暗网攻击情报发布者miyako/mommy

零零信安

1.概览

近日暗网活跃的攻击情报发布者miyako（曾用ID mommy）在黑客论坛上发布了大量涉我国的权限售卖信息。

Miyako在黑客论坛上注册日期为2024年8月15日，活跃时间从2024年10月3日至今。截止本稿（2024年11月22日），在约2个月时间中，共发布115篇信息（日均近2篇），以mommy用户名发布65篇，以miyako用户名发布50篇。

Miyako在早期以发布ULP信息为主，后改为主要发布攻击情报和售卖各企业边界访问设备访问权限。

大部分访问权限的价格为数百美元（300-1000美元为主），少量针对政府、银行、运营商等访问权限会达到上千美元（约1000-2000美元）。

查看其历史与当前实时发布信息，可访问0.zone镜像：https://0.zone/search_home?title_type=darknet&title=%28msg.author%3D%3Dmommy%7C%7Cmsg.author%3D%3Dmiyako%29%26%26%28root_domain%3Dbreachforums.st%29&page=1&pagesize=100

1.1.国家分类

Miyako发布的所有权限售卖信息中涉及众多国家，其中以美国、中国、巴西、印度尼西亚为主，下面为事件所涉及到的国家top10占比图：

1.2.行业分类

Miyako发布的所有权限售卖信息中，以运营商、互联网、政府、关基等行业主要，下图为事件所涉及到的行业top10占比图：

2.部分涉我国单位和企业

2.1.中国政府

Miyako共发布过5篇以“中国政府”为标题的权限售卖贴，价格分别为3000美元、2500美元、5000美元、7000美元、1500美元

2.2.香港在线教育语言平台TutorABC

2.3.中国电信

2.4.中国联通

在该事件中，相关单位与我司共同对涉事系统和相关权限进行了排查与研判，该系统为使用了运营商服务的某企业系统，而并非联通自用的系统。

2.5.台湾软件公司CyberLink

2.6.深信服科技股份有限公司

在该事件中，相关单位与我司取得联系，并告知我司数据分析师，该系统并非深信服的系统。

2.7.腾讯科技有限公司

2.8.大型中国高科技企业

2.9.中国电子商务

2.10.中国环境保护技术

3.部分国外重要机构和关基设施

3.1.美国国际机场

3.2.美国政府联合特遣部队战术通信应用程序

3.3.美国半导体制造商

3.4.美国电信提供商

3.5.美国政府医疗保健组织

3.6.美国国防部网络安全承包商

3.7.美国主要物联网领导者

3.8.韩国城市行政部门

3.9.英国电网

3.10.印度政府电信

4.结论

根据我司数据分析师参与和了解到的，针对中国联通和深信服的攻击情报，miyako会将入侵权限扩大化，以追求更大的售卖价值。并且在售卖贴中，大部分为制式的售卖格式和广告，内容并不属实。

同时，据其他第三方分析师的报道，miyako利用的漏洞，可能为CVE-2024-0012和CVE-2024-9474。我司对此不进行分析与评论。