首頁 > 安全研究 > 安全通報 > 安全簡訊

以色列TeleMessage公司遭黑客攻擊暫停服務

發布時間 2025-05-06

1. 以色列TeleMessage公司遭黑客攻擊暫停服務


5月5日,以色列公司TeleMessage因遭黑客攻擊已暫停所有服務,其母公司Smarsh證實了這一消息,并表示正在調查所謂的“潛在安全事件”。TeleMessage為企業提供安全的移動消息服務,其中包括用于存檔通過端到端加密消息應用程序(如Telegram、WhatsApp和Signal)交換消息的工具,一些美國政府官員曾使用其非官方Signal消息存檔工具TM SGNL。此次事件源于404 Media的報道,一名黑客入侵了TeleMessage,獲取了使用TM SGNL存檔的直接消息和群聊。黑客稱入侵過程輕松,僅花費15到20分鐘,并擔憂該漏洞可能已存在較長時間。盡管黑客表示內閣成員和前國家安全顧問的信息未被泄露,但提取的數據包括政府官員的聯系信息、部分消息內容以及TeleMessage后端登錄憑據。此外,被提取的數據截圖還顯示與美國海關和邊境保護局、加密貨幣交易所Coinbase以及豐業銀行等金融服務有關聯。軟件工程師Micah Lee分析TM SGNL后門Signal應用程序源代碼時,發現了硬編碼憑據等幾個漏洞。Signal發言人表示無法保證非官方版本Signal的隱私或安全屬性,而白宮副新聞秘書則強調Signal是經批準的政府使用應用程序,并安裝在政府手機上。


https://www.bleepingcomputer.com/news/security/unofficial-signal-app-used-by-trump-officials-investigates-hack/


2. 美國多地教育機構頻遭網絡攻擊,學生學習受影響


5月6日,近期,美國多地教育機構頻遭網絡攻擊,嚴重影響了學校運營及學生學習。新墨西哥州多個學區和西新墨西哥大學便是受害者之一。西新墨西哥大學自4月13日起遭受網絡攻擊,網站癱瘓,系統和服務中斷,官方網站何時恢復尚無預計,校園WiFi也處于癱瘓狀態,校方被迫提供替代服務,并通過多種方式向學生、教師和工作人員通報最新情況。同時,教師們通過提供作業和項目延期來支持學生,以減輕停課對學業的影響,但此舉仍引發了學生不滿。佐治亞州考維塔縣學校系統也于周五晚間遭遇網絡攻擊,影響了29所K-12學校的23,000名學生,學校系統網絡流程受阻,員工被建議不要訪問桌面設備。此次攻擊被該校官員稱為“嚴重”,并已向相關部門報告。此外,俄克拉荷馬州巴特爾斯維爾公立學校也因網絡攻擊導致計算機系統無法運行,被迫取消州級考試。近期,此類事件頻發,包括巴爾的摩市公立學校的大范圍勒索軟件攻擊、南卡羅來納州查爾斯頓縣學區的網絡事件以及德克薩斯州阿爾文獨立學區的違規事件等,均對學校運營和學生信息安全造成了威脅。


https://therecord.media/hackers-serious-georgia-new-mexico


3. Co-op合作社遭DragonForce勒索軟件攻擊


5月2日,Co-op合作社遭受的網絡攻擊比最初報道的更為嚴重,現已確認大量客戶數據被盜。Co-op起初淡化攻擊影響,稱已關閉部分IT系統,但后續調查顯示黑客成功訪問其系統并提取數據,包括現任和前任成員的姓名、聯系方式等,但不涉及密碼、銀行信息等敏感數據。消息人士透露,攻擊發生在4月22日,攻擊者利用社會工程攻擊重置員工密碼,進而入侵網絡并竊取Windows NTDS.dit文件。Co-op目前正在重建Windows域控制器,并強化Entra ID安全,KPMG協助提供AWS支持。BBC最新報道指出,DragonForce勒索軟件行動的附屬機構是此次攻擊的幕后黑手,該組織還聲稱掌握了2000萬注冊Co-op會員獎勵計劃用戶的數據,并使用Microsoft Teams聯系Co-op高管進行勒索。Co-op已向員工發送內部郵件,警告在使用Microsoft Teams時保持警惕。DragonForce是一個“勒索軟件即服務”組織,其他網絡犯罪分子可加入其中,使用其勒索軟件進行攻擊,并支付贖金抽成。


https://www.bleepingcomputer.com/news/security/co-op-confirms-data-theft-after-dragonforce-ransomware-claims-attack/


4. 21個Magento擴展后門潛伏六年,2025年激活危及千家電商


5月2日,一項涉及21個后門Magento擴展的供應鏈攻擊已危及500至1000家電子商務商店,其中包括一家價值400億美元的跨國公司商店。Sansec研究人員發現,部分擴展程序早在2019年就被植入后門,但惡意代碼直到2025年4月才被激活。Sansec指出,在一次協同供應鏈攻擊中,多家供應商遭黑客攻擊,共發現21個應用程序含相同后門,該惡意軟件6年前被注入,本周隨攻擊者完全控制電子商務服務器而開始活躍。被入侵的擴展程序來自Tigren、Meetanshi和MGS三家供應商,具體包括Tigren Ajax套件、Tigren Ajax愿望清單、Meetanshi ImageClean、MGS品牌等多個擴展。此外,Sansec還發現了Weltpixel GoogleTagManager擴展的受損版本,但無法確認受損點。在所有觀察到的案例中,擴展程序均包含一個添加到許可證檢查文件中的PHP后門,該后門通過檢查特定HTTP請求參數來允許遠程用戶上傳新許可證并執行任意PHP代碼,可能導致數據盜竊、skimmer注入等嚴重后果。Sansec已聯系這三家供應商,但MGS未回應,Tigren否認漏洞并繼續傳播帶后門的擴展,Meetanshi承認服務器漏洞但未承認擴展入侵。


https://www.bleepingcomputer.com/news/security/magento-supply-chain-attack-compromises-hundreds-of-e-stores/


5. 惡意PyPi包利用Gmail及WebSockets竊密


5月1日,Socket威脅研究團隊近日發現了七個惡意PyPi包,這些包利用Gmail的SMTP服務器和WebSockets技術實施數據泄露和遠程命令執行攻擊。這些惡意包包括Coffin-Codes-Pro、Coffin-Codes-NET2、Coffin-Codes-NET、Coffin-Codes-2022、Coffin2022、Coffin-Grave及cfc-bsb,其中Coffin-Codes-2022的下載量高達18,100次,部分包甚至已在PyPI上存在四年之久。這些惡意包冒充合法的Coffin包,后者是用于將Jinja2模板集成到Django項目的輕量級適配器。惡意功能主要表現在通過Gmail進行隱蔽遠程訪問和數據泄露,利用硬編碼的Gmail憑證登錄SMTP服務器發送偵察信息,以允許攻擊者遠程訪問受感染系統。由于Gmail是可信服務,此類活動難以被防火墻和終端檢測與響應系統(EDR)標記為可疑。之后,植入程序通過WebSocket建立持久、加密的雙向隧道,允許攻擊者進行內部管理面板和API訪問、文件傳輸、電子郵件泄露、shell命令執行、憑證收集及橫向移動等操作。Socket指出,這些惡意包可能具有竊取加密貨幣的意圖,從使用的電子郵件地址及類似策略中可以看出。


https://www.bleepingcomputer.com/news/security/malicious-pypi-packages-abuse-gmail-websockets-to-hijack-systems/


6. TicketToCash數據庫配置錯誤致52萬客戶數據泄露


5月1日,網絡安全研究員Jeremiah Fowler近日發現,活動門票轉售平臺TicketToCash的一個配置錯誤、無密碼保護的200GB公開數據庫泄露了52萬名客戶的數據。該數據庫包含超過52萬條記錄,涉及客戶的個人身份信息(PII)及部分財務詳細信息。泄露的數據不僅包括姓名和電子郵件地址,還涵蓋了部分信用卡號、實際地址、票證副本以及包含PII的文件,如家庭住址和信用卡號等。數據庫名稱顯示其以多種數字格式保存客戶文件,如PDF、JPG、PNG和JSON等。Fowler查看文件時發現,其中包含大量音樂會和其他現場活動的門票、門票轉讓證明及付款收據截圖,部分文件還顯示了信用卡號、全名、電子郵件地址和家庭住址等敏感信息。盡管內部線索表明這些數據屬于TicketToCash,但該公司在收到通知后未做出初步回應,數據庫在第二次警報前一直處于暴露狀態,導致文件在四天內持續暴露。Fowler警告稱,這些信息若落入不法分子之手,可能被用于網絡釣魚、身份盜竊或制造和轉售假票等欺詐行為,且個人身份信息和財務信息的有效期可能長達數年,泄露后果嚴重。


https://hackread.com/ticket-resale-platform-tickettocash-exposed-user-data/

上一篇 下一篇