首頁 > 安全研究 > 安全通報 > 安全簡訊

FBI警示虛假文檔轉換工具竊取信息并傳播勒索軟件

發布時間 2025-03-24

1. FBI警示虛假文檔轉換工具竊取信息并傳播勒索軟件


3月23日,聯邦調查局(FBI)丹佛分局近日發布網絡安全預警,指出網絡犯罪組織正利用偽造的在線文檔轉換工具實施大規模信息竊取與勒索攻擊。據安全報告顯示,攻擊者通過創建虛假文件轉換、合并或下載工具網站,誘導用戶上傳包含敏感信息的文檔,進而在設備中植入惡意軟件。FBI指出,這些釣魚網站通常偽裝成提供".doc轉.pdf""多圖合并.pdf"等實用功能的免費服務,其域名與合法網站高度相似(如篡改字母或后綴)。當用戶上傳文件后,攻擊者不僅竊取姓名、社保號、加密貨幣密鑰、銀行賬戶等敏感數據,更通過捆綁的惡意軟件(如Gootloader)實現遠程設備控制,最終部署REvil、BlackSuit等勒索軟件。網絡安全研究員已確認多起實際攻擊案例。安全專家建議,用戶應選擇知名文件轉換服務,避免使用無評價記錄的小眾工具;下載前務必核查文件哈希值,對可執行文件(.exe)和腳本文件(.js)進行沙箱分析;企業用戶需部署郵件過濾與內容檢測機制,阻斷可疑文件傳輸。


https://www.bleepingcomputer.com/news/security/fbi-warnings-are-true-fake-file-converters-do-push-malware/


2. 微軟可信簽名遭濫用:短期證書助惡意軟件繞過安全檢測


3月22日,網絡安全研究人員近期揭露,網絡犯罪組織正利用微軟新推出的"可信簽名服務(Trusted Signing)"簽發短期有效代碼簽名證書,為惡意軟件披上合法外衣。該服務允許開發者以每月9.99美元訂閱獲取由微軟管理的認證機構簽發的短期證書,其設計初衷是通過自動化證書輪換機制提升軟件分發安全性。然而,威脅行為者發現該服務存在可被利用的漏洞:盡管微軟要求注冊實體需為成立滿三年的企業,但允許個人以自身名義注冊,這為不法分子提供了更便捷的偽裝路徑。分析顯示,攻擊者偏好使用有效期僅三天的短期證書,這類證書即使被用于惡意活動,微軟也能通過威脅情報監控快速撤銷,理論上可最小化濫用影響。但實際情況中,已發現多起在證書失效前利用有效簽名傳播的惡意軟件案例。安全專家指出,威脅行為者轉向微軟服務,主要因其驗證流程較傳統擴展驗證(EV)證書更為簡便。微軟方面表示,已部署主動監控機制,結合威脅情報實時追蹤證書使用情況,一旦發現惡意利用立即執行大規模證書撤銷,同時強調其反惡意軟件產品已能檢測相關樣本。


https://www.bleepingcomputer.com/news/security/microsoft-trusted-signing-service-abused-to-code-sign-malware/


3. 黑客聲稱獲取600萬條記錄,但Oracle否認存在違規行為


3月22日,網絡安全公司CloudSEK通過其XVigil平臺監測到針對Oracle Cloud基礎設施的大規模網絡攻擊事件,導致約600萬條敏感記錄泄露,波及超14萬名租戶。攻擊者"rose87168"自2025年初開始活動,利用Oracle Fusion Middleware 11G的子域名漏洞實施入侵,竊取包含JKS密鑰庫、加密單點登錄(SSO)憑證及企業管理器密鑰的敏感數據,并在暗網論壇兜售。該組織甚至要求受害者支付贖金刪除數據,并為破解密碼者提供獎勵。技術分析顯示,攻擊可能利用2021年披露的CVE-2021-35587漏洞,該漏洞允許未授權攻擊者遠程接管Oracle Access Manager,進而實施橫向滲透。值得注意的是,被入侵服務器軟件版本自2014年起未更新,長期處于失修狀態。Oracle官方否認云基礎設施遭入侵,聲稱泄露憑證不適用于其云平臺。但CloudSEK指出,攻擊者獲取的JKS文件包含解密敏感數據的密鑰材料,泄露的加密SSO/LDAP憑證更可能引發連鎖攻擊,零日漏洞利用也暴露了Oracle Cloud的安全隱患。安全專家建議受影響租戶立即執行憑證輪換、開展全面取證調查,并加強威脅情報監控。


https://hackread.com/oracle-denies-breach-hacker-access-6-million-records/


4. 紐約大學招生系統遭黑客攻擊,300萬敏感數據泄露引種族爭議


3月22日,美國紐約大學遭遇嚴重數據泄露事件,黑客通過入侵招生系統獲取超過300萬份申請者敏感信息。攻擊者于22日凌晨滲透官網,持續篡改頁面達兩小時,公開披露包含姓名、考試成績、家庭背景及經濟援助記錄的CSV文件,部分數據可追溯至1989年。篡改頁面展示招生錄取統計圖表,聲稱在最高法院取消平權行動后,亞裔和白人申請者錄取標準仍高于少數族裔,意圖激化種族議題。大學IT團隊在中午前恢復系統控制,發言人約翰·貝克曼證實已啟動安全審查并與執法機構合作。值得注意的是,實施攻擊的黑客組織"Computer Niggy Exploitation"此前曾入侵明尼蘇達大學,泄露700萬份含社會安全號碼的招生數據,引發集體訴訟。類似事件近年頻發,斯坦福大學(2019)、喬治城大學(2024)均遭遇過涉及學生隱私的大規模泄露。專家指出,教育數據安全漏洞與種族議題交織,凸顯高校在數據治理和社會責任方面的雙重挑戰。


https://nyunews.com/news/2025/03/22/nyu-website-hacked-data-leak/


5. SEO專業人士遭Semrush釣魚攻擊,Google賬戶數據被竊取


3月21日,一項新的網絡釣魚活動針對SEO專業人士,使用惡意Semrush Google廣告旨在竊取他們的 Google 帳戶憑據。據Malwarebytes實驗室分析,網絡犯罪組織正通過假冒Semrush平臺的Google廣告實施精準釣魚攻擊,目標直指用戶Google賬戶憑據。該手法屬于"連鎖欺詐"模式,攻擊者先滲透Google Ads賬戶創建惡意廣告,再誘導用戶進入仿冒登錄頁面。作為服務40%世界500強企業的SEO分析工具,Semrush與Google Analytics等核心服務深度集成,使其成為高價值攻擊目標。攻擊者注冊了semrush[.]click等多個仿冒域名,構建與官方高度相似的釣魚頁面,強制用戶通過"Google登錄"提交憑證。由于Semrush賬戶常關聯企業級Google服務,攻擊者可間接獲取收入數據、營銷策略等敏感信息,而無需直接攻破Semrush系統。安全專家Elie Berreby指出,幕后黑手為巴西犯罪集團,其手法展現出對SaaS生態的深刻理解。防御建議包括:避免點擊推廣鏈接、使用書簽直達官方頁面、登錄前嚴格校驗域名,并啟用密碼管理器的自動填充功能。


https://www.bleepingcomputer.com/news/security/fake-semrush-ads-used-to-steal-seo-professionals-google-accounts/


6. 伊朗船只遭黑客攻擊,116艘船通信系統癱瘓


3月21日,近期,伊朗航運業遭遇重大網絡攻擊事件,一個名為LabDookhtegan的黑客組織宣稱對導致116艘伊朗船只通信系統癱瘓的攻擊負責。據倫敦網絡安全專家納里曼·加里布證實,此次攻擊目標直指伊朗國家油輪公司(50艘)和伊朗伊斯蘭共和國航運公司(66艘)運營的船舶,攻擊者通過清除VSAT衛星通信系統的存儲設備實施破壞。該組織聲稱,這兩家公司長期為也門胡塞叛軍提供海上補給,而叛軍頻繁襲擊曼德海峽過往船只,嚴重威脅全球貿易安全。值得注意的是,LabDookhtegan此前以泄露伊朗政府機密著稱,自2019年曝光伊朗間諜組織APT34的黑客工具后,持續公開大量政府內部文件,此次攻擊標志著其策略從信息泄露轉向直接破壞。


https://news.risky.biz/risky-bulletin-hacktivists-claim-cyber-sabotage-of-116-iranian-ships/

上一篇 下一篇