威胁情报分析周报（03/11-03/15）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件136起，同比上周减少9.93%。本周内贩卖数据总量共计617610.74万条；累计涉及12个主要地区，涉及9种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、服务、博彩等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

随着勒索组织的数量不断增加，勒索事件的发生频率、范围和数量显著增加；本周内出现的安全漏洞以Fortinet多个高危漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9124条，主要涉及命令注入、漏洞利用、Log4j2攻击等类型。

01.重点数据泄露事件

法国就业局数据泄露

泄露时间：2024-03-13

泄露内容：法国就业局遭遇数据泄露，由于其IT系统以及为残疾人提供支持的政府就业服务机构CapEmploi的IT系统遭到破坏，可能影响过去20年中注册的用户，相当于4300万用户的数据被泄露，暴露的数据包括France Travail和CapEmploi用户的姓名、社会安全号码、出生日期、用户ID、电子邮件和邮政地址以及电话号码。

泄露数据量：4300万

地区：法国

宏碁（菲律宾）数据泄露

泄露时间：2024-03-12

泄露内容：宏碁（菲律宾）公司证实，由于管理该公司员工出勤数据的第三方供应商遭到攻击，导致包含Acer员工数据库在内的数据被盗。

泄露数据量：未公布

关联行业：电子

地区：菲律宾

西班牙房屋租赁服务数据泄露

泄露时间：2024-03-14

泄露内容：西班牙当地短租服务公司Escapada Rural 290万客户的个人数据被泄露，信息包含姓名、电子邮件地址、性别、出生日期和电话号码，另外，包含bo***ng.com和其他网站的房产列表等数据库备份文件也被暴露。

泄露数据量：290万

关联行业：房产

地区：西班牙

印度金融数据泄露

泄露时间：2024-03-13

泄露内容：印度一家非银行性质地金融公司IKF Finance泄漏了超过3TB的敏感客户和员工数据。由于一个配置错误的MongoDB数据库实例导致400多万份IKF Finance的文件暴露在公众面前，其中包含大量敏感的客户和员工信息。

泄露数据量：3.3TB

关联行业：金融

地区：印度

美国娱乐运营商数据泄露

泄露时间：2024-03-04

泄露内容：美国娱乐运营商Kids Empire由于在公网开放了一个数据库导致数据泄露，公开的数据库包含236万个.PDF和.PNG格式的文件，总大小为92.3GB。其中包括预订、伤害免责以及包含部分信用卡号和交易详细信息的收据。

泄露数据量：92.3GB

关联行业：娱乐

地区：美国

02.热点资讯

美国众议院通过可能禁止TikTok的法案

众议院周三投票通过一项措施，除非该应用程序与中国母公司字节跳动分离，否则在美国禁止TikTok的问题又重新提上议事日程。该法案以352票通过，65名成员投了反对票。反对这项立法的是一个包括TikTok用户本身在内的团体，他们在委员会投票前根据应用程序的提示，给国会办公室打电话表示反对。

消息来源：

https://www.theverge.com/2024/3/13/24097125/house-bill-vote-tiktok-ban-china-bytedance-divestment

LockBit勒索软件关联人物被判监禁

加拿大网络犯罪分子瓦西里耶夫因参与LockBit勒索软件操作而被安大略省法院判处四年监禁。瓦西里耶夫于2022年11月被捕，并于2024年2月承认八项指控，包括网络勒索、恶作剧和武器犯罪。该男子是臭名昭著的LockBit勒索软件团伙的关键成员，参与了许多引人关注的攻击。具体来说，瓦西里耶夫参与了该勒索软件团伙实施的上千次网络攻击，勒索赎金超过1亿美元。除了监禁之外，瓦西里耶夫还被勒令向加拿大受害者支付86万美元的赔偿金，并将面临被引渡到美国接受其他的指控。

消息来源：

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-affiliate-gets-four-years-in-jail-to-pay-860k/

Restoro和Reimage因恐吓用户被罚

技术支持公司Restoro和Reimage将支付2600万美元，以了结他们使用恐吓策略诱骗客户支付不必要的电脑维修服务费用的诉讼。Restoro和Reimage使用在线广告和弹出窗口来模仿Microsoft Windows弹出窗口和系统警告，称消费者的计算机感染了恶意软件，存在各种性能问题，需要紧急关注以避免伤害。这两家公司利用恐吓策略和关于消费者个人电脑受到威胁的谎言，骗取消费者特别是老年消费者数千万美元，这违反了美国联邦贸易委员会法案和电话营销规则，美国联邦贸易委员会对这两家公司的欺骗性营销行为处以罚款。

消息来源：

https://www.bleepingcomputer.com/news/security/tech-support-firms-restoro-reimage-fined-26-million-for-scare-tactics/

新报告显示SaaS资产和员工数据共享激增

安全研究人员注意到软件即服务（SaaS）资产大幅增加，2023年平均每周生成286000个新资产，比上一年激增189%。该数据来自DoControl的2024年SaaS数据安全状况报告，该报告还表明，六分之一的员工被发现通过个人电子邮件帐户共享公司数据，这凸显了内部威胁的普遍存在。该报告重点关注四个关键领域：内部威胁、数据泄露、过期的访问权限和过度许可的第三方OAuth应用程序。过期的访问权限会带来重大风险，90%的公司表示前员工在离职后仍可访问SaaS应用程序。

消息来源：

https://www.infosecurity-magazine.com/news/surge-saas-assets-employee-data/

投资诈骗不断增加

2024年1月，互联网安全专家已检测并拦截了7000多个IP的近13000个虚假投资平台域名，较2023年12月增加了25%。这一数字出现之际，人们越来越担心在线投资诈骗的威胁不断升级，这些骗局通常通过复杂的欺诈性投资网站进行，通过电子邮件、社交媒体帖子或欺骗性广告来引诱受害者。文章中提到的一种常见策略是通过社交媒体平台或消息应用程序招募用户，在这些平台或消息应用程序中自称为“专家”或“金融分析师”的人会兜售投资机会，这些人（通常是参与脚本对话的机器人）制造了合法性和盈利性的假象，最终导致受害者将资金存入虚假投资平台。

消息来源：

https://www.infosecurity-magazine.com/news/investment-scams-13000-domains/

03.热点技术

网络犯罪组织滥用WindowsPCA工具进行企业间谍活动

名为RedCurl的网络犯罪组织正在利用名为程序兼容性助手（PCA）的合法MicrosoftWindows组件来执行恶意命令。在本月发布的一份分析报告中表示：“程序兼容性助手服务（pcalua.exe）是一项Windows服务，旨在识别和解决旧程序的兼容性问题。”攻击者利用该实用程序来执行命令并绕过安全限制。在本次调查中，威胁行为者使用此工具来掩盖他们的活动。

消息来源：

https://thehackernews.com/2024/03/redcurl-cybercrime-group-abuses-windows.html

SIM交换者在eSIM攻击中劫持电话号码

SIM交换者已经调整了攻击方式，通过将目标电话号码移植到新的eSIM卡中来窃取目标电话信息。嵌入式用户身份模块(eSIM)是存储在移动设备芯片上的数字卡，其作用和用途与物理SIM卡相同，但可以远程重新编程和配置、停用、交换、删除。用户通常可以通过扫描服务提供商提供的QR码将eSIM添加到支持该功能的设备中。该技术在智能手机制造商中越来越受欢迎，因为eSIM消除了对SIM卡插槽的需求，并且可以在小型可穿戴设备上提供蜂窝连接。为了窃取手机号码，犯罪分子会使用更换或恢复数字SIM卡的功能：将手机从受害者的‘SIM卡’转移到他们自己的带有eSIM的设备上。

消息来源：

https://www.bleepingcomputer.com/news/security/sim-swappers-hijacking-phone-numbers-in-esim-attacks/

StopCrypt勒索软件新型变种在野利用

StopCrypt勒索软件（又名STOP）的新型变种软件在野利用，它采用涉及shellcode的多阶段执行过程来逃避安全工具。STOPDjvu是现有的分布最广泛的勒索软件，虽然名声不如LockBit，这是因为这种勒索软件操作通常不针对企业，而是针对众多消费者进行的小额赎金。勒索软件通过伪装成免费软件、游戏作弊和软件破解的捆绑包进行传播。然而，当安装这些程序时，用户就会感染包括密码窃取木马和STOP勒索软件在内的恶意程序。自2018年首次发布以来，该勒索软件加密器没有太大变化，然而STOP勒索软件的新变种（称之为StopCrypt）演变为一种更加隐秘和强大的威胁，凸显了网络犯罪令人不安的趋势。

消息来源：

https://www.bleepingcomputer.com/news/security/stopcrypt-most-widely-distributed-ransomware-now-evades-detection/

谷歌推出安全浏览功能提供实时保护

谷歌增强了其安全浏览服务，以便在桌面版Chrome、iOS版以及即将推出的Android版Chrome中针对危险网站提供实时保护。安全浏览是一种GoogleAPI，可免费用于非商业目的，并允许客户端应用程序在数据库中查找网站以查看它们是否存在已知风险。目前有两种版本：标准版和增强版。迄今为止，标准版本是根据本地存储的可疑站点列表进行操作的，而增强版使用实时URL查找和机器学习提供了更广泛的保护，尽管它会向谷歌发送信息。今后，安全浏览的标准版将支持实时数据查找，但不会将浏览历史数据发送回Google。

消息来源：

https://www.theregister.com/2024/03/14/google_safe_browsing_update/

PixPirate Android银行木马利用新型规避策略

PixPirate Android银行木马背后的威胁行为者正在利用一种新技术来逃避对受感染设备的检测，并从巴西用户那里获取敏感信息。这种方法可以在受害者设备的主屏幕上隐藏恶意应用程序的图标。借助这项新技术，在PixPirate侦察和攻击阶段，受害者仍然不会注意到该恶意软件在后台执行的恶意操作。PixPirate于2023年2月由Cleafy首次记录，该漏洞因滥用Android辅助服务，在打开目标银行应用程序时使用即时支付平台秘密执行未经授权的资金转账而闻名。这种不断变异的恶意软件还能够窃取受害者的网上银行凭证和信用卡信息，同时捕获击键和拦截短信以访问双因素身份验证码。

消息来源：

https://thehackernews.com/2024/03/pixpirate-android-banking-trojan-using.html

04.热点漏洞

谷歌Android的plugin_extern_func信息泄露漏洞

Google Android（智能手机操作系统）中发现了一个被归类为有问题的漏洞。受影响的是函数plugin_extern_func，使用未知输入进行操作会导致信息泄露。CWE将该问题分类为CWE-200，漏洞编号CVE-2024-0199。该产品将敏感信息暴露给未授权访问的攻击者，这将对保密性产生影响。

影响版本：

Android kernel

OpenOlat XXE漏洞

OpenOlat是一个基于网络的开源电子学习平台，用于教学、学习、评估和交流。通过在使用draw.io集成时手动操作http请求，可以以配置的系统用户和SSRF读取任意文件。建议升级到最新版本18.1.x或18.2.x，无法升级的用户可以通过禁用Draw.io模块或整个REST API来解决此问题。

补丁版本：

OpenOlat 18.1.0, 18.1.1, 18.1.2, 18.1.3, 18.1.4, 18.1.5, 18.2.0, 18.2.1

WordPress插件SQL注入漏洞

WordPress上的404解决方案插件（WordPress插件）最高版本2.35.7中发现了一个漏洞。在SQL语句中使用参数之前没有经过正确清理和转义，导致管理员等高权限用户可以利用SQL注入影响系统的机密性、完整性和可用性。

影响版本：

404 Solution WordPress plugin < 2.35.8

Fortinet FortiOS & FortiProxy越界写入漏洞

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。在SSL VPN组件中存在越界写入漏洞，可能导致未经身份验证的远程威胁者通过特制HTTP请求执行任意命令或代码。

影响版本：

FortiOS 7.4.0 - 7.4.2，7.2.0 - 7.2.6，7.0.0 - 7.0.13，6.4.0 - 6.4.14，6.2.0 - 6.2.15，6.0.0 - 6.0.17

FortiProxy 7.4.0 - 7.4.2，7.2.0 - 7.2.8，7.0.0 - 7.0.14，2.0.0 - 2.0.13，1.2-1.0

施耐德电气EcoStruxure存在漏洞

施耐德电气EcoStruxure电源设计（SCADA软件）中发现了一个严重漏洞，受影响组件为Project File。使用恶意项目文件加载到应用程序中时会导致反序列化漏洞，该产品在未充分验证结果数据是否有效的情况下反序列化不受信任的数据，成功利用此漏洞可能允许执行任意代码。

影响版本：

EcoStruxure Power Design - Ecodial NL: All Versions

EcoStruxure Power Design - Ecodial INT: All Versions

EcoStruxure Power Design - Ecodial FR: All Versions

请注意：以上均为监测到的情报数据，盛邦安全不做真实性判断与检测