安全简讯（2024.10.16）

1. Central Tickets确认数据泄露，黑客泄露100万用户数据

10月14日，伦敦的折扣剧院票务平台Central Tickets近期遭遇了一次重大数据泄露事件，部分用户的个人信息被盗，包括姓名、电子邮件、电话号码等。尽管泄露发生在7月1日，但公司直到9月才意识到此事，当时伦敦警察厅在暗网上发现了关于被盗数据的讨论。黑客别名0xy0um0m，于7月2日访问了Central Tickets的系统，并试图以3000美元的价格出售数据。Central Tickets确认入侵影响了用于测试的临时数据库，该数据库虽与主系统隔离，但包含用户敏感信息。公司随后根据GDPR规定向信息专员办公室报告，并立即锁定了受感染的数据库，强制用户重置密码，并展开调查。受影响用户数量未披露，但公司警告用户可能易受网络钓鱼攻击，并敦促他们保持警惕。Hackread.com追踪了黑客活动，并指出黑客在Breach Forums上泄露了100万客户的数据和内部信息。专家批评Central Tickets在发现入侵事件方面存在延迟，敦促企业确保有措施及时检测和应对网络事件。

https://hackread.com/central-tickets-data-breach-hacker-leaks-user-data/

2. 利用合法签名证书的Hijack Loader及XWorm恶意软件活动曝光

10月15日，网络安全研究人员揭示了新的恶意软件活动，该活动利用合法代码签名证书签名的Hijack Loader工件。法国网络安全公司HarfangLab于本月初监测到这一旨在部署信息窃取程序Lumma的攻击链。Hijack Loader（又称DOILoader、IDAT Loader和SHADOWLADDER）自2023年9月首次曝光，通常通过诱骗用户下载带有陷阱的二进制文件实施攻击。近期变种将用户导向虚假CAPTCHA页面，要求复制和运行PowerShell命令以释放恶意负载。HarfangLab观察到三个不同版本的PowerShell脚本，涉及mshta.exe、Invoke-Expression和msiexec.exe执行远程代码。ZIP存档包含易受DLL侧加载影响的可执行文件和恶意DLL，用于解密并执行加密文件。为逃避检测，传送机制已从DLL侧加载转变为使用多个签名二进制文件，但证书现已被撤销。报告指出，代码签名本身不能作为可信度基准。此外，SonicWall Capture Labs警告称，CoreWarrior恶意软件感染Windows机器的网络攻击数量激增，而网络钓鱼活动也通过Windows脚本文件传播XWorm恶意软件，该恶意软件功能广泛。

https://thehackernews.com/2024/10/researchers-uncover-hijack-loader.html

3. 卡尔加里公共图书馆遭网络攻击被迫限制服务

10月16日，卡尔加里公共图书馆近期因遭受网络攻击而被迫限制服务，影响了该市130万居民。该图书馆系统拥有22个分支机构，于周五首次公开警告称遭遇了“网络安全漏洞”，导致部分系统受到威胁。图书馆随即关闭所有服务器和计算机，并于周五提前闭馆。尽管周三各地点恢复了正常开放时间，但服务已进行调整，客户仅能使用非技术手段的图书馆空间和服务。由于网络攻击，图书馆正经历严重的服务中断，包括图书归还服务、技术和数字服务（如计算机访问、打印、WiFi等）以及数字图书馆和电子资源工具均不可用。图书馆未透露恢复正常服务的时间，但表示希望尽快恢复。同时，几项先前安排的活动仍将继续进行。近年来，图书馆因提供重要服务而成为勒索软件团伙的攻击目标，加拿大多个主要城市的图书馆系统也遭受了类似攻击，导致服务受到严重影响。

https://therecord.media/calgary-public-library-limits-services

4. 大众汽车集团遭8Base勒索软件组织攻击，声称窃取大量机密信息

10月15日，大众汽车集团近期发表声明回应了一起网络攻击事件。据悉，一个名为8Base的勒索软件组织声称已从该汽车制造商的系统中窃取了包括发票、收据、会计文件、个人数据、证书、雇佣合同、人事档案等在内的“大量机密信息”。然而，大众汽车发言人表示，大众汽车集团的IT基础设施并未受到影响，并将继续密切关注事态发展。目前，该公司尚未透露有关此次网络攻击的任何其他信息。值得注意的是，尽管8Base勒索软件组织在网站上公布了大众汽车的赎金期限已到，但黑客似乎并未公开任何被盗信息。8Base自2023年初就已存在，迄今为止已公布了400多名受害者的名字。网络犯罪分子一旦获得目标组织系统的访问权限，就会窃取敏感数据并向受害者施压以支付赎金。

https://www.securityweek.com/volkswagen-says-it-infrastructure-not-affected-after-ransomware-gang-claims-data-theft/

5. Google Play上超过200个恶意应用下载量近800万

10月15日，Zscaler的威胁情报研究人员发现，在2023年6月至2024年4月期间，Android官方商店Google Play分发了超过200个恶意应用程序，累计下载量接近800万次。这些恶意软件包括信息窃取者Joker、广告软件、Facebook帐户凭证窃取程序Facestealer、信息窃取和短信拦截程序Coper等。尽管谷歌拥有检测恶意应用程序的安全机制，但威胁行为者仍使用一些技巧绕过验证过程。Zscaler的报告指出，近一半恶意应用程序是在Google Play的工具、个性化、摄影、生产力和生活方式类别下发布的。此外，去年Google Play上也出现了其他恶意软件，如Necro、Goldoson和SpyLoan等，它们的下载量分别达到1100万次、1亿次和超过1200万次。报告还显示，受移动恶意软件攻击最多的国家是印度和美国，教育行业成为主要攻击目标。为了减少被Google Play恶意软件感染的机会，建议用户阅读评论、检查应用程序发布者以及安装时请求的权限。

https://www.bleepingcomputer.com/news/security/over-200-malicious-apps-on-google-play-downloaded-millions-of-times/

6. WordPress Jetpack 插件严重漏洞影响2700万个网站

10月15日，WordPress Jetpack插件近日发布了一项关键更新，修复了一个自2016年以来一直存在的严重漏洞。该漏洞存在于插件的联系表单功能中，可能允许任何登录网站的用户查看同一网站上其他人提交的表单。Jetpack是一款流行的WordPress插件，由WordPress.com背后的公司Automattic开发，提供了一系列功能来增强网站的功能、安全性和性能，目前已被2700万个WordPress网站使用。虽然维护人员并未发现该漏洞已被野外攻击利用的证据，但仍敦促用户尽快更新至最新版本13.9.1，以确保网站的安全。大多数网站已经或即将自动更新至最新版本。Jetpack团队对此次给用户带来的不便表示歉意，并承诺将继续定期审核代码库，确保用户网站的安全。

https://securityaffairs.com/169848/uncategorized/wordpress-jetpack-plugin-critical-flaw.html