正文

今日要闻丨网安一周资讯速览 075期

admin
admin V管理员 /0 评论 /40 阅读
1223
此篇文章发布距今已超过19天,您需要注意文章的内容或图片是否可用!

(12/16--12/22)

#01

网络攻击

  • 文件传输平台Cleo零日漏洞,Clop团伙声称对数据盗窃攻击负责

  • 警惕!Patchwork APT以中国科研为目标开展新一轮活动

#02

恶意程序

  • 印度制药巨头Cipla遭攻击,Akira勒索软件称窃取70GB数据

  • 德勤否认数据泄露,称Brain Cipher网络攻击影响了客户系统

#03

数据安全

  • Google日历沦为钓鱼新工具,可绕过安全防护机制

  • Apache Tomcat新漏洞允许攻击者执行远程代码

  • 知名间谍软件公司 Paragon 被美国私募收购

#04

国际视野

  • 美国拟禁用中国路由器TP-Link,称构成国家安全风险

  • 超40万份文件泄露,纳米比亚电信遭遇大规模网络攻击

  • 利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露

#01 网络攻击

文件传输平台Cleo零日漏洞,Clop团伙声称对数据盗窃攻击负责

E安全消息,Clop勒索软件团伙已向BleepingComputer证实,他们是最近Cleo数据盗窃攻击的幕后黑手,利用零日漏洞入侵公司网络并窃取数据。
Cleo是管理文件传输平台Cleo Harmony、VLTrader和LexiCom的开发商,企业使用这些平台与商业伙伴安全地交换文件。
上周五(12月13日)CISA 证实,Cleo Harmony、VLTrader 和 LexiCom 文件传输软件中的关键CVE-2024-50623安全漏洞已被勒索软件攻击利用。然而,Cleo从未公开披露他们在10月份试图修复的原始漏洞被利用了。
10 月,Cleo修复了一个跟踪为CVE-2024-50623的漏洞,该漏洞允许不受限制地上传和下载文件,从而导致远程代码执行。
然而,网络安全公司Huntress上周发现,原始补丁不完整,威胁行为者正在积极利用绕过进行数据盗窃攻击。
在利用此漏洞的同时,威胁行为者上传了一个JAVA后门,允许攻击者窃取数据、执行命令并进一步访问受感染的网络。
Clop声称对Cleo数据盗窃攻击负责
此前人们认为Cleo攻击是由一个名为Termite的新勒索软件团伙进行的。然而Cleo数据盗窃攻击更接近于Clop勒索软件团伙之前进行的攻击。
在周二联系Clop后,勒索软件团伙向BleepingComputer确认,他们就是Huntress发现的Cleo漏洞以及10月份修复的原始CVE-2024-50623漏洞的最近利用者。
Clop告诉BleepingComputer
勒索团伙宣布,他们正在从其数据泄漏服务器中删除与过去攻击相关的数据,并且只会与在Cleo攻击中被入侵的新公司合作。
“尊敬的公司,由于最近的事件(CLEO攻击),所有公司的数据链接都将被禁用,数据将从服务器中永久删除。我们只会与新公司合作。”团伙的 CL0P^_- LEAKS勒索网站上的一条新消息写道。
“新年快乐 © CL0P^_ 所有他们数据泄露网站上的受害者。”
CL0P^_- LEAKS 勒索网站上的消息
资料来源:BleepingComputer
BleepingComputer询问Clop攻击何时开始,有多少公司受到影响,以及Clop是否与Termite勒索软件团伙有关联,但没有收到这些问题的回应。
BleepingComputer还在周五联系了Cleo,以确认Clop是否是漏洞利用的幕后黑手,但没有收到回应。
针对文件传输平台漏洞利用
E安全了解,Clop勒索软件团伙,又名TA505,于2019年3月首次出现,当时它使用CryptoMix勒索软件的变体针对企业进行攻击。
像其他勒索软件团伙一样,Clop入侵企业网络,在其系统内横向传播,同时窃取数据和文件。当他们收集了所有有价值的东西后,在网络中部署勒索软件以加密其设备。
自2020年以来,该勒索软件团伙专门针对安全文件传输平台中以前未知的漏洞进行数据盗窃攻击。
2020年12月,Clop利用Accellion FTA安全文件传输平台上的一个零日漏洞,影响了近一百个组织。
2021年,该勒索软件团伙利用了SolarWinds Serv-U FTP软件中的一个零日漏洞来窃取数据和入侵网络。
2023 年,Clop利用GoAnywhere MFT平台中的零日漏洞,使勒索软件团伙能够再次窃取 100 多家公司的数据。
根据Emsisoft的一份报告,他们此类最重大的攻击利用MOVEit Transfer平台中使用零日攻击,这使他们从2773个组织中窃取数据。
目前尚不清楚有多少公司受到Cleo数据盗窃攻击的影响,BleepingComputer 也不知道有任何公司确认通过该平台被入侵。
美国国务院的正义奖励计划目前悬赏1000万美元,用于收集将Clop勒索软件攻击与外国政府联系起来的信息。

警惕!Patchwork APT以中国科研为目标开展新一轮活动

E安全消息,Hunting Shadow Lab网络安全研究人员发现新一轮针对中国科研机构的网络攻击 。活动被归咎于Patchwork APT,利用复杂的恶意软件和隐蔽技术来入侵工作站并窃取敏感数据。
据悉,Patchwork组织(也称为Hangover和Dropping Elephant)被认为得到了印度当局的支持,自2009年以来一直从事网络间谍活动。
他们之前的活动主要集中在亚洲各国政府机构和科研机构,然而这次最新的行动显示了他们方法的精细化以及对获取科学研究相关的知识产权的持续兴趣。
攻击链从一封鱼叉式钓鱼邮件开始,其中包含恶意LNK文件,该文件伪装成与正在进行的中国研究项目相关的文件。
执行后,LNK文件将启动多阶段恶意软件传送过程。为避免引起怀疑,会显示良性PDF文档,同时在后台秘密下载和执行恶意EXE和DLL文件。
一份诱饵文件
资料来源:Hunting Shadow Lab
此活动中提供的主要有效载荷是BadNews恶意软件,这是一种专为隐身和持久性而设计的复杂后门。为了逃避检测,该恶意软件采用了多层混淆技术,包括加密和使用以前观察到的数字证书。
一旦激活,BadNews就会与命令和控制(C2)服务器建立安全的通信通道,使攻击者能够泄露敏感数据并发出进一步的命令。
此次行动的复杂性还体现在使用了模仿合法网站的假冒域名。
研究人员发现了属于巴基斯坦国际航空公司、Zong(巴基斯坦电信提供商)、Global News和Scandinavian Airlines网站的欺诈版本。
这些域名被用来托管其他恶意软件并促进数据泄露,利用这些实体已建立的信任。
对于组织来说,主动更新安全框架,集成当前的入侵指标(IoC),并利用高级威胁分析工具。此外,利用基于云的服务来分析可疑文件可以显着增强对此类攻击的防御。

#02 恶意程序

印度制药巨头Cipla遭攻击,Akira勒索软件称窃取70GB数据

印度制药巨头Cipla成为了Akira勒索软件网络攻击的受害者。黑客声称从这家跨国公司窃取了70GB敏感数据,该公司在全球运营47家制造工厂,产品销往86个国家/地区。
据悉,这次攻击泄露在制药行业引发了震动,引发了行业对数据安全和患者隐私的严重担忧。
根据Akira勒索软件组织的说法,被盗信息包括广泛的敏感数据:
  • 个人病历及处方药
  • 内部财务信息
  • 客户联系方式,包括电话号码和电子邮件地址
  • 员工联系方式
据X消息,Akita在其暗网门户上分享了攻击信息,声称从Cipla窃取了70GB的数据。
这起事件发生在Akira勒索软件特别活跃的时期。上个月,该组织在一天内泄露了35个组织的信息,这是他们迄今为止最大的一次数据泄露。
这次前所未有的泄露规模,被认为是该集团在一段相对不活跃时期后,展示其正在扩大运营。
Akira自2023年第一季度首次出现以来,迅速成为最普遍的勒索软件之一,至今已影响超过350个组织。
该组织以其复杂的策略而闻名,包括使用ChaCha2008加密和各种分发方法,例如受感染的电子邮件附件和利用VPN漏洞。
Cipla泄露事件与Akira的典型作案手法一致。该组织经常采用双重勒索策略,不仅加密文件,还泄露数据以迫使受害者支付赎金。
Cipla拥有广泛的全球影响力,在药品供应链中发挥着关键作用,是网络犯罪分子的高价值目标。个人医疗记录和财务信息的潜在泄露可能对公司、员工和客户产生深远影响。
截至目前,Cipla尚未公开确认数据泄露或对勒索软件组织的说法发表评论。
如果事件得到证实,将突显出医疗和制药领域加强网络安全措施的迫切需要。
专家建议组织实施强有力的勒索软件预防策略,包括定期进行安全审计、员工培训和先进的终端保护解决方案。
随着勒索软件攻击不断演变并针对关键行业,积极的网络安全措施不容忽视。

德勤否认数据泄露,称Brain Cipher网络攻击影响了客户系统

上周黑客声称入侵了德勤英国分公司。德勤否认数据泄露,称与德勤网络之外的单个客户系统有关,德勤系统没有受到影响。
12月4日,勒索软件组织Brain Cipher宣称已入侵全球四大会计师事务所之一的德勤英国公司(Deloitte UK),并窃取了超过1TB的敏感数据,威胁要在本周早些时候公布其窃取的数据。
尽管有这些指控,德勤的一位发言人告诉媒体Infosecurity,其调查显示这些指控与德勤网络之外的单个客户的系统有关。“德勤系统没有受到影响,”发言人说。
Brain Cipher称给该公司10天的时间至12月15日,以回应威胁。
在其声明中,勒索软件团伙表示,“大公司并不总是能很好地完成工作。”帖子还表示,它将揭示德勤如何“没有遵守信息安全的‘基本点’”。
根据报告,Brain Cipher从事多管齐下的敲诈行为,托管了一个基于TOR的数据泄露网站。该威胁行为者的载荷基于LockBit 3.0。
2024年6月,Brain Cipher声称入侵印尼临时国家数据中心(PDNS),并破坏了该国的服务。团伙最初要求PDNS支付800万美元的赎金,但后来免费发布了解密器。
为什么伪造网络攻击索赔
尽管德勤已经与这次攻击划清界限,但这并不意味着处于勒索软件索赔目标组织不受影响。
“不影响目标组织系统并不意味着没有影响。”KnowBe4的首席安全意识倡导者Javvad Malik告诉Infosecurity。“仅仅暗示数据泄露就可能损害声誉,影响股价,或引发昂贵且不必要的反应。因此,即使是空洞的威胁,也和在拥挤的剧院里喊‘着火’一样具有同样的分量。”
德勤是一家私有公司,只有合伙人才能拥有公司的股权。关于为什么此类组织可能会捏造声明,Secureworks Counter Threat Unit威胁情报总监Rafe Pilling表示,网络犯罪分子这样做的原因有很多。
“众所周知,犯罪分子和国家支持的威胁行为者都会获取数据——可能来自知名品牌的客户或供应商——然后将其宣传为该大品牌的泄露,而不是分享数据的真正来源。”他说。
“这让他们有了更高的知名度,看起来更像是一个威胁。这种策略可能特别吸引那些希望在竞争激烈的犯罪环境中树立声誉的小型网络犯罪集团。”
Malik对此表示赞同,并补充说:“这可能是为了提高犯罪团伙的声誉,试图获得恶名,灌输恐惧,甚至可能引诱受害者采取不明智的行动,比如为他们不需要的解密密钥付费。”

#03 数据安全

Google日历沦为钓鱼新工具,可绕过安全防护机制

根据 Check Point 与 Hackread.com 共同发布的最新研究报告,Google 工作空间中广泛应用的日程管理工具 Google 日历已成为网络犯罪分子的新攻击目标。
  • Google 日历成工具:网络攻击者利用 Google 日历的功能模块,发送仿冒合法邀请函的网络钓鱼邮件。
  • 高级攻击策略:攻击者采用 Google 表单和 Google 绘图等多元化工具,规避传统邮件安全防护机制,从而强化攻击的可信度。
  • 影响范围广泛:在短短四周内,已检测到与该攻击活动关联的 4000 余封网络钓鱼邮件,涉及约 300 家品牌企业。
  • 社会工程学手法:网络犯罪分子通过制造紧迫感、恐慌情绪以及冒充身份等手段,诱使受害者点击恶意链接并泄露敏感信息。
  • 防范措施:部署高级邮箱安全监控系统、第三方应用程序使用审计机制以及行为分析技术,对于抵御此类不断演进的威胁具有重要意义。
Google 日历作为 Google 工作空间的重要组成部分,是一款面向全球超过 5 亿用户的日程安排与时间管理工具,支持 41 种语言。
据 CPR 的研究显示,攻击者正试图操控 Google 日历及其相关功能模块,例如 Google 绘图,通过发送伪装成合法邮件的链接,突破传统邮箱安全防线,实施网络钓鱼攻击。这些链接表面上看似指向 Google 表单或 Google 绘图,进一步提升了攻击的可信度。
恶意邮件与 Google 日历配置(来源:CPR)
攻击者最初利用 Google 日历内置的友好功能,提供链接至 Google 表单。在察觉到安全产品能够识别恶意日历邀请后,攻击者迅速调整策略,将攻击手段与 Google 绘图功能相结合。
Check Point 发文指出:网络犯罪分子正在篡改“发件人”头部信息,使邮件看起来像是由已知且合法的用户通过 Google 日历发送的。在短短四周内,网络安全研究人员已监测到 4000 多封此类钓鱼邮件,涉及约 300 家品牌企业。
攻击者利用用户对 Google 日历的信任和熟悉程度,诱使受害者点击恶意链接。他们会伪造看似合法的日历邀请,通常来自受害者熟悉的联系人或组织机构。这些初始邀请可能包含指向 Google 表单、Google 绘图或 ICS 文件附件的链接,后者看似是简单的信息请求或调查问卷,常以 CAPTCHA 或支持按钮的形式呈现。
一旦受害者点击链接,将被重定向至一个精心设计的恶意网站,该网站通过虚假身份验证流程窃取个人信息或公司数据。该网站可能模仿合法的登录页面、加密货币交易所或技术支持页面。攻击者的最终目的是诱骗受害者泄露敏感信息,如密码、信用卡详细信息或个人身份证号码。被盗取的信息可能被用于信用卡欺诈或未经授权的交易,给受害者带来重大风险。
值得注意的是,攻击者通常会叠加社会工程学策略来增强攻击的可信度。他们可能通过制造紧迫感、恐慌情绪或激发好奇心,诱使受害者点击恶意链接。此外,攻击者还可能冒充可信任的个人或组织,以获取受害者的信任。这无疑大大大提高了通过Google日历钓鱼的成功率,企业/组织应保持高度警惕,以应对日益复杂化的网络钓鱼攻击。

Apache Tomcat新漏洞允许攻击者执行远程代码

据Cyber Security News消息,安全研究人员在流行的开源 Web 服务器 Apache Tomcat和servlet 容器中发现了两个严重漏洞,可能允许攻击者执行远程代码并导致拒绝服务。
第一个漏洞被追踪为 CVE-2024-50379, 影响 Apache Tomcat  11.0.0-M1 到 11.0.1、10.1.0-M1 到 10.1.33 和 9.0.0.M1 到 9.0.97版本 。如果默认 servlet 在不区分大小写的文件系统上配置了写入权限,攻击者可在并发读取和上传操作期间利用竞争条件。这种绕过 Tomcat 大小写敏感性检查的做法会导致上传的文件被视为 JSP,最终导致远程代码执行。
第二个漏洞被追踪为 CVE-2024-54677,虽然严重性较低,但仍可能构成重大威胁。它影响相同版本的 Apache Tomcat,可使攻击者触发拒绝服务攻击。该漏洞源于 Tomcat 提供的 Web 应用程序示例,其中许多示例无法限制上传的数据大小,可能会导致 OutOfMemoryError,从而导致拒绝服务。
值得注意的是,默认情况下,示例网络应用程序只能从 localhost 访问,这在一定程度上限制了潜在的攻击面。
目前Apache 已经发布了解决这些安全漏洞的补丁,敦促用户立即升级:
  • Apache Tomcat 11.0.2 或更高版本
  • Apache Tomcat 10.1.34 或更高版本
  • Apache Tomcat 9.0.98 或更高版本
这些漏洞的发现突显了在网络服务器环境中定期进行安全审计和及时打补丁的重要性。由于 Apache Tomcat 在企业环境中的广泛使用,因此这些漏洞的潜在影响十分巨大。
最近,Apache还披露了一个CVSS 4.0 评分高达9.5的高危漏洞,影响Apache Struts 2.0.0 到 2.3.37、2.5.0 到 2.5.33 以及 6.0.0 到 6.3.0.2版本,攻击者可以操纵文件上传参数以启用路径遍历,在某些情况下,这可能导致上传可用于执行远程代码执行的恶意文件 。

知名间谍软件公司 Paragon 被美国私募收购

据以色列新闻媒体报道,一家美国私募股权公司已完成对以色列间谍软件公司Paragon的收购交易。
关于AE Industrial Partners这家私募股权巨头为Paragon支付了多少,存在相互矛盾的报道。以色列商业报纸Calcalist报道称,AE Industrial支付了5亿美元,并且如果公司增长,交易金额有可能增至9亿美元。以色列金融媒体Globes报道称,初始支付金额为4.5亿美元,也有可能增至9亿美元。AE Industrial Partners的发言人并未公开回应该问题。
Globes表示,4.5亿美元将被分割,其中20%将分给Paragon的400名员工,30%分给五位联合创始人,50%分给两家风险投资基金,包括总部位于美国的Battery Ventures。后者被认为是世界上顶级的风险投资基金之一,位于波士顿,它是Paragon Solutions(Paragon的美国子公司)的主要投资者。
Paragon创始人是前以色列情报官员,与Pegasus间谍软件制造商NSO Group的情况相同。其主要间谍软件产品Graphite,据报道可以从云备份中提取数据,并且能够渗透即使是加密的平台,如Signal和WhatsApp。
作为更为知名的NSO Group的直接竞争对手,Paragon在美国市场取得了更大的成功。旗下的Graphite间谍软件是一款高度复杂的工具,它能够绕过多种安全措施,入侵智能手机,并访问目标手机上的应用程序,如WhatsApp、Signal、Facebook Messenger和Gmail。
其功能包括:
  • 入侵智能手机:Graphite能够绕过安全措施,侵入目标智能手机。
  • 访问加密应用程序:该软件能够访问即使已经加密的应用程序,如WhatsApp和Signal。
  • 云备份数据提取:Graphite有时能够从云备份中提取数据,这是其与竞争对手产品相比的一个特点。
去年10月,Wired报道称美国移民和海关执法局(ICE)已与Paragon达成了200万美元的合同。位于弗吉尼亚州的Paragon Solutions与ICE国土安全调查部门3之间的为期一年的合同涵盖了“包括许可证、硬件、保修、维护和培训在内的完全配置的专有解决方案”。2022年12月,《纽约时报》报道称,禁毒执法局也使用了Graphite。
目前,商业间谍软件市场正在迅速增长,数十家企业和大量资本涌入,对全球互联网安全和公民自由构成重大威胁。市场主要集中在以色列、意大利和印度等关键司法管辖区,涉及多个供应商和复杂的实体网络。
此次收购可能标志着美国在商业间谍软件市场的新布局,考虑到Paragon的技术能力和其在以色列的地位,这一收购对全球网络安全格局可能产生深远影响。以色列政府对此次收购持开放态度,认为这是华盛顿与耶路撒冷在进攻性网络安全问题上的关系进入新阶段。
#04 国际视野

美国拟禁用中国路由器TP-Link,称构成国家安全风险

E安全消息,如果正在进行的调查发现TP-Link路由器用于网络攻击并构成国家安全风险,美国政府考虑从明年开始禁止TP-Link路由器。
据《华尔街日报》报道,美国司法部、商务部和国防部正在调查这个问题,商务部的一个办公室已经发出了传票。
近年来,TP-Link在美国SOHO路由器(针对家庭和小型办公场所)市场份额已增长到大约65%。外媒报道这种增长是通过以低于制造成本的价格销售设备来实现的,这也是司法部正在调查的问题。
目前超过300家美国互联网服务提供商将TP-Link设备作为家庭用户的默认互联网路由器。《华尔街日报》表示,TP-Link路由器也出现在包括国防部、美国国家航空航天局(NASA)和美国缉毒局(DEA)在内的多个政府机构的网络中。
TP-Link美国子公司的一位发言人告诉《华尔街日报》:“我们欢迎任何与美国政府合作的机会,以证明我们的安全实践完全符合行业安全标准,并展示我们对美国市场、美国消费者以及应对美国国家安全风险的承诺。”
TP-Link路由器僵尸网络
被用于密码喷射攻击
微软10月份的一份报告,称被黑客入侵的SOHO路由器僵尸网络(被跟踪为Quad7、CovertNetwork-1658或xlogin,由中国威胁行为者操作)主要由TP-Link设备组成。随后美国展开了调查。
“微软将受感染的小型办公室和家庭办公室(SOHO)路由器网络跟踪为 CovertNetwork-1658。TP-Link制造的SOHO路由器构成了该网络的大部分。“该公司表示。
“微软评估,多个中国威胁行为者使用从CovertNetwork-1658密码喷射操作中获得的凭据来执行计算机网络利用(CNE)活动。”
12月16日,《纽约时报》报道称,拜登政府计划禁止中国电信在美国的最后活跃业务。
2022年1月,美国联邦通信委员会(FCC)以“重大国家安全关切”为由撤销了中国电信美洲的许可证。
2022年11月,FCC禁止销售五家中国公司(即华为技术、中兴通讯、海能达通信、杭州海康威视数字技术、大华科技)制造的通信设备,原因是“对国家安全构成不可接受的风险”。

2020年6月,FCC正式将华为和中兴通讯列为对美国通信网络完整性构成国家安全威胁的实体。

超40万份文件泄露,纳米比亚电信遭遇大规模网络攻击

E安全消息,纳米比亚电信(Telecom Namibia)遭受网络攻击,超过40万份客户文件泄露。事件发生在2024年12月11日,该公司正在与国内外网络安全专家紧密合作,以确定泄露的范围并减轻其影响。
纳米比亚电信首席执行官斯坦利·沙纳平达(Stanley Shanapinda)向公众保证,公司致力于负责任地应对网络攻击。在一份保密声明中,沙纳平达强调了公司最近加强其网络安全系统的努力。
纳米比亚电信网络攻击概述
“随着网络事件变得普遍和频繁,我们最近识别并及时成功遏制了一次网络侦察任务,这得益于我们先进的事件监控和检测系统及协议。”沙纳平达承诺,纳米比亚电信将很快发布关于网络攻击的详细声明。
据《新时代报》报道,纳米比亚电信的网络攻击据称是由臭名昭著的勒索软件组织“猎人国际”(Hunters International)所为。
这种勒索软件即服务操作能够窃取626.3GB的数据,包括492,633个文件,然后威胁如果不满足他们的赎金要求,就会发布被盗信息。
一旦赎金期限过去,数百份敏感客户记录(包括个人身份详细信息、地址和银行信息)将被泄露并开始在社交媒体上传播。
对纳米比亚电信网络攻击的担忧
纳米比亚通信监管局(Cran)对纳米比亚电信的网络攻击表示严重关切。Cran首席执行官Emilia Nghikembua强调了国家网络安全的严重性。
Nghikembua表示,通过纳米比亚网络安全事件响应小组(NAM-CSIRT),Cran在识别攻击后迅速作出反应,并继续支持受影响的运营商减轻其影响。
Nghikembua还指出,虽然纳米比亚目前缺乏专门的网络犯罪和数据保护法,但政府致力于确保遵守国际网络安全的最佳实践。
她鼓励利益相关者采用全球公认的安全措施,如加密和定期安全评估,以增强国家关键基础设施的韧性。她补充说,保护国家关键基础设施需要集体行动、战略规划和遵守全球标准。
总结
纳米比亚电信的网络攻击,超过40万份文件泄露并暴露了敏感客户数据,突显了加强网络安全措施的迫切需要。
在社交媒体上流传的泄露信息增加了针对性的网络钓鱼攻击的风险,网络犯罪分子可能利用被盗数据进一步剥削个人。

利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露

E安全消息,近期,美国比特币ATM运营商Byte Federal披露了数据泄露事件,黑客利用GitLab漏洞入侵系统,泄露了58000名客户数据。
Byte Federal是美国最大的比特币ATM运营商,在美国42个州拥有超过1200台ATM机,允许人们将现金兑换成加密货币。
公司目前发出数据泄露通知,警告称其在11月遭受了数据泄露,黑客利用GitLab的漏洞入侵了其系统。
“2024年11月18日,Byte Federal意识一名恶意行为者通过利用GitLab的漏洞,未经授权访问了我们的一台服务器。GitLab是全球开发者广泛使用的第三方软件平台,用于项目管理和协作,具有全面的安全特性。”Byte Federal在数据泄露通知信中写道。
“发现事件后,我们团队立即关闭了平台,隔离了恶意行为者,并保护了被入侵的服务器。”
虽然目前尚不清楚被利用的具体GitLab漏洞是什么,但该公司在过去一年中修复了许多可能被用来入侵网络的漏洞。
作为对事件的响应,公司对所有客户账户进行了“硬重置”,更新了所有内部密码和账户管理系统,并撤销了用于内部网络访问的令牌和密钥。
通知强调,这次泄露没有导致任何用户资金或数字资产受损,但攻击者访问了敏感信息,包括:
全名、出生日期、物理地址、电话号码、电子邮件地址、身份证件、社会安全号码(SSN)、交易活动、用户照片
上述信息对于加密货币持有者来说特别敏感且非常具有揭示性,可能使他们面临SIM卡交换攻击、帐户接管或其他有针对性的网络钓鱼攻击的风险。
在外部网络安全专家的帮助下,取证分析仍在进行中,执法部门也已介入。建议受影响的人对未经请求的网络钓鱼通信保持警惕,并向当局报告任何可疑事件。
“如果您尚未重置访问Byte Federal服务的登录凭据,请立即重置。”数据泄露通知建议道。
“重要的是要定期查看您的账户报表和监控您的信用报告,保持警惕,防范可能影响您金融安全的欺诈和身份盗窃事件。”
Byte Federal没有提供任何身份盗窃保护和信用监控服务,因此受影响的人应定期检查他们的信用报告,看看是否有欺诈账户被创建。

消息由湖南省网络空间安全协会整理编辑,涉及版权请联系删除,如有转载请标明出处。

编辑:周鸣宇

一审:陈孝兰

终审:邓庭波

END




湖南省网络空间安全协会

0731-84597382

长按识别二维码关注我们

等保测评 | 培训认证

会议举办 | 行业交流


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com