(09/02--09/08）

#01

网络攻击

LiteSpeed 曝出严重漏洞，致使超 600 万 WordPress 网站遭攻击
GitHub项目评论被用来传播Lumma Stealer恶意软件

#02

恶意程序

有黑客使用 OnlyFans 工具钓鱼其他黑客，反向背刺同行
ACSC 发布紧急网络安全警告：信息窃取恶意软件数量激增，威胁全面升级

#03

数据安全

被警方逮捕后，Telegram创始人首次公开发声：更安全，更强大
新型PyPI攻击技术可能导致超2.2万软件包被劫持
尽快更新！Zyxel 路由器曝出 OS 命令注入漏洞，影响多个版本

#04

国际视野

俄罗斯版“微信”遭黑客入侵，泄露3.9亿条用户数据
美国一AI公司因非法收集面部数据被罚超3000万欧元
因与媒体共享勒索事件实情，美国一研究人员被政府起诉

#01 网络攻击

LiteSpeed 曝出严重漏洞，致使超 600 万 WordPress 网站遭攻击

近日，Patchstack 的 Rafie Muhammad 在 LiteSpeed Cache 插件中发现了一个严重漏洞，该插件主要用于加快超 600 万个 WordPress 网站的用户浏览速度。该漏洞被追踪为 CVE-2024-44000，并被归类为未经身份验证的帐户接管问题。随着 LiteSpeed Cache 6.5.0.1 版本的发布，修复程序也于昨天（9月4日）发布。

该漏洞与插件的调试日志功能有关，当启用该功能时，它会将所有 HTTP 响应头（包括 “Set-Cookie ”头）记录到文件中。

这些标头包含用于验证用户身份的会话 cookie，一旦攻击者成功窃取这些 cookie，就可以冒充管理员用户完全控制网站。

要利用该漏洞，攻击者必须能够访问“/wp-content/debug.log ”中的调试日志文件。在未实施文件访问限制（如 .htaccess 规则）的情况下，只需输入正确的 URL 即可。

当然，攻击者只能窃取在调试功能激活时登录网站的用户的会话 cookie，但如果日志被无限期保存而不是定期清除，这甚至包括过去的登录事件。

该插件的供应商 LiteSpeed Technologies 通过将调试日志移至专用文件夹（'/wp-content/litespeed/debug/'）、随机化日志文件名、移除记录 Cookie 的选项，以及添加一个虚假索引文件以提供额外保护，解决了这一问题。

建议 LiteSpeed Cache 用户清除其服务器上的所有 “debug.log ”文件，以删除可能被威胁行为者窃取的潜在有效会话 cookie。

此外，还应设置 .htaccess 规则，拒绝直接访问日志文件，因为新系统上的随机名称仍可能通过暴力破解来猜测。

WordPress.org报告称，昨天，也就是v6.5.0.1发布的当天，下载LiteSpeed Cache的用户刚刚超过37.5万，因此易受这些攻击影响的网站数量可能超过560万。

GitHub项目评论被用来传播Lumma Stealer恶意软件

据BleepingComputer消息，GitHub teloxide rust 库的一位贡献者发现，GitHub项目中的评论以提供修复程序为幌子，实际在其中植入了Lumma Stealer 恶意软件。

BleepingComputer 进一步审查发现， GitHub 上的各种项目中有数千条类似的评论，这些评论都为用户的提问提供了虚假的修复程序。

单击该链接会将用户带到一个名为“fix.zip”的文件下载页面，其中包含一些 DLL 文件和一个名为 x86_64-w64-ranlib.exe 的可执行文件。通过在 Any.Run分析发现，这是一个Lumma Stealer 信息窃取恶意软件。

Lumma Stealer 是一种高级信息窃取程序，能够从 Google Chrome、Microsoft Edge、Mozilla Firefox 和其他 Chromium 浏览器中窃取 cookie、凭证、密码、信用卡和浏览历史记录。此外，它还能窃取加密货币钱包、私钥和名称为 seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、单词、wallet.txt、*.txt 和 *.pdf 等名称的文本文件。这些数据被收集并发送回给攻击者，攻击者可以使用这些信息进行进一步的攻击或在网络犯罪市场上出售。

虽然 GitHub的工作人员会在检测到这些评论时进行删除，但已经有受害者在Reddit上进行了反馈。

就在最近，Check Point Research 披露了名为Stargazer Goblin 的攻击者进行的类似活动，他们通过在Github上创建3000多个虚假账户传播恶意软件。目前尚不清楚这两起事件是否由同一攻击者所为。

#02 恶意程序

有黑客使用 OnlyFans 工具钓鱼其他黑客，反向背刺同行

据BleepingComputer消息，有黑客使用一种假冒的 OnlyFans 工具瞄准其他黑客，声称可以用来帮助窃取用户帐户，但实际上却是用 Lumma信息窃取器对这些黑客发动入侵。

这项由 Veriti Research 发现的现象反映了网络犯罪分子之间并非是统一的”猎食者“身份，彼此之间的背刺时有发生。

这次黑客所利用的OnlyFans 是一个非常受欢迎、基于用户订阅的内容创作平台，创作者可以与订阅者分享视频、图像、消息和直播流，而订阅者则需要支付经常性费用或一次性付款以获得独家内容。鉴于它的受欢迎程度，OnlyFans 帐户经常成为攻击者的目标，试图劫持账户、勒索账户所有者支付赎金，或者干脆泄露私人照片。

黑客论坛上的OnlyFans恶意工具广告

因此，黑客开发了一种能快速验证账户的工具，检查登录信息是否与任何 OnlyFans 账户匹配，以及是否仍然有效，否则，黑客就必须手动测试成千上万个凭证，其过程既不现实又繁琐，导致该计划无法实施。

然而，正是由于该工具由黑客创建并在其他黑客中传播，处于竞争关系的黑客必然在其中留了一手，对其他黑客窃取信息以将自身利益最大化。

Veriti发现的假冒OnlyFans 工具内含有Lumma信息窃取器，有效载荷名为 "brtjgjsefd.exe"，是从 GitHub 存储库中获取并加载到受害者计算机中。Lumma 自 2022 年以来一直以每月 250-1000 美元的价格出租给网络犯罪分子，并通过各种方式传播，包括恶意广告、YouTube 评论、种子文件以及最近的 GitHub 评论。

Lumma 具有创新的规避机制和恢复过期谷歌会话令牌的能力。它主要用于窃取双因素身份验证代码、加密货币钱包，以及存储在受害者浏览器和文件系统中的密码、cookie 和信用卡。Lumma 本身也是一个加载器，能够在被入侵系统中引入额外的有效载荷，并执行 PowerShell 脚本。

Veriti 发现，当 Lumma Stealer 有效载荷启动时，它会连接到一个名为 "UserBesty "的 GitHub 账户，幕后黑客利用该账户托管其他恶意有效载荷。

这并不是黑客第一次针对其他网络犯罪分子进行恶意攻击。2022 年 3 月，黑客利用伪装成破解 RAT 和恶意软件构建工具的剪贴板窃取程序来窃取加密货币。同年晚些时候，一名恶意软件开发者在自己的恶意软件中设置了后门，以窃取其他黑客的凭证、加密货币钱包和 VPN 账户数据。

ACSC 发布紧急网络安全警告：信息窃取恶意软件数量激增，威胁全面升级

近日，澳大利亚网络安全中心（ACSC）就信息窃取恶意软件不断升级的威胁发出警告。警告中提到：这种恶意软件会从受害者的设备中窃取敏感数据，包括登录凭证、财务信息和个人文件等。

越来越多的网络犯罪分子正利用这种信息窃取程序对企业网络进行未经授权的访问，导致企业遭遇勒索软件攻击、数据泄露和经济损失等严重后果。这些数据一旦外流，就会成为暗网市场上的高价商品，网络犯罪分子会将其拍卖给出价最高者。这些被窃取的凭证往往成为更严重攻击的入口，如勒索软件、商业电子邮件泄露和知识产权盗窃。

信息窃取攻击的生命周期通常分为四个阶段：

1.收购

网络犯罪分子通过各种渠道获取信息窃取者，包括恶意软件即服务（MaaS）平台，这降低了技术不太熟练的犯罪分子的进入门槛。

2.分配

一旦获得权限，恶意软件就会通过网络钓鱼电子邮件、恶意广告、破解软件和其他欺骗性方法进行分发，通常以用于工作和休闲的个人设备为目标，这种做法在远程工作环境中尤为常见。

3.数据收集

成功感染后，恶意软件会从受害者的设备中收集敏感信息，重点关注存储在 Web 浏览器中的凭据、身份验证 cookie 和其他关键数据。

4.货币

最终，被盗数据会统一在暗网市场上出售，通常由初始访问代理购买。这些经纪人专门进入公司网络并将该访问权限转售给其他网络犯罪分子，然后这些网络犯罪分子执行更具破坏性的攻击。

美国可持续发展协会 ACSC 建议企业应采取积极主动的网络安全措施以降低信息窃取者带来的风险的重要性，具体包括：

实施多因素身份验证 (MFA)：在所有关键服务中实施多因素身份验证（MFA），特别是针对特权用户账户。
安全意识培训：定期教育员工有关网络钓鱼、恶意下载的危险以及安全密码管理的重要性。
设备管理：确保所有访问企业网络的设备（包括个人设备）都遵守严格的安全策略。
网络监控：持续监控异常活动，尤其是远程连接和特权账户。

#03 数据安全

被警方逮捕后，Telegram创始人首次公开发声：更安全，更强大

据多家媒体报道，此前在法国被捕的社交媒体Telegram创始人兼首席执行官帕维尔·杜罗夫当地时间周五（6日）凌晨在“Telegram”发布长文，这一最新表态是自其上月被捕后首度公开发声。

杜罗夫表示，他对要为他人发布在Telegram上的内容负责而感到“意外”。另据路透社报道，杜罗夫认为，法国政府如果发现问题本应该是向其公司投诉，可以通过他协助建立的“热线”，或者联系Telegram驻欧盟代表。

杜罗夫在长文中写道，“利用在智能手机时代之前的法律，以第三方在其管理平台上犯下的罪行来指控一名首席执行官，这是一种错误的做法。”虽然Telegram平台并不完美，同时也否认了关于该平台是“无政府主义天堂”的说法。“但一些媒体声称Telegram是某种无政府主义天堂，这绝对不属实。”

“我们每天都会删除数以百万计的有害帖子和频道。”杜罗夫称Telegram的用户数量激增“造成了越来越多的痛苦”，使犯罪分子更容易滥用该平台。“希望8月发生的事件能让Telegram——以及整个社交网络行业——变得更安全、更强大。”

新型PyPI攻击技术可能导致超2.2万软件包被劫持

一种针对 Python 软件包索引（PyPI）注册表的新型供应链攻击技术已在野外被利用，并且目前正试图渗透到下游组织中。

软件供应链安全公司 JFrog 将其代号定为Revival Hijack，并称这种攻击方法可用于劫持 2.2万个现有 PyPI 软件包，并导致数十万次恶意软件包下载。这些易受攻击的软件包下载量已超过 10 万次，或已活跃超过 6 个月。

JFrog安全研究人员Andrey Polkovnychenko和Brian Moussalli在与《黑客新闻》分享的一份报告中说："这种攻击技术涉及劫持PyPI软件包，一旦这些软件包被原所有者从PyPI索引中删除，就操纵重新注册这些软件包的选项。

这种被称为“Revival Hijack”的技术利用了一项政策漏洞，允许攻击者在原始开发人员将软件包从PyPI中删除后重新注册并劫持软件包名称。

与传统的域名抢注攻击不同，Revival Hijack攻击利用的是用户拼写错误的软件包名称，而传统域名抢注攻击则利用了热门软件包的删除和重新注册。当开发人员从PyPI中删除他们的项目时，软件包名称就会可供其他任何人注册。然后，攻击者可以上传这些软件包的恶意版本，毫无戒心的用户可能会下载并安装这些软件包，并认为它们是合法的。

JFrog 分享的统计数据显示，平均每月约有 309 个软件包被删除。出现这些情况的原因有很多，比如：缺乏维护（即废弃软件）、软件包以不同的名称重新发布，或将相同的功能引入官方库或内置 API。

这也构成了一个有利可图的攻击面，它比错别字抢注更有效，攻击者可以利用自己的账户，以相同的名称和更高的版本发布恶意软件包，感染开发者环境。

虽然PyPI确实有防止冒充作者和抢注的措施，但JFrog的分析发现，运行 “pip list--outdated ”命令会将假冒软件包列为原始软件包的新版本，而前者对应的是来自完全不同作者的不同软件包。

更令人担忧的是，运行 “pip install -upgrade ”命令会将实际软件包替换为虚假软件包，而软件包的作者却没有任何警告，这可能会让不知情的开发者面临巨大的软件供应链风险。

JFrog 表示，它采取的措施是创建一个名为 “security_holding ”的新 PyPI 用户账户，用来安全地劫持易受攻击的软件包，并用空的占位符取代它们，以防止恶意行为者利用被删除的软件包。

此外，每个软件包的版本号都被指定为 0.0.0.1，这与依赖关系混乱攻击的情况正好相反，以避免在运行 pip 升级命令时被开发人员调用。

更令人不安的是，Revival 劫持已经在野外被利用，一个名为 Jinnis 的未知威胁行为者于 2024 年 3 月 30 日引入了一个名为 “pingdomv3 ”的软件包的良性版本，而就在同一天，原所有者（cheneyyan）从 PyPI 中删除了该软件包。

2024 年 4 月 12 日，新的开发者发布了一个更新，其中包含一个 Base64 编码的有效载荷，该有效载荷会检查是否存在 “JENKINS_URL ”环境变量，如果存在，则会执行从远程服务器获取的未知下一阶段模块。

JFrog认为攻击者可能推迟了攻击的发送时间，或者将其设计得更有针对性，将其限制在特定的IP范围内。

新的攻击行为表明，威胁行为者正盯上更大规模的供应链攻击，以删除的 PyPI 软件包为目标，从而扩大攻击范围。建议企业和开发人员检查他们的 DevOps 管道，以确保他们没有安装已经从版本库中删除的软件包。

JFrog安全研究团队负责人Moussalli表示：利用处理已删除软件包的漏洞行为，攻击者可以劫持现有软件包，从而在不改变用户工作流程的情况下将其安装到目标系统中。

PyPI 软件包的攻击面正在不断扩大。尽管在此进行了主动干预，但用户仍应始终保持警觉，并采取必要的预防措施来保护自己和 PyPI 社区免受这种劫持技术的侵害。

尽快更新！Zyxel 路由器曝出 OS 命令注入漏洞，影响多个版本

近日，Zyxel 发布安全更新，以解决影响其多款商用路由器的关键漏洞，该漏洞可能允许未经认证的攻击者执行操作系统命令注入。

该漏洞被追踪为 CVE-2024-7261，CVSS v3 得分为 9.8，是一个输入验证故障，由用户提供的数据处理不当引起，允许远程攻击者在主机操作系统上执行任意命令。

Zyxel 警告称某些 AP 和安全路由器版本的 CGI 程序对参数 “host ”中特殊元素的中和不当，可能允许未经认证的攻击者通过向有漏洞的设备发送伪造的 cookie 来执行操作系统命令。

受 CVE-2024-7261 影响的 Zyxel 接入点 (AP) 如下：

NWA 系列：NWA50AX、NWA50AX PRO、NWA55AXE、NWA90AX、NWA90AX PRO、NWA110AX、NWA130BE、NWA210AX、NWA220AX-6E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ABYW.2) 及更高版本、NWA1123-AC PRO | 6.28 之前的所有版本易受攻击，请升级至 6.28(ABHD.3) 及更高版本、NWA1123ACv3、WAC500、WAC500H | 6.70 之前的所有版本易受攻击，请升级至 6.70(ABVT.5) 及更高版本
WAC 系列：WAC6103D-I、WAC6502D-S、WAC6503D-S、WAC6552D-S、WAC6553D-E | 6.28 之前的所有版本易受攻击，请升级至 6.28(AAXH.3) 及更高版本
WAX 系列：WAX300H、WAX510D、WAX610D、WAX620D-6E、WAX630S、WAX640S-6E、WAX650S、WAX655E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACHF.2) 及更高版本。
WBE 系列：WBE530、WBE660S | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACLE.2) 及更高版本

Zyxel 表示，运行 V2.00(ACIP.2)的安全路由器 USG LITE 60AX 也受影响，但该型号已通过云自动更新到 V2.00(ACIP.3)，其中实施了 CVE-2024-7261 的修补程序。

#04 国际视野

俄罗斯版“微信”遭黑客入侵，泄露3.9亿条用户数据

据报道，俄罗斯最大的社交媒体和网络服务 VK（VKontakte）遭遇大规模数据泄露，影响了大量的用户。据非法市场 BreachForums 上一位名为 Hikki-Chan 的威胁行为者称，2024 年 9 月，VK出现大规模数据泄露事件，其数据在论坛上几乎可以免费下载，代价仅仅只需几个积分而已。

VK是俄罗斯最受欢迎的社交网络（地位大概和国内微信差不多），由帕维尔·杜罗夫于2006年创建（没错，就是Telegram首席执行官，刚刚在法国被逮捕），灵感来自当时刚刚推出的Facebook。

2014年，它被俄罗斯最大的互联网公司之一Mail.ru收购，最终更名为VK。资料显示，VK在俄罗斯所有社交网络中排名第一，号称每月有 11 亿访客，是全球访问量排名第 23 的社交网络，其受众主要是俄罗斯人（占89%）。在俄乌冲突爆发之后，VK 应用程序从 Apple App Store 中移除，但仍可在 Google Play 商店中下载。

据媒体报道，此次数据泄露事件使得数亿用户的个人信息被非法获取，数据类型包括基本身份和位置等信息，例如身份证号码、姓名、姓氏、性别、个人资料图片、国家、城市等。上传的 7z 档案包含 3.904 亿条用户数据，解压缩后约为27.6GB。

Hackread.com在 BreachForums 发现该内容，威胁行为者向 Hackread.com称，VK 并未直接被黑客入侵，而是通过第三方获取了上述用户数据。

这并非VK首次泄露用户数据，此前屡屡出现大规模数据泄露事件。2022 年，VK被曝泄露了 126GB的用户数据，其中包含 3200 万条记录，涉及照片链接、全名以及其他 API 查询等数据。据安全研究员 Bob Diachenko 称，甚至已关闭或受保护的 VK 账户也受到影响。

据 ZDNet 报道，2016 年 6 月，黑客窃取了 1.71 亿个 VK 账户，并试图在网上以约 580 美元的价格出售包括纯文本密码在内的数据。

美国一AI公司因非法收集面部数据被罚超3000万欧元

据Cyber News消息，荷兰数据保护局（Dutch DPA）已向美国人工智能公司Clearview AI 开出 3050 万欧元（3370 万美元）巨额罚款，并对其服务下达了使用禁令。

Clearview AI 是一家总部位于美国纽约的面部识别公司，为执法部门、政府机构和其他组织提供面部识别服务，能够根据视觉输入查找特定人员的身份。

当局认为，该公司建立了一个非法数据库，其中包含300亿张面部照片，包括许多荷兰人的照片。因此，Clearview AI会自动从互联网上抓取这些照片，然后为每张人物的脸部特征生成唯一的生物识别代码。而被抓取的人并不不知道这一点，也未对这一行为进行授权。

荷兰数据保护局主席亚历德-沃尔夫森（Aleid Wolfsen）称，Clearview AI 为欧盟以外的实体提供服务，而人脸识别等侵入性技术的使用应受到明确监管。例如警方必须在严格的条件下、在荷兰 DPA 和其他监管机构的监督下自行管理软件和数据库。

当局也向 Clearview AI的客户发出警告，由于该公司违反了法律，使用其服务也会成为非法行为，若继续使用将面临被罚款的风险。

根据荷兰数据保护局解释的法律规则，Clearview AI 根本就不应该建立包含照片、唯一生物识别代码和其他相关信息的数据库，与指纹一样，这些都是生物识别数据，收集和使用这些数据是被禁止的行为。虽然这项禁令有一些法定的例外情况，但 Clearview 不符合依赖这些例外情况。

沃尔夫森表示，Clearview AI 拒绝配合披露其 "非法 "数据库中包括哪些类型的个人数据，这样一家公司不能继续侵犯欧洲人的权利，也不能逍遥法外。我们现在要调查是否可以追究公司管理层的个人责任，并对他们的违规行为处以罚款。如果董事会知道有人违反了 GDPR，他们就有权阻止这种行为，否则，如果有意识地接受了这些违法行为，那么董事会就将承担相应责任。

多年来，Clearview AI已在欧洲面临了多次违法纠纷，法国、奥地利、意大利、希腊和英国的监管机构指控该公司使用“自动数据爬虫”。2022 年 10 月，法国对 Clearview 处以 2000 万欧元的罚款。2023年11月，Clearview AI 赢得了针对英国隐私监管机构的诉讼，并推翻了对该公司的另一项巨额罚款。