目录/contents
全球动态
安全事件
日本航空遭受网络攻击导致航班中断
锐捷网络云平台漏洞可能导致50000 台设备遭受远程攻击
新型“OtterCookie”恶意软件被用来针对开发人员
Charming Kitten 发布新型 BellaCiao 恶意软件变种
Clop 勒索软件对66 名 Cleo 数据盗窃受害者进行勒索
德克萨斯大学黑客攻击事件影响近 18000 名用户
Ascension Health数据泄露影响近 560 万用户
美国成瘾中心数据泄露影响 422000 人
Builder.ai内部数据库因配置错误暴露约1.3TB敏感数据
Postman Workspaces 泄露30000个API密钥和敏感令牌
黑客发布第二批被盗思科数据
NEWS
Part 1
全球动态
朝鲜黑客涉嫌窃取日本加密货币交易所
3.08 亿美元加密货币
美国和日本官员将5月份日本加密货币交易所 DMM Bitcoin 遭遇的3.08 亿美元加密货币大劫案归咎于朝鲜威胁行动 TraderTraitor,该组织据信是 Lazarus 黑客集团的一个分支。美国联邦调查局、国防部网络犯罪中心和日本国家警察厅的联合声明透露,在日本企业钱包软件公司 Ginco 的钱包管理系统遭到入侵近两个月后,一名冒充 LinkedIn 招聘人员的威胁行为者对其一名员工进行了成功的社会工程攻击,随后 TraderTraitor 利用获取的会话 cookie 冒充了该员工,侵入了 Ginco 的未加密通信系统。官员们表示,TraderTraitor 随后利用此类访问权限干扰了 DMM 员工的交易请求,并帮助将货币转移到朝鲜政府。几个月前,有报道称印度加密货币交易所和交易平台 WazirX 在一次 Lazarus 攻击中损失了价值 2.349 亿美元的加密货币。
原文链接:
https://siliconangle.com/2024/12/24/north-korean-hackers-linked-hack-4500-bitcoins-japanese-crypto-exchange/
朝鲜黑客被发现使用新工具攻击“核相关”
组织员工
朝鲜黑客组织Lazarus Group今年利用新工具针对“核相关”组织的员工发动网络攻击。卡巴斯基指出,这是Lazarus Group通过伪造工作机会侵入敏感行业设备行动的演变。攻击涉及多种恶意软件,包括新发现的工具。研究人员揭露了一个复杂的感染链,包括下载器、加载器和后门,显示了该组织投递和持久性方法的进步。初始感染通过伪装成技能测试的特洛伊化VNC工具发生。其中一种恶意软件CookieTime用于下载其他恶意软件,包括名为CookiePlus的新插件模块恶意软件。CookiePlus的行为类似于下载器,使得难以确定其下载的是小插件还是下一个有效载荷。此外,另一朝鲜支持的黑客组织Andariel使用SmallTiger恶意软件攻击韩国企业。据Chainalysis报告,朝鲜关联黑客在2024年已窃取至少13.4亿美元的加密货币。
原文链接:
https://therecord.media/lazarus-group-new-tools-kaspersky
Part 2
安全事件
日本航空遭受网络攻击导致航班中断
日本航空公司(Japan Airlines)在遭受网络攻击后,20多个国内航班和一些国际航班延误,购票和行李服务也受到影响。据信,这是一次分布式拒绝服务攻击,可能会对其航班造成更广泛的影响。日航透露,它已经关闭了可能被入侵的路由器。日本最大的航空公司全日空航空以及星悦航空、天马航空、亚洲天网航空等其他航空公司的运营并未受到此次入侵的影响。日本内阁官房长官林义正表示:“我们已通过交通部要求日航尽快修复系统,以便为受影响的客户做出适当响应。”
原文链接:https://english.kyodonews.net/news/2024/12/33b9ee9a0030-urgent-jals-system-under-cyberattack-domestic-and-intl-flights-delayed.html
锐捷网络云平台漏洞可能导致50000台
设备遭受远程攻击
网络安全研究人员发现锐捷网络开发的云管理平台存在多个安全漏洞,可能允许攻击者控制网络设备。根据研究人员的分析,已发现的最严重的漏洞是关键的服务器端请求伪造错误(CVE-2024-48874)、固有危险功能漏洞(CVE-2024-52324)和弱密码恢复机制问题(CVE-2024-47547)。威胁行为者还可以利用高严重性问题(CVE-2024-45722)来获取所有与云连接的 Ruijie 设备的序列号和身份验证凭据,而另一个高严重性错误(CVE-2024-47146)可被利用来启用远程代码执行作为芝麻开门攻击的一部分。
原文链接:
https://thehackernews.com/2024/12/ruijie-networks-cloud-platform-flaws.html
新型“OtterCookie”恶意软件被用来针对
开发人员
朝鲜威胁行为者在针对软件开发人员的“Contagious Interview”活动中使用了名为 OtterCookie 的新型恶意软件。据网络安全公司 Palo Alto Networks 的研究人员称,Contagious Interview 至少自 2022 年 12 月以来一直处于活跃状态。该活动针对软件开发人员,提供虚假的工作机会来传播 BeaverTail 和 InvisibleFerret 等恶意软件。OtterCookie 于 2024 年 9 月首次被发现,它使用一种巧妙的技巧来渗透系统。它隐藏在看似无害的文件中,例如 Node.js 项目、npm 包以及基于 Qt 或 Electron 等框架构建的文件中。这些文件通常从 GitHub 和 Bitbucket 等流行平台下载,包含一个加载器,可执行隐藏在“cookie”属性中的恶意 JavaScript 代码。一旦激活,OtterCookie 就会与命令和控制服务器建立连接,并开始窃取有价值的数据。这包括敏感信息,如加密货币钱包密钥、文档和图像。该恶意软件自首次出现以来一直在进化。9 月版本具有搜索以太坊密钥的内置功能,而更新后的 11 月版本则专注于远程命令执行,展示了攻击者的适应性。更令人担忧的是,OtterCookie 还可以拦截剪贴板数据并执行侦察命令,这表明它为进一步的系统入侵奠定了基础。
原文链接:https://www.bleepingcomputer.com/news/security/new-ottercookie-malware-used-to-backdoor-devs-in-fake-job-offers/
Charming Kitten 发布新型 BellaCiao
恶意软件变种
伊朗国家支持的威胁行动Charming Kitten(也称为 APT35、CharmingCypress、CALANQUE、Mind Sandstorm、TA453、Newscaster 和 Yellow Garuda)部署了使用 BellaCiao 投放器恶意软件的更新 C ++ 变种(称为“BellaCPP ”)的攻击,以促进进一步的有效载荷传递。BellaCiao于 2023 年 4 月首次被罗马尼亚网络安全公司 Bitdefender 记录,该公司将其描述为能够传递额外有效载荷的自定义投放器。该黑客组织已在针对美国、中东和印度的网络攻击中部署了该恶意软件。这也是Charming Kitten攻击者多年来开发的众多定制恶意软件家族之一。该高级持续威胁 (APT) 组织隶属于伊朗伊斯兰革命卫队 (IRGC),也被称为 APT35、CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm(以前称为 Phosphorus)、Newscaster、TA453 和 Yellow Garuda。虽然该组织曾策划过巧妙的社会工程活动来赢得目标的信任并传播恶意软件,但研究发现,涉及 BellaCiao 的攻击会利用 Microsoft Exchange Server 或 Zoho ManageEngine 等可公开访问的应用程序中已知的安全漏洞。
原文链接:https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html
Clop 勒索软件对66 名 Cleo 数据盗窃受
害者进行勒索
Clop勒索软件团伙警告66家据称在利用影响各种Cleo托管文件传输平台的零日漏洞的攻击中受到攻击的组织,如果它们拒绝在圣诞节前夕后的48小时内参与赎金支付谈判,它们的名字将被公开披露。黑客指出,该名单仅代表已联系但未回复消息的受害者,这表明受影响公司的名单可能更大。目前,尚不清楚有多少公司受到了 Clop 最新一波攻击的威胁,但 Cleo 声称其软件已被全球超过 4000 家组织使用。
原文链接:https://www.bleepingcomputer.com/news/security/clop-ransomware-is-now-extorting-66-cleo-data-theft-victims
Part 3
数据泄露
德克萨斯大学黑客攻击事件影响近18000
名用户
据媒体报道,位于德克萨斯州的麦克默里大学在 6 月份的一次数据泄露事件中,有近18000 名个人的数据遭到泄露。该大学在发给受影响人员的一份泄露通知信中表示,经过近五个月的调查,发现 6 月 18 日至 20 日期间入侵麦克默里系统的攻击者能够复制包含姓名和社会安全号码的文件。今年以来,学术机构遭受网络威胁不断增加。今年早些时候,杜克大学、斯坦福大学、普林斯顿大学和芝加哥大学的被盗数据相继曝光。卡内基梅隆大学和印第安纳大学也分别受到数据泄露事件的影响,数千名学生的信息被泄露。
原文链接:
https://cybernews.com/news/texas-university-suffers-breach/
Ascension Health数据泄露影响近560万
用户
今年早些时候,美国主要医疗保健系统 Ascension Health 的 559.9 万多患者和员工数据在一次网络攻击中遭到泄露,此次攻击归因于 Black Basta 勒索软件即服务行动。据Ascension Health披露,其系统于2024年2月29日遭到入侵,导致患者和员工的人医疗信息、保险和付款详细信息以及政府身份数据,以及个人信息被窃取。该公司还指出,所有受此事件影响的系统都已完全恢复。5 月份,Black Basta 首次披露了针对 Ascension 的攻击,这促使网络安全和基础设施安全局、联邦调查局和其他联邦机构发布联合指导意见,建议采取防范勒索软件团伙的措施。
原文链接:
https://cybernews.com/security/6m-people-exposed-in-ascension-health-ransomware-incident/
美国成瘾中心数据泄露影响 422000 人
药物滥用治疗服务提供商美国成瘾中心(American Addiction Centers)在 9 月份的一次内部服务器入侵事件中,422424 人的信息被外泄,最初披露的受影响人数为410747人。据美国成瘾中心披露,内部系统的渗透导致个人姓名、生日、电话号码、电子邮件地址、社会安全号、医疗记录号和医疗保险详细信息被盗,但不包括他们的支付卡信息或治疗数据。该中心强调,没有足够的证据表明被盗信息被滥用。一个多月前,有人声称入侵是由Rhysida勒索软件行动实施的,该行动声称从美国成瘾中心的系统中窃取了近 2.8 TB 的数据。在勒索软件团伙对该组织的勒索未果后,大部分被盗数据已被泄露。
原文链接:https://www.securityweek.com/american-addiction-centers-data-breach-impacts-422000-people
Builder.ai内部数据库因配置错误暴露约
1.3TB敏感数据
英国大型人工智能初创公司Builder.ai有近 1.3 TB 的数据因不安全的云数据库而暴露,其中包含超过 300 万条记录,其中包括运营和敏感信息。配置错误的数据库除了包含姓名、实际地址、电子邮件地址、电话号码和其他个人身份信息外,还包括软件开发计划、时间表、客户互动、财务记录以及 Builder.ai 员工之间的通信。尽管安全研究员及时告知,但该公司仍耗时近一个月才完成修复。
原文链接:https://siliconangle.com/2024/12/19/database-belonging-builder-ai-found-exposing-1-29tb-3m-records/
Postman Workspaces 泄露30000个API
密钥和敏感令牌
由于访问控制配置错误、意外的 Postman 收集共享、公共存储库同步以及明文数据的未加密存储,广泛使用的基于云的 API 开发和测试平台 Postman Workspace 的超过30000个互联网暴露实例的 API 密钥、令牌和管理员凭据被曝光。据调查,大多数泄露的机密来自 api.github.com,其次是 slack.com、hooks.slack.com、salesforce.com 和 login.microsoftonline.com,其中敏感信息影响到医疗保健、金融服务和运动服装行业。泄露的 API 密钥或访问令牌可以让攻击者直接访问关键系统和数据,从而可能导致数据泄露、未经授权的系统访问以及网络钓鱼和社会工程攻击的增加。为了确保数据安全,组织应明智地使用环境变量、限制权限、避免使用长期令牌、使用外部机密管理,并在共享任何集合或环境之前仔细检查。
原文链接:https://hackread.com/postman-workspaces-leak-api-keys-sensitive-tokens/
黑客发布第二批被盗思科数据
黑客IntelBroker公布了他们所称的 2024 年 10 月思科数据事件中被盗的第二批数据。最新泄密数据于圣诞节前夕发布在 Breach Forums 上,包含 4.84 GB 的数据,是据称被盗的 4.5 TB 数据的一部分。泄露的数据包括大量敏感文件,例如 Java 二进制文件、源代码和应用程序档案等专有软件开发工件;包括思科 XRv9K 虚拟路由器映像和配置在内的网络相关文件;测试日志和脚本;零接触配置 (ZTP) 日志和包等操作数据;云服务器磁盘映像;以及微信支付等支付 SDK 的加密签名。此外,泄露的文件还包含配置文件、内部项目档案和其他杂项文件,可能会暴露知识产权、网络配置和运营见解。
原文链接:https://hackread.com/hackers-release-second-batch-of-stolen-cisco-data/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...