第515期 

你好呀~欢迎来到“安全头条”！如果你是第一次光顾，可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访，在文章底部时常交流、疯狂讨论，都是小安欢迎哒~如果对本小站的内容还有更多建议，也欢迎底部提出建议哦！

1、包含 478,000 名 RaidForums 成员的数据库在线泄露

属于现已解散的RaidForums网络犯罪平台的一个数据库已在一个名为 Exposed 的新黑客论坛上泄露。该数据库包含属于 478,000 名 RaidForums 成员的数据。

2022 年 4 月，由于欧洲刑警组织欧洲网络犯罪中心协调的国际执法行动 TOURNIQUET，非法暗网市场 RaidForums被关闭，其基础设施被没收。

RaidForums 于 2015 年推出，其社区拥有超过 50 万用户。该市场因出售属于不同行业的许多美国公司的备受瞩目的数据库泄漏而受到欢迎。

在 Raidforums 被查封后，Breached 黑客论坛成为最著名的暗网交易被盗数据市场。好消息是，2023 年 3 月，美国执法部门逮捕了臭名昭著的 BreachForums 网络犯罪论坛所有者 Pompompurin，并没收了 Breached 平台。

Bleeping Computer首先报道了RaidForums 成员数据库被其管理员之一“无能”泄露到 Exposed 论坛上。

泄露的数据库包含宝贵的数据，供网络安全专家和调查人员分析黑客论坛及其成员的运作。

泄露的数据库是一个包含表“mybb_users”的 SQL 文件。表中的每条记录都包括用户名、电子邮件地址、散列密码、注册日期和各种其他信息。

这些数据与 2015 年 3 月 20 日至 2020 年 9 月 24 日期间注册的会员有关。

BleepingComputer 和 Exposed 论坛的一些成员已经确认数据库中的数据是合法的。

2、提防利用 zip 域的新型网络钓鱼技术“浏览器中的文件归档器”

“浏览器中的文件存档器”是一种新的网络钓鱼技术，当受害者访问 .ZIP 域时，网络钓鱼者可以利用该技术。

当受害者访问 .ZIP 域时，网络钓鱼者可以使用一种称为“浏览器中的文件存档器”的新型网络钓鱼技术在 Web 浏览器中“模拟”文件存档器软件。安全研究员 mr.d0x 详细介绍了新的攻击技术。

2023 年 5 月，Google 推出了八个新的顶级域 (TLD)，其中包括 .zip 和 .mov。安全专家对这些域的恶意使用提出警告。

要使用此技术进行攻击，攻击者需要通过 HTML/CSS 模拟文件存档软件。研究人员分享了两个样本，第一个模拟 WinRAR 文件存档实用程序，第二个模拟 Windows 11 文件资源管理器窗口。

研究人员使用了一个巧妙的技巧，如下图所示，他们在 WinRAR 样本中添加了一个“扫描”图标。当用户单击该图标时，会显示一个消息框，向他们保证文件是安全的，从而防止怀疑。

然后，研究人员将样本部署在可用于多种攻击场景的 .zip 域上，例如：

• 将访问者重定向到创建的登录页面，以在单击文件时窃取受害者的凭据。

• 通过提供带有伪装扩展名的可执行文件来欺骗访问者。当用户单击看似 .pdf 文件（例如“invoice.pdf”）时，它实际上下载了一个可执行文件

  
  

研究人员指出，许多 Twitter 用户强调 Windows 文件资源管理器搜索栏是一种有效的交付方式。

“有几个人在 Twitter 上指出，Windows 文件资源管理器搜索栏是一个很好的交付载体。如果用户搜索 mrd0x.zip 并且机器上不存在它，它会自动在浏览器中打开它。这非常适合这种情况，因为用户希望看到 ZIP 文件。” 阅读 mr.d0x 发表的分析。

最近推出的 TLD 为攻击者提供了更多的网络钓鱼活动机会。了解这种攻击技术对于避免成为这些攻击的受害者至关重要。

强烈建议组织对 .zip 和 .mov 域实施阻止措施，因为它们目前正被网络钓鱼者利用，预计恶意使用会进一步增加。

“强烈建议组织阻止 .zip 和 .mov 域，因为它们已经被用于网络钓鱼，并且可能只会继续被越来越多地使用。” 专家总结道。

3、间谍软件之争：Paragon Solutions VS NSO Group

Paragon Solutions ：一家以色列初创网络武器研发公司，由以色列精锐陆军无线电情报部队 8200 部队的前指挥官 Ehud Schneorson 创立。该公司的董事会成员包括以色列前总理 Ehud Barak。

NSO Group ：以色列网络武器研发公司，曾因Pegasus间谍软件备受争议的，该软件已在美国被列入黑名单。

同为以色列本土的网络武器研发供应商，NSO集团在2021年被美国正式拉入黑名单，Paragon Solutions却走上了一条截然不同的发展道路。

2019年，Paragon 开发了一款名为Graphite 的间谍软件，该软件能够潜入安全的智能手机并绕过 Signal 或 WhatsApp 等即时通讯工具的加密，有时会像 Pegasus 一样从云备份中提取数据。

为避免重蹈竞争对手NSO Group的覆辙，在 Graphite 完工之前，Paragon 采取了一个明智的举措 ：在找到客户之前征求美国的支持。

根据一位退休的摩萨德高级官员的建议，Paragon 聘请了总部位于华盛顿的咨询公司 WestExec Advisors，该公司聘请了前奥巴马白宫工作人员，包括 Michelle Flournoy、Avril Haynes 和 Anthony Blinken。据了解咨询工作的人士透露，还咨询了前美国驻以色列大使丹·夏皮罗。

WestExec 表示，他“就 Paragon 对美国和欧洲市场的战略方针以及其行业领先的道德承诺的形成提供了建议，以确保技术的适当使用”，并补充说它“为它对这些关键的贡献感到自豪”领域”。

获得美国的批准，是 Paragon 战略的核心。该公司要求提供一份美国不反对出售石墨的盟国名单。专家建议这份名单包括35个国家。其中大部分在欧盟，一些在亚洲。

此外，Paragon还做了一个动作——成功从美国风险投资基金Battery Ventures 和 Red Dot筹集到了资金，

据六个行业消息来源称，在这之后，美国缉毒局 (DEA) 成为了Paragon 品牌Graphite 产品的最大买家之一。

这与最近的 NSO 问题形成鲜明对比。截止到2019 年，NSO 已成为一家价值 10 亿美元的公司，其产品销往沙特阿拉伯、墨西哥和其他几十个国家。

然而随着NSO的不断扩张，滥用证据不断蔓延。国家统计局面临着这样一个事实，即其利润丰厚的客户已成为致命弱点，因为其中许多政权继续使用价值数百万美元的武器对付记者、持不同政见者和反对派领导人。

例如 2021 年对美国驻乌干达外交官的间谍活动，国家统计局发现自己处于美国政府和主要科技公司的十字路口。

“越来越多的人认为，这种特殊类型的恶意软件具有很强的侵入性，非常隐蔽，它的传播给美国带来了人权风险和反情报风险，”斯蒂芬费尔德斯坦说，他研究了诸如此类的间谍软件的分布Pegasus. 和 Graphite，为卡内基基金会提供。

近十年来，对间谍软件制造商的唯一限制是以色列的出口管制，该管制将 Pegasus 等恶意软件作为一种武器进行监管。费尔德斯坦说，以色列官员“根据地缘政治决定做出决定，而不是侵犯人权”。

然而，Paragon 的创始人对美国对网络武器扩散的日益黯淡的看法更为敏感。

在被杀害的沙特专栏作家 Jamal Khashoggi 的同事的手机上发现 NSO 恶意软件后，Paragon 拒绝了以色列政府提出的用 Graphite 取代沙特武器库中的 Pegasus 的请求。

Paragon 拒绝一份利润丰厚的沙特合同的决定最终得到了回报。另外两家以色列公司 Quadream 和 Candiru 向沙特政府出售类似的黑客能力，在他们的恶意软件被用于对付记者和持不同政见者后，微软和人权组织 Citizen Lab 曝光了这两家公司。Candiru 于 2021 年 11 月与 NSO 一起被列入黑名单。据以色列报纸 Calcalist 报道，Quadream 最近停止了运营。

美国在重塑间谍软件市场的过程中进一步干预，以支持那些向美国及其盟友 出售网络武器的人，同时阻止那些寻求与专制政权签订有利可图的合同的人。

乔·拜登总统 于 3 月签署了一项行政命令， 禁止任何美国机构购买“对国家安全构成威胁或已被外国政府用于在世界各地侵犯人权的间谍软件”。

行政命令的措辞被专家视为针对国家统计局，同时为像 Paragon 这样的公司提供了继续销售类似间谍软件的空间，但只是为了关闭美国的盟友。美国的期望是，友好国家不太可能滥用此类武器对付公民社会或监视在海外工作的美国政府官员。

4、卡巴斯基报告称，人为错误助长了工业 APT 攻击

网络安全公司卡巴斯基近日发布的报告中讨论了一个问题，即运营技术 (OT) 网络中缺乏隔离。 

卡巴斯基专家观察到工程工作站连接到 IT 和 OT 网络的实例。这种对隔离网络配置的依赖可以被熟练的攻击者操纵，从而使他们能够管理恶意软件流量或感染看似隔离的网络。

卡巴斯基工业控制系统网络应急响应团队负责人 Evgeny Goncharov 解释说：“在 OT 网络的隔离完全依赖于网络设备配置的情况下，有经验的攻击者总是可以重新配置该设备以发挥他们的优势。” 

根据该报告，人为因素仍然是工业环境中网络犯罪活动的重要驱动因素，员工或承包商经常在没有充分注意信息安全措施的情况下访问 OT 网络。 

远程管理工具，如 TeamViewer 或 Anydesk，原本是临时的，可能会继续运行而不被注意，使攻击者很容易进入。

卡巴斯基的调查还突出显示了心怀不满的员工或具有 OT 网络访问权限的承包商试图造成伤害的情况。

对 OT 资产的保护不足进一步放大了这些风险，因为当安全解决方案的数据库过时、安全组件被禁用以及扫描和保护被排除在外时，恶意软件更容易传播。

安全解决方案的不安全配置在 APT 攻击中也起着重要作用，OT 网络中缺乏网络安全保护以及无法使工业工作站和服务器保持最新也是如此。

“在某些情况下，更新服务器的操作系统可能需要更新专门的软件 [...] 而这又需要升级设备——所有这些都可能太昂贵了。因此，在工业控制系统网络上发现了过时的系统，”Goncharov 补充道。 

“令人惊讶的是，即使是工业企业中相对容易更新的面向互联网的系统，也会在很长一段时间内保持脆弱。正如现实世界的攻击场景所显示的那样，这使操作技术 [...] 暴露在攻击和严重风险之下。”

卡巴斯基报告发布几个月前，该公司的另一项研究表明，在 2022 年，工业环境中使用的 OT 计算机中有五分之二 (40.6%) 受到恶意软件的影响。

5、汽车零售商数据库错误泄露了超过一百万条客户记录

据WebsitePlanet称，一家受欢迎的汽车零售商的数据库配置错误导致 1TB 的记录泄露，其中包括客户的个人信息。

安全研究员 Jeremiah Fowler 向网站建设者网站报告了这一事件，并将记录追溯到位于费城的企业SimpleTire。这家在线轮胎零售商声称拥有超过 10,000 名安装人员和 3000 多个独立供应点的网络。

尽管他向 SimpleTire 发送了“多封电子邮件通知”以负责任地披露他的发现，但 Fowler 声称，在最终被锁定之前，任何有互联网连接的人都可以公开访问这个不受密码保护的数据库超过三周。

目前尚不清楚该数据库在福勒被发现之前公开了多长时间。

SimpleTire 数据库包含超过 280 万条记录，包括近 120 万份订单确认 PDF，其中包含客户姓名、电话号码和账单地址等个人身份信息 (PII)。订单记录中还包含部分信用卡号和有效期。

根据 Fowler 分享的屏幕截图，包括授权安装商、收据编号、产品信息和付款金额在内的订单详细信息也清晰可见。

研究人员警告说，如果黑客设法访问了暴露的数据库，就会面临后续社会工程攻击的风险。

“罪犯可以联系受害者并声称为 SimpleTire 或其中一名安装人员工作，并建议客户他们需要更新他们的付款细节，”他辩称。

“在这种情况下，犯罪分子将掌握购买的内幕消息、订单确认号码，并且可以验证存档卡号的最后四位数字。客户没有理由认为要求更多信息的请求不是来自与他们已经有业务关系的公司的合法电话。”

福勒还呼吁公司建立清晰的沟通渠道和事件响应协议，以处理此类案件。

他总结道：“这可以极大地限制时间敏感信息被曝光、报告给相关公司并最终被限制在公众视野之外的数量。”

6、新的 Mirai 变体活动针对物联网设备

Palo Alto Networks 威胁研究团队 Unit 42 发现了针对 IoT 设备的新恶意活动，使用Mirai的变体，这是一种恶意软件，可将运行 Linux 的网络设备（通常是小型 IoT 设备）转变为远程控制的机器人，可用于大规模网络攻击。

这个变种被称为 IZ1H9，于 2018 年 8 月首次被发现，此后成为最活跃的 Mirai 变种之一。

Unit 42 研究人员在 4 月 10 日观察到，自 2021 年 11 月以来，一波恶意活动一直在使用 IZ1H9，这些活动全部由同一威胁参与者部署。他们在 5 月 25 日发布了一份恶意软件分析报告。

IZ1H9 最初通过 HTTP、SSH 和 Telnet 协议传播。

一旦安装在物联网设备上，IZ1H9 僵尸网络客户端首先会检查受感染设备 IP 地址的网络部分——就像最初的 Mirai 一样。客户避免执行一系列 IP 块，包括政府网络、互联网提供商和大型科技公司。

然后，它通过在控制台上打印“暗网”一词来使其存在可见。

“该恶意软件还包含一项功能，可确保设备仅运行该恶意软件的一个实例。如果僵尸网络进程已经存在，僵尸网络客户端将终止当前进程并启动一个新进程，”42单元在分析中解释道。

僵尸网络客户端还包含属于其他 Mirai 变体和其他僵尸网络恶意软件家族的进程名称列表。恶意软件会检查受感染主机上正在运行的进程名称以终止它们。

IZ1H9 变体尝试连接到硬编码的 C2 地址：193.47.61[.]75。

连接后，IZ1H9 将初始化一个加密字符串表，并通过索引检索加密字符串。

它在字符串解密过程中使用表密钥：0xBAADF00D。对于每个加密字符，恶意软件使用以下字节运算执行 XOR 解密：cipher_char ^ 0xBA ^ 0xAD ^ 0xF0 ^ 0x0D = plain_char。

根据 XOR 运算背后的逻辑，配置字符串密钥等于 0xBA ^ 0xAD ^ 0xF0 ^ 0x0D = 0xEA。

“这种威胁使用的漏洞不那么复杂，但这并没有降低它们的影响，因为它们仍然可能导致远程代码执行。一旦攻击者获得对易受攻击设备的控制权，他们就可以将新受损的设备包括在他们的僵尸网络中。这使他们能够进行进一步的攻击，例如分布式拒绝服务 (DDoS)。为了对抗这种威胁，强烈建议尽可能应用补丁和更新，”Unit 42 研究人员总结道。

原文始发于微信公众号（安全客）：【安全头条】汽车零售商数据库配置错误，超过一百万条客户记录被泄露