威胁情报分析周报（06/10-06/14）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件109起，同比上周降低7.63%。本周内贩卖数据总量共计40809.9万条；累计涉及8个主要地区，主要涉及6种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、贸易、博彩等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期社工钓鱼类攻击层出不穷，通过与漏洞和新型恶意软件的紧密结合对网络安全造成较大影响，需加强防范；本周内出现的安全漏洞以Veeam Backup Enterprise Manager身份验证绕过漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9739条，主要涉及命令注入、apache log4j2等类型。

01.重点数据泄露事件

厄瓜多尔公民数据泄露

泄露时间：2024-06-13

泄露内容：一份包含500 多万厄瓜多尔公民记录的数据库被公开售卖，据悉，该数据库于 2024 年获取，包含数据共计 5,360,157 条，涉及身份证件、电话、地址、职业等信息。压缩文件大小为 800MB，解压后可达 11.7GB。

泄露数据量：500 W+

关联行业：其他

地区：厄瓜多尔

以色列政府网站数据库泄露

泄露时间：2023-06-12

泄露内容：据悉，www.gov.il 的数据库被上传到暗网论坛，该网站是供以色列公民处理政府事务和官僚任务的网站。数据库疑似因 API 漏洞而泄露，所提供的样本显示泄露的信息包括姓名、电话号码、车牌、出生日期和地址。

泄露数据量：26w+

关联行业：政府

地区：以色列

Metro 医院患者数据泄露

泄露时间：2023-06-11

泄露内容：印度大都会医院集团 （metrohospitals.com） 的患者数据在暗网论坛上售卖。据悉，该数据库大小为 379 GB，包含约 150 万条 IPD 患者私人数据记录和约 130 万条 OPD 患者私人数据记录，这些数据包括患者的姓名、性别、年龄、手机号码、地址和婚姻状况。

泄露数据量：379 G

关联行业：医疗

地区：印度

Frontier Communications用户数据泄露

泄露时间：2024-06-10

泄露内容：2023年6月，Frontier Communications遭受网络攻击，导致约75万名用户的个人数据泄露。Frontier Communications已通知执法部门并聘请专家进行调查。

泄露数据量：75万

关联行业：金融

地区：美国

日本冈山县精神科医疗中心患者信息泄露

‍

泄露时间：2023-06-11

泄露内容：日本冈山县精神科医疗中心遭遇勒索软件攻击，导致其及下属诊所4万名患者的个人信息遭泄露。泄露信息包含姓名、地址、电话号码等数据，可能被黑客用于犯罪活动。

泄露数据量：4w+

关联行业：医疗

地区：日本

02.热点资讯

朝鲜黑客以复杂的网络钓鱼策略瞄准巴西金融科技公司

据报告，自2020年以来，针对巴西的网络钓鱼活动中三分之一来自与朝鲜相关的网络攻击组织。这些组织主要瞄准航空航天、技术和金融服务等领域，特别是加密货币和金融科技公司。其中最突出的是一个被称为UNC4899的组织，他们利用带有恶意软件的特洛伊木马和Python应用程序，通过社交媒体接触目标并发送包含工作机会的文档，如果目标对此感兴趣，威胁行为者会发送第二个文档要求完成编码任务，从而植入恶意软件。另一个被跟踪的朝鲜组织PAEKTUSAN，则通过冒充雇主发送网络钓鱼邮件，诱骗员工访问含有恶意软件的文档。

消息来源：

https://thehackernews.com/2024/06/north-korean-hackers-target-brazilian.html

Microsoft推迟了 Copilot+电脑的 AI 召回功能

微软推迟了在 Copilot+ PC 上推出原定于2024年6月18日推广发布的人工智能 （AI） 调用功能，该功能旨在截取用户在电脑上执行的所有操作的屏幕截图，并使用设备上的 AI 模型将其转换为可搜索的数据库。由于被认为存在隐私和安全风险，以及可能被不法分子利用窃取敏感信息，微软最终决定将其先在Windows Insider Program中提供预览版，以听取更多反馈，确保满足质量和安全性标准。

消息来源：

https://thehackernews.com/2024/06/microsoft-delays-ai-powered-recall.html

恶意软件活动演变为针对 Windows、Android 和 macOS的攻击

一个代号为“天体力量行动”的长期恶意软件活动中使用了名为 GravityRAT 的 Android 恶意软件和代号为 HeavyLift 的基于 Windows 的恶意软件加载器，并由 GravityAdmin 这一独立工具进行管理。GravityRAT于 2018 年首次曝光，是一种通过鱼叉式网络钓鱼电子邮件针对印度实体的 Windows 恶意软件，它拥有一套不断发展的功能，可以从受感染的主机中获取敏感信息。当前，该恶意软件被移植到 Android 和 macOS 操作系统上，使其成为一种多平台工具。同时Android 版 GravityRAT被伪装成云存储、娱乐和聊天应用程序来攻击印度和巴基斯坦空军的军事人员。GravityAdmin 是一个二进制文件，它通过与 GravityRAT 和 HeavyLift 的命令和控制 （C2） 服务器建立连接来控制受感染的系统，并包含多个内置用户界面 （UI），这些界面与恶意操作员正在实施的特定代号活动相对应。

消息来源：

https://thehackernews.com/2024/06/pakistan-linked-malware-campaign.html

加拿大和英国启动对23andMe黑客攻击的调查

近期加拿大和英国的隐私监管机构对基因检测公司23andMe展开联合调查，应对该公司在2023年4月至9月期间发生的重大数据泄露事件。该事件导致约690万用户的敏感信息泄露，包括姓名、出生年份、亲属关系、DNA 百分比以及血统和位置信息。这引发了人们对数据安全和隐私的严重担忧。联合调查的目的是评估数据暴露的程度、对受害者的潜在伤害，以及23andMe是否具备充分的保护措施。此外，还将审查公司是否按照相关法律要求及时通知了受影响个人和监管机构。调查结果可能会对23andMe及其他处理敏感基因数据的公司带来重大影响，促进更严格的监管要求和安全措施。

消息来源：

https://cybersecuritynews.com/investigation-over-23andme-hack/

03.热点技术

网络犯罪分子使用 PhantomLoader 分发恶意软件

根据调查，一种名为 SSLoad 的新型恶意软件正在通过一个名为 PhantomLoader 的加载程序进行传播。该加载程序利用二进制修补和自修改技术，将恶意代码植入合法的 DLL 文件中，以逃避检测。研究人员指出，SSLoad 可能被提供给其他威胁行为者作为恶意软件即服务（MaaS）使用。它通过网络钓鱼渗透受害系统，进行侦察并进一步部署 Cobalt Strike 等其他恶意软件。值得注意的是，SSLoad 具有动态字符串解密和反调试功能，体现了其复杂性和适应性。总的来说，这种新型恶意软件展示了其收集情报、逃避检测以及部署其他恶意软件的能力，是值得密切关注的威胁。

消息来源：

https://thehackernews.com/2024/06/cybercriminals-employ-phantomloader-to.html

黑客使用 OTP 机器人绕过双因素身份验证

双因素身份验证 （2FA） 是一种安全方法，需要用户访问进行两个验证步骤，通常通过各种渠道提供一次性密码 （OTP） 来实现。为了绕过 2FA，攻击者利用社会工程学诱骗用户透露 OTP，并利用包括 OTP 机器人和网络钓鱼工具包管理工具自动执行认证操作。这种 OTP 机器人提供了丰富的功能，如伪造来电号码、自定义语音等，以增加欺骗的真实性，与此同时，攻击者利用网络钓鱼手法，制作模仿合法网站的虚假登录页面，诱骗受害者输入账号密码。这些被盗的凭据和 OTP 密码可让攻击者绕过 2FA 机制，登录并窃取受害者资金。据SecureList报告，近期已发现 1200 多个网络钓鱼页面和近 7 万次的尝试访问，可见这种攻击手法正在迅速蔓延。这些新型攻击手段利用社会工程学和定制化技术，对企业和个人构成重大威胁，需要引起高度重视。

消息来源：

https://cybersecuritynews.com/hackers-otp-bots-bypass-2fa/

新型跨平台恶意软件“Noodle RAT”

Noodle RAT 是一种新兴的跨平台恶意软件，它被归类为 Gh0st RAT 和 Rekoobe 的变种。Noodle RAT，也称为 ANGRYREBEL 和Nood RAT，有 Windows 和 Linux 两种版本，据悉至少从 2016 年 7 月开始投入使用。Noodle RAT 的 Windows 版本是一种内存模块化后门，已被Iron Tiger和Calypso等黑客团队使用，该后门具有 shellcode 基础，可通过加载程序启动，支持下载/上传文件、能充当 TCP 代理甚至删除自身的命令。Noodle RAT 的 Linux 版本则能够启动反向 shell、下载/上传文件、安排执行和启动 SOCKS 隧道，攻击利用面向公众的应用程序中已知的安全漏洞来破坏 Linux 服务器并放置 Web shell 以进行远程访问和恶意软件传送。尽管后门命令存在差异，但两个版本在命令和控制 （C2） 通信方面共享相同的代码，并使用类似的配置格式。

消息来源：

https://thehackernews.com/2024/06/new-cross-platform-malware-noodle-rat.html

黑客滥用 Windows 搜索功能部署恶意软件

恶意软件活动使用 HTML Windows 搜索来传播恶意软件，攻击通过一封带有压缩文档的电子邮件发起，该压缩文档嵌入了恶意 HTML 文件，文件看起来像是日常使用的正常文档，它可以减小文件大小以加快传输速度，允许逃避忽略压缩内容的扫描仪的检查，并绕过基本的安全措施。攻击者构建的搜索查询会让 Windows 资源管理器执行恶意搜索，并通过恶意 HTML文件将浏览器重定向到恶意URL，或提供可诱导用户手动点击的链接，该攻击手法相当复杂，还利用了 WebDAV 等 Web 协议，使恶意文件伪装成合法资源，提高了可信度。这种社会工程攻击不使用任何自动化，而是利用用户对界面的信任将恶意活动伪装成打开附件类日常工作流程。

消息来源：

https://cybersecuritynews.com/hackers-abuse-windows-search/

MultiRDP 恶意软件允许多个攻击者同时连接

研究人员发现 Kimsuky 和 Andariel 组织在攻击中使用 MultiRDP 恶意软件启用多个 RDP 连接和Metasploit Meterpreter后门的策略，同时为了横向移动，威胁行为者通过软件更新程序更新了一项名为“mozillasvcone”的服务，该程序加载了一个能在内存中解密并执行文件的加密 DLL，进一步部署DurianBeacon RAT 后门程序。随后攻击者改用SmallTiger恶意下载器作为投放载荷，并在GitHub托管了相关发行版。面对未知的电子邮件附件和下载的可执行文件应时刻保持警惕，因为它们可能包含 SmallTiger等恶意软件。

消息来源：

https://cybersecuritynews.com/multirdp-malware-same-time/

04.热点漏洞

微软月度安全更新

微软发布了6月安全更新，修复了多款产品存在的81个安全漏洞。受影响的产品包括：Windows 11 22H2、Windows 11、Windows Server 2022、Windows 10 22H2、Windows 10 21H2、Windows 10 1809 & Windows Server 2019、Server 2012 R2、Windows Server 2012和Microsoft Office-related software。漏洞类型包括特权提升漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞等，需及时更新安全补丁。

安全更新下载链接：

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jun

JetBrains IntelliJ IDE信息泄露漏洞

JetBrains IntelliJ IDE存在信息泄露漏洞（CVE-2024-37051），由于JetBrains GitHub 插件中存在漏洞，导致在 IDE中使用 GitHub 拉取请求功能时可能将访问令牌暴露给第三方主机，从而泄露敏感信息。JetBrains IntelliJ是一款功能强大的集成开发环境（IDE），专为Java开发而设计，支持多种编程语言和技术栈。

影响版本：

JetBrains IDE 2023.1 及以下版本中：

IntelliJ IDEA 2023.1.7， 2023.2.7，2023.3.7，2024.1.3，2024.2 EAP3

Aqua 2024.1.2

CLion 2023.1.7， 2023.2.4， 2023.3.5， 2024.1.3， 2024.2 EAP2

DataGrip 2023.1.3， 2023.2.4， 2023.3.5， 2024.1.4

DataSpell 2023.1.6， 2023.2.7， 2023.3.6， 2024.1.2， 2024.2 EAP1

GoLand 2023.1.6， 2023.2.7， 2023.3.7， 2024.1.3， 2024.2 EAP3

MPS 2023.2.1， 2023.3.1， 2024.1 EAP2

PhpStorm 2023.1.6， 2023.2.6， 2023.3.7， 2024.1.3， 2024.2 EAP3

PyCharm 2023.1.6， 2023.2.7， 2023.3.6， 2024.1.3， 2024.2 EAP2

Rider 2023.1.7， 2023.2.5， 2023.3.6， 2024.1.3

RubyMine 2023.1.7，2023.2.7，2023.3.7，2024.1.3，2024.2 EAP4

RustRover 2024.1.1

WebStorm 2023.1.6，2023.2.7，2023.3.7，2024.1.4

Arm Mali GPU Kernel Driver释放后使用漏洞

Arm于2024年6月11日披露了一个影响其Bifrost和Valhall GPU内核驱动程序的Use-After-Free漏洞（CVE-2024-4610）。该漏洞存在于r34p0到r40p0版本的驱动程序中，允许本地非特权用户利用错误的GPU内存处理操作访问已释放的内存，这可能导致信息泄露或任意代码执行。目前该漏洞已发现在野利用，用户应尽快将驱动程序更新到最新版本。 

影响版本：

Arm Bifrost GPU Kernel Driver r34p0 - r40p0

Arm Valhall GPU Kernel Driver r34p0 - r40p0

Veeam Backup Enterprise Manager身份验证绕过漏洞

安全研究人员发现Veeam Backup Enterprise Manager（VBEM）存在一个严重的身份验证绕过漏洞（CVE-2024-29849），CVSS评分为9.8。该漏洞存在于Veeam.Backup.Enterprise.RestAPIService.exe服务，影响Veeam Backup Enterprise Manager 12.1.2.172之前的版本。未经身份验证的远程攻击者可利用该漏洞以任何用户身份登录VBEM Web界面，从而获得系统访问权限。VBEM专为大型企业设计，以简化和集中化备份管理，它提供了一个基于 Web 的控制台，允许用户管理和监控整个 Veeam 环境中的备份活动。

影响版本：

Veeam Backup Enterprise Manager < 12.1.2.172

用友NC oacoSchedulerEventsSQL注入漏洞

用友NC是由用友公司开发的一套面向大型企业和集团型企业的管理软件。用友NC存在SQL注入漏洞，该漏洞源于/portal/pt/oacoSchedulerEvents/isAgentLimit接口中的pk_flowagent参数存在sql注入漏洞，攻击者可通过该漏洞获取数据库敏感数据。

影响版本：

用友网络科技股份有限公司-NC6.5受影响。