首頁 > 安全研究 > 安全通報 > 安全簡訊

冒充Booking.com的網絡釣魚活動利用ClickFix攻擊竊取信息

發布時間 2025-03-14

1. 冒充Booking.com的網絡釣魚活動利用ClickFix攻擊竊取信息


3月13日,微軟近日發出警告,指出存在一起冒充Booking.com的網絡釣魚活動,該活動自2024年12月起持續至今,主要針對酒店、旅行社等使用Booking.com預訂服務的組織員工。攻擊者利用ClickFix社會工程攻擊手段,通過發送含有惡意軟件的電子郵件,意圖劫持員工賬戶并竊取客戶付款詳情和個人信息。據微軟安全研究人員分析,此次活動由名為“Storm-1865”的威脅組織發起。在此次活動中,攻擊者發送偽裝成客人詢問Booking.com相關事宜的電子郵件,郵件中包含虛假的CAPTCHA頁面鏈接或PDF附件,誘騙受害者執行隱藏的mshta.exe命令。該命令會在攻擊者服務器上執行惡意HTML文件,進而下載并安裝多種RAT和信息竊取軟件,如XWorm、Lumma stealer等。這些有效載荷具有竊取財務數據和憑證以供欺詐使用的能力,是Storm-1865活動的典型特征。為了防御此類攻擊,微軟建議用戶始終確認發件人地址的合法性,對緊急行動呼吁保持警惕,并尋找可能的拼寫錯誤以識別詐騙。同時,建議通過獨立登錄平臺驗證Booking.com賬戶狀態和待處理警報,避免點擊電子郵件中的鏈接,以降低被攻擊的風險。


https://www.bleepingcomputer.com/news/security/clickfix-attack-delivers-infostealers-rats-in-fake-bookingcom-emails/


2. Mora_001利用Fortinet漏洞部署SuperBlack勒索軟件


3月13日,名為“Mora_001”的勒索軟件運營商正在利用Fortinet披露的兩個身份驗證繞過漏洞(CVE-2024-55591和CVE-2025-24472)來獲取防火墻設備的未授權訪問,并部署定制的SuperBlack勒索軟件。這兩個漏洞分別在2024年1月和2月被Fortinet公開,但CVE-2024-55591自2024年11月起就已被用作零日漏洞進行攻擊。而關于CVE-2025-24472,盡管最初Fortinet表示不清楚是否被利用,但Forescout研究人員在2025年1月下旬發現了SuperBlack攻擊,表明該漏洞也已被利用。Mora_001運營商通過這兩個漏洞獲得“super_admin”權限,創建新管理員帳戶,并嘗試橫向移動以竊取數據。之后,他們使用自定義工具加密文件以進行雙重勒索,并在加密結束后放置勒索信。此外,還部署了名為“WipeBlack”的定制擦除器以刪除痕跡。Forescout發現SuperBlack與LockBit勒索軟件之間存在緊密聯系,盡管前者似乎是獨立行動,但兩者在加密器結構、贖金記錄中的TOX聊天ID以及IP地址等方面存在大量重疊。Forescout分享了與SuperBlack攻擊相關的入侵指標列表以供防御參考。


https://www.bleepingcomputer.com/news/security/new-superblack-ransomware-exploits-fortinet-auth-bypass-flaws/


3. CISA警告Apple WebKit越界寫入漏洞正在被野外利用


3月13日,近日,美國網絡安全和基礎設施安全局(CISA)發出警告,指出蘋果WebKit瀏覽器引擎存在一個已被野外利用的零日漏洞,編號為CVE-2025-24201。這是一個越界寫入問題,攻擊者可通過精心構造的惡意網頁內容,突破Web Content沙盒隔離,在受影響設備上執行未經授權的代碼,甚至部署間諜軟件。該漏洞廣泛影響iPhone XS及后續機型、iPad Pro系列、iPad Air系列、iPad系列、iPad mini系列、運行macOS Sequoia的Mac設備以及Apple Vision Pro,同時iOS和iPadOS上的第三方瀏覽器也受到影響,因為它們必須使用WebKit引擎。蘋果已確認,該漏洞可能在針對特定個人的“極其復雜”的攻擊中被利用,并已發布更新進行修復。CISA建議用戶按照供應商指示采取緩解措施,包括立即更新設備、避免點擊不可信鏈接和訪問未知網站、監控設備行為以及啟用自動更新。對于高風險用戶和企事業用戶,建議啟用鎖定模式以增強防護能力。企業用戶還應部署移動設備管理解決方案,確保設備及時更新,并監控網絡活動以發現潛在攻擊跡象。


https://cybersecuritynews.com/cisa-warns-of-apple-webkit-out-of-bounds-write/


4. ESHYFT數據庫配置錯誤致86,000名醫護人員敏感數據泄露


3月13日,ESHYFT 是一家總部位于新澤西州的健康科技公司,業務遍及 29 個州。近日,一個配置錯誤的數據庫暴露了ESHYFT旗下86,000多名醫護人員的108.8 GB敏感數據,包括SSN、身份證件掃描件、薪資詳情等個人身份信息。該數據庫沒有密碼保護或加密,由網絡安全研究員Jeremiah Fowler發現。被泄露的數據還包括個人資料圖像、面部圖像、專業證書、工作任務協議等,以及一份詳細記錄了80多萬條護士信息的電子表格。此外,醫療文件也被泄露,可能受到HIPAA法規的約束。盡管Fowler立即通知了ESHYFT,但該公司花了一個多月才限制公眾訪問。目前尚不清楚數據庫是否由ESHYFT擁有或直接管理,以及暴露的持續時間和是否有未經授權的人員訪問數據。網絡犯罪分子可能會利用這些數據實施犯罪或欺騙受害者。因此,HealthTech必須實施適當的網絡安全措施,如強制加密敏感數據、使用多因素身份驗證、進行定期安全審核等,以保護用戶數據安全。同時,制定數據泄露應對計劃、建立溝通渠道、提供負責任的披露通知并教育用戶識別網絡釣魚企圖也是必要的。


https://hackread.com/healthtech-database-exposed-medical-employment-records/


5. 黑客濫用Microsoft Copilot進行復雜的網絡釣魚攻擊


3月13日,隨著Microsoft Copilot在2023年推出并迅速成為許多組織不可或缺的生產力工具,網絡犯罪分子也瞄準了這一新攻擊媒介。他們利用精心制作的網絡釣魚電子郵件,模仿合法的Microsoft通信,誘騙用戶點擊鏈接,從而重定向到偽造的Microsoft Copilot歡迎頁面。這些頁面與合法的Microsoft界面高度相似,但URL并不屬于Microsoft域。攻擊者進一步模仿Microsoft身份驗證過程,誘使用戶輸入憑證,并出現欺詐性的Microsoft Authenticator多重身份驗證頁面。此類網絡釣魚活動已經顯示出其嚴重性,攻擊者甚至發送電子郵件聲稱向用戶收取Microsoft Copilot服務費用。隨著微軟繼續在其產品套件中集成人工智能功能,安全專業人員必須警惕新出現的威脅,實施全面的安全措施以防御這些威脅。微軟和Cofense等工具可以幫助識別和管理欺騙發件人,阻止潛在威脅。了解這些攻擊方法并實施適當的保護措施,可以降低組織風險,同時仍然受益于Microsoft Copilot等工具提供的生產力優勢。


https://cybersecuritynews.com/microsoft-copilot-phishing-attack/


6. 捷豹路虎遭“Rey”黑客入侵,700份敏感數據泄露


3月12日,近期,一名化名“Rey”的威脅行為者入侵了英國著名汽車制造商捷豹路虎(JLR)的內部系統,并泄露了約700份包含敏感技術和運營數據的內部文件,首次在暗網論壇上公布。泄露的數據涉及多個類別,包括專有源代碼、車輛開發日志、跟蹤數據集以及員工數據庫等,可能對該公司的知識產權安全和員工隱私造成嚴重威脅。此次泄密事件如果得到證實,將成為捷豹路虎面臨的最嚴重的網絡安全威脅之一。網絡安全分析師推測,數據泄露可能源自受到攻擊的公司服務器或云存儲庫。盡管尚未明確提及贖金要求,但泄露數據的技術性質可能使競爭對手受益。捷豹路虎尚未就此發表官方聲明,但網絡安全公司已開始驗證泄露數據的真實性。此次事件凸顯了汽車行業數字基礎設施的脆弱性,專家建議JLR立即審核代碼存儲庫,加強開發者賬戶的安全措施,并進行滲透測試。對于員工來說,憑證監控和安全意識培訓也至關重要。此次泄密事件再次警醒人們,汽車制造商在日益由軟件驅動的行業中面臨著不斷變化的威脅,創新與網絡安全之間的平衡仍然不穩定。


https://cybersecuritynews.com/threat-actor-allegedly-claiming-breach/

上一篇 下一篇