暗网数据及攻击威胁情报分析周报（12/25-12/29)

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件119起，同比上周减少41.17%。本周内贩卖数据总量共计49805.65万条；累计涉及12个主要地区，涉及9种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及通信、社交、金融等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期新型恶意软件持续更新，且分布范围持续扩大；本周内出现的安全漏洞以Apache OfBiz危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9927条，主要涉及命令注入、SQL注入、漏洞利用等类型。

曼谷航空数据泄露

泄露时间：2023-12-27

泄露内容：12月27日，曼谷航空(Bangkok Airways) 106.5GB 数据被泄露，包含122000份文件，包括机场、就业和合同信息，数据可全量获取。

泄露数据量：106.5GB

关联行业：运输业

地区：曼谷

英国技术公司 ULTRA数据泄露

泄露时间：2023-12-27

泄露内容：12 月 27 日，Ultra Intelligence & Communications 公司 30GB 数据遭到泄露，数据包含审核数据、财务数据、项目数据、员工数据、合同数据、公司和组织列表。

泄露数据量：30G

关联行业：IT

地区：英国

富达国民金融子公司数据泄露

泄露时间：2023-12-27

泄露内容：美国最大的产权保险公司富达国民金融（Fidelity National Financial（”FNF”））子公司向所在州监管机构报告了一起数据泄露事件，并指出有 1316938 人的数据信息被入侵其母公司的威胁攻击者盗取。

泄露数据量：1316938 人

关联行业：金融

地区：美国

Abdali 医院数据泄露

泄露时间：2023-12-26

泄露内容：Rhysida 勒索软件组织声称已经入侵了 Abdali 医院，并将其添加到该组织的 Tor 泄露站点的受害者名单中。该团伙发布了窃取文件的图片作为黑客攻击的证据。泄露的图片包括身份证、合同等内容。

泄露数据量：未公开

关联行业：医院

地区：约旦

Mint Mobile数据泄露

泄露时间：2023-12-25

泄露内容：近日，Mint Mobile 披露了一起数据泄露事件，此次泄露的数据包括客户个人信息以及可用于 SIM 卡交换攻击的数据。此次泄露的客户数据包括：姓名、电话号码、电子邮件地址、SIM 卡序列号和 IMEI 号（类似于序列号的设备标识符）。

泄露数据量：未公开

关联行业：运营商

地区：美国

Cloud Atlas 针对俄罗斯农业的鱼叉式网络钓鱼攻击

被称为Cloud Atlas 的黑客组织与一系列针对俄罗斯企业的鱼叉式网络钓鱼攻击有关，根据独立网络安全公司 FACCT 的一份报告，Cloud Atlas 黑客组织的攻击目标包括一家俄罗斯农工企业和一家国有研究公司。Cloud Atlas 是一个来源不明的网络间谍组织，至少从 2014 年开始活跃。该黑客组织也被称为 Clean Ursa、Inception、Oxygen 和 Red October，主要针对俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚。

消息来源：

https://thehackernews.com/2023/12/cloud-atlas-spear-phishing-attacks.html

美国俄亥俄州某彩票机构遭受勒索软件攻击

俄亥俄州彩票机构在周三发布的新闻稿中表示，目前尚无法提供移动兑奖和 599 美元以上的奖金兑奖服务，KENO、Lucky One 和 EZPLAY 渐进式大奖的中奖号码也无法在其网站或移动应用程序上查询，但用户可以在任何俄亥俄州彩票零售商处查询自己的中奖信息。

消息来源：

https://www.bleepingcomputer.com/news/security/ohio-lottery-hit-by-cyberattack-claimed-by-dragonforce-ransomware/#google_vignette

GTA 5 完整源代码被公开泄露

据 GTA Focal 报道，《GTA 5》的源代码在圣诞节前夕遭泄露，该文件包大小约为 4GB，包含大量 RAGE 引擎文件、概念和参考图像，还有《GTA5》圣安地列斯的早期地图。游戏源代码链接被黑客分发到了Discord、某暗网网站和一个 Telegram 频道。

消息来源：

https://www.bleepingcomputer.com/news/security/gta-5-source-code-reportedly-leaked-online-a-year-after-rockstar-hack/

Google Cloud 解决了影响 Kubernetes 服务的安全缺陷

Google Cloud 已经解决了其平台中的一个中度安全漏洞，该漏洞可能被已经有权访问 Kubernetes 集群的攻击者滥用以升级其权限。该公司在 12 月发布的公告中表示：“入侵Fluent Bit日志容器的攻击者可以将该访问权限与Anthos Service Mesh（在启用它的集群上）所需的高权限结合起来，以升级集群中的权限。”

消息来源：

https://thehackernews.com/2023/12/google-cloud-resolves-privilege.html

Carbanak 银行恶意软件以新的勒索软件策略重新出现

据观察，被称为Carbanak的银行恶意软件被用于勒索软件攻击，其策略已更新。网络安全公司 NCC Group在对 2023 年 11 月发生的勒索软件攻击的分析中表示：“该恶意软件已经适应了攻击供应商和技术，以使其有效性多样化。”

消息来源：

https://thehackernews.com/2023/12/carbanak-banking-malware-resurfaces.html

苹果处理器最复杂的后门

针对 Apple iOS 设备的三角测量行动恶意软件攻击利用了前所未见的漏洞，甚至可以绕过该公司建立的基于硬件的关键安全保护。卡巴斯基在2023 年初发现了这一活动，并将其描述为迄今为止观察到的“最复杂的攻击链”。据信该活动自 2019 年以来一直活跃。该漏洞利用活动涉及使用四个零日漏洞，这些漏洞被形成一个链，以获得前所未有的访问级别和后门目标设备，运行iOS版本高达iOS 16.2，最终目标是收集敏感信息。

消息来源：

https://thehackernews.com/2023/12/most-sophisticated-iphone-hack-ever.html

新型恶意软件 Xamalicious 已攻击超过 327,000 台设备

已发现一种新的 Android 后门，该后门具有强大的功能，可以在受感染的设备上执行一系列恶意操作。该恶意软件被 McAfee 移动研究团队称为 Xamalicious ，之所以如此命名，是因为它使用名为 Xamarin 的开源移动应用程序框架开发，并滥用操作系统的可访问性权限来实现其目标。它还能够收集有关受感染设备的元数据，并联系命令和控制（C2）服务器以获取第二阶段有效载荷，但前提是要确定它是否符合要求。

消息来源：

https://thehackernews.com/2023/12/new-sneaky-xamalicious-android-malware.html

完全同态加密技术有望因计算芯片的突破得到广泛应用

得益于完全同态加密 ( FHE ) 技术， 计算机安全领域正在取得突破，该技术允许程序在不解密的情况下处理加密数据。这一进展为在不泄露个人数据的情况下进行医学研究和患者护理、在不获取银行信息的情况下有效打击洗钱、在不泄露驾驶员数据的情况下训练自动驾驶汽车等领域开辟了前景。

消息来源：

https://www.anquanke.com/post/id/292222

新的Rugmi 恶意软件程序激增，每日检测到数百次

威胁者正在使用新的恶意软件加载程序进行信息窃取，例如 Lumma Stealer（又名 LummaC2）、Vidar、RecordBreaker（又名 Raccoon Stealer V2）和Rescoms。网络安全公司 ESET 正在追踪名为Win/TrojanDownloader.Rugmi 的木马。该公司表示：“该恶意软件是一个具有三种类型组件的加载程序：一个下载加密有效负载的下载程序，一个从内部资源运行有效负载的加载程序，以及另一个从磁盘上的外部文件运行有效负载的加载程序。”

消息来源：

https://thehackernews.com/2023/12/new-rugmi-malware-loader-surges-with.html

Secure Gradient Boosting开放协议正式发布

XGBoost算法属于一种Boosting算法，而Secure Gradient Boosting（简称SGB）算法则是将XGBoost算法扩展到联邦学习任务中的变体，在联合建模场景中有较广泛的应用。《隐私计算 跨平台互联互通 开放协议 第4部分：Secure Gradient Boosting》，规定了异构隐私计算平台间的SGB算法的算法流程和传输层参考实现，对算法流程的各阶段、通信内容和通信格式等进行规范，具备协议公开透明、接入方易扩展、算法安全可控等特点。

消息来源：

https://www.secrss.com/articles/62221

Apache OfBiz漏洞

SonicWall 威胁研究团队在基于 Java 的 Web 框架 Apache OFBiz 中发现了身份验证绕过漏洞。该漏洞的编号为 CVE-2023-51467，CVSS 评分为“严重”，严重程度为 9.8。利用该漏洞的攻击者可能会绕过身份验证来实现简单的服务器端请求伪造（SSRF）。

影响版本：

该漏洞影响 18.12.11 之前的 Apache OFBiz 版本。

Adobe ColdFusion漏洞

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

影响版本：

Adobe ColdFusion 2023 <=Update 5

Adobe ColdFusion 2021 <=Update 11

Adobe Media Encoder越界读取漏洞

Adobe Media Encoder是美国奥多比（Adobe）公司的一款音、视频编码应用程序。Adobe Media Encoder存在越界读取漏洞，攻击者可利用此漏洞在系统上执行任意代码。

影响版本：

• Adobe Media Encoder <=24.0.2

• Adobe Media Encoder <=23.6

IBM AIX and VIOS权限提升漏洞

IBM AIX是美国国际商业机器（IBM）公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM AIX and VIOS存在权限提升漏洞，攻击者可利用该漏洞提升权限或导致拒绝服务。

影响版本：

• IBM IBM AIX 7.2

• IBM IBM AIX 7.3

• IBM IBM VIOS 3.1

SAP NetWeaver ABAP Server操作系统命令注入漏洞

SAP NetWeaver ABAP Server是德国思爱普（SAP）公司的一个用作SAP产品的Web应用程序服务器。SAP NetWeaver ABAP Server存在操作系统命令注入漏洞，该漏洞源于应用未能正确过滤特殊字符和命令。攻击者可利用该漏洞将任意操作系统命令注入到通用扩展中不受保护的参数中。

影响版本：

• SAP SAP NetWeaver ABAP Server 600

• SAP SAP NetWeaver ABAP Server 602

• SAP SAP NetWeaver ABAP Server 603

• SAP SAP NetWeaver ABAP Server 604

• SAP SAP NetWeaver ABAP Server 605

• SAP SAP NetWeaver ABAP Server 606

• SAP SAP NetWeaver ABAP Server 617

• SAP SAP NetWeaver ABAP Server 618

• SAP SAP NetWeaver ABAP Server 800

• SAP SAP NetWeaver ABAP Server 802

• SAP SAP NetWeaver ABAP Server 803

• SAP SAP NetWeaver ABAP Server 804

• SAP SAP NetWeaver ABAP Server 805

• SAP SAP NetWeaver ABAP Server 806

• SAP SAP NetWeaver ABAP Server 807

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。