黑客在热门黑客论坛上声称壳牌数据遭到泄露
发布时间 2024-05-315月30日,令人震惊的是,一名威胁行为者涉嫌泄露了世界领先能源公司之一壳牌的敏感数据。根据 Data Web Informer 的推文,2024 年 5 月的数据被发布在一个流行的黑客论坛上,引发了人们对网络安全和数据隐私的严重担忧。据报道,泄露的信息包括大量个人信息和敏感数据。泄露的数据包括:购物者代码、名字、姓氏、状态、购物者电子邮件、联系手机、邮政编码、花蜜、郊区、州、站点地址、郊区 1、国家、站点名称、上次登录、付款和协会编号。此次泄密事件可能会对壳牌及其客户造成严重影响。泄露如此详细的个人信息可能会导致身份盗窃、金融欺诈和其他恶意活动。建议客户密切监控他们的账户并立即报告可疑活动。截至目前,壳牌尚未就此次泄密事件发表官方声明。不过,该公司预计将启动内部调查,并与网络安全专家合作,评估违规的程度并减轻任何潜在损害。
https://gbhackers.com/claiming-shell-data-breach/
2. Ticketmaster遭黑客攻击,超过5 亿用户数据信息泄露
5月30日,据报道,本周正在调查的一起网络事件中,超过 5 亿 Ticketmaster 用户的个人和信用卡数据遭到泄露。据报道,澳大利亚当局正在与 Live Nation 和 Ticketmaster 合作解决此事件,但截至周三上午,披露的细节有限。据该新闻媒体报道,澳大利亚内政部告诉 ABC,他们正在与 Ticketmaster 合作了解此事。Ticketmaster 或其母公司尚未就此事发表任何声明。黑客组织 ShinyHunters 声称已破解 Ticketmaster 系统并获取了约 1.3 TB 的数据,其中包括姓名、地址、信用卡号、电话号码和付款详细信息。据说这些信息在暗网上出售,要价 50 万美元。早期报告显示,用户数据涉及全球 5.6 亿客户,但尚不清楚哪些市场受到影响(或受影响的消费者中有多少来自哪些市场)。显然,考虑到涉及的高度敏感数据,任何受影响的消费者的风险都非常高。
https://www.ticketnews.com/2024/05/ticketmaster-hack-data-of-half-a-billion-users-up-for-ransom/
3. XWorm v5.6 恶意软件通过 Webhards 进行传播
5月30日,安实验室安全情报中心(ASEC)在监控韩国恶意软件的传播源时,最近发现伪装成成人游戏的XWorm v5.6恶意软件正在通过网络硬盘进行传播。网络硬盘和种子是韩国恶意软件传播的常用平台。攻击者通常使用容易获得的恶意软件,例如 njRAT 和 UDP RAT,并将其伪装成包括游戏或成人内容在内的正常程序进行分发。XWorm v5.6 也可以从 GitHub 等平台轻松获取。下载并解压游戏文件后,会得到 Start.exe。虽然看起来像是合法的游戏启动器文件,但执行游戏的 .exe 文件是单独生成并运行的,并且伪装成 SoundP2.muc 的加载程序恶意软件也会被执行。执行 Start.exe 不会立即运行恶意软件或游戏;它们会在您按下“开始游戏!”按钮时执行。这种策略似乎是为了绕过沙盒模式。SoundP2.muc 也被复制并粘贴到 Windows 文件夹中,并添加到注册表中以便自动执行。
https://asec.ahnlab.com/en/66099/
4. PyPI恶意软件Pytoileur窃取加密货币并绕过检测
5月31日,网络安全研究人员发现了 Python 软件包索引(PyPI)上的恶意软件包pytoileur。该软件包伪装成用 Python 编写的 API 管理工具,隐藏了下载和安装木马 Windows 二进制文件的代码。这些二进制文件能够进行监视、实现持久性并窃取加密货币。该软件包被 Sonatype 的自动恶意软件检测系统发现,并在被标记后迅速被删除。pytoileur 软件包在被移除前已被下载 264 次,它使用了欺骗性技术来避免被检测到。它的元数据将其描述为“酷炫软件包”,使用一种策略,即给软件包贴上吸引人的模糊描述标签,以诱使开发人员下载它们。Sonatype 今天发布的一份咨询报告中描述了进一步的检查,发现软件包安装文件中隐藏着大量空格所掩盖的代码。该代码执行了一个 base64 编码的有效负载,该负载从外部服务器检索了恶意可执行文件。下载的二进制文件“Runtime.exe”利用 PowerShell 和 VBScript 命令进行自我安装,确保在受感染的系统中持久存在。它采用各种反检测措施来逃避安全研究人员的分析。
https://www.infosecurity-magazine.com/news/pypi-malware-pytoileur-steals/
5. 巴西银行成为 AllaKore RAT 新变种 AllaSenha 的目标
5月29日,巴西银行机构成为新活动的目标,该活动分发基于 Windows 的AllaKore远程访问木马 (RAT)的定制变种AllaSenha。法国网络安全公司 HarfangLab在一份技术分析中表示,该恶意软件“专门用于窃取访问巴西银行账户所需的凭证,并利用 Azure 云作为命令和控制 (C2) 基础设施”。此次攻击的目标包括巴西银行、Bradesco、萨夫拉银行、Caixa Econômica Federal、Itaú Unibanco、Sicoob 和 Sicredi 等银行。虽然尚未得到明确证实,但最初的访问载体指向了钓鱼邮件中使用恶意链接。攻击的起点是一个恶意的 Windows 快捷方式 (LNK) 文件,该文件伪装成 PDF 文档(“NotaFiscal.pdf.lnk”),至少自 2024 年 3 月起托管在 WebDAV 服务器上。还有证据表明,该活动背后的威胁行为者之前曾滥用 Autodesk A360 Drive 和 GitHub 等合法服务来托管有效负载。
https://thehackernews.com/2024/05/brazilian-banks-targeted-by-new.html
6. 利用Dora RAT针对韩国企业(Andariel Group)的APT攻击
5月30日,AhnLab 安全情报中心 (ASEC) 最近发现了针对韩国公司和机构的 Andariel APT 攻击案例。目标组织包括韩国的教育机构以及制造和建筑企业。攻击使用了后门上的键盘记录器、信息窃取程序和代理工具。威胁行为者可能使用这些恶意软件来控制和窃取受感染系统的数据。此次攻击使用了 Andariel 集团过去案例中发现的恶意软件,其中最引人注目的是 Nestdoor,这是本文中提到的后门。其他案例包括添加 Web Shell。Lazarus 集团先前攻击中发现的代理工具也被使用,尽管它们的文件与当前案例并不相同。在攻击过程中的众多证据中,一个实际被证实的案例涉及使用运行 Apache Tomcat 服务器的 Web 服务器分发恶意软件。由于有问题的系统运行的是 2013 版 Apache Tomcat,因此容易受到各种漏洞攻击。威胁行为者使用该 Web 服务器安装后门、代理工具等。
https://asec.ahnlab.com/en/66088/
京公网安备11010802024551号