威胁情报分析周报（07/01-07/05）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件107起，同比上周降低43.98%。本周内贩卖数据总量共计131688.2万条；累计涉及8个主要地区，主要涉及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、贸易、社交等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期针对安卓设备的攻击持续上升，从漏洞风险到恶意软件目标都有所增加，需加强防范；本周内出现的安全漏洞以Parse Server SQL 注入漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8721条，主要涉及命令注入、扫描防护等类型。

01.重点数据泄露事件

Rappi、RappiCarga和RappiPay数据库泄露

泄露时间：2024-07-03

泄露内容：一名网络攻击者声称出售Rappi、RappiCarga和RappiPay的数据库，影响用户遍及哥伦比亚、秘鲁、墨西哥、巴西和智利。提供的样本包括Rappi 数据库的3200万条记录，RappiCarga 的2000万条记录，RappiPay 的46000条记录。

泄露数据量：5TB

关联行业：物流、金融科技     

地区：哥伦比亚、秘鲁、墨西哥、巴西、智利

Shopify数据泄露

泄露时间：2024-07-03

泄露内容：从Shopify窃取的大量数据被公开出售。据悉，泄露的数据包括近180,000名用户的个人和交易信息，如Shopify ID、姓名、邮箱、手机号、订单数、总消费金额、订阅状态和日期等。数据样本显示，该数据集包含179,873条用户信息。

泄露数据量：17W+

关联行业：电子商务

地区：全球

Airtel India客户数据泄露事件

泄露时间：2024-07-03

泄露内容：Airtel India的数据库在暗网论坛被公开售卖，涉及超过3.75亿印度客户的个人信息。被泄露的数据包括电话号码、电子邮件、家庭住址、父母姓名、政府身份证（包括Aadhaar）等重要信息。

泄露数据量：3亿+

关联行业：电信

地区：印度

Bol d’air France 数据库泄露

泄露时间：2024-07-02

泄露内容：网络攻击者在暗网论坛上发布了据称属于法国一家航空公司的数据库。泄露的数据包括用户的全名、电子邮件、邮政地址、电话号码、出生日期和支付信息，以及用户的活动历史、合同编号和支付状态等敏感信息。

泄露数据量：7W+

关联行业：娱乐

地区：法国

Central Tickets 数据库和访问权泄露

泄露时间：2023-07-02

泄露内容：一名网络攻击者声称出售 Central Tickets 的数据库和访问权限。泄露的客户信息包括姓名、电子邮件、密码、电话号码等敏感信息。样本数据包含字段如 id、uncode、referral_code、fname、lname、email、password、mobilenumber、attend、status、code等。

泄露数据量：80W+

关联行业：票务服务

地区：英国

约旦教育部数据泄露事件

泄露时间：2023-07-01

泄露内容：据悉，约旦教育部的数据泄露曝光了约155,000人的个人信息。这些数据被整理成八个CSV文件，泄露的数据包括员工ID、国家ID、姓名、电话号码、账户信息、出生日期、工作详情、性别、住址、护照号码等多种敏感信息。

泄露数据量：15W+

关联行业：政府

地区：约旦

02.热点资讯

以色列实体成为网络攻击目标

网络安全研究人员发现了一起针对以色列各实体的攻击活动，使用了公开框架如 Donut 和 Sliver。据报道，此次攻击活动利用了针对特定目标的基础设施和定制的WordPress网站作为载荷投递机制，并依赖于众所周知的开源恶意软件。第一阶段采用Nim 编写的下载器从分发服务器下载第二阶段恶意软件，它以虚拟硬盘（VHD）文件的形式分发，通过定制的WordPress网站进行传播。第二阶段负载是名为“Donut”的生成框架，它作为一种媒介，用于部署名为“Sliver”的开源Cobalt Strike替代品。研究人员表示：“攻击者还投入了大量资源来构建专用基础设施，并部署了一个真实的WordPress网站来传输数据。总的来说，这次活动感觉像是一支小型团队的工作。”目前尚不清楚该攻击活动的最终目标。

消息来源：

https://thehackernews.com/2024/07/israeli-entities-targeted-by.html

LOCKBIT宣称对美国Fairfield Memorial医院实施了黑客攻击

LockBit勒索软件团伙再次入侵了美国的一家医院，这次的受害者是位于伊利诺伊州的Fairfield Memorial Hospital。勒索团伙声称窃取了数据，并宣布将于2024年7月17日泄露这些数据。据报道，该勒索团伙还声称入侵了Merryman House Domestic Crisis Center和佛罗里达州卫生部门。专家认为问题的严重性不仅在于高度敏感的数据被窃取，还在于勒索软件攻击对关键基础设施如医院可能造成的影响。

消息来源：

https://securityaffairs.com/165162/cyber-crime/lockbit-ransomware-fairfield-memorial-hospital.html

澳洲男子在航班上运行伪造Wi-Fi热点被捕

一名42岁的澳大利亚男子因在航班上运行伪造Wi-Fi热点窃取用户数据被捕。2024年4月19日，警方在他的行李中查获便携式无线设备、笔记本电脑和手机，随后在5月8日执行搜查令后将其逮捕。该男子在珀斯、墨尔本和阿德莱德等地的机场实施所谓的“ evil twin”Wi-Fi攻击，通过冒充合法的Wi-Fi网络诱骗用户输入邮箱或社交媒体凭证，从而获取个人信息。他将面临多项指控，包括非法干扰电子通信和获取个人财务信息，若罪名成立，最高可判23年监禁。

消息来源：

https://thehackernews.com/2024/07/australian-man-charged-for-fake-wi-fi.html

FBI和DHS警告2024年美国大选面临内部威胁，并发布新指南

为了维护2024年美国大选周期的完整性，联邦调查局（FBI）、网络安全和基础设施安全局（CISA）以及其他重要合作伙伴发布了针对选举官员的新指南。报告声称虽然没有证据表明恶意行为者影响了选举结果，但各级选举利益相关者应了解内部威胁带来的风险，并采取措施识别和减轻这些威胁。已发现多起内部威胁的例子，如：某州发现其选举系统数字图像和机密密码被发布在网上。进一步调查发现，工作人员授予未经授权的个人访问县投票机器的权限，关闭了安全摄像头，并向未经授权的个人提供了虚假凭证；两名县官员在审计期间允许未经授权的用户访问他们的选举系统，导致该州首席选举官取消了这些机器的认证，禁止其在未来的选举中使用。

消息来源：

https://thecyberexpress.com/2024-us-election-new-guidance-for-officials/

国际执法与私营部门联合打击Cobalt Strike滥用行为

在名为“MORPHEUS”的行动中，执法部门和网络安全公司联手摧毁了网络罪犯对Cobalt Strike的滥用。欧洲刑警组织表示，共发现了来自27个国家的互联网服务提供商的690个与犯罪活动有关的IP地址。网络犯罪分子通常通过定向钓鱼电子邮件部署Cobalt Strike，诱使受害者点击恶意链接或打开受感染的附件，一旦受害者点击了链接，就会安装一个名为“Beacon”的程序，从而使攻击者获得对被入侵系统的远程访问权限。这种访问权限允许他们通过信息窃取程序窃取数据，或者发动进一步的攻击。犯罪分子也利用这些破解版软件在被入侵的系统中建立后门，并部署恶意软件。

消息来源：

https://thecyberexpress.com/law-enforcement-disrupt-cobalt-strike-abuse/

03.热点技术

黑客利用Dropbox和Google Docs传播Orcinius恶意软件

一种新的Orcinius木马被发现，它采用VBA Stomping技术进行隐藏。这个多阶段的木马使用Dropbox和Google Docs更新，以传递二阶段的有效载荷。通常情况下，VBA Stomping会删除Microsoft Office文档中的VBA源代码，仅在文档中留下已编译的宏代码，即p-code。该恶意软件包含一个混淆的会挂钩到Windows系统中VBA宏，用于监控正在运行的窗口和按键，并通过使用注册表创建持久性后门。这意味着检查文档中的宏时要么显示为空，要么显示一个安全的代码副本，该副本会在文件打开和关闭时执行。文件在运行时会启动宏并执行以下任务：检查注册表项并创建新项以隐藏警告、列出当前所有打开的窗口、建立后门、访问编码的URL并尝试下载、监控键盘输入以及尝试激活并创建多个随机计时器。

消息来源：

https://gbhackers.com/hackers-dropbox-google-orcinius-malware/

FakeBat恶意软件通过驱动式下载广泛传播

据报道，FakeBat是今年通过驱动下载技术广泛传播的恶意软件之一。FakeBat主要用于下载和执行后渗透攻击的恶意软件，如IcedID、Lumma、RedLine、SmokeLoader、SectopRAT和Ursnif。攻击者利用SEO污染、恶意广告和代码注入等方法诱导用户下载伪造的软件安装程序或浏览器更新。在最新版本中，FakeBat使用MSIX格式并添加数字签名以绕过Microsoft SmartScreen保护，并通过伪装成热门软件、受感染网站的虚假更新进行传播，这些活动可能与FIN7、Nitrogen和BATLOADER组织有关。除了承载恶意负载外，服务器很可能会根据用户代理、IP地址和地理位置等特征过滤流量，这使得恶意软件能够被定向发送给特定目标。

消息来源：

https://thehackernews.com/2024/07/fakebat-loader-malware-spreads-widely.html

新型侧通道攻击“Indirector”攻击英特尔CPU

安全研究人员发现了一种新型侧通道攻击，可以侵犯现代英特尔CPU（包括Raptor Lake和Alder Lake）的安全性。这种攻击被称为Indirector，它利用间接分支预测器（IBP）和分支目标缓冲器（BTB）的弱点来绕过现有的防御措施，从处理器中窃取敏感信息。攻击者可以使用一个名为“iBranch Locator”的自定义工具来定位任何间接分支，然后进行精确的目标IBP和BTB注入，并执行推测性代码。这使得攻击者能够通过侧信道攻击从处理器窃取敏感信息。IBP注入攻击：定位并向受害者的IBP条目中注入任意目标地址，BTB注入攻击：将恶意目标注入受害者的BTB条目中，通过BTB预测误导它。这些攻击可能绕过现有的防御机制，在各种情况下破坏系统的安全性，包括跨进程和跨特权的情况。虽然英特尔已经提供了几种保护BTB和IBP免受不同类型目标注入攻击的缓解措施，如间接分支限制推测(IBRS)、单线程间接分支预测器(STIBP)和间接分支预测器屏障，但这些防御措施被发现不足以抵御攻击。

消息来源：

https://thecyberexpress.com/indirector-cpu-vulnerability-intel-chips/#

CapraRAT 间谍软件伪装成流行应用威胁 Android 用户

一个名为 “Transparent Tribe” 的威胁行为者通过社交活动向目标个人发送带有恶意软件的 Android 应用程序。该活动被称为 CapraTube，Transparent Tribe 将恶意软件嵌入到伪装成合法应用程序（如 YouTube）的 Android 应用中，以分发名为CapraRAT的间谍软件，这是一种经过修改的AndroRAT，具有捕获敏感数据的能力。CapraRAT 使用 WebView 启动一个 URL 到 YouTube 或名为 CrazyGames[.]com 的移动游戏网站，此外，还具有访问位置、短信、联系人和通话记录、拨打电话、截取屏幕快照或录制音频和视频等功能。

消息来源：

https://thehackernews.com/2024/07/caprarat-spyware-disguised-as-popular.html

04.热点漏洞

谷歌修复了25个Android漏洞

谷歌已经为Android操作系统的25个已知安全漏洞发布了补丁，其中包括Framework组件的一个严重级别漏洞，编号为CVE-2024-31320，影响Android 12和12L版本，该漏洞允许攻击者在受影响的设备上提升权限，已在2024-07-01的安全补丁中得到解决，该补丁还解决了其他7个高危问题，其中包括框架中的3个提升权限漏洞、系统中的3个提升权限漏洞和系统中的一个信息泄露漏洞，建议用户及时更新设备。

影响版本：

Android versions 12

Android versions 12L

Android versions 13

Android versions 14

CocoaPods 发现严重漏洞

CocoaPods，一个为iOS和macOS应用开发的依赖管理工具，发现了严重的安全漏洞，这些漏洞可能导致供应链攻击，危及众多应用程序。CVE-2024-38368 (CVSS 9.9)：允许攻击者接管孤立的pods并篡改内容或替换为恶意代码。CVE-2024-38366 (CVSS 9.0)：远程代码执行漏洞，通过在注册时验证邮箱域名的接口运行shell命令。CVE-2024-38367 (CVSS 8.0)：影响身份验证过程，使攻击者能够劫持pod所有者的会话并控制其账户。

影响版本：

 Any app using CocoaPods

Splunk 高危漏洞

Splunk宣布为Splunk Enterprise和Cloud Platform修复了16个安全漏洞，较为严重的有CVE-2024-36985：由于splunk_archiver应用程序中的脚本问题，低权限攻击者可通过外部查找导致远程代码执行；CVE-2024-36984：经过身份验证的攻击者可通过Windows上Splunk Enterprise中的序列化会话导致任意代码执行；CVE-2024-36983：经过身份验证的攻击者可使用外部查找进行命令注入。剩下的高危漏洞包括Windows版Splunk Enterprise中的路径遍历问题以及企业和云平台产品的拒绝服务漏洞。

影响版本：

Splunk Enterprise：9.2.x、9.1.x、9.0.x

Apache HTTP Server SSRF漏洞

Apache HTTP Server 2.4.59及更早版本的mod_rewrite存在潜在的服务器端请求伪造（SSRF）漏洞，漏洞编号：CVE-2024-39573（CVSS 评分:7.5)，该漏洞允许攻击者设置不安全的RewriteRules，将URL重定向到mod_proxy进行处理。

影响版本：

Apache HTTP Server <= 2.4.59

Parse Server SQL 注入漏洞

Parse Server 是一个开源后端，可以部署在任何能够运行 Node.js 的基础设施上,Parse Server存在漏洞CVE-2024-39309（CVSS 评分：9.8)，当版本低于 6.5.7 和 7.1.0 时，如果 Parse Server 配置为使用 PostgreSQL 数据库，则存在 SQL 注入漏洞。版本 6.5.7 和 7.1.0 中对检测 SQL 注入的算法进行了改进。

影响版本：

Parse Server versions prior to 6.5.7 for all 6.x versions

Parse Server versions prior to 7.1.0 for all 7.x versions