安全简讯（2025.01.02）

1. 英国摄影公司DEphoto遭0mid16B黑客入侵，数百万客户数据被盗

1月1日，名为0mid16B的威胁行为者向DataBreaches网站发出警告，称已入侵英国摄影公司DEphoto（网址为DEphoto[.]biz）。DEphoto专注于学校、体育、俱乐部和活动摄影。据0mid16B声称，他们在12月25日攻击了DEphoto，盗取了55万余名客户的个人信息、42万余份订单详情（包括24万余份含详细个人信息的订单）及1.6万余条纯文本信用卡信息。此外，还窃取了数百GB的照片等数据，其中涉及客户子女的照片库。0mid16B提供了多张从DEphoto网络中提取的截图作为证据，显示被访问的数据库数据超过12GB。0mid16B表示，他们在攻击后通知了DEphoto，但该公司未加强保护或支付所要求的5万英镑赔偿金，因此于12月29日再次发起攻击。据TrustPilot上的评论显示，DEphoto已开始向受影响的客户发送通知，但客户对公司的数据保留政策表示不满，认为其保留数据时间过长。DEphoto的隐私政策页面最后一次更新是在2018年5月GDPR生效时。0mid16B威胁将出售50万客户数据库，并免费泄露其余数据，但目前尚不清楚他们是否会兑现这一承诺。

https://databreaches.net/2025/01/01/hacked-on-christmas-dephoto-starts-notifying-customers-only-to-be-attacked-again/

2. EC2 Grouper：利用AWS凭证的云攻击者组织及其检测策略

1月1日，FortiGuard实验室的研究人员发现了一个名为EC2 Grouper的多产攻击者组织，该组织频繁利用AWS工具和受损凭证进行攻击。该组织主要通过与有效账户绑定的代码存储库获取凭证，并使用API进行侦察和资源创建，避免手动活动。尽管在多个客户环境中发现了其独特的用户代理和安全组命名约定等特征，但这些指标对于一致性检测而言并不可靠，因为攻击者可以轻松修改用户代理并偏离命名约定。研究人员指出，通过分析凭证泄露和API使用等信号，安全团队可以制定可靠的检测策略来抵御此类攻击。为了确保安全，组织应利用云安全态势管理（CSPM）工具持续监控和评估云环境的安全态势，并实施异常检测技术来识别云环境中的异常行为。此外，顶级黑客组织如ShinyHunters和Nemesis Group也越来越多的利用AWS基础设施进行攻击，这表明云环境面临持续的安全威胁。

https://hackread.com/fortiguard-labs-ec2-grouper-aws-credential-exploits/

3. 罗德岛州医疗福利系统遭黑客攻击，数据泄露至暗网

12月31日，罗德岛州医疗和福利计划系统遭到了网络攻击，网络犯罪分子已将部分窃取的文件发布到暗网上。州长丹尼尔·麦基表示，该州一直在为此做准备，并已制定外联策略，鼓励可能受影响的居民保护个人信息。目前尚不清楚哪些文件被泄露，IT团队正在分析。负责建设和维护该系统的德勤公司已与网络犯罪分子取得联系，并与州政府合作列出受影响人员名单，将向他们发送信函指导如何获得免费信用监控。受影响的州计划包括医疗补助、补充营养援助计划等。麦基敦促居民采取一系列措施保护财务信息，如联系信用报告机构冻结信用、设置欺诈警报、使用多因素身份验证，并警惕虚假邮件、电话或短信。执法官员正在调查此次数据泄露事件，但抓获责任人的可能性很小。

https://www.securityweek.com/rhode-islanders-data-was-leaked-from-a-cyberattack-on-state-health-benefits-website/

4. 揭示黑客如何劫持 35 个 Google Chrome 扩展程序

12月31日，一起针对Chrome浏览器扩展程序开发人员的网络钓鱼活动近日被曝光，该活动导致至少35个扩展程序被注入数据窃取代码，影响约260万用户，其中包括网络安全公司Cyberhaven的扩展程序。活动始于2024年12月5日左右，但早期命令和控制子域早在2024年3月就已存在。攻击者通过发送伪装成谷歌的钓鱼电子邮件，声称扩展程序违反了Chrome网上应用店政策，诱导开发人员点击恶意链接并授权恶意OAuth应用程序访问其Chrome网上应用店扩展程序。一旦获得访问权限，攻击者就会修改扩展程序以包含恶意文件，从用户Facebook账户窃取数据，包括ID、访问令牌、帐户信息、广告帐户信息和商业帐户等。此外，恶意代码还添加鼠标点击事件监听器，查找与Facebook双因素身份验证或CAPTCHA机制相关的二维码图像，以绕过2FA保护并劫持账户。被盗信息将被泄露到攻击者的命令和控制服务器，用于各种攻击途径，如直接从受害者的信用额度支付到攻击者账户、在社交媒体平台上进行虚假信息或网络钓鱼活动，或将访问权限出售给他人。

https://www.bleepingcomputer.com/news/security/new-details-reveal-how-hackers-hijacked-35-google-chrome-extensions/

5. GitHub虚假“星星”泛滥：诈骗与恶意软件借势传播

12月31日，GitHub上存在使用虚假“星星”的问题，这一问题被用来提高诈骗和恶意软件分发存储库的知名度，进而接触更多用户。星号在GitHub上类似于“赞”按钮，可用于收藏存储库，并作为全球排名系统的一部分，推荐相关内容。之前已有恶意软件传送服务利用虚假星星推送窃取信息的恶意软件，同时非恶意项目也会使用虚假星星提升知名度。一项新研究发现，GitHub上有450万个星星疑似是假的，涉及22,915个存储库和1,320,000个账户。研究人员使用名为“StarScout”的工具分析数据，识别出可疑星星，并发现2024年虚假星星活动激增。虚假星星对GitHub及其用户的影响是多方面的，会削弱人们对该平台的信任。用户应谨慎评估存储库的活动和质量，并在可能的情况下检查代码，以避免下载欺骗性的软件。目前，GitHub尚未对BleepingComputer的询问作出回应。

https://www.bleepingcomputer.com/news/security/over-31-million-fake-stars-on-github-projects-used-to-boost-rankings/

6. TRAC Labs发布LegionLoader恶意软件深入报告

1月1日，TRAC Labs发布了一份关于LegionLoader恶意软件的深入报告。LegionLoader是一种自2019年首次出现并持续演变的复杂下载器恶意软件，也被追踪为Satacom、RobotDropper和CurlyGate。它主要用C/C++编写，能够部署一系列恶意工具，包括可将受感染浏览器转为HTTP代理的Chrome扩展程序，从而捕获屏幕截图并管理对敏感账户的访问。自2024年8月以来，LegionLoader传播了多种高级信息窃取程序。它通过驱动下载和虚假安装程序进行传播，并采用多层加密和混淆技术逃避检测。该恶意软件的配置高度可定制，其有效载荷针对金融账户和敏感用户数据，如Chrome凭据和其他解密密钥。此外，LegionLoader通过API攻击迷惑安全工具，并使用加密通信与命令和控制服务器联系。TRAC Labs提供了全面的入侵指标列表，以帮助防御者识别和减轻LegionLoader感染。

https://securityonline.info/from-fake-installers-to-stolen-credentials-decoding-the-legionloader-threat/