首頁 > 安全研究 > 安全通報 > 安全簡訊

MOVEit漏洞致數據泄露,Nam3L3ss組織曝光數百萬員工記錄

發布時間 2024-12-05

1. MOVEit漏洞致數據泄露,Nam3L3ss組織曝光數百萬員工記錄


12月3日,一起涉及MOVEit文件傳輸工具的安全漏洞事件引發了廣泛關注。該漏洞被Cl0p勒索病毒團伙利用,導致數千家公司的敏感數據被盜,其中包括來自27家大公司的超過760,000份員工記錄,以及仲量聯行公司(JLL.com)的1200萬行數據,總數達到1312萬條。這些數據包含姓名、電子郵件、電話號碼、地址和公司位置坐標等敏感信息,被泄露后可能會被用于社會工程攻擊、身份盜竊或網絡釣魚詐騙等惡意行為。泄露數據的組織Nam3L3ss自稱“數據義勇軍”,在黑客論壇BreachForums上公布了這些信息,并聲稱是從MOVEit漏洞中獲得的數據。此次泄密事件涉及的公司包括美國銀行、諾基亞、摩根士丹利等行業巨頭,總數達到近1億個人。雖然Nam3L3ss的動機尚不明確,但他們的行為無疑暴露了MOVEit漏洞的重大影響以及被盜員工數據帶來的風險。受影響公司的員工應保持警惕,以防網絡釣魚等攻擊。


https://hackread.com/data-vigilante-leaks-772k-employee-record-database/


2. Kimsuky利用釣魚郵件進行憑證竊取,濫用俄羅斯發件人地址


12月3日,與朝鮮結盟的威脅行為者Kimsuky,被指與一系列網絡釣魚攻擊有關聯。這些攻擊主要通過發送源自俄羅斯發件人地址的電子郵件進行,旨在竊取憑證。據韓國網絡安全公司Genians觀察,釣魚郵件最初主要通過日本和韓國的電子郵件服務發送,但從9月中旬開始,偽裝成來自俄羅斯的釣魚郵件逐漸增多,濫用VK的Mail.ru電子郵件服務,該服務支持五個別名域。Kimsuky攻擊者利用這些發件人域偽裝成金融機構和互聯網門戶網站,如Naver,進行網絡釣魚活動。此外,還發送模仿Naver MYBOX云存儲服務的消息,誘導用戶點擊鏈接,聲稱在其帳戶中檢測到惡意文件并需要刪除,以此誘騙用戶。這些消息雖然表面上是從特定域名發送的,但實際上是利用受感染的電子郵件服務器發送的。Kimsuky還擅長使用合法電子郵件工具如PHPMailer和Star,以逃避安全檢查。這些攻擊的最終目標是憑證盜竊,進而劫持受害者賬戶,并利用它們對其他員工或熟人發起后續攻擊。


https://thehackernews.com/2024/12/north-korean-kimsuky-hackers-use.html


3. 歐警搗毀加密犯罪平臺MATRIX,繳獲大量非法資產


12月4日,歐洲刑警組織宣布,法國和荷蘭執法部門已搗毀與國際販毒、武器販運和洗錢等嚴重犯罪有關的名為MATRIX的加密信息服務。該平臺最初由荷蘭當局在一名罪犯手機中發現,擁有近8000名用戶,服務器遍布多個國家,主要在德國和法國。警方在三個月的調查中截獲并破譯了230多萬條信息,并在國際行動中摧毀了服務器,逮捕了三名嫌疑人,包括平臺的嫌疑所有者和運營商。MATRIX擁有復雜的基礎設施,提供加密消息傳遞、安全通話、視頻和語音共享以及匿名網頁瀏覽等服務,甚至推出了賭博應用程序和貨幣。歐洲刑警組織表示,MATRIX比之前被取締的Sky ECC和EncroChat等平臺更為復雜,用戶只能通過邀請加入。警方將繼續調查與該平臺相關的犯罪活動。


https://therecord.media/matrix-criminal-encrypted-chat-platform-takedown-police


4. CISA將三個漏洞添加到已知被利用漏洞目錄


12月4日,美國網絡安全和基礎設施安全局(CISA)近日更新了其已知被利用漏洞(KEV)目錄,新增了三個漏洞,分別是ProjectSend的身份驗證不當漏洞(CVE-2024-11680)、North Grid Proself的XML外部實體(XEE)引用漏洞(CVE-2023-45727)以及Zyxel多防火墻的路徑遍歷漏洞(CVE-2024-11667)。其中,Proself的漏洞允許未經授權的攻擊者讀取服務器文件,包括賬戶數據;ProjectSend的漏洞則影響r1720之前的版本,攻擊者可借此未經授權修改應用配置,創建賬戶,上傳惡意軟件;而Zyxel的漏洞則可能讓攻擊者通過精心設計的URL下載或上傳文件。據VulnCheck研究人員稱,ProjectSend的漏洞似乎已被野外攻擊者利用,且攻擊者已采取一系列行動,如更改登錄頁面標題,啟用用戶注冊以獲取身份驗證后的訪問權限,并上傳Webshell。CISA已要求聯邦機構在2024年12月24日之前修復這些漏洞,并建議私人組織審查該目錄并解決其基礎設施中的漏洞,以保護網絡免受攻擊。


https://securityaffairs.com/171638/security/u-s-cisa-adds-projectsend-north-grid-proself-and-zyxel-firewalls-bugs-to-its-known-exploited-vulnerabilities-catalog.html


5. DroidBot:新型Android銀行惡意軟件竊取多國加密貨幣及銀行憑證


12月4日,DroidBot是一種新型Android銀行惡意軟件,自2024年6月起活躍,以惡意軟件即服務(MaaS)形式運營,每月售價3000美元。它試圖竊取英國、意大利、法國、西班牙、葡萄牙等國的77多個加密貨幣交易所和銀行應用的憑證。盡管功能并不新穎復雜,但DroidBot在英國、意大利、法國、土耳其和德國已造成776起獨特感染,顯示其高度活躍。此惡意軟件正大力開發中,并試圖擴展至新地區,包括拉丁美洲。DroidBot由土耳其開發者創建,為聯盟成員提供惡意軟件構建器、命令和控制(C2)服務器及中央管理面板等工具,使網絡犯罪分子易于使用。它常偽裝成Google Chrome、Google Play商店或Android安全中心,誘騙用戶安裝,充當木馬角色竊取敏感信息。主要特征包括鍵盤記錄、覆蓋合法銀行應用界面顯示虛假登錄頁面、短信攔截和VNC模塊。它還濫用Android輔助功能服務監控用戶操作。為了減輕威脅,建議Android用戶僅從Google Play下載應用,仔細檢查權限請求,并確保Play Protect處于活動狀態。


https://www.bleepingcomputer.com/news/security/new-droidbot-android-malware-targets-77-banking-crypto-apps/


6. BT集團遭Black Basta勒索軟件攻擊,部分服務器已關閉


12月4日,跨國電信巨頭BT集團(前身為英國電信)確認其BT會議業務部門在遭受Black Basta勒索軟件攻擊后,已關閉部分服務器。盡管此次安全事件未影響BT集團的運營或BT會議服務,但Black Basta團伙聲稱已入侵該公司服務器并竊取500GB數據,包括財務、組織、用戶數據和個人文檔等。該團伙還在暗網泄密網站上添加了倒計時,聲稱將于下周泄露據稱被盜的數據。BT集團表示將繼續積極調查此事,并與相關機構合作應對。Black Basta勒索軟件行動自2022年4月以來已造成許多知名受害者,包括醫療保健公司、政府承包商等,其分支機構已入侵500多個組織,并從90多名受害者手中收取至少1億美元的贖金。


https://www.bleepingcomputer.com/news/security/bt-conferencing-division-took-servers-offline-after-black-basta-ransomware-attack/

上一篇 下一篇