威胁情报分析周报（06/03-06/07）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件118起，同比上周增加12.38%。本周内贩卖数据总量共计51076.6万条；累计涉及12个主要地区，主要涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及服务、贸易、社交等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期多款恶意软件升级换新，从僵尸网络到社工钓鱼的多种攻击方式中均有体现，需持续关注其动态；本周内出现的安全漏洞以Zyxel NAS远程代码执行漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9799条，主要涉及命令注入、apache log4j2、漏洞利用等类型。

01.重点数据泄露事件

美国公民数据泄露

泄露时间：2024-06-03

泄露内容：一家名为National Public Data的公司遭到黑客攻击，导致数十亿条美国公民的个人信息被泄露，泄露的数据包括姓名、家庭住址、社保号码等敏感信息。攻击者原本计划以3,500,000美元的价格出售这些数据，但后来决定免费公开，当前National Public Data尚未就此事作出任何回应。

泄露数据量：10亿+

关联行业：IT

地区：美国

美国大学生信息泄露

泄露时间：2024-06-03

泄露内容：美国毕业照制作商Digital Pix & Composites由于其Microsoft Azure Blob在线存储服务权限控制不当导致数千名美国大学生的个人详细信息，包括姓名、家庭地址和就读院校等遭到泄露。研究人员发现此次数据泄露涉及22所美国大学的约43,000名学生，这可能使学生遭受网络钓鱼、社会工程攻击和人肉搜索等威胁。

泄露数据量：4.3万

关联行业：教育

地区：美国

喜力员工数据泄露

泄露时间：2023-06-02

泄露内容：跨国啤酒公司喜力遭遇数据泄露事件，某不明身份的威胁参与者在黑客论坛上出售8,174 名员工的个人信息，数据包括员工的 ID、用户 ID、姓名、电子邮件地址和工作角色等。该公司曾在2023 年遭受第三方服务提供商数据泄露，影响了多达 22,000 名客户的个人信息。

泄露数据量：8,174

关联行业：食品

地区：荷兰

订餐系统数据泄露

泄露时间：2023-06-05

泄露内容：由 Paketle Lojistik Hizmetleri 公司运营的公开数据平台被多家受欢迎的土耳其食品配送服务用于传递订单信息。由于该平台未经身份验证即可访问，导致了大量敏感客户信息的泄露，包括姓名、住址、电话号码等，该平台每分钟都会传输新的订单数据，估计泄露的订单数量可能超过300万。

泄露数据量：300万+

关联行业：食品

地区：土耳其

02.热点资讯

TikTok 帐户遭零点击攻击

TikTok 承认其存在一个安全问题，该问题已被威胁行为者利用来控制平台上的知名账户。该安全问题利用了消息传递组件中的零日漏洞，使得恶意代码可以在消息打开时立即执行，目前尚不清楚受影响用户的具体数量，但 TikTok 表示公司已采取预防措施阻止此次攻击并防止此类攻击再次发生。当前，印度、尼泊尔、塞内加尔、索马里和吉尔吉斯斯坦等国家已对 TikTok 实施了类似的禁令，美国、英国、加拿大、澳大利亚和新西兰等其他几个国家也禁止在政府设备上使用该应用程序。

消息来源：

https://thehackernews.com/2024/06/celebrity-tiktok-accounts-compromised.html

思科修复了Webex 中的安全漏洞

2024年5月初，德国媒体报道威胁者利用Cisco Webex软件中的漏洞访问了德国政府的内部会议。经研究，思科发现了 Cisco Webex Meetings 中的安全问题，由于法兰克福数据中心托管的部分 Cisco Webex 部署中的会议信息和元数据存在未授权访问，导致攻击者可以研究并通过利用不安全的直接对象引用(IDOR)漏洞访问内部Webex会议。思科表示，当前该漏洞已得到解决并在全球范围内实施修复，公司将继续监控未经授权的活动并通过常规渠道提供更新服务。

消息来源：

https://securityaffairs.com/164173/breaking-news/cisco-webex-flaws-german-government-meetings.html

Synnovis 遭勒索软件攻击导致伦敦多家医院受影响

Synnovis 是盖伊和圣托马斯 NHS 基金会信托、伦敦国王学院医院 NHS 信托以及欧洲最大的医疗检测和诊断提供商 SYNLAB的病理学合作伙伴。2024年6月3日，Synnovis遭受了勒索软件网络攻击，影响了其所有 IT 系统，导致盖伊医院、圣托马斯医院、伦敦国王学院医院和伦敦东南部初级保健的服务产生了重大影响。当前，专家们正在进行全面的事件评估并采取适当措施遏制该事件所产生的影响。

消息来源：

https://securityaffairs.com/164142/cyber-crime/ransomware-attack-synnovis-london-hospitals.html

黑客利用新型恶意软件攻击韩国研究机构

黑客组织Andariel(也被称为Nickel Hyatt、Onyx Sleet或Silent Chollima)针对韩国的教育机构、制造公司和建筑企业发动了新的攻击。这次攻击使用了一种名为Dora RAT的基于Golang的新型后门程序，该后门具有远程控制、文件传输等功能。攻击者利用2013版本Apache Tomcat服务器中的漏洞来分发恶意软件，并使用已知的恶意软件变体Nestdoor和先前未披露的Dora RAT进行攻击。Dora RAT采用英国软件开发商证书进行签名，以提高恶意软件的隐藏性，同时支持反向 shell 和文件下载/上传功能。

消息来源：

https://thehackernews.com/2024/06/andariel-hackers-target-south-korean.html

03.热点技术

DarkGate 恶意软件升级换新

网络攻击者正在将 DarkGate 恶意软件即服务 (MaaS) 操作从 AutoIt 脚本转向 AutoHotkey 机制，以提供最后阶段的攻击，DarkGate是一款功能齐全的远程访问木马 (RAT)，集成了凭据盗窃、键盘记录、屏幕捕获和远程桌面等各种模块。最新版本的 DarkGate 对其功能进行了升级，切换到使用 AutoHotKey 脚本启动，新增录音、鼠标控制和键盘管理等新命令并绕过了 Microsoft Defender SmartScreen 保护，与此同时权限升级和加密挖掘功能的相关命令疑似被删除，可能是为了降低检测风险。

消息来源：

https://thehackernews.com/2024/06/darkgate-malware-replaces-autoit-with.html

黑客使用 MS Excel 宏在乌克兰发起多阶段恶意软件攻击

近期，发现一种针对乌克兰的新型复杂网络攻击，目的是部署控制软件并夺取主机的控制权。攻击以含有恶意VBA宏的Microsoft Excel文档为起点，在受害者启用宏后，会下载一个经过混淆的DLL下载器，下载器首先检测主机是否有反病毒或监控软件进程，若未匹配到相关信息则会联系远程服务器来获取下一阶段编码的有效载荷，最终部署Cobalt Strike Beacon，并与 C2 服务器（“simonandschuster[.]shop”）建立联系，整个攻击过程采用了基于地理位置的检查、编码隐藏、自我删除等规避技术，力图逃避安全产品的检测和分析。

消息来源：

https://thehackernews.com/2024/06/hackers-use-ms-excel-macro-to-launch.html

欧盟银行客户遭V3B 网络钓鱼工具包攻击

一个新的网络犯罪集团正在提供网络钓鱼即服务 (PhaaS) 平台，为诈骗者配备工具（称为“V3B”）以攻击欧盟的银行客户。该工具旨在拦截敏感信息，包括银行凭证、信用卡、个人信息以及 OTP/TAN 代码，除了传统的令牌（如短信代码）外，还支持二维码和 PhotoTAN 方法（在德国和瑞士广泛使用），这表明欺诈者正在监视银行实施的最新 MFA/2FA 技术，并试图利用可能的绕过方法来欺骗客户。V3B 网络钓鱼工具包具有定制和本地化模板，以模仿欧盟主要网上银行、电子商务、加密货币提供商和支付系统的身份验证和验证流程。该组织在 Telegram 上拥有超过 1,255 名成员，这些成员通过SIM 卡交换、银行和信用卡欺骗等手段进行攻击。

消息来源：

https://securityaffairs.com/164130/cyber-crime/v3b-phishing-kit.html

黑客利用身份验证工具通过僵尸网络传播恶意软件

新的僵尸网络利用 NanoCore 和Emotet等恶意软件来扩展其功能，超越传统的 DDoS 攻击。该僵尸网络会感染主机并下载和安装恶意软件，包括最近发现的 NiceRAT 和 2019 年首次出现的Nitol 恶意软件。NiceRAT 采用反调试和虚拟机检测来收集系统和浏览器信息（包括加密货币详细信息）并将其反馈给攻击者，其利用 Discord 作为C＆C 服务器并通过 webhook 进行通信，攻击加密货币钱包并窃取用户信息进行未经授权的访问，并最终达到将窃取的数据上传到攻击者服务器的目的。总的来说，这些新型僵尸网络表现出更加复杂和持续的攻击特性，不仅可进行DDoS，还可窃取用户数据，甚至部署其他恶意软件，给安全防御带来了更大的挑战。

消息来源：

https://cybersecuritynews.com/nicerat-malware-botnet-attack/

04.热点漏洞

Apache OFBiz路径遍历漏洞

近日，安全研究人员监测到Apache OFBiz中存在一个路径遍历漏洞（CVE-2024-36104），由于对HTTP请求中的URL特殊字符限制不当，威胁者可构造恶意请求利用该漏洞，成功利用可能导致远程代码执行。Apache OFBiz是一个著名的电子商务平台，提供了创建基于最新J2EE/ XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。

影响版本：

Apache OFBiz < 18.12.14

Zyxel NAS远程代码执行漏洞

Zyxel NAS326 和 NAS542 固件设备中的CGI 程序file_upload-cgi中存在远程代码执行漏洞，可能允许未经身份验证的攻击者通过将精心设计的配置文件上传到易受攻击的设备来执行任意代码。Zyxel NAS系列产品是一款高性能的网络附加存储设备，专为家庭和小型办公室用户设计，它提供了一个简便而强大的数据存储和共享解决方案。

影响版本：

NAS326固件< V5.21(AAZF.17)C0

NAS542 固件< V5.21(ABAG.14)C0

Progress Telerik Report Servers身份验证绕过漏洞

Progress Software的Telerik Report Server是一款功能强大的报表服务器解决方案，具备全面的报告管理功能，可帮助组织创建、部署、交付和管理报告。2024年6月5日，安全研究人员发现Progress Telerik Report Servers身份验证绕过漏洞（CVE-2024-4358）的技术细节及PoC在互联网上公开，威胁者可组合利用CVE-2024-4358和CVE-2024-1800实现远程代码执行，由于缺少对当前安装步骤的验证，可能导致远程威胁者绕过身份验证访问Telerik Report Server 受限功能，并未授权创建管理员帐户。

影响版本：

Progress Software Telerik Report Server <= 2024 Q1 (10.0.24.305)

SAMSUNG Mobile devices 安全漏洞

AMSUNG Mobile devices是韩国三星（SAMSUNG）公司的一系列的三星移动设备，包括手机、平板等。SAMSUNG Mobile devices SMR Jun-2024 Release 1  之前的 SemClipboard 中存在不当的调用者验证漏洞，允许本地攻击者访问任意文件。

影响版本：

SAMSUNG Mobile devices SMR Jun-2024 Release 1 之前版本