首頁 > 安全研究 > 安全通報 > 安全簡訊

黑客聲稱入侵Check Point網絡安全公司并出售敏感數據

發布時間 2025-04-01

1. 黑客聲稱入侵Check Point網絡安全公司并出售敏感數據


4月1日,黑客組織CoreInjection宣稱入侵以色列網絡安全巨頭Check Point,在暗網論壇以5比特幣(約合43.45萬美元)兜售敏感數據。該組織于2025年3月30日通過Breach Forums發布聲明,聲稱掌握Check Point內部項目文檔、用戶憑證(含明文密碼)、網絡架構圖、源代碼及員工聯系信息等核心數據,僅接受加密貨幣交易并通過TOX通訊工具聯系。Check Point迅速回應,否認近期發生大規模入侵,稱指控源于數月前已處理的孤立事件,僅涉及非核心系統且未影響客戶數據。公司強調被入侵的門戶未觸及生產環境,受影響組織已修復漏洞,暗網售賣數據實為舊信息回收。CoreInjection自3月15日現身Breach Forums以來,已多次針對以色列關鍵基礎設施發起攻擊,展現出對高價值目標的精準打擊能力。其攻擊模式顯示與地緣政治高度關聯,引發對潛在物理破壞攻擊的擔憂。盡管Check Point淡化事件影響,但黑客披露的內部架構圖、未加密憑證及源代碼等細節,仍引發外界對入侵深度的質疑。此外,Check Point未公開入侵方式、漏洞類型及追責進展,其透明度不足可能削弱行業信任。


https://hackread.com/hacker-breach-check-point-cybersecurity-firm-access/


2. Lazarus黑客組織采用ClickFix策略攻擊加密貨幣求職者


3月31日,朝鮮Lazarus黑客組織近期升級了對加密貨幣領域求職者的定向攻擊策略,采用ClickFix技術實施傳染性面試活動。該組織冒充Coinbase、Kraken等14家知名加密金融企業,通過虛假職位誘騙求職者訪問含惡意代碼的面試網站。當受害者嘗試錄制視頻回答面試問題時,網站會彈出虛假系統錯誤提示,要求用戶執行特定操作系統的終端命令以修復攝像頭驅動問題。這些命令實際會下載名為GolangGhost的Go語言后門程序,通過修改注冊表或LaunchAgent實現系統駐留。該惡意軟件具備竊取Chrome瀏覽器Cookie、瀏覽歷史、存儲密碼及系統元數據的能力,并與攻擊者控制的C2服務器建立加密通信。值得注意的是,Lazarus將攻擊目標從技術開發人員擴展至業務開發、市場營銷等非技術崗位人員,利用ReactJS構建高仿企業招聘頁面增強欺騙性。攻擊鏈始于LinkedIn等社交平臺的企業賬號偽裝,通過GitHub等平臺托管惡意編碼測試項目,最終誘導受害者主動執行攻擊載荷。防御建議強調求職者需嚴格驗證面試邀請來源,避免執行任何未知終端命令,企業則應部署Yara規則檢測異常進程,并監控注冊表/plist文件變動。


https://www.bleepingcomputer.com/news/security/north-korean-hackers-adopt-clickfix-attacks-to-target-crypto-firms/


3. 國防承包商NDC及AMTEC遭黑客攻擊系統被加密


3月31日,國防承包商NDC及其彈藥制造子公司AMTEC近期遭遇重大網絡攻擊事件。據暗網泄密組織InterLock宣稱,已成功入侵NDC及其關聯系統,竊取4,200GB敏感數據,包含290余萬份文件及45萬個文件夾。攻擊者通過暗網平臺公布部分截圖作為佐證,并指出已對AMTEC、Tech Ord及PRESTO系統實施全盤加密。作為National Presto Industries全資子公司,NDC主營軍用/警用彈藥生產,具備精密組裝、炸藥裝載等核心能力。其子公司AMTEC更是全球40毫米榴彈彈藥及引信的最大批量供應商。InterLock披露的NDC內部溝通內容顯示,盡管公司聲稱已向政府機構和公眾披露事件,但公開渠道未見相關公告。NDC在回應中淡化數據價值,強調其生產的低技術商品設計年代久遠,被盜信息對第三方利用價值有限,同時透露已投保覆蓋潛在損失。母公司報告則承認事件對財務及運營可能造成重大影響,目前法證調查仍在進行中。值得注意的是,InterLock指控NDC安全監控存在疏漏,稱其未被發現或驅逐出系統。此次攻擊不僅造成生產、物流等運營功能暫時癱瘓,更暴露了關鍵基礎設施網絡安全防護的脆弱性。


https://databreaches.net/2025/03/31/national-defense-corporation-victim-of-ransomware-attack-discloses-breach-and-declines-to-pay-any-ransom/


4. 三星德國票務系統因憑證失竊致27萬客戶數據泄露


3月31日,網絡安全公司Hudson Rock披露三星德國票務系統遭遇重大數據泄露事件,威脅行為者GHNA利用被盜賬戶憑證竊取約27萬條客戶記錄。據調查,泄露源頭可追溯至2021年Spectos GmbH員工設備感染的Racoon信息竊取程序,該賬戶本用于監控服務質量,但相關登錄憑證長期未輪換,閑置四年后成為攻擊突破口。此次泄露數據涵蓋客戶姓名、地址、郵箱等敏感信息,以及交易記錄、訂單號、跟蹤鏈接和支持溝通內容。Hudson Rock警告,此類信息可被用于精準網絡釣魚攻擊、虛假客戶支持詐騙、偽造保修索賠及物理盜竊等犯罪活動。攻擊者甚至可能運用AI技術識別高價值目標,實施定制化欺詐。分析報告指出,憑證管理疏失是事件主因,類似問題曾導致捷豹路虎、施耐德電氣等多家企業遭襲。Hudson Rock強調,信息竊取威脅具有潛伏性,企業需建立持續憑證監控機制,而非僅依賴事后補救。該機構建議主動追蹤被盜憑證應成為安全戰略核心,而非被動應對漏洞。截至目前,三星尚未就此事件作出官方回應,后續進展仍需持續關注。


https://www.securityweek.com/hacker-leaks-samsung-customer-data/


5. 田納西牙科集團郵件入侵致17萬患者數據泄露


3月31日,田納西州牙科服務集團Chord Specialty Dental Partners(含CDHA Management和Spark DSO)近日披露遭遇電子郵件系統安全事件,影響范圍覆蓋其在美國六個州運營的60余家診所。據企業公告,2024年8月18日至9月25日期間,多個員工郵箱遭未經授權訪問,存儲的敏感信息包括患者姓名、住址、出生日期、社保號、駕照號、銀行賬戶及支付卡數據、醫療記錄和健康保險詳情等。盡管企業聲明目前未發現信息被惡意濫用的證據,但仍強調無法排除數據已被獲取的可能性。此次事件波及超17.3萬名患者,Chord已向HHS報備,并承諾為受影響者提供信用監控及身份保護服務。安全專家指出,醫療機構因存儲大量高價值個人健康信息,長期成為網絡攻擊重點目標。電子郵件作為常見攻擊入口,其賬戶安全防護薄弱性往往成為風險突破口。此類事件警示醫療組織需強化郵箱系統的多因素認證、定期審計及入侵檢測機制,同時建立完備的事件響應預案以保護患者數據安全。


https://www.securityweek.com/170000-impacted-by-data-breach-at-chord-specialty-dental-partners/


6. CISA將思科智能許可漏洞列入被利用目錄并設修復期限


3月31日,美國網絡安全與基礎設施安全局(CISA)近日將思科智能許可工具的兩項高危漏洞(CVE-2024-20439和CVE-2024-20440)列入已知被利用漏洞目錄,要求聯邦機構在2025年4月21日前完成修復。漏洞細節顯示,CVE-2024-20439為靜態憑證后門,攻擊者可利用預設管理員賬戶無驗證登錄系統;CVE-2024-20440為信息泄露漏洞,通過構造HTTP請求可獲取含敏感數據的調試日志,包括API訪問憑證。思科已發布安全更新,但SANS互聯網風暴中心警告,漏洞細節公開后已出現活躍利用跡象,攻擊者可能結合其他漏洞(如CVE-2024-0305)擴大攻擊面。安全專家指出,這兩個漏洞存在關聯:后門憑證可直接訪問日志文件,而過度記錄的日志又暴露更多系統信息。盡管漏洞披露初期未見公開利用,但技術細節外泄加速了攻擊蔓延。根據CISA的約束性操作指令BOD 22-01,聯邦機構需嚴格遵守修復時限,私營部門亦被建議立即審查網絡基礎設施,優先修補這些關鍵漏洞。


https://securityaffairs.com/176073/hacking/u-s-cisa-adds-cisco-smart-licensing-utility-flaw-known-exploited-vulnerabilities-catalog.html

上一篇 下一篇