近期威胁情报汇总

1.澳大利亚战略政策研究所在报告中指责亲中反美网络账号使用人工智能

    澳大利亚战略政策研究所最近观察到一场源自YouTube的协调一致的不真实影响力活动，该活动宣扬亲中和反美言论，显然是为了改变英语受众对这些国家在国际政治、全球经济和战略技术竞争中角色的看法。这项新活动（Shadow Play）吸引了异常多的受众，并使用人工智能(AI)生成的实体和配音作为实现广泛影响力和规模的策略。它重点宣传一系列包括在美国对中国实施制裁的情况下中国努力“赢得中美技术战”的叙述。它还包括对中国和美国公司的关注，例如支持华为和反苹果的内容。

参考链接：https://ad-aspi.s3.ap-southeast-2.amazonaws.com/2023-12/Shadow%20Play.pdf

2.美国政府最新解密报告指责中国俄罗斯伊朗干扰2022美选举但未影响选举结果

    2023年12月19日，FBI在内的司法部和网络安全和基础设施安全局(CISA)在内的国土安全部(DHS)发布了一份报告。这份解密报告重申各部门没有发现任何证据表明任何外国政府附属行为体损害了任何选举基础设施的安全或完整性，但确实检测到一些不会损害选举基础设施的网络活动：

• 亲俄黑客活动分子声称实施了分布式拒绝服务(DDoS)攻击，导致对面向公众的美国州选举办公室网站的访问暂时受到限制。
• 可疑的中国网络行为者扫描了与选举相关和非选举的州政府网站。其他可疑的中国网络行为者还收集了公开的美国选民信息，可能是为了收集美国选民的个人身份信息和其他数据。
• 俄罗斯试图贬损民主党，目标是削弱美国对乌克兰的支持，并破坏对选举的信心。
• 中国试图影响个别竞选，这些竞选涉及两大党候选人，聚焦持反对中国观点的人，并秘密贬损一位联邦参议员。
• 伊朗从事了秘密行动，目的在于对人们所认为的社会分歧加以利用。

参考链接：https://www.justice.gov/opa/pr/joint-statement-departments-justice-and-homeland-security-assessing-impact-foreign-0

3.美国将13家中国企业列入未经核实名单

    2023年12月19日，美国商务部工业与安全局已将13家中国公司列入“未经验证清单”（UVL），包括北京金盛博越科技有限公司、北京盛博协同科技有限责任公司、富联精密电子（天津）有限公司、广州新威运输有限公司、广州芯云智慧科技有限公司、南宁富联富桂精密工业有限公司，工业富联旗下子公司、宁波沐福贸易有限公司、普莱克斯（厦门）有限公司、江苏至纯系统集成有限公司、深圳市博之通达科技有限公司、深圳嘉立创科技集团股份有限公司、深圳市金格朗伊科技有限公司、西安仪尔达科技有限公司。不同于“实体清单（EntityList）”，“未经验证清单”更大程度上是作为一种过渡性的“待观察清单”和“怀疑清单”，即美方怀疑相关实体的出口管制商品最终用途可能损害美国国家利益，但美方并不具有实质性的证据，因此将其纳入“未经验证清单”。根据拜登政府的政策，如果外国商务部阻止美国对“未经验证清单”上的公司进行现场检查，华盛顿将在 60 天后开始将其添加到限制性更强的“实体名单”中。

参考链接：https://www.federalregister.gov/documents/2023/12/20/2023-27928/additions-to-the-unverified-list

4.黑客组织GambleForce使用SQL注入对多个国家进行攻击

    自2023年9月出现以来，黑客组织GambleForce已针对澳大利亚、中国、印度尼西亚、菲律宾、印度、韩国、泰国和巴西的20多个网站（政府、赌博、零售和旅游）。尽管使用非常基本的攻击方法，威胁行为者仍成功攻击了澳大利亚（旅行）、印度尼西亚（旅行、零售）、菲律宾（政府）和韩国（赌博）的六家公司，这表明许多组织是多么脆弱抵御基本但明显危险的SQL注入攻击。在某些情况下，攻击者在进行侦察后停下来。在其他情况下，他们成功地提取了包含登录名和加密密码的用户数据库，以及可访问数据库中的表列表。威胁行为者不是寻找特定数据，而是尝试窃取目标数据库中的任何可用信息，例如加密和纯文本用户凭据。到目前为止，该组织如何处理被盗数据仍不得而知。该团伙服务器上发现的Cobalt Strike版本使用中文命令，且管理用户均为带有中文语义的字符串“sbsbsb22”和“nmgb”，并使用创建和管理反向shell的中文框架工具supershell，因此高度可信该团伙为中文语境黑客组织。

参考链接：https://www.group-ib.com/blog/gambleforce-gang/

5.NSA发布2023年网络安全年度回顾报告

    2023年12月19日，NSA发布2023年网络安全年度回顾报告，该报告包含有关美国国家安全局网络安全合作伙伴关系及其建设努力的信息，如在网络安全协作中心内成立了新的人工智能安全中心，该中心将促进国家安全系统（NSS）和国防工业基地（DIB）内人工智能功能的安全开发、集成和采用；与美国和国际合作伙伴一起，扩大美国国家安全局针对俄罗斯网络间谍恶意软件和中国恶意网络活动等全球威胁的网络安全影响；将美国国家安全局向国防部承包商提供的免费网络安全服务的注册人数增加了400%，强化了基础设施并加强了国防工业基础。

参考链接：https://media.defense.gov/2023/Dec/19/2003362479/-1/-1/0/NSA%202023%20CYBERSECURITY%20YEAR%20IN%20REVIEW.PDF

6.中国工信部组织开展网络安全保险服务试点工作

    为加快推进网络安全保险新模式落地应用，工信部2023年12月14日发布通知，组织开展网络安全保险服务试点工作，本次试点险种主要包括网络安全财产类保险和网络安全责任类保险两大类。该试点工作，旨在促进企业提升网络安全风险应对能力，建立健全网络安全保险流程机制，加快网络安全服务新业态发展。结合我国网络安全保险发展实际，试点内容包括面向电信和互联网、工业互联网、车联网等重点行业的企业类保险和网络安全产品、信息技术产品，以及网络安全服务类保险。对企业类保险而言，以企业法人为被保险方，主要保障网络安全事件对其造成的财产损失或赔偿责任。对产品服务类保险而言，以产品服务的购买方为保障对象，主要保障因网络安全事件造成的财产损失或赔偿责任。保险公司、再保险公司、保险中介机构、网络安全企业、基础电信运营商、保险科技公司、专业测评机构、司法鉴定机构、科研院所等网络安全保险服务机构可自行或联合相关主体（牵头单位1家，联合单位不超过10家）申报网络安全保险服务方案。

参考链接：https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_99e304fd87514108b38a827d46397fe3.html

7.CECC要求布林肯制裁参与悬赏海外香港活动人士的中国香港和大陆官员

披露时间：2023年12月20日

情报来源：https://www.cecc.gov/media-center/press-releases/chairs-and-house-ccp-select-committee-leadership-ask-for-sanctions-on

相关信息：美国国会暨行政当局中国委员会（CECC）主席、共和党联邦众议员克里斯·史密斯（Rep. Chris Smith）和委员会共同主席、民主党联邦参议员杰夫·默克里（Sen. Jeff Merkley）12月19日发布了一份致美国国务卿布林肯的信函，要求他对负责悬赏海外活动人士的中国香港和大陆官员实施制裁。人员包括香港律政司司长林定国、香港警务处处长萧泽颐、警务处助理处长赵咏兰、警务处助理处长王忠巡、香港警务处高级警司、香港刑事检控专员杨美琪和中国驻港维护国家安全公署署长董经纬。

8.印度跟美国和台湾加强合作应对与中国的网络对抗

披露时间：2023年12月13日

情报来源：https://www.business-standard.com/india-news/us-india-taiwan-unite-to-strengthen-cybersecurity-against-china-threat-123121300918_1.html

相关信息：12月11日和12日，印度USI（网络和平卓越网络中心）、印度台北经济文化中心（TECC）和美国驻新德里大使馆，在印度举行的首个全球合作与培训框架（GCTF）联合研讨会中，表示将在未来在网络安全防御方面加强合作对抗中国，并举例了印度国防网络（DCYA）在其中的重要作用。

9.拜登签署创纪录的8860亿美元《国防授权法》含抗衡中国大陆及支持台湾等内容

披露时间：2023年12月22日

情报来源：https://www.reuters.com/world/us/biden-signs-886-billion-us-defense-policy-bill-into-law-2023-12-22/

相关信息：美国总统乔·拜登(Joe Biden)12月22日将于14日国会投票通过的《国防授权法》(NDAA)签署成法，这部美国国防政策法案授权拨出创纪录的8860亿美元，用于年度军费开支和各项政策，包括援助乌克兰以及在印太地区对抗中国。法案禁止国防部采购某些中国电池公司的产品，禁止使用中国国家物流平台，还包括把有争议的国内监视授权延长四个月，让议员们有更多的时间来对《外国情报监视法》(Foreign Intelligence Surveillance Act)的702条款进行审议，或者对其进行改革，或者维持该项目。

10.中国将为在印度被捕的vivo员工提供领事协助

披露时间：2023年12月25日

情报来源：https://twitter.com/MonThreat/status/1739192116536901914

相关信息：10月10日，印度打击金融犯罪机构因涉嫌洗钱逮捕了四名vivo印度分部高管，其中包括一名中国公民。12月23日，印度执法机构又因同样的罪名逮捕了两名vivo印度分部门的高级员工。12月25日，中国外交部表示将向被印度当局逮捕的vivo的两名中国员工提供领事保护和协助，并敦促印度不要歧视中国公司。

11.中国对美国研究和数据分析公司Kharon实施制裁

披露时间：2023年12月27日

情报来源：https://www.fmprc.gov.cn/fyrbt_673021/202312/t20231226_11213135.shtml

相关信息：12月26日中国外交部例行记者会上，外交部发言人宣布就近日美方因涉疆问题对中国人员和企业实施制裁，中方将采取坚决反制措施。根据《中华人民共和国反外国制裁法》，中方将对长期搜集涉疆敏感信息、为美方涉疆非法制裁提供“依据”的美国情报数据公司卡隆（Kharon）等1家机构；对卡隆公司调查主任许勐（Edmund Xu）、前美高等国防研究中心研究员尼科尔·莫格雷特（Nicole Morgret）等2人采取反制措施，禁止上述2人入境中国（包括内地和香港、澳门特区），冻结上述公司和个人在中国境内的动产、不动产和其他各类财产，禁止中国境内的组织、个人与其进行有关交易、合作等活动。

12.美国正在逐步加大对中国情报收集力量的投入

披露时间：2023年12月26日

情报来源：https://www.wsj.com/politics/national-security/american-spies-confront-a-new-formidable-china-5c384370

相关信息：十年前，北京方面的反间谍人员有计划地围剿了一个为CIA工作的中国线人网络，几乎令美国在中国的情报网瘫痪。如今美国正在逐步加大对中国情报收集力量的投入，CIA已中国问题作为其全球优先事项来应对，过去三年用于中国任务的预算资源增加了一倍多，还成立了CIA唯一的单一国家任务中心中国任务中心(China Mission Center)，负责协调整个机构在中国问题上的工作。NSA加强了对美国公司开发军用和民用技术的情报收集，而CIA则投入资源收集中国公司开发人工智能、量子计算等技术的数据和工具。

13.一个新的100+Bot分组的Mirai变种僵尸网络“TBOT”正在活跃中，该僵尸网络具备0day利用能力，使用OpenNIC自定义域名，目前其Bot IP日活跃3万以上，感染比较多的地区是中国、委内瑞拉、印度、韩国、巴西、日本等地，涉及国内多家单位

披露时间：2024年01月02日

情报来源：https://blog.xlab.qianxin.com/mirai-tbot/

14.Anonymous Collective称其为支持以色列，对中国国有制造商和供应商海康威视进行了DDoS攻击

披露时间：2024年01月03日

情报来源：https://twitter.com/DailyDarkWeb/status/1742516160472481882

15.密苏里州州长1月2日颁布行政命令，禁止中国、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉总统尼古拉斯·马杜罗购买密苏里州军事基地附近的土地

披露时间：2024年01月02日

情报来源：https://www.ecfr.gov/current/title-15/subtitle-A/part-7/subpart-A/section-7.4

16.中国某知名电商超8亿个人历史泄露订单数据在外网披露，包含ID、电话号码、姓名、地址、购物详情、价格、订单日期等

披露时间：2024年01月04日

情报来源：https://mp.weixin.qq.com/s/ej3rYgfUWBiyFNJGHyAALQ

17.黑客正在暗网市场以6000美刀出售中国某制造企业的RDP/Citrix初始访问权限，该公司的收入为15亿美元

披露时间：2024年01月04日

情报来源：https://twitter.com/DailyDarkWeb/status/1742591657407807800

18.美国联邦调查局警告公众，犯罪分子冒充中国警察诈骗美国华人社区，特别是在美国大学就读的中国学生

披露时间：2024年01月03日

情报来源：https://www.ic3.gov/Media/Y2024/PSA240103

19.中国国家安全机关破获一起英国秘密情报局军情六处（MI6）间谍案

披露时间：2024年01月08日

情报来源：https://mp.weixin.qq.com/s/lvLuIwWAuJ7mYCdGTEONkg

20.旧梦 | 2022年魔都数据泄露始末

编者按：只对事件本身进行分析研究，不对数据泄露真实性进行探讨，部分数据已打码，望理解。

    2022年06月30日上午08:55时（UTC），在“Breach Forums”（现已被FBI查封）暗网泄露数据交易市场上，名为ChinaDan的新注册用户发表了一篇标题为《2022 - S^HGA S^hanghai G^ov N^ational P^olice d^atabase》的帖子。    其声称拥有某地高达23+TB的数据库数据，涉及数10亿名居民信息及案件信息，并以10BTC（20万美元/134万人民币）打包出售，其发布声明的关键信息如下：

• 泄露来源

oss-cn-shanghai-shga-d01-a.ops.ga.sh

• 泄露数据表

----TABLES----
person_address_label_info_slave QFpD25bKTJ2eQBxcbe2Aaw 90 0 546148916 0 172.2gb 172.2gb
nb_theme_address_merge_tracks_slave -bUMVB1uRRusUbbqZepEpA 300 0 37483779369 4 22.4tb 22.4tb
nb_theme_address_case_dwd_test 7COIWTt7QU-YPwWub8z_SQ 150 0 22375506 1749307 25.2gb 25.2gb
nb_theme_address_company_dwd-total fpnmEYB9SI6WevHnZIEwIA 150 0 1842856 0 2.8gb 2.8gb
nb_theme_address_case_dwd-total 7X8oNqULQnWFLpzHDaUTbg 150 0 1214119253 0 1tb 1tb
nb_theme_address_company_dwd_test g5f6l4LGQcGL3oQ6ON2Bbw 150 0 2017931 0 4.3gb 4.3gb
person_address_label_info_master t64pp9WnS3maY9jBjzTtiw 90 0 969830088 0 282.8gb 282.8gb

• 数据详情

数据库包含数10亿居民和案件记录的信息，包括：
- 名字
- 地址
- 出生地
- 身份证号码
- 手机号码
- 所有犯罪/案件详情

    为了证明其数据真实性，ChinaDan起初同时提供了67条三个主要数据库的真实样本数据，这份数据在6月28日便被上传于gofile平台。在事件影响扩大后，于7月3日上传了更大的总计750k条的样本数据（图中链接均已失效）。    ChinaDan分享的三种样品数据分别为手机号和地址、案件信息、个人信息（包括但不限于姓名、性别、年龄、出生日期、籍贯、身份证号等）。

address_merge_with_mobile_data.json
case_data_index.json
person_info.json

• 手机号和地址（已打码）

{"_source":{"APP_TYPE":"1240002","ATTR_IDENT_LABEL":"07","ATTR_IDENT_LABEL_DETL":"{"LABEL_DETL":[{"07":"shga_wa.ods_nb_app_icpoof_expressdelivery"}]}","BIG_SOURCE":"WA","COUNT":"1","DATA_SOURCE":"115","DETAIL":"{"nameinfo":[{"name":"赵**"}]}","FIRST_TIME":"1575594385","IDENTITY_TYPE":"mobile","IDENTITY_VALUE":"138****8850","LAST_TIME":"1575594385","MRG_ID":"a61f5cf0e9624b0339491f463f07ffe6","SRC_ADDRESS":"北京北京市顺义区胜利街道怡磬家园**号楼*门*****","SRC_ID":"a61f5cf0e9624b0339491f463f07ffe6","TABLE_SOURCE":"shga_wa.ods_nb_app_icpoof_expressdelivery"},"_type":"a","sort":[33150]}

• 案件信息（已打码）

{"_id":"AW5jypW1F8wq3TJlefWk","_index":"nb_theme_address_case_dwd-total","_score":null,"_source":{"ADDR_DETL":"{"CASE":{"BRIEF_CASE":"2011年08月17日07时42分,报警人使用1381808****报警称:在 瑞和路168号 8号楼门口 2辆轿车相撞。双方理赔中心理赔","CASE_TYPE":null,"CASE_STATE":null},"ORGANIZER_POLICE_TYPE":null,"ORGANIZER":{"ORGANIZER_NAME":null,"ORGANIZER_AREA":null},"TIME":{"ACCEPTANCE_TIME":null,"REGISTER_TIME":null,"CLOSING_TIME":null,"PUNISH_TIME":null,"CASE_TIME":null,"REPORT_TIME":null},"ACCEPTANCE_UNIT_JSON":{"ACCEPTANCE_UNIT_NUMBER":null,"ACCEPTANCE_UNIT_NAME":null},"TABLE_SOURCE":"shga_dwd.base_wsba_hx_a_jbxx_df","CASE_ADDRESS":"上海市浦东新区航头镇瑞和路***号"}","ADDR_TYPE":"01","BLOCK_L4":"航头镇","CASE_NUMBER":"B3101151600002011080463","CITY_L2":"上海市","CONFIDENCE":"5","COUNTY_L3":"浦东新区","GEOHASH7":"wtw2yg0","GEOHASH8":"wtw2yg02","GEOHASH9":"wtw2yg02p","LATITUDE":"31.085841","LOC_SOURCE":"0","LONGITUDE":"121.586345","MCS_ID":"057af3c769c2ff9ac4ee6948d71b2ffd","NUMBER_L7":"***号","POI_L8":"浦东新区航头镇","PROVINCE_L1":"上海市","ROAD_L5":"瑞和路","STD_ADDRESS":"上海市上海市浦东新区航头镇瑞和路***号浦东新区航头镇"},"_type":"a","sort":[26091]}

• 个人信息（已打码）

{"_id":"AXtamq1fgpreNtWiOa87","_index":"person_address_label_info_master","_score":null,"_source":{"AGE":26,"BIRTHDAY":"1995","BPLACE":"浙江省杭州市富阳市","HHPLACE":"杭州市富阳区大源镇骆村村秦骆***号","IDNO":"33018319951206****","IDTYPE":"01","PHOTO":"{"身份证":["http://oss-cn-shanghai-shga-d01-a.ops.ga.sh/shga-ryzp/CSJ/ZHEJIANG_CZRK_ZP/51853153_330111.jpg"]}","QUERY_STRING":"  浙江省杭州市富阳市  杭州市富阳区大源镇骆村村秦骆***号 26 95 1995 上海市上海市青浦区香花桥街道久远路****弄**号***室","RNAME":"骆路峰","SEX":"男","STD_ADDRESS":"上海市上海市青浦区香花桥街道久远路****弄**号***室"},"_type":"a","sort":[6754190]}

    泄露事件发生后，因涉及数据量太大，在国内外尤其是安全圈引起了极大的讨论。随后有人发现，一位ID叫做“帽子屋先生”的用户，于2020年8月26日在CSDN上发布了一篇其开发学习笔记《【Spring Boot + Datahub】阿里云流数据处理平台 基于2.15版本的数据读写【上】》（因舆论压力太大，该老哥已删号跑路）。    在笔记中，作者在配置信息里泄露了服务器datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh的accessId和accessKey，在拥有该服务器的访问权限下，就可通过ID和KEY获得操作权限。

// Endpoint以Region: 华东1为例，其他Region请按实际情况填写
        String endpoint = "https://datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh";
        String accessId = "0iWV0NCs805VuAAu";
        String accessKey = "iEwlgpCnXDwT93YMVDb2G60my9ne81";
        String projectName = "sjc_rwzx";
        String topicName = "task_center_platform_request";
        RecordSchema schema = new RecordSchema();

    但这个作者其实是具有保密意识的，他在其他配置里面均对关键信息进行了处理，只不过不知什么原因遗漏了对这个信息的脱敏。    但是问题来了：

• 数据贩卖者ChinaDan所说的泄露地址oss-cn-shanghai-shga-d01-a.ops.ga.sh和网友推断的泄露地址datahub.cn-shanghai-shga-d01.dh.alicloud.ga.sh，虽然均使用了“shanghai-shga-d01”这一字符串，但真是同一台服务器吗。
• 这两个地址均为阿里云的政务云私有地址，攻击者要想获取到服务器的数据，在姑且不论有无漏洞脱取数据的情况下，最起码也要先有该服务器的内网访问权限，但这可能吗，这可比单纯的数据泄露事件严重地多。

    从ChinaDan分享的样本数据来看，其文件为.json文件，内容格式也像Elasticsearch导出的格式，除了攻击者自己数据清洗后导出的，那会不会泄露源就是个ES服务器呢。    而数据库暴露监控平台LeakIX恰巧监控到了此服务器，利用该平台对ChinaDan分享的泄露数据表中最大数据量对应的字段名字符串“nb_theme_address_merge_tracks_slave”进行查找，在搜索结果中可看到存在服务器101.89.99.234，其显示归属地为CN，开放端口为5601，证书域名为“kibana.elasticsearch.aliyuncs.com”。

    由此可知这是一台阿里云服务器，且对外开放了无密码保护的Kibana控制台（注：Kibana用于查看数据和管理Elasticsearch集群，并允许与底层Elasticsearch集群建立代理连接）。    点击进入查看下该服务器详细的监控信息，发现该服务器上数据于2021年11月20日就已暴露在互联网中，当时存储的数据就已高达26TB，数据字段名也与ChinaDan提供的相同。    但据空间测绘平台监测该服务器首次出现在互联网上时间为2021年01月06日，且归属地为某地市。    根据监控记录显示，首次泄露迹象出现在2022年06月26日，攻击者脱取后并删除了数据，并要价勒索10BTC，这与ChinaDan的要价相同。    直至06月30日ChinaDan在数据泄露交易市场贩卖数据的第二天（07月01日），该服务器所有者才将其关闭，自此共计该数据暴露在互联网上共223天。    对证书域名“kibana.elasticsearch.aliyuncs.com”进行搜索，发现在同时期还有13台服务器存在数据泄露，其中最大的居然高达92.3TB。

    2023年04月25日，名为ChinaManDan以8万美元出售6.3亿公民敏感数据，其声称是从一台未设密码的mongodb服务器37.187.142.171上脱取。    根据其提供的联系邮箱，可关联到其就是ChinaDan。

    2023年09月15日，网信上海公众号发布一篇《公民个人信息泄露遭境外披露兜售 我市一政务信息系统技术服务公司被行政处罚》的文章，称对2022年7月的一起数据泄露事件的涉事公司进行处罚（事件有无关系未知）。

参考链接：

[1].https://archive.is/osjD7 

[2].https://archive.is/57D3r 

[3].https://archive.ph/mP3bh 

[4].https://blog.leakix.net/2022/07/what-we-know-about-the-china-leak/

[5].https://fofa.info/result?qbase64=MTAxLjg5Ljk5LjIzNA%3D%3D&full=true

[6].https://leakix.net/search?scope=leak&q=%2Bssl.certificate.cn%3A%22kibana.elasticsearch.aliyuncs.com+%22

[7].https://leakix.net/host/101.89.99.234

[8].https://mp.weixin.qq.com/s/b4Ona9y43XTgdYnGIKgt3Q

- END -以上威胁情报均转载自微信公众号奇点威胁