暗网数据及攻击威胁情报分析周报（10/07-10/11）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件218起，同比上周上升8.46%。本周内贩卖数据总量共计75973.7万条；累计涉及10个主要地区，主要涉及8种数据分类，数据泄露来源地区分布情况如图1所示。

本周内泄露数据涉及贸易、服务、金融等多种类型数据，具体占比如图2所示。

近期勒索活动频繁，由于勒索导致的数据泄露事件危害严重，需加强防范；本周内出现的安全漏洞以GitLab权限绕过漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9291条，主要涉及命令注入、apache log4j2攻击、Webshell检测等类型。

重点数据泄露事件

泰国赌场 86.5 万名用户信息泄露泄露时间：2024-10-09泄露内容：泰国赌场遭受入侵，导致86.5万名用户的个人和财务信息被泄露。攻击者声称拥有多个赌场的37个数据库，每个数据库关联不同的游戏或其镜像，单个数据库包含8,000至200,000名用户。被盗数据包括玩家日志和用户信息，以CSV格式呈现。

泄露数据量：86.5W

关联行业：博彩

地区：泰国

Giordano 数据库遭到泄露

泄露时间：2024-10-09

泄露内容：威胁者声称入侵了中东知名时尚零售品牌佐丹奴（Giordano）的数据库，并在暗网论坛上出售敏感信息。泄露的数据包括订单代码、付款信息、客户标识符等，涉及239,000条订单记录，以及包含电话号码和国家代码的116,000条手机数据。威胁者分享了数据预览，并要求以罗币（XMR）支付购买数据库。

泄露数据量：239,000订单、116,000手机数据

关联行业：贸易

地区：中东

Dr.Web遭入侵导致数据泄露

泄露时间：2024-10-09

泄露内容：俄罗斯顶尖网络安全公司Dr.Web疑似遭受重大网络攻击，导致高达10TB的敏感数据被盗。黑客声称侵入了Dr.Web的内部网络，获取了域控服务器、GitLab服务器、邮件服务器等关键数据。Dr.Web承认遭受攻击，但表示用户产品未受影响。

泄露数据量：10TB

关联行业：信息技术

地区：俄罗斯

Internet Archive 遭黑客攻击导致用户数据泄露

泄露时间：2024-10-09

泄露内容：Internet Archive网站遭受黑客攻击，导致3100万用户数据泄露。攻击者声称已窃取包含用户认证信息的数据库。泄露的数据包括电子邮件地址、屏幕名称、密码更改时间戳和bcrypt散列密码等。HIBP已收到6.4GB的SQL文件，并确认数据真实性。

泄露数据量：3100W

关联行业：信息技术

地区：美国

BestFin Nigeria发生大规模数据泄露

泄露时间：2024-10-09

泄露内容：尼日利亚金融科技公司BestFin Nigeria遭受数据泄露，影响了846,000名客户及其紧急联系人的敏感信息。泄露的数据包括个人姓名、性别、电话号码、电子邮件地址、家庭住址、出生日期、薪资范围、婚姻状况、紧急联系方式、设备上安装的应用程序列表、手机上的联系人列表、设备标识符、用户发送和接收的短信内容以及银行验证号码(BVN)验证日志。

泄露数据量：846,000

关联行业：金融

地区：尼日利亚

热点资讯

美国水务巨头遭网络攻击：水计费系统瘫痪，上千万人无法处理账单美国最大水务公共事业公司American Water Works遭受网络攻击，导致水计费系统瘫痪，影响约1400万用户处理账单。公司已暂停账单处理服务，并保证在系统恢复前，用户不会产生逾期费用或停止服务。攻击始于10月初，公司已通知执法部门并聘请网络安全专家协助。目前，供水和废水设施未受影响，但公司无法预测事件的全部影响。此次攻击的具体性质和责任方尚未公开。美国环境保护署指出，许多水系统存在关键网络安全漏洞，美国水务系统的网络威胁形势严峻。消息来源：

https://www.secrss.com/articles/70967

黑客成功入侵乐高官网仅获利几百美元

近期，乐高官网遭受了一场黑客攻击，攻击者替换了网站横幅，推出了名为“乐高币”的虚假加密货币。这次攻击发生在一个周末晚上，乐高迅速响应，在75分钟内解决了问题，网站恢复正常。幸运的是，没有用户账户受到影响，也没有数据泄露。黑客通过这次攻击仅获利几百美元，他们将用户重定向到合法的加密货币交易平台Uniswap，试图出售所谓的“乐高币”。乐高官方确认了这次入侵，并表示已采取措施防止未来发生类似事件。尽管这次攻击没有造成重大损失，但它提醒了其他零售品牌关于网站安全的重要性，尤其是在保护用户信息和维护品牌形象方面。

消息来源：

https://www.secrss.com/articles/70984

俄罗斯国家媒体 VGTRK 遭受重大网络攻击

近期，基辅黑客在上周生日当天对俄罗斯国家媒体公司VGTRK发起了大规模网络攻击。此次攻击导致VGTRK的在线广播、内部服务和通信中断，服务器及备份被破坏，用户无法访问其Rossiya-24新闻频道。克里姆林宫和佩斯科夫证实，这次“内部的黑客攻击”破坏了VGTRK的数字设施基础，专家正在调查攻击来源。乌克兰消息人士称，此次攻击由基辅黑客组织发起，目的是“庆祝”第三个生日。俄罗斯尚未正式确认是乌克兰，但认为亲乌克兰组织“Sudo rm-RF”是幕后黑手。

消息来源：

https://securityaffairs.com/169486/cyber-warfare-2/kyivs-hackers-hit-russian-state-media.html

澳大利亚新鲜农产品公司 Perfection Fresh 确认遭受勒索软件攻击

近期，澳大利亚新鲜农产品公司Perfection Fresh遭受Sarcoma勒索软件团伙的网络攻击。该团伙声称窃取了690GB的数据，并在暗网泄密网站上公布了包括员工护照扫描件和与客户及供应商的保密协议在内的文件。Perfection Fresh确认了这一事件，并已通知澳大利亚网络安全中心和信息专员办公室，同时获得了法院禁令以防止数据的进一步访问和传播。该公司建议利益相关者保持警惕，避免受到钓鱼或诈骗信息的影响。Sarcoma勒索软件组织在一夜之间公布了30名受害者的信息，声称窃取了超过5TB的数据。Perfection Fresh是澳大利亚最大的私营新鲜农产品企业之一，拥有1000多名员工。

消息来源：

https://www.cyberdaily.au/security/11221-exclusive-aussie-fresh-produce-company-perfection-fresh-confirms-ransomware-attack

UserSec 宣布推出新的 DDoS 攻击服务：OVERLOAD

黑客组织UserSec于近期宣布推出了一项名为OVERLOAD的新DDoS攻击服务。该服务声称利用由数万台路由器组成的IoT僵尸网络，优化了第4层(L4)攻击中的防御措施，如OVH和Datapacket。据UserSec称，OVERLOAD允许攻击者瞄准多个地址、随机化端口并控制数据包大小。对于第7层(L7)攻击，OVERLOAD提供100 Gbps的吞吐量，并声称能绕过Cloudflare和Qrator等安全系统。这一服务的推出，如果属实，将对全球网络安全防御构成重大威胁。

消息来源：

https://dailydarkweb.net/usersec-claims-new-ddos-attack-service-overload/

热点技术

朝鲜黑客利用虚假面试散布跨平台恶意软件

Palo Alto Networks Unit 42披露了名为“传染性访谈”的活动，其中与朝鲜有联系的威胁行为者CL-STA-0240针对科技行业求职者展开了攻击。这些威胁者通过求职平台冒充潜在雇主，邀请受害者参加在线面试，并诱导他们下载BeaverTail程序和信息窃取程序，这些程序专为Windows和macOS设计，并作为InvisibleFerret后门的管道。尽管活动已被公开，但威胁者依然通过诱使开发人员执行恶意代码获得成功。攻击链利用假视频会议应用程序，通过BeaverTail和InvisibleFerret渗透开发人员系统。最新版本的BeaverTail用Qt框架编写，能窃取浏览器密码和多个加密货币钱包数据。消息来源：

https://thehackernews.com/2024/10/n-korean-hackers-use-fake-interviews-to.html

微软发现文件托管服务在商业电子邮件攻击中的使用日益增多

微软警告，网络攻击者滥用合法文件托管服务如SharePoint、OneDrive和Dropbox来逃避防御并进行攻击。这些服务被用作信任和熟悉的平台，以绕过电子邮件安全拦截并传播恶意软件，这种方法也称为脱离可信站点(LOTS)。近期，微软观察到涉及访问受限和只读限制文件的网络钓鱼活动新趋势。攻击者通过钓鱼邮件发送配置为仅供指定收件人访问的文件，要求收件人登录文件共享服务并重新进行身份验证。一旦授权，目标会被重定向到中间人(AitM)网络钓鱼页面，从而窃取他们的密码和双因素身份验证(2FA)令牌，导致金融欺诈和数据泄露。此外，出现了名为Mamba 2FA的新型AitM网络钓鱼工具包，以网络钓鱼即服务(PhaaS)形式出售，支持多种验证方法，被盗凭证和cookie会通过Telegram机器人发送给攻击者。

消息来源：

https://thehackernews.com/2024/10/microsoft-detects-growing-use-of-file.html

网络犯罪分子利用 Unicode 在电子商务平台中隐藏蒙古文窃取器

网络安全研究人员发现，网络犯罪分子利用Unicode混淆技术隐藏一种名为“蒙古窃取器”的数字数据窃取器，以在电子商务平台上窃取敏感数据。该恶意软件通过JavaScript的Unicode字符隐藏恶意功能，目标是窃取结账或管理页面上的财务信息。它通常以内联脚本形式出现，从外部服务器获取负载，并在打开开发者工具时禁用某些功能以逃避分析。Jscrambler观察到一种加载器变体，仅在检测到用户交互事件时加载窃取器脚本，作为一种反机器人措施。研究人员还发现，受攻击的Magento网站被两个不同的窃取器团伙攻击，他们通过源代码注释相互交互并瓜分利润。尽管混淆技术看似新颖，但实际上是旧技术的重新利用，易于逆转。

消息来源：

https://thehackernews.com/2024/10/cybercriminals-use-unicode-to-hide.html

热点漏洞

GitLab权限绕过漏洞（CVE-2024-9164）

在GitLab企业版（EE）中发现了一个权限绕过漏洞（CVE-2024-9164），该漏洞的CVSS评分为9.6。攻击者能够利用这一漏洞，在任意分支上执行GitLab的CI/CD管道。成功利用可能导致未授权代码的执行等风险。GitLab是一个基于Git的版本控制和协作平台，提供代码管理、CI/CD工具和项目管理功能。影响产品：

• 12.5 <= GitLab EE < 17.2.9
• 17.3 <= GitLab EE < 17.3.5
• 17.4 <= GitLab EE < 17.4.2

open-webui/open-webui中Token的暴露（CVE-2024-7049）

在 open-webui/open-webui v0.3.8 版本中，存在一个漏洞，当具有待处理角色的用户登录时会返回一个令牌。这允许用户在没有管理员确认的情况下执行操作，从而绕过预期的批准流程。Open WebUI 是一个开源项目，旨在提供灵活和可定制的Web用户界面解决方案。它通常用于构建Web应用程序，使开发者能够快速搭建现代化的用户界面。

影响版本：

open-webui/open-webui v0.3.8

TI WooCommerce Wishlist存在SQL 注入漏洞（CVE-2024-9156）

由于对用户提供的参数转义不足以及对现有 SQL 查询准备不足，TI WooCommerce Wishlist WordPress 插件 2.8.2 版存在 SQL 注入漏洞。未经身份验证的攻击者可以将其他 SQL 查询附加到现有查询中，然后利用这些查询从数据库中提取敏感信息。

受影响版本：

TI WooCommerce Wishlist <= 2.8.2

Microsoft Management Console 远程代码执行漏洞（CVE-2024-43572）

Microsoft 管理控制台存在代码执行漏洞，漏洞评分为7.8，由于 Microsoft 对保存的控制台 (MSC) 文件验证不充分，导致攻击者可通过诱使受害者从网站下载并打开特制的Microsoft Saved Console (MSC) 文件来利用该漏洞，成功利用可能导致任意代码执行。

影响产品：

Microsoft Management Console

Mozilla Firefox UAF代码执行漏洞（CVE-2024-9680）

Mozilla 基金会修复了Firefox浏览器中的一个评分为9.8的释放后重引用漏洞（CVE-2024-9680），Animation timelines（动画时间线/轴）是Firefox浏览器Web Animations API中的一个重要机制，它允许开发者精确地控制和同步网页上的动画，由于其存在UAF（Use-After-Free）漏洞，使得攻击者能够通过利用动画时间轴中释放后使用漏洞在内容进程中实现代码执行。

影响产品：

• Firefox < 131.0.2
• Firefox ESR < 128.3.1
• Firefox ESR < 115.16.1

攻击情报

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。

来源：盛邦安全应急响应中心，以上均为监测到的情报数据，盛邦安全不做真实性判断与检测。