首頁 > 安全研究 > 安全通報 > 安全簡訊

Otelier酒店管理平臺遭遇大規模數據泄露

發布時間 2025-01-20

1. Otelier酒店管理平臺遭遇大規模數據泄露


1月17日,2024年7月至10月期間,酒店管理平臺Otelier(前身為MyDigitalOffice)遭遇了嚴重的數據泄露事件。威脅行為者成功入侵其Amazon S3云存儲,竊取了數百萬客人的個人信息以及萬豪、希爾頓、凱悅等知名酒店品牌的預訂信息,總量近8TB。Otelier已確認此次入侵,并正與受影響客戶溝通,同時聘請了頂尖網絡安全專家團隊進行全面取證分析和系統驗證。為防止類似事件再次發生,Otelier已禁用相關賬戶并加強網絡安全協議。據威脅者透露,他們最初通過信息竊取惡意軟件獲取了一名員工的登錄信息,進而入侵了Atlassian服務器,并利用這些憑證獲取了更多數據,包括S3存儲桶的訪問權限。萬豪酒店已證實其受到影響,并暫停了Otelier提供的自動化服務,但強調其系統未在此次攻擊中遭到入侵。然而,泄露的數據樣本顯示,酒店客人的姓名、地址、電話號碼和電子郵件地址等個人信息已被盜取,并被添加到“Have I Been Pwned”網站上供人查詢。盡管密碼和賬單信息未被盜,但用戶仍需警惕針對此漏洞的可疑電子郵件和網絡釣魚攻擊。


https://www.bleepingcomputer.com/news/security/otelier-data-breach-exposes-info-hotel-reservations-of-millions/


2. PyPI現“pycord-self”惡意包,針對Discord開發人員竊取令牌植入后門


1月17日,Python包索引(PyPI)上出現了一款名為“pycord-self”的惡意軟件包,它針對的是Discord開發人員。這款惡意包模仿了廣受歡迎的“discord.py-self”包,已被下載約885次。盡管它提供了合法項目的功能,但實則包含執行兩項主要惡意操作的代碼:一是竊取Discord身份驗證令牌并將其發送到外部URL,即使雙因素身份驗證保護處于活動狀態,攻擊者也能使用這些令牌劫持開發人員的Discord帳戶;二是通過端口6969與遠程服務器建立持久連接,建立后門機制,讓攻擊者能夠持續訪問受害者的系統。Socket研究人員對此進行了詳細分析。因此,建議軟件開發人員在安裝軟件包時,務必驗證代碼是否來自官方作者,并檢查軟件包的名稱,以降低成為受害者的風險。同時,使用開源庫時,建議檢查代碼中是否存在可疑函數,并利用掃描工具檢測和阻止惡意軟件包。


https://www.bleepingcomputer.com/news/security/malicious-pypi-package-steals-discord-auth-tokens-from-devs/


3. Lazarus組織針對開發人員發起“99號行動”竊取敏感數據


1月17日,朝鮮政府支持的Lazarus組織正在開展名為“99號行動”的持續攻擊活動,針對軟件開發人員竊取敏感數據。此次活動標志著Lazarus組織攻擊策略的演變,從廣泛的網絡釣魚攻擊轉向針對技術供應鏈中的開發人員進行有針對性的攻擊。攻擊者冒充招聘人員在LinkedIn等平臺上聯系目標,誘導受害者克隆惡意GitHub存儲庫,執行其中的代碼后連接到由攻擊者控制的命令和控制服務器。該服務器使用高度混淆的Python腳本來逃避檢測,并針對特定目標動態定制惡意軟件。該活動部署了具有模塊化組件的多階段惡意軟件系統,以竊取開發人員的源代碼、機密、配置文件以及加密貨幣錢包密鑰等敏感數據。SecurityScorecard敦促開發人員采取主動的安全措施,如增強代碼存儲庫驗證、使用高級端點安全解決方案檢測異?;顒?、在平臺上驗證招聘人員和工作機會,并掌握識別危險信號的知識。


https://www.infosecurity-magazine.com/news/lazarus-developers-data-theft/


4. 黑客“0mid16B”宣布入侵MedSave,竊取561GB數據并計劃出售


1月17日,名為“0mid16B”的黑客周三宣布已成功入侵印度大型第三方管理機構MedSave,竊取了561GB的數據庫,包含超過1000萬人的敏感信息,其中不乏高管資料,且數據截止至2025年1月8日。0mid16B未透露入侵手段,但聲稱MedSave長時間未察覺其存在,且在1月12日至15日期間三次進入系統并干擾其運作。盡管未向MedSave提出具體勒索金額,0mid16B批評其安全防護薄弱,指出公司未安裝防病毒軟件,且在明知漏洞存在的情況下仍重啟服務器,使其得以輕易傳輸大量數據而未觸發警報。MedSave網站目前無法訪問,DataBreaches已嘗試通過多渠道聯系MedSave告知其情況,但尚未收到回復。0mid16B表示有意出售部分數據并公開非客戶數據,此事有待MedSave進一步回應。


https://databreaches.net/2025/01/17/medsave-health-insurance-tpa-hacked-firm-has-yet-to-comment-or-respond/


5. 模仿Black Basta手法的網絡攻擊瞄準SlashNext客戶


1月15日,SlashNext的一位客戶遭遇了模仿臭名昭著的Black Basta勒索軟件團伙手法的網絡攻擊。在短短90分鐘內,攻擊者向22個用戶收件箱發送了1165封惡意郵件,企圖誘騙用戶點擊惡意鏈接。SlashNext的研究人員揭示了這次攻擊迅速且精準,使用了與Black Basta相似的手法,旨在讓用戶措手不及并繞過傳統安全措施。攻擊者利用勒索軟件騙局,偽裝成流行平臺發送虛假郵件,使用看似無害的域名和特殊字符的主題行,針對不同用戶角色提高關注度。他們通過看似合法的郵件淹沒收件箱,制造混亂,誘使用戶點擊鏈接。當用戶不知所措時,攻擊者冒充IT支持介入,誘騙用戶安裝遠程訪問軟件,從而在系統中站穩腳跟,可能傳播惡意軟件或竊取敏感數據。幸運的是,SlashNext的集成云郵件安全系統迅速識別出危險信號,及時應對。這一事件凸顯了網絡安全威脅的日益復雜性,攻擊者使用先進技術規避傳統安全措施。因此,組織應優先考慮威脅檢測和響應,定期進行安全評估,以識別漏洞并提升整體安全性。


https://hackread.com/black-basta-cyberattack-hits-inboxes-with-1165-emails/


6. Star Blizzard新釣魚活動瞄準WhatsApp賬戶


1月19日,俄羅斯民族國家行為者Star Blizzard近期開展了一項新的魚叉式網絡釣魚活動,專門攻擊政府、外交、國防政策、國際關系及烏克蘭援助組織等目標的WhatsApp賬戶。該活動于2024年11月中旬被微軟威脅情報報告揭示,標志著Star Blizzard為應對策略和技術曝光所做的戰術轉變。攻擊者通過電子郵件冒充美國政府官員,誘騙目標加入支持烏克蘭的非政府組織WhatsApp群組,郵件中包含損壞的二維碼,若受害者回應,則會被引導至虛假網頁,要求掃描新的二維碼,實則是將攻擊者設備鏈接至受害者WhatsApp賬戶。微軟指出,一旦受害者操作,攻擊者即可訪問其WhatsApp消息,并利用插件竊取數據。此次攻擊依賴社會工程學,不涉及惡意軟件,用戶需警惕未經請求的通信,特別是加入群組的邀請,并定期檢查與WhatsApp賬戶關聯的設備。此次活動表明,盡管Star Blizzard在2024年10月的活動中斷后部分域名被查封,但其仍通過探索新攻擊媒介繼續行動。


https://www.bleepingcomputer.com/news/security/star-blizzard-hackers-abuse-whatsapp-to-target-high-value-diplomats/

上一篇 下一篇