首頁 > 安全研究 > 安全通報 > 安全簡訊

Microsoft Stream舊域名遭劫持致SharePoint頁面顯示賭場廣告

發布時間 2025-03-28

1. Microsoft Stream舊域名遭劫持致SharePoint頁面顯示賭場廣告


3月27日,作為微軟365生態的企業級視頻服務,Microsoft Stream經典版于2020年啟動遷移至SharePoint,原域名microsoftstream.com按計劃應于2024年全面退役。然而2025年3月,該域名突遭劫持,攻擊者篡改DNS解析使其指向仿冒亞馬遜界面的泰國賭場釣魚頁面,導致仍嵌入舊版視頻鏈接的SharePoint頁面被垃圾內容污染。技術調查顯示,域名注冊信息于事發當日被非法修改,攻擊者可能通過社會工程學或漏洞利用獲取控制權。盡管微軟已緊急關閉域名解析,但此次事件對用戶的潛在危害不容忽視:企業內網用戶可能因訪問被劫持頁面導致敏感數據泄露,而SharePoint生態中殘留的嵌入鏈接更成為持續威脅。值得注意的是,攻擊者未進一步植入惡意軟件,主要危害集中在網絡釣魚層面。安全專家指出,此類事件反映出企業對退役域名處置的普遍疏漏:及時更新嵌入資源、缺乏DNS監控機制、未部署DNSSEC防護等漏洞,都可能被攻擊者利用實施中間人攻擊。


https://www.bleepingcomputer.com/news/microsoft/hijacked-microsoft-stream-classic-domain-spams-sharepoint-sites/


2. 《白雪公主》未上線Disney+,盜版陷阱暗藏惡意軟件


3月27日,迪士尼真人版《白雪公主》未通過迪士尼自有流媒體平臺Disney+發行,迫使部分觀眾轉向盜版渠道,卻因此陷入網絡詐騙陷阱。網絡安全公司Veriti披露,詐騙分子利用影片未上線正規平臺的空檔期,在"TeamEsteem"網站發布虛假博客,偽裝成官方資源提供2025版《白雪公主》盜版下載。該磁力種子鏈接看似合法,實則捆綁惡意軟件。已有45名用戶下載并傳播該種子文件,其中包含偽裝成視頻編解碼器的"xmph_codec.exe"程序。一旦執行,該程序將實施多重惡意操作:首先禁用Windows Defender等安全防護,隨后植入被50款安全工具標記為惡意的文件,并靜默安裝TOR瀏覽器建立暗網通信通道,最終使設備暴露于數據盜竊和勒索軟件攻擊風險中。攻擊者可能通過兩種方式入侵TeamEsteem官網:一是利用Yoast SEO插件舊版本漏洞(CVE-2023-40680),二是盜取管理員憑證直接發布虛假內容。安全專家建議,觀眾應避免下載來源不明的盜版內容,定期更新反惡意軟件,并對要求安裝額外編解碼器的可疑文件保持警惕,以防落入網絡犯罪陷阱。


https://hackread.com/fake-snow-white-movie-torrent-infects-device-malware/


3. COPA數據泄露事件波及兩州近68,000名患者敏感信息


3月27日,去年11月,黑客組織Everest Team將美國骨科醫療機構Concord Orthopaedics(COPA)列入暗網泄密網站,宣稱掌握其自2018年起的所有患者醫療記錄及個人數據,包括姓名、出生日期、社會安全號碼、預約信息、健康保險詳情及部分駕駛執照圖像。該機構于2025年3月25日向受影響者寄送書面通知,確認其患者登記與預約系統供應商遭網絡入侵,但強調內部環境未受影響。根據COPA公告,泄露源頭為第三方供應商的軟件漏洞,外泄數據類型涵蓋預約記錄(如手術類型、醫生姓名、日期地點)、健康保險信息(含受益人編號、保險資格)及部分身份文件。供應商于2025年1月28日向COPA提供潛在影響數據范圍。新罕布什爾州總檢察長辦公室披露,該州共有67,835名居民信息涉險,馬薩諸塞州另有1,517人受影響。值得注意的是,Everest公布的2.9GB泄露數據包實際包含2019-2024年間更廣泛的患者信息,且DataBreaches發現供應商服務器存儲大量未加密敏感數據,包含超過3萬張駕照圖像及其他CSV格式醫療記錄,時間跨度遠超黑客最初聲稱的2018年。


https://databreaches.net/2025/03/27/four-months-after-learning-of-a-vendors-breach-concord-orthopaedics-notifies-almost-68000-patients/


4. Vroom by YouX因AWS配置錯誤導致敏感數據泄露


3月27日,澳大利亞金融科技公司Vroom by YouX近期遭遇敏感數據泄露事件,安全研究員Jeremiah Fowler在公開可訪問的Amazon S3存儲桶中發現包含27,000條記錄的無保護數據庫,泄露信息涵蓋駕照、醫療記錄、就業證明及含部分信用卡號的銀行對賬單等高度敏感數據。更令人擔憂的是,內部截圖顯示存在保存320萬份文檔的MongoDB實例,其暴露狀態可能形成網絡攻擊新入口。事件曝光后,Vroom迅速限制數據庫訪問權限,承認安全漏洞并承諾開展事后審查。作為人工智能驅動的汽車融資平臺,該公司自2022年運營以來持續處理大量客戶敏感信息,此次泄露記錄時間跨度達三年,凸顯數據處理環節的安全隱患。安全專家指出,此類信息泄露將直接導致欺詐風險激增,包括社會工程攻擊、虛假賬戶開設及精準網絡釣魚等。企業應采用MFA身份驗證、RBAC權限管理、加密傳輸與存儲等核心措施,結合CloudTrail等監控工具實現威脅實時預警,定期開展滲透測試修補弱點,構筑全生命周期安全防護鏈條。


https://hackread.com/aussie-fintech-vroom-pii-records-aws-misconfiguration/


5. CoffeeLoader惡意軟件利用創新技術規避檢測威脅Windows用戶


3月27日,新型惡意軟件家族"CoffeeLoader"正對Windows用戶構成嚴重威脅,其高度隱蔽性使得傳統防病毒軟件難以檢測。該惡意軟件最早由Zscaler安全團隊于2024年9月發現,其攻擊鏈始于偽裝成華碩Armoury Crate系統工具,誘導用戶下載后植入信息竊取模塊,已知可搭載Rhadamanthys等高危竊密程序。CoffeeLoader展現出多維度規避檢測技術:采用Armoury Packer加殼技術實施初始欺騙,更創新地將部分惡意代碼轉移至GPU執行,利用安全軟件對圖形處理器的監測盲區實現長期潛伏。其調用堆棧篡改技術可偽造函數調用鏈,使安全分析工具誤判程序行為屬性。當檢測到安全掃描時,該惡意軟件會啟動"睡眠混淆"機制,將自身加密存儲于內存非活躍區段,有效躲避實時檢測。值得關注的是,CoffeeLoader創造性地利用Windows Fibers輕量級線程技術實施進程內多任務調度,這種非標準線程管理方式往往繞過常規監控體系。通過這種復合式逃逸策略,該惡意軟件能在目標系統長期駐留,持續執行未經授權的數據采集或橫向滲透等惡意操作。安全專家建議加強終端行為監控,部署基于GPU活動分析的檢測方案,并定期驗證系統工具的完整性以防范此類高級持續性威脅。


https://cybernews.com/security/coffeeloader-malware-asus-windows/


6. 十款npm包遭惡意篡改,加密貨幣開發者敏感數據被盜取


3月27日,近日,十款npm軟件包突發惡意代碼植入事件,針對加密貨幣領域開發者實施供應鏈攻擊。安全廠商Sonatype的研究員阿里·埃爾沙坎基里率先發現,攻擊者利用混淆腳本在軟件包安裝時竊取系統環境變量,敏感數據被回傳至遠程服務器。受影響軟件包中,熱門庫"country-currency-map"每周下載量達數千次,其2.1.8版本被植入惡意代碼,累計下載288次。惡意代碼藏匿于兩個經過高度混淆的腳本文件,通過npm包安裝機制自動執行,專門捕獲包含API密鑰、數據庫憑證等敏感信息的系統環境變量。安全專家分析指出,此次攻擊極有可能是通過接管長期未活躍的維護者賬戶實施,攻擊者可能利用此前泄露的憑證進行"撞庫"攻擊,或利用過期域名控制權限。值得注意的是,所有被篡改的倉庫中惡意代碼版本完全一致,且多數倉庫已數年未更新,進一步佐證了賬戶劫持的推測。目前,除"country-currency-map"已棄用惡意版本并引導用戶降級至2.1.7安全版本外,其余被篡改軟件包仍攜帶惡意代碼在npm平臺流通。盡管npm已對活躍項目強制啟用雙因素認證,但此次涉事軟件包多為老舊項目,維護者可能已脫離管理,形成安全防護盲區。


https://www.bleepingcomputer.com/news/security/infostealer-campaign-compromises-10-npm-packages-targets-devs/

上一篇 下一篇