威胁情报分析周报（06/24-06/28）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件191起，同比上周降低19.4%。本周内贩卖数据总量共计127595万条；累计涉及10个主要地区，主要涉及9种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、教育、社交等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期针对Android设备的恶意软件数量持续上升，需加强防范；本周内出现的安全漏洞以Progress MOVEit Transfer多个安全漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8793条，主要涉及命令注入、漏洞利用攻击、扫描防护等类型。

01.重点数据泄露事件

Hey You应用数据泄露

泄露时间：2024-06-25

泄露内容：一名网络攻击者宣布出售hey you数据库，据悉，该数据库包含202488条记录，包括客户ID、用户ID、姓名（包括名和姓）、移动电话号码、电子邮件地址、可用余额和实际余额、免费交易、来源信息、出生日期、支付方式、图像、匿名状态、计划ID、定位设置、推荐代码、验证状态、IP地址、用户代理等多种信息。

泄露数据量：20W+

关联行业：餐饮

地区：澳大利亚

瑞士信贷银行员工数据泄露

泄露时间：2024-06-25

泄露内容：威胁行为者正在出售瑞士信贷银行的员工数据，泄露的数据包括客户员工、电子邮件地址、员工代码、出生日期、性别、保险名称、关系、入职时间、生效日期、状态和所属实体。

泄露数据量：2W+

关联行业：金融

地区：瑞士

票务系统供应商Forum Sirius 数据泄露

泄露时间：2024-06-23

泄露内容：一名网络攻击者声称正在出售法国票务系统供应商 Forum Sirius 的数据库。该数据库包含 5,986,188 条记录，包括用户 ID、姓名、地址、电话号码、电子邮件以及其他个人信息。据悉，数据库于 2024 年 6 月 23 日被入侵，攻击者获取了所有客户的客户数据。

泄露数据量：598W+

关联行业：娱乐

地区：法国

奢侈品连锁百货公司Neiman Marcus数据泄露

泄露时间：2024-06-25

泄露内容：据悉，泄露的数据包含个人信息:姓名、地址、电话号码、出生日期、电子邮件、社会保障号码后四位数字等；交易记录:7000万笔交易，包含完整客户信息、社会保障号码后四位数字及其他相关信息；客户追踪:5000万客户的电子邮件和IP地址；礼品卡数据:1200万张礼品卡信息，包括姓名、礼品卡号码、余额等，总计超过60亿条的客户购物记录、员工数据和商店信息。

泄露数据量：60亿+

关联行业：贸易

地区：美国

Truist银行数据泄露

泄露时间：2024-06-24

泄露内容：威胁行为者在暗网论坛上发布了一篇帖子，声称拥有Truist银行的数据库。据悉，该数据包括员工信息：员工ID、姓名、电子邮件、地址、职位、地点以及客户信息：账户号、客户姓名、贷款金额、贷款余额、营销代码、ACH开始日期、生日、到期日期等。

泄露数据量：未知

关联行业：金融

02.热点资讯

韩国电信公司KT涉嫌向P2P用户传播恶意软件

一家韩国媒体报道，当地电信公司KT对于部分过度使用点对点（P2P）下载工具的客户传播恶意软件。报道称，这一事件已经引起了警方的关注，警方已对KT的总部和数据中心进行了搜查，并扣押了证据，以追查该电信公司是否违反了韩国的《通信秘密保护法》和《信息通信网络法》，调查发现了KT公司一个专门负责检测和干扰文件传输的团队，其中一些员工被分配负责恶意软件开发，另一些负责分发和操作，还有人负责窃听，已有13名KT员工和合作伙伴员工被确认存在问题。但根据当地媒体的报道，KT表示由于网络硬盘P2P服务本身就是恶意程序，所以不得不进行控制。但是，分发恶意软件和删除客户文件等做法显然引起了不满，同时在隐私和知情同意等方面也存在问题。

消息来源：

https://www.theregister.com/2024/06/27/kt_p2p_malware_claim/

英国和美国的警方联合应对Qilin的勒索行为

据报道，英国和美国警方已联手寻找并打击Qilin勒索软件组织。2024年4月，Qilin宣称窃取了超过70GB的美国放射科患者数据，涉及超过50万名患者，并索要5000万美元的赎金，但未获支付，随后在暗网市场上公开了数百万份被盗患者的记录。英国国家犯罪局（NCA）正在努力删除泄露的患者数据，并利用这些数据来追踪该组织。FBI参与了国际合作，因为Qilin此前曾侵入并勒索了几家美国医疗保健公司和医疗机构，美国卫生与公众服务部警告，在全球卫生和公共卫生领域已发现至少15起涉及该犯罪集团勒索软件的感染事件，其中约有一半针对的是美国在印第安纳州、佛罗里达州、俄亥俄州的组织，包括牙科诊所、医疗通讯公司、家庭保健提供商和神经学中心。

消息来源：

https://www.theregister.com/2024/06/25/nca_fbi_qilin_ransomware/?&web_view=true

4名与FIN9相关的越南黑客在美国被起诉

四名越南公民因涉嫌参与一系列导致企业损失超过7100万美元的计算机入侵事件而在美国被起诉。起诉书中称，至少从2018年5月到2021年10月，被告入侵了美国多家受害公司的计算机网络，并利用他们的访问权限窃取或试图窃取非公开信息、员工福利和资金。据法院文件显示，被告在成功进入目标网络之后窃取了与员工和客户相关的礼品卡数据、个人身份信息和信用卡详细信息，利用被盗信息进行进一步的犯罪活动以逃避检测，包括在加密货币交易所开设账户和设置托管服务器。主要指控包括一项合谋实施敲诈的罪名、一项合谋实施电信欺诈的罪名及两项故意损坏受保护计算机的罪名，若这些指控全部成立，最高可判45年监禁。

消息来源：

https://thehackernews.com/2024/06/4-fin9-linked-vietnamese-hackers.html?&web_view=true

国际刑警组织在全球打击诈骗活动中缴获数百万美元

国际刑警组织在一份新闻稿中表示，“2024 首道曙光”行动逮捕了 3,950 人，另外还确定了 14,000 名涉嫌在世界各地实施各种诈骗的嫌疑人，该行动旨在打击社会工程学和电信诈骗，由中国公安部资助，并由国际刑警组织协调。警方共缴获约 1.35 亿美元的法定货币（政府发行和监管的官方货币）和 200 万美元的加密货币。国际刑警组织表示，警方缴获的其他资产价值超过 1.2 亿美元，包括房地产、高端汽车、昂贵珠宝以及许多其他高价值物品和收藏品。

消息来源：

https://cybernews.com/news/interpol-global-crackdown-scams/

03.热点技术

Medusa Android木马病毒针对7个国家的银行用户

网络安全研究人员发现了一款名为Medusa的Android银行木马的最新版本，该木马已被用于针对加拿大、法国、意大利、西班牙、土耳其、英国和美国等地的用户。新的“梅杜萨”样本具有轻量级权限集和新功能，例如能够全屏覆盖层和远程卸载应用程序。Medusa拥有读取短信、记录按键、捕获屏幕截图、记录通话、实时共享设备屏幕以及使用覆盖攻击窃取银行凭据并进行未经授权的资金转账等功能，通过伪装成看似无害的实用应用程序来传播恶意软件。该程序可以通过在受害者的设备上设置一个黑色屏幕覆盖层，给人的印象是设备已锁定或已关闭电源，以此作为掩护来执行恶意活动，同时尽量减少所需的权限以避免被检测到，从而获取更持久的留存。从地理上看，该恶意软件正在向新的地区扩展，例如意大利和法国。

消息来源：

https://thehackernews.com/2024/06/new-medusa-android-trojan-targets.html

利用微软管理控制台文件的新型攻击技术

一种新型的攻击技术，通过精心设计的管理保存控制台（MSC）文件，利用Microsoft Management Console（MMC）实现代码执行，并绕过安全防御措施。安全人员在识别出一个名为“sccm-updater.msc”的恶意软件（artifact）后，将这一策略命名为“GrimResource”。攻击利用MMC库中的漏洞运行恶意代码，攻击者可以将此技术与DotNetToJScript结合起来，从而获得任意代码执行权限，从而导致未经授权的访问、系统接管以及其他问题。使用不常见的文件类型作为恶意软件分发的途径，被认为是攻击者试图绕过微软近年来为防止恶意软件传播而设立的安全屏障的一种替代方法。在Microsoft默认禁用来自互联网文档的Office宏之后，JavaScript，MSI文件，LNK对象和ISO等其他感染途径的流行程度有所上升。在这些技术被密切关注后，攻击者开发了一种新的技术，使用设计的MSC文件在Microsoft Management Console中执行任意代码。

消息来源：

https://thehackernews.com/2024/06/new-attack-technique-exploits-microsoft.html

多个组织使用开源Rafel RAT攻击Android设备

包括网络间谍组织在内的多个威胁行为体，正在使用一个名为Rafel RAT的开源Android远程管理工具，其伪装成Instagram、WhatsApp以及各种电子商务和防病毒应用程序。Rafel RAT为恶意行为者提供了强大的远程管理和控制工具包，使他们能够实施一系列恶意活动，从数据窃取到设备操纵，比如擦除SD卡、删除通话记录、窃取通知信息，甚至充当勒索软件。该软件主要通过HTTP(S)进行命令和控制通信，但也可以使用Discord API与威胁行为者联系，此外还附带一个基于PHP的C2控制面板，可以利用该控制面板向被入侵的设备发送命令。

消息来源：

https://thehackernews.com/2024/06/iranian-hackers-deploy-rafel-rat-in.html

Snowblind利用Android安全功能绕过保护措施

一种名为Snowblind的恶意软件利用了Android系统的一个安全漏洞，以绕过处理敏感用户数据的应用程序中反篡改保护措施。Snowblind的目标是重新打包应用程序，使其无法检测到滥用访问权限的行为，从而获取用户输入或获得远程控制权限以执行恶意操作。与其他Android恶意软件不同，Snowblind滥用的是“seccomp”这一Linux内核功能，Android使用它来进行应用程序的完整性检查，以防止恶意操作如应用程序重新打包。Snowblind可以禁用应用程序中的各种安全功能，例如双重身份验证或生物识别验证，攻击者可以利用这种技术读取屏幕上显示的敏感信息、操作设备或控制应用程序。当前在Snowblind攻击中观察到的技术并不常见，大多数应用程序都没有针对它的保护措施。

消息来源：

https://www.bleepingcomputer.com/news/security/snowblind-malware-abuses-android-security-feature-to-bypass-security/

P2PInfect僵尸网络新增对Redis服务器的勒索功能

P2PInfect主要通过已知漏洞攻击Redis服务器，安全团队对该恶意组织的后续研究显示，它利用Redis的复制功能进行传播。从2024年5月16日开始，受P2PInfect感染的设备收到命令，从指定的URL下载并运行勒索软件负载，该命令有效期至2024年12月17日。该勒索软件在启动时会检查是否存在赎金说明文件，以避免对已受攻击的系统进行二次加密。这种勒索软件的目标是具有特定扩展名的文件，这些扩展名与数据库（SQL、SQLITE3、DB）、文档（DOC、XLS）和媒体文件（MP3、WAV、MKV）相关，并将“.encrypted”扩展名附加到结果文件上。勒索软件遍历所有目录，加密文件并将加密文件的数据库存储在一个临时文件中，扩展名为“.lockedfiles”。该勒索软件模块的破坏范围受其权限级别的限制，仅限于被入侵的Redis用户及其可访问的文件。

消息来源：

https://www.bleepingcomputer.com/news/security/p2pinfect-botnet-targets-redis-servers-with-new-ransomware-module/

04.热点漏洞

Ubuntu  ADOdb 若干严重漏洞

ADOdb被广泛用于PHP应用程序以提供统一的数据库访问接口。近日，Ubuntu安全团队发布了更新，以解决这些漏洞，包括CVE-2016-7405 (CVSS v3评分：9.8)这一缺陷可能允许远程攻击者执行SQL注入攻击，从而可能导致数据库被攻破。CVE-2016-4855 (CVSS v3评分：6.1)，远程攻击者可以利用此漏洞执行XSS攻击，从而代表用户执行未经授权的操作。CVE-2021-3850（CVSS v3 评分：9.1），ADOdb在处理PostgreSQL连接中的字符串引号时存在错误，此缺陷可能允许远程攻击者绕过认证，获取对数据库的未经授权访问。

影响版本：

Ubuntu 22.04 LTS

Ubuntu 20.04 LTS

Ubuntu 18.04 ESM

Ubuntu 16.04 ESM

Progress MOVEit Transfer多个安全漏洞

Progress MOVEit Transfer（SFTP 模块）中的不正确的身份验证漏洞可能导致身份验证绕过，该漏洞的追踪编号为CVE-2024-5806（CVSS评分为9.1），利用该漏洞需要满足以下三个先决条件：攻击者需要知道一个现有的用户名，目标账户可以远程验证，并且SFTP服务可以通过互联网公开访问。与SFTP相关的另一个身份验证绕过漏洞（CVE-2024-5805，CVSS评分：9.1）也被解决。如果这些漏洞被成功利用，攻击者就可以绕过SFTP的身份验证过程，并访问MOVEit传输和网关系统。

影响版本：

From 2023.0.0 before 2023.0.11

From 2023.1.0 before 2023.1.6

From 2024.0.0 before 2024.0.2

Juniper Networks API 身份验证绕过漏洞

Juniper Networks 会话智能路由器存在使用备用路径或通道绕过身份验证漏洞，漏洞编号：CVE-2024-2973,该漏洞允许基于网络的攻击者绕过身份验证并完全控制设备。只有在高可用性冗余配置中运行的路由器或导体才会受到此漏洞的影响,Juniper Networks 的其他产品或平台均不受此问题影响。

影响版本：

Session Smart Router < 5.6.15

Session Smart Router 6.0 versions < 6.1.9-lts

Session Smart Router 6.2 versions < 6.2.5-sts

Session Smart Conductor < 5.6.15

Session Smart Conductor 6.0 versions < 6.1.9-lts

Session Smart Conductor 6.2 versions < 6.2.5-sts

WAN Assurance Router 6.0 versions < 6.1.9-lts

WAN Assurance Router 6.2 versions < 6.2.5-sts

Fortra FileCatalyst Workflow SQL注入漏洞

Fortra FileCatalyst Workflow 存在一个SQL注入漏洞，该漏洞可能允许远程未经身份验证的攻击者创建恶意管理员用户并操作应用程序数据库中的数据。FileCatalyst Workflow 是一个基于Web的文件交换和共享平台，支持大文件传输，被用于加速数据传输和在私有云空间中协作。这一关键漏洞（CVSS v3.1评分为9.8），被追踪为CVE-2024-5276，该漏洞允许创建系统管理员用户并在应用程序数据库中删除或修改数据，但无法利用此漏洞进行SQL注入来窃取数据。

影响版本：

FileCatalyst Workflow 5.1.6 Build 135 and older versions