威胁情报分析周报（03/25-03/29）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件273起，同比上周增加6.64%。本周内贩卖数据总量共计138019.7万条；累计涉及15个主要地区，涉及9种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、服务、贸易等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期勒索组织攻击势头持续上升，其采用的工具和手段也不断更新，需要采取有效的防御措施来保护个人和组织的数据安全；本周内出现的安全漏洞以 Google Chrome 0day危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8972条，主要涉及命令注入、漏洞利用、扫描防护等类型。

01.重点数据泄露事件

美国医疗保健公司数据泄露

泄露时间：2024-03-27

泄露内容：Dedicated Senior Medical Center（DSMC）是一家美国的医疗保健公司，专注于为老年人提供全面的医疗服务。近日该公司发现患者信息遭到未授权访问，导致未授权的一方能够访问患者的敏感信息，包括他们的姓名、出生日期和医疗信息。

泄露数据量：3440

关联行业：医疗

地区：美国

苏格兰国民保健署数据泄露

泄露时间：2024-03-28

泄露内容：苏格兰国民保健署（NHS）被一个自称为INC Ransom的勒索组织勒索并要求支付赎金，否则将公开3TB的数据。该组织已公布了部分样本数据，其中包括少数患者的机密信息如医生与患者之间的来往信件等。

泄露数据量：3TB

关联行业：医疗

地区：英国

加拿大零售商Giant Tiger数据泄露

泄露时间：2024-03-25

泄露内容：Giant Tiger是加拿大的折扣商品连锁店，在加拿大各地经营260多家商店。由于第三方供应商的违规事件导致其客户信息泄露，受影响的信息包括订阅Giant Tiger电子邮件的人员姓名和电子邮件地址、会员和预定店内提货的人员姓名、电子邮件和电话号码。

泄露数据量：未公布

关联行业：零售

地区：加拿大

Minecraft游戏数据泄露

泄露时间：2024-03-26

泄露内容：Minecraft用户和服务器数据在暗网数据售卖论坛发布，其中包括敏感的支付信息。据称该数据库由700多个文件组成，数据量约17.7GB。泄露信息包含：各种私有Minecraft服务器的私人用户信息，如付款详细信息、地址、电子邮件、IP地址和用户名等。

泄露数据量：17.7GB

关联行业：游戏

地区：美国

内华达州公共卫生部门数据泄露

泄露时间：2024-03-27

泄露内容：内华达州公共卫生部门由于其网站付款交易页面遭到篡改并注入了恶意代码，导致访问的用户被重定向到模拟了信用卡付款页面的钓鱼网站，约300名用户个人敏感信息受到影响。

泄露数据量：300

关联行业：医疗

地区：美国

02.热点资讯

2023年50%的0day漏洞背后都是间谍软件供应商

谷歌威胁分析小组（TAG）和谷歌子公司Mandiant表示，他们观察到2023年攻击中利用的0day漏洞数量明显增加，其中许多与间谍软件供应商及其客户有关。去年被利用的0day漏洞数量达到97个，与2022年的62个漏洞相比激增了50%以上。谷歌透露，其TAG小组发现去年大部分0day漏洞都可以追溯到唯利是图的间谍软件制造商，同时还将间谍软件供应商与过去一年中在野利用的72个已知0day漏洞中的35个联系起来。谷歌报告中强调的一些间谍软件供应商包括：Cy4Gate、Intellexa、NeggGroup、NSOGroup等。

消息来源：

https://www.bleepingcomputer.com/news/security/google-spyware-vendors-behind-50-percent-of-zero-days-exploited-in-2023/#google_vignette

美国悬赏1000万美元寻找“黑猫”

美国周三悬赏高达1000万美元，以获取有关“黑猫”（ALPHVBlackcat）勒索软件组织的信息，该组织攻击了联合健康集团（又称联合健康保险）的科技部门，并扰乱了全美的保险支付。该部门在宣布悬赏提议的声明中表示：ALPHVBlackcat勒索软件即服务组织破坏了美国和全球关键基础设施部门的计算机网络。联合健康保险表示，自2月底开始遭受网络攻击后，该公司已恢复其服务，并开始清理超过140亿美元积压的医疗索赔。“黑猫”勒索软件组织本月早些时候表示，联合健康集团支付了2200万美元的赎金以恢复其系统，但“黑猫”是否履行了恢复协议尚不清楚。

消息来源：

https://www.reuters.com/technology/cybersecurity/us-offers-10-million-bounty-info-blackcat-hackers-who-hit-unitedhealth-2024-03-27/

美国食品连锁巨头IT服务中断

美国食品连锁巨头PaneraBread经历了全美范围内的宕机，影响了其IT系统，包括在线订购、POS系统、电话和各种内部系统。与此同时商店虽然都在营业，但是仅支持现金支付并且无法兑换会员积分。在访问其相关网页和程序的时候，会提示正在进行“必要的系统维护”。除了IT中断之外，该公司的客户服务电话也已停机，虽然Panera尚未就此次中断发布任何官方声明，但事件发生在周末，且受影响的服务范围广泛，表明这可能是由网络攻击引起的。

消息来源：

https://www.bleepingcomputer.com/news/security/panera-bread-experiencing-nationwide-it-outage-since-saturday/

黑客利用Discord机器人平台进行供应链投毒

拥有超过170000名成员的Top.ggDiscord机器人社区受到供应链攻击的影响，该攻击旨在用窃取敏感信息的恶意软件感染开发人员设备。攻击活动始于2022年年底，攻击者首次在PyPI上传了恶意包，这些恶意包充当了初始载体，一旦系统遭到破坏，或者攻击者劫持了特权GitHub帐户，他们就会更改项目文件以指向假镜像上托管的依赖。在3月份的时候Top.gg维护者账户被攻击者入侵，由于该维护者账户对该平台（Top.gg）的GitHub存储库拥有写入访问权限，攻击者使用该账户对Top.gg的python-sdk存储库进行了恶意提交，添加了恶意版本“colorama”依赖。一旦开发人员使用sdk拉取依赖便会执行恶意程序并进行信息窃取。

消息来源：

https://www.bleepingcomputer.com/news/security/hackers-poison-source-code-from-largest-discord-bot-platform/

CISA和FBI敦促开发人员消除SQL注入漏洞

CISA及FBI于3月25日发布了“设计安全”警报。警报指出，软件行业几十年来就知道如何大规模消除SQLi缺陷，然而攻击者去年依然能够利用开发商Progress开发的MOVEit文件传输软件中的此类漏洞，造成毁灭性的影响。有数据显示Clop勒索软件团伙从该活动中获利高达1亿美元，该活动导致数千名MOVEit企业客户的数据被泄露，影响了数千万下游客户的个人详细信息。警报指出：“尽管过去二十年人们对SQLi漏洞有了广泛的了解和记录，并且已经有了有效的缓解措施，但软件制造商仍在开发具有此缺陷的产品，这使许多客户面临风险。”

消息来源：

https://www.infosecurity-magazine.com/news/cisa-fbi-renewed-effort-eliminate/

03.热点技术

新的网络钓鱼工具包Tycoon 2FA

最近一种名为Tycoon 2FA的新型网络钓鱼工具包引起了网络安全界的担忧。该工具包由Sekoia威胁检测与研究团队于2023年10月发现，并在25号发布的一份公告中进行了描述，该工具包与AiTM攻击技术（AiTM攻击是中间人攻击MITM的一个子集，它强调了攻击者的对抗角色）相关，被多个威胁组织利用来策划攻击。分析显示，该工具包已成为最流行的AiTM网络钓鱼工具包之一，攻击通过电子邮件钓鱼引导到虚假的身份验证页面，获取凭证后将此信息中继到合法的Microsoft身份验证API，拦截会话cookie以绕过多重身份验证（MFA）。

消息来源：

https://www.infosecurity-magazine.com/news/new-tycoon-2fa-phishing-kit/

Agent Tesla恶意软件新型加载器

在最近的网络钓鱼活动中，研究人员从一封伪装成银行付款通知的钓鱼邮件附件中发现一个隐藏的恶意加载程序，该加载程序会激活在受感染主机上部署的Agent Tesla程序。该加载器使用混淆技术来规避检测，并利用多态行为与复杂的解密方法，同时拥有绕过Windows反恶意软件扫描接口的能力，并使用特定的URL和用户代理下载有效负载，利用代理进一步混淆流量。程序使用.NET编写并且有两个不同的变体，每个变体都使用不同的加解密方案，通过使用动态加载来减少在磁盘上留下的痕迹。

消息来源：

https://thehackernews.com/2024/03/alert-new-phishing-attack-delivers.html

Agenda勒索软件变种

最近，研究发现一种新的Agenda勒索软件变种在野利用。这个基于Rust的最新版本配备了各种新功能和隐形机制，并将其目标直接瞄准了VMwarev Center和ESXi服务器。这种新的、更强大的Agenda恶意软件与其前身具有相同的功能，除扫描或排除某些文件路径、通过PsExec传播到远程计算机、在执行有效负载时精确计时外，还添加了许多新命令，用于升级权限、模拟令牌、禁用虚拟机集群等功能。为了进一步增强其隐蔽性，Agenda还借鉴了勒索软件的流行技术，即使用易受攻击的 SYS 驱动程序来逃避安全软件的检测。

消息来源：

https://www.darkreading.com/cloud-security/agenda-ransomware-vmware-esxi-servers

ZenHammer内存攻击

学术研究人员发现了 ZenHammer攻击，这是 Rowhammer DRAM 攻击的第一个变体，适用于基于最新 AMD Zen 微架构的 CPU，该架构将物理地址映射到 DDR4 和 DDR5 内存芯片上。AMD Zen 芯片和 DDR5 RAM 模块此前被认为不易受到 Rowhammer 的影响，因此最新的发现挑战了这一观点。Rowhammer 是一种有据可查的攻击方法，它利用现代动态随机存取存储器 (DRAM) 的物理特性，通过读/写操作重复访问存储单元的特定行来更改数据，通过在特定位置策略性地引发改变，攻击者可以访问敏感数据（例如加密密钥）或提升权限，当前技术已在Intel和ARMCPU上得到验证。

消息来源：

https://www.bleepingcomputer.com/news/security/new-zenhammer-memory-attack-impacts-amd-zen-cpus/

Raspberry Pi变成网络攻击工具

网络犯罪分子正在Telegram上销售名为“GEOBOX”的定制Raspberry Pi软件，该软件允许缺乏经验的黑客将微型计算机转换为匿名网络攻击工具。恶意人员使用了多个GEOBOX设备，每个设备都连接到互联网并有计划地放置在各个位置。然后使用这些设备充当代理，由于默认情况下GEOBOX设备不存储任何日志，这使得调查和跟踪过程变得复杂。同时该设备极其小巧轻便，非常便携，网络犯罪分子可以轻松地在不同地点移动，连接到各种互联网接入点并掩盖他们的踪迹。其主要功能有：GPS欺骗、流量伪装、匿名代理、MAC地址伪装、自定义VPN和DNS、LTE调制解调器。

消息来源：

https://www.bleepingcomputer.com/news/security/700-cybercrime-software-turns-raspberry-pi-into-an-evasive-fraud-tool/

04.热点漏洞

Google Chrome 0day

CVE-2024-2887：WebAssembly(Wasm)开放标准中的一个高严重性的类型混淆漏洞；CVE-2024-2886：利用了用于编码和解码音频和视频内容的 WebCodecs API 中的UAF漏洞，这两个漏洞均可以针对Google Chrome和Microsoft Edge浏览器进行远程代码执行。

影响版本：

Windows < 123.0.6312.86/.87

Mac < 123.0.6312.86/.87

Linux < 123.0.6312.86

Microsoft Edge特权提升漏洞

Microsoft Edge浏览器中发现了一个特权提升漏洞，编号为CVE-2024-21388，此漏洞使任何拥有在bing.com或microsoft.com页面上运行JavaScript的人都可以在未经用户同意或交互的情况下在Edge Add-ons Store安装扩展程序。

影响版本：

Microsoft Edge < 121.0.2277.83

Zephyr OS漏洞

Zephyr OS是物联网(IoT)和嵌入式设备中广泛使用的实时操作系统，拥有广泛的可定制性和兼容性，可满足不同的应用需求。由于Zephyr OS存在过滤缺陷，可能导致未经授权的访问或数据操纵，该缺陷还会使设备容易遭受拒绝服务攻击（DoS攻击）。

影响版本：

Zephyr OS v.3.5、v.3.4、2.7 (LTS v2)

Adobe ColdFusion漏洞

Adobe ColdFusion是Adobe公司开发的一套快速应用程序开发平台。Adobe Coldfusion 2023.6、2021.12及更早版本由于认证控制存在缺陷，攻击者可绕过认证读取系统任意文件，造成敏感信息泄露。漏洞编号为CVE-2024-20767，同时已经存在公开POC。

影响版本：

ColdFusion 2023 Update 6 and earlier versions

ColdFusion 2021 Update 12 and earlier versions

Microsoft SharePoint漏洞

该漏洞编号为 CVE-2023-24955（CVSS 评分：7.2），是一个严重的远程代码执行漏洞，允许有用站点所有者权限的攻击者执行任意代码。该漏洞于去年的Pwn2Own赛事上被展示和利用，需要与CVE-2023-29357这个漏洞组成利用链以损害目标系统的完整性、可用性和机密性。

补丁版本：

Microsoft SharePoint Server Subscription Edition < 16.0.16130.20420

Microsoft SharePoint Server 2019 < 16.0.10398.20000

Microsoft SharePoint Enterprise Server 2016 < 16.0.5395.1000

请注意：以上均为监测到的情报数据，盛邦安全不做真实性判断与检测