每月网络安全动向（99）

动向一览

• 阿肯色市应对水务设施网络安全事件，确保饮用水安全

• 金融服务巨头MoneyGram系统遭遇网络攻击

• OpenAI成为加密货币骗局的受害者：15个月内第四个账户被黑

• 印度最高法院YouTube频道遭黑客攻击后被关闭，XRP诈骗视频出现

• 人工智能安全警钟：ChatGPT漏洞暴露

• Android恶意软件“Necro”通过Google Play感染1100万台设备

• 建筑公司会计软件遭受黑客网络暴力攻击

• 恶意广告在英雄联盟“下载”中隐藏信息窃取程序

• 谷歌街景图像被用于敲诈勒索

• 美国太平洋西北地区海兰公立学校因网络攻击被迫关闭

• 伪装成游戏的勒索软件：Kransom通过DLL侧载进行攻击

• Lazarus Group利用虚假视频会议和求职诈骗攻击区块链专业人士

• 英国火车站Wi-Fi遭黑客攻击，显示仇视伊斯兰教的信息

• 俄罗斯最大社交网站VK超3.9亿用户个人信息疑似被泄露

• Tracelo Location Tracker数据泄露，140万用户的数据被在线转储

• 伦敦交通局确认其客户数据在网络攻击中被盗

• RansomHub勒索软件组织称其窃取了川崎汽车欧洲公司487GB的敏感数据

• 黑客声称入侵了总部位于英国的Experience Engine公司，并正在在线论坛上出售窃取的敏感数据

• Temu在黑客声称盗窃8700万条数据记录后否认其数据遭到泄露

• 俄罗斯安全公司Dr.Web在数据泄露后断开所有服务器的连接

• 戴尔在黑客泄露其员工信息后对数据泄露事件进行调查

• Twilio客户因使用有缺陷的第三方工具暴露了约12,000条Twilio通话记录及录音

• XXL-JOB漏洞分析与利用

• IPA：一款交互式PDF安全分析与审计工具

• sysdig-inspect：一款用于容器故障排除和安全调查的开源工具

• 恶意Bot流量识别分析实践

• 微软RDL远程代码执行超高危漏洞（CVE-2024-38077）漏洞检测排查方式

• 渗透测试|实战从.Git目录泄露导致信息泄露和任意文件读取

网络安全

阿肯色市应对水务设施网络安全事件，确保饮用水安全

2024年9月22日，堪萨斯州阿肯色城的水处理设施发生了一起网络安全事件。虽然事件的性质尚未完全披露，但市政府强调，供水仍然安全，服务没有中断。阿肯色城水处理网络攻击事件促使该市采取预防措施，并将水处理操作转变为手动控制，作为其应对措施的一部分。

阿肯色市官员通过该市官方领英账户发表声明，证实问题始于周日凌晨。帖子写道，阿肯色市于9月22日星期日凌晨遇到了涉及其水处理设施的网络安全问题。市长兰迪·弗雷泽向居民保证，尽管发生了这一事件，但不会危害公众健康或水质。

弗雷泽进一步强调，该市在事故期间专注于维持运营。尽管发生了事故，但供水仍然完全安全，服务没有中断。出于谨慎考虑，水处理厂在解决问题期间已切换到手动操作。居民可以放心，他们的饮用水是安全的，而且在此期间，该市的运营完全在控制之下。

虽然阿肯色市水处理网络攻击的严重程度尚待确定，但市政府官员已经聘请网络安全专家和政府部门来解决这一问题。与此同时，阿肯色市政府已经部署了加强的安全措施，以保护水处理设施免受进一步入侵。目前的努力重点是恢复该设施的自动化运行，但预计该市居民的水质不会发生变化，供水也不会中断。

发布平台：The Cyber Express

阅读原文：https://thecyberexpress.com/arkansas-city-water-treatment-facility-attack/

金融服务巨头MoneyGram系统遭遇网络攻击

MoneyGram International宣布，在发现网络安全事件并导致其运营中断后，该公司正在积极努力恢复系统。这家金融服务公司证实了MoneyGram遭受的网络攻击，并表示正在与外部网络安全专家和执法部门密切合作，以尽量减少影响。

MoneyGram在社交媒体平台X（原Twitter）上发表声明，向客户保证，关键交易系统恢复上线的工作正在取得进展。该公司表示，他们的专业团队正全天候积极工作，以恢复正常业务运营。一旦所有系统全面投入运行，客户就可以处理当前待处理的交易。

MoneyGram网络攻击事件发生之前，该公司在社交媒体上发布了一系列帖子。就在三天前，即9月21日，该公司承认网络中断影响了其多个系统的连接。MoneyGram强调他们致力于了解当前问题的性质和范围。到9月23日，MoneyGram已将该事件认定为影响各种系统的网络安全漏洞。该公司指出，发现后，他们立即展开调查并采取保护措施来解决这个问题，包括主动使系统离线，这会影响网络连接。在MoneyGram网络攻击事件中，这种快速反应凸显了该公司意识到情况的严重性，尤其是考虑到最近MoneyGram网络攻击带来的风险。

发布平台：The Cyber Express

阅读原文：https://thecyberexpress.com/moneygram-cyberattack/

OpenAI成为加密货币骗局的受害者：15个月内第四个账户被黑

9月23日，@OpenAINewsroom账户发布了一条现已删除的帖子，宣布推出一种名为“$OPENAI”的加密货币。帖子内容为，我们非常高兴地宣布推出$OPENAI：一种弥合人工智能和区块链技术之间差距的代币。它进一步声称，所有OpenAI用户都有资格获得该加密货币初始供应量的一部分，并表示，持有$OPENAI将获得他们所有未来测试版程序的访问权限。

该公告包含一个冒充OpenAI官方平台的假冒网站链接，但该URL并非来自openai.com。访问该网站的用户会被提示领取$OPENAI加密货币，并有一个按钮鼓励用户连接他们的加密货币钱包。但必须注意的是，访问该网站并连接钱包可能会给毫无戒心的用户带来重大财务损失。OpenAINewsroom被黑客入侵事件引起了X社区的关注。用户迅速对OpenAI账户上的未经授权活动发出警报。用户名为Smoke-away（@SmokeAwayyy）的用户发推文称，有人获得了官方OpenAI Newsroom X账户的访问权限。这是过去15个月内第4个被入侵的OpenAI X账户。此声明突显了一个令人不安的趋势，表明OpenAI账户已成为黑客的频繁目标。

发布平台：The Cyber Express

阅读原文：https://thecyberexpress.com/openai-falls-victim-to-cryptocurrency-scam/

 印度最高法院YouTube频道遭黑客攻击后被关闭，XRP诈骗视频出现

印度最高法院的YouTube频道遭到黑客攻击并被滥用来推广加密货币内容，随后被强制关闭。该法院已发表官方声明，承认存在违规行为，并承诺迅速采取行动恢复正常运作。

据报道，该频道遭到网络犯罪分子的攻击，他们将频道中的常规法律内容替换为XRP的宣传视频，XRP是美国公司Ripple Labs开发的加密货币。黑客发布了一段视频，标题为“Brad Garlinghouse：Ripple回应美国证券交易委员会的20亿美元罚款！XRP价格预测。该内容似乎是一场范围更广的加密货币骗局的一部分，此前其他平台上也报道过涉及Ripple Labs首席执行官Brad Garlinghouse的类似案例。

如此知名平台的安全漏洞引发了人们对知名数字账户（尤其是属于公共机构的账户）漏洞的担忧。虽然黑客攻击的具体方法尚不清楚，但消息人士证实，法院管理部门已对此事展开内部调查。

发布平台：The Cyber Express

阅读原文：https://thecyberexpress.com/supreme-court-youtube-channel-hacked/

人工智能安全警钟：ChatGPT漏洞暴露

一名名为Amadon的黑客演示了ChatGPT黑客攻击，揭示了如何操纵人工智能来制作危险内容，包括一份详细的炸弹制作指南。Amadon的伎俩被称为“ChatGPT黑客攻击”，涉及利用人工智能安全协议中的漏洞。Amadon没有直接入侵ChatGPT系统，而是使用了一种高级形式的社交工程。通过让人工智能参与精心构建的科幻场景并避开其标准安全约束，他成功绕过了内置限制并提取了危险信息。

ChatGPT的这次攻击过程并非常规攻击，而是一次战略操纵。最初，ChatGPT遵守了其安全准则，拒绝了请求，并提供有关如何制造危险或非法物品（例如化肥炸弹）的说明，违反了安全准则和道德责任。尽管如此，Amadon还是能够设计出特定场景，让AI超越其通常的限制。

Amadon将他的技术描述为“一种社会工程黑客，可以彻底打破ChatGPT输出的所有护栏”。他采用了一种编织叙述和背景的方法，有效地诱使人工智能发出危险的指令。这是关于编织叙述和制作在系统规则内发挥作用的背景，突破界限而不越界。他的方法需要深入了解ChatGPT如何处理和响应不同类型的输入。

这一发现引发了人们对人工智能安全措施有效性的质疑。这一事件凸显了人工智能开发中的一个根本挑战：确保旨在防止有害输出的系统不易被巧妙操纵。虽然Amadon的技术是创新的，但它暴露了一个可能被恶意利用的漏洞。

ChatGPT背后的组织OpenAI对这一发现作出了回应，指出模型安全问题并不容易解决。当Amadon通过OpenAI的漏洞赏金计划报告他的发现时，该公司承认了问题的严重性，但由于其潜在的危险性，并未透露具体的提示或响应。OpenAI强调，模型安全挑战非常复杂，需要持续努力才能有效解决。

这种情况引发了关于人工智能安全系统的局限性和脆弱性的更广泛争论。专家认为，操纵ChatGPT等人工智能工具生成有害内容的能力凸显了持续改进和警惕的必要性。这种技术被滥用的可能性凸显了开发更强大的保护措施以防止未来发生类似攻击的重要性。

发布平台：The Cyber Express

阅读原文：https://thecyberexpress.com/chatgpt-hack/

 Android恶意软件“Necro”通过Google Play感染1100万台设备

在恶意SDK供应链攻击中，新版本的Android恶意软件加载器Necro被通过Google Play安装在1100万台设备上。

此新版本的Necro木马病毒是通过合法应用程序、Android游戏模块以及Spotify、WhatsApp和Minecraft等流行软件的修改版本所使用的恶意广告软件开发工具包（SDK）安装的。

Necro会在受感染的设备上安装多个有效负载并激活各种恶意插件，其中包括：通过隐形WebView窗口加载链接的广告软件（Island插件、Cube SDK）；下载并执行任意JavaScript和DEX文件的模块（Happy SDK、Jar SDK）；门用于促进订阅欺诈的工具（Web插件、Happy SDK、Tap插件）；使用受感染设备作为代理来路由恶意流量的机制（NProxy插件）。

威胁分析师报告称，Necro病毒在6.3.2.148版本发布时出现在应用程序中，并且一直嵌入到6.3.6.148版本中，此时卡巴斯基才通知谷歌。虽然该木马在6.3.7.138版本中已被删除，但通过旧版本安装的任何有效载荷可能仍然潜伏在Android设备上。

发布平台：Bleeping Computer

阅读原文：https://www.bleepingcomputer.com/news/security/android-malware-necro-infects-11-million-devices-via-google-play/

建筑公司会计软件遭受黑客网络暴力攻击

黑客正在暴力破解基金会会计服务器上高权限账户的密码，这些账户广泛用于建筑行业，从而侵入企业网络。这一恶意活动最先被Huntress发现，其研究人员于2024年9月14日检测到了此次攻击。

Huntress已经发现这些攻击对管道、暖通空调、混凝土和其他子行业公司造成了严重破坏。在这些攻击中，攻击者利用了暴露的服务组合，而用户没有更改特权帐户的默认凭据则放大了这种风险。

Huntress解释说，Foundation软件包括一个Microsoft SQL Server（MSSQL），可以将其配置为通过TCP端口4243公开访问，以支持配套的移动应用程序。然而，这也使Microsoft SQL服务器暴露于外部攻击，这些攻击会尝试暴力破解服务器上配置的MSSQL帐户。默认情况下，MSSQL有一个名为“sa”的管理员帐户，而Foundation添加了第二个名为“dba”的帐户。而未更改这些账户默认密码的用户很容易受到外部攻击者的劫持。那些更改了密码但选择了弱密码的用户仍可能通过暴力破解受到攻击。

Huntress报告称，它观察到针对这些服务器的非常激进的暴力攻击，有时在一小时内对单个主机进行多达35,000次尝试，才成功猜出密码。一旦攻击者获得访问权限，他们就会启用MSSQL“xp_cmdshell”功能，这允许威胁行为者通过SQL查询在操作系统中执行命令。

在攻击中观察到的两个命令是“ipconfig”（用于检索网络配置详细信息）和“wmic”（用于提取有关硬件、操作系统和用户帐户的信息）。

Huntress对其保护的300万个端点进行的调查发现了500台运行目标会计软件的主机，其中33台公开了具有默认管理员凭据的MSSQL数据库。目前，它已向Foundation通报了其发现，而该软件供应商回应称，该问题仅影响其应用程序的内部版本，而不影响其基于云的产品。

基金会还指出，并非所有服务器都开放了4243端口，并且并非所有目标帐户都使用相同的默认凭据。

发布平台：Bleeping Computer

阅读原文：https://www.bleepingcomputer.com/news/security/construction-firms-breached-in-brute-force-attacks-on-accounting-software/

恶意广告在英雄联盟“下载”中隐藏信息窃取程序

安全研究人员发现了一项新的网络钓鱼活动，该活动利用本周英雄联盟（LoL）世界锦标赛开始前的兴奋气氛来传播窃取信息的恶意软件。

Bitdefender在一篇博客文章中解释道，它发现了恶意社交媒体广告，推广免费下载《英雄联盟》，而《英雄联盟》是一款流行的PC游戏，实际上已经免费了。

受害者点击广告后会进入一个相似的英雄联盟下载页面，该页面使用域名抢注技术来模仿合法版本的域名。

Bitdefender解释说，一旦用户点击下载链接，他们就会被引导至包含恶意档案的Bitbucket存储库。下载的存档包含一个可执行文件以及一个合法的Windows文件user32.dll。该可执行文件充当Lumma Stealer的植入程序，Lumma Stealer是一种流行的信息窃取恶意软件变种，旨在收集密码、卡详细信息、加密货币钱包和浏览器会话cookie等。这些信息要么在暗网上出售，要么被威胁者直接用于身份欺诈和后续网络钓鱼攻击。在某些情况下，他们还可能劫持受害者的社交媒体账户，并利用这些账户进一步实施诈骗、网络钓鱼和其他活动。

Bitdefender警告称，Lumma特别危险的原因在于其隐秘的攻击方式。一旦部署，它就会将自身注入合法的Windows进程bitlockertogo.exe，从而不被基本的防病毒软件检测到。

英雄联盟世界锦标赛于9月25日开始，将持续到11月2日，比赛将在伦敦、巴黎和柏林举行。Bitdefender表示，到目前为止，该活动已经针对超过4000名个人。

发布平台：Infosecurity Magazine

阅读原文：https://www.infosecurity-magazine.com/news/malicious-ads-infostealer-league/

谷歌街景图像被用于敲诈勒索

安全研究人员称，诈骗者正在利用谷歌街景图像来恐吓互联网用户。

勒索攻击（也被称为“性勒索”）通常指控受害者访问色情网站。然后攻击者要求支付一定费用（通常以比特币或其他加密货币支付）以“抹去”证据。

据Cofense的研究人员称，攻击者现在正在使用街景图像来进一步恐吓受害者。诈骗者将街景图像添加到索要付款的电子邮件中，暗示他们知道受害者的地址并且已经访问过该地址，作为侦察的一部分。在Cofense获得的一份性勒索电子邮件样本中，攻击者还声称可以访问Pegasus间谍软件应用程序并将其安装在受害者的设备上。然后，他们使用远程访问协议来控制设备，记录受害者的行为并获取其电子邮件和联系人的副本。

诈骗电子邮件针对每个受害者。通常，威胁者会创建一个PDF文件，提出勒索要求，并在诈骗电子邮件正文中包含受害者的地址和电话号码，以吸引目标用户的初步注意。现在，攻击者还在PDF中添加图像（声称是目标地址），并附上暗示他们曾访问过该地区的文字。然而，Cofense的研究人员认为，攻击者会自动生成受害者地址的图像，其中一些图像显示的是街道或街区的图片，而不是特定的财产。

研究人员表示，威胁行为者可能利用谷歌街景等地图服务获取目标居住地或工作地点的图像，并威胁说，如果目标不回复电子邮件，他们就会拜访他们。

Cofense认为，诈骗者已经从使用伪造的电子邮件地址转向更直接、更容易恐吓的方式，基于更个性化的方法。与其他性勒索攻击一样，受害者可以选择忽略威胁并冒着证据发送给联系人的风险，或者支付费用。

研究人员警告说，攻击者使用随机的Gmail地址，并避免使用URL或恶意附件，这使得传统安全工具更难检测和阻止攻击。

发布平台：Infosecurity Magazine

阅读原文：https://www.infosecurity-magazine.com/news/google-street-view-extortion/

美国太平洋西北地区海兰公立学校因网络攻击被迫关闭

9月8日，海兰公立学校遭受了网络攻击，所有学校将于周一停课。停课包括取消会议和体育活动。停课还意味着今年新生的幼儿园第一天课程也将被取消。该学区随后宣布学校将于9月10日停课。

海兰公立学校有17,500多名K-12年级学生。该学区在华盛顿州有34所学校和2,000名教职员工。

该学区在一份声明中表示，他们已检测到技术系统上存在未经授权的活动，并已立即采取行动隔离关键系统。他们正在与第三方、州和联邦合作伙伴密切合作，以安全地恢复和测试我们的系统。

海兰公立学校已告知员工不要使用学区发放的电脑和笔记本电脑，以防万一。海兰公立学校表示，已将其网络与互联网断开。因此，员工无法访问学校安全运营所需的关键应用程序。员工可以继续使用Office 365和学区提供的手机收发电子邮件。

目前，调查人员没有发现任何员工或家长个人数据被盗的情况。然而，学校已经无法访问关键系统，包括管理学校交通的应用程序。

发布平台：Infosecurity Magazine

阅读原文：https://www.infosecurity-magazine.com/news/highline-schools-cyberattack/

伪装成游戏的勒索软件：Kransom通过DLL侧载进行攻击

ANY.RUN的研究人员发现，Kransom勒索软件被伪装成游戏以逃避检测。该恶意软件使用DLL侧载来执行其有效负载，并使用来自COGNOSPHERE PTE. LTD.的合法证书。后者为其攻击增加了一层额外的欺骗性。Kransom勒索软件巧妙地隐藏在游戏StarRail中，这是一款用来欺骗用户的合法软件。该恶意软件依赖于与游戏存储在同一目录中的DLL文件，其中包含其加密的勒索软件代码。

Kransom最具欺骗性的元素之一是它使用COGNOSPHERE PTE. LTD.的合法证书。通过使用受信任的证书，该恶意软件能够绕过许多传统的安全措施，因为系统会将该软件识别为无害的。然而，一旦可执行文件加载StarRailBase.dll，就会发生恶意操作，从而引发勒索软件攻击。

发布平台：HACK READ

阅读原文：https://hackread.com/ransomware-disguised-game-kransoms-attack-dll-side-loading/

Lazarus Group利用虚假视频会议和求职诈骗攻击区块链专业人士

Group-IB的最新报告显示，Lazarus Group正在加强其以经济为目的的网络攻击活动。该攻击活动被称为“Eager Crypto Beavers”，它使用越来越复杂的策略来针对区块链专业人士和开发人员。

研究人员观察到了一项名为“传染性面试”的活动，受害者被虚假的工作机会所诱惑。求职者被诱骗下载并运行一个恶意的Node.js项目，该项目包含一个名为“BeaverTail”的恶意软件变体。然后，BeaverTail部署一个名为“InvisibleFerret”的Python后门，最终窃取敏感数据。

威胁者扩大了攻击手段，使用“FCCCall”等欺诈性视频会议应用程序来模仿合法平台。这些应用程序通过克隆网站进行分发，并充当BeaverTail恶意软件的传播机制。

Group-IB在与Hackread.com分享的最新报告中透露，Lazarus Group的新攻击策略除了LinkedIn之外，还包括WWR、Moonlight和Upwork等求职门户网站。

此外，该组织还利用Telegram等平台进一步操纵受害者。Lazarus还将恶意JavaScript注入GitHub上的游戏和加密货币项目中，目前正在分发欺诈性视频会议应用程序，例如“FCCCall”，它模仿合法服务来安装BeaverTail等恶意软件。一旦安装在Windows上，BeaverTail就会窃取浏览器凭据和加密货币钱包数据，然后执行另一个恶意软件InvisibleFerret。值得注意的是，BeaverTail恶意软件也针对macOS设备。

该组织的恶意存储库包含经过混淆的代码，这些代码会从命令和控制（C2）服务器获取其他威胁，从而增加检测难度。此外，BeaverTail的Python版本和另一个工具CivetQ可通过AnyDesk实现远程访问，并确保在Windows、macOS和Linux系统上的持久性。

更糟糕的是，Lazarus已将其数据窃取目标扩大到浏览器扩展程序、密码管理器，甚至Microsoft Sticky Notes，通过FTP和Telegram窃取被盗数据。关键入侵指标（IOC）包括恶意软件下载的C2端点和唯一文件签名。

发布平台：HACK READ

阅读原文：https://hackread.com/lazarus-group-blockchain-fake-video-conferencing-job-scam/

英国火车站Wi-Fi遭黑客攻击，显示仇视伊斯兰教的信息

2024年9月25日，一次大规模网络攻击导致英国多个火车站的Wi-Fi服务中断，其中伦敦有10个火车站的Wi-Fi服务中断。攻击者利用Wi-Fi网络漏洞显示仇视伊斯兰教的信息，引起广泛关注，并促使当局迅速展开调查。

值得注意的是，英国火车Wi-Fi黑客攻击被称为“夜猫子式”攻击，因为它与BBC的夜猫子系列中描述的虚构网络攻击有相似之处。在这两种攻击中，黑客都以交通网络为目标，利用系统中的漏洞传播恶意内容并造成大面积破坏。就像该系列中协调一致的数字破坏导致火车上一片混乱一样，这次真实的攻击劫持了英国火车站的Wi-Fi网络，注入了有害和令人反感的信息。这两种情况都凸显了关键基础设施很容易受到攻击，引发了人们对公共交通系统网络安全的担忧。

Network Rail证实，Wi-Fi系统已迅速下线，以遏制攻击并防止进一步损害。该公司强调，受影响的Wi-Fi网络由第三方供应商提供，并未收集用户的任何个人数据。

由于黑客攻击，所有受影响车站的Wi-Fi服务于周四早上暂停，并且一直处于瘫痪状态。英国交通警察正在与Network Rail和其他相关机构合作调查此次网络攻击，以查明肇事者并将其绳之以法。当局还在调查此次攻击背后的潜在动机，以及它是否与任何特定团体或意识形态有关。

这一事件凸显了关键基础设施遭受网络攻击的威胁日益增加，强调了组织需要投资于强大的网络安全措施，以保护其系统和数据免受恶意行为者的攻击。

发布平台：HACK READ

阅读原文：https://hackread.com/uk-train-stations-wi-fi-hacked-islamophobic-messages/

数据安全

俄罗斯最大社交网站VK超3.9亿用户个人信息疑似被泄露

VK.com是由Pavel Durov于2006年创立的类似于Facebook的社交网站，现为俄罗斯及其他东欧国家最大的社交媒体平台之一。

黑客HikkI-Chan在Breach论坛泄露了俄罗斯最大社交网站VK超过3.9亿用户个人数据。该黑客声称此次事件发生在2024年9月，数据是最新的。Hackread研究团队经过对数据库的分析后表示，被窃取的数据非常庞大，大小超过27GB，泄露信息虽然不包含电话号码和密码，但是包含了城市、国家、姓名、用户个人资料图像URL链接和电子邮件地址等总数未知的数据类型。

据报道称，虽然泄露的信息非常重要，但因为相关信息是俄语，这可能会使其他黑客难以利用。此外，指向VK用户个人资料图像的URL链接托管在userapi.com这个域名上，这是一个与VK应用程序关联的域。

据悉，相关黑客确认了VK没有直接被入侵，相关服务器也没有被非法访问，但其否认了有关数据被非法抓取的传言。该黑客表示，有问题的数据来自二阶泄露，并不是直接来自VK，而是通过第三方的泄露事件获得的。

发布平台：HACK READ

阅读原文：https://hackread.com/hacker-leaks-data-of-vk-users-russian-social-network/

Tracelo Location Tracker数据泄露，140万用户的数据被在线转储

Tracelo声称其提供的一项服务可以仅使用电话号码来确定一个人的位置，将自己定位为寻找家庭成员或其他强调道德实践的个人的工具。

此次泄露事件发生于2024年9月1日。根据Hackread.com研究团队的分析，黑客设法提取了264MB的数据，包括三个CSV文件：一个名为“saas-backend.locate_phone_infos”，另一个名为“saas-backend.users”，第三个名为“saas-stage.users”。

其中，名为“saas-backend.locate_phone_infos”的文件包含全球超过五十万（646,442）名受害者的个人详细信息（这表明相关受害者的位置已被追踪）。

该文件泄漏的信息包含但不限于如下类型：

• 全名

• 电话运营商

• 电话号码

• 国家、城市和时区

• 每条记录的唯一标识符

名为“ Saas-backend.users”及“saas-backend.users”的文件则包含了在Tracelo上注册帐户的近一百万名（803,103）客户的个人详细信息。

相关文件泄漏的主要信息类型如下：

• 全名

• 物理地址

• Bcrypt密码哈希

• 电子邮件地址

• 上次登录日期

• 订阅类型

• Google ID号

• 国家/地区、城市和邮政编码

• 帐户创建日期

发布平台：HACK READ

阅读原文：https://hackread.com/tracelo-location-tracker-data-breach-user-records-leak/

伦敦交通局确认其客户数据在网络攻击中被盗

伦敦交通局（TfL）已确定2024年9月1日的网络攻击涉及了其客户数据，包括姓名、联系方式、电子邮件地址和家庭住址。据悉，该局于9月2日向公众通报了这一起网络安全事件，并向其客户保证，当时没有证据表明数据受到损害。

截止至2024年9月6日，伦敦交通局的员工仍然面临系统中断和中断的问题，包括无法响应通过在线表格提交的客户请求、无法为使用非接触式方式支付的旅程退款等。伦敦交通局表示，尽管在此期间对其运营的影响仍然很小，但其经内部调查发现其客户数据已泄露。

泄漏的数据类型如下：

• 部分客户姓名

• 联系方式（包括电子邮件地址）

• 家庭住址

此外，该局调查发现，黑客可能已经访问了大约5,000名客户的一些Oyster卡退款数据以及银行账号和分类代码。伦敦交通局表示，在补救工作结束之前，仍有缓解措施来帮助保护数据和系统，这意味着某些服务仍然不可用。

据悉，相关单位已陆续通知受影响的客户，但截止至9月12日，未有勒索软件团伙表示对此次网络攻击负责。

发布平台：Bleeping Computer

阅读原文：https://www.bleepingcomputer.com/news/security/transport-for-london-confirms-customer-data-stolen-in-cyberattack/

RansomHub勒索软件组织称其窃取了川崎汽车欧洲公司487GB的敏感数据

2024年9月5日，RansomHub勒索软件组织在暗网上列出了窃取的信息，并利用其官方暗网泄露网站转储数据，并称这些数据是从川崎汽车欧洲公司（KME）窃取的。泄露事件包括商业文件和财务数据，引发了全球公司的网络安全担忧。

事后，川崎公开披露了此次网络攻击，尽管该公司强调，这次攻击并未达到其目的，但作为预防措施，川崎暂时隔离了其服务器并启动了彻底的“清理过程”以检测任何潜在的感染。然而，尽管川崎做出了恢复工作，但RansomHub还是继续发布数据。

据Hackread.com研究团队表示，泄露的文件包括重要的业务文件，包括财务信息、银行记录、经销商详细信息和内部通信，泄露数据的部分列表包括标题为“经销商名单”“为川崎融资”“COVID”“交易条款”等的目录，时间戳显示最近的活动时间为9 月初。

据悉，虽然川崎汽车欧洲公司向其客户披露了违规行为，但该公司似乎选择不参与赎金要求。ectigo高级研究员Jason Soroko推测，川崎可能优先考虑系统恢复而不是支付赎金。Jason Soroko表示，这一决定反映了川崎准备应对数据泄露的潜在后果，强调了建立强大的网络安全系统以避免因支付赎金而造成经济损失的重要性，川崎汽车欧洲的官方声明声称，他们可以用数据承受打击，而不是支付赎金的财务打击，但是，RansomHub组织发布了487GB的据称被盗数据。这表明（但并不能证明）川崎选择不与攻击者谈判，而是优先考虑系统恢复和数据清理。

发布平台：HACK READ

阅读原文：https://hackread.com/ransomhub-ransomware-group-kawasaki-europe-data-leak/

黑客声称入侵了总部位于英国的Experience Engine公司，并正在在线论坛上出售窃取的敏感数据

臭名昭著的IntelBroker黑客声称对入侵Experience Engine负责。据悉，该名黑客还与此前几起备受瞩目的数据泄露事件有关，其正于Breach Forums上出售据称被盗的数据，并要求以门罗币（XML）加密货币付款以保持匿名和无法追踪。

Experience Engine是一家专门创建体验式营销和促销人员配备解决方案的公司，该公司服务涉及科技、公共部门和快速消费品（FMCG）品牌等多个行业，且拥有较强全球影响力和包括大公司在内的客户群。

据IntelBroker称，此次入侵事件发生在9月份，涉及大量敏感数据。该黑客计划出售整个.bak数据库文件，该文件包含了大量客户和事务信息IntelBroker甚至提供了样本数据，其中包括来自tables的详细信息，如dbo.invoiced 和bo.booking_backup，包含数千行敏感记录。

其中一个值得注意的表，包括了31,000行数据，包括了诸如InvoiceID、InvoiceNumber和InvoiceDate等字段，以及客户特定信息，如联系方式和发票金额。例如，一张日期为2006年10月3日的发票提到了Thomas Cook，一家总部设在英国的现已不存在的全球旅游集团，提供了与现在永久关闭的Thirty Thirty New York City Hotel.dbo.invoice的预订有关的付款细节和银行信息。

另一个名为dbo.booking_backup的表包含了784,000行数据，其中包含敏感客户信息，如姓名、地址、电子邮件、预订历史记录和收入数据。条目包括来自英国、美国和圣卢西亚的客户的详细信息，包括个人信息、电子邮件地址和预订记录。

IntelBroker提供的数据样本揭示了涉嫌违规的令人震惊的细节。暴露的数据包括高度敏感的信息，包括金融交易、客户联系方式和银行账号。例如，Hackread.com研究团队分析的表格中的样本显示了一张金额为4699.36美元的发票的详细信息，其中包含收款人的完整银行详细信息。预订记录会泄露客户姓名、地址，甚至预订的房间收入，这可能会使个人隐私和财务安全处于危险之中。此外，涉嫌数据泄露的性质表明，Experience Engine的安全协议可能不足以防止这种大规模泄露。鉴于该公司管理全球品牌的促销人员和体验式活动，此次事件因此可能会对其声誉产生严重的影响。

发布平台：HACK READ

阅读原文：https://hackread.com/hacker-breach-uk-experience-engine-data-sold-online/

Temu在黑客声称盗窃8700万条数据记录后否认其数据遭到泄露

一名威胁行为者其声称正在出售Temu的一个包含8700万条客户信息记录的被盗数据库，但Temu否认其被黑客入侵或遭受数据泄露。该威胁行为者于2024年9月16日在BreachForums黑客论坛上出售了所谓的数据，并提供了一个小样本作为被盗数据的证据。

Temu是一个快速发展的电子商务平台，该平台业务遍及全球，包括欧洲和美国。尽管该平台因与数据隐私、产品质量和运输时间相关的担忧而面临审查，但到目前为止，该平台还没有发现其处于重大数据泄露事件的中心。

9月16日，一名绰号为“smokinthashit”的威胁行为者声称其从Temu窃取了一个包含8700万条记录的数据库，并试图将其出售给其他网络犯罪分子。此外，威胁行为者还发布了据称被盗数据的示例，其中包含用户名和ID、IP地址、全名、出生日期、性别、送货地址、电话号码和哈希密码。

Temu平台表示，其安全团队已经对涉嫌数据泄露进行了全面调查，确认了威胁行为者的相关说法是绝对错误的，正在传播的数据并不是来自其系统，且没有一行数据与其的交易记录相匹配，此外，该平台表示，其非常重视用户的安全和隐私，其会保留对那些传播虚假信息并试图从此类恶意活动中获利的人采取法律行动的权利，以确保消费者能够在其平台上安心购物。该电子商务平台还强调，它遵循行业领先的数据保护和网络安全实践，并指出该应用的MASA认证、独立验证、其HackerOne漏洞赏金计划以及符合PCI DSS支付安全标准。

截止至2024年9月17日，相关威胁行为者依旧声称Temu的代码中存在漏洞，并且表示其仍然可以访问该公司的电子邮件和内部面板。

发布平台：Bleeping Computer

阅读原文：https://www.bleepingcomputer.com/news/security/temu-denies-breach-after-hacker-claims-theft-of-87-million-data-records/

俄罗斯安全公司Dr.Web在数据泄露后断开所有服务器的连接

2024年9月17日，俄罗斯反恶意软件公司Doctor Web（Dr.Web）披露了一起安全漏洞，此前其系统在9月14日成为网络攻击的目标，但其对此次攻击进行了密切监控并控制了事件。

该公司表示，对其资源的攻击始于2024年9月14日星期六，其在检测到其IT基础设施出现“未经授权干扰的迹象”后，按照既定的安全策略，断开了所有服务器的网络连接，并启动了全面的安全诊断，及时阻止了破坏其基础设施的攻击企图，因此，系统受到Dr.Web保护的用户不会受到此次攻击的影响。

该公司表示，为了分析和消除事件的后果，其采取了一系列措施，包括使用Dr.Web FixIt！适用于Linux，收集的相关数据使其安全专家能够成功隔离威胁，并确保了其客户不受此次事件影响。

据悉，该公司在遭受攻击后被迫在9月16日停止向客户提供病毒数据库更新，同时调查违规行为。直至9月18日，Dr.Web才表示病毒数据库更新已于9月17日恢复，并补充说安全漏洞并未影响其任何客户。

发布平台：Bleeping Computer

阅读原文：https://www.bleepingcomputer.com/news/security/russian-security-firm-drweb-disconnects-all-servers-after-breach/

戴尔在黑客泄露其员工信息后对数据泄露事件进行调查

9月20日，戴尔证实了其正在调查近期黑客泄露员工信息这一事件，即威胁行为者泄露了其10,000多名员工的信息。

2024年9月19日，一位名叫“grep”的威胁行为者声称戴尔在2024年9月遭受了“轻微数据泄露”，暴露了戴尔内部员工和合作伙伴信息。

在黑客论坛的帖子中，该威胁行为者表示，被盗数据包括员工的唯一标识符、戴尔和合作伙伴的员工全名、员工状态（在职与否）以及内部识别字符串。据悉，此次泄漏的内容虽然只有一小部分数据样本是免费共享的，但可以通过花费1个BreachForums积分（价值约0.30美元）来获取指向整个数据库的链接。

事后，戴尔表示，其已知晓了相关的消息，并对此组织其安全团队进行调查。

发布平台：Bleeping Computer

阅读原文：https://www.bleepingcomputer.com/news/security/dell-investigates-data-breach-claims-after-hacker-leaks-employee-info/

Twilio客户因使用有缺陷的第三方工具暴露了约12,000条Twilio通话记录及录音

据悉，一名别名为“grep”的黑客泄露了11,802条带音频的通话记录，并声称相关记录属于Twilio客户。

Twilio是一个位于加利福尼亚州旧金山的云通信平台，使开发人员能够使用其API将语音、消息、视频和身份验证功能直接集成到应用程序中。截至2024年，该公司拥有超过350,000个活跃客户账户，这意味着最新涉嫌泄漏的账户约占账户总数的3.37%。

据该黑客称，其所谓的违规行为发生在9月，但其没有具体说明这是否是第三方泄露，或者这些记录是否直接从Twilio的系统访问。

经Hackread.com研究团队对相关泄露数据的分析，泄露的记录分为两个TXT文件。第一个文件似乎是通话记录，可能是从电信系统中提取的。这两个文件都跟踪呼叫，可能是在电信和口译服务的上下文中。文件1是基本的通话记录，而文件2包含了特定于口译服务的其他详细信息，包括语言、费率和会话详细信息。

尽管按号码泄露的数据很少，但实际通话录音的存在严重增加了违规行为的严重性，因为它不仅暴露了元数据，还暴露了对话内容。据报道，此次泄漏事件可能会引起严重的隐私侵犯，尤其是在通话涉及敏感的个人或商业信息时。攻击者可以利用这些录音进行勒索、欺诈或冒充。同时，被泄露的电话号码也容易受到短信钓鱼（短信网络钓鱼）和电话钓鱼（语音电话网络钓鱼）诈骗的攻击。这两种攻击方法在网络犯罪分子和威胁行为者中都很流行，尤其是那些由有组织团体支持的攻击者。此外，根据GDPR或CCPA等法规，相关企业可能会因未能保护这些数据而面临法律后果。

对此，Twilio表示，没有证据表明Twilio被入侵，事实为：一位客户在开发人员使用存在漏洞的第三方软件工具时，无意中暴露了自己的Twilio数据。截止至2024年9月24日，该公司已经通知了相关的客户，并对相关的账户采取了保护措施。

发布平台：HACK READ

阅读原文：https://hackread.com/hacker-leaks-twilio-call-records-audio-recordings/

实用研究

XXL-JOB漏洞分析与利用

XXL-JOB是一个开源的分布式任务调度平台，设计宗旨是实现任务的快速开发、简易学习和轻量级部署，同时具备良好的扩展性。该平台由调度中心和管理执行器的两部分组成，它们通过网络进行通信，实现任务的调度和执行。调度中心负责任务的发起和调度策略的配置，而执行器则负责接收任务请求并执行具体的业务逻辑。

通俗的来说，XXL-JOB就像一个超级强大的闹钟，但它不仅仅能设定固定的时间响铃，还能根据复杂的规则和条件来触发任务。想象一下，你有一个任务需要每天早上8点执行，另外一个任务需要在每月的第1天晚上12点执行，还有任务是基于某些特定事件触发的，比如数据库中的数据达到一定量时。

XXL-JOB就像一个智能助手，它可以帮你设定这些任务，并且确保它们在正确的时间得到执行。它有以下几个关键特点：

1.容器化：提供官方docker镜像，并实时更新推送dockerhub，进一步实现产品开箱即用。

2.脚本任务：支持以GLUE模式开发和运行脚本任务，包括Shell、Python、NodeJS、PHP、PowerShell等类型脚本。

3.动态：支持动态修改任务状态、启动/停止任务，以及终止运行中任务，即时生效。

4.Rolling实时日志：支持在线查看调度结果，并且支持以Rolling方式实时查看执行器输出的完整的执行日志。

发布平台：FreeBuf

阅读原文：https://www.freebuf.com/vuls/410065.html

IPA：一款交互式PDF安全分析与审计工具

IPA，全称为Interactive PDF Analysis，是一款功能强大的交互式PDF安全分析与审计工具，在该工具的帮助下，广大研究人员可以轻松探索任何PDF文件的内部细节并对其执行安全分析与审计。

PDF文件可能用于携带利用漏洞和PDF查看器问题的恶意Payload，或可能在网络钓鱼活动中用作社会工程手段。该软件的目标是让任何分析师都能深入研究PDF文件，通过IPA，广大研究人员可以从PDF文件中提取重要的负载，了解对象之间的关系，并推断可能有助于分类恶意或不受信任的Payload元素。

功能介绍：

1.提取和分析元数据以识别PDF文件的创建者、创建日期、修改历史记录和其他重要详细信息。

2.通过分析PDF文档的对象（如文本、图像和字体）和页面来检查PDF文档的结构，以了解它们的关系、内容和布局。

3.可视化指向文件内其他对象或位置的引用，例如图像、字体或特定部分。

4.从PDF文件中提取并保存原始数据流到指定位置，以便详细检查和分析底层二进制内容。

5.实施更轻量的分析，尝试从损坏或部分损坏的PDF文件中挽救可用信息，即使传统的解析方法失败。

6.由于pdf-rs和Rust兼容性，不需要任何额外的软件、库或外部服务即可运行。

发布平台：FreeBuf

阅读原文：https://www.freebuf.com/sectool/411773.html

sysdig-inspect：一款用于容器故障排除和安全调查的开源工具

sysdig-inspect是一款用于容器故障排除和安全调查的开源工具，该工具可以帮助我们针对目标容器快速执行安全解析。

sysdig-inspect是一个功能强大的开源接口，该工具的用户界面旨在直观地浏览数据密集的sysdig捕获，其中包含Linux系统的精细系统、网络和应用程序活动。Sysdig Inspect可帮助您了解趋势、关联指标并大海捞针。它配备了旨在支持性能和安全调查的功能，并具有深度容器自省功能。

发布平台：FreeBuf

阅读原文：https://www.freebuf.com/sectool/410569.html

恶意Bot流量识别分析实践

随着互联网的发展，自动化工具和脚本（Bots）的使用越来越普遍。虽然一些善意Bots对于网站的正常运行和数据采集至关重要，但恶意Bots可能会对网站带来负面影响，如爬取敏感信息、恶意注册、刷流量等。因此，检测和分析Bot流量变得至关重要。Bot恶意流量检测手段大致可分为前端检测和后端数据分析，前端包括设备指纹获取、浏览器插件信息获取等，后端主要是制定检测模型，与威胁情报、IP信誉等手段结合。在整个恶意流量识别过程中，前端与后端的两者相辅相成。此文章将基于网宿自身站点的访问日志分析，探讨如何使用后端基础检测方案来分析识别恶意Bot流量，包括IP情报、User-Agent、TLS指纹、请求头特征等，并通过详细的案例研究和实验，展示多层次防御机制的重要性，以及不同方法的协同作用。

发布平台：FreeBuf

阅读原文：https://www.freebuf.com/articles/web/411344.html

微软RDL远程代码执行超高危漏洞（CVE-2024-38077）漏洞检测排查方式

CVE-2024-38077是微软近期披露的一个极其严重的远程代码执行漏洞。该漏洞存在于Windows远程桌面许可管理服务（RDL）中，攻击者无需任何权限即可实现远程代码执行，获取服务器最高权限。由于在解码用户输入的许可密钥包时，未正确检验解码后数据长度与缓冲区大小之间的关系，导致缓冲区溢出。该漏洞影响Windows Server 2000到Windows Server 2025所有版本。

需要注意的是：虽然RDL服务不是默认安装，但很多管理员会手工开启，所以需要尽快排查并按照微软官方处置建议进行更新升级。

漏洞检测方式：可通过使用Goby检测开放RDL服务的主机，检查步骤如下：

1.下载并打开Goby社区版

2.选择135端口进行资产扫描

3.进入资产管理页面，在135端口资产中，使用语法："banner=3d267954-eeb7-11d1-b94e-00c04fa3080d"进行检索，即可检索开启了RDL服务的主机

发布平台：FreeBuf

阅读原文：https://www.freebuf.com/articles/web/409383.html

 渗透测试|实战从.Git目录泄露导致信息泄露和任意文件读取

在目前整个Web服务开发情况下版本控制系统已成为软件开发过程中不可或缺的一部分。Git，作为最流行的分布式版本控制系统之一，广泛应用于各类软件项目。然而，随着Git的普及，也暴露出了一些潜在的安全隐患，其中之一就是.git目录的意外泄露。这种漏洞不仅会导致源代码泄露，还可能暴露敏感信息，如数据库凭据、API密钥等，从而对整个项目的安全性造成严重威胁。

本文将详细介绍.git目录的结构、泄露的原因及其可能的后果，并探讨如何利用这些泄露信息进行进一步攻击。通过具体的案例分析，揭示攻击者如何利用公开的.git目录获取敏感信息，并提出相应的防护措施，帮助开发者在实际工作中有效防止此类安全风险的发生。

.git泄露造成的危害：

1.代码泄露：攻击者可以获取到你的项目代码，并将其用于恶意目的，例如进行代码分析、代码窃取、修改代码等。

2.敏感信息泄露：攻击者可以获取到你的提交历史记录，从中找出开发者使用的账号密码、数据库连接信息、API密钥等等敏感信息。

3.项目安全漏洞：攻击者可以利用你项目代码中的安全漏洞，进行攻击，例如SQL注入、跨站脚本攻击等等。

发布平台：FreeBuf

阅读原文：https://www.freebuf.com/articles/web/410701.html

往期推荐