首頁 > 安全研究 > 安全通報 > 安全簡訊

黑客竊取GlobalX Air驅逐航班數據

發布時間 2025-05-07

1. 黑客竊取GlobalX Air驅逐航班數據


5月6日,據404 Media消息,黑客將目標鎖定在特朗普政府用于驅逐出境的主要航空公司之一GlobalX Air,竊取了其所有航班(含驅逐出境航班)的飛行記錄與乘客名單。GlobalX是一家包機公司,曾協助將數百名委內瑞拉人驅逐至薩爾瓦多。黑客主動聯系404 Media及其他記者,稱這些數據可提供GlobalX航班上被驅逐出境人員的詳細信息,包括具體人員、時間及目的地。GlobalX網站出現一條污損信息,落款為“匿名者”,該組織以使用蓋伊·??怂姑婢呗劽?,是一些黑客進行所謂“黑客行動主義”的保護傘。信息中指責目標無視合法命令,決定執行法官的命令。黑客表示,竊取的數據涵蓋航班記錄與乘客名單,并向404 Media發送了數據副本。這些數據按1月19日至5月1日期間每日日期分類存放在文件夾中。為驗證數據的真實性,404 Media將來自官方可靠來源的ICE驅逐航班已知信息,與黑客獲取的航班乘客名單及航班詳情進行了交叉核對。結果顯示,黑客獲取的數據中確實包含相關航班信息,例如基爾馬·阿布雷戈·加西亞的航班信息。


https://www.404media.co/email/fe8ce8ec-6dad-464a-8022-84e93b909397/


2. PoC發布后三星MagicINFO漏洞遭利用


5月6日,研究人員發現,在概念驗證(PoC)漏洞代碼公開發布幾天后,威脅行為者便開始利用三星MagicINFO內容管理系統(CMS)中的高嚴重性漏洞CVE-2024-7399(CVSS評分8.8)。該漏洞存在于三星MagicINFO 9 Server 21.1050之前版本,是路徑名限制到受限目錄的缺陷,攻擊者可借此以系統權限寫入任意文件。報告顯示,截至2025年5月初,已觀察到該漏洞在三星MagicINFO 9服務器中被廣泛利用。此漏洞允許未經身份驗證的用戶寫入任意文件,若用于編寫特制的JavaServer Pages(JSP)文件,最終可能導致遠程代碼執行。CVE-2024-7399本質是三星MagicINFO 9 Server輸入驗證的缺陷,能讓未經身份驗證的攻擊者上傳JSP文件并以系統級訪問權限執行代碼。三星于2024年8月首次披露該漏洞,發布MagicINFO 9 Server版本21.1050修復此漏洞,當時并無利用跡象,但2025年4月30日PoC發布幾天后,威脅行為者就開始利用。鑒于該漏洞利用難度低且PoC已公開,專家認為此類攻擊可能持續。


https://securityaffairs.com/177529/hacking/samsung-magicinfo-vulnerability-exploited-after-poc-publication.html


3. Langflow漏洞CVE-2025-3248被積極利用


5月6日,美國網絡安全和基礎設施安全局(CISA)將Langflow遠程代碼執行漏洞(CVE-2025-3248)標記為積極利用狀態,敦促各組織盡快應用安全更新和緩解措施。此漏洞為嚴重未經身份驗證的遠程代碼執行(RCE)漏洞,能讓互聯網上的攻擊者利用API端點漏洞完全控制易受攻擊的Langflow服務器。Langflow是一款開源可視化編程工具,在GitHub上擁有近6萬個star和6.3萬個fork,在人工智能開發、研究和初創領域應用廣泛。其公開的用于驗證用戶提交代碼的端點存在安全缺陷,漏洞版本中無法安全地對輸入進行沙盒處理或過濾,攻擊者可借此發送惡意代碼并在服務器上直接執行。該漏洞已在2025年4月1日發布的1.3.0版本中修復,補丁僅為易受攻擊的端點添加了身份驗證。最新版本1.4.0已發布,包含大量修復,建議用戶升級。Horizon3研究人員發布相關技術博客并警告,該漏洞被利用的可能性很高,當時已發現至少500個暴露在互聯網上的實例。對于無法立即升級的用戶,建議通過防火墻、反向代理或VPN限制Langflow的網絡訪問,且不建議直接將其暴露在互聯網上。CISA要求聯邦機構在2025年5月26日前采取行動,否則停止使用該軟件。


https://www.bleepingcomputer.com/news/security/critical-langflow-rce-flaw-exploited-to-hack-ai-app-servers/


4. GitHub惡意Go模塊隱藏Linux Wiper惡意軟件


5月6日,近期,針對Linux服務器的供應鏈攻擊被曝光,攻擊者在GitHub上發布的Golang模塊中隱藏了磁盤擦除惡意軟件。該活動于上個月被發現,依賴三個包含“高度混淆代碼”的惡意Go模塊來檢索并執行遠程有效載荷。此次攻擊顯然是專門針對基于Linux的服務器和開發環境設計的,其破壞性負載為一個名為done.sh的Bash腳本,該腳本會運行“dd”命令進行文件擦除活動。在執行前,有效載荷會驗證其是否在Linux環境中運行。據供應鏈安全公司Socket分析,該命令會用零覆蓋每個數據字節,導致不可逆轉的數據丟失和系統故障,目標是保存關鍵系統數據、用戶文件、數據庫和配置的主存儲卷/dev/sda。研究人員于4月份發現了此次攻擊,并在GitHub上發現了三個現已被刪除的惡意Go模塊。這些模塊均包含混淆代碼,解碼后會使用“wget”下載并立即執行惡意數據擦除腳本,幾乎沒有給受害者留下響應或恢復的時間。惡意Go模塊似乎冒充了合法項目,如用于消息數據轉換的Prototransform、模型上下文協議的Go實現go-mcp以及為TCP和HTTP服務器提供加密的TLS代理工具tlsproxy。Socket研究人員警告稱,即使僅最小程度地暴露于這些破壞性模塊,也可能導致數據完全丟失等嚴重后果。


https://www.bleepingcomputer.com/news/security/linux-wiper-malware-hidden-in-malicious-go-modules-on-github/


5. 假冒SSA郵件分發ScreenConnect RAT入侵用戶設備


5月6日,網絡安全專家發現,犯罪分子利用美國社會保障局(SSA)名義,誘騙用戶安裝名為ScreenConnect的危險遠程訪問木馬(RAT)。一旦安裝,攻擊者便可遠程控制電腦,竊取個人信息并安裝更多有害軟件。Malwarebytes研究人員首先注意到這些虛假郵件,它們以“社保聲明現已可用”為由,敦促用戶下載附件或點擊鏈接查看。這些郵件設計逼真,難以辨別真偽,郵件中的鏈接或附件會引導用戶下載用于安裝ScreenConnect客戶端的文件,文件有時會被賦予誤導性名稱,如“ReceiptApirl2025Pdfc.exe”等。ScreenConnect本是企業IT支持工具,但落入犯罪分子手中則變得危險,他們可通過其控制計算機,竊取敏感數據,幕后黑手Molatori集團主要目的是進行金融詐騙。Cofense安全專家也報告了類似冒充SSA的網絡釣魚活動,這些郵件通常聲稱提供福利聲明,使用不匹配鏈接或隱藏惡意鏈接。Cofense指出,這些虛假郵件旨在安裝ConnectWise RAT,即合法軟件ConnectWise Control(原ScreenConnect)的受感染版本。


https://hackread.com/fake-ssa-emails-trick-users-installing-screenconnect-rat/


6. 德克薩斯州學區向超47,000名人員通報數據泄露事件


5月7日,德克薩斯州阿爾文獨立學區(AISD)發生一起嚴重數據泄露事件,致使47606人的敏感個人信息被竊。該學區確認漏洞出現在2024年6月,并于本周末開始通知受影響人員。泄露數據涵蓋姓名、社會安全號碼、州政府簽發證件、信用卡/借記卡信息、金融賬戶號碼、醫療數據及健康保險信息等。德克薩斯州總檢察長辦公室于2025年5月2日通報了這一事件。勒索軟件團伙Fog在2024年7月宣稱對此次攻擊負責,稱從AISD竊取了60GB數據,并將學區名稱公布在其數據泄露網站上,以此向受害者施壓索要贖金。Fog自2024年7月開始公布攻擊活動,AISD是其首批受害者之一。此后,該團伙宣稱實施了20起已確認的勒索軟件攻擊(其中12起針對教育機構)及157起未確認事件,其活動跡象于2025年4月停止。該團伙以加密文件和竊取數據為手段,常瞄準開發環境,攻擊范圍不局限于學校。


https://www.infosecurity-magazine.com/news/texas-school-47000-people-data/

上一篇 下一篇