烽火狼烟丨数据泄露及攻击威胁情报分析周报（01/31-02/01)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

发现暗网数据贩卖事件48起，同比上周增长90%；发现贩卖数据总量共计9792万条，涉及9个主要地区、12种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内监测发现涉及到个人敏感信息贩卖数据量总计4975万条，数据总量占比约28%（如图2所示）；主要涉及澳大利亚、欧洲、泰国等地区（如图3所示）。

图2 泄露信息数据类型占比   

图3 个人敏感信息泄露地区分布

本周发现存在针对关键基础设施的攻击案例，行业要求也有进一步的提升完善；同时也有多款利用工具出现，社工钓鱼工具开始以售卖的方式进行传播；本周内出现的安全漏洞中以VMware vRealize Log Insight信息泄露漏洞、Argo CD身份认证绕过漏洞较为严重；内部安全运营中心共发现恶意攻击来源IP 13091条，主要涉及漏洞利用、命令注入、扫描防护等类型攻击。

英国JD Sports客户信息泄露

泄露时间：2022-01-30

泄露内容：英国运动服装连锁店JD Sports透露其服务器遭到了攻击。该公司在数据泄露通知中称，此次泄露了2018年11月至2020年10月期间所下订单的客户信息。泄露数据，涉及姓名、结算明细、电话号码、订单详细信息和支付卡的后四位等信息。

泄露数据量：1000万

关联行业：企业

地区：英国

美国禁飞名单泄露

泄露时间：2023-01-30

泄露内容：该文件为瑞士黑客Maia Arson Crimew从俄亥俄州的航空公司CommuteAir云服务器中获得，泄露的信息包括禁飞名单上1817233名涉嫌或已知与恐怖组织有联系的人的详细信息。

泄露数据量：180万

关联行业：航空

地区：美国

小米汽车“设计文件”泄密

泄露时间：2023-02-02

泄露内容：主要展示了小米汽车保险杠、小米MS11的装饰件以及小米与北汽模塑相关合作细节等，根据小米内部的通报处理结果，小米汽车“设计文件泄密”事件的起因是合作方北京北汽模塑科技有限公司因对其下游供应商管理不善，泄露了小米汽车前后保险杠某个版本的过程稿。

泄露数据量：小米汽车前后保险杠某个版本的过程稿

关联行业：互联网

地区：中国

Google Fi客户数据泄露

泄露时间：2023-02-01

泄露内容：美国移动电话运营商 Google Fi 表示超过 3700 万 T-Mobile 客户，泄露信息包含：信息包括电话号码，帐户何时激活的信息、SIM 卡序列号、帐户状态以及有关移动服务计划的有限详细信息以及Google Fi 服务提供的选项。

泄露数据量：3700 万  

关联行业：运营商

地区：美国

美国Linkedin Database数据泄露

泄露时间：2023-01-31

泄露内容：美国领英客户数据库数据泄露，泄露信息包含：公司、网址、姓名、职称、电子邮件、个人链接等信息。

泄露数据量：1.6万

关联行业：招聘

地区：美国

黑客组织Killnet对美国医疗机构网站发起DDoS攻击 

黑客组织 Killnet 正在对美国医疗机构和医院的网站发起一系列 DDoS 攻击。该组织在其 Telegram 频道上宣布了攻击事件，呼吁对美国政府的医疗保健采取行动。医疗机构是关键的基础设施，网络攻击对他们构成严重威胁。即使 DDoS 攻击被认为是低级攻击，我们也不能排除未来亲俄组织可能会发起更复杂的攻击，造成严重破坏

消息来源：

https://www.anquanke.com//post/id/285888

亲巴勒斯坦黑客组织盯上以色列化学公司

攻击者发起了针对在被占领土上运营的以色列化学公司的大规模黑客攻击活动，并威胁公司的工程师和工人。这次袭击是对以色列政府及其针对巴勒斯坦人的政策的报复，黑客指责特拉维夫的暴力行为。消息很明确，黑客声称能够干扰化学公司运营的工厂的运营，可能导致人员伤亡。

消息来源：

https://securityaffairs.com/141609/cyber-warfare-2/cyber-attacks-israeli-chemical-companies.html 

超过1800种的Android网络钓鱼形式，以极低的价格在暗网出售

针对移动银行的凭据收集网络注入与加密货币应用程序一起在暗网上出售。自 2020 年 2 月以来，InTheBox 一直是经过验证的 Android 移动应用程序网络注入供应商。数量如此之多且价格低廉，使网络犯罪分子可以专注于其活动的其他部分（例如：恶意软件的开发），并将攻击范围扩大到其他地区。

消息来源：

https://cybernews.com/news/inthebox-targets-android-banking-applications/

因漏洞频发，微软敦促客户保护本地Exchange服务器

近年来，ExchangeServer已被证明是一种十分有利可图的攻击媒介，其中的许多安全漏洞曾被用做零日攻击。微软 Exchange团队表示，未打补丁的本地 Exchange 环境通常会被攻击者盯上，进行包括数据泄露等方面在内的各种恶意攻击，并强调，微软发布的缓解措施只是权宜之计，可能不足以抵御各种攻击，用户必须安装必要的安全更新来保护服务器。

消息来源：

https://thehackernews.com/2023/01/microsoft-urges-customers-to-secure-on.html

欧盟施压马斯克，Twitter须符《数字服务法案（DSA）》要求

路透布鲁塞尔1月31日-欧盟行业负责人蒂埃里·布雷顿（Thierry Breton）对其所有者埃隆·马斯克（Elon Musk）表示，新的几个月对推特履行完全遵守欧盟在线内容规则的承诺至关重要，这加剧了推特的压力，因为人们担心该公司可能会在合规方面有所不足。布雷顿在通话中警告马斯克，推特在应用透明的使用政策、显著加强内容节制和保护言论自由方面“还有大量工作要做”。

消息来源：

https://www.reuters.com/technology/eu-industry-chief-breton-hold-video-call-with-twitters-musk-eu-official-2023-01-31/

ChatGPT的过去、现在与未来

ChatGPT是一种尚处于原型阶段的人工智能聊天机器人。ChatGPT由OpenAI公司在2022年11月30日发布。在同样由OpenAI开发的GPT-3.5模型基础上，ChatGPT通过监督学习与强化学习技术进行微调，并提供了客户端界面，支持用户通过客户端与模型进行问答交互。ChatGPT不开源，但通过WebUI为用户提供免费的服务。

消息来源：

https://mp.weixin.qq.com/s/97exS9VXgrFaTX93xezKxQ

LockBit纳新，开始使用基于Conti的加密器

新型加密器被称为LockBitGreen，通过对样本进行逆向工程，发现它100%基于Conti泄露的源代码。据推特上多位知名安全博主表示，LockBit使用的这种新型加密器被称为“LockBit Green”，通过对样本进行逆向工程，发现它100% 基于 Conti泄露的源代码。

消息来源：

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-goes-green-uses-new-conti-based-encryptor/

DomainAnalyzer：一款针对域名安全的审计分析与信息收集工具

Domain Analyzer是一款针对域名安全的强大安全分析工具，该工具能够以自动化的形式寻找和报告和给定域名相关的信息。该项目的主要目的是帮助广大研究人员以无人值守的形式分析目标域名的安全问题。除此之外，该工具还包含很多其他的功能，比如说从DNS空间获取更多的域名、自动化的Nmap和Web爬虫等。

消息来源：

https://www.freebuf.com/articles/network/355783.html

Java堆栈溢出漏洞分析

Java的数据类型在执行过程中存储在两种不同形式的内存中：栈（stack）和堆（deap），由运行Java虚拟机（JVM）的底层平台维护。存放基本类型的变量数据（比如int,float等）和对象的引用，但对象本身不存放在栈中，而是存放在堆（比如new实例的对象）或者常量池（比如字符串常量）中。java虚拟机是线程私有的，每个线程都有自己的栈，单个线程的大小，一般默认512-1024kb，可以通过JVM配置项-Xss设置线程栈大小。

消息来源：

https://www.freebuf.com/vuls/355852.html

Salamandra：一款功能强大的麦克风窃听检测工具

Salamandra是一款功能强大的麦克风窃听检测工具，该工具可以帮助广大研究人员在封闭环境中检测和定位间谍麦克风工具。该工具可以根据麦克风发出的信号强度、噪声量和重叠频率来寻找隐蔽的麦克风设备。除此之外，它还可以根据生成的噪声来估算出用户离麦克风的距离。

消息来源：

https://www.freebuf.com/articles/database/355818.html

VMware vRealize Log Insight多个高危漏洞

VMware官方修复了VMware vRealize Log Insight 中存在Insight 信息泄露漏洞、远程代码执行漏洞以及目录穿越漏洞，VMware VRealize Log Insight 是一个日志收集和分析的虚拟设备，未经身份认证的远程攻击者可组合利用这些漏洞在目标系统上以 ROOT 权限执行任意代码。

影响版本：

8.0 <= VMware vRealize Log Insight < 8.10.2

Argo CD身份认证绕过漏洞

Argo CD官方发布了Argo CD的风险通告，发布了Argo CD 身份验证绕过漏洞，Argo CD是用于Kubernetes的声明性GitOps持续交付工具。由于Argo CD错误的接受了某些非预期令牌，导致攻击者在持有OIDC的签发的其他令牌时，可以实现身份验证绕过。

影响版本：

1.8.2 <= Argo CD <= 2.6.0-rc4

Argo CD v2.5.x <= v2.5.7

Argo CD v2.4.x <= v2.4.18

Argo CD v2.3.x <= v2.3.13

Django拒绝服务漏洞

PHP Development Server信息泄露漏洞

PHP Development Server中的安全漏洞，使用内置的Development Server解析php文件时,未经授权的攻击者可以通过恶意的请求直接获取页面php源码，造成信息泄露。

影响版本：

PHP <= 7.4.21

Weblogic远程代码执行漏洞 

Oracle发布安全公告，修复了一个存在于WebLogic中的远程代码执行漏洞，该漏洞允许未经身份验证的攻击者通过IIOP协议网络访问并破坏易受攻击的WebLogic Server，成功利用漏洞可能造成远程代码执行。

影响版本：

Weblogic 12.2.1.3.0

Weblogic 12.2.1.4.0

Weblogic 14.1.1.0.0

Apache Shiro身份认证绕过漏洞 

Apache发布安全公告，修复了一个存在于Apache Shiro中的身份认证绕过漏洞，当将 1.11.0版本前的Apache Shiro与大于2.6版本的Spring Boot一起使用，且Apache Shiro和Spring Boot使用不同的路径匹配模式时，攻击者可以通过精心构造的 HTTP 请求可实现身份验证绕过。

影响版本：

Apache Shiro < 1.11.0

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。