点击上方蓝色文字关注我们

今日全球网安资讯摘要

特别关注

电信巨头AT&T承认超5000万用户数据泄露：已在地下论坛售卖多年
间谍软件活动针对印度和巴基斯坦的 Android 用户
菲律宾科技部服务器遭黑客入侵：网站被篡改 25TB 数据被删除

特别关注

电信巨头AT&T承认超5000万用户数据泄露：已在地下论坛售卖多年

标签：数据泄露

安全内参4月12日消息，美国电话电报公司（AT&T）正在向5100万名新老客户发出通知，警告他们的个人信息已在一个黑客论坛上被泄露。但是，该公司尚未透露黑客如何获取了这些数据。

该通知与最近大量AT&T客户数据在Breach黑客论坛上被售卖有关。此前在2021年，就有黑客以100万美元的价格出售了这些数据。

2021年，威胁行为者ShinyHunters首次公开售卖这些AT&T数据。当时，AT&T告知媒体，这些数据不属于他们，而且他们的系统未受到入侵。

2024年3月，另一名代号“MajorNelson”的威胁行为者在黑客论坛上公开了整个数据集。AT&T再次告知媒体，这些数据并非源自他们，他们的系统没有受到入侵。

直到外媒BleepingComputer、TechCrunch报道确认这些数据属于AT&T和DirectTV帐号，且包含AT&T帐号密码后，AT&T终于承认这些数据属于他们。

受影响用户低于泄露数量，源于一人多帐号

AT&T目前确认受影响的客户数量只有51226382名，低于泄露数据集包含的超过7000万人信息。

官方通知中提到：“（泄露的）信息因个人和帐号而异，可能包括全名、电子邮件地址、邮寄地址、电话号码、社会安全号码、出生日期、AT&T帐号和密码。”

“据我们了解，个人财务信息和通话记录未泄露。到目前为止的调查表明，泄露数据似乎不晚于2019年6月。”

BleepingComputer联系AT&T，询问为何受影响客户数量与泄露人数存在如此大的差异，AT&T回应称数据集中部分人拥有多个帐号。

AT&T表示：“我们正在向每位敏感个人信息被泄露的人发送通知。部分人在数据集中有多个帐号，而其他人则没有敏感个人信息被泄露。”

泄露源头未知，将提供身份保护服务

AT&T至今未公开黑客如何窃取数据的细节，也未解释为何花费将近五年时间才确认数据来源并通知客户。

此外，AT&T向缅因州检察长办公室表示，他们最早是在2024年3月26日得知此次泄露事件，但媒体早在3月17日就已联系AT&T询问此事，且相关信息早在2021年就已经开始出售。

AT&T在通知中附有说明，表示将通过Experian提供为期一年的身份盗窃保护和信用监控服务。然而，这种保护措施可能来得太迟，因为这些数据已在私下流传了多年。服务申请截止日期为2024年8月30日，受影响的客户应尽快行动以保护自己。

AT&T敦促收件人保持警惕，监控他们的帐号和信用报告以寻找可疑活动，并更加小心地处理未经请求的通信。

由于承认在安全方面有疏忽，且在核实数据泄露消息和通知受影响客户方面存在严重延迟，AT&T在美国正面临多起集体诉讼。

考虑到数据在2021年即被窃取，网络犯罪分子有充足的机会利用这些数据针对性地攻击受影响的AT&T客户。

不幸的是，这些数据已被泄露给更广泛的网络犯罪社区，使得AT&T的新老客户面临的风险大大增加。

安全资讯

“eXotic Visit”间谍软件活动针对印度和巴基斯坦的 Android 用户

标签：网络攻击

eXotic Visit 是一个活跃的 Android 恶意软件活动，主要是针对南亚、尤其是印度和巴基斯坦的用户。该恶意软件可以通过专门网站和 Google Play 商店下载。

斯洛伐克网络安全公司表示，这项活动自 2021 年 11 月以来一直在进行，并且与任何已知的威胁行为者或组织无关。公司正在追踪 Virtual Invaders 行动背后的组织。

ESET 安全研究员 Lukáš Štefanko 在今天发布的一份技术报告中表示：“下载的应用程序提供合法功能，但也包含来自开源 Android XploitSPY RAT 的代码。”

据称，该活动具有很强的针对性，Google Play 上提供的应用程序的安装量从 0 到 45 不等。这些应用程序目前已被下架。

这些虚假但实用的应用程序主要伪装成消息服务，例如 Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger 和 Zaangi Chat。据称，大约 380 名受害者下载了这些应用并创建了帐户。

eXotic Visit 还使用了 Sim Info 和 Telco DB 等应用程序，这两个应用程序都声称只需输入巴基斯坦的电话号码即可提供该 SIM 卡所有者的详细信息。而其他应用程序冒充巴基斯坦的食品订购服务和一家名为 Specialist Hospital 的合法印度医院（现已更名为 Trilife Hospital）。

XploitSPY在 2020 年 4 月由名为RaoMK的用户上传到 GitHub ，与一家名为 XploitWizer 的印度网络安全解决方案公司挂钩。它也被认为是另一个名为L3MON开源 Android 木马的分支，而 L3MON 又从AhMyth中汲取了灵感。

XploitSPY具有广泛的功能，可以从受感染的设备中收集敏感数据，例如 GPS 位置、麦克风录音、联系人、短信、通话记录和剪贴板内容；从 WhatsApp、Facebook、Instagram 和 Gmail 等应用程序中提取通知信息；下载和上传文件；查看已安装的应用程序和队列命令。

最重要的是，恶意应用程序旨在拍摄照片并枚举与屏幕截图、WhatApp、WhatsApp Business、Telegram 和非官方 WhatsApp mod（称为 GBWhatsApp）相关的多个目录中的文件。

“多年来，这些威胁行为者通过添加混淆、模拟器检测、隐藏C2地址以及使用本机库来定制他们的恶意代码，”Štefanko 说。

本机库（“defcome-lib.so”）的主要目的是对 C2 服务器信息进行编码并隐藏静态分析工具。如果检测到模拟器，该应用程序会利用伪造的 C2 服务器来避开检测。

一些应用程序通过专门创建的网站（“chitchat.ngrok[.]io”）进行传播，该网站提供指向 GitHub 上托管的 Android 包文件（“ChitChat.apk”）的链接。目前尚不清楚受害者是如何被引导到这些应用程序的。

信源：https://www.anquanke.com/post/id/295522

菲律宾科技部服务器遭黑客入侵：网站被篡改 25TB 数据被删除

标签：黑客入侵，网站篡改

安全内参4月11日消息，一家名为Ph1ns的黑客组织宣布，对菲律宾科技部（科学和技术部，DOST）的服务器进行了毁灭性攻击，这在菲律宾网络社区引发了热议。

该组织声称，已经获得对虚拟机管理器、网络附加存储（NAS）和路由器等关键基础设施的访问权限，甚至获取了域管理员权限，从而能够无限制地访问员工的计算机。雪上加霜的是，他们还夸耀称加密了域控制器，有效地封锁了授权用户的访问。

菲律宾信息和通信技术部（DICT）的消息人士透露，黑客删除了25TB数据，造成一片混乱。然而，这些入侵者不仅仅删除了数据。Ph1ns组织在受到威胁的服务器上留下了这样的信息：“这个网站被菲律宾人民夺取了！”

菲律宾信息和通信技术部基础设施管理、网络安全和技能提升副秘书长Jeffrey Ian C. Dy表示：“我们报警系统在夜间10点左右检测到了对科技部的攻击。我们认识到需要改进国家网络安全运营中心（NSOC）的自动响应机制。目前，我们正在与科技部合作，尽快恢复他们的服务，并提高我们的检测和事件响应能力。我们还已经通知了我们在国家调查局（NBI）和安全机构的联系人，告知对方一个本地组织声称对此次攻击负责。”

网络攻击伴随政治目的，企图掀起反抗活动

Ph1ns组织的留言涉及社会政治议题，批评政治家族及其寡头盟友的权力影响，声称这些人并不能代表大多数人的利益。黑客指责这些精英人物操纵政治格局，推动他们的议程，而普通的菲律宾家庭在缺乏足够支持的情况下只能挣扎求存。

黑客的留言明确反对“报答政客的恩惠”（Utang na Loob），呼吁结束对寡头的长期偏爱，并强烈反对任何可能将经济权力进一步集中在富人手中的宪法修正案。

Ph1ns组织在留言中以#opEDSA作为签名，显然是在向1986年历史性的人民力量革命致敬。Ph1ns组织邀请其他人加入他们的事业，利用网络武器反对他们眼中根深蒂固的腐败和不平等问题。这一行动呼吁不禁令人思考几个重要问题：当代社会中骇客主义起到什么作用？网络攻击作为反抗和活动主义工具的潜力如何？

Ph1ns组织还大胆地提供了一个电子邮件地址，[email protected]，鼓励对他们的事业持同情态度的人们联系并加入这场数字圣战。

Ph1ns对菲律宾科技部服务器的渗透向大众发出警示，即使是看似非常安全的系统，在面对决心坚定的网络对手时也是脆弱的。这一事件还展现了政治动机的网络攻击的增长趋势，其中网络攻击被用作反抗和活动主义的工具，而不仅仅是出于间谍和财务利益。在菲律宾当局努力控制后果并加强网络安全措施的同时，关于骇客主义的伦理和有效性的争论仍在继续。

信源：https://www.secrss.com/articles/65168

资讯来自全球范围内媒体报道

版权归作者所有
文章内容仅代表作者独立观点

不代表网络盾牌立场
转载目的在于传递更多信息

如有侵权，请公众号后台联系

一键四连