烽火狼烟丨暗网数据及攻击威胁情报分析周报（12/18-12/22)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件85起，同比上周减少65.72%。本周内贩卖数据总量共计9190.4万条；累计涉及12个主要地区，涉及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、贸易、通信等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期数据泄露和勒索事件较于前段时间发生频率有明显升高，且存在利用影响范围广泛的新漏洞的趋势；本周内出现的安全漏洞以Avalanche RCE漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 10124条，主要涉及命令注入、apache log4j2、扫描防护等类型。

 Kimco数据泄露

泄露时间：2023-12-19

泄露内容：2023年12月19日，Kimco Staffing Services,Inc.（“Kimco”）发现该公司服务器存在未授权访问漏洞，该事件导致大约7万名消费者的姓名和社会安全号码等敏感信息被泄露。

泄露数据量：7万

关联行业：IT

地区：美国

ESO Solutions数据泄露

泄露时间：2023-12-20

泄露内容：ESO Solutions是一家为医疗机构和消防部门提供软件产品的供应商，该公司透露，由于勒索软件攻击者访问了一台包含敏感数据的计算机，导致270万名患者的数据被泄露。

泄露数据量：270万

关联行业：IT

地区：美国

Xfinity数据泄露

泄露时间：2023-12-19

泄露内容：由于未能及时修复CitrixBleed安全漏洞，导致3600万Xfinity客户的敏感信息遭到泄露，泄露信息包含：用户名、散列密码，以及部分用户的姓名、联系信息、社会安全号码的后四位、出生日期。该漏洞存在于Citrix网络设备中，自8月下旬以来一直被黑客大规模利用，Citrix在10月初提供了安全补丁，但许多组织没有及时修补。

泄露数据量：3600万

关联行业：通信

地区：美国

Blink Mobility数据泄露

泄露时间：2023-12-21

泄露内容：总部位于洛杉矶的共享电动汽车提供商Blink Mobility由于未授权访问漏洞导致数据泄露。调查显示，泄露数据库包含超过22000名用户和181000条记录，数据内容以Blink Mobility客户和管理员的个人身份信息为主。

泄露数据量：20.3万

关联行业：制造业

地区：美国

BMW Kun Exclusive数据泄露

泄露时间：2023-12-20

泄露内容：印度宝马经销商BMW Kun Exclusive班加罗尔分公司某个系统的环境配置文件（.env）泄露，该文件包含印度企业的登录凭据和API密钥，这些密钥可以访问其内部系统和WhatsApp系统。

泄露数据量：未公开

关联行业：制造业

地区：印度

勒索软件即服务的兴起及其对业务安全的影响

RaaS（勒索软件即服务）的兴起标志着网络犯罪演变的巨大飞跃，世界各地的企业和公共基础设施都受其影响。RaaS在2009年加密货币发明后首次出现，加密货币以多种方式推动了勒索软件的兴起，包含：支持黑客匿名索要赎金、支持相互匿名买卖软件和服务等。勒索软件攻击的危险日益增加，这意味着现在每个组织都必须了解勒索软件并做好相应的准备。

消息来源：

https://www.forbes.com/sites/forbesbusinesscouncil/2023/12/18/the-rise-of-ransomware-as-a-service-raas-and-implications-for-business-security/

被FBI查封后，BlackCat勒索软件加大“赌注”

美国联邦调查局（FBI）透露，他们查封了全球第二大勒索软件团伙，即一个名为BlackCat的网络犯罪团伙。美国联邦调查局表示，他们查获了该团伙的暗网网站，并发布了一个解密工具，数百家受害公司可以使用该工具来恢复系统。BlackCat 是通过从几个相互竞争或已解散的勒索软件组织（包括REvil、  BlackMatter 和 DarkSide）招募成员组建立，该组织随后恢复了其网站的访问权并公开寻求合作。

消息来源：

https://krebsonsecurity.com/2023/12/blackcat-ransomware-raises-ante-after-fbi-disruption/

利用历史漏洞传播间谍软件

攻击者利用存在6年之久的Microsoft Office远程代码执行漏洞，以恶意Excel附件为武器、以复杂的规避策略为特征进行电子邮件活动并传播间谍软件。CVE-20170-11882是Microsoft Office公式编辑器中发现的内存损坏缺陷，成功利用该漏洞可以在当前用户的上下文中运行任意代码，如果用户以管理员权限登录，甚至可以接管受影响的系统。

消息来源：

https://www.darkreading.com/cloud-security/attackers-exploit-microsoft-office-bug-spyware

《失眠游戏-金刚狼》项目泄露

Insomniac作为世界上最成功的视频游戏制造商之一，最近成为大规模黑客攻击的受害者。备受期待的游戏《金刚狼》的部分内容也在这次事件中泄露。根据多份报告显示，来自勒索软件组织Rhysida的黑客访问了超过130万个文件，数据量近1.7TB，包含《蜘蛛侠3》在内的上映日期均被泄露。

消息来源：

https://www.tmz.com/2023/12/19/insomniac-game-studio-hacked-wolverine-project-leaked-breach/

重新定义网络安全中的人为因素

仅在过去两年中，超过四分之三 (77%) 的公司就经历过至少一次网络安全攻击，其中许多公司在此期间遭受了多达六次网络安全攻击。然而，各公司对这些事件的归因各不相同，他们的反应也各不相同。帮助防止人为错误的工具是向前迈出的重要一步，但不能排除员工教育和技能发展。毕竟，潜伏在公司墙外的威胁也是人为的——黑客不断地试图创造新型攻击，不仅利用软件，还利用容易犯错的员工。这就是为什么在确定网络安全的下一阶段时必须考虑整个人为因素的原因

消息来源：

https://www.kaspersky.com/blog/human-factor-360-report-2023/

酒店业面临新的威胁

网络安全研究人员发现了一种具有针对性的新型恶意垃圾邮件行为，攻击者采用社会工程策略，利用有关服务问题的电子投诉邮件进行攻击，并在发送恶意链接之前与目标建立信任。该恶意软件被识别为Red line Stealer或Vidar Stealer变种，主要功能为窃取数据，包括桌面屏幕截图和浏览器信息，当前暂未在主机上建立持久性后门。

消息来源：

https://www.infosecurity-magazine.com/news/hospitality-industry-password/

基于Go的跨平台信息窃取软件

一种基于Go的名为JaskaGO的新型信息窃取软件已成为渗透Windows、Apple macOS的新型跨平台工具。该恶意软件的变体会伪装成Any Connect或安全工具，安装后程序会自行检查以确定其是否在虚拟机（VM）环境中，如果是，则执行一系列无害操操作；若不是，则会从受害者系统收集信息，并建立后门以接收进一步的指令，包括执行shell命令、枚举进程以及下载其他有效负载。

消息来源：

https://thehackernews.com/2023/12/new-go-based-jaskago-malware-targeting.html

新的网络攻击活动窃取了５万人的银行数据

安全团队发现了一种新型恶意软件活动，其使用JavaScript　Web注入来窃取北美、南美、欧洲和日本等地的５万多名用户的银行数据。通过加载恶意脚本，针对银行特定的页面结构进行拦截并获取用户凭据或一次性密码（OTP），攻击者可以登录受害者的银行账户执行未经授权的交易。值得注意的是，恶意脚本使用cdnjs[.]com和unpkg[.]com等看似常规的域来逃避检测，且该脚本在执行之前会检查是否存在特定的安全产品。

消息来源：

https://www.bleepingcomputer.com/news/security/new-web-injections-campaign-steals-banking-data-from-50-000-people/

黑客滥用GitHub来逃避检测和控制受感染的主机

恶意软件作者偶尔会将他们的样本放置在 Dropbox、Google Drive、OneDrive 和 Discord 等服务中，以托管第二阶段恶意软件或回避检测工具，但近期观察到越来越多地使用 GitHub 开源开发平台来托管恶意软件的行为。这种技术很狡猾，因为它允许威胁行为者将其恶意网络流量与受感染网络内的真实通信混合在一起，使得有效检测和响应威胁变得更加困难。

消息来源：

https://thehackernews.com/2023/12/hackers-abusing-github-to-evade.html

Terrapin攻击会降低OpenSSH连接的安全性

研究人员发现了一种名为Terrapin的新型攻击手法，该攻击会在TCP握手过程中操纵序列号，以破坏常见加密模式SSH通道的完整性。这种操作使攻击者可以删除或修改通信通道中交换的消息，从而导致OpenSSH9.5中用于用户身份验证的公钥算法降级。Terrapin攻击利用了SSH传输层协议的弱点，并结合了OpenSSH十多年前引入的加密算法和加密模式。

消息来源：

https://www.bleepingcomputer.com/news/security/terrapin-attacks-can-downgrade-security-of-openssh-connections/

Avalanche RCE漏洞

Ivanti发布了安全更新，修复了该公司Avalanche企业移动设备管理（MDM）解决方案中的13个关键安全漏洞。这些安全缺陷是由WLAvalancheService堆栈或基于堆的缓冲区溢出导致。攻击者向移动设备服务器发送特制数据包可能会导致内存损坏，从而导致拒绝服务（DoS）或代码执行（RCE）。

影响版本：

Ivanti Avalanche <= v6.4.1

谷歌Chrome漏洞

谷歌发布紧急更新以修复一个被广泛利用的Chrome零日漏洞，漏洞编号CVE-2023-7024。由于提供JavaScript API实现实时通信(RTC)功能（例如视频流、文件共享和VoIP电话）的开源WebRTC框架中存在堆缓冲区溢出漏洞，远程攻击者可以通过精心设计的HTML页面利用该漏洞。

影响版本：

• Windows (120.0.6099.129/130)

• Mac and Linux (120.0.6099.129)

Perforce Helix Core漏洞

Perforce Helix Core Server是游戏和技术等部门广泛使用的源代码管理平台，本次公布的四个漏洞主要涉及拒绝服务（DoS）漏洞，最严重的漏洞允许未经身份验证的攻击者以LocalSystem身份执行任意远程代码。

影响版本：

Perforce Helix Core Server < v2023.1/2513900

Microsoft Outlook零点击漏洞

微软发布了两个关于Outlook的安全漏洞,编号为CVE-2023-35384和CVE-2023-36710，攻击者通过向Outlook客户端发送电子邮件，使其从指定的服务器下载恶意文件，由于漏洞会导致Outlook错误分类本地和远程路径，攻击者通过漏洞利用链即可实现远程代码执行操作。

影响版本：

• Windows 10 22h2 (10.0.19045.3570)

• Windows 11 22h2 (10.0.22621.2428)

ESET漏洞

ESET解决了流量扫描功能中的一个漏洞，编号CVE-2023-5594，该漏洞可能导致Web浏览器信任使用过时或不安全签名证书的网站，具体问题存在于ESET产品中的SSL/TLS协议扫描功能中。

影响版本：

• ESET NOD32 Antivirus

• ESET Internet Security

• ESET Smart Security Premium

• ESET Security Ultimate

• ESET Endpoint Antivirus/Security for Windows/Linux < 10.0

• ESET Server Security for Windows Server

• ESET Mail Security for Microsoft Exchange Server

• ESET Mail Security for IBM Domino

• ESET Security for Microsoft SharePoint Server

• ESET File Security for Microsoft Azure

• ESET Server Security for Linux 10.1 and above

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。