件的排除项，防止安全工具标记其文件，并监控常用于分析和进程管理的进程。NonEuclid采用多种反分析技术，如检测是否在虚拟或沙箱环境中运行，如果是，则立即终止程序。此外，它还具备绕过Windows反恶意软件扫描接口（AMSI）的功能。通过计划任务和Windows注册表更改实现持久性，NonEuclid还试图通过绕过用户账户控制（UAC）保护来提升权限并执行命令。一个相对不常见的功能是，它能够加密特定扩展类型的文件（例如.csv、.txt和.php），并将它们重命名为“.NonEuclid”扩展名，从而转变为勒索软件。NonEuclid展示了现代恶意软件日益增长的复杂性，结合了先进的隐身机制、反检测功能和勒索软件能力。其在地下论坛、Discord服务器和教程平台上的广泛推广，显示了其对网络犯罪分子的吸引力，并突显了应对此类威胁的挑战。

原文链接：https://thehackernews.com/2025/01/researchers-expose-noneuclid-rat-using.html

中东政府实体和互联网服务提供商已成为涉及新型 Eagerbee 恶意软件框架变种的攻击目标，这些攻击可能与 CoughingDown 威胁行动有关。根据分析，Eagerbee 入侵针对的是 Microsoft Exchange ProxyLogon 漏洞（编号为 CVE-2021-26855），该漏洞针对南亚组织实施，涉及传递有效载荷文件加载注入器，该注入器在系统启动时执行，然后开始利用主题、SessionEnv、MSDTC 和 IKEEXT 以促进内存后门写入。研究人员表示，在收集操作系统信息、网络地址和其他详细信息后，Eagerbee 会创建一个 TCP/SSL 通道，以启用文件管理器插件的注入，用于文件权限修改和卷标管理，以及进程管理器插件的注入，用于命令行执行，以及远程访问管理器、服务管理器和网络管理器插件。建议立即修补易受 ProxyLogon 攻击的 Exchange 服务器。

原文链接：

https://www.bleepingcomputer.com/news/security/eagerbee-backdoor-deployed-against-middle-eastern-govt-orgs-isps/

俄罗斯互联网服务提供商 Nodex 证实，本周早些时候乌克兰网络联盟黑客组织发起网络攻击后，其基础设施遭到“破坏”。尽管在恢复 DHCP 服务器后恢复了许多客户的互联网服务，但 Nodex 尚未详细说明其运营何时恢复正常。NetBlocks 对入侵事件的分析显示，Nodex 的固定电话和移动服务连接在周二午夜崩溃。与此同时，乌克兰网络联盟（此前曾对俄罗斯某城市管理网络和该国国家信用卡支付系统的攻击负责）声称，它完全入侵了 Nodex 的网络和数据。此前，乌克兰军事情报机构 (HUR) 承认在最近的攻击中针对俄罗斯铁路系统运营商和俄罗斯主要银行 Gazprombank，但这两个实体均未证实这一消息。

原文链接：https://therecord.media/russian-internet-provider-says-network-destroyed-cyberattack

研究人员发现，超过4000个被遗弃但仍活跃的Web后门被劫持，黑客通过注册过期域名重新控制了这些后门的通信基础设施。据 WatchTowr Labs 报告，发现的 Web Shell 包括 China Chopper  （高级持续性威胁行动中的一种固定工具）、c99shell 和 r57shell，以及集成了类似 Lazarus Group 功能的后门。据悉，此类后门已入侵中国、孟加拉国和尼日利亚的多个政府机构，以及中国、韩国和泰国的大学和高等教育机构。WatchTowr Labs 研究人员表示，用于确定 Web Shell 的所有 40 个域名的所有权已移交给 Shadowserver 基金会，该基金会随后开始破坏后门的通信基础设施。这些发现表明，在未来的网络攻击中，过期域名可能会再次被利用。

原文链接：https://www.bleepingcomputer.com/news/security/over-4-000-backdoors-hijacked-by-registering-expired-domains/

一个基于Mirai的新型僵尸网络自2024年11月起利用工业路由器和智能家居设备的零日漏洞进行攻击。该网络于2024年2月被发现，目前每天有1.5万个活跃节点，主要分布在中国、美国、俄罗斯、土耳其和伊朗。其主要目的是通过DDoS攻击特定目标获利，每天针对数百个实体，活动在2024年10月和11月达到高峰。该恶意软件利用20多个漏洞的公开和私有漏洞组合，传播到互联网暴露的设备，包括DVR、工业和家庭路由器以及智能家居设备。攻击目标遍布全球，主要在中国、美国、德国、英国和新加坡。用户可以通过安装最新设备更新、禁用不必要的远程访问以及更改默认管理员账户凭据来保护设备。

原文链接：https://www.bleepingcomputer.com/news/security/new-mirai-botnet-targets-industrial-routers-with-zero-day-exploits/

时间跟踪应用程序 WebWork 有超过1300万份日志和屏幕截图因配置错误的 Amazon AWS S3 存储桶而暴露，全球有超过15000家组织正在使用 WebWork，其中包括大型远程招聘公司Deel。研究人员对存储日志所谓的端到端加密性质提出质疑，称自 6 月发现以来，越来越多的文件被不断添加到存储桶中，而存储桶一直处于未受保护的状态。研究人员还指出，这种网络安全漏洞违反了欧盟的《通用数据保护条例》、加州消费者隐私法案和其他数据隐私条例，增加了供应链攻击的可能性，可能导致 WebWork 客户和用户的个人和商业信息、API 密钥、凭证和其他敏感数据遭到泄露。WebWork 不仅被敦促立即关闭泄漏的存储桶，还对其员工进行全面审计、事件响应协议和数据安全意识计划。

原文链接：https://cybernews.com/security/webwork-tracker-data-leak/

美国医疗保健收入周期管理服务提供商 Medusind 在 2023 年 12 月遭受网络攻击后，360934 名个人的数据被窃取。此次泄露的信息不仅包括姓名、出生日期、电子邮件地址和电话号码，还包括社保号、驾照、纳税人身份证、付款明细以及健康和医疗保险和账单数据。受影响的个人获得了两年的免费身份监控服务，他们被敦促警惕可能的身份盗窃和可疑的信用报告活动。

原文链接：

https://www.bleepingcomputer.com/news/security/medical-billing-firm-medusind-discloses-breach-affecting-360-000-people/

美国位置追踪公司 Gravy Analytics 据称遭到一名俄语威胁行为者的攻击，并导致大规模数据泄露。目前有关该事件的更多细节尚不确定，但研究人员已证实威胁行为者在 XSS 网站上泄露的近 1.4 GB 数据的真实性。此前，美国 联邦贸易委员会禁止 Gravy Analytics 和数据经纪公司 Mobilewalla 收集位置数据， 因为据称这些公司在未经用户同意的情况下从事此类活动，这可能会助长间谍活动、勒索和其他非法活动。

原文链接：

https://www.reuters.com/technology/cybersecurity/hacker-claims-breach-us-location-tracking-company-gravy-analytics-2025-01-08/

联合国航空机构国际民用航空组织 (ICAO) 证实，威胁行为者natohub 确实从其招聘数据库中窃取了42000条记录。国际民航组织发言人表示，未经授权访问数据库导致 2016 年 4 月至 2024 年 7 月期间招聘相关信息被泄露，包括申请人的姓名、出生日期、电子邮件地址和就业历史，但不包括他们的财务详细信息、护照、证件和上传的文件。他指出，该机构的其他系统均未受到此次事件的影响。然而，国际民航组织并未承认 natohub 泄露了个人的家庭住址、性别和婚姻状况信息以及教育背景。此类入侵事件已促使国际民航组织加强其网络安全防御，目前正在调查可能泄露个人信息的个人。发言人表示：”国际民航组织非常重视个人信息的隐私和安全。随着调查的进展，我们将提供进一步的更新。”

原文链接：

https://www.theregister.com/2025/01/08/uns_aviation_agency_confirms_attack/

日本大型电子产品制造公司卡西欧披露，其于10 月初遭受 Underground 勒索软件攻击后，8478 名个人的个人信息遭到泄露，并指出大多数受入侵的系统均已恢复。卡西欧称，受影响的个人中有近 6500 人是公司员工，他们的姓名、生日、电子邮件地址、纳税人身份证号码和总部系统帐户详细信息在此次攻击中被盗，该公司还披露了1931 名业务合作伙伴和 91 名客户的数据以及其他内部文件被盗。卡西欧表示，没有任何包含客户信息和信用卡详细信息的数据库受到此次事件的影响，该公司还强调不会与地下帮派进行任何赎金谈判。该公司补充说：“在咨询执法机构、外部律师和安全专家后，卡西欧没有回应实施未经授权访问的勒索软件组织的任何不合理要求。”

原文链接：https://www.bleepingcomputer.com/news/security/casio-says-data-of-8-500-people-exposed-in-october-ransomware-attack/

美国职业橄榄球联盟球队绿湾包装工队（Green Bay Packers）的网上商品商店 Pro Shop 在 9 月至 10 月期间遭到入侵，导致其球迷的信息遭到泄露。绿湾包装工队在一份数据泄露通知中表示，9 月 23 日至 24 日和 10 月 3 日至 23 日，第三方管理的 Pro Shop 网站遭到入侵，个人姓名、电子邮件地址、帐单和送货地址，以及信用卡类型、卡号、验证码和有效期均被泄露。绿湾包装工队没有提供数据被泄露人数的更多详细信息，但强调入侵不会影响礼品卡、PayPal、Amazon Pay 和 Pro Shop 网站帐户购买。受此事件影响的个人获得了三年的免费身份盗窃恢复和信用监控服务，他们被敦促注意其帐户报表中可能存在的欺诈活动以及可能的鱼叉式网络钓鱼入侵。

原文链接：https://cybernews.com/news/green-bay-packers-shop-data-breach/