首頁 > 安全研究 > 安全通報 > 安全簡訊

英國攝影公司DEphoto遭0mid16B黑客入侵,數百萬客戶數據被盜

發布時間 2025-01-02

1. 英國攝影公司DEphoto遭0mid16B黑客入侵,數百萬客戶數據被盜


1月1日,名為0mid16B的威脅行為者向DataBreaches網站發出警告,稱已入侵英國攝影公司DEphoto(網址為DEphoto[.]biz)。DEphoto專注于學校、體育、俱樂部和活動攝影。據0mid16B聲稱,他們在12月25日攻擊了DEphoto,盜取了55萬余名客戶的個人信息、42萬余份訂單詳情(包括24萬余份含詳細個人信息的訂單)及1.6萬余條純文本信用卡信息。此外,還竊取了數百GB的照片等數據,其中涉及客戶子女的照片庫。0mid16B提供了多張從DEphoto網絡中提取的截圖作為證據,顯示被訪問的數據庫數據超過12GB。0mid16B表示,他們在攻擊后通知了DEphoto,但該公司未加強保護或支付所要求的5萬英鎊賠償金,因此于12月29日再次發起攻擊。據TrustPilot上的評論顯示,DEphoto已開始向受影響的客戶發送通知,但客戶對公司的數據保留政策表示不滿,認為其保留數據時間過長。DEphoto的隱私政策頁面最后一次更新是在2018年5月GDPR生效時。0mid16B威脅將出售50萬客戶數據庫,并免費泄露其余數據,但目前尚不清楚他們是否會兌現這一承諾。


https://databreaches.net/2025/01/01/hacked-on-christmas-dephoto-starts-notifying-customers-only-to-be-attacked-again/


2. EC2 Grouper:利用AWS憑證的云攻擊者組織及其檢測策略


1月1日,FortiGuard實驗室的研究人員發現了一個名為EC2 Grouper的多產攻擊者組織,該組織頻繁利用AWS工具和受損憑證進行攻擊。該組織主要通過與有效賬戶綁定的代碼存儲庫獲取憑證,并使用API進行偵察和資源創建,避免手動活動。盡管在多個客戶環境中發現了其獨特的用戶代理和安全組命名約定等特征,但這些指標對于一致性檢測而言并不可靠,因為攻擊者可以輕松修改用戶代理并偏離命名約定。研究人員指出,通過分析憑證泄露和API使用等信號,安全團隊可以制定可靠的檢測策略來抵御此類攻擊。為了確保安全,組織應利用云安全態勢管理(CSPM)工具持續監控和評估云環境的安全態勢,并實施異常檢測技術來識別云環境中的異常行為。此外,頂級黑客組織如ShinyHunters和Nemesis Group也越來越多的利用AWS基礎設施進行攻擊,這表明云環境面臨持續的安全威脅。


https://hackread.com/fortiguard-labs-ec2-grouper-aws-credential-exploits/


3. 羅德島州醫療福利系統遭黑客攻擊,數據泄露至暗網


12月31日,羅德島州醫療和福利計劃系統遭到了網絡攻擊,網絡犯罪分子已將部分竊取的文件發布到暗網上。州長丹尼爾·麥基表示,該州一直在為此做準備,并已制定外聯策略,鼓勵可能受影響的居民保護個人信息。目前尚不清楚哪些文件被泄露,IT團隊正在分析。負責建設和維護該系統的德勤公司已與網絡犯罪分子取得聯系,并與州政府合作列出受影響人員名單,將向他們發送信函指導如何獲得免費信用監控。受影響的州計劃包括醫療補助、補充營養援助計劃等。麥基敦促居民采取一系列措施保護財務信息,如聯系信用報告機構凍結信用、設置欺詐警報、使用多因素身份驗證,并警惕虛假郵件、電話或短信。執法官員正在調查此次數據泄露事件,但抓獲責任人的可能性很小。


https://www.securityweek.com/rhode-islanders-data-was-leaked-from-a-cyberattack-on-state-health-benefits-website/


4. 揭示黑客如何劫持 35 個 Google Chrome 擴展程序


12月31日,一起針對Chrome瀏覽器擴展程序開發人員的網絡釣魚活動近日被曝光,該活動導致至少35個擴展程序被注入數據竊取代碼,影響約260萬用戶,其中包括網絡安全公司Cyberhaven的擴展程序?;顒邮加?024年12月5日左右,但早期命令和控制子域早在2024年3月就已存在。攻擊者通過發送偽裝成谷歌的釣魚電子郵件,聲稱擴展程序違反了Chrome網上應用店政策,誘導開發人員點擊惡意鏈接并授權惡意OAuth應用程序訪問其Chrome網上應用店擴展程序。一旦獲得訪問權限,攻擊者就會修改擴展程序以包含惡意文件,從用戶Facebook賬戶竊取數據,包括ID、訪問令牌、帳戶信息、廣告帳戶信息和商業帳戶等。此外,惡意代碼還添加鼠標點擊事件監聽器,查找與Facebook雙因素身份驗證或CAPTCHA機制相關的二維碼圖像,以繞過2FA保護并劫持賬戶。被盜信息將被泄露到攻擊者的命令和控制服務器,用于各種攻擊途徑,如直接從受害者的信用額度支付到攻擊者賬戶、在社交媒體平臺上進行虛假信息或網絡釣魚活動,或將訪問權限出售給他人。


https://www.bleepingcomputer.com/news/security/new-details-reveal-how-hackers-hijacked-35-google-chrome-extensions/


5. GitHub虛假“星星”泛濫:詐騙與惡意軟件借勢傳播


12月31日,GitHub上存在使用虛假“星星”的問題,這一問題被用來提高詐騙和惡意軟件分發存儲庫的知名度,進而接觸更多用戶。星號在GitHub上類似于“贊”按鈕,可用于收藏存儲庫,并作為全球排名系統的一部分,推薦相關內容。之前已有惡意軟件傳送服務利用虛假星星推送竊取信息的惡意軟件,同時非惡意項目也會使用虛假星星提升知名度。一項新研究發現,GitHub上有450萬個星星疑似是假的,涉及22,915個存儲庫和1,320,000個賬戶。研究人員使用名為“StarScout”的工具分析數據,識別出可疑星星,并發現2024年虛假星星活動激增。虛假星星對GitHub及其用戶的影響是多方面的,會削弱人們對該平臺的信任。用戶應謹慎評估存儲庫的活動和質量,并在可能的情況下檢查代碼,以避免下載欺騙性的軟件。目前,GitHub尚未對BleepingComputer的詢問作出回應。


https://www.bleepingcomputer.com/news/security/over-31-million-fake-stars-on-github-projects-used-to-boost-rankings/


6. TRAC Labs發布LegionLoader惡意軟件深入報告


1月1日,TRAC Labs發布了一份關于LegionLoader惡意軟件的深入報告。LegionLoader是一種自2019年首次出現并持續演變的復雜下載器惡意軟件,也被追蹤為Satacom、RobotDropper和CurlyGate。它主要用C/C++編寫,能夠部署一系列惡意工具,包括可將受感染瀏覽器轉為HTTP代理的Chrome擴展程序,從而捕獲屏幕截圖并管理對敏感賬戶的訪問。自2024年8月以來,LegionLoader傳播了多種高級信息竊取程序。它通過驅動下載和虛假安裝程序進行傳播,并采用多層加密和混淆技術逃避檢測。該惡意軟件的配置高度可定制,其有效載荷針對金融賬戶和敏感用戶數據,如Chrome憑據和其他解密密鑰。此外,LegionLoader通過API攻擊迷惑安全工具,并使用加密通信與命令和控制服務器聯系。TRAC Labs提供了全面的入侵指標列表,以幫助防御者識別和減輕LegionLoader感染。


https://securityonline.info/from-fake-installers-to-stolen-credentials-decoding-the-legionloader-threat/

上一篇 下一篇