威胁情报分析周报（04/01-04/07）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件228起，同比上周减少16.48%。本周内贩卖数据总量共计71530.8万条；累计涉及15个主要地区，涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及社交、贸易、金融等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期以政府组织为目标的网络攻击事件不断上升，需要提高警惕并加强安全措施。本周内出现的安全漏洞以HTTP/2协议漏洞漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9029条，主要涉及命令注入、漏洞利用、Log4j2攻击等类型。

01.重点数据泄露事件

美国癌症中心数据泄露

泄露时间：2024-04-04

泄露内容：此次事件可能泄露的敏感数据包括：姓名、电子邮件、电话、信用卡、社会安全号码、保险信息等。该组织表示已经为可能泄露数据的用户提供了两年的身份监控服务，建议相关人员关注银行对账单，并对未经请求的通信、企图欺诈或索取更多信息的行为保持警惕。

泄露数据量：827000

关联行业：医疗

地区：美国

美国耳鼻喉科协会数据泄露

泄露时间：2024-04-01

泄露内容：2024年4月1日，Otolaryngology Associates,LLC（“OA”）发生数据泄露事件，该事件导致未经授权的一方能够访问消费者的敏感信息，其中包括姓名、社会安全号码、驾照号码、医疗记录号码等，其具体类型因人而异。

泄露数据量：31.6万

关联行业：医疗

地区：美国

SurveyLama数据泄露

泄露时间：2024-04-03

泄露内容：SurveyLama是一个在线问卷调查奖励平台。该平台于近期被第三方披露遭到了数据泄露事件，导致440万用户的敏感数据泄露。其中涉及各种数据类型，包括：电子邮件、IP地址、密码，电话号码，地址。已经有受影响的用户验证了这些数据的真实性。

泄露数据量：440万

关联行业：互联网

地区：法国

美国保德信金融集团数据泄露

泄露时间：2024-04-03

泄露内容：保德信金融集团（Prudential Financial）由于黑客入侵，攻击者获得了该公司用户管理数据以及员工和承包商帐户的系统访问权限。Alphv/BlackCat勒索软件组织表示对此次攻击负责，并将Prudential列入了泄露网站名单，泄露的数据包括姓名、其他个人标识符及驾照号码。

泄露数据量：3.6万

关联行业：金融

地区：美国

购物平台PandaBuy数据泄露

泄露时间：2024-04-01

泄露内容：PandaBuy在线购物平台允许国际用户从中国的各个电子商务平台购买产品，包括天猫、淘宝和京东。由于PandaBuy平台API存在严重漏洞，导致1348407个PandaBuy账户被泄露，泄露的数据包括：电子邮件、客户名称、订单号、送货地址等。HIBP对泄露的地址进行了验证并表示:攻击者发布的300万数据量可能不真实，但是至少有130万个电子邮件是有效的。

泄露数据量：130万

关联行业：贸易

地区：英国

02.热点资讯

XZ供应链攻击导致史诗级后门植入

开源软件XZ被植入“后门”事件，引发了网络安全界的轩然大波。有开发人员（Andres Freund）在安全邮件列表上发帖称，他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击，进一步溯源发现SSH使用的上游liblzma库被植入了后门代码，恶意代码允许攻击者通过后门版本的SSH未授权获取系统的访问权限。整个后门植入的故事非常精彩，攻击者为此整整潜伏了三年，只差一点点就可以往众多Linux发行版的sshd中注入可用于绕过密钥验证的后门。三年时间中，攻击者从注册账户到获取commit代码权限，再到隐藏后门的技术都堪称典范。

消息来源：

https://www.openwall.com/lists/oss-security/2024/03/29/4

https://research.swtch.com/xz-timeline

越南黑客利用恶意软件窃取亚洲金融数据

据安全研究人员观察，自2023年5月以来，疑似来自越南的APT组织利用恶意软件针对多个亚洲和东南亚国家的金融实体进行攻击，并将其描述为出于经济动机。该活动的目标包括印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南。该组织专注于窃取受害者的凭据、财务数据和社交媒体帐户，包括商业和广告帐户。该组织使用的恶意软件包括远程木马和信息窃取程序，例如AsyncRAT，同时部署了Ducktail、NodeStealer和VietCredCare等系列恶意窃取软件来控制帐户以进一步获利。

消息来源：

https://thehackernews.com/2024/04/vietnam-based-hackers-steal-financial.html

密苏里州因勒索攻击宣布进入紧急状态

密苏里州杰克逊县宣布进入紧急状态，并无限期关闭主要办公室，以应对勒索软件攻击，该攻击已导致部分 IT 系统无法运行。在早些时候发现的一些迹象表明，其IT基础设施系统部分运行异常，已确认无法运行的系统包括税收和在线财产支付、结婚证颁发以及搜查令颁发。为了应对勒索攻击，所有县内契约评估、收集和记录办公室均已关闭，直至另行通知，目前没有证据表明数据遭到泄露。

消息来源：

https://arstechnica.com/security/2024/04/missouri-county-declares-state-of-emergency-amid-suspected-ransomware-attack/  

谷歌表示将销毁从Chrome隐身模式收集的浏览数据

4月1日，谷歌就Chrome追踪隐身用户的集体诉讼达成和解，公布了第一个细节。该诉讼指控谷歌误导Chrome用户关于隐身浏览的真正私密性。它声称该公司告诉客户他们的信息是私密的-即使它监控他们的活动。谷歌为其辩护声称它警告Chrome用户，隐身模式“并不意味着‘隐形’”，网站仍然可以看到他们的活动。该诉讼于2020年提起，要求Google公司支付50亿美元的损失。《华尔街日报》报道称，谷歌将销毁其不当收集的“数十亿个数据集”，更新其数据收集披露协议，并在未来五年内维持默认阻止Chrome第三方cookie的设置。

消息来源：

https://www.engadget.com/google-says-it-will-destroy-browsing-data-collected-from-chromes-incognito-mode-172121598.html

03.热点技术

新的JSOutProx恶意软件

网络安全研究人员发现了JSOutProx恶意软件的新版本，旨在针对亚太地区（APAC）和中东-北非（MENA）地区的金融组织。JSOutProx于2019年首次发现，它结合了JavaScript和.NET功能来渗透系统。该恶意软件利用.NET（反）序列化功能与受害者计算机上的JavaScript模块进行通信，从而执行各种恶意活动。该攻击活动主要通过金融行业电子邮件进行钓鱼，大多数恶意负载都托管在GitHub存储库上，最近的发现还表明，恶意软件的感染链已转向GitLab而不是GitHub，攻击者注册帐户来部署包含恶意负载的存储库。该恶意软件的模块化架构使其能够执行各种命令，包括捕获屏幕截图和控制系统文件。

消息来源：

https://www.infosecurity-magazine.com/news/jsoutprox-targets-financial-firms/

新的Latrodectus恶意软件

一种相对较新的恶意软件Latrodectus的被认为是IcedID加载程序的演变，该加载程序自2023年11月以来一直在恶意电子邮件活动中出现。IcedID是一个于2017年首次发现的恶意软件家族，最初被归类为模块化银行木马，用于从受感染的计算机中窃取财务信息。随着时间的推移，它变得更加复杂，增加了免杀和命令执行功能。近年来，它充当了加载程序的角色，可以将其他类型的恶意软件（包括勒索软件）加载到受感染的系统上。目前IcedID服务器开始在钓鱼活动中大规模的分发Latrodectus，但是目前这款新的加载程序功能还处于试验阶段。

消息来源：

https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-replaces-icedid-in-network-breaches/#google_vignette

Rhadamanthys恶意软件活动

目前名为Rhadamanthys的信息窃取恶意软件的新版本正在用于针对石油和天然气行业的网络钓鱼活动。钓鱼邮件中带有一个恶意链接，该链接利用重定向缺陷将收件人带到托管所谓PDF文档的链接，但实际上，该链接是一个图像，单击后会下载带有窃取者有效负载的ZIP压缩包。Rhadamanthys使用C++编写，旨在与命令和控制（C2）服务器建立连接，以便从受感染的主机获取敏感数据。一个细节是在执法部门取缔LockBit后就出现了该恶意活动。

消息来源：

https://thehackernews.com/2024/04/new-phishing-campaign-targets-oil-gas.html

Chrome新功能防止Cookie窃取

Google宣布了名为“设备绑定会话凭证”（DBSC）的新型Chrome安全功能，该功能将Cookie与特定设备绑定，阻止黑客窃取并使用它们劫持用户帐户。启用DBSC后，身份验证过程将链接到设备的可信平台模块（TPM）芯片生成的特定公钥/私钥对，该密钥无法被泄露并安全地存储在设备上，因此即使攻击者窃取了Cookie，也无法访问用户帐户。Google认为这将大大降低cookie盗窃恶意软件的成功率。攻击者将被迫在设备上进行本地操作，无论是对于防病毒软件还是企业管理而言这都使得设备上的检测和清理更加有效。

消息来源：

https://www.bleepingcomputer.com/news/security/new-chrome-feature-aims-to-stop-hackers-from-using-stolen-cookies/

恶意APP将Android手机变成网络犯罪分子的代理

安全研究人员在Google Play商店中发现了多个恶意Android应用程序，这些应用程序将移动设备转变为其他网络犯罪分子的住宅代理（RESIP)。住宅代理是源自互联网服务提供商（ISP)提供的真实IP地址的代理服务器网络，通过中间服务器路由互联网流量，帮助用户隐藏其真实IP。这些应用程序本质上将这些设备构成一个僵尸网络，然后通过向其他客户出售访问权限来获利。抛开匿名性的好处不谈，住宅代理的滥用不仅可以混淆其来源，还可以进行更加广泛的攻击。

消息来源：

https://thehackernews.com/2024/04/malicious-apps-caught-secretly-turning.html

04.热点漏洞

Google Pixel智能手机漏洞

谷歌旗下的Pixel智能手机存在两个严重的安全漏洞，其中CVE-2024-29745是一个引导加载程序组件中的信息泄露漏洞，通过该漏洞可以在刷机状态下转储内存；CVE-2024-29748是一个固件权限提升漏洞，可以通过设备管理API触发出厂重置；通过这两个漏洞可以实现取证工具武器化，目前已经被一些取证公司利用。

影响版本：

Pixel 4/5/6/7/8 系列 < 2024年4月5日补丁

WordPress LayerSlider插件漏洞

LayerSlider是WordPress建站系统上的一款可视化网页内容编辑器插件，该插件代码由于对用户提交的参数过滤不充分导致了SQL注入漏洞，注入方式为时间盲注。漏洞编号为CVE-2024-2879，CVSS评分为9.8分（满分10.0分），目前开发者已经发布漏洞修复后的新版本。

补丁版本：

WordPress LayerSlider 7.9.11 - 7.10.0

Google Chrome漏洞

谷歌修复了Chrome浏览器中的另一个零日漏洞，该漏洞在上个月的Pwn2Own黑客大赛中被安全研究人员利用，漏洞编号为CVE-2024-3159，是由Chrome V8 JavaScript引擎中的越界读取漏洞引起的。远程攻击者可以利用精心设计的HTML页面利用该漏洞，通过堆损坏来访问内存缓冲区之外的数据，如访问敏感信息或触发崩溃。

影响版本：

Google Chrome < 123.0.6312.105/.106/.107（Windows、Mac）

Google Chrome < 123.0.6312.105（Linux）

Ivanti多个VPN网关漏洞

Ivanti的ConnectSecure和PolicySecure网关中存在多个漏洞，编号CVE-2024-21894是一个未授权的远程代码执行漏洞，该漏洞是由IPSec组件中的堆溢出漏洞造成，并且也可以用于进行拒绝服务攻击（DoS）。编号CVE-2024-22052是IPSec组件中的空指针取消引用漏洞，编号CVE-2024-22053是IPSec组件中的堆溢出漏洞，编号CVE-2024-22023是SAML组件中的XEE漏洞。美国网络安全和基础设施安全局（CISA）已经向联邦机构发布紧急指令，要求断开受影响VPN设备的连接并打补丁再重新上线。

补丁版本：

Ivanti Connect Secure: 22.1R6.2, 22.2R4.2, 22.3R1.2, 22.4R1.2, 22.4R2.4, 22.5R1.3, 22.5R2.4, 22.6R2.3, 9.1R14.6, 9.1R15.4, 9.1R16.4, 9.1R17.4, 9.1R18.5

Ivanti Policy Secure: 22.4R1.2, 22.5R1.3, 22.6R1.2, 9.1R16.4, 9.1R17.4, 9.1R18.5

HTTP/2协议漏洞

HTTP/2协议中的CONTINUATION帧可被利用进行拒绝服务（DoS）攻击。该漏洞影响多个项目，例如amphp/http（CVE-2024-2653）、Apache HTTP Server（CVE-2024-27316）、Apache Tomcat（CVE-2024-24549）、Apache Traffic Server（CVE-2024-31309）、Envoy proxy（CVE-2024-27919和CVE-2024-30255）、Golang（CVE-2023-45288）、h2 Rust crate、nghttp2（CVE-2024-28182）、Node.js（CVE-2024-27983）和Tempesta FW（CVE-2024-2758）。建议用户将受影响的软件升级到最新版本，以减轻潜在威胁。如果没有修复，建议考虑暂时禁用服务器上的 HTTP/2。

影响版本：

amphp/http v4.0.0-rc10 - 4.0.0

Apache HTTP Server <= 2.4.58

Apache Tomcat 11.0.0-M1 - 11.0.0-M16

Apache Tomcat 10.1.0-M1 - 10.1.18

Apache Tomcat 9.0.0-M1 - 9.0.85

Apache Tomcat 8.5.0 - 8.5.98

Apache Traffic Server 1.29.0, 1.29.1

Envoy proxy <= 1.29.2

Golang 1.22.2, 1.21.9

nghttp2 < 1.61.0

Node.js 18.x, 20.x, 21.x

Tempesta FW < 0.7.1

请注意：以上均为监测到的情报数据，盛邦安全不做真实性判断与检测