首頁 > 安全研究 > 安全通報 > 安全簡訊

黑客泄露俄羅斯社交網絡VK 3.9億用戶數據

發布時間 2024-09-04
1. 黑客泄露俄羅斯社交網絡VK 3.9億用戶數據


9月3日,黑客“HikkI-Chan”在非法黑客論壇Breach Forums上公開了驚人的3.9億VK用戶數據。VK作為俄羅斯及東歐地區廣受歡迎的社交媒體平臺,其用戶個人信息包括城市、國家、全名、個人資料圖片URL等敏感內容不幸被泄露,總量高達390,425,719條記錄,數據規模超過27GB。值得注意的是,盡管此次泄露的信息量巨大,但并未包含用戶的電話號碼或密碼,減輕了直接安全威脅。然而,用戶全名、城市及國家等信息的暴露仍可能引發一系列風險,尤其是考慮到這些信息為俄語,雖可能限制非俄語威脅者的直接利用,但隱患仍不容忽視。黑客“HikkI-Chan”聲稱此次并非直接入侵VK服務器,而是一次所謂的“二階”入侵,即利用從其他第三方渠道非法獲取的數據來間接獲取VK用戶信息。VK并非首次遭遇數據泄露危機,早在2016年,就有報道指出該平臺的用戶賬戶曾在暗網上被出售。


https://hackread.com/hacker-leaks-data-of-vk-users-russian-social-network/


2. 披薩連鎖店頻遭網絡釣魚詐騙,竊取信用卡數據


9月2日,全球范圍內,特別是加拿大,多家知名披薩連鎖店正遭受網絡釣魚詐騙的侵襲,詐騙者利用域名欺騙、網絡釣魚及生成式人工智能等手段,創建高度仿真的惡意網站,竊取顧客信用卡信息,造成重大經濟損失。這場自2023年便開始的詐騙活動,通過模仿合法披薩外賣網站的訂單頁面,誘導用戶輸入個人信息及一次性密碼,進而盜取信用卡數據。除新加坡的Domino's Pizza外,加拿大本土的披薩廚師、比薩比薩、波士頓披薩等知名品牌亦未能幸免。詐騙者通過付費搜索引擎廣告提升惡意域名曝光度,利用拼寫錯誤、同形異義詞等技巧誤導用戶,并通過不斷注冊新域名、更新現有域名及更換IP地址來逃避檢測。此類攻擊不僅技術復雜,且范圍廣泛,對全球披薩行業構成嚴重威脅。為了防范此類網絡釣魚詐騙,顧客需提高警惕,仔細檢查域名中的異常信號,關注注冊日期,啟用多因素身份驗證,并及時向執法部門報告可疑交易。


https://hackread.com/phishing-scam-canadian-pizza-chains-credit-card-data/


3. CISA緊急敦促修補Draytek路由器與金山WPS Office安全漏洞


9月3日,網絡安全和基礎設施安全局(CISA)緊急發布了關于三個正被積極利用的嚴重漏洞的警示,敦促全球組織尤其是聯邦機構迅速應對。其中,Draytek VigorConnect 路由器暴露的 CVE-2021-20123 和 CVE-2021-20124 漏洞,讓未授權攻擊者能輕易訪問敏感文件,構成數據泄露及系統入侵的重大威脅。另一項高風險漏洞 CVE-2024-7262 聚焦于金山WPS Office,這款在東亞地區廣泛使用的辦公套件,因存在嚴重的路徑遍歷問題(CVSS 評分高達9.8),成為韓國關聯網絡間諜組織APT-C-60的攻擊目標。利用此零日漏洞,APT-C-60部署了SpyGlace后門,此漏洞的核心在于對用戶文件路徑驗證的疏忽,使得攻擊者能上傳并執行任意Windows庫,實現遠程代碼執行,全面控制受害系統,并長期竊取數據。為應對這一緊迫形勢,CISA已要求聯邦民事行政部門在2024年9月24日前完成漏洞修補。


https://securityonline.info/cisa-issues-alert-three-actively-exploited-vulnerabilities-demand-immediate-attention/


4. Head Mare黑客組織針對俄白發動網絡攻擊與勒索


9月3日,Head Mare黑客組織自2023年起活躍,專門針對俄羅斯和白俄羅斯的組織發動網絡攻擊。該組織采用先進策略,如利用WinRAR中的CVE-2023-38831漏洞執行惡意代碼,以增強其攻擊隱蔽性和效率。Head Mare不僅泄露受害者敏感信息,還通過LockBit(針對Windows)和Babuk(針對Linux)加密設備,索要贖金。其工具包包含PhantomDL和PhantomCore等定制后門,用于上傳文件和執行命令,偽裝成微軟更新任務以混淆視聽。此外,該組織還利用Sliver等開源C2框架及多種公開工具進行橫向移動和憑證收集。攻擊通常以網絡釣魚郵件攜帶雙擴展名文檔為開端,最終部署勒索軟件并留下贖金要求??ò退够赋?,Head Mare的戰術、技術和程序與俄烏沖突背景下其他針對俄白兩國的黑客組織相似,但其特色在于使用定制惡意軟件和最新漏洞,展現了高度的專業性和針對性。


https://thehackernews.com/2024/09/hacktivists-exploits-winrar.html


5. Booking.com遭遇復雜網絡釣魚攻擊


9月3日,OSINTMATTER最新報告揭示了針對Booking.com的復雜網絡釣魚活動,其策略包括多階段入侵,從酒店經理賬戶到直接欺騙客戶。攻擊者利用仿冒域名“extraknet-booking.com”誘騙用戶進入外觀逼真的虛假網站,旨在竊取敏感信息,包括登錄憑據、個人數據和財務詳細信息。該網站通過JavaScript混淆技術隱藏惡意代碼,并可能與Ninja Trojan等惡意軟件相關聯。此外,攻擊者還利用STUN綁定請求隱藏惡意流量,并通過動態偽裝技術根據用戶特征展示不同內容,以逃避檢測。特別值得注意的是,攻擊網絡中的iFrame連接至一個中心樞紐,集中控制并擴大釣魚范圍。此次攻擊凸顯了網絡釣魚手段的日益復雜與隱蔽,對旅游業安全構成嚴重威脅,警示用戶和企業需加強警惕,獨立驗證網站合法性,防范個人信息泄露。


https://securityonline.info/travelers-targeted-booking-com-phishing-scam-unveiled/


6. 卡巴斯基揭露:ICMP后門攻擊再現,疑似ToddyCat APT手法


9月3日,卡巴斯基全球應急響應小組(GERT)的網絡安全專家揭露了一種復雜的網絡攻擊,其手法與知名APT組織ToddyCat的策略高度相似。此次攻擊針對客戶域控制器和Exchange服務器,利用包括Microsoft Exchange遠程代碼執行漏洞(CVE-2021-26855)及已修補的IKEEXT服務舊漏洞在內的多種安全漏洞,成功獲取初始訪問權并構建持久性。攻擊者尤為狡猾地重用了與wlbsctrl.dll庫相關的舊漏洞,通過替換system32目錄下的該庫文件,使IKEEXT服務每次調用時均執行后門代碼,無需更改常規啟動配置。進一步地,他們利用SMB協議設置自定義防火墻規則,讓惡意dllhost.exe監聽特定端口,實現網絡中的橫向移動,悄無聲息地擴展攻擊范圍。尤為關鍵的是,攻擊者部署了一個ICMP后門,通過該后門以加載程序形式運行,執行復雜操作以維持隱蔽性。該后門首先檢查互斥鎖以避免重復運行,隨后解密并執行存儲在Windows注冊表中的有效負載,這些負載以“CAFEBABE”為標識,利用ICMP套接字接收并執行來自攻擊者的指令,從而在不建立出站連接的情況下實現遠程控制,極大降低了被檢測的風險。


https://securityonline.info/researcher-identifies-toddycat-inspired-apt-attack-leveraging-icmp-backdoor-and-microsoft-exchange-flaws/

上一篇 下一篇