首頁 > 安全研究 > 安全通報 > 安全簡訊

培生集團遭網絡攻擊,導致公司和客戶數據泄露

發布時間 2025-05-09

1. 培生集團遭網絡攻擊,導致公司和客戶數據泄露


5月8日,教育巨頭培生集團遭受網絡攻擊,威脅行為者竊取了公司數據和客戶信息。培生集團總部位于英國,是全球最大的學術出版、數字學習工具和標準化評估提供商之一。培生集團發表聲明承認遭受網絡攻擊,數據被盜,但稱大部分為“遺留數據”。培生代表證實,有未經授權的行為者訪問了其部分系統,一旦確認該活動,培生立即采取措施阻止,并與取證專家合作調查事件經過及受影響數據,還協助執法部門開展調查,同時已在系統中部署額外安全措施,包括增強安全監控和身份驗證。培生還證實被盜數據不包含員工信息。此前有消息稱,威脅行為者于2025年1月通過在公共.git/config文件中發現的暴露的GitLab個人訪問令牌破壞了培生的開發環境,該文件若誤暴露且包含嵌入在遠程URL中的訪問令牌,攻擊者可能未經授權訪問內部存儲庫。在針對培生的攻擊中,暴露的令牌使威脅行為者訪問了公司源代碼,其中包含用于云平臺的進一步硬編碼憑據和身份驗證令牌,隨后威脅行為者使用這些憑證從公司內部網絡和云基礎設施中竊取了數TB數據,包括AWS、Google Cloud及各種基于云的數據庫服務數據,被盜數據包含客戶信息、財務信息等,數百萬人受影響。


https://www.bleepingcomputer.com/news/security/education-giant-pearson-hit-by-cyberattack-exposing-customer-data/


2. PyPI驚現惡意包針對Discord開發者系統


5月8日,Python軟件包索引(PyPI)上驚現針對Discord開發人員的惡意Python軟件包“discordpydebug”。該軟件包偽裝成Discord機器人開發人員的錯誤記錄器實用程序,自2022年3月21日上傳以來,已被下載超過11000次。網絡安全公司Socket最先發現這一惡意軟件,并指出其可用于對Discord開發人員的系統進行后門攻擊,為攻擊者提供數據盜竊和遠程代碼執行功能。研究人員表示,該軟件包主要針對構建或維護Discord機器人的開發人員,這些開發人員可能會在未經廣泛審查的情況下安裝此類工具。由于PyPI不會對上傳的軟件包進行深度安全審核,攻擊者常利用這一點,通過誤導性描述、合法名稱或復制流行項目代碼來使惡意軟件包顯得可信。一旦安裝,惡意軟件包便會將設備轉變為遠程控制系統,執行攻擊者控制的命令和控制(C2)服務器發送的指令。攻擊者可通過該惡意軟件獲取憑證等敏感信息的未經授權訪問權限,竊取數據、監視系統活動、遠程執行代碼,并獲取有助于在網絡中橫向移動的信息。該惡意軟件雖缺乏持久性或權限提升機制,但使用出站HTTP輪詢可繞過防火墻和安全軟件。安裝后,它會靜默連接到攻擊者控制的C2服務器。此外,該惡意軟件還具備通過特定關鍵字觸發來讀取和寫入主機上文件的功能。


https://www.bleepingcomputer.com/news/security/malicious-pypi-package-hides-rat-malware-targets-discord-devs-since-2022/


3. 勒索軟件利用合法Kickidler軟件實施攻擊并竊密


5月8日,勒索軟件分支機構Qilin和Hunters International利用合法員工監控軟件Kickidler展開攻擊活動。在Varonis和Synacktiv觀察到的攻擊中,攻擊者通過植入Google廣告,誘導用戶點擊后跳轉至偽造的RVTools網站,從而下載并運行被木馬感染的程序。該程序作為惡意軟件加載器,下載并運行SMOKEDHAM PowerShell .NET后門,進而在設備上部署Kickidler。Kickidler可捕獲擊鍵、截取屏幕截圖和創建屏幕視頻,攻擊者借此監視企業管理員的活動,獲取特權憑證。攻擊者可能已秘密訪問受害者系統數天甚至數周,以收集訪問異地云備份所需的憑證。Kickidler通過捕獲管理員工作站的按鍵和網頁,使攻擊者能夠識別異地云備份并獲取密碼,無需采用高風險策略。勒索軟件運營商在恢復惡意活動后,部署針對受害者VMware ESXi基礎架構的有效載荷,加密VMDK虛擬硬盤驅動器,造成嚴重破壞。Hunters International使用的部署腳本利用VMware PowerCLI和WinSCP Automation來執行相關操作。此外,勒索軟件團伙多年來一直在濫用合法的遠程監控和管理(RMM)軟件。


https://www.bleepingcomputer.com/news/security/kickidler-employee-monitoring-software-abused-in-ransomware-attacks/


4. 俄政府支持ColdRiver組織利用LostKeys惡意軟件竊密


5月8日,自今年年初起,俄羅斯政府支持的ColdRiver黑客組織持續利用新型LostKeys惡意軟件,對西方政府、記者、智庫及非政府組織發動間諜攻擊以竊取文件。12月,英國和五眼聯盟確認該組織與俄羅斯聯邦安全局(FSB)存在關聯。谷歌威脅情報小組(GTIG)于1月首次發現LostKeys被高度選擇性地部署,作為ClickFix社會工程攻擊的一部分,攻擊者誘騙目標運行惡意PowerShell腳本,進而下載并執行額外PowerShell負載,最終部署被追蹤為LostKeys的Visual Basic Script(VBS)數據竊取惡意軟件。GTIG指出,LOSTKEYS能從硬編碼的擴展名和目錄列表中竊取文件,并向攻擊者發送系統信息和正在運行的進程。ColdRiver慣常竊取憑證以竊取目標電子郵件和聯系人,若需訪問目標系統文檔,還會部署SPICA惡意軟件進行選擇性獲取。LOSTKEYS設計目的與ColdRiver類似,且僅在特定情況下部署。ColdRiver自2017年起便利用社會工程學和開源情報技能研究和引誘目標。


https://www.bleepingcomputer.com/news/security/google-links-new-lostkeys-data-theft-malware-to-russian-cyberspies/


5. 美多部門警報油氣行業ICS/SCADA系統面臨網絡攻擊威脅


5月7日,美國網絡安全局(CISA)、聯邦調查局(FBI)、環境保護局(EPA)和能源部(DoE)于周二聯合發布警報,就針對美國石油和天然氣行業的網絡攻擊發出警告。政府機構指出,這些攻擊雖采用基本入侵技術,但關鍵基礎設施組織網絡安全衛生狀況不佳,可能導致服務中斷甚至物理損壞。CISA強調,一些技術不太復雜的網絡行為者正瞄準美國關鍵基礎設施部門(尤其是能源和交通系統)的工業控制系統/監控與數據采集系統(ICS/SCADA)發動攻擊。這些威脅行為者很可能是黑客行動主義團體或自稱黑客行動主義者的黑客,近年來他們已多次針對暴露在互聯網上且未受保護或使用默認密碼的SCADA及其他ICS系統發動攻擊。工業網絡安全專家警告稱,盡管黑客的許多說法被夸大,但這些攻擊仍可能產生重大影響。為應對這些威脅,CISA、FBI、EPA和DoE敦促關鍵基礎設施組織立即采取行動,改善網絡安全態勢。具體措施包括確保運營技術(OT)系統無法直接從互聯網訪問,通過虛擬專用網絡(VPN)、強密碼和防釣魚多因素身份驗證(MFA)安全地遠程訪問它們,識別并更改默認密碼,對關鍵系統實施網絡分段,并確保能夠手動操作OT系統。此外,建議組織與相關實體合作,識別并解決可能存在的配置錯誤。


https://www.securityweek.com/us-warns-of-hackers-targeting-ics-scada-at-oil-and-gas-organizations/


6. iOS游戲近50萬用戶數據泄露且硬編碼秘密遭曝光


5月8日,iOS游戲“Cats Tower:The Cat Game!”存在嚴重數據泄露問題,致使近50萬用戶面臨黑客攻擊風險。Cybernews研究人員發現,該游戲泄露了玩家的IP地址、用戶名、Facebook用戶ID及訪問令牌等敏感信息。這些泄露的數據可能被黑客用于追蹤用戶在線活動、劫持Facebook賬戶,甚至精確定位用戶位置。盡管IP地址并非GPS坐標,但結合其他數據仍可提供較精確的位置信息。此外,由于Firebase配置錯誤,該應用還泄露了超過45萬用戶的IP地址和用戶名,以及229個Facebook用戶ID和訪問令牌對。更嚴重的是,該應用代碼庫中還充斥著不應被公開的敏感信息,如客戶端ID、API密鑰、項目ID等,這些硬編碼的秘密一旦被掌握,威脅行為者就能繪制出應用程序的整個后端基礎設施,濫用其服務收集更多用戶數據,甚至直接通過應用基礎設施發送垃圾郵件,從而將其武器化。此次泄密事件是Cybernews調查的一部分,研究人員分析了約8%的App Store應用,發現71%的受分析應用至少泄露了一個機密信息,平均每個應用泄露5.2個。某些案例中,熱門約會應用泄露了用戶照片,家庭追蹤應用泄露了實時GPS坐標,垃圾郵件攔截器則泄露了被攔截的號碼等敏感信息。


https://cybernews.com/security/cats-tower-iphone-data-leak/

上一篇 下一篇