首頁 > 安全研究 > 安全通報 > 安全簡訊

Bybit 遭史上最大加密貨幣盜竊案,黑客身份指向Lazarus組織

發布時間 2025-02-24

1. Bybit 遭史上最大加密貨幣盜竊案,黑客身份指向Lazarus組織


2月23日,加密貨幣交易所 Bybit 近期遭受了一次前所未有的復雜網絡攻擊,導致價值約 15 億美元的加密貨幣被盜,成為史上最大的加密貨幣盜竊案。攻擊者通過操縱簽名界面,將 Bybit 的 ETH 冷錢包中的資金重定向到未知地址。盡管 Bybit 的安全團隊正在與區塊鏈取證專家和合作伙伴積極調查此事件,但尚未透露具體的技術細節。據推測,攻擊者可能利用了 Safe.global 平臺用戶界面中的漏洞。Bybit 首席執行官向客戶保證,即使被盜資金無法追回,交易所也將保持償付能力,并將在必要時使用過橋貸款確保用戶資金可用。同時,Bybit 強調所有其他冷錢包均安全無虞,運營不會中斷。網絡安全公司 Elliptic 和 Arkham Intelligence 均將此次攻擊歸咎于與朝鮮有關的 Lazarus APT 集團,該組織以使用自定義惡意軟件進行復雜攻擊而聞名,并涉嫌多起針對銀行和加密貨幣交易所的攻擊事件。盡管 Bybit 尚未正式確認黑客身份,但此次事件再次凸顯了加密貨幣領域面臨的安全挑戰。


https://securityaffairs.com/174514/cyber-crime/lazarus-stole-1-5b-from-bybit-cryptocurrency-heist.html


2. PayPal新型電子郵件詐騙:利用地址設置誘騙遠程訪問權限


2月22日,近期,一種利用PayPal電子郵件地址設置功能的詐騙手段正在流行。詐騙者通過向PayPal賬戶添加包含虛假MacBook購買確認信息的新地址,觸發PayPal發送確認郵件。這些看似合法的郵件由“service@paypal.com”發送,誘騙用戶撥打詐騙電話號碼。一旦用戶撥打,詐騙者會聲稱賬戶被黑客入侵,并誘導用戶下載并運行特定軟件以獲取遠程訪問權限。然而,這些郵件實際上是發送給與詐騙者關聯的電子郵件地址,該地址會自動將郵件轉發給郵件列表中的所有成員,即詐騙目標。由于PayPal不限制地址字段字符數,詐騙者能夠注入詐騙信息。為了防范此類詐騙,用戶應忽略包含虛假購買確認的PayPal郵件,并不要撥打其中提供的電話號碼。同時,PayPal需要采取措施限制地址字段字符數,以防止此類詐騙行為的發生。


https://www.bleepingcomputer.com/news/security/beware-paypal-new-address-feature-abused-to-send-phishing-emails/


3. CS2比賽成詐騙新靶場:游戲玩家需警惕Steam帳戶被盜風險


2月22日,威脅行為者正利用反恐精英 2 (CS2) 的大型比賽,如IEM卡托維茲2025和PGL克盧日-納波卡2025,針對游戲玩家實施詐騙,意圖竊取他們的Steam帳戶和加密貨幣。盡管CS2已推出多年,但其玩家社區和職業競賽格局依然龐大且活躍。近期,CS2在Steam上的同時在線玩家數量達到了新的高峰。Bitdefender Labs發現了一項名為“Streamjacking”的惡意活動,詐騙者通過冒充知名CS2玩家,在YouTube直播中宣傳假冒的皮膚和加密貨幣贈品。他們使用被劫持的合法YouTube帳戶,并循環播放舊的游戲畫面以營造直播氛圍。這些視頻中的二維碼或鏈接會將觀眾導向惡意網站,要求他們使用Steam帳戶登錄以領取禮物或發送加密貨幣以獲取高額回報。一旦登錄,受害者就會在不知情的情況下授予詐騙者訪問權限,導致有價值的皮膚和物品被盜,加密貨幣也會被立即轉移至詐騙者控制的錢包。游戲玩家應保持警惕,核實與官方電子競技組織的關系,并激活多重身份驗證、啟用Steam Guard移動身份驗證器以及定期檢查登錄活動。在YouTube上,只觀看官方職業球員帳戶的視頻,并對其他頻道上的直播保持懷疑。


https://www.bleepingcomputer.com/news/security/fake-cs2-tournament-streams-used-to-steal-crypto-steam-accounts/


4. SpyLend Android 惡意軟件在 Google Play 被下載了超 10 萬次


2月21日,一款名為SpyLend(又稱Finance Simplified)的Android惡意軟件應用程序在Google Play上被下載超過10萬次,它偽裝成金融工具,實則針對印度用戶實施掠奪性貸款。該應用屬于SpyLoan惡意軟件組,通過請求過多權限竊取用戶個人數據,如聯系人、通話記錄、短信、照片、設備位置等。這些數據被用于騷擾、敲詐和勒索用戶,特別是當用戶未能滿足還款條款時。該應用還聲稱是注冊的非銀行金融公司,但實則不然。為逃避檢測,它加載WebView將用戶重定向到外部網站下載貸款應用APK。該惡意軟件活動專門針對印度用戶,并竊取包括敏感個人信息在內的多種數據,用于敲詐勒索或金融欺詐。盡管該應用已從Google Play移除,但仍可能繼續運行并收集敏感信息。若懷疑設備被感染,請立即刪除相關應用,重置權限,更改密碼,并執行設備掃描。同時,確保Google的Play Protect工具處于活動狀態,以檢測并阻止惡意軟件。


https://www.bleepingcomputer.com/news/security/spylend-android-malware-downloaded-100-000-times-from-google-play/


5. CISA將Craft CMS高嚴重性安全漏洞CVE-2025-23209加入KEV目錄


2月21日,美國網絡安全和基礎設施安全局(CISA)已將影響Craft內容管理系統(CMS)的高嚴重性安全漏洞CVE-2025-23209添加到其已知被利用漏洞(KEV)目錄中。該漏洞的CVSS評分為8.1,影響Craft CMS版本4和5,具體為版本范圍在>= 4.0.0-RC1, < 4.13.8和>= 5.0.0-RC1, < 5.5.5之間。CISA指出,由于易受攻擊的版本已經危及用戶安全密鑰,Craft CMS存在代碼注入漏洞,允許遠程代碼執行。項目維護人員已在2024年12月下旬發布的版本4.13.8和5.5.8中解決了該漏洞。Craft CMS在GitHub上發布的公告中提到,所有未修補且安全密鑰被泄露的版本都會受到該安全缺陷的影響,并建議無法更新到修補版本的用戶輪換安全密鑰并確保其隱私以緩解問題。此外,聯邦民事行政部門(FCEB)機構被建議在2025年3月13日之前應用必要的修復程序。


https://thehackernews.com/2025/02/cisa-flags-craft-cms-vulnerability-cve.html


6. CISA將Microsoft Power Pages漏洞CVE-2025-24989加入KEV目錄


2月23日,美國網絡安全和基礎設施安全局(CISA)已將Microsoft Power Pages的一個高嚴重性漏洞(編號為CVE-2025-24989,CVSS分數為8.2)添加到其已知被利用漏洞(KEV)目錄中。該漏洞屬于不當訪問控制漏洞,允許未經授權的攻擊者通過網絡提升權限,可能繞過用戶注冊控制。此漏洞由微軟的Raj Kumar報告,微軟已確認此漏洞正在被積極利用,并發布了公告通知受影響的客戶檢查網站并采取清理措施。根據具有約束力的操作指令(BOD)22-01,聯邦民事行政部門(FCEB)機構必須在截止日期前解決已發現的漏洞,以保護其網絡免受攻擊。CISA要求聯邦機構在2025年3月21日之前修復此漏洞,同時專家也建議私人組織審查該目錄并解決其基礎設施中的漏洞,以降低安全風險。


https://securityaffairs.com/174541/hacking/u-s-cisa-adds-microsoft-power-pages-flaw-known-exploited-vulnerabilities-catalog.html

上一篇 下一篇