首頁 > 安全研究 > 安全通報 > 安全簡訊

APT28利用XSS漏洞對多郵件系統發動網絡間諜行動

發布時間 2025-05-16

1. APT28利用XSS漏洞對多郵件系統發動網絡間諜行動


5月15日,斯洛伐克網絡安全公司ESET最新研究發現,與俄羅斯有關聯的威脅組織針對Roundcube、Horde、MDaemon和Zimbra等主流郵件系統實施了名為“Operation RoundPress”的網絡間諜活動。此次行動核心目標是竊取特定郵箱賬戶的機密數據,主要受害者為東歐政府機構及軍工企業,同時非洲、歐洲和南美洲的政府部門也遭到攻擊。研究人員將其歸因于俄羅斯政府支持的黑客組織APT28,依據包括釣魚郵件發件地址重疊和服務器配置手法相似。攻擊者通過郵件系統的XSS漏洞在網頁郵箱界面執行任意JavaScript代碼。其中,MDaemon的XSS漏洞在攻擊初期為零日漏洞,雖后續已修復,但當時未修復。APT28通過電子郵件發送XSS漏洞利用程序,惡意代碼在瀏覽器運行的網頁郵箱客戶端中執行。漏洞利用成功后,名為SpyPress的混淆JavaScript有效載荷會竊取郵箱憑證、郵件內容和聯系人信息,部分變種還能創建Sieve規則,持續轉發新郵件至攻擊者郵箱。竊取的數據通過HTTP POST請求發送至C2服務器,某些變種還能捕獲登錄記錄、2FA代碼,甚至為MDAEMON創建應用密碼。


https://thehackernews.com/2025/05/russia-linked-apt28-exploited-mdaemon.html


2. Coinbase客戶數據泄露,預計損失達4億


5月15日,加密貨幣交易所Coinbase披露,網絡犯罪分子與惡意海外客服人員合作竊取了客戶數據,并索要2000萬美元贖金以不公開被盜信息。Coinbase拒絕支付贖金,但設立2000萬美元獎勵基金,以鼓勵提供有關攻擊者的線索。此前,黑客向Coinbase發送電子郵件威脅公布客戶賬戶和內部文件信息,Coinbase調查發現攻擊者在美國境外承包商或支持人員的幫助下獲取了客戶數據,這些人員受雇訪問內部系統,Coinbase發現后已解雇相關人員。盡管威脅行為者竊取了Coinbase約1%客戶的個人身份信息,但無法獲取客戶私鑰、密碼或訪問Coinbase Prime賬戶和錢包。被盜數據包括姓名、地址、電話、電子郵件、部分社會保障號、銀行賬號信息、政府身份證圖像、賬戶數據及有限的公司數據。Coinbase強調沒有密碼、私鑰或資金泄露,并將賠償被誘騙向攻擊者匯款的客戶。雖然財務影響仍在評估中,但Coinbase估計補救和客戶補償費用將在1.8億美元至4億美元之間。為防止未來違規行為,Coinbase計劃開設新的支持中心補償受影響客戶,并增加對內部威脅檢測、安全威脅模擬和自動響應的投資。


https://www.bleepingcomputer.com/news/security/coinbase-discloses-breach-faces-up-to-400-million-in-losses/


3. 惡意NPM包使用Unicode隱寫術來逃避檢測


5月15日,代碼安全評估公司Veracode發現,Node包管理器索引中存在名為“os-info-checker-es6”的惡意軟件包,該包自本月初以來已被下載超過1000次。該軟件包最初版本于3月19日上傳至NPM,最初功能僅是收集操作系統信息,看似無害。然而,幾天后,作者對軟件包進行了修改,添加了特定于平臺的二進制文件和混淆的安裝腳本。5月7日,該軟件包發布新版本,其中包含用于傳遞最終有效載荷的復雜C2(命令和控制)機制代碼。Veracode警告稱,當前npm上可用的最新版本v1.0.8為惡意版本。此外,該軟件包還被列為其他四個NPM軟件包的依賴項,但目前尚不清楚這些軟件包是否或如何被威脅行為者推廣。在惡意版本中,攻擊者利用Unicode隱寫術,將數據嵌入看似“|”的字符串中,而豎線后隱藏了一長串不可見的Unicode字符,這些字符用于促進基于文本的隱寫術。Veracode通過解碼和反混淆字符串,找到了復雜C2機制的有效載荷,該機制依賴Google日歷短鏈接到達托管最終有效載荷的位置。研究人員解釋了從獲取Google日歷鏈接到最終解碼獲取惡意軟件有效載荷的整個過程,并指出最終有效載荷可能經過加密。


https://www.bleepingcomputer.com/news/security/malicious-npm-package-uses-unicode-steganography-to-evade-detection/


4. 印第安納州政府警告:警惕假冒官方郵件的通行費詐騙


5月13日,印第安納州政府機構于周二向居民發出警告,要求刪除使用州政府官方電子郵件地址發送的虛假電子郵件。這些釣魚郵件來自多個州政府部門,包括兒童服務部、賽馬委員會等,它們欺騙性地告知收件人存在未繳納的通行費,并威脅若不繳納將面臨經濟處罰或車輛登記被扣留。郵件結尾常以“謝謝您,TxTag 客服”作為署名,并包含疑似惡意網站的鏈接。印第安納州國土安全部通過技術辦公室在X平臺發布消息,提醒公眾警惕此類詐騙。聲明指出,州政府不會通過短信或電子郵件發送未繳通行費通知,并表示技術辦公室正與涉事公司合作,以阻止任何進一步的通信。據了解,州政府于去年年底終止了與一家未具名供應商的合同,但未刪除該州的賬戶。此次事件中,一名承包商的賬戶遭到黑客攻擊,并被用于發送這些虛假信息,而州系統并未發現入侵跡象。電子郵件截圖顯示,這些信息是通過丹佛軟件公司Granicus的軟件GovDelivery Communications Cloud分發的。Granicus發言人Sharon Rushen表示,該事件并未蔓延至其自身平臺,系統是安全的。她指出,問題源于管理員用戶賬戶被入侵,可能是通過猜測憑證或社交工程手段獲取。


https://statescoop.com/indiana-phishing-attack-contractor-hacked/


5. FrigidStealer通過虛假瀏覽器更新攻擊macOS用戶


5月15日,FrigidStealer惡意軟件正通過虛假瀏覽器更新提示攻擊macOS用戶,該變種于2025年2月首次被發現,并已波及北美、歐洲和亞洲的用戶。此惡意軟件隸屬于Ferret惡意軟件家族,與TA2726和TA2727病毒有關,兩者均以利用虛假瀏覽器更新為攻擊手段而著稱。該惡意軟件偽裝成Safari更新的磁盤映像文件(DMG),誘騙用戶下載并安裝。安裝過程中,它會提示用戶輸入密碼,從而繞過Apple的Gatekeeper保護機制,并借助內置的AppleScript功能執行惡意操作。安裝后,它會偽裝成一個帶有特定bundle ID的惡意應用,與合法應用混淆視聽。一旦激活,FrigidStealer便開始收集用戶的敏感數據,包括瀏覽器憑證、系統文件、加密貨幣錢包信息及Apple Notes等,并通過macOS的mDNSResponder路由的DNS查詢,將這些數據泄露到命令與控制服務器。竊取數據后,該惡意軟件會自我終止,以降低被發現的風險。據開源網絡安全公司Wazuh披露,FrigidStealer并不依賴傳統的漏洞利用工具包或漏洞,而是利用用戶對系統通知和瀏覽器更新提示的信任進行攻擊,這使得它更為危險且有效。此外,該惡意軟件還利用macOS特有的行為來保持持久性,通過注冊為前臺應用程序等方式與系統交互,并在執行后刪除自身痕跡,以保持隱藏。


https://hackread.com/frigidstealer-malware-macos-fake-safari-browser-update/


6. 招聘平臺HireClick570萬份簡歷遭泄露


5月15日,Cybernews研究人員近日發現一起大規模數據泄露事件,根源指向面向中小型企業的招聘平臺HireClick。由于亞馬遜AWS S3存儲桶配置錯誤,該平臺超過570萬份文件被暴露在互聯網上,其中主要是求職者的簡歷,這些文件泄露了求職者的全名、家庭住址、電子郵件地址、電話號碼及就業信息等敏感和私人數據。此次數據泄露對HireClick客戶的影響深遠。泄露的數據一旦落入不法分子之手,可能被用于身份盜竊、冒充、網絡釣魚等多種詐騙活動。攻擊者可能假扮招聘經理,利用泄露的信息誘騙求職者提供身份證掃描件、社會安全號碼甚至銀行信息,或通過電話誘騙求職者透露銀行信息或安裝惡意軟件。此外,詐騙者還可利用泄露的簡歷創建虛假身份進行就業驗證詐騙,甚至冒充求職者進入工作場所系統。這種數據泄露行為的風險不僅限于數據盜竊本身,還可能引發網絡人肉搜索,即惡意曝光私人信息以騷擾或恐嚇他人。攻擊者掌握了受害者的全名、電子郵件、電話號碼和實際地址,就能輕易鎖定并騷擾受害者。


https://cybernews.com/security/hireclick-resume-database-data-leak/

上一篇 下一篇