烽火狼烟丨数据泄露及攻击威胁情报分析周报（02/13-02/17)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件82起，同比上周增长34.4%，本周内贩卖数据总量共计4487万条；累计涉及11个主要地区，涉及10种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、教育、供应商、互联网等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

本周内针对多款恶意软件的分析和研究表明，恶意软件正在不断的进行自身的优化和伪装，在结合了新技术和漏洞的基础上，黑与白之前的对抗不断升级；本周内出现的安全漏洞以GitLab CE/EE命令执行漏洞、Splunk Enterprise安全特性绕过漏洞较为严重；内部安全运营中心共发现恶意攻击来源IP 20916条，主要涉及apache log4j2攻击、命令注入、代理隧道攻击等类型。

加利福尼亚医疗机构数据泄露

泄露时间：2023-02-14

泄露内容：加利福尼亚州 Heritage Provider Network（全美最大的综合医疗服务网络之一） 中多个医疗机构遭遇勒索软件攻击，包含Regal medical Group、Lakeside medical Organization、ADOC medical Group 及 Greater Covina medical等大量患者敏感信息泄露。泄露信息包含患者名称、社会保障号码（SSN）、电话、家庭住址、医疗记录、处方等。

泄露数据量：330 万

关联行业：医疗

地区：美国

美国社区卫生系统（CHS）数据泄露

泄露时间：2023-02-15

泄露内容：社区卫生系统（CHS）是美国领先的医疗保健提供者之一。CHS经营着79家急症护理医院和1，000多个其他护理场所，包括医生诊所，紧急护理中心，独立急诊科，职业医学诊所，成像中心，癌症中心和门诊手术中心。CHS 调查发现近100万患者受到该事件影响。

泄露数据量：100万

关联行业：医疗

地区：美国

百事可乐装瓶风险投资公司数据泄露

泄露时间：2023-02-13

泄露内容：百事可乐装瓶风险投资有限责任公司遭受了由网络入侵引起的数据泄露，导致其被安装信息窃取恶意软件并从IT系统中窃取数据。据内部调查结果显示，已窃取数据包含：姓名、家庭住址、财务帐户信息（包括密码、PIN 和访问号码）、身份证号、驾驶执照号码、社会安全号码 （SSN）、护照信息、数字签名等。

泄露数据量：未知

关联行业：其他

地区：美国

泰国380万公民数据泄露

泄露时间：2023-02-14

泄露内容：泰国公民数据泄露，泄露内容包含姓名、电话、身份证等信息。

泄露数据量：380万

关联行业：暂无

地区：泰国

美国6.5G车主信息泄露

泄露时间：2023-02-15

泄露内容：美国车主信息泄露，泄露内容包含：姓名、邮箱、电话、地址、驾照信息、购买时间、车辆型号等。

泄露数据量：6.5G

关联行业：交通

地区：美国

聚焦 2023 年 DevSecOps 趋势

DevSecOps 可能是一个相对较新的组合学科，指的是在软件开发生命周期的早期纳入安全规划以加强网络防御，但它必将成为企业的一个重要领域。将 DevSecOps 构建到公司实践中的战略也将成熟，允许创新在没有不可预见的障碍的情况下发展。设计安全的概念可能很陈词滥调，但其原则是相关的——制定网络安全标准、检测漏洞并在一开始就修复问题以防止风险。这将是 2023 年的变革性方法。

消息来源：

https://www.darkreading.com/application-security/spotlight-on-2023-devsecops-trends

汉莎航空 IT 故障导致数千人滞留

德国旗舰航空公司汉莎航空（Lufthansa）的IT故障导致整个集团航空公司的航班延误和中断，全球数千名乘客被困。该公司表示，问题是由德国电信在法兰克福施工期间损坏的几条玻璃纤维电缆引起的。汉莎航空表示，维修工作将持续到周三下午。乘客在社交媒体上表示，故障迫使该公司用笔和纸组织登机，并且无法以数字方式处理乘客的行李。

消息来源：

https://cybernews.com/news/thousands-stranded-over-lufthansa-it-fault/

基于AI的视觉编辑服务泄露用户图像和数据

基于人工智能的工具，如ChatGPT或DALL-E，吸引了大量互联网用户的注意。然而，很少有人会考虑将文本或图像上传到此类工具的安全影响，最近研究团队发现，总部位于香港的基于人工智能的视觉设计平台Cutout.pro通过开放的ElasticSearch实例泄漏了用户生成的内容。Cutout.pro公开了他们使用公司工具创建的客户用户名和图像。此外，该实例还包含关于用户信用数量的信息，一种虚拟在职货币，以及到AmazonS3存储桶的链接，其中存储了生成的图像。目前该公司已关闭了公开的实例。

消息来源：

https://cybernews.com/security/ai-editing-service-leaks-images-customer-data/

现代和起亚汽车爆出逻辑漏洞

韩国汽车制造商现代（Hyundai）和起亚（Kia）给旗下约 830 万辆汽车进行了防盗安全更新（预估有 380 万辆现代汽车和 450 万辆起亚汽车）。此次安全升级的缘由是 2022 年 7 月 TikTok 上疯狂传播的“Kia Challenge”活动，“实验人员”只需一根 USB 线即可盗走现代或者亚汽车，虽然此举本质上是一种偷车行为，但汽车存在安全逻辑漏洞的问题还是引起广泛讨论。

消息来源：

https://www.bleepingcomputer.com/news/security/hyundai-kia-patch-bug-allowing-car-thefts-with-a-usb-cable/

黑客使用谷歌广告伪装成流行应用程序传播 fattalRAT 恶意软件

ESET发布的一份报告中表示，流氓Google Ads广告系列向受感染的计算机提供远程访问木马，例如FatalRAT。这些攻击通过购买广告位以出现在Google搜索结果中，将搜索流行应用程序的用户引导到托管木马安装程序的流氓网站。此后，这些广告已被撤下。“攻击者在用于其网站的域名上花费了一些精力，试图尽可能与官方名称相似，”研究人员说。“在大多数情况下，虚假网站是合法网站的相同副本。”

消息来源：

https://thehackernews.com/2023/02/hackers-using-google-ads-to-spread.html

研究人员将SideWinder集团与多个国家的数十种针对性攻击进行联系

SideWinder 集团被认为是企图袭击阿富汗、不丹、缅甸、尼泊尔和斯里兰等多个实体的民族和国家的行为者。根据Group-IB发布的一份报告称，其目标包括政府，军队，执法部门，银行和其他组织。攻击链从包含附件或陷阱URL的鱼叉式网络钓鱼电子邮件开始，据说SideWinder还为其操作添加了一系列新工具，包括远程访问木马和一个用Python编写的信息窃取器，它能够通过Telegram过滤存储在受害者计算机中的敏感数据。IB集团表示：“由于Telegram的便利性，高级攻击者已经开始倾向于使用Telegram而非传统的命令和控制服务器。”。

消息来源：

https://thehackernews.com/2023/02/researchers-link-sidewinder-group-to.html

PyPI Python包中的恶意代码

恶意行为者在官方 Python 包索引（PyPI）存储库上发布了超过 451 个独特的 Python 包，试图用 clipper 恶意软件感染开发人员系统，其使用域名仿冒来模仿流行的软件包，如beautifulsoup，bitcoinlib，cryptofeed，matplotlib，pandas，pytorch，scikit-learn，scrapy，selenium，solana和tensorflow等。安装后，恶意JavaScript文件会被放置到系统中，并在任何Web浏览会话的后台执行，这是通过在Windows AppData文件夹中创建一个Chromium Web浏览器扩展并向其写入恶意Javascript和manifest.json文件来实现的，该文件请求用户访问和修改剪贴板的权限。

消息来源：

https://thehackernews.com/2023/02/python-developers-beware-clipper.html

TgToxic 恶意软件的自动化框架攻击

研究人员分析恶意软件TgToxic时发现，它是基于一个名为Eacyclick的合法自动化测试框架开发的，该框架支持通过JavaScript编写自动化脚本。该脚本可用于自动劫持Android设备的用户界面（UI），以自动执行诸如监视输入、执行点击和手势等功能。使用该框架，TgToxic可以开发自己的自动化脚本，通过窃取受害者放置用户名和密码的用户凭据来劫持加密货币钱包和银行应用程序。一旦获得了凭证，攻击者就可以在不需要用户批准或确认的情况下进行小额交易。与其他银行恶意软件一样，TgToxic还可以通过短信和安装的应用程序窃取用户的个人信息。

消息来源：

https://www.trendmicro.com/en_us/research/23/b/tgtoxic-malware-targets-southeast-asia-android-users.html

一种新的高度规避的恶意软件- Beep

来自 Minerva 的研究人员最近发现了一种名为 Beep 的新型规避恶意软件，它实现了许多反调试和反沙盒技术。Beep 这个名字来源于使用通过使用 Beep API 函数延迟执行所涉及的技术。几个新样本以.dll、.gif或.jpg文件的形式上传到VirusTotal（VT）。VT将样本标记为“扩展器”和“检测调试环境”，通过深入研究样本发现其使用了大量的规避技术。即尝试实施尽可能多的反调试和反VM（反沙盒）技术。其中之一便是通过使用Beep API功能延迟执行。执行反调试和反虚拟机检查后，恶意软件投放程序会创建新的 Windows 注册表项，并执行存储在密钥中已编码的 PowerShell 脚本。

消息来源：

https://securityaffairs.com/142263/hacking/beep-malware-highly-evasive.html

Decodify递归检测和解码编码字符串

Decodify是一款功能强大的字符串安全处理工具，在该工具的帮助下，广大研究人员能够轻松地以递归的方式检测和解码编码字符串。

消息来源：

https://github.com/s0md3v/Decodify

检测 Sliver 框架横向平移的机会

Sliver 框架迅速蹿红，被越来越多的攻击者所使用。该框架是 Golang 编写的，开源且经常更新。Sliver 支持控制失陷主机的所有基本功能，对检测也构成了巨大的挑战。与各种 C&C 框架相同，攻击者需要在失陷主机上运行恶意软件，并且在后端的攻击基础设施进行监听。

消息来源：

https://www.freebuf.com/articles/network/357393.html

GitLab CE/EE 多个安全漏洞

GitLab发布安全公告，修复了2个存在于GitLab CE/EE中的安全漏洞，分别为GitLab CE/EE命令执行漏洞（CVE-2023-23946）和GitLab CE/EE文件包含漏洞（CVE-2023-22490）；攻击者可以通过在Gitaly环境中覆盖git apply工作树之外的路径实现命令执行、利用存储库包含基于受害者文件系统上已知路径的任意文件实现文件包含。

影响版本：

14.1 <= GitLab CE/EE < 15.6.8

15.7 <= GitLab CE/EE < 15.7.7

15.8 <= GitLab CE/EE < 15.8.2

微软2023年2月安全更新

软发布了2023年2月安全更新补丁，共发布了75个漏洞的补丁程序，其中18个漏洞值得关注，如：.NET 和 Visual Studio 远程代码执行漏洞（CVE-2023-21808）、Microsoft Word 远程代码执行漏洞（CVE-2023-21716）、Microsoft SQL ODBC 驱动程序远程代码执行漏洞（CVE-2023-21718）、Visual Studio 远程代码执行漏洞（CVE-2023-21815、CVE-2023-23381）等。

影响产品：

• Windows 11

• Windows 10

• Windows 8.1

• Windows RT 8.1

• Windows Server 2008

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

• Windows Server 2016

• Windows Server 2019

• Windows Server 2022

• Microsoft Office

• Microsoft 365

• Azure

• Microsoft SharePoint

• Microsoft Exchange

Citrix 权限提升漏洞 

Citrix 发布了安全补丁，已修复虚拟应用程序和桌面以及适用于 Windows 和 Linux 的工作区应用程序中的多个漏洞。包含CVE-2023-24483：该漏洞可能导致本地用户将其权限级别提升到 Citrix Virtual Apps and Desktops Windows VDA 上的 NT AUTHORITYSYSTEM权限和CVE-2023-24484：该漏洞可能导致日志文件写入未授权的目录等。

影响版本：

Workspace App < 2212

2203 LTSR < CU2

1912 LTSR < CU7 Hotfix 2 (19.12.7002)

Apple WebKit任意代码执行漏洞

Apple发布了Apple WebKit的风险通告，漏洞编号为CVE-2023-23529。该漏洞可通过诱骗受害者访问恶意网站，使WebKit处理网页内容时触发，从而在目标系统上实现任意代码执行。漏洞影响了iPhone 8 及更新机型、iPad Pro（所有机型）、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型、运行 macOS Ventura 的 Mac等。

影响版本：

Apple macOS Ventura < 13.2.1

Apple iOS < 16.3.1

iPadOS < 16.3.1

Splunk Enterprise安全特性绕过漏洞

Splunk官方发布安全补丁更新，修复了Splunk Enterprise中的多个安全漏洞，其中包含CVE-2023-22939、CVE-2023-22934、CVE-2023-22935在内的3个安全特性绕过漏洞。攻击者可利用这些漏洞绕过Splunk SPL安全限制机制，进而导致信息泄露或数据损坏。这些漏洞仅影响启用了 Splunk Web 的实例。

影响版本：

Splunk Enterprise <= 8.1.12

Splunk Enterprise 8.2.x <= 8.2.9

Splunk Enterprise 9.0.x <= 9.0.3

Splunk Cloud Platform <= 9.2.2209

Adobe 多个安全漏洞

Adobe 发布了安全公告，修复Photoshop、Illustrator 等产品的中存在的多个安全问题，编号包含：CVE-2023-21574、CVE-2023-21575、CVE-2022-23187等，Illustrator 中的严重缓冲区溢出问题也被一同解决。

影响版本：

Illustrator 2022 < 26.0.3

Illustrator 2021 < 25.4.4

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。