安全威胁情报周报（6.24~6.30）

一周威胁情报摘要

=============================

金融威胁情报

• Google云服务出现漏洞导致澳大利亚UniSuper养老金基金无法访问

政府威胁情报

• 台湾地区高速公路局和数据中心遭到网络攻击

能源威胁情报

• 西门子 Sicam 漏洞可能助长对能源行业的攻击

工业威胁情报

• 全球第五大叉车制造商Crown Equipment遭受网络攻击

流行威胁情报

• 威胁行为者部署NiceRAT恶意软件构建僵尸网络

高级威胁情报

• 波兰指责俄罗斯黑客干扰欧洲杯2024在线直播

漏洞情报

• CVE-2024-3080：ASUS警告客户最新的身份验证绕过漏洞，影响七种路由器型号

勒索专题

• 黑客利用Windows BitLocker工具进行勒索

钓鱼专题

• 2024年QR码钓鱼攻击显著增加

数据泄露专题

• 洛杉矶县公共卫生部门数据泄露，影响超20万人

===================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================

**

金融威胁情报

**

Google云服务出现漏洞导致澳大利亚UniSuper养老金基金无法访问

  Tag：漏洞, 配置错误

事件概述：

5月初，Google云服务出现漏洞，导致澳大利亚UniSuper养老金基金的60万会员无法访问其账户。Google在5月中旬修复了这个问题，并发布了一篇博客解释了事情的经过。Google解释称，这个问题只影响了一个客户在一个云区域的服务，具体来说，问题仅限于客户的多个Google Cloud VMware Engine (GCVE)私有云中的一个。Google的内部调查发现，这个问题是由于配置错误导致的。他们追踪到这个错误是由于一个客户使用内部工具部署了一个GCVE私有云时产生的。配置中的一个参数问题导致了客户的GCVE私有云被设定为固定期限。

Google的云服务出现漏洞，使得澳大利亚UniSuper养老金基金的60万会员无法访问其账户。这个问题最终被发现是由于一个未被Google发现的漏洞导致的，这个漏洞可以很容易地被威胁行动者利用。Google在5月中旬修复了这个问题，并在其博客中详细解释了事情的经过。他们发现，这个问题是由于配置错误导致的，这个错误是由于一个客户使用内部工具部署了一个Google Cloud VMware Engine (GCVE)私有云时产生的。在配置中，有一个参数设置错误，导致了客户的GCVE私有云被设定为固定期限。未来，对于类似的问题，Google需要更加小心，以防止类似的问题再次发生。同时，对于使用Google云服务的客户来说，他们也需要更加关注他们的云服务配置，以防止类似的问题再次发生。

来源：

https://www.cybersecurity-insiders.com/did-terraform-destroy-cause-the-unisuper-google-cloud-outage/

**

政府威胁情报

**

台湾地区高速公路局和数据中心遭到网络攻击

  Tag：BlueShell backdoor, SQLMap

事件概述：

研究团队发现一个用于攻击台湾地区高速公路局和本地数据中心的公开网络服务器。服务器管理员使用了Nmap、SQLMap和BlueShell后门等开源工具。这一发现凸显了台湾地区政府机构和关键基础设施面临的持续威胁。威胁者利用SQLMap扫描台湾地区高速公路局子域的漏洞，使用Nmap扫描台湾地区数据中心的开放端口，并部署了高级Bash脚本和BlueShell后门。其他开放目录显示，攻击者还使用了SecurityTrails API、Acunetix和ChatGPT等工具，对台湾地区和其他地区的政府机构进行了攻击。持续监控和分析开放目录对于识别和缓解潜在威胁至关重要。

此次发现的公开服务器运行的是Python的SimpleHTTP/0.6服务器，暴露在IP地址103.98.73.189:8080上。威胁者使用SQLMap扫描台湾地区高速公路局子域漏洞，并下载了关键文件，如日志、session.sqlite和target.txt。Nmap被用于扫描与台湾地区数据中心相关的/26网络的开放端口。高级Bash脚本检测CPU类型并应用MSR值优化性能，显示出威胁者对目标网络的深厚了解。此外，Golang编写的bsServer-0530和bsServerfinal文件被用于访问BlueShell后门。其他开放目录暴露出攻击者使用了多种进攻性工具，目标包括台湾地区政府机构和教育机构。这次调查揭示了威胁者低成本高回报的攻击策略，强调了对开放目录的持续监控和分析的重要性。

来源：

https://cybersecuritynews.com/threat-actor-server-exposed/

**

能源威胁情报

**

西门子 Sicam 漏洞可能助长对能源行业的攻击

  Tag：Sicam, 勒索软件攻击

事件概述：

西门子最近修复了其Sicam产品中的几个漏洞，这些漏洞可能被用于针对能源行业的攻击。西门子在5月份通知客户，为Sicam A8000远程终端单元、Sicam EGS电网传感器和Sicam 8电力自动化软件发布的更新解决了两个高严重性和一个中严重性漏洞。其中，CVE-2024-31484是一个缓冲区过度读取问题，可能导致任意代码执行或拒绝服务（DoS）。CVE-2024-31485是一个命令注入问题，攻击者可以拦截用户凭证并以root身份执行任意代码。CVE-2024-31486则涉及MQTT客户端密码保护不当，允许攻击者获取凭证。这些漏洞由SEC Consult的研究人员发现，并在其咨询报告中详细描述了漏洞利用方法。

此次修复的漏洞主要集中在西门子Sicam系列产品中，影响范围包括远程终端单元和电力自动化软件。具体而言，CVE-2024-31484是一个缓冲区过度读取问题，攻击者可以读取内存中的敏感数据，从而导致任意代码执行或DoS攻击。CVE-2024-31485是一个命令注入问题，攻击者可以通过Web界面拦截高权限用户的用户名和密码，并以root身份执行任意代码。CVE-2024-31486则是MQTT客户端密码保护不当，攻击者通过物理或远程外壳访问可以获取凭证。这些漏洞的发现者SEC Consult建议，所有密码在补丁应用后必须更改，因为其保密性已无法保证。

**

工业威胁情报

**

全球第五大叉车制造商Crown Equipment遭受网络攻击

  Tag：多因素认证, 勒索软件攻击

事件概述：

全球第五大叉车制造商Crown Equipment公司最近遭受了一次网络攻击，导致其全球生产和管理被完全关闭。自2024年6月10日起，该公司的所有位置都停止了生产。所有IT系统已被关闭，无法访问备件目录或其他IT服务。据报道，该公司的员工遭受了财务困难，因为他们自6月10日以来未能获得工资。据一位消息人士透露，攻击来自公司内部，一名员工向未经授权的人员提供了系统访问权限。据称，攻击者成功进行了勒索软件攻击，破坏了IT系统并加密了所有内容。

Crown Equipment公司的IT系统遭到了严重的网络攻击，这次攻击凸显了多因素认证、威胁情报共享和自动化安全措施的重要性。据消息人士透露，攻击可能是由一名员工向未经授权的人员提供了系统访问权限，这强调了多因素认证在防止未经授权访问中的重要性。此外，由于公司未能及时发现并阻止攻击，这也显示了威胁情报共享的重要性。另一方面，攻击者能够成功进行勒索软件攻击并加密所有内容，这表明公司的自动化安全措施可能存在缺陷。总的来说，这次攻击提醒我们，企业需要采取更加严格的安全措施，以防止类似的网络攻击。

来源：

https://borncity.com/win/2024/06/19/crown-equipment-corporation-victim-of-a-ransomware-attack/

**

流行威胁情报

**

威胁行为者部署NiceRAT恶意软件构建僵尸网络

  Tag：NiceRAT, 僵尸网络

事件概述：

威胁行为者被观察到部署名为NiceRAT的恶意软件，将感染设备变为僵尸网络的一部分。这些攻击针对韩国用户，设计用于以破解软件（如微软Windows）或声称提供微软Office许可验证的工具的形式传播恶意软件。NiceRAT是一个活跃开发的开源远程访问木马（RAT）和窃取恶意软件，使用Discord Webhook作为命令和控制（C2），允许威胁行为者从受损主机中窃取敏感信息。该程序于2024年4月17日首次发布，当前版本为1.1.0。

NiceRAT是一种开源的远程访问木马和窃取恶意软件，使用Discord Webhook作为命令和控制（C2），允许威胁行为者从受损主机中窃取敏感信息。这种恶意软件的传播主要是通过破解软件或声称提供许可验证的工具，这使得普通用户在无意中帮助恶意软件的传播。此外，威胁行为者在分发阶段通常会解释如何移除反恶意软件程序，这使得分发的恶意软件难以被检测。NiceRAT的另一种分发方式是使用由NanoCore RAT渗透的僵尸计算机组成的僵尸网络。NiceRAT于2024年4月17日首次发布，当前版本为1.1.0，根据开发者的说法，它也以高级版本的形式提供，暗示它是以恶意软件即服务（MaaS）模型进行广告的。

来源：

https://thehackernews.com/2024/06/nicerat-malware-targets-south-korean.html

**

高级威胁情报

**

波兰指责俄罗斯黑客干扰欧洲杯2024在线直播

  Tag：分布式拒绝服务（DDoS）, 黑客组织APT28

事件概述：

波兰政府近日指出，俄罗斯黑客可能是最近欧洲杯2024足球赛在线直播中断的幕后黑手。未知黑客在周末攻击了公共电视网TVP的网站，该网站正在直播波兰国家队对阵荷兰的首场比赛。比赛开始时，一个分布式拒绝服务（DDoS）事件开始，使TVP网站的在线直播暂时无法使用。据波兰数字事务副部长Pawel Olszewski在接受当地媒体采访时表示，所有证据都指向俄罗斯。此次攻击的目的是“阻止波兰公民在线观看比赛”，因为中断恰好在比赛开始时——周日下午3点发生。DDoS事件涉及的是大量的假互联网流量，旨在使网站超负荷运行。

此次攻击来自位于波兰的IP地址，但Olszewski表示，DDoS流量的来源并不重要，因为在网络空间中没有边界。他没有提供更多关于此事件的细节，或可能背后的黑客组织，但表示这与俄罗斯有关，可能是其“混合战”的一部分。过去几个月，波兰遭受的俄罗斯网络攻击有所增加，因此宣布投资7.6亿美元用于网络防御。此前在5月份，据波兰政府官员称，与俄罗斯有关的黑客在波兰国家新闻社PAP的新闻源上发布了一篇关于军事动员的虚假文章，作为一场虚假信息运动。与俄罗斯军事情报局GRU有关的黑客组织APT28，也被称为Fancy Bear，还针对波兰政府机构进行了一场间谍活动。波兰的数字部长Krzysztof Gawkowski表示，波兰正在“对抗俄罗斯的网络战争”。

来源：

https://unsafe.sh/go-246115.html

**

漏洞情报

**

CVE-2024-3080：ASUS警告客户最新的身份验证绕过漏洞，影响七种路由器型号

  Tag：CVE-2024-3080, 远程攻击者 

事件概述：

ASUS近日发布固件更新，解决影响其七种路由器型号的关键安全漏洞。该漏洞被标识为CVE-2024-3080，CVSS v3严重性评分为9.8（严重），允许远程攻击者无需任何登录凭据就能控制受影响的路由器型号。此漏洞可能源于加密协议实现不佳、硬编码凭据或输入数据验证失败等传统问题。受影响的路由器型号包括ZenWiFi XT8、RT-AX88U、RT-AX58U、RT-AX57、RT-AC86U和RT-AC68U。某些指定为生命周期结束的型号将不会收到固件更新。ASUS建议用户升级固件并采取预防措施，如创建强密码和禁用互联网可访问的服务。

CVE-2024-3080漏洞严重影响七种ASUS路由器型号，CVSS评分为9.8，允许远程攻击者绕过身份验证直接控制设备。ASUS已发布固件更新解决该问题，并建议用户创建强密码和禁用互联网可访问服务。受影响的型号包括ZenWiFi XT8、RT-AX88U、RT-AX58U等，其中某些已被标记为生命周期结束型号将不再更新。攻击者可通过该漏洞修改DNS配置、窃取敏感信息或进行中间人攻击，甚至可能利用被攻陷的路由器在本地网络内进一步传播恶意软件。

来源：

https://unsafe.sh/go-246654.html

**

勒索专题

**

黑客利用Windows BitLocker工具进行勒索

  Tag：BitLocker, ShrinkLocker

事件概述：

黑客正在利用Windows BitLocker工具进行攻击。这个工具为选择性地加密系统或数据提供了强大的工具，有助于将用户锁定在系统外。攻击者可以使用BitLocker来加密受害者的文件，使其在没有密钥的情况下无法访问，然后他们会要求受害者支付赎金才会揭示密钥。Kaspersky对“ShrinkLocker”的分析发现，这种病毒巧妙地利用Windows内置的BitLocker全盘加密功能，将受害者锁定在他们的数据之外。ShrinkLocker是一个复杂的VBScript勒索软件程序，用于收集操作系统版本信息，通过减小分区大小来准备驱动器，并更改Windows注册表，使BitLocker按照攻击者的指定进行加密。此外，它还禁用了恢复密钥，为这些密钥启用了密码保护器，生成了一个将用于加密驱动器的密码，然后使用它来加密驱动器。下一步是将此密码和系统数据发送回攻击者的C2服务器，然后从受损的计算机系统中擦除自身，包括清除所有日志并重新启动它们，使受害者无法恢复他们的文件。已经有报道称，印度尼西亚、约旦和墨西哥已经发生了这种攻击。

ShrinkLocker是一种复杂的VBScript勒索软件程序，它利用Windows内置的BitLocker全盘加密功能，将受害者锁定在他们的数据之外。它收集操作系统版本信息，通过减小分区大小来准备驱动器，并更改Windows注册表，使BitLocker按照攻击者的指定进行加密。此外，它还禁用了恢复密钥，为这些密钥启用了密码保护器，生成了一个将用于加密驱动器的密码，然后使用它来加密驱动器。然后，它将密码和系统数据发送回攻击者的C2服务器，并从受损的计算机系统中擦除自身，包括清除所有日志并重新启动它们，使受害者无法恢复他们的文件。为了防止这种攻击，建议实施最小权限，限制修改注册表或启用全盘加密的能力。启用HTTP POST请求日志，用于监控流量并检测可能的密码和密钥泄露。监控和记录VBS和PowerShell活动，并将其存储在外部，因为恶意软件可能会删除日志。定期将数据备份到离线。使用可靠的端点安全解决方案。利用EDR来监控和响应可疑的端点活动。

来源：

https://cybersecuritynews.com/shrinklocker-bitlocker-ransomware/

**

钓鱼专题

**

2024年QR码钓鱼攻击显著增加

  Tag：QR码钓鱼攻击, 域名生成算法（DGA）

事件概述：

2024年，QR码钓鱼攻击显著增加，网络犯罪分子利用这项技术窃取个人和财务信息。攻击者使用嵌入QR码的办公文档，将用户重定向到伪造网站以收集敏感数据。近期，一项针对中国公民的钓鱼活动冒充中国人力资源和社会保障部，使用假冒官方文件中的QR码诱骗用户提供银行信息和密码。该活动利用域名生成算法（DGA）创建钓鱼URL，使检测和阻止更加困难。

QR码钓鱼攻击的增加反映了网络犯罪分子的日益复杂和适应能力。他们利用COVID-19大流行期间QR码的广泛采用，诱骗用户扫描嵌入QR码的恶意文档。这些攻击隐藏了目标URL，使用户难以验证其合法性。攻击者嵌入的QR码可以在实体位置、电子邮件或在线文档中传播，扩大了攻击面。近期，Cyble研究和情报实验室发现了一场利用Microsoft Word文档进行QR码钓鱼的活动，主要目标是中国用户。攻击者伪装成中国人力资源和社会保障部，通过伪造的申请通知诱骗用户提供财务信息。此活动通过域名生成算法生成的URL重定向用户到钓鱼网站，并收集银行卡详细信息和密码，导致用户财务损失。这些趋势强调了增强警惕性和实施强大安全措施的重要性，如多因素认证、威胁情报共享和自动化安全措施。

来源：

https://cyble.com/blog/rising-wave-of-qr-code-phishing-attacks-chinese-citizens-targeted-using-fake-official-documents/

**

数据泄露专题

**

洛杉矶县公共卫生部门数据泄露，影响超20万人

  Tag：数据泄露, 网络钓鱼 

事件概述：

2024年2月19日至20日，洛杉矶县公共卫生部门（DPH）遭受数据泄露，影响超过20万人。攻击者通过网络钓鱼邮件获得53名公共卫生员工的登录凭证，窃取了包括个人、医疗和财务信息在内的数据。DPH表示，虽不能确认信息是否已被访问或滥用，但鼓励个人检查其医疗记录中的信息内容和准确性。所有可能受影响的个人都将通过邮件通知。受影响的个人也将得到Kroll公司提供的一年免费身份监控服务。

此次事件是由网络钓鱼攻击引起的。在发现攻击后，DPH立即禁用了受影响的电子邮件账户，并重置和重新配置了用户的设备。此外，DPH还封锁了所有被识别为钓鱼活动的网站，并隔离了所有可疑的入站邮件。DPH表示，已对其安全姿态进行了“众多增强”以防止类似的钓鱼攻击在未来发生。此外，DPH还向所有工作人员分发了警示通知，提醒他们在查看电子邮件时保持警惕，尤其是包含链接或附件的电子邮件。

来源：

https://www.infosecurity-magazine.com/news/los-angeles-health-data-breach/

- END -