威胁情报分析周报（06/17-06/21）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件237起，同比上周增加117.43%。本周内贩卖数据总量共计88635.7万条；累计涉及12个主要地区，主要涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、贸易、博彩等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期随着恶意软件手段的日益创新和多样化，网络安全策略也需同样具备创新性和适应性；本周内出现的安全漏洞以VMware vCenter Server堆溢出漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8971条，主要涉及命令注入、apache log4j2等类型。

01.重点数据泄露事件

咨询公司埃森哲（Accenture）遭遇数据泄露

泄露时间：2024-06-19

泄露内容：暗网论坛上发布帖子称这家咨询巨头因第三方原因导致数据泄露事件，共有32,826名员工/前员工的个人信息被泄露，帖子分享了部分数据样本，根据该样本显示，被窃取的数据包括电子邮件地址、姓名和日期。

泄露数据量：3W+

关联行业：咨询

地区：爱尔兰

澳大利亚票务供应商TEG客户记录泄露

泄露时间：2024-06-20

泄露内容：一名网络攻击者称拥有澳大利亚票务供应商TEG（teg.com.au）的一份数据库，其中包含3000万用户记录。据悉，数据包含详细的客户资料，涉及姓名、性别、出生日期、用户名、密码、账户状态信息、时间戳、登录详细信息。

泄露数据量：3000W+

关联行业：IT

地区：澳大利亚

T-Mobile电信公司数据泄露

泄露时间：2024-06-19

泄露内容：黑客组织IntelBroker分享了一份来自电信巨头T-Mobile的数据泄露文件，被泄露的数据包括源代码、SQL文件、图片、terraform数据、t-mobile.com证书、siloprograms等。

泄露数据量：未公布

关联行业：电信

地区：德国、美国

AMD机密信息泄露

泄露时间：2024-06-17

泄露内容：名为IntelBroker的威胁行为者正在出售2024年6月从AMD公司获取的数据。据悉，此次数据泄露涉及AMD未来产品的信息、详细的技术规格、员工和客户数据库、ROM、源代码、固件和财务记录等。黑客声称，员工数据库包含用户ID、姓名、职位、业务电话号码、电子邮件地址和员工状态等个人和职业信息。

泄露数据量：未公布

关联行业：半导体

地区：美国

Total Fitness员工信息泄露

泄露时间：2024-06-17

泄露内容：健身俱乐部连锁商 Total Fitness 发现了一起严重的数据泄露事件。安全研究员发现他们的一个不受密码保护的数据库中包含了474,651 张敏感图像，涉及会员、子女和员工的个人信息和敏感文件，如护照、信用卡和水电费账单。

泄露数据量：47W+

关联行业：体育

地区：英国

02.热点资讯

Meta因隐私问题暂停使用欧盟用户的数据训练AI

Meta原计划使用Facebook和Instagram上成年用户共享的公共内容来训练其大型语言模型，爱尔兰数据保护委员会考虑数据安全等问题要求mate暂停在欧盟/欧洲经济区(EEA)使用Facebook和Instagram用户共享的公共内容来训练其大型语言模型的计划。爱尔兰数据保护委员会称将与欧盟其他数据保护机构继续就此问题与Meta进行沟通。Meta表示，这一延期将使该公司有时间回应英国信息专员办公室（ICO）提出的要求，然后再开始培训。

消息来源：

https://securityaffairs.com/164652/laws-and-regulations/meta-postponing-training-llm-eu-data.html

加密货币交易所Kraken遭遇价值300万美元的盗窃

Kraken透露，一位匿名的安全研究员利用其平台的一个zero-day漏洞窃取了价值300万美元的数字资产，并且拒绝归还这些资产。Kraken报告称，这一漏洞源于最近的一项用户界面更改，允许客户在资金被确认之前存入资金并使用，公司强调该问题并未对客户资产造成风险。这位“安全研究员”将这一漏洞透露给了另外两人，他们与这位“安全研究员”共事，并通过这一漏洞非法获得近300万美元的资金。

消息来源：

https://thehackernews.com/2024/06/kraken-crypto-exchange-hit-by-3-million.html

哈马斯黑客向埃及和巴勒斯坦散布间谍软件

与哈马斯有关的组织“Arid Viper”被发现自2022年以来一直在使用Android间谍软件“AridSpy”。据ESET最近发布的一份关于AridSpy活动报告称，AridSpy实际上是通过被木马感染的即时通讯应用进行分发的。这些攻击活动中，AridSpy被改造成了多阶段木马，最初被植入的木马化应用程序会从命令与控制服务器下载其他负载。AridSpy通常潜伏在具有合法功能的应用程序中，在巴勒斯坦，该恶意应用程序伪装成巴勒斯坦民政登记处，在埃及，第一阶段的间谍软件隐藏在名为LapizaChat的应用程序和假的求职帖子中。一旦第二阶段的数据窃取开始，该组织即可收集大量数据，包括设备位置、联系人列表、通话记录、短信、照片缩略图、剪贴板数据、通知，以及获得音频、拍照等权限，当前AridSpy依旧持续维护并更新该恶意软件。

消息来源：

https://www.darkreading.com/cyberattacks-data-breaches/hamas-hackers-stealthy-spyware-egypt-palestine

03.热点技术

新型恶意软件瞄准暴露的Docker API进行加密货币挖掘

网络安全研究人员发现了一个新的恶意软件攻击活动，其目标是公开暴露的Docket API端点，目的是向这些端点注入加密货币矿工和其他负载，攻击活动中包括一款远程访问工具，能够下载并执行更多恶意程序，以及另一款通过SSH传播恶意软件的实用工具，针对配置不当的Apache Hadoop YARN、Docker、Atlassian Confluence和Redis服务进行加密劫持。攻击者首先会锁定暴露了端口（端口号为2375）的Docker服务器，然后执行一系列步骤，包括侦察和提升权限，最后进入利用阶段。分析表明攻击者正在将相关功能移植到Go语言中，他们试图阻碍分析过程，或者在尝试多架构构建方面的实验。

消息来源：

https://thehackernews.com/2024/06/new-malware-targets-exposed-docker-apis.html

新型恶意软件绕过UAC进行数据窃取

一种基于Rust的新型信息窃取恶意软件“Fickle Stealer”已被观察到通过多个攻击链进行传播，其目的是从被入侵的主机中窃取敏感信息。福布莱特实验室(FortiGuard Labs)表示，他们已经发现了四种不同的分发方式——具体包括VBA dropper、VBA下载器、链接下载器和可执行下载器——其中一些使用了PowerShell脚本来绕过用户帐户控制(UAC)并执行Fickle Stealer。该PowerShell脚本还会定期向由攻击者控制的Telegram机器人发送有关受害者的信息，包括国家、城市、IP地址、操作系统版本、计算机名称和用户名。该软件执行一系列反分析检查，以确定是否在沙箱或虚拟机环境中运行，然后向远程服务器发送信号，并以JSON字符串的形式窃取数据。

消息来源：

https://thehackernews.com/2024/06/new-rust-based-fickle-malware-uses.html

新型隐蔽型SquidLoader恶意软件

网络安全研究人员发现了一种名为SquidLoader的新型隐蔽型恶意软件加载器，AT&T LevelBlue Labs最早是在2024年4月下旬发现这种恶意软件的，并表示该软件包含逃避静态和动态分析、最终逃脱检测的功能。攻击链利用伪装成Microsoft Word文档的钓鱼邮件附件，但实际上，这些附件是二进制文件，为恶意软件的执行铺平了道路。然后，恶意软件会从远程服务器下载第二阶段的Shellcode加载程序，其中包括Cobalt Strike。这些加载器具有强大的规避和欺骗机制，可以帮助它们在不被发现的情况下继续运行，同时也阻碍了对它们的分析。SquidLoader采用的一些防御性规避技术包括使用加密的代码段、无用代码、控制流图（CFG）混淆、调试器检测以及直接执行系统调用而不是调用Windows NT API。

消息来源：

https://thehackernews.com/2024/06/experts-uncover-new-evasive-squidloader.html

NiceRAT恶意软件针对韩国用户进行攻击

一款名为NiceRAT的恶意软件针对韩国用户进行攻击，该软件会伪装成破解版软件（如Microsoft Windows）或者声称可提供Microsoft Office许可证验证工具，以此来传播恶意软件，将受感染的设备纳入僵尸网络。NiceRAT 是一个活跃开发中的开源远程访问木马（RAT）和窃取恶意软件，该软件使用 Python 编写，并使用 Discord Webhook 进行命令和控制，允许攻击者从被攻陷的主机窃取敏感信息。此程序于2024年4月17日首次发布，当前版本为1.1.0。根据开发者的说法，该程序还提供高级版本，这意味着它以恶意软件即服务（MaaS）模式进行推广。

消息来源：

https://thehackernews.com/2024/06/nicerat-malware-targets-south-korean.html

黑客用合法网站分发“BadSpace”Windows后门程序

一些看似合法但已被攻破的网站被用来作为传播名为“BadSpace”的Windows后门的渠道，黑客将这些后门伪装成虚假的浏览器更新。黑客使用了一种多阶段攻击链，其中包括一个感染了恶意代码的网站、一个命令和控制（C2）服务器，在某些情况下还有假冒的浏览器更新，以及一个JScript下载器，以此在受害者的系统中部署后门。

消息来源：

https://thehackernews.com/2024/06/hackers-exploit-legitimate-websites-to.html

04.热点漏洞

VMware解决了多个vCenter Server漏洞

vCenter Server 在实现 DCERPC 协议时存在多个堆溢出漏洞，这些漏洞可能会被远程攻击者利用来实现远程代码执行或权限提升，拥有网络访问权限并能够访问vCenter Server的恶意行为者可以通过发送精心构造的网络包触发这些漏洞，从而导致远程代码执行。VMware建议客户安装已发布的安全补丁，目前没有可用的临时解决方案。另一方面，VMware还解决了vCenter Server中的多个本地权限提升漏洞，由于sudo配置不当，导致具有非管理员权限的本地认证用户可以利用这些漏洞进行权限提升。

影响版本：

vCenter Server8.0

vCenter Server7.0

谷歌发布了Chrome 126更新

Google已经发布了Chrome 126版本的安全更新，修复了六个漏洞，其中包括一个漏洞（CVE-2024-6100），该漏洞在韩国首尔被SSD Secure Disclosure的TyphoonPWN活动所演示。其余漏洞包含严重的越界内存访问漏洞，高危的用后释放漏洞等等。Google尚未发现有黑客利用此次Chrome 126安全更新所修复的漏洞进行攻击。

影响版本：

Chrome < 126.0.6478.114 for linux

Chrmoe < 126.0.6478.114/115 for windows and macOS

华硕路由器存在身份验证绕过漏洞

华硕路由器存在身份验证绕过漏洞（CVE-2024-3080，CVSS评分为9.8），允许未经身份验证的远程攻击者登录设备。该公司还修补了一个高危缓冲区溢出漏洞（CVE-2024-3079，CVSS评分为7.2），远程攻击者如果拥有管理员权限，就可以利用该漏洞在设备上执行任意命令。恶意行为者可以将CVE-2024-3080和CVE-2024-3079组合成一个攻击链路，以绕过身份验证并在易受攻击的设备上执行恶意代码。

影响版本：

ZenWiFi XT8 version 3.0.0.4.388_24609 and earlier

ZenWiFi XT8 version V2 3.0.0.4.388_24609 and earlier

RT-AX88U version 3.0.0.4.388_24198 and earlier

RT-AX58U version 3.0.0.4.388_23925 and earlier

RT-AX57 version 3.0.0.4.386_52294 and earlier

RT-AC86U version 3.0.0.4.386_51915 and earlier

RT-AC68U version 3.0.0.4.386_51668 and earlier

Atlassian 修复了 Confluence、Crucible 和 Jira 中的高危漏洞

本周，Atlassian宣布发布软件更新，解决了Confluence、Crucible和Jira中的多个高危漏洞。这些漏洞中最严重的一个被追踪为CVE-2024-22257，它存在于Spring框架中，由于访问控制问题，可能允许未授权攻击者访问他们不应访问的资产。接下来是三个Spring框架URL解析功能中的服务端请求伪造(SSRF)漏洞，分别被跟踪为CVE-2024-22243、CVE-2024-22262和CVE-2024-22259。Atlassian还为Confluence Data Center和Server更新了补丁，以修复Apache Commons Configuration中的两个越界写入漏洞，这可能会允许未授权的攻击者通过提交精心构造的配置文件导致拒绝服务攻击。

影响版本：

Confluence Data Center and Server versions < 8.9.3, <8.5.11 (LTS), and < 7.19.24 (LTS)

Crucible version < 4.8.15

Apache Superset 服务器任意文件读取漏洞

该漏洞允许经过身份验证的攻击者创建一个启用了local_infile的MariaDB连接。如果MariaDB服务器（默认情况下是关闭的）和Web服务器上的本地mysql客户端都设置为允许本地文件导入，攻击者就有可能执行特定的MySQL/MariaDB SQL命令，从服务器上读取文件并将其内容插入到MariaDB数据库表中。

影响版本：

Apache Superset：3.1.3版本之前和4.0.0版本