安全威胁情报周报（1.8~1.14）

伊朗多家保险公司遭受大规模黑客攻击，数亿用户信息遭窃

Tag：保险，数据泄露

事件概述：

Hudson研究人员在12月20日报告称，一名自称为‘irleaks’的黑客在暗网上宣布出售据称来自伊朗23家主要保险公司的超过1.6亿条记录。黑客声称窃取的信息包括用户的姓名、出生日期、父亲姓名、电话号码、手机号码、国家代码等，售价为 60,000美元。Hudson Rock对样本数据进行了分析，确认其真实性，但目前尚不清楚黑客是如何同时攻击这么多保险公司的。

在12月30日，irleaks宣布成功攻击了伊朗最大的送餐平台SnappFood，窃取了3TB 的数据。据宣布，此次攻击导致包括2000万用户的电子邮件、密码、电话号码在内的用户数据，以及5100万用户地址、60万信用卡数据和1.8亿设备相关信息泄露。尽管攻击来源尚不明确，Hudson Rock研究人员发现SnappFood的一名员工最近受到攻击，其计算机感染了StealC信息窃取软件，可能作为对公司的初始攻击途径。目前，伊朗多家保险公司正在一起共同应对这一大规模数据泄露事件。

来源：

https://securityaffairs.com/156761/hacking/multiple-organizations-iran-hacked.html

沙特部委暴露敏感数据长达 15 个月

Tag：数据泄露

事件概述：

最近一次网络安全事件引起了沙特工业与矿产资源部门（MIM）的广泛关注，一份环境文件的泄露成为横扫政府系统的潜在威胁源，可能演变为多种网络空间攻击。

MIM是沙特阿拉伯政府的机构，成立于2019年，旨在推动沙特经济的多元化，减少对石油和天然气的过度依赖。调查显示，MIM的环境文件自2022年3月被IoT搜索引擎索引以来，一直暴露在网络中，这意味着敏感数据至少在过去15个月中处于危险之中。目前，该文件已关闭，不再对公众可见。

泄露的文件中包含各种数据库凭据、邮件凭据和数据加密密钥。SMTP凭据的曝光可能使攻击者冒充政府官员，进行社交工程攻击，试图获取更多敏感信息。此外，Laravel APP_Key的曝光允许攻击者解密敏感信息，威胁数据的机密性。

此次事件存在巨大的潜在风险，泄露的凭据可能导致政府邮件账户和数据库系统的未经授权访问，进而进行账户接管、数据篡改、发送恶意邮件或获取对其他系统或资源的进一步访问权限。滥用泄露的凭据还可能导致敏感政府数据的泄露和外泄，危及公民的个人身份信息、机密文件和财务记录。在处理此类事件时，政府和相关部门需采取紧急措施，以防止进一步的安全威胁。

来源：

https://cybernews.com/security/saudi-ministry-mim-exposed-sensitive-data/

AsyncRAT恶意软件针对美国基础设施攻击持续11个月

Tag：恶意软件，基础设施

事件概述：

AT&T Alien Labs最近披露了一场历时11个月 AsyncRAT 攻击活动。攻击者采用钓鱼页面传递初始JavaScript文件，涉及300多个样本和100多个域名。这次攻击选择目标经过仔细挑选，其中包括美国关键基础设施管理者。

为了规避检测，加载器使用了大量混淆和反沙箱技术，同时DGA域每周更新一次。值得注意的是，攻击仍在持续进行中，不断有新的域和AsyncRAT样本注册。

AsyncRAT是2019年发布的开源远程访问工具，可被用作远程访问特洛伊（RAT）。攻击过程包括通过恶意钓鱼网页传递JavaScript文件，利用多层混淆和反分析技术。攻击者还灵活使用反沙箱技术，通过计算受害者虚拟机概率，巧妙规遍各个受害者，成功逃避检测。最终，脚本执行下载AsyncRAT客户端。

总体而言，这场攻击呈现出精心策划、持续时间长、具有高度混淆和反分析技术的异步远程访问工具活动。攻击者通过选择特定目标、采用反沙箱技术和使用动态域名生成器，成功地更新网络基础设施，从而有效地逃避了检测。

来源：

https://cybersecurity.att.com/blogs/labs-research/asyncrat-loader-obfuscation-dgas-decoys-and-govno

Sea Turtle组织针对荷兰IT和电信公司发起间谍活动

Tag：Sea Turtle，荷兰

事件概述：

Hunt & Hackett在荷兰观察到一系列网络攻击，据信这些攻击是由与土耳其利益相关的网络威胁组织策划的。Sea Turtle组织是这一威胁组织团体的核心，总部位于土耳其，使用DNS劫持等手段进行高级持续性攻击。Sea Turtle组织的目标主要是政府机构、库尔德组织、非政府组织、电信实体、互联网服务提供商、IT服务提供商和媒体与娱乐组织，以窃取有价值和敏感的数据。Sea Turtle组织的活动在荷兰特别集中在电信、媒体、互联网服务提供商和IT服务提供商，特别是针对库尔德网站。他们使用供应链攻击，拦截互联网流量，并利用反向shell机制进行数据收集。

技术手法：

Sea Turtle组织采用了多种技术手法来实施攻击。首先，他们利用SSH（Secure Shell）协议进行攻击，通过利用SSH的漏洞或弱密码，获取目标系统的访问权限，使用DNS劫持，通过控制受害者的DNS服务器，Sea Turtle能够将用户的网络请求重定向到恶意服务器，以获取敏感信息。还使用了供应链攻击，入侵第三方供应商或合作伙伴的系统，然后利用这些系统作为跳板进入目标组织的网络。这种攻击方式使得Sea Turtle能够规避目标组织的防御措施，隐蔽地进行攻击和数据收集。

除此之外，Sea Turtle组织还利用了反向shell机制来简化对受害者系统的控制和数据收集过程，通过在目标系统中植入恶意代码并与攻击者的控制服务器建立连接，使攻击者能够远程控制目标系统并获取所需的数据。此外，Sea Turtle还使用了一些工具和恶意代码，例如SnappyTCP，用于实现在受害系统内部的持久性。

来源：

https://www.huntandhackett.com/blog/turkish-espionage-campaigns

思科通报并修复 UNITY CONNECTION 漏洞 CVE-2024-2027

Tag：思科，漏洞

事件概述：

思科的Unity Connection存在一个严重漏洞 CVE-2024-20272，可能被远程未经身份验证的攻击者利用，以获取易受攻击设备的根权限。

Unity Connection是思科统一通信套件中的消息平台和语音邮件系统。该漏洞存在于Unity Connection的基于Web的管理界面中，攻击者可以利用此漏洞在受影响的系统上上传任意文件，并在底层操作系统上执行命令。

思科发布的安全公告指出，该漏洞是由于特定API缺乏身份验证和对用户提供数据的不正确验证而引起的。攻击者利用该漏洞可以存储恶意文件于系统中，执行操作系统的任意命令，并提升权限至根用户。思科在公告中表示，目前没有有效的解决方案来应对此漏洞，建议用户安装安全补丁以修复漏洞。

以下是已修复的软件版本：

Cisco Unity Connection Release 12.5及早期版本：12.5.1.19017-41

Cisco Unity Connection Release 14：14.0.1.14006-51

Cisco Unity Connection Release 15：不受漏洞影响

此外，思科的安全威胁情报团队还表示目前尚未收到有关利用该漏洞进行实际攻击的报告。

来源：

https://securityaffairs.com/157278/security/cisco-critical-unity-connection-cve-2024-20272.html

2023年12月5日

Estes货运公司遭遇勒索软件攻击，用户信息失窃
据外媒报道称货运巨头Estes Express Lines遭到勒索软件攻击，导致超过21,000人的用户信息在攻击中被盗取。该事件于2023年10月1日被发现，调查确认攻击者于2023年9月26日成功获取对公司网络的访问权限。攻击者在网络中访问并提取了Estes的一些系统中的数据，并安装了勒索软件。Estes表示，对该事件的法证调查已于11月7日结束，但直到执法部门在12月结束对该事件的调查后，他们才开始向受影响的个人发送通知信。据 Estes向缅因州总检察长办公室报告称，在此次攻击中泄露的个人信息包括姓名、其他个人标识符和社会安全号码。
来源：
https://apps.web.maine.gov/online/aeviewer/ME/40/bbc40569-ad1b-4ca1-8be6-b10fd277a37e.shtml

2024年1月3日

UAC-0050组织使用新型网络钓鱼策略分发RemcosRAT
UAC-0050组织正在采用网络钓鱼攻击，并运用新的策略来传播Remcos RAT，以逃避安全软件的检测。Remcos RAT是一种远程监视和控制恶意软件，一直是该组织的主要工具。然而，在最新的操作中，UAC-0050组织引入了一种用于进程间通信的管道方法，展示了他们的高级适应能力。UAC-0050组织自2020年以来一直活跃，过去曾通过社交工程活动针对乌克兰和波兰的实体进行攻击，冒充合法组织以诱使受害者打开恶意附件展开攻击。
来源：
https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method

---End---