黑客泄露俄罗斯社交网络VK 3.9亿用户数据
发布时间 2024-09-049月3日,黑客“HikkI-Chan”在非法黑客论坛Breach Forums上公开了惊人的3.9亿VK用户数据。VK作为俄罗斯及东欧地区广受欢迎的社交媒体平台,其用户个人信息包括城市、国家、全名、个人资料图片URL等敏感内容不幸被泄露,总量高达390,425,719条记录,数据规模超过27GB。值得注意的是,尽管此次泄露的信息量巨大,但并未包含用户的电话号码或密码,减轻了直接安全威胁。然而,用户全名、城市及国家等信息的暴露仍可能引发一系列风险,尤其是考虑到这些信息为俄语,虽可能限制非俄语威胁者的直接利用,但隐患仍不容忽视。黑客“HikkI-Chan”声称此次并非直接入侵VK服务器,而是一次所谓的“二阶”入侵,即利用从其他第三方渠道非法获取的数据来间接获取VK用户信息。VK并非首次遭遇数据泄露危机,早在2016年,就有报道指出该平台的用户账户曾在暗网上被出售。
https://hackread.com/hacker-leaks-data-of-vk-users-russian-social-network/
2. 披萨连锁店频遭网络钓鱼诈骗,窃取信用卡数据
9月2日,全球范围内,特别是加拿大,多家知名披萨连锁店正遭受网络钓鱼诈骗的侵袭,诈骗者利用域名欺骗、网络钓鱼及生成式人工智能等手段,创建高度仿真的恶意网站,窃取顾客信用卡信息,造成重大经济损失。这场自2023年便开始的诈骗活动,通过模仿合法披萨外卖网站的订单页面,诱导用户输入个人信息及一次性密码,进而盗取信用卡数据。除新加坡的Domino's Pizza外,加拿大本土的披萨厨师、比萨比萨、波士顿披萨等知名品牌亦未能幸免。诈骗者通过付费搜索引擎广告提升恶意域名曝光度,利用拼写错误、同形异义词等技巧误导用户,并通过不断注册新域名、更新现有域名及更换IP地址来逃避检测。此类攻击不仅技术复杂,且范围广泛,对全球披萨行业构成严重威胁。为了防范此类网络钓鱼诈骗,顾客需提高警惕,仔细检查域名中的异常信号,关注注册日期,启用多因素身份验证,并及时向执法部门报告可疑交易。
https://hackread.com/phishing-scam-canadian-pizza-chains-credit-card-data/
3. CISA紧急敦促修补Draytek路由器与金山WPS Office安全漏洞
9月3日,网络安全和基础设施安全局(CISA)紧急发布了关于三个正被积极利用的严重漏洞的警示,敦促全球组织尤其是联邦机构迅速应对。其中,Draytek VigorConnect 路由器暴露的 CVE-2021-20123 和 CVE-2021-20124 漏洞,让未授权攻击者能轻易访问敏感文件,构成数据泄露及系统入侵的重大威胁。另一项高风险漏洞 CVE-2024-7262 聚焦于金山WPS Office,这款在东亚地区广泛使用的办公套件,因存在严重的路径遍历问题(CVSS 评分高达9.8),成为韩国关联网络间谍组织APT-C-60的攻击目标。利用此零日漏洞,APT-C-60部署了SpyGlace后门,此漏洞的核心在于对用户文件路径验证的疏忽,使得攻击者能上传并执行任意Windows库,实现远程代码执行,全面控制受害系统,并长期窃取数据。为应对这一紧迫形势,CISA已要求联邦民事行政部门在2024年9月24日前完成漏洞修补。
https://securityonline.info/cisa-issues-alert-three-actively-exploited-vulnerabilities-demand-immediate-attention/
4. Head Mare黑客组织针对俄白发动网络攻击与勒索
9月3日,Head Mare黑客组织自2023年起活跃,专门针对俄罗斯和白俄罗斯的组织发动网络攻击。该组织采用先进策略,如利用WinRAR中的CVE-2023-38831漏洞执行恶意代码,以增强其攻击隐蔽性和效率。Head Mare不仅泄露受害者敏感信息,还通过LockBit(针对Windows)和Babuk(针对Linux)加密设备,索要赎金。其工具包包含PhantomDL和PhantomCore等定制后门,用于上传文件和执行命令,伪装成微软更新任务以混淆视听。此外,该组织还利用Sliver等开源C2框架及多种公开工具进行横向移动和凭证收集。攻击通常以网络钓鱼邮件携带双扩展名文档为开端,最终部署勒索软件并留下赎金要求。卡巴斯基指出,Head Mare的战术、技术和程序与俄乌冲突背景下其他针对俄白两国的黑客组织相似,但其特色在于使用定制恶意软件和最新漏洞,展现了高度的专业性和针对性。
https://thehackernews.com/2024/09/hacktivists-exploits-winrar.html
5. Booking.com遭遇复杂网络钓鱼攻击
9月3日,OSINTMATTER最新报告揭示了针对Booking.com的复杂网络钓鱼活动,其策略包括多阶段入侵,从酒店经理账户到直接欺骗客户。攻击者利用仿冒域名“extraknet-booking.com”诱骗用户进入外观逼真的虚假网站,旨在窃取敏感信息,包括登录凭据、个人数据和财务详细信息。该网站通过JavaScript混淆技术隐藏恶意代码,并可能与Ninja Trojan等恶意软件相关联。此外,攻击者还利用STUN绑定请求隐藏恶意流量,并通过动态伪装技术根据用户特征展示不同内容,以逃避检测。特别值得注意的是,攻击网络中的iFrame连接至一个中心枢纽,集中控制并扩大钓鱼范围。此次攻击凸显了网络钓鱼手段的日益复杂与隐蔽,对旅游业安全构成严重威胁,警示用户和企业需加强警惕,独立验证网站合法性,防范个人信息泄露。
https://securityonline.info/travelers-targeted-booking-com-phishing-scam-unveiled/
6. 卡巴斯基揭露:ICMP后门攻击再现,疑似ToddyCat APT手法
9月3日,卡巴斯基全球应急响应小组(GERT)的网络安全专家揭露了一种复杂的网络攻击,其手法与知名APT组织ToddyCat的策略高度相似。此次攻击针对客户域控制器和Exchange服务器,利用包括Microsoft Exchange远程代码执行漏洞(CVE-2021-26855)及已修补的IKEEXT服务旧漏洞在内的多种安全漏洞,成功获取初始访问权并构建持久性。攻击者尤为狡猾地重用了与wlbsctrl.dll库相关的旧漏洞,通过替换system32目录下的该库文件,使IKEEXT服务每次调用时均执行后门代码,无需更改常规启动配置。进一步地,他们利用SMB协议设置自定义防火墙规则,让恶意dllhost.exe监听特定端口,实现网络中的横向移动,悄无声息地扩展攻击范围。尤为关键的是,攻击者部署了一个ICMP后门,通过该后门以加载程序形式运行,执行复杂操作以维持隐蔽性。该后门首先检查互斥锁以避免重复运行,随后解密并执行存储在Windows注册表中的有效负载,这些负载以“CAFEBABE”为标识,利用ICMP套接字接收并执行来自攻击者的指令,从而在不建立出站连接的情况下实现远程控制,极大降低了被检测的风险。
https://securityonline.info/researcher-identifies-toddycat-inspired-apt-attack-leveraging-icmp-backdoor-and-microsoft-exchange-flaws/
京公网安备11010802024551号